Время «пожаротушения и дырозатыкания» уходит в прошлое
Проблема многообразия угроз информационной безопасности (ИБ) входит в перечень наиболее актуальных вопросов. Редкая специализированная пресса обходится без соответствующих заголовков в передовицах. Однако поиск путей решения этой проблемы пока не увенчался сколько-нибудь значимым результатом. Корпоративные политики безопасности питают слабость к точечным реактивным технологиям, всегда идя следом за опасностью. Свое мнение о положении дел и тенденциях защиты от внутренних ИТ-угроз изложил нам Денис Зенкин из компании Perimetrix, один из специалистов, стоявших у истоков отечественного DLP-рынка.
КомпьютерПресс: Какие особенности рынка защиты от внутренних ИТ-угроз, тревожат вас больше всего?
Денис Зенкин: У любого бурно развивающегося рынка проявляются специфические болезни роста. Они могут не нравиться и даже вызывать раздражение, но это объективная эволюционная закономерность. Нам остается лишь прилагать усилия, чтобы направить развитие в правильное русло и удержать рынок от перекосов.
Больше всего меня тревожат следующие особенности. Во-первых, размытие позиционирования DLP (Data Leak Prevention). Медийная шумиха привлекает к рынку разработчиков, которые не имеют отношения к проблеме защиты от утечек. Они буквально паразитируют на нем, тем самым девальвируя технологию противодействия инсайдерам. Во-вторых, представление контентной фильтрации как единственного способа борьбы с внутренними нарушениями. В жертву простоте реализации приносится самое главное — эффективность. Наконец, некоторые заказчики внедряют системы защиты бессистемно, методом «пожаротушения и дырозатыкания».
КП: В чем проявляется бессистемное отношение к DLP?
Д.З.: DLP у всех на слуху. Этот термин упоминается едва ли не чаще, чем термины «вирусы», «хакеры» и «спам». В общем, это логично, ибо для борьбы с названными угрозами уже есть эффективные средства и стандартные подходы. Защита конфиденциальности данных от умышленных или неосторожных действий сотрудников, имеющих к ним легальный доступ, — область хоть и «с бородой», но до сих пор не нашедшая решения. В условиях информационного голода некоторые компании внедряют канальные продукты, основанные на технологиях сомнительной надежности. Квинтэссенция такого подхода — попытка найти и заблокировать отправку объекта защиты вовне. Всё это было бы неплохо, если бы не существовало других, более эффективных подходов.
Важно упомянуть другое распространенное заблуждение при внедрении DLP-решений — точечная защита одного или нескольких каналов утечки. Имеет ли смысл фильтрация почтового и/или веб-трафика в условиях бесконтрольного использования, например, сменных носителей, беспроводных протоколов или принтеров? В лучшем случае это позволит предотвратить инциденты по неосторожности, в то время как инсайдер с умыслом легко найдет способ обмануть систему. Защита должна быть либо полномасштабной, либо инвестиции в нее перейдут в разряд «деньги на ветер».
КП: Что, по вашему мнению, лежит на другой чаше весов эффективности?
Д.З.: Гадание — удел мастеров оккультного охмурения в пестрых платках. Защита конфиденциальности данных принципиально не может базироваться на технологиях угадывания, тем более при помощи контентной фильтрации, эффективность которой не превышает 80% при сохранении высокого уровня ложных срабатываний. Противовес этого подхода — парадигма знания объекта защиты априори. Согласитесь, намного проще защитить документ, зная его местонахождение, формальные признаки и содержание, нежели пытаться выловить его в потоке данных по набору ключевых слов. В то же время большинство DLP-решений ориентированы на реактивные, а то и вовсе ретроспективные методы выявления инсайдеров уже по факту утечки. Кому нужна сигнализация, способная сообщить, что «вас обокрали», вместо «вас пытались обокрасть, но мы не позволили»? Увы, в дуализме «обнаружить-предотвратить» разработчики явно тяготеют к первому, самому простому способу. Полагаю, в будущем проактивность, основанная на анализе цепочек событий, выявлении подозрительных действий и т.д., станет одной из главных черт DLP-решений. Впрочем, будут преодолены и другие перечисленные недостатки. Закон развития предполагает плавный переход от экстенсивного освоения рынка к интенсивному.
КП: Есть ли технологии, альтернативные контентной фильтрации?
Д.З.: О, не стоит списывать контентную фильтрацию со счетов и сдавать в музей древностей. Эта технология имеет свои преимущества и свое место в DLP-ландшафте — важно понять и то и другое, чтобы найти ей применение. Для этого стоит посмотреть на цикл защиты данных от утечки. В нем выделяются три этапа: хранение, использование и движение данных. На третьем этапе контентная фильтрация может успешно служить для выявления и блокировки пересылки неклассифицированных данных. В остальных случаях свою эффективность доказала комбинация криптографических контейнеров и детерминистских технологий разметки документов на основе многомерной модели конфиденциальности. Таким образом, обеспечивается постоянный мониторинг использования файлов и гарантируется их защита даже в случае кражи или утери носителя.
КП: В чем причина столь высокой популярности контентной фильтрации?
Д.З.: Это объективная особенность развития рынка, от которой никуда не деться. Разумеется, на начальном этапе разработчики стараются сделать продукт как можно быстрее, внедрить его как можно легче и продать как можно дороже. С усилением конкуренции им неизбежно придется менять подход и ориентироваться на насущные потребности заказчиков. Очевидно, что криптоконтейнеры и детерминистские технологии более сложны и затратны. Чего стоит одна классификация корпоративных данных! Но пока это единственный способ создать действительно надежную защиту конфиденциальных документов.
КП: Насколько реально необходима классификация данных?
Д.З.: Более правильно сформулировать вопрос так: до каких пор компании будут терпеть хаос, связанный с отсутствием классификации? Десятилетиями данные однородной массой «размазывались» по корпоративной сети и скапливались в хранилищах. Мы заботились о том, чтобы исключить неправомочный доступ к ним, но забывали о полной бесконтрольности и безнаказанности действий сотрудников с легальным доступом. Согласитесь, что это объективный атавизм, который волей-неволей придется преодолевать, коли компания желает знать, кто, что и когда делал с документами. И первый шаг в этом направлении — именно классификация данных, своего рода библейское отделение зерен от плевел. Понимание объекта защиты — залог успешности дальнейших действий. Кроме того, классификация позволяет выявить и модернизировать ошибочные бизнес-процессы, что положительно скажется на работе организации в целом.
КП: Ваш взгляд на эволюцию DLP-решений: какие требования будет предъявлять рынок через пять лет?
Д.З.: Самое главное — произойдет массовая миграция решений в системе координат «угадать-знать, поймать-предотвратить». Разработчики будут отказываться от канальных пассивных методов и внедрять всё больше проактивных технологий, пронизывающих все бизнес-процессы. На смену монополии контентной фильтрации придут новые, более эффективные методы. DLP из игрушки узкого круга специалистов неминуемо преобразуется в ключевой элемент обеспечения непрерывности бизнеса и основу корпоративной ИТ-платформы. Для достижения этой цели потребуется вовлечение всех подразделений организации и интеграция с гетерогенной ИТ-инфраструктурой, в частности с системами класса ERP, RDBMS, ERP, CRM, HRMS и PLM. Станет неизбежным глобальное изменение взаимоотношений сотрудника и АРМа и отказ от парадигмы «филиал моего домашнего компьютера». Я уверен, что в основу будущей корпоративной системы защиты ляжет концепция режима секретности конфиденциальных данных. Это положит конец хаосу и безответственности и позволит превратить информационную систему в упорядоченную, контролируемую структуру, точно направленную на достижение бизнес-целей.