Недавно появился новый российский сайт Экспертного Совета dlp-expert.ru, который будет концентрироваться главным образом на защите от внутренних угроз.
“На сайте будут представлены документы по различным вопросам применения DLP-систем, … новости по всем мероприятиям … информация об инцидентах в области ИБ и громких утечках конфиденциальной информации, аналитические материалы по актуальным внутренним угрозам, обзоры DLP-рынка… и т.д.”
Полезен ли такой сайт? Безусловно. Данное направление ИБ очень перспективно и еще мало разработано. Тем более, что в состав Совета вошли очень опытные, грамотные и уважаемые мной люди.
Сразу щелкаем на разделе “DLP – теория и практика”, натыкаемся на “Обзор DLP решений” и задаемся вопросом: “А читал ли кто-либо из членов Совета данный обзор?” По версии автора обзора, попыток дать определение этому классу информационных систем было много. Использовались различные аббревиатуры для обозначения этого странного понятия: ILD&P, ILP, ALS, CMF, EPS и т.д. Часть терминов были предложены в 2006-2007 и лишь где-то в 2005 г., пишет автор, в качестве общеупотребительного термина утвердилось название DLP — Data Loss Prevention (или Data Leak Prevention, защита от утечек данных). Даже моего уровня владения английским достаточно, чтобы осознать, что data loss (потеря данных) и data leak (утечка данных) – это разные классы угроз, требующие совершенно разных средств защиты. По словам того же автора, в качестве русского было принято словосочетание “системы защиты конфиденциальных данных от внутренних угроз”. А это еще один класс угроз, отличный от уже упомянутых. Поскольку все упомянутые классы угроз не совпадают друг с другом, хотя и пересекаются, назначение нового класса средств защиты, такого как DLP-системы, так и остается тайной.
Такая неопределенность с терминологией возникает видимо из-за того, что производители, преследуя свои маркетинговые цели, стремятся как-то по особому спозиционировать свои продукты. Речь же идет о предотвращении утечки информации из организации через легальных пользователей (инсайдеров). Задача, вообще говоря, не имеющая решения, т.к. такие пользователи, имея легальный доступ к информации, очевидно имеют возможность при желании просто эту информацию запомнить, а затем пересказать своими словами (а также распечатать, сфотографировать, записать). Да и зачем столько сложностей? Сейчас уже все ходят с ноутбуками и наладонниками, поэтому конфиденциальная информация у инсайдера всегда под рукой.
Можно контролировать различные виды трафика, временно блокируя то, что вызывает подозрение, можно контролировать действия совершаемые пользователями за компьютером и при работе в сети, можно контролировать и ограничивать доступ к интернет сервисам, можно контролировать использование внешних носителей информации и т.п. Все эти меры, применяемые в комплексе, позволяют предотвратить случайный слив информации, обнаружить нарушения политики безопасности и сотрудников, совершающих подозрительные действия. Для реализации этих мер разработано большое количество продуктов, которые и причисляют к классу DLP-решений.
Наиболее эффективными являются именно те продукты, которые позволяют наиболее полно контролировать действия пользователей непосредственно на их рабочем месте. Некомпетентные, халатные или имеющие злой умысел работники таким образом могут быть выявлены достаточно быстро, что позволит принять превентивные меры, ограничив доступ таких сотрудников к конфиденциальной информации. Причем мониторинг действий пользователей не создает помех для работы, в отличие от средств осуществляющих автоматическое блокирование трафика или внешних устройств.
Однако российские участники рынка догнали это не сразу и в течении последних нескольких лет занимались разработкой продуктов для контроля трафика, причисляя свои решения к классу DLP. Приводимые далее “наиболее стройные и непротиворечивые” критерии принадлежности вызывают недоумение своей поверхностностью. Похоже они списаны с вполне определенного продукта. Где же такие важные составляющие процесса мониторинга действий пользователей, который, как мы выяснили, является ключевым в предотвращении утечки информации, как скриншоты, запись клавиатурных наборов, мониторинг печати, сетевой и программной активности, онлайновых поисковых запросов? Видимо продвигаемые авторами обзора продукты данной необходимой функциональности не содержат.
Забавно выглядит классификация: “защита данных в движении, в хранении, в использовании”. Видимо авторы данной классификации все же, вопреки здравому смыслу, полагают, что данные от инсайдера все же можно защитить. Жалко что в обзоре не приводится сведений о стоимости такой недостижимой защиты. Хотя и без этих сведений сравнительная таблица продуктов вызывает улыбку у любого, кто хотя бы немного разбирается в данной теме.
В конце своего повествования автор заключает: “По приведенным выше данным можно сделать вывод, что на сегодня в России представлены только три DLP системы от компаний InfoWatch, Perimetrix, WebSense”. И действительно, зачем пытаться быть объективным и тратить время на реальное сравнение продуктов, когда единственная задача, которая перед тобой стоит – продать свой продукт любой ценой?