Обзор товарного предложения на рынке программно-аппаратных средств защиты от утечек информации
Яков Шпунт, научный редактор Intelligent Enterprise Корпоративные системы
Настоящий обзор является третьим в серии материалов по рынку ПАК обеспечения информационной безопасности (ИБ) и посвящен системам защиты от утечек информации, или DLP (английская аббревиатура от Data Loss Prevention, иногда Data Leak Prevention). До недавнего времени эти системы не имели массовой популярности. Однако в 2013 г. ситуация коренным образом изменилась: ФСТЭК в своем Приказе № 21 от 13 февраля 2013 г. включила данный класс систем в перечень рекомендуемых средств защиты корпоративных сетей обработки персональных данных. За рубежом также произошли определенные подвижки. Так например, были устранены законодательные препятствия к использованию систем защиты от утечек, которые имелись в ряде стран Евросоюза.
В итоге развитие данного сегмента рынка существенно ускорилось, хотя и раньше темпы роста были внушительными. Так, по оценке портала Анти-Мальваре. ру (www.antimalware.ru), среднегодовые темпы роста рынка DLP в России с 2008 по 2013 гг. составили 41%. Причем даже в 2008-2009 гг., на пике острой фазы кризиса, рост не прекращался, только замедлился (см. рисунок).
Рисунок. Динамика российского рынка DLP-систем.
В целом работа DLP-систем близка к поисковым машинам. Информация, хранящаяся в компании, анализируется, определяется перечень документов, которые не должны ее покидать, и если соответствующая попытка несанкционированного проникновения через контролируемые системой каналы все же происходит, то она блокируется. Распознавание защищаемой информации в DLP-системах производится двумя способами: анализом формальных признаков (например, наличием грифа) и анализом контента. При этом используются механизмы, аналогичные тем, что применяются для выявления мусорной почты или спама, естественно, с некоторыми доработками. Анализ формальных признаков позволяет избегать ложных срабатываний, но требует предварительной классификации документов, установки меток, сбора сигнатур и прочей довольно трудоемкой подготовительной работы. В противном случае возможны пропуски конфиденциальной информации. Второй способ часто дает ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди специальным образом помеченных документов. В современных DLP-системах оба этих подхода сочетаются. В новейших комплексах внедряются алгоритмы, использующие технологию анализа больших данных. Это существенно увеличивает производительность и позволяет перекрывать такие возможные каналы утечек, как голосовая связь и видеоконференцсвязь.
Также к DLP относят программные или программно-аппаратные средства, блокирующие подключение внешних устройств, через которые может происходить утечка. Как правило, речь идет о тех устройствах, которые могут выступать в качестве накопителя (внешних дисках, плеерах, мобильных телефонах, планшетных ПК). Впрочем, такого рода инструменты больше относятся к ПО защиты конечных точек и остаются за рамками настоящего обзора. Однако значительная часть систем или имеет в комплекте поставки средства защиты информации на рабочих станциях, или содержит средства интеграции с ПО данного класса от сторонних разработчиков. В таблице характеристик DLP-систем эта функция отмечена в колонке «контроль рабочих станций».
Таблица. ПАК систем защиты от утечек информации (DLP)
Естественно, установка DLP-системы не является стопроцентной гарантией защиты от возможной утечки. Существует масса способов обойти или обмануть средства защиты. Тем не менее внедрение DLP-систем позволяет получить целый ряд выгод. Прежде всего такие системы весьма эффективны против случайных утечек (например, когда электронное письмо отправляется по неправильному адресу). Также в качестве побочного эффекта в таких проектах наблюдается заметное сокращение потребления Web-трафика. Одно это часто позволяет окупить проект, причем в весьма короткие сроки. С помощью DLP-системы упрощается выявление подозрительной активности, что способствует установлению потенциально нелояльных сотрудников. Это весьма упрощает работу подразделений безопасности, как информационной, так и экономической. И наконец, DLP-системы являются инструментом, который заметно упрощает расследование инцидентов, причем не только связанных с утечками информации.
От чисто программной DLP к программно-аппаратной
Первые системы защиты от утечек информации появились примерно к 2000 г. По современным меркам, их возможности были весьма скромными. Речь часто шла о системах, которые просто предотвращали случайную пересылку документов по ошибочному адресу.
Но постепенно функциональность росла. Становились совершеннее алгоритмы выявления информации, которая не должна покидать сетевой периметр. Усиливались «интеллектуальные» способности систем, которые уменьшали количество ситуаций, когда не удавалось самостоятельно определить статус передаваемой информации. И для того, чтобы определить, относится ли она к подлежащей защите, требовалось вмешательство сотрудника службы информационной безопасности. Естественно, реакция человека была, скажем так, далеко не мгновенной, что часто вело к заметным издержкам. К тому же такие ситуации влекли и законодательные коллизии, так как возникало явное противоречие с нормативными актами о защите частной жизни в некоторых европейских странах, например, в Германии и Франции. В итоге до самого недавнего времени DLP-системы были там под фактическим запретом.
Постепенно увеличивалось и количество типов каналов потенциальной утечки информации, которые система могла отслеживать. Как уже было сказано выше, самые первые DLP-системы могли контролировать только почтовый трафик. Современные системы позволяют отслеживать Web, средства мгновенного обмена сообщениями, системы унифицированных коммуникаций, VoIP.
Внедрение таких систем практически неизбежно выливалось в интеграционный проект. Причем инсталляция самой системы, даже включая агентское ПО на рабочих станциях, составляла ничтожную часть всех работ. Ведь, как уже отмечалось, требовалась установка специальных атрибутов и сигнатур на документы, в которых содержится чувствительная к секретности информация. Часто и сам программный код приходилось дорабатывать под нужды заказчика, иногда довольно серьезно. И наконец, требовалась разработка комплекса организационных мер: всяческого рода политик и регламентов, как по работе с информацией, так и связанных с действиями при обнаружении инцидентов, без которых технические средства теряют значительную часть работоспособности. Причем очень многие из этих мероприятий еще и нужно повторять через некоторые промежутки времени, так как ландшафт угроз постоянно меняется, да и бизнес-процессы компании тоже могут корректироваться.
Все это делало нецелесообразным выпуск преднастроенных ПАК для решения задачи DLP. Технически данная задача является тривиальной, однако практического смысла здесь долгое время не было. Просто система с настройками по умолчанию фактически была неработоспособной без целого ряда дополнительных настроек, часто довольно сложных. Скорее, даже наоборот, появлялось оборудование, которое вполне могло не соответствовать стандартам заказчика, а значит, его обслуживание и администрирование становилось дополнительной обузой.
Приблизительно на рубеже нулевых и десятых годов появились системы, которые уже «из коробки» были настроены на предотвращение утечки информации, содержащей определенные типы данных. Это могут быть платежные реквизиты (номера банковских счетов, кредитных карт), номера документов, удостоверяющих личность, адреса и многое другое, что регламентируется разного рода нормативными актами, как государственными, так и отраслевыми. Появились и типизированные базы контентной фильтрации для разных отраслей. Для значительного числа потребителей этого вполне достаточно, чтобы соответствовать требованиям разного рода стандартов. К тому же такие DLP-системы реально защищают от большей части критичных для небольших предприятий инцидентов, связанных с утечками информации. А возможные изменения ландшафта угроз не проблема: необходимые изменения вполне можно внести при плановом обновлении систем.
Естественно, для решения таких упрощенных задач вполне можно использовать преднастроенный ПАК, как аппаратный, так и виртуальный. Аппаратный комплекс представляет собой серверную платформу, где установлена DLP-система с базовыми настройками, а также другое ПО, необходимое для ее работы (например, сервер СУБД). Виртуальный комплекс представляет собой те же программные средства, но уже в виде образа виртуальной машины. Можно также интегрировать соответствующий функционал в уже имеющиеся на рынке системы, что и сделали многие поставщики решений для поддержания сетевой безопасности. Для этого достаточно было добавить соответствующий программный модуль, если заказчик высказывал соответствующее пожелание. Интересно, что пионерами в деле выпуска ПАК с функцией DLP оказались как раз поставщики сетевого оборудования. Вендоры традиционных DLP подтянулись заметно позже. Некоторые из них лицензировали свои системы для использования в ПАК третьих поставщиков. Так например, системы от Crossbeam/РКСС применяют исключительно средства от сторонних разработчиков, в том числе и реализующие функцию защиты от утечек.
Что имеется на российском рынке
В настоящее время ПАК с функцией защиты от утечек информации предлагают компании (в алфавитном порядке) Bluecoat, CheckPoint, Crossbeam (совместно с РКСС), Imperva, Infowatch, McAfee, RSA, «Инфосистемы Джет» (см. таблицу). При этом только у половины вендоров функциональность решений сводится исключительно к защите от утечек информации и ничему больше. Оставшиеся имеют в своем арсенале лишь многофункциональные системы. Важно отметить, что решение от Imperva является не физическим, а виртуальным ПАК. В виде преднастроенного образа виртуальной машины может поставляться и «Дозор Джет».
Можно выделить названные ниже две основные классифицирующие функции DLP-систем.
1. Производительность, масштаб защищаемой сети. Разные ПАК позиционируются в качестве средства защиты сетей предприятий разного размера, от совсем небольших до очень крупных, в том числе территориально распределенных. Если младшие устройства от Infowatch ориентированы на обслуживание сети или ее сегмента, где работают не более 100 пользователей, то там, где работают системы от Bluecoat, Crossbeam/РКСС, Imperva и «Инфосистемы Джет» число пользователей может идти уже на тысячи.
Главное, чтобы системных ресурсов было достаточно. Но с этим проблем возникать не должно, так как подавляющее большинство ПАК позволяют вносить изменения в конфигурацию комплекса (как минимум добавить оперативной памяти или установить более емкие или быстрые дисковые накопители), или они уже имеют ресурсы со значительным запасом, как решение от Crossbeam/РКСС. Некоторые производители используют массовые модели серверов (как правило, от HP), а комплексы «Инфосистемы Джет» позволяют применение любых моделей серверов, поддерживающих дистрибутив Linux RHEL или CentOS). Некоторые ПАК могут поставляться в виде предварительно сконфигурированного образа виртуальной машины, где выделение необходимого объема ресурсов вообще является тривиальной задачей.
Внедрение ПАК с функцией DLP практически неизбежно требует привлечения услуг внешних специалистов. Модель угроз для разных компаний имеет существенные различия, в итоге конфигурация одной и той же системы для разных проектов может весьма серьезно отличаться. Даже программный код самой системы при ее адаптации под бизнес-процессы заказчика может потребовать серьезных доработок.
2. Возможности контроля трафика. У разных систем имеются заметные различия в реализации этой функции. Так например, не все поддерживают почтовые протоколы IMAP, MAPI, NNTP. Довольно велика доля систем, которые не позволяют отслеживать и такой канал, как VoIP. Впрочем, и там, где заявлена поддержка VoIP, качество ее реализации оставляет много вопросов, так как технологии автоматического распознавания речи, особенно русской, еще крайне несовершенны. Ровно по той же причине не стоит возлагать больших надежд на возможность фиксации перехвата трафика Skype, так как все часто ограничивается лишь средствами обмена текстовыми сообщениями и файлами. Нередко встречаются и такие системы, которые не блокируют передачу по протоколу P2P. Впрочем, обычно трафик P2P запрещен на уровне корпоративных политик, так что отсутствие поддержки данной функции нельзя считать значимым недостатком. В целом можно сказать, что такие каналы возможной утечки, как электронная почта по протоколу POP3, Web (включая блоги, форумы, социальные сети, сервисы обмена файлами, почту с Web-интерфейсом), сервисы мгновенного обмена сообщениями (по крайней мере более-менее популярные) могут контролировать все без исключения системы.
А вот с контролем информации, хранящейся на локальных рабочих станциях, все уже не так просто. В целом ряде систем такая возможность и вовсе отсутствует. Впрочем, для решения этой задачи невозможно обойтись без использования программных агентов или средств от сторонних разработчиков, установка которых может быть довольно сложна и трудоемка, особенно в масштабах крупной сети. Это идет вразрез с самой идеей внедрения решения, готового к работе сразу после установки. К тому же потенциальных нарушителей и так можно выявить с помощью DLP-системы, а уличить их в сливе информации помогут и другие средства.
Немного о сертификации DLP-систем
Важным моментом для нашего рынка является сертификация DLP-систем контролирующими органами. В противном случае о решении задачи формального соответствия всяческого рода нормам и стандартам говорить не приходится. Так что системы, не имеющие как минимум сертификата ФСТЭК, что дает возможность использовать оборудование для защиты систем обработки персональных данных, мы решили не включать в итоговые таблицы. В таком положении оказались системы от RSA и ZyXEL.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.