Эволюция DLP: от отрицательной к положительной безопасности

06.12.2016

Вернуться к списку новостей Ситуация на рынке информационной безопасности в России и СНГ принципиально отличается от ситуации в Европе и США, во-первых, требованиями к инструментам ИБ, и во-вторых, подходом к работе специалистов.

Основная причина кроется в различиях законодательства, что в свою очередь накладывает отпечаток на сам процесс разработки средств DLP. Что касается работы ИБ-специалистов, то отечественные кадры предпочитают «ручные» расследования, которые базируются на «умных» алгоритмах систем, в то время как зарубежные – чаще всего ограничиваются вердиктом заранее настроенной системы, без погружения в детали.

Издание Information Security Buzz, ориентированное на профессионалов в области информационной безопасности, опубликовало мнение руководителя отдела ИБ американской компании Securonix (разрабатывает системы информационной защиты) Майкла Липински. В статье эксперт рассуждает об устаревших DLP-системах и новых способах борьбы с утечками. Мы перевели фрагменты статьи, которые показывают особенности «западного подхода» к предотвращению утечек и позволяют взглянуть на модель информационной защиты с альтернативного ракурса.

DLP-evolution-site

Аналитики Gartner прогнозируют, что к 2018 году 90% организаций внедрят по меньшей мере одну из разновидностей комплексного предотвращения утечек данных. Сегодня DLP-системы используют 50% компаний.
«Организации применяют DLP, чтобы соответствовать требованиям закона, защитить интеллектуальную собственность, иметь доступ и контролировать данные. Чтобы улучшить системы, используют новейшие разработки, которые включают инструменты для анализа поведения пользователей и групп (англ. UEBA – User Entity and Behavior Analytics), обработки изображений, машинного обучения и сопоставления данных», — пишут эксперты Gartner.

В то же время DLP-системы представляют проблему для большинства организаций, поскольку не в полной мере справляются со своими функциями, главная из которых – обеспечение информационной безопасности. В лучшем случае точечные средства защиты информации выполняют часть полезной работы, которую обещают разработчики. При включении массовых политик, например, подписи, вы столкнетесь с перегрузкой данных. Чтоб избежать информационного «шума», в большинстве компаний применяют всего несколько политик. Таким образом, в поле зрения остается ограниченный перечень рисков и угроз.

Традиционные DLP оказались неэффективными при предотвращении крупных утечек данных по нескольким причинам. Во-первых, в них используется только сигнатурный метод распознавания, так что их возможности обнаруживать угрозы ограничены известными вариантами. Во-вторых, при развертывании системы с большим количеством включенных политик, создается слишком много данных, что делает систему бесполезной. И, наконец, технология DLP не работает эффективно в организациях, где данные не документируют и не классифицируют.

Поэтому возможности DLP сочетают с новыми аналитическими технологиями, например, интегрируют с инструментами поведенческого анализа. Это помогает уменьшить информационный «шум», сделать обеспечение информационной безопасности более прозрачными процессом и защитить данные от внутренних угроз, киберрисков и мошенничества.

Основной недостаток традиционных DLP-систем в том, что они разработаны для так называемого отрицательного контроля, когда защита информации строится на основе черных списков и на методах обнаружения известных схем. Такой подход был оправдан в эпоху «наивной» кибербезопасности. Почему же мы до сих пор их используем?

Потому что положительная безопасность крайне сложна, и требует «тяжелой артиллерии»: классификации данных, тщательного разграничения доступа и интеграции правил в бизнес-модель. Положительная информационная безопасность подразумевает постоянный контроль действий пользователя для того, чтобы вовремя обнаружить любые отклонения от нормы и изменения в поведении, которые могут свидетельствовать о злонамеренной деятельности.

Часть проблемы заключается в том, что когда меняется цель кражи данных, системы DLP не успевают адаптироваться.
«Изменяется тип данных, которые интересуют злоумышленников в первую очередь. Теперь это чаще всего данные идентификации личности, информация о состоянии здоровья, объекты интеллектуальной собственности. В результате значительному риску подвергаются отрасли, где, как правило, не применяются полноценные средства защиты информации, например, здравоохранение и производство», — отмечают эксперты.

При этом практика предотвращения утечки данных в большинстве организаций не учитывает эти критические угрозы информационной безопасности.
«Многие не контролируют движение информации там, где нужно. Почти в 40% утечек задействован некоторый тип физических носителей; но контроль рабочих станций, включая действия пользователей и физические носители, осуществляется только в 37% компаний», — таковы результаты недавнего исследования в США.

Изменение вектора защиты данных и использование инструментов, которые помогают обнаружить неизвестные угрозы и странное «поведение» данных – это лучшая возможность их защитить, прежде чем они покинут контур безопасности. DLP-решение, которое только отслеживает файлы, записываемые на съемные носители, не заметит распечатку секретной информации. Без надлежащей классификации всех данных, DLP может пропустить отсылку важной информации на личную почту или файлообменные сайты. Система анализа поведения пользователей в состоянии устранить эти риски, потому что она не ограничена только использованием политик.

Более эффективно отслеживать каналы утечки информации помогает использование журналов рабочих станций, прокси-данных, событий приложений и облачных сервисов. Все это работает на предупреждение нештатных ситуаций или действий с данными.

Полный текст статьи на английском языке на Information Security Buzz