У многих возникает резонный вопрос, действительно ли такие продукты способны решить проблему или они лишь устраняют отдельные симптомы, по-прежнему оставляя слишком много брешей в системе безопасности. В конечном итоге речь идет о двух группах задач: во-первых, необходимо предотвратить неправомерную и нежелательную утечку информации за пределы предприятия, а во-вторых, — минимизировать риски, связанные с использованием ноутбуков. Общие подходы к решению поставленных задач частично совпадают, поэтому предотвращение утечки данных и защиту конечных точек не так просто отделить друг от друга. Часто один продукт позволяет хотя бы частично охватить обе области.

При более пристальном рассмотрении становится ясно, что предотвращение утечки данных (Data Leakage Prevention, DLP) и защита конечных точек (Endpoint Security) — это лишь отдельные элементы обширной темы «информационная безопасность». Прежде всего необходимо выяснить, как добиться того, чтобы лишь определенным пользователям (находящимся на территории предприятия или за его пределами) предоставлялась возможность доступа к определенной информации. При защите конечных точек необходимо принимать во внимание и классические вопросы информационной безопасности — защиту от вирусов и ограничение сетевого доступа (Network Access Protection).

Многослойность этой темы проявляется также в том, что классические брандмауэры, унифицированное управление угрозами (Unified Thread Management, UTM) или управление правами доступа к информации (Information Rights Management, IRM) тоже нацелены на защиту систем и регулирование работы с данными. Те, кто близко знаком с различными подходами, быстро убеждаются в том, что единственного метода, с помощью которого можно было бы решить все проблемы, не существует.

Эффективность брандмауэров ограничивается наличием множества различных коммуникационных путей. Для ноутбуков, USB-накопителей, мобильных телефонов и других носителей информации централизованный брандмауэр не способен воспрепятствовать как выносу данных за пределы компании, так доставке вирусов и червей внутрь корпоративной сети. Технология IAM, в свою очередь, ориентирована прежде всего на защиту доступа к централизованным информационным ресурсам и системам. Это позволяет предотвратить обращение неуполномоченных лиц к внутренним системам и хранящимся там конфиденциальным данным. Но если доступ к данным предоставляется лицам с надлежащими правами, которые впоследствии решаются использовать информацию недопустимым образом, то технологии IAM оказываются бессильны.

Технология IRM защищает непосредственно информацию, но ее лучше всего использовать за пределами предприятия. Однако, поскольку основной акцент делается на документах, базы данных остаются без защиты, и нашумевшие инциденты, когда в открытом доступе оказались большие объемы сведений о клиентах, не удалось бы предотвратить.

КОГДА ДЕЙСТВУЕТ ЗАЩИТА?

Достаточно трудно провести различие между хранящимися данными (data at rest), передаваемой информацией (data in move) и обрабатываемыми данными на рабочих станциях (data in use). Необходимо, чтобы защита осуществлялась в любой момент времени. Так, подход, при котором информация, к примеру, шифруется на локальном жестком диске компьютера, но без дополнительной защиты копируется на другие системы или пересылается по электронной почте, затрагивает лишь одну область.

Критическая важность переходов между этими фазами проявляется во многих сферах. Так, если электронные письма передаются по сети в незашифрованном виде, то защита почтовых ящиков на сервере электронной почты окажется малоэффективной. Еще один актуальный пример — информация о кредитных картах: здесь угрозу безопасности представляет так называемый процессор, то есть инстанция, где осуществляется обработка транзакций. После того как защищенные данные (data at rest, data in move) поступают в обработку (data in use), средства безопасности уже не действуют.

И именно этим обстоятельством, судя по всему, злоумышленники воспользовались в недавних случаях (кстати, не впервые за историю существования кредитных карт). Очевидно, что точечные решения лишь частично справляются с ситуацией, поскольку предприятия не контролируют «фазовые переходы», а порой и целые этапы использования информации.

ПРЕДОТВРАЩЕНИЕ УТЕЧКИ ДАННЫХ

Рисунок 2. Администрирование директив в решении Novell Zenworks Endpoint Security Management (ZESM) осуществляется через простой в обращении интерфейс Windows.Тем не менее рынок решений для предотвращения утечки данных существует и растет, а подобные инструменты имеют право на существование. Однако их следует рассматривать в контексте всеохватывающей концепции безопасности, о чем мы еще поговорим подробнее. Рынок таких инструментов весьма неоднороден: он делится на системы на базе сети и на базе хостов. Первые пытаются решить задачу на уровне сети, однако это влечет за собой проблемы, аналогичные уже упомянутым в связи с брандмауэрами: если пользователь работает со своим ноутбуком за пределами локальной сети предприятия, то от систем на базе сети так же мало пользы, как и в случае копирования данных на носитель USB.

Что же касается систем на базе хостов, то они выполняются на самих клиентах. Некоторые функции даже интегрированы в операционные системы Windows. Групповые директивы в Windows (начиная, главным образом, с Windows Vista) предлагают весьма разнообразные административные возможности для защиты от утечки информации. К примеру, можно задавать типы устройств USB, применяемые пользователями. Типичные методы — контроль и ограничение использования устройств USB или настройка параметров, определяющих, какие типы данных и содержимого могут копироваться на внешние информационные носители. В эту группу, кроме прочего, входят решения для автоматического шифрования содержимого на внешних носителях, а также — в более широком смысле — специальные USB-носители, автоматически выполняющие шифрование и разрешающие доступ, к примеру после биометрической аутентификации при помощи встроенного сканера отпечатков пальцев.

Эффективное использование таких подходов подразумевает централизованное администрирование, как, в частности, это реализовано в групповых директивах Windows. Однако лишь немногие из предлагаемых инструментов пригодны для интеграции в групповые директивы. Зачастую интерфейсов для централизованного администрирования оказывается недостаточно, и даже если они есть, то речь, как правило, идет о нестандартных подходах.

ЗАЩИТА КОНЕЧНЫХ ТОЧЕК

Концепция Endpoint Security простирается за пределы технологий DLP. Ее задача — защита конечных устройств, куда в качестве подфункции входит защита от неуполномоченного изъятия информации с конечных устройств.

В этом случае речь идет и о локально устанавливаемом программном обеспечении в комбинации с централизованным интерфейсом администрирования. Такие решения обладают множеством функций, в том числе следующими:

  • антивирусная функция и защита от фишинга;
  • индивидуальный брандмауэр;
  • обнаружение и предотвращение вторжений;
  • защита беспроводных сетей (Wireless Security);
  • шифрование данных на уровне жестких дисков, папок и файлов;
  • шифрование на внешних устройствах и в средах хранения;
  • защита от копирования определенных типов файлов и их содержи-мого;
  • контроль трафика FTP;
  • контроль сетевого доступа (Network Access Control, NAC);
  • контроль USB-накопителей и других устройств.

Однако представленные на рынке инструменты, как правило, не поддерживают сразу все функции. В некоторых случаях предлагается расширить функционал с помощью дополнительных продуктов того же производителя, хотя их стоимость и усилия по внедрению и администрированию могут оказаться слишком обременительными.

Пользователи часто упираются в пределы возможностей защиты — к примеру, при необходимости установки USB-карт UMTS их применение приходится разрешить. Однако эти устройства, как правило, обладают собственными ресурсами хранения и могут использоваться для перемещения конфиденциальных данных. Попытка ограничить разрешенные типы файлов тоже обречена на неудачу. Так, предприятие может заблокировать файлы форматов XLS и CSV, но что помешает сотруднику скопировать нужную информацию в виде документа Word или, потратив больше времени, в виде файла PPT? Такие действия проконтролировать не удастся.

Еще один вызов — мобильность. Вопрос о том, в каком объеме действуют правила безопасности, когда устройства используются за пределами внутрикорпоративной сети, при многих подходах до сих пор не решен окончательно. Речь идет не только о ноутбуках. Большинство современных мобильных телефонов в состоянии синхронизировать данные и сохранять большие объемы информации.

А вот уровень администрирования этих устройств и концепции их защиты сравнимы с положением дел для ПК по состоянию на конец 80-х годов.

СТРАТЕГИИ БЕЗОПАСНОСТИ И АВТОРИЗАЦИИ

Рисунок 3. Как и в других продуктах, в Sophos можно выбирать компоненты для дальнейшей установки.Решения DLP и концепции защиты конечных точек способны снизить риски безопасности. Однако пользователям необходимо понимать, что с их помощью они смогут залатать некоторые бреши, но останется множество других потенциально опасных мест. Предотвращение утечки данных и защита конечных точек должны представляться не тактическими точечными решениями, а элементами целостной концепции безопасности ИТ, в которую — с целью снижения рисков для безопасности — включаются и другие тематические блоки, такие как брандмауэры, UTM, системы управления событиями информационной безопасности (Security Information and Event Management, SIEM), IAM и IRM.

С одной стороны, это предполагает четкое осознание угроз ИТ, вплоть до полной оценки рисков; с другой, требует наличия стратегии безопасности, в том числе стратегии авторизации, где концепции безопасности и доступа к системам и информации рассматривались бы как единое целое. Без таких стратегических подходов пользователи обречены на постоянное латание возникающих прорех вместо того, чтобы быть уверенными в достижении действительно высокого уровня безопасности. Риск ошибочных инвестиций очень высок, поэтому финансирование разработки стратегии безопасности и авторизации становится первоочередной задачей.

К тому же часто оказывается, что это лишь незначительные затраты по сравнению хотя бы со стоимостью лицензий для решений Endpoint Security, которые являются лишь одним из кирпичиков в общей концепции безопасности.

Мартин Куппингер — старший партнер компании Kuppinger Cole + Partner, системный архитектор, эксперт и аналитик.

© ITP Verlag
Рисунок 1. В решениях для защиты конечных точек используются децентрализованные агенты на клиентах, а также центральная административная консоль.
Критерии выбора решений для обеспечения защиты конечных точек

При выборе решений для защиты конечных точек особое значение имеют следующие аспекты.

Полная функциональность. Многие решения охватывают лишь часть требуемых функций. Если производители предлагают дополнительные продукты, способные восполнить имеющиеся пробелы, следует уделить особое внимание их интеграции.

Эффективное развертывание. Клиентские компоненты должны легко распространяться по сети — даже без использования специальных программных решений.

Централизованное администрирование. Администрирование клиентов должно осуществляться централизованно посредством директив, а также групп устройств и пользователей, чтобы можно было эффективно управлять множеством систем.

Концепции безопасности. Интерфейсы администрирования должны располагать мощной моделью обеспечения безопасности, чтобы самим не превратиться в брешь в системе защиты.

Интеграция. Интеграция с другими подходами к безопасности ИТ — начиная с IAM и SIEM и заканчивая групповыми директивами Windows — крайне необходима. Последнее особенно рекомендуется для упрощения администрирования.

Поддержка платформ. Большинство современных решений ограничиваются лишь наиболее распространенными версиями Windows. Другие операционные системы, в особенности наиболее критичные в плане безопасности мобильные конечные устройства, как правило, остаются без внимания.

В настоящий момент предлагаемые на рынке продукты значительно различаются по функциональным возможностям, поэтому предприятиям необходимо точно определить, какое из предлагаемых решений будет соответствовать их требованиям в контексте общей стратегии безопасности.

DLP в России

Согласно определению экспертов, защита от утечки данных (Data Leakage Prevention, Data Loss Prevention, DLP) — это автоматизированное средство для распознавания и/или блокирования перемещения большого объема конфиденциальных данных за пределы защищаемой информационной системы по любым используемым в повседневной работе каналам. В нашей стране системы DLP стали узнаваемым типом решений для борьбы с утечками. Реализации проектов по внедрению подобных систем, препятствующих хищению конфиденциальной информации, способствует изменение законодательных требований (в частности, закон о защите персональных данных) и растущее понимание важности защиты ценных информационных ресурсов, хранящихся в государственных и коммерческих организациях. Российским заказчикам доступны продукты DLP зарубежных вендоров (Symantec, WebSense, RSA, McAfee, Trend Micro, Verdasys), а также российские разработки, из которых наиболее известными являются решения InfoWatch.

Чем сегодня определяется интерес к системам DLP в России? Насколько они востребованы? Как считает Вениамин Левцов, глава представительства Trend Micro в России и СНГ, cпрос на проекты DLP есть, и это подтверждают данные продаж. По его оценке, в 2010 году объем российского рынка решений DLP составит не менее 10 млн долларов, однако данный сегмент пока только формируется. На протяжении нескольких лет это был рынок одного игрока, компании InfoWatch, причем заказы поступали в основном от крупных компаний, да и тех было немного. В 2007–2008 годах на российский рынок были выведены сразу несколько решений DLP западных производителей. В результате активной работы системных интеграторов началась реализация целого ряда проектов. Появился выбор, сложилась практика использования, но системы DLP все еще воспринимаются как некоторое «излишество», их применение не предусматривается большинством общих политик безопасности, многие специалисты знают о них лишь понаслышке. Тем не менее, можно ожидать, что на рубеже 2011 года рынок перейдет на следующий уровень, когда внедрение таких систем станет общей практикой и для компаний среднего размера.

Как утверждает Рустэм Хайретдинов, заместитель генерального директора InfoWatch, системы DLP в классическом понимании слабо востребованы даже на американском рынке, где и возникло это понятие. В отличие от решений по защите инфраструктуры (антивирусов, межсетевых экранов, средств защиты от спама и т. п.), внедрение систем DLP — достаточно трудоемкая процедура, для успеха которой требуется обращение к консалтинговым услугам. Кроме того, отдачу от внедрения сложно измерить, поэтому мировой рынок «чистых» продуктов DLP стагнирует, а в России, по сути, он и не начал развиваться. Например, продукты DLP компании InfoWatch большинство клиентов используют не для предотвращения утечек, а для мониторинга обращений к конфиденциальной информации. Однако задачу защиты никто не отменял, как бы соответствующий класс продуктов ни назывался и какими бы разнообразными ни были сценарии их использования. Поэтому спрос есть, хотя и не такой большой, как прогнозировали аналитики.

Дмитрий Михеев, эксперт центра информационной безопасности компании «Инфосистемы Джет», указывает на следующую специфику данного сегмента рынка. Во-первых, в России сильны традиции тотального контроля в сочетании с игнорированием вопросов конфиденциальности и доступа к личной информации. Во-вторых, утечки действительно существуют, и вред от них значителен как в плане финансовых потерь, так и угрозы репутации. В-третьих, целый ряд регулирующих органов выдвигает требования к контролю утечек — от PCI/DSS для компаний, работающих с кредитными картами, до законодательных актов о защите персональных данных. Указанные обстоятельства приводят к проблемам, решить которые невозможно без систем DLP. На этом фоне все более заметной становится тенденция к «взаимопроникновению» систем DLP, решений для защиты рабочих станций (Endpoint Security) и контроля доступа (Network Access Control/Protection, NAC/NAP).

В последнее время решения для защиты рабочих станций стали включать в себя базовые функции DLP — выявление в передаваемых или копируемых файлах конфиденциальной информации по стандартным алгоритмам: атрибутам, ключевым словам и т. д. Поэтому можно говорить о взаимопроникновении технологий, что и подтверждает Рустэм Хайретдинов. «Но клиенты, мне кажется, пока не готовы платить за эти функции, — предостерегает Вениамин Левцов. — Покупая продукт Endpoint Security, они приобретают в первую очередь антивирус, радуясь, что получают дополнительные инструменты. Увы, невозможно построить сколько-нибудь серьезную систему для борьбы с перемещением конфиденциальной информации, используя доступные в продукте Endpoint Security фрагменты DLP». Что касается NAC/NAP, то, по его мнению, со временем такие системы будут отнесены к классу систем, обеспечивающих соответствие политикам и контролю ИТ (Compliance). Когда это случится, внедрение NAC будет осуществляться как отдельный проект в рамках глобальной программы внедрения проекта по обеспечению соответствия законодательным требованиям.

По словам Рустэма Хайретдинова, большинство решений Endpoint Security выпускается на базе известных антивирусных движков. Как показывает опыт InfoWatch, заказчики прежде всего выбирают производителя антивируса, а затем оценивают остальные средства защиты. К примеру, если поставщик Endpoint Security не выпускает антивирусов, то продукты этого вендора зачастую приобретаются в качестве дополняющих другие инфраструктурные решения данного производителя.

Рассматривая такое решение, прежде всего надо убедиться, что оно совместимо с бизнес-процессами, от которых зависит доход компании. Если средство безопасности препятствует основной деятельности, его просто не станут использовать в наиболее критичных точках инфраструктуры, а, как правило, именно они и являются основными источниками утечек. Далее следует проанализировать стоимость приобретения и владения, поскольку системы «на основе агентов» зачастую вызывают немало хлопот при внедрении и эксплуатации. Кроме того, даже самые развитые решения DLP и продукты для защиты конечных точек не способны в полной мере обеспечить безопасность внутрикорпоративных данных и решить проблему несанкционированной утечки информации. То или иное решение выбирается в зависимости от «набора рисков» и бюджета. «Система DLP — хороший инструмент для работы со случайными утечками либо с утечками по стандартным каналам, — считает Дмитрий Михеев. — На такие утечки, по нашей оценке, приходится более 85% подобных инцидентов, поэтому типовые проблемы логично решать с помощью готовых инструментов».

Системы DLP рассчитаны, прежде всего, на защиту от действий безалаберных сотрудников. Со злонамеренными инсайдерами дело обстоит сложнее — здесь нужен комплекс организационных и технических мер противодействия, тогда и пробелов в защите будет значительно меньше. Уже сегодня большинство продуктов DLP интегрируются с другими средствами защиты, системами проведения расследований, а также со средствами мониторинга инфраструктуры, системами электронного документооборота, решениями по защите контента (DRM и шифрование). Некоторые поставщики СЭД и UTM встроили в свои решения модули DLP, лицензируя их у известных производителей. «Полагаю, что данная тенденция сохранится в ближайшем будущем. Именно по этой причине “Лаборатория Касперского” и InfoWatch планируют расширение взаимовыгодного сотрудничества», — отмечает Рустэм Хайретдинов.

По словам Вениамина Левцова, продукты DLP являются важнейшими поставщиками информации для систем корреляции событий ИБ (SIEM), и зачастую их внедрение ведется в рамках смежных проектов. «Но в интеграцию с RMS/IRM-системами я не верю, как и в будущее развитие систем разделения прав на документы с использованием “контейнерного” шифрования. Основная причина — резкий рост нагрузки на корпоративные службы поддержки и невозможность содержать рубрикаторы конфиденциальной информации, которые были бы адекватны реальным потокам данных в крупных средах. Насколько я понимаю, таких проектов единицы, несмотря на целый ряд продуктовых предложений от крупнейших игроков».

«Даже если технология DLP будет интегрирована с другими продуктами, она не исчезнет, — считает Дмитрий Михеев. — Ведь это не только технические средства, но и определенная методика их использования. Организовать предотвращение утечек можно и без приобретения выделенной системы DLP. Вопрос в том, сколько сил и средств потребует такая работа. Проблема безопасности — это проблема контроля деятельности людей. Пока в организации есть хотя бы два человека, которые занимаются коммерческой деятельностью, риск утечек существует. Какие именно технологии будут применяться для контроля, не очень-то и важно в конечном счете».

Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN».

Контроль сетевого доступа

Одной из ключевых функций решений для защиты конечных точек является так называемый контроль сетевого доступа (Network Access Control, NAC), именуемый также защитой сетевого доступа (Network Access Protection) или карантином (Network Access Quarantine). Эта технология предусматривает проверку клиентских систем при доступе к сети, чтобы предотвратить «импорт» угроз безопасности. Точками ее применения могут быть, к примеру, коммутируемые соединения, соединения с беспроводной сетью или запросы аренды DHCP (DHCP Lease).

При соединении какой-либо системы с сетью выполняется проверка ее состояния, в том числе проверка актуальности антивирусной защиты, статус обновлений на системном уровне, наличие или отсутствие определенных файлов или конфигурация специальных системных параметров. При обнаружении отклонений система переводится в карантинный режим с ограниченной функциональностью и, как правило, помещается в специальную подсеть IP. На следующем этапе решение пытается устранить проблемы, возникшие на конечном устройстве. Этот процесс именуется «исправлением» (Remediation). Если его выполнение не удается или не разрешается пользователем, допуск устройств к сети запрещается или системам разрешается работать лишь в подсети с ограниченной функциональностью.

Процесс внедрения контроля сетевого доступа очень сложен, поскольку требуется обеспечить взаимодействие с существующими системами, такими как серверы DHCP и RADIUS, для дифференцированной проверки клиентов и, по возможности, автоматического устранения распознанных слабых мест. И эти функции исправления, и гибкость проверки являются важными критериями при выборе подходящего решения.