В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Существуют достаточно эффективные способы кражи информации, где применение DLP никоим образом не может спасти владельца этой информации. Речь идет о таких способах, как фото- или видеосъемка, запись на лист бумаги или, наконец, использование собственной памяти. DLP-систем, которые в ближайшем будущем смогут спасти от последнего, не предвидится просто в силу того, что подобного рода способы кражи информации не охватывают сферу их влияния. Поэтому нужно четко представлять, на какие каналы утечек распространяется действие DLP.
Действительно, современные DLP-системы могут контролировать множество каналов утечки информации: публикация на Web-ресурсы, в социальные сети, передача по электронной почте или с использованием различных мессенджеров, вывод на печать, копирование на съемные носители и т.д.
Но процесс реализации контроля над новыми каналами утечек осуществляется медленнее, чем хотелось бы. Количество возможных каналов утечек все еще значительно превышает реализованный функционал даже у самых продвинутых DLP-систем.
В связи с этим практически всегда можно найти канал утечки, используя который, можно беспрепятственно выгрузить необходимую информацию. Например: хотя контроль "Mail.Ru Агент" (протокол MMP) и заявлен у многих DLP-вендоров, контроль же голосового общения через "Mail.Ru Агент" не реализован. То же можно сказать про многие мессенджеры, поддерживающие передачу голоса. А ведь есть еще видеоканал передачи данных, который также не контролируется.
DLP весьма комфортно себя чувствует с текстовой и графической информацией за счет применения таких технологий, как сигнатурный анализ (словари), морфологический анализ, регулярные выражения, цифровые отпечатки и оптическое распознавание текста (OCR), с аудио и видео же – пока нет. Хотя определенные успехи в области контроля аудио наметились (например, производители DLP-решений научились записывать аудио-трафик с некоторых мессенджеров). Осталось лишь добавить в DLP-системы модуль преобразования речевого сигнала в текстовый.
Но нужно не забывать про развитие (обновления) контролируемого ПО, которое может "поставить в тупик" работающее с предыдущей версией ПО DLP-решение.
В итоге получается, что контролируется много, однако еще многое нужно сделать.
Как уже писалось выше, производители DLP-систем недостаточно полно охватывают различные каналы утечки информации. Вместе с тем существуют эффективные методы обхода DLP-систем, о которых наша компания неоднократно писала ранее [1, 2]. Поэтому, наряду с контролем новых каналов утечек, производителями DLP-решений вводятся технологии по борьбе с некоторыми методами обходов механизмов контроля.
Если же делать "срез" на текущий момент, то можно сказать, что в современных DLP-системах решены в большей степени проблемы, связанные с кодировками, метаданными и расширениями контролируемых файлов, а также с самозащитой DLP-агентов.
Но в меньшей степени с:
Из других методов обхода до сих пор хорошо "работают": стеганографические приемы, маскирование сетевого трафика, побитовое копирование и т.д.
В зависимости от используемого DLP-решения, а со временем всегда возможно узнать, какое решение внедрено в конкретной компании, можно подобрать наиболее эффективный способ, посредством которого трафик и/или файлы будут пропущены.
В связи с этим методы обхода DLP – это серьезная проблема, требующая большого внимания со стороны разработчиков.
Заслуживает внимания тот факт, что провайдеры Web-сервисов стали чаще использовать шифрование (HTTPS), что несколько усложняет работу DLP (необходимо организовать "разбор" такого трафика на прокси-сервере с последующей передачей его на сетевую часть DLP или повсеместно использовать "агенты"). И в первом, и во втором случаях также необходимо настроить исключения из перехвата шифрованных ресурсов (например, системы клиент-банк, сайты электронных торговых площадок и т.д.). Все это так или иначе предъявляет более высокие требования к данным решениям, к сетевой ИТ-инфраструктуре, а также к инженерам по внедрению, что, несомненно, скажется в большую сторону на итоговой стоимости всего DLP-проекта и на времени ввода DLP-системы в эксплуатацию.
В силу того, что в DLP-системе скапливается большое количество чувствительной информации, как минимум часть в виде теневых копий, логичным будет вывод, что "местом утечки" может быть сама DLP-система. Будь то персонал, занимающийся администрированием системы (инсайдер), или злоумышленник, получивший доступ к DLP несанкционированно.
Векторами атак на DLP-системы могут быть:
В особенности подобные атаки становятся актуальными в эпоху четырех цифровых "всадников Апокалипсиса" (Heartbleed, Shell-Shock, Winshock и Kerberos), при условии, что вышеперечисленные компоненты DLP-систем не обновляются или обновляются несвоевременно, а к сожалению, на практике Patch Management далеко не всегда покрывает зону средств защиты информации и уж особенно сертифицированных по требованиям безопасности информации. И получается, что, с одной стороны, DLP предотвращает утечки информации по одним каналам, а с другой – открывает новые "пути входа" для доступа к чувствительной информации.
Поэтому важно помнить как минимум о регулярных обновлениях ИТ-инфраструктуры, к которой относится и DLP.
А со стороны разработчиков необходимо применять методы защищенного программирования и углубленного тестирования на ошибки и уязвимости.
С учетом вышесказанного ставится понятно, что DLP – это лакомый кусок не только для злоумышленника, но и для различных спецслужб. В особенности такие выводы напрашиваются после громких разоблачений Э. Сноудена, выделения компании Websense в совместное с Raytheon предприятие, развития промышленного шпионажа на уровне государств и т.д.
Таким образом, все эти моменты добавляют ложку дегтя в DLP-бочку меда.
Все вышесказанное постепенно привело к кризису DLP-технологии, из которого, конечно, можно выйти, делая упор на минимизацию вышеперечисленных замечаний, а также применяя комплексный и сбалансированный подход в рамках защиты информации в организации.
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2015