Споры в среде безопасников случаются часто J. Но когда этот спор конструктивный, а не базарная перебранка, то как правило есть шанс, что из него родится что-то стоящее. В качестве темы для сегодняшнего спора я предлагаю DLP.
Технология DLP не так уж и нова, на моей памяти ее активное распространение началось около 5 лет назад. Инициатором была компания Infowatch, а затем уже в Россию пришли крупные западные вендоры – Symantec (купив Vontu), Websense, McAfee. И с тех пор не утихают споры о том, надо или не надо внедрять систему DLP.
Аргументы «за»:
- возможность контролировать информацию, передаваемую по внешним каналам, а также на сменные носители или печатающие устройства;
- легко показать результаты работы службы ИБ руководству; вот, установили систему, нашли столько-то нарушителей, вот ТАКАЯ важная информация у нас уходит и прочее;
- в случае внедрения стандарта PCI DSS есть возможность контролировать наличие критичной информации только в области аудита;
- ну и еще ряд приятных мелочей вроде красивых графиков, центрального архива переписки с возможностью поиска и проч.
Аргументы «против»:
- неоправданно дорого;
- я знаю сотню способов обойти всю эту фильтрацию, так что все это фигня;
- проблемы юридической чистоты такого мониторинга в свете наличия неотъемлемых конституционных прав на тайну личной переписки.
Мое мнение: против систем класса DLP работает их же название – системы контроля (защиты от) утечки информации. Название получается слишком многообещающим, да и сейлз-блок производителей периодически преподносит это решение как панацею от множества бед. Все это рождает неоднозначное отношение, т.к. заявленные ожидания от решения на деле не реализуются.
К тому же клиенты, купившие DLP, предполагают, что все что нужно – это установить систему (Next – Next) и все, мы защищены от утечки информации. На деле так, конечно же, не происходит, и у покупателей наступает разочарование, которым они начинают делиться с окружающими.
НО, если бы мне довелось в роли менеджера по информационной безопасности принимать решение о том, внедрять или не внедрять DLP, то я бы склонялся к тому, чтобы внедрять (конечно же ориентируясь на бизнес-потребности моей организации), но внедрять не просто DLP, а целый комплекс мер, в котором DLP было бы одним из ключевых решений, но далеко не единственным.
Давайте спорить, коллеги.
Во-первых, DLP - это Data Leak Prevention - ПРЕДОТВРАЩЕНИЕ утечки данных, а не "системы контроля (защиты от) утечки информации". Это ключевой момент, потому как контролировать можно совсем другими, гораздо более дешевыми средствами. Потому такая стоимость.
ОтветитьУдалитьНо это все маркетинг (так же как и "облачные вычисления"), в реальности же DLP это набор неких "кубиков", которые выполняют определенный функционал КОНТРОЛЯ ("защиты от"), а заставить работать их на 100% ПРЕДОТВРАЩЕНИЕ не могут ни пользователи, ни сами разработчики. Первые - потому это это очень дорого, вторые - потому что оно так и не должно работать, так как маркетинг.
В результате плюсов нет никаких, ибо контроль можно обеспечить более дешевыми средствами, используя политику "запретить все, без чего нельзя обойтись, что осталось - контролировать". Результаты работы ИБ - это не найти нарушителя, а предотвратить утечку (по максимуму) или (в нормальном режиме) снизить риски связанные с утечкой путем грамотного распределения объемов информации, доступных одному человеку. Ну а графики я сам какие хочешь нарисую.
Так что мое мнение - сначала нужно навести порядок в базовых вещах, выстроить процессы и процедуры, оценить остаточные риски, а потом уж принимать решение. И комплексная DLP может совсем не понадобиться, принимая во внимание сказанное выше.
В результате плюсов нет никаких, ибо контроль можно обеспечить более дешевыми средствами, используя политику "запретить все, без чего нельзя обойтись, что осталось - контролировать"
ОтветитьУдалитьА контролировать чем ? DLP - это скорее контроллирующая мера, а не запретительная.
Предотвратить все утечки невозможно, это утопия. Шит хаппенс. Но лучше отловить инсайдера после первого-второго слива, чем дать ему возможность делать это много лет оставаясь безнаказанным.
> А контролировать чем ?
ОтветитьУдалитьСредствами контроля, а не предотвращения. DLP для этого (гипотетическая опять же) это как из пушки по воробьям.
> DLP - это скорее контроллирующая мера, а не запретительная.
Ну тогда при чем здесь DLP? Повторю: P - ключевое слово.
Хочу привести пару доводов в пользу систем DLP.
ОтветитьУдалить1) Как показывает практика, топ менеджмент компании не согласен ограничить и тем более закрыть своим сотрудникам доступ к устройствам и портам ввода-вывода (например, сменные носители) или сетевым сервисам (например, ICQ). Руководство считает, что квалифицированный персонал это очень ценный актив, ограничение доступа которому может повлиять на его производительность труда (недовольный сотрудник – это очень плохой показатель для бизнеса) и привести к ряду увольнений. В этом случае проблему смогут решить только мероприятия по повышению осведомленности персонала в вопросах информационной безопасности и высокий уровень оплаты труда. Возможно, тогда сотрудники поймут цель введения таких ограничений и смирятся с ними. Или второй вариант, внедрение систем DLP. Последний вариант больше понравится топ менеджменту, т.к. сотрудники продолжат работать в привычных для них условиях, а бизнес сможет быть уверен в своевременном обнаружении и предотвращении попыток хищения конфиденциальной информации.
2) Функционал DLP также позволяет:
- предотвратить утечку кадров на ранней стадии (обнаружение поиска сотрудником нового места работы и предложение ему лучших условий труда);
- контролировать этику ведения бизнеса (например, корректность общения сотрудников с партнерами или клиентами компании).
Важно понимать, что система DLP – это не то решение, которое позволяет раз и навсегда решить вопросы информационной безопасности. Система DLP – это очень хорошее дополнение к джентельменскому набору программ специалиста по информационной безопасности (Firewall, HIPS, IDS/IPS, SIEM и т.д.)
А обойти можно практически любую систему безопасности, но для этого уже нужны соответствующие знания и квалификация. Поэтому внедряя систему DLP, как и любую другую систему безопасности, мы лишь минимизируем риски, а не сводим их к нулю.
Этот комментарий был удален автором.
ОтветитьУдалитьВы сами себе противоречите - это:
ОтветитьУдалить> бизнес сможет быть уверен в своевременном обнаружении и предотвращении попыток хищения конфиденциальной информации.
и это
> обойти можно практически любую систему безопасности, но для этого уже нужны соответствующие знания и квалификация
взаимоисключающие вещи. Кроме того, это говорит о том, что высококвалифицированный сотрудник есть высокая угроза бизнесу, в т.ч. и с точки зрения ИБ.
Я бы сказал, что квалификация персонала и доступ к нежелательным инфоресурсам - вещи не взаимосвязанные. Кроме того, далеко не весь персонал является высококвалифицированным. Плюс к этому, никто не мешает предоставлять доступ к ресурсам по запросу бизнеса, и перед этим заинструктировать сотрудника (повышение осведомленности), взять с него расписку о запрете использования ресурса для личной переписки и установить ему на ПК агента. Это проще, чем давать доступ всем без исключения, и если топ этого не понимает - значит, ИБ-шник не справляется со своими обязанностями по повышению осведомленности среди руководства.
> Система DLP – это очень хорошее дополнение к джентельменскому набору программ специалиста по информационной безопасности
Золотые слова :))) Только прежде чем внедрять техсредства, нужно провести кучу оргмероприятий, в том числе обеспечить поддержку руководства. И тогда топы не будут считать так, как Вы пишете.
Что касается плюсов под цифрой 2, то к задаче ИБ они не имеют отношения (ну или имеют, но весьма опосредованное). Если нельзя искать работу с рабочего ПК, то есть смартфоны, планшеты, ноутбуки, домашний ПК, наконец. А этика - это несколько не ИБшная задача, хотя и весьма интересная.
Все верно. Каждый сотрудник должен получать доступ согласно принципу служебной необходимости. Это даже не обсуждается.
ОтветитьУдалитьНо речь не об этом. Мы говорим о сотрудниках, которые уже в рамках своих должностных обязанностей имеют доступ к конфиденциальной информации и хотят в повседневной работе иметь возможность работать со сменными носителями, отправлять почту на внешние почтовые сервера, распечатывать документы, работать в интернете, использовать клиенты обмена мгновенными сообщениями. Все это способно повысить производительность труда сотрудника и соответственно позволить бизнесу больше зарабатывать. С точки зрения ИБ все это потенциальные каналы утечки информации. И их нужно или запретить или контролировать.
Если запретить, то к чему это может привести? Неудобство ведения бизнеса: недовольство со стороны сотрудников, со стороны партнеров, клиентов. Нужно помнить, что бизнес на первом месте (безопасность для бизнеса, а не бизнес для безопасности). Поэтому руководство компании никогда на это не пойдет, если конечно это не совковая контора с принудительно-приказной системой внутри.
Если контролировать, то как? Система DLP.
>ее активное распространение началось около 5 лет назад. Инициатором была компания Infowatch
ОтветитьУдалитьАктивное распространение началось гораздо раньше - с Дозора от Джета.
Инфовотч присоединился позже Джета, но именно ему принадлежит начало продвижения под брендом DLP.
Западные вендоры тоже давно на рынке, но у них были проблемы с кодировками т.ч. как только разобрались с семантикой они сразу и активно вошли.
>К тому же клиенты, купившие DLP, предполагают, что все что нужно – это установить систему (Next – Next) и все, мы защищены от утечки информации. На деле так, конечно же, не происходит, и у покупателей наступает разочарование, которым они начинают делиться с окружающими.
Издержка неправильного продвижения продукта:
1. Это не панацея, как ее пытаются представить некоторые вендоры
2. Для ее внедрения необходим определенный уровень зрелости организации и уже проведенная классификация информации
3. Это крайне полезный инструмент, но всего лишь инструмент - и при неправильном применении может принести вред
4. Это не средство защиты от __всех__ утечек, а лишь "заита от дурака" (средство сокращения неумышленных и неквалифицированных утечек). И основная полезность в сокращении инцидентов для того, чтоб уже более плотно взяться за минимизацию остальных утечек - уже другими технологиями и средствами
>- проблемы юридической чистоты такого мониторинга в свете наличия неотъемлемых конституционных прав на тайну личной переписки
Очень старый спор. ;-) Я помню где-то с 2004 года...
На счет юридической чистоты (как вариант) см. http://forum.razved.info/index.php?t=169
> Все это способно повысить производительность труда сотрудника и соответственно позволить бизнесу больше зарабатывать.
ОтветитьУдалитьВсе зависит от характера деятельности, так что не стоит делать такие категоричные заявления. Я могу легко доказать обратное, подкрепив свои доводы совершенно конкретными аналитическими данными.
> Поэтому руководство компании никогда на это не пойдет
Любой запрет, равно как и разрешение, должен быть обоснован. На моей практике было немало примеров, когда бизнес САМ настаивал на внедрении запретов.
> Если контролировать, то как? Система DLP.
"Вы сами себе противоречите" - 2. Повторюсь в десятый раз: DLP = Data Leak Prevention = Предотвращение Утечки Данных. Где здесь "Контроль Обмена Данными"? Мое мнение - и Вы его невольно подтверждаете - никаких DLP не существует в природе. Все разговоры о них с "предотвращения" сваливаются на "контроль". Это маркетинговый ход - под их видом предлагаются продукты с расширенными функциями контроля. Реальную ДЛП изобретут не раньше, чем создадут искусственный интеллект.
И тем не менее, это нисколько не умаляет их достоинств, как систем с расширенными контрольными функциями.
> Все зависит от характера деятельности, так что не стоит делать такие категоричные заявления.
ОтветитьУдалить> Я могу легко доказать обратное, подкрепив свои доводы совершенно конкретными
> аналитическими данными.
Согласен. Каждый бизнес индивидуален, также как и его IT инфраструктура.
> Если контролировать, то как? Система DLP.
> Повторюсь в десятый раз: DLP = Data Leak Prevention = Предотвращение Утечки Данных.
Это зависит от того какой тип системы DLP планируется внедрить.
Если пассивная система DLP, то передаваемая информация только анализируется системой (на лету) или администратором ИБ (по теневым копиям), но не блокируется. Да, в этом случае система не соответствует своему названию и ее следовало бы назвать DLD - Data Leak Detection по аналогии с Intrusion Detection System.
Если активная система DLP, то передаваемая информация не только анализируется, но и блокируется при нарушении правил безопасности. Да, такая система не идеальна и не гарантирует 100% защиту от утечек, но она полностью оправдывает свое название.
вариантов DLP много. есть еще те, которые утечки, инициируемые вредоносным кодом блокируют.
ОтветитьУдалитькак продукт DLP - это лишь конструктор "сделай сам". а самое главное в DLP - найти грамотного установщика. также как в здоровье - найти грамотного врача, а не красивую поликлинику.
BDV
Господа, во-первых, у ДЛП, как и у любого решения есть плюсы и минусы. Поэтому с хода отвергать это решение неразумно.
ОтветитьУдалитьВо-вторых, это ВАША точка зрения, у кого-то она другая, зачем же навязывать свою.
В-третьих, врядли вы все являетесь специалистами в области ДЛП, думаю, что никто из вас его не разрабатывал, не настраивал, не использовал. Давайте, в подобных спорах предоставлять право решающего голоса не тем, кто знает больше "вендоров" (терпеть не могу это слово), а кто РЕАЛЬНО внедрил у себя это решение и получил те или иные результаты.
Теоретически! я тоже знаком с разными ДЛП решениями, но все же давайте следовать советам мудрого Жванецкого и не будем спорить о вкусе устриц с теми, кто их никогда не пробовал.
Хотя, думаю, что сейчас в меня полетит масса плевков...
Я реально внедрил. И что?
ОтветитьУдалить"Внедрил" - это значит "продал" кому-то?
ОтветитьУдалитьСудя по тому, что в Ваших постах нет ни одного примера из жизни, это скорее всего именно так.
А САМИ эксплуатировали? Администрировали? настраивали?
Вот, ваша фраза: "Я могу легко доказать обратное, подкрепив свои доводы совершенно конкретными аналитическими данными" - а не ПРАКТИЧЕСКИМИ выводами.
ОтветитьУдалитьГоспода, увы, в ИБ, к сожалению, безумное количество "теоретиков" и очень мало "практиков"...
Товарищ аноним, Вы хотя бы посмотрите, где я работаю, и кем...
ОтветитьУдалитьНу а что до практики - пусть и старый пример, но в тему: http://anvolkov.blogspot.com/2010/09/devicelock.html
ОтветитьУдалитьКоллеги (анонимные в первую очередь), прошу все же сохранять конструктивный тон без перехода на личности.
ОтветитьУдалитьС этими системами еще есть один интересный момент. Эти системы должны вроде бы как обнаруживать выход информации ограниченного доступа за пределы организации. Посыл хороший.
ОтветитьУдалитьНо есть нюанс - а именно топ-менеджеры. Именно они допущены к самой интересной информации, но если начать их контролировать - то это значит, что доступ к этой информации будут иметь и те, кто их контролирует, зачастую люди, находящиеся на несколько иерархий вниз.
При таком раскладе получается, что ИБ-шник становится сосредоточием конфиденциальных знаний о компании, что, имхо, не есть правильно
>Но есть нюанс - а именно топ-менеджеры
ОтветитьУдалитьВообще-то наемный топ-менеджмент гораздо эффективнее контролировать нанятой __владельцем бизнеса__ личной охраной (эти постоянно возле "тела") ;-)
> ИБ-шник становится сосредоточием конфиденциальных знаний о компании, что, имхо, не есть правильно
ОтветитьУдалитьИБ-шник - он же СБ-шник в И, так что по долгу службы знает оооочень много. Равно как и админ - ИТ-шник, который имеет легальный доступ ко всему.