Ожидания и реальность Data Leak Prevention (DLP). Иван Беруля, Redmond

7 июня 2021
Системы DLP (Data Leak Prevention) позиционируются как решения, помогающие предотвратить утечки конфиденциальной информации из компании. Но так ли это на самом деле? И какие задачи реально могут решить эти системы? Своим опытом использования систем DLP и выводами на этот счет на встрече сообщества GlobalCIO|DigitalExperts «Аспекты информационной безопасности» поделился Иван Беруля, директор по безопасности Redmond.

12888658_1704411463169151_943737771981997110_o.jpgКакова сейчас ситуация на рынке DLP?

Объем российского рынка DLP-решений составляет 3-4 млрд. рублей. На нем сейчас присутствуют 6-7 основных игроков. При этом видимые откровенные преимущества между решениями различных вендоров, по мнению Ивана Берули, отсутствуют. Также наблюдается тренд на снижение цены владения и стоимости софта.

Чаще всего на системах DLP специализируются небольшие ИТ-компании с численностью сотрудников 100-200 человек. Ключевые направления контролируют единичные специалисты. Минус: в случае, если компания теряет ключевых специалистов, это накладывает негативный отпечаток на работу компании и может вылиться в проблемы с качеством софта. В то же время крупные компании обладают определенной инерционностью, им сложно оперативно откликаться на запросы клиентов, особенно небольших. Поэтому доработка багов может идти достаточно долго.

«Когда вы рассматриваете конкретную DLP и компанию, которая предлагает решение, нужно учитывать эти моменты и быть к ним готовыми», - подчеркивает Иван Беруля.

Наиболее критичные недостатки, выявленные после запуска DLP-системы в боевую эксплуатацию

Иван Беруля привел данные опроса компаний, которые внедрили у себя DLP-системы, и сопроводил эти данные примерами из собственного опыта.

- Не работает либо отсутствует заявленный функционал. (65% опрошенных). Возникает вопрос, а как же тесты? Ведь пилотные проекты идут от 1 до 6 месяцев. Но просмотреть все нюансы работы во время работы не всегда удается. Уже после тестов, во время внедрения можно столкнуться с тем, что что-то идет не так. «Пример из нашей практики: функция шифрования флэшки. Условно говоря, вы создаете белый список для USB-носителей, агент определяет то, что USB-носитель входит в белый список, разрешает ему доступ к порту и вместе с тем шифрует информацию на этом носителе. Все, казалось бы, хорошо, но после того, как информация зашифровалась, в каталоге нельзя менять названия корневых директорий. Если поменять названия, информация не читается», - рассказал Иван Беруля.

- Не хватает функционала для решения задач. (53% участников опроса). Любая компания нестатична, она развивается. Со временем функционала DLP-системы может уже не хватать. В этом случае нужно просить вендора об изменениях функционала, но это не всегда возможно.

- Сложности внедрения в инфраструктуру компании. (35% опрошенных). Тесты проводятся, как правило, на выделенных фокус-группах. Но когда компания начинает ставить систему на весь парк машин, начинаются сложности. «Например, у нас возникли сбои на терминальных сессиях с виртуальными машинами, которые приводили к тому, что переставали работать сервера. Дело оказалось в одном из драйверов. Но на поиск и устранение этой проблемы ушло 2 месяца при активном участии вендора», - прокомментировал Иван Беруля.

- Неразрешимое противоречие между ложноположительными и ложноотрицательными срабатываниями (34% опрошенных). Возникает большое количество инцидентов, которые нужно обрабатывать, при этом большинство из них – ложные. Это занимает огромное количество времени. Поэтому если в компании большое количество сотрудников, потребуется серьезный штат офицеров DLP. Не все компании изначально готовы к таким затратам.

- Нет общей концепции работы с DLP. (29% опрошенных). Часто, столкнувшись с реальными инцидентами, специалисты по ИБ не знают, что делать с той информацией, которую они получили. Многие аспекты с точки зрения законодательства пока не отрегулированы.

Кто является потребителем DLP-систем в компаниях?

Считается, что во внедрении таких решений заинтересованы прежде всего сотрудники отделов ИБ. Но, по мнению Ивана Берули, информация, которую получают при помощи таких систем, больше полезна сотрудникам, которые занимаются экономической безопасностью: коррупционной составляющей, кражами и т.д. Для ИТ-отделов преимуществ при внедрении DLP-систем почти нет, так же, как и для HR-служб.

Маркетинговые мифы

По словам Ивана Берули, при рекламе DLP-систем зачастую декларируются некоторые вещи, которые не выдерживают проверку реальностью.

Один человек способен контролировать тысячи сотрудников. Как уже было сказано выше, действительность совсем иная.

DLP-система выявляет инциденты за секунды. Практика показывает, что отдельные инциденты проскальзывают, система их не видит. Есть лаги и задержки.

Реально защищает информацию. Если брать современные DLP-системы, которые есть в России, то возможностью блокировок контента и работы «в разрыв» обладают немногие.

UBA/UEBA, поведенческий анализ. Это перспективно, но пока это дело будущего. Это требует вложений в НИОКР. Готовы ли к этому вендоры?

Отсутствие проблем с законодательством. DLP-система часто перехватывает звук с микрофонов и камер. «Говорят, что это очень легко урегулировать: достаточно написать в трудовом договоре, что вся информация, которая находится в сети, – это собственность компании. У нас удаленка, поэтому голос и видео записываются в домашних условиях. Являются ли эти данные собственностью компании? Мы консультировались с юристами, и здесь далеко не все так однозначно», - привел пример Иван Беруля.

Хорошие результаты во время тестирования. Во время тестов DLP-система может действительно оперативно выявлять инциденты. На этой основе зачастую и принимаются решения о покупке. Но проблема в том, что пользователи тоже учатся. Со временем они, по сути, начинают уходить из информационной среды. Поэтому те достижения, которые есть на первых этапах после внедрения, можно смело делить на три.

«Сейчас мы имеем не Data Leak Prevention, а скорее Data Leak Detected. Да, мы можем обнаруживать утечки информации, но не предотвращать их», - резюмирует Иван Беруля.

Подробнее – в презентации и видео-выступлении.

Коллеги, а каков ваш опыт работы с DLP-системами? Какие увидели плюсы и минусы?

2339
Поделиться
Предметная область
Отрасль
Управление