Наличие DLP-системы в инфраструктуре компании вовсе не означает полную безопасность информационных активов. Почему DLP-системы перестают работать корректно, и что с этим можно сделать, рассказали специалисты Николай Постнов (Infosecurity) и Александр Давыдов (Softline).
Николай Постнов
— Что является сигналом, что DLP работает некорректно?
— Я могу выделить два основных сигнала, означающих необходимость доработки DLP-системы.
Первый — всем предельно понятный. Тот, который всегда держат в уме — произошедшая утечка. Ее может обнаружить сама компания уже постфактум или, что куда страшнее, в открытом доступе появятся принадлежащие компании конфиденциальные данные.
Второй сигнал незаслуженно обделен вниманием — система фиксирует все, до чего может дотянуться, и отдел ИБ оказывается завален большим количеством уведомлений о возможных инцидентах. Ничего критичного не происходит, но при этом почтовый ящик регулярно наполняется сотнями сообщений о потенциальном риске.
Предположите сами, насколько вероятно узнать о случившейся утечке, провести проверку, а потом обнаружить, что уведомление о выявленном риске приходило, но оказалось погребено под пластом других, менее важных событий.
Хочу заранее оговорить — не существует идеально настроенной DLP-системы. Любая настройка – это поиск золотой середины. Мы можем настроить правила очень точно и строго, чтобы не происходило случайных срабатываний. Однако в этом случае некоторые действительно важные события будут проигнорированы — немного изменили документ, и система не среагировала на его отправку. Вторая крайность — слишком общие и широкие настройки. При таком варианте тоже очень легко пропустить важные события, ведь в огромном количестве прибывающих от системы уведомлений почти невозможно разобраться. И очень велик соблазн отметить их прочтенными, не углубляясь в детали.
Любая настройка – это попытка балансировать между двумя крайностями. Параметры не должны быть ни абстрактными, ни слишком точными. Еще сильнее усложняет задачу необходимость поддерживать систему в актуальном состоянии, ведь любое изменение устоявшихся бизнес-процессов может привести к необходимости обновлять правила контроля.
— Как же обеспечить поддержание системы DLP в актуальном состоянии?
— При таком динамичном рынке, как сейчас, внедрив систему DLP и уделив заслуженное внимание определению критичных сведений, нужно продолжать ее поддерживать, регулярно обновляя правила и политики. Делать это можно своими силами, но быстрее и надежней обратиться к услугам интеграторов, которые имеют большой опыт работы с DLP-системами, знают все подводные течения и хорошо разбираются в законодательстве, умея правильно составлять всю сопутствующую документацию.
В Infosecurity уже давно отработан подход к решению проблем, возникающих при работе с DLP. В процессе внедрения такой системы или в тот момент, когда клиента перестает удовлетворять ее работа, мы отправляем к нему трех своих специалистов: инженера, который проверяет работоспособность системы или разворачивает ее с нуля; консультанта, который помогает определить объекты защиты; аналитика, который из собранной информации создает политики контроля.
Отдельно хочется выделить роль консультанта. Она, на наш взгляд, является краеугольной, так как позволяет ответить на вопрос, какие именно данные подлежат контролю и какие подразделения ими обладают. Для этого консультант вместе с представителем службы ИБ клиента проходит по различным подразделениям компании и уточняет, какие данные ими создаются, как они обрабатываются, как могут покидать пределы компании в рамках сложившихся процессов. После того, как основные сведения получены, фиксируются правила контроля, и за каждым активом закрепляется бизнес-владелец. В дальнейшем при нарушении правил обращения с тем или иным активом, сотрудник ИБ может непосредственно обратиться к владельцу информации и с его помощью принять взвешенное решение.
Практика показывает, что этот процесс порой приносит дополнительные бонусы в виде выстраивания контактов между бизнесом и ИБ. Появляется возможность актуализировать сведения, а заодно показать другим подразделениям, чем именно занимается отдел ИБ, убедив их в важности и пользе сотрудничества.
В качестве разовой услуги Infosecurity может предложить создание реестра наиболее критичных активов и доработку настроек силами трех специалистов, но есть и постоянный сервис, позволяющий по запросу выполнять поступающие от клиента задачи и обновлять конфигурацию.
— Что является сигналом, что DLP работает некорректно?
— Я могу выделить два основных сигнала, означающих необходимость доработки DLP-системы.
Первый — всем предельно понятный. Тот, который всегда держат в уме — произошедшая утечка. Ее может обнаружить сама компания уже постфактум или, что куда страшнее, в открытом доступе появятся принадлежащие компании конфиденциальные данные.
Второй сигнал незаслуженно обделен вниманием — система фиксирует все, до чего может дотянуться, и отдел ИБ оказывается завален большим количеством уведомлений о возможных инцидентах. Ничего критичного не происходит, но при этом почтовый ящик регулярно наполняется сотнями сообщений о потенциальном риске.
Предположите сами, насколько вероятно узнать о случившейся утечке, провести проверку, а потом обнаружить, что уведомление о выявленном риске приходило, но оказалось погребено под пластом других, менее важных событий.
Хочу заранее оговорить — не существует идеально настроенной DLP-системы. Любая настройка – это поиск золотой середины. Мы можем настроить правила очень точно и строго, чтобы не происходило случайных срабатываний. Однако в этом случае некоторые действительно важные события будут проигнорированы — немного изменили документ, и система не среагировала на его отправку. Вторая крайность — слишком общие и широкие настройки. При таком варианте тоже очень легко пропустить важные события, ведь в огромном количестве прибывающих от системы уведомлений почти невозможно разобраться. И очень велик соблазн отметить их прочтенными, не углубляясь в детали.
Любая настройка – это попытка балансировать между двумя крайностями. Параметры не должны быть ни абстрактными, ни слишком точными. Еще сильнее усложняет задачу необходимость поддерживать систему в актуальном состоянии, ведь любое изменение устоявшихся бизнес-процессов может привести к необходимости обновлять правила контроля.
— Как же обеспечить поддержание системы DLP в актуальном состоянии?
— При таком динамичном рынке, как сейчас, внедрив систему DLP и уделив заслуженное внимание определению критичных сведений, нужно продолжать ее поддерживать, регулярно обновляя правила и политики. Делать это можно своими силами, но быстрее и надежней обратиться к услугам интеграторов, которые имеют большой опыт работы с DLP-системами, знают все подводные течения и хорошо разбираются в законодательстве, умея правильно составлять всю сопутствующую документацию.
В Infosecurity уже давно отработан подход к решению проблем, возникающих при работе с DLP. В процессе внедрения такой системы или в тот момент, когда клиента перестает удовлетворять ее работа, мы отправляем к нему трех своих специалистов: инженера, который проверяет работоспособность системы или разворачивает ее с нуля; консультанта, который помогает определить объекты защиты; аналитика, который из собранной информации создает политики контроля.
Отдельно хочется выделить роль консультанта. Она, на наш взгляд, является краеугольной, так как позволяет ответить на вопрос, какие именно данные подлежат контролю и какие подразделения ими обладают. Для этого консультант вместе с представителем службы ИБ клиента проходит по различным подразделениям компании и уточняет, какие данные ими создаются, как они обрабатываются, как могут покидать пределы компании в рамках сложившихся процессов. После того, как основные сведения получены, фиксируются правила контроля, и за каждым активом закрепляется бизнес-владелец. В дальнейшем при нарушении правил обращения с тем или иным активом, сотрудник ИБ может непосредственно обратиться к владельцу информации и с его помощью принять взвешенное решение.
Практика показывает, что этот процесс порой приносит дополнительные бонусы в виде выстраивания контактов между бизнесом и ИБ. Появляется возможность актуализировать сведения, а заодно показать другим подразделениям, чем именно занимается отдел ИБ, убедив их в важности и пользе сотрудничества.
В качестве разовой услуги Infosecurity может предложить создание реестра наиболее критичных активов и доработку настроек силами трех специалистов, но есть и постоянный сервис, позволяющий по запросу выполнять поступающие от клиента задачи и обновлять конфигурацию.
Александр Давыдов
— У кого чаще всего возникают сложности в работе DLP-системы?
— Чаще всего мы работам с двумя категориями заказчиков.
Первая — это те компании, у которых до последнего времени стояли иностранные DLP. Для них стали актуальными проблемы, связанные с продлением лицензий, отсутствием вендорской технической поддержки или с необходимостью миграции на российские продукты.
Вторая категория — это те, у кого DLP-система до недавнего времени работала стабильно и корректно, но теперь она начала пропускать инциденты или, напротив, принялась засыпать уведомлениями отдел ИБ. Причину найти несложно — в последние пару лет бизнес-процессы компаний претерпели серьезные изменения: участились случаи миграции сотрудников, многие специалисты перешли на удаленный режим работы, кто-то переехал в другую страну. Кроме того, во многих компаниях произошла смена информационных систем.
По совокупности факторов в разы увеличилась вероятность утечки важных данных — сотрудники все чаще используют личные устройства, ставят на них непроверенные решения и приложения или попросту не могут правильно настроить продукты для обеспечения кибербезопасности. В свете огромного количества дополнительных факторов устоявшиеся DLP-системы, настроенные на типовые бизнес-процессы, перестали справляться с текущими вызовами.
— Можете ли вы рассказать о каких-нибудь интересных кейсах, связанных с услугами в сфере DLP?
— Как раз недавно у нас было интересное внедрение — к нам обратилась компания, имеющая офисы в нескольких странах. Задача была следующая — российский вендор мог помочь выполнить настройки только в пределах России, но юридические особенности стран Европы и Азии, где находятся офисы компании-клиента, вендору были неизвестны, а это крайне важно для подготовки нормативной документации и соглашений с сотрудниками.
Благодаря тому, что Softline присутствует в разных странах, а специалисты Infosecurity имеют опыт работы с выбранной системой, мы смогли оказать заказчику комплексную услугу, подготовив юридическую документацию для всех филиалов компании в других странах. На это способны далеко не все интеграторы.
— У кого чаще всего возникают сложности в работе DLP-системы?
— Чаще всего мы работам с двумя категориями заказчиков.
Первая — это те компании, у которых до последнего времени стояли иностранные DLP. Для них стали актуальными проблемы, связанные с продлением лицензий, отсутствием вендорской технической поддержки или с необходимостью миграции на российские продукты.
Вторая категория — это те, у кого DLP-система до недавнего времени работала стабильно и корректно, но теперь она начала пропускать инциденты или, напротив, принялась засыпать уведомлениями отдел ИБ. Причину найти несложно — в последние пару лет бизнес-процессы компаний претерпели серьезные изменения: участились случаи миграции сотрудников, многие специалисты перешли на удаленный режим работы, кто-то переехал в другую страну. Кроме того, во многих компаниях произошла смена информационных систем.
По совокупности факторов в разы увеличилась вероятность утечки важных данных — сотрудники все чаще используют личные устройства, ставят на них непроверенные решения и приложения или попросту не могут правильно настроить продукты для обеспечения кибербезопасности. В свете огромного количества дополнительных факторов устоявшиеся DLP-системы, настроенные на типовые бизнес-процессы, перестали справляться с текущими вызовами.
— Можете ли вы рассказать о каких-нибудь интересных кейсах, связанных с услугами в сфере DLP?
— Как раз недавно у нас было интересное внедрение — к нам обратилась компания, имеющая офисы в нескольких странах. Задача была следующая — российский вендор мог помочь выполнить настройки только в пределах России, но юридические особенности стран Европы и Азии, где находятся офисы компании-клиента, вендору были неизвестны, а это крайне важно для подготовки нормативной документации и соглашений с сотрудниками.
Благодаря тому, что Softline присутствует в разных странах, а специалисты Infosecurity имеют опыт работы с выбранной системой, мы смогли оказать заказчику комплексную услугу, подготовив юридическую документацию для всех филиалов компании в других странах. На это способны далеко не все интеграторы.