Анализ эффективности систем предотвращения утечек данных (DLP): выбор, внедрение и оптимизация

О проблеме утечек данных

Массовые утечки данных стали важной темой не только в экономике предприятий, проблема вышла на национальный уровень. С чем это связано? Можно выделить несколько факторов, в т.ч. рост числа и объемов утечек данных, ужесточение регуляторной политики и повышение внимания к теме не только финансово мотивированных хакеров, но и прогосударственных группировок. Рассмотрим вопрос подробнее.

Рост числа утечек данных во многом связан с увеличением числа уязвимостей, переходом компаний на гибридную и удаленную работу. Также причинами утечек становятся ошибки конфигурации облачных сервисов, использование хакерами технологий искусственного интеллекта и автоматизации процессов поиска уязвимостей.

Для коммерческих и государственных компаний украденные конфиденциальные данные представляют особую ценность. Это не только ПДн сотрудников, но и информация, дающая конкурентные преимущества на рынке товаров и услуг или обеспечивающая достижение стратегических целей.

Также утечки данных могут затрагивать финансовую информацию и наносят ущерб национальной экономике. Убытки несут не только физические или юридические лица, но и финансовые организации. По данным Банка России, в 2024 году объем мошеннических операций достиг 27,5 млрд рублей. Заместитель предправления Сбербанка Станислав Кузнецов оценивал суммарные потери российской экономики от мошеннических схем (кибератаки, утечки данных, социнженерии и т.д.) в 1 трлн рублей.

На этом фоне государство ужесточает требования законодательства, например, увеличивает штрафы за утечки данных и вводит оборотные штрафы за повторные утечки, а также принимает новые нормы регулирования вопросов обеспечения информационной безопасности на предприятиях. Несоблюдение этих норм может привести к серьёзным штрафам, возможным судебным разбирательствам и уголовной ответственности виновных лиц.

Типичные методы утечек

Как происходят утечки данных в организации? Злоумышленники используют различные методы взлома, чтобы получить доступ к защищенным системам. Это может быть фишинг — метод, при котором жертва получает поддельные письма или сообщения с просьбой предоставить некую информацию, перейти по фишинговой ссылке или открыть документ. В результате таких действий пользователя на компьютер и мобильное устройство пользователя может быть установлено вредоносное ПО, что позволит хакерам извлекать данные или проникнуть в инфраструктуру организации.

Другая распространенная причина утечек – инсайд. Сотрудник компании, который обладает доступом к тем или иным данным, может намеренно продать или случайно передать злоумышленникам конфиденциальные данные. К инсайдерам также можно отнести контрагентов, которые не представляют компанию, но имеют доступ к ее информации. Человеческий фактор является одной из наиболее распространенных причин раскрытия конфиденциальной информации. Слабые пароли, использование одной и тоже комбинации логин/пароль, отказ от двухфакторной аутентификации или отправка важных писем без шифрования – все это может привести к утечкам информации. Банальная потеря гаджета или компьютера может привести к тому, что злоумышленник получит доступ к устройству, может скопировать или удалить данные.

Также не стоит забывать и про злоумышленников, которые используя средства социальной инженерии, посредством которой могут получить доступ к конфиденциальной информации, например, обманом заставляя сотрудников раскрывать пароли или другую важную информацию.

Наиболее подверженные утечкам отрасли

По данным Роскомнадзора, наибольшее количество утечек в 2024 году зафиксировано у компаний, работающих в сфере торговли и оказания услуг. Согласно исследованиям компании Positive Technologies, в первой половине прошлого года из-за утечек информации чаще всего страдали государственный сектор, на него пришлось 13% инцидентов с утечками конфиденциальной информации. Второе место занимают ИТ-компании, цель многих атак — исходный код. Компании промышленного сектора чаще других становятся жертвами утечек коммерческой тайны и информации ограниченного доступа. Доля инцидентов, закончившихся утечкой данных, в финансовом секторе наиболее высока: четыре из пяти успешных кибератак привели к утечкам. Также выросло число атак на медицинские организации. По результатам каждая пятая атака вымогателей приходилась именно на организации этой отрасли.

Методы предотвращения утечек данных

Существует множество методов предотвращения утечек данных. Это и шифрование информации, обезличивание данных, управление доступом к информации и т.д.

В организациях и на предприятиях администраторы IT-инфраструктуры организуют управление доступом, что позволяет контролировать предоставление пользователям и использование ими прав доступа к различным ресурсам и данным в системе. Также ведется защита корпоративной сети от сетевых атак и вредоносного ПО путем установки оборудования или ПО, которые отслеживают и фильтруют сетевой трафик между разными сетями. Такие системы могут блокировать порты, протоколы, IP-адреса.

Эффективным методом предотвращения утечек, особенно с использованием фишинга, средств социальной инженерии и инсайдерской информации являются регулярные обучения среди персонала компании, новостные рассылки с описанием актуальных киберугроз – так называемое повышение осведомленности.

Комбинация различных методов предотвращения утечек данных (комплексный подход к обеспечению ИБ) ведет к повышению уровня безопасности данных, снижению риска финансовых потерь и репутационных убытков. Однако, рассматривая специализированные средства предотвращения утечек (DLP-системы), можно отметить их высокую стоимость внедрения и обслуживания, сложности с настройкой политик безопасности и возможность ложных срабатываний, что может также замедлить бизнес-процессы.

Как выбрать системы/технологии предотвращения утечек данных

Выбор технологии предотвращения утечек стоит начинать со сферы деятельности организации. В зависимости от того, чем занимается компания, приоритет может отдаваться защите той или иной конфиденциальной информации, например, интеллектуальной собственности или медицинским записям. Также необходимо проанализировать существующие рабочие процессы и выявить те, которые требуют максимальной защиты и контроля. Например, для крупного банка или маркетплейса, где есть риск целенаправленной атаки на защиту данных, понадобится комплексная система обеспечения ИБ. Но в то же время, для небольшой организации, которая хранит только ПДн своих сотрудников, требования по ИБ могут быть значительно ниже

В случае выбора системы для крупной компании, важны ее технические характеристики. Например, для стабильной и эффективной работы системы мониторинга важны определённые технические характеристики сервера и ПО, а также масштабируемость решения.

DLP-системы: когда и как выбирать из множества предложений на рынке

Одна из популярных технологий предотвращения утечек — DLP-система (от англ. Data Leak Prevention, DLP). Это комплекс программно-аппаратных методов и методик, которые внедряют для предотвращения утечек конфиденциальной информации из компании.

При выборе DLP-системы из множества предложений на рынке рекомендуется следовать нескольким шагам:

1. Определить необходимые функции и возможности. Нужно учитывать объём, типы и местоположение данных, которые нужно защитить. Нет смысла переплачивать за опции, которые не будут использоваться.

2. Изучить рынок. Следует сравнить продукты по таким параметрам, как цена, функционал, поддержка, отзывы пользователей. Качественная программа не может стоить дёшево, но и слишком большие суммы отдавать не стоит.

3. Провести сравнительный анализ. Нужно выбрать несколько DLP-решений, которые соответствуют требованиям и бюджету, и оценить такие характеристики, как эффективность обнаружения и предотвращения утечек, гибкость настроек, простота использования, интеграция с другими системами.

4. Запросить пилотный проект. Это отличный способ проверить программу перед покупкой. Во время тестового периода можно понять, насколько хорошо выбранный программный комплекс закрывает задачи, а также сравнить его с другими.

Заказать с «нуля» или купить готовое?

Вариантов приобретения DLP-систем несколько. Можно заказать разработку под требования конкретного заказчика, купить и донастроить коробочную версию или воспользоваться услугами внешнего провайдера и не тратить лишних средств на борьбу с утечками. Какой вариант предпочесть?

Индивидуальная разработка DLP-системы может быть предпочтительна для крупного бизнеса или корпорации, которые отдают предпочтение кастомизируемым решениям. Такие DLP-системы легко интегрируются в уникальную IT-инфраструктуру организации. Однако самостоятельная разработка потребует от заказчика проекта значительных финансовых и временных затрат.

Коробочная версия (OnPremis) может подойти как небольшим, так и крупным компаниям, которые заинтересованы в защите коммерческой тайны или ПДн. Такие продукты позволят не допустить выгрузки файлов за пределы организации для аналитики и обеспечить нужный уровень сохранности данных. Однако, коробочная версия DLP-системы поставляется с установленными по умолчанию правилами и требует донастройки продукта под требования конкретной организации.

MSSP (Managed Security Service Provider) предполагает сотрудничество с аутсорсинговой компанией, которая предоставляет услуги по обслуживанию DLP-системы. В таком случае компания сама определяет модель взаимодействия и сроки выполнения работ.

Сложности при внедрении и эксплуатации

Сложность настройки. Особенно сложно настраивать DLP-системы и их политики безопасности, которые установлены в крупных компаниях с большой инфраструктурой и отслеживают большой объем информации, разнообразные типы файлов и приложений,. Неправильная настройка может привести к утечкам данных или, наоборот, нежелательной блокировке документов, которая остановит бизнес-процессы.

Ложные срабатывания. DLP-система может считать нормальную активность пользователя нежелательной или опасной. Это приводит к перегрузке службы безопасности информации и отвлекает её от реальных угроз.

Сложности совместимости. При работе различными системами и приложениями, уже используемыми компанией, могут возникнуть проблемы совместимости с DLP-системой. Это приводит к необходимости постоянно вносить изменения в текущую инфраструктуру и обновлять DLP-систему для корректной работы.

Пропуск инцидентов. Это может быть связано с неправильно или устаревшей настройкой политик безопасности. Зачастую уже работающая система нуждается в детальной настройке и оптимизации в соответствии с актуальными потребностями бизнеса.

Технические проблемы. Для их решения может потребоваться много времени и/или привлечение вендора.

Только ли деньги имеют вес или что надо учитывать при выборе DLP?

При выборе DLP-системы важно сравнивать не только стоимость, но и функционал, а также проводить сравнительный анализ нескольких решений. Рекомендуется выбирать ту DLP-систему, которая показала лучшие результаты в реальных условиях, а не ту, что лучше всех выглядела в презентации или стоила дешевле.

Некоторые скрытые проблемы, которые могут возникнуть при выборе дешёвой DLP-системы:

Недостаточная функциональность. Дешёвое решение может не закрывать основные риски. Например, система не будет контролировать определённый канал передачи данных, которым пользуются сотрудники.

Отсутствие пилотного тестирования. DLP-система глубоко интегрируется в инфраструктуру и бизнес-процессы, и без полноценного пилота невозможно узнать, как система повлияет на работу компании.

Сложности с обучением пользователей. Если DLP-систему сложно устанавливать и непонятно, как с ней работать, рано или поздно она перестанет применяться.

Оптимизация работы DLP

Оптимизация работы DLP-систем нужна, поскольку исходный продукт представляет собой комплексное решение, требующее значительных ресурсов для настройки, тестирования и постоянной оптимизации.

Баланс между точными и общими настройками. Если настроить правила слишком точно, некоторые важные события будут проигнорированы. Если же установить слишком общие настройки, в огромном количестве уведомлений о потенциальных инцидентах можно пропустить важные события.

Регулярное обновление правил и политик. Угрозы меняются, появляются новые каналы утечек, меняются бизнес-процессы. Если не актуализировать правила и политики, эффективность системы будет стремительно падать.

Контроль объёмов хранения данных. Оптимизация ПО на уровне хранения данных позволяет, например, настроить обработку контента так, чтобы запись велась только в рабочие часы.

Эксперты рекомендуют

Стоит ли экономить на внедрении систем предотвращения утечек в ожидании, что завтра появится что-то более надежное и дешевое? Нет, не стоит. DLP-система — это страховка бизнеса от потери данных. Экономить на ней может оказаться плохой идеей. Безопасность — процесс, а не результат. Технологии меняются, появляются новые угрозы и каналы утечек. То, что надёжно защищает сегодня, может оказаться бесполезным завтра.

При выборе DLP системы с учетом отраслевой специфики и перспектив на будущее стоит обратить внимание на следующие ключевые показатели:

— Улучшение точности обнаружения утечек данных. С развитием технологий машинного обучения и анализа данных становится возможным создание более точных алгоритмов обнаружения, что позволит сократить количество ложных срабатываний и повысить эффективность системы;

— Интеграция DLP-систем с другими системами безопасности. Совмещение DLP с SIEM (системами управления инцидентами и событиями), другими инструментами безопасности позволит обеспечить более полный контроль над информационной средой организации и более оперативную реакцию на угрозы;

— Улучшение анализа контента. Развитие методов контентного анализа и алгоритмов распознавания образов позволит более эффективно обнаруживать конфиденциальную информацию в различных форматах и контекстах;

— Мобильные и облачные решения в области DLP. С увеличением числа мобильных устройств и использованием облачных технологий становится всё важнее разработка DLP-решений, специально адаптированных для этих платформ и обеспечивающих защиту данных везде, где они находятся.

Альтернативы DLP

Некоторые альтернативы DLP-системам и их особенности:

IAM-решения (Identity and Access Management). Обеспечивают строгую аутентификацию пользователей, управление привилегиями и контроль жизненного цикла учётных записей. Такие решения могут снизить риски несанкционированного доступа к данным, но не защищают от злоупотребления легитимным доступом.

Виртуализация рабочих мест (VDI). Подход, при котором сотрудники работают не на локальных компьютерах, а подключаются к виртуальным рабочим столам на серверах компании. Данные физически не покидают периметр организации, что значительно снижает риски их утечки. Минус такого подхода — высокая стоимость инфраструктуры и зависимость от качества канала связи.

Политика «чистого стола» и запрет личных устройств. Такие организационные меры создают дополнительные барьеры для потенциальных утечек. Например, запрет на использование личных смартфонов, съемных носителей информации и других устройств на рабочем месте, обязательная блокировка компьютера при отходе от рабочего места, требования убирать все документы в сейф в конце дня.

Авторы:

Дмитрий Аннушкин, руководитель отдела системной архитектуры Angara Security.

Алексей Пруцев, эксперт по кибербезопасности Angara Security.