Тезисы о DLP на семинаре RISSPA

Вчера прошел семинар в офисе PwC на Белорусской, после которого у многих осталось ощущение что DLP - какая-то фигня. Поводом к этому стало то, что комментарии из зала были достаточно нелицеприятны: "DLP - защита от дурака", "DLP не защищает от всех угроз" и т.д. Причем все эти комментарии выглядят на первый взгляд здраво.
ИМХО доклады были изложены последовательно и системно, но не прозвучало резюме, которое бы и разложило все эти аргументы и контраргументы по полочкам. Ведь на самом деле все ответы были даны в докладах PwC и Symantec. Ключ к разгадке - системный подход. То есть использование консалтинга, включая анализ рисков ПЕРЕД установкой DLP. А не после, когда вы обнаруживаете, что поставщики решения упустили несколько каналов утечки.

DLP - защита от дурака?

Эта мысль возникает сразу после того как вы обнаруживаете, что несмотря на наличие DLP, есть способ кражи информации - и тогда это верно, что мы защищаемся только от дураков, которые не знают как же украсть. Сотрудники компании очень быстро обнаружат неконтролируемый способ и будут им пользоваться. Но давайте проанализируем почему возникают такие каналы утечки:
1. При анализе рисков этот канал утечки не был описан как угроза.
1. DLP установлен неверно, то есть не закрывает все имеющиеся в постановке задаче угрозы.
2. Защита этого канала утечки просто не входит в функционал DLP.

Так что, чтобы это было защитой еще и от умных людей нужно, чтобы решением задачи занималась компания, которая "собаку съела" на анализе рисков, поиске владельцев информации и др. задач которые выполняются перед любой интеграцией защиты, в которую увы входит не только решение DLP. Вообще говоря задача состоит не в том, чтобы поставить DLP, а в защите от утечек.

Анализ рисков приводит к мысли, что вам нужен не только DLP.

Если вы подошли системно и написали список угроз, то при наличии опыта и знаний вы напишете к ним список контрмер. Например, я заметил общее заблуждение про флешки, на самом деле можно записывать на флешки и внешние диски информацию и при этом предотвращать их утечку. Это делается при помощи криптографии - прочитать информацию можно только внутри компании. Встречал еще одно заблуждение, что сopy-paste из секретного документа в сайт на Интернете нельзя контролировать. Это делается некоторыми DLP, например Verdasys. Весьма вероятно, что вам понадобится функционал не одной DLP а нескольких, например потому, что одна не поддерживает нужные операционные системы, или потому что она не закрывает нужные каналы утечки. Или вообще эта угроза не входит в функционал защиты любой DLP, например работа трояна, который ворует информацию "втихаря" для конкурентов используя zero-day уязвимости. Тут уже нужно обращаться к антивирусам, системам предотвращения атак и поведенческому анализу, а лучше к тестам на проникновение.

Есть каналы утечки, которые нельзя закрыть никак

Было приведено достаточно много примеров таких каналов, но и для них можно придумать средства противодействия. Но по разным причинам вам нельзя использовать их, например ваши моральные принципы могут препятствовать записи переговоров сотрудников, трудовое законодательство РФ запрещать записывать видео, чтобы выявить как сотрудник на рабочем месте фотографирует на камеру схемы из проекта, вас может просто пугать идея зашифровывать все соединения по локальной сети, чтобы защититься от того, что любой сотрудник сможет перехватывать передаваемые по сети документы и переписку организовав атаку человек посередине. Для меня и для любого руководителя здесь критерием является цена вопроса: если на кону стоит инвестиционный проект, утечка которого будет стоить вам сотни миллионов долларов, то даже дорогие и неприятные меры вы будете использовать. Хотя ИБ знает и такое понятие как принятие риска. Хотя конечно после этого ваша защита - это защита от дурака :)

Есть другие способы защиты

Мне очень понравилась идея, высказанная на конференции: установить скрытые средства контроля всего на 5-10% рабочих станций (это может быть и не DLP), но не сказать сотрудникам на какие. Это очень сильно действует психологически, особенно, если показательно кого-то наказать за несоответствующие действия. Вложения минимальны, а достижения впечатляют.

Вывод

При правильной постановке задачи, оценке всех рисков, включении всех процессов при установке решения, выделении нужных людей для работы системы все найденные угрозы и каналы утечки будут как минимум контролироваться. Получается что самое важное - это кто будет делать проект, насколько поставщик решения опытен, сколько проектов было сделано уже и это будет влиять на то, сможет он закрыть все каналы утечки или какие-то просто забудет. Если вы обнаруживаете, что часть рисков закрыть дорого или невозможно, то вы либо просто не будете начинать проект, либо должны принять во внимание, что 100% защиты не бывает, но, поскольку безопасность - это процесс, то имея все процессы защиты в актуальном состоянии, вы всегда будете на уровне 95%, приняв оставшиеся 5% риска на себя. Бизнес это вообще риск.