Предотвращение утечек информации
Предотвращение утечек информации (англ. Data Loss Prevention, DLP) — программное обеспечение, предназначенное для обнаружения потенциальных случаев нарушения безопасности данных (утечек информации, несанкционированной передачи данных) и предотвращения подобных инцидентов за счёт мониторинга[1], обнаружения и блокировки передачи или манипуляций с чувствительной информацией как в процессе использования (на конечных устройствах), так и при передаче по сети (сетевой трафик), а также при хранении (хранилище данных)[2].
Термины «утрата данных» и «утечка данных» близки по смыслу и нередко используются как синонимы[3]. Случай утраты данных становится случаем утечки данных, если носитель с чувствительной информацией попадает к неавторизованному лицу. Однако утечка возможна и без фактической потери данных источником. Другие обозначения предотвращения утечки информации: обнаружение и предотвращение протечки информации (англ. Information Leak Detection and Prevention, ILDP), предотвращение утечки информации (англ. Information Leak Prevention, ILP), мониторинг и фильтрация содержимого (англ. Content Monitoring and Filtering, CMF), защита и контроль информации (англ. Information Protection and Control, IPC), а также системы предотвращения эксфильтрации данных (англ. Extrusion Prevention System, EPS), в отличие от систем предотвращения вторжений.
Категории
Технические средства, применяемые для предотвращения утечек информации, можно разделить на несколько категорий: стандартные меры безопасности, интеллектуальные/продвинутые меры, средства управления доступом и шифрованием, а также специализированные DLP-системы; хотя в настоящее время к DLP обычно относят лишь последнюю категорию[4]. Распространённые методы DLP для обнаружения вредоносных или нежелательных действий и автоматической реакции основаны на автоматическом определении и реагировании. Большинство DLP-систем опираются на заданные правила для идентификации и категоризации чувствительной информации, что помогает администраторам сосредоточиться на уязвимых точках. Впоследствии для определённых областей могут устанавливаться дополнительные меры защиты.
Стандартные меры безопасности, такие как межсетевые экраны (фаерволы), системы обнаружения вторжений (IDS) и антивирусное программное обеспечение, являются распространёнными продуктами, защищающими компьютеры от внешних и внутренних угроз[5]. Например, фаервол предотвращает доступ посторонних к внутренней сети, а система обнаружения вторжений замечает попытки взлома извне. Атаки изнутри могут быть предотвращены с помощью антивирусных программ, выявляющих троянские программы для передачи конфиденциальных данных, а также за счёт использования тонких клиентов, работающих в архитектуре клиент-сервер, где личные или чувствительные данные не хранятся на клиентском устройстве.
Продвинутые меры используют машинное обучение и алгоритмы с учётом временных закономерностей для выявления аномального доступа к данным (например, к базам данных или поисковым системам), необычных коммуникаций по электронной почте, технологию ловушек для обнаружения сотрудников с вредоносными намерениями, проверки активности пользователя (например, распознавание динамики нажатия клавиш) и мониторинг действий пользователя для выявления аномалий.
Специализированные системы обнаруживают и предотвращают несанкционированные попытки копирования или отправки чувствительных данных, как преднамеренные, так и непреднамеренные, в основном со стороны сотрудников, имеющих доступ к конфиденциальной информации. Для классификации данных как чувствительных используются такие механизмы, как точное сопоставление данных, отпечаток структурированных данных, статистические методы, сопоставление по правилам и регулярные выражения, специализированные словари, концептуальные определения, ключевые слова и контекстные признаки, такие как источник данных[6].
Типы
Сетевая (данные в движении) технология обычно размещается на выходных точках сети ближе к периметру организации. Она анализирует сетевой трафик для поиска чувствительных данных, передаваемых с нарушением политик информационной безопасности. В работе могут использоваться несколько контрольных точек безопасности, информация с которых анализируется центральным сервером управления[3]. Примеры используемых технологий: межсетевой экран нового поколения (NGFW), система обнаружения вторжений (IDS), применяемые для реализации функций DLP в сети[7][8]. Однако возможности сетевой DLP могут быть сведены на нет угрозами со стороны высококвалифицированных злоумышленников с использованием методов маскировки данных, таких как шифрование или сжатие[9].
Системы конечных точек (данные в использовании) размещаются на локальных рабочих станциях или серверах конечных пользователей. Подобно сетевым DLP, такие системы позволяют контролировать как внутренние, так и внешние коммуникации, а значит — управлять перемещением информации между группами или типами пользователей (например, «китайская стена»). Они способны контролировать электронную почту и мгновенные сообщения до того, как эти данные попадут в корпоративное хранилище, таким образом, заблокированное сообщение (то есть фактически не отправленное и не подлежащее хранению) не станет предметом поиска при юридических разбирательствах. Преимущество систем DLP конечных устройств — возможность контролировать доступ к физическим носителям (например, мобильным устройствам с поддержкой хранения данных) и, в некоторых случаях, получать доступ к информации до её шифрования. Они также способны определять контекст (источник или автора данных). Некоторые решения позволяют блокировать попытки передачи конфиденциальных данных на уровне приложений с немедленной обратной связью пользователю. Однако такие системы требуют установки на каждое рабочее место в сети (обычно через агент DLP), не работают с мобильными устройствами (например, сотовыми телефонами и КПК) и не эффективны на тех устройствах, где установка невозможна (например, рабочая станция в интернет-кафе)[10].
В облачной среде хранится множество критически важных данных по мере перехода организаций к облачным технологиям для ускорения совместной работы виртуальных команд. Данные в облаке также нуждаются в защите от кибератак, случайных утечек и внутренних угроз. DLP для облака обеспечивает мониторинг и аудит, а также управление доступом и контролем использования данных на основе политик. Это повышает прозрачность для всех данных, хранящихся в облаке[11].
DLP включает методы идентификации конфиденциальной или чувствительной информации. Это не то же самое, что обнаружение данных; идентификация подразумевает определение критериев поиска с помощью DLP-технологий.
Данные классифицируются на структурированные и неструктурированные. Структурированные располагаются в фиксированных полях (например, таблица), неструктурированные — это свободный текст или медиафайлы (текстовые документы, PDF, видео)[12]. По оценке, 80 % всех данных являются неструктурированными, только 20 % — структурированными[13].
Случается, что распространитель данных случайно или намеренно передаёт конфиденциальную информацию одной или нескольким сторонним организациям или использует её самостоятельно на законных основаниях. Позже некоторая часть этих данных может оказаться в несанкционированном месте (например, в интернете или на чужом устройстве). В таком случае распространителю необходимо установить источник утечки.
«Данные в покое» — это информация, не находящаяся в движении, то есть хранящаяся в базе данных или на общем накопителе. В бизнесе и государственных организациях такие данные требуют повышенного внимания: чем дольше они не используются, тем выше риск несанкционированного доступа. Для их защиты используются управление доступом, шифрование и политика хранения данных[3].
«Данные в использовании» — это информация, с которой пользователь работает в данный момент. DLP-системы, защищающие такие данные, осуществляют мониторинг и реагируют на несанкционированные действия[3]. Это могут быть, например, попытки сделать снимок экрана, копирование/вставка, печать или отправка по факсу чувствительных данных. Передача может быть как преднамеренной, так и случайной.
«Данные в движении» — информация, передаваемая по сети к получателю. Сети могут быть как внутренние, так и внешние. DLP-системы, защищающие данные в движении, контролируют передачу чувствительной информации по различным каналам связи[3].