
Как выглядит идеальная DLP-система и как к ней прийти? Существует ли она уже или нам еще долго придется что-то делать, чтобы ее построить? Какие шаги нас отделяют от идеала? Об этом в своем докладе рассказал главный инженер Центра киберзащиты Департамента кибербезопасности Сбербанка Евгений Котов на Форуме DLP+.
По словам спикера, идеальная DLP — это та система, которой не существует, а ее функции продолжают выполняться, причем эти функции со 100% нагрузкой.
Представить это достаточно сложно, поэтому эксперт предложил ввести несколько условных уровней идеальности и посмотреть, где же мы находимся сейчас.
Уровни идеальности
Первый уровень — появляется в нужный момент в нужном месте. «Я уверен, что в жизни вы сталкивались с таким. Сейчас система стоит везде и контролирует все», — прокомментировал Евгений Котов.
Второй уровень — самоисполнение, когда все действия в системе выполняются самостоятельно без действий человека. По словам спикера, вполне понятный уровень, однако человек до сих пор еще участвует в процессе создания правил, их оптимизации и реагировании.
Третий уровень — система становится функцией, то есть появляется в нужный момент в нужном времени и выполняется без участия человека.
Четвертый уровень — космос — самый идеальный уровень, когда даже функция перестает быть нужной. «Такое тяжело представить, потому что все вокруг нас должно стать идеальным — и люди, и общество, и организация, и даже информация», — отметил Евгений Котов.
И где же мы сейчас?
По словам эксперта, если мы возьмем эту линейку уровней, то увидим, что на самом деле до единицы у нас есть еще некоторое расстояние. Вот как раз на этом расстоянии мы и находимся.
«Дело в том, что покупая коробочку DLP, мы получаем коробку с технологиями, которая как конструктор Lego. Мы видим, что на картинке, понимаем, что должно получится в итоге, но процесс сборки зависит только от нас и в итоге может получиться совсем не то, что нарисовано», — пояснил спикер.
Проблемы, проблемы и еще раз проблемы
Как отметил Евгений Котов, когда он впервые познакомился с коробкой DLP, самым сложным для него было представить, как это все сможет работать у них в организации, какими параметрами должна обладать система, чтобы обеспечить обработку более 3 млн сообщений в сутки и переварить через себя более 15 Тб трафика.
С 2014 года они прошли долгий путь и приняли ряд тяжелых решений. Например, развивался код продукта, который позволил привести систему в разрыв, чтобы реализовать онлайн-выявление защищаемой информации с возможностью приостановки до принятия решения офицером безопасности. «Но и это произошло не сразу. Это было, на самом деле, тяжелое решение, потому что нам пришлось разрывать бизнес-процесс», — рассказал Евгений Котов.
Также они столкнулись с тем, что внедрение системы занимает чуть больше года, и проблема здесь — нет четкой методики расчета конечного оборудования, что приводит к повышенной нагрузке и дополнительным затратам в процессе эксплуатации. Еще в рамках эксплуатации можно столкнуться с тем, что на создание и поддержание тестовой лаборатории на мощностях вендора в нем может просто не хватить ресурсов.
С точки зрения реагирования тоже можно столкнуться с проблемами. Например, в интерфейсе системы нет возможности выбрать колонки, которые будут выгружаться — выгружается только то, что производитель счел нужным.
«Также у нас руководители реагирования сталкиваются с проблемой, что у них отсутствует возможность посмотреть историю инцидента: кто брал его в работу и менял вердикт — они видят только последнее выполненное действие», — поделился эксперт.
Продолжать можно еще долгосрочной, и у каждого будут свои нюансы. Поэтому они решили сформировать некий список критериев к DLP-системе, которые приблизят ее в идеалу.
Критерии создания идеальной DLP-системы
Первый критерий — масштабируемость и гибкость. Когда каждый компонент системы может быть дополнен для увеличения производительности или изменения его роли в системе.
«Сейчас добавление нового узла в систему сопровождается перезапуском всех сервисов на всех узлах, что приводит к прерыванию бизнес-процесса. Это недопустимо, хотя в интерфейсе это происходит всего ли за несколько кликов», — рассказал Евгений Котов.
Второй критерий — прозрачность. Система должна быть незаметна для бизнеса и не создавать ощутимых задержек для бизнес-процессов, а также их не нарушать.
Третий критерий — эффективность и простота контроля. По словам спикера, правила контроля должны создаваться в системе предельно просто, по следующей схеме: предмет контроля > условия детектирования и информирования > применение к контролируемым каналам к максимальной эффективностью.
Четвертый критерий — открытость системы, то есть возможности подключения
различных источников и справочников, позволяющих повысить эффективность расследования. «Это могут быть и как коробочные решения типа спам-фильтра, так и какие-то кастомные, которые есть в вашей организации», — пояснил Евгений Котов.
Пятый критерий — защищенность. Как отметил эксперт, он включает в себя несколько параметров. «Они, в принципе, простые, но перечислю те, на которые стоит обратить внимание. Это ограничение контроля доступа, гибкая ролевая модель, шифрование и маскирование хранимых данных и логирование всех действий пользователя, передача их в SIEM», — перечислил он.
Шестой критерий — надежность. Этот пункт включает в себя балансирование, виртуализацию, кластеризацию и отказоустойчивость.
Также спикер отметил, что это не конечный список, но он позволит обозначить то, что нужно вам сейчас, и увидеть границы будущего, куда вы должны стремиться.
«Для нас эти критерии позволили по-другому взглянуть на определение DLP-системы. И получается, что система DLP является системой только тогда, когда сама становится частью организации. То есть не просто мы заблокировали какую-то информацию, а попытались связаться с владельцем бизнес-процесса и изменить этот бизнес-процесс таким образом, чтобы данная информация более не попадалась», — рассказал эксперт.
«Поэтому не надо ждать счастья, когда появится идеальная DLP-система, ведь сам путь к вашей идеальной DLP-системе — это и есть счастье», — заключил Евгений Котов.
BIS Journal — инфопартнёр форума DLP+