Едва ли не каждый день появляется новость о том, что очередная компания допустила утечку конфиденциальной информации. Данные «утекают» из государственных организаций и коммерческих компаний, промышленных предприятий и финансовых институтов, телекоммуникац
В современной прессе широко обсуждается проблема утечек, однако это обсуждение носит скорее концептуальный характер. Можно найти массу материалов по методике и способам защиты, но почти все они оторваны от конкретного программного обеспечения.
Зачем нужно специальное ПО
Сегодня компании, даже не имея системы электронного документооборота, хранят свои документы в электронном виде. А электронные документы, в отличие от бумажных, очень легко похитить — одним нажатием кнопки можно отправить засекреченную информацию в любую точку земного шара.
Во времена, когда электронного документооборота не существовало, компаниям было гораздо проще. По крайней мере, было понятно, какие действия необходимо предпринять для защиты от внутренних угроз. Как правило, в компании создавалось специальное подразделение, определявшее конфиденциальность документа и тех людей, которые могут с этим документом работать. Непосредственная защита сводилась к обучению персонала, психологической работе с ним и различным вариантам слежки. Какие-то документы, однако, все равно просачивались наружу, и ничего поделать с этим было нельзя.
С развитием информационных технологий проблема серьезно усложнилась. Если раньше существовал один способ кражи конфиденциальных данных (вынос за пределы компании в оперативной памяти мозга или на бумажке), то теперь таких способов намного больше. Сотрудник может записать информацию на независимые носители, распечатать конфиденциальный файл на принтере, послать его по электронной почте или закачать на некий сайт. Не составляет труда и передать файл через IM-программу или же использовать P2P-сеть. Существуют и другие каналы утечки. И если раньше один человек не мог украсть больших объемов данных, то теперь такое вполне реально.
Есть и другая сторона вопроса. Каждый день сотрудники работают в Сети и периодически пересылают различные данные. Это обычный процесс, необходимый для нормальной работы компании. И тут возникает вопрос: как определить, нет ли среди этих данных конфиденциальных?
Ответ на него максимально прост: необходимо за информацией следить. Делать это могут человек или компьютер. Первый вариант нереален и дорог: представьте, сколько нужно людей, чтобы следить за Internet-трафиком, скажем, Газпрома. Остается вторая альтернатива, подразумевающая внедрение специальных автоматизированных средств для защиты от внутренних угроз. Основная задача этих средств — следить за каналами и определять, пересылаются ли по ним конфиденциальные данные, чтобы при необходимости иметь возможность их заблокировать.
Как это работает
Для того чтобы классифицировать средства защиты, необходимо понять основные принципы их работы. Из цели, сформулированной в предыдущем абзаце, следует, что подобная программа должна отличать конфиденциальную информацию от неконфиденциальной. Это означает, что перед внедрением любой системы сама компания должна определиться, какая информация является секретной и кто имеет право доступа к ней.
Предположим, что компания уже решила эту задачу и как-то описала свои конфиденциальные данные (на самом деле это вполне самодостаточная тема, заслуживающая отдельной статьи). Существуют три основных подхода, с помощью которых автоматизированные системы проверяют информацию на конфиденциальность.
Первый подход — детерминированный. Вся конфиденциальная информация помечается специальными метками (например, метка conf в названии файла), система считывает эти метки и принимает решение о секретности информации. Главное преимущество — абсолютная точность. Основной недостаток — для полноценной защиты требуется ручная проверка всех данных организации на конфиденциальность, а также проверка вновь создаваемых документов. Еще один минус данного подхода состоит в том, что «умные» пользователи могут снять ту или иную метку.
Второй подход — вероятностный. Система анализирует информацию, проходящую через канал, и определяет ее конфиденциальность на основе некоего алгоритма. Пример: в документе есть слово «секретно», а любые документы с таким словом считаются в организации секретными. Главное преимущество вероятностного метода заключается в отсутствии основного недостатка детерминированного подхода. Минусы также вполне очевидны — вероятностный подход имеет более низкую точность, которая существенно зависит от алгоритма.
Третий подход — комбинированный. Как следует из названия, он состоит в одновременном использовании вероятностного и детерминированного способов
Сегодня практически не существует систем, использующих только детерминированный подход — заниматься пометкой конфиденциальных документов, количество которых все время растет, не желает ни одна организация. Поэтому практически все представленные на рынке продукты используют различные вероятностные алгоритмы. Их можно условно разделить на три группы: водяные знаки (digital fingerprints), сигнатурный и морфологический анализ.
Два первых метода принадлежат к классу «точных» алгоритмов. Это означает, что если система ищет слово «секретно», а в документе написано «секретна», то этот документ не будет признан конфиденциальным. Как правило, подобные подходы используются в продуктах американских производителей, и этому есть вполне логичное объяснение. Дело в том, что английский язык практически полностью лишен словоформ, а значит, «точные» методы будут работать действительно хорошо. Внедрение подобных систем в российских условиях сопряжено с серьезными проблемами при подготовке словаря ключевых слов и фраз.
Среди всех используемых методов алгоритмы морфологического анализа являются, пожалуй, самыми наукоемкими. Теоретически они имеют максимальный потенциал, однако их довольно трудно эффективно реализовать.
Отдельного упоминания заслуживает так называемая «проактивная защита». Подобные технологии анализируют не проходящий трафик, а поведение самих пользователей. Такой подход позволяет выявить утечку на ранних стадиях, однако его чрезвычайно тяжело эффективно реализовать. Готовых систем, поддерживающих проактивные методы защиты, на рынке практически нет, но многие компании уже занимаются их разработкой.
Классификация систем защиты
Классифицировать системы защиты можно по методу проверки информации, который приведен выше, или на основе каналов утечки. Существуют «точечные» системы защиты, поддерживающие единственный канал или объединяющие группу родственных каналов утечки (например, все Internet-каналы), а также «комплексные» решения, защищающие практически все возможные каналы утечки. Как правило, «точечные» решения расcчитаны на небольшие организации, в то время как «комплексные» системы — на крупный корпоративный рынок. Кроме возможности поддержки большего количества каналов, «комплексные» системы включают расширенные инструменты централизованного управления, которые особенно актуальны в случае большой ИТ-инфраструктуры. В дальнейшем будут рассмотрены только «комплексные» решения, поскольку «точечные» системы не могут обеспечить должной защиты ИТ-инфраструктуры предприятия. Применение только одной «точечной» системы не позволяет контролировать все каналы утечки, а при наличии нескольких таких систем неизбежно возникают проблемы с их интеграцией и управлением ими.
Исследовательские компании (Gartner, Forrester, IDC) предпочитают другой подход к классификации. Они группируют системы на основе места, где проходит анализ информации на конфиденциальность. Некоторые системы устанавливаются в виде агентов на рабочие станции, другие отслеживают трафик на уровне серверов и шлюзов. Оба подхода имеют очевидные преимущества и недостатки, и наиболее эффективные решения используют их в комплексе.
Неким гибридом описанных классификаций является классификация по типу обрабатываемых данных: data-at-rest (данные в местах хранения), data-in-motion (каналы передачи данных) и data-in-use (данные во время обработки). Полноценная защита достигается при совмещении анализа всех трех типов данных.
Системы выявления утечек всегда имеют серьезную программную составляющую, однако некоторые компании интегрируют их в собственные аппаратные платформы. Таким образом, они продают не отдельное программное обеспечение, а полноценные программно-аппаратные комплексы. Жесткая привязка к аппаратным системам имеет как положительные, так и отрицательные стороны: с одной стороны, достигается более высокая степень интеграции, с другой — существенно снижается гибкость. К тому же аппаратные системы практически нереально сертифицировать, а значит, их поставщики практически не имеют шансов на российском рынке.
Игроки рынка ILD&P
Существует несколько названий рынка автоматизированных систем защиты от внутренних угроз. Для определенности будем придерживаться термина ILD&P (Information Leakage Detection and Prevention), который применяет компания IDC. Сегодня рынок ILD&P находится в стадии становления и всех его игроков можно условно разделить на три группы: начинающие, крупные корпорации и национальные игроки.
Начинающие составляют основную массу игроков рынка ILD&P — это небольшие зарубежные компании, образованные в начале XXI века, такие как Vontu, Vericept и Tablus. Крупные игроки рынка ИТ-безопасности быстро осознали перспективность рынка ILD&P и стали активно скупать небольшие начинающие компании. В отличие от решений начинающих компаний, которые, как правило, базируются за океаном, решения крупных корпораций либо уже доступны в России, либо появятся здесь в ближайшем будущем. Список национальных (российских) игроков наиболее короток. Несмотря на активный рост рынка ILD&P, в России существует только один разработчик подобных решений. Речь идет о компании InfoWatch, которая выделилась из состава «Лаборатории Касперского» в ноябре 2003 года. На рынке присутствуют и компании, например, «Инфосистемы Джет», SecureIT, предлагающие «точечные» системы.
Начинающие
Компании Vontu, Vericept и Tablus были основаны в США в конце XX — начале XXI века частными инвесторами. Объем привлеченных инвестиций колеблется от 24 млн. долл. (Tablus) до 37 млн. долл. (Vericept) Все три компании относятся к сегменту среднего и малого бизнеса — численность их персонала составляет от 70 до 150 человек. Клиентами этих компаний являются достаточно солидные фирмы, представляющие различные отрасли промышленности. Например, решение Vontu уже внедрила каждая пятая компания из списка Fortune 500, а среди клиентов Tablus присутствует корпорация Microsoft.
С точки зрения технологий решения Vontu, Vericept и Tablus очень похожи и различаются только в нюансах. Все системы поддерживают защиту конфиденциальных данных на различных уровнях (data-at-rest, data-in-motion и data-in-use, кроме системы Vericept, которая не поддерживает уровня data-in-use) с помощью вероятностных алгоритмов digital fingerprints и сигнатурного анализа. Детерминированный подход во всех трех случаях отсутствует. Можно сказать, что предлагаются классические решения ILD&P, если слово «классический» применимо к настолько молодому рынку. Отметим, что компании Vontu и Vericept предлагают в том числе и программные решения, продукты же Tablus жестко привязаны к аппаратным платформам.
Одним из достоинств решений является широкое покрытие каналов утечки, а также интегрированные системы категоризации контента. По всей видимости, такая ситуация связана с тем, что за время работы на ILD&P-рынке компании уже накопили неплохой опыт внедрений.
Но ни одна из перечисленных компаний в России пока не присутствует, и даже если бы они открыли здесь представительство, его перспективы были бы не совсем понятны из-за языковых различий. Отметим, что ни одна из компаний, применяющих сигнатурные алгоритмы и digital fingerprints, пока не шагнула за пределы англоговорящих стран.
Добавим, что в августе 2007 года стало известно о желании корпорации ЕМС (а именно ее подразделения, унаследованного после покупки RSA Security) приобрести компанию Tablus. А в ноябре другая корпорация — Symantec — наконец-то договорилась о покупке с руководством Vontu. Интересно, что слухи о последнем поглощении циркулировали с начала 2007 года. В отличие от продуктов перечисленной тройки игроков решение российской компании InfoWatch, во-первых, оптимизировано как под английский, так и под русский язык, а в качестве алгоритмов идентификации используются морфологические методы, во-вторых, InfoWatch Enterprise Solution является единственной системой, объединяющей в себе вероятностный и детерминированный подходы. В-третьих, только в продукте InfoWatch реализован универсальный архив данных и событий, а также централизованная технология управления с разделением ролей. Последняя особенность повышает привлекательность продуктов InfoWatch для заказчиков, желающих соответствовать нормативным актам. Однако иностранные аналоги поддерживают больше каналов утечки.
«Благодаря таким возможностям, как перекрытие многочисленных каналов утечки и архивирование корреспонденции на единой платформе с централизованным управлением, InfoWatch является чрезвычайно привлекательным решением для крупных предприятий, нуждающихся во всесторонней защите от утечки информации и в соблюдении нормативных требований», — полагает Дэн Яхин, аналитик IDC.
Крупные корпорации
Рост спроса на ILD&P-решения не остался незамеченным со стороны крупных корпораций, таких как McAfee, WebSense и Symantec. Понимая, что данный рынок будет активно развиваться, они принялись скупать технологии у небольших игроков. В октябре 2006 года компания McAfee приобрела за 20 млн. долл. небольшую израильскую фирму Onigma, а уже в декабре корпорация WebSense заплатила 80 млн. долл. за компанию PortAuthority. Следующим игроком должна была стать компания Symantec, однако слухи о покупке Vontu, циркулировавшие в начале 2007 года, остаются до сих пор только слухами. На сегодняшний день Symantec является «точечным» участником ILD&P-рынка, который включен в данный обзор для получения более общей картины.
Технологически решения крупных корпораций слабее продуктов начинающих — хорошая частная компания не станет «продаваться», поскольку сумеет заработать деньги самостоятельно. Это не означает, что McAfee и WebSense купили «кого попало» — просто технологии поглощенных компаний пока отстают от технологий компаний самостоятельных.
Из трех перечисленных компаний только WebSense имеет решение, лишенное очевидных архитектурных недостатков. У продукта Websense Content Protection Suite, построенного на основе технологий PortAuthority, есть много общего с решениями Vontu, Vericept и Tablus: он также поддерживает множество каналов утечки и имеет интегрированную систему категоризации контента, осуществляет проверку данных на всех трех уровнях. При этом продукт WebSense применяет только вероятностный подход и не поддерживает морфологических алгоритмов. К тому же он жестко привязан к аппаратным системам. Компания имеет богатый опыт внедрения, но на российском рынке пока отсутствует в отличие от двух других упоминавшихся компаний.
Система McAfee Data Loss Prevention, созданная после покупки Onigma, обеспечивает широкое покрытие каналов утечки, но контролирует данные только типа data-in-use и использует агентов на рабочих станциях. Как следствие, существенно снижается производительность компьютеров, поскольку вместо выполнения обычных функций они занимаются фильтрацией трафика. Идентификация данных проходит с помощью детерминированных алгоритмов, что порождает целый ряд серьезных проблем. Наконец, программно-аппаратная платформа Symantec Database Security позволяет анализировать поведение пользователей баз данных Microsoft SQL и Oracle и выявлять подозрительную активность. Фактически этот продукт является одной из первых реализаций методов проактивной защиты. Вместе с тем совершенно очевидно, что сфера его применения жестко ограничена.
Безальтернативный рынок
Несмотря на то что мировой рынок ILD&P активно развивается и на нем присутствует сразу несколько сильных игроков, способных предложить комплексные решения, только немногие из них (фактически только InfoWatch и WebSense) готовы внедрять свои решения в российских компаниях. Все остальные предлагают либо «точечные» решения, либо системы с очевидными архитектурными изъянами.
Серьезным препятствием для прихода решений других компаний на рынок является необходимость их локализации и сертификации ФСБ и ФСТЭК, а это весьма сложный и длительный процесс, особенно в случае аппаратных систем. Да и государственный сектор для иностранных производителей будет закрыт по определению.
Даниил Иванов — независимый эксперт
Технологически решения крупных корпораций слабее продуктов начинающих — хорошая частная компания не станет «продаваться», поскольку сумеет заработать деньги самостоятельно