Обозрение подготовлено

версия для печати
Алексей Доля
InfoWatch

Алексей Доля:

Готовых систем, поддерживающих проактивные методы защиты, на рынке практически нет

О рынке средств выявления и предотвращения утечек конфиденциальной информации в интервью CNews рассказывает Алексей Доля, руководитель аналитического центра InfoWatch.

CNews: Какие технологии защиты от утечек сегодня используются в бизнесе?

Алексей Доля: Для того чтобы классифицировать средства защиты необходимо понять основные принципы их работы. Прежде всего, система выявления и предотвращения утечек должна уметь отличать конфиденциальную информацию от не конфиденциальной. Это означает, что перед внедрением любой системы сама компания должна определиться, какая же информация является секретной и кто имеет право доступа к ней. Другими словами, провести классификацию данных.

Предположим, что компания уже решила эту задачу и как-то описала свои конфиденциальные данные (на самом деле, это отдельная огромная тема). Существуют три основных подхода, с помощью которых автоматизированные системы проверяют информацию на конфиденциальность.

Во-первых, детерминистский. Вся конфиденциальная информация помечается специальными метками (например, метка confidential в названии файла). Система считывает эти метки и принимает решение о секретности информации. Главное преимущество — абсолютная точность. Основной недостаток — для полноценной защиты требуется ручная проверка всех данных организации на конфиденциальность,  а также проверки вновь создаваемых документов. Еще один минус детерминистского подхода состоит в том, что «умные» пользователи могут снять ту или иную метку.

Во-вторых, вероятностный. Система анализирует информацию, проходящую через канал утечки, и определяет уровень ее конфиденциальности на основе некого алгоритма. Пример — в документе есть слово «секретно», а любые документы с таким словом считаются в организации секретными. Главное преимущество вероятностного метода заключается в отсутствии основного недостатка детерминисткого подхода. Минусы также вполне очевидны — вероятностный подход имеет более низкую точность, которая существенно зависит от алгоритма.

В-третьих, комбинированный. Как следует из названия, подход состоит в комбинации вероятностного и детерминистского методов.

CNews: Какой подход наиболее популярен и используется чаще всего?

Алексей Доля: Сегодня практически не существует систем, использующих только детерминистский подход. Оно и понятно — заниматься пометкой конфиденциальных документов, количество которых все время растет, не хочет ни одна организация. Поэтому, практически все представленные на рынке продукты используют различные вероятностные алгоритмы. Эти алгоритмы можно условно разделить на три группы: водяные знаки («digital fingerprints»), сигнатурный и морфологический анализ.

Два первых метода принадлежат к классу «точных» алгоритмов. Это означает, что если система ищет слово «секретно», а в документе написано «секретный», то этот документ не будет признан конфиденциальным. Как правило, подобные подходы используются в продуктах американских производителей, и этому есть вполне логичное объяснение. Дело в том, что английский язык практически полностью лишен словоформ, а значит, «точные» методы будут работать действительно хорошо. Внедрение подобных систем в российских реалиях сопряжено с серьезными проблемами при подготовке словаря ключевых слов и фраз.

Среди всех используемых методов, алгоритмы морфологического анализа являются, пожалуй, самыми наукоемкими. Теоретически, они имеют максимальный потенциал, однако их довольно трудно эффективно реализовать. Решения на основе морфологических алгоритмов предлагает как раз российская компания InfoWatch.

Отдельного упоминания заслуживает так называемая «проактивная защита». Подобные технологии анализируют не трафик, проходящий через каналы утечки, а поведение самих пользователей. Такой подход позволяет выявить утечку на ранних стадиях ее возникновения, однако его чрезвычайно тяжело эффективно реализовать. Готовых систем, поддерживающих проактивные методы защиты, на рынке практически нет, но многие компании уже занимаются их разработкой.

CNews: Как  бы вы классифицировали сами системы защиты от внутренних утечек?

Алексей Доля: Классификация на основе каналов утечки является, пожалуй, самой тривиальной. «Точечные» системы поддерживают единственный канал утечки или объединяют в себе группу родственных каналов (например, все Интернет-каналы). «Комплексные» решения защищают практически все возможные каналы утечки. Как правило, «точечные» решения рассчитаны на небольшие организация, в то время как «комплексные» системы — на крупный корпоративный рынок. Кроме поддержки большего количества каналов, «комплексные» системы содержат в себе расширенные инструменты централизованного управления, которые особенно актуальны в случае большой ИТ-инфраструктуры заказчика. Отмечу, что «точечные» системы не могут обеспечить должной защиты ИТ-инфраструктуры предприятия. Если предприятие применяет только одну «точечную» систему — то она по определению не закрывает всех каналов утечки. Когда же таких систем несколько, неизбежно возникают проблемы с их внедрением, интеграцией и управлением.

Исследовательские компании (Gartner, Forrester, IDC) исповедуют другой подход к классификации. Они группируют системы на основе места, где проходит анализ информации на конфиденциальность. Некоторые системы устанавливаются в виде агентов на рабочие станции, другие мониторят трафик на уровне серверов и шлюзов. Оба подхода имеют очевидные преимущества и недостатки, и наиболее эффективные решения используют их в комплексе.

Неким гибридом описанных классификаций является классификация по типу обрабатываемых данных. Существует как минимум три таких типа: data-at-rest (данные в местах хранения), data-in-motion (каналы передачи данных) и data-in-use (данные во время обработки). Нетрудно понять, что полноценная защита достигается с помощью совмещения всех трех типов, что и реализовано в комплексном решении InfoWatch AMBIT.

Наконец, последний тип классификации связан с архитектурой систем. Системы выявления утечек, по определению, имеют серьезную программную составляющую, но некоторые компании жестко интегрируют ее в собственные аппаратные системы. Другими словами, извлечь программные компоненты из «железа» получается далеко не всегда. Жесткая привязка к аппаратным системам имеет как плюсы, так и минусы. С одной стороны, достигается более высокая степень интеграции, с другой — существенно снижается гибкость. К тому же, аппаратные системы практически нереально сертифицировать, и значит, их поставщики практически не имеют шансов на российском рынке.

CNews: Спасибо.

Toolbar | КПК-версия | Подписка на новости  | RSS