Доклады, выступления, видео и электронные публикации

Несостоятельность DLP систем

Моя статья — небольшое размышление на тему несостоятельности DLP-систем. Рассматриваются методы защиты, применяемые в таких системах, и показывается их неспособность противостоять инсайдерам.

DLP-системы, инсайдеры, защита конфиденциальных данных

Insolvency of DLP systems

My article is a little reflection on the topic of inconsistency of DLP systems. It considers defense methods applied in such systems and shows their inability to resist insiders.

DLP systems, insiders, protection of confidential data

DLP (Data Loss Prevention) системы — это системы, предназначенные для предотвращения утечек конфиденциальных данных из информационного пространства заказчика. Причём предполагается перекрытие любых утечек, будь то инсайдерские действия или просто халатность и неаккуратность сотрудников.

Основным способом защиты является анализ сетевого трафика и информации, циркулирующей внутри сети. Есть несколько различных подходов:

  • Сигнатуры

Самый простой метод — поиск в потоке данных последовательности символов (слова). Чаще всего идёт поиск нескольких слов, оценивается частота их появления в тексте. К достоинствам можно отнести простоту пополнения словаря. К недостаткам — усложнение применимости для русского языка за счёт изменения формы слова в различных контекстах.

  • «Цифровые отпечатки»

Из «стандартного» документа при помощи некой преобразующей функции создаётся «цифровой отпечаток». Затем в фильтрации документов указывается процентное соответствие шаблону, таким образом, отслеживаются все похожие документы. При таком подходе нет необходимости в работе с лингвистикой, но нужно постоянно обновлять базу шаблонов, в больших компаниях это становится проблемой.

  • «Метки»

Суть метода в расстановке специальных меток внутри файлов. Из достоинств — высокое качество детектирования. Но для расстановки меток внутри файла придётся значительно менять инфраструктуру внутренней сети.

  • Регулярные выражения

Позволяет производить поиск по форме данных, а не по самим данным. Удобен для поиска номеров телефонов, паспортов, кредитных карт. Из минусов — узкая область применимости.

Все эти методы действенны, если документ передаётся в открытом виде. Если же инсайдер имеет опыт и технические знания, то, очевидно, отправлять защищаемую DLP-системой информацию в открытом виде он не станет.

Элементарная программа перезапишет весь документ побуквенно в обратном порядке, вставит двойной пробел после каждого 3го символа, заменит все буквы «а» на «о» и наоборот, и документ можно свободно отправлять, например, по почте. Даже достаточно простая обратимая корректировка текста позволит обойти сигнатурный анализ и анализ регулярных выражений. Если же изменять файл в байтовом представлении, то обходятся «метки» и «цифровые отпечатки».Можно применить любые методы шифрования и изменения файла, включая, к примеру, вложение в архив с паролем.

Но наиболее интересными являются методы достаточно развитой сейчас стеганографии. К примеру, достаточно лёгкий в реализации метод LSB. Обнаружить информацию, передаваемую таким способом не сложно, но лишь при целенаправленном поиске. В противном случае информация уйдёт вовне незамеченной. При этом для обнаружения придется затрачивать дополнительные ресурсы на анализ трафика, замедляя, к тому же, скорость передачи. Также существует множество других алгоритмов встраивания информации, под каждый из которых нужно изменять систему, усложняя её раз за разом.

Важным моментом является то, что почти все перечисленные способы не представляют большой сложности для реализации. Любой, кто целенаправленно хочет вынести информацию и знает о наличии DLP-системы в компании, может позволить себе ими воспользоваться. Можно было бы внедрять такие системы секретно, но такое их использование в общем случае может противоречить некоторым законам, связанным с тайной связи, тайной частной жизни, и во избежание проблем фирме придётся дополнительно регламентировать отношения с сотрудниками, в результате чего о наличии системы станет известно.

Ещё одной важной частью DLP-системы является архивация. Трафик полностью или частично дублируется на сервера архивации, где с ним может работать аналитик. Но, очевидно, что использовать это можно лишь для выявления источника утечки. Данная мера никак не поможет предотвратить уход информации из системы.

С другой стороны, нельзя сказать, что DLP-системы бесполезны. Есть множество ситуаций случайных утечек информации: сотрудник случайно отправил по почте защищаемый документ не на тот адрес, при сканировании большого объёма бумаг случайно среди прочих попали документы, содержащие конфиденциальную информацию, сотрудник принёс из дома вирус на съёмном носителе. DLP система отследит эти ошибки и заблокирует попадание охраняемых данных наружу, как и во множестве других случаев, где возможность утечки информации открылась не по злому умыслу, а из-за халатности и неосторожности людей.

DLP-системы сейчас достаточно сильно распространены, а компании, поставляющие их на рынок, имеют постоянный доход. Это хорошо. Хуже то, что создатели DLP-систем почти всегда обещают защиту от инсайдеров и даже делают на этом упор в представлении своих продуктов, хотя очевидно, что такие продукты могут гарантировать защиту лишь от случайной утечки и не могут обеспечить защищённости от мотивированных злоумышленников, по крайней мере, имеющих минимальные знания и навыки.

Источники:

1. Статья «Защита информации от инсайдеров с помощью программных средств». http://www.securitylab.ru/contest/289337.php

2. Статья «Находка для шпиона». http://rg.ru/2012/06/26/insayd.html

3. «DLP системы или Сожалеем, но у вас уже все украли» http://daily.sec.ru/2013/06/04/Vasiliy-Kravets-OKB-SAPR-DLP-sistemi-ili-Soshaleem-no-u-vas-ushe-vse-ukrali.html

Автор: Чадов А. Ю.

Дата публикации: 01.01.2014

Библиографическая ссылка: Чадов А. Ю. Несостоятельность DLP систем // Вопросы защиты информации: Научно-практический журнал. М.: ФГУП «ВИМИ», 2014. Вып. 4 (107). С. 58–59.


Scientia potestas est
Кнопка связи