IRM та DLP

IRM та DLP. Перспективи розвитку

IRM та DLP. Перспективи розвитку

Загалом, за документами, до яких отримали доступ журналісти, вимальовується така картина: сили коаліції програють війну в Афганістані, військові вбивають сотні мирних жителів і інформація про це не стає надбанням громадськості, кількість нападів з боку талібів збільшується, а командувачі сил НАТО побоюються, що Пакистан та Іран підтримують нестабільність у регіоні.

Описаний випадок повною мірою відображає загальну тенденцію загрози інформаційній безпеці останніх років. З розвитком інформаційних технологій інформація стала плинною, як ніколи.

За даними проведеного Аналітичним центром InfoWatch дослідження відомих інцидентів, пов'язаних із витоками конфіденційної інформації, загальна фіксована кількість витоків у першому півріччі 2009 р. порівняно з аналогічним періодом 2008 р. показала тенденцію до збільшення загалом: 735 проти 530 – зростання на 39%. Зростання загальної кількості фіксованих витоків продовжилося, але сповільнилося. На цьому фоні простежується збільшення частки навмисних витоків. Однією з причин цього є зростання поширеності DLP-систем, які запобігають випадковим витокам майже у всіх випадках, а навмисні – тільки в деяких. З іншого боку, вартість інформації (зокрема персональних даних) зростає, що також сприяє зростанню частки інцидентів зі злим наміром.

Рішення класу IRM

Шляхів захисту від витоків є кілька. Це і використання шифрування носіїв інформації, і впровадження повноцінних DLP-систем (Data Leak Prevention), які відрізняються комплексним моніторингом всіх можливих каналів і протоколів, але всі вони мають свої слабкі сторони. Частинанедоліків можна усунути ще одним класом рішень – Information Rights Management (IRM) – за допомогою технології, яка дозволяє обмежити пересилання, вставку, друк та інші несанкціоновані дії над даними шляхом їхньої заборони у захищених документах та повідомленнях електронної пошти.

допомогою

Робота типового IRM-рішення будується на базі двох механізмів: міток конфіденційності і шифрування. Кожен файл, що захищається за допомогою IRM, поміщається в зашифрований контейнер разом зі спеціальною міткою, що визначає права доступу до нього. Суть IRM полягає в тому, що навіть якщо такий контейнер потрапить за межі мережі, без прав доступу до документа він буде абсолютно марним. З точки зору контролю інформації, що переміщується на знімних носіях, дана схема подібна до примусового шифрування даних, що поміщаються на знімні носії, яке часто зустрічається в системах контролю доступу до портів і периферійних пристроїв. Рішення класу IRM дозволяють експорт конфіденційної інформації лише у зашифрованому вигляді, що дозволяє завжди захистити компанію від випадкових витоків, і часто – від спланованих витоків.

IRM дозволяє автоматично або вручну захищати документи на різних стадіях їх життєвого циклу за допомогою засобів, інтегрованих в операційну систему, програми створення документів, клієнтські програми електронної пошти (Microsoft Office, Microsoft Outlook, Adobe Reader, Lotus Notes і т.д.) і загальні репозиторії. Ці засоби зазвичай представлені у вигляді агента, який відповідає за аутентифікацію користувачів, запитуючи права з сервера IRM, захищаючи та протоколюючи роботу із захищеними документами та поштовими повідомленнями.

Захист документів та електронних повідомлень здійснюється за допомогою механізмівшифрування та цифрових електронних підписів, додаючи прив'язки до серверів IRM (керованим централізовано організацією, якій належать документи), які зберігають інформацію для розшифровки та права доступу до документів.

Захищені документи та електронні повідомлення можуть розповсюджуватися будь-яким доступним способом (e-mail, Web, через файлові сервери тощо). , дозволяючи змінювати права у будь-який зручний час, так і зберігатися локально на комп'ютері користувача, дозволяючи працювати з документом у режимі офлайн.

Сервер та агенти IRM спільно забезпечують аудит усіх спроб звернення до запечатаних документів та електронних листів (on-line та offline), усіх адміністративних операцій, таких як призначення або вилучення прав.

DLP та IRM: взаємодоповнюючі особливості

Ефективність IRM-рішень багато в чому залежить від кількості файлів, що захищаються, і інтенсивності їх модифікації користувачем. На практиці ця вимога еквівалентна класифікації всіх корпоративних даних, що є досить трудомістким завданням.

Зі сказаного вище простежується, що рішення DLP та IRM вирішують схожі проблеми різними шляхами і несуть у собі взаємодоповнюючі особливості:

  • DLP добре підходить для ситуацій, коли організація не знає місцезнаходження її конфіденційної інформації. У цьому випадку DLP допоможе виявити канали поширення цієї інформації та вжити заходів щодо запобігання цьому витоку.
  • DLP здійснює фільтрацію вмісту одномоментно, наприклад, при обміні інформацією з партнером за допомогою електронного листа. Однак через 6 місяціворганізація може розірвати відносини з цим партнером, і правило фільтрації DLP може змінитися, але це не вплине на інформацію, яку він отримував усі ці півроку. DLP не може ретроактивно блокувати доступ до інформації, якою раніше було дозволено виходити за межі контролю.
  • IRM добре підходить для ситуацій, коли організація має відносно чітко визначені бізнес-процеси за участю конфіденційної інформації, наприклад, обмін інтелектуальною власністю з партнерами, фінансова звітність тощо. Захист за допомогою IRM конфіденційних документів або електронних листів гарантує, що всі копії залишаться захищеними незалежно від їхнього місцезнаходження.
  • IRM продовжує працювати за межами периметрів захисту підприємства, що дозволяє контролювати життєвий цикл та неможливість тиражування захищених документів. IRM забезпечує постійний захист, і доступ до інформації може бути скасовано будь-коли.

Таким чином, ні та, ні інша концепція не вирішують завдання захисту від витоків повністю, оскільки мають певні недоліки. Однак, якщо здійснити інтеграцію даних рішень, ми отримаємо систему, яка зможе автоматично класифікувати інформацію та шифрувати її з різними правами доступу залежно від вмісту.

Інтеграція DLP та IRM в ІТ-інфраструктуру ГК "Роснанотех"

На даний момент на світовому ринку інформаційної безпеки немає жодного інтегрованого рішення, що поєднує в собі риси двох позначених технологій.

У зв'язку з цим фахівці компанії КРОК розробили систему, яка базується на інтеграції DLP та IRM. Згодом ми успішно запровадили її в ІТ-інфраструктуру ДК "Рос-нанотех". Можливості цієї системи дозволяють:

  • здійснювати пошукна робочих станціях користувачів та серверах компанії файлів, що містять конфіденційну інформацію за допомогою модуля Symantec DLP та подальший їх захист за допомогою Oracle IRM з правами доступу, що відповідають класу конфіденційності виявленої інформації;
  • здійснювати фільтрацію повідомлень електронної пошти щодо наявності даних, що містять конфіденційну інформацію, а також подальший їх захист з правами доступу, що відповідають класу конфіденційності.

Продовжуючи тему інтеграції технологій IRM, не можна залишити без уваги захист звітних матеріалів корпоративних інформаційних систем від несанкціонованого доступу. Для вирішення цього завдання вживають цілий комплекс організаційних заходів - аж до створення спеціальних секретних приміщень, де встановлюються принтери для друку звітів, які потім видаються користувачам під розписку. Щоб позбавити бізнес таких обтяжливих процедур, ми створили систему, засновану на інтеграції IRM і систем побудови звітності. З її допомогою можна забезпечити захист конфіденційної інформації підприємства не лише на рівні вивантажених уявлень звітів (MS Word, MS Excel, PDF тощо), а й безпосередньо на рівні HTML – подання звіту у браузері клієнта. Використання системи не потребує модифікації реалізованих звітів.

Крім того, в рамках одного з проектів ми розробили рішення щодо інтеграції IRM з різними клієнт-серверними програмами. Воно дозволяє примусово захищати файли, що вивантажуються користувачем із цих додатків, відповідно до класу конфіденційності інформації, що їх обробляє.