2024/09/29 13:09:19

Контроль бесконтрольного: как защитить «размытый» периметр

Эра закрытых периметров прошла: сегодня бизнес шагнул за его пределы и перевел большинство процессов в облака. Так компании экономят на «железе» и добиваются, чтобы рабочие сервисы были доступны сотрудникам в любой момент и откуда угодно. При этом вопросы защиты корпоративных данных встают только острее. Для DLP это вызов: на все смартфоны и личные ПК агент не поставишь, а на корпоративных машинах сотрудников происходит около 30-40% всей работы. Поэтому для эффективной борьбы с утечками защитные системы должны перестраиваться. Разберем, что должны уметь DLP для успешного контроля размытого периметра.

Содержание

Алексей Парфентьев,
Заместитель генерального директора по инновационной деятельности «СёрчИнформ»

Что контролировать за периметром?

Есть несколько вариантов организации рабочего пространства вне периметра.

Самый комплексный — полностью отказаться от своего «железа» и разместить инфраструктуру в облаках. В таком случае все рабочие ресурсы существуют виртуально, а устройства сотрудников работают только для ввода и вывода информации — как удаленный монитор, клавиатура и мышь. Здесь перед DLP встает две задачи: уметь и самой работать из облака, и контролировать происходящее на виртуальных рабочих станциях.

Компромиссный вариант — продолжать использовать свое оборудование, но строить работу на внешних бизнес-платформах. Они существуют на стороне провайдера и не связаны с локальной инфраструктурой. Это замкнутые экосистемы, где есть собственная почта, ВКС, мессенджеры, управление проектами, редактор документов и облачное хранилище. DLP должна работать на стороне платформ и контролировать все централизовано.

Наконец, бизнес может использовать за периметром отдельные сервисы: средства связи, хранилища или ПО. Они могут базироваться на серверах компании, но сотрудники имеют к ним доступ с любого устройства, чтобы работа шла бесперебойно. DLP нужно внедряться на серверы этих сервисов, чтобы видеть, что «уходит» с них на смартфоны, домашние ПК и т.д.

Для каждого из этих вариантов к DLP есть конкретные требования. Для удобства расскажу о них на примере нашей системы — «СёрчИнформ КИБ».

Вариант 1. DLP в облаке/виртуальной среде

Как ни странно, контроль полностью облачной или виртуальной инфраструктуры наиболее похож на классический. Здесь DLP все еще может использовать агенты. Главное, чтобы ПО поддерживало максимум ОС и СУБД, на основе которых может быть организована виртуальная инфраструктура.

«СёрчИнформ КИБ» свободно работает как с Windows и MS SQL, так и с отечественными ОС (Ред ОС, Astra Linux, ROSA Linux, SberOS и т.д.) и СУБД (Postgres, Jatoba, Pangolin). В том числе DLP работает с продуктами в защищенном исполнении, например, спецверсиями Astra Linux или PostgreSQL Pro. Это подтверждается сертификатами.

«Облачная» DLP должна не только сохранять функциональность, но и быть удобной в установке. Для этого мы работаем с PaaS-провайдерами (МТС, Яндекс, Selectel, VK Cloud). Они интегрируют DLP так, что она устанавливается на виртуальную рабочую станцию в один клик сразу вместе с операционной системой. При этом совместимость и работоспособность систем заранее проверена, это надежно.

Вариант 2. DLP в бизнес-платформах

Все сервисы в рамках бизнес-экосистемы доступны через браузер, ничего не привязано к ПК сотрудников. Агент DLP здесь уже бессилен, поэтому система должна быть «вшита» в ядро управления такой платформы.

Для этого нужно поддерживать ее специфические форматы работы и внутренние стандарты — каждая экосистема как бы «говорит на своем языке». Например, для контроля сервисов Microsoft 365 необходима технология Graph API. DLP-система тем гибче, чем больше таких форматов бизнес-платформ она поддерживает.

«СёрчИнформ КИБ» уже охватила самые популярные и функциональные бизнес-платформы, например, VK Workspace/ГКС (ранее АРМ ГС) и Microsoft 365, в скором релизе — интеграция с «Яндекс 360».

Вариант 3. Контроль внешних сервисов

Прикладных инструментов для бизнеса, которые работают из-за периметра, бесконечное множество. Компании разворачивают их на своих серверах (или арендуют серверы у вендора, пока действует подписка), а сотрудники подключаются к ним через клиент или браузер.

Это могут быть любые сервисы, где требуется совместный доступ — от «Битрикса» до Figma, не говоря о мессенджерах и почте. Как и в случае с бизнес-платформами, для их контроля DLP нужны прямые интеграции. С частью системы интегрируются «из коробки», но ни один вендор не в силах индивидуально поддержать их все. Зато это может сделать заказчик. Для этого DLP должна уметь работать с универсальными технологиями интеграции.

Например, по REST API можно внедриться почти в любой сторонний сервис. Если у ИТ- и ИБ-специалистов заказчика достаточно квалификации, любой сценарий взаимодействия по API он может прописать самостоятельно. В КИБ для этого есть отдельный интерфейс, где можно задать гибкие настройки интеграции.

ICAP широко используется при работе с сетевым оборудованием, также его поддерживают большинство мессенджеров и облачных хранилищ. Технология позволяет получать копию всего трафика, а также разрешать или запрещать передачу тех или иных данных. В КИБ для интеграции по этому протоколу достаточно включить функцию, ввести IP-адрес и номер порта внешнего ICAP-источника.

Кроме того, мы реализовали прямое подключение к базам данных. Когда заказчикам нужно контролировать данные в произвольной бизнес-системе, например, CRM, «СёрчИнформ КИБ» сразу вычитывает информацию из ее БД.

Способов интеграции может быть еще много. С их помощью DLP способна «подружиться» с любым ПО и сервисом, которые нужно контролировать. Поэтому важно, чтобы эти технологии поддерживались «из коробки». В КИБ их более десятка. Все включаются из консоли программы, работают в графическом интерфейсе и не требуют программирования для настройки.

Итого

Для эффективного контроля размытого периметра DLP-система должна поддерживать:

  • Разные ОС и СУБД в полном функционале, в том числе в облаках и средах виртуализации;
  • Стандарты популярных бизнес-экосистем;
  • Как можно больше корпоративных сервисов «из коробки»;
  • Универсальные технологии интеграции для дальнейшей кастомизации внедрения.

Таким образом, «идеальная» DLP для размытого периметра — очень гибкая и постоянно расширяет возможности. Успешнее всего это работает, когда заказчик включен в процесс, делится задачами и дает вендору пищу для развития.

Например, наши инженеры разрабатывают проекты внедрения вместе с заказчиком, чтобы учесть индивидуальные особенности его инфраструктуры в локальном периметре и за его пределами. Отдел внедрения — консультирует на всех этапах настройки и эксплуатации, в том числе по вопросам интеграции DLP со сторонними сервисами. К тому же в нашей документации прописаны сотни сценариев интеграции, которые легко персонализировать с небольшими доработками. Наконец, мы развиваем систему по запросам клиентов, чтобы обеспечивать контроль необходимых им внешних сервисов. Только за последние три года в КИБ по этой логике появилось 100+ интеграций с различными продуктами.

Благодаря такому подходу «СёрчИнформ КИБ» готова контролировать любую инфраструктуру. Попробовать ее возможности можно бесплатно в течение 30 дней.