Контроль бесконтрольного: как защитить «размытый» периметр
Эра закрытых периметров прошла: сегодня бизнес шагнул за его пределы и перевел большинство процессов в облака. Так компании экономят на «железе» и добиваются, чтобы рабочие сервисы были доступны сотрудникам в любой момент и откуда угодно. При этом вопросы защиты корпоративных данных встают только острее. Для DLP это вызов: на все смартфоны и личные ПК агент не поставишь, а на корпоративных машинах сотрудников происходит около 30-40% всей работы. Поэтому для эффективной борьбы с утечками защитные системы должны перестраиваться. Разберем, что должны уметь DLP для успешного контроля размытого периметра.
Содержание |
 | Алексей Парфентьев, Заместитель генерального директора по инновационной деятельности «СёрчИнформ» |
Что контролировать за периметром?
Есть несколько вариантов организации рабочего пространства вне периметра.
Самый комплексный — полностью отказаться от своего «железа» и разместить инфраструктуру в облаках. В таком случае все рабочие ресурсы существуют виртуально, а устройства сотрудников работают только для ввода и вывода информации — как удаленный монитор, клавиатура и мышь. Здесь перед DLP встает две задачи: уметь и самой работать из облака, и контролировать происходящее на виртуальных рабочих станциях.
Компромиссный вариант — продолжать использовать свое оборудование, но строить работу на внешних бизнес-платформах. Они существуют на стороне провайдера и не связаны с локальной инфраструктурой. Это замкнутые экосистемы, где есть собственная почта, ВКС, мессенджеры, управление проектами, редактор документов и облачное хранилище. DLP должна работать на стороне платформ и контролировать все централизовано.
Наконец, бизнес может использовать за периметром отдельные сервисы: средства связи, хранилища или ПО. Они могут базироваться на серверах компании, но сотрудники имеют к ним доступ с любого устройства, чтобы работа шла бесперебойно. DLP нужно внедряться на серверы этих сервисов, чтобы видеть, что «уходит» с них на смартфоны, домашние ПК и т.д.
Для каждого из этих вариантов к DLP есть конкретные требования. Для удобства расскажу о них на примере нашей системы — «СёрчИнформ КИБ».
Вариант 1. DLP в облаке/виртуальной среде
Как ни странно, контроль полностью облачной или виртуальной инфраструктуры наиболее похож на классический. Здесь DLP все еще может использовать агенты. Главное, чтобы ПО поддерживало максимум ОС и СУБД, на основе которых может быть организована виртуальная инфраструктура.
«СёрчИнформ КИБ» свободно работает как с Windows и MS SQL, так и с отечественными ОС (Ред ОС, Astra Linux, ROSA Linux, SberOS и т.д.) и СУБД (Postgres, Jatoba, Pangolin). В том числе DLP работает с продуктами в защищенном исполнении, например, спецверсиями Astra Linux или PostgreSQL Pro. Это подтверждается сертификатами.
«Облачная» DLP должна не только сохранять функциональность, но и быть удобной в установке. Для этого мы работаем с PaaS-провайдерами (МТС, Яндекс, Selectel, VK Cloud). Они интегрируют DLP так, что она устанавливается на виртуальную рабочую станцию в один клик сразу вместе с операционной системой. При этом совместимость и работоспособность систем заранее проверена, это надежно.
Вариант 2. DLP в бизнес-платформах
Все сервисы в рамках бизнес-экосистемы доступны через браузер, ничего не привязано к ПК сотрудников. Агент DLP здесь уже бессилен, поэтому система должна быть «вшита» в ядро управления такой платформы.
Для этого нужно поддерживать ее специфические форматы работы и внутренние стандарты — каждая экосистема как бы «говорит на своем языке». Например, для контроля сервисов Microsoft 365 необходима технология Graph API. DLP-система тем гибче, чем больше таких форматов бизнес-платформ она поддерживает.
«СёрчИнформ КИБ» уже охватила самые популярные и функциональные бизнес-платформы, например, VK Workspace/ГКС (ранее АРМ ГС) и Microsoft 365, в скором релизе — интеграция с «Яндекс 360».
Вариант 3. Контроль внешних сервисов
Прикладных инструментов для бизнеса, которые работают из-за периметра, бесконечное множество. Компании разворачивают их на своих серверах (или арендуют серверы у вендора, пока действует подписка), а сотрудники подключаются к ним через клиент или браузер.
Это могут быть любые сервисы, где требуется совместный доступ — от «Битрикса» до Figma, не говоря о мессенджерах и почте. Как и в случае с бизнес-платформами, для их контроля DLP нужны прямые интеграции. С частью системы интегрируются «из коробки», но ни один вендор не в силах индивидуально поддержать их все. Зато это может сделать заказчик. Для этого DLP должна уметь работать с универсальными технологиями интеграции.
Например, по REST API можно внедриться почти в любой сторонний сервис. Если у ИТ- и ИБ-специалистов заказчика достаточно квалификации, любой сценарий взаимодействия по API он может прописать самостоятельно. В КИБ для этого есть отдельный интерфейс, где можно задать гибкие настройки интеграции.
ICAP широко используется при работе с сетевым оборудованием, также его поддерживают большинство мессенджеров и облачных хранилищ. Технология позволяет получать копию всего трафика, а также разрешать или запрещать передачу тех или иных данных. В КИБ для интеграции по этому протоколу достаточно включить функцию, ввести IP-адрес и номер порта внешнего ICAP-источника.
Кроме того, мы реализовали прямое подключение к базам данных. Когда заказчикам нужно контролировать данные в произвольной бизнес-системе, например, CRM, «СёрчИнформ КИБ» сразу вычитывает информацию из ее БД.
Способов интеграции может быть еще много. С их помощью DLP способна «подружиться» с любым ПО и сервисом, которые нужно контролировать. Поэтому важно, чтобы эти технологии поддерживались «из коробки». В КИБ их более десятка. Все включаются из консоли программы, работают в графическом интерфейсе и не требуют программирования для настройки.
Итого
Для эффективного контроля размытого периметра DLP-система должна поддерживать:
- Разные ОС и СУБД в полном функционале, в том числе в облаках и средах виртуализации;
- Стандарты популярных бизнес-экосистем;
- Как можно больше корпоративных сервисов «из коробки»;
- Универсальные технологии интеграции для дальнейшей кастомизации внедрения.
Таким образом, «идеальная» DLP для размытого периметра — очень гибкая и постоянно расширяет возможности. Успешнее всего это работает, когда заказчик включен в процесс, делится задачами и дает вендору пищу для развития.
Например, наши инженеры разрабатывают проекты внедрения вместе с заказчиком, чтобы учесть индивидуальные особенности его инфраструктуры в локальном периметре и за его пределами. Отдел внедрения — консультирует на всех этапах настройки и эксплуатации, в том числе по вопросам интеграции DLP со сторонними сервисами. К тому же в нашей документации прописаны сотни сценариев интеграции, которые легко персонализировать с небольшими доработками. Наконец, мы развиваем систему по запросам клиентов, чтобы обеспечивать контроль необходимых им внешних сервисов. Только за последние три года в КИБ по этой логике появилось 100+ интеграций с различными продуктами.
Благодаря такому подходу «СёрчИнформ КИБ» готова контролировать любую инфраструктуру. Попробовать ее возможности можно бесплатно в течение 30 дней.
