VORMETRIC – реальная защита данных
В февральском номере банковского журнала «ПЛАС» опубликована статья Павла Есакова, эксперта по системам аутентификации ООО «Потенциал», о продукте Vormetric компании Thales UK для защиты данных предприятия.
Полная версия статьи доступна ниже:
Vormetric – реальная защита данных
Вопрос безопасности данных, которые обрабатывают компании и организации, носит далеко не праздный характер. Перевод бизнеса на «цифровые рельсы» полагает, что ваши данные стоят каких-то денег. Увы, очень часто не удается получить ответ на простой с виду вопрос: «Так сколько же стоят ваши данные?». Но ведь если вы сами не в состоянии ответить на этот вопрос, то как вы можете планировать какие- либо мероприятия по обеспечению безопасности ваших данных? Любые из них стоят денег, и такие инвестиции надо тщательно обосновывать.
К счастью для специалистов по безопасности, на помощь здесь приходят регуляторы, которые, хотя и не оценивают стоимость ваших цифровых активов, но требуют обеспечить их надежное хранение. Таких регуляторов немало – достаточно пере- числить только некоторые их законодательные акты:
- PCI DSS – о необходимости безопасного хранения данных о платежных картах
- 152-ФЗ – Закон о защите персональных данных и его европейский «собрат» General Data Protection Regulation
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
- 382-П – Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Заметим, что очень часто регулятор настойчиво продвигает достаточно простой метод по обеспечению информационной безопасности, предлагая организациям просто не хранить информацию, в которой нет необходимости для обеспечения бизнес-процессов. Это наиболее простой и малозатратный метод избежать утечек данных. В то же время на практике призывы регуляторов не сохранять ненужную информацию по их воздействию на бизнес зачастую больше всего походят на «глас вопиющего в пустыне». Почему это происходит?
Безопасность данных в эпоху Big Data
Использование Big Data в интересах бизнеса прямо при- водит к необходимости накапливать, а значит, и хранить большие объемы данных. Даже те компании, которые в данный момент не используют аналитику с привлечением Big Data, собирают и хранят такие массивы данных с целью использовать их в дальнейшем.
Очевидно, что наличие больших объемов данных, которые хранятся в компании, приводило и приводит к регулярным утечкам данных. Естественно, с появлением утечек появились и методы борьбы, причем самым простым и очевидным решением было ограничение доступа к данным.
В первую очередь было необходимо исключить до- ступ к хранимым данным для тех, кто действовал извне. Появилось большое количество всевозможных антивирусов и firewalls, которые существенно затруднили проникновение киберпреступников в сетевую инфраструктуру компании и выгрузку данных во внешний мир. По крайней мере, в первом приближении задача была решена.
В свою очередь, злоумышленники нашли возможность запускать с помощью методов социальной инженерии различные зловредные программы, которые позволяли похищать данные, несмотря на наличие антивирусов и firewalls.
Со временем обнаружился и еще один канал утечки – это сами сотрудники компании, которым доступ к данным необходим в силу их бизнес-задач. В процессе решения этих задач сотрудники (даже без всякого злого умысла) пересылали данные по электронной почте на свой публичный e-mail или просто копировали на внешний носитель информацию – нужно было поработать дома, срочно что- то доделать, сделать презентацию в другом городе и т. п. Носители иногда терялись, например, забывались в гостиничных номерах, электронная почта на публичном сервисе могла быть взломана… Впрочем, иногда у сотрудников были и менее благородные и бескорыстные намерения.
На помощь службе безопасности пришли DLP-решения. Их разработчики верили (а некоторые верят и по сей день), что правильно настроенная DLP-система может свести риск утечек данных к нулю. Правда, как при- знаются они же, такая «правильная» настройка может запросто парализовать работу компании.
Но даже при идеальной работе DLP-системы возможны утечки: в системе по-прежнему существует некоторое число привилегированных пользователей, которые имеют доступ ко всем данным и обладают самыми широкими правами по операциям с этими данными. Для устранения этой угрозы появился целый класс решений по «контролю за привилегированными пользователями». Таким образом, возник «спецнадзор за спецконтролем» – действия системных администраторов и любых других пользователей с широкими полномочиями предполагается контролировать посредством SIEM-системы.
Любопытно, что после инцидентов с похищением данных, которые становились достояниями ИТ-общественности, разработчики систем данного класса объясняют, что либо «гранаты не той системы», либо «они не умеют систему настраивать». Интересно, какова будет реакция такой системы на штатную операцию по созданию архива хранящихся данных, которая проводится в соответствии с регламентом организации на регулярной основе?
Смена парадигмы ИБ
Очевидно, что для выхода из череды саморазмножающихся систем необходима смена парадигмы: защитить надо сами данные, а не доступ к ним. Как защитить данные? Метод известен давно: зашифровать свои данные надежным алгоритмом, а ключи для дешифрации данных предоставить только тем сотрудникам, кому это действительно нужно для решения их бизнес-задач. После выполнения операций над чистыми данными для их хранения данные нужно вновь зашифровать. Задача кажется простой только на первый взгляд – ведь нужно будет не только раздать ключи тем (и только тем!), кому они необходимы, но и обеспечить безопасное хранение этих ключей, что требует определенного количества как технических, так и организационных мероприятий.
Но и это еще не все! В организации могут использоваться различные типы компьютеров, разнообразные операционные системы, а хранение данных может быть реализовано как на жестком диске персонального компьютера, так и на сервере или в сетевом хранилище, а также и в облаке (частном, публичном или гибридном).
Тем не менее такие решения имеются и с успехом применяются для защиты персональных данных, интеллектуальной собственности и любых данных, представляющих ценность для владельца.
Решение Vormetric от Thales UK
Одно из таких решений – продукт Vormetric, который принадлежит компании Thales UK. В числе несомненных достоинств решения является его полная прозрачность для сотрудников компании. Так, например, они могут даже не знать, что данные, с которыми они работают, подвергаются шифрованию/расшифрованию в процессе работы. При этом любая попытка скопировать данные, хранящиеся в компании, лишена смысла – получить ключ для расшифрования данных вне внутренней сети организации невозможно, а имеющаяся копия бесполезна – без ключей ее невозможно прочесть или воспользоваться любым иным способом.
Основной механизм в составе решения – прозрачное шифрование данных (Vormetric Transparent Encryption – VTE). Данную задачу выполняет так называемый агент VTE, который является драйвером, работающим с файловой системой. VTE-агент имеется для всех широко распространенных операционных систем, что существен- но упрощает применение решения. Кроме стандартных вариантов шифрования данных на локальных дисках, серверах и сетевых хранилищах агенты VTE имеют возможность работы и с облачными решениями.
Второй жизненно необходимый компонент решения Vormetric – Data Security Manager (DSM), то самое критически важное устройство, которое занимается хранением ключей, используемых в процессе шифрования. Это второй ключевой элемент решения Vormetric, без которого функционирование системы невозможно.
Заметим, что управление ключами, которые фактически определяют доступ к данным компании, отделено от системных администраторов и отдано в руки офицеров безопасности. Такое разделение полномочий исключает возможность создания администратором нового пользователя и присвоение ему прав доступа к данным. Точнее, создание пользователя возможно, но назначение прав доступа в случае решения Vormetric полностью во власти офицеров безопасности. Для назначения прав доступа в DSM используется строгая двухфакторная аутентификация, что делает практически невозможными атаки с помощью «вирусов-вымогателей», поскольку у этих вирусов в рамках Vormetric нет возможности получить полномочия для доступа к файлам. Использование Vormetric в ИТ-системах компаний не мешает системным администраторам выполнять их задачи: имеется возможность зашифровать данные, не шифруя метаданные файлов. В результате системный администратор имеет все необходимые возможности по операциям с файлами, но не имеет возможности читать их содержимое. DSM может быть разбит на необходимое число доменов в соответствии с организационной структурой компании, что позволяет назначать офицеров безопасности, раздающих полномочия по доступу к данным в рамках своего подразделения. Для обеспечения непрерывности бизнеса процессов необходимо, разумеется, иметь в составе как минимум два DSM.
Чем же еще примечателен Vormetric? Очень многим! Большое количество аналогичных решений для своей работы требует вывода ИТ-систем из рабочего состояния, существенного времени простоя, необходимого для того, чтобы зашифровать данные. И только после завершения процесса шифрования пользователи ИТ-систем могут приступать к работе. Если есть необходимость смены ключей, то система требует приостановки деятельности на время шифрования новыми ключами.
На этом фоне выгодно выделяется Vormetric, у которого имеется механизм Live Data Transformation (LDT), позволяющий избежать какого-либо простоя пользователей, процесс идет непрерывно, и через некоторое время пользователи уже начнут работать с данными, которые хранятся в зашифрованном виде. Cмена ключей благодаря механизму LDT проходит также абсолютно незаметно для пользователей.
Помимо шифрования данных в составе Vormetric имеется сервер, обеспечивающий токенизацию данных, – крайне востребованный механизм, позволяющий упростить работу с теми данными, которые нежелательно обрабатывать в открытом виде – например, реквизиты платежных карт.
Хранение данных в публичном облаке всегда создает повышенный риск: хозяин данных не может проконтролировать выполнение провайдером услуг даже тех регламентов, о которых провайдер заявляет. Но если компания – владелец данных инсталлирует у себя Vormetric Encryption Gateway, то риск компрометации данных, размещенных в облаке, будет сведен к нулю. Ведь данные у провайдера услуг будут храниться в зашифрованном виде, а их обработка будет возможна только на территории компании – владельца данных.
Немаловажный для ИТ-администраторов вопрос – как повлияет внедрение Vormetric на производительность – ведь шифрование не может не повлиять на быстродействие. Однако, по данным проведенного нашей компанией тестирования, падение производительности не превышает 4%, что практически незаметно для пользователей и некритично для бизнеса.
Vormetric имеет возможность информировать SIEM-систему заказчика о всех событиях, связанных с доступом к данным. Обеспечивается взаимодействие с наиболее распространенными SIEM-системами, среди поставщиков – LogRythm, IntelSecurity, SolarWind, FireEye, Splunk, HP ArcSight.
В заключение – несколько слов о стоимости решения. Лицензирование ведется по числу агентов VTE и количеству DSM. И на наш взгляд, это вполне вменяемая сумма с учетом того обстоятельства, что решение для шифрования данных в случае поставщиков СУБД может оказаться дороже на порядок.