Джентельменский набор для защиты от утечек информации: выбираем конфигурацию DLP
Вот‑вот будет принят законопроект, предусматривающий оборотные штрафы за утечку персональных данных. А помимо очевидных финансовых потерь, пострадавшие компании также терпят колоссальный репутационный ущерб. Для защиты от утечек информации есть отдельный класс ИБ‑решений — Data Leak Prevention. В этой статье расскажем, что это, как сделать правильный выбор конфигурации такой системы и определить гигиенический минимум функциональности конкретно для ваших задач.
Предположим, вы руководите предприятием, в котором работают сотрудники, живые люди. Предположим, предприятие это современное, на острие прогресса — в нём есть и CRM, и ERP, доступ в интернет и даже бесплатные печеньки на кухне. Разумеется, и коммерческие тайны, и персональные данные клиентов в его деятельности также имеются.
Время сейчас нелёгкое, тектонические изменения миропорядка сопровождаются настоящей кибервойной, и поэтому вы надежно защитились от разных кибернеприятностей: внедрен межсетевой экран нового поколения, трафик туннелируется, настроен поточный антивирус, работает система обнаружения и предотвращения вторжений, удаленный доступ осуществляется через надежное средство организации виртуальной частной сети (в народе VPN). Периметр защищен полностью. Однако одним прекрасным утром весь новостной «Телеграм» пестрит сообщениями об утечке данных из вашего предприятия.
Казалось бы, вы были защищены по всем современным правилам ИБ! Оказывается, дело тут вовсе не в хакерах, которые бродят вокруг периметра. Просто бухгалтер или специалист по кадрам отправил себе на почту выгрузку из базы данных в excel-формате. Может, он хотел поработать дома. А может — комфортно уволиться, захватив с собой контакты всех своих контрагентов. А может даже для того, чтобы передать эту выгрузку злоумышленнику, который не стал тратить время на взлом вашей NGFW, а предпочел заплатить рядовому сотруднику необременительную сумму.
Подобным нехитрым образом утекает огромное количество данных — и это не преувеличение.
За неполный 2023 год, по данным «Солара», 385 российских организаций стали жертвами утечек.
Всего утекло:
· 4,84 млрд строк данных
· 142,1 млн адресов электронной почты
· 222 млн телефонных номеров
Каждая такая утечка сказывается на предприятии весьма болезненно: это и прямые финансовые потери, включающие штрафы от регуляторов, и потери, которые точно подсчитать невозможно, поскольку они репутационные, а репутация — это самое дорогое, что есть у организации.
Необходимо осознать, что угрозы существуют не только внешние, но и внутренние. Из этого следует важный вывод.
Любой организации необходимо средство, способное максимально защитить её от внутренних угроз
Отвечает за такую защиту отдельный класс решений — Data Leak Prevention (DLP), защита от утечек информации. Это программное решение, которое блокирует передачу конфиденциальных документов, помогает выявлять признаки корпоративного мошенничества, облегчает профилактику инцидентов безопасности.
Практически любая уважающая себя современная DLP имеет модульную структуру, то есть функционал её можно конфигурировать под потребности конкретной компании и впоследствии удобно наращивать, докупая только те функции, которые реально необходимы. Давайте попробуем разобраться, каков же необходимый минимум функциональных возможностей DLP, который уменьшит риски утечек до приемлемого уровня.
Для наглядности будем опираться на архитектуру DLP нашего производства — Solar Dozor.
Электронная почта — основной канал утечек конфиденциальной информации
Может показаться странным, но основная часть сотрудников свободно использует электронную почту вообще для всего: как для переписок по работе, так и для отправки себе или кому-то другому конфиденциальной информации (вплоть до коммерческой тайны компании). Поэтому первоочередным и важнейшим модулем DLP является средство контроля корпоративной электронной почты.
В нашем Solar Dozor этот модуль называется Mail Connector. Этот модуль умеет получать копии сообщений от сервера электронной почты (MS Exchange, Communigate, Zimbra и так далее) и фильтровать сообщения в соответствии с настроенной политикой безопасности. Можно проводить сквозные расследования на распределенном по всей организации архиве корпоративных переписок. При установке «в разрыв» сети модуль умеет блокировать отправку писем, помещать подозрительные отправления в карантин и даже изменять содержимое писем (например, в случае если офицерами безопасности задумана сложная операция по дезинформации конкурентов). Однако, принимая решение о способе внедрения, следует учитывать, что установка в разрыв может привести к незначительному увеличению сроков доставки.
Более сложный случай: картинки и pdf‑файлы
Обязательно нужно быть готовым, что чувствительная информация может передаваться в графических форматах. DLP-системы используют технологию оптического распознавания символов – OCR. Очень рекомендую не забыть этот модуль при выборе DLP‑системы, его важность трудно переоценить.
Модуль Solar Dozor так и называется, OCR. Точность поточного распознавания текста из картинок составляет внушительные 98%, а его пропускная способность — аж 1Тб в сутки.
Web-трафик: банально, но очень важно
Отчасти вопрос контроля за действиями сотрудников в интернете закрывают решения SWG или NGFW (а в начале статьи мы условились, что периметр организации надежно защищен, и значит, такое решение уже внедрено). Для анализа трафика пользователей, проходящего через них, используется специальный модуль. С его помощью можно контролировать, что именно пишет сотрудник на форумах и соцсетях, какие данные он передает в облака.
Наш модуль называется Traffic Analyzer. Модуль захватывает и входящий, и исходящий трафик, пересобирает пакеты, анализирует и разбирает захваченный трафик, отправляя полученные данные в ядро Dozor на проверку и фильтрацию согласно настроенным политикам. Напомню, что этот модуль в обязательном порядке требует наличия источника данных — лучше всего, если это будет Solar webProxy или Solar NGFW, но подойдёт и любой другой прокси-сервер или маршрутизатор с поддержкой передачи трафика по протоколу ICAP или со SPAN-порта. Также источником трафика может служить наш Endpoint Agent, о котором ниже.
Что сотрудник делает на рабочем компьютере?
Для этого контроля существует специальная программка, которая устанавливается на рабочие компьютеры контролируемых пользователей. Кроме действий непосредственно на компьютере, она должна отслеживать доступ к принтерам, к внешним файловым хранилищам (в том числе к флешкам или USB‑HDD), буферу обмена и так далее. Необходимо охватить мессенджеры — важнейший канал, через который утечки происходят чаще всего, наряду с электронной почтой. В идеале, агент может отслеживать названия посещаемых сайтов и открытых приложений, время работы с ними, может записывать видео происходящего на экране пользователя и транслировать его в реальном времени офицеру безопасности, записывать звук с микрофона рабочей станции, снимать скриншоты с экрана.
Все это умеет программка в нашем Dozor — модуль Endpoint Agent. Причем неважно, под управлением какой ОС работают компьютеры ваших сотрудников: это может быть и Windows из откровенно недружественной страны, и MacOS из всё той же недружественной страны, но уже с некоторым эстетским уклоном, а может быть и наш великий и могучий Линукс (поддерживаются практически все самые востребованные и популярные решения). Агент контролирует любые действия сотрудника, причем способен перехватывать данные, которые невозможно перехватить на шлюзе (например, переписку, защищенную end-to-end шифрованием). Поддерживаются все наиболее популярные мессенджеры: Telegram, WhatsApp, Viber, Skype, Zoom, Express, TrueConf и так далее.
Итак, вот наш необходимый минимум
Перечисленные модули — важнейшие, это и есть наш гигиенический минимум конфигурации DLP для обеспечения полноценной защиты от утечек. В порядке убывания важности их можно расставить так:
- Модуль контроля почты (в Solar Dozor это Mail Connector)
- Модуль контроля активности на компьютере (Endpoint Agent)
- Модуль анализа web-трафика (Traffic Analyzer)
- Модуль для распознавания графических форматов (OCR).
Однако DLP способна и на большее, поэтому нельзя не рассказать о других существующих модулях.
Контролируем данные в локальных хранилищах
Инвентаризировать данные, находящиеся в покое в хранилищах, нужно, чтобы
- выявлять нарушения правил хранения конфиденциальной информации: например, документ, составляющий коммерческую тайну компании, лежит в общем доступе);
- контролировать содержимое локальных машин и сетевых ресурсов сотрудников;
- автоматически мониторить и классифицировать корпоративные данные на файловых ресурсах;
- контролировать файлообмен между сотрудниками и целыми отделами, сканировать сеть и строить ее дерево;
- обнаруживать неавторизованные запущенные сервисы.
В Solar Dozor этим целям служит модуль File Crawler, и он важнейший после вышеперечисленных четырех модулей. Модуль использует дата-центричный подход к ИБ предприятия и отчасти может заменить даже специализированные DCAP-решения.
Оптимизируем хранение архивов
Для любого предприятия важно иметь архив электронной почты, однако хранить десятки и сотни гигабайт информации на боевых серверах довольно недешево. Поэтому необходимо специализированное средство, которое позволяет переносить архив (или его части) на более дешевые носители, например, на ленты.
Специально для этого разработан модуль DLP Long-Term Archive. Название говорит само за себя. Он умеет управлять несколькими хранилищами, переносить данные на долгосрочное хранение и оперативно подключать обратно к DLP части базы данных сообщений (например, для проведения расследований).
Анализируем поведение
Чтобы обеспечить полнофункциональный контроль рабочего времени, что очень актуально в случае удаленной работы, DLP‑система может быть оснащена аналитическими модулями. У нас есть модуль Dossier, который работает в сочетании с Endpoint Agent. Он умеет выявлять взаимосвязи между пользователями (в том числе скрытые), исследовать интенсивность коммуникации между сотрудниками и ее каналы, строить отчеты по конкретному человеку по расписанию, разово или регулярно. Благодаря этому модулю можно выстраивать уровни доверия к конкретным сотрудникам.
Dossier является средством для обработки и отображения данных, получаемых из самого инновационного модуля DLP. На сегодня он есть только в Solar Dozor и называется UBA (User Behavior Analytics) — анализ поведения пользователей.
Самый простой пример: сотрудник всегда работает с 10 до 18, но внезапно в один из дней появляется на работе в 22 часа. Не факт, что это что-то плохое, но это аномалия, на которую офицеру безопасности необходимо обратить внимание.
Пример посложнее: у сотрудника 99% корпоративной переписки происходит внутри периметра компании, но вдруг происходит всплеск email-активности с внешними получателями, и это серьезный повод для офицера безопасности присмотреться к этим письмам.
Модуль умеет строить индивидуальные профили поведения, автоматически выявлять поведенческие аномалии, профилировать сотрудников по паттернам поведения (поддерживается до 20 разных паттернов), выявлять опасные массовые тенденции, искать взаимосвязи между событиями ИБ и поведенческими аномалиями, сравнивать модели поведения разных сотрудников и многое другое. Анализ поведения — передовая технология, за которой будущее современного кибербеза, и очень полезный инструмент, в том числе в расследовании инцидентов.
Управляем географически распределенной сетью
Еще один уникальный для DLP модуль, присутствующий в Solar Dozor — MultiDozor. Он удобен, когда предприятие географически распределено, с большом количеством филиалов и ДЗО. Этот модуль объединяет разрозненные инсталляции в единое целое с минимизацией нагрузки на сеть передачи данных и позволяет проводить сквозные расследования по всей филиальной сети. Если, например, локальные сотрудники ИБ и офицеры из центрального аппарата должны иметь разные права, MultiDozor позволяет разделить уровни доступа к системе.
Вывод
Утечки изнутри компании могут происходить десятками и сотнями различных способов, поэтому их предотвращение — важнейший и непростой процесс информационной безопасности. Решения DLP —архитектурно сложные программные комплексы с огромным количеством самых разных функциональных возможностей. Принимая решение внедрить такую систему очень важно разобраться в тонкостях ее эксплуатации и сделать правильный выбор конфигурации исходя из того, каков необходимый минимум для обеспечения внутренней безопасности на конкретно вашем предприятии.
Надеемся, этот материал в этом поможет!