Top menu

Зачем нужны технологии Discovery

Последние десять лет, являясь микроскопическим по исторически меркам периодом, стали целой эпохой в плане развития микроэлектроники широкого потребления, компьютерных и телекоммуникационных технологий. Невероятный прогресс в этих областях кардинально изменил подходы к предоставлению доступа к используемым в бизнес-процессах данным, способам и средствам их хранения и передачи.

Любые сотрудники – это всегда еще и люди. Все они имеют свои рабочие задачи, контактируют с коллегами, партнерами и клиентами, что в совокупности образует бизнес-измерение их жизни. В то же время все они имеют устоявшиеся отношения с семьей, друзьями, различные личные интересы, образующие уже другое – личное социальное измерение. При этом, что крайне важно, сотрудники всех организаций живут в обоих измерениях в одно и то же время, не разделяя для себя часы личной жизни и рабочие, что обусловлено в том числе возможностью прозрачно использовать доступные технические средства и сетевые сервисы для всех потребностей и коммуникаций – и личных, и служебных.

Сотрудников же, отвечающих за информационную безопасность, заботит защищенность корпоративных данных вне зависимости от личных интересов и пристрастий сотрудников других бизнес-подразделений. Корпоративная ИБ должна решать задачу защиты документов и любых конфиденциальных сведений, хранимых в электронной форме, при этом не разрушая производственные процессы. Преимущества от предоставления пользователям возможности использовать различные современные устройства и коммуникационные каналы всегда тесно переплетается с рисками, вытекающими из этих возможностей.

Широчайшее распространение и низкая стоимость съемных носителей данных позволяет легко решить бизнес-задачу передачи документов партнерам, создать персональные и коллективные резервные хранилища ценных данных с рабочих компьютеров – но при этом емкость современных флеш-накопителей такова, что зачастую пользователи загружают на них все подряд – попросту содержимое всего персонального компьютера, не задумываясь о последствиях.

Впрочем, традиционный метод хранения и передачи данных на флеш-дисках теряет свою актуальность с точки зрения «продвинутого пользователя» (но не службы ИБ!) в силу высокой доступности облачных сервисов файлового обмена, прозрачно встраивающихся в операционную систему или доступных в любом браузере. Все облачные хранилища предлагают возможность загрузки документов практически неограниченного размера с легким способом предоставления доступа третьим лицам к опубликованным файлам, что в сочетании с фактором бесплатности сервиса и легкой регистрацией делает их весьма удобными для использования в бизнес-процессах, предполагающих обмен данными. С точки зрения же службы ИБ любой облачный сервис представляет из себя огромную угрозу безопасности, поскольку размещен за пределами возможностей контроля.

Социальные медиа-средства для большинства организаций становятся жизненно важным инструментом поддержки ряда бизнес-процессов. Взаимодействие через социальные медиа, как внутреннее, так и внешнее, используется для построения и развития бренда, улучшения репутации компании и повышения лояльности клиентов, поиска талантливых сотрудников, мобилизации коллективного знания работников, сокращения цикла разработки, и улучшения обратной связи в процессах технической поддержки. HR-менеджеры подбирают кандидатов в социальных сетях LinkedIn и XING, команды разработчиков публикуют результаты исследований, корпоративные руководства и документацию на внутренних корпоративных Wiki-порталах, персонал служб технической поддержки активно использует сервисы мгновенных сообщений для оперативного обсуждения проблем. Многие CRM-системы построены на наборе социальных коммуникаций, профилированных под специфические задачи бизнеса. Распространение BYOD-устройств в корпоративной ИТ-среде – еще одна важная причина, по которой невозможно игнорировать или предотвратить использование социальных коммуникаций в корпоративном секторе. Просто невозможно каким-либо остановить желания и потребности людей публиковать записи в блогах,

участвовать в чатах и дискуссиях в социальных сетях, просматривать любимые социальные сети с личных лэптопов и смартфонов – при том, что эти же устройства могут использоваться и для решения производственных задач.

Сервис мгновенных сообщений Skype практически с момента своего появления пользуется огромной популярностью в малых и средних организациях, которые широко применяют низкозатратные решения VoIP и сервисы мгновенных сообщений для внутреннего взаимодействия и внешних коммуникаций. Еще до поглощения компанией Microsoft в 2011 г., более 35 процентов пользователей Skype представляли собой малые компании, использовавшие Skype как первичное средство коммуникаций. Очевидно, что даже установленный у пользователя для решения бизнес-задач мессенджер будет использоваться в рабочее время еще и для поддержания коммуникаций в личном социальном измерении, и этот факт порождает проблему для ИБ – необходимость детектировать направление передачи данных через Skype и другие коммуникаторы и определять допустимость передачи в зависимости от адресата «на том конце» и содержимого передаваемых данных.

Безусловно, удобство использования современных устройств и сервисов в сети Интернет не оспаривается, равно как и повышение эффективности производственных процессов как следствие. Однако же, наряду с массой пользовательских удобств технологический прогресс и консьюмеризация корпоративных ИТ способствовали созданию благодатной питательной среды для целого класса новых угроз и рисков ИБ невиданных доселе опасности и масштабов. Эти угрозы стали результатом сближения ряда основных факторов, описанных ниже.

Прежде всего, стоит отметить коммерциализацию отрасли киберпреступности, ставшей информационно-центричной, и имеющей конечною целью извлечение прибыли – преступность интересуется данными и только данными, а не взломом ради взлома. Действия злоумышленников направлены на хищение у бизнеса и государства наиболее ценных данных с последующей продажей или использованием для прямой кражи денег (например, выводом с карточных счетов). Как результат, ключевым компонентом практически всех решений и систем, создаваемых киберпреступниками, стали компоненты, реализующие передачу данных, найденных в зараженных элементах корпоративных ИС (рабочие станции, серверы и сетевые хранилища данных), вовне – то есть утечку данных.

Во-вторых, нельзя сбрасывать со счетов легкодоступность и простоту использования съемных накопителей. Да, эта проблема уже давно и многократно описана, как и методы противодействия. Тем не менее демонстрация уязвимости BadUSB 7 августа 2014 г. на конференции Black Hat в Лас-Вегасе лишний раз подчеркнула, что отсутствие надлежащего контроля USB-портов в организации может привести к краже интеллектуальной собственности всей компании за считанные секунды, и для этого будет достаточно всего одной зараженной флешки.

Следующий критически значимый фактор – это уровень развития архитектуры современных сетевых приложений, особенно построенных на Web 2.0. Большинство сервисов социальных сетей, приложения облачных хранилищ, мессенджеры (в особенности уже упомянутый выше Skype) – попросту игнорируют корпоративные средства защиты и границы инфраструктуры. Кроме того, в силу свойств стандарта HTML5 любой браузер, совместимый с этим стандартом, уже является платформой для прозрачной работы приложений сквозь различные корпоративные границы и средства защиты периметра. Практически все приложения, созданные для удобства пользователей, для удовлетворения их социальных потребностей – функционируют абсолютно без какой-либо обратной связи с инструментарием корпоративной безопасности и контроля. Модель информационной безопасности потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь – который далеко не всегда является владельцем данных, будучи также сотрудником какой-либо организации. Ярким примером является использование облачных файловых хранилищ, когда сам работник решает, какие файлы хранить в облаке – и кому уже потом, после размещения данных в облаке – предоставить к ним доступ.

Наконец, фактор виртуализации корпоративных ресурсов и использования арендуемых корпоративных облачных сервисов. Да, виртуализация позволяет отделить задачи использования компьютерных ресурсов от любых забот по их поддержке и сопровождению, что существенно снижает накладные расходы организаций и облегчает жизнь служб ИТ. Однако же при этом становится невозможным физический контроль доступа к эксплуатируемым ИТ-компонентам и данным, размещенным в арендуемых хранилищах. Тот факт, что корпоративные данные находятся и обрабатываются вне пределов ИТ-инфраструктуры организации, делает невозможным определение их фактического местоположения, следствием чего является практическая бесполезность средств защиты, функционирующих на периметре корпоративной сети.

Все вышеописанные факторы позволяют сделать однозначный вывод о том, что современная корпоративная модель ИБ, чтобы стать реально эффективной, должна быть информационно-центричной, опираться на совокупность контроля непосредственно данных и различных потоков их передачи и распространения.

Таким образом, в условиях, когда управление доступа к данным и контроль их перемещения за пределы корпоративных информационных систем практически нереально обеспечить традиционными средствами защиты инфраструктуры (брандмауэрами, прокси-серверами, корпоративными порталами и т.п.), а пользователи при этом стремятся активно и повсеместно использовать личные устройства и различные сетевые сервисы, как описано выше – многократно возрастают риски утечки конфиденциальных корпоративных данных, связанные с тем, что они хранятся ненадлежащим образом (в местах c неограниченным доступом для внутренних пользователей организации) или в незащищенной форме. При этом самыми примитивным, а значит, наиболее вероятным сценарием утечки является использование любых ИТ-сервисов, доступных на персональном уровне и не требующих обслуживания корпоративными службами ИТ.

В качестве примера можно рассмотреть публикацию инсайдером в личном хранилище Dropbox документов, взятых с корпоративного файлового сервера – доступ к которым инсайдер имеет в силу своих должностных полномочий. Можно предполагать, что передача документов на Dropbox выполняется в благих целях, например, для последующей работы вне офиса в режиме аврала, но последствия могут быть абсолютно непредсказуемыми, поскольку дальнейший доступ к этим документам на Dropbox может получить кто угодно – и определяет это уже не служба ИБ, а инсайдер или сторонний злоумышленник, получивший доступ к облачному хранилищу (недавние примеры с массовой утечкой аккаунтов электронной почты и фотографий знаменитостей до сих пор на слуху). Другой пример – сотрудник размещает корпоративные документы, с которыми он работает, на своем компьютере в папке с общим сетевым доступом, после чего другой сотрудник получает несанкционированный доступ к этим документам по сети, копирует конфиденциальные данные и уже неконтролируемо передает их по Skype своим друзьям, не являющимся сотрудниками организации.

Для контроля различных каналов передачи и средств хранения данных широко используются решения класса Data Leak Prevention – DLP-системы. Однако же вполне реалистичен сценарий, когда контроль сетевых сервисов или устройств хранения данных для некоторых сотрудников будет ослаблен, например, в силу гипотетического отсутствия доступа к конфиденциальным документам – но способы получения доступа всегда найдутся хотя бы за счет применения методов социальной инженерии. Практически невозможно предсказать, какие ухищрения может использовать инсайдер, желающий использовать корпоративные документы за пределами офиса, не говоря уже о том, что ряд современных DLP-систем все еще существенно ограничен по ширине контролируемых каналов и сервисов. Стоит также напомнить, что многие популярные сетевые сервисы созданы для удобства людей, а не для обеспечения задач корпоративной ИБ, вследствие чего риски утечки сохраняются даже при повсеместном внедрении DLP-средств в организации.

Именно поэтому в составе комплексных DLP-решений наряду с системами защиты от утечек данных при доступе к ним (Data-in-Use DLP) и их передаче (Data-in-Motion DLP) исключительно важно применение компонентов поиска и предотвращения утечек хранимых данных (Data-at-Rest DLP), которые в англоязычном лексиконе обозначаются термином “content discovery”. Задачей таких discovery-компонентов является поиск и обнаружение в корпоративной ИТ-инфраструктуре конфиденциальных документов и данных. Такие технические меры позволяют своевременно выявить несанкционированное хранение данных сотрудниками и выполнить задачу превентивной защиты от утечки. Попросту говоря, X-фактор в проблематике утечки данных, когда заранее неизвестно, какой канал утечки, кем и когда может быть задействован, может быть успешно блокирован за счет discovery-компонента DLP-системы. Утечки данных пресекаются еще до того, как инсайдер совершит попытку передачи или несанкционированного выноса конфиденциальных данных за пределы корпоративной инфраструктуры.

В октябре 2014 г. российскому рынку был представлен программный продукт DeviceLock Discovery, как самостоятельный функциональный компонент программного комплекса DeviceLock DLP Suite, позволяющий организациям контролировать местоположение и уровень защищенности конфиденциальных корпоративных данных, хранимых в ИТ-инфраструктуре, в целях проактивного предотвращения их утечек и обеспечения соответствия корпоративным стандартам безопасности и требованиям отраслевых и государственных регуляторов.

Посредством автоматического сканирования данных, размещенных на рабочих станциях Windows внутри и вне корпоративной сети, внутренних сетевых ресурсах и системах хранения данных, DeviceLock Discovery обнаруживает документы и файлы, содержимое которых нарушает политику безопасного хранения корпоративных данных и осуществляет с ними различные опциональные превентивно-защитные действия, заданные в DLP-политике. Кроме того, при обнаружении документов, хранимых с нарушением политики, DeviceLock Discovery может инициировать внешние процедуры управления инцидентами, направляя оперативные тревожные оповещения в SIEM-системы, используемые в организации.

В зависимости от топологии локальной сети и других специфических особенностей защищаемой ИТ-среды DeviceLock Discovery может выполнять сканирование в различных режимах – удаленно (без установки агента на сканируемый ресурс) или посредством автоматической установки собственного агента либо использования мощностей встроенного в полнофункциональный агент DeviceLock модуля сканирования. В режиме удаленного сканирования инспектируемые файлы загружаются на сервер, где производится извлечение и анализ их содержимого с последующими действиями по устранению нарушений, выполняемыми также по протоколу SMB. В частности, удаленное сканирование является единственным способом контроля хранимых данных на компьютерах под управлением операционных систем, не поддерживаемых DeviceLock (таких, как Linux и др.), а также NAS-устройствах. При локальном сканировании содержимое файлов на рабочих станциях проверяется агентами локально с применением заданных действий по устранению нарушений в зависимости от обнаруженного контента. Помимо ключевой возможности сканирования локальных файловых систем на корпоративных компьютерах, режим агентского сканирования обеспечивает существенное преимущество в производительности. Во-первых, сканирование локальной файловой системы не требует передачи файлов на центральный сервер по сети, а значит, не снижает ее пропускную способность. Во-вторых, распределение процессорной нагрузки при инспектировании содержимого локальных файлов на множество агентов существенно снижает нагрузку на сервер Discovery.

Сканирование DeviceLock Discovery может быть инициировано вручную администратором или автоматически сервером в соответствии с заданным расписанием. В качестве целевых узлов для сканирования задаются определенные компьютеры или группы компьютеров, общие сетевые ресурсы и хранилища в корпоративной сети. Агенты DeviceLock Discovery устанавливаются и удаляются с целевых компьютеров сервером DeviceLock Discovery автоматически и незаметно для пользователей.

DeviceLock Discovery обнаруживает текстовые данные в файлах более чем 120 форматов, а также архивах более 40 типов, в том числе неограниченного уровня вложенности. Для выявления конфиденциальной информации в тексте инспектируемого объекта DeviceLock Discovery использует различные методы детектирования структурированных данных, включая поиск по ключевым словам и шаблоны регулярных выражений (RegExp). Для облегчения задачи создания правил контентной фильтрации продукт поставляется со встроенными промышленными и геоспецифичными терминологическими словарями, предопределенными шаблонами регулярных выражений для наиболее распространенных видов конфиденциальной информации, таких как номера паспортов, кредитных карт, транспортных средств и банковских счетов, адреса, и многое другое. Кроме того, DeviceLock предоставляет администраторам возможность разработки собственных словарей и шаблонов, а также модификации встроенных. Точность детектирования контента повышается за счет использования морфологического анализа словоформ заданных ключевых слов на английском, французском, итальянском, португальском, русском, испанском и каталонском языках.

В дополнение к методам инспекции данных в текстовых объектах и файлах, встроенный модуль оптического распознавания символов (OCR) позволяет DeviceLock Discovery проверять текстовое содержимое графических файлов более чем 30 форматов, а также изображений, встроенных в документы и другие объекты данных. Благодаря распознаванию 26 языков в сочетании с поддержкой встроенных промышленных словарей и регулярных выражений высокоэффективный OCR-модуль обеспечивает DeviceLock Discovery возможность обнаруживать и контролировать конфиденциальные данные, представленные в графической форме, предотвращая их утечку.

Уникальной особенностью DeviceLock Discovery является наличие встроенного модуля OCR во всех компонентах комплекса, включая сервер DeviceLock Discovery, агенты DeviceLock Discovery и DeviceLock Service. Такая распределенная архитектура функции оптического распознавания символов значительно повышает общую производительность, сферу применения и надежность решения. В силу того, что графические объекты сканируются и проверяются встроенными в агенты модулями OCR непосредственно на контролируемых компьютерах, существенно снижается нагрузка на Discovery Server и каналы связи корпоративной сети. Более того, такая архитектурная реализация OCR позволяет расширить сферу применения DLP-политик, предотвращающих утечки данных, на компьютеры сотрудников, используемые вне корпоративной сети, например, в командировках или дома.

Определение типа файла (поддерживаются более 5300 типов) – это еще один способ инспекции данных, используемый DeviceLock Discovery как отдельно, так и в сочетании с проверкой их текстового содержимого. Определение типов файлов основано на бинарно-сигнатурном методе и не зависит от расширения файла. В дополнение к описанным выше технологиям для обнаружения определенных типов документов могут использоваться такие критерии, как расширенные свойства документов и файлов. Гибкость детектирования контента обеспечивается также за счет возможности задания комплексных правил, в которых множественные методы обнаружения текста и типов данных с различными критериями соответствия могут комбинироваться с использованием логических операторов (И/ИЛИ/НЕ) для создания контентно-зависимых правил любой сложности и глубины.

В случае обнаружения в сканируемых документах и файлах содержимого конфиденциального характера, DeviceLock Discovery может автоматически выполнить превентивные действия по устранению выявленных нарушений, такие как удаление (файла, архива или контейнера), изменение прав доступа или шифрование, а также тревожное оповещение администратора или уведомление пользователя о выявленном нарушении.

Компонент DeviceLock Discovery может приобретаться и использоваться как самостоятельный продукт независимо от прочих компонентов комплекса DeviceLock DLP Suite, так и как часть полнофункциональной DLP-системы.