Top menu

Принципы полноценного DLP-контроля

Проблема утечки корпоративных данных носит совсем не маркетинговый характер и не выдумана разработчиками средств защиты. Утечки данных происходят ежедневно во всем мире – как вследствие внешних атак на информацию, так и «благодаря» внутренним, инсайдерским действиям.

В современном цифровом мире невозможно полностью избежать использования различных коммуникационных сервисов и устройств хранения данных, являющихся потенциальными каналами утечки данных ограниченного доступа. Однако, можно и нужно принять во внимание, что доступ к корпоративной информации в правильных условиях имеет ограниченный круг сотрудников, для которых в свою очередь можно и нужно вводить технические и организационные ограничения, а также применять технические средства противодействия инсайдерским утечкам корпоративной информации во избежание финансового и репутационного ущерба.

В условиях принципиального снижения контролирующей роли сетевого периметра корпоративная инфраструктура как таковая перестала быть главной целью кибератак. Профиль угроз сместился в сторону data-центричности, когда внешние атаки направлены на завладение корпоративными данными. В отличие от популярных в прошлом сетецентричных угроз – когда основные атаки были направлены на внесение помех в работу периметра, компрометацию устройств его защиты, проникновение внутрь сети и совершение там различных деструктивных акций типа «вырубить электричество всем серверам и заодно всем лифтам в здании», чтобы потом хвастаться этим в хакерских чатах и сообществах.

Корневой причиной нацеленности современных внешних атак на данные является коммерциализация киберпреступности. Хакерам неинтересно компрометировать сеть организации или ломать отдельный компьютер без дальнейшей выгоды. Цель атаки на данные практически всегда одна – заработать. Для этого они охотятся за информацией, которую можно либо продать третьим сторонам (например, данные кредитных карт или переписку государственных служб) или самим владельцам украденных данных (например, как в актуальных сегодня атаках типа RANSOMWARE), или использовать полученные данные как инструмент в других противоправных мероприятиях. Безусловно, все это не отменяет других угроз и рисков, порожденных киберпреступностью, но в этой статье речь не об интернете вещей, безопасности АСУ ТП и др. – речь о ценностях, которые есть о любой компании, а не только у стратегических и оборонных предприятий.

Механизмы современных атак на данные реализуются на уровне выше сетевого – на уровне либо уязвимостей прикладного программного обеспечения, либо слабой дисциплины и низкой грамотности пользователей. Попросту говоря, нет смысла атаковать корпоративный файерволл, если он не мешает «взломать» компьютер в корпоративной сети на уровне приложений – например, фишингом в почте.

С другой, потребительской стороны, день ото дня неизмеримо возрастают доступность пользователя и значимость его дисциплины при использовании корпоративных данных. Это связано с процессом консьюмеризации корпоративных ИТ-технологий – внедрением в корпоративный сектор технологий и сервисов широкого потребления для решения бизнес-задач, в частности, переговоров с клиентами, субподрядчиками, партнерами и т.п., а также тем фактом, что пользователи работают на Endpoint устройствах, включающих в себя корпоративные рабочие станции и ноутбуки, тонкие клиенты, домашние компьютеры, и, наконец, BYOD-устройства. Все эти устройства позволяют полноценно создавать, обрабатывать, хранить и передавать корпоративные данные.

Пользователь становится центром в информационных процессах и корневым узлом распространения данных, используя «ширпотребовские» устройства и сетевые сервисы. При этом, поскольку многие сетевые сервисы и приложения используют проприетарные средства шифрования и защиты от вмешательства извне, периметры корпоративной сети становятся прозрачными для внешних бизнес-коммуникаций, отпадает возможность их контролировать на периметре сети брандмауэрами, UTM и прочими устройствами сетевой защиты.

Как следствие, наиболее эффективным способом предотвращения утечки информации является контроль потоков данных именно на используемых сотрудниками оконечных устройствах в любых сценариях их применения - как внутри, так и за пределами корпоративной сети. Такой всеобъемлющий контроль принципиально недостижим для сетевых устройств ИБ, включая, кстати, и шлюзовые DLP-устройства – потому что они не могут контролировать ни утечки через локальные порты ПК, ни через сервисы с проприетарным шифрованием, да и вообще никакие каналы не могут контролироваться, если компьютер (например, ноутбук) работает без подключения к корпоративной сети.

Активно продвигаемый некоторыми DLP-вендорами «метод противодействия» утечкам, концепция которого заключается в правиле «выявить утечку и наказать виновного», не является действительно продуктивным в плане предотвращения утечки – никакое наказание нерадивого сотрудника не отменит факт попадания данных ограниченного доступа в чужие руки, и не остановит злоумышленника, если стимул будет достаточно велик. К сожалению, расследование уже случившихся утечек никак не минимизирует риски с технической точки зрения – разве что за счет психологического воздействия на персонал.

В чем суть полноценного контроля? Вы полностью контролируете процесс, если можете точно определить, что и как будет происходить в этом процессе в определенное время при заданных вами условиях. Если какое-то поведение контролируемого объекта не может быть предопределено – это частичный контроль или его имитация при благоприятных условиях. Простой пример – контролирует ли пассажир машину такси? Казалось бы, да – именно он определяет конечную точку маршрута. Но разве он может остановить автомобиль в случае необходимости? Нет, это может только водитель. Значит, у пассажира есть только видимость ограниченного наблюдением контроля. Он отслеживает ситуацию, он сможет рассказать на суде, как именно водитель сбил пешехода. «Хороший» контроль, очень похожий на активно раскручиваемую концепцию Post-DLP систем. Но, увы, не полноценный.

В случае с DLP-решениями суть полноценного контроля – инспекция, детектирование, анализ на соответствие с политикой, конечный результат - принятие решения. Какого решения? Решением может быть запрет или разрешение использования определенных каналов перемещения информации для определенных групп пользователей в реальном времени, в том числе в зависимости от содержимого файлов и данных, чатов, писем, а также регистрация попыток использования и фактов передачи данных и т.д. У службы ИБ должен быть инструментарий для задания параметров принятия такого решения и инструментарий выполнения решения. Тогда и только тогда можно говорить о том, что установлен полноценный контроль каналов передачи данных.

В зарубежной практике краеугольным камнем является именно предотвращение утечек, построенное по принципу минимальных привилегий - вводится запрет использования ряда сервисов и устройств пользователям, которым эти сервисы и устройства по работе не нужны. Если же нужны – значит, доступ предоставляется, но включается активный мониторинг использования устройств и сервисов.

Летом 2016 г. московский офис DeviceLock решал по просьбе нашего немецкого филиала задачу с конверсией политик конкурентного DLP-решения в политики DeviceLock, чтобы переход с одного DLP-продукта на другой в крупнейшем автомобильном концерне прошел безболезненно, без радикального изменения подходов к обеспечению информационной безопасности в профильной части. В процессе анализа применяемых политик и правил выяснилось, что около десяти тысяч пользователей были объединены в типизированные группы, которым были назначены разные права доступа к устройствам и сетевым протоколам. Откровенно преобладали правила запрещающего типа: нет потребности для бизнес-функции – нет доступа. Также активно использовались различные Белые списки, т.е. создание явных исключений из правил для отдельно взятых пользователей под конкретные задачи.

Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации - тех, которые исходят от обычных инсайдеров или связаны с их поведением. Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.

Среди представленных на мировом рынке одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным функционалом в соответствии с рассмотренными угрозами является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных. С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией в реальном времени - анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.

Новая версия DeviceLock DLP 8.2, опубликованная в мае 2017г., предлагает новые функциональные возможности для борьбы с утечками данных – контентная фильтрация с анализом адресов и идентификаторов отправителей и получателей в почтовой переписке и мессенджерах; автоматический инкрементальный полнотекстовый поиск по архиву теневых копий по заданному расписанию; раздельный сбор журналов и теневых копий от пользователей на назначенные пользователям серверы; интерактивный граф связей, позволяющий просмотреть и визуализировать связи между пользователями внутри организации и с внешними пользователями; многое другое.