Top menu

Скажи «нет» своим «пиратам»

14 января 2017 г. в сеть утекла финальная серия нового сезона «Шерлока». Эпизод под названием «Последнее дело» выложили в высоком качестве, в русской озвучке. Первый канал, владеющий правами на показ сериала в России, немедленно заявил, что подозревает в инциденте хакеров. "По предварительной версии, причиной была хакерская атака.", - говорится в заявлении телеканала.

Уже 19 января Первый телеканал сообщил, что утечка произошла «из-за непреднамеренной халатности одного из сотрудников «Первого», который «нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей».

Однако, учитывая, что, как правило, до выпуска в эфир видеоконтент высокого качества находится в изолированной сети, с ограниченным доступом к хранилищу, а для выполнения озвучки перевода и наложения субтитров предоставляется видеоконтент заниженного качества (либо с водными знаками или наложениями на «картинку»), версия с хакерской атакой, хоть и возможна теоретически – но откровенно говоря, звучала как попытка переложить собственные просчеты в обеспечении информационной безопасности на внешних злоумышленников. Сразу было понятно, что с наибольшей вероятностью это была внутренняя утечка, а в роли «хакера» выступил инсайдер. В любом случае, такой сценарий утечки сериала – самый простой и реалистичный, а при наличии простых способов кражи информации искать сложный – по крайней мере нелогично.

Постановка задачи

Пример с Первым телеканалом – весьма типичный и показательный. Контент ограниченного доступа создается организациями, главной ценностью и результатом работы которых является интеллектуальная собственность, художественные произведения, инженерно-технические разработки и т.д. Во всех таких случаях в компаниях используется определенный набор программного обеспечения (системы проектирования, графические и видеомонтажные системы, др.), а ценный контент хранится в ограниченном наборе цифровых форматов данных. Как конечные, так и промежуточные результаты работы таких компаний должны тщательно оберегаться от преждевременной публикации (до выпуска в тираж или эфир, до патентования или передачи в производство, до завершения контракта на разработку).

Помимо этого, ценность могут представлять данные корпоративной переписки, договорная документация и базы данных клиентов и подрядчиков.

Говоря о возможности внешних (хакерских) атак, стоит также учитывать, что Внешняя атака, преодолев средства защиты корпоративного периметра, переходит в категорию внутренних угроз и использует внутренние каналы утечки.

В современном цифровом мире полностью избежать использования различных средств информационных коммуникаций и различных технических средств хранения данных, являющихся потенциальными каналами утечки, невозможно. Однако, можно и нужно принять во внимание, что доступ к корпоративному контенту, представляющему ценность, имеет ограниченный круг сотрудников, для которых в свою очередь можно и нужно вводить технические и организационные ограничения, а также применять технические средства противодействия утечкам корпоративной информации во избежание финансового и репутационного ущерба.

Для организаций рассматриваемого типа цена потери конфиденциальной информации на стадии «черновика» через инсайдера может оказаться на порядки выше, чем когда она уже прошла финальную стадию разработки и получила свободное распространение в корпоративной инфосистеме.

Решение

Очевидно, что решение проблемы не ограничивается какой-либо одной системой, требуется комплекс организационно-технических мер. При этом ключевым звеном будет DLP-система (решение класса Data Leakage Prevention, защита от утечек данных).

Активно продвигаемый рядом DLP-вендоров «метод противодействия» утечкам, концепция которого заключается в правиле «выявить утечку и наказать виновного», в данной модели будет абсолютно непродуктивен – никакое наказание нерадивого сотрудника не отменит факт утечки, и не остановит – если стимул будет достаточно велик.

В вышеупомянутом примере с утечкой «Шерлока» ценная корпоративная информация (видеоконтент) хранилась во внутренней сети организации в цифровом формате. Доступ к таким файлам внутри и вне организации должен иметь ограниченный круг пользователей, что позволяет сформировать перечень (список) авторизованных учетных записей и идентификаторов почтовых аккаунтов и мессенджеров для ограничения ширины контактов ответственных лиц.

Возможности анализа содержимого в случае с видеоконтентом, чертежами и графическими данными, как правило, весьма ограничены, либо вообще сводятся к нулю. Однако, есть другие характерные признаки, позволяющие предотвратить утечку такой информации – это формат данных и размер.

Решением проблемы потенциальной утечки в подобном сценарии будет прежде всего избирательный контроль доступа к различным каналам передачи информации и устройствам хранения данных ля сотрудников, вовлеченных в процесс создания ценного контента. Такой контроль должен включать в себя не сколько и не только блокировку передачи данных на основании определенных службой ИБ критериев, но и детальное протоколирование разрешенных и запрещенных попыток их передачи в сочетании с оперативным уведомлением службы безопасности о таковых попытках.

Простое и эффективное практическое решение в плане технического противодействия утечкам данных в рассматриваемой модели угроз сводится к трем пунктам:

– запретить для ответственных сотрудников передачу файлов определенного типа и размера за пределы Белого списка авторизованных получателей, идентифицируемых DLP-системой непосредственно в фазе передачи сообщений или файлов по электронной почте, мессенджерам, в социальных сетях. При этом факты передачи должны протоколироваться для обеспечения возможности дальнейшего расследования инцидентов.

- запретить доступ к файлообменным ресурсам, ftp-серверам, torrent’ам, поскольку их модель безопасности, как правило, основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь, а не служба ИБ, нет никакой обратной связи таких сетевых приложений с инструментарием корпоративной безопасности. Также стоит ограничить использование внутренних файлообменных ресурсов (SMB) во избежание сговора между сотрудниками с разными уровнями контроля.

- максимально ограничить возможности использования устройств хранения данных, как вариант – использовать Белые списки USB-устройств с контролем на уровне серийного номера. Опять же, протоколирование записи следует рассматривать как обязательный фактор. Здесь также стоит применять ограничение записи по типу и размеру файлов.

Говоря о контроле по типу и размеру файлов, следует помнить, что такой контроль должен опираться на бинарно-сигнатурный анализ данных, а не легко изменяемое пользователем расширение, при этом должны детектироваться и пресекаться простейшие способы маскировки файлов (размещение в архивах и контейнерах).

Вторая часть решения проблемы предполагает периодические и оперативные проверки рабочих станций и сетевых хранилищ, доступных ответственным пользователям, посредством сканирования файловых систем в целях обнаружения конфиденциальной информации, с последующим выполнением заданных службой безопасности действий с обнаруженными документами (от оперативного уведомления службы ИБ до удаления файлов или помещения в карантин).

Все описанные выше технологии и методы противодействия утечкам в рассматриваемой модели гарантированно реализуются с помощью DLP-комплекса DeviceLock DLP Suite.

Возможности системы

С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией «на лету» - анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.

Внедрение, эксплуатация и администрирование

Полная интеграция централизованного управления DeviceLock DLP в групповые политики домена Active Directory позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку DLP-политик в автоматическом режиме. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к базовой консоли - оснастке MMC для групповых политик, предусмотрены также веб-консоль и дополнительная консоль с собственным интерфейсом - DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP.

Условия лицензирования

Комплекс DeviceLock DLP состоит из взаимодополняющих функциональных компонентов: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base, а также DeviceLock Discovery, который может использоваться в составе комплекса или как самостоятельное решение. Лицензионная политика Смарт Лайн Инк предусматривает гибкое функционально-инкрементальное лицензирование комплекса DeviceLock DLP– лицензии приобретаются на отдельные компоненты по числу контролируемых компьютеров. В стоимость лицензий входят годичная стандартная техническая поддержка и право на получение новых версий. По отдельному соглашению также предоставляются профессиональные услуги по реализации проекта, консультационные услуги и расширенная техническая поддержка.