Предотвращение утечек информации
Принципы работы систем класса DLP, их соответствие современным рискам и вызовам в сфере информационной безопасности - ICORE

Принципы работы систем класса DLP, их соответствие современным рискам и вызовам в сфере информационной безопасности

Наверное, излишне говорить, что мы живем в особое время. Перед миром стоят вызовы, равных которым еще не было в современной истории. Один из главных вызовов –– информационная война, которая идет в масштабах, коих раньше вообще никогда не было. А раз информация стала оружием, то и обеспечение ее безопасности становится стратегической задачей.

Мы знаем, что за последний год давление на ИТ-инфраструктуру стран СНГ возросло в разы. Причем угрозы появляются не только снаружи, но и изнутри: на фоне происходящего в стране активизировались всякого рода недоброжелатели, которые влились в ряды нехороших людей, которых в информационной безопасности (ИБ) называют инсайдерами.

Инсайдеры могут нанести организации значительный, а то и непоправимый ущерб. Он может выразиться в том числе в утечке информации ограниченного доступа. В связи с этим встает вопрос о защите внутреннего контура от возможных утечек. В организации за это должны отвечать СЗИ (средства защиты информации), главная из которых – DLP-система. На нее ложится контроль внутренних и внешних коммуникаций сотрудников и анализ информационных потоков: корпоративной почты и мессенджеров, печати на принтерах, записи на внешние носители, взаимодействия с внутренними и внешними информационными системами. Конечно, DLP также может контролировать и личную почту сотрудников, общественные файлообменники, соцсети и прочее, если они используются на рабочем АРМ. Но мы подразумеваем, что такая активность пользователей в организации с высоким уровнем ИБ должна быть запрещена и будет пресекаться на уровне файрволов и других специализированных СЗИ, хотя современные DLP-системы, и Solar Dozor в частности, обладают такой функциональностью и способны ограничивать действия пользователей. Сразу скажу, что мы рассматриваем возможности DLP-систем в целом, но Solar Dozor, который я представляю, – это одна из наиболее зрелых российских систем предотвращения утечек, и все сказанное мной про DLP в полной мере относится именно к нему.

Аббревиатура DLP расшифровывается как система предотвращения утечек информации, а значит, в идеале она должна пресекать попытки передачи информации из закрытого контура. В этом случае для контроля, например, почты DLP-система настраивается «в разрыв», то есть сервер DLP становится шлюзом, через который проходит почтовый поток. При этом DLP в соответствии со своими политиками безопасности распаковывает и анализирует почтовые сообщения, в результате чего информация классифицируется по содержимому и в случае выявления попытки отправки запрещенного контента за пределы контура такая отправка пресекается и сообщение не уходит. Система регистрирует событие и уведомляет об этом по почте подразделение, ответственное за ИБ.

Далее уполномоченные сотрудники анализируют событие и при необходимости принимают решение о возбуждении инцидента – это в том случае, если срабатывание DLP-системы было оправданно. Если же выясняется, что срабатывание было ложноположительным, то заблокированное сообщение можно вручную отправить получателям. Кстати, о ложноположительных срабатываниях (ЛПС). При неправильной настройке политики существует риск возникновения большого числа таких ЛПС, что в активном режиме, о котором сейчас идет речь, может привести к коллапсу почтового трафика и, как следствие, – к серьезному сбою в бизнес-процессах организации. Чтобы избегать таких ситуаций, требуется тонкая настройка политики DLP‑системы с использованием наборов исключений и исключаемого текста. К слову, гибкость настройки политики – это один из самых важных критериев при выборе DLP-системы. Качественная политика – это залог и снижения потенциальных рисков утечки, и сокращения трудозатрат на разбор инцидентов.

Но вернемся к почте. При настройке системы «в разрыв» мы можем не только блокировать сообщения, попадающие под политику, но и всё-таки отправлять их получателям, при этом удаляя или заменяя файлы, содержащие конфиденциальные данные. В Solar Dozor эта технология называется реконструкцией сообщений. То есть сообщение все равно дойдет до получателей, но без конфиденциальной информации, которая была изъята DLP-системой на этапе фильтрации. Этот механизм очень удобен в случаях, когда серьезное вмешательство в бизнес-процессы со стороны DLP-системы не допускается ЛНА (локальными нормативными актами организации).

В централизованном активном режиме можно обрабатывать не только почту, а также пользовательские веб-запросы, поступающие с прокси/NGFW, а также переписку и файлы, передаваемые в корпоративных мессенджерах. Конечно, работа в режиме активного противодействия предъявляет дополнительные требования к ресурсам и отказоустойчивости кластера DLP, но тем не менее он является наиболее эффективным для предотвращения утечек информации.

Помимо этого, DLP-систему можно использовать и в другом режиме: так называемом режиме журналирования. В этом случае, например, почтовый трафик пойдет обычным маршрутом, но его копия поступит на анализ в DLP с прокси-сервера или корпоративной почтовой системы, а переписка корпоративного мессенджера – с соответствующего сервера. Использование данного режима хотя и не предотвращает утечки, но дает офицеру ИБ полное представление о содержимом информационных потоков и позволяет проводить расследования, связанные с нарушением правил обработки конфиденциальной информации в корпоративной сети передачи данных (КСПД).

Также средствами DLP-системы можно контролировать информацию в покое. Для этого, например, в Solar Dozor есть специальный модуль – File Crawler, который проводит аудит и классификацию данных, хранящихся в файловых хранилищах и на АРМ (автоматизированное рабочее место) пользователей. В случае обнаружения конфиденциальной информации в неположенном месте она изымается и переносится в специальное файловое хранилище, а на ее месте остается информативный файл-заглушка.

На АРМ активное противодействие осуществляется с помощью агентов, которые могут блокировать запуск заданных приложений, копирование и печать конфиденциальной информации, а также ограничивать использование съемных носителей, применяя белые и черные списки. С помощью агента можно контролировать и многое другое, например личную почту пользователей и открытые файловые шары, но, как было сказано ранее, такие каналы должны блокироваться в любой организации в принципе, централизованно и с использованием других СЗИ.

Теперь немного о том, что и как регистрировать. В первую очередь, конечно, речь идет об информации ограниченного доступа. Для этого в организации должен быть классификатор такой информации, определяющий степень критичности различных категорий данных. Соответственно и политика безопасности DLP-системы должна быть настроена на выявление передачи конфиденциальной информации (КИ). В первую очередь это ограничительные грифы, которыми КИ должна маркироваться. Но не менее важен и контентный анализ данных, то есть – по содержимому, потому что гриф на документе может быть еще не проставлен или он намеренно скрыт.

При настройке политики не стоит забывать про персональные данные, утечки которых в последний год опять увеличились – даже если говорить только о тех, случаях, которые получили огласку. При этом закон и регуляторов никто не отменял, а штрафы за утечки ПДн для организаций постоянно растут. Уместно напомнить, что если некто И. на работе отсканировал и отправил на личный почтовый ящик свой паспорт, то формально это сделал не гражданин И., а организация с использованием учетки своего сотрудника отправила за пределы сети персональные данные физического лица И. То есть при неблагоприятном развитии событий это уже явное нарушение регуляторных норм со всеми вытекающими последствиями (не говоря о том, что Иванов использовал корпоративную инфраструктуру в личных целях, что тоже нарушение). Поэтому подобные инциденты надо, конечно же, пресекать.

Кроме того, в DLP-системе рекомендуется настраивать политику не только на выявление информации, в конфиденциальном характере которой нет никаких сомнений. Также необходимо регистрировать зашифрованные архивы и зашифрованные файлы, которые DLP-система не смогла открыть или классифицировать, так как они также могут содержать конфиденциальную информацию. Только в этом случае можно считать, что политика настроена правильно.

Но вернемся к инсайдерам, о которых я говорил ранее. Социальный и возрастной срез этой категории людей очень широкий, и их выявление требует от службы ИБ/СБ значительных усилий. Тут тоже DLP-системы могут помочь. Так, в Solar Dozor разработан модуль поведенческого анализа, UBA, позволяющий с помощью преднастроенных паттернов выявлять аномальные активности в поведении сотрудников. К примеру, в течение длительного времени человека отличало устойчивое, в пределах нормы поведение, но в какой-то момент оно резко изменилось и стало необычным. Если перефразировать – его поведенческая температура стала намного выше средней по палате. Вот этот скачок офицер ИБ и может увидеть в системе и принять по отношению к такому человеку меры превентивного характера. Например, поставить на особый контроль, применить к нему более строгие политики DLP или провести какие-то оперативные мероприятия.

За счет того что DLP-система обладает широкими возможностями по перехвату различных информационных потоков и хранит огромный массив многообразных данных, она становится востребована и в, казалось бы, непрофильных для нее сферах, выполняя самые разные функции: выявлять аномалии, перехватывать действия пользователей на АРМ, записывать видео с экрана ПК, контролировать рабочее время и многое другое.

При этом в структуре ИБ организации DLP не является обособленным звеном: она гармонично в нее вписывается и передает собранные события для дальнейшего использования в IRP, SIEM и BI, что позволяет офицерам ИБ обрабатывать поступившие инциденты в едином информационном пространстве. При этом статистика по событиям DLP будет отображаться на общих дашбордах ИБ.

Говоря об ИБ-инфраструктуре, хочу упомянуть не то чтобы новую, но обострившуюся потребность бизнеса в корпоративной масштабируемости, которую должна поддерживать DLP-система. В крупных корпорациях филиалы – это вообще отдельные компании, и хотя у части из них своя производственная специфика и свои требования к ИБ, не хорошо, когда в головной организации и филиалах стоят неунифицированные СЗИ, и DLP в частности. Поддерживать их дорого, трудозатратно и просто неудобно, централизованный контроль и управление отсутствуют. Лучше всего, когда корпорацию защищает единая DLP-система. Например, модуль MultiDozor, который активно развивает наша компания. Продукт позволяет решить вопрос единой корпоративной DLP. С одной стороны, он обеспечивает раздельное хранение данных и локальные точки входа в систему, с другой – позволяет аналитикам обрабатывать информационные потоки головной организации и дочек как едиными, так раздельными политиками. Головная организация видит общую картину ИБ в корпорации, а региональные подразделения ИБ управляют инцидентами только своих филиалов. Это, конечно, уже решение Enterprise-уровня, и оно требует от DLP соответствующего технологического совершенства. В этом смысле Solar Dozor с крупнейшей в Европе инсталляцией на 300 000 пользователей – пожалуй, лучший выбор.

И наконец, остановлюсь еще на одной животрепещущей теме: импортозамещения. Эта проблема в последнее время коснулась всех сфер нашей жизни, не обошла стороной и корпоративную ИБ, в частности – системы предотвращения утечек. Многие организации столкнулись с проблемой, когда пришлось оперативно принимать решения по замене иностранных систем на российские аналоги, а у производителей DLP встал вопрос о замене своих импортных программных компонентов на российские или хотя бы опенсорсные решения. Кстати, Solar Dozor как раз оказался в выигрышном положении, так как изначально базировался на ОС CentOS, и уже несколько лет как работает на Astra Linux и других российских системах. У нас есть полнофункциональный Linux-агент и организована интеграция досье с FreeIPA и ALD Pro, обеспечена поддержка российских почтовых систем и мессенджеров. Мы продолжаем развиваться в этом направлении. Что касается упомянутых выше вынужденных миграций, в этой части у ГК «Солар» есть успешный опыт: мы провели (и продолжаем вести) несколько проектов миграции заказчиков на нашу DLP-систему с использующихся ранее, например с Forcepoint и McAfee. Это непростая работа, ведь заказчики на таких проектах хотят максимально сохранить привычную функциональность – проще говоря, чтобы стало «как было», – но мы успешно справляемся.

Нынешние тревожные времена наложили особый отпечаток на всех и каждого. К ИБ и DLP, в частности, предъявляются новые требования, причем в условиях жесткого цейтнота. Но мы приняли вызов, мобилизовали свои ресурсы и не просто держим удар – нам, кроме прочего, есть чем ответить.

Источник
https://rt-solar.ru/products/solar_dozor/blog/3872/
https://icore.kz/predotvrashhenie-utechek-informaczii/solar-dozor/

Автор:
Мешавкин Дмитрий, руководитель группы продуктовой аналитики Solar Dozor, группа компаний «Солар»

Адаптация:
Лебедев Александр