Защита финансовой информации: как избежать утечек
Узнать большеВведение
DLP, Data Leak Prevention, – это системы предотвращения утечек конфиденциальной информации. К наиболее критичной и важной для бизнеса информации относят юридическую (договоры, приказы и прочие документы), финансовую (выписки, ведомости, справки, бухгалтерские проводки) информацию, персональные данные (сотрудников, клиентов, контрагентов), сведения, касающиеся коммерческой составляющей деятельности компании (рыночные исследования, стратегии развития, бизнес-планы) и так далее.
Учитывая современные реалии, потребность в DLP-системах возрастает из-за увеличения количества угроз конфиденциальности данных. Это связано с развитием технологий, распространением портативных носителей и средств копирования информации, переводом большинства данных в цифровую форму и увеличением количества данных, которые обрабатываются и хранятся компаниями. Кроме того, существуют «поведенческие» факторы, которые могут стать причиной утечки конфиденциальной информации, в том числе:
-
неосторожность или злонамеренные действия сотрудников;
-
несоблюдение компанией или ее сотрудниками правил безопасности;
-
утеря или кража устройств, на которых хранится конфиденциальная информация.
Все эти факторы могут повлечь серьезные последствия. Например, когда конфиденциальная информация клиентов попадает в руки злоумышленников, это может подорвать доверие клиентов к компании и нанести ущерб ее репутации. Помимо прочего, в результате утечки конфиденциальной информации конкуренты могут воспользоваться этими сведениями в своих интересах. Если же утечка происходит в государственной организации и касается информации ограниченного доступа, это может привести к угрозе национальной безопасности. Вот почему защита конфиденциальных данных становится все более важной задачей не только для коммерческого сегмента, но и государственных организаций.
Роль DLP в организации
Утечка – это неправомерная передача конфиденциальной информации, нарушение политики компании в отношении процедур передачи важных данных. Под данными подразумевают любую информацию, которой владеет компания. На практике такая информация находится внутри сетевого периметра организации – в защищенной от большинства вредных внешних воздействий области корпоративной сети.
Роль DLP-системы в организации заключается в том, что она позволяет предотвратить утечку данных, отслеживая неправильное использование (data-in-use – используемая информация), отправку (data-in-motion – информация в движении) и хранение (data-at-rest – информация в состоянии покоя) ценной информации. Если система обнаруживает нарушение правил безопасности, то она автоматически блокирует передачу данных или отправляет предупреждение администратору.
Информация в движении (data-in-motion) контролируется через мониторинг корпоративной и личной веб-почты, публикаций на интернет-ресурсах, отправки документа на печать, перемещения ее на съемные носители и прочие средства передачи информации с использованием корпоративной сети или корпоративных рабочих станций. При этом типе мониторинга делается акцент на идентификации данных, их источнике и назначении и последующем контроле потока информации в соответствии с политикой безопасности.
Контроль информации в состоянии покоя подразумевает сканирование корпоративной сети для выявления всех мест хранения и последующее создание карты сети для получения информации обо всех узлах, ресурсах, каталогах, файлах. В случае обнаружения факта хранения документов в неположенном месте DLP-система может применять ряд защитных мер: отправлять файлы на карантин, заменять изъятые файлы «заглушкой», контролировать появление на этих ресурсах новых данных и изменение старых, оповещать специалиста информационной безопасности об изъятии или перемещении файлов, нарушающих политику безопасности. Кроме того, возможно организационное регулирование, применение шифрования, обеспечение контроля доступа к данным с помощью IGA-решений, физические запреты (например, запрет использования внешних носителей).
В мониторинг используемой информации традиционно включают контроль за действиями сотрудников, смещая фокус с данных на пользователя. Сбор данных об активности пользователя позволяет анализировать его поведение посредством технологии User Behaviour Analytics (UBA) и принимать проактивные меры в случае обнаружения сведений о зарождающихся угрозах со стороны сотрудников. В связи с возрастающим потоком информации это дешевле и удобнее, чем реагирование постфактум. Такой подход называется People-Centric Security – безопасность с фокусом на человеке.
DLP-система помогает компаниям сохранить ценную информацию, определяя тип конфиденциальных данных и проводя мониторинг их передачи через каналы коммуникаций. Если система обнаруживает действия с данными, которые противоречат политики безопасности компании, то она принимает меры для предотвращения их утечки, используя различные технологии DLP-систем по анализу данных.
Технологии в DLP-системе для предотвращения утечек данных
В любой компании, независимо от размера и отрасли, ежедневно происходит обмен информацией разного содержания и уровня важности между сотрудниками, партнерами, клиентами и другими заинтересованными сторонами. Чтобы не пропустить что-то действительно важное, в DLP реализованы алгоритмы, которые позволяют из большого потока информации выделить именно ту, утечка которой может подвергнуть компанию риску, – тем самым предотвращая эту утечку.
Алгоритмы в технологиях DLP-систем работают следующим образом:
1. В первую очередь «отбрасываются» сообщения, не представляющие для DLP интереса (например, корпоративные рассылки, новости и т. д.).
2. Далее система определяет канал коммуникации, по которому сообщение было передано. Канал коммуникации – это способ, которым оно передается, например: мессенджер, исходящая почта либо облачные хранилища.
3. Применяется политика фильтрации.
4. По результатам срабатывания политики для событий, которые DLP-система посчитала важными, применяются действия к объектам перехвата. Это может быть, например, регистрация событий, отправка уведомлений офицеру информационной безопасности или блокировка передачи, если система находится в активном режиме.
5. Вся собранная информация может помещаться в архив и использоваться для дальнейшей деятельности службы информационной, внутренней и экономической безопасности.
Итак, важной составляющей технологий DLP-систем является умение «видеть» информацию. Для достижения этой цели DLP-система использует различные методы анализа данных. DLP-система способна анализировать различные виды контента и контекст, в рамках которого такой контент существует.
Контекстный анализ является одним из ключевых методов анализа данных в DLP-системе. Он основан на анализе контекста, в котором используется конфиденциальная информация, исходя из степени ее чувствительности и ценности для организации. Благодаря применению контекстного анализа, технологии DLP-системы способны идентифицировать средство отправки информации, выявить ее взаимосвязь с конкретным отправителем и т. д.
Контекстный анализ осуществляется путем исследования следующих метаданных:
-
формат объекта;
-
размер перехваченного объекта;
-
дата и время перехвата объекта;
-
источник информации;
-
адреса отправителей и получателей;
-
информация об отправителях и получателях.
Контентный анализ данных в DLP-системе – это процесс исследования содержания данных с целью выявления конфиденциальной информации. Основной функционал контентного анализа в DLP-системе заключается в сканировании данных, включая поиск ключевых слов и фраз, анализ содержания и семантики текста.
Контентный анализ в DLP-системе происходит с помощью следующих средств:
-
лингвистический анализ;
-
выявление регулярных выражений;
-
создание цифровых отпечатков;
-
распознавание графических шаблонов.
Лингвистический анализ
Одним из важных инструментов, который используется в технологиях DLP-системы, является лингвистический анализ. Она используется для обнаружения конфиденциальной информации на основе ее смыслового контекста. Лингвистический анализ позволяет автоматически распознавать и классифицировать различные языковые элементы, такие как слова, фразы, предложения и т. д. Это помогает системе понимать смысл текста и выделять важную информацию, ключевые слова и фразы, которые могут указывать на конфиденциальную информацию (например, «секретно», «коммерческая тайна» и т. д.). Система может обнаружить утечку данных, если пользователь отправил сообщение с фразой «наша новая разработка» или «наш новый проект», которая указывает на конфиденциальную информацию. Для определения языка текста используются алгоритмы, которые анализируют частоту использования букв и слов в тексте. Использование технологии лингвистического анализа в DLP-системе позволяет расширить возможности обнаружения утечек данных, учитывая не только формальные признаки конфиденциальной информации, но и ее содержание.
Регулярные выражения
Выявление регулярных выражений (Regular Expressions) является одной из ключевых технологий в DLP-системе. Для анализа регулярных выражений в DLP-системе используются специальные алгоритмы, которые позволяют сканировать большие объемы данных и находить соответствия заданным шаблонам. Шаблон описывает одну или несколько строк, которые должны обеспечить совпадение при выполнении поиска в тексте. Анализ регулярных выражений может использоваться для обнаружения номеров кредитных карт, счетов, паспортов и других конфиденциальных данных.
DLP-система использует регулярные выражения для создания шаблонов, которые соответствуют заданным конфиденциальным данным. Затем она сканирует текстовые данные, такие как электронные письма, документы и сообщения, и ищет совпадения с этими шаблонами. Если система обнаруживает совпадение, то она может принять меры для предотвращения утечки данных, например заблокировать отправку сообщения или предупредить офицера информационной безопасности.
Цифровые отпечатки (DiFi, digital fingerprints)
Технология цифровых отпечатков (Digital Fingerprints) – это метод, используемый в системе предотвращения утечек данных (DLP-системе) для обнаружения конфиденциальной информации на основе ее уникальных характеристик.
Для создания цифрового отпечатка система использует алгоритмы хеширования, которые преобразуют конфиденциальную информацию в уникальный набор символов. Затем система сканирует текстовые данные и ищет совпадения с цифровым отпечатком. Если система находит совпадение, то она может принять меры для предотвращения утечки данных, например заблокировать отправку сообщения или предупредить офицера информационной безопасности.
Технология наилучшим образом подходит для решения следующих задач контроля передачи текстовых документов и изображений:
-
Контроль передачи конкретного документа целиком («как есть»).
-
Контроль передачи частей документа, в том числе с изменением формата хранения.
-
Контроль передачи однотипных документов, имеющих совпадающие части или соответствующих какому-либо шаблону.
-
Контроль и передача малой части данных.
Благодаря этой технологии DLP-системы можно защитить конфиденциальную информацию, в том числе если она была подвергнута трансформации. Например, ее отредактировали и повторно отсканировали, исказили и т. д.
Использование технологии цифровых отпечатков в DLP-системе позволяет обнаруживать утечки данных, которые могут быть пропущены с помощью технологии регулярных выражений и лингвистического анализа. При этом она также способствует уменьшению количества ложных срабатываний, обеспечивая более точный и надежный контроль за конфиденциальной информацией.
Графические шаблоны
Технология обеспечивает возможность контроля передачи наиболее значимых данных в графических форматах. DLP-система с достаточной точностью распознает в изображениях:
-
паспорт РФ: разворот 3-й страницы, содержащей персональные данные;
-
печати организаций (круглую и треугольную);
-
лицевую и оборотную стороны платежной карты.
После формирования графического шаблона офицер безопасности может легко задать правила, по которым сообщения, содержащие заданные в шаблоне объекты, будут перехватываться системой автоматически.
Контекстный и контентный методы анализа являются важными составляющими анализа данных в технологиях DLP-системы. Они позволяют определять, содержится ли в передаваемых данных конфиденциальная информация, и принимать соответствующие меры для ее защиты. Для достижения максимальной эффективности DLP-система должна использовать несколько методов анализа данных и постоянно совершенствоваться.
Заключение
Возможности технологий DLP-систем постоянно расширяются. В настоящий момент на рынке представлены DLP-системы, в которых реализованы не только классические функции мониторинга каналов передачи данных, но и инструменты профилактики: анализ поведения пользователей, выявление аномалий, скрытых связей сотрудников. Происходит расширение аналитического инструментария, позволяющего всестороннее анализировать события и расследовать инциденты информационной безопасности. Таким образом, DLP-система начинает представлять собой мультифункциональный инструмент, который можно использовать для обеспечения информационной, экономической, кадровой безопасности.