Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеКак работает DLP-система
Основная задача DLP-системы — предотвращение утечек информации. Кроме того, такие решения позволяют расследовать инциденты, связанные с утечками важных данных, а также выявлять сотрудников, склонных к нарушениям. Работа всех современных DLP-систем строится на схожих принципах. Они держат в фокусе 3 вида сущностей. Это — информация, нарушения и люди. Поэтому, рассмотрев принцип работы DLP-системы на примере нашего решения Solar Dozor, вы получите представление и о функционировании аналогов. Конечно, в зависимости от вендора, будут свои нюансы, но общие принципы и подходы идентичны.
Сценарии (режимы) работы DLP-систем
Сценарии использования решений для предотвращения утечек информации можно разделить на 2 больше группы: мониторинг обстановки и расследование инцидентов. Большую часть времени DLP-система в компании используется в режиме мониторинга.
Функционирование системы предотвращения утечек информации в режиме мониторинга
DLP-системы отслеживают:
-
исходящий и входящий web-трафик;
-
коммуникации сотрудников по различным каналам связи, в социальных сетях, на форумах и иных ресурсах;
-
информацию, хранящуюся на рабочих станциях, серверах, в облачных хранилищах;
-
факты загрузки файлов на съемные носители;
-
внесение изменений в документы, отправку их на печать и прочие события;
-
рабочее время и действия сотрудников: использование программного обеспечения, интернет-сервисов, попытки изменения конфигурации ПО, оборудования и так далее.
В режиме мониторинга работа DLP-систем основана на использовании предустановленных и настроенных пользователей правил и политик. Решение фильтрует трафик, действия пользователей и другие явления и формирует из них события информационной безопасности. Далее события поступают на обработку офицеру службы информационной безопасности (либо специалисту первой линии, в зависимости от структуры службы ИБ в компании). Перед этим каждому из них присваивается степень важности (опасности). Офицер по информационной безопасности обрабатывает событие, и принимает решение, «пропустить» его или присвоить статус инцидента. Инциденты поступают на обработку аналитикам, которые принимают решение о назначении расследования или других действиях.
При необходимости можно настроить автоматическую реакцию DLP-системы на критические события информационной безопасности. Это позволит реализовать выполнение основной задачи таких решений — предотвращение утечек, а не их обнаружение постфактум. Например, при обнаружении в отправляемом сообщении или прикрепленном файле запрещенной информации система блокирует его передачу. Далее сведения о событии передаются офицеру службы информационной безопасности, который принимает решение, действительно ли имеет место инцидент и требуется расследование, или разблокирует событие.
Аналитики (вторая линия ИБ) проводят детальный анализ инцидента и принимают по его результатам соответствующие меры. Они могут быть разными: инициирование расследования, отнесение сотрудника к определенной группе риска с организацией наблюдения за ним и так далее.
Мониторинг организуется на хостовом и сетевом уровне. Наблюдение за хостами осуществляется при помощи endpoint-агентов. Для наблюдения за серверами, proxy и другими компонентами IT-инфраструктуры также используются специальные агенты.
Работа DLP-систем при проведении расследований инцидентов ИБ
Основой для расследования инцидентов информационной безопасности служит архив коммуникаций и событий, происходящих в защищаемой IT-инфраструктуре. Его в обязательном создает в процессе работы любая DLP-система. При расследовании инцидентов в области ИБ решения для предотвращения утечек могут:
-
формировать цепочки событий, спровоцировавших возникновение инцидента;
-
выявлять нарушителей требований в области ИБ, устанавливать их связи внутри защищаемого периметра и за его пределами;
-
строить схемы распространения информации, с помощью которых отслеживается полный путь движения данных от момента создания до утечки;
-
выявлять аномалии в поведении сотрудников, которые могли привести к утечкам и другим явлениям в защищаемой инфраструктуре.
Расследования с помощью DLP-решений могут вестись в отношении персоны, а также в отношении объекта. В качестве объектов выступают различные сущности: файлы, архивы, наборы конфигураций оборудования и так далее.
Модули и технологии, обеспечивающие работу DLP-систем
Добиться высоких показателей эффективности в сочетании с удобством использования решений для предотвращения утечек позволяет модульная система их построения. В частности, работу Solar Dozor обеспечивают следующие компоненты и модули:
-
базовый модуль. Обеспечивает реализацию основного функционала решения: установку политик безопасности, фильтрацию информации, организацию хранения архива коммуникаций, управление событиями безопасности, поиск по архиву, формирование отчетности;
-
модуль долговременного хранения архива. Отдельный компонент для управления архивами — это очень удобно. С его помощью организуется упорядочивание баз с коммуникациями и событиями, их подключение / отключение при расследовании инцидентов и так далее;
-
компоненты для распознавания текста. OCR-модуль, как правило есть в составе базового. Но для увеличения качества распознавания целесообразно подключать сторонние решения. Например, в Solar Dozor подключён модуль от ABBYY, обеспечивающий распознавание до 1 Тб в сутки, что почти на 380% больше, чем у аналогов;
-
модуль UBA. Важная часть DLP-решения. Позволяет сфокусироваться на сотрудниках (большинство инцидентов случается как раз из-за них);
Кроме того, при необходимости можно подключать модули для организации защиты от утечек информации филиалов, удаленных сотрудников. Возможна интеграция системы со сторонними решениями (SIEM и другими) для сбора контекстной информации об инцидентах, что повышает качество их расследования.
