Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеНаверное, излишне говорить, что мы живем в особое время. Перед страной стоят вызовы, равных которым еще не было в современной истории. Один из главных вызовов –– информационная война, которая идет в масштабах, коих раньше вообще никогда не было. А раз информация стала оружием, то и обеспечение ее безопасности становится стратегической задачей.
Мы знаем, что за последний год давление на отечественную ИТ-инфраструктуру возросло в разы. Причем угрозы появляются не только снаружи, но и изнутри: на фоне происходящего в стране активизировались всякого рода недоброжелатели, которые влились в ряды нехороших людей, которых в информационной безопасности (ИБ) называют инсайдерами.
Инсайдеры могут нанести организации значительный, а то и непоправимый ущерб. Он может выразиться в том числе в утечке информации ограниченного доступа. В связи с этим встает вопрос о защите внутреннего контура от возможных утечек. В организации за это должны отвечать СЗИ (средства защиты информации), главная из которых – DLP-система. На нее ложится контроль внутренних и внешних коммуникаций сотрудников и анализ информационных потоков: корпоративной почты и мессенджеров, печати на принтерах, записи на внешние носители, взаимодействия с внутренними и внешними информационными системами. Конечно, DLP также может контролировать и личную почту сотрудников, общественные файлообменники, соцсети и прочее, если они используются на рабочем АРМ. Но мы подразумеваем, что такая активность пользователей в организации с высоким уровнем ИБ должна быть запрещена и будет пресекаться на уровне файрволов и других специализированных СЗИ, хотя современные DLP-системы, и Solar Dozor в частности, обладают такой функциональностью и способны ограничивать действия пользователей. Сразу скажу, что мы рассматриваем возможности DLP-систем в целом, но Solar Dozor, который я представляю, – это одна из наиболее зрелых отечественных систем предотвращения утечек, и все сказанное мной про DLP в полной мере относится именно к нему.
Аббревиатура DLP расшифровывается как система предотвращения утечек информации, а значит, в идеале она должна пресекать попытки передачи информации из закрытого контура. В этом случае для контроля, например, почты DLP-система настраивается «в разрыв», то есть сервер DLP становится шлюзом, через который проходит почтовый поток. При этом DLP в соответствии со своими политиками безопасности распаковывает и анализирует почтовые сообщения, в результате чего информация классифицируется по содержимому и в случае выявления попытки отправки запрещенного контента за пределы контура такая отправка пресекается и сообщение не уходит. Система регистрирует событие и уведомляет об этом по почте подразделение, ответственное за ИБ.
Далее уполномоченные сотрудники анализируют событие и при необходимости принимают решение о возбуждении инцидента – это в том случае, если срабатывание DLP-системы было оправданно. Если же выясняется, что срабатывание было ложноположительным, то заблокированное сообщение можно вручную отправить получателям. Кстати, о ложноположительных срабатываниях (ЛПС). При неправильной настройке политики существует риск возникновения большого числа таких ЛПС, что в активном режиме, о котором сейчас идет речь, может привести к коллапсу почтового трафика и, как следствие, – к серьезному сбою в бизнес-процессах организации. Чтобы избегать таких ситуаций, требуется тонкая настройка политики DLP‑системы с использованием наборов исключений и исключаемого текста. К слову, гибкость настройки политики – это один из самых важных критериев при выборе DLP-системы. Качественная политика – это залог и снижения потенциальных рисков утечки, и сокращения трудозатрат на разбор инцидентов.
Но вернемся к почте. При настройке системы «в разрыв» мы можем не только блокировать сообщения, попадающие под политику, но и всё-таки отправлять их получателям, при этом удаляя или заменяя файлы, содержащие конфиденциальные данные. В Solar Dozor эта технология называется реконструкцией сообщений. То есть сообщение все равно дойдет до получателей, но без конфиденциальной информации, которая была изъята DLP-системой на этапе фильтрации. Этот механизм очень удобен в случаях, когда серьезное вмешательство в бизнес-процессы со стороны DLP-системы не допускается ЛНА (локальными нормативными актами организации).
В централизованном активном режиме можно обрабатывать не только почту, а также пользовательские веб-запросы, поступающие с прокси/NGFW, а также переписку и файлы, передаваемые в корпоративных мессенджерах. Конечно, работа в режиме активного противодействия предъявляет дополнительные требования к ресурсам и отказоустойчивости кластера DLP, но тем не менее он является наиболее эффективным для предотвращения утечек информации.
Помимо этого, DLP-систему можно использовать и в другом режиме: так называемом режиме журналирования. В этом случае, например, почтовый трафик пойдет обычным маршрутом, но его копия поступит на анализ в DLP с прокси-сервера или корпоративной почтовой системы, а переписка корпоративного мессенджера – с соответствующего сервера. Использование данного режима хотя и не предотвращает утечки, но дает офицеру ИБ полное представление о содержимом информационных потоков и позволяет проводить расследования, связанные с нарушением правил обработки конфиденциальной информации в корпоративной сети передачи данных (КСПД).
Также средствами DLP-системы можно контролировать информацию в покое. Для этого, например, в Solar Dozor есть специальный модуль – File Crawler, который проводит аудит и классификацию данных, хранящихся в файловых хранилищах и на АРМ (автоматизированное рабочее место) пользователей. В случае обнаружения конфиденциальной информации в неположенном месте она изымается и переносится в специальное файловое хранилище, а на ее месте остается информативный файл-заглушка.
На АРМ активное противодействие осуществляется с помощью агентов, которые могут блокировать запуск заданных приложений, копирование и печать конфиденциальной информации, а также ограничивать использование съемных носителей, применяя белые и черные списки. С помощью агента можно контролировать и многое другое, например личную почту пользователей и открытые файловые шары, но, как было сказано ранее, такие каналы должны блокироваться в любой организации в принципе, централизованно и с использованием других СЗИ.
Теперь немного о том, что и как регистрировать. В первую очередь, конечно, речь идет об информации ограниченного доступа. Для этого в организации должен быть классификатор такой информации, определяющий степень критичности различных категорий данных. Соответственно и политика безопасности DLP-системы должна быть настроена на выявление передачи конфиденциальной информации (КИ). В первую очередь это ограничительные грифы, которыми КИ должна маркироваться. Но не менее важен и контентный анализ данных, то есть – по содержимому, потому что гриф на документе может быть еще не проставлен или он намеренно скрыт.
При настройке политики не стоит забывать про персональные данные, утечки которых в последний год опять увеличились – даже если говорить только о тех, случаях, которые получили огласку. При этом 152-ФЗ никто не отменял, а штрафы за утечки ПДн для организаций постоянно растут. Уместно напомнить, что если некто И. на работе отсканировал и отправил на личный почтовый ящик свой паспорт, то формально это сделал не гражданин И., а организация с использованием учетки своего сотрудника отправила за пределы сети персональные данные физического лица И. То есть при неблагоприятном развитии событий это уже явное нарушение 152-ФЗ со всеми вытекающими последствиями (не говоря о том, что Иванов использовал корпоративную инфраструктуру в личных целях, что тоже нарушение). Поэтому подобные инциденты надо, конечно же, пресекать.
Кроме того, в DLP-системе рекомендуется настраивать политику не только на выявление информации, в конфиденциальном характере которой нет никаких сомнений. Также необходимо регистрировать зашифрованные архивы и зашифрованные файлы, которые DLP-система не смогла открыть или классифицировать, так как они также могут содержать конфиденциальную информацию. Только в этом случае можно считать, что политика настроена правильно.
Но вернемся к инсайдерам, о которых я говорил ранее. Социальный и возрастной срез этой категории людей очень широкий, и их выявление требует от службы ИБ/СБ значительных усилий. Тут тоже DLP-системы могут помочь. Так, в Solar Dozor разработан модуль поведенческого анализа, UBA, позволяющий с помощью преднастроенных паттернов выявлять аномальные активности в поведении сотрудников. К примеру, в течение длительного времени человека отличало устойчивое, в пределах нормы поведение, но в какой-то момент оно резко изменилось и стало необычным. Если перефразировать – его поведенческая температура стала намного выше средней по палате. Вот этот скачок офицер ИБ и может увидеть в системе и принять по отношению к такому человеку меры превентивного характера. Например, поставить на особый контроль, применить к нему более строгие политики DLP или провести какие-то оперативные мероприятия.
За счет того что DLP-система обладает широкими возможностями по перехвату различных информационных потоков и хранит огромный массив многообразных данных, она становится востребована и в, казалось бы, непрофильных для нее сферах, выполняя самые разные функции: выявлять аномалии, перехватывать действия пользователей на АРМ, записывать видео с экрана ПК, контролировать рабочее время и многое другое.
При этом в структуре ИБ организации DLP не является обособленным звеном: она гармонично в нее вписывается и передает собранные события для дальнейшего использования в IRP, SIEM и BI, что позволяет офицерам ИБ обрабатывать поступившие инциденты в едином информационном пространстве. При этом статистика по событиям DLP будет отображаться на общих дашбордах ИБ.
Говоря об ИБ-инфраструктуре, хочу упомянуть не то чтобы новую, но обострившуюся потребность бизнеса в корпоративной масштабируемости, которую должна поддерживать DLP-система. В крупных корпорациях филиалы – это вообще отдельные компании, и хотя у части из них своя производственная специфика и свои требования к ИБ, не хорошо, когда в головной организации и филиалах стоят неунифицированные СЗИ, и DLP в частности. Поддерживать их дорого, трудозатратно и просто неудобно, централизованный контроль и управление отсутствуют. Лучше всего, когда корпорацию защищает единая DLP-система. Например, модуль MultiDozor, который активно развивает наша компания. Продукт позволяет решить вопрос единой корпоративной DLP. С одной стороны, он обеспечивает раздельное хранение данных и локальные точки входа в систему, с другой – позволяет аналитикам обрабатывать информационные потоки головной организации и дочек как едиными, так раздельными политиками. Головная организация видит общую картину ИБ в корпорации, а региональные подразделения ИБ управляют инцидентами только своих филиалов. Это, конечно, уже решение Enterprise-уровня, и оно требует от DLP соответствующего технологического совершенства. В этом смысле Solar Dozor с крупнейшей в Европе инсталляцией на 300 000 пользователей – пожалуй, лучший выбор.
И наконец, остановлюсь еще на одной животрепещущей теме: импортозамещения. Эта проблема в последнее время коснулась всех сфер нашей жизни, не обошла стороной и корпоративную ИБ, в частности – системы предотвращения утечек. Многие организации столкнулись с проблемой, когда пришлось оперативно принимать решения по замене иностранных систем на отечественные аналоги, а у производителей DLP встал вопрос о замене своих импортных программных компонентов на отечественные или хотя бы опенсорсные решения. Кстати, Solar Dozor как раз оказался в выигрышном положении, так как изначально базировался на ОС CentOS, и уже несколько лет как работает на Astra Linux и других отечественных системах. У нас есть полнофункциональный Linux-агент и организована интеграция досье с FreeIPA и ALD Pro, обеспечена поддержка отечественных почтовых систем и мессенджеров. Мы продолжаем развиваться в этом направлении. Что касается упомянутых выше вынужденных миграций, в этой части у ГК «Солар» есть успешный опыт: мы провели (и продолжаем вести) несколько проектов миграции заказчиков на нашу DLP-систему с использующихся ранее, например с Forcepoint и McAfee. Это непростая работа, ведь заказчики на таких проектах хотят максимально сохранить привычную функциональность – проще говоря, чтобы стало «как было», – но мы успешно справляемся.
Нынешние тревожные времена наложили особый отпечаток на всех и каждого. К ИБ и DLP, в частности, предъявляются новые требования, причем в условиях жесткого цейтнота. Но мы приняли вызов, мобилизовали свои ресурсы и не просто держим удар – нам, кроме прочего, есть чем ответить.
