Контакты
Подписка
МЕНЮ
Контакты
Подписка

Принципы полноценного DLP-контроля

Принципы полноценного DLP-контроля

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Принципы полноценного DLP-контроля

Проблема утечки корпоративных данных носит совсем не маркетинговый характер и не выдумана разработчиками средств защиты. Утечки данных происходят ежедневно во всем мире – как вследствие внешних атак на информацию, так и “благодаря” внутренним, инсайдерским действиям. В современном цифровом мире невозможно полностью избежать использования различных коммуникационных сервисов и устройств хранения данных, являющихся потенциальными каналами утечки данных ограниченного доступа. Однако можно и нужно принять во внимание, что доступ к корпоративной информации в правильных условиях имеет ограниченный круг сотрудников, для которых, в свою очередь, можно и нужно вводить технические и организационные ограничения, а также применять технические средства противодействия инсайдерским утечкам корпоративной информации во избежание финансового и репутационного ущерба.
Корневой причиной нацеленности современных внешних атак на данные является коммерциализация киберпреступности. Хакерам неинтересно компрометировать сеть организации или ломать отдельный компьютер без дальнейшей выгоды. Цель атаки на данные практически всегда одна – заработать. Для этого они охотятся за информацией, которую можно либо продать третьим сторонам (например, данные кредитных карт или переписку государственных служб) или самим владельцам украденных данных (например, как в актуальных сегодня атаках типа RANSOMWARE), либо использовать полученные данные как инструмент в иных противоправных мероприятиях. Безусловно, все это не отменяет других угроз и рисков, порожденных киберпреступностью, но в этой статье речь не об Интернете вещей, безопасности АСУ ТП и др. – речь о ценностях, которые есть в любой компании, а не только у стратегических и оборонных предприятий.

В условиях принципиального снижения контролирующей роли сетевого периметра корпоративная инфраструктура как таковая перестала быть главной целью кибератак. Профиль угроз сместился в сторону Data-центричности, когда внешние атаки направлены на завладение корпоративными данными, в отличие от популярных в прошлом сете-центричных угроз, когда основные атаки были направлены на внесение помех в работу периметра, компрометацию устройств его защиты, проникновение внутрь сети и совершение там различных деструктивных акций типа "вырубить электричество всем серверам и заодно всем лифтам в здании", чтобы потом хвастаться этим в хакерских чатах и сообществах.

Механизмы современных атак на данные реализуются на уровне выше сетевого – на уровне либо уязвимостей прикладного программного обеспечения, либо слабой дисциплины и низкой грамотности пользователей. Попросту говоря, нет смысла атаковать корпоративный файерволл, если он не мешает "взломать" компьютер в корпоративной сети на уровне приложений, например фишингом в почте.

С другой, потребительской стороны, день ото дня неизмеримо возрастают доступность пользователя и значимость его дисциплины при использовании корпоративных данных. Это связано с процессом кон-сьюмеризации корпоративных ИТ-технологий – внедрением в корпоративный сектор технологий и сервисов широкого потребления для решения бизнес-задач, в частности переговоров с клиентами, субподрядчиками, партнерами и т.п., а также с тем фактом, что пользователи работают на End-point-устройствах, включающих в себя корпоративные рабочие станции и ноутбуки, тонкие клиенты, домашние компьютеры и, наконец, BYOD-устрой-ства. Все эти устройства позволяют полноценно создавать, обрабатывать, хранить и передавать корпоративные данные.

Пользователь становится центром в информационных процессах и корневым узлом распространения данных, используя "ширпотребовские" устройства и сетевые сервисы. При этом, поскольку многие сетевые сервисы и приложения используют проприетарные средства шифрования и защиты от вмешательства извне, периметры корпоративной сети становятся прозрачными для внешних бизнес-коммуникаций, отпадает возможность их контролировать на периметре сети брандмауэрами, UTM-и прочими устройствами сетевой защиты.

В зарубежной практике краеугольным камнем является именно предотвращение утечек, построенное по принципу минимальных привилегий: вводится запрет использования ряда сервисов и устройств пользователями, которым эти сервисы и устройства по работе не нужны. Если же нужны – значит, доступ предоставляется, но включается активный мониторинг использования устройств и сервисов.
Летом 2016 г. московский офис DeviceLock решал по просьбе нашего немецкого филиала задачу с конверсией политик конкурентного DLP-решения в политики DeviceLock, чтобы переход с одного DLP-продукта на другой в крупнейшем автомобильном концерне прошел безболезненно, без радикального изменения подходов к обеспечению информационной безопасности в профильной части. В процессе анализа применяемых политик и правил выяснилось, что около 10 тыс. пользователей были объединены в типизированные группы, которым были назначены разные права доступа к устройствам и сетевым протоколам. Откровенно преобладали правила запрещающего типа: нет потребности для бизнес-функции – нет доступа. Активно использовались также различные "белые списки", то есть создание явных исключений из правил для отдельно взятых пользователей под конкретные задачи.

Как следствие, наиболее эффективным способом предотвращения утечки информации является контроль потоков данных именно на используемых сотрудниками оконечных устройствах в любых сценариях их применения, как внутри, так и за пределами корпоративной сети. Такой всеобъемлющий контроль принципиально недостижим для сетевых устройств ИБ, включая, кстати, и шлюзовые DLP-устройства, потому что они не могут контролировать ни утечки через локальные порты ПК, ни через сервисы с проприетарным шифрованием; да и вообще никакие каналы не могут контролироваться, если компьютер (например, ноутбук) работает без подключения к корпоративной сети.

Активно продвигаемый некоторыми DLP-вендорами "метод противодействия" утечкам, концепция которого заключается в правиле "выявить утечку и наказать виновного", не является действительно продуктивным в плане предотвращения утечки – никакое наказание нерадивого сотрудника не отменит факт попадания данных ограниченного доступа в чужие руки и не остановит злоумышленника, если стимул будет достаточно велик. К сожалению, расследование уже случившихся утечек никак не минимизирует риски с технической точки зрения – разве что за счет психологического воздействия на персонал.


В случае с DLP-решениями суть полноценного контроля – инспекция, детектирование, анализ на соответствие с политикой; конечный результат – принятие решения. Какого решения? Решением может быть запрет или разрешение использования определенных каналов перемещения информации для определенных групп пользователей в реальном времени, в том числе в зависимости от содержимого файлов и данных, чатов, писем, а также регистрация попыток использования и фактов передачи данных и т.д. У службы ИБ должен быть инструментарий для задания параметров принятия такого решения и инструментарий для выполнения решения. Тогда и только тогда можно говорить о том, что установлен полноценный контроль каналов передачи данных.

В чем суть полноценного контроля? Вы полностью контролируете процесс, если можете точно определить, что и как будет происходить в этом процессе в определенное время при заданных вами условиях. Если какое-то поведение контролируемого объекта не может быть предопределено – это частичный контроль или его имитация при благоприятных условиях. Простой пример: контролирует ли пассажир машину такси? Казалось бы, да – именно он определяет конечную точку маршрута. Но разве он может остановить автомобиль в случае необходимости? Нет, это может только водитель. Значит, у пассажира есть только видимость ограниченного наблюдением контроля. Он отслеживает ситуацию, он сможет рассказать на суде, как именно водитель сбил пешехода. "Хороший" контроль, очень похожий на активно раскручиваемую концепцию Post-DLP-систем. Но, увы, не полноценный.

Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации – тех, которые исходят от обычных инсайдеров или связаны с их поведением. Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.

Среди представленных на мировом рынке одним из лучших и единственным российским решением класса End-point DLP, обладающим полным функционалом в соответствии с рассмотренными угрозами, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также через канал печати, электронную почту, мессенджеры, файлообмен-ные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных. С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией в реальном времени – анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих интерес для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.

Новая версия DeviceLock DLP 8.2, опубликованная в мае 2017 г., предлагает новые функциональные возможности для борьбы с утечками данных: контентную фильтрацию с анализом адресов и идентификаторов отправителей и получателей в почтовой переписке и мессенджерах; автоматический инкрементальный полнотекстовый поиск по архиву теневых копий по заданному расписанию; раздельный сбор журналов и теневых копий от пользователей на назначенные пользователям серверы; интерактивный граф связей, позволяющий просмотреть и визуализировать связи между пользователями внутри организации и с внешними пользователями; многое другое.

* На правах рекламы

СМАРТ ЛАЙН ИНК, АО
107140, Москва,
1-й Красносельский пер., 3,
пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2017
Посещений: 1337

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций