Контроль за информацией, или Три веселые буквы – DLP
Для начала небольшое введение, как и положено, скучное и формальное. Информация правит миром. Информация дороже золота. Какую бы еще избитую мысль привести, чтобы подтвердить тезис, в котором и так никто не сомневается?
Любая информация имеет особенность утекать. Причем обычно к конкурентам. Чтобы ваша информация оставалась при вас, ее надо защищать. Перечислим три основных способа защиты, посмотрим на плюсы и минусы. Ну а чтобы вы могли на равных разговаривать с вашим начальником службы ИТ-безопасности, добавим порцию умных слов, описывающих эти методы профессиональными терминами.
Первый способ. Можно построить стену, в стене прорубить калитку, у калитки поставить часового, и он будет совать нос в каждый документ, который пытаются вынести за пределы стены. Если документ похож на секретный, калитка захлопывается и вызывается начальник охраны.
Умные слова. Такой способ называется граничным DLP (Border DLP). Понятно, почему граничным: мы же запрещаем документам покидать границы нашей организации. Аббревиатура DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. Документы определяются как секретные либо по имени файла (способ простой, но ненадежный, ибо переименовать файл очень просто), либо по его содержимому. Вычисляется так называемая сигнатура – бинарная последовательность, которая будет уникальной для каждого исходного документа. Когда документ пытается покинуть пределы организации каким-либо путем – по сети, через USB-диск (флешку), по почте и так далее, определяется его сигнатура и сравнивается с базой защищаемых документов. Если сигнатура в базе найдена, операция блокируется, а ИТ-безопасность уведомляется.
Плюсы. Сделать такую систему достаточно просто, поэтому на рынке их много и стоят они относительно недорого.
Минусы. Не обязательно выносить документ из организации по сети или по почте. Есть и альтернативные способы. Во-первых, его можно прочитать и запомнить. Во-вторых, сделать снимок экрана и отправить по почте. В-третьих, сфотографировать документ, открытый на экране монитора. В-четвертых, вообще изменить документ, теперь он не будет совпадать с сигнатурой, а значит, система ничего не заметит.
Выводы. Стоит ли платить за такую систему – решайте сами. В качестве дополнения она, может, и сгодится. Проблема только в том, что зачастую две однотипные, но по-разному работающие системы имеют свойство конфликтовать.
Второй способ.Стену можно не строить (к чему такие строгости?), зато приставить к каждому работнику по сотруднику тайной службы, чтобы ходил следом да приглядывал, какие документы тот пытается прочитать. И только он захочет открыть запрещенный документ, как его хвать за рукав, секретный документ назад на полку, а нарушителя режима – куда следует.
Умные слова.Такой вариант DLP называется агентским (Agent DLP). На каждый компьютер в организации устанавливается агент, отслеживающий всякую попытку работы с любыми документами (открытие, копирование, удаление, печать и т. д.). При каждой такой попытке он вычисляет сигнатуру документа, сравнивает ее с базой сигнатур. Если документ защищен, определяется пользователь, пытающийся с ним работать, и есть ли у этого пользователя права на выполнение этой операции. Если права есть, операция выполняется, если нет, блокируется и уведомляется служба безопасности.
Плюсы. С помощью данного способа действительно можно эффективно защитить документы. Их невозможно будет даже открыть, а если нельзя открыть, то нельзя и ознакомиться с содержимым. Хотя, если основной задачей стоит именно запрет на открытие документов, здесь достаточно стандартного механизма разграничения прав доступа к файлам Windows.
Минусы. Как ни странно, тут их предостаточно. Во-первых, на каждом компьютере в сети работает агент, что отнюдь не сказывается положительно на общей производительности компьютера. Страдает также производительность сети, ведь каждый компьютер периодически обращается к базе сигнатур документов (нет, она, конечно же, сохраняется локально на компьютерах, но ведь ее надо периодически обновлять). Во-вторых, перед открытием, копированием, печатью каждого документа происходят вычисление его сигнатуры, сравнение и прочие действия, что в случае среднего компьютерного «железа» может обеспечить 1–5-секундные задержки (а то и больше) между запуском операции и ее выполнением. В-третьих, систему нужно настроить, указав все файлы, которые нужно защищать, и права доступа к ним для разных пользователей. Ну и наконец – деньги. Лицензия на каждый агент стоит недешево – 50–100 американских долларов, причем ближе к 100, чем к 50. При этом лицензию купить нужно на каждый компьютер, в противном случае можно сесть за незащищенную машину и получить доступ к файлам.
Выводы. Неплохой подход, если минусы для вас несущественны. Работает с любыми документами, но эффективен не во всех ситуациях.
Третий способ.Можно и стен не строить, и на соглядатаев не тратиться. Просто зашифровать документы. Что толку от документа, который прочесть невозможно? А хочешь прочесть, обратись в хранилище ключей, там твою личность проверят и дадут ключик. Но даже с ключиком ты не всесилен, если он не разрешает документ печатать или вносить в него изменения.
Умные слова.Каждая компания называет эту технологию по-разному. Но есть и общее название – DRM (Digital Rights Management), управление цифровыми правами. Данная технология реализуется путем встраивания механизма шифрования / дешифрации в стандартные программы для просмотра и редактирования документов. Для Microsoft это большинство программ, входящих в Office: Word, Excel, PowerPoint, Outlook; для Adobe – Acrobat и Acrobat Reader. Клиентская часть при попытке открытия документа обращается с информацией о документе и открывающем его пользователе к серверу ключей, который хранит сведения о правах различных пользователей на доступ к различным документам. Если право на доступ есть, отправляется ключ, с помощью которого клиент незаметно для пользователя расшифровывает документ и дает возможность выполнить разрешенные операции. То есть если в правах задано «Только просмотр», то напечатать документ уже не получится.
Плюсы. Защищенные письма в Outlook открываются заметно медленнее обычных, но в целом данная технология имеет хорошие показатели по скорости работы и мало нагружает компьютер и сеть.
Минусы. Я не зря сказал, что все компании называют эту технологию по-своему. Каждая компания еще и реализует эту технологию по-своему. Для защиты документов Microsoft Office используется программное обеспечение от Microsoft (причем желательно, чтобы Office был определенной версии), для защиты Adobe PDF – да, угадали, программное обеспечение от Adobe. Причем если захотите открыть документ с рабочего ноутбуку, который унесли домой, позаботьтесь, чтобы сервера были доступны извне вашей организации.
Вывод.Решение в целом неплохое, но весьма нишевое. Нужно в тех случаях, когда есть небольшое количество документов, которые надо защитить. Документы в едином формате, клиентское программное обеспечение одной и той же версии установлено у всех сотрудников, которые с этими документами будут работать (например, высшее руководство компании). Но для массового применения решение достаточно тяжелое и неэффективное.
Как заставить DLP-систему работать
DLP-системы завоевали определенное место на рынке средств защиты информации от утечек. Однако споры об их эффективности не умолкают. Причина — не только в завышенных ожиданиях, сформированных вендорами, но и в том, что каждая сложная система требует адекватной настройки.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP-системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.
5. Проверить, введен ли режим коммерческой тайны
Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Защита данных от утечки
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»
Личный опыт: как мы выбирали DLP-систему
Добрый день всем! В статье расскажу, как тестировали 5 систем, что в них понравилось, а что нет. Мнение субъективное, зато на практике, а этого в сети мало (anti-malware приводит сравнение и подчеркивает, что оно базисное + на Хабре об этом писали, но получилась сравнительная таблица, что у кого есть/нет). Мы же пробовали функционал и меряли под себя, потратили почти полгода и можем поделиться опытом. Заранее приношу извинения разработчикам – по минусам продуктов пройдусь как есть (о плюсах они и сами хорошо рассказывают).
Для тех, кто не хочет читать статью полностью, – выводы и советы по выбору DLP сразу:
Всегда проверяйте заявленный функционал. У нас была куча довольно глупых ситуаций, когда продукт не соответствовал официальному описанию.
Подготовьте детальное ТЗ и отдайте его для заполнения вендору. Но даже в этом случае проверяйте результат. Разработчик всегда активно говорит только о сильных сторонах, о проблемах нет.
Используйте во время теста предлагаемые возможности софта по максимуму, а не только те, которые планируете приобретать. Например, мы расширили список требований в ТЗ, когда увидели функционал, который нам понравился.
Ведите статистику сами, как и итоговый отчет. В критерии обязательно включите пункты: результативность за период времени, стабильность серверных, клиентских и агентских частей, конфликты с другими системами и качество поддержки, т.к. этих важных данных, даже сильно усредненных, вы не найдете нигде.
Обратите внимание на безопасность самой DLP. Ведь там будет лежать такой архив, что любая база данных с персданными в сравнении с ним меркнет.
Большааая суть
Итак, к делу – начнем обзор.
Zecurion
Установить и настроить систему сможет даже ребенок. Вопрос пары часов – самостоятельно и без мануала! Причем неважно, на одну ОС ставятся компоненты или разносятся – в обоих случаях все довольно очевидно.
С настройками тоже все хорошо, поначалу даже глаза разбегаются. Например, то, что в других DLP называется просто “контроль Интернет”, тут разбито на кучу групп, причем на каждую можно назначать свои правила.
Есть много моделей работы – полноценный перехват, аудит, блокировки.
Вообще охват каналов передачи у Зекуриона довольно обширный, это отметили все коллеги. Но вот когда дело дошло до работы с информацией – полезли косяки.
Что понравилось:
Что не понравилось:
Нелогичная модульность.
Если наличие нескольких серверных частей воспринимается позитивно, то наличие ДВУХ агентов воспринимается, мягко говоря, странно. Сложно сказать, какой логике это служит, лично мне такое решение не понравилось – оба агента выполняют, по сути, одну и ту же роль.
Работа с архивом.
Когда руки дошли до работы с перехваченной информацией – мнение о Зекурион резко изменилось. Интерфейс выполнен по технологии MMC, и, думаю, понятны все проблемы такого решения. Работать с архивом очень сложно – выборки данных, найденные нарушения просматривать неудобно. Во многих местах работа идет даже не с выборками из БД, а с фильтрацией журналов, и все вытекающие отсюда проблемы очевидны.
Итого:
Огорчили непроработанные инструменты для работы с архивом, а архив там копится очень немалый – БД разрастается с фантастической скоростью! Да, есть инструменты выборки, есть сжатие данных, есть разнообразные опции фильтрации – но это все не решает проблему устаревшего интерфейса. То, что в других системах делается в 2 действия, здесь может потребовать и 10, и 20 операций.
Infowatch
На тест нам отдали 5-ю версию. Система контролирует базовый список каналов (почта, интернет, мессенджеры, устройства хранения, печать) и имеет ряд предопределенных аналитических функций. На них и основана вся логика системы.
Еще до первого использования стало понятно, с системой не все так просто. Дело в том, что решение использует сразу несколько независимых друг от друга продуктов и платформ. Часть функционала вынесена в один продукт, часть – в другой. Абсолютно непонятно, зачем систему настолько усложнили. В целом можно было бы смириться с этой бедой, но возникают проблемы архитектурного плана – из трех решений анализ работает только для одного. Например, для почты анализ работает нормально, для скайпа под вопросом (смотря какой агент установлен), для вайбер – не работает вообще.
Что понравилось:
Что не понравилось:
Агенты.
Достаточно сказать, что их несколько. Скайп контролируется одним агентом, Вайбер – другим. И речь не про разные “модули” одного решения – это абсолютно несвязанные решения.
Продукты разобщены – есть Traffic Monitor, есть Device Monitor. Как я уже говорил, они на разных платформах, но на самом деле это одна и та же система. А есть еще Endpoint Security и Personal Monitor – вроде бы задачи смежные, но это абсолютно другое решение, никак не совместимое с первыми двумя. Почему так – опять же непонятно, ведь то же “рабочее время” было бы полезно в DLP. Закрадываются мысли, что сделано это разделение, чтобы впарить вместе с DLP еще несколько продуктов и увеличить общий чек.
В процессе работы возникает проблема – нужно лезть в разные системы, нельзя просто кликнуть на событие два раза и увидеть все подробности, как сделано во ВСЕХ других решениях.
Итого:
Мы с коллегами и руководством сошлись во мнении, что за предлагаемое решение цена неоправданно высокая, с учетом того, что она представляет из себя некую “солянку” из разношерстного софта, никак не соединенную вместе.
Searchinform
Система состоит из множества приложений и клиентских, и серверных. После установки на рабочем столе появляется столько иконок, что поначалу испытываешь состояние близкое к шоку. Потом ситуация сглаживается: по факту, нужных компонентов 3-4, остальное – запускается однократно и после настройки не используется. Все компоненты исключительно приложения для Windows, никакой мультиплатформенности не предусмотрено. Есть некий веб доступ, но он работает только для графических отчетов.
Что касается контроля каналов, то тут все очень хорошо – закрыты практически все пути. Можно логировать и изменения файловой системы, и изменения в конфигурациях машин, короче, вплоть до записи видео действий пользователя. Заблокировать в системе можно не все, зато с доказательствами проблем нет.
Что понравилось:
Что не понравилось:
Блокировка каналов.
Блокировать можно далеко не все перехватываемые каналы. И нет контентных правил блокировки, все исключительно по атрибутам.
Сложный интерфейс.
Начать работу с системой под силу не каждому: много консолей и в каждой запутанный интерфейс, над которыми еще нужно поломать голову, чтобы разобраться. Либо читать мануал, что ни в одной другой системе не потребовалось.
Итого:
В плане работы с архивом КИБ действительно силен. Расстроил слабый функционал блокировок по контенту и напрягли консоли.
Работу ТП стоить упомянуть отдельно. Возникшие косяки и пожелания были решены во время пилота, когда мы еще не заплатили ни копейки. Возможно, роль сыграла наша денежность, но факт остается фактом: работали с нами хорошо.
Falcongaze
Сказать, что система разворачивается просто – недостаточно, редко увидишь настолько простой в установке продукт. Разработчик утверждает, что полноценное развертывание занимает считанные часы – на самом деле оно занимает минуты! На первых порах складывается впечатление, что продукт очень простой и в администрировании – все основные действия выполняются логично и как нечто, само собой разумеющееся.
Количество контролируемых каналов достаточно обширно – в дополнение к базовым, есть такие возможности, как запись звука с микрофона, онлайн-подключения и другие специфические каналы, список можно найти в любом обзоре, поэтому я не буду на нем останавливаться.
Что понравилось:
Что не понравилось:
Обработка данных.
Большая задержка в получении данных, связанная с особенностями обработки, (индексирование) – может измеряться часами.
Отчеты.
Бестолковые отчеты: есть несколько проработанных, с которыми можно иметь дело и отдавать начальству, но основная масса отчетов абсолютно бесполезна.
Глюки.
Если при тестировании некоторых других систем пользователи страдали от проблем с агентами, то тут мы сами оказались на их месте, т.к. к агентским добавились еще и серверные глюки – политика, проверки вполне могут повиснуть, утащив вместе с собой консоль. Причем ситуация не всегда решается перезапуском.
Пользователю доступен мастер настройки правил блокировки, в котором все параметры выбираются вручную. Например, желаете заблокировать вложения Gmail – пожалуйста, система такое позволяет, садитесь в Шарк и смотрите траффик, когда поймете какую часть URI блокировать – мастер к вашим услугам. Желаете залочить отправку на dropbox? – нет ничего проще: заливаете тестовый док, попутно просматривая траффик, ищете нужный кусок, добавляете его в правило, проверяете и всего делов-то! Не забываем воспроизвести все способы закачки. И это нужно делать для всех задач. А блокировок на основании содержания нет.
Итого:
Система имеет мощные возможности по сбору различных данных, но кроме просмотра архива ничего не позволяет с ними делать. То есть возможная реакция на инцидент одна – уведомить админа. Блокировки заявлены, но работают специфически. Да и вообще все работает специфически – может конечно это нам не повезло, но называть ее безглючной язык не поворачивается.
Device Lock
Тест заходил тяжело – мы заведомо знали, что нет необходимого нам функционала, т.к. система работает только на агентах, что в нашем случае не всегда возможно. Как бы то ни было, решили тестировать, так как разработчик заверял, что много функционала мы не видели.
Система ставится очень просто, клиент-серверная архитектура, присущая DLP-решениям, здесь носит весьма условный характер. Агенты вообще могут работать без связи с сервером, поэтому установка происходит фактически, как у обычной программы. Разворачивается все крайне быстро, есть специальные средства для администрирования настроек – это довольно удобно. Работа с самой системой не вызывает особых затруднений, все очень понятно.
Что понравилось:
Что не понравилось:
Работа исключительно на агентах.
Нет возможности контролировать сеть, нет возможности блокировать на прокси, практически нет интеграций с корпоративными системами (почтарями и т.д.)
Есть средство поиска текста по архиву, но оно поставляется отдельно, а сами поисковые возможности не идут ни в какое сравнение с теми же Сёрчем и Фалконом.
Аналитика.
Вся аналитика отрабатывает в реальном времени, и, вроде как, это момент положительный. Но по факту это не всегда так. Доступны регулярные выражения и поиск с морфологией, ну еще различные атрибутивные правила. Этого хватает только для очень простых блокировок, что далеко не всегда позволяет решить прикладные задачи.
Итого:
Система кардинально отличается от аналогов – она сделана для “работы в моменте”. Взаимодействие с архивом, расследования, поиск данных – это все проработано плохо. Ну и работа только на агентах: их не поставишь на телефоны и планшеты, даже если они корпоративные – у всех остальных это решается через прокси.
Не буду делать каких-то глобальных выводов – для каждой организации они будут свои, ведь у всех разные требования к технологиям и функционалу. Надеюсь только, что мой обзор пригодится кому-то в нелегком деле выбора DLP-системы.
7 быстрых тестов при внедрении DLP
Основные вопросы, с которыми я уже столкнулся и хочу описать в статье:
Разобьем задачу на фрагменты.
Отдельно протестируем каждый канал перехвата и доступность инфраструктуры, для чего используем powershell. Его не надо ставить отдельно. В наших требованиях к испытаниям указана рабочая станция с ОС Windows. Эта операционная система встречается у заказчиков в 90% случаев.
Рассмотрим сложности каждого этапа работы подробно:
и т.д. Пишем сценарий, который просмотрит все файлы в указанной директории, и SQL-сценарий, загружающий исключения непосредственно в БД MS SQL.
Уместимся примерно в 20 строчек. Сначала мы пройдемся по файлам и вытащим из них цифровую подпись издателя, которая нужна для создания исключения.
В системе уже есть некие исключения, но если заглянуть в СУБД MSSQL, их точно меньше 50. Чтобы не попасть на constraint и не получить ошибку, сделаем ID первого исключения равным 99.
Рассмотрим вариант скрипта для MSSQL с Windows-авторизацией:
В строчке с INSERT я пишу test в полях обязательных к заполнению, но это всего лишь пример.
Тут вы можете отправить любые термины и любые вложения в письме, можете тестировать любое количество адресатов и периметров. Завернув пример в цикл, получится имитировать реальный трафик и выполнять настройку, не отвлекаясь на генерацию событий в систему. Если вы уже все закрыли и настроили SSL и авторизацию, все будет сложнее и длиннее, не стоит с этим торопиться, пока все не проверите.
#Other user
#$creds=Get-Credential
#$webclient.Proxy.Credentials=$creds
#Logon on site
#$webclient.Credentials = New-Object System.Net.NetworkCredential($user,$pass)
Что получилось и зачем это нужно:
