Проблема утечки корпоративных данных сегодня носит массовый характер. Утечки данных происходят ежедневно во всем мире – как вследствие внешних атак на информацию, так и через инсайдеров. В современном цифровом мире невозможно обойтись без коммуникационных сервисов и устройств хранения данных, являющихся потенциальными каналами утечки данных ограниченного доступа.
Однако нужно понимать, что доступ к корпоративной информации в правильных условиях имеет ограниченный круг сотрудников. Для них как раз необходимо вводить технические и организационные ограничения, а также применять средства противодействия инсайдерским утечкам корпоративной информации.
На сегодняшний день инфраструктура как таковая перестала быть главной целью кибератак. Профиль угроз сместился в сторону data-центричности, когда внешние атаки направлены на завладение корпоративными данными. В отличие от популярных в прошлом сетецентричных угроз — когда основные атаки были направлены дестабилизацию работы периметра, компрометацию устройств его защиты, проникновение внутрь сети и совершение там различных деструктивных акций типа «вырубить электричество всем серверам и заодно всем лифтам в здании», чтобы потом хвастаться этим в хакерских чатах и сообществах.
Нацеленность современных внешних атак на данные объясняется коммерциализацией киберпреступности. Хакерам неинтересно ломать сеть организации или отдельный компьютер без дальнейшей выгоды. Цель атаки на данные практически всегда одна — заработать. Для этого они охотятся за информацией, которую можно либо продать третьим сторонам (например, данные кредитных карт или переписку государственных служб) или самим владельцам украденных данных (например, как в актуальных сегодня атаках типа Ransomeware), либо использовать полученные данные как инструмент в других противоправных мероприятиях. Безусловно, все это не отменяет других угроз и рисков, порожденных киберпреступностью, но в этой статье речь не об интернете вещей, безопасности АСУ ТП и др., а о ценностях, которые есть в любой компании, а не только у стратегических и оборонных предприятий.
Механизмы современных атак на данные реализуются на уровне выше сетевого — либо на уровне уязвимостей прикладного программного обеспечения, либо по причине слабой дисциплины и низкой грамотности пользователей. Попросту говоря, нет смысла атаковать корпоративный фаервол, если он не мешает взломать компьютер в корпоративной сети на уровне приложений — например, фишингом в почте.
С другой, потребительской стороны, день ото дня неизмеримо возрастают доступность пользователя и значимость его дисциплины при использовании корпоративных данных. Это связано с внедрением в корпоративный сектор технологий и сервисов широкого потребления для решения бизнес-задач, в частности, переговоров с клиентами, субподрядчиками, партнерами и т. п., а также тем фактом, что пользователи работают на Endpoint-устройствах, включающих в себя корпоративные рабочие станции и ноутбуки, тонкие клиенты, домашние компьютеры, и, наконец, BYOD-устройства. Все эти устройства позволяют полноценно создавать, обрабатывать, хранить и передавать корпоративные данные.
Пользователь становится центром в информационных процессах и корневым узлом распространения данных, используя общие устройства и сетевые сервисы. При этом, поскольку многие сетевые сервисы и приложения используют проприетарные средства шифрования и защиты от вмешательства извне, периметры корпоративной сети становятся прозрачными для внешних бизнес-коммуникаций, отпадает возможность их контролировать на периметре сети брандмауэрами, UTM и прочими устройствами сетевой защиты.
Как следствие, наиболее эффективным способом предотвращения утечки информации является контроль потоков данных именно на используемых сотрудниками конечных устройствах в любых сценариях их применения — как внутри, так и за пределами корпоративной сети. Такой всеобъемлющий контроль принципиально недостижим для сетевых устройств ИБ, включая, кстати, и шлюзовые DLP-устройства — потому что они не могут контролировать утечки ни через локальные порты ПК, ни через сервисы с проприетарным шифрованием, да и вообще никакие каналы не могут контролироваться, если компьютер (например, ноутбук) работает без подключения к корпоративной сети.
Активно продвигаемый некоторыми DLP-вендорами «метод противодействия» утечкам, — выявить утечку и наказать виновного — не является действительно продуктивным. Никакое наказание не отменит факт попадания данных ограниченного доступа в чужие руки и не остановит злоумышленника. К сожалению, расследование уже случившихся утечек никак не минимизирует риски с технической точки зрения, разве что за счет психологического воздействия на персонал.
Вы полностью контролируете процесс, если можете точно определить, что и как будет происходить в этом процессе в определенное время при заданных вами условиях. Если какое-то поведение контролируемого объекта не может быть предопределено — это частичный контроль или его имитация при благоприятных условиях. Простой пример: контролирует ли пассажир машину такси? Казалось бы, да — именно он определяет конечную точку маршрута. Но разве он может остановить автомобиль в случае необходимости? Нет, это может только водитель. Значит, у пассажира есть только видимость контроля, ограниченного наблюдением. Он отслеживает ситуацию, он сможет рассказать на суде, как именно водитель сбил пешехода. «Хороший» контроль, очень похожий на активно раскручиваемую концепцию Post-DLP систем. Но, увы, не полноценный.
В случае с DLP-решениями суть полноценного контроля — инспекция, детектирование, анализ на соответствие политике, конечный результат — принятие решения. Какого решения? Решением может быть запрет или разрешение использования определенных каналов перемещения информации для определенных групп пользователей в реальном времени, в том числе в зависимости от содержимого файлов и данных, чатов, писем, а также регистрация попыток использования и фактов передачи данных и т. д. У службы ИБ должен быть инструментарий для задания параметров принятия такого решения и инструментарий для его выполнения. Тогда и только тогда можно говорить о том, что установлен полноценный контроль каналов передачи данных.
В зарубежной практике краеугольным камнем является именно предотвращение утечек, построенное по принципу минимальных привилегий: вводится запрет использования ряда сервисов и устройств пользователям, которым эти сервисы и устройства по работе не нужны. Если же нужны – значит, доступ предоставляется, но включается активный мониторинг использования устройств и сервисов.
Летом 2016 г. московский офис DeviceLock решал по просьбе нашего немецкого филиала задачу с конверсией политик конкурентного DLP-решения в политики DeviceLock, чтобы переход с одного DLP-продукта на другой в крупнейшем автомобильном концерне прошел безболезненно, без радикального изменения подходов к обеспечению информационной безопасности в профильной части. В процессе анализа применяемых политик и правил выяснилось, что около десяти тысяч пользователей были объединены в типизированные группы, которым были назначены разные права доступа к устройствам и сетевым протоколам. Откровенно преобладали правила запрещающего типа: нет потребности для бизнес-функции — нет доступа. Также активно использовались различные белые списки.
Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения основной для DLP задачи — предотвратить утечку данных. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации — тех, которые исходят от обычных инсайдеров или связаны с их поведением. Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.
Среди представленных на мировом рынке одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным функционалом в соответствии с рассмотренными угрозами является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и т. д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных.
С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы — от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией в реальном времени — анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.
Новая версия DeviceLock DLP 8.2, опубликованная в мае 2017 г., предлагает новые функциональные возможности для борьбы с утечками данных — контентная фильтрация с анализом адресов и идентификаторов отправителей и получателей в почтовой переписке и мессенджерах; автоматический инкрементальный полнотекстовый поиск по архиву теневых копий по заданному расписанию; раздельный сбор журналов и теневых копий от пользователей на назначенные пользователям серверы; интерактивный граф связей, позволяющий просмотреть и визуализировать связи между пользователями внутри организации и с внешними пользователями, и многое другое.