Защита от внутренних угроз с помощью Zecurion DLP 11

...

В Zecurion DLP (Data Leak Prevention) 11 интегрированы IRP-система (Incident Response Platform), динамическая модель рисков на основе поведения сотрудников, модуль учёта рабочего времени и эффективности сотрудников (Zecurion Staff Control), система для защиты от съёмки экрана (Screen Photo Detector) и многое другое. Проверим, как Zecurion DLP защищает от внутренних угроз и утечек конфиденциальных данных.

Введение
Архитектура Zecurion DLP 11
Новые возможности Zecurion DLP 11 и варианты их применения
Выводы

Введение

По статистике большинство инцидентов в информационной безопасности на предприятиях являются следствием внутренних угроз, то есть связанных с неправомерной деятельностью сотрудников. Глобально такие угрозы можно разделить на умышленные, то есть спланированные, и непреднамеренные, возникающие из-за неосторожности, невнимательности или пренебрежения правилами информационной безопасности.

Для защиты от внутренних угроз кроме организационных мер, направленных на повышение сознательности сотрудников, используют и сложные технические решения, которые помимо прочего позволяют отслеживать перемещение данных и изменения в поведении сотрудников.

Российская компания Zecurion является одним из лидеров как российского, так и мирового рынков DLP-систем: «большая тройка» аналитических агентств (Gartner, IDC, Forrester) признала её поставщиком комплексного продукта с наиболее полной функциональностью по защите корпоративных данных от утечек. Также Zecurion является лауреатом Национальной премии в области импортозамещения и трансфера технологий «Приоритет». А в этом году компания стала победителем международной премии Cybersecurity Excellence Awards в категории «Предотвращение утечки данных».

В обновлённой версии Zecurion DLP 11 появилась возможность управлять инцидентами и рисками в информационной безопасности с помощью встроенной IRP-системы, добавлен модуль для учёта эффективности сотрудников, обновлены модуль поведенческого анализа и модель оценки угроз. В статье мы подробно рассмотрим эти и другие, не менее существенные, нововведения. Все они расширяют функциональные возможности системы, позволяя использовать её для защиты от широкого спектра корпоративных нарушений, а не только от утечек конфиденциальной информации как таковых.

В 2018 году мы публиковали «Обзор Zecurion DLP 8.0 — системы защиты от утечек конфиденциальной информации», в котором продемонстрировали возможности взаимодействия с консолью Zecurion DLP 8.0. Поэтому далее мы не будем дублировать уже описанные сценарии, а остановимся только на изменившихся или новых возможностях.

Архитектура Zecurion DLP 11

Zecurion DLP 11 — это полностью агентская DLP-система, в состав которой входят следующие модули:

система контроля сетевого трафика (Zecurion Traffic Control),
средство предотвращения утечек информации через периферийные устройства (Zecurion Device Control),
модуль учёта рабочего времени сотрудников и оценки эффективности его использования (Zecurion Staff Control),
средство обнаружения конфиденциальной информации и фактов нарушения политик информационной безопасности (Zecurion Discovery) с помощью комплекса технологий детектирования,
модуль защиты от фотографирования экрана (Screen Photo Detector),
аналитический модуль (Zecurion Reports) для работы с отчётами об инцидентах в информационной безопасности и о подозрительной активности сотрудников,
IRP-модуль для управления процессами реагирования на инциденты и совместной работы ИТ- и ИБ-отделов.

Рисунок 1. Архитектура Zecurion DLP 11

DLP-агенты, или сенсоры, устанавливаются на каждую рабочую станцию и сервер в корпоративной сети с использованием сервера установки. Они контролируют каналы передачи данных, а также собирают и сохраняют информацию о событиях на устройстве в общий архив. Сохранённые данные впоследствии используются для получения подробных статистических сведений и для расследования инцидентов в безопасности.

DLP-сервер, или контролирующий сервер, является ядром всей системы: он управляет сенсорами и следит за их работой.

Отметим, что анализ всей отслеживаемой на узлах информации возможен непосредственно на агентах (без отправки на контролирующий сервер), а анализ сетевых подключений — соответственно, на сетевых перехватчиках. Все данные и результаты анализа синхронизируются с DLP-сервером при восстановлении соединения. Такой подход минимизирует нагрузку на корпоративную сеть и повышает отказоустойчивость системы, сохраняя её работоспособность без связи с управляющим сервером.

Операторы взаимодействуют с DLP-системой и управляют ею через единый пользовательский интерфейс — веб-консоль. Она доступна с различных устройств, в том числе в виде приложения для iPad. Возможность просмотра отчётов и взаимодействия с ними через мобильные устройства (iPad) удобна как для руководителей отделов безопасности, так и для представителей бизнеса. С помощью консоли можно настраивать политики, просматривать журналы событий, информацию об активности сотрудников и инцидентах в безопасности, генерировать отчёты и делать многое другое.

Новые возможности Zecurion DLP 11 и варианты их применения

Новая версия DLP-системы Zecurion — это, по своей сути, глобальное обновление флагманского продукта. В него интегрировали несколько новых модулей, добавили новые технологии и обновили используемые. Например, в работе модуля Screen Photo Detector, о котором мы расскажем подробнее далее, используются нейронные сети, а для улучшения качества анализа отслеживаемой информации, то есть контентного анализа, внедрены в том числе алгоритмы на основе машинного обучения. Также в новой версии существенно улучшена модель оценки рисков.

Далее мы подробно рассмотрим изменения и обновления системы и пользовательского интерфейса. Дополнительно мы продемонстрируем некоторые варианты применения новых функций Zecurion DLP 11 (для демонстрации будет использоваться веб-версия консоли).

Общее обновление интерфейса

В новой версии Zecurion DLP существенно обновлён интерфейс консоли управления, потому что расширились функциональные возможности системы и увеличилось количество обрабатываемых данных о сотрудниках.

По сравнению с предыдущей версией добавлены новые данные о сотрудниках (уровень риска, продуктивность с оценкой динамики, эмоциональное состояние, сработавшие политики безопасности), способы сортировки и фильтрации (включая быстрые фильтры) и «быстрые действия». С помощью быстрых действий можно изменить статус сотрудника (например, указать на необходимость постоянного наблюдения за ним). В целом взаимодействие с интерфейсом Zecurion DLP 11 стало быстрее.

Все указанные обновления направлены на то, чтобы повысить удобство работы с собираемыми данными, то есть облегчить процесс отслеживания фактов подозрительного поведения сотрудников. Анализ ретроспективных данных позволяет предупредить утечку информации до её возникновения или избежать повторения похожих ситуаций в будущем.

Рисунок 2. Раздел «Сотрудники» в консоли Zecurion DLP 11

Работа с карточками сотрудников

Карточки сотрудников стали более «отзывчивыми» за счёт полной переработки системы внутренней навигации. Отображаемых данных по сотрудникам, инцидентам, технологиям и т. д., равно как и способов взаимодействия с ними (новые возможности по фильтрации, сортировке и поиску), стало больше, а интерфейс при этом работает быстрее.

Теперь на каждой карточке есть «шапка» профиля, стали доступны новые вкладки с информацией о сотруднике и его активности: риски, инциденты, рабочее время, профили поведения, эмоциональное состояние, диаграмма связей и лента событий (настроенный поиск всего происходящего с рассматриваемым работником).

Так, на вкладке «Риски» в карточке сотрудника можно сразу увидеть список всех событий, возникших в результате срабатывания установленных DLP-политик, в виде ленты или посмотреть детальную информацию о конкретном событии, включая саму политику и вложенные файлы. Это, в том числе, поможет понять, из-за чего именно изменялся уровень риска сотрудника.

На вкладке «Инциденты» доступен такой же список событий, но в связи с зафиксированными инцидентами из области безопасности, а не с риском сотрудника.

Рисунок 3. Просмотр ленты событий в карточке сотрудника в консоли Zecurion DLP 11

При этом во время просмотра карточки в левой части экрана доступен общий список сотрудников (с указанием имени, отдела, статуса и уровня риска) в том виде, в каком он был в разделе «Сотрудники». С его помощью оператор DLP-системы может быстро просматривать нужную информацию для большого количества сотрудников, а выбранные параметры сохраняются для каждой карточки.

Рисунок 4. Общий вид карточки сотрудника в консоли Zecurion DLP 11

Теперь в случае необходимости оператор Zecurion DLP 11 может посмотреть изображение с веб-камеры или рабочего стола сотрудника или добавить человека в список для сравнения. При этом доступна возможность быстрого сравнения по ключевым показателям как сотрудников, так целых подразделений (по средним или абсолютным значениям): риски, продуктивность и количество инцидентов в безопасности за выбранный период.

Рисунок 5. «Быстрое сравнение» в консоли Zecurion DLP 11

Диаграмма связей

В новой версии усовершенствована диаграмма связей сотрудников: добавлены быстрые фильтры и настройка внешнего вида с помощью «легенды». Среди её параметров отметим пороговое количество зафиксированных в отношении работника инцидентов в безопасности, при достижении которого он будет добавлен на диаграмму, уровень важности, каналы связи (взаимодействия), а также отображение фотографий коллег.

Одновременно стало возможным просматривать до тысячи сотрудников (увеличено количество объектов для одновременного показа на диаграмме), развёртывать связи с любым уровнем детализации и масштабировать диаграмму, которая перестраивается динамически для большего удобства. При необходимости можно сразу перейти на карточку выбранного сотрудника.

Рисунок 6. Диаграмма связей сотрудников в интерфейсе Zecurion DLP 11

Режим «беседы» сотрудников

Дополнительно для просмотра событий и инцидентов в безопасности, связанных с конкретным сотрудником, а также отслеживания его переписки реализован режим «беседы» с возможностью выгрузки в формате отчёта. В этом режиме сообщения из разных каналов связи, а также файлы, видеозаписи, аудиосообщения и записи звонков отображаются в виде единого «диалога» с дополнительными сносками и ссылками на связанные события и инциденты. Таким образом, если сотрудник, например, договаривался о передаче данных в Skype, а отправлял их в WhatsApp, то система сохранит его действия в виде одной «беседы».

Такой подход существенно упрощает возможности обнаружения подозрительной переписки сотрудников даже при использовании сразу нескольких каналов связи.

Рисунок 7. Режим «беседы» сотрудников в интерфейсе Zecurion DLP 11

Динамическая модель риска на основе поведения пользователей

В Zecurion DLP 11 была добавлена модель для оценки рисков возникновения угроз информационной безопасности на основе политик и поведенческого анализа. Используется классическая модель, при которой риск накапливается за последние три недели активности (то есть затухание происходит за 21 день). Соответственно, если в течение этого времени не будут зафиксированы никакие действия сотрудника, которые повышают риск, то он опустится до нуля.

В консоли можно динамически отслеживать уровень риска в отношении каждого пользователя в виде абсолютного значения и временной шкалы, а также сравнивать его с показателями других сотрудников и отделов. Также величина риска присваивается инцидентам и событиям в безопасности и группам сотрудников.

Таким образом, происходит принципиальный переход от управления инцидентами в информационной безопасности, когда событие уже произошло, к управлению рисками возникновения внутренних угроз и к минимизации этих рисков.

В целом риск является важным параметром для того, чтобы офицер информационной безопасности правильно определял и понимал ситуацию в компании или в конкретном отделе. Zecurion — первый DLP-вендор, который добавил риски как неотъемлемую часть интерфейса, тем самым учитывая их при формировании оценки сотрудников, инцидентов и событий.

Обновление модуля поведенческого анализа (UBA 2.0)

Встроенный модуль поведенческого анализа (User Behavior Analytics, UBA) используется для оценки активности пользователей. С его помощью отслеживаются и анализируются действия сотрудников в отношении работы с данными и информацией, выявляется подозрительная активность. В новой версии UBA 2.0 были добавлены отслеживание поведенческих аномалий и сравнение активности со специально созданными профилями поведения. Так, например, можно определить профиль, который соответствует сотруднику работающему удалённо или ушедшему в отпуск.

Рисунок 8. Вкладка «Риски» в карточке сотрудника в интерфейсе Zecurion DLP 11

Профиль поведения каждого сотрудника в UBA 2.0 строится на основе следующих параметров:

входящие и исходящие сообщения,
общение по электронной почте и в мессенджерах,
инциденты устройств и сетевых подключений.

Рисунок 9. Вкладка «Профили поведения» в карточке сотрудника в интерфейсе Zecurion DLP 11

Профиль в дальнейшем используется при определении аномального поведения. В UBA 2.0 аномалии определяются следующим образом: с некоторой периодичностью механизм анализирует возникающие события и инциденты в безопасности для каждого сотрудника на предмет отклонений от обычного поведения. Если аномалии обнаружены, то оператор Zecurion DLP 11 или другой сотрудник, для которого настроены уведомления (например, почтовые) о таких событиях в системе, увидит соответствующие предупреждения.

Примерами аномалий поведения могут быть использование внешнего диска или общение со внешними пользователями (не работающими в организации), если обычно такая активность у сотрудника не наблюдается.

Мониторинг рабочей активности с помощью Zecurion Staff Control 2.0 Enterprise

Zecurion Staff Control — это система учёта рабочего времени. Её можно использовать как отдельно, так и совместно с Zecurion DLP. Отслеживание показателей активности сотрудников важно не только с точки зрения первоначальной цели внедрения DLP-систем (то есть защиты от утечек данных в связи с инсайдерской активностью): оно значимо и для руководителей, поскольку напрямую связано с производительностью труда.

Новая версия Staff Control 2.0 Enterprise предназначена для использования в крупных компаниях. В ней дополнительно реализованы следующие функции:

полный учёт рабочего времени сотрудников,
фиксация фактов присутствия и активности на рабочем месте,
фотографирование сотрудника или отдела в течение рабочего дня,
сводные отчёты за выбранный период,
составление списков недисциплинированных сотрудников (например, постоянно опаздывающих, уходящих раньше, часто отсутствующих) или тех, кто занят поиском нового места работы,
отчёты по использованию приложений (например, принтеров или мессенджеров) и сайтов.

Рисунок 10. Отчёт по рабочему времени сотрудников в Zecurion DLP 11

В карточке каждого сотрудника оператор может узнать, насколько эффективно тот расходует своё рабочее время, и посмотреть ключевые показатели по каждому работнику. Отметим, что для Zecurion Staff Control продуктивность является основным параметром при определении эффективности работы.

Рисунок 11. Вкладка «Рабочее время» в карточке сотрудника в интерфейсе Zecurion DLP 11

Общий отчёт по рабочему времени сотрудников организации показывает, сколько в целом пользователей работает и насколько эффективно используется время. Реализована гибкая настройка этого отчёта: можно изменять набор показателей, выбирать сотрудников для отображения.

Рисунок 12. Общий отчёт по использованию рабочего времени в Zecurion DLP 11

Другой сводный отчёт — по используемым приложениям и веб-ресурсам (сайтам) — позволяет посмотреть, какие сотрудники работали с теми или иными категориями ресурсов: например, пользовались веб-почтой, читали новости, сидели в социальных сетях.

Рисунок 13. Сводный отчёт «Приложения и сайты» в Zecurion DLP 11

IRP и централизованное управление задачами по реагированию на инциденты

В Zecurion DLP 11 интегрирована собственная IRP-система. Выделим два основных направления использования новых функциональных возможностей.

Первое направление соответствует классическому пониманию системы реагирования на инциденты в безопасности. Помимо непосредственной работы с инцидентами (добавление файлов, обсуждение, логирование действий по задаче и т. д.) встроенная IRP работает также и как система делегирования. Кроме того, можно настроить отправку уведомлений о состоянии расследований.

Отметим, что Zecurion DLP — гибридная система, то есть она может работать как в активном режиме (останавливать действия сотрудников, нарушающие политики безопасности, и таким образом предотвращать некоторые утечки информации), так и в пассивном, обнаруживая подозрительную активность и регистрируя её в системе. Во втором случае необходимо инициировать процедуры по расследованию соответствующих инцидентов.

На следующем изображении как раз приведён пример использования Zecurion DLP для делегирования задачи по расследованию инцидента связанного с резким повышением уровня риска сотрудника. На отдельных вкладках задачи можно увидеть полный список связанных событий и отдельно посмотреть комментарии, связанные инциденты, прикреплённые файлы и доказательства.

Рисунок 14. Пример задачи по расследованию инцидента с помощью Zecurion DLP 11

Второе направление связано с использованием встроенной IRP-системы в качестве менеджера задач службы безопасности и ИТ-отдела. Реализован гибкий конструктор форм для разных типов задач. Можно настраивать срок окончания работы по задаче (дедлайн), её тип и статус, уведомления-реакции на события по ней, назначать исполнителя, указывать инициатора и т. п.

Рисунок 15. Список задач в интерфейсе Zecurion DLP 11

Рисунок 16. Конструктор задачи в IRP-системе Zecurion DLP 11

Рисунок 17. Создание новой задачи в IRP-системе Zecurion DLP 11

Также оператор системы Zecurion DLP 11 может посмотреть отчёт по исполнителям, где будет указано, у кого сколько сейчас в работе задач и на каком этапе они находятся.

Обновление модуля защиты от съёмки экрана Screen Photo Detector

Модуль защиты от съёмки экрана — это обновлённая и оптимизированная версия Zecurion Camera Detector, предназначенная для использования в любых компаниях.

Для распознавания устройства в новой версии модуля используются две нейросети. В момент нарушения модуль сохраняет изображение с веб-камеры и снимок экрана, а также затемняет его или, если настроены соответствующие политики, блокирует учётную запись сотрудника. Таким образом можно узнать, что именно пытался сфотографировать пользователь, и оценить риски связанные с зафиксированным нарушением.

Рисунок 18. Пример инцидента, созданного при обнаружении съёмки экрана телефоном

Водяные знаки для дополнительной защиты приложений (Screen Watermarks)

Для защиты приложений от снятия скриншотов в Zecurion разработали технологию Screen Watermarks, которая позволяет определить источник утечки информации. Если обнаружена попытка сделать снимок экрана, Screen Photo Detector Lite добавит на изображение водяные знаки и сохранит информацию о событии с указанием даты и времени создания скриншота и данных о пользователе и устройстве.

Рисунок 19. Пример водяных знаков, добавленных на скриншот с помощью Screen Photo Detector Lite

Расширение возможностей DLP-политик

Zecurion DLP позволяет настраивать правила по доступу к контролируемым каналам передачи данных и по защите от утечек информации в соответствии с корпоративной политикой информационной безопасности, а также контролировать их выполнение через пользовательский интерфейс.

В Zecurion DLP 11 были добавлены новые политики и реакции на действия сотрудников в соответствии с новыми технологиями детектирования инцидентов в безопасности (например, Screen Photo Detector). Также стало возможным настраивать правила по моментальной блокировке учётных записей сотрудников при нарушении определённых правил безопасности.

В частности, система может помешать сотруднику сфотографировать экран с важной корпоративной информацией, практически мгновенно заблокировав его устройство, поскольку среднее время обнаружения съёмки экрана составляет 0,06 секунды. В подобных случаях доступ к учётной записи будет восстановлен только после расследования со стороны службы безопасности.

Другим существенным обновлением возможностей DLP-политик в системе стало добавление каскадных правил, приходящих в действие последовательно при условии срабатывания предыдущих.

Точечные нововведения

Дополнительно отметим некоторые другие важные нововведения в Zecurion DLP 11: появились новые возможности по распознаванию кредитных карт, заполненных анкет, паспортов и других оцифрованных документов с помощью технологии цифровых отпечатков изображений (DocuPrints), добавлены поддержка контроля Microsoft Teams и возможности по блокировке консоли при бездействии администратора.

Также важным моментом является интеграция в Zecurion DLP 11 агента для Linux-систем (а именно — GosLinux, Astra Linux SE, Alt Linux Workstation, RED OS MUROM и Ubuntu). Сейчас функциональные возможности DLP-агента для Linux — не такие полные, как для систем на базе Windows, однако различия планируется минимизировать в следующих релизах Zecurion DLP.

Выводы

Zecurion DLP 11 можно назвать глобальным обновлением системы. Ключевыми изменениями в новой версии стали:

динамическая модель угроз на основе настраиваемых политик безопасности и поведенческого анализа,
обновлённый модуль Staff Control Enterprise для мониторинга рабочей активности сотрудников крупных компаний,
интеграция собственной IRP-системы для управления процессами расследования инцидентов в безопасности, которую можно использовать в качестве менеджера задач самых разных типов и инструмента совместной работы службы безопасности и специалистов ИТ-отдела,
обновлённый модуль Screen Photo Detector на основе двух нейросетей для защиты от съёмки рабочего экрана с возможностью мгновенной блокировки учётной записи сотрудника,
увеличение количества обрабатываемых данных о сотрудниках и их действиях,
существенное обновление пользовательского интерфейса,
интеграция DLP-агента для систем на базе Linux.

Эти и другие обновления, включая общее ускорение системы, добавление новых форматов отчётов и использование дополнительных технологий по защите от инсайдерской активности, выводят Zecurion DLP 11 из класса систем для защиты от утечек конфиденциальных данных, позволяя говорить о расширении области применения — защите от широкого спектра внутренних угроз в целом.

Использование централизованной консоли администрирования, повышение скорости работы интерфейса, переработка навигации, хорошая визуализация и доступность множества способов сортировки и фильтрации при работе с данными в системе делают её удобной для использования в компаниях любого размера. Модульная архитектура и широкие возможности по настройке системы позволят адаптировать Zecurion DLP под нужды конкретной организации.

Полезные ссылки:

Как предотвратить слив базы данных суперпользователями

Обзор рынка платформ реагирования на инциденты (IRP) в России

Безопасность в одном окне: как оптимизировать реагирование с помощью IRP

Возможности современных DLP-систем: как защитить внутренние данные компании от утечек