Системы класса Discovery DLP, предназначенные для анализа того, как хранится конфиденциальная информация в корпоративной сети, являются надёжными помощниками в деле защиты от утечек. Ранее мы уже рассказывали о функциональных возможностях Dozor File Crawler — discovery-модуля DLP-системы Solar Dozor, — а теперь хотим поделиться практикой его использования нашими заказчиками.
- Введение
- Аудит файловых хранилищ
- Подготовка документов с грифом на рабочих станциях вне защищённого контура
- «Краулер-разведчик»
- Активный «Краулер-сортировщик»
- Анализ недр почтового архива
- Выводы
Введение
Напомним: для защиты конфиденциальных данных компании от утечек недостаточно контролировать, не покидает ли информация периметр организации, тем более что и границы периметра современных организаций всё чаще становятся размытыми. Надо обязательно проверять, какая информация и на каких ресурсах хранится. Почему? Например, потому, что сегодня часто в сообщениях СМИ об утечках можно услышать: клиентская база данных была выгружена злоумышленниками с сервера компании, доступного из интернета. Внимание, вопрос: почему эта база вообще хранилась на ресурсе доступном извне? Квалификация киберпреступников растёт впечатляющими темпами. Не стоит также забывать о самих сотрудниках. Если в организации есть информация ограниченного доступа, то во избежание недоразумений и соблазнов будет лучше, чтобы о ней знал ограниченный круг лиц.
Думаю, большинство читателей знает, что такое системы Discovery DLP. Если есть потребность освежить знания, можно подробнее узнать о возможностях таких систем из функционального обзора Dozor File Crawler. А здесь речь пойдёт о том, как с помощью этих возможностей наши заказчики решают свои задачи защиты конфиденциальной информации.
Аудит файловых хранилищ
Эффективную совместную работу в компании помогают организовать общие файловые ресурсы. Действительно, очень удобно собрать нужные документы в хранилище с общим доступом и делиться знаниями с коллегами. Но после завершения работы над совместной задачей мало кто вспоминает, что важные документы из общего доступа необходимо удалять — так же как и службе ИТ необходимо регулярно проводить аудит прав доступа сотрудников к файловым ресурсам на предмет актуальности (особенно в условиях отсутствия IDM-системы). Большие файловые хранилища — это всегда большая головная боль сотрудника безопасности.
Мы узнали у наших заказчиков, как они организовывают аудит таких хранилищ с помощью Dozor File Crawler и что интересного там можно найти.
- Лидером среди находок бессменно являются файлы с учётными данными от внутренних корпоративных систем. Обнаруживаются они повсеместно: начиная с личных рабочих станций и заканчивая общедоступными сетевыми ресурсами. Благодаря возможности модуля работать в активном режиме подобные файлы можно изъять из общего доступа, оставив на их месте уведомление, на каких основаниях был удалён файл и на каких условиях его можно вернуть. Ниже — пример, как можно создать в DLP-системе шаблон такого уведомления.
Рисунок 1. Уведомление об удалении файлов средствами Dozor File Crawler (пример настройки не из инсталляции заказчика)
- Следующим пунктом идёт конфиденциальная информация, размещённая в файловых хранилищах, открытых в том числе и для тех сотрудников, которым доступ к ней иметь не разрешено. Помимо дисциплинарных мер и воспитательных бесед с нарушителями, сотрудники безопасности с помощью Dozor File Crawler могут также изъять информацию из общего доступа — как с уведомлением пользователей, так и без него.
- Завершают тройку «лидеров» массивные архивы с конфиденциальной информацией, в том числе не защищённые паролями. Когда данные большого объёма не умещаются в электронное письмо, сотрудники создают такие архивы, выкладывают на корпоративные ресурсы, после чего закономерно забывают об их существовании. Помимо очевидных рисков переполнения объёма хранилища есть также большая вероятность компрометации информации. Некоторые организации — заказчики Dozor File Crawler, используя его активный режим, наладили перемещение таких архивов на карантин, что значительно «улучшило память» сотрудников.
Подготовка документов с грифом на рабочих станциях вне защищённого контура
На предприятиях, где работают со сведениями составляющими гостайну, операции с такими данными ведутся в отдельном закрытом контуре (или на специально выделенных рабочих станциях), зачастую в отдельных помещениях, без доступа в интернет. Но понятное свойство человеческой натуры (лень) иногда побеждает голос рассудка, и сотрудники создают документы на своих личных рабочих станциях, после чего переносят их на съёмные носители и копируют в закрытый контур, уже на месте указывая гриф и необходимые реквизиты. В некоторых ситуациях то же самое свойство натуры позволяет сотрудникам избегать лишних манипуляций, и наименование документа на своей рабочей станции они пишут финальное — в виде шифра определённого формата.
Сотрудники безопасности одного из наших заказчиков знали, что в их организации это — очень распространённое явление, но никак не могли поймать нарушителей с поличным. По понятным причинам (вспоминаем закон «О государственной тайне») они не могли настроить поиск информации на рабочих станциях по ключевым словам. Тогда они обратились в Первый отдел, и коллеги поделились логикой формирования шифра, который используется в названиях документов с грифом. Служба безопасности описала шифр в виде регулярного выражения и указала в задаче Dozor File Crawler по сканированию рабочих станций.
Уже к концу недели у офицеров безопасности был исчерпывающий перечень сотрудников, которые пренебрегали требованиями безопасности в угоду своему удобству. В скором времени подобные нарушения прекратились.
Важно отметить, что DLP-система Solar Dozor позволяет создавать предупреждения о нарушениях политики, не сохраняя при этом исходный файл, а только оставляя пометку о самом нарушении. Эта функциональность позволяет не нарушить ФЗ № 5485-1 «О государственной тайне».
«Краулер-разведчик»
У одного из наших заказчиков появились сомнения в добросовестности своего подчинённого. Нужно было незаметно провести проверку содержимого рабочей станции сотрудника. Задача усложнялась тем, что по должности сотрудник также имел доступ к DLP-системе Solar Dozor. Найденное решение было изящно и аккуратно. Тонко настроили политику под интересующую информацию и перед запуском сканирования рабочей станции ограничили скорость сканирования в настройках Dozor File Crawler. Согласно условиям задачи, модуль сохранял копии нарушающих политику документов исключительно на компьютере инициатора расследования, минуя архив системы Solar Dozor.
К счастью, подозрения в отношении подчинённого не подтвердились. Но возможность провести расследование с помощью DLP-системы, не оставив при этом следов в архиве, нашла живой отклик у пользователей. Стоит отметить, что записи в журнале действий пользователей всё-таки останутся, то есть полностью скрыть факт сканирования не удастся. Но, как правило, доступ к просмотру журнала есть только у руководителя службы безопасности — как и было в вышеописанном случае.
Активный «Краулер-сортировщик»
Многие заказчики Solar Dozor очень высоко оценивают возможность работы модуля Dozor File Crawler в активном режиме. Такой режим позволяет просто и удобно описать искомую информацию в политиках DLP-системы для модуля и указать, куда её нужно поместить на карантин. Вот вроде бы и всё. Порядок наведён, информация защищена, и ещё осталось время на другие интересные задачи (или чашечку кофе).
Однако нетривиальное применение активному режиму в Dozor File Crawler нашёл заказчик Solar Dozor из банковской сферы. В банке существует следующая практика. Есть система электронного документооборота (СЭД), содержащая конфиденциальную информацию в закрытом контуре, и есть открытый контур, в котором сотрудники общаются со внешним миром. При этом для некоторых бизнес-процессов необходима передача конфиденциальных документов из закрытого контура в открытый для работы с ними строго ограниченного круга лиц.
Чтобы наладить эти бизнес-процессы и одновременно обеспечить конфиденциальность передаваемой информации, заказчик настроил работу Dozor File Crawler следующим образом. Файлы, выгружаемые из СЭД по запросу сотрудников, сначала попадают в файловое хранилище в закрытом контуре. Далее Dozor File Crawler по расписанию проверяет наполнение этого хранилища и в зависимости от содержания файла перекладывает его в нужную папку открытого контура с предварительно настроенными правами на просмотр для определённых сотрудников. Параллельно с этим в системе создаются цифровые отпечатки этих документов, и те ставятся на мониторинг.
Рисунок 2. Правило перемещения файла средствами Dozor File Crawler (пример настройки не из инсталляции заказчика)
Таким образом заказчик решил сразу три задачи. Во-первых, наладил автоматическую сортировку документов — больше не нужно тратить время на ручной анализ содержимого. Во-вторых, разграничил доступ к документам: документы попадают в папки, доступ к которым есть только у тех сотрудников, что в силу должностных обязанностей имеют право на ознакомление с этими документами. В-третьих, установил контроль перемещения конфиденциальной информации — после создания цифрового отпечатка система DLP фиксирует все случаи передачи указанных документов.
Анализ недр почтового архива
В одной промышленной организации наш заказчик столкнулся со следующей задачей: появился сотрудник подозреваемый в мошенничестве. Были основания полагать, что следы махинаций можно обнаружить в корпоративной почтовой переписке сотрудника за последние несколько лет. Казалось бы, что может быть проще? Вот почтовый сервер, вот архив переписки, вот описание задачи — бери да анализируй. Но на деле всё оказалось несколько сложнее.
У сотрудника безопасности, что закономерно, не было доступа к архиву корпоративной переписки. Он запросил у коллег из ИТ нужные ему сведения — в ответ через неделю получил архив в формате PST. Далее последовали долгие попытки вскрытия, импорта и анализа архива. Он был огромным и отказывался сдаваться без боя. Добившись наконец отображения писем подозреваемого, наш герой бегло оценил масштаб работ и понял, что для решения задачи ему нужно пару месяцев жить на работе.
Спасение пришло неожиданно — в разговоре с нашим аналитиком, который по счастливой случайности проводил в это время у заказчика пилотный проект другого продукта компании. Аналитик посоветовал использовать Dozor File Crawler, который умеет подключаться к корпоративному почтовому архиву по протоколу IMAP и проводить сканирование переписки в заданном диапазоне: указанные почтовые ящики, за указанный период, со специально разработанной политикой. Файл PST был возвращён в ИТ и импортирован обратно на сервер. К этому моменту в системе Solar Dozor уже была разработана задача для discovery-модуля с нужными параметрами.
Рисунок 3. Настройка сканирования почтового архива в Dozor File Crawler (пример не из инсталляции заказчика)
Анализ архива корпоративной переписки подозреваемого сотрудника был проведён в максимально сжатые сроки. Поиск дал результат; какой именно, история умалчивает, но в итоге мы получили в награду благодарного заказчика.
Выводы
В целом изо всего вышесказанного видно, что модуль инспектирования файловых хранилищ — штука очень полезная. Он ощутимо помогает DLP-системе, сфокусированной на безопасности движущихся и используемых данных, защищать конфиденциальность информации в покое. Сценариев его использования может быть множество — от самых распространённых до весьма экзотических. Мы поделились некоторыми из них; возможно, они подойдут для решения подобных задач в вашей организации.