IT для среднего и малого бизнеса

Эффективная защита от утечек данных с помощью DLP-систем

Начал свое выступление Сергей Вахонин, директор по решениям компании «Смарт Лайн Инк» с рассмотрения основополагающих принципов DLP-защиты данных от утечки. Затем он рассказал о методах предотвращения утечек по конкретным каналам, подходам к защите от утечек данных за рубежом и в чем ее отличие от «нашей российской» защиты, а также о возможности программного комплекса DeviceLock DLP для решения обсуждаемых задач.

DeviceLock DLP – программный комплекс, предназначенный для борьбы с утечками, а также для защиты данных в корпоративных информационных системах. DeviceLock DLP интегрируется в подсистему безопасности и позволяет контролировать весь спектр потенциально опасных устройств. Сегодня DeviceLock DLP защищает более 7 млн компьютеров, установленных по всему миру в информационных системах 70 тысяч организаций кредитно-финансового, энергетического, оборонного и государственного секторов, а также телекоммуникаций, здравоохранения, образования и других.

Pic. 1.

Компания DeviceLock – отечественный производитель DLP-систем и один из лидеров разработки программных средств контроля доступа к периферийным устройствам и защиты от утечек данных с корпоративных компьютеров. Компания основана в 1996 году, ее штаб-квартира и основной офис разработки программных продуктов находятся в Москве, а офисы продаж и технической поддержки - в США, Канаде, Великобритании, Германии и Италии.

 

Сколько стоят персональные данные в России

Вахонин Сергей, отметил, что основной продукт компании был разработан в 1996 году. «Не буду останавливаться на определении персональных данных (ПДн), просто скажу сколько они стоят на сером рынке. По данным компании «Смарт Лайн Инк», базы персональных данных (ПДн) в формате Excel, содержащие ФИО, пол, телефон, полные паспортные данные, СНИЛС, адрес регистрации и проживания за 2017-2018 года, реализуются по 20-25 копеек за одну запись. Скан паспорта и фотография владельца паспорта продаются в комплекте по цене от 150 рублей за комплект, а комплект из сканов паспорта, СНИЛС, прав и ИНН – по цене от 300 рублей. Ценность ПДн без сканов документов – не велика, так как они применяются в основном для спама и телефонного мошенничества. Сканы документов могут быть использованы для получения он-лайн займов, поэтому весьма востребованы криминальными элементами. «Пробив» - выписка по счету клиентов банков из топ-10 предлагаются по цене от 8000 рублей за месяц. Эта процедура чаще всего работает в банках, получив пробив, мошенники под видом служб безопасности банка начинают разводить клиентов.

Pic. 2.

 

Откуда утекают утечки

Огромное число утечек данных происходит из открытых и незащищенных серверов, в частности это сервера под управлением Elasticsearch и MongoDB. Настройки MongoDB позволяют открыть эти базы данных настежь и потом остается неавторизованный доступ к этим БД. В России эта проблема тоже существует, регулярно в рамках сканирования серверов находятся и такие. Компания DeviceLock уведомляет пострадавшие компании.

Совсем недавно произошла рекордная утечка в Сбербанке: самая свежая база Сбербанка, данные 60 млн кредитных карт, из которых порядка трети – актуальные, с огромным набором полей. Цена – порядка 25 рублей за запись, такие данные приводят СМИ. В отличие от подавляющей части финансовых организаций, Сбербанк признал наличие утечки, но говорит о «пропаже» двухсот записей. Понятно, что это крупнейшая инсайдерская атака.

На базе публикуемых в даркнете объявлений компания «Смарт Лайн Инк» проделала анализ и пришла к выводу, что в последние годы стало модно фокусировать акценты DLP-рынка на социальные сети, на мессенджеры, на почту. Однако, совокупность утечек, произошедших через каналы электронных коммуникаций, как ни странно, наберет только порядка 10%, правда эти цифры достаточно условные, да и выборку здесь трудно назвать репрезентативной. Достаточно большой процент заняли снимки экранов, с ними бороться еще предстоит научиться.

Pic. 3.

Лидер, как всегда, остается без изменений: ¾ утечек происходит со съемных накопителей и флешек. Печать документов тоже прекрасно работает: «распечатал и унес» (5%).

Pic. 4.

На рис. 4 представлена информация, которую дает Ponemon Institute. По данным этой аналитической компании – четверть утечек – это ошибки сотрудников, половина приходится на фишинг и прочие атаки, примерно 70% - это недобросовестные сотрудники и злоумышленники. Инсайдерские атаки не так видны, но это основная часть айсберга утечек. Инсайдер, это человек, который создает информацию, она хранится на его рабочем месте, там же и обрабатывается, это всего лишь обычный сотрудник, имеющий по своим должностным функциям доступ к данным. Любой сотрудник является инсайдером. Если утечка произошла из компании, то она называется инсайдерской. Чем более простой сценарий утечки, тем более он вероятен. Если пользователь положил информацию в облако, только теперь только он решает, что с ней дальше делать. Сюда не сможет вклиниться ни системный администратор, ни офицер службы безопасности.

К этой же категории относится и информация, переписанная на флешку. Захотел поработать дома, скопировал данные на флешку – получилось… Личные устройства – это большая проблма, пока их не научатся контролировать – ничего не изменится.

Что делать? Попробуем оценить, чем сможет помочь в устранении утечек решение класса DLP.

 

Что должна уметь DLP-система?

Как использовать DLP-систему, чтобы сократить утечки данных? Что касается определения DLP-системы, то существует их множество, даже в качестве шутки, есть представление этой системы для любителей подглядывать. По мнению Сергея Вахонина, директора по решениям Смарт Лайн Инк, к сожалению, зачастую это именно так. Это касается многих разработанных и продающихся в России DLP-систем. Сергей предлагает использовать следующее определение: DLP – это ИТ-решение, основанное на централизованных политиках, способное идентифицировать, отслеживать и предотвращать неавторизованное использование, хранение и перемещение данных ограниченного доступа и защищать эти данные, используемые в организации, включая полноценный контентный анализ.

Полноценные DLP-системы должны обеспечивать покрытие по всем сетевым направлениям, местам хранения, рабочим станциям, даже если не используются все возможности агента. Полноценным можно назвать только такое решение, которое   обеспечивает обнаружение данных в хранилищах, обнаружение того, что лежит не там где надо и нарушает политику безопасности, это отслеживание перемещения данных и это защита от утечки как по сети, так и через устройства. Важный момент, часто в описаниях DLP-решений можно увидеть слово «контроль», но написавшие такой термин не расшифровывают то, что они понимают под ним, потому что контроль чаще всего не полноценный. Полноценный контроль - это возможность сочетать три аспекта: это инспекция хранимых данных, это регистрация событий и самих перемещаемых данных, и избирательное управление доступом, каждому сотруднику даются свои права. Чаще всего вендоры обеспечивают только второй пункт, регистрацию событий.

Тут система должна принять решение - можно ли передавать/печатать/сохранять информацию…

Pic. 5.

Решение принимается на основе двух взаимодополняющих методов: контекстного контроля и контентного анализа. Контекст – это окружение, это то, что отвечает на вопросы кто? что? когда? куда? Содержимое нас при этом не волнует. Можно ли конкретному пользователю в определенное время использовать флеш-накопители? Можно ли документ такого-то типа передать по почте. Здесь нужно только ответить на вопрос можно или нельзя?

Контент возникает на уровне проверки содержимого и принятия решение на основе его анализа. Можно ли, при условии, что пользователю нельзя передавать любую документацию, передавать то, что не представляет угрозы для безопасности компании. Например, персональные данные перемещать в облака нельзя, а фотографии можно. Надо проверять содержимое и принимать соответствующее решение. При этом, решение может быть с условием. Скажем, пользователю можно отправлять письма только если в них встроен дисклеймер. Что нужно сделать? Надо запротоколировать событие, снять теневую копию передаваемых данных для возможного последующего расследования инцидента, создать тревожное сообщение – еще один вид реакции, или осуществить уведомление службы безопасности.

И последний вид реакции в этом списке – блокировка, сделанная именно на основании анализа содержимого. Чтобы предотвращать утечку именно персональных данных придется осуществлять блокировку на этапе передачи.

Pic. 6.

Как это возможно сделать? Классический вариант: использовать DLP-сервер, который сканирует сетевой трафик. Это прекрасный вариант для слабозащищенных организаций. Весь трафик мониторится, есть возможность интеграции с почтовыми серверами, можно анализировать трафик мобильных устройств. Однако, закрытые протоколы анализировать невозможно, приходится мониторить весь трафик без разбора, существует риск позднего выявления утечки чувствительной информации.

Вариант существенно более сильный и надежный – включение DLP-сервера в разрыв канала передачи данных. «Таких реальных случаев я видел очень мало, - сказал Сергей Вахонин, - поскольку здесь возникает жуткая проблема с задержкой трафика. Когда десяток пользователей – это одно, а когда 3000 пользователей – это совсем другое». Есть те же проблемы, что и при мониторинге: закрытые протоколы анализировать невозможно, перехватывается весь трафик без разбора.

Однако не все сетевые протоколы трафик задерживают. Не пришло вовремя – передача данных не состоялась, абонент об этом может даже не узнать. Весь трафик идет через DLP-сервер, при этом иногда есть проблемы даже с идентификацией пользователей.

Теперь рассмотрим следующий архитектурный вариант: ENDPOINT.

Pic. 7.

Эта архитектура имеет агентов, которые находятся на рабочих станциях. Эти агенты есть даже в первом варианте архитектуры, потому что даже флешки контролировать без агентов невозможно. Здесь возникает гибридная система: что-то пытаются ловить на уровне сервера, а что-то на уровне агентов. Реально работает именно агент, практически на всем, на Skype, на устройствах и т. д.

Движение в развитии DLP-систем идет к тому, что почти все переносится на агентов, можно предотвратить утечку на конкретном протоколе, не пропускать весь трафик через сервер без необходимости, можно вскрывать закрытые протоколы, можно собирать дополнительные доказательства инцидента, фотографии экрана и т. д. Агенту не нужна интеграция с почтовым сервером.

«Конечно есть у этой архитектуры и недостатки, например, для мобильных устройств нормальных агентов сейчас пока нет и в ближайшее время, скажу как эксперт, не предвидится», - отметил Сергей Вахонин. – Apple этого не хочет, Android этого не надо». Кроме того, как обычно, ложится дополнительная нагрузка на рабочие станции.

Зато полноценный агент имеет возможность сканировать рабочие станции на предмет хранения, он может работать и на уровне системных функций. В случае, когда пользователь работает с ноутбуком, он может выдернуть свой шнурок из корпоративной сети и пойти в Макдональдс, а там подключиться к незащищенной сети по Wi-Fi, в таких случаях DLP-1 становится единственным решением.

 

Анализ содержимого

Далее поговорим об анализе содержимого. Точка фильтрации контентного анализа может быть на архиве, проверять содержимое постфактум для того, чтобы проверить что за данные сотрудники передавали, использовать полнотекстный поиск и другие методы   - это все обязательно нужно, это важная для DLP-системы функция. Во многих продуктах присутствует анализ хранимых данных, там тоже без анализа содержимого никуда не деться: надо вскрыть файл, посмотреть что в нем, убедиться, что файл не содержит ничего еобычного в плане, что, скажем, на рабочей станции проектировщика не хранятся финансовые документы или у финансистов не лежат чертежи. А во время передачи данных, когда пользователь нажал кнопку «Отправить», нужно убедиться, что это именно бухгалтер по заявке из налоговой инспекции передает персональные данные сотрудников, это ему требуется по должностным обязанностям, или технические чертежи передает их разработчик в разрешенный адрес. «А это наши российские DLP-системы это не умеют делать, ни для печати, ни для сохранения. Есть редкие исключения, по чуть-чуть наши российские разработчики добавляют в эту копилку, но полноценной системы в обозримые два года мы еще не увидим», - сказал Сергей Вахонин.

Pic. 8.

Отсутствие механизма контентной фильтрации в реальном времени приводит к тому, что в архив сливается все подряд, и корпоративная, и личная информация. Предотвращение утечки достигается только одним техническим способом - это блокировка канала передачи данных, блокировка флешки, принтера, почты… Если контентной фильтрации в реальном времени нет, то придется канал блокировать целиком, даже тогда, когда можно сделать исключение. Тут и возникает дилемма, то ли работать разрешить, то ли канал блокировать.

На рис. 9 представлены скрины настройки Symantec DLP. В компанию «Смарт Лайн Инк» их прислали из одного из крупнейших немецких банков с просьбой переделать эти настройки без изменения на настройки DeviceLock DLP.

Pic. 9.

В тот время этот банк переходил с Symantec DLP на DeviceLock DLP. Сотрудники банка попросили перенести всю логику и всю политику на DeviceLock DLP. Причем всех блокировать, кроме тех, кому предоставлено отдельные исключения. Причина проста: современные зарубежные компании чаще всего предпочитают не расследовать инциденты, а предотвращать их. Здесь используется сценарий минимальных привилегий или принцип нулевого доверия. Такой подход резко снижает риск появления утечек.

«Как я уже говорил, российские разработки не умеют осуществлять контентную фильтрацию потока данных по содержимому в реальном времени, наш продукт DeviceLock DLP это делать умеет именно в реальном времени», - уточнил Сергей Вахонин.

Pic. 10.

На рис. 11 представлен контроль каналов передачи данных в DeviceLock DLP

Pic. 11.

На рис. 12 изображен контентный анализ и фильтрация в реальном времени

Pic. 12.