[BIS Journal] Тотальный перехват. Как избежать подводных камней при внедрении DLP

[BIS Journal] Тотальный перехват. Как избежать подводных камней при внедрении DLP

Переход в онлайн и на удалённый формат работы для большинства компаний не прошёл бесследно. Вопрос информационной безопасности и защиты информации от утечки со стороны сотрудников встал очень остро. Поэтому вопросами внедрения DLP-системы в 2020–2021 гг. стали интересоваться даже те организации, которые ранее не имели и не планировали внедрять подобные системы. Соответственно, в сторону вендора значительно увеличилось количество запросов на пилотные внедрения, что позволило выявить некоторые общие закономерности и трудности в работе пользователей с DLP-системами.

УСТАНОВИТЬ – НЕ РАВНО ВНЕДРИТЬ

Типичная ситуация для любого пилотного внедрения: система установлена, распространены агенты на выборочную группу рабочих мест, даже включены предустановленные политики и правила, но конечному пользователю непонятно, что теперь со всей этой информацией делать. И на этом этапе возникают одни и те же типовые сложности:

Какая информация подлежит защите и как её описать с помощью тех средств анализа данных, которые предлагают DLP? 

Частая задача – защита ПДн. Если мы ограничимся контролем передачи ПДн, задача будет решена лишь формально. Простой пример: практически в любом пилотном внедрении ставится задача выявлять факты передачи персональных данных за пределы домена. На деле эта политика сразу начинает обрастать исключениями. 

Поэтому при формировании политик по выявлению утечек ПДн нужно учитывать не только само наличие ПДн, но и форму, в которой они передаются.
 

Как работают предустановленные политики? 

Предустановленные политики требуют донастройки. Важно учесть контекст – отправителя информации. Понимая процессы, можно с высокой точностью формализовать, какие отчёты и какие документы генерируют разные подразделения, работающие с персональными данными, и уже более точно настроить политики. Например, документ с персональными данными водителей отправлен сотрудником отдела технической поддержки. В большинстве случаев такой документ отправляют кадровые службы или проектные менеджеры. Поэтому политику нужно уточнить параметром «Отправитель» и указать другие подразделения.

Все ли потенциальные инциденты можно описать политиками безопасности?

Не все инциденты безопасности политика может распознавать по единичным срабатываниям. Для выявления косвенных признаков нужно настроить отдельные политики для последующего анализа.

Далее рассмотрим приёмы из нашей практики внедрений, которые могут оптимизировать этот процесс.

КАК ПРАВИЛЬНО ПОЛЬЗОВАТЬСЯ DLP-СИСТЕМОЙ

Работу с объектами в DLP-системе можно разделить на три больших направления:
 

1. Настройка политик для выявления инцидентов

Для правильного внедрения важно использовать все основные возможности, заложенные в функциональность системы защиты от утечек, и комбинировать их при настройке политик.

Основные способы детектирования информации:

  1. Анализ по ключевым словам. Первое, что можно сделать при создании политик, — собрать ключевые слова, содержащиеся в критических документах.
  2. Цифровые отпечатки документов. Сканирование документов по форме позволяет отслеживать их перемещение и предотвращать утечку данных.
  3. Регулярные выражения. 
  4. Словари. Ключевые слова можно объединять в группы — основные понятия, термины, которые встречаются в определённом типе документов или переписки.
  5. Свойства передаваемого объекта: канал передачи, отправитель/получатель, формат файла, дополнительные свойства.

Пример составления политики

Необходимо выявить утечки по определённым автоматизированным системам внутри компании, в частности, документ «Технический паспорт АС». При постановке на контроль образца документа или набора ключевых слов будет большое количество срабатываний, когда подобные документы передаются между службой ИБ и разработчиками АС. 

Тут стоит использовать регулярные выражения. Необходимо подобрать regexp, который: 

а) будет присутствовать только в паспортах на уже внедрённые АС;

б) будет действителен для всех защищаемых АС, независимо от их назначения. 

Изучив пример такого документа, можно найти раздел «Сведения об аттестации объекта», в котором указан инвентарный номер аттестата вида «Аттестат №0101266-СТ».

Эта строка довольно удобна для построения регулярного выражения: 

/№\d{7}-[А-Я]{2}/gm 

Таким образом, дополнив настройки политики условием – текстом, соответствующим данному регулярному выражению, можно гарантированно перехватывать технические паспорта только на внедрённые АС, поскольку у невнедрённых АС данный аттестат отсутствует.

Другой пример – печать платёжного поручения

Печать или передача пустого платёжного поручения не является инцидентом, но можно уточнить политику, добавив в неё условия:

  • документ печатается не кассиром-операционистом / документ печатается не на принтере в кассе (DLP-система позволяет указывать имя принтера);
  • в распечатанном документе присутствуют паспортные данные (по регулярному выражению).

Грамотным решением будет предварительная организация единого хранилища документов и внедрение в документы особых меток, содержащих буквенно-цифровые последовательности. Такой последовательностью можно закодировать определённые параметры документа (отдел, тип документа – договор, отчёт или другое, дата составления, уровень критичности и др.). При этом формируют в политиках соответствующие регулярные выражения для перехвата конкретных типов документов по закодированным в этой метке свойствам.

2. Поиск по перехваченной информации

Многие современные DLP-системы предлагают возможности по ретроспективному поиску по уже перехваченной информации. Это необходимо:

  • для проведения расследований инцидентов и выявления контекста инцидента;
  • для поиска инцидентов, не попавших под настроенные политики;
  • для поиска косвенных признаков инцидентов.

Также, если это позволяет интерфейс DLP-системы, поиском удобно пользоваться для предварительной проверки работы политик. Например, задача перехвата технических паспортов АС. При наличии инструментов поиска можно смоделировать два факта передачи – один, который нарушает политику безопасности, второй – не нарушающий. Далее с помощью поиска и настраивают параметры таким образом, чтобы в выдаче на поисковый запрос присутствовало первое срабатывание, но отсутствовало второе. Уже после того, как поисковый запрос отработает корректно, можно сохранить его как политику, чтобы она выявляла срабатывания в автоматическом режиме.

Формирование выборок объектов на основе поиска позволяет применять графическую визуализацию к результатам поиска. Это удобно для быстрого анализа объектов. Например, получив выборку всех документов, скопированных пользователями на внешние носители, мы можем выстроить отчёт по наличию в этих документах персональных данных и определить массовую утечку.

Подобными графиками также удобно пользоваться на этапе, когда ещё не настроено ни одной политики. Например, можно сделать выборку по определённому документу, проанализировать, на какие почтовые домены он отправляется, выделить для себя наиболее часто встречающиеся. Чаще всего это разрешённые получатели, и нужно добавить их в соответствующие периметры.

3. Идентификация косвенных признаков инцидентов

Следует различать сами инциденты и их косвенные признаки. Автоматически выявить косвенные признаки инцидентов без участия человека, который сможет их проанализировать и сопоставить, очень сложно.

Косвенные признаки инцидентов можно выявлять не только по типам данных, но и, например, распределив срабатывания по временной шкале и выявив факты обработки персональных данных в нерабочее время.

Аналогичный график можно построить по фактам открытия пользователями в MS Word критически важных документов.

В примерах использован поиск по ключевым словам в наименовании открытого приложения и заголовках активного окна, что позволяет отслеживать обращения пользователей к определённым документам.

Ещё одним косвенным признаком инцидента применительно к электронной почте является тема письма, а точнее – её отсутствие. Больше половины инцидентов в 2020 году на пилотных внедрениях выявлено по следующей комбинации признаков: отправитель – внутренний пользователь, получатель – домены mail.ru, yandex.ru (и другие публичные сервисы), наличие в письме либо текста, либо регулярных выражений, либо документа по образцу и отсутствие темы письма. В большинстве случаев это будет либо передача пользователем письма самому себе на личную почту (многие пользуются этим способом «унести» данные при невозможности использовать USB-накопители), либо какая-либо нерабочая переписка.

Для описания признака «отсутствие темы» в данном случае мы используем выражение «!*?*», что означает отсутствие одного любого символа.

ВОЗМОЖНОСТИ DLP-СИСТЕМЫ «ГАРДА ПРЕДПРИЯТИЕ» ПРИ ВНЕДРЕНИИ В ОРГАНИЗАЦИИ

«Гарда Предприятие» — одна из первых DLP-систем, спроектированная с применением Big Data (технология больших данных). В системе работает политика тотального перехвата. Чтобы система собирала информацию, нет необходимости в предварительной настройке политик. Это даёт дополнительные инструменты в виде поиска по уже перехваченной информации. 

Технически она представляет собой классическую DLP-систему с модулями агента, анализатора трафика, который может работать с proxy-серверами по ICAP, а также с модулями интеграции с корпоративным почтовым сервером. 

Агенты «Гарда Предприятия» успешно работают как с Windows, так и с Linux и iOS и выполняют большинство функций, необходимых для успешного функционирования DLP-систем: контроль печати, контроль мессенджеров, облачных хранилищ.

Внедрение DLP-системы всегда начинается с оценки задач и объёма защищаемой информации. Тонкая настройка позволяет не только выявлять и расследовать инциденты, но и предотвращать их уже по первым признакам.


Автор
[BIS Journal] Тотальный перехват. Как избежать подводных камней при внедрении DLP, фото 1


Дмитрий Горлянский

Руководитель технического сопровождения клиентов «Гарда Технологии»

Источник (BIS Journal №2(41)/2021)


Популярные в разделе