Внедрение на предприятии комплексных решений по защите от утечек информации

Внедрение на предприятии комплексных решений по защите от утечек информации

Как грамотно разработать архитектуру средства защиты информации от утечек именно для вашей организации? Что нужно иметь в виду, чтобы избежать типичных ошибок? В статье подробно рассматриваются и анализируются аспекты защиты важных данных от утечек — какую информацию защищать, от кого, и как именно это лучше сделать.

 

 

 

 

1. Введение

2. Какую информацию необходимо защищать?

3. От кого необходимо защищать информацию?

3.1. Внешний нарушитель

3.2. Внутренний нарушитель

4. Какой сегмент инфраструктуры необходимо защитить?

4.1. Защита данных в ЦОД

4.2. Безопасность в бизнес-процессах

4.3. Безопасность мобильных вычислений

5. Выводы

 

 

Введение

Конкурентоспособность организаций многих отраслей экономики напрямую зависит от сохранности их коммерческих секретов — клиентской базы, бизнес-стратегий и закупочных цен. Однако объем конфиденциальной информации в последнее время растет не по дням, а по часам, и выбрать средства защиты от утечки информации становится непросто.

Архитектурно выбор инструментов решения этой задачи определяется ответами на следующие вопросы:

  • Какую информацию необходимо защищать (клиентские данные, контакты клиентов, закупочные цены, персональные данные)?
  • От кого необходимо защищать информацию (модель нарушителя)?
  • Какой сегмент инфраструктуры необходимо защитить — где в первом приближении расположена защищаемая информация (офис, завод, магазин, мобильные устройства)?

В статье последовательно описывается методика анализа и подготовки ответов на приведенные выше вопросы — разработки архитектуры системы защиты от утечки информации.

 

Какую информацию необходимо защищать?

Стандартный ответ специалиста по ИБ на вопрос «что нужно защищать» будет содержать три аспекта — конфиденциальную информацию, чувствительные данные, коммерческую тайну. Однако необходимо уточнить, что в каждом конкретном случае ответ на данный вопрос определяется тем, какую информацию предприятие рассматривает для себя в качестве имеющей высокую ценность. Для какой-то компании это может быть клиентская база, для другой — геопозиционная информация, и, наверное, для всех предприятий — это информация, связанная с их финансовой деятельностью.

При этом любое предприятие — это совокупность бизнес-подразделений и сервисных служб, руководители которых могут помочь специалисту по ИБ понять, что именно ценно для предприятия, какая конкретная информация. Например, для электросетевой компании с точки зрения финансовой службы необходимо защищать структуру себестоимости тарифа, а с точки зрения кадровой — информацию о компенсациях (зарплатах и бонусах), а также базу резюме.

После формирования общего видения, что будет отнесено к ценным данным, необходимо перейти к классификации существующего на предприятии массива данных. Снизить трудоемкость и повысить качество выполнения этого этапа работ позволяют широко представленные на рынке средства автоматизации класса Data Classification Application (или «паук», «краулер») — Digital Guardian, Forcepoint, Varonis IDU Classification Framework, Titus, Classifier360 и другие. Указанные решения обеспечивают поиск и классификацию массива данных предприятия по заданным критериям и часто используются в качестве одного из элементов комплекса средств защиты от утечек информации.

Основными принципами классификации данных являются:

  • контентный анализ содержимого файлов на предмет ключевых слов (номера кредитных карт, номера договоров, данные геопозиционирования и т. п.);
  • контекстный анализ (отправитель письма, дата создания и автор документа и др.);
  • пользовательская классификация данных, когда присвоение меток данным, подлежащим защите, выполняется вручную.

Эту структуру данных необходимо зафиксировать во внутренних документах предприятия — описать уровни конфиденциальности чувствительной информации (перечень сведений конфиденциального характера) и определить методологию работы с этой информацией — разработать политики обеспечения информационной безопасности, регламенты работы с конфиденциальной информацией.

Ключевым элементом, обеспечивающим эффективность защиты предприятия от утечек информации, является информирование сотрудников о составе конфиденциальной информации и правилах работы с ней. Один из крупных инвестиционных фондов с активами свыше миллиарда долларов потерял контроль над конфиденциальной финансовой отчетностью, просто не доведя правила безопасности до ключевого сотрудника: отдел безопасности думал, что правилам работы с конфиденциальной информации обучает HR, а HR — что отдел безопасности. Тем временем, сотрудник унес жесткий диск домой. О данном инциденте никто бы и не узнал, это выяснилось только в процессе аудита эффективности ИТ-функций компании.

Современным подходом к задаче обучения и контроля знаний сотрудников является использование специализированных программ повышения осведомленности пользователей (например, такие решения имеются у компаний UBS, Kaspersky Lab, «Ангара Технолоджиз Груп» и др.). Обучение и контроль знаний сотрудников предприятия осуществляются интерактивно, в формате видеоуроков и тестов, а также викторин и квестов — для пользователей с высоким уровнем доступа к информации.

 

От кого необходимо защищать информацию?

Внешний нарушитель

Базовый подход к защите от внешнего нарушителя — это создание защищенного периметра предприятия, как информационного, так и физического. Технические средства первой необходимости — это система контроля и управления доступом (СКУД) и система видеонаблюдения, которая является незаменимым инструментом в расследовании инцидентов.

Особое внимание нужно обратить на корректное уничтожение документов на бумажном носителе. Как ни странно, не все компании используют шредеры на местах работы сотрудников: в одной крупной компании проводились обязательные тренинги и тестирования по вопросам хранения и передачи конфиденциальной информации, были введены в действие регламенты информационной безопасности, проводилась политика «чистого стола» и «закрытых ящиков». Однако в качестве системы уничтожения документов использовались картонные ящики, которые раз в неделю направлялись в промышленные шредеры. Таким образом, в периоды наполнения ящиков в них можно было найти ценные документы любого вида: договоры, счет-фактуры, конфиденциальные письма и т. д.

В качестве основных составляющих информационно защищенного периметра предприятия можно выделить наличие средств сетевой защиты и управления уязвимостями.

Российские предприятия используют три основных вида средств сетевой защиты:

  • Межсетевые экраны, а точнее, NGFW или UTM-решения (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). Современные межсетевые экраны уже имеют минимальные DLP-движки, позволяющие выявлять утечки по настроенным шаблонам.
  • Функция Web-контроля трафика — как отдельный шлюз или в составе NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). В частности, полезно будет запретить использование сервисов Google (Disk, Gmail), mail.ru, yandex.ru, по крайне мере, на операцию выгрузки файлов (upload). В том числе, необходимо выполнять мониторинг действий пользователей в интернете, лимитировать объемы закачиваемой информации.
  • Если предприятие использует корпоративный портал для хранения конфиденциальных документов, имеет смысл обратить внимание на решения класса Web Application Firewall (WAF) (например, такие решения имеются у компаний: Imperva, F5 Networks, A10 Networks, Positive Technologies, «Код Безопасности» и др.).

Управление уязвимостями — процесс, крайне важный для построения защищенной инфраструктуры: последние события с вирусом WannaCry и, особенно показательно, с вирусом Petya (по сути, он эксплуатирует ту же уязвимость) недвусмысленно напомнили об этом. Да, защита от вирусов-шифровальщиков ближе к области решений по защите от потери данных, чем к краже информации. Однако, например, процесс управления обновлениями программного обеспечения (Patch Management), в целом, усложнит принципиальное проникновение в информационный периметр предприятия, независимо от его цели.

Внутренний нарушитель

Защита от внутреннего нарушителя — очень актуальная и многогранная тема, которой посвящены сотни статей и исследований. В данной публикации отметим, что для эффективной защиты от утечки важной для предприятия информации необходима разработка модели внутреннего нарушителя информационной безопасности, учитывающей как минимум следующие параметры: имеет ли нарушитель легитимный доступ к данным, какие права он имеет (ограниченные или привилегированные), тип доступа к данным — только из корпоративной сети или также извне, с каких устройств возможен доступ (персональный компьютер, мобильные устройства), характер действий (умышленный или неумышленный).

Среди перспективных средств защиты от внутреннего нарушителя — не столько всем известные DLP, сколько современные средства поведенческого и событийного анализа — UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

В одном из коммерческих банков топ-50 (с международным капиталом), отчаявшись найти решение по карману, служба ИБ заменила DLP комплексом из SIEM, NGFW и средства по защите конечных точек (Endpoint Protection).

 

Какой сегмент инфраструктуры необходимо защитить?

Как и всякая изменяющаяся «живая» сущность, данные имеют свой жизненный цикл и свой путь в инфраструктуре, а именно:

  • хранение и обработка данных в ЦОД или облачном ЦОД;
  • хранение и обработка данных на персональном компьютере пользователя, передача между ЦОД и компьютером пользователя;
  • хранение и обработка на мобильном устройстве пользователя, передача на мобильное устройство пользователя.

Защита данных в ЦОД

Ни о какой защите не может быть и речи, если нет основных мер по контролю доступа к ресурсам ЦОД. Это возможно осуществить с помощью следующих базовых средств:

  • Микросегментация серверного сегмента и гранулированное разграничение доступа к нему — здесь помогут концепции SDN или более актуальная сейчас TrustSec, реализация внутреннего NGFW (в том числе виртуальные реализации).
  • Аутентификация при осуществлении доступа к ресурсам, желательно двухфакторная (RSA, JaCarta, Рутокен и др.).
  • Авторизация пользователя на доступ к корпоративным ресурсам: здесь можно рассмотреть глобальные системы IDM и SSO — системы наделения пользователей правами в зависимости от присвоенных им ролей, с прозрачным «наследованием» учетных данных между информационными системами. Данные системы позволяют в том числе сократить количество ошибок, обусловленных «человеческим фактором», когда пользователю назначается больше прав, чем ему необходимо, или ошибок, связанных с несвоевременным удалением отозванных прав.

По достижении определенного уровня «зрелости» возможно использовать и решения на прикладном уровне:

  • Реализация концепции Virtual Data Room (VDR) — структурированное хранилище данных с реализацией гранулированного доступа к контейнерам документов или непосредственно самим документам. Как правило, интерфейс для пользователя представляет собой web-портал с виртуальным кабинетом, откуда пользователь получает доступ к документу. Самые известные варианты реализации — Microsoft SharePoint, портал Google Docs.
  • Database Activity Monitoring and Prevention (DAM/DAMP) — система аудита и контроля действий с базой данных, фактически контроль запросов в базу данных. Система позволяет отслеживать, а в случае с DAMP и блокировать нелегитимные запросы в базу данных. Таким образом, возможно контролировать, не получает ли пользователь не требующийся ему для работы доступ в базу, не выполняет ли он регулярный запрос по записям, которые не нужны ему в работе. Данная система позволяет контролировать привилегированных пользователей базы данных, отслеживать на предмет утечек или блокировать осуществляемые ими выгрузки данных.
  • Database Encryption — вариант более защищенный от нелегитимного пользователя с точки зрения хранения данных, чем DAM(P). В данном случае записи в базе хранятся зашифрованными, работа с ними производится через интерфейс преобразования, и поэтому кража данных нелегитимным пользователем не позволит ему их прочитать. Варианты шифрования: вся база полностью, выделенные таблицы базы, выделенные записи. Обратная сторона такого средства защиты — прямое влияние на производительность базы данных.
  • Unstructured Data Management (UDM) — решение, направленное на управление данными на файловых хранилищах, порталах и других неструктурированных источниках. Иногда при использовании UDM пользователь не работает напрямую с данными, а получает доступ через интерфейс UDM-системы. В других случаях UDM выполняет поиск конфиденциальной информации, организует управление конфиденциальной информацией в соответствии с корпоративной политикой безопасности и помогает понять, «кто ел из моей миски», в сложных конфликтных ситуациях.

Безопасность в бизнес-процессах

Особую сложность в реализации представляет контроль информационных потоков и перемещения информации при хранении, обработке и передаче информации пользователями. Пользователи не всегда соблюдают правила ИБ (а то и вовсе игнорируют их), правила документооборота (грифы, метки и другие механизмы маркирования), а также хотят, чтобы сервисы и оборудование работали без задержек. Для выполнения перечисленных требований предприятия применяют три класса специализированных технологий (наборов технологий):

  • Data Leak Prevention (DLP), причем DLP выступает скорее не как продукт, а как комплекс решений. Контролировать утечки необходимо на всем пути следования данных между компьютером пользователем, по всем каналам передачи данных — это и почта, и web, и внешние устройства хранения. Необходимо также контролировать отсутствие на компьютере пользователя запрещенных программ, например, программ шифрования, или подключений внешних usb-модемов. DLP-системы могут отслеживать утечки через канал корпоративной, контролируя ключевые слова, теги документа, его метаданные. Аналогично отслеживаются утечки через web-канал с обязательным раскрытием SSL-трафика (потребуется интеграция с web-шлюзом). DLP-система должна иметь агентское программное обеспечение, отслеживающее перемещение файлов на файловой системе пользователя. Иногда установку DLP-системы осуществляют в режиме «тихого мониторинга», незаметно для пользователя. В этом случае пользователя, который решил забрать с предприятия интересующие его данные, проще обнаружить, так как он, как правило, пользуется для своих целей простыми средствами.
  • Без использования комплексного подхода к обеспечению информационной безопасности внедрение DLP-системы может не принести ожидаемых результатов. Например, если пользователи имеют возможность копировать информацию на USB-носители или передавать зашифрованные архивы по электронной почте, то утечка документов, даже с внедренной системой DLP, обнаружена не будет. Именно такая ситуация сложилась во время пилотного проекта внедрения DLP-системы у одного из ритейлеров розничной сети.
  • Решения класса Information Rights Management (IRM) / Digital Rights Management (DRM) осуществляют контейнеризацию каждого защищаемого документа индивидуально. Таким образом, информация о правах доступа, ключах шифрования документа привязывается непосредственно к самому документу. Поэтому даже если документ попадет в чужие руки, он не будет вскрыт и прочитан. С точки зрения защиты документа данное решение выполняет свою задачу практически в любом варианте его кражи. Недостатком таких решений является сложность их внедрения, как технические (требования к компьютерам пользователей, доступности серверов авторизации), так и организационные (необходимо обучить сотрудников работе с системой, корректному назначению прав, требуется осуществлять поддержку системы).
  • Для мобильных пользователей с высоким уровнем доступа к ценным документам лучше всего использовать полное шифрование файловой системы ноутбука — Full Disk Encryption (FDE). Тогда забытый в аэропорту ноутбук не станет «катастрофой» для компании. В прессе появлялись сообщения о том, что Национальное управление по аэронавтике и исследованию космического пространства (NASA) потеряла уже 4 ноутбука с данными о космических программах и десятках тысяч сотрудников.

Защита от утечек при работе привилегированных пользователей — это в первую очередь решения класса Privileged User Management (PUM), реализующее «проксирование» работы привилегированного пользователя с целевой системой. В рамках работы системы возможно контролировать вводимые пользователем команды, блокировать запрещенные действия и протоколировать буквально видеосъемкой все выполняемые пользователем действия. Также в целях контроля и ограничения полномочий привилегированных пользователей используется упомянутое выше решение DRM или маскирование данных в базе данных.

Безопасность мобильных вычислений

В 2017 году нельзя не упомянуть еще один важный контекст работы с ценными документами — мобильные телефоны и планшеты. На первый план выходят вопросы защищенной публикации данных в интернете и хранения данных на устройствах пользователей. Перечислим основные решения, которые успешно применяются российским бизнесом в данном контексте:

  • SSL-порталы — многие производители шлюзов NGFW или Web-GW предлагают реализацию программных модулей — web-порталов, реализующих, во-первых, SSL-шифрование, во-вторых, аутентификацию и авторизацию пользователя при подключении, журналирование действий пользователя, и, что самое важное в данном случае, — реализацию мобильного клиента для работы с порталом и полученными через него документами. Варианты реализации включают как решения, осуществляющие только защиту данных при передаче, так и решения с минимальной защитой данных также при хранении на устройстве, включая контейнеризацию и запрет доступа к файлам внешних мобильных приложений, аутентификацию пользователя при доступе к документам и, в ряде случаев, шифрование контейнера с данными (Check Point Сapsule).
  • Решения класса Mobile Device Management (MDM): если с мобильных устройств пользователей доступна работа с ценными документами и на предприятии используется концепция BYOD (Bring Your Own Device), то внедрение MDM-системы представляется очень актуальным.

 

Выводы

Утечка ценной информации влечет за собой не только финансовые, но репутационные потери для предприятия, которые оценить в денежном выражении часто не представляется возможным. Поэтому внедрение на предприятии решений по защите от утечек информации требует не только комплексного подхода и тщательной технической проработки, но и стратегического видения и поддержи руководства компании. Если компания собирается занимать ведущие места на рынке и работает с прицелом на долгосрочное развитие, ей следует подумать о защите своих секретов.

Однако защита может не стоить охраняемых секретов, а то и вовсе быть бесполезной, если осуществляется бессистемно, без тщательного планирования системы защиты от утечки конфиденциальной информации предприятия.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru