X-DLP: в фокусе — человек

X-DLP: в фокусе — человек

Лет пятнадцать назад канал коммуникаций был практически один — почта. Сейчас у нас пятнадцать (если не больше) каналов коммуникаций по различным протоколам. Отдельную сумятицу в стройные ряды службы безопасности вносят, как сказали бы пятнадцать лет назад, «переносные радиотелефоны», а проще говоря — мобильники и смартфоны. Ведь чтобы проанализировать данные, для начала их необходимо собрать.

 

 

1. Цель — человек

2. Новому DLP — новый инструментарий

3. От простой блокировки к плану действий

 

DLP-системы на заре своего появления были в буквальном смысле Data Leak/Loss Prevention —  защитой от утечек конфиденциальной информации. Утечки имелись в виду только случайные, поэтому механизм работал просто: помечались нужные документы, и при их выходе за периметр проверялось наличие соответствующих меток. Далее вступал в игру механизм разрешения/запрета. Все было предельно просто: ничего лишнего, все отлично работало и ничего не сохранялось, ибо нельзя. Этот логический путь compliance выбрали для себя фактически все западные вендоры, так как перед ними стоит довольно простая задача — гарантировать соответствие требованиям, а большего, чем простое соответствие, и не требуется. В результате почти все производители DLP-систем имеют неразвитые средства архивирования и аналитики, так как хранение переписки в полном виде, по сути, является противоправным.  

Сейчас задачи ставятся более креативно — поймать то, что заранее не помечено. Да что там:  зачастую надо поймать сегодня то, что станет утечкой еще только завтра. В таких условиях описанный механизм не работает. Поэтому актуальность приобрело другое направление, которое сейчас слилось с DLP-системами, —  хранение любых перехваченных коммуникаций сотрудников компании с возможностью поиска и многомерного анализа внутри архива. Соответствующее ПО появилось на 5–6 лет раньше самого понятия «DLP-система» и какое-то время развивалось обособленно, порождая попутно различные возможности аналитики и способы работы с большими данными.

Третья составляющая современных систем защиты от утечек конфиденциальных данных — DPI-системы. Такие системы, как следует из названия, накапливают статистические данные, анализируют и фильтруют сетевые пакеты по их содержимому. Программы класса Deep Packet Inspection имеют широчайший спектр применения: от брандмауэров до регулирования трафика на уровне провайдера. Однако просто перехватить данные недостаточно. Либо должны быть настроенные четкие правила реагирования по собранным событиям, либо необходимо уметь их хранить, с отложенным во времени извлечением пользы. И вот здесь мы приходим к мысли о том, что для защиты от утечек информации нужен архив.

По историческим меркам, «порочный круг» сомкнулся совсем недавно, и теперь для DLP-систем характерна синергия всех этих систем. И на самом деле все DLP уже хорошо умеют анализировать весь сетевой трафик, практически нет незакрытых мест в корпоративной сети — это и правда достаточно просто реализуется технически.

Собрать данные, всю переписку или даже все коммуникации компании в едином архиве при современном развитии баз данных и уровне оборудования — задача хотя и не тривиальная (с учетом необходимости работать с большими данными), но вполне решаемая. Плюс к этому хорошо реализуются атрибутивный или нечеткий поиск, BI и прочее. Разработаны регламенты хранения особо чувствительной для бизнеса информации и кое-где эти регламенты даже внедрены и, не побоюсь этого слова, работают.

 

Цель — человек

Однако одно «но» все же осталось: что мы хотим найти? Документы, грифы секретности, базы данных о клиентах, интимные переписки, свидетельства воровства или служебных преступлений? На самом деле нет. На самом деле мы всегда ищем человека.  Любое действие с документами, информацией, да вообще любое осмысленное действие в организации совершает именно человек. Он же приносит пользу компании, в которой работает, а может и нанести своими действиями непоправимый вред.

Конечно, с помощью указанных методов мы сможем четко сказать, что произошло, как именно это произошло, даже сможем установить степень вины сотрудника. Но что действительно кроется за «утечками» данных? На что еще способен данный сотрудник? На что вообще способен каждый сотрудник в нашей организации? Что он сделал, что он делает и что может сделать? Можно запретить вынести документ, можно даже поставить везде камеры и запретить фотографировать экран. Но как запретить запоминать информацию?

Чтобы ответить на эти вопросы, необходимо разработать специальные методы и механизмы, позволяющие собирать информацию не о передаваемых или принимаемых данных, а о людях. А это значит, что перед DLP-системами ставятся совершенно иные задачи: собрать информацию о человеке, обрисовать его «моральный облик», сделать вывод о намерениях, спрогнозировать возможные действия. А на основе этого запретить ему работу с чувствительными данными или, наоборот, допустить к работе с важной информацией.  А может, и вовсе уволить.

 

Новому DLP — новый инструментарий

Современные системы подобного класса должны содержать ряд механизмов, необходимых для их эффективной работы. Причем к «прожиточному минимуму» в этом контексте можно отнести следующий функционал:

  • карточка сотрудника: система в обязательном порядке должна  «уметь» агрегировать данные о каждом сотруднике, желательно в автоматическом или полуавтоматическом режиме. Такой модуль должен автоматически производить идентификацию источника и назначения событий, добавлять и изменять информацию об адресах, свойствах и принадлежности персон к группам. Карточка персоны должна позволять работать как со служебной информацией внутри периметра компании, так и иметь возможность каким-либо образом использовать внешнюю информацию, а также вести статистику по каждому конкретному человеку. В идеале вся работа должна проводиться через взаимодействие  с личными делами сотрудников;
  • скоринг: автоматический расчет уровня доверия к человеку, позволяющий находить и выявлять явных и скрытых нарушителей, проводить поведенческий анализ, а также оценивать соответствие поведения сотрудника правилам компании;
  • группы контроля пользователей — этот механизм позволяет создавать свои группы пользователей, помимо тех, что определены политикой компании (отделы, группы AD). Например создавать свои группы «Нарушители», «Под подозрением», «Испытательный срок», «На увольнение», что упрощает работу служб ИБ и СБ;
  • граф общения персон — графическое изображение связей между корреспондентами — позволяет выявить круг неформального общения, поиск неявных связей, выявление скрытых связей между людьми;
  • workflow — система должна иметь хотя бы минимальные рабочие области для коллективной работы, разделение прав доступа сотрудников безопасности в зависимости от уровня доступа к информации, а также «движение  документов/инцидентов» — работа в модели документооборота с инцидентами напрямую из DLP-системы.

 

От простой блокировки к плану действий

«Утечка данных» как таковая уже не актуальна — это потомок западного compliance, который означает очень простую вещь: «мы поймали то, что уже произошло». «Блокирование утечек», в свою очередь, — это балансирование на грани: закрыли правилом политики безопасности утечку и перекрыли половине компании работу. По опыту практики внедрений DLP, первыми в зоне риска оказываются, например, менеджеры по продажам в торговых компаниях. Именно они по регламенту компании часто пересылают документы, которые шеф службы безопасности считает подозрительными (счета, договора, реквизиты организаций, персональные данные). 

Архив данных обо всех сотрудниках и их действиях в организации — это очень хорошо, но этот архив надо наполнять, а еще лучше, если он будет заполняться сам и выдавать результаты для дальнейшего изучения, проводя половину расследований самостоятельно. Именно изучая людей, их коммуникации, взаимодействия, можно выявить схему зарождающегося мошенничества, неофициальные взаимодействия сотрудников, нарушения регламентов работы или попросту воровство в компании. Найдя одну утечку, вряд ли можно сделать столь грандиозные выводы об одном человеке, но при наличии правильного архива данных внезапно обнаруженная утечка может позволить сделать более масштабные выводы и обнаружить не только схему фрода, но и всех ее участников как внутри компании, так и вовне. Без минимального workflow в компании численностью более ста человек очень легко потерять нить расследований и попросту запутаться или забыть о произошедшем инциденте.

И, наконец, если немного заглянуть в будущее, то в нем DLP еще и подсказывают действия, которые необходимо совершить специалисту службы безопасности при появлении поведенческих аномалий. Например, дать команду IdM отключить конкретного человека от определенных ресурсов немедленно или перекрыть все входы и выходы при попытке вынести клиентскую базу.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru