Расследование инцидентов безопасности с помощью DLP Solar Dozor

Современные DLP-решения — прекрасный инструмент для предотвращения внутренних угроз, но без участия офицера безопасности они не могут работать эффективно. В этой статье приведена практически пошаговая инструкция по выявлению и расследованию инцидентов информационной безопасности. Она поможет не только повысить эффективность эксплуатации DLP-системы, но и сократить время, затрачиваемое на работу с ней.

 

 

 

1. Введение
2. Обнаружение и регистрация событий ИБ
3. Выявление инцидентов ИБ
4. Оперативное реагирование на инцидент
5. Разбор (расследование) инцидента
6. Реагирование на инцидент
7. Анализ «полученных уроков», подготовка рекомендаций по повышению уровня информационной безопасности
8. Выводы

 

Введение

Внедрение DLP в организации – серьезный шаг зрелой компании. Рано или поздно встает вопрос выбора системы, и тут начинается захватывающий аттракцион: пилотирование, тестирование, проведение ПМИ, сравнение, принятие, внутренние протесты от множества увиденных интерфейсов и количества полученной информации.

И вот он, тот самый момент, когда все традиции соблюдены, процедуры завершены, и у вас на полочке красуется новая блестящая коробочка DLP. Казалось бы, теперь мы в информационной безопасности, данные под надежной защитой, сотрудники под наблюдением, мошенники грустно вздыхают в сторонке.

Однако проходит совсем немного времени, и тут в СМИ проскальзывает неприятная информация о пожаре в сборочном цеху, условиями сделок с вашей организацией оперируют конкуренты, а тут еще и руководитель заявляется с требованием отчета о проделанной работе. И постепенно приходит понимание, что наличие DLP в организации еще не гарантия информационной безопасности.

Хорошо бы открыть интерфейс DLP и обнаружить недобросовестных работников со всеми их гнусными мыслишками и планами по причинению вреда организации, разложенными по полочкам и упакованными в готовую доказательную базу. Но в реальности все обстоит иначе.

После внедрения система DLP требует участия и регулярной методичной работы. Это прекрасный инструмент для обеспечения информационной безопасности и предотвращения внутренних угроз, но без участия офицера безопасности он быстро превращается в еще одну систему в балласте. С какой стороны подступиться к этому диковинному зверю, мы и обсудим в этой статье.

И вот, с крепким кофе и решительным настроем, после трех месяцев внедрения офицер безопасности открывает интерфейс DLP. И оттуда, не скрывая сарказма, на него смотрят тысячи необработанных событий ИБ. Решительный настрой заметно слабеет, и только кофе не позволяет окончательно пасть духом. Как же со всем этим разобраться?

Безусловно, способы и приемы расследований — дело сугубо индивидуальное. Большинство из них приходит с опытом и познанием новых инструментов. Ключевую роль на начальных этапах формирования индивидуального стиля расследований играет простота и логичность системы DLP. Чтобы быстрее привыкнуть к новой системе и получить требуемый результат, мы предлагаем ориентироваться на следующую последовательность шагов при работе с системой DLP Solar Dozor:

1. Обнаружение и регистрация событий ИБ.
2. Категорирование событий, сбор дополнительной информации и выявление инцидентов ИБ.
3. Оперативное реагирование на инцидент (предотвращение или устранение последствий).
4. Разбор (расследование) инцидента.
5. Реагирование на инцидент (дисциплинарные взыскания, уголовное преследование нарушителей, управленческие решения и другое).
6. Анализ причин инцидента и «полученных уроков», подготовка рекомендаций по повышению общего уровня ИБ (при необходимости).

 

Обнаружение и регистрация событий ИБ

Прелесть века автоматизации в том, что часть действий информационные системы теперь умеют выполнять без участия человека. И это, безусловно, прекрасно и экономит кучу времени, если бы не одно «но» — необходимость предварительной тонкой тщательной настройки системы таким образом, чтобы она действительно упрощала жизнь, а не автоматизировала генерацию мусора, на обработку которого требуется еще больше времени.

Классификация информационных политик, настройка и тюнинг политик безопасности — тема для отдельной большой статьи. Представим пока, что самый важный и, пожалуй, самый сложный этап при внедрении DLP пройден нами со всей ответственностью — система работает, как часы, настроенная политика фильтрации сообщений отвечает всем задачам безопасности в организации.

Легко учиться тому, что логично и привычно. Следуя этому правилу, мы воплотили в нашей системе полноценную инцидентную модель. Ее наглядное представление содержится на схеме ниже.

 

Рисунок 1. Схема инцидентной модели в Solar Dozor

 

Важно отметить, что Solar Dozor обрабатывает сообщения в режиме реального времени и помимо регистрации событий ИБ в системе умеет отправлять уведомления на почту заинтересованным лицам. Офицер безопасности всегда будет в курсе актуального состояния дел в организации, даже не заходя в интерфейс системы.

Как видно из схемы, система разделяет понятия «сообщение», «событие» и «инцидент». Сообщение — любая информация, поступившая от любого из перехватчиков. Это и сообщения корпоративной почты, и сообщения о копировании данных на съемные носители, и сообщения о запуске процесса на рабочей станции пользователя. Далее в соответствии с настроенными правилами система самостоятельно анализирует все поступающие сообщения и при необходимости формирует события ИБ, которые служат предупреждением о возможной угрозе безопасности.

Например, угроза несанкционированной передачи конфиденциальных данных, нахождения чувствительной информации в открытом доступе или передачи конкурентам важной маркетинговой информации. Одно сообщение при должном старании отправителя может нарушить сразу несколько настроенных правил и стать источником формирования нескольких событий.

Важную роль в процессе генерации событий играет умение системы их самостоятельно классифицировать: определять канал передачи, уровень серьезности нарушения, тип угрозы безопасности. Эти параметры в сочетании с богатыми возможностями фильтрации позволяют оперативно сузить выборку и сосредоточиться на важном.

 

Выявление инцидентов ИБ

В бой вступает офицер безопасности. На предыдущем этапе незаменимая помощница — система DLP — подготовила наглядную подробную базу для начала проведения расследований. Теперь очередь специалиста.

При настройке определения уровня серьезности событий мы рекомендуем руководствоваться простыми критериями:

1. Насколько сильный ущерб организации может нанести данное действие (учитывая материальные, физические и репутационные риски).
2. Насколько минимизация ущерба зависит от оперативности реагирования на произошедшее.

Совокупность ответов на эти вопросы поможет определить дальнейший регламент работы с системой — чем выше уровень серьезности события, тем быстрее нужно на него отреагировать.

Совет: во избежание перманентного состояния аврала у офицера безопасности политика должна быть настроена таким образом, чтобы формировать не более десяти событий критичного уровня в день.

Офицер безопасности может просматривать поток событий или выделенную его часть и по каждому проводить экспресс-оценку:

• реальность нарушения (действительно ли это нарушение, а не ошибочное срабатывание или чья-то некомпетентность);
• наличие признаков умышленных противоправных действий;
• потенциальный ущерб для компании;
• возможность дальнейшего негативного развития ситуации;
• необходимость принятия экстренных мер.

Кроме просмотра потока событий в Solar Dozor есть обширный набор инструментов выявления косвенных признаков нарушений:

• Рабочий стол аналитика — инструмент для выявления аномалий и изменений за выбранный промежуток времени. Например, позволяет выявить аномальное увеличение событий по какому-либо каналу передачи или типу угроз.
• Динамический фильтр событий — дает возможность увидеть большое число однотипных событий за короткий период или единичные события, не зафиксированные ранее.
• Карта коммуникаций информационных объектов — без построения поисковых запросов показывает выход чувствительной информации за периметр организации, а также единичные пересылки информации по любому каналу. Такие пересылки с наибольшей вероятностью являются аномальными и требуют дополнительного анализа.

По результатам экспресс-оценки офицер безопасности может:

• Принять событие к сведению и отметить, как просмотренное. Это позволит избежать повторного анализа уже просмотренного события.
• Отметить событие как ошибочное срабатывание. Это позволит получить статистику по неправильным срабатываниям политики и быстро выявить правила, требующие донастройки.
• Создать инцидент, назначить ответственного за его рассмотрение, если нарушение существенное и/или требует дальнейшего анализа.

Свое решение офицер безопасности может зафиксировать в системе, в один клик сменив статус события.

 

Рисунок 2. Создание инцидента из события в Solar Dozor

 

Оперативное реагирование на инцидент

Как и в медицине, в информационной безопасности необходимо реагировать быстро, на начальных этапах появления угрозы. Еще лучше — суметь ее предотвратить.

Для этого в Solar Dozor реализованы широкие возможности по блокировке и помещению сообщений в карантин до принятия решения офицером безопасности. Блокировать сообщения можно не только по времени, адресатам, объему, но и анализируя формат и содержимое вложений.

Адресату может быть отправлено автоматически отредактированное сообщение (например, с удаленным вложением, содержащим конфиденциальную информацию). При интеграции с системами класса СКУД и IdM нарушителю можно заблокировать доступ к тем или иным ресурсам.

Разбирая инцидент, офицер безопасности может оповестить о нем заинтересованных лиц, приложив к уведомлению информацию об инциденте или дав на него ссылку. Для этого в системе есть стандартная функция уведомления.

 

Рисунок 3. Уведомление об инциденте в Solar Dozor

 

Причастный к инциденту сотрудник попадает в группу особого контроля, коммуникации которой контролируются более полно и жестко. Это можно сделать вручную или настроить условия для автоматического перемещения сотрудников на особый контроль.

 

Рисунок 4. Перевод сотрудника на особый контроль

 

Разбор (расследование) инцидента

Для анализа инцидента, как правило, недостаточно только факта нарушения. Важно иметь возможность погрузиться в контекст: просмотреть информацию о нарушившем сотруднике, его окружении, предшествующих и последующих действиях. Главную роль в процессе сбора информации играет система DLP. Чем больше возможности системы, тем проще подобрать оптимальные инструменты для конкретного расследования и тем быстрее оно будет проводиться.

Большинство людей легче воспринимают информацию визуально. При разработке интерфейса Solar Dozor этот факт был учтен. Каждая зона интерфейса максимально визуализирована и предназначена для решения определенного круга задач.

В Solar Dozor офицеру безопасности для проведения расследования доступны такие инструменты, как:

• карточка инцидента, содержащая всю информацию по нарушению и связанная с карточкой исходного сообщения;
• карточка сообщения, содержащая перехваченное сообщение, структуру его частей, подробную техническую информацию о сообщении и ходе его обработки;
• готовые статистические срезы информации в различных представлениях, обеспечивающие доступ к сгруппированной информации без необходимости построения поисковых запросов;

 

Рисунок 5. Готовый статистический срез фактов передачи информации в Solar Dozor

 

• досье, содержащее агрегированную информацию о персоне и ее коммуникациях, — профиль поведения персоны, а также консолидированную информацию о подразделениях и группах персон;
• граф связей, позволяющий выявить как устойчивые, так и нехарактерные контакты персоны, в том числе связь через посредника; «через одного»;
• развитая система поиска с действительно большим количеством поисковых атрибутов, возможностью автоматически создавать контекстные поисковые запросы, автоматическим определением критериев «похожести» и внушительной библиотекой готовых поисковых запросов;
• развитая система отчетности, позволяющая рассмотреть данные в разных срезах, а также выгружать из системы отчеты, готовые для предоставления руководству;
• вспомогательные динамические фильтры в каждой зоне интерфейса, отображающие только актуальные критерии фильтрации с указанием релевантного числа элементов поиска.

Все эти инструменты позволяют быстро установить подробности инцидента, причастных лиц, возможные мотивы нарушителя и многое другое.

 

Реагирование на инцидент

В зависимости от тяжести инцидента и его последствий можно решить, что с этим делать дальше.

 

Таблица 1. Три группы дальнейших действий с нарушителем

Группа А. По решению ответственного за ИБ	Группа Б. По решению руководства и сотрудников отдела персонала	Группа В. По решению руководства, сотрудников отдела персонала, юристов и ответственного за ИБ
Перевод в группу «Особый контроль» Получение объяснительной Профилактическая беседа	Лишение привилегий (в т. ч. избыточных прав доступа) Дисциплинарные взыскания в виде замечания или выговора	Дисциплинарные взыскания в виде увольнения по соответствующим основаниям Возмещение ущерба Уголовное преследование

 

Для реализации сценариев из группы В необходимо четкое понимание процедур и высокий уровень «бумажной безопасности».

 

Анализ «полученных уроков», подготовка рекомендаций по повышению уровня информационной безопасности

Один из важнейших этапов в процедуре управления инцидентами, о котором, тем не менее, часто забывают, — анализ причин инцидента и «усвоенных уроков». Он может проводиться тщательно, с созданием рабочих групп для обсуждения или решаться простым мозговым штурмом в голове конкретного офицера ИБ. При этом нужно задать себе следующие вопросы:

• Что необходимо сделать, чтобы такие инциденты не происходили в будущем (или их количество сократилось)?
• Как можно улучшить процедуру реагирования на инциденты?

В зависимости от ответов могут быть приняты соответствующие решения, например:

• о необходимости провести обучение и повысить осведомленность пользователей;
• пересмотреть политику детектирования событий DLP;
• отозвать излишние права доступа;
• изменить регламенты работы или порядка взаимодействия как целых подразделений, так и отдельных сотрудников;
• усовершенствовать механизмы работы с принадлежащими организации материальными ценностями и порядок оборота служебной информации;
• выработать иные комплексные меры по защите интересов организации путем тесного взаимодействия с заинтересованными подразделениями.

Не обязательно проводить такой анализ после каждого инцидента, но для повышения уровня безопасности в организации делать это следует регулярно.

 

Выводы

Только регулярные усилия позволяют добиться стабильных и высоких результатов. Этот тезис применим ко многим сторонам жизни, и в том числе — к обеспечению информационной безопасности компании.

Solar Dozor предоставляет широкий набор аналитических инструментов, которые при правильном использовании позволяют быстро выявлять инциденты и проводить расследования. Состав, возможности и даже визуальное оформление дашбордов направлены на то, чтобы офицер безопасности мог получить максимум необходимой информации, затратив минимум усилий. При должном уровне владения этими инструментами ежедневная работа с системой не будет отнимать у офицера безопасности много времени, а значит, позволит создать рутинный процесс анализа внутренних угроз.

Именно такая регулярная работа с DLP и является залогом своевременного реагирования на внутренние угрозы и поддержания высокого уровня защищенности компании в целом.