Комплекс полноценности: ежедневный мониторинг, расследования инцидентов и работа на упреждение

Комплекс полноценности: ежедневный мониторинг, расследования инцидентов и работа на упреждение

Инсайдеры, недобросовестные сотрудники — серьёзная проблема для многих организаций. По вине таких служащих происходило множество утечек конфиденциальных данных, однако внутренний нарушитель опасен ещё и бесконтрольными действиями. Несанкционированный доступ к папкам и файлам, базам данных, неправомерная установка стороннего «софта» — как это всё мониторить?

 

 

 

 

 

  1. Введение
  2. Комплексный подход в теории
    1. 2.1. Обнаружение инцидента в настоящем времени
    2. 2.2. Расследование инцидента — поиск обстоятельств в прошлом
    3. 2.3. Профилактика ИБ-рисков в будущем
  3. Комплексный подход на практике
  4. Выводы

Введение

С утечками информации сталкивается 60 % российских компаний: сотрудники разглашают информацию или уводят «на сторону» целые базы данных. Утечки — самый распространённый, но далеко не единственный тип нарушений по вине сотрудников. Опасны любые бесконтрольные действия: неправомерный доступ к файлам и папкам, к базам данных, самовольная установка программ. По мере роста компании и усложнения её бизнес-процессов приходится увеличивать парк защитных систем:

  • DLP (на уровне каналов);
  • DCAP (на уровне файлов и файловых хранилищ);
  • DAM (баз данных);
  • SIEM (всей IT-инфраструктуры).

Все эти классические продукты есть в линейке «СёрчИнформ». Вендор пошёл ещё дальше, разработав ProfileCenter — программу для создания психологического профиля сотрудника, где собраны данные о его характере, мотивах, ценностях, криминальных наклонностях.

Принятие всех перечисленных мер даёт уверенность, что в компании не остаётся «слепых зон». Но просто находить и блокировать инцидент недостаточно. Защита информации — это постоянная работа по повышению уровня безопасности в организации. ИБ-специалист действует в трёх временах: обнаруживает инциденты в настоящем, расследует причины в прошлом и принимает меры на будущее.

Комплексный подход в теории

Обнаружение инцидента в настоящем времени

Ежедневный мониторинг инцидентов — основная часть работы службы ИБ. Специалист получает уведомления («алёрты») от систем контроля и реагирует на них. Ниже приведена матрица, которая описывает, за какими объектами ИТ-системы (и на каких её участках) нужно установить постоянный контроль и какие ИБ-средства для этого использовать.

 

Таблица 1. Ежедневный мониторинг инцидентов с помощью программ «СёрчИнформ»

Что нужно контролировать? Зачем? С помощью чего?
Каналы передачи данных (почта, мессенджеры, средства удалённого доступа, подключаемые устройства, облачные хранилища и т. д.) Чтобы выявлять:
• утечку информации в любом виде;
• признаки мошеннической схемы;
• неправомерный доступ.

DLP-система «СёрчИнформ КИБ»:
• следит за перемещением информации и моментально уведомляет о подозрительных действиях персонала за ПК;
• блокирует опасное действие.

Информацию «в покое» — файлы и папки, находящиеся на файловых серверах / сетевых хранилищах / ПК пользователей, а также действия с ними Чтобы выявлять:
• наличие на компьютерах пользователей таких файлов, к которым они не должны иметь доступа;
• появление новых документов с конфиденциальным содержимым;
• изменение конфиденциальных документов;
• действия с критически важными документами;
• изменение категории документа (перестал быть конфиденциальным).
DCAP-система «СёрчИнформ FileAuditor» укажет, если в отношении файла или папки происходят опасные действия (массовое удаление, перемещение и т. д.). ИБ-специалист моментально получит уведомление об этом и сможет оперативно принять меры. В случае удаления критически важных данных ИБ-специалист может восстановить их из теневой копии, которую делает FileAuditor.
Базы данных Чтобы выявлять:
• случаи несанкционированного доступа к БД;
• запросы (на удаление, добавление, редактирование);
• другие опасные действия пользователей (выполнение вредоносных скриптов, SQL-инъекций).
DAM-система «СёрчИнформ DataBase Monitor» анализирует все запросы к БД (delete, modify и т. д.) и её ответы.
ИБ-специалист получает оповещения о подозрительной активности пользователей и может принять экстренные меры.
IT-инфраструктуру в целом Чтобы выявлять:
• нарушения в работе оборудования, программ;
• слабые места инфраструктуры (например, незакрытые порты);
• подозрительные действия сотрудников.
«СёрчИнформ SIEM» сопоставляет сигналы от оборудования и программ, распознаёт инциденты в «рядовых» событиях, уведомляет ИБ-специалиста о подозрительных событиях.
Пользовательское поведение Чтобы выявлять критические изменения в ценностях, поведении сотрудника. «СёрчИнформ ProfileCenter» — система автоматизированного профилирования — составляет психологический портрет пользователя, а также фиксирует и анализирует его изменения. При критической динамике ИБ-специалист получает уведомление, а также пояснения, в чём именно состоит опасность.

 

Если упущен контроль хотя бы одного уровня, нельзя быть полностью уверенным, что с данными ничего не происходит.

Следы инцидента могут обнаруживаться в каждой из систем. Тогда ИБ-специалист подстрахован, так как уведомления приходят из нескольких источников. Но ещё важнее, что он получает их на самом раннем этапе, когда инсайдер только обратился к файлам и базам данных (FileAuditor и DataBase Monitor) или даже просто задумал плохое (ProfileCenter).

Например:

  1. Инсайдер затеял «слив» базы. О выгрузке сигнализирует DataBase Monitor — ещё до момента перемещения информации на «флешку».
  2. Пользователь получил документ, к которому не должен был иметь доступ, и решил на всякий случай сохранить его в облаке. Об этом сообщит «СёрчИнформ КИБ». Но ещё раньше сигнал подаст программа FileAuditor: пользователь переложил этот файл из закрытой папки в общедоступную.

Обнаружение инцидента в настоящем — ключевое событие для экстренного предотвращения последствий. Но на этом работа службы ИБ не должна останавливаться, иначе ИБ-специалист будет вести бесконечную борьбу с инцидентами, а не с их первопричиной.

Расследование инцидента — поиск обстоятельств в прошлом

Дальнейшее расследование инцидента необходимо, так как одно нарушение может быть частью гораздо большего происшествия. Кроме того, не зная всех обстоятельств трудно извлечь уроки на будущее.

Поэтому в ходе ретроспективного анализа важно выявить:

  • Что произошло — какие реальные масштабы имело происшествие, как оно случилось.
  • Кто виновник — круг всех задействованных лиц.
  • Почему произошло — определяем мотивы нарушителя и слабые места системы, которые сделали инцидент возможным.

Вот примерный алгоритм действий, которые можно предпринять для полноценного расследования. Понятно, что он будет изменяться в зависимости от типа инцидента.

1. Сопоставляем информацию, зафиксированную разными системами, чтобы видеть комплексную картину инцидента, а также проверить, нет ли связи между ним и другими инцидентами.

Нас могут интересовать:

  • любые срабатывания политик безопасности о перемещении информации (смотрим в DLP-системе «Сёрчинформ КИБ»),
  • появление новых документов и выгрузок из баз данных на компьютерах пользователей и на файловых серверах, действия пользователей с файлами и папками, изменение прав доступа к ним (в DCAP-системе FileAuditor),
  • попытки неправомерного доступа к БД, любые странные запросы и их сочетания (в DAM-системе DataBase Monitor),
  • работа в неурочное время (DLP «СёрчИнформ КИБ»), многочисленные ошибки при вводе пароля и другие события из «СёрчИнформ SIEM» и т. д.

2. Поднимаем данные о действиях сотрудника за компьютером (КИБ, DataBase Monitor, FileAuditor).

Нас могут интересовать:

  • переписки с другими пользователями,
  • информация о посещённых сайтах,
  • данные об установленных и используемых программах,
  • отправка, получение документов и файлов, их контентные маршруты,
  • обращения к базам данных,
  • документы, которые человек хранит на своём компьютере, и т. д.

3. Поднимаем информацию о психологическом портрете нарушителя — способен ли создавать хитрые схемы, привлекать соучастников или, наоборот, попадать под чужое влияние.

4. Смотрим на круг общения нарушителя, чтобы найти вероятных соучастников внутри и снаружи компании:

  • в «карточке пользователя» — его контакты внутри и снаружи компании;
  • в «графе связей» — об интенсивности коммуникации.

Профилактика ИБ-рисков в будущем

Зная о том, какие в компании происходят инциденты, можно делать выводы, как не допускать их в будущем. Полученная в ходе расследования информация — важное «сырьё» для понимания того, где в компании есть «тонкие» места, кто составляет группы риска и почему, а также какая информация представляет интерес для злоумышленников и где она хранится.

Поэтому для профилактики делаем следующее:

  1. Формируем группы риска среди сотрудников. «СёрчИнформ КИБ» позволяет проводить лингвистический анализ переписки пользователя по словарям тематик: алкоголь, долги, азартные игры и т. д. Это помогает выделить группы людей с опасными зависимостями, с долгами и кредитами, которые под давлением обстоятельств могут пойти на преступление. «СёрчИнформ ProfileCenter» выявляет сотрудников групп риска из топ-листов рейтингов скандалистов, манипуляторов, чрезмерно озабоченных деньгами, некомандных работников, а также потенциально опасных сочетаний качеств.
  2. Уточняем, где и как хранятся данные в компании. DCAP-система «СёрчИнформ FileAuditor» классифицирует документы (присваивает каждому метку: «персональные данные», «коммерческая тайна», «номера кредитных карт» и т. д.), проводит аудит прав доступа, фиксирует все операции и делает теневые копии, чтобы восстановить информацию, если её удалили.
  3. Вносим уточнения в политики безопасности. Новый или постоянно повторяющийся инцидент помогает сделать вывод о том, какую лазейку нашёл нарушитель. Это позволяет её устранить, прописав новые (или уточнив существующие) политики безопасности для всех защитных систем.
  4. Корректируем бизнес-процессы — устраняем условия, в которых оказалось реальным «провернуть» схему.
  5. Принимаем кадровые решения с точки зрения безопасности. Специализированные программы дают объективную картину: показывают, как меняется личность сотрудника (ProfileCenter), сколько он допускает инцидентов (карточки пользователей в КИБ), насколько эффективно работает (ProgramController в КИБ).

Комплексный подход на практике

А теперь разберём кейс, чтобы лучше понять, как разные ИБ-инструменты помогают специалистам по безопасности работать с инцидентами.

DLP «СёрчИнформ КИБ» поставила на карантин письмо от системного администратора на внешний адрес. Система отработала по двум политикам безопасности: пересылка персональных данных и пересылка медицинской информации. В «теле» письма содержался кусок текста из некой медсправки. При рассмотрении оказалось, что это отчёт из лаборатории с информацией о состоянии здоровья главного бухгалтера.

 

Рисунок 1. Карантин письма в DLP «СёрчИнформ КИБ»

Карантин письма в DLP «СёрчИнформ КИБ»

 

Распространение диагноза опасно для бизнеса: это создало бы беспокойство и разговоры в коллективе, сплетни в отрасли — не говоря о том, что налицо нарушение врачебной тайны.

Понятно, что документ — личный и не мог храниться нигде, кроме как на собственном компьютере бухгалтера. В DCAP-системе «СёрчИнформ FileAuditor» провели аудит, на чьих ещё компьютерах оказалась справка, и увидели её у сисадмина.

 

Рисунок 2. Создание поискового запроса в FileAuditor

Создание поискового запроса в FileAuditor

 

Рисунки 3-4. Обнаружение документа на компьютере сотрудника в FileAuditor

Обнаружение документа на компьютере сотрудника в FileAuditor

Обнаружение документа на компьютере сотрудника в FileAuditor

 

На этом ИБ-служба могла завершить расследование, но решили собрать дополнительные доказательства. Предположили, что нарушитель вновь воспользуется возможностью заглянуть на компьютер главбуха.

ИБ-служба настроила новую политику безопасности в FileAuditor: система должна уведомлять, если к файлам обращается кто-то кроме реальных владельцев. Ввели правило о доверенной учётной записи: если на компьютер заходит кто-то не под этим аккаунтом, система создаёт «алёрт».

В течение недели сисадмин действительно вновь обратился к компьютеру бухгалтера. FileAuditor зафиксировал инциденты — срабатывания по новым политикам безопасности:

  1. на компьютер бухгалтера заходил системный администратор;
  2. он скопировал какой-то документ с диска C на свой компьютер.

 

Рисунок 4. Два инцидента в «СёрчИнформ FileAuditor»

Два инцидента в «СёрчИнформ FileAuditor»

 

ИБ-специалист перепроверил информацию в DLP-системе «СёрчИнформ КИБ». В модуле MonitorController он просмотрел запись с экрана — действительно, во время инцидента сисадмин сначала открыл документ на компьютере бухгалтера и прочитал его, а позже скопировал, пользуясь своими правами.

 

Рисунок 5. Скриншот из модуля MonitorController DLP-системы «СёрчИнформ КИБ»

Скриншот из модуля MonitorController DLP-системы «СёрчИнформ КИБ»

 

Также подняли несколько снимков с веб-камеры компьютера, чтобы убедиться, что за компьютером сисадмина находился он лично.

На этом этапе доказательств оказалось достаточно, чтобы зафиксировать действия системного администратора, в том числе если бы их потребовалось предъявить в суд.

Но работа над ошибками ещё не была завершена. В DLP в модуле контроля устройств DeviceController ИБ-служба задала новое ограничение — на доступ администраторов к части дисков и файлов. Это закрыло им возможность видеть личные и конфиденциальные документы на компьютере бухгалтера и других пользователей, чью приватность было важно сохранить — но не мешало им выполнять свои задачи по администрированию.

Выводы

Защита информации в компании — это постоянная работа по выявлению инцидентов, расследованию и уточнению политик безопасности и регламентов. Облегчают этот труд системы автоматизированного контроля. Комплексная работа DLP-, DCAP-, DAM- и SIEM-систем позволяет закрыть вопрос о безопасности всех типов данных (в покое и движении), а также на всех уровнях ИТ-инфраструктуры.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru