Расследование инцидентов информационной безопасности c помощью веб-консоли Zecurion DLP 8.0

Расследование инцидентов информационной безопасности c помощью веб-консоли Zecurion DLP 8.0

На примере DLP-системы Zecurion мы рассмотрим, как можно быстро и эффективно проводить расследование инцидентов информационной безопасности. Система Zecurion DLP 8.0 включает в себя технологии анализа поведения (UBA), возможности построения графа связей, предлагает инструменты для подготовки отчетов и ускоренного поиска по архиву инцидентов.

 

 

 

 

  1. Введение
  2. Особенности расследования инцидентов ИБ при помощи DLP-системы Zecurion
  3. Работа с консолью Zecurion DLP
    1. 3.1. Расследование инцидента с помощью Zecurion DLP
    2. 3.2. Проверка аномалий в поведении сотрудников
    3. 3.3. Изучение сводки событий
    4. 3.4. Анализ критичных событий
    5. 3.5. Поиск соучастников
    6. 3.6. Построение отчетов
  4. Выводы

 

Введение

Многие DLP-системы поддерживают установку «в разрыв», позволяющую на лету заблокировать передачу конфиденциальных данных по большому количеству сетевых протоколов. Однако в России большинство заказчиков DLP традиционно не готовы использовать такой способ внедрения. Причины кроются не столько в том, что лишний элемент на пути прохождения трафика снижает отказоустойчивость всей сетевой инфраструктуры, сколько в методиках работы департамента ИБ.

Зачастую безопасники не хотят афишировать наличие и возможности DLP-системы рядовым сотрудникам организации. В случае, когда сотрудники не знают о том, что их электронная почта или запросы в браузере могут проверяться, возрастает вероятность нахождения следов утечки конфиденциальной информации. Сотрудникам информационной безопасности собирать в архив максимум информации о действиях пользователей для дальнейшего расследования инцидентов.

Учитывая количество информации, которая может быть собрана даже в небольшой компании, DLP-системы должны предоставлять развитый инструментарий для обработки и анализа собранных данных. Именно это помогает сотрудникам отдела ИБ проверять различные рабочие гипотезы (находить подтверждение нелояльности сотрудников, вовремя отследить тех, кто собирается уволиться, и др.) и проводить расследования произошедших инцидентов, или пост-анализ.

 

Особенности расследования инцидентов ИБ при помощи DLP-системы Zecurion

Во время работы с DLP у различных категорий сотрудников отдела информационной безопасности могут быть различные цели. Так, например, у руководителя больший интерес вызывает статистика по инцидентам, перечень наиболее опасных утечек. В то же время у сотрудника, который занимается непосредственно расследованием, встает необходимость просмотра закрытых и еще не просмотренных инцидентов, поиска нелояльных сотрудников. В связи с этим основным показателем при выборе DLP-системы служат ее аналитические возможности. Сотрудникам отдела безопасности необходимо как можно быстрее узнать о предстоящей утечке данных и проанализировать данные о пользователе, его связях с другими пользователями.

Немаловажный фактор — визуализация данных. В этом вопросе у каждого сотрудника отдела информационной безопасности могут быть свои предпочтения. Тем не менее возможность быстрого перехода от одного инцидента или сотрудника к другому или просмотр полной информации о сотруднике, назначение меток и тегов позволяют значительно сократить время при расследовании инцидентов.

В организациях с большим количеством сотрудников требуется много ресурсов для хранения данных о работе пользователей (логи трафика, переписки в электронной почте и др.). Объемы баз данных достигают десятков гигабайт всего лишь за несколько недель активного сбора данных с компьютеров. Неудивительно, что чем дольше установлена DLP-система, тем сложнее становится производить поиск и тем большее время он занимает.

Помимо временных затрат при работе с базой данных существует и проблема настройки параметров необходимой выборки для отчета. Так как DLP имеют широкий охват потенциальных каналов утечки, таких как электронная почта, социальные сети, различные мессенджеры и устройства, не всегда удается с первого раза настроить поиск таким образом, чтобы на выходе получить максимум полезной информации. Так или иначе в отчеты могут попасть ложные срабатывания системы или не совсем корректные сведения (например, при поиске по ключевым словам). Таким образом, важным моментом при расследовании инцидентов является возможность гибкой настройки поисковых параметров.

В последнее время все чаще можно услышать о связке DLP и технологий UBA, или поведенческого анализа. Такое решение разработчиков систем от утечек данных позволяет гораздо быстрее реагировать на возможные инциденты и целенаправленно проверять «отличившихся» сотрудников. В связи с этим те DLP-системы, которые пока не обладают возможностями самостоятельного анализа поведения сотрудников, заведомо проигрывают системам, имеющим в себе технологию UBA.

 

Работа с консолью Zecurion DLP

Чтобы облегчить работу инженерам и офицерам информационной безопасности, компания Zecurion представила новую версию комплексного DLP-решения. В отличие от предыдущих версий, в 8.0 полностью изменился подход к работе с веб-консолью, а также появился модуль анализа действий сотрудников.

Zecurion DLP 8.0 предоставляет пользователям множество возможностей для расследования инцидентов информационной безопасности. Например, новая консоль позволяет выявлять мошеннические схемы, производить мониторинг группы повышенного внимания, дает понять, виновен сотрудник или нет.  Давайте посмотрим, каким образом можно расследовать инциденты в консоли Zecurion DLP на примере.

Расследование инцидента с помощью Zecurion DLP

Предположим, что в организации внедрена система защиты от утечек конфиденциальной информации Zecurion DLP 8.0. Причем система установлена не «в разрыв», что подразумевает регистрацию инцидентов и логирование информации, без возможности блокирования передачи данных. Компания, в которой произошла утечка, занимается научными исследованиями и разработками.

Стоит учитывать, что при внедрении DLP-системы возможна ситуация, когда при настройке политик упускаются важные сферы деятельности организации (например, важное событие может быть не зарегистрировано из-за того, что политика настроена не оптимальным образом и не включает критичные термины, которые могут присутствовать в документе). Это на какое-то время позволяет сотрудникам совершать несанкционированную передачу данных таким образом, что администратор безопасности не может вовремя выявить инцидент.

Причина, по которой офицер безопасности решил провести расследование, заключается в том, что конкуренты заявили об аналогичной разработке, по техническим параметрам которой и степени совпадения с имеющимся у организации прототипом можно предположить утечку информации в организации. Другими словами, в основу расследования легли подозрения и косвенные сведения о том, что кто-то из сотрудников организации мог передать информацию, являющуюся коммерческой тайной.

В первую очередь, офицер безопасности зайдет в Сводку, чтобы определиться с дальнейшими действиями. На ней могут быть собраны все интересующие показатели, включая графики инцидентов, активности сотрудников, а также списки нарушителей. Возможность аккумулирования всех важных показателей на одной странице крайне полезна в расследовании инцидентов. Стоит заметить, что сразу после установки на странице Сводки уже располагаются некоторые виджеты, что упрощает работу сотрудникам отдела информационной безопасности.

 

Рисунок 1. Первоначальное окно Zecurion DLP 8.0 — Сводка событий

Первоначальное окно Zecurion DLP 8.0 — Сводка событий

Проверка аномалий в поведении сотрудников

Одним из предустановленных виджетов на экране Сводка является отчет «Аномальное поведение». Можно ознакомиться с данными этого виджета, который отображает профили сотрудников, чьи действия на рабочем месте не соответствовали норме в последнее время.

Возможности поведенческого анализа позволяют выявлять угрозы на ранней стадии, значительно снизить ложные срабатывания, а также при использовании модуля поведенческого анализа в Zecurion DLP 8.0 отпадает необходимость внедрения сторонних решений UBA.

Модуль поведенческого анализа рассчитывает средний показатель — индекс для каждого сотрудника на основании таких параметров, как инциденты (критичной и средней важности), контакты, объем трафика, отправляемые и новые файлы, использование буфера обмена. Таким образом, в случае, когда сотрудник, который никогда не работал с научными исследованиями и отчетами, начнет отправлять подобные документы по различным каналам, DLP сможет это отследить и своевременно уведомить офицера безопасности.

 

Рисунок 2. Технология UBA оповещает отдел ИБ в случае подозрительного поведения сотрудника

 Технология UBA оповещает отдел ИБ в случае подозрительного поведения сотрудника

 

Тем не менее, когда результаты анализа аномального поведения сотрудников не смогли определить инсайдера, необходимо предпринимать иные шаги.

Изучение сводки событий

Механизм поведенческого анализа не указал на сотрудника, который совершил преступление и слил конфиденциальные данные конкурентам. Из этого можно сделать вывод, что злоумышленник все же занимается исследованиями лично или имеет к ним доступ. Другими словами, технология UBA не обнаружила подозрительной активности в том, что какой-то сотрудник отправлял документы кому-либо или записывал их на флешку (рассматриваем их как наиболее частые источники утечки).  

Снова обратившись к странице Сводки, можно увидеть несколько виджетов. Zecurion DLP имеет понятный и логичный интерфейс, что является важным качеством при расследовании инцидентов. Если информации в виджетах недостаточно или она отсортирована не оптимально, виджеты можно настроить самостоятельно (вывести информацию в виде требуемых показателей, таблиц или графиков), убрать менее важные, вывести на первый план критичные или создать новые в соответствии с предполагаемыми параметрами утечки.

Анализ критичных событий

Предполагаем, что политики в Zecurion DLP уже настроены таким образом, чтобы отслеживать попытки отправки критичной для компании информации, тем не менее для того чтобы облегчить себе задачу и не просматривать каждый подобный инцидент, офицер безопасности решает создать виджет по предполагаемым параметрам — сотрудник, совершивший передачу информации, входит в группу работающих над исследованием.

Помимо этого, в параметрах виджета укажем следующие настройки отображения:

  • Название «Исследования»
  • Показать «Количество инцидентов»;
  • Время «За последний месяц»;
  • Группировка «По пользователю»;
  • Сортировка «По пользователю».

И условия:

  • Соответствует любому условию;
  • Текст в файлах «Содержит» «Разработка технологии»;
  • Канал = Электронная почта;
  • Канал = Устройство;
  • Пользователь из группы «Отдел разработки»;
  • Политика = «Коммерческая тайна».

Политика «Коммерческая тайна» была настроена сотрудниками ИБ ранее и включает в себя перечень терминов и список слов, которые напрямую относятся к исследовательской деятельности организации. Иначе говоря, эта политика отслеживает все передвижения документов, относящихся к научной работе.

 

Рисунок 3. Создание нового виджета в веб-консоли Zecurion DLP 8.0

 Создание нового виджета в веб-консоли Zecurion DLP 8.0

 

После того как офицер безопасности настроит информационный модуль, в нем будет отражен список сотрудников, подходящих под выбранные условия. Теперь необходимо произвести анализ полученных данных. Для этого выберем сотрудника из списка и нажмем на ссылку с его именем. Таким образом мы попадаем в карточку сотрудников.

В анкете каждого сотрудника можно посмотреть всю информацию о нем. Причем она разделена на несколько категорий.

 

Рисунок 4. В карточке сотрудника в Zecurion DLP 8.0 собрана вся информация по определенному пользователю

 В карточке сотрудника в Zecurion DLP 8.0 собрана вся информация по определенному пользователю

 

Категории, доступные для просмотра и дальнейшего анализа:

  1. Поведенческий анализ. Модуль, позволяющий просматривать аналитику поведения сотрудника на основании накопленных данных.
  2. Каналы. Из этой вкладки можно увидеть список инцидентов, которые были сформированы по выбранному пользователю, ранжированные по степени критичности и каналу передачи. Просмотрев список инцидентов высокой важности, можно перейти в сами инциденты и увидеть конкретику — что, кому и когда сотрудник отправлял со своего компьютера или электронной почты.
  3. Политики. Если офицера безопасности интересует инцидент, сформировавшийся по определенной политике на конкретного сотрудника (или проверить, срабатывали ли правила на этом пользователе), его можно посмотреть из вкладки Политики.
  4. Контакты. На вкладке представлены все исходящие контакты выбранного сотрудника.
  5. Диаграмма связей. Вкладка отражает все контакты и взаимосвязи сотрудника, а также каналы передачи информации в графическом формате.

На первом этапе мы уже выяснили, что Поведенческий анализ не укажет на злоумышленника в конкретном примере. Поэтому обратимся к другим вкладкам, находящимся в анкете сотрудника. Например, при обращении к разделу Политики офицер безопасности увидит, что на выбранного сотрудника срабатывала политика «Коммерческая тайна». Щелкнув по диаграмме с количеством инцидентов, можно перейти к списку и далее в интересующий нас инцидент и ознакомиться с деталями — куда и каким образом отправлялись данные.

DLP-система помогла найти инсайдера, так как сведения из инцидента подтверждают, что утечка конфиденциальных сведений была и выполнялась именно этим сотрудником. После этого офицер безопасности может назначить этому инциденту метку «Утечка» или создать новую.

 

Рисунок 5. Офицер безопасности может назначить инциденту в веб-консоли Zecurion DLP 8.0 различные метки

 Офицер безопасности может назначить инциденту в веб-консоли Zecurion DLP 8.0 различные метки

Поиск соучастников

Еще одним шагом при расследовании инцидентов может стать поиск соучастников. Для этого не выходя из вкладки анкеты сотрудника можно перейти на вкладку Диаграмма связей, отфильтровать события, указав более конкретные даты, и проверить коммуникации за этот период.

 

Рисунок 6. Диаграмма связей в Zecurion DLP 8.0 полезна для просмотра контактов сотрудника

Диаграмма связей в Zecurion DLP 8.0 полезна для просмотра контактов сотрудника

 

Возможности Zecurion DLP позволяют проверить не только канал электронной почты, но и различные мессенджеры, такие как Skype или Viber. Обычные пользователи не всегда понимают принцип работы DLP-систем и зачастую ограничиваются удалением переписки в самом мессенджере, в то время как срок хранения данных в DLP задается администратором безопасности и зависит только от объема жесткого диска для хранения архивов.

 

Рисунок 7. Сообщения, передаваемые в мессенджерах, хранят много информации, полезной при расследовании инцидентов

 Сообщения, передаваемые в мессенджерах, хранят много информации, полезной при расследовании инцидентов

 

После того как офицер безопасности перешел на вкладку Диаграмма связей, он настроил критерии поиска связей:

  • Каналы — Skype, Электронная почта (так как другие средства передачи сообщений не установлены на рабочих компьютерах).
  • Направление — исходящие.

Такая выборка позволила сузить круг лиц, с которыми общался злоумышленник. Обратившись к переписке, которую хранит Zecurion DLP, удается найти другого сотрудника, который был в курсе слива секретных разработок, однако никого об этом не уведомил.

Построение отчетов

В процессе поиска злоумышленника или уже после расследования инцидента администратор информационной безопасности может обратиться к еще одной полезной функции Zecurion DLP 8.0, а именно к построению отчетов.

 

Рисунок 8. Пример табличного отчета «Пользователи и каналы сегодня» в Zecurion DLP 8.0

 Пример табличного отчета «Пользователи и каналы сегодня» в Zecurion DLP 8.0

 

Основным преимуществом отчетов является то, что их не нужно самостоятельно настраивать. Система предлагает офицеру безопасности более 20 самых полезных отчетов (например, «Инциденты устройств за неделю», «Высокой важности за сегодня», «Мессенджеры, Viber и Skype за неделю» и другие) для топ-менеджеров и сотрудников отдела информационной безопасности. Они предустановлены в системе, и для того чтобы ознакомиться с ними, достаточно нажать на соответствующую ссылку. Такое решение, например, позволяет быстро создавать отчеты или презентации для руководителей. Они будут содержать максимум полезной информации, представленной в удобном для изучения и понимания виде. Преимуществом системы является возможность настройки отчетов под специфические требования бизнеса, а также удобство представления топ-менеджменту компании.

 

Выводы

Во время расследования инцидента мы постарались по максимуму воспользоваться аналитическими возможностями DLP-решения Zecurion DLP 8.0. В первую очередь, хотелось бы отметить технологию поведенческого анализа, которая позволяет своевременно выявить потенциальных злоумышленников, а при расследовании инцидента эффективно проверить интересующих лиц.

Не менее важным является удобство интерфейса, с которым сотрудники ИБ будут практически ежедневно работать. Для того чтобы выполнить расследование инцидента по данной статье, не потребуется тратить много времени на чтение мануалов. Все действия, которые необходимо выполнить в консоли, логичны и интуитивно понятны. Более того, когда система используется не первый день, офицер безопасности может настроить консоль управления под себя и под нужды организации, что позволит видеть только необходимые ему данные и не отвлекаться на те события, которые не являются критичными.

Интересным и полезным инструментом является карточка сотрудника. Отсюда можно получить доступ к совершенно любой информации по выбранному пользователю, что очень удобно — не нужно переходить по множеству вкладок, чтобы найти что-то полезное в расследовании.

Назначение меток в консоли Zecurion DLP 8.0 расширяет возможности сотрудников отдела информационной безопасности и позволяет обходиться без дополнительных программных средств, нацеленных на отслеживание деятельности подчиненных.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru