От инцидентов, связанных с безопасностью данных, может пострадать любая компания — как небольшой стартап, так и всемирно известный гигант. Предупредить утечку данных непросто, особенно если учесть, что компания может пострадать как от внешних, так и от внутренних угроз. Случайно или со злым умыслом, сотрудники могут унести с собой конфиденциальную информацию, из-за чего компания понесет финансовые и репутационные убытки. Не допустить кражу важных файлов помогает система защиты данных от утечки — Data Loss Prevention (DLP).
Как это работает?
В первую очередь, система DLP направлена на защиту информации от утечек во внешний мир, по отношению к внутренней сети компании.
Решение мониторит движение информации в рамках рабочей станции сотрудника. Оно выявляет и категоризирует информацию по уровню конфиденциальности на конечной точке, сетевых шарах и корпоративных хранилищах (базы данных, облака и т. д.). Если решение видит, что данные попадают под категорию «Конфиденциально», оно запрещает сотруднику совершать с ними любые действия — например, пересылать их в письме или скидывать себе на телефон.
Прежде чем защитить информацию компании, нужно понять, какие же данные являются для нее критичными. Для этого DLP нужно разбить данные по категориям.
Можно выделить три подхода к классификации информации:
- Контентное распознавание информации.
Система может просмотреть файл по контентному содержанию и определить, что он является важным для компании по наличию слов или совпадению с регулярными выражениями. Проще говоря ключевые слова или цифры автоматически устанавливают метку секретности на файл. Этот классический подход показывает свою эффективность на структурированной или неструктурированной информации, которую можно прочесть. И следующим этапом здесь будет ограничение выгрузки информации во внешний мир;
- Контекстное распознавание информации.
Современный подход, который позволяет описать конфиденциальную информацию по её характеру, не открывая файл и вне привязки к её содержимому. У файла может быть владелец, время создания, объём конфиденциальной информации, источник, из которого она пришла (например, выгрузка из базы данных или учетной системы, доступной пользователю по web-интерфейсу).
Классический пример использования контекстной классификации данных — это учетная система, из которой пользователь может сформировать выгрузку, и этот файл уже будет помечен роботом как конфиденциальный.
Работа c GitHub репозиторием и неограниченный доступ к источнику интеллектуальной собственности также может быть под защитой ДЛП по контексту. Сотрудник при попытке «забекапить» данные компании может быть остановлен уведомлением и попытка выгрузки будет остановлена.
Так же популярный контекстный анализ движения информации – это экспорт из базы данных, например опер день банка. Сотрудник нажимает кнопку: сформировать выгрузку, а ДЛП видя движения конфиденциальной информации валидирует по источнику + по наличию ID критического документа в получаемом финансовом отчёте.
- Пользовательская классификация.
Система DLP позволяет использовать хорошо устоявшийся подход в современном цифровом мире — тип документа: секретно, совершенно секретно, служебная или публичная информация. Сотрудник компании максимально вовлекается в правильный документооборот и выставляет визуальную метку на файл, которая может быть обработана роботом DLP. Данный подход не отменяет автоматический режим работы DLP по контенту или контексту, но позволяет значительно повысить точность системы, ведь только владелец информации на 100% знает, что документ конфиденциальный и секретный сейчас (то есть, учитывает актуальность информации).
Пример из практики: файл, который называется «Закупка 200 тонн алюминия.docx» должен быть помечен красной секретной меткой, ведь именно конкретный сотрудник заинтересован, чтобы эта информация не ушла конкурентам.
Какую информацию можно и нужно защищать?
Не вся информация является критически важной. Чтобы облегчить категоризацию, вы можете опираться на шпаргалку ниже. Итак, какие данные нуждаются в особом внимании:
- Личные данные сотрудников компании.
К примеру, это могут быть резюме руководителей или личные дела сотрудников. В этом случае сценарии работы DLP актуальны для HR-департамента.
- Информация, которая представляет финансовую ценность для компании.
Выгрузки из учетных систем — CRM/ERP. Условно можно отнести к данным департамента бухгалтерии или казначейства.
- Интеллектуальная собственность компании.
Тут DLP будет принимать за конфиденциальную информацию данные отдела разработки ПО — source code, конструкторские разработки и т. д.
- Информация, подлежащая защите согласно отраслевым стандартам (сompliance).
На практике это регуляторные документы, такие как указания Центробанка, управляющей компании (главного офиса), GDPR и т. д. Эта информация только для служебного использования, соответственно, круг лиц, который имеет к ней доступ, может быть ограничен DLP.
- Бизнес-документы и конфиденциальная информация компании, за неразглашение которой сотрудники несут персональную ответственность.
DLP может выступать как сервис, который уберегает сотрудников от разглашения информации не авторизированным партнёрам.
Как DLP предотвращает разные случаи утечки?
Для основных сценариев кражи данных у DLP есть свои методы решения проблемы:
- Утечка посредством выгрузки на публичную почту (gmail.com/mail.ru)
Пользователь обладает доступом в интернет, а значит, без проблем может выгрузить данные на публичную почту. Дабы не нарушать бизнес-процессы, DLP-система умеет распознавать выгрузку на Gmail и корректно отсортировать выгружаемые данные: по получателю, отправителю, объёму и уровню критичности. Сотрудник без проблем сможет делиться письмами через web mail-сервисы, но данные компании при этом не будут под угрозой.
- Отправка в мессенджеры
В современном мире сложно найти сотрудника, у которого нет учётной записи в Telegram, Viber или WhatsApp. Кроме того, сотрудники часто пользуются корпоративными мессенджерами — например, Teams или Google G-suit. Все это — потенциальная брешь в информационной безопасности. Чтобы ее залатать, нужно обратиться за помощью к DLP. Система умеет распознавать корпоративный мессенджер Teams, не допускать утечки важной информации и при этом не блокировать деловую корреспонденцию. Кроме корпоративных, DLP-решение также работает с личными мессенджерами (Telegram, Viber, WhatsApp и т.д.), предоставляя возможность ограничить выгрузку как в Desktop-приложении, так и web-версии. Чтобы полностью заблокировать личный мессенджер, можно использовать подход application control и разделить приложения по белому/черному списку.
- Запись на USB-носители
Сейчас на работе всё реже можно увидеть флешки, но им на смену пришел тот же iPhone, который можно синхронизировать с рабочим компьютером. DLP также будет видеть данную потенциальную утечку информации.
Если же не стоит задача жестко блокировать шину данных USB, можно обратиться к криптованию съемных носителей. Данных подход позволяет зашифровать переносимую информацию, которая покидает пределы периметра сети через порт ПК, и доступ к данным может быть получен только на корпоративной машине. Так на практике выглядит работа алгоритма шифрования AES256.
- Попытка обхода DLP и модификация данных на рабочем ПК
Запароленный архив — популярный сценарий обмана DLP-системы, но и с ним реально справиться. Разработчики Digital Guardian, например, предлагают низкоуровневое программное обеспечение, которое может видеть как пароль на архиве, так и копию файла, доступную для администратора системы. Этот метод реализован за счёт логирования всех процессов пользователя, вплоть до нажатия клавиш и снимков экрана для доказательства инцидента.
- Работа с активным окном
Сотрудник компании привык делать выгрузку в почту посредством нажатия Ctrl+c > Ctrl+v. DLP-система умеет отслеживать операции между приложениями и контролировать буфер обмена. Если же результатом действия сотрудника является конфиденциальный документ, то DLP-решение пометит вновь созданный после выгрузки файл невидимой и неразрушимой меткой, которая будет следовать за файлом в скрытом режиме.
Что ещё умеет DLP-система?
Вдобавок ко всему вышеперечисленному, DLP-решения:
- Делают глубокий анализ движения информации по периметру сети компании;
- Сканируют конечные точки и составляют отчет об обнаружении конфиденциальных данных на ПК сотрудников и их расположении;
- Контролируют запускаемые программы, которые могут привести к утечке данных (например, мессенджеры);
- Детализируют инцидент. Если утечка данных произошла, DLP сможет показать, в какое время, в каком объеме и каким каналом данные покинули защищенный периметр сети предприятия;
- Обращают внимание на активность пользователя. Современные DLP-системы обладают возможностью захватывать изображения на инцидент и дополнительно логировать нажатия клавиш сотрудников.
Ограничения
К особенностям DLP можно отнести плотное взаимодействие со всеми «другими» решениями класса информационной и кибербезопасности. Эффективное DLP — это «плотно» интегрированный комплекс, который умеет взаимодействовать записи пользователей из Active Directory, сообщать по средствам почтового сервера об инцидентах. Гарантировать надёжное логирование и отправки логов на SIEM системы. Быть защитником информации, но не воевать с защитников операционной системы(antivirus). Вывод напрашивается сам: вначале попробовать – потом почитать мануалы по диагонали может не привести к успеху проекта.
Вывод
DLP — это как секьюрити у выхода из дорогого магазина. Система следит за тем, чтобы важные файлы не покидали периметр компании, обнаруживая подозрительную активность с ними и помогая предотвратить инцидент. Кроме того, DLP самостоятельно определяет важные данные, по ключевым словам, и контексту. Если же утечка данных все-таки произошла, система детализирует инцидент, тем самым облегчая его расследование.
Система, которая позволяет компании минимизировать риск утечки конфиденциальной информации — неотъемлемая составляющая безопасности.