Инструментальный анализ уязвимости бизнес-процессов

 Но за этим увлекательнейшим противостоянием щита и меча современной информационной безопасности уходят в тень более комплексные проблемы утечек конфиденциальных данных, чем продажа данных инсайдером. К ним мы относим построение работодателем потенциально опасных, с точки зрения утечек, бизнес-процессов. Поделившись в начале 2011 г. своими соображениями на эту тему с рядом ключевых заказчиков, мы выявили большую заинтересованность в привлечении наших экспертов по DLP-системам к аудиту бизнес-процессов, связанных с обработкой конфиденциальных данных.

Как результат, в нашем портфеле проектов появилась услуга по экспертному консалтингу в части анализа бизнес-процессов на уязвимость к утечкам конфиденциальных данных по таким каналам коммуникации, как корпоративная и веб-почта, социальные сети, интернет-мессенджеры, съемные носители и принтеры. Скажем сразу, в данном случае речь идет не об анализе на соответствие требованиям тех или иных регуляторов, а, грубо говоря, о проверке на практическую «дырявость» сложившихся у заказчика способов и правил обмена данными. При наличии таких брешей не только повышаются риски утечек, но и, что не менее важно, понижается вероятность идентифицировать как сам факт утечки, так и инсайдера. В качестве примера одного из «дырявых» правил обмена данными можно привести использование де-факто в качестве стандарта общения сервиса Skype: кто, кому и какие данные передает в этом случае остается тайной для службы информационной безопасности.

А была ли утечка?

Мы уже поднимали вопрос о ценности диагностики информационных потоков любой компании в  1–2 Jet Info за 2011 г. и говорили о том, что, анализируя их, можно узнать много интересного о ее реальной жизни. В частности, насколько лояльны сотрудники, эффективны ли бизнес-процессы, присутствуют ли факты утечек информации. В настоящей статье этот тезис мы проиллюстрируем на примере результатов проекта инструментального анализа уязвимости бизнес-процессов.

Анализ уязвимости проводился в крупной коммерческой компании с большим количеством региональных представительств. По понятным причинам вся нижеприведенная информация обезличена. В то же время наш опыт говорит, что вместо конкретного названия можно подставить практически любое и картина при этом заметно не изменится. Чтобы остаться в формате журнальной статьи, мы привели только ТОП 5 типичных для большинства компаний угроз, связанных с передачей данных.

В инфраструктуру заказчика на один месяц была установлена скрытая система мониторинга каналов коммуникаций на основе комплекса «Дозор-Джет». Исходящая, входящая корпоративная почта и HTTP-трафик компании перехватывались комплексом и сохранялись в архиве сообщений системы архивирования и анализа. Также в архив поступали данные от системы контроля информации, перемещаемой с использованием съемных носителей. В системе архивирования и анализа нашими экспертами по внедрению DLP-систем совместно с заказчиком была создана политика, позволяющая проанализировать состояние бизнес-процессов с точки зрения их уязвимости для утечек информации.

Реальность как она есть

За месяц работы комплекса было проанализировано около 2 Тб информации, отправленной посредством корпоративной почты, различных web-сервисов, а также перемещенной на съемные носители. Результаты анализа показали, что в компании существует целый ряд устоявшихся процессов обмена данными, которые способствуют практически бесконтрольной передаче конфиденциальной информации наружу. Это значительно усложняет и удорожает идентификацию факта утечки, поиск инсайдера и предотвращение ее повторения в будущем. Мы приводим выявленные угрозы ниже.

Угроза 1: интернет-мессенджеры и социальные сети.
Во-первых, были выявлены многочисленные факты использования сотрудниками компании web-сервисов обмена сообщениями: значительную часть трафика составили message на сервисы обмена мгновенными сообщениями (~26%) и в социальных сетях (~30%). Такая распространенность доступа к подобным сервисам и блогам создает значительные риски утечки значимой для компании и ее деловой репутации информации по этим каналам.

Угроза 2: бесконтрольное размещение файлов на внешних ресурсах.
Во-вторых, в рамках существующих бизнес-процессов компании были обнаружены многочисленные факты передачи файлов на внешние веб-сервисы (~14% от общего объема проанализированного трафика). Иными словами, на внешних ресурсах с сомнительным происхождением и негарантированной безопасностью на неконтролируемое время оказываются внутренние рабочие документы, содержащие в том числе и конфиденциальные данные. Как результат, любой мало-мальски продвинутый школьник может получить к ним доступ и использовать во вред компании. Без изменения существующего порядка практически невозможно не только выявить злоумышленника внутри организации, но и предотвратить факты подобных утечек в будущем.

стандартной является ситуация, когда уже в первый день включения комплекса «дозор-джет» выявляются серьезные нарушения политик информационной безопастности

Угроза 3: обмен документами в архивах без пароля и шифрации.
В-третьих, было обнаружено, что из всей массы отправляемых пользователями писем, содержащих документы и архивы, ~69% сообщений уходит на внешние интернет-сайты или почтовые серверы. При этом большая часть информации передается в открытом, незашифрованном виде. В рамках существующих в компании бизнес-процессов сотрудники отправляли на бесплатные сервисы web-почты в незашифрованном виде такие конфиденциальные данные, как финансовые показатели, отчеты по реализации продукции, персональные данные о сотрудниках и их зарплате, размеры бонусов топ-менеджеров и т.п.

Угроза 4: Skype.
В-четвертых, за время работы комплекса были зафиксированы около 5 тысяч фактов работы клиента Skype. Обмен сообщениями Skype осуществляется с использованием шифрованного протокола, что не позволяет проверять их содержимое на периметре и создает трудности в организации контроля действий пользователей. Использование Skype представляет собой неконтролируемый канал для утечки данных и потенциально является источником утечек высокого риска.

Угроза 5: бесплатные SMS-сервисы.
В пятых, было обнаружено, что в компании распространена передача вышестоящим менеджерам отчетов по финансовым показателям через web-сервисы передачи SMS-сообщений. После прогремевших в прошлом году утечек данных SMS ведущих сотовых операторов излишне говорить об имеющихся при таком подходе рисках информационной безопасности.

Обнаружил - устрани

Итак, мы получили срез данных, что же из этого следует? Наращивая инструментальные и программные средства предотвращения утечек конфиденциальных данных и увеличивая штат сотрудников службы ИБ для своевременного выявления и предотвращения таких фактов, не лишним будет проанализировать принятые в вашей компании бизнес-процессы с точки зрения их уязвимости к утечкам. Вполне возможно, что увеличить реальную безопасность можно будет внесением изменений в политику ИБ и внедрением недорого средства контроля.

Действительно, в условиях, когда сам бизнес-процесс предусматривает отправку по доверительным каналам коммуникаций чувствительных для компании данных, крайне проблематично и дорого своевременно идентифицировать факт утечки и личность инсайдера. А в ряде случаев сделать это просто невозможно при любом финансовом вливании, т.к. конфиденциальные данные обрабатываются за контролируемым периметром и хранятся на внешних сайтах, бесплатных почтовых ящиках, в базах данных SMS и т.п.

Со своей стороны мы реализуем услугу анализа уязвимости бизнес-процессов с использованием DLP-системы «Дозор-Джет» основываясь при этом на своем многолетнем опыте внедрения как этого комплекса, так и других DLP-решений. «Дозор-Джет» благодаря лучшему на сегодняшний день архиву сообщений и наличию гибкой политики анализа накопленных в нем данных является инструментом, позволяющим свести воедино картину информационных потоков и выявить потенциально опасные бизнес-процессы. Затем уже применяются соответствующие организационные меры по их изменению: запрет обработки определенных документов за пределами компании и использования веб-сервисов отправки SMS с финансовыми показателями, отправка данных на внешние почтовые ящики только в зашифрованном виде и т.п. В конечном итоге риски утечек нивелируются, и бизнес может работать спокойно.