Без преувеличения можно сказать, что возможность загрузить в DLP-систему политику ИБ – это одна из тех функций, в которых компания заинтересована в первую очередь. Поэтому наиболее частый вопрос, который нам задают: «Как создать политику?».
За более чем четыре сотни инсталляций «Дозор-Джет» у наших специалистов накоплен колоссальный опыт разработки всевозможных политик ИБ. Если его обобщить, можно констатировать, что при внедрениях в части разработки подходов к обеспечению ИБ наши эксперты вместе с офицерами безопасности идут по одному из трех путей: реализация контроля существующих регламентов, расследование конкретного инцидента и корректировка предустановленной политики «Дозор-Джет».
Выбор зависит от индивидуальных предпочтений и может быть обусловлен различными факторами: от стоящей перед отделом ИБ задачи закрыть конкретную брешь в охраняемом периметре до необходимости найти доказательства виновности в утечке конкретного сотрудника компании. Важно, что какой бы ни был избран путь, при наличии должного стремления все три варианта, в конечном счете, приводят к появлению в компании выстроенной под ее задачи политики ИБ DLP-решения. Остановимся на каждом пути подробнее.
Реализация контроля существующих регламентов
При таком варианте развития событий в компании введены в действие регламенты использования контролируемых системой каналов передачи данных. Задача сводится к реализации набора правил политики «Дозор-Джет», которые позволяют выявлять факты нарушения регламентов. Например, можно запретить передачу писем из одних доменов в другие, паспортных данных в сочетании с заданной информацией. Такой механизм предоставляет модуль «Контроль идентификаторов», позволяющий легко описать стандартные данные в политике, такие как персданные, финансовые идентификаторы, тематические словарные базы. Решение может информировать о случаях передачи архивов с паролем на внешние почтовые домены, а также покрывать ряд других сценариев. Значительную часть работы система позволяет выполнять автоматически, например, разметку сообщений как внешних или внутренних, определение доступа к архиву в зависимости от адресной информации, принадлежность к тому или иному подразделению на основе данных из Active Directory.
Необходимо отметить, что когда мы говорим о контроле за соблюдением регламентов, речь идет не только об их выполнении пользователями, но и о качестве реализации мер по обеспечению их исполнения со стороны ИТ-департамента. Типовой является ситуация, когда офицер безопасности считает избыточным вводить в политику то или иное правило, ссылаясь на меры, принятые по его контролю со стороны ИТ: например, запрет социальных сетей на межсетевых экранах. Но после добавления соответствующего правила в политику DLP-система, как правило, выявляет факты наличия доступа в социальные сети у отдельных сотрудников через один из незакрытых выходов в интернет. В результате ИТ-служба проводит аудит принятых мер и закрывает выявленные бреши. Реализованные методы выделения полезных данных из общего трафика позволяют DLP-решению экономить время администратора. Например, сенсор сообщений выделяет их не по адресам, а по сигнатурам данных, что позволяет отлавливать их и при использовании средств анонимного серфинга, при фильтрации можно применять средства выделения ключевых фраз, что сокращает ложные срабатывания, и т.п.
Таким образом, шаг за шагом политика наполняется правилами: как вытекающими из действующих регламентов, так и новыми, потребность в которых выявилась в результате анализа реальной картины обмена данными в компании.
В рамках версии 5.0 комплекса «Дозор-Джет» значительно переработаны механизмы отчетности и представления статистики по инцидентам. Фактически каждый запрос в системе – это отчет, который можно использовать в различных сценариях ее работы, как для расследований, так и для подтверждения действенности предпринятых мер.
Расследование конкретного инцидента
В этом случае компания уже знает или предполагает, что утечка информации произошла, и обладает определенной информацией по инциденту. Перед службой ИБ стоит первоочередная задача – провести расследование, найти виновного в утечке и отчитаться перед руководством о принятии мер по недопущению подобного в будущем. Для ее решения в DLP-системе могут настраиваться запросы нескольких типов (в зависимости от имеющейся информации об инциденте) – выбрать все сообщения:
- за определенный период времени;
- за определенный период, содержащие заданное вложение (файл определенного типа, архивы, архивы с паролем и т.п.) или определенный текст;
- за определенный период, отправленные конкретным адресатом на те или иные адреса/домены.
По мере сужения воронки поиска запросы уточняются, пока не сойдутся на выявлении фактов, подтверждающих или опровергающих факт утечки по контролируемым системой каналам передачи данных. В ходе проведения расследования, а также по его итогам становится понятно, какого рода инциденты могут наблюдаться в компании, и набор правил политики DLP-решения модифицируется таким образом, чтобы эффективно их выявлять и оказывать противодействие. Процесс расследования инцидента позволяет администратору системы проявить свои навыки и практические знания об ИБ, а также о сфере бизнеса компании. Задачей системы в этом сценарии является предоставление максимальной информации о движении данных как в разрезе конкретного момента, так и в историческом. Решение позволяет отследить их путь к источнику утечки, а также предоставляет данные, пригодные к использованию в виде доказательной базы. В архиве системы могут быть зафиксированы не только факты передачи данных, подпадающих под политику, при этом решение может автоматически перейти в более «придирчивый» режим по отношению к потенциальному нарушителю.
За счет развитой политики и модели доступа к данным в архиве «Дозор-Джет» 5.0 позволяет использовать инструменты для выполнения политики безопасности, сохраняя при этом приватность переписки легитимных пользователей.
Корректировка предустановленной политики «Дозор-Джет»
В ходе реализации многочисленных проектов наша команда сформировала базовую политику, которая представляет собой аккумулированный и обобщенный опыт потребностей разных компаний. Она являет собой фундамент для построения собственной политики DLP-решения, учитывающей индивидуальные потребности конкретной компании.
Однако мы намеренно рассматриваем путь корректировки предустановленной политики в последнюю очередь, потому что он зачастую воспринимается компаниями как некая «серебряная пуля» по решению всех их проблем. Задача ставится следующим образом: «Вы являетесь экспертами, поэтому дайте мне политику, которая предназначена для таких организаций, как наша!». И бывает сложно объяснить, что «серебряные пули» существуют только в сказках о вампирах и оборотнях, а в жизни все несколько сложнее. На самом деле этот вариант является разновидностью путей 1 и 2 с еще одним помощником в виде предустановленной политики, замещающим наших консультантов. И он также предусматривает определенную работу офицеров безопасности.
Чтобы помочь компании реализовать рассмотренные выше пути, мы предлагаем установить обобщенную политику и получить сразу определенный набор правил поиска инцидентов. На основе результатов анализа инцидентов служба ИБ, при необходимости привлекая нас, формулирует собственные потребности в донастройке политики, добавляет новые правила. Отметим, что подразделение ИБ может легко добавить их самостоятельно, используя правила предустановленной политики в качестве образцов и шаблонов. Обобщенная политика позволяет идентифицировать следующие инциденты:
- идентификация фактов получения или отправки сотрудниками сообщений, содержащих информацию, квалифицируемую как:
- коммерческая тайна;
- конфиденциальный текст;
- подозрительно;
- нелицензионное ПО;
- экстремизм;
- расизм;
- идентификация фактов получения или отправки сотрудниками сообщений, содержащих файлы с паролем;
- идентификация фактов поиска работы сотрудниками;
- контакты с известными компаниями-конкурентами;
- передача заведомо конфиденциальных данных, изначально подлежащих защите.
Кроме детектирования инцидентов, система позволяет реализовывать различные подходы к противодействию нарушениям регламентов работы, блокированию доступа, предупреждениям и уведомлениям. Например, возможно использование средств подтверждения действий для неоднозначных ситуаций и явного уведомления сотрудников о нарушении определенных пунктов регламента. Собранная статистика подтверждений и блокировок позволяет обосновывать необходимость развития регламентов и проведения обучения сотрудников тем или иным методам правильного обращения с информацией.
Методика работы системы контроля утечек позволяет начать решать задачи, основываясь на базовой политике. Но нужно понимать, что ее результат – это выстроенный процесс по снижению рисков. Так как они сами по себе являются довольно динамичными, останавливаться на базовой политике почти никогда не получается. Управление рисками, как и любое другое, работает в условиях постоянной модификации и развития. Достигнутые результаты являются входной информацией для планирования дальнейших действий, выполнения мероприятий и их оценки. Так как количество разнообразных рисков достаточно велико, как правило, в каждый конкретный момент времени служба ИБ ориентирована на часть из них. Задачи системы контроля утечек в отношении управления рисками могут быть разными, но основные – следующие:
- описание регламента ИБ в части движения данных;
- автоматизация контроля рисков по основным направлениям;
- обеспечение жизненного цикла расследований по выявленным инцидентам.
Если обобщить, то основная задача здесь – это снижение нагрузки на специалистов ИБ по части популярных стандартных рисков, чтобы у них оставалось больше времени на разбор сложных и нетривиальных проблем. В определенный момент времени система должна генерировать такое количество инцидентов, которое способен обработать существующий штат сотрудников ИБ, так как зарегистрированный, но не разобранный инцидент значительной пользы для управления рисками не принесет.
Подытожим вышесказанное: для получения реально работающей, выстроенной именно под нужды конкретной компании политики безопасности DLP-системы офицеру ИБ нужно учитывать действующие в организации регламенты использования каналов передачи данных, опыт расследования инцидентов, связанных с утечками, а также результаты анализа реальных информационных потоков. Ее разработке способствуют как средства политики DLP-решения, так и опыт наших экспертов. При этом политика системы контроля утечек не законсервирована в вакууме, она динамична, ее модифицируют в соответствии с текущими актуальными задачами ИБ. Влияние работы решения позволяет минимизировать риски в случае стандартных сценариев, после чего политика модифицируется для покрытия большего набора ситуаций. Использование системы контроля утечек дает возможность собирать и предоставлять данные для принятия управленческих решений в части контроля рисков, обеспечивать механизмы повышения компетенций персонала в части ИБ.
Экспертное мнение
Дмитрий Михеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет».
Наша практика показывает, что почти никому не нужна система DLP как таковая. В зависимости от культурного фона компаниям нужны вещи, которые сильно превышают стандартный механизм системы контроля утечек. Одни хотят аналитическую систему, другие – запись всех грехов пользователей, третьи – предсказание проблем. Но почти все хотят работать в терминах людей, компаний, отделов, а не email-адресов, доменов или мегабайтов. Есть очень большое желание получить инструмент, который не только выявит все потенциальные инциденты, но и сделает их невозможными.
Проблема в том, что такая система, будучи внедренной, как правило, полностью прекращает нормальную работу компании. Возникает масса трудностей, связанных с несовершенством мира. Где-то есть проблемы в существующем порядке работы, где-то люди, опасаясь постоянного контроля, теряют желание рисковать на благо дела, иногда случаются досадные ошибки в выявлении инцидентов, и расследования задевают добросовестных сотрудников, что снижает их мотивацию. Если и работать с людьми, то нужно работать с ними по-людски, учитывая и пользу для дела, и несовершенство мира. Что приводит нас к необходимости использовать достаточно мягкие механизмы внедрения системы в работу, чтобы не портить сотрудникам жизнь, но при этом собирать достаточно данных для контроля. Как правило, «Дозор-Джет» внедряется в режиме пассивного наблюдения, и так работает несколько месяцев, пока не сложится картина наиболее частых проблем. Далее на основании полученной статистики появляются варианты, как технические, так и организационно-административные.
Достаточно легко реализовать технические механизмы, например, внедрение в активном режиме противодействия таким образом, чтобы подозрительная активность требовала подтверждения. Принесет ли это те результаты, которые хочет заказчик на самом деле? Не всегда, и результат будет полезен не во всех случаях.
Известие о том, что система контроля работает, остановит часть потенциальных нарушителей, а часть заставит искать обходные пути. Наш опыт показывает, что наилучшие результаты приносит сочетание технических средств контроля с усилиями по развитию сознательности сотрудников. Как правило, люди в компаниях работают более чем нормальные. Исключения достаточно редки, т.к. работа кадровых служб и служб безопасности приносит свои плоды. Кроме того, каждый руководитель старается подбирать себе сотрудников, которые приносят пользу, а скрыть неэффективную работу от коллег достаточно сложно, и это тоже является позитивным фильтром в отборе. Если к этой, не самой плохой, ситуации приложить достаточно небольшие продуманные корректировки, то реакция часто оказывается более чем удачной. Система контроля утечек поможет при таком подходе – предоставит статистику наиболее частых проблем. Небольшой тренинг, где сотрудникам объяснят, как именно стоит обращаться с флэшками, чтобы не заработать себе проблем, разбор инцидента, чтобы предупредить остальных о возможных последствиях – не ради того, чтобы запугать, но ради разъяснения причин такой строгости – дают в результате не только снижение количества подобных инцидентов, но и повышают уровень доверия в коллективе.
К сожалению, такой режим работы затратен, особенно на первых порах. С другой стороны, примеры компаний, которые не скупятся и вкладываются в развитие доверия и мотивации сотрудников, есть, и их становится больше. Как специалисты по безопасности мы можем только приветствовать такое отношение к людям. Технические средства приходят и уходят, но ни одна система защиты не принесет компании столько пользы, как подготовленный, мотивированный и доверяющий ей сотрудник.