Любые сотрудники — это всегда еще и люди. Все они имеют свои рабочие задачи, контактируют с коллегами, партнерами и клиентами, что в совокупности образует бизнес-измерение их жизни. В то же время все они имеют устоявшиеся отношения с семьей, друзьями, различные личные интересы, образующие уже другое — личное социальное измерение. При этом, что крайне важно, сотрудники всех организаций живут в обоих измерениях в одно и то же время, не разделяя для себя часы личной жизни и рабочие, что обусловлено в том числе возможностью прозрачно использовать доступные технические средства и сетевые сервисы для всех потребностей и коммуникаций — и личных, и служебных.

Сотрудников же, отвечающих за информационную безопасность, заботит защищенность корпоративных данных вне зависимости от личных интересов и пристрастий сотрудников других бизнес-подразделений. Корпоративная ИБ должна решать задачу защиты документов и любых конфиденциальных сведений, хранимых в электронной форме, при этом не разрушая производственные процессы. Преимущества от предоставления пользователям возможности использовать различные современные устройства и коммуникационные каналы всегда тесно переплетается с рисками, вытекающими из этих возможностей.

Широчайшее распространение и низкая стоимость съемных носителей данных позволяет легко решить бизнес-задачу передачи документов партнерам, создать персональные и коллективные резервные хранилища ценных данных с рабочих компьютеров — но при этом емкость современных флеш-накопителей такова, что зачастую пользователи загружают на них все подряд — попросту содержимое всего персонального компьютера, не задумываясь о последствиях.

Впрочем, традиционный метод хранения и передачи данных на флеш-дисках теряет свою актуальность с точки зрения «продвинутого пользователя» (но не службы ИБ!) в силу высокой доступности облачных сервисов файлового обмена, прозрачно встраивающихся в пользовательскую оболочку или доступных в любом браузере. Все облачные хранилища предлагают возможность загрузки документов практически неограниченного размера с легким способом предоставления доступа третьим лицам к опубликованным файлам, что в сочетании с фактором бесплатности сервиса и легкой регистрацией делает их весьма удобными для использования в производственных процессах организаций любого масштаба. С точки зрения же службы ИБ любой облачный сервис представляет из себя огромную угрозу безопасности, поскольку размещен за пределами возможностей контроля.

Социальные медиа-средства для большинства организаций становятся жизненно важным инструментом поддержки ряда бизнес-процессов. Взаимодействие через социальные медиа, как внутреннее, так и внешнее, используется для построения и развития бренда, улучшения репутации компании и повышения лояльности клиентов, поиска талантливых сотрудников, мобилизации коллективного знания работников, сокращения цикла разработки, и улучшения обратной связи в процессах технической поддержки. Распространение BYOD-устройств в корпоративной ИТ-среде — еще одна важная причина, по которой невозможно игнорировать или предотвратить использование социальных коммуникаций в корпоративном секторе. Просто невозможно каким-либо остановить желания и потребности людей публиковать записи в блогах, участвовать в чатах и дискуссиях в социальных сетях, просматривать любимые социальные сети с личных лэптопов и смартфонов — при том, что эти же устройства могут использоваться и для решения производственных задач.

Сервис мгновенных сообщений Skype практически с момента своего появления пользуется огромной популярностью в малых и средних организациях, которые широко применяют низкозатратные решения VoIP и сервисы мгновенных сообщений для внутреннего взаимодействия и внешних коммуникаций. Еще до поглощения компанией Microsoft в 2011 г., более 35 процентов пользователей Skype представляли собой малые компании, использовавшие Skype как первичное средство коммуникаций. Очевидно, что даже установленный у пользователя для решения бизнес-задач мессенджер будет использоваться в рабочее время еще и для поддержания коммуникаций в личном социальном измерении, и этот факт порождает проблему для ИБ — необходимость детектировать направление передачи данных через Skype и другие коммуникаторы и определять допустимость передачи в зависимости от адресата «на том конце» и содержимого передаваемых данных.

Безусловно, удобство использования современных устройств и сервисов в сети Интернет не оспаривается, равно как и повышение эффективности производственных процессов как следствие. Однако же, наряду с массой пользовательских удобств технологический прогресс и консьюмеризация корпоративных ИТ способствовали созданию благодатной питательной среды для целого класса новых угроз и рисков ИБ невиданных доселе опасности и масштабов. Эти угрозы стали результатом сближения ряда основных факторов. Это прежде всего коммерциализация киберпреступности, которая интересуется данными и только данными, а не взломом ради взлома. Действия злоумышленников направлены на хищение у бизнеса и государства наиболее ценных данных с последующей продажей или использованием для прямой кражи денег (например, выводом с карточных счетов). Нельзя сбрасывать со счетов легкодоступность и простоту использования съемных накопителей. Демонстрация уязвимости BadUSB 7 августа 2014 г. на конференции Black Hat в Лас Вегасе лишний раз подчеркнула, что отсутствие надлежащего контроля USB-портов в организации может привести к краже интеллектуальной собственности всей компании за считанные секунды, и для этого будет достаточно всего одной зараженной флешки. Большинство сервисов социальных сетей, приложения облачных хранилищ, мессенджеры (в особенности уже упомянутый выше Skype) — попросту игнорируют корпоративные средства защиты и границы инфраструктуры. Практически все сетевые приложения, созданные для удобства пользователей, для удовлетворения их социальных потребностей — функционируют абсолютно без какой-либо обратной связи с инструментарием корпоративной безопасности и контроля. Модель информационной безопасности потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь — который далеко не всегда является владельцем данных, будучи также сотрудником какой-либо организации. Ярким примером является использование облачных файловых хранилищ, когда сам работник решает, какие файлы хранить в облаке — и кому уже потом, после размещения данных в облаке — предоставить к ним доступ.

Все вышеописанные факторы позволяют сделать однозначный вывод о том, что современная корпоративная модель ИБ, чтобы стать реально эффективной, должна быть информационно-центричной, опираться на совокупность контроля непосредственно данных и различных потоков их передачи и распространения.

Таким образом, в условиях, когда управление доступа к данным и контроль их перемещения за пределы корпоративных информационных систем практически нереально обеспечить традиционными средствами защиты инфраструктуры (брандмауэрами, прокси-серверами, корпоративными порталами и т. п.), а пользователи при этом стремятся активно и повсеместно использовать личные устройства и различные сетевые сервисы, как описано выше — многократно возрастают риски утечки конфиденциальных корпоративных данных, связанные с тем, что они хранятся ненадлежащим образом (в местах c неограниченным доступом для внутренних пользователей организации) или в незащищенной форме. При этом самыми примитивным, а значит, наиболее вероятным сценарием утечки является использование любых ИТ-сервисов, доступных на персональном уровне и не требующих обслуживания корпоративными службами ИТ.

В качестве примера можно рассмотреть публикацию инсайдером в личном хранилище Dropbox документов, взятых с корпоративного файлового сервера — доступ к которым инсайдер имеет в силу своих должностных полномочий. Можно предполагать, что передача документов на Dropbox выполняется в благих целях, например, для последующей работы вне офиса в режиме аврала, но последствия могут быть абсолютно непредсказуемыми, поскольку дальнейший доступ к этим документам на Dropbox может получить кто угодно — и определяет это уже не служба ИБ, а инсайдер или сторонний злоумышленник, получивший доступ к облачному хранилищу (недавние примеры с массовой утечкой аккаунтов электронной почты и фотографий знаменитостей до сих пор на слуху).

Для контроля различных каналов передачи и средств хранения данных широко используются решения класса Data Leak Prevention — DLP-системы. Однако же вполне реалистичен сценарий, когда контроль сетевых сервисов или устройств хранения данных для некоторых сотрудников будет ослаблен, например, в силу гипотетического отсутствия доступа к конфиденциальным документам — но способы получения доступа всегда найдутся хотя бы за счет применения методов социальной инженерии. Практически невозможно предсказать, какие ухищрения может использовать инсайдер, желающий использовать корпоративные документы за пределами офиса, не говоря уже о том, что ряд современных DLP-систем все еще существенно ограничен по ширине контролируемых каналов и сервисов. Стоит также напомнить, что многие популярные сетевые сервисы созданы для удобства людей, а не для обеспечения задач корпоративной ИБ, вследствие чего риски утечки сохраняются даже при повсеместном внедрении DLP-средств в организации.

Именно поэтому в составе комплексных DLP-решений наряду с системами защиты от утечек данных при доступе к ним (Data-in-Use DLP) и их передаче (Data-in-Motion DLP) исключительно важно применение компонентов поиска и предотвращения утечек хранимых данных (Data-at-Rest DLP), которые в англоязычном лексиконе обозначаются термином «content discovery». Задачей таких discovery-компонентов является поиск и обнаружение в корпоративной ИТ-инфраструктуре конфиденциальных документов и данных. Такие технические меры позволяют своевременно выявить несанкционированное хранение данных сотрудниками и выполнить задачу превентивной защиты от утечки. Попросту говоря, X-фактор в проблематике утечки данных, когда заранее неизвестно, какой канал утечки, кем и когда может быть задействован, может быть успешно блокирован за счет discovery-компонента DLP-системы. Утечки данных пресекаются еще до того, как инсайдер совершит попытку передачи или несанкционированного выноса конфиденциальных данных за пределы корпоративной инфраструктуры.

В октябре 2014 г. российскому рынку был представлен программный продукт DeviceLock Discovery, как самостоятельный функциональный компонент программного комплекса DeviceLock DLP Suite, позволяющий организациям контролировать местоположение и уровень защищенности конфиденциальных корпоративных данных, хранимых в ИТ-инфраструктуре, в целях проактивного предотвращения их утечек и обеспечения соответствия корпоративным стандартам безопасности и требованиям отраслевых и государственных регуляторов.

Посредством автоматического сканирования данных, размещенных на рабочих станциях Windows внутри и вне корпоративной сети, внутренних сетевых ресурсах и системах хранения данных, DeviceLock Discovery обнаруживает документы и файлы, содержимое которых нарушает политику безопасного хранения корпоративных данных и осуществляет с ними различные опциональные превентивно-защитные действия, заданные в DLP-политике. Кроме того, при обнаружении документов, хранимых с нарушением политики, DeviceLock Discovery может инициировать внешние процедуры управления инцидентами, направляя оперативные тревожные оповещения в SIEM-системы, используемые в организации.

DeviceLock Discovery обнаруживает текстовые данные в файлах более чем 120 форматов, а также архивах более 40 типов, в том числе неограниченного уровня вложенности. Для выявления конфиденциальной информации в тексте инспектируемого объекта DeviceLock Discovery использует различные методы детектирования структурированных данных, включая поиск по ключевым словам и шаблоны регулярных выражений (RegExp). Для облегчения задачи создания правил контентной фильтрации продукт поставляется со встроенными промышленными и геоспецифичными терминологическими словарями, предопределенными шаблонами регулярных выражений для наиболее распространенных видов конфиденциальной информации, таких как номера паспортов, кредитных карт, транспортных средств и банковских счетов, адреса, и многое другое. Кроме того, DeviceLock предоставляет администраторам возможность разработки собственных словарей и шаблонов, а также модификации встроенных. Точность детектирования контента повышается за счет использования морфологического анализа словоформ заданных ключевых слов на английском, французском, итальянском, португальском, русском, испанском и каталонском языках.

В дополнение к методам инспекции данных в текстовых объектах и файлах, встроенный модуль оптического распознавания символов (OCR) позволяет DeviceLock Discovery проверять текстовое содержимое графических файлов более чем 30 форматов, а также изображений, встроенных в документы и другие объекты данных. Благодаря распознаванию 26 языков в сочетании с поддержкой встроенных промышленных словарей и регулярных выражений высокоэффективный OCR-модуль обеспечивает DeviceLock Discovery возможность обнаруживать и контролировать конфиденциальные данные, представленные в графической форме, предотвращая их утечку. Уникальной особенностью DeviceLock Discovery является наличие встроенного модуля OCR во всех компонентах комплекса, включая сервер DeviceLock Discovery, агенты DeviceLock Discovery и DeviceLock Service. Такая распределенная архитектура функции оптического распознавания символов значительно повышает общую производительность, сферу применения и надежность решения. В силу того, что графические объекты сканируются и проверяются встроенными в агенты модулями OCR непосредственно на контролируемых компьютерах, существенно снижается нагрузка на Discovery Server и каналы связи корпоративной сети. Более того, такая архитектурная реализация OCR позволяет расширить сферу применения DLP-политик, предотвращающих утечки данных, на компьютеры сотрудников, используемые вне корпоративной сети, например, в командировках или дома.

В случае обнаружения в сканируемых документах и файлах содержимого конфиденциального характера DeviceLock Discovery может автоматически выполнить превентивные действия по устранению выявленных нарушений, такие как удаление (файла, архива или контейнера), изменение прав доступа или шифрование, а также тревожное оповещение администратора или уведомление пользователя о выявленном нарушении.

Компонент DeviceLock Discovery может приобретаться и использоваться как самостоятельный продукт независимо от прочих компонентов комплекса DeviceLock DLP Suite, так и как часть полнофункциональной DLP-системы.

Автор статьи — директор по решениям «Смарт Лайн Инк».

СПЕЦПРОЕКТ КОМПАНИИ «СМАРТ ЛАЙН ИНК»