14 января в сеть утекла финальная серия нового сезона «Шерлока». Эпизод под названием «Последнее дело» выложили в высоком качестве, в русской озвучке. Первый канал, владеющий правами на показ сериала в России, немедленно заявил, что подозревает в инциденте хакеров. «По предварительной версии, причиной была хакерская атака», — говорится в заявлении телеканала.
Уже 19 января Первый телеканал сообщил, что утечка произошла «из-за непреднамеренной халатности одного из сотрудников «Первого», который «нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей».
Однако, учитывая, что, как правило, до выпуска в эфир видеоконтент высокого качества находится в изолированной сети, с ограниченным доступом к хранилищу, а для выполнения озвучки перевода и наложения субтитров предоставляется видеоконтент заниженного качества (либо с водяными знаками или наложениями на «картинку»), версия с хакерской атакой хоть и возможна теоретически — но, откровенно говоря, звучала как попытка переложить собственные просчеты в обеспечении информационной безопасности на внешних злоумышленников. Сразу было понятно, что с наибольшей вероятностью это была внутренняя утечка, а в роли «хакера» выступил инсайдер. В любом случае, такой сценарий утечки сериала — самый простой и реалистичный, а при наличии простых способов кражи информации искать сложный — по крайней мере нелогично.
Постановка задачи
Пример с Первым телеканалом — весьма типичный и показательный. Контент ограниченного доступа создается организациями, главной ценностью и результатом работы которых является интеллектуальная собственность, художественные произведения, инженерно-технические разработки и т. д. Во всех таких случаях в компаниях используется определенный набор программного обеспечения (системы проектирования, графические и видеомонтажные системы, др.), а ценный контент хранится в ограниченном наборе цифровых форматов данных. Как конечные, так и промежуточные результаты работы таких компаний должны тщательно оберегаться от преждевременной публикации (до выпуска в тираж или эфир, до патентования или передачи в производство, до завершения контракта на разработку).
Помимо этого, ценность могут представлять данные корпоративной переписки, договорная документация и базы данных клиентов и подрядчиков.
Говоря о возможности внешних (хакерских) атак, стоит также учитывать, что внешняя атака, преодолев средства защиты корпоративного периметра, переходит в категорию внутренних угроз и использует внутренние каналы утечки.
В современном цифровом мире полностью избежать использования различных средств информационных коммуникаций и различных технических средств хранения данных, являющихся потенциальными каналами утечки, невозможно. Однако можно и нужно принять во внимание, что доступ к корпоративному контенту, представляющему ценность, имеет ограниченный круг сотрудников, для которых в свою очередь можно и нужно вводить технические и организационные ограничения, а также применять технические средства противодействия утечкам корпоративной информации во избежание финансового и репутационного ущерба.
Для организаций рассматриваемого типа цена потери конфиденциальной информации на стадии «черновика» через инсайдера может оказаться на порядки выше, чем когда она уже прошла финальную стадию разработки и получила свободное распространение в корпоративной инфосистеме.
Решение
Очевидно, что решение проблемы не ограничивается какой-либо одной системой, требуется комплекс организационно-технических мер. При этом ключевым звеном будет DLP-система (решение класса Data Leakage Prevention, защита от утечек данных).
Активно продвигаемый рядом DLP-вендоров «метод противодействия» утечкам, концепция которого заключается в правиле «выявить утечку и наказать виновного», в данной модели будет абсолютно непродуктивен — никакое наказание нерадивого сотрудника не отменит факт утечки и не остановит его — если стимул будет достаточно велик.
В вышеупомянутом примере с утечкой «Шерлока» ценная корпоративная информация (видеоконтент) хранилась во внутренней сети организации в цифровом формате. Доступ к таким файлам внутри и вне организации должен иметь ограниченный круг пользователей, что позволяет сформировать перечень (список) авторизованных учетных записей и идентификаторов почтовых аккаунтов и мессенджеров для ограничения ширины контактов ответственных лиц.
Возможности анализа содержимого в случае с видеоконтентом, чертежами и графическими данными, как правило, весьма ограничены, либо вообще сводятся к нулю. Однако есть другие характерные признаки, позволяющие предотвратить утечку такой информации — это формат данных и размер.
Решением проблемы потенциальной утечки в подобном сценарии будет прежде всего избирательный контроль доступа к различным каналам передачи информации и устройствам хранения данных для сотрудников, вовлеченных в процесс создания ценного контента. Такой контроль должен включать в себя не сколько и не только блокировку передачи данных на основании определенных службой ИБ критериев, но и детальное протоколирование разрешенных и запрещенных попыток их передачи в сочетании с оперативным уведомлением службы безопасности о таковых попытках.
Простое и эффективное практическое решение в плане технического противодействия утечкам данных в рассматриваемой модели угроз сводится к трем пунктам:
— запретить для ответственных сотрудников передачу файлов определенного типа и размера за пределы белого списка авторизованных получателей, идентифицируемых DLP-системой непосредственно в фазе передачи сообщений или файлов по электронной почте, мессенджерами, в социальных сетях. При этом факты передачи должны протоколироваться для обеспечения возможности дальнейшего расследования инцидентов.
— запретить доступ к файлообменным ресурсам, ftp-серверам, торрентам, поскольку их модель безопасности, как правило, основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь, а не служба ИБ, нет никакой обратной связи таких сетевых приложений с инструментарием корпоративной безопасности. Также стоит ограничить использование внутренних файлообменных ресурсов (SMB) во избежание сговора между сотрудниками с разными уровнями контроля.
— максимально ограничить возможности использования устройств хранения данных, как вариант — использовать белые списки USB-устройств с контролем на уровне серийного номера. Опять же, протоколирование записи следует рассматривать как обязательный фактор. Здесь также стоит применять ограничение записи по типу и размеру файлов.
Говоря о контроле по типу и размеру файлов, следует помнить, что такой контроль должен опираться на бинарно-сигнатурный анализ данных, а не легко изменяемое пользователем расширение, при этом должны детектироваться и пресекаться простейшие способы маскировки файлов (размещение в архивах и контейнерах).
Вторая часть решения проблемы предполагает периодические и оперативные проверки рабочих станций и сетевых хранилищ, доступных ответственным пользователям, посредством сканирования файловых систем в целях обнаружения конфиденциальной информации, с последующим выполнением заданных службой безопасности действий с обнаруженными документами (от оперативного уведомления службы ИБ до удаления файлов или помещения в карантин).
Все описанные выше технологии и методы противодействия утечкам в рассматриваемой модели гарантированно реализуются с помощью DLP-комплекса DeviceLock DLP Suite.
Возможности системы
С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы — от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией «на лету» — анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих интерес для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.
Внедрение, эксплуатация и администрирование
Полная интеграция централизованного управления DeviceLock DLP в групповые политики домена Active Directory позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку DLP-политик в автоматическом режиме. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к базовой консоли — оснастке MMC для групповых политик, предусмотрены также веб-консоль и дополнительная консоль с собственным интерфейсом — DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP.
Условия лицензирования
Комплекс DeviceLock DLP состоит из взаимодополняющих функциональных компонентов: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base, а также DeviceLock Discovery, который может использоваться в составе комплекса или как самостоятельное решение. Лицензионная политика «Смарт Лайн Инк» предусматривает гибкое функционально-инкрементальное лицензирование комплекса DeviceLock DLP— лицензии приобретаются на отдельные компоненты по числу контролируемых компьютеров. В стоимость лицензий входят годичная стандартная техническая поддержка и право на получение новых версий. По отдельному соглашению также предоставляются профессиональные услуги по реализации проекта, консультационные услуги и расширенная техническая поддержка.
СПЕЦПРОЕКТ КОМПАНИИ «СМАРТ ЛАЙН ИНК»