Когда речь заходит об утечках данных в рамках DLP-тематики, считается, что наименее защищенными и, следовательно, наиболее опасными каналами утечки данных с ПК работников являются высокотехнологичные каналы — сетевые приложения, съемные USB-накопители, персональные мобильные устройства. Реагируя на интерес публики, производители средств ИБ спешат предложить рынку продукты защиты от утечки данных с компьютеров именно через эти высокотехнологичные каналы. Однако, у этой медали есть и оборотная сторона — акцент на контроль высокотехнологичных каналов при игнорировании «давно забытого старого» создают и вендоры.
Хайп как критерий актуальности угрозы?
Давно ли вы видели статьи и мнения отраслевых аналитиков о проблеме утечки информации через канал печати? Боюсь, что так давно, что и не вспомните. Последняя статья на тему контроля принтеров, что довелось видеть, была с акцентом на контроль количества страниц и экономии тонера. Увы, но сложилось впечатление, что даже в среде практиков-безопасников из департаментов ИБ бытует несколько неоправданное мнение о том, что «старые» каналы утечки данных уже давно и надежно контролируются разными продуктами и решениями. Второе впечатление — отсутствие дискуссий по проблемам защиты от давно известных типов угроз в отраслевой прессе, на специализированных форумах и конференциях приводит к ложному ощущению «если про угрозу никто не говорит — значит, угрозы нет».
На самом деле используемые популярные системы зачастую лишь частично устраняют угрозу или решают проблему косвенным путем, если вообще не маскируют решение за имитацией бурной активности. Практикующие специалисты об этом хорошо осведомлены и учитывают в своих проектах и консалтинге, но напоминать об этом публично — или недосуг, или не интересно. В свою очередь, пресса об этом не пишет, потому что тема не нова, хайп не поймать — а то и знаний не хватает.
При этом использование сетевых принтеров и МФУ, доступных одновременно многим подразделениям организаций, только повышает риски утечек через канал печати, сохраняя актуальность этой угрозы. Не случайно действующие нормативные государственные акты и отраслевые стандарты в области ИБ требуют защищать информацию в любой форме, включая, естественно, печатные документы. Именно документ на бумаге наиболее доступен для быстрого восприятия и понимания, легко копируется и идеален для скрытного перемещения за пределы организации — что означает преднамеренную утечку. В частности, отраслевой стандарт Банка России РС БР ИББС-2.9-2016 указывает, что утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ, среди наиболее значимых потенциальных каналов утечки информации не забыты и печать и (или) копирование информации на бумажные носители.
Контроль печати документов — один из наиболее типичных примеров такого заблуждения на тему «устаревшей малоинтересной угрозы» в сочетании с недостаточностью знаний о задачах и возможностях контроля информации. В вышеупомянутой «свежей» статье про контроль печати на тему безопасности информации был всего лишь один абзац, но хотя бы был. Автор предложил использовать специализированные DLP-системы в сочетании со смарт-картами или другими средствами контроля доступа к печатной технике. Однако при этом автор называет DLP-системы средствами мониторинга печати и отчего-то уверен, что они не в состоянии пресечь несанкционированную распечатку, но хотя бы позволяют выявить ее спустя некоторое время могут. Этого, как считает автор, достаточно, чтобы потенциальный инсайдер поостерегся посылать на принтер конфиденциальные документы. Это и есть то, что называется недостатком знаний со стороны журналиста, которая вызвана в свою очередь имитацией бурной активности со стороны вендоров, производящих такие псевдо DLP-системы.
Защита информации при печати документов
Обеспечение защиты информации в организациях при сетевой централизованной печати документов включает в себя целый спектр задач — обеспечение конфиденциальности информации, целостности, учета документов на всех этапах процесса печати, включая отправку с персональных компьютеров, обеспечение безопасной обработки и формирования задания на печать, обеспечение защищенной доставки задания на сетевой принтер. Рынок ИБ предлагает широкий ряд продуктов и технологий ИБ, включая шифрование документов перед отсылкой на печать; хранение образов печатаемых документов в памяти принтеров в зашифрованном виде вплоть до момента печати; разграничение доступа к принтерам на персональной основе; вывод документа на печать только после того, как его инициатор аутентифицировался локально; гарантированное удаление копий документов с принтеров после их печати; централизованную регистрацию событий печати и сохранение электронных копий отпечатанных документов в базе данных для целей анализа и аудита.
Однако использование в организации одного или нескольких из перечисленных решений и технологий вовсе не означает, что проблема защиты информации при печати в корпоративной среде полностью решена.
Помимо защиты процесса печати следует решать и другие задачи — прежде всего контроля доступа к принтерам для исключения и отслеживания попыток неавторизованной печати документов — например, когда пользователь печатает документы в результате несанкционированного доступа к информации, с превышением с своих служебных полномочий или после ошибки других сотрудников. Другой кейс: печать документов в режиме Home Office, на личной технике, или в офисе на неподконтрольных локальных или сетевых принтерах. Вышеперечисленные технологии защищенной централизованной сетевой печати документов не обеспечивают реального контроля за доступом пользователей к локальным принтерам. С точки зрения корпоративной ИБ это, по сути, означает наличие неконтролируемого канала утечки информации при печати документов — когда максимум, что возможно, это зафиксировать факт печати, но без возможности выяснить, что именно печаталось, не говоря уже о возможности заблокировать процесс печати и тем самым предотвратить утечку данных. Системы мониторинга пользовательской активности тоже в лучшем случае могут зафиксировать, что пользователь отправил на печать некий документ. Все вышеприведенные примеры относятся к категории защиты данных от утечки и решаются с помощью специализированных DLP-систем. Вопрос только в том — как решаются. К примеру, известна уязвимость в некоторых DLP-системах, когда пользователь может бесконтрольно печатать данные, не сохраненные в виде файла на жестком диске (например, новый документ Office с содержимым из буфера обмена, созданный без сохранения в файл). Если используемая в организации DLP-система не обладает функцией контроля доступа к принтерам, не говоря уже об анализе содержимого печатаемых документов до момента вывода на печать, т. е. контентной фильтрации потока печатаемых данных — распечатать можно будет попросту все, что угодно, включая документы, содержащую секретную информацию, и дальше останется только надеяться, что бумажные копии еще не попали «куда не надо», и уповать на страх пользователей быть наказанными.
Контроль канала печати в DeviceLock DLP: как не дать информации уйти через принтер
Как же решать задачу контроля канала печати, чтобы эффективно предотвращать утечки информации? Конечно, с помощью DeviceLock DLP J
DeviceLock DLP Suite предотвращает утечки данных при печати документов, инициированной любым приложением и на любом принтере, с помощью универсальной технологии фильтрации содержимого спулера печати. При этом независимо от форматов печатаемых документов их теневые копии сохраняются в пригодном для полнотекстового поиска формате PDF. Благодаря высокой гибкости DLP-политик DeviceLock DLP позволяет поставить под строгий централизованный контроль использование любых (локальных независимо от интерфейса подключения, сетевых, виртуальных, перенаправленных в терминальную сессию) принтеров.
Уникальная особенность DeviceLock DLP, категорически отличающая его от конкурентных DLP систем, это поддержка контентной фильтрации для канала печати (и не только!), включая распознавание текста в графических изображениях, выполняемые в реальном времени. Анализ содержимого печатаемых документов позволяет детектировать совпадение текста документов с заданными словарями, регулярными выражениями, цифровыми отпечатками контролируемых образцов, с анализом и учетом метаданных документов (тип, размер, автор и т. д.).
Мониторинг без блокировки? Легко и в деталях
Разумеется, наличие функции блокировки печати документов вовсе не означает, что она обязательно должна использоваться, это один из инструментов, которыми обладает DeviceLock DLP. Вторая важнейшая для DLP-систем задача — мониторинг событий печати и сбор доказательной базы для расследования инцидентов в области ИБ, также успешно решается. DeviceLock DLP протоколирует все связанные с процессами печати события с очень высокой степенью детализации и теневые копии посланных на печать документов, автоматически сохраняя их для целей аудита в централизованной базе данных. Правила мониторинга задаются по тем же гибким принципам, что и политика доступа к принтерам. Более того, благодаря механизмам контентного анализа в DeviceLock DLP есть возможность, например, избежать помещения в архив теневых копий документов, содержащих персональные данные сотрудников.
Напомним также о возможности оперативной реакции на инциденты, предоставляемой DeviceLock DLP — служба ИБ может реагировать на критические события (по факту попытки доступа к принтерам, по факту срабатывания правила анализа содержимого печатаемого документа) намного быстрее, нежели при работе с архивом теневых копий, благодаря функции тревожных оповещений в DeviceLock DLP.
Важно отметить, что уникальные функциональные и административные характеристики DeviceLock DLP по контролю печати документов с рабочих станций не конкурируют, а, напротив, гармонично дополняют другие решения по защите процессов централизованной сетевой печати документов, что позволяет создавать комплексные системы обеспечения безопасности информации.
СПЕЦПРОЕКТ КОМПАНИИ «СМАРТ ЛАЙН»