Вот уже не первый год на страже безопасности в большинстве компаний применяются системы предотвращения утечек информации DLP (Data Leak Prevention).
Для офицера безопасности рынок предлагает широких выбор таких систем: от простого в инсталляции программного решения «из коробки» до многокомпонентного комплекса, требующего многочасовой настройки.
Многие DLP завоевали львиную долю рынка, какие-то только начинают свой рост популярности.
Все они являются инструментами автоматизации ежедневной работы подразделения информационной безопасности, позволяющими в режиме онлайн контролировать использование конфиденциальной информации и предотвращать её утечки.
За небольшим исключением все DLP лицензируются по количеству агентов, обладают широкими возможностями по настройке правил, имеют аналитический механизм визуализации потоков данных и именно в силу специфики своей работы требуют постоянного контроля со стороны офицера безопасности.
Как же использовать зачастую столь дорогостоящий инструмент наиболее эффективно в течение всего срока эксплуатации?
Всё гениальное требует планирования
Первый правильный шаг в данном направлении — задуматься об этом заранее до внедрения, а лучше ещё раньше — до обследования процессов обработки конфиденциальной информации.
При планировании работ по внедрению системы предотвращения утечек информации вне зависимости от того, чьими силами оно будет производиться, необходимо выделить специалистов, которые будут заниматься поддержкой данной системы. Группа сопровождения, формируемая для решения такой задачи, должна состоять минимум из следующих ролей:
- администратор — роль с правами супер-пользователя, который будет контролировать разграничение доступа к модулям самой системы, а также проводить аналитику по инцидентам;
- инженер — роль, назначаемая техническому специалисту, который будет инсталлировать серверные и агентские компоненты системы, контролировать потребление ресурсов и проводить резервное копирование, а также решать иные инфраструктурные задачи;
- офицер ИБ — роль, назначаемая специалисту из отдела информационной безопасности, который будет осуществлять настройку и актуализацию правил контроля потока данных, а также проводить аналитику по инцидентам.
Каждую их этих ролей могут представлять и несколько специалистов — всё зависит от ваших кадровых ресурсов. Допускается и объединение ролей, за исключением администратора — с точки зрения построения зрелой системы информационной безопасности эта роль всегда должна быть выделена в самостоятельную единицу и все действия из-под учётной записи супер-пользователя должны подвергаться независимому журналированию.
После определения группы сотрудников, которым будут назначены данные роли, это решение необходимо зафиксировать приказом по компании, указав в сопутствующих инструкциях их обязанности и права.
Вне зависимости от того, кто занимается внедрением DLP — сама компания или контрагент — данная группа должна присутствовать на проекте с первого его дня: именно полное погружение в работы в дальнейшем исключит многие трудности по сопровождению.
Комплексный подход к внедрению системы предотвращения утечек информации должен в себя включать:
- определение существующих информационных потоков;
- выделение типов информации;
- описание бизнес-процессов с указанием сценариев (каналов) утечки такой информации, а также создание модели нарушителя;
- создание и внедрение в DLP политик защиты конфиденциальной информации в зависимости от её типа, представления, владельца, действия и иных параметров.
В случае, если группа сопровождения была сформирована на последнем этапе, когда исполнитель передал в промышленную эксплуатацию настроенную «под ключ» DLP, для дальнейшего эффективного функционирования системы специалистам группы необходимо пройти обучение работе с DLP — как с точки зрения технической поддержки, так и по тонкой настройке и актуализации правил.
Таким образом, на момент начала сопровождения системы предотвращения утечек у группы должны быть на руках:
- реестр процессов с указанием ответственных за процесс и описанием жизненного цикла защищаемой информации;
- реестр объектов защиты;
- реестр субъектов, обладающих правами доступа к объектам, — матрица доступа;
- реестр правил настройки DLP для каждого процесса или объекта защиты.
Как правило, если внедрением занимается внешняя организация, то настройка правил в DLP осуществляется для ограниченного количества процессов обработки конфиденциальной информации, — а это означает, что группе сопровождения предстоит самостоятельно применить комплексный подход к внедрению и, составив карточки правил для оставшихся процессов, донастроить DLP.
Также не стоит забывать о покупке технической поддержки со стороны производителя: если есть такая возможность, то ей обязательно стоит воспользоваться — это может решить многие проблемы, требующие глубокого знания алгоритмов работы конкретной DLP, и избавит вас от необходимости поиска программистов для доработки системы или исправления ошибок. Среди систем, предоставляющих поддержку своим клиентам, можно назвать, например: Traffic Monitor, Solar Dozor, КИБ «СёрчИнформ», «Гарда Предприятие», Forcepoint, Zecurion, FalconGaze.
И только после описанных выше работ можно считать систему предотвращения утечек эффективно функционирующей, но лишь до первого изменения хотя бы одного параметра в любом из реестров.
Основная причина снижения эффективности работы DLP (да и в принципе любой системы защиты информации) — это устаревание правил конфигурации. В нашем случае — правил, контролирующих потоки конфиденциальной информации.
И если на предприятии малого бизнеса у группы сопровождения есть возможность отследить изменения, то в компаниях с сотнями или тысячами работников отслеживать изменения во всех потоках информации без дополнительных технических и организационных процедур просто невозможно.
Киберзащитникам — современное оружие...
В качестве технической меры для решения указанной задачи рынок средств защиты всё активнее предлагает такое решение, как модуль аналитики поведения пользователей User Behavior Analytics (UBA) и более сложную его модификацию — модуль аналитики поведения пользователей и сущностей User and Entity Behavior Analytics (UEBA). Оба модуля представляют собой совокупность различных методов аналитики в том числе с возможностью машинного обучения. Механизмы UBA основаны на изучении в течение некоторого времени поведения пользователей (с привязкой к IP, учётной записи или иным атрибутам): попытки аутентификации, доступ к данным, сетевая активность. После чего модуль на основании собранных профилей и аналитики выставляет уровни надёжности для каждого пользователя — изменение этих уровней и будет служит маркером для офицера информационной безопасности, который сможет вовремя отследить аномальное поведение и принять необходимые меры. Механизмы UEBA аналогичны описанным выше, но для составления профилей пользователей также подключается аналитика аномальных событий в так называемых «сущностях» — журналах рабочих станций, серверов, систем хранения данных, средств защиты информации и иных источниках. Такие решения могут поставляться как в виде отдельного комплекса, так и в составе DLP, что, во-первых, выгодно с точки зрения унификации применяемых средств защиты и их технической поддержки, а во-вторых, идеально подходит для решения указанной выше проблемы отслеживания изменения в процессах обработки конфиденциальной информации. Таким образом, основное преимущество UBA/UEBA состоит в том, что они служат не для пресечения нарушения, а для его предотвращения, что даёт экономическую выгоду в виде неупущенной прибыли.
...и немного бумажной безопасности
В качестве организационной меры первое, что необходимо предпринять группе сопровождения, — это составить положение о защите конфиденциальной информации в компании. Каждый сотрудник, участвующий в обработке защищаемых объектов, должен быть ознакомлен с данным положением, а также с описанием процесса и реестром защищаемой информации, которую он обрабатывает в рамках своих трудовых обязанностей.
Один из разделов приложения о защите конфиденциальной информации должен содержать требования по информированию группы сопровождения о всех изменениях (планируемых или произошедших) процессов обработки конфиденциальной информации со стороны лиц, ответственных за процесс, а также требования по информированию сотрудниками ответственных лиц, если им стало известно о таких изменениях. В данном разделе обязательно должны быть оговорены максимально допустимые сроки информирования, а также большим плюсом будет разработать в качестве приложения к положению форму информирования об изменениях (с указанием их возможных типов) — в ней особенно важно отразить изменения в матрице доступа к объекту (в том числе внешних субъектов, не являющихся работниками компании).
Рекомендуется также ранжировать процессы по степени критичности и для информирования об изменении в самых важных процессах указать меньшие сроки.
При регламентации сроков информирования их необходимо указать таким образом, чтобы у группы сопровождения было достаточно времени на обследование изменённого процесса, актуализацию реестров и корректировку правил DLP.
И завершающим шагом после ознакомления работников с положением будет рассылка памятки, например, раз в квартал с указанием самых важных аспектов: сроков информирования и контактных данных членов группы сопровождения.
Выводы
Работы по сопровождению системы предотвращения утечек информации должны следовать правилам непрерывного комплексного подхода организации информационной безопасности при постоянном её совершенствовании, когда в обеспечении защиты участвует не только профильное подразделение, но и все работники, обрабатывающие конфиденциальные данные. Такая задача может быть решена указанными выше методами, объединяющими технические средства защиты, организационные меры и с помощью повышения уровня осведомлённости в компании, ведь самая эффективная DLP — это средство обучения сотрудников работе с конфиденциальной информацией, а не инструмент слежки.
СПЕЦПРОЕКТ КОМПАНИИ CROSS TECHNOLOGIES