March 16

DLP: предотвращаем утечки

Утечки данных являются одной из главных проблем современного мира ИТ. Персональные данные, конфиденциальная информация, коммерческая тайна а иногда и что-то более секретное периодически у кого-нибудь утекает и всплывает на просторах Даркнета, телеграмм каналах для пробива и прочих полезных сомнительных ресурсах.

При этом, уже не одно десятилетие существуют системы предотвращения утечек (DLP). Но прежде, чем идти дальше и говорить о проблемах внедрения DLP, давайте правильно расшифруем данную аббревиатуру. DLP это Data Leak Prevention, предотвращение утечек информации. Можно встретить расшифровку Data Loss Prevention – то есть предотвращение потери информации. Однако, потеря информации и ее утечка - это немного разные вещи. При потере информации она совершенно необязательно становится доступной посторонним, в то время как утечка информации однозначно определяет получение доступа к ней посторонних.

Так шифровальщик может только зашифровать файлы, в результате чего информация может быть потеряна, но не украдена. И наоборот, утечка информации посредством копирования не ведет к ее потере.

Но это было лишь небольшое лирическое отступление. Вернемся непосредственно к DLP системам.

Что есть DLP по сути

Раньше основное внимание уделялось защите физических документов. Это может быть достигнуто путем проникновения за пределы физического периметра или кражи документов у курьеров. Хотя эта тактика может сохраняться и сегодня, развитие Интернета увеличило масштабы и вероятность кражи данных. Короче говоря, распространение данных и каналов связи упростило работу преступника.

Классическая система предотвращения утечек данных должна контролировать все каналы, через которые данные могут быть скопированы. Это прежде всего все, что связано с сетью: электронная почта, веб, мессенджеры, FTP и прочее. В случае использования шифрования, DLP система должна уметь вставать в разрыв для того, чтобы иметь возможность вскрывать зашифрованный трафик. Второй группой каналов утечки является непосредственно компьютер пользователя. Здесь данные могут уходить через USB порты во всех их проявлениях: флешках, принтерах и других устройствах. Однако, не стоит забывать также о других интерфейсах, которые также могут использоваться для копирования файлов.

Также, важно контролировать файловые хранилища, так как наличие конфиденциальных данных в общедоступных ресурсах тоже может привести к их утечке.

По сути, единственный канал, который не может перекрыть DLP это вывод данных на монитор. Если у нашего несознательного пользователя есть права на чтение какого-либо файла то он может вывести содержимое этого файла на экран, а затем попробовать снять на телефон. Да, переснять таким образом всю базу клиентов крупной компании вряд ли получится, а вот снять таблицы с закупочными ценами в принципе возможно. Но для борьбы с подобными утечками уже должны использоваться оргмеры, такие как камеры и правильный инструктаж сотрудников.

Современные DLP системы уже давно вышли из этих границ, сейчас DLP включают в себя функционал EDR/UBA/SIEM и богомерзкие фичи по контролю за пользователями через встроенную камеру и микрофон. Однако в рамках данной статьи мы будем говорить только о классическом функционале DLP.

Основные проблемы

Нельзя просто взять и внедрить систему DLP, также как это делают при внедрении антивирусов или межсетевых экранов (хотя и там проблем хватает). Существует ряд основных действий, которые необходимо выполнить при внедрении DLP. Мы рассмотрим общие рекомендации, которым должна следовать ваша стратегия внедрения. Эти требования также могут быть использованы для выбора правильного решения DLP для вашей организации.

Приоритизируй это

Типичная история при внедрении DLP систем – отсутствие у заказчика понимания того, какие данные надо защищать от утечки. То есть, регламенты того, что считать конфиденциальной информацией есть, а вот как реально выглядят конфиденциальные документы, по каким признакам необходимо их отсеивать – все это зачастую является проблемой.

Первым шагом перед внедрением DLP является определение того, какие данные вызвали бы наибольшую проблему в случае их кражи. Конечно, озадачиться этим вопросом можно и после внедрения, но тогда есть риск столкнуться с тем, что ваша система не полностью перекрывает возможный периметр утечек или наоборот, конфиденциальные данные обрабатываются меньшим числом узлов и вы зря купили так много лицензий.

В любом случае, в зависимости от вида деятельности приоритет может отдаваться интеллектуальной собственности, такой как конструкторская документация, чертежи т.д.. Розничным торговцам и компаниям, предоставляющим финансовые услуги, очевидно, следует высоко оценивать данные подпадающие под требования банковских стандартов, ФЗ №152 и аналогичных документов. Медицинские компании отдавали бы приоритет медицинским записям, поскольку они часто хранятся на портативных компьютерах. Хотя это может показаться очевидным, предотвращение потери данных следует начинать с наиболее ценных или конфиденциальных данных, которые, скорее всего, станут мишенью злоумышленников.

Таким образом, важно правильно выставить приоритеты при выявлении конфиденциальной информации, подлежащей контролю DLP.

Классифицируйте данные

Классификация данных часто рассматривается как наиболее сложная задача при внедрении DLP. Однако, на практике мы можем отталкиваться от контекста, который используется в конфиденциальных документах определенного типа. Так например, документы содержащие коммерческую тайну должны содержать соответствующие идентификаторы.

Применение к данным постоянных классификационных тегов позволяет организациям отслеживать их использование. Так с помощью регулярных выражений в документах можно выявлять номера кредитных карт или ключевые слова (например, “конфиденциально”).

Собственно, надежное выставление тегов позволяет лучшим образом настроить DLP систему на выявление утечек данных.

Система DLP после установки уже содержит базовый набор правил, позволяющих выявлять номера кредитных карт. Однако, на практике правила из коробки могут выдавать большое количество ложных срабатываний, выявляя утечки там, где их по факту нет. Например, срабатывая на паспортные данные в договорах, которые не являются конфиденциальными данными. Так что, как правило, лучшим решением является отключение встроенных правил с последующим поочередным включением только нужных правил.

Также важен формат файлов, прикладные протоколы и другие признаки, по которым можно идентифицировать данные, подлежащие контролю с помощью систем DLP. Например, если конфиденциальной является конструкторская документация, разработанная в специализированном приложении, мы можем настраивать DLP систему на анализ файлов данного формата. Но и здесь могут возникнуть проблемы. Так многие приложения позволяют экспортировать данные например в PDF или графические форматы, и здесь наш инсайдер может воспользоваться функцией экспорта для того, чтобы обойти DLP систему, которая не ожидает встретить конфиденциальные данные в файлах другого формата.

Поэтому важно понимать, каким функционалом обладает целевое приложение, работающее с конфиденциальной информацией и какими способами злоумышленник может попытаться обойти контроль. И вот здесь важную роль играет модель угроз, которая должна быть составлена в организации на момент внедрения системы DLP. Информационная безопасность это процесс, эффективно функционирующий, когда мы используем совокупность средств защиты. То есть, у нас должны быть внедрены и сетевые средства защиты (файрволлы, IDS) и хостовые (антивирусы, EDR, ограничение прав), шифрование, мониторинг и другие средства. И слабость одного звена может привести к бреши во всей системе ИБ.

Например, у всех пользователей есть права локального админа и в организации не ведется инвентаризация установленных приложений. В таком случае наш хитрый инсайдер может установить приложение для записи видео (будем считать что PDF и графические файлы мы можем контролировать с помощью OCR) и просто сделать фильм про чтение конфиденциального документа, который затем он беспрепятственно перепишет на флешку.

Еще один вариант обхода для прошаренных гениев промышленного шпионажа. Злоумышленник, при наличии административных прав может сделать дамп оперативной памяти в которой открыт конфиденциальный документ. Затем он беспрепятственно переписывает файл дампа себе на флешку. После этого в домашних условиях с помощью Volatility и отладчика можно без труда извлечь из дампа нужный процесс и открыть конфиденциальный документ.

Ну а про банальное отключение агента DLP при наличии прав админа вообще не стоит даже говорить.

Мораль всех этих кейсов заключается в том, что проблему утечки информации надо решать в комплексе с помощью различных средств защиты. Так отсутствие прав не позволит сделать дамп памяти, а контроль запускаемых приложений не позволит запустить записывалку экрана. Но это не функционал DLP системы, так как за эти функции отвечают другие средства защиты.

Отслеживайте все перемещения данных

Как известно, лучше всего защищен выключенный компьютер, находящийся за двухметровым слоем бетона. Но на практике пользоваться таким компьютером невозможно. Аналогично и с конфиденциальной информацией - как правило, она должна перемещаться по сети организации: проектировщики готовят чертежи, которые затем используют инженеры, а менеджеры готовят договора, с которыми потом работают юристы. Таким образом конфиденциальная информация должна легально перемещаться по сети, и понимание того, как используются данные, и выявление существующего поведения, которое может подвергнуть их риску, критически важны.

Без понимания информационных потоков безопасники не смогут разработать соответствующие политики, которые снижают риск потери данных, обеспечивая при этом надлежащее использование данных.

Помните, что не всякое перемещение данных представляет собой их потерю. Однако многие действия могут увеличить риск потери данных. Организациям следует отслеживать все перемещения данных, чтобы получить представление о том, что происходит с их конфиденциальными данными, и определить масштаб проблем, которые должна решать их стратегия DLP.

Например, наличие возможности подключать любые флешки в USB порт может существенно увеличить риск того, что инсайдер сможет обмануть DLP и переписать на носитель конфиденциальные данные. Использование в сети узлов, на которых не установлены агенты DLP, но которые при этом могут обрабатывать конфиденциальные данные (например ноутбуки прикомандированных сотрудников) это тоже серьезная дыра в безопасности.

Аналогично и сетевым мониторингом. Вы должны мониторить все VLAN и сегменты сети, по которым может перемещаться конфиденциальная информация. Не должно маршрутов, по которым файлы можно отправить в Интернет без проверки.

Мониторим DLP

Мониторинг предоставит показатели о том, как данные подвергаются риску. Следующим шагом для эффективного предотвращения потери данных является работа с руководителями бизнес-подразделений, чтобы понять, почему это происходит, и настройка средств контроля для снижения риска потери данных. Так, в начале планирования внедрения DLP контроль за использованием данных может быть простым, нацеленным на наиболее распространенные виды рискованного поведения и обеспечивающим поддержку со стороны линейных менеджеров. По мере развития программы предотвращения потери данных организации могут разрабатывать более детализированные, тонко настроенные средства контроля для снижения конкретных рисков.

Например, в начале мы можем только выявлять утечки без блокировки. Но когда мы поймем, что DLP работает как надо, необходимо будет начать блокировать утечки.

Обучайте сотрудников

Обучение пользователей часто может снизить риск случайной утечки данных из-за действий самих сотрудников. Сотрудники часто не осознают, что их действия могут привести к потере данных, и будут более сознательны, когда их проинструктируют должным образом. Продвинутые DLP-решения предлагают администраторам информировать сотрудников об использовании данных, которое может нарушать политику компании или просто увеличивать риск (в дополнение к средствам контроля, позволяющим напрямую блокировать рискованные действия с данными).

Заключение

Конечно, предотвращение потери данных - это непрерывный процесс, а не набор отдельных шагов или конечная точка проекта. Если начать с целенаправленных усилий по защите подмножества ваших наиболее важных данных, DLP проще внедрять и управлять. Однако, работу DLP систем нужно постоянно контролировать и совершенствовать, так как системы, работающие с конфиденциальными данными могут со временем изменяться, появляться новые форматы данных, которые также нужно контролировать.