Рубрикатор |
Статьи | ИКС № 04 2012 |
Ирина МОМЧИЛОВИЧ  | 10 апреля 2012 |
DLP: куда утекают данные
От утечек данных не застрахован никто. Если компания не хочет, чтобы ее ценная информация стала «достоянием общественности», DLP-система должна стать неотъемлемой частью ее корпоративной сети.
Если положить на одну чашу весов продукты и услуги компании, ее финансовые и трудовые ресурсы, а на другую – ценную информацию, то весы, скорее всего, придут в равновесие. И это неудивительно. В современном мире информация – один из самых ценных активов. Клиентские базы, финансовая информация и отчетность, бизнес-планы – основа деятельности любой организации. Но у медали есть и оборотная сторона. Кража или случайная утечка данных могут привести к серьезным последствиям: судебному расследованию, срыву запланированных сделок, ущербу репутации организации, потере доверия клиентов и партнеров.
Наиболее эффективным средством борьбы с такими угрозами являются системы класса DLP (Data Leakage Prevention). Спрос на эти решения среди организаций всех отраслей быстро растет. Особый интерес к DLP проявляют банки, международные платежные системы, государственный сектор и медицинские учреждения. Они чаще других работают с личными данными клиентов, привлекающими злоумышленников.
С помощью DLP-решений компания получает четкое понимание:
• где хранится ценная информация;
• куда перемещаются конфиденциальные данные;
• как и когда они используются;
• кто из сотрудников имеет к ним право доступа.
Как вода сквозь пальцы
Чем быстрее развиваются информационные технологии, тем больше появляется возможностей для «просачивания» ценных данных компании за пределы ее информационной среды. В основном утекают персональные данные клиентов и сотрудников (по нашим оценкам – 62,6%). Чаще всего утечки происходят через следующие каналы.
Мобильные носители. USB-накопители, флэш-карты, съемные жесткие диски, карты памяти – лидеры рейтинга самых опасных каналов с точки зрения утечки информации. Утечка может быть результатом как случайных, так и умышленных действий (потери, передачи или кражи съемных носителей). Простейший способ передать файлы другому человеку – записать их на USB-устройство.
Электронная почта. Даже в почтовой системе, надежно защищенной от спама, вредоносных атак, вирусов, сотрудник может прикрепить к письму не тот документ или отослать сообщение с ценными данными неверному адресату.
Службы мгновенных сообщений, социальные сети, форумы, блоги. ICQ, Skype, Mail.ru Агент, Google Talk, AOL AIM и пр. – эти средства общения, давно превзойдя по популярности электронную почту, располагают сотрудников к неофициальному и, как они полагают, анонимному общению. А в результате – разглашение конфиденциальной информации и распространение ее на просторах Интернета. Полностью запретить использование подобных средств невозможно, поскольку зачастую они необходимы компании для осуществления бизнес-коммуникаций.
А виноват ли сотрудник?
Еще одна проблема – «человеческий фактор». Под этим понятием чаще всего подразумеваются халатность, невнимательность, небрежность сотрудников, злоупотребление полномочиями и прочие неприятные для компании действия.
Собственные работники компании могут нанести корпоративным данным гораздо больший урон, чем внешние атаки. Сотрудники ИБ-служб прилагают массу усилий, стараясь обезопасить информационную среду компании от хакерских атак. Но не упускают ли они при этом из вида самую опасную угрозу – инсайдеров? По оценкам Rainbow Security, 42% утечек информации происходит по вине инсайдеров, и только 23% – по вине хакеров.
Имея законный доступ к конфиденциальной информации, сотрудники беспрепятственно используют эти данные в личных целях, копируя их на съемные носители, передавая по электронной почте, через файлообменники, публичные FTP-серверы и пр.
Причем бизнес-данные нередко утекают за границы информационной среды компании не в результате злого умысла, а по невнимательности или неосведомленности сотрудников. Иногда работник просто не знает, что пересылает кому-то конфиденциальную информацию. Кроме того, многие сотрудники берут работу на дом. Для этого они, как правило, отправляют необходимую рабочую информацию на свой личный почтовый ящик, взломать который гораздо проще, чем корпоративный.
Что уж говорить об уволенных сотрудниках, которые уносят с собой данные о клиентах, проектах, бюджетах и пр. Нетрудно догадаться, что потом может произойти с этой информацией: базы данных клиентов, поставщиков, сотрудников очень востребованы на черных рынках. Номера банковских карт могут быть опубликованы в Интернете, что повлечет за собой атаки на счета клиентов и сотрудников компании. Базы ГИБДД, налоговой инспекции, банковских организаций реально приобрести всего за несколько сотен долларов, хотя такая информация по определению является конфиденциальной. Кто выносит ее за пределы компании? Рядовой сотрудник, ставший брешью в «крепостной стене» организации.
Остается одно – контролировать каналы передачи информации с целью предотвращения утечки, и лучшее решение этой задачи – установка современной DLP-системы.
Как устранить «течь»
Сегодня на рынке информационной безопасности представлено множество DLP-систем, отличающихся друг от друга и функционально, и технологически, однако основной принцип их работы един и сводится к трем основным функциям.
1. Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи:
• анализ исходящих сообщений электронной почты и блокирование передачи ценных данных;
• блокирование передачи конфиденциальных данных, осуществляемой с помощью средств мгновенного обмена сообщениями (ICQ, Skype, Google Talk и пр.);
• перехват и анализ текста, вводимого в веб-интерфейс письма публичной почтовой службы (mail.ru, yandex.ru и пр.);
• блокирование отправки конфиденциальных данных на мобильные носители через беспроводные интерфейсы (Bluetooth, Wi-Fi и т.д.).
2. Контроль действий пользователей на рабочих станциях:
• контроль и разграничение прав доступа пользователей к конфиденциальной информации;
• блокирование копирования в буфер обмена определенных данных – например, запрет копирования через буфер обмена информации, содержащей словосочетание «банковские счета», из программы Microsoft Excel в Microsoft Word;
• контроль перемещения ценной для компании информации между пользовательскими компьютерами, а также ее копирования на съемные носители;
• блокирование печати документов, содержащих конфиденциальную информацию;
• блокирование выполнения фотографий экранов (скриншотов) некоторых приложений.
3. Аналитическое сканирование важнейших ресурсов предприятия: веб-порталов, файл-сер-веров, CRM-систем, конечных рабочих станций с целью выявления неупорядоченного хранения конфиденциальных данных.
Пять признаков «правильной» системы
Выбрать максимально эффективное DLP-решение и не запутаться в огромном многообразии представленных на рынке систем – задача непростая. При выборе корпоративной системы защиты от утечек данных необходимо ориентироваться на следующие основные критерии.
1. Работа с максимально возможным количеством каналов утечки данных. Чем большее число каналов контролирует DLP-решение – тем лучше. Если хотя бы один канал не отслеживается системой, то именно через него сотрудник может передать конфиденциальную информацию.
2. Мощные фильтры анализа информации. Это главная часть решения DLP. С их помощью DLP-система может обнаруживать конфиденциальную информацию в анализируемых данных. Чем более мощным будет подобный функционал, тем выше уровень защиты информационной среды. DLP-решения предотвращают утечку данных, используя «отпечатки», регулярные выражения, ключевые слова и метаданные. По-настоящему эффективная DLP-система способна сканировать и контролировать все вложения в письме, а также обнаруживать в передаваемом трафике даже те данные, которые были сильно видоизменены пользователями. Чтобы корректно работать со всей анализируемой информацией, DLP-решение должно обладать еще одним свойством: возможностью морфологической обработки данных на множестве языков. Поиск конфиденциальной информации должен производиться с учетом морфологии и синтаксиса текста.
Автоматическое блокирование и перенаправление писем, расширенные возможности карантина, создание скрытых копий и шифрование писем – все эти функции также должны быть реализованы в DLP-решении.
3. Обучаемость и гибкость системы. Система DLP должна уметь классифицировать типы конфиденциальных данных и обучаться тому, на что надо обращать внимание и какие действия необходимо предпринять при обнаружении попытки утечки информации.
Кроме того, DLP-решение должно гибко управлять использованием съемных носителей. К примеру, копирование конфиденциальной информации на USB-накопители, флэш-карты и пр. должно запрещаться, но не для всех. Исключение нужно делать для лиц, обладающих соответствующими должностными полномочиями, например для руководителей.
Еще одна немаловажная характеристика DLP-системы – возможность задания различных политик и прав доступа для отдельных компьютеров и групп пользователей, для доверенных и недоверенных почтовых доменов.
4. Архивирование анализируемых данных. Важная составляющая любой системы DLP – это возможность расследования инцидентов. Для этого необходимо архивирование перехваченной и заблокированной информации. Ведение архива позволяет проанализировать активность пользователей за определенный временной интервал и понять, что на самом деле было заблокировано.
5. Соответствие стандартам. Выполнение требований таких международных стандартов, как GLB, HIPAA, PCI, позволит успешно использовать решение коммерческим компаниям, организациям здравоохранения, банковским и государственным учреждениям.
Полный перечень требований, предъявляемых к решениям DLP, конечно, гораздо шире. Но соответствие приведенным выше критериям для любой современной DLP-системы обязательно.