Привет, Хабр. Продолжим знакомство с продуктами Киберпротекта. Сегодня обсудим продукт Кибер Протего - наше полнофункциональное DLP-решение корпоративного класса и посмотрим как он совместно с продуктом Кибер Файлы позволяет обеспечить безопасный обмен файлами.

Об утечке данных

Давайте обратимся к статистике, взятой из отчетов уважаемой в мире организации - Ponemon Institute & IBM Security. Так вот, 59% опрошенных компаний никак не использует концепцию ZeroTrust. Из них 83% организаций сталкивались с более чем одной утечкой данных, а 45% утечек данных произошли при использовании облачных технологий. По тому же источнику, 25 с лишним процентов утечек - это ошибки сотрудников, то есть непреднамеренные действия. На самом деле это очень большое значение: каждая четвертая реальная причина утечки данных - это человек и его ошибки. Возможно, в действиях сотрудника не было злого умысла, но по факту это означает, что используемая система безопасности имеет уязвимости - у сотрудников были технические возможности совершить эту самую ошибку. Интересна еще одна цифра: 90% опрошенных организаций чувствуют себя уязвимыми перед лицом инсайдерских угроз. Термин "инсайдер" здесь не несет какого-то негативного оттенка. Это просто сотрудник организации, имеющий доступ к данным, и его доступ к данным может быть вполне легитимным. Другой вопрос, что полагаться на осознанное поведение работников, на то что, они всегда думают о том, к чему приведет то или иное действие с данными, не приходится. Из 90% опрошенных организаций 53% отмечают, что подверглись атаке со стороны инсайдеров за последние 12 месяцев. И еще пара интересных фактов для полноты картины. 72% сотрудников делятся конфиденциальной или иной защищаемой информацией компании, а 35% сотрудников делились информацией, не подозревая, что это является нарушением

Отметим еще один момент. Как только данные покидают корпоративный периметр, и становятся доступны на личных устройствах или сетевых сервисах, не принадлежащих и не защищаемых компанией, можно считать что они по сути утекли, и уже не важно, станут ли они доступными другим лицам сегодня, через неделю, месяц или год. Ведь мы не сможем с уверенностью ответить на два важных вопроса: какие данные лежат в облаке и кто к ним получит доступ в тот или иной момент?

Поэтому крайне важно свести к минимуму возможность появления данных в неконтролируемой среде и организовать файловый обмен таким образом, чтобы файлы хранились внутри организации, под контролем.

Кибер Файлы - защита данных на уровне корпоративной инфраструктуры

В предыдущем обзоре нашего корпоративного решения для обмена файлами и синхронизации данных мы намеренно не углублялись в вопросы защиты данных. Раскроем эти возможности здесь. В продукте предусмотрены различные опциональные ограничения доступа, которые делятся на два типа - глобальные и локальные.

Глобальные ограничения задаются администратором и влияют на поведение всей системы. Например, ограничение доступа к системе на основании доменных групп или доменам электронной почты (для ограничения файлового обмена с партнерами), запрет формирования общедоступных ссылок на файлы и т.п.

Локальные ограничения распространяются на отдельных пользователей и существуют на уровне папок и файлов. Например, ограничение доступа к личным папкам для приглашаемых пользователей (только чтение/полный доступ/право на приглашение других участников) или ограничение доступа по времени - доступ к папке или файлу доступен в течение, например, 14 дней. Ниже перечислены глобальные и локальные ограничения, доступные в Кибер Файлах:

Глобальные ограничения

• Белые и чёрные списки доступа к системе для групп LDAP и доменов электронной почты

• Запрет общего доступа к отдельным файлам

• Запрет общедоступных ссылок на загрузку

• Запрет доступа незарегистрированным пользователям

• Ограничения срока доступа к общим файлам

• Запрет многоразовых ссылок на загрузку файлов

Локальные ограничения

• На уровне папок
  

  • Запрет изменения и удаления содержимого

  • Запрет на приглашение участников

  • Запрет на просмотр списка доступа к папке

  • Истекающий срок доступа к папке

• На уровне файлов
  

  • Доступ только пользователям Кибер Файлы

  • Доступ только пользователям, получившим приглашение

  • Истекающий срок действия ссылки

  • Одноразовые ссылки на загрузку

Все действия пользователей и администраторов, операции синхронизации и предоставления доступа регистрируются в журналах - это может быть полезно при ретроспективном анализе различных ситуаций и действий пользователя. Журналы могут быть отфильтрованы по событиям, пользователям и т.п., а также экспортированы в файлы формата CSV, TXT или XML. В ближайшей версии Кибер Файлов мы планируем реализовать передачу данных журналов на сервер другого нашего решения, предназначенного для предотвращения утечки информации. Сведение различных событий, связанных с информационными потоками в организации, включая обмен файлами через Кибер Файлы, позволит получать общую картину потоков данных внутри и вне организации в DLP-системе Кибер Протего.

Функциональные возможности DLP-системы Кибер Протего

Для решения задач по предотвращению утечки информации наша компания разрабатывает программный комплекс Кибер Протего. Он относится к классу DLP-систем (Data Loss Prevention) и представляет собой ИТ-решение, обеспечивающее выявление, отслеживание и предотвращение неавторизованного использования, хранения и перемещения данных ограниченного доступа и др., используемых в организации. Кибер Протего предоставляет множество возможностей по контролю данных, и с его помощью легко реализовать любую модель безопасности, включая актуальную концепцию Zero Trust. 

Основные функции DLP-решений

Ключевая задача любой DLP-системы, претендующей на звание полнофункциональной – автоматическое принятие решения (без участия человека) о возможности передачи данных на устройства, по сетевым каналам, вывода на устройства печати или хранения в различных типах хранилищ - от локального до сетевого и облачного. 

К основным функциям DLP-решений относятся: отслеживание перемещения данных, защита от утечки по сети и через устройства, обнаружение данных в хранилищах, мониторинг активности пользователя, расследование инцидентов, анализ лояльности и т.п. Отличия DLP-систем сводятся к тому, какое количество каналов передачи данных поддерживается, какие параметры могут учитываться для принятия решения по тому или иному каналу передачи данных, а самое главное - это возможные варианты реакции системы. Реакция на попытку передачи данных может быть пассивной или активной. Пассивная реакция - это мониторинг происходящего, протоколирование факта передачи данных, создание теневой копии этих данных, возможность оперативного информирования сотрудников отдела ИБ, запись момента нарушения. Активная реакция - это блокировка потока данных, попытки передачи данных, в случае, если происходит недопустимая попытка передачи данных чувствительного характера, что достигается через проверку свойств передаваемых данных и их содержимого.

Важно понимать, что наличие в продукте возможности блокировки передачи данных может понадобиться не сразу и не всем, но для того, чтобы система считалась полнофункциональной, блокировка в ней должна присутствовать, причем для широкого спектра каналов передачи данных, а не только для (например) почты. Это означает, что при выборе DLP-системы необходимо обращать внимание на наличие в ней как функций блокировки, так и функций мониторинга. В противном случае, когда вы решите перейти от пассивной модели защиты (а многие компании начинают именно с нее) к активной защите, может оказаться, что вам потребуется заменить систему. Как показывает практика, со временем почти все организации вводят ограничения на использование отдельных каналов либо сводят их число к минимуму, вводят контроль передаваемых данных по их содержимому. В Кибер Протего поддерживаются и активный, и пассивный варианты реакции на передачу данных. 

Кибер Протего, как полноценное DLP-решение, контролирует все виды устройств и интерфейсов, множество каналов сетевых коммуникаций и позволяет использовать технологии контентной фильтрации в режиме реального времени. Помимо этого, система предоставляет возможности детального мониторинга и событийного протоколирования, создания полных теневых копий передаваемых данных, позволяет вести запись экрана и клавиатурного ввода пользователей. Для повышения точности информирования и оперативности реакции служб ИБ реализована отправка тревожных оповещений в SIEM системы или на почту.

Также следует отметить функционал контроля хранимых данных (Discovery), позволяющий обеспечить выполнение корпоративной политики хранения данных.

Контроль операций с устройствами и интерфейсами

Кибер Протего позволяет реализовать защиту данных при операциях с устройствами и интерфейсами. На сегодняшний день количество поддерживаемых устройств самое большое на рынке. Самое простое, что позволяет сделать Кибер Протего - это разграничить права доступа к устройствам по пользователям, обеспечить предоставление доступа в зависимости от направления передачи данных. Например, разрешить чтение с флешек, но запретить запись. Далее - предоставление доступа в зависимости от конкретного устройства - т.н. "белые списки". Это может быть корпоративная флешка, токен определенной модели и многое другое. Еще один вариант - это предоставление доступа в зависимости от наличия шифрования на устройстве. Например, можно разрешить пользоваться только зашифрованными флешками, что гарантирует недоступность данных для сторонних лиц, нашедших такую флешку при их потере, или при пересылке. Кстати, такая модель часто практикуется при переносе файлов от проектировщиков на производство. Контроль устройств реализован на минимально возможном уровне системы, начиная с уровня драйверов или спулера печати для принтеров. Кстати, это означает, что Кибер Протего нет разницы, какой принтер используется, — локальный, сетевой или перенаправленный в терминальную сессию. 

В 10-й версии нашего продукта, выпущенного весной 2023, появилась поддержка ОС Linux, есть возможность разграничения прав доступа к USB и съемным устройствам хранения данных, реализованы белые списки, позволяющие разрешать точечно устройства для пользователей или групп, а так же детальное журналирование действий с этими устройствами. В ближайшей версии эти возможности будут расширены.

Контроль сетевых коммуникаций

Помимо устройств, также реализована защита данных в сетевых коммуникациях. В число контролируемых входят базовые протоколы передачи данных HTTP, FTP, почтовые проколы SMTP, IMAP, MAPI, IBM Lotus Notes, в 10-й версии добавлена поддержка протокола POP, различных мессенджеров, включая Telegram, WhatsApp, Skype, сервисы обмена файлами - Яндекс Диск, Dropbox, OneDrive и многие другие, а также социальные сети. Полный список можно посмотреть здесь.

Возможность разграничений для сетевых каналов реализована полностью аналогично тому контролю доступа к устройствам, но параметров для контроля намного больше. Например, контроль для большинства мессенджеров разделен на составляющие - можно разрешить переписку и звонки, но закрыть возможность передавать файлы, или разрешат передачу только после проверки содержимого файлов. 

Поддержка контроля файлового обмена в Кибер Файлах уже реализована и ниже мы опишем некоторые сценарии ее использования.

Для коммуникаций, защищенных SSL, поток данных расшифровывается "на лету" непосредственно DLP-агентом на уровне протокола с использованием технологии MITM. Как следствие, нет зависимости от используемого клиента. Это может быть любой браузер, любой почтовый или FTP-клиент. 

Для создания исключений предусмотрена функциональность "Белых списков", когда, например, можно разрешить отправку почту только на определенные адреса внутри домена, или в принципе разрешить внешние коммуникации только определенным пользователям, а для них в свою очередь сделать отдельные разрешающие правила, основанные на анализе содержимого. Да, это модель минимальных привилегий в чистом виде, в полном соответствии с Zero Trust. 

Помимо этого, встроенный базовый IP-файрволл позволяет запрещать или разрешать соединения, которые не относятся к списку распознаваемых. Например, с его помощью можно запрещать произвольные сетевые ресурсы или подключения TeamViewer. В ближайшей версии Кибер Протего также будет добавлена возможность контролировать сетевую активность определенных приложений, что позволит ограничить перечень приложений, имеющих доступ в сеть.

Контентный анализ и фильтрация

Не всегда для автоматического принятия решения системой достаточно контекстных параметров, связанных с передачей информации, т. е. информации о том, какой пользователь, какое устройство или протокол используется, какой тип файла передается, в какое время происходит передача. Для полноты проверки, для принятия качественного решения о разрешении или запрете передачи данных могут быть использованы технологии контентного анализа — проверки содержимого данных, и соответствующая фильтрация.

В Кибер Протего контентный анализ для принятия решения о предоставлении доступа выполняется непосредственно агентом, и, как следствие, не зависит от доступности сервера. Поддерживается извлечение данных из более чем 160 форматов файлов, в архивах любого уровня вложенности.

Проверка может выполняться по словарям с использованием морфологии. Для типизированных данных, которые не описываются словарями, но могут быть проанализированы математическим способом (например, адреса электронной почты или номера определенных форматов), предусмотрена проверка регулярными выражениями. В системе сразу предусмотрен как большой набор готовых словарей для разных отраслей, так и значительный набор встроенных шаблонов регулярных выражений, которые в случае необходимости можно модифицировать или создавать собственные. Встроенный (резидентный) OCR-модуль позволяет извлекать текст из графических изображений, причем содержащихся как в отдельных графических файлах, так и в архивах, документах. Наконец, наиболее сильная функциональная сторона контентного анализатора в Кибер Протего - анализ данных по их цифровым отпечаткам с поддержкой классификации.  

Как говорилось выше, полноценная DLP-система должна поддерживать и активный и пассивный сценарии работы. В ракурсе контентного анализа это означает, что его цель - автоматическое принятия системой решения: разрешить передачу, запретить ее или просто отправка оповещения и внесение записи в журнал. В активном сценарии это возможность запретить передачу данных непосредственно в момент их отправки (печати, сохранения) по результату проверки содержимого. Кстати, предусмотрена и другая возможность, так называемые "разрешающие правила", когда при запрете доступа к каналу в общем случае определенные данные все же можно передавать. Например, бланки договоров или заявлений - можно, заполненные - нельзя. В пассивном сценарии контентный анализ в Кибер Протего работает параллельно с процессом передачи данных, создавая теневые копии и записи о выявлении определенных данных для анализа постфактум, передавая результаты проверки в централизованный архив. Это означает также возможность исключения попадания в централизованный архив событий и теневых копий, не имеющих значения для расследования инцидентов и, что наиболее важно, личных данных и файлов сотрудников.   

Говоря о контентной фильтрации, как впрочем и о контроле устройств и сетевых коммуникаций, стоит отметить, что все политики хранятся у агента локально и применяются в зависимости от наличия подключения к корпоративной сети - можно настроить два набора политик, которые будут автоматически переключаться между режимами в зависимости от того, находится компьютер пользователя в корпоративной сети или за ее пределами. Это особенно актуально для мобильных сотрудников с ноутбуками, где чаще всего невозможно вести полноценный контроль сетевого трафика в условиях недоступности DLP-серверов. Кибер Протего такой болезнью не страдает, поскольку агенты от серверов не зависят и работают полностью самостоятельно во всех смыслах, включая проведение контентного анализа, при этом могут автоматически переключаться между двумя моделями безопасности. 

Мониторинг активности пользователей

Не всегда аккуратно записанные и сложенные в централизованный архив события и теневые копии позволяют полностью воссоздать картину инцидента. Для этого будет исключительно полезен так называемый мониторинг активности пользователей, реализованный в Кибер Протего в компоненте UAM. Он позволяет вести записи экрана и клавиатурного ввода пользователей, причем что важно, в отличие от других продуктов на рынке, такая запись может быть привязана к конкретным событиям (триггерам) или сработавшим правилам контентного анализа - то есть, по сути, зафиксированным нарушениям корпоративной политики безопасности. Сама видеозапись при этом может быть сформирована не только с момента фиксации нарушения, но и содержать все, что происходило на экране до него - так сказать, "время подготовки к нарушению". Собираемые таким образом данные могут быть полезны, например, при разборе того или иного инцидента, поскольку предоставляют «живую» доказательную базу, контекст инцидента, дополняя традиционные инструменты в распоряжении служб ИБ: записи журналов и теневые копии. Такой подход может дать ответы на ряд вопросов, например, откуда пользователь взял данные, попытка передачи которых была заблокирована или разрешена, был ли умысел на организацию утечки или случившееся – следствие недостатка информированности пользователя о политике предотвращения утечек данных в организации, и другие вопросы, связанные с контекстом вокруг того или иного инцидента.

Совместное использование Кибер Протего и Кибер Файлов

Выше мы отметили, что в Кибер Файлах реализованы глобальные и локальные ограничения доступа. Эти ограничения применимы к папкам и файлам целиком, вне зависимости от их содержимого. Очевидно, что в ряде сценариев такие ограничения не могут обеспечить необходимой гранулярности. Здесь на помощь приходит Кибер Протего с его возможностями контроля протоколов и контентного анализа. До полной интеграции между двумя продуктами предстоит еще много работы, но уже сегодня можно реализовать следующий сценарий: 

• запретить использование файлового обмена через публичные облачные файлообменники, при этом разрешить использование корпоративного сервиса Кибер Файлы;

• запретить передачу файлов с конфиденциальной информацией (например, номера банковских карт);

• при попытке передачи документа с конфиденциальным содержимым – уведомить пользователя о недопустимости таких операций;

• вести журналирование передаваемых файлов.

Для реализации такого сценария следует в Кибер Протего установить запрет доступа к всем сервисам файлового обмена, кроме Кибер Файлов (указываем адрес сервера, на котором развернут продукт), а также запрет на отправку файлов с указанной конфиденциальной информацией, используя шаблоны регулярных выражений. В момент попытки передачи на рабочей станции пользователя будет выполняться анализ содержимого передаваемого документа, текст (в явном виде, или полученный после OCR) проверяется. Если конфиденциальная информация найдена, передача документа блокируется. В журнале теневого копирования Кибер Протего сохраняются все файлы, которые пользователи отправили на Кибер Файлы, или пытались отправить при запрете передачи, также регистрируются соответствующие события.

Проверить описанный выше сценарий в действии вы можете, скачав полнофункциональные пробные версии Кибер Протего и Кибер Файлов с нашего веб-сайта. 

Кстати! Совсем недавно мы провели вебинар из серии «Резервный четверг», посвященный вышеописанным продуктам - Кибер Протего и Кибер Файлы, где рассказали о ключевых возможностях Кибер Протего и показали, как наши продукты могут использоваться совместно для обеспечения безопасного обмена файлами. Запись доступна здесь.