Вводное слово
Уважаемый читатель, добрый день!
Для меня публикация статьи на Хабре было закрытием гештальта.
Поэтому решил написать третью статью - и баста (данная статья под номером 3).
Выбрал для себя написать про DLP-системы (DLP (Data Loss Prevention) — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации). Почему? Мне казалось, что тема настолько стара и неактуальна, что уже и говорить нечего, но в различных профильных чатах, все чаще
и чаще поднимается вопрос о том, какую же DLP-систему выбрать (стараюсь не вступать в эти переговоры).
Почему я могу говорить на эту тему?
Знаю около 30 DLP систем, около 15 активно тестировал, трем обучал администраторов в различных организациях, около 30 внедрений в организации и гораздо большее число пилотных проектов, которые оканчивались выбором другого продукта, но, и самое главное, я сам был активным пользователем DLP на стороне Заказчика и аудитора, давая результат!
Когда организация задумалась над необходимостью DLP-системы, самый первый вопрос, который стоит еще раз задать "ЗАЧЕМ?!"
Какую задачу Вы хотите решить при помощи DLP?
Здесь я обычно рассказываю две истории.
История №1.
Эта история еще студенческих времен, но дало мне пищу для размышлений.
В одной компании (в тридевятом царстве) также решили "побежать" в сторону DLP. Однако, руководителем ИБ был очень компетентный и волевой сотрудник, он определил, после общения с заинтересованными сторонами, что в организации видят как самый главный риск (задачу) - контроль переписки в Skype. Им было принято решение - под локальным доменным администратором, собирать файл переписки Skype, самостоятельно написал "читалку" под этот формат и анализировать ее (переписку со всех АРМ) по ключевым словам.
Руководство это устроило.
История №2.
Это скорее тенденция. Когда организация в начале не ответила на вопрос "ЗАЧЕМ", я часто наблюдал, что далее функционал сводился к чтению переписок в мессенджерах.
Смотреть историю №1.
Поверьте, DLP это не волшебная коробка, это инструмент, а задачи, которые вы хотели получить, возможно, можно реализовать и другими средствами (и это достаточно часто). При этом я не только про технические средства, но и про талант и задачи непосредственных руководителей.
Предположим, что на вопрос "ЗАЧЕМ" ответили, теперь "КАК".
Что я понимаю, под как?
Будете внедрять DLP тайно или сообщите об этом сотрудникам? Не хочу впадать в "холивар" про юридические вопросы.
Но из своего опыта скажу, что все "сливки" вы снимете и на пилотировании продуктов, а далее можно и сообщить об этом сотрудникам.
Первый месяц сотрудники будут держать себя в руках, затем перестанут.-
По какой схеме? У DLP есть 2 основные схемы подключения (кто-то придет и в комментариях напишет, что есть другие. Да, есть).
Подключение к порту зеркалирования (у циски это SPAN-порт, например) и использование агентов.
Давайте сразу скажу, что подключение к порту зеркалирования мало, что вам даст для анализа, поэтому переходите сразу на историю с агентами.Ремарка: зеркалирование трафика может не оценить ваше коммутационное оборудование.
Сколько и что вы хотите хранить?! Этим вопросом многие часто не задаются, затем страдают.
На моей практике только с одним клиентом мы сработали четко. Они сразу сообщили, что хотят хранить напечатанные документы 6 месяцев. Мы посчитали объем
напечатанных документов и умножили на среднее качество одного листа - получили требования к СХД.
Вы можете меня вернуть к моим же словам и будете правы. Мы далее с ними рассматривали и вовсе не DLP.Политики, какие политики вы уже сейчас готовы разработать для работы. Под политиками я имею ввиду набор правил контроля.
Этот вопрос коррелируется с вопросом "ЗАЧЕМ".
"Лопатить" руками, глазами весь этот объем информации это нереально. Хотя...хотя я знаю компании, которые имели в штате человек 10 этим заниматься.
Здесь у меня есть годами наработанные лайфхаки. Внимание - делюсь!!!Во многих DLP есть так называемые статистические правила. То есть, политика, которая показывает, кто напечатал более 1000 страниц в день или отправил более
1000 сообщений в день в мессенджере, таким образом правила через статистику и конкретное число.
Методично выставляйте критичные значения и отслеживайте.
Например, политика, которая показывает более 100 файлов на съемный носитель - 90% вероятности сотрудник готовится к увольнению. И не понимает, что он уже покушается на интеллектуальные активы предприятия.Очень часто задачи ИБ и ЭБ идут далеко друг от друга. DLP легко это совместит. Как?
Лично я не вижу ничего плохого, когда у сотрудника есть свой бизнес, но вопрос опять-таки в границах дозволенного.
Сотрудник экономической безопасности предоставляет сотруднику информационной безопасности перечень ИНН и названия юрлиц сотрудников, а он на основании данной информации создает политики для отслеживания.
И если сотрудник, например, начинает печатать счета по своему ЮЛ - ждите алертов.
В целом, во многих DLP есть предустановленные отчеты и политики - вам в помощь. Например, отслеживание архивов с паролем, передачу кредитных карт по регулярным выражениям, поиск работы и т.д.Вы планируете блокировать потоки информации или отслеживать и выявлять?
Опять же здесь мое личное убеждение, что на блокировку и на создание политик по блокировкам требуется еще больше ресурсов и времени (зачастую и понимание отсутствует).
Например, в одном эксель файле будем список для салатов на Новый Год, в другом спецификация в таком же формате. Чтобы не плодить много пунктов классическая ситуация, вы включили контроль шифрованного трафика (как правило DLP подменят сертификат), но такие сертификаты как для системы банк-клиент, закупок являются неподменяемыми, в итоге конфликт и бизнес-процесс встал (яркий пример отсутствия предварительного анализа).И наконец, последний "КАК". Есть у вас сотрудник, которому вы готовы доверить такой инструмент? доверяете его моральным принципам?
Поверьте вопрос важный. Примеры приводить не буду.
Идем дальше. ЗАЧЕМ и КАК ответили.
ЧТО выбрать?
Последние годы внедряю одну DLP, но я не собираюсь статью превращать в рекламу. Но это тоже связано с тем, и на чем я акцентирую внимание, что DLP это инструмент. Например, я могу развернуть систему за 5 минут и оперативно набросать политики.
Поэтому когда речь идет до конкретного выбора, то обратите внимание на следующие пункты-шаги.
Выбор делайте только после пилота. Берите 2-3 месяца на объем АРМ, минимум 30%. Кстати, и это нормально, может быть после таких пилотов вы поймете, что Вам не нужна покупка. Но вам хватит раз в год 2 месяца устанавливать подобную систему.
Поверьте, сейчас все DLP системы похожи. Поэтому аналитическим путем выберите (ограничьте себя) 3-4 системы для пилотирования (пилотировать все - зайдете в тупик). Сразу выкиньте из головы таблицы сравнения, ничего хорошего они вам не покажут. Сравните: технические требования к "железу" и ПО, возможность интеграции с AD (да, есть такие, которые не поддерживают), наличие OCR, стоимость приобретения, стоимость владения, наличие сертификата ФСТЭК (опция), простоту использования и разворачивания (здесь только по ключевым вопросам таким как, сколько по времени занимает базовое разворачивание и настройка, заранее посмотреть консоль управления (может быть не одна удобная консоль, но три и более).
Уже во время пилотирования проверьте:
3) Позволяет ли система сохранять настройки, чтобы потом загрузить их во вновь установленную систему (это к пункту 1, если вы поймете, что DLP нужна Вам небольшой интервал в год).
Позволяет ли система быстро и без ошибок удалять агента на одной партии АРМ и устанавливать на другой партии (в рамках экономии лицензий). Позволяет ли система приобретать лицензии помодульно.
4) Есть ли локальное хранилище данных, то есть когда компьютер не в сети (создает теневую папку), но передаст всю информацию при подключении.
5) Позволяет скрыть работу системы из процессов.
6) Можете поиграться качеством перехвата кейлоггера (через виртуальную клавиатуру).
7) Отслеживает ли система структуру файла, а не его расширение. То есть, когда сотрудник изменил расширение файла или убрал расширение, но система все-равно поставит его на контроль (например, какой-нибудь чертеж).
8) Я действительно рекомендую проверить насколько система сложна для обучения сотрудников, далеких от ИТ (соответственно инструкции и руководство на русском языке).
Если добивать количество пунктов до 10, то я бы также проверил:
9) Позволяет ли система работать в терминальном режиме и имеет ли разграничение прав доступа (например, поставили на один АРМ без сети под правами администратора, затем получили информацию - такие кейсы были для контроля электронных весовых и учета электричества на удаленных объектов).
10) Советую обратиться к интегратору или (и) производителю с возможностью пообщаться с клиентом, у которого система уже функционирует.
Завершение
Для меня в этом статье даже более важны мысли, которые я описал в вопросах ЗАЧЕМ и КАК.
Тезисно постарался описать и основные моменты в категории "ЧТО".
Важно понимать, что DLP это не волшебная коробка, а будет работать как комплексный элемент защиты и только так.
Например, какой смысл в агенте, если сотрудник имеет права локального администратора?
Зачем требовать от функционала DLP, например, блокировку облачных хранилищ, когда разумнее и адекватнее закрыть их (доступ в облачные хранилища) другими способами.
Надеюсь, данный очерк будет Вам полезен.
Комментарии (7)
mamontovss
25.03.2024 23:13Как решать проблему когда канал передачи информации заблокировать нельзя, потому что он нужен для работы, а если его начать контролировать то количество легитимных событий среди которых может быть злонамеренное очень много, например копирование в буфер обмена, запретить копирование не можем, а контролировать нереально, потому что операций много, как быть? Могут ли в этом случае помочь DLP системы?
DorofeevVladimir Автор
25.03.2024 23:13В целом я как раз про то, что контролировать все нереально, DLP должна быть в комплексе с другими системами. Например, закрыли трафик на 9 мессенджерах, оставили один легитимный. Может быть есть конкретные кейсы?
mamontovss
25.03.2024 23:13Если развить тему про мессенджеры, допустим оставили мы один легитимный мессенджер, как нам опять же поможет DLP система? Только в плане фиксации всего того что загружается в этот мессенджер? как из этого потока выявлять то что не должно было загружаться - только ключевые слова и метки на документах? А если документ новый , а по ключевым словам DLP не отработает потому что слова слишком общие и уникальные например цифры
chieftain_yu
25.03.2024 23:13Развитая DLP-система умеет работать с содержимым документов и OCRить изображения. А также работать с архивами, в том числе - вложенными.
Соответственно - если документ не шифрован, то его текст проверяется по написанным администратором правилам.
И если, скажем, настроено правило на некое ключевое слово/или некий текст, соответствующий регулярному выражению, последовательность цифр, соответствующая некой схеме (например, 16 цифр, из которых последняя совпадает с контрольной суммой, если считать ее по правилам нумерации банковских карт), то вызывается сработка - и предпринимаются те или иные действия (например, оповещается безопасник, делается снимок экрана и передача блокируется до явного разрешения безопасника).
Обычно это достаточно гибкий инструмент, который настраивается под нужную задачу.
mamontovss
25.03.2024 23:13понятно что так можно делать, но насколько это эффективно? Реально ли подобрать такие ключевые слова чтобы не было ложных срабатываний? "Обычно это достаточно гибкий инструмент" - вся гибкость сводится к фильтрации по ключевым словам и заранее проставленным меткам
dyadyaSerezha
Раз уж есть "вводное слово", то неплохо было бы расшифровать DLP, потому что у меня сразу возникает digital light processing, а гуглить я не полезу принципиально.
DorofeevVladimir Автор
Академически вы правы, благодарю.