Вводное слово
Уважаемый читатель, добрый день!
Ранее, в этом году, я уже писал статью про DLP-системы (DLP (Data Loss Prevention) — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации).
Вот она (статья) (Название "Снова про выбор DLP-системы и нужен ли он (выбор)").
В одном из профессиональных сообществ обсуждали, что было бы интересно иметь на руках этапность (чек-лист, список вопросов) для внедрения (тестирования) DLP-системы.
"Книги пишутся из книг", но бегло поисках на просторах сети публикации по этапности внедрения, таковых на нашел (вернее нашел, но очень общими словами).
Поэтому предлагаю Вашему вниманию таблицу для внедрения (тестирования) DLP-системы:
№ |
Этап |
На какие вопросы ответить |
Пример из практики |
Риски |
1 |
2 |
3 |
4 |
5 |
0 |
Понимание, будем считать, что вы ответили на вопрос «ЗАЧЕМ» вам DLP (какие цели, задачи, метрики). |
Описывал этот этап в статье: Про выбор DLP также у меня есть рекомендации, но этот пункт здесь будет пропущен. |
Под примерами я в данном случае понимаю ответ на вопрос ЗАЧЕМ. Очень часто на конце истории два случая: 1) Мы купили DLP систему, поставили, почитаем переписку в мессенджерах. 2) Мы купили DLP систему, поставили, узнаем, кто планирует увольнение. На мой взгляд это отрицательный опыт. |
Неэффективная трата финансовых и временных ресурсов. |
1 |
Подготовка серверных мощностей и управление данными. |
1) Риски оценены и выбран локальные серверные мощности или облачные. 2) Ознакомились с рекомендациями производителя, поняли сервер какой мощности необходим, поняли какой фактор влияет на масштабируемость (часто это количество лицензий). 3) Осознаете, что для хранения перехваченных данных необходимо дисковое пространство. Пытаетесь понять: Дополнительные вопросы: Насколько вы хотите обезопасить сервер DLP? Назовите его иначе (не DLP), подумайте, может быть сервер «вытащить» на отдельный сервер в отдельное помещение. |
Два случая их практики: 1) Редкий случай, когда один из федеральных банков четко сказал, что мы хотим хранить все, что было отправлено на печать полгода, по статистике печати это величина X, требуемое качество одной перехваченной страницы Y – исходя из этих вводных посчитали дисковое пространство. 2) 15 лет назад установили DLP и сделали настройки на перехват всего. Так как это было одно из Министерств в период сдачи крупной отчетности и сканирования большого (действительно) большого количества документов, то СХД заполнилась за неделю. |
Ошибки при расчетах серверных мощностей могут свести эффективность работы DLP к минимуму (сервер рассчитан только на 20 пользователей, или дискового пространства хватает только на 2 месяца). |
2 |
По какой схеме устанавливается DLP. |
1) Какую схему вы выбираете? А) установка агентов. 2) Если выбрали агентов, то какой из классических трех режимов выбираете (видимый, заблокированный для удаления, скрытый из процессов). 3) Хотите ли вы отслеживать и управлять ресурсами конечного АРМ, на который установлен агент? |
1) Подключение к порту зеркалирования увеличивает нагрузку на коммутационное оборудование, на котором настроено зеркалирование. Были случаи, когда центральные коммутаторы на справлялись. 2) На этапах тестирования часто не продумываются детали настроек, что приводило к негативу сотрудников.
|
Вопросы, которые необходимо обсудить перед внедрением и даже перед тестированием любой DLP системы для успешности проекта. |
3 |
Подход к работе с сотрудниками и документирование процесса. |
Это частый этап для споров 2) Не оповещать. |
В большей степени на практике: 1) Не оповещают. 2) Подготавливают пакет ОРД, который косвенно говорит о системах. 3) Минимальное количество компаний сообщает о подобных системах, при этом качество и количество полученной информации не снижается. |
Репутационные и юридические. |
4 |
Под какими учетными записями установка. |
1) Важный вопрос, на которые Вам необходимо ответить это учетные записи для установки. Я рекомендую отдельную учетную запись. В случае AD отдельная доменная учетная запись с правами локального администратора. |
На практике часто было, когда одна УЗ (учетная запись) используется для всего. Например, администратор оставил как «костыль», чтобы настроить сетевую папку сотруднику, но каким-нибудь mimikatz мы узнаем этот сохраненный пароль. |
Риски непрерывности бизнес-процессов |
5 |
Этапность, очередность и лицензирование. |
1) Выбирайте группы для установки исходя их ваших ресурсов. Сначала 5, потом еще 5. 2) Может быть это и будет вашим способом контроля. Установка по очереди, а не одновременно на всех. 3) Подумайте над тем, что может быть, чтобы получить эффект от DLP или понимание того, что вы не готовы к этому инструменту хватит и пилотного этапа. |
На практике компании получали эффект на этапе пилотирования. |
Риски непрерывности бизнес-процессов. |
6 |
Частые ошибки. |
1) Продумайте все настройки, даже на этапе тестирования. 2) Изучите особенности работы бизнес-процессов сотрудников, на которых вы ставите агенты. 3) Отдельно заберите пользователей (программы) для работы, которых необходимы не подменяемые сертификаты (ЭП). 4) Следите за ресурсами и заявками пользователей (хотя бы первые 2 недели), на АРМ, которых поставили агентов. 5) Поймите самое важное, что любая DLP без продумывания четких политик (правила срабатывания) не имеет эффекта. Эти политики надо постоянно обновлять, пересматривать, работать над сработками политик. |
Обратите внимание на не подменяемые сертификаты. В случае, когда вы поставили перехват шифрованного трафика, то DLP система будем пытаться подменить сертификат ЭП, что приведет к ошибке. Таким образом, такие процессы как закупки с ЭП, банк-клиент и прочее будут парализованы. |
Аналогично пунктам 0-5. |