Цель и задачи проекта
Основной целью проекта было повешение уровня безопасности бизнес-процессов компании путем внедрения системы контроля над информационными потоками.
Задачи проекта, решаемые внедрением DLP-системы:
- Мониторинг и предотвращение утечек за пределы организации конфиденциальной информации: коммерческой тайны, персональных данных, объектов интеллектуальной собственности и т.д.
- Предоставление инструментария для расследования инцидентов: создание архива передаваемой информации с возможностью последующего ретроспективного поиска.
- Своевременное выявление инсайдеров: мониторинг подозрительных действий пользователей.
- Оптимизация использования корпоративных информационных ресурсов: пресечение использования ресурсов в личных целях.
Подход к выполнению проекта
Внедрение DLP-системы на территориально-распределенной корпоративной сети холдинга являлось достаточно сложной с технической и организационной стороны задачей. Необходимо было учесть, что DLP-система должна быть абсолютно «прозрачной» для уже существующих корпоративных информационных систем и не допускать даже временного блокирования или замедления налаженных бизнес-процессов. Кроме того, ее внедрение должно пройти незаметно для рядовых пользователей.
Таким образом, было принято решение о поэтапном внедрении DLP-системы в офисах компании и постепенном наращивании ее функционала.
Реализация проекта
1 Этап: Мониторинг и архивирование корпоративной электронной почты в головном офисе
Содержание
В головном офисе холдинга была инсталлирована DLP-система в составе:
- модуль съема информации на скорости 1 Гбит/с;
- модуль взаимодействия;
- модуль анализа;
- модуль хранения информации;
- АРМ аналитика.
Кроме того, был установлен специальный Plugin на корпоративный почтовый сервер.
Совместно со службой безопасности холдинга, учитывая специфику бизнеса, был настроен Рубрикатор – иерархическое дерево искомых тем для морфологического анализ
текста. В соответствии с корпоративной политикой безопасности, а также с локальным нормативным актом о коммерческой тайне и конфиденциальной информации в Рубрикаторе были настроены соответствующие правила поиска и анализа информации.
В процессе первых месяцев работы Рубрикатор итеративно изменялся и дополнялся для получения требуемого уровня точности детектируемой критичной информации. Параллельно проводилось работа по достижению уровней ошибок 1 и 2 рода, удовлетворяющих заказчика.
Результаты
Удалось выявить доступность некоторых конфиденциальных документов сотрудникам, формально не имеющим к ним доступа (детектирование и анализ документов во вложениях к электронным письмам). По результатам проведенного расследования были скорректированы некоторые параметры корпоративной политики информационной безопасности в части хранения конфиденциальных документов и разграничения доступа к ним.
2 Этап: Мониторинг трафика по протоколу FTP
Содержание
В DLP-систему добавлен модуль декодирования информации.
Результаты
- Выявлены факты размещения конфиденциальной информации на не предназначенных для этого корпоративных FTP-ресурсах.
- Обнаружено дублирование больших объемов информации (фото, видео, архивы) одновременно на нескольких ресурсах.
Скорректированы полномочия по размещению информации на сетевых ресурсах. Проведена реконфигурация сетевой инфраструктуры для исключения дублирования больших объемов информации в результате чего оптимизировалось свободное место в системе хранения данных.
3 Этап: Мониторинг трафика по протоколу http
Содержание
Установлен Plugin на корпоративный прокси-сервер, позволяющий контролировать get и post запросы, а таже «вскрывать» https трафик. В соответствии с задачами службы безопасности и ТОП-менеджмента компании настроен Рубрикатор на мониторинг определенной информации.
Результаты
- Оценен объем просматриваемой персоналом компании информации, не относящейся к рабочим тематикам (блоги, форумы, развлекательные и новостные сайты). Сделан вывод о том, что процент такого трафика крайне мал и находится в пределах допустимой нормы.
- Выявлен ряд лиц, регулярно просматривающих в Интернете большой объем информации, формально не входящей в сферу их компетенций и интересов. Сотрудники взяты на контроль службой безопасности.
- Обнаружены сотрудники, интересующиеся информацией о конкурентах и компроматом на собственную компанию. В их отношении проведены необходимые мероприятия.
4 Этап: Ретроспективный анализ архива
Содержание
В продукт добавлен модульr, позволяющий проводить повторный анализ по всему накопленному архиву трафика.
Результаты
В рамках реструктуризации группы компаний в определенный период проводились массовые сокращения, переводы на новые должности и изменения функционала сотрудников.
Был настроен новый Рубрикатор, который позволял проводит поиск информации по конкретным сотрудникам.
Проведение полного ретроспективного анализа накопленной информации по новым правилам поиска позволило выявить внеслужебные интересы, нелегитимные рабочие контакты и иные подозрительные факты в работе планируемых к сокращению или перемещению на другую должность сотрудников.
Грамотное использование полученной информации позволило пересмотреть некоторые кадровые решения в ту или иную сторону и существенно снизить риски негативных последствий проведения организационно-штатной реформы.
5 Этап: Внедрение системы в удаленных офисах
Содержание
Опробованные в головном офисе решения согласно календарному плану постепенно внедрялись во всех территориальных офисах группы компаний.
Результаты
Благодаря гибким возможностям по масштабированию DLP-системы удалось полномасштабно внедрить ее на всей информационно-телекоммуникационной сети заказчика, включающей в себя 10 удаленных офисов, 160 юридических лиц, 4500 человек.
Были установлены модули съема информации на все имеющиеся в офисах внешние каналы связи. Управление системой реализовано из единого центра мониторинга и контроля в головном офисе компании. При этом при пропадании связи между офисами, установленная в удаленном подразделении система продолжает работать автономно в соответствии с заданными политиками.
Резюме
Внедрение DLP-системы в холдинге повысило уровень защищенности бизнеса и позволило существенно снизить экономические, репутационные и иные риски, в том числе при проведении масштабной реструктуризации компании.
Комментарии (16)
saipr
15.08.2018 22:22+1Кто-то где-то внедрил нечто
Не утерпел, расскажу пару сдучаев из практике, свидетелем которых я был.
В первом случае в одной из госкорпораций пришел новый сотрудник и решил навести порядок в доступе к интернету, настроил по своему разумению межсетевой экран. Что тут началось, звонки где интернет — ответ интернет есть, но мы не видим ни одного аналитического сайта. Догадались? Этот сотрудник в силу своей испорченности посчитал, что надо запретить запросы, имеющие в корень "анал". Ему и в голову не пришло, что это прежде всего аналитика, а уж потом… С этого дня он больше в корпорации не числился
Второй случай произошел в Альметьевске. Там начальник (не помню как правильно называлась должность) службы информационной безопасности хвастался какую крутую штуку он купил (не буду называть) и что теперь ни одно "нехорошее письмо" не пройдет через нее. Я его спросил, а кто решает что и как? Я, — был гордый ответ. И в этот момент раздался звонок. Звонил вице-президент и спрашивал, в чем дело, ему как два дня отправили письмо, а он его до сих пор не получил. Надо было видеть этого человека. Спасло его то, что он нашел его в папке отбракованных писем. Его не уволили, но руки дрожали еще долго.
Были установлены модули съема информации
Так что с этим надо быть осторожным
voron289 Автор
16.08.2018 12:58Безусловно. DLP — серьезный инструмент и в кривых руках ущерб от него может быть катастрофический.
У меня тоже есть интересные конкретные кейсы из практики внедрения DLP.
Постараюсь сделать из них отдельную публикацию…
Stas911
16.08.2018 00:07Особенно смешно было, когда в начале 2010х на одной из работ с параноидальной политикой безопасности и отключенными USB при подключении для зарядки телефона случайно обнаружил, что он вполне себе виделся виндой как медиаустройство, на которое в принципе можно было кинуть любые файлы с компа. Правда закрыли быстро дыру эту.
voron289 Автор
16.08.2018 13:20Конкретно в нашей системе мы имели возможность блокировать USB на передачу данных, но при этом оставлять порт активным в плане электричества. Не знаю, как более «инженерно» выразится…
То есть при подключении телефона он определялся в виндах как диск, но при клике на него ничего не происходило. Зарядка телефона при этом осуществлялась.gecube
16.08.2018 15:10К DLP это отношения не имеет, а имеет скорее к политикам GPO.
Но это снижает эффективность работы порой в разы.
k3NGuru
16.08.2018 06:31А что за DLP система, конечно же секрет?
labyrinth
16.08.2018 08:37Ставлю на Infowatch. Рубрикатор — очень характерное для них словечко.
ПруфДля создания БКФ сначала нужно составить ее структуру – рубрикатор или дерево контентных категорий. Такое дерево представляет собой иерархический список с категориями и под-категориями. Источникvoron289 Автор
16.08.2018 13:26Мало каналов — потому что кейс достаточно «старый». Новые каналы контроля появлялись как функциональность в продукте буквально каждый месяц.
И да, мы придумали Рубрикатор задолго до появления первого релиза Infowatch.
voron289 Автор
16.08.2018 13:25Ну не корректно было бы упоминать название, я давно не работаю в этом вендоре. Статья изначально задумывалась как эссе, сделана на базе написанной мной же «Истории успеха», когда я еще был продактом этой системы. Там естественно были все названия.
mishutka90
16.08.2018 07:11На MicroOLAP Ethersensor вроде похоже.
voron289 Автор
16.08.2018 13:27О такой я вообще не слышал… Но я уже не слежу пристально за этим рынком. Переключился на криптографию.
perlestius
17.08.2018 09:08Основной целью проекта было повешение уровня безопасности бизнес-процессов компании
Забавно звучит
zxweed
17.08.2018 12:29Обнаружены сотрудники, интересующиеся информацией о конкурентах и компроматом на собственную компанию. В их отношении проведены необходимые мероприятия.
этой какие, например? палкой их? за чтение статей, найденных по слову %companyname%?
ildarz
Крайне любопытная история. Кто-то где-то внедрил нечто, выявил ряд проблем и провел соответствующие мероприятия. Несомненно, любой читатель хабра найдет для себя в этой подробнейшей статье массу интересных деталей.