Способны ли системы защиты данных в покое решить проблему утечек информации?
Парфентьев
руководитель отдела аналитики "СёрчИнформ"
Защита данных от инсайдерских рисков – это работа в рамках одного из двух подходов:
- контроль каналов, по которым информация перемещается;
- мониторинг источников (т.е. тех мест, к которым обращаются за информацией).
Если простыми словами первый подход про то, чтобы предотвращать копирование данных на флешку, отправку по почте, т.е. когда дошло до дела. Второй – про предотвращение утечки или мошенничества еще "на подлете" – когда инсайдер только обратился к файлам или базам данных с опасными намерениями.
Как правильнее защищать данные?
Казалось бы, если есть возможность "подлетного" контроля, то так и нужно решать задачу. Часто это оказывается достаточным, решается с помощью систем двух классов: DCAP (мониторят файловые системы) и DAM (мониторят действия с базами данных). Обе программы выполняют функцию защиты так называемых "данных в покое".
Вот такой пример для иллюстрации подхода я обнаружил в российской судебной практике. К сотруднику УФМС по одной из российских областей обратился знакомый, который попросил скрыть информацию о двух правонарушениях в своем досье в базе данных "Мигрант". Работник знал, что это можно сделать удаленно, подключился к базе из дома и заблокировал необходимые данные. За это получил вознаграждение 5000 рублей.
Чтобы предотвратить этот инцидент, достаточно было увидеть, что сотрудник обращается к базе данных и производит в ней противоправное действие. С этим помогло бы DAM-решение.
А вот пример, как DCAP-система выявила мошенничество. Это кейс нашего заказчика. "СёрчИнформ FileAuditor" выявил компьютеры нескольких сотрудников, на которых хранились прайс-листы, где помимо отпускных цен значились и закупочные. Это конфиденциальная информация, распространять ее бесконтрольно даже внутри компании запрещено, тем более за пределы. Если клиенты узнают закупочные цены, они будут вооружены аргументами и смогут отстаивать максимальные скидки. Для продавца это упущенная прибыль.
Визуально прайс выглядел обычно, так как столбец с ценами был набран белым шрифтом. Но FileAuditor указывал, что закупочные цены в документе точно содержатся. ИБ-специалист заподозрил мошенничество, продолжил расследование с помощью DLP-системы и узнал, что сотрудники пересылали эти прайс-листы внешним адресатам. Дальнейшее расследование подтвердило догадки, что продавцы и покупатели были в сговоре. План был классический: менеджер продавца согласовывал для покупателя большой дисконт – под разными предлогами. Разницу представитель покупателя обещал частично "вернуть" менеджеру продавца, который скидку и согласовывал. В итоге менеджер и покупатель были "в плюсе", а вот компания-продавец теряла прибыль. Выявлять это нарушение сложно, ущерб может исчисляться тысячами и миллионами – в зависимости от размеров бизнеса.
Получается, контроль источников информации позволяет ИБ-специалисту обнаружить инцидент на самом раннем этапе – намерений, а не разбираться с его последствиями. Но один лишь такой контроль не позволяет провести более подробное расследование, собрать доказательства инцидента и, главное, сделать выводы на будущее, чтобы инцидент не повторялся. В данном кейсе ИБ-специалист ужесточил политику безопасности в DLP о пересылке документов с закупочными ценами.
Так какой подход в защите данных правильнее? Комплексный. Не все можно решить одной DLP (мониторингом каналов передачи данных). Но не все решается и контролем источников. Зато применяемые вместе эти подходы дают супер-эффект. DCAP-система видит признак нарушения, DLP – собирает доказательства и позволяет сделать выводы, как изменить бизнес-процесс и сделать его более прозрачным.
Что такое DCAP и DAM
Пока в организациях чаще реализована защита данных на уровне каналов с помощью DLP-систем. Для российского рынка это давно известный продукт, обкатанный во всех отраслях, а потому уже зрелый.
Ситуация с DCAP- и DAM-решениям другая. Существование этих программ для рынка не новость, но все же применяются они реже и преимущественно в банках и телекоме. Там давно осознали, что без специальных программ проблему мошенничества с информацией не предотвратить. Но когда-то и антивирусы были программой не для всех, а сейчас их функции "вшиты" в операционки и браузеры.
Так же произойдет и с контролем данных в покое. Массовое распространение DCAP- и DAM-решений уже начинается, потому что появляются удобные в применении отечественные продукты. В прошлом году мы выпустили FileAuditor и решение стало первым отечественным решением в своем классе.
FileAuditor помогает разобраться:
- Какие документы содержат критичную для бизнеса информацию?
- Сколько в компании таких данных и где они находятся?
- Кто имеет к ним доступ и может их редактировать?
Такие задачи могут стоять и перед ИТ-службой компании: DCAP спасает от бардака в файловой системе, потому что каждому документу присваивается категория ("договоры", "прайсы", "персональные данные", "исследования" и т. д.). Не главная, но полезная функция программ этого класса – теневое копирование документов, что позволяет без проблем восстановить их, если что-то случится. Но в первую очередь программа – инструмент ИБ-специалистов.
Вот как выглядит логика работы FileAuditor:
- Находит файл.
- Проверяет его по правилам и делает служебную метку (персданные, договор и т. д.).
- При необходимости копирует файл в хранилище.
- Логирует все действия с файлами и папками.
- Вычитывает права доступа для файлов и папок.
- При последующих проверках система сканирует только измененные и вновь добавленные файлы.
В этом году мы выпустили и свое DAM-решение для мониторинга баз данных – "СёрчИнформ DataBase Monitor". Задача у него насущная, так как БД – это главный информационный актив бизнесов. Мошенникам интересен и весь массив, и точечный доступ к отдельным данным. DAM-система позволяет справиться с этой угрозой, например, наш DataBase Monitor фиксирует:
- Кто обращается к базам данных и с какой целью?
- Какую информацию выгружают из баз данных и в каком объеме?
- Какие изменения пользователи вносят в базы данных?
Оба решения быстро приобретают поклонников в самых разных отраслях. Мы уже скопили десятки кейсов применения и описали их в "белых книгах",