Эффективная DLP в эпоху перемен
«Чтоб вам жить в эпоху перемен!» — проклинали древние китайцы своих недругов. Не потому, что перемены — это обязательно плохо, а потому, что успех в такую «интересную эпоху» требует колоссальных усилий по изменению самого себя.
Мы это прочувствовали. Гаджеты, выпущенные пару лет назад, теряют половину своей стоимости, ибо «древняя модель». Как-будто из ниоткуда появились новые компании, захватив «голубые океаны» и став транснациональными корпорациями. Постоянно приходится повышать свою квалификацию, чтобы оставаться в тренде. Чтобы преуспевать, приходится меняться.
В изменчивом мире мы защищаем то, что представляет «коммерческую ценность в силу неизвестности третьим лицам» и интересы клиентов и партнёров. В этом нам должны помочь системы предотвращения утечек информации (DLP — Data Leak Prevention). DLP-система — инструмент, который не работает «из коробки» и требует длительной «тонкой» настройки:
- мы должны знать, что именно защищать при помощи DLP-системы (сформировать перечень конфиденциальной информации);
- научить систему различать конфиденциальную информацию в потоке трафика;
- научить систему отличать, когда конфиденциальная информация отправляется «вовне» легитимно.
Причём эта настройка в успешной организации на самом деле не длительная, а непрерывная, в силу постоянных изменений, о которых мы говорили выше. В крупных компаниях (десятки тысяч работников) изменений столь много, что настройка за ними не успевает. Она не тривиальна, требует проб и ошибок. Отсюда — ИТ-риски установки DLP-системы «в разрыв» (в режим блокировки), которые риски возникают на этапе настройки системы (а она идёт постоянно). Но даже при корректной и точной настройке правила с первого раза (чтобы система не срабатывала ошибочно, блокируя безобидные письма) есть вероятность, что система не справится с множеством правил в политике, помноженным на огромный объём трафика, и «упадёт».
Кроме того, т. к. настройка не успевает за изменениями, мы рискуем пропустить утечку конфиденциальной информации — нужное правило не было настроено в момент утечки. Поэтому важно хранить архив перехваченной информации, что позволит проводить её ретроспективный анализ. Это противоречит концепции «западных» DLP, когда хранится только та информация, на которую DLP-система сработала.
Еще одна головная боль, вызываемая переменами – новые технологии передачи данных. Проблема, над которой постоянно работают вендоры DLP-систем. Нет гарантий, что Google завтра не изменит протокол загрузки данных в свое облако на более безопасный, и не распознаваемый DLP-системой, что Microsoft не внедрит в Skype дополнительную фичу и при звонке не будет модулировать голос собеседников, чтобы стеганографически передавать дополнительную информацию… В борьбе за клиента ИТ-компании тоже меняются и меняют свои продукты, а DLP-вендоры за ними не всегда успевают.
Если вам доведётся работать с DLP-системой в большой и динамичной компании, то резонными будут вопросы, как все изменения отслеживать? Как получать информацию от сотен тысяч человек, инициирующих, прорабатывающих, апробирующих изменения?
КАК ВООБЩЕ НАЧАТЬ НАСТРОЙКУ DLP-СИСТЕМЫ?
Ниже приведены подходы, которые позволят произвести базовую настройку DLP-системы без взаимодействия с другими структурными подразделениями, отслеживать изменения и адаптировать под них DLP. Прежде чем приступать к использованию этих подходов, мы рекомендуем отключить преднастроенные правила реагирования, которые установил производитель — они будут нам мешать, а также не использовать режим блокировки до тех пор, пока правила не будут отточены (с учётом нагрузки), а бизнес не примет риски установки «в разрыв».
Несмотря на непрерывность изменений, некоторые вещи меняются медленно. Один из жёстких признаков конфиденциальности документа, которому уже не один десяток лет, — его гриф. Реагирование на определённый гриф («Для служебного пользования», «Коммерческая тайна»…) — самый простой по настройке механизм выявления утечек (метод «стоп-слов»). Если такой документ однажды попадёт к нам в систему, мы поймаем его по грифу. Мы скоро увидим, что по этим «стоп-словам» ловится много того, что ловить бы не хотелось: дисклеймеры в подписях контрагентов в переписке, драфты договоров (в которые включён пункт о конфиденциальности с указанием грифов), художественная литература… Но среди всего этого многообразия, если у нас в организации документы грифуются, обнаружатся и настоящие утечки.
Такой инцидент даст нам новый материал для настройки DLP-системы. У нас появится документ, на основании которого мы сможем ловить «похожие» и уже даже без грифа (на случай, если пользователь забудет его проставить или нарушитель не забудет удалить). Детектирование в трафике «похожих» документов называется технологией цифровых отпечатков. Ловить точно такие же документы — редкая задача, поэтому настраивается степень «похожести». Работает это примерно так:
- защищаемый документ (файл) разбивается на блоки, с каждого из которых снимается хэш (конкретные алгоритмы различаются, некоторые даже запатентованы);
- файлы в трафике хэшируются по тому же алгоритму;
- при совпадении определённого числа хэшей с хэшами защищаемого документа происходит срабатывание.
В один или несколько блоков может попасть не интересная с точки зрения защиты информация, что приведёт к ложным срабатываниям (чем ниже порог «похожести», тем больше). В то же время высокий порог «похожести» приведёт к тому, что мы не сможем обнаружить незначительное изменение части документа, которая имеет ценность.
Эти «жёсткие правила» («стоп-слова» и цифровые отпечатки) просты в настройке, но их легко обойти. И в условиях постоянных изменений они быстро теряют свою актуальность. Тем не менее, они позволяют нам получать заказы от бизнеса (каждый работник становится нашим потенциальным заказчиком: заказ он оформляет в виде надписи на документе, сигнализируя нам (и DLP-системе), что информация в нём требует защиты). Благодаря таким заказам постепенно у нас соберётся репозиторий конфиденциальных документов, и их нужно будет классифицировать. В основу классификации рекомендуем заложить «Перечень конфиденциальной информации» — к какому пункту «Перечня…» относится этот документ.
«ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ» — ВАЖНОЕ УСЛОВИЕ ЭФФЕКТИВНОЙ РАБОТЫ DLP
Скорее всего, в этом перечне будут указания на некоторые формы документов. В «Перечне конфиденциальной информации», который даёт Центробанк в своих рекомендациях[1], например, содержатся такие пункты:
- организационно-распорядительные акты (приказы, распоряжения) организации БС РФ;
- информация об организационно-штатной структуре и её изменениях.
Заметим, что во многих приказах встречаются слова (фразы): «приказ», «приказываю», «в целях», «контроль за исполнением», «утвердить», обеспечить», «выполнить» и т. д. А для «информации об организационно-штатной структуре…» характерны слова (фразы): «должность (специальность, профессия), разряд, класс», «штат в количестве», «тарифная ставка (оклад)», «надбавки, руб.» и т. п. Поиск по этим словам и фразам позволит пополнить нам примеры документов, подпадающие под те или иные пункты перечня. Возможно, сразу обнаружить утечки.
В дальнейшем на основании множества документов, подпадающих под один и тот же пункт «Перечня конфиденциальной информации», мы сформируем при помощи «весов» более мягкие и точные правила, которые позволят автоматически определять, что документ относится к тому или иному пункту перечня (
технология лингвистического анализа).
Суть технологии лингвистического анализа сводится к назначению ключевым словам и фразам определенного «веса». Когда сумма «весов» в документе переваливает через некий порог либо соотношение частоты встречаемости этих ключевых слов близко к соотношению их «весов», происходит срабатывание. Эта технология довольно точно детектирует пункт перечня, к которому документ относится, несмотря на то что форма документа уже значительно поменялась (по сравнению с теми, на основании которых мы сделали эту политику).
Но есть и такие документы, информация в которых изменяется практически полностью. Или неизменяемые слова и фразы документа употребляются повсеместно. Например, таблица с именами клиентов, их контактной информации и, скажем, суммой депозита. Такие базы зачастую ведут «на коленке» менеджеры или выгружают из корпоративной CRM.
Во многих организациях это наиболее чувствительный к утечке актив. Для обнаружения таких утечек стоит поискать для начала в исходящем трафике таблицы (.xls, .xlsx, .csv) — наиболее вероятный формат хранения выгрузок клиентских баз.
Кроме того, некоторые DLP-системы способны обнаружить в трафике документы, в которых много раз повторяется одно и то же слово. Если это слово «ООО», «ПАО» или «АО», то очень вероятно, что мы имеем дело с какой-то базой юридических лиц. По сути, ту же функцию выполняет технология поиска шаблонов текстовых объектов: она позволяет находить строки символов построенные по определённому алгоритму (например, номера банковских карт или ИНН).
Ряд DLP позволяет провернуть ещё одну хитрость: детектировать объекты, в которых встречается более X записей из списка. Скачав в сети Интернет список самых популярных русских фамилий (например, 1000 фамилий) и установив X, равным, например, 50, мы получим правило, которое детектирует объекты, в которых содержится более 50 популярных русских фамилий. Такой объект с большой долей вероятности — база физических лиц или индивидуальных предпринимателей.
Обнаружив такие таблицы, мы можем использовать названия некоторых столбцов, назначая им определенный «вес» для дальнейшего детектирования аналогичных таблиц и сопоставляя с пунктами «Перечня информации ограниченного доступа».
Благодаря этим подходам мы выявим ряд утечек даже во время пилотирования DLP-решения. Но главное, они позволяют постоянно формировать и дополнять базу правил, которая будет соотноситься с «Перечнем конфиденциальной информации». А значит, меняться вместе с миром и достигать успеха.
НО НА ЭТОМ МЫ НЕ ОСТАНОВИМСЯ
Следует помнить, что эти подходы не единственные: их также необходимо развивать и придумывать новые «хитрости», а некоторые правила, которые раньше работали, придётся изменять или удалять из-за ложных срабатываний.
Мы даже обнаружим ряд правил, которые срабатывают практически безошибочно и редко меняются: при условии согласования рисков на основании таких правил мы сможем даже блокировать утечку. Согласитесь, отчёт «мы заблокировали попытку утечки» выглядит куда лучше, чем — «мы нашли утечку». Но отслеживать изменения и корректировать настройки придётся ещё тщательнее.
Также необходимо будет много работать с тем, что какая-то информация, хоть и защищаемая, всё же куда-то и кем-то может отправляться. Иногда будет достаточно настроить исключения из правил, но часто эти «кем-то» и «куда-то» — ситуационные (например, острая необходимость поработать с конфиденциальной информацией на дому). И тогда мы уже будем прорабатывать возможные ситуации, процедуры согласования отправок и «разбора полётов» для таких ситуаций, дополнительные процедуры контроля… Впрочем, процедуру «разбора полётов» придётся проработать для всех ситуаций. А ещё процедуру ознакомления и обучения работников — что можно и что нельзя отправлять.
И процедуры эти тоже будут постоянно меняться. В том числе нами. Но постоянные изменения — это единственный, пусть и сложный, путь к эффективной DLP-системе. Чтобы достигать высоких результатов требуется много усилий — и так и должно быть. Удачной «эпохи перемен», коллеги!
[1]РС БР ИББС-2.9-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации.
- Стоимость медиауслуг (открыть PDF) -
