BIS Journal №4(23)/2016

15 ноября, 2016

Эффективная DLP в эпоху перемен

«Чтоб вам жить в эпоху перемен!» — проклинали древние китайцы своих недругов. Не потому, что перемены — это обязательно плохо, а потому, что успех в такую «интересную эпоху» требует колоссальных усилий по изменению самого себя.

Мы это прочувствовали. Гаджеты, выпущенные пару лет назад, теряют половину своей стоимости, ибо «древняя модель». Как-будто из ниоткуда появились новые компании, захватив «голубые океаны» и став транснациональными корпорациями. Постоянно приходится повышать свою квалификацию, чтобы оставаться в тренде. Чтобы преуспевать, приходится меняться.

В изменчивом мире мы защищаем то, что представляет «коммерческую ценность в силу неизвестности третьим лицам» и интересы клиентов и партнёров. В этом нам должны помочь системы предотвращения утечек информации (DLP — Data Leak Prevention). DLP-система — инструмент, который не работает «из коробки» и требует длительной «тонкой» настройки:
  • мы должны знать, что именно защищать при помощи DLP-системы (сформировать перечень конфиденциальной информации);
  • научить систему различать конфиденциальную информацию в потоке трафика;
  • научить систему отличать, когда конфиденциальная информация отправляется «вовне» легитимно.
Причём эта настройка в успешной организации на самом деле не длительная, а непрерывная, в силу постоянных изменений, о которых мы говорили выше. В крупных компаниях (десятки тысяч работников) изменений столь много, что настройка за ними не успевает. Она не тривиальна, требует проб и ошибок. Отсюда — ИТ-риски установки DLP-системы «в разрыв» (в режим блокировки), которые риски возникают на этапе настройки системы (а она идёт постоянно). Но даже при корректной и точной настройке правила с первого раза (чтобы система не срабатывала ошибочно, блокируя безобидные письма) есть вероятность, что система не справится с множеством правил в политике, помноженным на огромный объём трафика, и «упадёт».

Кроме того, т. к. настройка не успевает за изменениями, мы рискуем пропустить утечку конфиденциальной информации — нужное правило не было настроено в момент утечки. Поэтому важно хранить архив перехваченной информации, что позволит проводить её ретроспективный анализ. Это противоречит концепции «западных» DLP, когда хранится только та информация, на которую DLP-система сработала.
 
Еще одна головная боль, вызываемая переменами – новые технологии передачи данных. Проблема, над которой постоянно работают вендоры DLP-систем. Нет гарантий, что Google завтра не изменит протокол загрузки данных в свое облако на более безопасный, и не распознаваемый DLP-системой, что Microsoft не внедрит в Skype дополнительную фичу и при звонке не будет модулировать голос собеседников, чтобы стеганографически передавать дополнительную информацию… В борьбе за клиента ИТ-компании тоже меняются и меняют свои продукты, а DLP-вендоры за ними не всегда успевают.

Если вам доведётся работать с DLP-системой в большой и динамичной компании, то резонными будут вопросы, как все изменения отслеживать? Как получать информацию от сотен тысяч человек, инициирующих, прорабатывающих, апробирующих изменения?

КАК ВООБЩЕ НАЧАТЬ НАСТРОЙКУ DLP-СИСТЕМЫ?

Ниже приведены подходы, которые позволят произвести базовую настройку DLP-системы без взаимодействия с другими структурными подразделениями, отслеживать изменения и адаптировать под них DLP. Прежде чем приступать к использованию этих подходов, мы рекомендуем отключить преднастроенные правила реагирования, которые установил производитель — они будут нам мешать, а также не использовать режим блокировки до тех пор, пока правила не будут отточены (с учётом нагрузки), а бизнес не примет риски установки «в разрыв».

Несмотря на непрерывность изменений, некоторые вещи меняются медленно. Один из жёстких признаков конфиденциальности документа, которому уже не один десяток лет, — его гриф. Реагирование на определённый гриф («Для служебного пользования», «Коммерческая тайна»…) — самый простой по настройке механизм выявления утечек (метод «стоп-слов»). Если такой документ однажды попадёт к нам в систему, мы поймаем его по грифу. Мы скоро увидим, что по этим «стоп-словам» ловится много того, что ловить бы не хотелось: дисклеймеры в подписях контрагентов в переписке, драфты договоров (в которые включён пункт о конфиденциальности с указанием грифов), художественная литература… Но среди всего этого многообразия, если у нас в организации документы грифуются, обнаружатся и настоящие утечки.

Такой инцидент даст нам новый материал для настройки DLP-системы. У нас появится документ, на основании которого мы сможем ловить «похожие» и уже даже без грифа (на случай, если пользователь забудет его проставить или нарушитель не забудет удалить). Детектирование в трафике «похожих» документов называется технологией цифровых отпечатков. Ловить точно такие же документы — редкая задача, поэтому настраивается степень «похожести». Работает это примерно так:
  • защищаемый документ (файл) разбивается на блоки, с каждого из которых снимается хэш (конкретные алгоритмы различаются, некоторые даже запатентованы);
  • файлы в трафике хэшируются по тому же алгоритму;
  • при совпадении определённого числа хэшей с хэшами защищаемого документа происходит срабатывание.
В один или несколько блоков может попасть не интересная с точки зрения защиты информация, что приведёт к ложным срабатываниям (чем ниже порог «похожести», тем больше). В то же время высокий порог «похожести» приведёт к тому, что мы не сможем обнаружить незначительное изменение части документа, которая имеет ценность.

Эти «жёсткие правила» («стоп-слова» и цифровые отпечатки) просты в настройке, но их легко обойти. И в условиях постоянных изменений они быстро теряют свою актуальность. Тем не менее, они позволяют нам получать заказы от бизнеса (каждый работник становится нашим потенциальным заказчиком: заказ он оформляет в виде надписи на документе, сигнализируя нам (и DLP-системе), что информация в нём требует защиты). Благодаря таким заказам постепенно у нас соберётся репозиторий конфиденциальных документов, и их нужно будет классифицировать. В основу классификации рекомендуем заложить «Перечень конфиденциальной информации» — к какому пункту «Перечня…» относится этот документ.

«ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ» — ВАЖНОЕ УСЛОВИЕ ЭФФЕКТИВНОЙ РАБОТЫ DLP

Скорее всего, в этом перечне будут указания на некоторые формы документов. В «Перечне конфиденциальной информации», который даёт Центробанк в своих рекомендациях[1], например, содержатся такие пункты:
  • организационно-распорядительные акты (приказы, распоряжения) организации БС РФ;
  • информация об организационно-штатной структуре и её изменениях. 
Заметим, что во многих приказах встречаются слова (фразы): «приказ», «приказываю», «в целях», «контроль за исполнением», «утвердить», обеспечить», «выполнить» и т. д. А для «информации об организационно-штатной структуре…» характерны слова (фразы): «должность (специальность, профессия), разряд, класс», «штат в количестве», «тарифная ставка (оклад)», «надбавки, руб.» и т. п. Поиск по этим словам и фразам позволит пополнить нам примеры документов, подпадающие под те или иные пункты перечня. Возможно, сразу обнаружить утечки.

В дальнейшем на основании множества документов, подпадающих под один и тот же пункт «Перечня конфиденциальной информации», мы сформируем при помощи «весов» более мягкие и точные правила, которые позволят автоматически определять, что документ относится к тому или иному пункту перечня (технология лингвистического анализа).

Суть технологии лингвистического анализа сводится к назначению ключевым словам и фразам определенного «веса». Когда сумма «весов» в документе переваливает через некий порог либо соотношение частоты встречаемости этих ключевых слов близко к соотношению их «весов», происходит срабатывание. Эта технология довольно точно детектирует пункт перечня, к которому документ относится, несмотря на то что форма документа уже значительно поменялась (по сравнению с теми, на основании которых мы сделали эту политику).

Но есть и такие документы, информация в которых изменяется практически полностью. Или неизменяемые слова и фразы документа употребляются повсеместно. Например, таблица с именами клиентов, их контактной информации и, скажем, суммой депозита. Такие базы зачастую ведут «на коленке» менеджеры или выгружают из корпоративной CRM.

Во многих организациях это наиболее чувствительный к утечке актив. Для обнаружения таких утечек стоит поискать для начала в исходящем трафике таблицы (.xls, .xlsx, .csv) — наиболее вероятный формат хранения выгрузок клиентских баз.

Кроме того, некоторые DLP-системы способны обнаружить в трафике документы, в которых много раз повторяется одно и то же слово. Если это слово «ООО», «ПАО» или «АО», то очень вероятно, что мы имеем дело с какой-то базой юридических лиц. По сути, ту же функцию выполняет технология поиска шаблонов текстовых объектов: она позволяет находить строки символов построенные по определённому алгоритму (например, номера банковских карт или ИНН).

Ряд DLP позволяет провернуть ещё одну хитрость: детектировать объекты, в которых встречается более X записей из списка. Скачав в сети Интернет список самых популярных русских фамилий (например, 1000 фамилий) и установив X, равным, например, 50, мы получим правило, которое детектирует объекты, в которых содержится более 50 популярных русских фамилий. Такой объект с большой долей вероятности — база физических лиц или индивидуальных предпринимателей.

Обнаружив такие таблицы, мы можем использовать названия некоторых столбцов, назначая им определенный «вес» для дальнейшего детектирования аналогичных таблиц и сопоставляя с пунктами «Перечня информации ограниченного доступа».

Благодаря этим подходам мы выявим ряд утечек даже во время пилотирования DLP-решения. Но главное, они позволяют постоянно формировать и дополнять базу правил, которая будет соотноситься с «Перечнем конфиденциальной информации». А значит, меняться вместе с миром и достигать успеха.

НО НА ЭТОМ МЫ НЕ ОСТАНОВИМСЯ

Следует помнить, что эти подходы не единственные: их также необходимо развивать и придумывать новые «хитрости», а некоторые правила, которые раньше работали, придётся изменять или удалять из-за ложных срабатываний.

Мы даже обнаружим ряд правил, которые срабатывают практически безошибочно и редко меняются: при условии согласования рисков на основании таких правил мы сможем даже блокировать утечку. Согласитесь, отчёт «мы заблокировали попытку утечки» выглядит куда лучше, чем — «мы нашли утечку». Но отслеживать изменения и корректировать настройки придётся ещё тщательнее.

Также необходимо будет много работать с тем, что какая-то информация, хоть и защищаемая, всё же куда-то и кем-то может отправляться. Иногда будет достаточно настроить исключения из правил, но часто эти «кем-то» и «куда-то» — ситуационные (например, острая необходимость поработать с конфиденциальной информацией на дому). И тогда мы уже будем прорабатывать возможные ситуации, процедуры согласования отправок и «разбора полётов» для таких ситуаций, дополнительные процедуры контроля… Впрочем, процедуру «разбора полётов» придётся проработать для всех ситуаций. А ещё процедуру ознакомления и обучения работников — что можно и что нельзя отправлять.

И процедуры эти тоже будут постоянно меняться. В том числе нами. Но постоянные изменения — это единственный, пусть и сложный, путь к эффективной DLP-системе. Чтобы достигать высоких результатов требуется много усилий — и так и должно быть. Удачной «эпохи перемен», коллеги!


[1]РС БР ИББС-2.9-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации.
 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.05.2024
Хакеры из Head Mare утверждают, что «положили» системы СДЭК
28.05.2024
СПЧ и МВД — о масштабах потерь от действий скамеров
28.05.2024
Узбекистан откалывается от «Мира»?
28.05.2024
«Росатом»: Регуляторика ИИ с чёткой логикой сегодня отсутствует
28.05.2024
В ходе дискуссии может появиться многогранная программа ИИ
28.05.2024
Существует неопределённость в толковании и применении правовых норм использования ИИ
28.05.2024
«РУССОФТ»: В ИИ-гонке выигрывает не тот, кто придумал, а тот, кто внедрил
28.05.2024
Хакеры грозят опубликовать ПДн клиентов аукционного дома Christie’s
27.05.2024
НКЦКИ запустит сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов
27.05.2024
Банкиры спасли от скамеров два триллиона рублей своих клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных