В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Сначала осветим моменты, которые оказывают существенное влияние на качество внедрения DLP-решений:
На практике о данных моментах "упорно" забывают. В своей работе мы часто сталкиваемся с данными ситуациями при проведении аудитов ИБ.
Кроме того, как и в любом ПО, в DLP-системах существуют уязвимости (часть из них известна, например CVE-2008-4564 и CVE-2011-1423). Но даже без эксплуатации уязвимостей злоумышленникам есть где разгуляться, и об этом мы расскажем ниже.
Часто в компаниях могут возникнуть ситуации, когда DLP-система должна "подвинуться в сторону" и не мешать работать. Для таких случаев вендоры предусматривают соответствующие функциональные возможности:
Сделав "шаг в сторону", конфиденциальный документ может быть выведен за границы контролируемой сети. По ошибке, намеренно или по той и другой причине одновременно - это уже не важно.
Так называемое офисное ПО доступно для 99% всех пользователей. А что если взглянуть на эти современные многофункциональные решения как на инструмент для организации утечки?
Именно в "офисном" разрезе мы уже демонстрировали ограничения DLP в предыдущей статье. Что же, продолжим тему.
"Потайные карманы", в виде областей "Свойства документов", макросов, Word-объектов и т.п. элементов, позволяют спрятать значительные объемы данных (см. рис. 1). Суммарно этот текст по объему в 55 раз больше, чем данная статья, плюс к этому еще 27 полей во вкладке "Прочее" с таким же потенциалом.
Ну а объем текста в теле макросов практически не ограничен. В наших экспериментах мы размещали в одном макросе до тысячи страниц текста.
Примитивная стеганография путем замены символов русского алфавита англоязычными или иными символами (например, а-а-@, б-Ь-6) также может создать массу сложностей для DLP-решений. Ведь предусмотреть абсолютно все комбинации и варианты написания ключевых слов просто физически невозможно. А в случае использования процентного совпадения количество "фальстартов" (False Negative) существенно возрастет, что серьезно усложнит выявление действительно важных или подозрительных операций.
Очень часто специалисты по ИБ забывают о контроле функции "Печать в файл", не воспринимая это как потенциальный канал утечек. При этом, как показала наша практика, утечки через PRN-файлы1 практически не контролируются DLP-системами (если мы не говорим, о запрете сугубо по формату файла без контекстного анализа).
Что, если нам нужно увести не документ MS Office, а, например, чертеж (DWG, VSD, DXF)?
Сделать снимок экрана, а потом работать с картинкой - это первое, что приходит в голову. Здесь некоторые производители DLP-решений предлагают блокировать результат нажатия клавиши PrtSc. Однако, начиная с Word, PowerPoint и Excel 2010, можно создавать снимки экрана для остальных открытых окон непосредственно из приложений (функция "Снимок"), плюс к этому в выпусках Windows 7 есть инструмент "Ножницы" для создания выборочного скриншота. Все эти процессы и приложения нужно отдельно ставить на контроль.
Также дополнительные интересные возможности предоставляет побитное копирование конфиденциальных данных с использованием команды Сору в конец легальных документов. Ну и не забываем про возможности архиваторов (см. предыдущую статью).
Результаты нашего тестирования лидеров списка Gartner начала 2013 г. с использованием описанных методов, доступных в общем-то рядовому пользователю (см. рис. 2), приведены в табл. 1.
Ну а для искушенных пользователей дополнительно предлагается:
Насколько DLP-решения хорошо защищают сами себя? Мы попробовали ответить на этот вопрос, проведя небольшое исследование в нашей лаборатории. Вот что дали результаты тестов:
Реальные примеры "заказных убийств" мы демонстрировали в конце мая на форуме практической безопасности PHD III.
Было бы неправильно с нашей стороны обозначить проблемы и не указать способы их решения.
В рамках реализации DLP-проектов мы всегда придерживались комплексного подхода и выработали следующие рекомендации, которые, надеемся, помогут избежать неожиданных утечек из сетей, защищенных с использованием современных DLP-систем:
С организационной стороны в первую очередь необходимо обеспечить непрерывное или хотя бы периодическое обслуживание и мониторинг состояния работы DLP-системы и ее компонентов.
В заключение хотим подчеркнуть, что мы ни в коем случае не пытались создать "Руководство для чайников по сливу информации" или критиковать производителей современных DLP-решений. Мы всего лишь стараемся наглядно продемонстрировать имеющиеся в DLP-системах особенности и ограничения, о которых очень часто забывают при выборе, внедрении и дальнейшей эксплуатации системы.
Надеемся, что читатели смогут выявлять данные ограничения раньше злоумышленников, и оперативно реализовывать дополнительные меры по защите чувствительной информации или принимать выявленные риски. Или как минимум знать об их существовании.
На фоне тенденции к тому, что сами средства защиты информации все чаще и чаще становятся объектами атаки, пренебрежение другими организационно-техническими мероприятиями по защите информации может обойтись слишком дорого.
Наконец, важно понимать, что DLP-система защищает не от утечки информации, а от утечки документов, а это совсем разные вещи (см. рис. 3).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013