Как защитить DLP-систему от атак?

Владимир Емышев
Менеджер по развитию бизнеса NGS Distribution

В чем корень зла?

В структуре компании Data Loss Prevention (DLP), по сути, является центром концентрации критически важной информации. Технологии детектирования классифицируют данные, которые передаются по электронным каналам организации, и выявляют конфиденциальные сведения. Все попытки передачи подобной информации отображаются в DLP-системе с возможностью доступа к контенту. Получается, администратор данной системы имеет потенциальный доступ к конфиденциальной информации в разрезе ее контекста и может точно определить степень ее ценности. Это первая ошибка, которую компании упускают из виду. Очень показательным является пример Эдварда Сноудена, который, устраиваясь на работу в качестве администратора информационных систем, получал с них данные государственной важности и затем использовал в личных интересах. Следует помнить, что любой оператор DLP-системы – это прежде всего человек, которому могут быть присущи как достоинства, так и недостатки. К примеру, у него могут поменяться идеологические взгляды, его могут подкупить или же невзначай обидит руководство – и тогда может возникнуть соблазн воспользоваться информацией, к которой по роду должностных обязанностей имеется неограниченный доступ.

Таблетка от всех бед?

Вторая наиболее распространенная ошибка заключается в том, что многие компании рассматривают DLP-систему как панацею и гарантированное средство от утечки информации. Но на практике при наличии должного уровня знаний любой алгоритм можно обойти или обмануть. Если современные системы и научились нейтрализовать работу клавиши print screen, то методы элементарного шифрования и ложной стенографии, когда буквы алфавита сознательно подменяются цифрами и кодом или русский текст перепечатывается на английской раскладке, до сих пор практически не поддаются вычислению. Кроме того, всегда можно просто записать, сфотографировать или запомнить все важные данные. Если вы допускаете подобную ситуацию в работе компании, то ни одна система не сможет гарантировать сохранность информации. DLP – это прежде всего инструмент, правильно используя который можно значительно уменьшить риски утечки информации. Но без принятия соответствующих организационно-распорядительных документов, определяющих правила создания, хранения, обработки и передачи конфиденциальных данных, и следования им подобный инструмент будет лишен опоры и рычагов воздействия, что сделает его низкоэффективным.

Методы защиты

Рассмотрев основные угрозы, которые могут таить в себе DLP-системы, целесообразно будет предложить и возможные методы защиты от них.

Для борьбы с противоправными действиями модератора системы в каждой качественной DLP предусмотрена возможность ролевого управления с разграничением прав доступа. Использование же правил по умолчанию, наоборот, наделяет администратора практически неограниченными правами, что является излишним. Поэтому необходимо выбрать и вручную прописать обязанности каждого из сотрудников, работающих с DLP-системой, присвоив им соответствующую роль. К примеру, администратору, который физически настраивает DLP и задает политики, описанные руководством, совершенно необязательно иметь доступ к теневым копиям файлов, полученным по результатам обработки инцидентов. Оператор системы может обрабатывать информацию об инцидентах: находить нарушителей, определять, куда была отправлена информация, выявлять наиболее частый протокол передачи конфиденциальной информации и наиболее часто нарушаемой политики и т.д. Однако далее работать с контекстом данных, отображаемых в инцидентах, должен либо руководитель отдела ИБ, либо заместитель генерального директора по безопасности в зависимости от степени допуска к информации.

Кроме того, существуют специализированные технические средства, позволяющие контролировать действия привилегированных пользователей, вплоть до организации видеозаписи сеансов. Применение таких средств позволит защититься от несанкционированного доступа к DLP-системе, исключить возможность удаления информации из журнала событий или временного отключения DLP-политик, а также поможет предотвратить передачу информации вовне.

При организации работы DLP-системы также следует принять упреждающие действия, максимально уменьшающие "зазоры" и возможности для ее обхода рядовыми пользователями. Для этого каждый сотрудник должен получить минимальный набор прав доступа, обусловленный и необходимый для полноценного выполнения своего круга должностных обязанностей. То же самое касается выхода в сеть Интернет, доступ к которой следует контролировать.

Все действия, осуществляемые сотрудниками по отношению к конфиденциальной информации, должны быть строго регламентированы, а за их нарушение должна быть предусмотрена мера ответственности. В организационно-распорядительных документах необходимо отразить весь процесс обработки конфиденциальных данных: кто с ними может работать, какие программы и приложения могут использоваться для обработки информации, порядок хранения и т.д.

Следует также помнить, что необученные должным образом пользователи могут свести на нет эффективность работы любой системы защиты. Как это часто бывает, все регламенты по ИБ рядовые сотрудники считают скучными и лишними, а топ-менеджмент пропускает, ставя себя выше подобных формальностей. Чтобы политики и процедуры исполнялись на всех уровнях организации, необходимо проводить регулярное обучение, разъясняя важность и необходимый уровень ИБ, а также личные обязанности в отношении работы с информацией. Каждый сотрудник должен осознавать, что он играет важную роль в обеспечении ИБ, а выполнение простых правил должно стать неотъемлемой частью повседневной работы и корпоративной культуры.

Выводы

Современные DLP-системы являются самым распространенным и эффективным средством защиты от утечки данных. Вместе с тем инсайдер, обслуживающий продукт, остается самой опасной угрозой для системы. При этом чем искушеннее недобросовестный сотрудник, тем больше вероятность атаки или обхода DLP-системы. Применяя организационно-распорядительные документы и технические средства контроля за привилегированными пользователями, можно минимизировать риск утечки информации и сделать работу DLP-системы по-настоящему эффективной.