По какой-то причине многие специалисты по защите информации стремятся сразу использовать специализированное DLP-решение от вендора А, B или С.
Возможно это связано с недостаточной известностью широкой публике DLP-функций, встроенных, например в операционные системы Microsoft Windows.
Да, названия у них немного другие и это набор инструментов, но всё-таки они есть.
Стараясь исправить ситуацию, я поднимал эту тематику несколько раз в соответствующих публикациях. Первый раз в 2014 году в статье «» я рассматривал наиболее распространенные каналы утечек данных:
- вывод на печать;
- копирование на съемные носители информации (прежде всего USB-носители);
- пересылка по корпоративной электронной почте;
- передача через Skype;
- публикация в сеть Интернет.
Позднее, в 2016 году, фокусировался на файловых ресурсах в статье «
В рамках настоящей же заметки я хотел бы затронуть DLP-функции, реализованные уже в прикладном программном обеспечении, а именно в Microsoft Exchange Server 2013 SP1, тем более, что называются они уже недвусмысленно: «Предотвращение потери данных» («data loss prevention»).
Как раз этому и посвящена последняя статья «».
Компонент DLP появился в Exchange Server 2013 SP1 более 3 лет назад. В нем предусмотрены механизмы анализа почтовых сообщений и их вложений, меры реагирования в случае обнаружения сообщений, нарушающих политику DLP, а также возможности рассылки уведомлений пользователям и администраторам.
При этом я не хотел бы дублировать всю статью, она скоро будет доступна по ссылке в полном объеме, а для подписчиков должна быть уже в их офисах, здесь я приведу дополнительную информацию о вариантах реагирования системы, т.к. в статье затронуты только некоторые из них ввиду ограничения на объем, а тематика реагирования сейчас как никогда актуальна.
Итак, рассмотрим подробнее возможные действия с почтовыми сообщениями:
- Переслать сообщение для утверждения этим пользователям (возможно утверждение не всеми участниками, использование цепочки утверждений);
- Переслать сообщение для утверждения диспетчеру отправителя (запрос отправляется руководителю отправителя по данным из Active Directory);
- Перенаправить сообщение этим получателям;
- Отклонить сообщение и включить объяснение;
- Отклонить сообщение с расширенным кодом состояния;
- Удалить сообщение, не отправляя уведомлений;
- Добавить получателей в поле "СК";
- Добавить получателей в поле "Кому";
- Добавить получателей в поле "Копия";
- Добавить руководителя отправителя в качестве получателя;
- Добавить к сообщению заявление об отказе (предварить/добавить заявление об отказе);
- Изменить свойства сообщения > Удалить/задать заголовок сообщения;
- Изменить свойства сообщения > Применить классификацию сообщений;
- Изменить свойства сообщения > Указать значения для вероятности нежелательной почты;
- Добавить в начало темы сообщения;
- Изменить безопасность сообщения > Применить защиту прав (связка с RMS);
- Изменить безопасность сообщения > Требовать шифрование TLS;
- Уведомить отправителя подсказкой политики;
- Создать отчет об инциденте и отправить его.
В итоге, в части вариантов реагирования Exchange не только не уступает ведущим DLP-решениям, но и превосходит некоторые из них за счет «нахождения» внутри сервиса электронной почты, а не «рядом с ним».
Стоит отметить, что для владельцев Exchange-серверов DLP-функции доступны бесплатно «из коробки», можно начать их использовать сразу же. Для многих специалистов по защите информации это может выступать в качестве возможности понять, а готовы ли они к внедрению полноценной DLP-системы у себя в организации или вам и этого «за глаза».
Удачи при реализации вашего DLP-проекта!
