DLP-ноухау: почему мы реализовали контроль утечек через Cisco Webex Teams не на endpoint-агенте

DLP-ноухау: почему мы реализовали контроль утечек через Cisco Webex Teams не на endpoint-агенте

Анастасия Васильева, старший аналитик центра продуктов Dozor компании «Ростелеком-Солар»

C удаленкой в нашу жизнь ворвалось колоссальное количество онлайн-встреч. Компании столкнулись с потребностью в корпоративном инструменте видеоконференцсвязи. Выбирали по принципу «единое окно», чтобы разом закрыть все потребности бизнеса в онлайн-коммуникации. И, конечно, требования к сервисам были выдвинуты самые высокие, ведь речь не только о внутренних совещаниях, но и о внешних – продажи и демонстрации, поддержка заказчиков и тренинги, пресс-конференции, совещания с партнерами, маркетинговые вебинары и др.

Такие преимущества, как механизмы балансировки нагрузки, возможность объединить в одной конференции до 1000 человек, наличие инструментов для совместной работы, простота интерфейса, надежность соединения, обратили внимание огромной доли рынка на сервис Cisco Webex Teams. По данным вендора, 90 компаний из Fortune 100 являются его корпоративными клиентами.

Чем больше возможностей, тем серьезнее риски

Как это часто бывает, взмах крыла бабочки в ландшафте корпоративных решений способен привести к торнадо в области информационной безопасности. Об этом впервые два года назад нам рассказал один из заказчиков DLP-системы Solar Dozor. Крупный банк еще до пандемии перевел большинство своих сотрудников на удаленку, и для компании остро встал вопрос контроля передачи файлов через сервис Cisco Webex Teams, которым пользовались сотрудники на удаленных рабочих местах.

Служба безопасности банка была обеспокоена сценариями, при которых сотрудники через Cisco Webeх Teams могли передавать коллегам с офисного компьютера файлы и текстовые сообщения с конфиденциальной информацией, а затем заходить в сервис с домашнего устройства и беспрепятственно скачивать на него отправленные ранее данные. По просьбе компании мы обратили внимание на новый канал утечек и реализовали его контроль.

«Изюминка» в технической реализации

Задача была ясна. Предстояло провести исследование, с помощью какой технологии лучше всего реализовать фичу. В самом начале вполне логичной казалась идея реализовать контроль на endpoint-агенте, так как все мессенджеры – Telegram, WhatsApp, Skype – в Solar Dozor контролируются именно таким образом. Для них реализация на агенте – единственное возможное решение.

Проводя глубокую научно-исследовательскую работу, мы обратили внимание на наличие Webex API, с помощью которого можно передавать напрямую в Solar Dozor все сообщения и их изменения, файлы и данные об участниках групп. При этом наличие endpoint-агента на рабочей станции не требуется, что важно, ведь агенты могут быть установлены не на всех станциях.

Приняв это во внимание, мы решили использовать возможности модуля инвентаризации содержимого файловых хранилищ File Crawler. Так в составе модуля Dozor File Crawler появился сервис IM Crawler, который запрашивает данные у серверов Cisco Webeх Teams и забирает оттуда файлы и сообщения.



IM Crawler позволяет заглянуть в прошлое

Поскольку сервер Webex API, который интегрирован с File Crawler, хранит информацию ровно 90 дней, заказчик может получить историю взаимодействия пользователей внутри сервиса Cisco Webeх Teams за последние 3 месяца. Стоит сказать, что это было бы невозможно, реализуй мы контроль на endpoint-агенте, как сделали другие DLP-вендоры.

Зачастую расследование инцидентов требует анализа еще более ранних данных. В этом случае на выручку может прийти Cisco Webex Control Hub – дополнительный сервис, предназначенный для централизованного управления данными организации и пользователей, назначения служб, просмотра аналитики использования и т. д. Он позволяет использовать расширенную аналитику и получать историю сообщений и файлов в неограниченном объеме. Если компания пользуется этим пакетом, предположим, 5 лет, тогда API сервиса предоставит нам всю историю сообщений и файлов за эти 5 лет прямиком в DLP-систему.

PS. У банка, который к нам обратился, уже был Cisco Webex Control Hub, поэтому мы смогли доставить полную детализированную историю прямиком в DLP.

Выгрузка по гибко настраиваемым параметрам

В зависимости от размера организации и периода пользования Cisco Webex Teams объем трафика, циркулирующий в компании, может значительно отличаться. В момент начала синхронизации его объем неизвестен, а значит, неизвестна скорость загрузки всего массива в DLP. Для удобства пользователя IM Crawler «ест слона по частям» – данные с сервера Cisco Webex Teams в интерфейс DLP загружаются пакетами. Благодаря этому пользователь сможет быстро приступить к анализу поступающего «порциями» трафика.

Система настроена так, что после первой синхронизации появляется возможность получения сводок событий в режиме реального времени согласно гибко настраиваемому параметру «Интервал обновления (секунд)».

Для тех случаев, когда загрузка более старых данных не требуется, в настройках анализа канала Cisco Webex Teams в системе Solar Dozor предусмотрен параметр «Загружать историю сообщений за последние…». Это позволяет быстро провести первую синхронизацию и так же быстро приступить к анализу трафика, который в данный момент циркулирует в корпоративном сервисе Cisco Webex Teams.



Например, если заказчик выберет загрузку истории за 1 день и интервал обновления в 3 секунды, он в течение 1-2 минут получит данные за последние сутки, сразу начнет получать обновления и сможет реагировать на них в режиме реального времени.



Таким образом, гибкая настройка параметров позволяет администратору DLP контролировать канал Cisco Webex Teams сразу, а подгружать историю – поступательно.

Как Cisco Webex Teams помогает в анализе инцидентов

Поскольку данные, которые DLP получает о переписке в Cisco Webex Teams, хранятся на сервере, мы можем получить историю изменения и удаления сообщений, посещений и выходов из общего чата. В поиске по каналу Cisco Webex Teams в DLP-системе доступна возможность анализа даты и времени, когда участник присоединился к групповому чату или покинул его, а также удалил или изменил сообщение. Благодаря этому сотрудник безопасности может найти неопровержимые доказательства участия нарушителя в инциденте.

5.png

6.jpg




Вывод

В условиях дистанционной работы сотрудники стали чаще общаться в корпоративных средствах связи, объединяющих широкий пул возможностей (проведение онлайн-совещаний, переписка в групповых и индивидуальных чатах и др.). Как следствие – не только онлайн-встречи, но и обмен многими чувствительными документами и обсуждение рабочих вопросов переместилось туда.

Учитывая то, что так может утечь конфиденциальная информация, а провести расследование события безопасности и установить связи без анализа набирающих популярность каналов, таких как Cisco Webex Teams, крайне сложно, необходимо было реализовать контроль средствами DLP. Ситуация усугубляется размытием границ корпоративного периметра. Сотрудники работают и на рабочих устройствах, и на личных. Отправляют файлы в корпоративных мессенджерах, продолжая работу с ними с домашнего ПК. Значение контроля одного из наиболее популярных сегодня каналов связи Cisco Webex Teams возросло в разы.

Реализация контроля пользователей через Cisco Webex Teams API дала ряд преимуществ нашим заказчикам. Среди них – широкие возможности для расследования инцидентов, возможность получить историю взаимодействия пользователей внутри сервиса Cisco Webeх Teams за последние 3 месяца, а при наличии Cisco Control Hub – за любой период его использования. Благодаря Cisco Webex Teams API можно смотреть, кто и когда покинул чат или присоединился к нему, какие файлы или тексты сообщений были отправлены, какие – удалены и изменены. Через endpoint-агент это было бы невозможно.


Невидимка в сети: научим вас исчезать из поля зрения хакеров.

Подпишитесь!