Вижу, слышу, анализирую: чем усилить DLP для расследования утечек

Сегодня DLP сравнялись по охвату каналов контроля и возможностям текстовой аналитики: то есть одинаково «ловят» классические сливы через переписки и отправку файлов. Но этого не всегда достаточно. Я работал с разными системами и иногда мне не хватало функционала для комплексной борьбы с внутренними инцидентами. На своем опыте расскажу, какие инструменты помогли исправить ситуацию.

Немного предыстории

Меня зовут Алексей Буздалов, сегодня я занимаюсь ИБ в крупной фармкомпании. Но мой путь начался «с полей»: больше 20 лет я работал над ИТ-проектами и отлаживал инфраструктуру на разных производствах, неоднократно внедрял различные системы контроля и расследовал инциденты. Так что решаю разноплановые задачи:

• Контроль доступа.
• Контроль инфраструктуры.
• Защита данных.
• Контроль дисциплины.
• Контроль устойчивости бизнес-процессов, и т.п.

В приоритете остается защита информации: коммерческой тайны и персональных данных. Основным рабочим инструментом стала DLP. Однако от привычных мне раннее средств контроля я не отказался: это видеонаблюдение, средства удаленного управления, контроль телефонии и т.д. И они не раз помогли в расследованиях внутренних инцидентов. Приведу несколько примеров.

История 1. «Благие намерения»

DLP зафиксировала выгрузку Excel-таблиц по 16 МБ в некорпоративное облако, еще и под паролем. Стали расследовать. Оказалось, что сотрудник с рабочего ПК загрузил в свой «Яндекс.Диск» данные по поставщикам и «расшарил» ссылку и пароль на файлы кому-то в мессенджере.

Мы тут же вызвали сотрудника на беседу. Он уверял, что действовал по заданию начальника: тот уехал в командировку и ему срочно понадобились рабочие документы. Но проблема в том, что задача нигде не была зафиксирована. По словам сотрудника, инструкции начальник дал по телефону перед самым отъездом. Подтвердить версию удалось только по записи звонка IP-телефонии.

Начальник провинившегося признался, что понимал: его поручение нарушает правила ИБ. Но надеялся, что если они защитят файлы паролем, то данные будут в безопасности. Мы старания, конечно, оценили, но факт остался фактом: нарушение произошло, данные покинули периметр. В итоге сотрудник удалил таблицы из облака, а его начальник – с телефона, куда их скачал. А мы запланировали в коллективе повторный ИБ-ликбез.

Расследование бы прошло быстрее, если бы DLP распознала инцидент как ложноположительный. Например, найдись в ее архиве подтверждение поручения, пусть даже переданного устно. Выручила старая-добрая IP-телефония: записи звонков – хорошее подспорье и дополнительный источник данных для службы ИБ в таких ситуациях.

История 2. «А был ли мальчик?»

DLP обнаружила, что на компьютере руководителя отдела, связанного с перевозками, часто запускают фоторедактор. На записях экрана было видно, что в программе редактируют сканы чеков за топливо, техобслуживание машин и т.п. – суммы вручную завышают. Мы сообщили об этом в бухгалтерию. Оказалось, что запросы на возмещение расходов у руководителя в разы выше, чем у коллег.

Дальше нам нужно было доказать, что чеки подделывает сам подозреваемый: имени ПК и пользователя для этого недостаточно. Помогло видеонаблюдение в офисе. И по камерам мы обнаружили еще одно нарушение! Оказалось, что руководитель часто отсутствовал на рабочем месте по личным вопросам, при этом просил коллегу включать его ПК. Она выполняла за него задачи, чтобы создать видимость, что он на месте. Но когда приходило время получать компенсацию, нарушитель появлялся в офисе – и занимался подделкой отчетов.

По итогам расследования подсчитали, что его действия стоили компании около 850 000 руб. Последнюю незаконно полученную компенсацию (порядка 70 000 руб.) взыскали, а злоумышленника уволили. Мошенничество раскрыла DLP, но только с помощью видеонаблюдения мы доказали корыстные мотивы сотрудника и регулярные нарушения.

История 3. «Какая такая флешка?»

В DLP мы получили уведомление: сотрудница копировала документы с корпоративного сервера, а потом их оттуда удаляла. Всего пострадало около 1000 файлов, их она записывала на свою флешку.

Анализ содержимого перемещенных файлов показал, что они составляют коммерческую тайну (коммерческие предложения, база клиентов и др.). Инцидент серьезный, так что мы тут же вмешались. Но сотрудница работала в удаленном подразделении, поэтому мы могли связаться с ней только в формате созвона. Мы убедили ее вернуть документы, но предусмотрели риск, что сотрудница решит отдать нам не ту флешку. Поэтому проконтролировали все по видеосвязи:

• Сотрудница показала в камеру флешку, при нас вставила ее в ПК.
• Мы в режиме онлайн сравнили в DLP серийный номер устройства: он совпал с тем, на которое она сливала файлы.
• С помощью удаленного подключения мы выгрузили файлы с флешки обратно в сетевое хранилище, отформатировали флешку.

В этой истории нам повезло: инцидент заметили вовремя, так что нарушительница просто не успела вынести флешку из компании. Хотя DLP на лету «поймала» инцидент, с ней одной мы бы не справились. Для оперативного реагирования пригодились ВКС и средства удаленного управления.

Почему DLP понадобилась подмога?

Ответ простой: утечки, мошенничество, нарушения регламентов не всегда происходят «в цифре». И чтобы провести развернутое расследование, установить детали и оценить дальнейшие риски инцидента, нужны дополнительные инструменты. Например, нарушительница из филиала могла обмануть нас, пользуясь расстоянием, и «сдать» не ту флешку. Мошенник с чеками мог свалить вину на коллегу, если бы мы визуально не идентифицировали его в момент нарушения.

Поэтому важно использовать инструменты контроля в комплексе, привлекать все доступные методы и источники информации. В моей практике себя особенно зарекомендовал видео- и аудио-контроль. Логично встраивать в DLP данные из этих источников, или искать систему, где «из коробки» реализован такой функционал. А в идеале – когда в DLP есть единая консоль, где все возможности доступны по клику.

Что мы сделали?

Поменяли подход к выбору DLP-системы. Кроме охвата источников и качества аналитики мы обратили внимание на способности работать с нетипичными источниками (теми же видео и аудио), на функции «быстрого реагирования» и превентивной защиты, а также встроенные средства интеграции. В результате выбрали «СёрчИнформ КИБ» , и вот несколько причин:

• Онлайн-контроль. В системе можно в реальном времени просмотреть активные процессы на ПК сотрудника, подключиться к его экрану или веб-камере. Если пользователь делает что-то подозрительное, КИБ запишет видео- и аудио-подтверждения – их удобно использовать и в ретроспективных расследованиях, чтобы во всем разобраться, и чтобы доказать нарушение, когда у вас нет сомнений.
• Прямое управление ПК. У службы ИБ есть возможность оперативно вмешаться в инцидент, даже если действия сотрудника номинально не попадают под политики безопасности. Например, завершить активную сессию на его ПК, если вы «поймали» пользователя в момент нарушения – это даст вам дополнительное время на реакцию.
• Идентификация нарушителя. В КИБ есть функция распознавания лиц, система сравнивает снимки с веб-камеры сотрудников с эталоном. Это помогает достоверно установить «авторство» инцидента, если он произошел, и контролировать, что доступ к ПК сотрудников не получают посторонние по скомпрометированным логинам и паролям.
• Контроль аудио. При необходимости система может подключаться к микрофонам сотрудников, а также сохраняет записи звонков и аудиосообщений в мессенджерах и ВКС. Но службе ИБ не нужно их все прослушивать: встроенный ASR преобразует аудио в текст, так что КИБ сразу анализирует переговоры по политикам безопасности и сигнализирует об угрозе.
• Защита флешек. Если бизнес-процессы не позволяют блокировать запись на USB, DLP обеспечит запись в безопасном формате. Тогда документы, попавшие на флешку, смогут открыть только за рабочими ПК, где есть агент КИБ.
• Защита документов. У КИБ есть свой сервис генерации паролей, так что сотрудникам не понадобятся сторонние средства, чтобы отправить куда-то защищенный документ. DLP автоматически анализирует, что за файл они загружают в сервис, и информирует службу ИБ. В итоге не приходится разбираться с ложноположительными сработками.
• Инструменты интеграции. КИБ «из коробки» работает с рядом СКУД, CRM, систем расчета зарплаты, может импортировать данные из почти любых источников: хоть архивы с камер и IP-телефонии, хоть БД «самописных» корпоративных систем. Все настраивается в интерфейсе, вендор предоставляет готовые шаблоны и сценарии интеграции. Удобно, чтобы кастомизировать контроль и создать свой комплекс с единым центром управления.

Приятных «фич» в системе много. Суть в том, что они работают на расширение картины инцидента и возможностей службы ИБ. Вот кейс для иллюстрации.

Сработала политика по контролю рабочих регламентов: команда разработчиков корпоративного ПО на созвоне обсуждала горящий дедлайн. Чтобы успеть, решили выпустить «в боевом режиме» версию программы без тестирования и проверки службой ИБ, как этого требуют правила. При этом «сырое» обновление – риск, что что-то пойдет не так и компания «встанет». Потенциально это огромные убытки. Поэтому мы вмешались и заблокировали загрузку обновления.

В этом помог модуль распознавания речи в КИБ, который автоматически перевел запись звонка в текст и выявил в нем инцидент. Заодно в DLP мы быстро провели инвентаризацию ПО на всех ПК в компании и убедились, что «сырая» версия нигде не стоит. И для профилактики понаблюдали онлайн, чтобы команда провела все необходимые процедуры, прежде чем запустить ПО в работу.

Мораль истории простая: с хорошо оснащенной DLP удобнее работать и быстрее расследовать инциденты. Попробуйте и убедитесь сами. Ведь внимание к деталям для ИБ-специалиста – профессиональный стандарт.

Автор: Алексей Буздалов, независимый эксперт по информационной безопасности.

Реклама. 18+, Рекламодатель ООО "СерчИнформ", ИНН 7704306397, erid:2SDnjeiL6fF