Как настроить политики в DLP-системе, чтобы не тонуть в ложных сработках

Как настроить политики в DLP-системе, чтобы не тонуть в ложных сработках
DLP-система – ключевой инструмент в компании для защиты внутренней информации. Но есть один фактор, который раздражает пользователей. Если число ложных сработок зашкаливает – вся работа превращается в разбор алертов. Свести их число к нулю почти невозможно, но грамотная настройка политик безопасности максимально приблизит ИБ-специалиста к дзену.

Давайте посмотрим, какие шаги нужно сделать в сторону размеренной работы.

С чего начать – сначала стандарт

Первое дело – настроить универсальные политики безопасности, многие из которых уже предустановлены в DLP-системе. У нас, например, они даже разбиты по странам и отраслям, в которых работает компания.

Не пренебрегайте стандартными политиками, они позволяют начать работу сразу – можно запустить поиск по ПДн, доменам конкурентов, резюме, названиям наркотических веществ и т.п. Всё это стандартные политики, потому что для каждой компании опасно, если утекут персданные клиентов, сотрудники будут вести переговоры с конкурентами, искать работу или покупать запрещенные вещества.

Дальше для стандартных политик нужны отраслевые доработки, потому что при определённых условиях универсальные правила поиска создадут множество ложных алертов. Проиллюстрируем примером:

Клиент – логистическая компания. После внедрения DLP ИБ-специалист решил проверить сотрудников по стандартной политике «поиск игроманов». Программа автоматически анализировала переписки через выражения из словаря азартных игр и выявляла нарушения по словам, среди которых была «ставка». Однако при выборе этой политики не учли тот факт, что в логистике есть термин «ставка фрахта», обозначающий стоимость перевозки. Сотрудники использовали выражение часто, и система завалила ИБ-специалиста тысячей ложных сработок, будто в рабочее время все играли в казино, а не вели переписку с клиентами.

В другой отрасли политика сработала бы без ложных инцидентов – если, конечно, в ней нет отдела логистики.

Продумать такие нюансы заранее иногда бывает сложно, и необходимость доработки подскажет первый ложный инцидент. Можно не дожидаться его и запросить помощь вендора – у хороших поставщиков решений есть наработанная годами экспертиза, которая подскажет, как настроить исключения. В нашем КИБе есть шаблоны условий поиска, используя которые вы сэкономите часы на доработку политик – на «вычищение» поисковой выдачи от спама, «мусора», который составляет основу ложных сработок. У нас такая «помощь зала» входит в техподдержку.

Например, в ряде отраслей (например, банках) важно выявлять пересылку анкеты акционера. И у нас в DLP настроена соответствующая политика, которая выявляет инциденты по этому виду документа. Но не всё, что найдет DLP , – инцидент. Сотрудники могут пересылать анкету по внутрикорпоративным каналам, могут обсуждать ее в корпоративном чате и т.д. В наших предустановленных политиках можно выбрать условия, чтобы ИБ-специалист получал алерт только если анкету пытаются отправить на внешний адрес или только во вложении или через мессенджер – и т.д.

То есть это та основа отраслевой политики, которую в компании будет легко доработать под себя. А можно не дорабатывать? Нет, так не выйдет. Не может быть универсальных условий поиска и универсального словаря.

Уточняем политики по потребностям компании

Тут тоже можно идти по пути постепенного сужения политик безопасности. Сначала настроим очевидные правила, потом добавляем исключения, белые списки.

Хорошо – это, когда есть несколько чётко настроенных, но простых политик, которые «закрывают» максимум критичных областей вашей компании. Например, если важны чертежи, стоит продумать все возможные процессы с ними – и настроить эти политики.  

Для тонкой настройки придется присмотреться, из чего состоит рабочий день отделов. Например, что происходит в отделе продаж на этапе переговоров с клиентом (по каким каналам), кто включен в процесс согласования цены, как происходит процесс выставления счета, какие нетипичные ситуации могут произойти в течение этого времени и т.д.

Реагируем на инциденты – уточняем политики

После того, как основные политики настроены, работа по их уточнению будет уже ситуационной – если появился новый канал передачи информации, который нужно контролировать (например, Zoom) или бизнес-процесс (выделен новый отдел или услуга).

Еще одним богатым источником для донастройки политик становятся выявленные инциденты.

Например, вот как у нашего клиента появилась идея настройки новой политики: При проверке отчётов по отсылаемой почте, ИБ-специалист заметил, что один из сотрудников отправил письмо с важными документами на свой же адрес. Так как работник имел доступ к корпоративной почте с телефона, он мог спокойно скачать этот файл с конфиденциальной информацией вне офиса. После этого случая в компании настроили политику «письма самому себе» и она позволила выявлять подобные уловки.


И делаем ювелирную настройку

Качество проработки политик напрямую зависит от уровня аналитики в решении. У нас 9 видов поисков + любая их комбинация.

Например, в словаре «откатных политик» есть слово «вознаграждение». А значит, среди алертов могут попадаться обсуждения банковского кэшбека и премии по итогам квартала. С помощью комбинирования условий поиска можно этого избежать. Например, исключить из выдачи те ситуации, где слово «вознаграждение» используется вместе со словом «кэшбек».

С определенным процентом ложных сработок придется стоически смириться, потому что среди них может проскочить что-то важное. Это не значит, что DLP отработала плохо, наоборот. Сработка может стать зацепкой, которая приведет ИБ-специалиста к расследованию крупного нарушения. Для этого, правда, нужно будет «поработать руками»: изучить и другие переписки, оценить психологические профили участников обсуждения, их сленг.

Подытожим

В настройке политик безопасности главное – практика. Чем больше пробуете, тем лучше работает система. DLP (в первую очередь говорим за свою) поставляется с готовыми политиками, которые начнут отрабатывать сразу как только развернута система. Дальнейшая отстройка займет около шести месяцев и не закончится на этом – вы будете отыскивать новые ситуации, требующие дополнительного контроля, уточнять группы риска среди сотрудников. Кажется, что долго, но на деле всё проще.

На первом этапе пользователю DLP может потребоваться помощь. Не постесняемся тут отвесить реверанс нашему отделу внедрения, который существенно ускоряет процесс настройки DLP, потому что обладает целым капиталом из многолетнего опыта работы с самыми разными компаниями, стандартными и нестандартными ситуациями. Обращайтесь!

Ну и традиционно пара полезных материалов: инструкция по настройке «откатных» политик . А если с рабочими руками в компании совсем туго – почитайте , возможно, вам подойдет наш аутсорсинг.
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.