Не DLP единым стоит защищаться от утечек данных

Не DLP единым стоит защищаться от утечек данных
В последнее время в российском информационном поле часто звучат новости про утечки данных из телеком операторов, банков, коллекторов и других операторов персональных данных. Не зная деталей, сложно их комментировать и искать виноватых, а додумывать уж точно не стоит...
Во всей этой информационной шумихе я обратил внимание, на часто повторяемые комментарии типа "а что, у них DLP не куплено было разве?" или "пусть меняют свое плохое DLP на другое, хорошее". И мне кажется, что стоит в очередной раз напомнить, что покупка DLP -  это не панацея, защищающая от инсайдерских утечек... 

1. Купить и внедрить DLP просто, а вот правильно настроить удается не многим
Наличие тех или иных технологий детектирования в самой системе и настройка политик будут влиять на 2 важных параметра: количество ошибок первого и второго рода. Когда система помечает легитимные события инцидентами ("ложная тревога"), то время безопасника, разбирающего данный инцидент, тратится впустую, а когда система допускает "пропуск цели", то происходят утечки. И то и другое очень плохо. Искусство же настройки DLP заключается именно в том, чтобы найти баланс и сократить количество ложных (и не важных) срабатываний системы без ущерба для выявления действительно критичных инцидентов. Идея вроде бы очевидная, но... 

Проверьте свою DLP на простой задаче: выявление документов с проставленными грифами конфиденциальности (КТ, ДСП, Confidential и пр.). Сколько таких событий было выявлено за период (например, за последний месяц)? Какой из них процент ложных / не значимых (например, передача документов между сотрудниками одного отдела) срабатываний? Сколько времени вы потратили на это анализ? Можно ли было это время потратить на что-то более полезное для ИБ? Многие из вас удивятся результату... Если не сложно, напишите мне в комментарии или личным сообщением.

Еще хуже (с точки зрения защиты от утечек), если DLP начинает использоваться не по своему прямому назначению (особенно, если система плохо настроена, а инциденты не разбираются), а для не самых важных для безопасника, но "интересных" задач: контроля рабочего времени, профайлинга, поиска компромата на сотрудников... Я не раз наблюдал такое "забивание гвоздей микроскопом"...
2. Прежде чем что-то запрещать и контролировать, надо обучить сотрудников правильному (с точки зрения ИБ) поведению. 
В контексте защиты от утечек, в компании, в первую очередь, должны быть разработаны правила классификации, маркирования и обработки конфиденциальной информации, а затем и правила допустимого использования активов (например, ноутбуков и смартфонов, внешних носителей, сервиса Интернет, корпоративной электронной почты, сетевых дисков и прочего). Сотрудников необходимо с ними ознакомить, объяснить зачем все это надо и почему нельзя по другому, дать конкретные советы и рекомендации, а также, как бы странно это не звучало, замотивировать на их исполнение.

Проверьте себя: Знают ли ваши сотрудники какая информация в компании является "очень конфиденциальной", а какая просто "конфиденциальной". А отметки о конфиденциальности / грифы проставляют? Знают ли какую информацию можно отправлять по корпоративной электронной почте, а какую строжайше запрещено? Вы уверены?

Кстати, процедуры управления инцидентами (а даже лучше отдельные инструкции по реагированию на определенные типы инцидентов) тоже стоит продумать, документировать и внедрить... Начать можете с инструкции по реагированию на инциденты, выявленные DLP. Конечно при условии, что вы правильно настроили систему...

3. DLP практически бесполезно для защиты от умных злонамеренных инсайдеров.
Опытные нарушители будут стараться обойти средства мониторинга и контроля (например, будут пытаться отключить отдельные службы Windows или запустить безопасный режим (safe mod, в этом режиме многие агенты DLP не работают)), или же скрытно скопировать информацию по неконтролируемым каналам (например, вынести жесткий диск и скопировать его содержимое дома, скачать документы из корпоративной почты на свое мобильное устройство или сфотографировать/записать видео с экрана монитора). Выявлять таких нарушителей и пресекать их деятельность не просто. Рекомендациями для таких случаев (такой модели угроз/рисков) будут соразмерное возможному ущербу усиление базовых мер защиты (например, разграничение и контроль доступа, физическая безопасность, шифрование носителей, контроль запросов к БД), внедрение систем анализа и корреляции логов и выявления "аномального поведения" (например, SIEM, UEBA), внедрение средств дополнительного (скрытого) маркирования документов.
Проверьте себя: Знаете ли вы свои самые ценные информационные активы, определены ли их владельцы? Как часто вы пересматриваете (и сокращаете) права доступа к критичным системам, каким образом реализована процедура? Каким образом вы блокируете USB, облачные хранилища? Определены ли у вас "белые списки" ПО, как вы контролируете его установку? Шифруете ли вы трафик в корпоративной сети? Шифруете ли вы съемные носители и мобильные устройства? Разрешен ли у вас BYOD/CYOD, как вы контролируете устройства (MDM, EMM)? Какая у вас политика проноса на территорию личных мобильных устройств? Как вы контролируете запросы к БД? Используются ли у вас технологии записи сессий привилегированных пользователей или при работе обычных пользователей с критичными системами? 

4. Для контроля особо ценной информации стоит использовать дополнительные средства. 
Несколько лет назад, когда я работал в компании-производителе СЗИ, к нам пришел запрос от одного гос.органа, руководители которого хотели чтобы мы для них разработали дополнительный модуль к DLP / отдельную систему. Она должна была бы на лету создавать "копии" определенных документов (в первую очередь, протоколов заседаний), но чтобы каждый адресат получал свой чуть измененный текст. Это было нужно для того, чтобы в случае утечки таких документов или отдельных цитат из них, например, в прессу, можно было установить источник. Тогда мы подготовили прототип, используя наши лингвистические технологии, но проект, по ряду причин, дальше не развивался. 

В настоящий момент можно встретить более продвинутые решения, позволяющие изменять не содержание, а оформление текста (сдвиги строк и слов, размеры полей, междустрочные и межсимвольные интервалы), которое визуально не заметно человеку, но определяется специальными системами. Это позволяет выявлять, например, сотрудников фотографирующих мониторы и выкладывающих фото в соц.сети и группы в мессенджерах (это, кстати, реальный кейс, за расследование которого мне даже премию выписали), или подрядчиков, допустивших утечку переданных им документов (тоже реальный кейс)...
5. Риски утечки информации со стороны подрядчиков тоже стоит учитывать (и управлять ими).
Мы же помним, что к инсайдерам относятся не только сотрудники нашей компании, но и работники наших подрядчиков, которые имеют легитимный доступ к нашим данным (например, консультанты, провайдеры ИТ услуг, услуг аутсорсинга ИБ). Просто прописать в договоре фразы - обязательства о неразглашении, конечно, хорошо, но каким образом мы можем убедиться в надежности системы ИБ партнера?

На днях я присутствовал на презентации решений и подходов по обеспечению privacy и защите персональных данных компании OneTrust, на одном из слайдов они показывали очень настораживающую статистику: 59% компаний сталкивались с утечками данных по вине своих поставщиков. Пожалуй, что пора заняться внедрением политики и программы в области ИБ применительно к отношению с поставщиками (я для этого ориентируюсь на ISO 27001, A.15)...
Проверьте себя: Внесены ли требования по защите конфиденциальности передаваемой информации в договоры с поставщиками, определены ли санкции за разглашение в NDA? Засылаете ли вы опросники для определения текущего уровня ИБ ключевых поставщиков до подписания с ними договоров? Оцениваете ли риски ИБ в отношении поставщиков? Проводите ли аудиты ИБ поставщиков? Определены ли и документированы процедуры реагирования (или хотя бы просто уведомления) на инциденты ИБ? Каким образом обеспечивается безопасный информационный обмен с поставщиками?

_____
Итого, кратко повторю и напомню важные рекомендации по усилению защиты от инсайдерских утечек:
  1. Донастройте свою DLP.
  2. Разработайте "живые" правила работы с конфиденциальной информацией, обучите сотрудников (а не просто дайте им документы на ознакомление).
  3. Разработайте и внедрите процедуры реагирования на утечки.
  4. Определите актуальные угрозы со стороны злонамеренных инсайдеров и внедрите соответствующие меры обнаружения и защиты.
  5. Определите политику и внедрите программу контроля состояния ИБ поставщиков. 

Alt text

Andrey Prozorov

Информационная безопасность в России и мире