На ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников.
Автор: Александр Коновалов, технический директор Varonis Systems в России
Основным средством борьбы с этим типом угроз стали DLP-системы (Data Leak Prevention), главная задача которых – фильтрация всего исходящего из защищаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденциальных данных. Еще одна важная задача DLP – соответствие требованиям отраслевых стандартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA.
Подобные системы нейтрализации внутренних угроз развиваются уже более 20 лет и достигли определенного совершенства. При этом методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям. Это выливается в постоянную гонку за контролем все большего числа каналов передачи информации и необходимость бесконечно совершенствовать правила фильтрации, что в конечном итоге приводит к дополнительной нагрузке для ИТ-бюджета компании. Кроме того, подход, основанный на по-файловом анализе, который используют большинство DLP-систем, сдается под натиском петабайтов неструктурированной информации: такая система начинает генерировать сотни оповещений, которые чрезвычайно сложно приоритизировать.
Несмотря на все усилия, количество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы, которую смогли разглядеть СМИ.
Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфиденциальных файлов находятся в распоряжении любого работника. Все это указывает на необходимость внедрения дополнительных средств защиты, которые помогли бы кардинально повысить эффективность DLP-систем, а то и вовсе заменить их.
Для организации эффективной защиты от утечек конфиденциальных данных прежде всего необходимо четко представлять, где они находятся. Для этого можно применить специальные системы классификации, которые проанализируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важности документа на основе правил и моделей, позволяющих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные.
Кроме того, правильная классификация подразумевает использование набора регулярных выражений, минус-слов, механизма сопоставления с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регистрации активностей в файловой системе.
Качественно проведенный анализ информационного массива организации сам по себе не приведет к повышению уровня его защищенности. Результаты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных.
Помимо этого, инструмент должен обеспечивать видимость прав доступа к данным (с учетом наследования), наличия учетных записей с широкими правами и нестойкими паролями, а также подозрительных соединений по VPN. Предпочтительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке.
Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые способны снижать риски в короткий срок благодаря массовой корректировке прав доступа к конфиденциальным данным. Для удобства предварительного моделирования вносимых изменений средства автоматизации должны иметь режим песочницы, помогающий заранее понять, как отзыв ненужных прав скажется на работе организации.
Второй важной задачей, требующей автоматизации, является перенос, архивирование или удаление конфиденциальных данных для соответствия текущим политикам их безопасности. Надлежащие средства помогут быстро навести порядок в инфраструктуре и в короткие сроки внедрить принцип наименьших привилегий. Важно обеспечить пользователей в случае необходимости удобной формой запроса на выдачу прав к папкам, группам.
Такие облачные сервисы, как Microsoft 365, SalesForce, Zoom, GitHub, Google Workspace, нуждаются в контроле доступа к их содержимому и определении пользователей со слишком широкими правами. Чтобы решить эту задачу, применяются средства, оповещающие о передаче конфиденциальных файлов через ссылки с общим доступом, об открытии доступа к ним гостевым пользователям, о распознавании неактивных ссылок с внешним доступом.
Эти инструменты, опираясь на полученный в ходе анализа контекст, приоритизируют собираемую информацию, визуализируют ее и оповещают администратора о подозрительной активности.
Возвращаясь к слабым сторонам большинства DLP-систем, следует признать, что их функциональность не может обеспечить защиту от продвинутых угроз, например от детально проработанных кибератак, выполняемых квалифицированными хакерами. Сильно уменьшить "простор для творчества" злоумышленников помогают инструменты контроля конфиденциальных данных.
Распознать комбинированные кибератаки, подозрительный доступ к данным, попытки несанкционированного входа в систему и кражу DNS можно с помощью средств анализа событий на конечных точках, определения геолокации и проверки репутации URL. Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов и вовремя изолировать скомпрометированный узел от защищаемых данных. Необходимо, чтобы эта задача решалась и за пределами локальной ИТ-инфраструктуры, распространяясь на облачные сервисы, так как их штатные меры защиты нельзя признать достаточными.
Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных, которого так не хватает DLP-системам.
Консалтинговая компания Forrester в своем недавнем отчете сообщила, что внедрение инструментов защиты позволяет снизить риск утечки чувствительной для компании информации на 75% по сравнению с результатами, демонстрируемыми DLP без дополнительных средств поддержки. Игнорировать этот факт – значит оставить компанию беззащитной перед реальной угрозой, пополнить список корпоративных утечек, который и без того выглядит весьма печально.