New Age DLP

Мария Воронова, руководитель направления консалтинга, ведущий эксперт по ИБ InfoWatch, эксперт BISA

Мир стремится к универсальности и многофункциональности. Стали обыденностью всевозможные многофункциональные устройства, в том числе смартфоны, которые поддерживают не только голосовое и смс-общение, но и огромное количество иных функций. Такие гаджеты играют роли будильников и калькуляторов, плееров и фитнес-шагомеров, электронных кошельков и даже полноценных платежных средств, включают в себя различные бизнес-приложения... Другими словами, «все в одном» – это тренд сегодняшнего дня.

Нетривиальная задача

Цифровой мир уже нельзя представить без возможностей обработки колоссальных потоков данных в режиме реального времени. Аналогичные тенденции происходят и в мире информационной безопасности. Специалисту службы безопасности, в соответствии с самим характером его деятельности, также приходится выполнять большое число разнообразных задач, и зачастую без автоматизации процессов и их правильной корреляции ему уже не обойтись.

Подобные процессы требуются и для обеспечения актуального состояния систем информационной защиты, проактивного или реактивного реагирования, расследования инцидентов в сфере безопасности. Множество систем защиты обрабатывают огромные массивы данных (т.е. того, что повсеместно принято называть big data) с целью обнаружения вторжений, а желательно – и предотвращения потенциальных инцидентов. Задача состоит в том, чтобы в ежесекундном многогигабайтном потоке «зацеплять» и выделять лишь самые важные сведения, которые могут указывать на потенциальные события или атаки на инфраструктуру компаний. И эта задача абсолютно не тривиальна.

Большое значение имеет специфика бизнеса или служебных процессов конкретной организации. Если вспомнить классический подход к информационной безопасности как к обеспечению конфиденциальности, целостности и доступности, то стоит отметить, что критерии и оценка ИБ-рисков отдельно взятых процессов каждого предприятия могут существенно различаться по степени значимости этих показателей. Однако в любом случае именно мониторинг и контроль помогают своевременно фиксировать возможные инциденты или их предпосылки.

Система больше системы

Взять, например, системы класса DLP (Data Leak/Loss Prevention/Protection), которые в отрасли информационной безопасности воспринимаются (так уж сложилось исторически) как системы защиты от утечек информации ограниченного доступа. Однако подчеркнем, что сегодняшний функционал DLP-систем гораздо шире, чем просто защита от утечек. Современная система DLP’2016 не «равна» системе DLP, как бы парадоксально это ни звучало: скорее, между ними должен стоять знак «больше».

К настоящему времени система DLP превратилась в платформу, способную обрабатывать потоки big data с целью или целями, определяемыми непосредственно самой организацией. Такими целями могут быть и, собственно, флагманская защита информации, и обнаружение фактов, которые свидетельствуют о внутренних нарушениях, и выявление противозаконных действий, и просто накопление информации, проходящей через корпоративные системы и сервисы, для ее последующих аккумуляции и использования при расследовании инцидентов.

И вот специалист службы информационной безопасности, воодушевившись новыми трендами, универсальностью и концептуальными «плюсами» единой многомодульной платформы, решает добиться и даже добивается выделения бюджета на приобретение такой системы. Что он получает в результате? Как раз те самые мегапотоки данных, их корреляции, не совсем нужные и не вполне понятные, и отсутствие всякого представления о том, как же все это правильно использовать для получения необходимых результатов. Системы становятся все интеллектуальней – факт, но он вовсе не означает, что в случае их применения человеческий фактор должен быть полностью исключен.

Выход из такой ситуации – решать с помощью систем, способных к эффективной обработке big data, свои насущные задачи и одновременно осваивать «арсенал» таких систем. Положительный опыт большинства иностранных и отечественных компаний с адекватным уровнем информационной безопасности состоит в поэтапном, даже, скорее, «покейсовом» внедрении. Когда сформулирована и поставлена конкретная задача, она решается с помощью системы, организуется мониторинг и необходимое реагирование. Далее – возникает еще одна задача. Для ее решения в систему вводятся новые правила и настройки, а при необходимости – и новые модули. От малого – к большому путем масштабирования, и тогда со временем удастся охватить весь скоуп системы менеджмента информационной безопасности.

Что можно выявить

Если выйти за рамки привычной задачи защиты от утечек, то что же все-таки можно выявить в нетехническом потоке данных, обработка которого осуществляется с помощью DLP-системы? Рассмотрим это на нескольких примерах.

Мошенничество. Нередко компании недополучают прибыль из-за того, что их сотрудники проворачивают крайне нетривиальные схемы, цель реализации которых – собственное финансовое обогащение. Например, на одном из заводов злоумышленники отсортировывали как брак абсолютно качественные детали, а затем продавали их на сторону в два раза дешевле, но уже «мимо кассы» предприятия. Как правило, в подобных схемах участвуют минимум нескольких сотрудников разных подразделений. Такие нестандартные коммуникации выявляются с помощью системы DLP – это всего лишь одна из задач анализа и правильной корреляции данных.

Сговоры во время тендера. При подготовке к конкурсу заинтересованное лицо внутри организации, активно лоббирующее одного из кандидатов, передавало ему информацию обо всех участниках, условиях и стоимости их предложений. Таким образом, готовилась почва для подготовки наилучшего предложения, чтобы предпочтение было отдано именно «нужному» кандидату. При помощи DLP системы факт таких коммуникаций был обнаружен и раскрыт.

Непрофильная и незаконная деятельность. Достаточно острая тема: DLP-система на основе анализа корпоративных данных может выявлять факты, свидетельствующие о ведении сотрудниками предприятия незаконной деятельности разного профиля. Как правило, большинство компаний предпочитают умалчивать об о выявленных таким способом нарушениях, считая нужным лишь по-тихому расставаться с персоналом, в отношении которого были зафиксированы нежелательные факты. Однако можно с уверенностью утверждать, что установка DLP-систем, например, на предприятиях, в школах и университетах позволит избежать множества нежелательных последствий, связанных с вербовкой либо принуждением людей к различным незаконным действиям.

Расследование инцидентов. Для специалистов служб информационной безопасности расследование инцидентов, связанных с внутренним мошенничеством, интересно тем, что при хорошем раскладе должен быть найден виновник происшествия и собраны доказательства его вины. Однако очень часто на практике немного не хватает данных, для того чтобы довести, «докрутить» расследование до финальной точки.

Дело в том, что при расследованиях внутренних инцидентов очень важно получать реальные подтверждения действий потенциальных нарушителей или же, наоборот, реальные доказательства их непричастности к рассматриваемым событиям. При этом лог-файлов из стандартных систем защиты информации обычно бывает недостаточно, требуется более продвинутый инструмент, способный глубже анализировать корпоративную деятельность персонала. А вот DLP – универсальный инструмент сбора и корреляции информации о корпоративном взаимодействии и деятельности сотрудников.

Так, в одном из банков DLP-система позволила выявить, что деньги, выведенные из него посредством мошеннических манипуляций одним из сотрудников, поступили на счет дальнего родственника злоумышленника. Как это удалось установить? При помощи DLP-системы был проведен анализ связей, контактов и общения, осуществлявшегося с корпоративных ресурсов банка.

Полная картина

Итак, «арсенал» современной DLP-системы далеко отошел от функционала, связанного исключительно с защитой от утечек данных. Основная характеристика DLP нового поколения – это возможность сбора, проведения быстрой аналитики и корреляции потока корпоративной информации практически в любых целях, отвечающих потребностям конкретной организации.

Настоящее и будущее сферы информационной безопасности состоит в том, чтобы обеспечивать эффективную и безопасную работу бизнеса. При этом ни в коем случае нельзя априори «запрещать и не пущать», задачи состоят совсем в другом: необходимо тщательно контролировать, пресекать попытки совершения несанкционированных действий и, конечно же, предупреждать о возможных угрозах и сопутствующих им рисках, составляя наиболее полную картину текущего уровня защищенности. Ну а без анализа big data все это представляется слабо выполнимым, поэтому мир информационной безопасности смещается от антивирусов в сторону систем, обеспечивающих анализ информационных потоков (SIEM, AntiFraud, а теперь – и DLP).

Можно добиться того, чтобы разрозненные отдельные события, как пазлы, складывались в полноценную картину, позволяющую увидеть уже произошедший инцидент либо предпосылки небольшого инцидента или даже катастрофы, возможных в ближайшем или более отдаленном будущем. Big data-анализ дает реальный шанс увидеть такую картину, а инструментами реализации этой цели стали DLP нового поколения, способные анализировать колоссальные массивы big data. Возможности их применения практически безграничны – все зависит от целей, потребностей и, конечно же, рисков конкретного бизнеса.

Тэги: 
Оцените материал:
Total votes: 24

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.