Что такое DLP системы и как они применяются

Что такое DLP системы и как они применяются


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

В последние годы со страниц новостных изданий и профильных ресурсов по кибербезопасности не сходят громкие заголовки об утечках информации: регулярно обнаруживаемые в открытом доступе базы персональных данных, «сливы» внутренних документов и email-архивов крупных компаний, использование украденных паспортных данных в мошеннических действиях. Следовательно, разрабатывая модель угроз и нарушителя для организации, опытный специалист по кибербезопасности не должен упускать из виду угрозы, создаваемые инсайдерами - внутренними нарушителями, а также должен задуматься о применении DLP-систем для предотвращения утечек данных (DLP - Data Leak/Leakage/Loss Prevention).

Внутренние нарушители (инсайдеры) — это сотрудники и руководители организации, а также лица, имеющие с ней активные договорные отношения: партнеры, поставщики, аутсорсеры, подрядчики, заказчики и иные контрагенты. Инсайдеры отличаются хорошими знаниями о работе компании, уже имеют или легко могут получить санкционированный и зачастую расширенный доступ к ИТ-активам. Акционеры, руководители высшего звена, даже линейные менеджеры, пользуясь своим должностным положением и обосновывая срочной служебной необходимостью, могут пытаться получать высокопривилегированный доступ в обход стандартных процедур информационной безопасности, а также могут активно противодействовать мерам защиты (например, DLP-системам) или процедуре расследования в случае выявленных нарушений.

Юридические лица (подрядчики, аутсорсеры, поставщики и т.д.) могут представлять угрозу кибербезопасности для компании из-за возможности осуществления умышленных атак: кражи интеллектуальной собственности и иной интересующей их конфиденциальной информации, отработки «заказа» конкурентов, выполнения задания по поручению правительства своей юрисдикции. Кроме того, такие юридические лица могут неумышленно предоставлять свою ИТ-инфраструктуру в качестве плацдарма для атак внешних злоумышленников: например, хакеры зачастую скрытно закрепляются в системах взломанной организации для того, чтобы атаковать более интересные для них цели. Так, взломав IT-компании SolarWinds и Kaseya, атакующие получили доступ к инфраструктурам клиентов данных компаний, в результате чего атакованными оказались многие организации, которые, возможно, были защищены даже лучше, чем их провайдеры ИТ-услуг, которые оказались «слабым звеном».

Более распространенным способом проникновения, однако, остаются настроенные между компаниями VPN-туннели, которые позволяют хакерам, находясь в инфраструктуре взломанной компании, атаковать её контрагентов через это VPN-соединение. Известны случаи, когда причинами утечек становились поставщики IT-сервисов, производители вспомогательного оборудования и сотрудники компании-подрядчика. Таким же «посредником» для атаки может стать и ничего не подозревающий сотрудник компании, по невнимательности запустивший вредоносный файл на своем ноутбуке, который он затем подключил к корпоративному VPN для работы из дома. Вирус, получив контроль над зараженным ноутбуком, может передать управление атакующему, который, поняв, что это не простой домашний ноутбук, а корпоративное устройство, скорее всего разовьет атаку: похитит учетные данные сотрудника (доменное имя пользователя и пароль), затем постарается проникнуть в инфраструктуру компании для хищения конфиденциальной информации, запуска вируса-шифровальщика, майнинга криптовалюты и т.д.

Итак, инсайдерами можно считать как лиц, которые умышленно осуществляют несанкционированный доступ к защищаемой информацией с различными деструктивными целями, так и тех, чьи аккаунты и рабочие станции были скомпрометированы злоумышленниками. Вредоносное ПО, попав в инфраструктуру целевой атакуемой организации, будет на первых порах работать от имени похищенной учетной записи, с дальнейшими попытками получить доступ к самым высокопривилегированным аккаунтам (например, администратора домена/предприятия) и отключением всех защитных систем (в т.ч. антивируса, фаирволла, DLP-системы). Как раз на этом этапе кибератаки, когда несанкционированные действия выполняются из-под учетных записей обычных, низкопривилегированных пользователей, мы и можем осуществить реагирование и предотвратить негативные последствия взлома с помощью систем класса DLP (Data Leak/Leakage/Loss Prevention, системы предотвращения утечек/потери данных). Данный класс решений осуществляет контроль за работой сотрудников с защищаемой информацией, за потоками конфиденциальных данных в инфраструктуре компании и способами их обработки. Контролируемые каналы потенциальной утечки информации у разных производителей DLP-систем могут отличаться, но, как правило, основными способами хищения данных являются:

  • копирование файлов на съемные накопители (флешки, CD/DVD-диски) и мобильные устройства (смартфоны, планшеты)

  • передача по электронной почте

  • передача через веб-сервисы (мессенджеры, соцсети, облачные хранилища)

  • передача через сервисы синхронизации данных (например, OneDrive, Dropbox)

  • передача через AirDrop и Bluetooth-соединения

  • передача через буфер обмена (возможность скопировать данные через удаленное RDP-подключение)

  • распечатывание, фотографирование и сканирование документов.

В случае хакерской атаки с помощью скомпрометированных учетных записей каналы вывода (эксфильтрации) информации могут быть более изощренными: например, через разнообразные Web API с передачей данных через защищенный HTTPS-протокол, через протокол удаленной синхронизации данных (rsync), через SFTP/SCP/SSH-соединение, путем создания скрытых каналов передачи данных (например, с инкапсуляцией похищаемой информации в DNS/ICMP-трафике), с применением методов стеганографии (сокрытие передаваемых данных внутри файлового контейнера, например, безобидной картинки).

По принципу работы системы DLP можно условно разделить на агентные и безагентные, с возможностью оперативной блокировки несанкционированных действий «на лету» или позволяющие только осуществлять пост-мониторинг выполненных действий. Также DLP-решения отличаются по функциональным возможностям выявления конфиденциальной (защищаемой) информации в потоках данных, по количеству поддерживаемых файловых форматов и сетевых протоколов, по наличию функционала поиска и классификации конфиденциальной информации на сетевых хранилищах и на локальных дисках, а также по наличию дополнительных модулей (модули машинного обучения, компьютерного зрения, выявления аномалий в поведении пользователей и систем и т.д.).

Агентные системы предотвращения утечек данных подразумевают установку DLP-агента на все контролируемые устройства (ПК, ноутбуки, серверы, мобильные устройства), невидимого и неотключаемого для обычного низкоприлегированного пользователя. Такой DLP-агент работает аналогично антивирусу: устанавливается в операционную систему на низком уровне, осуществляет перехват системных вызовов, контролирует работу дисковой подсистемы и сетевую активность для выявления защищаемой информации. Минусами агентного DLP-решения можно назвать возможность отключения/приостановки DLP-агента высокопривилегированным пользователем (локальным администратором), зависимость агента от окружения (может некорректно работать на атакованной злоумышленниками системе), ресурсоемкость (повышенное потребление вычислительных ресурсов устройства, на котором он установлен).

Безагентные системы функционируют на уровне контроля сетевого трафика, а также устанавливаются на точки обработки потоков информации (корпоративные прокси-серверы, почтовые серверы, файловые серверы, серверы бизнес-приложений). При работе DLP-систем на уровне контроля сетевого трафика их подключение осуществляется либо через SPAN-порт маршрутизатора (схема «зеркалирования», mirroring), либо через TAP-подключение (установка устройства с DLP-компонентом «в разрыв» сетевого соединения). В случае использования TAP-подключения можно выполнять инспекцию SSL/TLS-трафика, доля которого в современном интернете близка к 90%. Установка DLP-компонент на важные инфраструктурные объекты (почтовые, файловые, бизнес- и прокси-серверы) подразумевает контроль обработки информации вне зависимости от пользовательских конечных точек - иначе говоря, сотрудник может работать с корпоративной электронной почтой с личного iPhone, на котором нет DLP-агента, и тем не менее его действия с защищаемой информацией будут отслеживаться.

DLP-системы, обеспечивающие возможность блокировать несанкционированную обработку информации, позволяют значительно снизить риск утечки информации и, как следствие, уменьшить ущерб от такого инцидента практически до нуля. Однако, работа DLP-решения в режиме блокировки имеет свои очевидные недостатки: в случае False Positive (ложноположительного срабатывания), когда DLP ошибочно заблокировала санкционированный, легитимный обмен информацией, соответствующий бизнес-процесс будет приостановлен. Приведем пример: DLP-решение ошибочно приняла файл с открытой конкурсной документацией за конфиденциальный договор и заблокировала email-отправку такого файла, таким образом заблокировав бизнес-процесс до момента ручного вмешательства специалиста по ИБ, который должен проанализировать заблокированный файл, понять, что классификатор отработал неверно, добавить этот файл в «белый список», связаться с отправителем и попросить его повторить отправку email. Таким образом, работа DLP-системы в режиме блокирования требует очень тщательной предварительной настройки, классификации и тюнинга правил контроля информации для минимизации подобных ложноположительных срабатываний.

DLP-решения по защите от утечек данных, работающие в режиме мониторинга, осуществляют, по сути, постфактум-анализ произошедшего с данными: в случае, когда передача событий безопасности и предупреждений от DLP-агента осуществляется непрерывно, в режиме реального времени, это лишь незначительно снижает общий уровень защищенности конфиденциальной информации, поскольку дежурный аналитик SOC-центра может своевременно предпринять дополнительные действия по недопущению утечки информации: связаться с руководителем сотрудника-нарушителя, заблокировать доступ к облачному хранилищу, принудительно отключить съемный накопитель и т.д. Однако в случае, если сетевая коммуникация между DLP-агентом и центром управления DLP-системой нарушена (например, нарушитель намеренно отключил интернет на время копирования данных на флешку), то реакция может быть слишком запоздавшей. Однако, даже DLP-система в режиме мониторинга окажет неоценимую помощь путем обогащения данных о событиях безопасности, поступающих, например, в SIEM-систему. Сведения о действиях пользователей с файлами, их работа с облачными хранилищами, съемными накопителями и иными потенциальными каналами утечки информации будет чрезвычайно полезной при анализе инцидентов и проведении форензик-исследований.

Функциональные характеристики способов выявления конфиденциальной (защищаемой) информации в потоках данных играют решающую роль при выборе DLP-системы, поскольку именно возможности семантического анализа содержимого определяют конечную эффективность системы предотвращения утечек данных. Представим, что в перечень защищаемых сведений мы внесли персональные данные наших сотрудников и клиентов; таким образом, все файлы и документы, содержащие фамилии, имена, отчества, даты рождения, серии/номера паспортов и прочее DLP-система должна интерпретировать, как конфиденциальные, путем семантического анализа контента (содержимого).

Семантическое ядро DLP-системы может использовать:

  • Регулярные выражения: применяется для структурированных данных, таких как паспортные данные, данные банковских карт и номеров страхования.

  • Сравнение по ключевым словам: применяется для поиска конкретных «секретных» слов в содержимом файлов (название нового продукта, химические формулы, наименования компаний-поставщиков).

  • Поиск по полному совпадению файлов: применяется для контроля обработки известных заранее и неизменных файлов (например, подписанные электронной подписью договора, зашифрованные файловые контейнеры, дистрибутивы проприетарного ПО).

  • Поиск по структуре файлов: анализ содержимого файла выявляет определенную частоту употребления ключевых слов и структуру документа, на основании чего делается вывод о принадлежности документа к той или иной категории конфиденциальной информации (например, документы, содержащие в правой верхней части страницы «шапку», считаются заявлениями сотрудников, а документы, содержащие в колонтитуле каждой страницы название и адрес компании - объектами интеллектуальной собственности).

  • Поиск по содержимому с использованием машинного обучения: система DLP обучается на некотором большом наборе документов и файлов, которые аналитик ИБ пометил как конфиденциальные. Далее при обнаружении нового файла DLP-система проводит его сравнение с ранее проанализированными файлами и принимает решение, может ли с определенной долей вероятности данный файл содержать конфиденциальную информацию.

Дополнительный функционал DLP-систем может включать в себя:

  • Модуль анализа файловых хранилищ: используется для анализа файлов на общих сетевых дисках для поиска конфиденциальных документов, хранящихся в общем доступе с некорректными правами, для выявления владельцев файлов (по количеству и частоте обращений к документу конкретного пользователя), для структурирования и наглядного представления состояния системы хранения документов в компании, для дедупликации данных.

  • Функционал записи действий на устройстве: помогает контролировать деятельность как сотрудников, так и подрядчиков и аутсорсеров в IT-системах организации; также может использоваться при проведении внутренних проверок (расследований) и при форензик-исследовании устройства.

  • Модуль выявления аномалий в поведении пользователей: применение машинного обучения позволяет выявить отклонения в нормальном рабочем поведении пользователя, такие как работа в нехарактерные часы (ночью в выходные), запуск редких системных утилит, установка и работа подозрительного ПО, посещение нетипичных для пользователя веб-ресурсов, изменение круга общения в корпоративном мессенджере, даже резкое повышение количества опечаток, что может говорить о стрессе или выгорании.

  • Модуль OCR (optical character recognition, оптическое распознавание символов): позволяет перевести картинку, например, отсканированный текст, в машиночитаемый вид для применения семантических алгоритмов.

  • Модуль машинного зрения (computer vision): применяется для анализа поведения и действий сотрудников за экраном рабочего компьютера, оснащенного веб-камерой, например, для выявления фактов фотографирования экрана или нецелевого использования рабочего времени.

  • Модуль распознавания речи: использование встроенного в рабочий компьютер микрофона для выявления фактов устного разглашения конфиденциальной информации.

Отметим также, что внедрение DLP-системы — это комплексный процесс, который включает в себя оценку текущего состояния процессов ИБ в компании, анализ информации, представляющей ценность и обрабатываемой в цифровом виде, проведение классификации ИТ-активов, содержащих конфиденциальные данные, интервьюирование ответственных и владельцев бизнес-процессов. Для юридического и документарного обоснования работы DLP-системы следует ввести в компании режим коммерческой тайны (в соответствии с нормами 98-ФЗ «О коммерческой тайне»), подготовить список сведений, составляющих коммерческую тайну компании, затем ознакомить с документами сотрудников компании под роспись, особо подчеркнув в них факт применения в компании DLP-системы. Кроме того, в качестве организационных мер борьбы с внутренними угрозами можно применять проведение проверок соискателей при приёме на работу, психофизиологические исследования с применением полиграфа, обучение и регулярное повышение осведомленности работников в области информационной безопасности и требований организации по работе с информацией, а также непрерывное обеспечение и контроль кадровой и психологической безопасности членов коллектива - выявление негативных тенденций, работа с негласными информаторами, взаимодействие с формальными и неформальными лидерами коллективов. Для минимизации рисков, порожденных юридическими лицами (аутсорсерами, подрядчиками, поставщиками и т.д.), следует заключать с ними юридически верно составленное соглашение о неразглашении (NDA, non-disclosure agreement) с указанием ответственности за его нарушение и порядка компенсации ущерба; также может проводиться проверка благонадежности контрагентов, анализ истории и возможностей поставщиков, оценка возможных рисков оказания тех или иных услуг определенным лицам, дополнительно может осуществляться неформальный аудит информационной безопасности поставщиков и подрядчиков (в виде опросников). Отметим также, что анализ мест хранения и способов обработки охраняемой информации, пересмотр семантических правил выявления конфиденциальной информации DLP-системы и актуализацию списка сведений, составляющих коммерческую тайну, следует проводить с заранее определенной периодичностью (но не реже 1 раза в год), включив данный процесс в систему управления информационной безопасностью в компании.

В заключение отметим, что DLP-системы могут быть успешно применены для борьбы как с внутренними нарушителями, так и с внешними угрозами: например, попавшее в систему шпионское ПО будет вести себя как типичный инсайдер: сканировать корпоративную ЛВС, искать ценную информацию в сети и локально, пытаться передать найденные данные наружу. Такой киберинцидент может привести к существенному ущербу для компании, если добычей вируса-шпиона станет конфиденциальная корпоративная информация или персональные данные клиентов.

Время реагирования на подобные киберинциденты должно быть максимально сокращено, поскольку с момента первичного проникновения в сеть до вывода похищенных данных зачастую проходят считанные минуты. Для минимизации значений показателей MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент) применяются системы автоматизации процессов ИБ и реагирования на киберинциденты - такие, как IRP/SOAR-решение Security Vision. Данный продукт может заполнить пробелы в стандартных DLP-системах, такие, как недостаточная интеграция с другими средствами защиты (например, с SIEM-системами), отсутствие модулей машинного обучения, искусственного интеллекта и обработки Big Data, невозможность проактивного реагирования на утечку информации за пределами контролируемой с помощью DLP инфраструктуры (например, на межсетевом экране или в EDR-системе). Интеграция данных, предоставляемых DLP-решением, с событиями безопасности, получаемыми SIEM-системой, помогут аналитику SOC-центра получить более полную, обогащенную картину инцидента, а риск-профилирование пользователей станет более точным. Можно будет увидеть не только сам факт передачи конфиденциальной информации, но и контекст данного действия: было ли оно выполнено пользователем локально или удаленно, из какой геолокации подключался удаленный сотрудник, не предшествовали ли этому подключению попытки неуспешной аутентификации (возможный подбор пароля), насколько типичным для пользователя является поиск определенного слова во всех документам на всех доступных сетевых дисках. Графический плейбук, создаваемый в системе Security Vision IRP/SOAR, поможет отразить логику реагирования на подозрительные действия как внутренних нарушителей, так и внешних атакующих, получивших несанкционированный доступ к учетной записи сотрудника, а интеграция Security Vision с различными системами и средствами защиты информации поможет минимизировать ущерб от утечки информации за счет сокращения времени реагирования на киберинцидент.

Интересные публикации