Каналы утечки информации. Часть 1

Руслан Рахметов, Security Vision

Мы наблюдаем разные типы информации вокруг нас: часть её носит информативный и образовательный характер (статьи на Википедии, видеокурсы для обучения новой профессии), другая часть – развлекательный (просмотр кино и сериалов онлайн, музыкальные сервисы), третья часть – бытовой (покупка продуктов в онлайн-магазине, инструкции к лекарствам). Примеров можно привести ещё очень много, но в общем случае нас окружает очень много данных, о нежелательной утечке которых пойдёт речь в этой статье.

Полезные данные в сети не просто где-то лежат, но постоянно изменяются и двигаются. Иногда перемещение данных необходимо для их функционирования: резервное копирование, скачивание музыки для прослушивания в поездке без выхода в интернет, отправка сканов документов на корпоративную почту банка для оформления ипотеки и т.д. Но иногда перемещение (или кража, как частный случай такого перемещения) – нежелательно и может быть наказуемо.

Часть полезной информации, которую нужно беречь – ваши персональные данные (ПД, или ПДн), которые все сервисы, описанные выше, используют, чтобы лучше вас понимать, запомнить и вовремя предложить свои услуги. Под персональными данными понимают сведения, позволяющие описать и определить их владельца (субъект, согласно 152-ФЗ). Это, например, имя и фамилия, номер телефона, адрес места проживания, возраст, история болезней, номер банковской карты и т.д. Такие данные не всегда критичны по отдельности, но в комбинации их утечка точно может нанести много вреда.

Помимо ПДн, существуют и другие разновидности конфиденциальной информации, которую разрешено перемещать только внутри компании (или её отдела), или вообще запрещено передавать любыми способами, кроме нескольких, контролируемых средствами защиты информации. Мы будем приводить примеры различных каналов утечки данных (способов, форматов перемещения) и рассказывать про меры защиты, которые можно использовать в каждом случае.

У разных каналов утечки информации может быть несколько форм, поэтому мы будем приводить примеры как случайных потерь, так и умышленных краж данных. В текущей статье мы рассмотрим различные каналы в двух категориях: использование физических носителей и сетей.

1.1 Утечка с физическими носителями

Давайте представим ситуацию, когда сотрудник забыл вынести документы с чувствительной информацией из переговорной комнаты или просто оставил их в открытом доступе на своём рабочем столе. Если мимо будет проходить злоумышленник, он сможет получить доступ, запомнить или просто выкрасть документы. Помимо случайного доступа, бумажные данные необходимо правильно утилизировать.

Для защиты от таких случаев или хотя бы для поиска злоумышленников можно организовать видеонаблюдение и внедрение правила «чистого стола». Также поможет применение шредеров и другие способы уничтожения данных.

Флешку с важными данными можно забыть в типографии, выронить на улице или оставить в кафе, а злоумышленник может использовать периферийное устройство для заражения компьютера и кражи данных при помощи вируса.

Для защиты внедряют: политики (правила) использования внешних устройств, например, запрет всех флешек (кроме тех, что находятся в «белом списке»), контроль использования USB-устройств, применение системы предотвращения утечек данных, информирование сотрудников о рисках.

Помимо мобильных накопителей, данные могут содержаться и внутри более крупных устройств. Например, если при утилизации списанного с баланса ПК из него не извлечь жёсткий диск, а при выбрасывании старого принтера оставить в нем внутренний накопитель с копиями данных, отправленных на печать, – можно также потерять конфиденциальные данные.

Для защиты в таких случаях помогут организационные меры: безопасная утилизация устройств, удаление данных перед продажей или утилизацией. Данные на жёстких дисках можно также удалять безопасно с перезатиранием. При этом можно обеспечить мониторинг состава железа с применением средств AM и/или EM.

Мобильные устройства (смартфоны, планшеты и ноутбуки) также могут стать причиной утечки данных. Так, например, потеря смартфона с контактами клиентов и партнёров и другими сведениями или использование незащищённых мессенджеров для отправки конфиденциальных данных – частые нарушения, от которых трудно защититься.

Тем не менее, для защиты можно либо запретить применять мобильные устройства на работе, либо ввести политику разграничения личных и рабочих данных через контейнеры или специальные пространства от создателей устройств.

1.2 Утечка через сеть

Злоумышленник может получить доступ снаружи к корпоративной сети через недостаточно защищённые сетевые порты или внедрённые в периметр вредоносы, а случайная утечка может произойти, например, при использовании такого компьютера. Для защиты внедряют брандмауэры, антивирусы, VPN или другие способы построения безопасной сети.

Существует также вариант утечки, когда данные фактически становятся недоступными для штатной работы. Так, например, в случае DDoS-атаки злоумышленник может добиться временной недоступности серверов (вызвать сбои в работе государственных систем, интернет-магазинов или других сервисов, доступность которых очень важна). Возможные ошибки в нормальном функционировании можно использовать и для кражи. В таких случаях применяют защиты от DDoS-атак и резервирование каналов связи.

Другая разновидность утечки по сети – это отправка конфиденциальной информации по электронной почте. Такая утечка может быть случайной (например, сотрудник сделал ошибку в адресе получателя) или умышленной, когда злоумышленники используют методы социальной инженерии и фишинговые письма, призывающие предоставить личные данные.

Для защиты в первом случае применяют системы предупреждения о конфиденциальных данных, специальные метки на данные и DLP-системы, а в случае фишинговой атаки – обучение сотрудников о техниках социальной инженерии, применение политики проверки подлинности и системы защиты почты.

Необходимость совместной работы с файлами создала потребность в применении облачных технологий хранения, которые также могут стать крупным каналом утечки. Например, при случайной выдаче доступа или компрометации учётной записи – любой в сети может получить нужные сведения.

Для защиты данных в облаке следует применять шифрование (самый простой способ – архивирование с паролями, но бывают и другие способы) и установить политику сильных паролей для учётных записей.

Отдельного внимания заслуживают утечки информации через социальные сети. В последние годы было немало случаев, когда фотографии с конференции или просто в окружении рабочего стола, будучи опубликованными в сети, содержали в себе либо документы, не предназначенные для общественности, либо стикеры с паролями, которые злоумышленник может использовать для доступа к данным.

Для защиты от таких утечек можно применять политики запрета мобильных устройств (см. раздел с физическими носителями выше), ограничение сетевого доступа к профилям в социальных сетях и обучение сотрудников основам безопасности в сети.

Многообразие каналов утечек конфиденциальных данных не ограничивается перечисленными примерами. В общем случае можно применять различные СЗИ (см. обзор тут , тут и тут) с применением средств оркестрации и управления инцидентами, а также вводить различные политики защиты на организационном уровне.