Безопасность данных – это базовая задача безопасности любой компании. Даже у малого бизнеса, который не привык создавать крупные и сложные системы киберзащиты, все равно есть потребность в защите данных. В крупных корпорациях этот вопрос стоит в тысячу раз острее. Для защиты данных существует множество средств, более того — любое решение безопасности в той или иной степени защищает ваши данные: антивирусы не позволят зашифровать компьютеры и украсть информацию, а средства для контроля действий сотрудников позволят заранее обнаружить инсайдерскую активность.
Но классическим средством для защиты данных является класс решений Data Loss Prevention, который буквально следит за данными и напрямую не позволяет им покинуть безопасный периметр.
Меня зовут Евгений Бородай и я Sales Engineer по решениям Digital Guardian, Boldon James в BAKOTECH. Я уже более 5 лет внедряю решения класса Data Loss Prevention и Data Classification в рамках проектов компаний из Центральной и Западной Азии, а также восточной Европы. Сегодня я расскажу вам о DLP с высоты своего опыта и знаний.  

Как устроен этот класс решений?

Data Loss Prevention (далее — DLP) мониторит все, что происходит с данными, в первую очередь, разумеется, следит за их перемещением. В основе логики решения лежит категоризация данных, потому что не вся информация является конфиденциальной и выход далеко не всех данных во внешний мир несет за собой тяжкие последствия. Например, нет ничего страшного, если сотрудник перекинет смешное видео с котами из корпоративного чата своим друзьям через личный аккаунт Telegram. Но точно так же он может перекинуть и последний бухгалтерский отчет или документацию по разработке революционного сервиса. Поэтому данные прежде всего нужно классифицировать, чтобы следить лишь за самым важным. Как это происходит?
Всего существует три подхода к классификации: контентный, контекстный и пользовательский.
● Классификация на основе контента основана на считывании содержимого документов на предмет наличия маркерных элементов: цифр, формул, ключевых слов. Например, если в файле есть слова «баланс» или «квартальный отчет», система автоматически присваивает этому файлу категорию повышенной важности и ограничивает действия по его перемещению и копированию. Пример довольно общий, но суть отражает.
● Классификация на основе контекста позволяет определить важность файлов не открывая их и не считывая содержимое. Делает это на основе автора файла или источника его создания. То есть под категорию конфиденциальных попадают данные, созданные определенными сотрудниками или отделами, файлы выгрузки из корпоративных IT-систем или данных за определенные периоды. Вот примеры на каждый из случаев:
- Юротделы компании занимаются, в том числе, оформлением договоров и сопровождением корпоративных сделок, поэтому файлы, созданные с аккаунтов юристов компании автоматически становятся конфиденциальными «в глазах» DLP. - Корпоративные системы хранения учетных данных позволяют сделать выгрузку данных в Excel. Это может быть нужно для рабочих задач IT-отделов, но само собой разумеется, что файл с логинами и паролями всех сотрудников не должен покидать пределов компании. Сюда относится и работа с внешними сервисами, например, системой контроля версий GitHub, где может храниться бекап или предыдущая версия сайта компании или код какого-то сервиса. - Данные по транзакциям отделения банка за рабочий день являются важным элементом финансовой отчетности, потому тоже могут быть выгружены в отдельный файл, но нельзя допускать к ним посторонних.
● Пользовательская классификация данных — это когда сам сотрудник вручную выставляет документу определенный гриф секретности. Популярным подходом к классификации является разделение данных на основе трех категорий: Секретный, Служебный, Публичный, а также его вариации. Никто не знает о секретности данных лучше, чем сам пользователь. Потому для ручной классификации есть специальные инструменты, например решение для пользовательской классификации Boldon James от FORTRA, которое помогает DLP лучше защищать данные.
Читайте как пользовательская классификация данных уменьшает риски утечки данных →
Примечательно, что хорошая DLP-система использует не какой-то из, а все три способа классификации для надежной защиты.

Как воруют данные и как DLP с этим борется?

Простейшим способом утащить данные является простое копирование или пересылка через личные мессенджеры: Telegram, Viber или WhatsApp. Системы DLP умеют распознавать корпоративные мессенджеры (Teams, Slack) и личные, таким образом блокируя движение конфиденциальных файлов во вторые и не мешая пересылке через первые. Если пересылка через мессенджеры не всегда бывает злонамеренной и вполне себе может носить случайный характер, то вот запись на внешние носители такой не назовешь. «Флешки» в офисах встречаются все реже, но вот мобильные телефоны часто выполняют их функцию и играют роль чемодана, в котором кто-то может вынести данные за пределы компании. В таком случае компании могут блокировать шину данных USB, но иногда это вредит деятельности сотрудников. В таком случае применяют алгоритм шифрования AES256, суть которого проста — записать данные на внешний носитель можно, но прочитать их можно только на зарегистрированной в сети машине. Если в компании точно завелся инсайдер, то он будет знать про наличие DLP и пытаться его обойти. Для этого злоумышленники применяют ряд приемов, которые срабатывали против устаревших DLP-систем: модификация данных с целью присвоения неверной классификации (вот почему я говорил, что хорошее DLP-решение использует все три вида классификации сразу), запароливание архивов, копирование контента, даже запись видео экрана или скриншоты важных данных. Хорошие решения DLP умеют с этим бороться. Например, они умеют контролировать буфер обмена и мониторить работу с активным окном, блокируя, например, возможность сделать скриншот или считывая пароль архива и предоставляя доступ к нему системному администратору или офицеру безопасности.
Помимо этого, DLP-системы должны уметь:
● Анализировать движение данных и модификацию файлов до мелочей и деталей; ● Вести отчетность о наличии конфиденциальных данных на машинах сотрудников; ● Следить за запуском внешнего ПО, не предусмотренного корпоративными правилами и не являющегося необходимым для выполнения рабочих задач;● Вести логи действий для расследования инцидентов, если данные таки утекли. Когда кто-то украл данные компании — это плохо, но когда злоумышленника не нашли — это ужасно. Для этого современные DLP умеют записывать инциденты и логировать нажатие клавиш.
Из всего этого следует, что создание данных часто происходит с участием одних сервисов и сотрудников, взаимодействуют с ними другие, а крадут их через третьи. DLP-система должна быть плотно, а главное аккуратно интегрирована в систему компании: уметь работать с корпоративными сервисами в связке, отправлять логи в SIEM, следить за действиями, но при этом не мешать работать, не замедлять процессы, не конфликтовать с другими системами защиты и не нарушать приватность.

Вывод

DLP надежно следит за важными файлами и помогает им находиться там, где они должны быть. При этом система против утечки не должна создавать проблем и быть довольно автоматизированной и многоуровневой. Качественное решение DLP проводит автоматическую категоризацию данных и надёжно защищает от утечек при тотальном логировании действий сотрудников над данными компании. Благодаря этому становится возможным предотвращение утечек в автоматическом режиме и расследование инцидентов, если они все-таки произошли. Все это делает DLP неотъемлемой частью безопасности как бизнеса, так и сотрудников.