Безпека даних — це базова задача будь-якої компанії. Навіть у малого бізнесу, який не звик створювати великі та складні системи кіберзахисту, все одно є потреба у захисті даних. У великих корпораціях це питання стоїть у тисячу разів гостріше. Для захисту даних існує безліч засобів, до того ж — будь-яке рішення для безпеки так чи інакше захищає ваші дані: антивіруси не дозволять зашифрувати комп'ютери та вкрасти інформацію, а засоби для контролю дій співробітників дозволять заздалегідь виявити інсайдерську активність.
Але класичним засобом захисту даних є клас рішень Data Loss Prevention, який буквально стежить за даними та безпосередньо не дозволяє їм залишити безпечний периметр.
Мене звати Євген Бородай і я Sales Engineer з рішень Digital Guardian, Boldon James в BAKOTECH. Вже понад 5 років, я впроваджую рішення класу Data Loss Prevention та Data Classification у рамках проектів компаній із центральної та західної Азії, а також східної Європи. Сьогодні я розповім вам про DLP з висоти свого досвіду та знань.

Як влаштований клас рішень? 

Data Loss Prevention (далі — DLP) моніторить все, що відбувається з даними. В першу чергу, звісно, слідкує за їх переміщенням. В основі логіки рішення лежить категоризація даних, тому що не вся інформація конфіденційна і вихід деяких даних у світ не завжди має серйозні наслідки. Наприклад, немає нічого страшного, якщо співробітник перешле смішне відео з котами з корпоративного чату своїм друзям через особистий акаунт Telegram. Проте так само він може переслати й останній бухгалтерський звіт або документацію розробки революційного сервісу. Тому дані перш за все потрібно класифікувати, щоб слідкувати лише за найважливішими. Як це відбувається?
Всього існує три підходи до класифікації: контентний, контекстний і користувацький.
● Класифікація на основі контенту базується на зчитуванні вмісту документів щодо наявності маркерних елементів: цифр, формул, ключових слів. Наприклад, якщо у файлі є слова «баланс» або «квартальний звіт», система автоматично надає цьому файлу категорію підвищеної важливості та обмежує дії щодо його переміщення і копіювання. Приклад доволі загальний, але по суті.
● Класифікація на основі контексту дозволяє визначити важливість файлів без потреби їх відкривати та зчитувати вміст. Рішення робить це на основі автора файлу або джерела його створення. Тобто під категорію конфіденційних потрапляють дані, створені певними співробітниками чи відділами, файли вивантаження із корпоративних IT-систем чи даних за певні періоди. Ось приклади на кожен із випадків:
- Юридичні відділи компанії займаються, зокрема, оформленням договорів і супроводом корпоративних угод, тому файли, створені з акаунтів юристів компанії автоматично стають конфіденційними «в очах» DLP. - Корпоративні системи збереження даних дозволяють зробити вивантаження даних в Excel. Це може бути потрібним для робочих задач IT-відділів, але тоді файл с логінами і паролями всіх співробітників не повинен покидати межі компанії. Сюди належить і робота із зовнішніми сервісами, наприклад, системою контролю версій GitHub, де може зберігатись бекап або попередня версія сайту компанії або код якогось сервісу. - Дані по транзакціях відділу банку за робочий день є важливим елементом фінансової звітності, тому їх також можна вивантажити в окремий файл, але допускати до них сторонніх не можна.
● Користувацька класифікація даних — це коли співробітники вручну виставляють документу певний гриф секретності. Популярним підходом до класифікації даних є розподілення даних на основі трьох категорій: Секретний, Службовий, Публічний, а також його варіації. Ніхто не знає про секретність даних краще, ніж сам користувач. Тому для ручної класифікації є спеціальні інструменти, наприклад рішення для користувацької класифікації Boldon James від FORTRA, яке допомагає DLP краще захищати дані.
Читайте як користувацька классифікація данних зменшує ризики витоку даних →
Варто зазначити, що хороша DLP-система використовує не якийсь один, а всі три способи класифікації для надійного захисту.

Як крадуть дані та як DLP з цим бореться?

Найпростішим способом викрасти дані є звичайне копіювання або пересилання через особисті месенджери: Telegram, Viber або WhatsApp. Системи DLP вміють розпізнавати корпоративні месенджери (Teams, Slack) та особисті, таким чином блокуючи рух конфіденційних файлів в особисті месенджери та не заважаючи пересиланню через корпоративні.
Якщо пересилання через месенджери не завжди буває зловмисним і цілком може мати випадковий характер, то ось запис на зовнішні носії таким не назвеш. «Флешки» в офісах зустрічаються все рідше, але мобільні телефони часто виконують їх функцію і грають роль валізи, в якій хтось може винести дані за межі компанії. У такому разі компанії можуть блокувати шину даних USB, але іноді це шкодить діяльності працівників. У такому разі застосовують алгоритм шифрування AES256, суть якого проста — записати дані на зовнішній носій можна, але прочитати їх вдасться лише на зареєстрованому у мережі пристрої.
Якщо в компанії точно завівся інсайдер, він знатиме про наявність DLP і намагатиметься його обійти. Для цього зловмисники застосовують низку методів, які спрацьовували проти застарілих DLP-систем: модифікація даних з метою присвоєння неправильної класифікації (ось чому я говорив, що якісне DLP-рішення використовує всі три види класифікації відразу), присвоєння паролів архівам, копіювання контенту, навіть відео запис екрану або скріншоти важливих даних.
Хороші рішення DLP вміють із цим боротися. Наприклад, вони вміють контролювати буфер обміну та моніторити роботу з активним вікном, блокуючи, наприклад, можливість зробити скріншот або зчитуючи пароль архіву та надаючи доступ до нього системному адміністратору або офіцеру безпеки.
Окрім цього, DLP-системи повинні вміти:
● Аналізувати рух даних і модифікацію файлів до найменших деталей; ● Вести звітність про наявність конфіденційних даних на пристроях співробітників; ● Слідкувати за запуском зовнішнього ПЗ, не передбаченого корпоративними правилами і яке не є необхідним для виконання робочих задач; ● Вести логи дій для розслідування інцидентів, якщо дані все ж витекли. Коли хтось вкрав дані компанії — це погано, але гірше коли зловмисника не знайшли. Для цього сучасні DLP вміють записувати інциденти та логувати натискання клавіш.
З усього цього випливає, що створення даних часто відбувається за участю одних сервісів та співробітників, взаємодіють з ними інші, а крадуть їх через треті. DLP-система має бути щільно, а головне акуратно інтегрована в систему компанії: вміти працювати з корпоративними сервісами у зв'язці, відправляти логи в SIEM, стежити за діями, але при цьому не заважати працювати, не уповільнювати процеси, не конфліктувати з іншими системами захисту та не порушувати приватність.

Висновок 

DLP надійно стежить за важливими файлами та допомагає їм перебувати там, де вони мають бути. При цьому система проти витоку інформації не повинна створювати проблеми і бути досить автоматизованою та багаторівневою. Якісне рішення DLP проводить автоматичну категоризацію даних та надійно захищає від витоку даних при тотальному логуванні дій співробітників над даними компанії.
Завдяки цьому стає можливим запобігання витокам в автоматичному режимі та розслідування інцидентів, якщо вони таки відбулися. Все це робить DLP невід'ємною частиною безпеки, як бізнесу, так і співробітників.