DLP для новой реальности: обзор «СёрчИнформ КИБ»

Дата: 01.12.2020. Автор: СёрчИнформ. Категории: Статьи по информационной безопасности

На заре своего развития DLP-решения умели предотвращать утечки информации – иного от них не требовалось. Сегодня от таких систем ждут гораздо большего. В их задачи кроме борьбы с инсайдерством входит выявление мошенничества, контроль рабочего распорядка, управление лояльностью и даже защита материальных активов компании – например, компьютерного оборудования.

«СёрчИнформ КИБ» – пример DLP-системы нового поколения, которая нарастила нетипичный функционал и при этом по-прежнему эффективна против утечек данных. Разберем, как она устроена и что умеет.

1. Архитектура и компоненты

1.1 Контроль каналов передачи информации

Под контролем КИБ находятся сетевой трафик и пользовательские устройства. За перемещением данных по сети следит платформа NetworkController. Компьютеры пользователей и активность последних мониторят агенты – приложения, объединенные платформой EndpointController.

Схема работы КИБ

Агенты и сетевые шлюзы собирают воедино данные, которые находят модули контроля каналов передачи информации. Всего таких контроллеров 12:

  • MailController – перехватывает всю электронную почту (SMTP, POP3, IMAP, MAPI, NNTP, S/MIME), включая входящую через веб-браузер, когда фактически не происходит перемещения информации по протоколам (Gmail, Mail.ru, Яндекс.Почта).
  • IMController – перехватывает чаты, историю сообщений, звонки и списки контактов в социальных сетях (VK, Facebook и т.д.) и мессенджерах (Skype, WhatsApp, Telegram и т.д.), включая популярные бизнес-платформы (Lync, Bitrix, Slack, Mattermost, Rocket.Chat, Zoom и т.д.), а также входящие и исходящие сообщения с популярных сайтов на платформе Mamba (mamba.ru, meebo.com и т.д.). Список контролируемых мессенджеров постоянно пополняется.
  • FTPController – перехватывает документы, переданные и полученные по протоколу FTP через обычное или зашифрованное соединение (SSL).
  • HTTPController – перехватывает сообщения (Post/Get запросы), передаваемые на интернет-форумы, блоги, чаты, службы веб-почты или при помощи браузерных IM-клиентов. Продолжает контроль даже при использовании сервисов-анонимайзеров.
  • CloudController – контролирует файлы, принятые и отправленные в облачные хранилища и файлообменные сервисы: Google Docs, Office 365, Evernote, iCloud Drive, Dropbox, Яндекс.Диск, Amazon S3, DropMeFiles, CMIS и др. Проверяет данные, уже хранящиеся в облаке. Перехватывает файлы, отправленные и полученные через TeamViewer, RealVNC, RAdmin, LiteManager. Контролирует документы, которые хранятся или передаются в SharePoint.
  • DeviceController – перехватывает информацию, переданную на USB-накопители, внешние диски, CD/DVD, через RDP-сессии и камеры. Обнаруживает подключенные к ПК смартфоны (Android, Apple, BlackBerry, Windows Phone), анализирует их содержимое при подключении в режиме накопителя. Разграничивает доступ устройств к ПК, блокирует запись данных, в том числе по контексту.
  • PrintController – инспектирует содержимое отправленных на печать документов: копирует текстовые файлы, сохраняет сканы в виде графического «отпечатка» и распознанного текста. Обнаруживает документы, заверенные печатью, позволяет контролировать распечатку бланков строгой отчетности.
  • ProgramController – собирает данные об активности пользователей за ПК и о времени, проведенном в приложениях, программах и на сайтах. Автоматически определяет, работает сотрудник или открыл программу «для вида». Сортирует веб-ресурсы по группам: знакомства, музыка, магазины, новости и др.
  • MonitorController – ведет фото- и видеорегистрацию происходящего на мониторах пользователей. Собирает данные об открытых окнах и процессах, активных в момент съемки. Регистрирует изображения с веб-камеры для идентификации нарушителя.
  • MicrophoneController – с помощью любого обнаруженного микрофона записывает переговоры сотрудников, работающих за ПК в офисе или вне его.
  • Keylogger – фиксирует клавиатурный ввод и данные, копируемые в буфер обмена.
  • Индексация рабочих станций – обнаруживает конфиденциальные документы, которые хранятся с нарушением политик безопасности в папках общего доступа (Shares), на жестких дисках ПК (Local System), платформе SharePoint, в облачных хранилищах и локальных системах NAS.

1.2 Индексация и интерпретация собранных данных

Собранные данные анализирует собственный поисковый движок на сервере КИБ – SearchServer. Это позволяет проводить многосторонний анализ практически любых объемов данных в режиме реального времени. Система индексирует данные в движении, передающиеся по контролируемым каналам, а также документы «в покое» — файлы на рабочих станциях пользователей или сетевых устройствах. В том числе любую текстовую информацию из источников, которые имеют API или возможность подключения через ODBC. Поддерживается анализ изображений (OCR) и распознавание речи с автоматическим преобразованием аудио в текст.

C результатами мониторинга и аналитики ИБ-специалист может работать в двух консолях. Уведомления обо всех зарегистрированных системой инцидентах и статистика по ним демонстрируются в консоли AlertCenter.  Для детального анализа инцидента используется «Консоль аналитика» – Analytic Console.

2. Ключевые функции

2.1 Обнаружение инцидентов

КИБ обнаруживает признаки нарушений (передачу конфиденциальной информации, подозрительные обсуждения, действия пользователей) благодаря разным видам поиска. Они позволяют в режиме реального времени анализировать информацию, опираясь на характеристики и содержимое текстовых файлов, изображений и голосовых сообщений, или на данные о действиях пользователя за ПК.

Система позволяет проводить поиск: 

  • По атрибутам – дате, времени, IP, формату файла, пользователю и прочим метаданным.
  • По словам и их синонимам – с учетом морфологии и сленговых выражений.
  • По тематическим словарям. Помимо готовых профессиональных и отраслевых словарей пользователи могут составлять свои собственные с помощью встроенного редактора.
  • По фразам и последовательности символов. Поиск текстов, в которых точно есть искомый фрагмент, или точно его нет.
  • По регулярным выражениям. Оптимален для обнаружения персональных, платежных данных, номеров телефонов и прочей информации, записываемой по единому шаблону.
  • По «похожим» документам. Ищет документы, похожие на оригинал не только «технически», но и по смыслу. Процент сходства можно установить вручную.
  • По цифровым отпечаткам, или хэш-суммам. Универсальный способ категоризации любой информации – текстов, картинок, аудио и даже исполняемых файлов.  Степень соответствия при поиске также можно задавать вручную.
  • По статистическим запросам. Легкий способ обнаружить аномалии в типичном поведении сотрудника: отправку большого количества писем, сообщений, сохранение тяжелых файлов на внешних носителях и так далее.
  • По базам данных. Позволяет искать по перехвату, который не содержит текст – снимкам с веб-камеры или экрана, данным о запущенных процессах и подключенных устройствах, об операциях с файлами, нажатиях на служебные клавиши и других действиях пользователя за ПК.

Все виды поиска можно комбинировать, объединяя их с помощью логических операторов «И», «ИЛИ», «НЕ».

Искать информацию в перехвате можно автоматически и вручную. Рассмотрим оба способа.

Автоматический режим реализован в политиках безопасности – алгоритмах, которые самостоятельно отбирают потенциально опасные события в действиях пользователей. Для удобства в «СёрчИнформ КИБ» заранее настроены более 250 готовых политик, это позволяет использовать весь аналитический потенциал системы с первого запуска. Среди дефолтных политик есть универсальные и отраслевые. Все они созданы с учетом опыта предотвращения реальных инцидентов в различных компаниях. Любую готовую политику можно изменить, либо в пару кликов создать новую – с учетом специфики работы конкретной организации.

Пример работы политики безопасности

Ручной поиск позволяет грамотно оценить все детали инцидента и убедиться, что проблему искоренили полностью – найдены все причастные, обнаружены все «дыры» в защите. При правильном юридическом оформлении, доказательства из расследований в КИБ можно использовать в суде.

Благодаря тому, что DLP-система хранит весь перехват с момента установки, при ручных расследованиях доступна ретроспектива действий нарушителя. Можно отследить все его переписки, поисковые запросы, действия с документами, в программах и на сайтах. Доступен архивный перехват по всем контролируемым каналам, в том числе снимки и видео с экранов пользователей и веб-камеры.

Ручной поиск имеет широкий спектр инструментов для сортировки:

  • По пользователю;
  • По дате и времени;
  • По каналу связи;
  • По размеру файла и другим атрибутам;
  • По содержимому документов и переписок.

В результате ИБ-специалист получает полный перечень событий, подпадающих под заданные критерии: допустим, переписки менеджера Иванова в Telegram за последний месяц, где фигурировали номера телефонов, отправленные выбранным адресатам.

Пример расследования с помощью ручного поиска в «СёрчИнформ КИБ»

Кликнув на соответствующую строчку в выдаче, специалист службы безопасности получает возможность просмотреть перехваченную информацию, включая вложения. Доступно несколько вариантов просмотра:

  • Только текст – содержание переписки, расшифровка аудиозаписи или распознанный текст с изображения с подсвеченными искомыми данными.
  • Родной формат – перехваченное сообщение в формате отправки, с сохранением всего визуального оформления.
  • Атрибуты – метаинформация о перехваченном сообщении.

2.2 Формирование отчетов

«СёрчИнформ КИБ» анализирует результаты мониторинга и собирает эту аналитику в удобные отчеты. Они помогают в разборе инцидентов и подходят для текущего контроля за обстановкой в компании. ИБ-специалистам доступны более 30 базовых отчетов и шаблоны для формирования своих собственных. Среди них, например:

  • Отчеты о связях пользователей внутри компании и вовне. Показывают каналы и интенсивность общения. Отмечают лица, причастные к инцидентам.

Отчет по связям пользователей

  • Контентные маршруты. Визуализируют все перемещения файлов, интересующих службу ИБ. Позволяют оперативно установить источник документа, его распространителей и способ передачи данных внутри компании и за ее пределы.
  • Отчеты об активности пользователей. Используются для контроля за трудовой дисциплиной, показывают характер и интенсивность действий сотрудников за ПК.
  • Отчеты по программам и устройствам. Оберегают от использования нелицензионного и постороннего ПО, а также от кражи «железа» (видеокарт, памяти и любых других комплектующих) с корпоративных устройств. Собирают все данные о съемных носителях, которые когда-либо подключались к корпоративным ПК – вплоть до имени владельца.

Отчет по подключаемым устройствам в «СёрчИнформ КИБ»

Кроме ретроспективных отчетов – о произошедшем в компании за заданный период – в КИБ можно наблюдать за действиями пользователей в онлайн-режиме. Для этого используются следующие инструменты:

  • Инструмент LiveView позволяет видеть в режиме реального времени изображения с мониторов сотрудников. Одновременно можно наблюдать за происходящим на 16 рабочих столах. Предусмотрена возможность записи трансляции.
  • Инструмент LiveCam нужен, чтобы в случае расследования инцидента имелась возможность идентифицировать сотрудников за компьютерами. Контрольные снимки можно использовать для подтверждения действий нарушителей.
  • Инструмент LiveSound используется для контроля переговоров.

Чтобы проконтролировать рабочий распорядок и загрузку коллектива в данный момент, ИБ-специалисту доступен режим «Текущая активность». В нем видна статистика рабочих процессов: сколько сотрудников онлайн, кто из них активен, а кто бездействует, кто опоздал или отсутствует. Приводится краткая сводка активности каждого сотрудника, вплоть до названия программ, в которых он прямо сейчас работает, имени открытой вкладки браузера или документа.

Режим «Текущая активность»

2.3 Реагирование на инциденты

КИБ позволяет оперативно реагировать на опасные действия пользователей, в том числе привилегированных (например, системных администраторов), а также на события – передачу чувствительных к утечке данных, запуск нежелательного ПО или превышение лимитов записи на съемные устройства. Система позволяет вмешаться вручную: приостановить передачу подозрительных сообщений – поставить их на карантин, удаленно перехватить управление компьютером пользователя – например, принудительно перезагрузить ПК, чтобы прервать опасную операцию. Или действует автоматически – полностью блокирует движение данных, если они передаются в нарушение политик ИБ. Разберем, как это работает.

Почтовые сообщения могут блокироваться:

  • По контенту, когда DLP запрещает отправку писем и вложений, если их содержание ставит под угрозу конфиденциальность корпоративной информации. Критерии конфиденциальности содержимого устанавливаются с помощью всех доступных в системе видов поиска.
  • По контексту: по отправителю, получателю, наличию/размеру вложения, типу файла (более 100 форматов) и множеству других атрибутов. Например, можно заблокировать отправку на внешние адреса всех файлов формата .dwg, если вам критично хранить чертежи внутри компании.
  • По действиям. Актуально, если сотрудники работают вне почтового клиента в так называемой веб-почте. В ней безопасней будет заблокировать сохранение черновиков и отправку вложений.

Примеры настройки контентных блокировок для записи на USB: по тексту, регулярным выражениям, дополнительным условиям (защита паролем)

При контроле передачи файлов на USB и другие съемные устройства можно:

  • Запретить определенным пользователям пользование съемными носителями (в том числе подключаемыми к ПК телефонами) на выбранных устройствах.
  • Ограничить запись. Не только на флешки и телефоны, но и на любые системы хранения, в т.ч. RDP-диски.
  • Запретить запись определенного контента: определенных типов файлов или документов с конфиденциальным содержимым, а также нераспознанного контента, в т.ч. запароленных архивов.
  • Ограничить доступ к записанному контенту. КИБ может шифровать данные при записи на флешку так, что они будут не читаемы за пределами компании.

Пример отчета о заблокированных операциях при USB-подключениях по результатам DeviceAudit

Нежелательные действия в интернете можно пресекать с помощью:

  • Ограничения доступа к ресурсам. Можно открывать доступ к определенным ресурсам только для выбранных сотрудников или в заданное время.
  • Запрета на скачивание/загрузку контента. Ограничение можно установить для любых веб-сервисов, включая мессенджеры, соцсети и облачные хранилища.
  • Ограничения отправки сообщений. Если пользователь попробует поделиться с другом в Facebook ноу-хау компании, его послание просто не уйдет.

Для контроля привилегированных пользователей можно использовать:

  • Запрет доступа к ПО, в т.ч. для удаленного администрирования: RDP, TeamViewer и аналогам, Vmware/VirtualBox и другим виртуальным средам и т.д. Настроить запреты можно по пользователям/ПК: например, чтобы удаленным доступом могли пользоваться только сисадмины, или те же сисадмины, подключаясь к ПК топ-менеджеров, могли запускать там только служебные программы. По той же схеме можно блокировать сотрудникам доступ к любому ПО, не нужному по прямым обязанностям.
  • Блокировать отдельные действия при удаленных подключениях. Например, запретить проброс USB-устройств в виртуальные среды, чтобы пользователи не могли бесконтрольно копировать там информацию. Или ограничивать передачу файлов при удаленных подключениях: например, запретить копирование информации на удаленном ПК или вставку на том, откуда идет подключение. А еще снимать теневые копии всей переданной таким образом информации – это полезно и при восстановлении данных, и для определения цепочки событий в инциденте.

2.4 Дополнительные возможности

Расширить функционал DLP поможет интеграция с другими системами ИБ. КИБ бесшовно интегрируется со всей линейкой продуктов «СёрчИнформ»: системой «СёрчИнформ SIEM» для управления событиями в IT-инфраструктуре, DAM-системой «СёрчИнформ DatabaseMonitor» для анализа операций с базами данных, DCAP-решением «СёрчИнформ FileAuditor», которое находит в файловых системах конфиденциальные данные и контролирует доступ и действия с ними.

В частности, интеграция с FileAuditor позволит КИБ запрещать передачу по тем или иным каналам документов, попадающих в заданные категории: например, любые попытки поделиться документом с маркером «Коммерческая тайна» в мессенджере. Объединение преимуществ всех систем в едином интерфейсе сделает обнаружение, расследование и предотвращение инцидентов проще и эффективнее: под рукой будет полная картина происходящего в компании, под защитой – все уровни IT-инфраструктуры.

КИБ может работать в связке и со сторонними продуктами – причем как с инструментами физической безопасности (например, СКУД), так и с аналитическими приложениями (SIEM, UEBA, BI и пр.). В последнем случае интеграция осуществляется благодаря открытому API, он позволяет КИБ дополнять анализируемый массив данными из новых источников. Также с его помощью можно загрузить из внешних баз данных произвольные тексты, файлы и архивы перехвата, чтобы контролировать источники даже за пределами охраняемого периметра. Например, если коллектив пользуется Bitrix на личных устройствах по рабочей подписке, можно настроить интеграцию архива чатов с корпоративных аккаунтов по API. Важные данные не «выпадут» из поля зрения службы информационной безопасности, а для работы с ними будет доступен весь функционал КИБ.

3. Выводы

Развитая аналитика и широкие возможности по реагированию на инциденты делают КИБ удобным инструментом для решения задач информационной, экономической и кадровой безопасности. С помощью «СёрчИнформ КИБ» компания сможет:

  • Пресекать «сливы» критичных данных через интернет, флеш-носители, копирование/распечатку документов и другие каналы.
  • Выявлять случаи мошенничества, получения откатов, неслужебных контактов, представляющих угрозу компании.
  • Обнаруживать подделку документов, отчетов, фальсификацию данных на рабочем месте.
  • Контролировать рабочую дисциплину, выявлять факты «работы на сторону», безделья.
  • Выявлять и контролировать группы риска – нелояльных сотрудников, конфликты в коллективе, опасные зависимости (алкоголь, наркотики, азартные игры) или сложные жизненные ситуации у пользователей, которые потенциально могут привести к проблемам.
  • Следить за состоянием ПО и оборудования, с которыми работают сотрудники, и вести его учет.

Модульная структура решения позволяет гибко настроить защиту и легко масштабировать ее с учетом потребностей компании. Система нетребовательна к ресурсам – она компактно устанавливается и не нагружает корпоративную сеть и ПК сотрудников. При необходимости КИБ можно развернуть в облаке.

Большое количество преднастроенных инструментов позволяет использовать КИБ на полную мощность сразу после установки, а также экономит человеческие ресурсы для работы с ПО – для контроля коллектива в несколько тысяч человек хватит 1-2 ИБ-специалистов. Если таких специалистов нет или отдел безопасности занят другими задачами, можно попробовать аутсорсинг информационной безопасности, тогда с КИБ будут работать аналитики вендора.

Бесплатно испытать возможности «СёрчИнформ КИБ» в любом формате можно в течение месяца: оставьте заявку на сайте вендора.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

СёрчИнформ

Об авторе СёрчИнформ

Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.
Читать все записи автора СёрчИнформ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *