ИТ-маскировка: прячем конфиденциальную информацию от злоумышленников
Объемы обрабатываемых в корпоративных системах данных за последние десятилетия существенно выросли. Доступ к информации имеет большое количество пользователей, поэтому традиционные решения для обеспечения безопасности перестали быть эффективными. Наряду с ними многим компаниям приходится применять специализированные продукты, об одной разновидности которых мы и расскажем. Маскирование данных – способ устранять каналы утечек, успешно применяемый многими заказчиками.
Переход количества в качество
Информационные системы корпораций могут содержать миллионы клиентских аккаунтов или сотни тысяч записей о сотрудниках: имена и даты рождения, адреса и телефоны, платежные реквизиты, сведения о зарплатах и прочие конфиденциальные данные. Легитимный доступ к системам имеет множество пользователей: бухгалтеры, аналитики, сотрудники в точках обслуживания и выездные агенты, а также выполняющие заказы на аутсорсе сторонние организации. Прежде всего проблема касается банков, операторов связи и сетевого ретейла, но в той или иной мере актуальна для любого среднего и крупного бизнеса. Утечки из корпоративных систем никого сегодня не удивляют: в России много лет существует нелегальный рынок «пробива» физических лиц и базы с украденной информацией распространяются практически свободно.
Основанные на политиках и правилах решения для разграничения доступа не помогают в ситуации с таким количеством пользователей, поскольку отличить злоумышленные действия от легитимных зачастую невозможно. Системы предотвращения вторжений также бесполезны. Рассматривать каждое обращение к данным или попытку их экспорта как инцидент нельзя, поскольку это повлечет огромное число ложных срабатываний, которые офицеры по безопасности физически не смогут обработать вручную. В какой-то момент количественные изменения перешли в качественные, и для защиты больших объемов конфиденциальной информации потребовались специальные решения.
Способы маскировки
Один из наиболее эффективных методов защиты – маскирование данных с сохранением структуры. Зачастую отображаемая информация маскируется динамически: в этом случае хранимые данные не изменяются, а все модификации проводятся на лету. Запросы к базам обрабатывает специальное ПО, которое может быть развернуто на отдельном сервере или устанавливаться непосредственно на сервер приложений для перехвата данных в момент их передачи драйверу. Динамическое маскирование позволяет скрывать в бизнес-приложениях часть сведений от пользователей с недостаточно высоким уровнем доступа, оставляя им только необходимые для работы поля. К примеру, рядовой менеджер вместо приватных сведений о финансах клиента в CRM увидит «звездочки», а начальник отдела сможет просмотреть карточку полностью.
Статическое маскирование предполагает создание модифицированной копии данных либо изменение самой исходной базы, а кроме того, производится с помощью специального ПО, выполняющего запросы к СУБД. Такой подход часто используется для генерации тестовых баз для разработчиков. Чтобы понять, как поведет себя информационная система, им нужна та же структура и те же объемы, что и в рабочей версии, но доступ к конфиденциальным сведениям необязателен. Системы статического маскирования позволяют при создании копии заменить актуальную информацию на похожую таким образом, чтобы ее нельзя было восстановить. Фиктивную копию можно передать даже сторонним разработчикам, выполняющим заказы на аутсорсе. Методы маскирования разные: в основном это замена значений полей на ложные (сгенерированные случайным образом или взятые из заготовленных заранее словарей) и перемешивание внутри колонки значений полей разных записей.
Выбор системы маскирования
В первую очередь необходимо определить возможные каналы утечек и понять, какой именно подход требуется. Чтобы закрыть сотрудникам доступ к лишней информации, придется внедрить систему динамического маскирования. При необходимости регулярно создавать фиктивные копии рабочих баз данных необходимо решение для статического маскирования или разработка собственных конвертеров.
Любое крупное внедрение средств обеспечения информационной безопасности лучше начинать с аудита, выполненного профессиональной командой со стороны, чтобы среди множества доступных на рынке продуктов выбрать оптимальный по цене и возможностям. Разработки крупных вендоров обычно отличаются более широкой функциональностью и позволяют закрыть все возникающие задачи.
Для работ, непосредственно связанных с внедрением, также лучше привлечь системного интегратора с соответствующими компетенциями. Корпоративные информационные системы и бизнес-приложения устроены достаточно сложно, а системы маскирования внедряются, если можно так выразиться, в самую их сердцевину. По ходу проекта может возникнуть множество проблем, связанных с взаимодействием продуктов от разных вендоров, и попытка их решения без соответствующего опыта породит новые проблемы либо приведет к порче важных данных.
Опубликовано 07.08.2020
