Не допустить утечки на высшем уровне
С помощью современных DLP-технологий проблема защиты от утечек данных уже давно и успешно решается в большинстве российских компаний. Однако существует и другая проблема — привилегированные пользователи неизбежно получают расширенные права доступа, и именно они оказываются самыми опасными инсайдерами. Для защиты информации на новом уровне вендоры предлагают решения класса PAM, и сегодня мы рассмотрим аспекты внедрения подобных систем в связке с DLP.
Использование систем DLP (Data Loss Prevention) диктуется требованиями к защите конфиденциальной информации и нормативными и законными актами, например, такими как ФЗ «О коммерческой тайне» и стандарт Банка России СТО БР ИББС-1.0-2014. Но не менее важным мотиватором становится стремление компаний защищать свои данные от утечек, ведь неправомерный доступ к ценной информации может нанести организации серьезный урон или привести к потере доходов. По данным Gemalto Breach Level Index, в 2016 году в мире было зафиксировано 1792 инцидента, которые привели к компрометации 1,4 млрд записей данных. Поэтому сегодня DLP можно по праву считать одним из наиболее распространенных корпоративных решений на рынке в сфере защиты информации.
В большинстве компаний уже установлены определенные решения класса DLP, однако санкционная политика только усилила и без того действовавший тренд на использование российских разработок, лучше адаптированных для задач отечественных компаний. В результате даже те, кто все еще пользовался такими продуктами, как Symantec Data Loss Prevention или GTB DLP Suite, срочно ищут альтернативу. Тем временем поддержка российских поставщиков в программах госзакупок дает серьезный импульс для дальнейшего развития отечественных средств защиты от утечек, которые не уступают по функциональности зарубежным аналогам.
Стремительный рост количества утечек, который аналитики Gemalto оценивают на уровне 86% в год, требует не только использования DLP, но и постоянной модернизации систем защиты. Данные Zecurion Analytics в свою очередь говорят о том, что как минимум 72% российских компаний сталкивались со злоупотреблениями со стороны привилегированных пользователей, а 54% — со стороны внешних подрядчиков. Таким образом, защита данных от утечек без контроля за топ-менеджерами и администраторами оказывается недостаточной. И поэтому самым интересным вариантом дальнейшего развития или модернизации средств предотвращения утечек является использование DLP вместе с системой контроля привилегированного доступа PAM (Privileged Access Management).
Возможности DLP и PAM
Для того чтобы внести ясность, давайте разберемся, какие бизнес-функции могут выполнять современные DLP-системы и что дает дополнение их возможностей инструментарием PAM. DLP позволяет контролировать корпоративную электронную почту и доступ к почтовым веб-интерфейсам, блокировать на лету передачу информации в социальных сетях, на форумах и блогах, не допускать запись конфиденциальных файлов на внешние диски или распечатку информации на принтере. (HTTP/HTTPS). Некоторые решения могут работать также с различными мессенджерами (Skype, ICQ, Mail.Ru Агент, QIP, Google Talk и т. д.) и постоянно контролировать популярные протоколы передачи данных, например, FTP или IMAP.
Соответственно, при помощи DLP-системы можно производить инвентаризацию и классификацию конфиденциальных данных, пресекать их передачу, протоколировать действия пользователей для дальнейшего анализа и расследований. Но все это касается лишь тех пользователей, которые не имеют прав передачи определенной информации. При этом специалисты, авторизованные на работу с данными, системные администраторы и даже просто внешние подрядчики, имеющие доступ к ИТ-системам компании, часто могут безнаказанно загрузить и передать ценные сведения.
Принцип работы PAM заключается в том, что система постоянно контролирует запросы сотрудников ИТ-департамента, руководителей и других привилегированных пользователей. Модуль PAM хранит записи основных действий сотрудников данных категорий (вход, выход, манипуляции с административными системами и хранилищами данных). Большинство решений класса PAM также позволяют записывать на видео работу персонала и могут обеспечить доступ к экрану сотрудника в режиме онлайн. Следует отметить, что подобный контроль не является нарушением закона, поскольку обеспечивает мониторинг действий сотрудников на рабочем месте, когда должностные инструкции не подразумевают совершения никаких приватных действий. Чтобы оформить это документально, опытные практики в сфере ИБ специально прописывают возможность протоколирования действий сотрудника непосредственно в его должностных инструкциях.
Включить PAM можно как для рабочих компьютеров администраторов или руководителей, так и в ходе сеансов удаленного доступа. Система защиты позволяет проводить аудит каждого действия при подключении к сети подрядчиков или при работе привилегированных сотрудников со своих планшетов, смартфонов, а также из удаленных филиалов или просто из дома. Если в силу своих профессиональных обязанностей пользователь имеет доступ к информационным системам и определенным базам данных, система контроля PAM позволит проследить, действительно ли коммерческие сведения используются по назначению.
Для эффективного контроля в системах PAM возможна тонкая настройка профилей пользователей с учетом особенностей их работы и выполняемых задач. Сотрудники с привилегированными учетными записями по умолчанию имеют большое доверие со стороны руководства, а значит, их действия просто необходимо отслеживать и мониторить. Система PAM может содержать ряд индикаторов и информеров, которые будут активированы в случае подозрительной активности сотрудников или подрядчиков. Служба безопасности получит уведомление, что кто-то странно себя ведет, и принять оперативные меры.
От технологии к психологии
Актуальность применения технологий PAM диктуется и психологическими аспектами в сфере ответственности сотрудников. Учитывая защищенность периметров современных компаний, злоумышленники все чаще выбирают не лобовую хакерскую атаку или взлом сети при помощи троянов и червей, а подкуп сотрудника, который и так имеет доступ к определенным сведениям. По данным исследования IBM X-Force 2017 года, в ряде критически важных отраслей примерно 40% инцидентов связано именно с действиями инсайдеров, которые неплохо зарабатывают на перепродаже информации. По материалам другого исследования, представленного IntSights и RedOwl, инсайдеры зарабатывают от 100 раз больше, продавая корпоративную информацию на запрещенных форумах (в так называемом темном Интернете — DarkWeb). Все это говорит о том, что жажда наживы подталкивает людей на противоправные действия. Естественно, имея доступ к файлам, они рассчитывают выйти сухими из воды, и поэтому очень важно проинформировать сотрудников о применении в компании средств DLP и PAM.
Корпоративные пользователи и подрядчики должны знать, что в вашей организации предусмотрена система мониторинга действий привилегированных учетных записей, что вы контролируете доступ к защищаемым объектам с учетом времени и используемых протоколов. Дальнейшая работа с архивом действий всех сотрудников позволяет воспроизводить целые сессии и анализировать поступки сотрудника. При подобном подходе мало кто захочет подставляться, ведь при наличии доказательств злонамеренной деятельности, отвечать за нее придется по всей строгости закона.
Современные системы PAM
Среди представленных на рынке продуктов сегодня можно выделить такие решения, как CyberArc, Wallix, SafeInspec и Zecurion PAM. Все они обладают широкими возможностями отслеживания действий привилегированных пользователей и их контроля. Однако у них есть и свои особенности. Например, израильская CyberArk отличается поддержкой более широкого спектра операционных систем, в которых она может контролировать работу привилегированных пользователей. Кроме стандартных Windows и Linux, в числе ее возможностей работа под MacOS, операционные системы IBM и HP, а также Citrix XenServer, VMware EXSI и другие. Решение CyberArk имеет поддержку широкого спектра баз данных разных производителей. Wallix Admin Bastion разрабатывается во Франции и успешно используется, например, в ДИТ Москвы. Система поставляется в виде готового программно-аппаратного комплекса и может быть интегрирована в другие системы на базе открытого API.
Впрочем, политическая ситуация и всевозможные санкции, которые уже успели испытать на себе многие государственные компании, привели к тому, что зарубежные решения часто остаются без сервиса поддержки и обновлений. Поэтому сегодня повышенный интерес наблюдается в сегменте отечественных решений PAM. Среди них можно выделить продукт Safe Inspect от компании «Новые технологии безопасности» и Zecurion PAM от одноименного производителя. С другой стороны, сложно не заметить, что использование DLP и PAM помогает решить одну и ту же задачу — защитить самые ценные данные, не дать вывести их за пределы компании и найти виновных в случае возникновения инцидента. Именно поэтому особенный интерес сегодня представляют интегрированные решения, позволяющие применять единые политики безопасности, единые профили пользователей, получая централизованную аналитику и отчетность. В принципе такого эффекта можно добиться за счет интеграции решения класса DLP вместе с PAM либо выбирая уже готовые к совместному функционированию продукты от одного и того же производителя.
Заключение
Растущий спрос со стороны российских компаний дополняется появлением новых законодательных актов, усиливающих требования к защите информации (например, ФЗ № 187 «О безопасности критической информационной инфраструктуры», вступающего в силу 1 января 2018 года), Рынок DLP продолжает активно развиваться, и сегмент PAM становится важным дополнением корпоративных систем безопасности. Руководители компаний заинтересованы получить целостную картину доступа к важным ресурсам, а также контролировать работу привилегированных пользователей через единую консоль. По этой причине выбор PAM, как правило, определяется особенностями информационных систем и наличием готовых интерфейсов для интеграции. Таким образом, если в организации уже установлена и успешно применяется та или иная система обнаружения утечек данных, наиболее вероятно, что для ее развития будет выбран тот инструмент PAM, который проще интегрировать и комфортнее использовать.
Автор: Сергей Кораблёв, независимый эксперт по ИБ
Опубликовано 17.01.2018