DLP-система — не панацея при борьбе с инсайдерами. Однако при грамотной комбинации нескольких средств защиты система предотвращения утечек информации дает ощутимый экономический эффект. В данном кейсе рассмотрим этап выбора и внедрения DLP-системы.
Дано:
- Компания — крупнейший региональный дистрибьютор производителя спецтехники с мировым именем. Большая сеть продаж и филиалы в городах региона связаны между собой открытыми каналами связи. Парк компьютеров, включая филиалы, составляет порядка 100 машин, часть из них — ноутбуки, которые используются сотрудниками для командировок и работы на дому, поэтому не всегда находятся в сети организации. Сотрудники имеют возможность заходить на свои рабочие места по OPEN-VPN, часть из них работает с использованием протокола RDP.
Проблема:
- Рынок с высокой конкуренцией, распространена охота за клиентскими базами, переманивание с помощью цены и спецпредложений.
Задача, которая ставилась перед сотрудниками «Контур-Безопасность»:
- Получить практические рекомендации по защите критичных информационных систем (систем, в которых хранится/обрабатывается ценная для бизнеса информация).
Решение:
- Описание этапов
Первый этап. Аудит информационной безопасности компании.
Целью аудита была реальная оценка текущей защищенности активов, поиск уязвимостей в информационных системах, оценка рисков угроз ИБ.
Обследование информационных систем выявило ряд уязвимостей, наиболее критичной среди которых стала возможность утечки информации по различным каналам коммуникаций. Основную угрозу представляла утечка изнутри компании (от сотрудников).
Критически важной определена информация, представляющая собой базы клиентов и ценовые предложения для оптовиков.
Аудит выявил ряд недостатков:
- Резервное копирование проводилось вручную, не систематически. При этом важность сохранения информации оценивалась как очень высокая. Рекомендовано специализированное ПО.
- Отсутствовала организационная защита — политики, документы, работа с пользователями. Рекомендовано разработать документы и провести работу с пользователями.
- Не был отлажен контроль доступа и оборота критичных электронных документов, доступ к важной информации полностью открыт. Рекомендовано решить проблему с помощью внедрения системы DLP.
- Защита от сетевых атак практически не была реализована. Предложено модернизировать существующую сетевую инфраструктуру с учетом требований безопасности и внедрить необходимые средства защиты (аппаратный межсетевой экран с системой обнаружения атак).
С помощью специализированного сканера безопасности был обнаружен ряд уязвимостей в ПО, связанных с отсутствием патчей и возможностью удаленного выполнения кода, которые были оперативно исправлены.
Критически важной оказалась информация, содержащаяся на файловом сервере и в базах 1С, например:
- сведения о партнерах;
- сведения о сделках компании;
- база клиентов;
- сведения о размерах скидок;
- договоры;
- товарооборот;
- документооборот;
- финансовая отчетность;
- сведения об оперативной деятельности.
Второй этап. Выбор DLP-системы.
Система DLP должна была удовлетворять следующим условиям:
- работать не только в сети организации, но и автономно (накапливать информацию о рабочих ноутбуках, которые находятся вне сети организации);
- передавать накопленную информацию на сервер для дальнейшего анализа;
- иметь гибкие настройки, чтобы подстроиться под особенности информационных систем филиалов;
- готовить разнообразные и понятные отчеты для руководства.
После формулировки условий выбор сузился до систем с агентской схемой. Гибридные и шлюзовые системы могли бы выполнить необходимые задачи, но для этого потребовалось бы вносить изменения в существующую структуру сети, а именно — устанавливать модуль сбора информации на границе сети каждого филиала. Среди агентских предпочтение отдали системе, которая имела мощный и удобный модуль отчетности.
FalconGaze, зарекомендовавшая себя как надежный и функциональный продукт, закрывала все задачи, которые ставились перед DLP-системой. Заказчик оценил мощную систему аналитики и наглядное представление отчетов.
Система отличается быстродействием. Это агентское решение, которое ставится на каждую машину, включая ноутбуки. Агент исключается из процессов, поэтому отследить наличие системы при работе на ноутбуке практически невозможно. Агент накапливает информацию при автономной работе машины, а после появления пользователя в сети передает всю информацию о компьютере/ноутбуке на сервер, где она обрабатывается.
Третий этап. Тестирование, внедрение и отладка.
Агенты системы FalconGaze были установлены на несколько тестовых машин, включая ПК в филиале. Решение проблем, обнаруженных в тестовом режиме, было учтено при внедрении системы в масштабах всей организации.
Среди проблем, выявленных на этапе тестирования, наиболее серьезным был конфликт сертификатов системы DLP и системы передачи электронной отчетности.
В филиале после установки агента на ПК бухгалтера не удалось отправить электронную отчетность в налоговую инспекцию. Причиной стал конфликт сертификатов: произошла подмена сертификата, программа отчетности посчитала его недействительным и не позволила отправить отчет. Для решения проблемы был задействован функционал системы FalconGaze, который позволяет отменить подмену сертификата для некоторых программ или протоколов. В программе было настроено исключение, проблема была решена. В других филиалах настройка подобных рабочих мест шла с учетом возможного конфликта.
На этапе внедрения системы в масштабах всей организации вскрылись проблемы, связанные с доменом клиента. В домене хранилось много неактуальных сведений, в том числе были указаны компьютеры, которых уже не существовало в наличии. Система пыталась установить агентов на несуществующие компьютеры, что вызывало конфликт систем. Решением стала чистка домена, после чего все агенты были корректно установлены на все компьютеры организации.
После начала работы системы выявилось недостаточное быстродействие компьютера, обрабатывающего базу инцидентов. Компьютер был недостаточно мощным и был занят другими программами. Проблема была решена заменой ПК.
Проблема отчасти была связана с тем, что в качестве базы данных использовалась SQLite. Она была встроена в систему и неплохо подходила для пилотного тестирования, рассчитанного на небольшое количество компьютеров. Однако в боевом режиме для парка в 100 машин ее мощности стало не хватать. Поэтому клиенту было рекомендовано перейти на PostgreSQL — тоже бесплатную СУБД, которая хорошо себя зарекомендовала при работе с FalconGaze. Для двоих сотрудников, работающих с системой, быстрота обработки и представления информации является важным фактором безопасности.
В процессе внедрения были и другие сложности. Например, у некоторых компьютеров были отключены необходимые для успешной работы DLP службы. Диагностировать проблему было легко — для облегчения этапа внедрения разработчики создали гибкую систему статусов агентов, которая позволяет понять, в чем причина той или иной ошибки.
В целом на тестирование, внедрение и отладку процессов ушло около двух месяцев.
Четвертый этап. Настройка правил и накопление информации.
Настройка основных правил была произведена после того, как заказчик определил критичные файлы и ситуации их использования. Далее начался период накопления информации, сбор и анализ инцидентов.
Встроенные механизмы системы FalconGaze позволяют комбинировать различные правила с целью повышения их эффективности и снижения показателей ложных инцидентов. Однако для этого требуется определенный массив данных.
Выводы:
Выполнить поставленную перед специалистами «Контур-Безопасность» задачу удалось благодаря внедрению целого комплекса мер. При этом практика внедрения показала, что система FalconGaze оптимально подходит для компаний, имеющих распределенную структуру с множеством филиалов и широко использующих мобильные рабочие места.
Перед внедрением рекомендуем привести в порядок доменную структуру:
- актуализировать перечень рабочих мест, входящих в домен;
- проверить списки пользователей на предмет «мертвых душ»;
- проверить корректность назначенных прав, корректность настроек доменных политик.
В начале внедрения рекомендуем использовать тестовый режим работы DLP-системы, это позволит избежать нарушения бизнес-процессов в компании и последующей демаскировки системы защиты от утечек. На основе анализа работы системы в тестовом режиме можно будет внести изменения в рабочие настройки политик DLP-системы.
Также рекомендуем выделить отдельного специалиста, отвечающего за анализ инцидентов, корректировку и поддержку политик DLP-системы в актуальном состоянии.
Защита данных от утечки
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»