Анализ запароленных архивов в DLP-системах
13.09.2021
DLP-система – один из самых надёжных способов защиты конфиденциальных данных компании и контроля эффективности работы и лояльности сотрудников. В этой статье мы решили немного углубиться в детали работы DLP-системы, чтобы лучше разобраться, с чем имеют дело компании, использующие её.
Один из нюансов использования DLP-системы – это работа с запароленными архивами. Так как система контролирует весь трафик, то видит все коммуникационные каналы взаимодействия сотрудников . Когда ПО видит запароленный архив, то может выполнить следующие действия: заблокировать его отправку, создать специальный «инцидент» информационной безопасности, проинформировать об этом службу безопасности компании.
Некоторые современные DLP-системы имеют функцию автоматической дешифровки архивов, защищённых корпоративными паролями. Для реализации такого плана, в DLP должен быть создан заранее специальный справочник ключей, в котором зафиксированы все корпоративные пароли компании. Далее, система анализирует архив и пытается открыть его паролями из справочника. В случае, если к архиву не подошёл ни один ключ, архив блокируется, а «инцидент» уходит в службу информационной безопасности компании. Минус такого решения в том, что по мере наполнения справочника паролями, число комбинаций пароль-архив будет расти, а вместе с тем будет расти и ресурсоёмкость системы, замедляться отправка документов. Кроме того, некоторые специалисты считают, что сам принцип хранения и перебора паролей на конечных рабочих станциях, создает дополнительный риск информационной безопасности.
Однако, не всё так плохо - существует несколько альтернативных подходов при работе запароленными архивами. В современных DLP-системах заложено множество функций, не использованных в полной мере специалистами ИБ.
Как показывает практика, при шифровании архива большинство сотрудников компании не пользуются опцией «Шифровать имена файлов». Таким образом, можно узнать примерное содержимое архива даже без пароля. DLP-система может извлечь названия, тип файлов не используя пароль. Архив с примитивнейшим названием может содержать файлы, относящиеся к конфиденциальной информации компании. В ходе такого анализа уже может стать понятно, стоит ли далее заниматься извлечением файлов из архива любыми доступными способами или игнорировать.
Как сотруднику отдела ИБ компании работать с запароленным архивом?
Рассмотрим ситуацию детально. Система детектирует передачу запароленного архива, блокирует его, а затем отсылает оповещение сотруднику безопасности - у него появляется информация по «инциденту». Так, специалист видит информацию об архиве, включающую в себя в том числе структуру, а также все параметры: вложенные файлы, уровни вложенности, названия вложений, их размер, дату и т.д.).
Расследование единичного случая получения такого архива не составляет труда, так как служба безопасности компании обладает правами на мониторинг, разблокировку и просмотр содержимого в большинстве случаев.
В качестве примера для более детального рассмотрения алгоритма работы с небезопасными элементами возьмём SecureTower от Falcongaze :
1) В момент детектирования запароленного архива система берёт ситуацию в анализ и передаёт данные о ней в отдел информационной безопасности;
2) Далее сотрудник отдела ИБ анализирует инцидент и анализирует содержимое архива.
В ходе анализа архива идёт распознавание содержимого по имени файлов, ключевым словам. В SecureTower также можно настроить правила безопасности на распознавание запароленных архивов.
Особенностью SecureTower является возможность сотрудника отдела ИБ в той же самой консоли выполнять все действия по работе с архивом.
3) Подбор пароля и разблокировка архива. Как известно, пароль не появляется из ниоткуда, его вводят либо вручную, либо вставляют из буфера обмена. SecureTower использует кейлоггер – модуль, регистрирующий нажатия клавиш на клавиатуре компьютера. С помощью кейлоггера система появляется возможность узнать пароль и с его помощью получить доступ к содержимому архива.
Следует отметить, что архив можно распаковать на специальном компьютере для расследований, таким образом загрузить расшифрованное содержимое архива в систему для автоматического анализа контента и дальнейшей работы над инцидентом.
Возвращаясь к организационным моментам, стоит подчеркнуть, что важно регламентировать работу с архивами, определить ограничения на тип, размер, количество архивируемых файлов. Конечно, работники, которым по роду деятельности нужно работать с запароленными архивами, будут под постоянным контролем, а если рядовой сотрудник пересылает нехарактерное для его деятельности количество заархивированных файлов, это будет считаться признаком потенциально небезопасной переписки и отбираться системой для последующего анализа.
DLP-система может не только создать «инцидент» и передать его на контроль службе безопасности, но и вовсе запретить пересылку архива.
Когда сотрудник ИБ отдела компании оценивает безопасность архива по названиям файлов, их размеру и проведёт анализ по содержимому, становится понятно, разрешать ли пересылку такого архива, какие дополнительные меры следует предпринять.
Подводя итог, можно сказать, что DLP успешно решает задачу контроля пересылки архивов, а высокая степень автоматизации этого процесса существенно облегчает работу службы безопасности по расследованию инцидентов. Ну а SecureTower от Falcongaze можно считать DLP-системой с одним из наиболее качественных и надёжных подходов к работе с запароленными архивами.