Принцип работы DLP-системы

Информационная безопасность – это главная крепость, обеспечивающая сохранность всего бизнеса. Как предприятие решает задачу по обеспечению ИБ – вопрос индивидуальный, который каждый представитель урегулирует самостоятельно. Общими являются принципы обеспечения информационной безопасности: комплексность и нераздельность подхода, целостность мер, беспристрастность. Специалисты компании Falcongaze предлагают рассмотреть основные принципы обеспечения безопасности на примере работы DLP-системы SecureTower.

Что такое DLP-системы – краткий обзор

DLP-системы – это специализированное программное обеспечение по перехвату и анализу внутрикорпоративного трафика информации в рамках обеспечения процессов информационной безопасности компании. Исследуются любые источники: сетевой трафик (веб-активность, мессенджеры и социальные сети), внешние устройства и облачные хранилища, печать на локальных и сетевых принтерах, аудио и видеосообщения, осуществляется контроль изменений файловых систем компьютеров в режиме real time.

DLP расшифровывается как Data Loss Prevention (предотвращение потери данных). И программы такого типа справляются с этой задачей, обеспечивая борьбу с осознанным или неосознанным инсайдерством. DLP-системы также помогают персонифицировать источники угроз, выявить нелояльного и даже опасного сотрудника компании и пресечь его негативное воздействие.

Задачи DLP-системы

На примере DLP-системы SecureTower можно определить, что такое программное обеспечение предназначено для выполнения двух основных задач:

• предотвращение внутренних утечек информации;
• контроль действий сотрудников.

Предотвращение внутренних утечек обеспечивается за счет мониторинга внутреннего трафика компании, анализа, выявления и предотвращения утечек информации по любому из источников.

Контроль действий сотрудников обеспечивается за счет получения прозрачной статистики о производственной активности и целевом расходовании рабочего времени и ресурсов компании (интернет-трафика, оборудования) сотрудниками.

Важно понимать, что использование только DLP-систем не гарантирует 100% безопасности информации. DLP – это только внутренний трафик и его расход, система не могут осуществлять противодействие внешним атакам. Для обеспечения всесторонней безопасности рекомендуется сочетать возможности системы с другими решениями типа антивируса, межсетевых экранов, SIEM-системами и так далее. В таком случае источники внутренних угроз будут купироваться DLP, а внешних – другим ПО для обнаружения и предотвращения вторжений.

Из чего состоит и как взаимодействуют компоненты DLP-системы на примере SecureTower?

Клиентская часть DLP-системы

Клиентская часть DLP-системы представлены в виде 2 частей: серверной (для хранения всех мощностей, получения и отправки данных) и клиентской (для администрирования и использования функционала системы). На примере SecureTower клиентская часть по управлению системой также разделена на 2 консоли: Консоль администратора и Консоль пользователя. Другие системы могут быть представлены иным набором, все решает компания-разработчик.

Консоль администратора используется для настройки всех подсистем системы и адаптации ее функционала к конкретным запросам системы безопасности компании. Также через Консоль администратора можно управлять самими агентами (конечным программным обеспечением, которое в скрытом или открытом формате устанавливается на ПК), устанавливать и удалять их, наделять более точными данными для анализа и адаптировать к потребностям компании.

Консоль пользователя открывает возможности отслеживания полученных данных, простого и комбинированного поиска, мониторинга активности сотрудников по разным параметрам, составления отчетности и многое другое. Фактически является графическим интерфейсом всего программного обеспечения безопасности, так как работает непосредственно с перехваченной информацией.

Серверная часть DLP-систем

При условии установки всех серверных компонентов системы схема взаимодействия компонентов SecureTower выглядит следующим образом (см. изобр.). Здесь отображен информационный поток в компании и его распределение между объектами DLP.

Для начала видим «Локальную сеть», которая является первым звеном при перехвате данных. Всего в DLP-системах типа SecureTower используется несколько способов перехвата.

1. Агентский (который осуществляется самим модулем, установленным на ПК пользователя). Агент выполняет только функцию перехвата и порционной транспортировки информации на Центральный сервер, где будет происходить ее дальнейшее индексирование, анализ и хранение. Принцип порционной отправки информации обеспечивает плавную, без видимой нагрузки на систему компьютера, отправку данных.
2. Интеграционный перехват (перехват потока сообщений через почтовые сервера, перехват шифрованных данных и всего веб-трафика через HTTP).
3. Централизованный перехват – это зеркалирование нешифрованного трафика с использованием маршрутизатора со SPAN-портом.

После перехвата в локальной сети информация перемещается на сервера, где происходит ее дальнейший анализ. Всего серверная часть DLP-системы может занимать до нескольких десятков серверов. На примере Falcongaze SecureTower сюда входят:

1. Центральный сервер;
2. Сервер индексирования;
3. Сервер пользователей;
4. Сервер контроля агентов;
5. Сервер обработки почты;
6. Сервер ICAP;
7. Сервер распознавания изображений;
8. Сервер распознавания речи;
9. Сервер отчетов;
10. Сервер политик безопасности;
11. Сервер расследований;
12. Сервер журналирования событий;
13. Сервер инвентаризации;
14. Сервер уведомлений.

Рассмотрим работу каждого сервера подробнее.

Центральный сервер (ЦС)

Как понятно из названия, это главный сервер в архитектуре DLP-системы, на нем сохраняются все перехваченные данные, и сюда направляется вся информация с других зарегистрированных в системе серверов.

Требует установки на отдельном сервере.

Центральный сервер выполняет основные функции:

• авторизации и выделения лицензий компонентам программы;
• обработки и сохранения данных с перехвата;
• обработки и сохранения данных по поисковым запросам и результатам поиска;
• категоризацию сайтов и приложений;
• обработку цифровых отпечатков, словарей и хеш-сумм данных и другие функции.

Сервер индексирования

Не самостоятельный сервер, а часть Центрального сервера, которая отвечает за присвоение уникальных кодов всей информации и облегчение ее дальнейшего поиска. Практически Сервер индексирования получает данные с Центрального сервера, и независимо от формата преобразовывает их в более удобный для чтения и поиска. Поисковые запросы с Центрального сервера обрабатываются Сервером индексирования, и ответ передается обратно на ЦС.

Основные функции сервера индексирования:

• подготовка информации к индексации;
• сохранение базы индексов информации для оперативной работы с индексами.

Сервер пользователей

Один из основных серверов. Специально выделенный, он отвечает за сохранение параметров идентификации пользователей, создание и учет карточек учета в DLP-системе, распределение их между заранее установленными группами пользователей (по организациям/подразделениям, группам, по структуре Active Directory и так далее).

Основные функции сервера:

1. Ведение учета персонала в DLP-системе, создание и актуализация персональных данных о сотруднике в личной карточке, автоматическое или ручное добавление карточек;
2. Подключение к локальной сети и актуализация учета персонала согласно данным Active Directory.

Сервер контроля агентов

Это специализированный сервер, в обязанности которого входит установка и управление всеми параметрами агентов, которые работают в контуре информационной безопасности.

Основные функции:

1. Первая – это установка агента на компьютер, при этом сохраняется скрытая централизованная инсталляция агента (не заметная при работе ПК).
2. Вторая – администрирование агентов и адаптация функций профиля под потребности конкретного отдела предприятия (если это необходимо).

Что такое агенты? Это сами программы, которые ставят на ПК и которые осуществляют контроль за внутренним трафиком компании. Именно с их помощью осуществляется контроль за источниками трафика конкретной рабочей машины:

1. социальными сетями, мессенджерами, блогами, форумами и т.д.;
2. почтовыми сервисами;
3. печатью документов на локальных, виртуальных и сетевых принтерах и сканерах;
4. облачными хранилищами и их использовании;
5. информационным оборотом между внешними носителями;
6. компьютерной активностью (движениями мышки и набором клавиш на клавиатуре, кейлогер)
7. параметрами файлов и их сохранностью и другое.

Сервер обработки почты

Это сервер для перехвата почтовых сообщений, передаваемых с помощью почтовых серверов Microsoft Exchange Server, IBM Lotus Domino, Sendmail и других. Сервер интегрируется с помощью протоколов POP3, IMAP, SMTP или коннектора MS Exchange.

Как работает Сервер обработки почты? Осуществляется интервальное (заранее установлено) подключение к почтовому серверу компании и перехват с ящика журналирования с корреспонденцией.

Основная функция сервера — мониторинг и анализ трафика, осуществляемого с помощью почтовых серверов.

Сервер ICAP

Основная функция сервера — обеспечение перехвата и блокировки данных, которые передаются по протоколам HTTP и HTTPS.

Сервер распознавания изображений

Обеспечивает перехват графических изображений, в том числе форматов DjVu, JPEG, PNG, GIF, TIF и PDF-документов, которые содержат текстовые поля. Администраторы DLP-системы могут в консоли администратора заранее внести банк эталонов (изображений, трафик по которым необходимо отслеживать). Сервер в таком случае по текстовой информации на изображении распознает и анализирует его, и затем применяет политики безопасности, установленные заранее.

Основная функция сервера — выявление несанкционированного оборота изображений конфиденциального характера в компании.

Сервер распознавания речи

Обеспечивает перехват и распознавание аудиосообщений. К ним применяется тот же принцип, что и к изображениям: аудио преобразуется в текст и в таком виде анализируется.

Основная функция сервера — получение развернутой картины анализа информационного трафика компании, включающего также аудиосообщения.

Сервер отчетов

Сервер, который используется для создания отчетности по итогам полученной аналитической информации, во всем многообразии параметров отчетов, которые предложены в программе.

Основные функции сервера:

• обеспечение мобильности и доступности аналитических данных;
• визуализация отчетности по итогам анализа оборота информации;
• своевременная выгрузка и отправка отчетности согласно заранее заданным параметрам и получателям.

Сервер политик безопасности

Предназначен для обеспечения автоматического реагирования системы и информирования ответственных лиц о нарушениях по заранее установленным правилам безопасности.

Основные функции сервера:

• оценка информационного пространства компании на предмет наличия потенциально негативного сценария использования информации или рабочего времени сотрудника по заранее определенным в пользовательских и предустановленных правилах безопасности;
• создание собственных правил безопасности под каждую отдельную потребность компании.

Сервер расследований

Предназначен для реагирования и анализа на инциденты безопасности, обнаруженные в ходе работы DLP-системы.

Основные функции сервера:

• создание дел и структурирование в группы информации по отдельным расследованиям;
• добавление лиц, причастных к расследованию, а также документов из результатов поиска и внешних файлов;
• хранение данных;
• оформление дел согласно внутренним стандартам организации для передачи другим сотрудникам или сдачи во внешний архив.

Сервер журналирования событий

Основная функция сервера — обеспечение фиксации и сохранения всех событий, происходящих в серверных компонентах для контроля состояния системы в реальном времени.

Сервер инвентаризации

Основные функции сервера — сравнение фактического и учетного количества рабочей техники компании, ее системных и физических данных в сравнении с учетными.

Сервер уведомлений

Основная функции сервера — создание доступного и быстродействующего процесса реагирования на установленные риски в компании в виде обеспечения отправки уведомлений ответственным лицам в режиме реал тайм.

Как работает серверная часть DLP-системы

Работа серверов DLP-системы отображена на изображении (см. выше), где стрелочками показано движение информации от источника и далее.

Сначала вступает в работу Сервер контроля агентов, который осуществляет удаленную установку и настройку (возможно даже скрытую) на ПК пользователя, а также обеспечивает мониторинг состояния агентов.

Перехваченные данные от агентов направляются на прокси-сервер агентов, а от него – на Центральный сервер, где сохраняются на внешнем контуре хранения информации.

Другие источники информации также отправляют данные на Центральный сервер.

• Информация с внешних почтовых серверов перехватывается сервером обработки почты и отправляется далее на ЦС.
• Внешние прокси сервера передают данные на ICAP-сервер, который занимается перехватом и анализом HTTP(S)-трафика, и далее информация передается также на ЦС.
• На Центральный сервер отправляет информацию также Сервер сетевого перехвата, на который в свою очередь отражается с помощью SPAN-порта весь сетевой трафик.

Функционал ЦС этим не ограничивается. Центральный сервер сохраняет всю поступившую от других компонентов информацию в базы данных, настроенные для этих целей, выполняет обработку поступающих поисковых запросов, присваивает категории посещенным пользователями веб-сайтам и использованным приложениям.

Информация от Центрального сервера отправляется на другие сервера:

• Сервер индексирования;
• Сервер распознавания изображений;
• Сервер распознавания речи;
• Базы данных.

Сервер индексирования обеспечивает ранжирование информации согласно уникальным номерам – индексам, хранящимся в списках. Далее эти данные будут использоваться для ускорения процесса поиска информации.

В том случае, если индексируемая информация обладает необычными форматами (голосовым, изображением или печатью), Сервер индексирования их передает далее:

• аудио – на Сервер распознавания речи;
• фото/печати – на Сервер распознавания изображений.

Сервер политик безопасности в автоматическом режиме проводит сверку информации на Центральном сервере на предмет совпадения с заранее установленными политиками безопасности. В случае, когда обнаружение подтвердилось, инициируется отправка уведомления об инциденте (если это настроено в правилах безопасности) сотруднику, ответственному за ИБ.

Сервер отчетов через Консоль пользователя обеспечивает доступ к статистической и аналитической информации, представленной в различных предустановленных и пользовательских отчетах. Данные для отчетности берутся с Центрального сервера.

Сервер расследований позволяет структурировать все инциденты в безопасности в расследования, персонифицировать эти события и добавлять ответственных участников, загружать дополнительные документы, отслеживать журнал событий по этим делам и многое другое.

Как видим из схемы, информация проходит полный цикл анализа. Центральный сервер выступает как основной путь для хранения информации, а также источник всех данных, используемых для структурирования, анализа и отчетности по полученным данным.

Алгоритм работы DLP-системы

Предлагаем рассмотреть стандартную логистическую схему движения информации в контуре информационной безопасности, которую обеспечивает DLP-система.

Пример: компания Х решила отследить лояльность сотрудников компании, а также тех работников, которые во время рабочего дня находятся в процессе поиска новой работы. Для этого в DLP-системе было использовано предустановленное правило безопасности, согласно которому весь контент внутри компании анализировался на предмет наличия таких слов:

«вакансия уволиться резюме "ищу работу" "поиск работы" "кадровое агентство" "подготовка к собеседованию" "пройти собеседование" "объявления о работе" "сайт поиска работы" "сайты поиска работы" "сменить работу" "поменять работу" "смена работы" "как уволиться" "подготовка резюме" "образец резюме" "шаблон резюме" "пример резюме" "пройти собеседование" "успех на собеседовании" "написать резюме" "писать резюме" "уйти из компании" "уходить из компании" "уйти из фирмы" "уходить из фирмы" "успешное резюме" "новая работа" "где найти работу" "менять работу" "изменить работу"».

DLP-система получила уведомление о 38 инцидентах безопасности, которые соответствовали критериям этого правила безопасности. Согласно этим уведомлениям, одним из самых активных нарушителей стала Елена Кравцова.

Переходим во вкладку Активность пользователя и выбираем сотрудницу Е. Кравцову из списка сотрудников.

Согласно данным по Статистике активности, у сотрудницы был зафиксирован всплеск активности в исходящих письмах и обменом файлами с USB-носителем за 6 мая.

После просмотра статистики за этот день было выявлено, что сотрудница рассылала свое резюме с корпоративной почты, и это стало причиной такой высокой активности исходящей переписки. Анализ статистики по файлам на USB показал, что активность была вызвана производственной необходимостью.

Специалист отдела информационной безопасности также смог внести этот инцидент в личное дело сотрудника, чтобы дальше иметь возможность отслеживать поведение Е.Кравцовой и обеспечить быстрое реагирование на изменившиеся обстоятельства. Также можно выгрузить отчеты и полный разрез актуальной информации о работе сотрудницы.

Как этот инцидент выглядит с точки зрения серверной аналитики?

Сотрудница отправляет письмо своему потенциальному будущему работодателю с прикрепленным файлом резюме на локальный почтовый сервер. Сервер обработки почты перехватывает информацию и перенаправляет на Центральный сервер. Информация из ЦС проходит круг индексации и распознавания и возвращается на ЦС. Параллельно Сервер политик безопасности проводит сверку информации в ЦС с политиками безопасности, прописанными ранее, и так выявляется нелояльность сотрудников на примере.

Следует помнить, что весь процесс анализа проходит без остановок. Пока работает компьютер, параллельно производится и анализ всех данных, по всем заранее установленным правилам безопасности, с полной отчетностью при необходимости и возможностью получения актуальных данных сразу по запросу.

Какие источники информации может перехватить DLP-система?

Современные DLP-системы охватывают большинство самых популярных источников информации в компании. Сюда можно отнести не только внутреннюю переписку по корпоративной почте, но и мониторинг подключения внешних накопителей, аудио и фото-формата, отслеживание активности и содержания этой активности в соцсетях и мессенджерах в том случае, если сотрудники вошел в аккаунт на компьютере с установленным агентом. В целом можно выделить несколько групп источников:

• протоколы обмена мгновенными сообщениями OSCAR, MMP, MSN, XMPP, YIM, Lync и другие, на которых функционируют популярные сервисы Viber, Miranda, QIP, Windows Messenger, Yahoo! Messenger, Skype, Telegram и другие;
• SIP (IP-телефония с использованием программных средств для звонков, перехват текстовых и голосовых сообщений);
• файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS и шифрованным протоколам (включая SSL, SMTP и мессенджеров);
• содержимое баз данных;
• передачу файлов на внешние нераспознанные системой USB-устройства;
• печать информации с помощью локальных и сетевых принтеров;
• кейлогер;
• подключение к ПК с видео и аудиомониторингом.

Какие виды анализа информации используется в DLP-системах

На примере SecureTower можно рассмотреть 4 вида анализа информации, которые использует DLP.

• Контентный. Анализ содержимого контента с учетом морфологии и транслитерации языков. Позволяет детектировать в тексте определенные слова, фразы, словосочетания.
• Статистический. Анализ по числовым показателям: количество посещенных сайтов, скопированных по USB файлов и т.п.
• Событийный. Анализ по определенному событию: запуск приложения, передача запароленного архива и т.п.
• Атрибутивный. Позволяет учитывать атрибуты файлов, документов, устройств.

Применение всего этого списка позволяет перехватить максимальное количество информации и данных, которые не подлежат распространению.

Операционные системы для DLP

Создание полноценной версии DLP-системы, совместимой с разными операционными системами, – процесс долгий и кропотливый. И чем больше вариантов этой системы, тем более универсальной и качественной является сама система.

Пользователей чаще всего интересуют 3 ОС, которые установлены на большинстве компьютеров мира: Windows, MacOS и Linux. Теперь DLP-система Falcongaze контролирует рабочие станции под управлением операционных системы любого из трех типов.