© 1995-2021 Компания «Инфосистемы Джет»
Инструментальный анализ уязвимости бизнес-процессов
Программное обеспечение

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Программное обеспечение Тема номера

Инструментальный анализ уязвимости бизнес-процессов

19.09.2012

Посетителей: 100

Просмотров: 78

Время просмотра: 5.1 мин.

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию. И наш опыт выполнения более чем 500 проектов по внедрению комплекса «Дозор-Джет» подтверждает актуальность такой картины: специалисты банков торгуют информацией о заемщиках, сотрудники коммерческих организаций – о готовящихся тендерах и маркетинговых акциях, специалисты HR – сведениями о перспективных сотрудниках, мотивационных схемах и зарплатах топ-менеджеров и т.д. Как результат, нанять инсайдера зачастую становится легче, чем найти квалифицированного специалиста на любую вакансию. И все это при активном использовании сотрудниками электронной почты, социальных сетей, предоставляемых самими работодателями принтеров и сканеров. Стандартной является ситуация, когда уже в первый день включения комплекса «Дозор-Джет» выявляются серьезные нарушения политик информационной безопасности и вскрываются вопиющие факты утечек чувствительных для компании данных.

 Но за этим увлекательнейшим противостоянием щита и меча современной информационной безопасности уходят в тень более комплексные проблемы утечек конфиденциальных данных, чем продажа данных инсайдером. К ним мы относим построение работодателем потенциально опасных, с точки зрения утечек, бизнес-процессов. Поделившись в начале 2011 г. своими соображениями на эту тему с рядом ключевых заказчиков, мы выявили большую заинтересованность в привлечении наших экспертов по DLP-системам к аудиту бизнес-процессов, связанных с обработкой конфиденциальных данных.

 

Как результат, в нашем портфеле проектов появилась услуга по экспертному консалтингу в части анализа бизнес-процессов на уязвимость к утечкам конфиденциальных данных по таким каналам коммуникации, как корпоративная и веб-почта, социальные сети, интернет-мессенджеры, съемные носители и принтеры. Скажем сразу, в данном случае речь идет не об анализе на соответствие требованиям тех или иных регуляторов, а, грубо говоря, о проверке на практическую «дырявость» сложившихся у заказчика способов и правил обмена данными. При наличии таких брешей не только повышаются риски утечек, но и, что не менее важно, понижается вероятность идентифицировать как сам факт утечки, так и инсайдера. В качестве примера одного из «дырявых» правил обмена данными можно привести использование де-факто в качестве стандарта общения сервиса Skype: кто, кому и какие данные передает в этом случае остается тайной для службы информационной безопасности.

 

А была ли утечка?

 

Мы уже поднимали вопрос о ценности диагностики информационных потоков любой компании в  1–2 Jet Info за 2011 г. и говорили о том, что, анализируя их, можно узнать много интересного о ее реальной жизни. В частности, насколько лояльны сотрудники, эффективны ли бизнес-процессы, присутствуют ли факты утечек информации. В настоящей статье этот тезис мы проиллюстрируем на примере результатов проекта инструментального анализа уязвимости бизнес-процессов.

 

Анализ уязвимости проводился в крупной коммерческой компании с большим количеством региональных представительств. По понятным причинам вся нижеприведенная информация обезличена. В то же время наш опыт говорит, что вместо конкретного названия можно подставить практически любое и картина при этом заметно не изменится. Чтобы остаться в формате журнальной статьи, мы привели только ТОП 5 типичных для большинства компаний угроз, связанных с передачей данных.

 

В инфраструктуру заказчика на один месяц была установлена скрытая система мониторинга каналов коммуникаций на основе комплекса «Дозор-Джет». Исходящая, входящая корпоративная почта и HTTP-трафик компании перехватывались комплексом и сохранялись в архиве сообщений системы архивирования и анализа. Также в архив поступали данные от системы контроля информации, перемещаемой с использованием съемных носителей. В системе архивирования и анализа нашими экспертами по внедрению DLP-систем совместно с заказчиком была создана политика, позволяющая проанализировать состояние бизнес-процессов с точки зрения их уязвимости для утечек информации.

 

Реальность как она есть

 

За месяц работы комплекса было проанализировано около 2 Тб информации, отправленной посредством корпоративной почты, различных web-сервисов, а также перемещенной на съемные носители. Результаты анализа показали, что в компании существует целый ряд устоявшихся процессов обмена данными, которые способствуют практически бесконтрольной передаче конфиденциальной информации наружу. Это значительно усложняет и удорожает идентификацию факта утечки, поиск инсайдера и предотвращение ее повторения в будущем. Мы приводим выявленные угрозы ниже.

 

Угроза 1: интернет-мессенджеры и социальные сети.
Во-первых, были выявлены многочисленные факты использования сотрудниками компании web-сервисов обмена сообщениями: значительную часть трафика составили message на сервисы обмена мгновенными сообщениями (~26%) и в социальных сетях (~30%). Такая распространенность доступа к подобным сервисам и блогам создает значительные риски утечки значимой для компании и ее деловой репутации информации по этим каналам.

 

Угроза 2: бесконтрольное размещение файлов на внешних ресурсах.
Во-вторых, в рамках существующих бизнес-процессов компании были обнаружены многочисленные факты передачи файлов на внешние веб-сервисы (~14% от общего объема проанализированного трафика). Иными словами, на внешних ресурсах с сомнительным происхождением и негарантированной безопасностью на неконтролируемое время оказываются внутренние рабочие документы, содержащие в том числе и конфиденциальные данные. Как результат, любой мало-мальски продвинутый школьник может получить к ним доступ и использовать во вред компании. Без изменения существующего порядка практически невозможно не только выявить злоумышленника внутри организации, но и предотвратить факты подобных утечек в будущем.

 

стандартной является ситуация, когда уже в первый день включения комплекса «дозор-джет» выявляются серьезные нарушения политик информационной безопастности

 

Угроза 3: обмен документами в архивах без пароля и шифрации.
В-третьих, было обнаружено, что из всей массы отправляемых пользователями писем, содержащих документы и архивы, ~69% сообщений уходит на внешние интернет-сайты или почтовые серверы. При этом большая часть информации передается в открытом, незашифрованном виде. В рамках существующих в компании бизнес-процессов сотрудники отправляли на бесплатные сервисы web-почты в незашифрованном виде такие конфиденциальные данные, как финансовые показатели, отчеты по реализации продукции, персональные данные о сотрудниках и их зарплате, размеры бонусов топ-менеджеров и т.п.

 

Угроза 4: Skype.
В-четвертых, за время работы комплекса были зафиксированы около 5 тысяч фактов работы клиента Skype. Обмен сообщениями Skype осуществляется с использованием шифрованного протокола, что не позволяет проверять их содержимое на периметре и создает трудности в организации контроля действий пользователей. Использование Skype представляет собой неконтролируемый канал для утечки данных и потенциально является источником утечек высокого риска.

 

Угроза 5: бесплатные SMS-сервисы.
В пятых, было обнаружено, что в компании распространена передача вышестоящим менеджерам отчетов по финансовым показателям через web-сервисы передачи SMS-сообщений. После прогремевших в прошлом году утечек данных SMS ведущих сотовых операторов излишне говорить об имеющихся при таком подходе рисках информационной безопасности.

 

Обнаружил - устрани

 

Итак, мы получили срез данных, что же из этого следует? Наращивая инструментальные и программные средства предотвращения утечек конфиденциальных данных и увеличивая штат сотрудников службы ИБ для своевременного выявления и предотвращения таких фактов, не лишним будет проанализировать принятые в вашей компании бизнес-процессы с точки зрения их уязвимости к утечкам. Вполне возможно, что увеличить реальную безопасность можно будет внесением изменений в политику ИБ и внедрением недорого средства контроля.

 

Действительно, в условиях, когда сам бизнес-процесс предусматривает отправку по доверительным каналам коммуникаций чувствительных для компании данных, крайне проблематично и дорого своевременно идентифицировать факт утечки и личность инсайдера. А в ряде случаев сделать это просто невозможно при любом финансовом вливании, т.к. конфиденциальные данные обрабатываются за контролируемым периметром и хранятся на внешних сайтах, бесплатных почтовых ящиках, в базах данных SMS и т.п.

 

Со своей стороны мы реализуем услугу анализа уязвимости бизнес-процессов с использованием DLP-системы «Дозор-Джет» основываясь при этом на своем многолетнем опыте внедрения как этого комплекса, так и других DLP-решений. «Дозор-Джет» благодаря лучшему на сегодняшний день архиву сообщений и наличию гибкой политики анализа накопленных в нем данных является инструментом, позволяющим свести воедино картину информационных потоков и выявить потенциально опасные бизнес-процессы. Затем уже применяются соответствующие организационные меры по их изменению: запрет обработки определенных документов за пределами компании и использования веб-сервисов отправки SMS с финансовыми показателями, отправка данных на внешние почтовые ящики только в зашифрованном виде и т.п. В конечном итоге риски утечек нивелируются, и бизнес может работать спокойно.

Уведомления об обновлении тем – в вашей почте

Практические способы противодействия внутренним угрозам в банковском секторе

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

База знаний предприятия на основе систем управления контентом

Самой большой ценностью любой компании является прежде всего ее «интеллект» – практические знания и опыт всех сотрудников, полученные в процессе выполнения различного рода задач.

Mobile DLP - уже реальность

Концепция BYOD (Bring Your Own Device) становится все более модной в корпоративной среде

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

DLP - не роскошь, а средство комфортного предупреждения утечек

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня