© 1995-2022 Компания «Инфосистемы Джет»
Инструментальный анализ уязвимости бизнес-процессов
Программное обеспечение Программное обеспечение

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Главная>Программное обеспечение>Инструментальный анализ уязвимости бизнес-процессов
Программное обеспечение Тема номера

Инструментальный анализ уязвимости бизнес-процессов

19.09.2012

Посетителей: 292

Просмотров: 228

Время просмотра: 3.1 мин.

Авторы

Автор
Дмитрий Кононов В прошлом - руководитель группы внедрения DLP-решений компании «Инфосистемы Джет»
Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию. И наш опыт выполнения более чем 500 проектов по внедрению комплекса «Дозор-Джет» подтверждает актуальность такой картины: специалисты банков торгуют информацией о заемщиках, сотрудники коммерческих организаций – о готовящихся тендерах и маркетинговых акциях, специалисты HR – сведениями о перспективных сотрудниках, мотивационных схемах и зарплатах топ-менеджеров и т.д. Как результат, нанять инсайдера зачастую становится легче, чем найти квалифицированного специалиста на любую вакансию. И все это при активном использовании сотрудниками электронной почты, социальных сетей, предоставляемых самими работодателями принтеров и сканеров. Стандартной является ситуация, когда уже в первый день включения комплекса «Дозор-Джет» выявляются серьезные нарушения политик информационной безопасности и вскрываются вопиющие факты утечек чувствительных для компании данных.

 Но за этим увлекательнейшим противостоянием щита и меча современной информационной безопасности уходят в тень более комплексные проблемы утечек конфиденциальных данных, чем продажа данных инсайдером. К ним мы относим построение работодателем потенциально опасных, с точки зрения утечек, бизнес-процессов. Поделившись в начале 2011 г. своими соображениями на эту тему с рядом ключевых заказчиков, мы выявили большую заинтересованность в привлечении наших экспертов по DLP-системам к аудиту бизнес-процессов, связанных с обработкой конфиденциальных данных.

 

Как результат, в нашем портфеле проектов появилась услуга по экспертному консалтингу в части анализа бизнес-процессов на уязвимость к утечкам конфиденциальных данных по таким каналам коммуникации, как корпоративная и веб-почта, социальные сети, интернет-мессенджеры, съемные носители и принтеры. Скажем сразу, в данном случае речь идет не об анализе на соответствие требованиям тех или иных регуляторов, а, грубо говоря, о проверке на практическую «дырявость» сложившихся у заказчика способов и правил обмена данными. При наличии таких брешей не только повышаются риски утечек, но и, что не менее важно, понижается вероятность идентифицировать как сам факт утечки, так и инсайдера. В качестве примера одного из «дырявых» правил обмена данными можно привести использование де-факто в качестве стандарта общения сервиса Skype: кто, кому и какие данные передает в этом случае остается тайной для службы информационной безопасности.

 

А была ли утечка?

 

Мы уже поднимали вопрос о ценности диагностики информационных потоков любой компании в  1–2 Jet Info за 2011 г. и говорили о том, что, анализируя их, можно узнать много интересного о ее реальной жизни. В частности, насколько лояльны сотрудники, эффективны ли бизнес-процессы, присутствуют ли факты утечек информации. В настоящей статье этот тезис мы проиллюстрируем на примере результатов проекта инструментального анализа уязвимости бизнес-процессов.

 

Анализ уязвимости проводился в крупной коммерческой компании с большим количеством региональных представительств. По понятным причинам вся нижеприведенная информация обезличена. В то же время наш опыт говорит, что вместо конкретного названия можно подставить практически любое и картина при этом заметно не изменится. Чтобы остаться в формате журнальной статьи, мы привели только ТОП 5 типичных для большинства компаний угроз, связанных с передачей данных.

 

В инфраструктуру заказчика на один месяц была установлена скрытая система мониторинга каналов коммуникаций на основе комплекса «Дозор-Джет». Исходящая, входящая корпоративная почта и HTTP-трафик компании перехватывались комплексом и сохранялись в архиве сообщений системы архивирования и анализа. Также в архив поступали данные от системы контроля информации, перемещаемой с использованием съемных носителей. В системе архивирования и анализа нашими экспертами по внедрению DLP-систем совместно с заказчиком была создана политика, позволяющая проанализировать состояние бизнес-процессов с точки зрения их уязвимости для утечек информации.

 

Реальность как она есть

 

За месяц работы комплекса было проанализировано около 2 Тб информации, отправленной посредством корпоративной почты, различных web-сервисов, а также перемещенной на съемные носители. Результаты анализа показали, что в компании существует целый ряд устоявшихся процессов обмена данными, которые способствуют практически бесконтрольной передаче конфиденциальной информации наружу. Это значительно усложняет и удорожает идентификацию факта утечки, поиск инсайдера и предотвращение ее повторения в будущем. Мы приводим выявленные угрозы ниже.

 

Угроза 1: интернет-мессенджеры и социальные сети.
Во-первых, были выявлены многочисленные факты использования сотрудниками компании web-сервисов обмена сообщениями: значительную часть трафика составили message на сервисы обмена мгновенными сообщениями (~26%) и в социальных сетях (~30%). Такая распространенность доступа к подобным сервисам и блогам создает значительные риски утечки значимой для компании и ее деловой репутации информации по этим каналам.

 

Угроза 2: бесконтрольное размещение файлов на внешних ресурсах.
Во-вторых, в рамках существующих бизнес-процессов компании были обнаружены многочисленные факты передачи файлов на внешние веб-сервисы (~14% от общего объема проанализированного трафика). Иными словами, на внешних ресурсах с сомнительным происхождением и негарантированной безопасностью на неконтролируемое время оказываются внутренние рабочие документы, содержащие в том числе и конфиденциальные данные. Как результат, любой мало-мальски продвинутый школьник может получить к ним доступ и использовать во вред компании. Без изменения существующего порядка практически невозможно не только выявить злоумышленника внутри организации, но и предотвратить факты подобных утечек в будущем.

 

стандартной является ситуация, когда уже в первый день включения комплекса «дозор-джет» выявляются серьезные нарушения политик информационной безопастности

 

Угроза 3: обмен документами в архивах без пароля и шифрации.
В-третьих, было обнаружено, что из всей массы отправляемых пользователями писем, содержащих документы и архивы, ~69% сообщений уходит на внешние интернет-сайты или почтовые серверы. При этом большая часть информации передается в открытом, незашифрованном виде. В рамках существующих в компании бизнес-процессов сотрудники отправляли на бесплатные сервисы web-почты в незашифрованном виде такие конфиденциальные данные, как финансовые показатели, отчеты по реализации продукции, персональные данные о сотрудниках и их зарплате, размеры бонусов топ-менеджеров и т.п.

 

Угроза 4: Skype.
В-четвертых, за время работы комплекса были зафиксированы около 5 тысяч фактов работы клиента Skype. Обмен сообщениями Skype осуществляется с использованием шифрованного протокола, что не позволяет проверять их содержимое на периметре и создает трудности в организации контроля действий пользователей. Использование Skype представляет собой неконтролируемый канал для утечки данных и потенциально является источником утечек высокого риска.

 

Угроза 5: бесплатные SMS-сервисы.
В пятых, было обнаружено, что в компании распространена передача вышестоящим менеджерам отчетов по финансовым показателям через web-сервисы передачи SMS-сообщений. После прогремевших в прошлом году утечек данных SMS ведущих сотовых операторов излишне говорить об имеющихся при таком подходе рисках информационной безопасности.

 

Обнаружил - устрани

 

Итак, мы получили срез данных, что же из этого следует? Наращивая инструментальные и программные средства предотвращения утечек конфиденциальных данных и увеличивая штат сотрудников службы ИБ для своевременного выявления и предотвращения таких фактов, не лишним будет проанализировать принятые в вашей компании бизнес-процессы с точки зрения их уязвимости к утечкам. Вполне возможно, что увеличить реальную безопасность можно будет внесением изменений в политику ИБ и внедрением недорого средства контроля.

 

Действительно, в условиях, когда сам бизнес-процесс предусматривает отправку по доверительным каналам коммуникаций чувствительных для компании данных, крайне проблематично и дорого своевременно идентифицировать факт утечки и личность инсайдера. А в ряде случаев сделать это просто невозможно при любом финансовом вливании, т.к. конфиденциальные данные обрабатываются за контролируемым периметром и хранятся на внешних сайтах, бесплатных почтовых ящиках, в базах данных SMS и т.п.

 

Со своей стороны мы реализуем услугу анализа уязвимости бизнес-процессов с использованием DLP-системы «Дозор-Джет» основываясь при этом на своем многолетнем опыте внедрения как этого комплекса, так и других DLP-решений. «Дозор-Джет» благодаря лучшему на сегодняшний день архиву сообщений и наличию гибкой политики анализа накопленных в нем данных является инструментом, позволяющим свести воедино картину информационных потоков и выявить потенциально опасные бизнес-процессы. Затем уже применяются соответствующие организационные меры по их изменению: запрет обработки определенных документов за пределами компании и использования веб-сервисов отправки SMS с финансовыми показателями, отправка данных на внешние почтовые ящики только в зашифрованном виде и т.п. В конечном итоге риски утечек нивелируются, и бизнес может работать спокойно.

Уведомления об обновлении тем – в вашей почте

Борьба со спамом

В последние годы специалисты в области информационной безопасности начали заниматься, казалось бы, несвойственной им задачей: бороться со спамом – массовыми рассылками, которые в большинстве своем носят рекламный характер. А происходит ...

Нюансы внедрения DLP: наш опыт

Для начала нужно определиться с основными предпосылками появления DLP-системы в компании. Внедрение DLP-решения, как правило, - реакция на конкретный инцидент утечки конфиденциальной/критичной информации, который выявил уязвимость в существующей системе информационной безопасности.

Контроль использования интернет- ресурсов

Сегодня трудно переоценить значение Интернета в жизнедеятельности компаний, организаций или предприятий. С каждым днем этот сервис занимает все более значительное место. Интернет становится основным бизнесинструментом, реально приносящим ...

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

Сохранить и не преумножить

Сегодня ни для кого не секрет, что объем хранимой информации во всем мире ежегодно увеличивается, причем рост данных происходит экспоненциально. Например, согласно исследованиям аналитического агентства Enterprise Strategy Group, объемы хранимой в мире почтовой переписки ежегодно удваиваются, и в 2012 году суммарный объем превысит 13 ПБ данных.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня