© 1995-2021 Компания «Инфосистемы Джет»
Инструментальный анализ уязвимости бизнес-процессов
Программное обеспечение

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Программное обеспечение Тема номера

Инструментальный анализ уязвимости бизнес-процессов

19.09.2012

Посетителей: 136

Просмотров: 105

Время просмотра: 5.1 мин.

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию. И наш опыт выполнения более чем 500 проектов по внедрению комплекса «Дозор-Джет» подтверждает актуальность такой картины: специалисты банков торгуют информацией о заемщиках, сотрудники коммерческих организаций – о готовящихся тендерах и маркетинговых акциях, специалисты HR – сведениями о перспективных сотрудниках, мотивационных схемах и зарплатах топ-менеджеров и т.д. Как результат, нанять инсайдера зачастую становится легче, чем найти квалифицированного специалиста на любую вакансию. И все это при активном использовании сотрудниками электронной почты, социальных сетей, предоставляемых самими работодателями принтеров и сканеров. Стандартной является ситуация, когда уже в первый день включения комплекса «Дозор-Джет» выявляются серьезные нарушения политик информационной безопасности и вскрываются вопиющие факты утечек чувствительных для компании данных.

 Но за этим увлекательнейшим противостоянием щита и меча современной информационной безопасности уходят в тень более комплексные проблемы утечек конфиденциальных данных, чем продажа данных инсайдером. К ним мы относим построение работодателем потенциально опасных, с точки зрения утечек, бизнес-процессов. Поделившись в начале 2011 г. своими соображениями на эту тему с рядом ключевых заказчиков, мы выявили большую заинтересованность в привлечении наших экспертов по DLP-системам к аудиту бизнес-процессов, связанных с обработкой конфиденциальных данных.

 

Как результат, в нашем портфеле проектов появилась услуга по экспертному консалтингу в части анализа бизнес-процессов на уязвимость к утечкам конфиденциальных данных по таким каналам коммуникации, как корпоративная и веб-почта, социальные сети, интернет-мессенджеры, съемные носители и принтеры. Скажем сразу, в данном случае речь идет не об анализе на соответствие требованиям тех или иных регуляторов, а, грубо говоря, о проверке на практическую «дырявость» сложившихся у заказчика способов и правил обмена данными. При наличии таких брешей не только повышаются риски утечек, но и, что не менее важно, понижается вероятность идентифицировать как сам факт утечки, так и инсайдера. В качестве примера одного из «дырявых» правил обмена данными можно привести использование де-факто в качестве стандарта общения сервиса Skype: кто, кому и какие данные передает в этом случае остается тайной для службы информационной безопасности.

 

А была ли утечка?

 

Мы уже поднимали вопрос о ценности диагностики информационных потоков любой компании в  1–2 Jet Info за 2011 г. и говорили о том, что, анализируя их, можно узнать много интересного о ее реальной жизни. В частности, насколько лояльны сотрудники, эффективны ли бизнес-процессы, присутствуют ли факты утечек информации. В настоящей статье этот тезис мы проиллюстрируем на примере результатов проекта инструментального анализа уязвимости бизнес-процессов.

 

Анализ уязвимости проводился в крупной коммерческой компании с большим количеством региональных представительств. По понятным причинам вся нижеприведенная информация обезличена. В то же время наш опыт говорит, что вместо конкретного названия можно подставить практически любое и картина при этом заметно не изменится. Чтобы остаться в формате журнальной статьи, мы привели только ТОП 5 типичных для большинства компаний угроз, связанных с передачей данных.

 

В инфраструктуру заказчика на один месяц была установлена скрытая система мониторинга каналов коммуникаций на основе комплекса «Дозор-Джет». Исходящая, входящая корпоративная почта и HTTP-трафик компании перехватывались комплексом и сохранялись в архиве сообщений системы архивирования и анализа. Также в архив поступали данные от системы контроля информации, перемещаемой с использованием съемных носителей. В системе архивирования и анализа нашими экспертами по внедрению DLP-систем совместно с заказчиком была создана политика, позволяющая проанализировать состояние бизнес-процессов с точки зрения их уязвимости для утечек информации.

 

Реальность как она есть

 

За месяц работы комплекса было проанализировано около 2 Тб информации, отправленной посредством корпоративной почты, различных web-сервисов, а также перемещенной на съемные носители. Результаты анализа показали, что в компании существует целый ряд устоявшихся процессов обмена данными, которые способствуют практически бесконтрольной передаче конфиденциальной информации наружу. Это значительно усложняет и удорожает идентификацию факта утечки, поиск инсайдера и предотвращение ее повторения в будущем. Мы приводим выявленные угрозы ниже.

 

Угроза 1: интернет-мессенджеры и социальные сети.
Во-первых, были выявлены многочисленные факты использования сотрудниками компании web-сервисов обмена сообщениями: значительную часть трафика составили message на сервисы обмена мгновенными сообщениями (~26%) и в социальных сетях (~30%). Такая распространенность доступа к подобным сервисам и блогам создает значительные риски утечки значимой для компании и ее деловой репутации информации по этим каналам.

 

Угроза 2: бесконтрольное размещение файлов на внешних ресурсах.
Во-вторых, в рамках существующих бизнес-процессов компании были обнаружены многочисленные факты передачи файлов на внешние веб-сервисы (~14% от общего объема проанализированного трафика). Иными словами, на внешних ресурсах с сомнительным происхождением и негарантированной безопасностью на неконтролируемое время оказываются внутренние рабочие документы, содержащие в том числе и конфиденциальные данные. Как результат, любой мало-мальски продвинутый школьник может получить к ним доступ и использовать во вред компании. Без изменения существующего порядка практически невозможно не только выявить злоумышленника внутри организации, но и предотвратить факты подобных утечек в будущем.

 

стандартной является ситуация, когда уже в первый день включения комплекса «дозор-джет» выявляются серьезные нарушения политик информационной безопастности

 

Угроза 3: обмен документами в архивах без пароля и шифрации.
В-третьих, было обнаружено, что из всей массы отправляемых пользователями писем, содержащих документы и архивы, ~69% сообщений уходит на внешние интернет-сайты или почтовые серверы. При этом большая часть информации передается в открытом, незашифрованном виде. В рамках существующих в компании бизнес-процессов сотрудники отправляли на бесплатные сервисы web-почты в незашифрованном виде такие конфиденциальные данные, как финансовые показатели, отчеты по реализации продукции, персональные данные о сотрудниках и их зарплате, размеры бонусов топ-менеджеров и т.п.

 

Угроза 4: Skype.
В-четвертых, за время работы комплекса были зафиксированы около 5 тысяч фактов работы клиента Skype. Обмен сообщениями Skype осуществляется с использованием шифрованного протокола, что не позволяет проверять их содержимое на периметре и создает трудности в организации контроля действий пользователей. Использование Skype представляет собой неконтролируемый канал для утечки данных и потенциально является источником утечек высокого риска.

 

Угроза 5: бесплатные SMS-сервисы.
В пятых, было обнаружено, что в компании распространена передача вышестоящим менеджерам отчетов по финансовым показателям через web-сервисы передачи SMS-сообщений. После прогремевших в прошлом году утечек данных SMS ведущих сотовых операторов излишне говорить об имеющихся при таком подходе рисках информационной безопасности.

 

Обнаружил - устрани

 

Итак, мы получили срез данных, что же из этого следует? Наращивая инструментальные и программные средства предотвращения утечек конфиденциальных данных и увеличивая штат сотрудников службы ИБ для своевременного выявления и предотвращения таких фактов, не лишним будет проанализировать принятые в вашей компании бизнес-процессы с точки зрения их уязвимости к утечкам. Вполне возможно, что увеличить реальную безопасность можно будет внесением изменений в политику ИБ и внедрением недорого средства контроля.

 

Действительно, в условиях, когда сам бизнес-процесс предусматривает отправку по доверительным каналам коммуникаций чувствительных для компании данных, крайне проблематично и дорого своевременно идентифицировать факт утечки и личность инсайдера. А в ряде случаев сделать это просто невозможно при любом финансовом вливании, т.к. конфиденциальные данные обрабатываются за контролируемым периметром и хранятся на внешних сайтах, бесплатных почтовых ящиках, в базах данных SMS и т.п.

 

Со своей стороны мы реализуем услугу анализа уязвимости бизнес-процессов с использованием DLP-системы «Дозор-Джет» основываясь при этом на своем многолетнем опыте внедрения как этого комплекса, так и других DLP-решений. «Дозор-Джет» благодаря лучшему на сегодняшний день архиву сообщений и наличию гибкой политики анализа накопленных в нем данных является инструментом, позволяющим свести воедино картину информационных потоков и выявить потенциально опасные бизнес-процессы. Затем уже применяются соответствующие организационные меры по их изменению: запрет обработки определенных документов за пределами компании и использования веб-сервисов отправки SMS с финансовыми показателями, отправка данных на внешние почтовые ящики только в зашифрованном виде и т.п. В конечном итоге риски утечек нивелируются, и бизнес может работать спокойно.

Читайте нас в Telegram

Уведомления об обновлении тем – в вашей почте

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Контроль использования интернет- ресурсов

Сегодня трудно переоценить значение Интернета в жизнедеятельности компаний, организаций или предприятий. С каждым днем этот сервис занимает все более значительное место. Интернет становится основным бизнесинструментом, реально приносящим ...

Архив электронной почты

Электронная почта стала важнейшим средством обмена информацией. Согласно исследованиям, проведенным Ferris Research, за последние несколько лет объем корпоративной электронной почты увеличился на 50%. Ожидается, что в ближайшем будущем ...

Решения по защите информационных систем

Компания «Инфосистемы Джет» – системный интегратор и поставщик ключевых компонентов информационной инфраструктуры для крупных организаций и предприятий.   Компания «Инфосистемы Джет» работает на российском рынке с 1991 года, работы в ...

"Дозор-Джет" демонстрирует новый рекорд производительности

Специалисты компании "Инфосистемы Джет" провели тестирования продуктов линейки "Дозор-Джет" на новой платформе Sun Microsystems — серверах Sun Fire Т1000/Т2000 с технологией CoolThreads.

DLP-аутсорсинг. Вопросы эффективности

На определенном этапе своего развития любая компания приходит к мысли о защите конфиденциальной информации.

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

Безопасность систем электронной почты

Роль электронной почты   Электронная почта – один из наиболее широко используемых видов сервиса, как в корпоративных сетях, так и в Интернет. Она является не просто способом доставки сообщений, а важнейшим средством коммуникации, ...

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня