© 1995-2021 Компания «Инфосистемы Джет»
Как эффективно настроить DLP систему и обучить сотрудников
Информационная безопасность

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

№1-2 (270) / 2016

09.02.2016

Посетителей: 80

Просмотров: 78

Время просмотра: 1.2 мин.

«Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать. И одной технической реализации системы здесь недостаточно – нужны выстроенные процессы, постоянная работа ИБ-специалистов по совершенствованию функционирования DLP», – подчеркивает в нашем разговоре о «процессной» стороне контроля от утечек эксперт ИБ Сергей Солдатов.

Сергей, наш первый вопрос по факту будет вводным, предваряющим детальное погружение в тему. Что, помимо внедрения технических средств, является необходимыми слагаемыми успеха внедрения системы контроля утечек конфиденциальной информации?

Самое главное, что должно быть создано в компании независимо от того, какую систему вы внедряете, – процессы управления ИБ. Нужно проанализировать свои ИБ-процессы, понять, где есть проблемы, наметить и реализовать действия по их устранению. Это первый инструмент корпоративной ИБ-гигиены. Второй – тоже организационный: можно провести классификацию информации, которая используется в компании, выяснить, какие виды информации имеют наибольшие риски с точки зрения утечек и нарушения целостности и доступности, и отработать по ним, для начала оргмерами. Стоит разработать регламенты для сотрудников, описывающие правила обращения с данными, – программу инструктажей. Разобравшись в процессе, определив цели и способы защиты, можно уже подобрать технические инструменты для достижения этих целей.

Как нужно проводить обучение сотрудников работе с конфиденциальной информацией, чтобы оно давало максимальный эффект?

Имеет смысл проводить инструктаж при приеме сотрудника на работу, а затем повторно, с заданной периодичностью, например, раз в 1–2 года. Инструктаж может включать в себя рассказ о конкретных кейсах, самых распространенных типах инцидентов, правилах использования информационных ресурсов, которых должен придерживаться сотрудник.

 

Целесообразно проведение тестирования «по горячим следам» – по мотивам полученных сотрудником знаний с установленным проходным баллом. Если человек делает много ошибок, инструктор дает пояснения: почему ответ неверен и как стоило поступить в описанной в тесте ситуации. Завершающим аккордом должно быть подписание новым сотрудником документов, обязывающих его соблюдать установленные в компании правила ИБ.

 

В обязательном порядке необходимо проводить инструктаж по факту нарушения, чтобы выяснить для себя причины, приведшие к нему, и объяснить пользователю, в чем состоит его нарушение, почему это плохо для компании.

 

Если у вас есть централизованная база инцидентов ИБ, вы можете вести статистику по подразделениям – кто и что нарушает, какие типы нарушений встречаются чаще. Эта информация должна фидбэком идти в планы проведения инструктажей и адаптацию программы обучения.

Людям не нужно читать пространные лекции о процедурах ИБ, длинные, замысловатые предложения в обучающих документах сразу вызовут негативное отношение. Давайте конкретные кейсы – раз, два, три.

Может быть, у вас есть, что называется, проверенные временем рецепты обучения?

Очень важно предусмотреть возможность многоканальной обратной связи от сотрудников, это повышает эффективность обучения. Вообще, если человек замотивирован на нарушение, вы его не остановите, другими словами, если к вам пришел технически подготовленный инсайдер, вы 100%-но не препарируете его своей DLP. Но, к счастью, таких случаев немного. Подавляющее большинство нарушений из моей практики были не преступной халатностью, а просто ошибками, в том числе по незнанию. Вина за подобные ошибки частично лежит и на ИБ-подразделении: незнание – это недоработка того, кто проводит обучение. Может быть, у сотрудника не было возможности спросить, уточнить, как правильно/неправильно, например, какие файлы нельзя отправлять по почте за пределы компании/заливать на публичные файлообменники.

 

Хорошая тема – короткие, не более трех минут, видеоролики о конкретных случаях нарушений. Истории для видеороликов нужно черпать из практики, по результатам анализа статистики инцидентов. Можно делать скринсейверы на ИБ-тематику, это особенно хорошо работает в open space: человек идет с чаем по офису, а на всех компьютерах в спящем режиме мелькают образы, показывающие как нельзя поступать с информационными ресурсами и носителями информации. Вы получаете перманентное обучение.

Как вы относитесь к ограничениям, накладываемым DLP-системой, например, на использование съемных носителей? Эффективны ли они?

С ними нельзя перебарщивать. Например, я ограничиваю людям доступ в Интернет, и они начинают пользоваться публичными Wi-Fi-сетями. Мы получаем нулевой результат с точки зрения ИБ и вдобавок недовольных пользователей. Ограничения, как правило, неэффективны, вызывают негатив и мешают людям работать. Правильнее дать сотрудникам возможность полноценно использовать корпоративные ресурсы и мониторить их действия, отлавливая нарушения и инциденты, проводя корректирующую работу. Конкретно по обозначенной проблеме: исключите применение съемных носителей для переноса данных между корпоративными компьютерами. Создайте сетевые папки – пусть люди используют их для обмена файлами. Для передачи между компаниями создайте корпоративный файлообменник, доступный партнерам через Интернет. Никогда не нужно пренебрегать возможностью контролировать свои данные как можно дольше, а вы контролируете их, пока они на ваших ресурсах.

Мой опыт показывает, что сотрудники в подавляющем большинстве лояльны к своей компании. Задача безопасников – поддерживать эту лояльность на должном уровне. Не создавайте своими ограничениями ситуации типа «у меня теперь не печатает принтер/не работает пропуск», дайте людям возможность комфортно работать, тогда они будут стараться соблюдать ИБ-правила. Интегрируйте правила ИБ в корпоративную культуру, и тогда их будет стыдно нарушать.

В таком случае какие организационные меры и действия ИБ-специалистов могут являться подспорьем в деле контроля утечек конфиденциальной информации?

Навскидку я могу привести пару примеров. Во-первых, помогает реализация принципа круговой поруки, ее модное название – Segregation of Duties. То есть нужно исключить ситуации, когда исполнение какой-либо критичной операции закреплено лишь за одним человеком в компании. Сделайте так, чтобы ее подтверждал или контролировал хотя бы еще один сотрудник. Вспоминается старая байка: почему при запуске ракеты нужно одновременно повернуть 2 ключа, находящиеся друг от друга на расстоянии нескольких метров? Чтобы это можно было сделать только вдвоем.

 

Во-вторых, эффективно использование полиграфов – оно дает хороший процент выявлений. Причем эту функцию можно аутсорсить и регулярно менять партнеров, чтобы в компании не было замотивированного Полиграф Полиграфыча. Использовать этот метод целесообразно в подразделениях, где велик риск мошенничества, – это закупки, розница.

 

Но самое главное здесь – повышение лояльности сотрудников и формирование корпоративной культуры, их едва ли можно назвать «организационными мерами», при этом они точно не технические. Здесь наблюдается полное сходство с тем, как патриотизм и любовь к Родине, интегрированные в культуру и воспитание, способствуют снижению вероятности появления недовольных. Вообще корпоративная кадровая и социальная политика – эффективнейший инструмент, позволяющий значительно повысить качество результатов работы сотрудников, однако почему-то об этом мало говорят.

 

Лояльный работник, преданный компании, ценящий корпоративную культуру, будет без дополнительных принуждений делать так, как того требует от него компания: общая корпоративная культура трансформирует «исполнение требований» в «общепринятую практику». В итоге сотрудник будет не напрягаться в отношении исполнения требований, он будет выполнять работу так, как это принято в компании, иначе он не сможет влиться в трудовой коллектив.

Допустим, компания решила использовать DLP-систему «из коробки». Насколько она может быть эффективна?

DLP-система – достаточно интимная вещь, ее нужно адаптировать под себя. Чем лучше вы это сделаете, тем больший эффект получите. Я не знаю ни одного успешного кейса с DLP «из коробки», так что не могу сказать, целесообразен ли такой вариант. В то же время я много занимался мониторингом событий ИБ – работал с системами обнаружения вторжений, фильтрации Интернет-трафика и считаю, что дефолтные сигнатуры в таких случаях малоэффективны.

Если уж мы заговорили о настройке решения, предлагаем обсудить основные принципы, по которым должна жить эффективная DLP-система после внедрения – без каких регулярных действий она не будет приносить пользы бизнесу?

Разумно сначала запуститься в режиме мониторинга, ничего не блокируя, риска в этом нет, поскольку раньше вы жили без DLP вовсе. Должны появиться ИБ-специалисты, которые регулярно анализируют логи системы. Спустя какое-то время вы поймете, что у вас летает по сети, и что из этого создает риски ИБ. Далее обязательно должен быть выстроен процесс обработки результатов работы DLP. Мы выявили инцидент – куда и кому его передавать? Мы можем сообщить о нем специалисту, отвечающему за проведение инструктажей, руководителю сотрудника, совершившего нарушение, и т.д.

 

Во втором случае руководитель, ознакомившись с фактами, принимает решение о дальнейших действиях. Естественно, должно быть не только организационное, но и техническое последствие. Например, мы зафиксировали большое количество drive-by загрузок через интернет-шлюз с последующим сливом чего-то по SSL – имеет смысл запретить загрузку определенного контента с неклассифицированных сайтов. Upload имеет смысл запретить вообще везде, за редким исключением. То есть, например, если с сайта происходит перенаправление на ресурс, который неизвестен нашему категоризатору ресурсов, мы не даем загружать с него PDF, Flash, Java и прочий потенциально опасный контент. Это техническое последствие, по сути, является результатом анализа инцидентов.

Что, помимо этого, может проистекать из разбора инцидентов, выявляемых DLP?

Процесс регулярного улучшения работы системы. То есть мы ставим DLP и начинаем «глазами» смотреть в объем: что «летает», кому, куда. Затем анализируем, что из этого – зло, и решаем, как мы будем с ним поступать: блокировать, модифицировать «на лету» или настраивать другие реакции системы. Например, когда сотрудник увольняется, он обычно начинает сливать данные на съемные носители. Верно и обратное: если фиксируется большой объем сохраненных на съемные носители данных, например, 500 ГБ за неделю, значит, человек думает уходить из компании. Имеет смысл сообщить об этом факте его руководителю, показать ему список названий файлов, возможно, он узнает среди них документы, содержащие критичную для бизнеса информацию. Далее следует изъятие файлов у нарушителя. И выявление подобных случаев можно поставить на поток: написать скрипт, который будет в автоматическом режиме фиксировать такие факты, установить систему, «автоматом» отправляющую вам письмо о том, что кто-то из сотрудников накопировал себе определенное количество ГБ.

 

Таким образом, ты используешь свои знания об инцидентах как базу для настройки ИБ-систем под себя. В первый раз ты находишь событие вручную, а затем автоматизируешь поиск подобных случаев. Когда знакомые кейсы у тебя отрабатывает автоматика, ты идешь дальше – находишь новые «болевые точки» и настраиваешь под их устранение систему. Это поступательное движение. Разница между человеком и машиной состоит в том, что человек не работает четко по алгоритмам, он может догадываться, устанавливать и анализировать косвенные признаки. Позднее, когда целостная картина об инциденте собрана, он переводится в разряд стандартных/типовых и автоматизируется, а аналитик приступает к более глубокому анализу, и все повторяется.

Нужно на регулярной основе анализировать причины инцидентов ИБ и, исходя из этого, формировать план мероприятий по их устранению – как организационных, так и технических. Технические мероприятия должны включать в себя изменения конфигураций ИБ-систем, в том числе DLP.

Какие решения, помимо DLP, целесообразно использовать для контроля утечек?

Нужную информацию можно добыть разными путями. Был случай, когда заговор сотрудников одной компании был раскрыт с помощью данных из Skype. Они обсуждали свои планы, используя этот официально разрешенный в компании мессенджер. Дело в том, что клиент Skype кэширует сообщения, ИБ-шники собрали все кэши разговоров и установили, кто именно вел диалог по предмету расследования. Так была найдена вся группа.

 

Многие системы пишут свои логи, они могут рассказать вам о коммуникациях и действиях сотрудников компании. Причем имеет смысл заложиться в хранилище, чтобы иметь возможность собирать все подряд. А если у вас стоит система их анализа, например, Splunk, логи индексируются и находятся на раз-два.

Наш следующий вопрос связан с давним противостоянием между этичностью и практичностью в информационной безопасности. Если гипотетически порассуждать в отрыве от действующего законодательства, нужно ли сообщать сотрудникам о том, что в компании стоит DLP-система и присматривает за их действиями?

Афиширование наличия контроля – тонкий момент. Если человек подготовлен и заинтересован в том, чтобы вынести из компании конфиденциальную информацию, он сделает это, что называется, на высоком уровне. Здесь вам поможет только intelligence: нужно очень много всего анализировать и по косвенным признакам вычислять злоумышленника. Если он к тому же будет знать о DLP и принципах ее работы, эта задача еще более усложнится. В любом случае у вас крайне мало шансов его остановить.

 

Для обычных нарушителей знание о работе DLP не станет панацеей от проблем – часто они случайно совершают ошибки. Другое дело, что сотрудника в таком случае не обязательно сразу вызывать на ковер, можно провести разъяснительные мероприятия, заодно проанализировав его поведение и проверив уровень лояльности к компании.

 

Никогда не нужно пренебрегать возможностью дополнительно побеседовать с человеком. Безопасники любят заострять внимание на железках: если они нормально работают, значит, все хорошо. Но потенциальный ущерб живет не в них, а в бизнес-процессах и в их исполнителях. Так что нужно разбираться в человеческой психологии. Опять же из практики: часто люди поступают неправильно, не потому что они злодеи, а потому что не было возможности поступить правильно – не было нужного сервиса для выполнения их задач, имеющиеся возможности были неудобны или работали плохо, и т.д. Всю эту обратную связь обязательно нужно собирать, чтобы построить удобные и безопасные ИТ-сервисы. Не провоцируйте пользователя рисковать корпоративной информацией из-за отсутствия возможности удобно работать.

Каким образом можно измерить эффективность DLP-решения – каковы алгоритмы этой оценки? Имеет ли смысл в принципе измерять эффективность ИБ?

Измерять нужно обязательно. Когда ты начинаешь что-то делать, ты ставишь себе цели и задачи. И здесь важно понимать, насколько твои действия приводят к их достижению, делаешь ли ты правильные вещи и делаешь ли ты их правильно. Это и есть мерило твоей эффективности. Допустим, ты борешься с мошенничеством, предотвратил совершение хищений и можешь точно оценить, во сколько бы они обошлись компании. Сравнив это с инвестициями в процесс ИБ, позволивший выявить хищения, можно оценить эффективность. Область незнания – сколько еще не выявленных фактов мошенничества и сколько на этом теряет компания – в расчет при этом брать невозможно, потому что ты не знаешь того, что не знаешь. Нужно опираться на чистые факты: сколько ИБ сохранила компании, столько она стоит.

 

Важно понимать еще одно назначение метрик: помимо описания того, что было сделано, они позволяют определить слабые места, на которых в будущем следует акцентироваться. На мой взгляд, это наиболее важное свойство метрик, и именно на эту оценку следует бросить усилия, поскольку она позволит адаптироваться к ситуации, совершенствовать свою информационную безопасность.

Сергей, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

DLP 2.0. Комплексная защита активов

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России.

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

"По сути дела, мы не банк в чистом виде"

По сути дела, мы не банк в чистом виде. Мы – ИТ-компания с банковской лицензией, и это накладывает свою специфику на процессы обеспечения ИБ

Процессы разные нужны, процессы разные важны

Тема управления инцидентами и менеджмента ИБ в целом обсуждается на протяжении многих лет

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня