DLP встали на вооружение служб безопасности относительно недавно и уже переросли первоначальную задачу — предотвращение утечек. Что они умеют? Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев рассказывает на примере ярких кейсов.
Представим ситуацию: компания готовит выпуск продукта, не имеющего аналогов на рынке, как вдруг… конкуренты анонсируют новинку, точно повторяющую запланированный релиз по характеристикам. Как такое могло произойти? Логичное объяснение — утечка.
Предотвращать такие инциденты — основная задача для специализированного ПО — DLP-систем. Но сейчас от них ждут большего — снижения операционных рисков. Насколько это реально? Обратимся к практике использования DLP.
Классика жанра
Базовым требованием к DLP-системам остается контроль несанкционированной передачи данных. Угроза не теряет актуальности: только в прошлом году с ней столкнулись 66% российских компаний. Об этом говорят данные опроса, в котором приняли участие 1024 специалиста по безопасности.
Вот как расследовали утечку в одном из крупных холдингов. В него на топовую позицию пригласили специалиста из-за рубежа.
Система контролировала работу с файлами: когда документ, маркированный грифом «секретно», был загружен в запароленный архив, программа получила оповещение об инциденте. Этот факт не мог не привлечь внимание службы безопасности: зачем сотруднику прятать в архив рабочие документы на рабочем компьютере, который уже находится под защитой корпоративных ИБ-систем?
Проследить дальнейший путь архива было несложно — модуль контроля перемещения файлов показал, что документ отправился на флешку. Предустановленные настройки безопасности повторно зашифровали его содержимое так, чтобы открыть архив, даже с паролем, можно было только с корпоративного устройства. В другом месте содержание файла оказалось бы попросту недоступно.
Однако предотвратить утечку мало: важно понять, куда и зачем сотрудник собирался передавать ценную информацию. Поэтому ИБ-служба с помощью DLP проанализировала его переписку в Telegram. Там предприимчивый менеджер открыто хвастался, что компания его заграничных друзей скоро «оставит с носом» всех остальных игроков на рынке, включая его нового работодателя. Выходит, что сотрудник, получив доступ к проектной документации, решил поделиться ею с бывшими коллегами за границей.
Сомнений в том, что имел место корпоративный шпионаж, не осталось: с работником попрощались. Благодаря оперативной реакции службы безопасности критических последствий удалось избежать.
Нестандартные угрозы
Обратимся теперь к несвойственным ранее для DLP задачам. Одна из главных — выявление и расследование корпоративного мошенничества. От DLP-систем сегодня требуется находить факты хищения денег, оборудования, информации; находить откатчиков и факты продвижение интересов аффилированных лиц; выявлять использование служебного положения в своих целях. Это диктует особые требования к аналитическим возможностям системы. Чем они выше, тем больше шансов раскрыть преступления и собрать пул доказательств.
Вот пример, как это работает.
IT-специалиста компании уличили в прогулах. Официально он отсутствовал по болезни, а сам в это время летал в Москву. Обман обнаружили, когда на почту сотрудника пришли авиабилеты в столицу с указанием его паспортных данных. DLP зафиксировала письмо благодаря политике безопасности, которая искала в почте регулярные выражения — сочетания цифр, похожие на номер паспорта. Дата вылета соответствовала «больничному». В соответствии с ТК, за грубое нарушение трудовой дисциплины сотрудника уволили.
Но это только начало истории. Оскорбленный айтишник решил отомстить. За несколько дней до увольнения он установил на серверы компании скрытое ПО удаленного управления. Сотрудник работал системным администратором и имел соответствующие права доступа. Поэтому политики безопасности не среагировали.
Полгода он выжидал, а прямо перед новогодними праздниками воспользовался удаленным доступом — подключился к инфраструктуре и загрузил вредоносный скрипт, удаляющий данные. Если бы агенты DLP на серверах оперативно не уведомили о переброске скрипта через TeamViewer, а модуль контроля файловой системы не детектировал начало массового удаления файлов — последствия для компании были бы катастрофические. Бывший сотрудник нацелил работу вредоноса на хранилища с информацией о товарообороте, контрагентах, финансово-хозяйственной деятельности компании. Пострадали бы персональные данные сотрудников, сведения финансового, бухгалтерского и налогового учета. Служба безопасности вмешалась вовремя и смогла остановить удаление.
Затем началось расследование. Детальная реконструкция нарушения в DLP, в которой имелась даже видеозапись действий экс-сотрудника на сервере, позволила по шагам воспроизвести инцидент и послужила основанием для обвинения в суде. Злоумышленник получил условный срок по статье о неправомерном доступе к компьютерной информации и обязан возместить компании ущерб в 1,5 млн рублей.
Эта история давняя, сегодня DLP шагнули вперед. В некоторых появляются функции прогнозирования нарушений, что позволяет сотрудникам ИБ заранее пересмотреть политики безопасности для минимизации рисков.
Контроль «по-человечески»
Автоматика DLP оптимизирует поиск и анализ действий сотрудников — у СБ остается больше времени на контроль «тонких мест». Определять их системы тоже умеют: новый функционал позволяет найти в коллективе потенциальных нарушителей.
С такой необходимостью столкнулся наш клиент. Директор компании фиксировал серьезное падение прибыли, он всерьез подозревал, что кто-то из сотрудников работает против компании. Явных признаков махинаций стандартные инструменты DLP не обнаруживали, и тогда служба безопасности обратилась к автоматизированному профайлингу.
Этот модуль DLP-системы собирает информацию о сотрудниках через их переписки на форумах, в социальных сетях и мессенджерах. Язык неформального общения многое говорит о человеке, его личностных характеристиках и особенностях поведения. Все это анализирует DLP и составляет развернутый психологический портрет.
В компании сформировали профили всего персонала и стали искать среди них склонных к нарушениям из алчности. Явные признаки проявились у одного сотрудника, условного «Петрова». Служба безопасности прислушалась к результатам профилирования и взяла «Петрова» на особый контроль.
Через DLP присмотрелись к его отношениям с коллегами. Граф связей по каналам коммуникации показал, что он постоянно общается в Skype с четырьмя сотрудниками других отделов. Круг подозреваемых расширился: в чате обсуждали тендеры и технические задания, хотя не все участники переписки по служебным обязанностям работали с закупками.
Однажды «Петров» обратился к собеседникам с просьбой «распечатать последние правки» в документе, над которым они совместно работали. DLP показала, что в файле было техническое задание. Как выяснилось при дальнейшем разбирательстве, оно было скорректировано под крупную поставку и конкретное юрлицо — фирму-боковик, в которой и работал этот мини-коллектив.
Так как информация не выходила за рамки общения внутри компании, а коммуникации не носили «криминальный» характер, стандартные инструменты DLP пропустили бы их — ведь угрозы именно информационной безопасности в таких действиях нет. Для распутывания таких дел важен профессиональный взгляд живого человека. Знать, куда смотреть, помогает поведенческий анализ коллектива, и пока автоматизированный профайлинг — единственная рабочая методика.
DLP в своем нынешнем виде обладают громадными возможностями. Среди производителей DLP идет «гонка вооружений», все наращивают функционал. И на передний план выходят другие конкурентные преимущества: производительность, легкость внедрения, аналитические возможности и удобство работы с системой. При этом DLP — только инструмент в руках службы безопасности. Его эффективность не в последнюю очередь зависит от умений тех, кто будет с ним работать.
Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»
