Внедрение DLP-системы на примере ритейла

    «Прошу прощения», — твердо, но очень тихо  обратился ко мне из темноты знакомый голос. Оглянувшись, я увидел, как силуэт незнакомца плавно движется в мою сторону. «Вы опаздываете?», — продолжил он. «Возможно», — ответил я, быстро прокручивая все варианты потенциального диалога, сопоставляя внешний вид человека с пришедшими на ум вариациями его возможных просьб. 

    Это был дедушка лет семидесяти, с седыми аккуратными усами и слегка колышущимися на ветру седыми волосами. Он был в очках, в сером костюме, присущем всем людям такого возраста, и ослепительно яркой голубой рубашке. Он казался одетым нелепо и броско, с учетом того что мы находились в одном из спальных районов Москвы. После моего ответа он взглянул на свои часы и также твердо, но уже с усмешкой сказал: «Тогда и я, возможно, уже опоздал». «А вы почему?» — не до конца понимая, что происходит, спросил я. «А потому что, я не знаю, сколько длится ваше «возможно»», — ответил дедушка с хитрой улыбкой на лице. «Время, время, его нельзя обесценивать, ты мне эти «возможно» говоришь уже давно, мы все ждем», — продолжил он уже без улыбки.  «Много букав, пиши статью на Хабр, сроки поджимают», — сказал дедушка, и я очнулся…

    Как оказалось, это был сон, сон знаковый. Чтобы не злить Никиту Михалкова из моего сна, я, молодой парень из «ЛАНИТ-Интеграции», написал статью о внедрении DLP-системы на примере ритейла.


    1. Что такое DLP-система


    Что такое DLP-система? Допустим, вы уже знаете, что это такое, и можете написать: «Да DLP лет, как мамонту», «Че там рассказывать?», «Это не новость». Отвечу сразу: статья содержит рассказ о важной части внедрения системы – аналитике, ведь технари не знают, какая информация действительно важна. Помимо этого, нужно отметить, что статей о DLP много, а то, как она внедряется, и почему работу делают интеграторы – нет. И да, тут будет краткий описательный экскурс о DLP, другие люди, не вы, могут и не знать. Максим из ЛАНИТ заботится о читателях. Погнали!

    DLP (Data Leak Prevention) — предотвращение утечек данных. Работа системы заключается в анализе информации, циркулирующей внутри организации, и уходящей вовне. То есть в этот раз бухгалтерия не будет делать массовую рассылку информации о вашей зарплате. Благодаря наборам определенных правил, заданных системе, можно блокировать передачу конфиденциальной информации или уведомлять о том, что конфиденциальная информация может быть передана не в те руки.


    Описательный экскурс кончился, едем дальше.

    2. Что сподвигло на внедрение


    У вас есть корпоративная сеть? В ней обрабатывается конфиденциальная информация? Вы боитесь, что вашей конфиденциальной информацией воспользуется кто-то кроме вас?

    «ДА! ДА! ДА!», — импульсивно и судорожно, как бьющий по кнопке Агутин, ответила нам на эти вопросы известная ритейл-компания и не ошиблась.


    Наш заказчик понимал, что угроза утечки конфиденциальной информации в подавляющей части кроется в настоящих и бывших сотрудниках компании. Поэтому было важно снизить риск потенциального инцидента вида «сотрудник и его друзья». Да, можно сказать: «Берите нормальных сотрудников» или «Вы не доверяете сотрудникам, с чего они должны доверять вам?». Ответ прост – «чудак» на букву «м» найдется везде, причем его «чудачество» может проявиться не сразу, а это и есть риск.

    Но даже при идеальном раскладе нельзя быть уверенным, что надежный и профессиональный сотрудник не допустит ошибку. Для таких сотрудников система работает как спасательный жилет и в определенный момент спросит: «Может, не надо?».

    3. Этапы работ


    Три крупных этапа внедрения:

    • формирование требований,
    • проектирование и установка,
    • аналитика и настройка системы.

    Формирование требований


    Перед началом внедрения какой-либо системы нужно провести обследование объекта будущих работ. Поэтому первым самолетом наши инженеры и консультанты по ИБ отправились узнавать все о заказчике.


    Что мы обсуждали:

    • организационно-распорядительную документацию, относящуюся к обеспечению безопасности и классификации информации,
    • перечень информационных ресурсов,
    • схемы сети,
    • схемы потоков данных,
    • организационную структуру.

    После обследования мы вместе с заказчиком приступили к рассмотрению всех возможных вариантов будущего технического коллаба. Сформировав список потребностей заказчика, мы отобрали двух отечественных и двух зарубежных вендоров. Путем сравнения решений был выбран наиболее подходящий требованиям продукт. После утверждения решения приступили к пилотированию.

    Пилотное тестирование проходило в течение одного месяца. В результате мы убедились, что выбранное решение закрывает все требования заказчика. Разработав отчет и защитив его, мы перешли к следующему этапу.

    Проектирование и установка


    После пилота, мы приступили к внедрению. Первое, с чего мы начали, было создание архитектуры системы, охватывающей все подразделения, отделы и филиалы.  Далее — согласование плана на внедрение. Это похоже на разбитую о корабль бутылку. Нам было необходимо объяснить всем сотрудникам, что мы внедряем, как это работает, какие цели преследуем. Благодаря проведенным брифингам, касающимся DLP-системы и ее назначения, мы добились понимания от персонала и были готовы дальше придерживаться нашего плана.  

    Следующим шагом было внедрение железа, настройка софта и разработка политик.
      
    Можно потратить миллионы на поставку и внедрение системы, но без ее правильной настройки результат не будет достигнут. DLP система «из коробки» не эффективна и не функционирует должным образом.


    Аналитика и настройка системы


    После работ по установке и развертке нам было необходимо четко понимать, что мы будем защищать и как настраивать нашу DLP по необходимым политикам. Часто в компании нет представления о конфиденциальной информации. Один человек никогда не скажет, какая информация является конфиденциальной для всей компании, к тому же в нашем случае речь идет о международной организации, насчитывающей тысячи сотрудников.

    Поэтому необходимо проводить интервьюирование. Причем, интервью должны проходить с ключевыми держателями информации, т.е. с людьми, обладающими определенными компетенциями и пониманием того, какая информация является конфиденциальной в своей сфере, ведь именно руководители подразделений, являются бизнес-потребителями функционала DLP. Информация об утечке после обработки офицером безопасности поступает руководителю, который принимает дальнейшее решение, что с этим инцидентом делать.

    Источник
     
    Для определения владельцев нужной нам информации мы изучили оргструктуру, опытные консультанты внесли предложение, а ответственный со стороны заказчика окончательно определил перечень интервьюируемых. Стоит отметить, что интервью, может быть полезным только в том случае, когда руководитель отдела полностью понимает, что и как функционирует в его отделе. Вышестоящее руководство может не догадываться о тонкостях той или иной сферы.

    Из интервью нам стало ясно, какая информация является конфиденциальной для компании. Из каждого отдела можно получить все типы конфиденциальной информации, которая должна найти только определенного адресата.

    Для дальнейшей настройки нам понадобились примеры документов, содержащие защищаемую информацию. Респондент указал нам, где она хранится и каким способом передается. Все эти аналитические тонкости нужны нам для настройки определенных правил системы и для понимания, как эту информацию защищать. 
     
    После этого политики были написаны и согласованы в том виде, который удобен для переноса в систему.
     
    Обычно DLP-система работает по следующему алгоритму:

    1. перехват информации (система фиксирует файл — полученный, отправленный, открытый и т.д.);
    2. анализ информации (система определяет, куда направляется документ и по настроенным меткам определяет характер информации в нем, понимает, что это за документ);
    3. блокировка  или уведомление об инциденте (система определяет, насколько операция над документом является легитимной (обработка по настроенным политикам)).


    Как научить систему анализировать информацию, которую она получает?

    Вот несколько видов анализа документации на конфиденциальность:

    1. Детектор форм/бланков

      Позволяет обнаруживать формы/бланки, содержащие такую конфиденциальную информацию,  ​​как налоговые, медицинские, страховые формы и т.д.
    2. Цифровые отпечатки

      Применяет методы снятия отпечатков документов для обнаружения конфиденциальной информации, хранящейся в неструктурированных данных, включая документы Microsoft Office, PDF-файлы; и такие бинарные файлы, как JPEG, CAD и мультимедийные файлы. IDM также обнаруживает «производное» содержимое, например, текст, скопированный из исходного документа в другой файл.
    3. Сопоставление

      Обнаруживает содержимое путем идентификации источников структурированных данных, включая базы данных, каталог-серверы или другие файлы структурированных данных.
      Мы прописали необходимые политики, нам оставалось провести итоговые мероприятия перед сдачей работ.

    4. Итог


    После пусконаладочных работ мы приступили к проведению предварительных испытаний:

    • испытания DLP на работоспособность и соответствие сформулированным требованиям;
    • устранение неисправностей и внесение изменений в документацию.

    При получении данных цифра ложных срабатываний, не превышающая 30%, считается идеально настроенной DLP-системой. Объяснение кроется в том, что в день может происходить более 100000 событий, потому такое процентное соотношение является допустимым. Но даже при первоначально огромном количестве ЛПС (ложный процент срабатывания) попадались и события, требующие внимания со стороны офицера безопасности.

    Роль интегратора заключается:

    • в тщательном подборе системы для конкретных задач, сравнении всех возможных вариантов,
    • обучении персонала,
    • анализе обрабатываемой информации,
    • настройке системы,
    • индивидуальном подходе,
    • экспертизе.

    Пусть это и не все пункты, но уже понятно, чем отличается покупка железа с проводками от целенаправленной закупки оборудования и его настройки для конкретных задач.

    Интегрируем с любовью.
    ЛАНИТ


    П.С. Машину продал))

    ГК ЛАНИТ
    446,04
    Ведущая многопрофильная группа ИТ-компаний в РФ
    Поделиться публикацией

    Комментарии 16

      +2
      Начало заворожило. Вам бы сказки писать :-)
        +1
        Спасибо) Пока так тренируюсь
        +7
        Расскажите, как предотвращается утечка данных, если:
        — Если не запрещать проносить свои смартфоны (сфоткал документ важный и отправил конкурентам через мобильный инет?)
        — А если запрещать смартфоны, то нужно ли делать досмотр при входе в офис и рентген просветку тела, чтобы в попе миникамеру не пронесли?)
        — А если не запрещать смартфоны, нужно ли ставить глушилки сигналов сотовой связи? (звонить только через проводной корпоративный телефон, который уже выныривает в мобильную сеть где-то подальше от глушилок?)
        — А если здание арендное и там много фирм и чужих сотрудников — пропускной режим и глушилки не прокатят?
        — А если не вводить белые списки доступа к ресурсам в глобальной сети, и не запретить https, который everywere, то что делать с гугл дисками и документами, гуглопочтами (веб морда), скайпами, web телеграм (end to end шифрование), соц.сетями (которые давно не только для баловства, но и для общения по работе, для продаж, рекламы и маркетинга)?
        — А если сделать лютый DPI, белые списки и подделку сертификатов (mitm), то как работать то? (безопасность обратно пропорционально удобству — я бы не хотел в такой конторе работать).
        Ну, и затраты на покупку, внедрение и обслуживание такой системы могут превысить потери от утечки данных.
        (про военные супер секретные объекты речи не идет сейчас — там деньги «из тумбочки»)
        А если все это не делать, то зачем платить сотни нефти за DLP, если оно, как чугунная 5 метровая стена, но только на 86% периметра, а кое где остается деревянный заборчик, а иногда просто кусты и прудик ..)))

        P.S. Работаю в корпорации, где сотни нефти где только на региональном уровне пару тыщ сотрудников (а ваще входит в международную группу компаний). Даже наши лютые безопаснеги, которые согласовывают каждый чих, правило фаера или программу — месяцами!!! (и это для не для бухгалтера или маркетолога, который только что пришел на работу второй день — а для системного инженера, который работает много лет, который обосновал и согласовал с тыщей начальников) — даже в такой компании не внедрили DLP…
          +1

          люто плюсую

            +1
            Имхо, только Ситхи возводят всё в абсолют. DLP всё же может прилично минимизировать риски.

            1. Утечек будет значительно меньше, если хотя бы простой бухгалтер не сможет отправить приватную информацию по почте. Или хотя бы попадётся на этом.
            2. Потерять 1млн записей личных данных которые кто-то куда-то закачал, и потерять данные, которые можно нафотографировать на смартфон — вещи разных порядков.
              0
              Я согласен, что приукрасил)) Но все же нужно сильно считать расходы и риски…
              Т.е. это ничего, если простой бухгалтер нащелкает на камеру пару сотен договоров с ключевыми клиентами или еще какие отчеты годовые по балансам, долгам, прибыли — с экрана монитора?

              Вопросы к диэлпишнегам или кто внедрял или эксплуатировал DLP:
              — Как я понимаю, на компьютеры сотрудников ставится программа-агент, которая анализирует данные еще до браузера и httpS? Есть ли агент под Linux и Яблоко? Или только виндовс?

              И как вот такой вектор утечки отразить — простому админу с рут доступом к серверам с СУБД или хранилкам дампов/бэкапов БД — заплатили конкуренты компании, чтобы он слил низкоуровнево базу CRM/ERP (это я к тому, что фоткать ничего не надо и агента на сервере нету). Админ сливает на примонтированный накопитель, или создает временный тунель в мир, который притворяется https web трафиком и за пару недель порциями по чуть чуть аккуратненько сливает гигабайты кому надо? Затем подтирает команды, журналы на серве…
              Дальше воображение рисует еще более сложную схему — чтобы там не палить даже https исходящий трафик с сервера через корпоративную сеть — воткнуть в сервак роутер с 3G свистком, настроить маршрут /32 до специального хоста в Мире через этот роутер и слить через этот канал...)

                0
                Для защиты от админа используются немного другие методы. Анализ сетевой активности, операции с логами и тп (не с помощью DLP). Туда же входит анализ подключаемого оборудования. Организовать полноценную защиту (в том числе от утечек) с учетом разных фактор — это задача, выходящая за рамки настройки DLP.
                  +2
                  — Как я понимаю, на компьютеры сотрудников ставится программа-агент, которая анализирует данные еще до браузера и httpS? Есть ли агент под Linux и Яблоко? Или только виндовс?

                  Агент является популярным решением, существуют реализации системы без агентов и с применением смешанных технологий агент / без агента. Касаемо Linux дистрибутивов и эндпоинт-агентов для них, все зависит от конкретного дистрибутива и производителя DLP. На ОС Windows и MacOS, конечно, существуют реализации агентских решений.

                  И как вот такой вектор утечки отразить — простому админу с рут доступом к серверам с СУБД или хранилкам дампов/бэкапов БД — заплатили конкуренты компании, чтобы он слил низкоуровнево базу CRM/ERP (это я к тому, что фоткать ничего не надо и агента на сервере нету). Админ сливает на примонтированный накопитель, или создает временный тунель в мир, который притворяется https web трафиком и за пару недель порциями по чуть чуть аккуратненько сливает гигабайты кому надо? Затем подтирает команды, журналы на серве…
                  Дальше воображение рисует еще более сложную схему — чтобы там не палить даже https исходящий трафик с сервера через корпоративную сеть — воткнуть в сервак роутер с 3G свистком, настроить маршрут /32 до специального хоста в Мире через этот роутер и слить через этот канал...)

                  Отследить канал, построенный администратором-инсайдером с 3g роутером, действительно будет очень сложной задачей. В этой ситуации могут помочь построенные процессы управления ИБ и ИТ, чтобы предотвратить такой инцидент.
                0
                Неистово плюсую.

                Сначала организационные меры: изучение какие данные есть, что в принципе надо охранять и от кого, стандарты ИБ, обучение пользователей основам ИБ и так далее.
                А все эти DLP — это возможно затычка на определенные (строго ограниченные) рабочие места и то не факт.

                И всегда надо считать, окупится ли DLP, не дешевле ли просто потерять данные… например уйдет на сторону некая бухгалтерская или финансовая информация… и что? Если компания белая — ну ушла… и? она может уйти и через налоговую. Ну если и ушла то какой потенциальный вред может быть нанесен? Кому очень большой а кому-то и все равно.

                В общем тема очень специфическая, и всякие системы контроля — это одно из решений, внедрение (частичное внедрение) которой надо очень хорошо просчитать сначала.

                Судя по статье, в организации не было порядка с ИБ, если понадобилось интервьюирование и помощь в составлении ТЗ.
                  +1
                  В первую очередь стоит учитывать стоимость защищаемой информации. В случае, если потенциальный ущерб от разглашения информации составляет меньшую сумму, чем внедренные / проектируемые средства защиты, можно сделать вывод о серьезных ошибках в таком проекте. Однако в некоторых случаях действительно следует рассматривать защиту таких каналов утечки информации, но чаще всего это касается оооочень секретной информации, которой обычно нет у большинства коммерческих компаний;)
                  Также важнейшими аспектами в выборе этих средств являются модели потенциальных злоумышленников. В целом, действия подготовленного и квалифицированного внутреннего злоумышленника-инсайдера предотвратить действительно практически невозможно. Однако не следует забывать о функционале, который позволяет вести расследования уже произошедших инцидентов ИБ, а также о функционале, позволяющем предотвратить непреднамеренные “сливы” информации сотрудниками по ошибке (т.е. система может не только использоваться для “карательных” воздействий, но также может и помогать не совершать ошибок).

                  зачем платить сотни нефти за DLP, если оно, как чугунная 5 метровая стена, но только на 86% периметра

                  Абсолютно верно, DLP не может являться единственной технологией “на страже конфиденциальных данных”, концепция линии Мажино в современном мире технологий неприменима. Однако DLP-система будет являться эффективным компонентом системы информационной безопасности при поддержке руководства организации, где происходит внедрение и эксплуатация данной системы.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    В банках DLP — одна из слоев защиты (их там намного больше), так вот касаемо жгучего вопроса о смартфонах.
                    Его можно пронести, зарегать у CSO, после чего выходить с него в корпоративный вайфай, но при этом доступ в среду ДДК будет заблокирован.
                    Наиболее сильная сторона DLP — это внедрение меток. Например, сотрудник выложил некий документ с портала в публичный доступ. Прикол в том, что при скачивании туда добавилась стеганография с инфой про сотрудника.
                    Далее ИБ карает сотрудника и все ходят испуганные и не пытаются этого повторить.

                    P.S. Если вы думаете, что настраивать DLP очень сложно — то вас ждут множество сюрпризов в будущем.
                      +2
                      Короче, я не против DLP.
                      И автор молодец, что выделил в статье важную мысль:
                      Можно потратить миллионы на поставку и внедрение системы, но без ее правильной настройки результат не будет достигнут

                      Я добавлю важное уточнение — мало эту систему внедрить!
                      Безопасность — это процесс.
                      DLP — сложная система, в которой нужно постоянно тюнить правила и т.д.
                      И кто-то должен анализировать новые угрозы, инциденты, проводить тесты.
                      ПОСТОЯННО!

                      Расскажу как это часто бывает в реале (это относится к любой системе, кстати, не только DLP, но и CRM, wiki, helpdesk, электронный документооборот etc.)
                      Если высшее руководство само не юзает систему, если не выстроены бизнес процессы и происходит рандомный хаос, если нет конкретных ответственных, которые реально замотивированы делать эту работу — все идет прахом)))
                      Например, у нас сам директор и гл. бух нарушали — не юзали электронный документооборот — юзали бумажки, флешки домой носили и обратно (ессно с вирусами и троянами)).
                      Периметр нарушен на самом высоком уровне!
                      И какой это пример всем остальным…

                      Итак, реальная история о DLP.
                      На предыдущем месте работы один акционер годами мечтал о безопасности.
                      Т.к. акционер это был не в штате, просто любил советы давать напрямую, минуя всякие собрания и глосования, то всем было похер на эти советы.

                      И все ложили на безопасность, кроме одного начальника, который пытался ее внедрить.
                      И еще контора экономила даже на туалетной бумаге.
                      Не было отдела безопасности, не было ни одной единицы в штате, кто официально должен был заниматься этим.
                      Потом мне втихую дописали в служебные обязанности, что я отвечаю за безопасность.
                      Я искренне пытался объяснять, как надо тогда все сделать. Что надо модель и оценка рисков, выстроить постоянные процессы безопасности, нанять людей, которые будут за это деньги получать и т.д. (Потому что у меня и так уже было дохера IT систем в хозяйстве) Вроде это было понятно всем, но все равно боссы и акционеры хотели сэкономить на штате и повесить это на кого-то в нагрузку без доплаты — типа поглядывать «в свободное время».
                      В итоге все было на от*ебись — и выбор системы и настройка.
                      Никто не мониторил, не тюнил, не анализировал сигналы и инциденты… А там было ацкое к-во настроек, аналитик, правил и прочих сущностей.
                      Руководство поставило галочку в зачотку «безопасность внедрена» и все на этом )))))
                        0
                        В большинстве случаев слово «DLP» на что угодно: CRM, ECM, ERP, SAP — всё для галочки в основном.
                        0
                        В лучшем случае эти системы покажут что ваши файлы уже утекли. В обычном случае ничего не покажут. Так что не тратьте деньги, если вас не вынуждают установить такое законодательно. В реальных кейсах ничего это не поможет. Лучше делайте инфраструктуру безопасную. А копирование почты пользователей вам любый приличный админ прикрутит.
                          +1
                          А мужики то не знают :)
                          Копирование почты пользователей не равно DLP системе. Если бы я каждый день читал все письма сотрудников, это была бы печалька. Плюс это аморально :) DLP позволяет фильтровать письма согласно критериев. Поэтому прежде чем писать подобное, вначале с предметом ознакомьтесь

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое