В статье рассматривается применение инструментов форензики специализированные с целью фиксации утечек конфиденциальной данных, их сравнение и возможности, а также функционалы современных систем контроля информационных потоков.
Ключевые слова: DLP, инциденты, форензика, инфосистемы, Big Data, СОРМ.
Технологические процессы обработки больших данных на сегодняшний день обретают все наиболее обширное применение, интегрируясь, в частности, в DLP-решения и позволяя исследовать все информационные потоки компаний и предприятий. Однако возникновение такого функционала выводит продукты защиты от утечек в степень инструментов расследования инцидентов.
Типичный инструмент DLP (Data Leak Protection) специализирован с целью фиксации утечек конфиденциальной данных и по сути представляет собой система контроля информационных потоков на предприятии. Для решения всех задач подобного контроля разработчики DLP-продуктов сформировали большое число перехватчиков, агентов и поисковых роботов, какие собирают данные о информационных системах предприятия и активности ее отдельных работников. При этом собственно от утечек все эти продукты, как правило, не защищают, а только помогают службе безопасности выявить факт нарушения правил обращения с конфиденциальной данными. Именно по этой причине разработчики новых DLP-решений начали присматриваться к проблемам расследования инцидентов, для чего и начали объединять в свои продукты технологии больших данных [1]. Но расследование инцидентов — это не просто деятельность по предотвращению утечек, а точнее форензика (с англ. forensics) — компьютерная криминалистика.
В задачи форензики входит сбор и фиксация электронных доказательств для их последующего всестороннего анализа с целью выяснения скрытых взаимосвязей и структур данных — все это как раз и покрывается функционалом систем DLP, собирающих информацию из разнообразных источников, а теперь и способных оперативно выявлять ключевые факты из огромного потока разнообразных сведений. При этом следует иметь в виду, что появившиеся в DLP-продуктах инструменты анализа данных и визуализации обнаруженных структур — это пока лишь небольшой набор инструментов форензики. Производителям решений DLP вряд ли имеет смысл реализовывать полный набор инструментов проведения расследования, однако наиболее популярные компоненты этих инструментов вполне могут помочь службам информационной безопасности для оперативного реагирования на инциденты.
DLP-решение со встроенными инструментами анализа на основе больших данных представила компания InfoWatch в своем флагманском продукте Traffic Monitor, в котором появилась возможность отслеживания деятельности сотрудника, выявления его связей, оценки переписки и каналов распространения информации между сотрудниками. Кроме того, был предложен интерфейс начальника отдела предприятия, позволяющий видеть все инциденты, связанные с подчиненными. Полученные в процессе анализа сведения накапливаются в специальном хранилище для дальнейшего изучения в ходе проведения расследований.
Компания «МФИ-Софт», специализирующаяся на выпуске продуктов для организации СОРМ, представила новую версию своего продукта «Гарда Предприятие» 3.0, которая по традиции также была названа DLP, однако это типичный инструмент форензики. В продукте появились возможности изучения накопленных данных — в частности, можно провести быстрый анализ связей между сотрудниками по сообщениям электронной почты. «Гарда Предприятие» позволяет отследить, например, цепочку распространения конкретного документа по предприятию, чтобы определить возможные каналы утечек. Для этого анализируется не только переписка по электронной почте, но и записи журналов доступа к конкретным файлам. В результате сотрудники службы информационной безопасности смогут более оперативно проводить расследования инцидентов и перекрывать каналы утечек, выявляя сотрудников, потенциально готовых украсть ценную информацию.
Компания стремилась создать интерфейс, понятный всем категориям пользователей; весьма интересны в продукте «Гарда Предприятие» графические инструменты построения обнаруженных в сырых данных структур и средства их интерактивного изучения. Компания не раскрывает деталей реализации, заявляя, что весь функционал новой версии построен на технологиях больших данных [2] — возможно, речь идет о параллельной обработке данных, которая позволяет выявить скрытые зависимости внутри базы, построенной средствами, близкими к Hadoop, с использованием HDFS.
Компания «Инфосистемы Джет» представила версию своего продукта «Дозор-Джет», ознаменовавшую переход к инцидентной модели работы с утечками. Данный продукт постоянно контролирует поведение сотрудников и формирует синтетический показатель — уровень доверия к сотруднику, позволяя построить граф взаимодействий сотрудников. Разработчики считают, что новая версия продукта уже является не только инструментом информационной безопасности, но и может быть использована для решения задач экономической безопасности.
В Cisco пошли другим путем, интегрировав аналитические возможности в межсетевой экран Cisco ASA, дополнив его технологиями FirePOWER от купленной компании SourceFire. В результате межсетевой экран научился идентифицировать многовекторные угрозы как путем динамического анализа происходящих в корпоративной системе событий, так и с привлечением средств ретроспективного анализа, позволяющего расследовать инциденты. В частности, модуль Advanced Malware Protection (AMP) обеспечивает ретроспективный анализ распространения вредоносных программ по предприятию. Накапливаемая в AMP информация позволяет анализировать путь проникновения вредоносной программы в корпоративную сеть, тем самым поддерживая расследование инцидентов. Такой функционал дополняет традиционные возможности DLP-решений по контролю за действиями пользователей инструментами оценки поведения вредоносных программ.
Развитие систем DLP направлено на добавление функционала, связанного с глубоким анализом контролируемых данных, для чего используются различные поисковые технологии, однако разработчики не спешат раскрывать конкретные детали реализации, заявляя, в частности, что создают собственные механизмы анализа больших информационных потоков, хотя и подтверждая, что применяют арсенал средств работы с большими данными.
Таким образом под влиянием форензики функционал современных систем контроля информационных потоков дополняется сегодня рядом новых функций.
Сбор информации о социальных связях сотрудников. Пока эта информация извлекается из сообщений электронной почты, однако благодаря таким технологиям из арсенала средств больших данных, как Hadoop, распределенная база Hbase и NoSQL-платформа MongoDB, которые позволяют параллельно обрабатывать огромные потоки мультимедийных данных [3], производители систем DLP получили возможность контролировать практически все каналы коммуникаций, включая и мобильные устройства. Поэтому со временем граф взаимодействия сотрудников может быть сильно расширен за счет как инструментов объединенных коммуникаций, так и сведений из социальных сетей. Это позволит контролировать и каналы распространения информации внутри коллектива, выделяя наиболее проблемные группы сотрудников.
Анализ распространения документов. Собирая информацию о пересылаемых файлах, система DLP способна определить каналы распространения конкретного документа, что важно для раскрытия случайных инцидентов с последующей корректировкой прав доступа, ролевой модели и корпоративных политик безопасности. В современных DLP-решениях есть также инструменты для анализа хранилищ информации с целью определения мест, где сотрудники могли спрятать ценные документы для организации утечек. Диаграмма распространения информации по предприятию позволяет во время расследования определить, кто из сотрудников предприятия нарушил регламент работы с информацией и политику безопасности для доступа к данным.
Анализ распространения программ. В хорошо защищенных системах сегодня практически невозможно организовать утечку с применением таких традиционных способов, как запись на внешний носитель или банальная распечатка, и даже инсайдерам приходится для организации утечек использовать специальные программы. В то же время внешние нападающие также могут использовать вредоносные программы, поэтому путь проникновения такой программы внутрь корпоративной сети может помочь в расследовании инцидентов, а также в корректировке работы используемых механизмов защиты. Правда, контроль за распространением программ — это задача сетевого оборудования, фиксирующего перемещения в том числе и кодов по корпоративной сети, но эти же функции могут быть поручены и системе DLP.
Возможно, в будущем все производители систем DLP включат в свои продукты функционал, приближающий их решения к инструментам для слежки за сотрудниками, однако следует учесть, что, согласно нормативным актам Республики Узбекистана, программы, специально разработанные для выполнения поиска на основе четко заданных критериев и отображения реляционной сети отдельных лиц или группы лиц, определяются как продукты двойного назначения, распространение которых должно контролироваться регулятором. Захотят ли отечественные производители средств DLP поставлять инструменты двойного назначения — не ясно, во всяком случае западные компании вряд ли будут к этому стремиться.
Литература:
1. Леонид Черняк. Барьеры на пути утечек данных // Открытые системы. СУБД. — 2010. — № 10. — С. 24–31. URL: http://www.osp.ru/os/2010/10/13006330 (дата обращения 20.10.2014).
2. Дмитрий Семынин. Стек для Больших Данных // Открытые системы. СУБД. — 2014. — № 1. — С. 42–43. URL: http://www.osp.ru/os/2014/01/13039683 (дата обращения 20.10.2014).
3. Валерий Коржов. Большие Данные в службе безопасности // Открытые системы. СУБД. — 2013. — № 9. — С. 48–49. URL: http://www.osp.ru/os/2013/09/13038287 (дата обращения 20.10.2014).
4. Александр Бондаренко Политика информационной безопасности. [Электронный ресурс]. — Режим доступа: http://www.leta.ru/press-center/publications/article_295.html (дата обращения:19.02.2015).
5. Джей Б. Snort 2.1. Обнаружение вторжений. — М.: Бином-пресс, 2006.
