Для эффективной защиты от утечек информации достаточно сопровождения сервисного провайдера DLP
Анна Попова Руководитель Блока DLP Infosecurity a Softline company
Мы привыкли к тому, что SOC – это центр реагирования на внешние инциденты информационной безопасности. При этом, многие забывают, что инциденты могут быть внутренними, и статистика каждого года показывает, что их по-прежнему в разы больше. Для отслеживания и предотвращения утечек информации важно задействовать системы DLP, развивать которые проще всего по модели SOC, передав функции сопровождения сервисному провайдеру.
Введение
Построение и развитие Центра мониторинга и реагирования на инциденты изначально задумано как непрерывный процесс, который позволяет обеспечить всестороннюю защиту информации. При этом нередко SOC пытаются презентовать как некое коробочное решение, которое обеспечит полную защиту от взломов нажатием одной кнопки.
Такая же ситуация наблюдается и с системами DLP, от которых ждут, как правило, такой же «коробочности» и решения всех проблем, которые не смогли решить другие системы информационной безопасности. Но как в случае с SOC, так и в случае DLP такие подходы заведомо проигрышны.
DLP как сервис
Горький опыт 2020 года показал, что терять прибыль из-за нерадивых (или злонамеренных) сотрудников владельцы компаний не хотят. Поэтому выявлять случаи утечки конфиденциальной информации интересно стало даже тем компаниям, которые раньше не хотели задумываться об этом. Как говорилось в одном известном фильме, хорошо бы наши желания всегда совпадали с нашими возможностями, но в 2020 году в работу бизнеса вмешался кризис. Это дало новый импульс развитию темы аутсорсинга информационной безопасности, в том числе сопровождению систем DLP силами сторонней компании.
При этом все осознают, что затраты на приобретение DLP-систем могут быть не по карману даже крупной организации, готовой выделять бюджет на информационную безопасность. Тенденцией этого года стала подписочная модель покупки сервисов сопровождения DLP-систем, позволяющая сэкономить сразу по нескольким параметрам: первоначальные затраты на приобретение системы, расходы на приобретение оборудования, необходимого для инсталляции системы, и конечно экономия на человеческих ресурсах для работы с системой.
По своей сути такой сервис будет работать в режиме, сходном с форматом работы SOC, поскольку компания, берущая на себя полноформатную техническую поддержку не только самой системы, но и инфраструктуры, призвана обеспечивать всю жизнедеятельность DLP-системы. В свою очередь заказчику остаётся только получать результаты уже обработанных событий и принимать решение о проведении внутреннего расследования относительно сотрудника, допустившего нарушение.
С чем нужно работать
Перед запуском системы в промышленную эксплуатацию мы обязаны определить, какая информация в компании является конфиденциальной и зафиксировать это во внутренних нормативных документах, если этого не было сделано ранее.
Затем необходимо сформировать пакет документов, связанных с так называемой легализацией системы в компании, поскольку мы все понимаем, что без принятия обязывающих документов, нам будет сложно привлечь сотрудников к ответственности в случае выявления инцидента. Более того, консалтинговое или скорее юридическое сопровождение требуется не только в начале пути, но и на всех его этапах. Если мы все же решим пойти до конца и подать на сотрудника в суд или правоохранительные органы, нам также понадобится грамотно составить документы и впоследствии представлять интересы компании в этих органах.
Итак, фактически сопровождение нам требуется сразу по нескольким направлениям: техническое, аналитическое, юридическое. Без какого-либо из этих направлений система либо вовсе не будет работать, либо будет для нас неэффективна. Получается, что аутсорсинговая компания, предоставляющая услуги по поддержке систем DLP, должна быть готова обеспечить работу по всем указанным направлениям.
Что анализировать
В последнее время в компаниях используется новый подход к защите от внутренних угроз — с акцентом не на информацию, а на сотрудниках. Анализ действий персонала, построение профиля стандартного поведения и выявление отклонений от него, коммуникации сотрудников внутри компании и за её пределами — всё то, что позволяет сфокусироваться на персонале, по вине которого чаще всего происходят инциденты информационной безопасности. Такая направленность позволяет обеспечить не только защиту используемых работниками конфиденциальных данных, но и снизить риски, в т. ч. с точки зрения потенциального ущерба для бизнеса.
Например, один из наиболее интересных с точки зрения работы инструмент в DLP – поведенческий анализ (UBA, User Behavioral Analytics). Аналитика поведения фокусируется на том, что делает пользователь: запуск приложений, сетевая активность и, что наиболее важно, доступ к файлам (когда файл или электронная почта были затронуты, кто их использовал, что с ними делалось и как часто). Технология UBA ищет шаблоны использования, которые указывают на необычное или аномальное поведение — независимо от того, исходят ли действия от хакера, инсайдера или даже вредоносного ПО или других процессов. Такая технология полезна в качестве дополнительного инструмента и помогает DLP-системе выявлять угрозы на ранних стадиях. Что же делать в случае выявления такого рода инцидентов и как понять, что событие действительно имеет все предпосылки к серьёзным последствиям?
Для этого изначально необходимо выстроить процессы реагирования на потенциальные инциденты. Сервисная компания поможет в разработке регламента реагирования, особенно по части таких неоднозначных инструментов, как UBA, и поможет выстроить грамотный процесс по контролю и выявлению потенциальных рисков с помощью DLP. Например, «научить» с помощью грамотных настроек систему вести учёт средних показателей и измерять отклонения в собранных данных за определенный период времени для составления шаблона поведения сотрудника.
Немаловажным этапом является и проведение технического расследования на базе накопленных аномалий и инцидентов. Специалисты сервисного сопровождения проконсультируют по организации продуктивного использования системы в части аналитики: на какие данные UBA необходимо опираться при расследовании, какие конкретно аномалии могут быть предпосылками серьёзных ИБ-инцидентов и прочее.
Модели потребления DLP
Пока не все руководители бизнеса в России готовы перейти на аутсорсинг DLP: это тяжело психологически. Тем не менее спрос на подобные сервисы будет расти, поскольку экономия в этом случае очевидна. Хочется отдельно отметить, что отечественные DLP-вендоры сегодня предоставляют своим заказчикам возможность приобретения систем с использованием гибких финансовых моделей – вплоть до рассрочки. Вероятно, это будет неким прорывом на довольно стабильном рынке DLP.
Пока не все производители готовы поменять годами отработанную схему продаж, но интерес несомненен и есть те, кто готов работать с аутсорсинговыми компаниями или сервис-провайдерами по новой схеме. Указанный подход поможет совместными усилиями вендоров и аутсорсинговых компаний предлагать полноценные сервисы, в том числе работающие по формату SOC. Со временем это избавит от негатива, проявляемого многими компаниями к DLP-системам в связи со сложностью их инсталляции и дальнейшей эксплуатации.
Такая тенденция позволит также изменить в целом отношение к информационной безопасности, которую до сих пор пытаются воспринимать не как постоянный процесс с комплексным подходом, а как разрозненные действия, которые обычно начинают предприниматься только в случае серьезного инцидента, уже имеющего определенные последствия.