Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Способна ли DLP-система помочь в расследовании инцидентов?

Способна ли DLP-система помочь в расследовании инцидентов?

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Способна ли DLP-система помочь в расследовании инцидентов?

Совмещать в одном предложении слова “DLP” и “расследование" отчасти провокационно. Все, что делает DLP-система, – это работа с инцидентами.
Дмитрий Михеев
Эксперт Центра информационной безопасности компании “Инфосистемы Джет"
Идет ли слонопотам на свист? А если идет, то зачем? "Винни-Пух и все-все-все" ©

В современных DLP исследование причин и событий, так или иначе связанных с инцидентами, – почти полностью основная функциональность. С другой стороны, термин "расследование", без уточняющих разъяснений, вызывает обоснованные сомнения у специалистов по безопасности, по долгу службы занимающихся forensics-расследованиями. И такими расследованиями с помощью DLP-системы действительно заниматься не стоит, так как, насколько нам известно, ни одна DLP-система на сегодняшний день не сертифицирована для ведения подобной деятельности. А наличие такой сертификации абсолютно необходимо, если мы хотим, чтобы полученные в ходе расследования результаты были приняты в суде.

"Кто виноват?" и "Что делать?" – это не просто литературная классика

Если постараться ответить на поставленный в заголовке вопрос не в режиме definition nazi, то краткий ответ на него может быть таким: "Способна. Но для хорошего расследования, кроме работающей и функциональной DLP-системы, нужны еще неплохой специалист по расследованиям и достаточное время".

При этом вопросы, которые так или иначе нас интересуют при проведении расследования, примерно следующие:

  • Что именно произошло и почему?
  • Что за человек мог это сделать?
  • Кого именно можно подозревать и кто (из общей группы подозреваемых) скорее всего это сделал?
  • Что еще плохого он мог сделать?
  • Какие его следующие вероятные шаги?
  • Какую еще информацию нужно собрать для ответа на основной вопрос и какова ее точность?
  • Достаточно ли у нас доказательств?
Между forensics- и investiation-расследованиями есть заметная разница. Тем не менее их ключевые подходы схожи. В обоих случаях на основании прямых и косвенных данных, получаемых из разных источников, проверяются те или иные утверждения и предположения относительно ситуации, связанной с интересующим нас нарушением.

Основной, однако, следующий: "Что именно мы должны предпринять для разрешения инцидента?". Нужно отметить, что, как только мы говорим о расследовании нарушений, мы всегда имеем в виду, что есть кто-то виновный – определенный человек или группа лиц. В случаях с криминальной подоплекой процесс расследования более-менее определен соответствующими кодексами и практикой их применения. DLP-системы в основном используются коммерческими компаниями, поэтому способы их применения значительно отличаются от потребностей соответствующих органов. Но спектр возможных творческих применений систем достаточно широк.

Когда ИБ руководствуется принципами криминалистики

В развитии современных DLP-систем уже давно прослеживается стремление отходить от скучной рутинной работы с "глупыми" инцидентами к решению более сложных и интересных задач. И, как следствие, в составе инструментов, доступных в рамках DLP, начинают появляться такие средства, которые действительно могут помогать в расследовании инцидентов, в том числе не связанных непосредственно и напрямую с нарушениями политик обращения с данными.

Так для чего же мы проводим мероприятия, связанные с расследованием инцидентов? Можно с легкостью собрать самые разные варианты ответов на этот вопрос. Например, мы получили в числе прочих и такие:

  • чтобы найти того, кто "слил" информацию;
  • чтобы выяснить, к кому информация уходит;
  • для того, чтобы предотвратить еще худшие проблемы и т.д.

DLP-система, даже самая продвинутая, не может гарантировать стопроцентный мониторинг и контроль всего происходящего с информацией просто потому, что последняя обладает свойствами сверхтекучести – ей "нравится" находиться в максимально большом количестве мест (недаром есть поговорка "знают трое – знает и свинья"). Обойти DLP-систему возможно, и для этого не нужно прилагать мегаусилия – как правило, достаточно воспользоваться мобильным телефоном. Соответственно задача поиска заранее неизвестного нарушителя, при отсутствии прямых указаний на то, кто это мог быть, приобретает статус вопиющей. По большому счету в этом случае нам, безопасникам, остается лишь одно – запастись терпением для вдумчивой работы по сбору фактов, анализу и доказательству гипотез по косвенным данным.

Для тех, кто интересуется, почему и как работают законы криминалистики, рекомендую, например, книги Давида Кантера по психологии правонарушений и поведению в критических ситуациях – очень занимательно. Однако не хотелось бы углубляться в вопросы, связанные с организованной деятельностью по добыче информации (такой как промышленный шпионаж или криминальные организации, которые могут включать в себя устойчивые группы планирования, обеспечения и реального исполнения нарушений), – это отдельная большая тема, к сожалению, почти неисследованная. Но уже сейчас можно говорить о существовании такого понятия, как "карьера нарушителя". Она может быть весьма длительной и продуктивной, если устойчивая группа успешна в своей деятельности.

О чем конкретно в этом случае идет речь, если все, что у нас есть, – это данные об утечке определенной информации? На самом деле, информация, утечка которой произошла, уже дает нам определенное знание о том, кто мог ее "увести", – тот, кто имел к ней доступ по роду деятельности. И чаще всего это предположение оказывается верным: продавцы "тянут" клиентские базы, логисты – прайсы и конкурсные данные, инженеры – базы данных и резервные копии. Конечно, не в 100% случаев это так, но достаточно часто, чтобы было с чего начать проверять.

Объективные факторы, которые стоит учитывать при сборе аналитической информации о происшествии, – место и время, использованные инструменты и информационные системы, степень уникальности утекшей информации, а также ее "возраст", или время существования. Их анализ позволяет значительно сузить спектр подозреваемых.

Кроме случайных действий и действий по незнанию, следует учитывать и ряд других параметров. Например, в любом сообществе всегда есть процент людей, которые в среднем чуть менее законопослушны и дисциплинированны, чем остальные (под влиянием настроения, из-за эмоциональных или психических проблем, в результате нажитого опыта и т.д.). Такие их "свойства" отражаются в различных областях деятельности, в том числе наблюдаемых извне (в результатах работы, в характере взаимоотношений в коллективе и пр.). Это нужно использовать при составлении профиля. Понятно, что на уровень социализации и поведение человека влияет многое: род занятий, жизненный опыт и возраст, образование и т.п. Важно понимать, что это объективные свойства, которые отражаются в поведении, в том числе в поведении, которое можно фиксировать и средствами DLP-системы, так как поведение человека в сети, манеру высказываться, посещаемые ресурсы можно скоррелировать с отклонениями от безопасного поведения.

Люди по большей части предпочитают экономить силы (как физические, так и интеллектуальные), поэтому в их поведении отслеживаются повторяющиеся шаблонные сценарии. На фиксации и выделении таких шаблонов активности реализуется профилирование и выявление подозреваемых при расследованиях: нарушитель активно влияет на окружающий мир, и опытный администратор безопасности может таковые подозрительные активности искать, находить и контролировать (насколько это возможно в принципе). Это то, что криминалисты называют modus operandi – наработанные способы решать определенные задачи.

DLP – это про людей

Так какой же должна быть DLP-система, чтобы помогать в расследованиях? Совершенно точно она должна позволять хранить максимально полные и продолжительные архивы событий, в том числе не нарушающих, на первый взгляд, существующие политики безопасности. Как правило, серьезные утечки обнаруживаются, когда данные уже ушли и информация об этом приходит с сильным опозданием, соответственно система должна позволять анализировать данные ретроспективно, с глубоким погружением во времени.

Крайне желательно также иметь средства обогащения данных о людях и событиях в рамках DLP-системы из внешних источников – кадровых баз, государственных реестров, социальных сетей и прочих доступных открытых источников. Такая система, кроме знаний об организационной структуре и официальной информации о сотрудниках, должна позволять вносить вручную или автомати-зированно данные, которые администратор безопасности находит сам, в том числе на основании своего опыта, использования прочих средств безопасности и сбора открытых данных о людях. Это необходимо как минимум для того, чтобы администратор мог достаточно свободно создавать собственные, адаптированные под его задачи классификации. Например, по половозрастным критериям, должностям и реальным, а не официальным обязанностям, или с разбивкой на подгруппы "Подозрительные", "Учились, работали или служили вместе", "Противоречивая информация об опыте прошлой работы", "Посетители криптофорумов" и т.д. Опыт показывает, что если администратор действительно работает, то подобную информацию он так или иначе собирает. Если система позволит ему использовать эти данные в качестве срезов при поиске и анализе, то определенно это пойдет на пользу делу.

Классически организованная DLP-система предназначена для автоматизации контроля каналов передачи данных, и основной сценарий ее использования – организационно-технические меры по применению заданных в компании политик обращения с данными, ценными для компании (или считающимися таковыми). Это совокупность регламентов и технических средств, контролирующих выполнение этих политик в ручном и автоматическом режимах. Если не предпринимать дополнительных усилий, то DLP-система окажется недостаточно продуктивным помощником в расследовании чего-то более сложного, чем банальная отправка email-сообщения "не туда".

Современные развитые DLP-системы в определенной степени обладают такими возможностями (какие-то больше, какие-то меньше). Важно помнить, что формально такая функциональность не является "штатной функцией DLP" – это результат эволюционного развития систем по запросам от заказчиков, которым необходимо решать задачи расследования, а лучших средств, чем DLP-система, у них нет. Чем больше система позволяет работать с событиями в терминах свойств людей (живых людей, а не записей в штатном расписании; их поведения, а не статистики событий), тем больше пользы в расследовании сложных инцидентов с утечками данных от нее будет.

Важно помнить, что никакая DLP-система не поможет в расследовании, если администратор безопасности такие расследования вести не готов или его руководство не уделяет этому должного времени и внимания. DLP – это про людей. Про людей со всех сторон инцидента.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2014

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"