Скажи "нет" своим "пиратам"

Однако учитывая, что, как правило, до выпуска в эфир видеоконтент высокого качества находится в изолированной сети, с ограниченным доступом к хранилищу, а для выполнения озвучки перевода и наложения субтитров предоставляется видеоконтент заниженного качества (либо с водными знаками или наложениями на "картинку"), версия с хакерской атакой хоть и возможна теоретически, но, откровенно говоря, звучала как попытка переложить собственные просчеты в обеспечении информационной безопасности на внешних злоумышленников. Сразу было понятно, что с наибольшей вероятностью это была внутренняя утечка, а в роли "хакера" выступил инсайдер. В любом случае такой сценарий утечки сериала самый простой и реалистичный, а при наличии простых способов кражи информации искать сложный, по крайней мере, нелогично.

Постановка задачи

Пример с Первым телеканалом – весьма типичный и показательный. Контент ограниченного доступа создается организациями, главной ценностью и результатом работы которых является интеллектуальная собственность, художественные произведения, инженерно-технические разработки и т.д. Во всех таких случаях в компаниях используется определенный набор программного обеспечения (системы проектирования, графические и видеомонтажные системы, др.), а ценный контент хранится в ограниченном наборе цифровых форматов данных. Как конечные, так и промежуточные результаты работы таких компаний должны тщательно оберегаться от преждевременной публикации (до выпуска в тираж или эфир, до патентования или передачи в производство, до завершения контракта на разработку).

Помимо этого, ценность могут представлять данные корпоративной переписки, договорная документация и базы данных клиентов и подрядчиков.

Решение

Очевидно, что решение проблемы не ограничивается какой-либо одной системой, требуется комплекс организационно-технических мер. При этом ключевым звеном будет DLP-система (решение класса Data Leakage Prevention, защита от утечек данных).

Активно продвигаемый рядом DLP-вендоров "метод противодействия утечкам", концепция которого заключается в правиле "выявить утечку и наказать виновного", в данной модели будет абсолютно непродуктивен – никакое наказание нерадивого сотрудника не отменит факт утечки и не остановит – если стимул будет достаточно велик.

В вышеупомянутом примере с утечкой "Шерлока" ценная корпоративная информация (видеоконтент) хранилась во внутренней сети организации в цифровом формате. Доступ к таким файлам внутри и вне организации должен иметь ограниченный круг пользователей, что позволит сформировать перечень (список) авторизованных учетных записей и идентификаторов почтовых аккаунтов и мессенджеров для ограничения ширины контактов ответственных лиц.

Возможности анализа содержимого в случае с видеоконтентом, чертежами и графическими данными, как правило, весьма ограничены либо вообще сводятся к нулю. Однако есть и другие характерные признаки, позволяющие предотвратить утечку такой информации, – это формат данных и размер.

Решением проблемы потенциальной утечки в подобном сценарии будет прежде всего избирательный контроль доступа к различным каналам передачи информации и устройствам хранения данных для сотрудников, вовлеченных в процесс создания ценного контента. Такой контроль должен включать в себя не сколько и не только блокировку передачи данных на основании определенных службой ИБ критериев, но и детальное протоколирование разрешенных и запрещенных попыток их передачи в сочетании с оперативным уведомлением службы безопасности о таковых попытках.

Простое и эффективное практическое решение в плане технического противодействия утечкам данных в рассматриваемой модели угроз сводится к трем пунктам.

• Запретить для ответственных сотрудников передачу файлов определенного типа и размера за пределы Белого списка авторизованных получателей, идентифицируемых DLP-системой непосредственно в фазе передачи сообщений, или файлов по электронной почте, мессенджерам, в социальных сетях. При этом факты передачи должны протоколироваться для обеспечения возможности дальнейшего расследования инцидентов.
• Запретить доступ к файлообменным ресурсам, ftp-серверам, torrent’ам, поскольку их модель безопасности, как правило, основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь, а не служба ИБ, нет никакой обратной связи таких сетевых приложений с инструментарием корпоративной безопасности. Стоит также ограничить использование внутренних файлообменных ресурсов (SMB) во избежание сговора между сотрудниками с разными уровнями контроля.
• Максимально ограничить возможности использования устройств хранения данных, как вариант – использовать Белые списки USB-устройств с контролем на уровне серийного номера. Опять же протоколирование записи следует рассматривать как обязательный фактор. Здесь также стоит применять ограничение записи по типу и размеру файлов.

Вторая часть решения проблемы предполагает периодические и оперативные проверки рабочих станций и сетевых хранилищ, доступных ответственным пользователям, посредством сканирования файловых систем в целях обнаружения конфиденциальной информации, с последующим выполнением заданных службой безопасности действий с обнаруженными документами (от оперативного уведомления службы ИБ до удаления файлов или помещения в карантин).

Все описанные выше технологии и методы противодействия утечкам в рассматриваемой модели гарантированно реализуются с помощью DLP-комплекса DeviceLock DLP Suite.

Возможности системы

С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией "на лету" – анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.

Внедрение, эксплуатация и администрирование

Полная интеграция централизованного управления Device-Lock DLP в групповые политики домена Active Directory позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку DLP-политик в автоматическом режиме. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к базовой консоли – оснастке MMC для групповых политик – предусмотрены также Web-консоль и дополнительная консоль с собственным интерфейсом – DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP.

Условия лицензирования

Комплекс DeviceLock DLP состоит из взаимодополняющих функциональных компонентов: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base, а также DeviceLock Discovery, который может использоваться в составе комплекса или как самостоятельное решение. Лицензионная политика "Смарт Лайн Инк" предусматривает гибкое функционально-инкрементальное лицензирование комплекса DeviceLock DLP – лицензии приобретаются на отдельные компоненты по числу контролируемых компьютеров. В стоимость лицензий входят годичная стандартная техническая поддержка и право на получение новых версий. По отдельному соглашению также предоставляются профессиональные услуги по реализации проекта, консультационные услуги и расширенная техническая поддержка.

СМАРТ ЛАЙН ИНК, АО
107140, Москва,
1-й Красносельский пер., 3,
пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru