На российском рынке информационной безопасности существует специфический во многих, включая моральный, аспектах, сегмент решений, позиционируемых как инструментарий контроля рабочего времени и мониторинга активности пользователей (UAM). Цель и средства понятны, назначение прозрачно и порой вполне обосновано. Однако, давно отмечается тенденция подмены понятий, когда продукты, опирающиеся на запись клавиатурного ввода и экрана пользователя, подаются потенциальным потребителям «под соусом DLP». Это – опасная профанация, в конечном итоге приводящая к созданию ложного ощущения защищенности. Все дело в том, что у этих систем абсолютно разное назначение и, соответственно, сценарии применения.
Системы контроля рабочего времени предназначены помочь узнать, чем занимался сотрудник в течение рабочего дня, предлагая разной степени анализ записи клавиатурного ввода (кейлоггер), регулярных снимков или видеозаписи экрана, журнала использованных программ. Традиционный результат такого анализа – некий график активностей, с различными выводами и гипотезами (User Behaviour Analysys). Такие выводы могут использоваться для выявления «ленивых» сотрудников, недостаточно активно или не по назначению использующих рабочее время на персональном компьютере. В то же время будучи, по факту, пассивной системой, UAM-решение не способно предотвратить какие-либо вредоносные действия. Это означает, что даже если мы будем записывать и анализировать все действия сотрудников, они спокойно смогут унести данные на флешке или съемном диске. Да, собираемые системой контроля записи можно считать элементом безопасности – они могут быть использованы при расследованиях инцидентов, однако, это практически всегда работа, в некоторой степени сравнимая по продуктивности с просмотром записей с камер видеонаблюдения.
DLP-системы наоборот, призваны не только отследить и зафиксировать, но и при правильной постановки задачи предотвратить утечку данных за счет использования механизмов контекстного контроля – запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, типов коммуникационных интерфейсов и устройств, сетевых протоколов, направления передачи, дня недели и времени суток и т.д., а также проверки содержимого передаваемых данных на наличие персональной или конфиденциальной информации. И да, современные DLP-системы оснащены и функциональностью UAM для записи определенных активностей пользователей, а в случае полнофункциональной системы с анализом контента в реальном времени – еще и в контексте их потенциально вредоносных действий. Таким образом, DLP-системы не помогут выявить неэффективных сотрудников, зато они защитят данные от утечки. Не случайно в наиболее развитых UAM-системах в последние годы стали появляться базовые возможности контроля каналов передачи данных, характерные для DLP-систем.
Таким образом, хотя обе системы в той или иной степени отслеживают действия пользователей, но делают они это с разными целями и разными методами. Одна (система контроля) – считает время, проведенное в приложениях электронной почты, учетных системах или CRM. При этом польза или вред от этих действий никак не учитывается. Другая (DLP) – не учитывает потраченное время, но следит за характером действий пользователей – не являются ли они вредоносными. И, если такие действия обнаружены, они блокируются или подлежат предметному разбору как инцидент.
Важно отметить еще одно важное отличие двух типов систем – как они обрабатывают информацию, особенно персональную. В системах контроля, где деления на деления по типу информации нет (нас же интересует, время, проведенное, например, в мессенджере) все – общественное и личное сваливается в один журнал, содержимое которого потом может быть подвергнуто анализу сотрудниками ИБ. Как минимум, доступ к личным данным и личным коммуникациям присутствует. В то же время DLP-системы должны быть способны функционировать без участия человека, – а значит, анализируемая решением информация не станет достоянием посторонних глаз, включая даже сотрудников службы безопасности, если, конечно, на этапе регистрации событий будут записываться и далее отправляться на сервер системы только те данные, что относятся к корпоративным, а личные будут отсеяны без привлечения человека (но это уже вопрос возможностей конкретной DLP-системы).
Из сказанного выше может последовать вывод, что в компаниях нужно устанавливать и системы контроля рабочего времени и DLP-системы. Только тогда мы будем знать и чем занимались сотрудники, и не пытались ли они «слить» информацию намеренно или случайно. Приобретение, установка и сопровождение двух систем может оказаться тяжелым бременем для бюджета. Но есть выход. Оптимальным решением этих двух задач – анализа эффективности сотрудников и обеспечения информационной безопасности может быть использование DLP-системы, которая включает в себя систему мониторинга и аудита действий пользователей (User Activity Monitoring, UAM), интегрированную с механизмами анализа содержимого передаваемых данных.
В качестве примера возьмем нашу DLP-систему Кибер Протего. Она построена в компонентной архитектуре, где каждый логический компонент отвечает за определенный класс задач. Базовый компонент – Device Control- представляет собой ядро всего решения и обеспечивает все функции его централизованного управления и администрирования. Device Control поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает аудит и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах. Модуль Web Control контролирует большинство популярных сетевых протоколов и приложений и обеспечивает контекстный контроль, событийное протоколирование и теневое копирование передаваемых данных каналов сетевых коммуникаций, а Content Control отвечает за механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций. Добавление этих модулей к Device Control позволяет сформировать «классический» каркас DLP-системы.
Опциональный модуль User Activity Monitoring позволяет создавать видеозаписи экрана пользователя, записывать нажатия клавиш и сведения о запущенных процессах и приложениях. Такие данные могут использоваться, например, при анализе того или иного инцидента – они представляют собой доказательную базу для служб, вместе с традиционными журналами и теневыми копиями. Принципиальным отличием мониторинга активностей в Кибер Протего является избирательный принцип включения видеозаписи экрана и/или клавиатурного ввода, а также сведений о запущенных процессах по наступлению заданных триггеров. Такими триггерами могут быть системные события – запуск определенного процесса или переключение на определенное окно, обнаружение сетевых подключений, подключение периферийного устройства. Старт записи по системным событиям является стандартным для UAM-решений. Помимо стандартного подхода, в Кибер Протего реализована и другая важная и полезная функциональная особенность – старт записи по факту срабатывания DLP-политики, включая основанные на анализе содержимого при обнаружении заданного содержимого в передаваемых, сохраняемых, печатаемых данных – например, попытки пересылки по почте конфиденциального документа, выявленного по совпадению с цифровым «отпечатком» в базе «отпечатков». Отметим важную возможность записи активностей пользователя еще до возникновения целевого события – не только с момента непосредственной отправки документа из нашего примера выше, а за некоторое время до этого, когда сработали правила анализа содержимого.
При необходимости полного контроля может быть записана активность пользователя в течение всего его рабочего дня – в этом случае триггером будет служить вход в систему. Запись будет идти до тех пор, пока активен триггер (например, до завершения пользовательской сессии или выхода из системы, или по заданному времени.
Возможность включения функции видеозаписи экрана и записи клавиатурного ввода по триггерам является критически важной, поскольку позволяет ограничить объем мониторинга до разумно-необходимого и достаточного с помощью современных технологий контентной фильтрации. Такие технологии, реализованные в Кибер Протего, позволяют ограничить доступ и обработку DLP-системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, предоставляющих ценность для организации – как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением видеозаписей экрана. Грамотный и взвешенный подход к использованию контентных фильтров с исключением из мониторинга неактуальных для службы ИБ данных (например, личных данные сотрудников), приводит к существенному повышению качества мониторинга и содержимого централизованного архива. Для этого следует включать опцию записи экрана и клавиатурного ввода не только по базовым триггерам, таким как запуск определенного процесса или помещать в архив не все видеозаписи подряд, а только связанные с детектированием процесса передачи защищаемых данных – тех, на которые еще на агенте сработали правила анализа содержимого. Безусловно, это потребует некоторых трудозатрат на всех этапах внедрения DLP-системы в организации, но в результате сведет к минимуму этические и правовые проблемы, вызываемые сбором теневых копий и видеозаписью сплошным потоком – тогда как автоматизированный отбор передаваемой в архив информации на базе анализа контента без участия ИБ-специалистов решает эту проблему.
Таким образом, вы получаете не только средство, позволяющее предотвратить или снизить риски утечки данных через съемные накопители и другие подключаемые внешние устройства, канал печати, электронную почту, мессенджеры, облачные файлообменные сервисы и т.д. Технологии мониторинга и анализа деятельности сотрудников, реализованные в Кибер Протего как важная составляющая полноценного DLP-решения, позволяют собирать всю необходимую информацию, для анализа их активностей в течение дня, формировать необходимые отчеты и строить графики. Например, досье пользователя включает поведенческую аналитику (отображает степень отклонения поведения пользователя от профиля нормы за выбранный период) статистическую аналитику (данные разрешенных и запрещенных операциях за выбранный период) и граф связей (позволяет выявлять связи сотрудников внутри организации и вне ее).
Автор: Сергей Вахонин, директор направления систем информационной безопасности компании “Киберпротект”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
