Автор: Брянцев А.В., Национальный исследовательский ядерный университет «МИФИ»
В данной работе раскрыта сущность и область использования DLP-систем, рассмотрены отечественные решения. При этом выполнено исследование актуальных проблем, возникших в результате использования DLP-систем, осуществлен анализ утечек информации по различным каналам и категориям в коммерческих и государственных организациях. В результате разработаны соответствующие предложения по повышению эффективности использования DLP-систем.
Современное общество характеризуется непрерывным темпом внедрения и использования информационных технологий. Такая глобализация, в свою очередь, сопровождается ростом компьютерных инцидентов, в том числе связанных с утечками информации за периметр организации, что обуславливает актуальность проводимых исследований.
В первом полугодии 2022 года число утечек информации в мире выросло вдвое, в России – в полтора раза. Для предупреждения и локализации подобных инцидентов используются DLP-системы.
Функционирование DLP-системы заключается в перехвате и последующем контекстном анализе потоков данных, циркулирующих внутри защищаемой корпоративной сети или покидающий ее периметр, а также вынесения вердикта о нарушении в соответствии с настроенными политиками. В ходе выполнения исследований был получен доступ к лабораторному стенду с развернутой виртуальной инфраструктурой для тестирования DLP-системы.
Проблема №1. Основной принцип работы Crawler — по-расписанию для конкретных подразделений, что может привести к долгому бесконтрольному функционированию рабочих клиентов, а также обуславливать сложность при планировании расписания для территориально распределенных сетей с разными часовыми поясами.
Предполагаемое решение проблемы №1:
Так как современные DLP-системы поддерживают синхронизацию с LDAP(S), предлагается обеспечить работу Crawler исходя из данных недавней авторизации пользователей на контроллере домена (например, по атрибуту lastLogonTimeStamp). Основное различие между lastlogon и lastLogonTimeStamp заключается в том, что lastlogon обновляется на контроллере домена после интерактивного входа пользователя, а lastLogonTimeStamp реплицируется на все контроллеры домена в лесу AD, атрибут lastlogon не реплицируется между контроллерами домена. Или использования скрипта для проверки доступности рабочих станций в настоящее время и деления их на группы проверки (листинг 1).
Листинг 1 – Пример вывода онлайн активов и деления на группы
$computers = Get-ADComputer -Filter * | select name
$onlinecomputers = @()
foreach ($computer in $computers) {
if (Test-Connection -ComputerName $computer.name -Quiet -Count 1) {
$onlinecomputers += $computer.name
}
}
$groupedcomputers = $onlinecomputers | Group-Object -Property { [Math]::Floor([Decimal]::Divide($onlinecomputers.IndexOf($_), 100)) }
foreach ($group in $groupedcomputers) {
$filename = «group» + $group.Name + «.txt»
$group.group | Out-File -FilePath $filename
}
Проблема №2. Возможное неполноценное функционирование Crawler в организации в связи с недоступностью некоторых подсетей на этапе внедрения и применения.
Предполагаемое решение проблемы №2:
Разработка методических рекомендаций по настройке Crawler, основные пункты содержания:
предоставление средствам Crawler информации обо всех сетевых узлах организации;
подготовка к первичному запуску Crawler, настройка исключений для минимизации нагрузки на сервер и проверки доступности всех сетевых узлов;
первичный запуск Crawler и проверка доступности всех сетевых узлов;
ведение журнала событий отсутствия доступа к сетевому узлу при наличии события недавней авторизации на контроллере домена.
Проблема №3. Идентификация нарушителей по результатам работы модуля Crawler. Отсутствие сведений о принадлежности к файлу, если он находится в обезличенном хранилище (например, корень диска смонтированного диска).
Предполагаемое решение проблемы №3:
1. Исследование метаданных файла. В метаданных файла содержится информация о его авторе, времени создания и другие данные, которые могут помочь определить его принадлежность.
2. Идентификация пользователя, который создал или последним редактировал файл. Это можно сделать с помощью журналов аудита, в которых отображается информация о действиях пользователей в системе.
3. Анализ характеристик сети, в которой обнаружен файл. Например, изучение IP-адресов, MAC-адресов, имён компьютеров и других данных может помочь установить принадлежность файла.
4. Идентификация по цифровой подписи. Если файл имеет цифровую подпись, то возможно идентифицировать её владельца.
5. Анализ контента файла. Возможно, контент файла содержит информацию, свойственную только определённым пользователям или компаниям, что позволит определить его принадлежность.
Таким образом, в результате проводимых исследований разработаны методические рекомендации в части использования существующих DLP-систем. Сформулирован проект предложений по результатам исследования нормативной правовой базы в области использования DLP-систем в организациях. Рассмотрены основные проблемы модуля Crawler, разработаны перспективные предложения по его совершенствованию.
Литература:
- Аналитика отрасли информационной безопасности. — Официальный сайт АО InfoWatch. URL: https://www.infowatch.ru/analytics/daydzhesty-i-obzory (дата обращения: 10.02.2023).
- Eric Cole. Data Loss Prevention: A Complete Guide.
- Marcus Sachs. Data Theft and Information Control: Designing and Testing DLP Systems.
