«РТК-Солар» представил практические советы по применению DLP-систем

22.06.2022 |

Андрей Блинов.

1 июня 2022 года в Москве состоялся крупнейший общенациональный Форум DLP+, посвященный противодействию внутренним угрозам корпоративной безопасности. Организатором мероприятия выступила компания «РТК-Солар» – один из ведущих поставщиков цифровых решений и сервисов на российском рынке ИБ. На секции «Применение DLP на практике. Реальные кейсы» руководитель отдела продуктовой аналитики Центра продуктов Dozor «РТК-Солар» Софья Худякова рассказала о пяти лучших практиках в области применения DLP.

«Когда команда внедрения установила в организации DLP и настроила первоначальные политики, когда подписан акт сдачи системы в эксплуатацию, офицер безопасности остается наедине с этой сложной системой. Руководство компании, которое заплатило большие деньги за внедрение DLP и покупку лицензий, сразу же ожидает получить от нее видимый результат – и начинает нагружать безопасника заданиями, запросами на выгрузку переписки, на проведение расследования или мониторинг определенного сотрудника. Наши практические кейсы предназначены для того, чтобы помочь специалисту по безопасности окупить внедрение DLP, не допустить утечек и по максимуму использовать систему, сэкономив свое рабочее время и время своих коллег», – пояснила Софья Худякова.

Софья Худякова, руководитель отдела продуктовой аналитики Центра продуктов Dozor «РТК-Солар»

Первый совет: использовать политики DLP, чтобы сократить ручной труд

Политики являются основными механизмами выявления инцидентов в DLP-системе. Они строятся на перечнях конфиденциальной информации, которая не должна выходить за периметр организации.

Офицер безопасности, не имеющий достаточного опыта общения с DLP и настройки политик, для решения поставленных руководством задач зачастую предпочитает поиск: вводит в систему простые поисковые запросы. Система эти поисковые запросы обрабатывает и выдает некий перечень информации, который, на первый взгляд, отражает текущую ситуацию. Однако при ручной обработке большого объема данных нетрудно упустить важную информацию, особенно если она намеренно скрыта злоумышленником.

Поиск хорошо подходит для решения определенного класса задач, но в повседневной рутинной работе с DLP стоит доверять именно политике. DLP-система не устает и видит гораздо больше и лучше человека: она может автоматически найти и классифицировать даже скрытую информацию, создать инцидент, указав место срабатывания, и отправить уведомление офицеру безопасности.

Второй совет: организовать совместный доступ к DLP (ролевую модель)

Служба безопасности крупных компаний – это, как правило, разветвленная структура, которая включает в себя не только информационную безопасность, но и экономическую безопасность, отдел внутренних расследований и т. д. У всех этих подразделений разные задачи, зачастую их расследования не пересекаются между собой. Соответственно, офицеру информационной безопасности могут приходить запросы от смежных подразделений на предоставление данных из DLP-системы – причем эти запросы формируются максимально абстрактно, например, «выгрузить переписку за определенный период». Система тратит большое количество ресурсов на то, чтобы сформировать необходимый пул данных, перенести его на внешний носитель. После этого автор запроса в этом потоке данных долго выявляет факты, которые его действительно интересуют.

В таких ситуациях стоит помнить о том, что DLP-система имеет функционал проведения расследований в собственном интерфейсе, то есть для проведения расследования не нужно выгружать данные. Кроме того, современная DLP-система позволяет гибко настроить права доступа. Если сотрудники разных подразделений безопасности организуют совместный доступ к системе на основе гибкой ролевой модели, обучатся ей пользоваться, – это сэкономит время и повысит уровень безопасности организации в целом.

Третий совет: удалять ненужные правила политики

При внедрении системы DLP на нее ставится стандартная политика безопасности вендора, построенная по принципу максимально возможной полезности для максимального количества заказчиков. Эта политика содержит много правил, которые могут быть не актуальны для текущих задач конкретной компании: например, если компания не производит программное обеспечение, то ей не нужно регистрировать передачу файлов-исходников программ. Ненужные правила политики могут сильно мешать системе, засорять ее, вызывать технические проблемы и задерживать обработку событий. Кроме того, офицер безопасности, заходя в систему, может столкнуться с массой лишних уведомлений и предостережений.

Хорошей практикой станет ревизия политики безопасности организации, удаление оттуда ненужных правил.

Четвертый совет: сделать доработку политик непрерывным процессом

Любая политика безопасности, даже безупречно настроенная, не может не устаревать со временем. Это происходит по мере того, как компании реагируют на рыночные и геополитические изменения, вводят новые формы документов, внедряют новые системы и процессы. Если не реагировать на это и не проводить донастройку системы DLP, политика будет не только отрабатывать важные инциденты, но и генерировать ложноположительные срабатывания в таких количествах, что их обработка займет много времени.

Высокое качество политики определяется двумя факторами: достаточной шириной выявления действительных нарушений и минимальным количеством ложноположительных срабатываний. Таким образом, настройка политики включает в себя два основных последовательных шага. Сначала – исключение ложноотрицательных срабатываний: каждая утечка – это огромный риск для организации и триггер к немедленному пересмотру всей политики. Затем – тюнинг, тонкие настройки. В этом процессе исключаются ложноположительные срабатывания.

Пятый совет: расширять использование DLP-системы и ее интеграции

Зачастую функциональность DLP устанавливается в компании в стандартном формате, продиктованном требованиями руководства компании или регулятора: например, только мониторинг почтового трафика и мониторинг трафика от endpoint-агентов. Но современные мощные DLP умеют гораздо больше, чем просто обрабатывать трафик от почты и агентов. В них имеются модули анализа сетевого трафика, сканеры файловых хранилищ. DLP может эффективно обрабатывать и данные корпоративных мессенджеров.

Что касается интеграции – от самой системы DLP другие информационные системы организации также могут получать ценную информацию: например, системы обработки событий класса IRP, SOAR или SIEM, BI-системы.

«Хорошая практика – это расширение возможностей DLP-систем. Если у вас в руках оказался такой дорогой, мощный, многофункциональный механизм, то следует использовать его возможности по максимуму», – заключила Софья Худякова.