Флешка как катализатор: изучаем рынок DLP и строим ручной периметр
После инцидента с флешкой у клиента смотрим на первые корпоративные DLP-решения. Websense и Vontu дорогие и сырые - строим контроль руками через GPO, прокси и аудит печати.
Появление первых корпоративных DLP-решений (Websense, Vontu) для контроля утечек данных через сеть и периметр
Всё началось с бухгалтера и флешки объёмом 512 МБ.
Клиент - дистрибуторская компания, около восьмидесяти человек, торгуют запчастями. Главный бухгалтер уволилась в апреле, а в конце мая директор обнаружил, что база контрагентов с ценами - включая спецусловия для крупных покупателей - всплыла у конкурента. Не целиком, но вполне узнаваемо. Доказать ничего нельзя, но и сомнений особых нет: данные ушли на флешке незадолго до увольнения. Охрана на входе не досматривает, журнала подключений нет, антивирус на это не реагирует.
Нас позвали разбираться - и параллельно понять, что вообще делать, чтобы такого больше не было.
Смотрим на рынок
Первым делом мы пошли изучать, что предлагают. Тема контроля утечек данных сейчас активно развивается, и несколько вендоров уже позиционируют продукты специально под неё.
Websense изначально вырос как решение для веб-фильтрации - блокировка нежелательных сайтов на периметре. В последнее время они двигаются в сторону контентного анализа: умеют смотреть, что уходит через HTTP и HTTPS, ловить ключевые слова в запросах. Это уже что-то похожее на DLP в части сетевого канала.
Vontu - более целенаправленное решение именно под утечки. Агент на рабочей станции, анализ трафика, попытки отследить движение файлов. На бумаге выглядит серьёзно.
Но поговорив с партнёрами и почитав материалы, мы пришли к нескольким выводам. Во-первых, ценник. Vontu - это история для крупного корпоративного заказчика, и стоимость внедрения для компании из восьмидесяти человек выглядит неадекватно задаче. Во-вторых, агентское DLP требует нормальной инфраструктуры управления, обученных администраторов и немалого времени на настройку и тонкую подстройку политик - иначе либо всё будет заблокировано, либо ничего. В-третьих, у этих продуктов пока нет ни нормальной документации на русском, ни партнёров, которые умели бы их внедрять не наугад.
Продавать клиенту продукт, который мы сами не можем нормально развернуть и поддержать - не наш путь. Поэтому решили делать то, что умеем: собирать периметр руками из инструментов, которые уже есть.
Что строим
Три канала утечки, которые реально можно перекрыть без дорогого ПО: съёмные носители, веб-почта и личная почта через браузер, принтеры.
Контроль USB через GPO. В Windows XP это делается через групповые политики - запрет установки Removable Storage классов устройств через ключи реестра. Развернули политику на домен: всем рядовым сотрудникам USB-хранилища заблокированы полностью. Руководству и двум сотрудникам склада, которым флешки реально нужны по работе, - отдельная OU с разрешением. Это не панацея: человек может вытащить данные через телефон, подключённый как камера или медиаплеер, - тут политика уже не помогает. Но рядовое «скопировал на флешку» закрывает.
Блокировка веб-почты на прокси. У клиента был Squid в качестве прокси-сервера, через который шёл весь HTTP-трафик пользователей. Мы добавили блокировку по доменам: mail.ru, gmail.com, yandex.ru и ещё несколько. Да, это раздражает пользователей. Да, это не блокирует HTTPS - точнее, Squid блокирует CONNECT к этим хостам, что достаточно для браузерного доступа к почте. Загрузить вложение с корпоративными данными через заблокированную веб-почту уже нельзя.
Аудит печати. В Windows Server аудит событий печати включается через политику и даёт в Event Log записи: кто, что, когда, на какой принтер. Включили, настроили централизованный сбор логов. Не блокировка, но видимость - кто распечатал базу контрагентов на восемьдесят страниц перед увольнением, теперь можно будет установить.
Что это даёт и чего не даёт
Честно говоря, получился не DLP, а набор административных ограничений с частичной видимостью. Это лучше, чем ничего - и существенно лучше, чем было. Инцидент с флешкой в таких условиях был бы заметен: USB заблокированы, аномальная печать видна.
Но каналов утечки остаётся немало. Человек может сфотографировать экран телефоном. Может записать на CD - мы не блокировали оптические приводы, потому что у клиента есть задачи с дисками. Может отправить данные через мессенджер. Может просто запомнить ключевые цифры.
Полноценный аудит безопасности в такой ситуации показывает: технические меры работают в связке с организационными. Регламент работы с конфиденциальными данными, NDA с сотрудниками, процедура offboarding с отзывом доступов - всё это нужно параллельно с GPO-политиками. Иначе человек просто найдёт другой канал.
Клиент пока делает первые шаги - блокировка USB уже работает, прокси настроен. Регламент будем писать в июле. Посмотрим, что из этого получится.
Если Vontu к тому времени подешевеет и станет понятнее - может, и вернёмся к разговору про агентское решение. Но не сейчас.
- ГОСТ Р ИСО/МЭК 17799-2005: первый аудит по чеклисту за три дня · 31 мая 2006
- Сегментация сети для PCI DSS: три VLAN на одном Cisco-стеке · 29 марта 2006