ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Флешка как катализатор: изучаем рынок DLP и строим ручной периметр

После инцидента с флешкой у клиента смотрим на первые корпоративные DLP-решения. Websense и Vontu дорогие и сырые - строим контроль руками через GPO, прокси и аудит печати.

Контекст момента

Появление первых корпоративных DLP-решений (Websense, Vontu) для контроля утечек данных через сеть и периметр

Всё началось с бухгалтера и флешки объёмом 512 МБ.

Клиент - дистрибуторская компания, около восьмидесяти человек, торгуют запчастями. Главный бухгалтер уволилась в апреле, а в конце мая директор обнаружил, что база контрагентов с ценами - включая спецусловия для крупных покупателей - всплыла у конкурента. Не целиком, но вполне узнаваемо. Доказать ничего нельзя, но и сомнений особых нет: данные ушли на флешке незадолго до увольнения. Охрана на входе не досматривает, журнала подключений нет, антивирус на это не реагирует.

Нас позвали разбираться - и параллельно понять, что вообще делать, чтобы такого больше не было.

Смотрим на рынок

Первым делом мы пошли изучать, что предлагают. Тема контроля утечек данных сейчас активно развивается, и несколько вендоров уже позиционируют продукты специально под неё.

Websense изначально вырос как решение для веб-фильтрации - блокировка нежелательных сайтов на периметре. В последнее время они двигаются в сторону контентного анализа: умеют смотреть, что уходит через HTTP и HTTPS, ловить ключевые слова в запросах. Это уже что-то похожее на DLP в части сетевого канала.

Vontu - более целенаправленное решение именно под утечки. Агент на рабочей станции, анализ трафика, попытки отследить движение файлов. На бумаге выглядит серьёзно.

Но поговорив с партнёрами и почитав материалы, мы пришли к нескольким выводам. Во-первых, ценник. Vontu - это история для крупного корпоративного заказчика, и стоимость внедрения для компании из восьмидесяти человек выглядит неадекватно задаче. Во-вторых, агентское DLP требует нормальной инфраструктуры управления, обученных администраторов и немалого времени на настройку и тонкую подстройку политик - иначе либо всё будет заблокировано, либо ничего. В-третьих, у этих продуктов пока нет ни нормальной документации на русском, ни партнёров, которые умели бы их внедрять не наугад.

Продавать клиенту продукт, который мы сами не можем нормально развернуть и поддержать - не наш путь. Поэтому решили делать то, что умеем: собирать периметр руками из инструментов, которые уже есть.

Что строим

Три канала утечки, которые реально можно перекрыть без дорогого ПО: съёмные носители, веб-почта и личная почта через браузер, принтеры.

Контроль USB через GPO. В Windows XP это делается через групповые политики - запрет установки Removable Storage классов устройств через ключи реестра. Развернули политику на домен: всем рядовым сотрудникам USB-хранилища заблокированы полностью. Руководству и двум сотрудникам склада, которым флешки реально нужны по работе, - отдельная OU с разрешением. Это не панацея: человек может вытащить данные через телефон, подключённый как камера или медиаплеер, - тут политика уже не помогает. Но рядовое «скопировал на флешку» закрывает.

Блокировка веб-почты на прокси. У клиента был Squid в качестве прокси-сервера, через который шёл весь HTTP-трафик пользователей. Мы добавили блокировку по доменам: mail.ru, gmail.com, yandex.ru и ещё несколько. Да, это раздражает пользователей. Да, это не блокирует HTTPS - точнее, Squid блокирует CONNECT к этим хостам, что достаточно для браузерного доступа к почте. Загрузить вложение с корпоративными данными через заблокированную веб-почту уже нельзя.

Аудит печати. В Windows Server аудит событий печати включается через политику и даёт в Event Log записи: кто, что, когда, на какой принтер. Включили, настроили централизованный сбор логов. Не блокировка, но видимость - кто распечатал базу контрагентов на восемьдесят страниц перед увольнением, теперь можно будет установить.

Что это даёт и чего не даёт

Честно говоря, получился не DLP, а набор административных ограничений с частичной видимостью. Это лучше, чем ничего - и существенно лучше, чем было. Инцидент с флешкой в таких условиях был бы заметен: USB заблокированы, аномальная печать видна.

Но каналов утечки остаётся немало. Человек может сфотографировать экран телефоном. Может записать на CD - мы не блокировали оптические приводы, потому что у клиента есть задачи с дисками. Может отправить данные через мессенджер. Может просто запомнить ключевые цифры.

Полноценный аудит безопасности в такой ситуации показывает: технические меры работают в связке с организационными. Регламент работы с конфиденциальными данными, NDA с сотрудниками, процедура offboarding с отзывом доступов - всё это нужно параллельно с GPO-политиками. Иначе человек просто найдёт другой канал.

Клиент пока делает первые шаги - блокировка USB уже работает, прокси настроен. Регламент будем писать в июле. Посмотрим, что из этого получится.

Если Vontu к тому времени подешевеет и станет понятнее - может, и вернёмся к разговору про агентское решение. Но не сейчас.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.