Все данные текут: как бороться с ИТ‑протечками

Компании имеют дело с петабайтами (один петабайт равен квадриллиону байт) пользовательских данных. Чтобы сохранить их в безопасности, нужны инструменты, предотвращающие утечки информации через самые распространенные каналы: электронную почту, соцсети, мессенджеры, файлообменники, системы управления кодом. Рассказываем в этой статье об актуальных способах защиты конфиденциальных данных.

В бизнесе всё меньше тайны

Качественная защита пользовательских данных обеспечивается не одним инструментом или их набором. Она возможна только в рамках политики конфиденциальности, разработанной в компании и включающей в себя как технические средства защиты, так и обучение сотрудников — должна быть внедрена система Security Awareness, нацеленная на повышение осведомленности персонала о правилах информационной безопасности. Также организациям нужна гибкая система проверки киберзащиты с помощью пен‑тестов.

Комплексная кибербезопасность складывается из целого ряда небольших последовательных шагов, причем для большинства компаний они примерно одинаковы. Перечислим главные.

Создание иерархии доступа и разграничение ролей

Чем более четко разграничен доступ и больше ролей пользователей, тем ниже вероятность, что кто‑то получит несанкционированный доступ к данным, а затем передаст ключи доступа злоумышленникам. Это может быть сделано специально или по незнанию, а также под влиянием социальной инженерии.

Ролевая модель доступа должна быть основана на регламенте, где четко прописано, по каким принципам распределяются роли, кто это делает, и каким образом они могут актуализироваться. Функции сотрудников в компаниях могут меняться, и это одна из причин того, что создание ролевой модели в большинстве организаций является непрерывным процессом, а построить 100‑процентную модель в бизнесе почти невозможно. Настраивайтесь на долгую и постоянную работу над иерархией доступа.

Резервное копирование

Компании делают бэкапы отдельных дисков и файлов, а также баз данных и даже полностью ИТ‑инфраструктуры. В идеале необходимо создавать каждый раз минимум три копии данных: две на разных носителях в периметре ИТ‑инфраструктуры компании и одну “на стороне”: например, в облачном хранилище. Бэкапирование в компании должно проводиться на основе регламента с перечнем данных и прописанным порядком их копирования и восстановления. Еще очень важно не забывать периодически проверять, можно ли восстановить данные резервных копий. Любая система может работать некорректно, а в случае с хранением конфиденциальных данных критично важно вовремя увидеть проблему.

Шифрование данных

Данные в облачных хранилищах пользователей должны храниться в зашифрованном виде. Тогда даже, если хакеры получат доступ в облако, без ключей и знания метода шифрования они ничего не смогут сделать.

К самым распространенным протоколам шифрования данных относятся:

• Secure Sockets Layer protocol (SSLP);
• Tranrsport Layer Security (TLS);
• Secure HyperText Transfer Protocol (SHTTP).

В TLS используется псевдослучайный алгоритм, с помощью которого генерируется главный ключ шифрования данных. Протокол SHTTP включает ряд мер безопасности, в него входят установление паролей, антивирусная защита и надстройка брандмауэра.

Регулярные пентесты и код‑ревью

В рамках киберзащиты необходимо постоянно отслеживать обновление операционных систем, плагинов и ПО и проводить инвентаризацию установленных приложений.

Кроме того, критично важно несколько раз в год проводить тестирование на проникновение и анализировать код. Статические анализаторы кода (они проводят анализ программы без ее выполнения) способны находить уязвимости, например в межсайтовом скриптинге (XSS), и SQL‑инъекции. Через такие бреши хакер может управлять базой данных, используя фрагменты вредоносного кода на языке SQL (структурированных запросов).

Внедрение DLP‑систем

DLP‑системы (Data Loss/Leak Prevention) компании используют, чтобы держать под контролем все каналы сетевой коммуникации. Это электронная почта, веб‑браузеры, мессенджеры, протокол удаленной передачи данных FTP, а также непосредственно компьютеры и их USB‑порты. Таким образом, DLP‑система позволяет контролировать сохранность данных везде, включая файловые хранилища. Она не может помочь только в том случае, если сотрудник компании попробует сфотографировать конфиденциальную информацию просто с экрана монитора.

В рамках DLP на компьютерах устанавливаются агенты, которые передают информацию на сервер, собирая ее в том числе через шлюзы. Но DLP‑системы работают по четким правилам безопасности, которые компания должна еще правильно настроить. Необходима приоритизация угроз и типов данных, которые являются конфиденциальными. При этом именно классификация данных становится наибольшей сложностью. Верно выставленные теги, указывающие на конфиденциальность данных, являются залогом успеха в применении DLP‑систем. Кроме того, правила безопасности необходимо периодически актуализировать.

Использование DCAP‑систем

DCAP (Data‑Centric Audit and Protection) — это системы аудита и защиты файловой системы и неструктурированных данных. Они подключаются к хранилищам данных и используют в качестве источников информации компьютеры пользователей, файловые и почтовые сервера, СХД и другие. Могут иметь сетевую или агентскую архитектуру, но наиболее распространены первые. Сетевые подключаются к хранилищам данных по протоколам NFS, FTP, SMB. Главное преимущество использования DCAP‑систем в том, что они способны классифицировать конфиденциальные данные, представляя их в том виде, который удобен для отделов ИТ‑безопасности, распределяющих права доступа. Они могут проводить контентный анализ, определять тип данных и уровни рекомендуемого доступа. Наконец, DCAP‑системы управляют доступом к файлом и могут запрещать его.