Компании имеют дело с петабайтами (один петабайт равен квадриллиону байт) пользовательских данных. Чтобы сохранить их в безопасности, нужны инструменты, предотвращающие утечки информации через самые распространенные каналы: электронную почту, соцсети, мессенджеры, файлообменники, системы управления кодом. Рассказываем в этой статье об актуальных способах защиты конфиденциальных данных.
В бизнесе всё меньше тайны
Утечки данных в России растут: по данным InfoWatch, в первом полугодии этого года количество скомпрометированных строк персональных данных в России увеличилось на 33,8% к тому же периоду 2023‑го. То, что половина строк в этом раз пришлась на один загадочный инцидент, не снижает остроты проблемы. Речь идет об утечках сведений, имеющих отношение к личным данным, коммерческой, служебной и врачебной тайне. Их потери наносят организациям и репутационный, и финансовый ущерб, поэтому кибербезопасность становится одним из самых динамичных сегментов ИТ‑сферы.
Качественная защита пользовательских данных обеспечивается не одним инструментом или их набором. Она возможна только в рамках политики конфиденциальности, разработанной в компании и включающей в себя как технические средства защиты, так и обучение сотрудников — должна быть внедрена система Security Awareness, нацеленная на повышение осведомленности персонала о правилах информационной безопасности. Также организациям нужна гибкая система проверки киберзащиты с помощью пен‑тестов.
Комплексная кибербезопасность складывается из целого ряда небольших последовательных шагов, причем для большинства компаний они примерно одинаковы. Перечислим главные.
Чем более четко разграничен доступ и больше ролей пользователей, тем ниже вероятность, что кто‑то получит несанкционированный доступ к данным, а затем передаст ключи доступа злоумышленникам. Это может быть сделано специально или по незнанию, а также под влиянием социальной инженерии.
Ролевая модель доступа должна быть основана на регламенте, где четко прописано, по каким принципам распределяются роли, кто это делает, и каким образом они могут актуализироваться. Функции сотрудников в компаниях могут меняться, и это одна из причин того, что создание ролевой модели в большинстве организаций является непрерывным процессом, а построить 100‑процентную модель в бизнесе почти невозможно. Настраивайтесь на долгую и постоянную работу над иерархией доступа.
Это значит, что при записи данных на носители одного ЦОД (центра обработки данных) они сразу же автоматически копируются и переносятся на другой. Обычно в крупных ИТ‑компаниях есть минимум две‑три удаленные площадки, куда реплицируются копии.
Компании делают бэкапы отдельных дисков и файлов, а также баз данных и даже полностью ИТ‑инфраструктуры. В идеале необходимо создавать каждый раз минимум три копии данных: две на разных носителях в периметре ИТ‑инфраструктуры компании и одну “на стороне”: например, в облачном хранилище. Бэкапирование в компании должно проводиться на основе регламента с перечнем данных и прописанным порядком их копирования и восстановления. Еще очень важно не забывать периодически проверять, можно ли восстановить данные резервных копий. Любая система может работать некорректно, а в случае с хранением конфиденциальных данных критично важно вовремя увидеть проблему.
Шифрование данных
Данные в облачных хранилищах пользователей должны храниться в зашифрованном виде. Тогда даже, если хакеры получат доступ в облако, без ключей и знания метода шифрования они ничего не смогут сделать.
К самым распространенным протоколам шифрования данных относятся:
Secure Sockets Layer protocol (SSLP);
Tranrsport Layer Security (TLS);
Secure HyperText Transfer Protocol (SHTTP).
В TLS используется псевдослучайный алгоритм, с помощью которого генерируется главный ключ шифрования данных. Протокол SHTTP включает ряд мер безопасности, в него входят установление паролей, антивирусная защита и надстройка брандмауэра.
Регулярные пентесты и код‑ревью
В рамках киберзащиты необходимо постоянно отслеживать обновление операционных систем, плагинов и ПО и проводить инвентаризацию установленных приложений.
Кроме того, критично важно несколько раз в год проводить тестирование на проникновение и анализировать код. Статические анализаторы кода (они проводят анализ программы без ее выполнения) способны находить уязвимости, например в межсайтовом скриптинге (XSS), и SQL‑инъекции. Через такие бреши хакер может управлять базой данных, используя фрагменты вредоносного кода на языке SQL (структурированных запросов).
Внедрение DLP‑систем
DLP‑системы (Data Loss/Leak Prevention) компании используют, чтобы держать под контролем все каналы сетевой коммуникации. Это электронная почта, веб‑браузеры, мессенджеры, протокол удаленной передачи данных FTP, а также непосредственно компьютеры и их USB‑порты. Таким образом, DLP‑система позволяет контролировать сохранность данных везде, включая файловые хранилища. Она не может помочь только в том случае, если сотрудник компании попробует сфотографировать конфиденциальную информацию просто с экрана монитора.
В рамках DLP на компьютерах устанавливаются агенты, которые передают информацию на сервер, собирая ее в том числе через шлюзы. Но DLP‑системы работают по четким правилам безопасности, которые компания должна еще правильно настроить. Необходима приоритизация угроз и типов данных, которые являются конфиденциальными. При этом именно классификация данных становится наибольшей сложностью. Верно выставленные теги, указывающие на конфиденциальность данных, являются залогом успеха в применении DLP‑систем. Кроме того, правила безопасности необходимо периодически актуализировать.
Использование DCAP‑систем
DCAP (Data‑Centric Audit and Protection) — это системы аудита и защиты файловой системы и неструктурированных данных. Они подключаются к хранилищам данных и используют в качестве источников информации компьютеры пользователей, файловые и почтовые сервера, СХД и другие. Могут иметь сетевую или агентскую архитектуру, но наиболее распространены первые. Сетевые подключаются к хранилищам данных по протоколам NFS, FTP, SMB. Главное преимущество использования DCAP‑систем в том, что они способны классифицировать конфиденциальные данные, представляя их в том виде, который удобен для отделов ИТ‑безопасности, распределяющих права доступа. Они могут проводить контентный анализ, определять тип данных и уровни рекомендуемого доступа. Наконец, DCAP‑системы управляют доступом к файлом и могут запрещать его.
Чтобы защитить конфиденциальные данные от утечек, компаниям нужно выстраивать комплексную оборону. Привычные многим организациям DLP‑системы и шифрование данных необходимо дополнять тестированиями на проникновение, код‑ревью и внедрением Security Awareness. У всех сотрудников должно быть базовое понимание принципов информационной безопасности, потому что значимая часть утечек происходит из‑за человеческого фактора.
Как вы подходите к обеспечению кибербезопасности своего бизнеса? Можете ли назвать свой подход комплексным и системным?