Все данные текут: как бороться с ИТ-протечками

Компании имеют дело с петабайтами (один петабайт равен квадриллиону байт) пользовательских данных. Чтобы сохранить их в безопасности, нужны инструменты, предотвращающие утечки информации через самые распространенные каналы: электронную почту, соцсети, мессенджеры, файлообменники, системы управления кодом. Рассказываем в этой статье об актуальных способах защиты конфиденциальных данных.

Качественная защита пользовательских данных обеспечивается не одним инструментом или их набором. Она возможна только в рамках политики конфиденциальности, разработанной в компании и включающей в себя как технические средства защиты, так и обучение сотрудников — должна быть внедрена система Security Awareness, нацеленная на повышение осведомленности персонала о правилах информационной безопасности. Также организациям нужна гибкая система проверки киберзащиты с помощью пен-тестов.

Комплексная кибербезопасность складывается из целого ряда небольших последовательных шагов, причем для большинства компаний они примерно одинаковы. Перечислим главные.

Чем более четко разграничен доступ и больше ролей пользователей, тем ниже вероятность, что кто-то получит несанкционированный доступ к данным, а затем передаст ключи доступа злоумышленникам. Это может быть сделано специально или по незнанию, а также под влиянием социальной инженерии.

Ролевая модель доступа должна быть основана на регламенте, где четко прописано, по каким принципам распределяются роли, кто это делает, и каким образом они могут актуализироваться. Функции сотрудников в компаниях могут меняться, и это одна из причин того, что создание ролевой модели в большинстве организаций является непрерывным процессом, а построить 100-процентную модель в бизнесе почти невозможно. Настраивайтесь на долгую и постоянную работу над иерархией доступа.

Компании делают бэкапы отдельных дисков и файлов, а также баз данных и даже полностью ИТ-инфраструктуры. В идеале необходимо создавать каждый раз минимум три копии данных: две на разных носителях в периметре ИТ-инфраструктуры компании и одну “на стороне”: например, в облачном хранилище. Бэкапирование в компании должно проводиться на основе регламента с перечнем данных и прописанным порядком их копирования и восстановления. Еще очень важно не забывать периодически проверять, можно ли восстановить данные резервных копий. Любая система может работать некорректно, а в случае с хранением конфиденциальных данных критично важно вовремя увидеть проблему.

Данные в облачных хранилищах пользователей должны храниться в зашифрованном виде. Тогда даже, если хакеры получат доступ в облако, без ключей и знания метода шифрования они ничего не смогут сделать.

К самым распространенным протоколам шифрования данных относятся:

В TLS используется псевдослучайный алгоритм, с помощью которого генерируется главный ключ шифрования данных. Протокол SHTTP включает ряд мер безопасности, в него входят установление паролей, антивирусная защита и надстройка брандмауэра.

В рамках киберзащиты необходимо постоянно отслеживать обновление операционных систем, плагинов и ПО и проводить инвентаризацию установленных приложений.

Кроме того, критично важно несколько раз в год проводить тестирование на проникновение и анализировать код. Статические анализаторы кода (они проводят анализ программы без ее выполнения) способны находить уязвимости, например в межсайтовом скриптинге (XSS), и SQL-инъекции. Через такие бреши хакер может управлять базой данных, используя фрагменты вредоносного кода на языке SQL (структурированных запросов).

DLP-системы (Data Loss/Leak Prevention) компании используют, чтобы держать под контролем все каналы сетевой коммуникации. Это электронная почта, веб-браузеры, мессенджеры, протокол удаленной передачи данных FTP, а также непосредственно компьютеры и их USB-порты. Таким образом, DLP-система позволяет контролировать сохранность данных везде, включая файловые хранилища. Она не может помочь только в том случае, если сотрудник компании попробует сфотографировать конфиденциальную информацию просто с экрана монитора.

В рамках DLP на компьютерах устанавливаются агенты, которые передают информацию на сервер, собирая ее в том числе через шлюзы. Но DLP-системы работают по четким правилам безопасности, которые компания должна еще правильно настроить. Необходима приоритизация угроз и типов данных, которые являются конфиденциальными. При этом именно классификация данных становится наибольшей сложностью. Верно выставленные теги, указывающие на конфиденциальность данных, являются залогом успеха в применении DLP-систем. Кроме того, правила безопасности необходимо периодически актуализировать.

DCAP (Data-Centric Audit and Protection) — это системы аудита и защиты файловой системы и неструктурированных данных. Они подключаются к хранилищам данных и используют в качестве источников информации компьютеры пользователей, файловые и почтовые сервера, СХД и другие. Могут иметь сетевую или агентскую архитектуру, но наиболее распространены первые. Сетевые подключаются к хранилищам данных по протоколам NFS, FTP, SMB. Главное преимущество использования DCAP-систем в том, что они способны классифицировать конфиденциальные данные, представляя их в том виде, который удобен для отделов ИТ-безопасности, распределяющих права доступа. Они могут проводить контентный анализ, определять тип данных и уровни рекомендуемого доступа. Наконец, DCAP-системы управляют доступом к файлом и могут запрещать его.