Насколько эффективно DLP работают с «заводскими» настройками? Можно ли настроить систему раз и навсегда? Почему программа видит нарушения там, где их нет? Рассказываем, как научить вашу DLP выявлять угрозы безопасности с минимумом погрешностей.

DLP фиксирует все действия сотрудников за рабочими компьютерами, и это огромный массив данных. Чтобы распознать в нем инциденты, системе нужно задать правила поиска нарушений – политики безопасности. Но тем, кто только начинает работу с системой, не всегда понятно, с какой стороны подступиться к настройке. 

Попробуем разобраться по шагам. 

Положитесь на вендора

В любой DLP есть набор предустановленных политик против самых распространенных угроз. Они позволяют начать работу сразу после «распаковки». В «стандартном наборе» есть политики, которые ищут признаки распространенных инцидентов, например, откаты, конкурентную разведку, копирование конфиденциальных документов. Есть политики по выявлению групп риска: приверженцев экстремистских взглядов или сотрудников с опасными зависимостями (наркомания, алкоголизм, азартные игры).

Для компаний из отдельных отраслей вендоры разрабатывают отдельные наборы политик. Это удобно и до определенной степени надежно: у хороших разработчиков есть наработанная экспертиза, они аккумулируют опыт множества клиентов и знают, какие проблемы стоят острее всего. 

Например, политики для банков возьмут под усиленный контроль оборот финансовых документов и данных о счетах клиентов. Для ритейлеров – информацию об остатках продукции, коммерческие предложения, сведения о поставщиках. Для производственников – техническую документацию. 

В «СёрчИнформ КИБ» более 250 готовых политик безопасности, которые подойдут разным компаниям. А если бизнесу нужна защита от какой-то специфической угрозы, наши эксперты бесплатно создадут политику под индивидуальный запрос.

Адаптируйте «под себя»

В неизмененном виде предустановленные политики не учитывают особенности конкретной компании. Поэтому система может выдавать ложноположительные срабатывания. 

Для примера: Стандартная политика по поиску игроманов будет считать инцидентом каждый случай, когда кто-нибудь из сотрудников употребит слово «ставка». Это отлично сработает, например, в металлургии – там в рабочем сленге этого слова нет, поэтому выше вероятность, что ставки обсуждают завсегдатаи букмекерских контор и казино. А в логистике, где есть термин «ставка фрахта» (цена на перевозку), или в банках с процентными ставками по вкладам и кредитам, политика будет выдавать слишком много ложных оповещений. 

Чтобы такого не произошло, стандартные политики нужно скорректировать с учетом тонкостей бизнес-процессов вашей компании. Вот что обязательно нужно сделать:

• Для политик по контролю переписок с внешними адресатами – задать в исключения («белый список») доменный адрес корпоративной почты, чтобы в поле зрения политики не попадала внутренняя переписка сотрудников. По умолчанию вместо него в настройках значится «@company.com».
• Для политик по контролю общения с конкурентами – задать «черный список» доменных адресов корпоративной почты нежелательных организаций. Тогда система автоматически оповестит обо всех входящих и исходящих письмах с этими адресами. 
• Для политик по поиску документов с грифами конфиденциальности – указать слова и аббревиатуры, которые применяются в компании для обозначения конфиденциальных документов. По умолчанию такой список в системе есть, но нужно убедиться, что там присутствуют все принятые в компании отметки. 
• Для политик по контролю пересылки базы данных сотрудников/клиентов – загрузить списки, которые будут служить образцом для поиска попыток слива баз полностью или по частям. В настройках таких политик предусмотрены разделы, куда нужно добавить эти данные, но по умолчанию они пусты. Без них политики работать не будут.
• Для политик по контролю лояльности, обсуждению руководителей – указать имена и прозвища руководства.
• Для политик по контролю посещения сайтов/использованию программ – задать исключения для разных групп сотрудников. Например, если обычный сотрудник ищет в интернете вакансии, система сочтет это инцидентом. Но для HR-специалистов посещать сайты по поиску работы – прямая обязанность. Чтобы не получать гору ложных оповещений, нужно занести отдел кадров в «белый список». 
• Для политик по поиску переписок с определенной тематикой – скорректировать словари «сигнальных» слов, чтобы исключить совпадения с профессиональными терминами и сленгом.

Ненужные вам политики можно отключить или удалить.

Наконец, нужно задать расписание, по которому будет проводиться проверка по политикам безопасности, и настроить режим оповещений. По критически важным политикам проверки должны проводиться часто, чтобы не пропустить инцидент.   

Избавьтесь от ложных сработок и «слепых зон»

После первоначальной настройки понаблюдайте за работой политики: насколько эффективно она «ловит» инциденты и какой выдает процент ложных оповещений. Если результат не устраивает, стоит скорректировать критерии политики или создать новые правила поиска нарушений. 

Чтобы сузить фронт работ для политики, нужно прописать в ее настройках дополнительные условия и способы поиска инцидентов. Критерии должны отвечать на вопросы, что, где и как искать. Например, ищем коммерческие предложения в личной почте сотрудников через «поиск похожих».

Способы поиска выбирают в зависимости от того, что нужно найти: 

• Фразовый поиск – позволяет искать как по отдельным словам, так и по фразам. И не только по точному совпадению, но и с учетом морфологии (изменений слова) и расстояния между словами внутри фразы.
• Поиск по словарю – позволяет искать документы и переписки с упоминанием конкретной тематики. Учитывает не только искомое слово, но и его синонимы в рамках заданной темы. Можно пользоваться предустановленными словарями или создать свои.
• Поиск по атрибутам – ищет информацию по параметрам, таким как имя учетной записи, имя компьютера, IP-адрес создателя документа/сообщения, формат файла, имя получателя или отправителя, и т.д. – в зависимости от того, по какому каналу эта информация передается.
• Поиск по регулярным выражениям – позволяет искать информацию, которая всегда записывается по определенным правилам. Такой инструмент полезен при поиске персональных данных, номеров телефона, номеров кредитных карт и т.д. Комбинированный поиск по регулярным выражениям позволяет находить сложные массивы данных, такие как клиентские базы или списки сотрудников. Для этого нужно задать несколько регулярных выражений, например, ФИО (два или три слова латиницей или кириллицей, разделенные пробелом, каждое с большой буквы) + номер телефона (в РФ – последовательность из 11 цифр) + email (буквы латиницей и/или цифры – символ «@» – буквы латиницей и/или цифры – буквы латиницей после точки).
• Поиск похожих – позволяет находить документы, похожие на оригинал не только «технически», но и по смыслу. Учитывается, что текст мог быть изменен, некоторые слова заменены, а некоторые написаны по-другому (например, 1 миллион долларов/1 млн. долл/$1 млн). При поиске нужно задать «эталон» – документ, с которым будут сравниваться все остальные, и процент схожести (релевантности), который позволит отфильтровать результаты.

Чтобы политика безопасности работала точнее, создайте сложный запрос. Тогда система будет анализировать перехват одновременно по нескольким условиям. Например, в DLP «СёрчИнформ КИБ» это выглядит так: 

Для примера: Служба безопасности ищет документы, похожие на анкету акционера (поиск похожих) во вложениях во всей почте, кроме корпоративной, в Skype, мессенджерах и соцсетях, а также среди документов объемнее 3-х страниц, которые отправляют на печать (6 разных поисков по атрибутам). Логику запроса задают с помощью операторов and, or, not. 

Чем больше тонкостей учитывает политика, тем «уже» ее поле зрения: число ложных сработок будет стремиться к нулю, но «отсев» может стать слишком избирательным. Поэтому важно не переборщить.

Ложных срабатываний точно не будет только по политикам, которые ищут однозначные происшествия. Например, политика по контролю копирования на съемные носители всегда будет выдавать четкий результат: пользователь либо загрузил файлы на флэшку, либо нет. Когда ищут инциденты, которые только указывают на нарушение, возможны промахи: обсуждать подарки в соцсети может и откатчик, и добропорядочный именинник. 

Анализируйте результаты 

Даже когда вы добьетесь оптимально комфортного для себя уровня ложных сработок, систему не получится «включить и забыть». ИБ-повестка постоянно меняется, могут появляться новые схемы мошенничества, новые каналы утечек информации. Наконец, сотрудники могут обнаружить пути обхода: например, поймут, что служба безопасности через DLP может просматривать даже удаленные сообщения в Skype, и уйдут в другой мессенджер. Поэтому придется держать руку на пульсе – адаптировать и создавать новые политики безопасности.

Для примера: Служба безопасности в ручном режиме просматривала отчеты DLP по отсылаемой сотрудниками почте. Обнаружили, что один из менеджеров отправил сам себе письмо с конфиденциальными документами. При этом у него был доступ к корпоративной почте с мобильного телефона. То есть в любой момент вне офиса он мог зайти в «отправленные» и выгрузить оттуда письмо с конфиденциальными вложениями – а это потенциально опасная ситуация. Чтобы контролировать такие риски, служба безопасности решила создать специальную политику по «письмам самому себе». 

Заключение

Добиться полного исключения ложных сработок и автономной работы DLP-систем, к сожалению, нельзя, потому что угрозы постоянно меняются. В то же время можно создать оптимальный уровень, который обеспечит полный контроль над ситуацией в организации.