Решение Imperva «File Activity Monitoring» - друг и помощник Вашей DLP-системы

Прошло около десяти лет с появления первых образцов и решения класса Data Loss (Leak) Prevention (система защиты от утечек, DLP) для многих компаний стали обязательным компонентом построения систем ИБ. Корпоративный сегмент традиционно отдаёт предпочтение коммерческим продуктам, в то время как средний и малый бизнес пытается применять то, на что хватает средств и опыта.

Казалось бы, такой уровень зрелости отрасли не может не радовать, но год от года количество утечек не только не снижается, а, наоборот – увеличивается, что подверждает целый ряд исследований. Так, известный российский производитель DLP-систем, компания Infowatch, в своем исследовании утечек за 2012 год говорит о 16%-ном росте общего числа инцидентов по сравнению с 2011 годом.
 

Рис. 1 Статистика по количеству утечек в 2006-2012 гг., Infowatch
 
Более тревожные цифры приводят западные агентства – по статистике специализированного ресурса рост числа утечек в 2012 году составил почти 50%.
 

Рис. 2 Статистика по количеству утечек в 2004-2013 гг., www.datalossdb.org 
 
Во многом такой рост объясняется большей открытостью компаний, публикующих данные об утечках. Приведенные цифры, конечно же, не отражают полную картину происходящего, но тем не менее наглядно показывают, что проблема до сих пор не решена и продолжает набирать обороты. Давайте разберемся почему это происходит, какие изменения мы можем наблюдать в характере и источниках утечек и что стоит предпринять для сокращения рисков в собственной организации. 

Эволюция утечек. 

Долгое время аналитики утверждали, что большинство инцидентов являются случайными (неумышленными), что подтверждается множественными исследованиями по утечкам данных за 2006-2010 гг. При этом целый ряд производителей DLP-решений открыто завляет, что их продукты действительно помогают остановить случайные утечки, но практически бесполезны против целенаправленного инсайда.
 
Объяснение кроется в самой природе DLP-решений  – это системы контроля распространения информации с конечных устройств пользователей, но не системы защиты доступа к этой информации в месте ее хранения (файловые сервера\СУБД). То есть DLP-решения защищают информацию тогда, когда пользователь уже получил к ней доступ, предотвращая дальнейшую (непреднамеренную) передачу.
 
Я не хочу преуменьшить значимость систем DLP, тем более что эффективность их использования большинство компаний осознает ещё на этапе тестирования, выявляя нарушителей. Именно активное внедрение этих систем в корпоративном сегменте привело нас к тем показателям, что мы имеем сейчас,  – существенно уменьшился процент случайных утечек, при том, что общее число инцидентов продолжает неизменно расти.
 

Рис. 3 Соотношение числа умышленных и случайных утечек, Infowatch
 
Что характерно, по данным ежегодного аналитического отчета 2013 Data Breach Investigations Report от компании Verizon, в 2012 году в 92% случаев в утечке были замешаны посторонние лица, не сотруднии компании.
 

Рис. 4 Соотношение числа внешних и внутренних источников утечек, Verizon
 
При этом в 52% случаев использовались хакерские инструменты, в 76% случаев утечка данных происходила в следствие слабой парольной политики или компрометации учетных данных сотрудников организации. Единственный логичный вывод отсюда – количество умышленных утечек будет только увеличиваться, а значит компаниям нужно приготовиться к новым проблемам. 

Дополните свой арсенал решениями класса File Activity Monitoring. 

Раз число умышленных утечек будет расти, то необходимо обезопасить также сами информационные хранилища, на которые, вероятнее всего, будут охотиться злоумышленники. Традиционные способы аудита доступа к файлам и управления правами пользователей зачастую не удовлетворяет потребностям заказчиков. Инструменты сторонних производителей и другие широко распространенные решения, например пользовательские группы директорий и встроенные в ОС механизмы аудита, не соответствуют высоким темпам роста информационных систем  и неструктурированных данных.
 
Продукты класса File Activity Monitoring\File Security обеспечивают мониторинг, аудит и защиту файлов, хранимых на файловых серверах и сетевых хранилищах, а также контроль прав доступа пользователей. Эти решения позволяют осуществлять аудит доступа к файлам с целью выявления владельцев и пользователей, непосредственно с ними работающих. Они обеспечивают безопасность уязвимых данных, хранимых в файлах, путем генерации оповещений и опционально могут блокировать любые попытки неавторизованного доступа. Они способствуют оперативному проведению расследований инцидентов путем генерации достоверных и релевантных отчетов и оценок.
 
На рынке существует всего несколько вендоров, производящих решения класса File Security, и одним из лидеров этой ниши является Imperva. Устройства Imperva SecureSphere осуществляют непрерывный мониторинг и аудит всех операций с файлами в реальном времени без снижения производительности и доступности файловых серверов. Устройства SecureSphere создают детализированный отчет, который включает имена пользователей, файлов, папок, время доступа, наименование операции и другие параметры. Журнал аудита хранится на внешнем и защищенном репозитории, доступ к которому предоставляется только на чтение и на ролевой основе.
 

Рис. 5 Программно-аппаратные комплексы Imperva SecureSphere
 
Устройства SecureSphere обладают интерактивным инструментарием для проведения аудита с визуализацией действий пользователей и их прав доступа к файлам. Специалисты служб безопасности и аудиторы могут использовать этот инструментарий для определения поведенческих трендов, сигнатур и рисков, ассоциированных с действиями пользователей и их правами доступа к файлам. Благодаря многомерным таблицами просмотра данных аудита (views), обновляющимся в масштабе времени близком к реальному, упрощается расследование инцидентов и повышается их точность и достоверность.
 
Устройства Imperva SecureSphere обладают богатыми возможностями для создания графических отчетов, позволяющих оценивать риски и документировать все события в соответствии с требованиями стандартов безопасности SOX, PCI, HIPAA и другими. Все отчеты полностью настраиваемы и могут быть сгенерированы по требованию или по расписанию. Основная панель (Dashboard) отображает события безопасности и информацию о состоянии устройства. Внутренняя система отчетности устройств Imperva SecureSphere позволяет с высокой скоростью оценивать показатели защищенности и соответствия требованиям стандартов безопасности, а так же осуществлять контроль прав доступа пользователей к файлам.
 

Рис. 6 Наглядная графическая отчетность, предоставляемая решением Imperva File Security
 
В заключение отмечу, что устройства SecureSphere обладают отличными возможностями для проведения аудита доступа к файлам и управление правами доступа пользователей, которые позволяют реализовать соответствие требованиям стандартов безопасности, в том числе ФЗ-152, обеспечить высокий уровень защиты и упростить выполнение административных операций. Решения File Security интегрируются с большим числом производителей DLP-систем, таких как – RSA, Websense, Symantec, McAfee, Code Green и др. Также реализована интеграция с большинством современных SIEM-систем. Устройства Imperva SecureSphere удовлетворяют требованиям заказчиков любого масштаба: от небольших организаций с одним файловым сервером до крупных предприятий с географически распределенными дата-центрами.

Источник: Information Security
Автор: Александр Шахлевич