Расследование утечек информации на прАвах рекламы Что такое расследование утечек информации? Зачем нужны расследования? Как относиться к их результатам и для чего их использовать? Отвечая на эти вопросы в разном окружении, можно прийти к разным ответам. Если абстрагироваться от очевидного ответа о ценности критичной бизнес-информации, утрата которой может привести к финансовым и репутационным потерям или даже к полному краху бизнеса, и сравнить российские реалии с реалиями передовых в области защиты данных западных держав, налицо существенные различия. Западная законодательная практика в обязательном порядке карает утечку информации, не предъявляя, в подавляющем большинстве случаев, обязательных критериев к порядку защиты данных. Таким образом, бизнес, самостоятельно определяя необходимый уровень защиты тех или иных данных, беспокоится о защите от утечек данных и использует расследования утечек информации, во-первых, для определения виновных и применимости соответствующих санкций к ним, во-вторых, для принятия решения о необходимости тех или иных изменений в системе защиты информации. Отечественное законодательство, напротив, формулирует требования к порядку защиты информации и степень наказания за несоответствие процесса, выстроенного в организациях, этим требованиям. Сами утечки информации при этом в общем случае не являются наказуемыми. Такая ситуация обеспечивает спокойствие тем, кто отвечает за защиту информации: построил систему в соответствии с требованиями — и живи припеваючи. При этом вдумчивый подход к сбору и анализу данных в процессе расследований утечек информации открывает широчайшие (даже с правом на ошибку) возможности для эффективного «тюнинга» системы защиты информации и предотвращения утечек в будущем. Начинать расследование утечки необходимо после определения факта утечки, что зачастую, ввиду сложности выявления потенциальной угрозы, происходит уже после утечки данных. Однако, чтобы расследование было максимально скоротечным, эффективным и позволило сформулировать правильные рекомендации по изменениям в системе защиты информации, подготовку к расследованию утечек стоит начать заблаговременно. Важным элементом подготовки к расследованию неизбежных утечек информации, является внедрение решений DLP и SIEM. Несмотря на то что эти решения не создавались непосредственно для расследования инцидентов, данные, собираемые в процессе их работы, как никогда могут быть полезны именно при расследовании утечек информации. Решения DLP (Data Leak / Loss Prevention) созданы для автоматизации процесса обнаружения нежелательных событий с критичными данными через анализ потоков информации. При настройке решения критичным данным приписываются определенные критерии, в соответствии с которыми DLP сможет распознать потенциальную утечку. DLP также оперирует понятием «вероятность», которое определяет, что любое событие с некоторой вероятностью может быть утечкой. Пользователь системы самостоятельно определяет порог срабатывания (вероятность), при котором событие считается утечкой. При наступлении такого события с критичными данными система автоматически сигнализирует о факте или угрозе утечки. Решения SIEM (Security Information and Event Management) созданы для выявления нежелательных событий на любом уровне информационной инфраструктуры: будь то сетевые вторжения, вирусные эпидемии, попытки несанкционированного доступа, сбои в работе систем, ошибки конфигураций, консолидации и хранения журналов событий от различных источников — например, клиентских систем, серверов, сетевых устройств, приложений, систем контроля доступа и пр. Предполагается, что предотвращение воз- Джабраил Матиев, руководитель отдела информационной безопасности IBS Platformix можно в случае оперативного реагирования на «сигналы SOS», подаваемые решением SIEM. Последнее, для своевременной подачи сигналов тревоги, консолидирует и хранит журналы событий, предоставляет инструменты для анализа событий; обеспечивает корреляцию и обработку событий по заданным правилам; информирует о критичных событиях. Фиксация фактов утечек или угроз информационной безопасности, своевременное информирование о них, предоставление отправной точки для начала расследования — уже достаточные причины для внедрения решений DLP и SIEM. Однако если мы рассматриваем процесс расследования утечки не только как карательное мероприятие, но и как возможность модернизации системы защиты, то это далеко не самые главные достоинства описанных решений. Информация, которую собирают DLP и SIEM в процессе работы, — кладезь для исследователя механизма утечек, их классификации и определения способов противодействия подобным инцидентам в будущем. В этих данных кроется наибольший потенциал для организации полноценных расследований, результатом которых станут рекомендации по модернизации системы защиты критичных данных организации. Техник и методик расследования множество. Во многом успех расследования зависит от мастерства и смекалки лиц, участвующих в расследовании. Безусловно, необходимо глубокое знание информационных технологий, понимание психологии злоумышленников, умение строить сложные гипотезы. С другой стороны, независимо от того, как отлажен процесс расследования, решающим фактором является наличие исходных данных для расследования. Если следов злоумышленника нет, то строить процедуру расследования становится просто не на чем. Именно для этих целей необходимо активное применение решений, предназначенных для сбора, анализа, корреляции событий безопасности, а также инструментов для анализа исходящего контента.