А вы уже просмотрели список своих заказов в сервисах доставки на карте? Проверьте, это интересно. Ссылочку по понятным причинам не даем – сами найдете. Там много интересного: и зарегистрированные на вас автомобили, и посылки на ваше имя и список роллов и суши, которые вы предпочитаете, и даже общая сумма, потраченная вами на заказ еды в любимом ресторане. При желании можно составить настоящий портрет потребителя.

Утечки из самых разных сервисов стали уже настолько частыми, что мы перестали удивляться. Доставка, телеком-оператор, почтовая служба или государственные органы, – все они периодически снабжают хакеров самыми разными данными. В сообщениях новостей фигурируют базы данных с тысячами и миллионами строк записей.

Между тем, даже такая объемная база – всего лишь файл с электронной таблицей на сотню-другую мегабайт. Его можно запросто записать на флешку, отправить по электронной почте или выложить в общедоступное облако. Что периодически и происходит. Иногда – преднамеренно («обиженный сисадмин»), а чаще – просто по незнанию или из-за безалаберности рядового пользователя.

Под угрозой – не только сервисы, которые аккумулируют данные своих пользователей. Они только наглядный пример. Свои секреты есть у каждой компании, и все они в один прекрасный момент могут утечь. И виноваты будут не только хакеры (хотя они, конечно, всеми силами пытаются получить доступ к конфиденциальной информации), но и пользователи, которые стали жертвами фишинга, не разобрались с почтой или хранилищем. Или, что тоже нельзя исключать, намеренно «сливают» информацию конкурентам или преступникам.

Чем активнее занимаются ловлей пользователей хакеры и чем интенсивнее их атаки – тем выше вероятность утечки. Реагировать на нее часто уже поздно. Компрометацию информации необходимо предотвращать. И для этого существует класс специализированных решений – DLP-системы.

DLP и InfoWatch

Существует несколько вариантов расшифровки аббревиатуры DLP, которые отличаются деталями, но вполне точно излагают суть. Data Loss Prevention, Data Leakage Protection, иными словами – защита от утечек информации.

Этот класс решений существует уже давно. Ведущие игроки рынка хорошо известны – Symantec, Falcongaze, Zecurion. Мы же поговорим о DLP-решении от InfoWatch – российской компании, которая стала не просто одним из лидеров мирового рынка, но и «законодателем мод». 

Она возникла в начале 2000-х как часть группы «Лаборатория Касперского», а в 2007 году стала самостоятельной и с того времени специализируется на разработке корпоративных решений в области информационной безопасности. При этом основное направление деятельности InfoWatch – развитие собственного DLP-решения, InfoWatch Traffic Monitor.

Какие задачи решает InfoWatch Traffic Monitor

Главная задача, для решения которой предназначен InfoWatch Traffic Monitor – контроль за распространением информации как внутри компании, так и за ее пределами. Это – важная оговорка. Решение работает не только в пределах информационного контура организации, но и ведет мониторинг действий сотрудников, выведенных на удаленку, использующих личные устройства и облачную инфраструктуру.

Если система детектирует попытку утечки конфиденциальной информации, то она блокирует ее передачу или пересылку. Это же, к слову, касается и персональных данных. Работа с ними – важная возможность Traffic Monitor, многие аналогичные системы не справляются с ними.

Еще одна задача, которая решается решением – обработка инцидентов. Traffic Monitor позволяет вести их расследование, собирать доказательства, в том числе и юридически значимые, выявлять нарушения, допущенные сотрудниками, определять мошеннические схемы и даже проводить поведенческий анализ, прогнозируя возможные ИБ-риски.

Контролируемые каналы

Список возможных для контроля при помощи Traffic Monitor коммуникационных каналов весьма широк. Прежде всего, это традиционные корпоративные средства, – электронная почта и протоколы SMTP / ESMTP, MIME / S/MIME, POP3, IMAP4, IBM Domino. Здесь же – всевозможные веб-ресурсы, включая http и ftp, блоги и форумы, социальные сети, облачные хранилища и т. п.

Еще один контролируемый канал – мессенджеры. Решение работает с WhatsApp, Telegram, мессенджерами социальных сетей, Skype – практически всеми распространенными IM-сервисами. Мониторится и распространение информации в самих социальных сетях, как российских, так и иностранных. Контролирует Traffic Monitor и всевозможные облачные хранилища. 

В их списке есть и OneDrive, и Dropbox, и сервисы от Яндекса, Google или VK. Если необходимого облачного хранилища в списке нет, то по заказу клиента InfoWatch организует его поддержку за несколько дней.

Еще одна категория каналов, подвергающихся мониторингу – ВКС-сервисы. Это – Zoom, Webex, Teams, TeamViewer и множество других.

И, конечно, обязательному контролю подлежат собственные ресурсы компании, начиная от Exchange-сервера и до внутренних файловых хранилищ, рабочих станций или ftp-ресурсов.

InfoWatch Traffic Monitor поддерживает каналы передачи информации даже для случаев, когда компания пользуется проприетарными приложениями. Для этого разработан открытый API и возможность не только перехватывать такой трафик, но и формировать политики с учетом ИТ-инфраструктуры конкретной компании.

Фишки InfoWatch Traffic Monitor

Мы не станем подробно рассказывать о том, как Traffic Monitor контролирует каналы утечек корпоративной информации и предотвращает их. Решение использует очень сложные механизмы. Достаточно сказать, что за сбор информации «отвечают» агенты, развернутые на всех конечных точках, а за ее анализ – модули системы, осуществляющие анализ данных, мониторинг активности пользователей, визуальный анализ данных самой системы в режиме реального времени и предиктивный (то есть предсказательный) анализ трафика.

Куда интересней специфические возможности Traffic Monitor, которые он использует в своей работе. В первую очередь это – контент-анализ информационных потоков. DLP-система способна превратить работу сотрудников в сущий ад: каждое их действие будет анализироваться. Это – не только потеря эффективности, но и настоящий удар по лояльности персонала, – мало кому понравится откровенная слежка за каждым шагом, тем более что подавляющее большинство работников честно выполняют свои обязанности. 

Для того, чтобы предотвратить эти нежелательные последствия, но, тем не менее, сохранить контроль за данными, Traffic Monitor и ведет контент-анализ передаваемых данных.

Система «ловит» сложные текстовые и графические блоки информации, причем даже тогда, когда злоумышленник намеренно зашифровал иди видоизменил их – и поднимает тревогу только в том случае, если ситуация действительно угрожает безопасности. В результате и система застрахована от многочисленных ложных срабатываний, и сотрудники организации не ощущают постоянной и назойливой слежки за своими действиями.

Значительная часть активности сотрудников приходится на корпоративные информационные системы, – ERP, CRM, СЭД. Именно из них, к слову, и утекает чаще всего конфиденциальная информация. Поэтому еще одна фишка InfoWatch Traffic Monitor – возможность интеграции с бизнес-приложениями и контроль их использования. 

При этом система автоматически актуализирует те данные, которые нуждаются в защите, а кроме того, предоставляет всю необходимую информацию в SIEM-систему предприятия и офицерам безопасности.