Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №1 » 307 просмотров

Клиентские данные под огнем инсайда. Борьба с переменным успехом?

Почему банки до сих пор не добились впечатляющих успехов в борьбе с инсайдерскими утечками информации?
Ашот Оганесян, основатель и технический директор DeviceLock

Утечки персональных и финансовых данных весь 2019 год претендовали на звание если не самой серьезной, то как минимум одной из важнейших проблем российских банков – 17-кратный рост социальных атак и 2,5 млн жалоб только клиентов Сбербанка на телефонных мошенников, скандалы и репутационные потери при обнаружении в продаже сотен тысяч записей из клиентских баз крупнейших банков, десятки предложений по «пробиву» любых данных в любом банке. Черный рынок данных существовал всегда, но раньше он «обслуживал» небольшое число более сложных преступлений – крупные мошенничества, рейдерство и т. д. Преступления эти случались нечасто и не слишком беспокоили службы безопасности. Однако развитие цифровых услуг и в первую очередь интернет- и мобильного банкинга вызвало появление целой отрасли связанного с этим мошенничества – фишинга, взлома систем двухфакторной идентификации (2FA) и, конечно же, телефонных атак с использованием методов социальной инженерии. Все это резко подняло спрос на банковские данные и кардинально изменило ситуацию – теперь практически каждый линейный сотрудник банка является потенциальным инсайдером. На «пробиве» и продаже выгрузок из баз данных он всегда заработает в разы больше своей зарплаты.

Банки вроде бы ведут борьбу с инсайдерскими утечками информации, но без особого успеха – количество попыток хищений только растет, а сами клиентские данные продолжают перманентно появляться на черном рынке. Можно было бы сказать, что защита – дело дорогое, но продажа баз и «пробив» клиентов крупнейших банков показывают, что в случае инсайдерских хищений данных объем инвестиций в безопасность не играет большой роли.

DLP-системы – разница в подходах

В чем же проблема? Все банки используют DLP-системы, но у кого-то данные «текут» полноводной рекой, а кому-то все же удается сдерживать хищения. Мы не говорим о крайностях, когда DLP-система приобретается «для отчетности» и просто не инсталлируется или устанавливается «не везде», хотя такое случается чаще, чем можно представить. Однако значительная разница в эффективности происходит еще и от того, что разные решения имеют разные концепции обеспечения безопасности и даже по-разному конфигурируются, исходя из понимания службой информационной безопасности своих задач.

Первое отличие – концепция контроля. Некоторые системы построены на перехвате и анализе трафика (например, InfoWatch Traffic Monitor, DeviceLock EtherSensor, Forcepoint), а другие – на анализе обрабатываемого контента, который выполняется с помощью локальных агентов (например, DeviceLock DLP, Symantec DLP, McAfee DLP). Минусы агентов многократно обсуждались – это необходимость инсталляции и дополнительная нагрузка на машину, где этот агент выполняется. Однако плюс тоже крайне существен – с появлением практически в любом сервисе сквозного шифрования чистый контроль трафика стал практически бесполезен. Ваша «маленькая корпоративная Яровая» может полностью заблокировать доступ к ресурсу или протоколу, но никогда не поймет, что именно передается. А это означает, что достичь более или менее высокой надежности такой защиты можно, только полностью отключив доступ за пределы корпоративной сети. Причем любой, включая почту! Агенты же мониторят любой поступающий в программы контент (клавиатурный ввод, чтение файлов, работу с буфером обмена) и могут перехватить критичные данные до того, как они будут зашифрованы и переданы.

В 70% инсайдерских утечек из тех, по которым проводились расследования, в логах DLP-систем обнаруживается подозрительная активность похитителя

Второе отличие – механизм реагирования на утечки. Часть систем защиты может только мониторить нарушения, но не блокировать их. Всю дальнейшую работу должны выполнить операторы, а именно с этим существует проблема. Во-первых, служба информационной безопасности чисто технически может не успевать прореагировать на инцидент в удаленном офисе, куда для беседы с подозрительным сотрудником нужно ехать. Во-вторых, в любом крупном банке количество данных всегда растет темпами, опережающими рост штата подразделения, которое должно эти данные обрабатывать. В результате, по данным наших исследований, в 70% инсайдерских утечек из тех, по которым проводились расследования, в логах DLP-систем обнаруживается подозрительная активность похитителя, на которую нужно было прореагировать. Правда, почти в 20% случаев похититель за время, прошедшее с момента похищения данных, уже успевает уволиться.

Сами производители таких «систем наблюдения» (назвать их DLP-системами было бы методически неверно в силу отсутствия в них самого важного компонента: «P» – Prevention, или «Предотвращение») оправдываются тем, что якобы запреты мешают бизнес-процессам. На самом деле причина в том, что

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных