Розслідування витоку інформації

372

Що таке розслідування витоку інформації? Навіщо потрібні розслідування? Як ставитися до їх результатів і для чого їх використовувати? Відповідаючи на ці питання в різному оточенні, можна прийти до різних відповідей.
Якщо абстрагуватися від очевидної відповіді про цінності критичною бізнес-інформації, втрата якої може призвести до фінансових і репутаційних втрат або навіть до повного краху бізнесу, і порівняти російські реалії з реаліями передових в області захисту даних західних держав, суттєві відмінності.
Західна законодавча практика в обов’язковому порядку карає витік інформації, не пред’являючи, в переважній більшості випадків, обов’язкових критеріїв до порядку захисту даних. Таким чином, бізнес, самостійно визначаючи необхідний рівень захисту тих чи інших даних, турбується про захист від витоків даних і використовує розслідування витоків інформації, по-перше, для визначення винних та застосування відповідних санкцій до них, по-друге, для прийняття рішення про необхідність тих чи інших змін у системі захисту інформації.
Вітчизняне законодавство, навпаки, формулює вимоги до порядку захисту інформації і ступінь покарання за невідповідність процесу, побудованого в організаціях, цим вимогам. Самі витоку інформації при цьому в загальному випадку не є караними.
Така ситуація забезпечує спокій тим, хто відповідає за захист інформації: побудував систему у відповідності з вимогами — і живи розкошуючи. При цьому вдумливий підхід до збору та аналізу даних в процесі розслідувань витоків інформації відкриває найширші (навіть з правом на помилку) можливості для ефективного «тюнінгу» системи захисту інформації та запобігання витоків у майбутньому.
Починати розслідування витоку необхідно після визначення факту витоку, що часто, зважаючи на складність виявлення потенційної загрози, відбувається вже після витоку даних. Однак, щоб розслідування було максимально швидкоплинним, ефективним і дозволило сформулювати правильні рекомендації щодо змін у системі захисту інформації, підготовку до розслідування витоків варто почати завчасно.
Важливим елементом підготовки до розслідування неминучих витоків інформації, є впровадження рішень DLP і SIEM. Незважаючи на те, що ці рішення не створювалися безпосередньо для розслідування інцидентів, дані, зібрані в процесі їх роботи, як ніколи можуть бути корисні саме при розслідуванні витоків інформації.
Рішення DLP (Data Leak / Loss Prevention) створені для автоматизації процесу виявлення небажаних подій з критичними даними через аналіз потоків інформації. При налаштуванні рішення критичним даними приписуються певні критерії, відповідно з якими DLP зможе розпізнати потенційну витік. DLP також оперує поняттям «ймовірність», яке визначає, що будь-яка подія з деякою ймовірністю може бути витоком. Користувач системи самостійно визначає поріг спрацьовування (ймовірність), при якому подія вважається витоком. При настанні такої події з критичними даними система автоматично сигналізує про факт або загрозу витоку.
Рішення SIEM (Security Information and Event Management) створені для виявлення небажаних подій на будь-якому рівні інформаційної інфраструктури: будь то мережеві вторгнення, вірусні епідемії, спроби несанкціонованого доступу, збої в роботі систем, помилки конфігурацій, консолідації та зберігання журналів подій від різних джерел — наприклад, клієнтських систем, серверів, мережевих пристроїв, додатків, систем контролю доступу та ін. Передбачається, що запобігання можливо у випадку оперативного реагування на сигнали SOS», подаються рішенням SIEM. Останнє, для своєчасної подачі сигналів тривоги, консолідує і зберігає журнали подій, надає інструменти для аналізу подій; забезпечує кореляцію та обробку подій за заданими правилами; інформує про критичні події.
Фіксація фактів витоків або загроз інформаційної безпеки, своєчасне інформування про них, надання відправної точки для початку розслідування — вже достатні причини для впровадження рішень DLP і SIEM. Однак якщо ми розглядаємо процес розслідування витоку не тільки як каральний захід, але і як можливість модернізації системи захисту, то це далеко не найголовніші достоїнства описаних рішень.
Інформація, яку збирають DLP і SIEM в процесі роботи, — джерело для дослідника механізму витоків, їх класифікації та визначення способів протидії подібним інцидентам у майбутньому. У цих даних криється найбільший потенціал для організації повноцінних розслідувань, результатом яких стануть рекомендації щодо модернізації системи захисту критичних даних організації.
Технік і методик розслідування безліч. Багато в чому успіх розслідування залежить від майстерності і винахідливості осіб, які беруть участь у розслідуванні. Безумовно, необхідно глибоке знання інформаційних технологій, розуміння психології зловмисників, вміння будувати складні гіпотези. З іншого боку, незалежно від того, як налагоджений процес розслідування, вирішальним фактором є наявність вихідних даних для розслідування. Якщо слідів зловмисника немає, то будувати процедуру розслідування стає просто не на чому. Саме для цих цілей необхідно активне застосування рішень, призначених для збору, аналізу, кореляції подій безпеки, а також інструментів для аналізу вихідного вмісту.