Geekly articles weekly

Recommandations de sécurité des informations DLP et FSTEC: Parallels intersectants

Le 11 février 2014, le FSTEC de Russie a approuvé le document méthodologique «Mesures de sécurité de l'information dans les systèmes d'information de l'État». Ce document est utilisé pour «sélectionner et mettre en œuvre, par rapport aux informations non liées aux secrets d'État et contenues dans les systèmes d'information d'État (SIG), des mesures de protection visant à garantir la confidentialité, l'intégrité et l'accessibilité des informations». L'organisme de réglementation recommande l'utilisation de ce document pour protéger les informations dans les systèmes d'information SIG et non gouvernementaux, notamment pour garantir la sécurité des données personnelles.

Le document indique les mesures de protection des informations recommandées en référence à certaines classes de systèmes, tels que les outils d'authentification, les antivirus, les IDS / IPS, etc. Cependant, le régulateur n'indique pas directement la nécessité d'utiliser des systèmes de protection des données confidentielles contre les fuites (DLP). Cependant, ces systèmes permettent de répondre à des exigences telles que la confidentialité, l'intégrité des informations transmises par le système d'information, l'enregistrement des événements de sécurité, etc.

image

Alors, où peut-on trouver les points d'intersection de deux, à première vue, des phénomènes parallèles - la régulation et la protection contre les fuites? Détails sous la coupe.

Tout d'abord, disons quelques mots sur l'objectif des systèmes DLP. La mise en œuvre de DLP a les objectifs de base suivants:

  • PrĂ©vention des fuites d'informations confidentielles.
  • Collecte d'informations sur les incidents et les violations pour la formation de preuves en cas de transfert des affaires au tribunal.
  • Maintenir une archive des actions des utilisateurs et une analyse rĂ©trospective pour identifier les signes de fraude.

De nombreuses années d'expérience, nous pouvons dire qu'il existe de nombreuses tâches que les clients résolvent en utilisant DLP, jusqu'à la plus étroite et la plus spécifique. Nous les laisserons en dehors de la portée de ce matériel, ici nous considérerons les fondamentaux.

Malgré le fait que les systèmes DLP ne soient pas obligatoires pour l'utilisation de la protection des informations, les produits de cette classe sont en mesure de fournir les fonctionnalités nécessaires à la mise en œuvre d'un certain nombre de mesures recommandées par le FSTEC dans le document susmentionné.

Intégrité


Commençons par les principales recommandations pour assurer l'intégrité du système d'information et des informations (OTsL) données dans le document méthodologique FSTEC du 11 février 2014.
«OTSL.5 - Contrôle du contenu des informations transmises par le système d'information ( conteneur basé sur les propriétés de l'objet d'accès et contenu basé sur la recherche d'informations dont la transmission est interdite à l'aide de signatures, masques et autres méthodes), et exclusion du transfert illégal d'informations du système d'information ".
Quelles mesures le régulateur propose-t-il d'utiliser pour contrôler le contenu des informations, et lesquelles peuvent être mises en œuvre à l'aide de systèmes de protection contre les fuites?
Transfert illégal d'informations protégées . Détection des faits de transfert illégal d'informations protégées à partir d'un système d'information par le biais de divers types de connexions réseau, y compris les réseaux de communication publics et leur réponse.
Cette procédure est implémentée à l'aide de fonctionnalités divisées pour deux composants DLP, selon les canaux de communication utilisés:

  • La vĂ©rification des informations transmises via les protocoles http / https pour le transfert illĂ©gal de donnĂ©es protĂ©gĂ©es peut ĂŞtre effectuĂ©e Ă  l'aide des outils des systèmes de classe de proxy Web.
  • Pour analyser le trafic intranet lors de l'envoi de donnĂ©es Ă  partir d'un serveur proxy ou de routeurs, vous pouvez surveiller le transfert de fichiers et de messages via des protocoles de messagerie.
Enregistrement illégal sur un support amovible. Identification des faits de l'enregistrement illégal d'informations protégées sur des supports de stockage informatiques amovibles non comptabilisés et réponse à ces derniers.
L'agent DLP installé sur le poste de travail, en plus de surveiller les actions de l'utilisateur, analyse le contenu des fichiers et peut bloquer les tentatives de l'utilisateur de copier sur USB ou d'envoyer des documents confidentiels pour impression. Le fait que le lecteur USB soit connecté est enregistré sur l'agent; selon les résultats, le spécialiste de la sécurité des informations peut modifier la politique du système DLP en incluant ce lecteur dans les listes noires ou blanches.
Surveillance du stockage des informations protégées sur les serveurs et les postes de travail.
Identification des faits de stockage d'informations confidentielles sur les ressources réseau partagées (dossiers partagés, systèmes de workflow, bases de données, archives de messagerie et autres ressources).

image
Les mesures indiquées peuvent être implémentées à l'aide de la fonctionnalité d'analyse de stockage de fichiers, qui est implémentée avec des degrés de sophistication variables dans tous les systèmes DLP avancés. Cette fonctionnalité vous permet d'inventorier le contenu sur les stockages de fichiers / cloud et les disques durs locaux et les archives de messagerie.

L'analyse des stockages de fichiers révèle des données sensibles et des violations des règles de leur stockage à l'aide des mécanismes suivants (la liste peut varier selon le système):

  • Analyse des nĹ“uds du rĂ©seau local, des fichiers publics et des stockages cloud.
  • Analyse des serveurs de messagerie pour analyser l'archive des e-mails.
  • Analyse des archives de clichĂ©s instantanĂ©s.
  • Contrer activement les violations des règles de stockage des donnĂ©es protĂ©gĂ©es (dĂ©placer des informations confidentielles illĂ©gitimes vers un stockage de quarantaine, les remplacer par un fichier de notification, copier un spĂ©cialiste de la sĂ©curitĂ© des informations sur un poste de travail, etc.).
  • Classification automatique des donnĂ©es d'entreprise en fonction des paramètres de stratĂ©gie.
  • Suivi de la diffusion des informations au sein de l'entreprise et identification des lieux de stockage incohĂ©rent des donnĂ©es critiques.

En outre, les exigences pour renforcer cette mesure comprennent le blocage du transfert d'informations de l'IP avec un contenu inapproprié. Presque tous les systèmes DLP vous permettent de répondre à ces exigences sur différents canaux de communication - des messages électroniques à la copie sur une clé USB.

Journalisation des événements de sécurité


Le deuxième bloc important de recommandations du FSTEC sur la protection des informations est l' enregistrement des événements de sécurité - RSS. Bien entendu, avant de se lancer dans ces mesures, l'organisation doit catégoriser tous les actifs d'information (ressources). Après cela, il devient possible d'effectuer les mesures suivantes:
Déterminer la composition et le contenu des informations sur les événements de sécurité à enregistrer.
Collecte, enregistrement et stockage d'informations sur les événements de sécurité pendant la durée de stockage principale.
Surveiller (visualiser, analyser) les résultats de l'enregistrement des événements de sécurité et y répondre.
image

Toutes les solutions DLP ne peuvent pas afficher le fait et l'heure de l'authentification des utilisateurs dans les systèmes d'information, ainsi que des informations sur les droits accordés aux utilisateurs. Mais la plupart d'entre eux vous permettent de configurer l'interdiction de lancement de certaines applications et de contrôler les actions des utilisateurs lorsqu'ils travaillent dans différents systèmes d'information. Dans les systèmes DLP avancés, en règle générale, une gradation étendue des événements en termes de niveau de criticité est mise en œuvre, jusqu'à 4-5 niveaux. Il est très pratique pour profiler des événements, générer des rapports et collecter des statistiques. Après avoir analysé ces événements, un spécialiste de la sécurité des informations travaillant avec le système décide si un incident de sécurité des informations s'est produit.

En stockant tous les événements dans la base de données du système DLP, lors de la mise à jour des politiques, vous pouvez effectuer une analyse et une enquête rétrospectives.

Protection de la propriété intellectuelle, de ses moyens et systèmes de communication et de transmission de données


Revenons aux objectifs de base des systèmes DLP. À la suite d'une réflexion mature, il devient évident que non seulement la capacité de collecter et de consolider divers types de journaux est importante pour leur réalisation, mais également la protection des données accumulées pendant leur transmission / traitement et stockage. En fait, nous parlons du concept même de non-répudiation lors de la création, de l'envoi et de la réception d'informations dont nous avons parlé en détail dans l'article précédent. Vous pouvez aborder cette mesure sous différents angles. Les implémentations de certains systèmes DLP impliquent l'utilisation uniquement de SZI et CPSI commerciaux supplémentaires pour garantir la "non-répudiation". D'autres vous permettent d'utiliser les fonctionnalités standard du système d'exploitation. Considérez ce sur quoi vous pouvez compter, par exemple, dans le système d'exploitation CentOS et la base de données PostgreSQL:

  • Chiffrement de volume par secteurs intĂ©grĂ© au cĹ“ur du système d'exploitation DM_Crypt.
  • Cryptage de la base de donnĂ©es - le module pgcrypto (cryptage des tables et des lignes de la base de donnĂ©es elle-mĂŞme, qui permet, entre autres, de renforcer la protection contre les utilisateurs privilĂ©giĂ©s, y compris le personnel informatique).
  • CrĂ©ation d'une connexion sĂ©curisĂ©e dans le cluster entre la base de donnĂ©es "pg_hba.conf".
  • Protection de la connexion client-serveur - en fait, TLS 1.2 et supĂ©rieur est requis.

Malgré le fait que le FSTEC ne réglemente pas l'utilisation de moyens de protection cryptographiques, il est également considéré comme conseillé d'utiliser le cryptage pour protéger le système d'information, ses moyens et systèmes de communication et de transmission de données (VMS) afin que le système DLP lui-même ne devienne pas entre les mains d'un personnel informatique compétent. fuite d'informations exclusives. Étant donné que les outils ci-dessus sont des composants du système d'exploitation et des logiciels associés, l'exemple ci-dessus est de nature privée. Cependant, dans tous les cas, si nécessaire, vous pouvez toujours trouver une alternative open source / gratuite aux moyens commerciaux existants de protection des informations cryptographiques. Mais ici se pose immédiatement la question de la certification de ces solutions, et c'est un sujet de conversation séparé.

Dans notre prochain article, nous parlerons de l'applicabilité des principaux systèmes DLP dans les modules de composants aux recommandations de la norme américaine NIST US.

Source: https://habr.com/ru/post/fr446908/

More articles:


All Articles