Em 11 de fevereiro de 2014, o FSTEC da Rússia aprovou o documento metodológico “Medidas de segurança da informação nos sistemas de informação do estado”. Este documento é usado para “selecionar e implementar, em relação a informações não relacionadas a segredos de estado e contidas em sistemas de informação do estado (SIG), medidas de proteção destinadas a garantir confidencialidade, integridade e acessibilidade das informações”. O regulador recomenda o uso deste documento para proteger as informações nos sistemas de informações GIS e não governamentais, inclusive para garantir a segurança dos dados pessoais.
O documento indica as medidas recomendadas de proteção de informações com referência a determinadas classes de sistemas, por exemplo, como ferramentas de autenticação, antivírus, IDS / IPS, etc. No entanto, o regulador não indica diretamente a necessidade de usar sistemas de proteção de dados confidenciais contra vazamentos (DLP). No entanto, esses sistemas permitem o cumprimento de requisitos como garantia de confidencialidade, integridade das informações transmitidas pelo sistema de informações, registro de eventos de segurança etc.
Então, onde podemos encontrar os pontos de interseção de dois fenômenos paralelos - reguladores e proteção contra vazamentos à primeira vista? Detalhes sob o corte.
Primeiro, digamos algumas palavras sobre o objetivo dos sistemas DLP. A implementação do DLP tem os seguintes objetivos básicos:
- Prevenção de vazamento de informações confidenciais.
- Coleta de informações sobre incidentes e violações para a formação de provas no caso de transferência de casos para o tribunal.
- Manter um arquivo de ações do usuário e uma análise retrospectiva para identificar sinais de fraude.
Com muitos anos de experiência, podemos dizer que existem muitas tarefas que os clientes resolvem usando o DLP, até as mais restritas e específicas. Vamos deixá-los fora do escopo deste material, aqui vamos considerar os fundamentais.
Apesar de os sistemas DLP não serem obrigatórios para o uso da proteção de informações, os produtos dessa classe são capazes de fornecer a funcionalidade necessária para a implementação de várias medidas recomendadas pelo FSTEC no documento mencionado acima.
Integridade
Vamos começar com as principais recomendações para garantir a integridade do sistema de informações e informações (OTsL) fornecidas no documento metodológico do FSTEC de 11 de fevereiro de 2014.
“OTSL.5 - Controle do conteúdo das informações transmitidas do sistema de informações ( contêiner com base nas propriedades do objeto de acesso e conteúdo com base na busca de informações que são proibidas de serem transmitidas usando assinaturas, máscaras e outros métodos) e exclusão de transferência ilegal de informações do sistema de informações "
Que medidas o regulador propõe usar para controlar o conteúdo das informações e quais delas podem ser implementadas usando sistemas de proteção contra vazamentos?
Transferência ilegal de informações protegidas . Detecção de fatos de transferência ilegal de informações protegidas de um sistema de informações através de vários tipos de conexões de rede, incluindo redes de comunicação pública e resposta a elas.
Este procedimento é implementado usando a funcionalidade dividida para dois componentes DLP, dependendo dos canais de comunicação utilizados:
- A verificação das informações transmitidas via protocolos http / https para a transferência ilegal de dados protegidos pode ser realizada usando as ferramentas dos sistemas de classe de proxy da web.
- Para analisar o tráfego da intranet ao enviar dados de um servidor proxy ou roteadores, você pode monitorar a transferência de arquivos e mensagens por meio de protocolos de email.
Gravação ilegal em mídia removível. Identificação de fatos de gravação ilegal de informações protegidas em mídia de armazenamento removível não contabilizada e resposta a eles.
O agente DLP instalado na estação de trabalho, além de monitorar as ações do usuário, analisa o conteúdo dos arquivos e pode bloquear as tentativas do usuário de copiar para USB ou enviar documentos confidenciais para impressão. O fato de a unidade USB estar conectada é registrado no agente; de acordo com os resultados, o especialista em segurança da informação pode alterar a política do sistema DLP incluindo essa unidade nas listas negra ou branca.
Monitorando o armazenamento de informações protegidas em servidores e estações de trabalho.
Identificação dos fatos do armazenamento de informações confidenciais em recursos de rede compartilhados (pastas compartilhadas, sistemas de fluxo de trabalho, bancos de dados, arquivos de correio e outros recursos).
As medidas indicadas podem ser implementadas usando a funcionalidade de varredura de armazenamento de arquivos, que é implementada com vários graus de sofisticação em todos os sistemas DLP avançados. Essa funcionalidade permite que você inventeie o conteúdo em armazenamentos de arquivos / nuvem e discos rígidos locais e arquivos de correio.
A verificação do armazenamento de arquivos revela dados confidenciais e violações das regras para armazenamento, usando os seguintes mecanismos (a lista pode variar dependendo do sistema):
- Verificação de nós da rede local, armazenamento público de arquivos e nuvem.
- Verificando servidores de correio para analisar o arquivo morto.
- Digitalizando arquivos de cópias de sombra.
- Contrariar ativamente as violações das regras para armazenamento de dados protegidos (mover informações confidenciais ilegítimas para o armazenamento em quarentena, substituí-las por um arquivo de notificação, copiar um especialista em segurança da informação para uma estação de trabalho etc.).
- Classificação automática de dados corporativos, dependendo das configurações da política.
- Monitorar a disseminação de informações dentro da empresa e identificar locais de armazenamento inconsistente de dados críticos.
Além disso, os requisitos para fortalecer essa medida incluem o
bloqueio da transferência de informações do IP com conteúdo inapropriado. Quase todos os sistemas DLP permitem atender a esses requisitos em vários canais de comunicação - desde mensagens de correio até cópia em uma unidade USB.
Log de eventos de segurança
O segundo bloco importante de recomendações do FSTEC sobre proteção de informações é o
registro de eventos de segurança - SSR. Obviamente, antes de iniciar essas medidas, a organização deve categorizar todos os ativos de informação (recursos). Depois disso, torna-se possível executar as seguintes medidas:
Determinando a composição e o conteúdo das informações sobre eventos de segurança a serem registrados.
Coleta, gravação e armazenamento de informações sobre eventos de segurança durante o tempo de armazenamento principal.
Monitorar (visualizar, analisar) os resultados da gravação de eventos de segurança e da resposta a eles.
Nem todas as soluções DLP podem exibir o fato e a hora da autenticação do usuário nos sistemas de informação, bem como informações sobre os direitos concedidos aos usuários. Mas a maioria deles permite configurar a proibição de iniciar certos aplicativos e controlar as ações do usuário ao trabalhar em vários sistemas de informação. Em sistemas DLP avançados, como regra, é implementada uma gradação estendida de eventos em termos de seu nível de criticidade, até 4-5 níveis. É muito conveniente para criar perfis de eventos, gerar relatórios e coletar estatísticas. Após analisar esses eventos, um especialista em segurança da informação que trabalha com o sistema decide se ocorreu um incidente de segurança da informação.
Ao armazenar todos os eventos no banco de dados do sistema DLP, ao atualizar políticas, você pode realizar uma análise e investigação retrospectiva.
Proteção de IP, seus meios e sistemas de comunicação e transmissão de dados
Vamos voltar aos objetivos básicos dos sistemas DLP. Como resultado de um pensamento maduro, torna-se óbvio que não apenas a capacidade de coletar e consolidar vários tipos de logs é importante para sua obtenção, mas também a proteção dos dados acumulados durante a transmissão / processamento e armazenamento. Na verdade, estamos falando sobre o próprio conceito de não repúdio ao criar, enviar e receber informações sobre as quais falamos
em detalhes
no artigo anterior. Você pode abordar essa medida de diferentes ângulos. As implementações de alguns sistemas DLP implicam o uso de SZI e CPSI comerciais adicionais para garantir "não-repúdio". Outros permitem que você use os recursos padrão do sistema operacional. Considere o que você pode confiar, por exemplo, no banco de dados CentOS OS e PostgreSQL:
- Criptografia de volume por setores incorporados ao núcleo do sistema operacional DM_Crypt.
- Criptografia de banco de dados - o módulo pgcrypto (criptografia de tabelas e linhas do próprio banco de dados, que permite, entre outras coisas, criar proteção contra usuários privilegiados, incluindo a equipe de TI).
- Criando uma conexão segura no cluster entre o banco de dados "pg_hba.conf".
- Proteção da conexão cliente-servidor - na verdade, é necessário o TLS 1.2 e superior.
Apesar de o FSTEC não regular o uso de meios criptográficos de proteção, também é recomendável usar a criptografia para proteger o
sistema de informações, seus meios e sistemas de comunicação e transmissão de dados (VMS), para que o sistema DLP não fique nas mãos do pessoal de TI competente vazamento de informações proprietárias. Como as ferramentas acima são componentes do SO e software relacionado, o exemplo acima é de natureza particular. No entanto, em qualquer caso, se necessário, você sempre poderá encontrar uma alternativa de código aberto / livre aos meios comerciais existentes de proteção de informações criptográficas. Mas aqui imediatamente surge a questão da certificação dessas soluções, e esse é um tópico para uma conversa separada.
Em nosso próximo artigo, falaremos sobre a aplicabilidade dos principais sistemas DLP nos módulos componentes às recomendações do padrão americano NIST US.