Журнал "Information Security/ Информационная безопасность" #3, 2020

На практике наиболее распространены два сценария: l сценарий № 1 – когда диод может быть "направлен" из критичного сег- мента; l сценарий № 2 – когда диод может быть "направлен" внутрь критичного сег- мента. Оба случая требуют более детального рассмотрения в контексте применения DLP-решений. Сценарий № 1 Утеря и/или хищение конфиденциаль- ной информации происходит следующим образом: данные, хранящиеся в более доверенном сегменте, преднамеренно или непреднамеренно передаются через диод в менее доверенный сегмент. В этом случае возможно реализовать промежуточную точку контроля для дан- ных, передаваемых через диод. В ней осу- ществляется анализ передаваемых данных компонентом решения DLP, применяемого в КСПД. Это может быть как промежуточ- ный файловый сервер, так и почтовый сервер, выполняющий роль MTA. Такой сценарий представляется более простым с точки зрения интеграции с системой DLP. Сценарий № 2 В этом случае, передавая предвари- тельно полученные данные внутрь дове- ренного сегмента, злоумышленник использует АРМ или сервер в ТСПД для дальнейшего хищения данных и вывода их за границы периметра и не оставляет следов в силу ограниченности охвата ресурсов в ТСПД средствами контроля и защиты информации. Предположим, бухгалтерская или CRM-система в корпоративном сегмен- те содержит данные конфиденциаль- ного характера. Такие данные, будучи похищенными, могут быть переданы в технологический сегмент, а оттуда – злоумышленнику скомпрометирован- ным персоналом. Здесь важен как сам разовый факт утечки конфиденциаль- ной информации, так и ситуация, при которой такие утечки в условиях отсут- ствия DLP в доверенном сегменте оста- нутся незамеченными длительное время. Следовательно, сценарий № 2 более опасен. Гарантированная защита Эффективный контроль потоков при реализации как сценария № 1, так и сценария № 2 возможен с использова- нием интеграции между компонентами однонаправленного шлюза и DLP. Наш опыт реализации комплексных проектов с применением однонаправ- ленных шлюзов АПК InfoDiode пока- зывает, что при организации взаимо- действия с DLP следует ориентиро- ваться на применение максимально универсального решения по интегра- ции "однонаправленный шлюз – DLP". Такое решение должно минимально зависеть от API конкретного произво- дителя DLP и эффективно решать задачи выявления фактов передачи конфиденциальной информации в условиях применения разными заказ- чиками DLP-систем самых разных про- изводителей. В частности, для решения этой зада- чи каждый узел АПК InfoDiode предо- ставляет сетевой файловый доступ к содержимому и метаинформации по каждому передаваемому через себя сообщению. При включении соответ- ствующей функции назначенной груп- пе пользователей становится доступна папка dlp в корне файлового сервера. Содержимое этой папки состоит из набора пар файлов: l <идентификатор сообщения>.data – содержимое передаваемого сообщения; l <идентификатор сообщения>.meta – метаинформация о передаваемом сообщении, в том числе: – тип сообщения (File или Email); – полное исходное имя файла; – имя пользователя-отправителя; – объем принятого сообщения в бай- тах. Предоставляемый таким образом доступ позволяет DLP-системе прово- дить регулярное сканирование папки файлового сервера с целью обнаруже- ния передачи конфиденциальных дан- ных. С целью упрощения взаимодействия и необходимости реализации на систе- мах DLP логики повторного сканирова- ния файлов доступ через папку dlp пре- доставляется только к содержимому успешно принятых сообщений. Доступ к сообщениям, не принятым успешно, не предоставляется. Прогрессивный подход к защите КИИ Применение DLP-решений не только не теряет своей актуальности, но и выхо- дит на новый уровень с учетом особен- ностей подходов по обеспечению защиты КИИ. Эффективное сочетание СЗИ повышает уровень защиты и минимизи- рует потенциальный ущерб организации от действий злоумышленников, направ- ленных на похищение конфиденциаль- ной информации. l • 31 DLP www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru