Рас­сле­дова­ние уте­чек дан­ных — дело хло­пот­ное и дорогос­тоящее. Вос­ста­нов­ление утра­чен­ного доверия, юри­дичес­кие раз­биратель­ства и попыт­ки миними­зиро­вать убыт­ки могут затянуть­ся на месяцы. Гораз­до про­ще и дешев­ле пре­дот­вра­тить инци­дент, чем устра­нять его пос­ледс­твия. В этом матери­але мы раз­берем прак­тичес­кие шаги по пре­дот­вра­щению уте­чек дан­ных, начиная от тех­ничес­ких решений и закан­чивая метода­ми управле­ния рис­ками.

Как показы­вает прак­тика, ни одна орга­низа­ция, будь то круп­ная кор­порация или неболь­шая ком­пания, не зас­тра­хова­на от хищения пер­сональ­ной информа­ции, уте­чек кли­ент­ских баз дан­ных и иных подоб­ных инци­ден­тов. Мож­но ли если не обе­зопа­сить себя от таких про­исшес­твий пол­ностью, то хотя бы сни­зить сопутс­тву­ющие рис­ки? Да, и для это­го сущес­тву­ет про­верен­ный вре­менем ком­плекс методов. О них мы сегод­ня и погово­рим.

info

Статья написа­на по матери­алам интервью с Дмит­рием Борощу­ком. Беседо­вал и готовил финаль­ный текст Ва­лен­тин Хол­могоров.

Дмит­рий Борощук уже боль­ше пят­надца­ти лет реша­ет слож­ные задачи в сфе­ре безопас­ности, уде­ляя осо­бое вни­мание защите информа­ции. Одно из клю­чевых нап­равле­ний его работы — пре­дот­вра­щение уте­чек дан­ных, а так­же рас­сле­дова­ние инци­ден­тов и выяв­ление винов­ников: со всем перечис­ленным он регуляр­но стал­кива­ется в сво­ей прак­тике. В прош­лом матери­але мы говори­ли о том, что нуж­но делать, если утеч­ка уже про­изош­ла. Сей­час будем раз­бирать­ся с тем, как ее не допус­тить.

 

Собственное облако

Пер­вой мыслью, ког­да заходит речь о защите от сли­вов внут­ренних дан­ных, ста­новит­ся идея заг­нать сот­рудни­ков в пол­ностью кон­тро­лиру­емую сре­ду. Тут глав­ное — не перег­нуть пал­ку с зап­ретами и сде­лать эту сре­ду мак­сималь­но удоб­ной и дос­тупной. Давай поп­робу­ем опи­сать боль­шинс­тво типич­ных пот­ребнос­тей сот­рудни­ков ком­пании:

  • нуж­но хра­нить фай­лы с раз­гра­ниче­нием дос­тупа, так, что­бы к ним был дос­туп у самого сот­рудни­ка;
  • на­до эти фай­лы соз­давать и сов­мес­тно редак­тировать (в общем, нужен ана­лог Google Docs);
  • нуж­но хра­нить, редак­тировать и прос­матри­вать фото;
  • не­обхо­дим поч­товый кли­ент (куда же без него в ком­мерчес­кой ком­пании);
  • ну­жен безопас­ный мес­сен­джер;
  • не­обхо­дим сер­вис виде­окон­ферен­ций;
  • так­же не обой­тись без кален­даря и заметок;
  • тре­бует­ся воз­можность добав­лять недос­тающие фун­кции по мере необ­ходимос­ти.

И глав­ное — нуж­но кон­тро­лиро­вать все это, что­бы понимать, кто ког­да и что имен­но делал с ком­мерчес­кими дан­ными. Сущес­тву­ет боль­шое количес­тво готовых про­дук­тов, спо­соб­ных решить все эти задачи, но сто­ят они, как пра­вило, мно­го‑мно­го денег. Что делать ком­мерчес­кому пред­при­ятию с неболь­шим шта­том и не таким бес­край­ним бюд­жетом, как у круп­ных ком­паний? Выручат два прак­тичес­ки оди­нако­вых (на самом деле у них одни кор­ни, прос­то коман­да в какой‑то момент раз­делилась на две и каж­дая из них начала пилить свой вари­ант) откры­тых и бес­плат­ных решения: OwnCloud и NextCloud (о вто­ром, кста­ти, «Хакер» уже под­робно писал).

С помощью этих инс­тру­мен­тов мож­но орга­низо­вать так называ­емый self-hosted-сер­вер, который ты можешь совер­шенно бес­плат­но раз­вернуть хоть на NAS, хоть на вир­туаль­ной машине, хоть на отдель­ном компь­юте­ре, соз­дав пер­сональ­ный ана­лог Google Docs с дос­тупом через обыч­ный бра­узер. Но глав­ной осо­бен­ностью будет то, что ты смо­жешь кон­тро­лиро­вать каж­дое дей­ствие поль­зовате­лей в этой сре­де, вплоть до того, кто и какие фай­лы ска­чивал и на какое имен­но устрой­ство. Дмит­рий Борощук счи­тает это иде­аль­ным вари­антом орга­низа­ции коман­дной работы для малого и сред­него биз­неса, осо­бен­но по соот­ношению цена/качес­тво (все‑таки нас­трой­ка и внед­рение сто­ит опре­делен­ных денег).

 

Как отследить утечки?

Пе­ренес­ти всю кри­тичес­ки важ­ную информа­цию в локаль­ную и хорошо кон­тро­лиру­емую инфраструк­туру — это толь­ко полови­на дела. Вто­рая полови­на — заранее пре­дус­мотреть спо­собы отсле­жива­ния воз­можных сли­вов, что­бы при необ­ходимос­ти быс­тро уста­новить винов­ных и лик­видиро­вать пос­ледс­твия.

Ко­неч­но же, на ум сра­зу при­ходят ком­мерчес­кие deception-решения типа Xello, R-TDP или раз­работ­ки от той же «АВ Софт». И это толь­ко рос­сий­ские про­дук­ты. Но мы будем ста­рать­ся решать задачи с миниму­мом бюд­жета или пол­ным его отсутс­тви­ем. Зна­комая исто­рия, ведь прав­да?

Один из основных спо­собов отсле­жива­ния уте­чек — это мар­кировать дан­ные. Тут вари­антов может быть мас­са: от орга­низа­ции кон­тро­лиру­емых уте­чек, с помощью которых мож­но опре­делить, кто кон­крет­но из сот­рудни­ков слил важ­ную информа­цию, до отсле­жива­ния фак­та откры­тия или редак­тирова­ния фай­ла с исполь­зовани­ем раз­личных маяков или с при­мене­нием допол­нитель­ной наг­рузки, которая вела бы «конт­рраз­ведыва­тель­ную деятель­ность» уже на сто­роне зло­умыш­ленни­ка. Кон­крет­ное исполь­зование подоб­ных инс­тру­мен­тов огра­ничи­вает­ся толь­ко тво­ей фан­тази­ей и опе­ратив­ным опы­том.

Дмит­рий рас­ска­зал о трех методах из его собс­твен­ного арсе­нала, которы­ми он чаще все­го поль­зует­ся на прак­тике.

 

Водяные знаки

Фи­зичес­кие объ­екты (цен­ные бумаги, докумен­ты и дру­гие важ­ные фай­лы) всег­да мож­но отмарки­ровать, что­бы сде­лать их в сво­ем роде уни­каль­ными носите­лями иден­тифици­руемых приз­наков. То же самое мож­но сде­лать с фай­лами при помощи сте­ганог­рафии — методи­ки помеще­ния одной информа­ции в дру­гую. Тут, конеч­но же, при­ходят на ум ста­рые доб­рые инс­тру­мен­ты OpenStego и OpenPuff, которые поз­воля­ют про­водить все опе­рации с фай­лами и их мар­киров­кой, при этом обла­дают прос­тым и лаконич­ным интерфей­сом.

Интерфейс OpenStego
Ин­терфейс OpenStego
Интерфейс OpenPuff
Ин­терфейс OpenPuff

Есть одно но — эти прог­раммы регуляр­но детек­тиру­ются анти­виру­сами, но ты всег­да можешь най­ти аль­тер­нативу или све­жий форк.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии