Как предотвратить утечку данных

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Начнем с неочевидного. Слабое место защиты данных — не в обнаружении угроз. Современные системы безопасности регистрируют много инцидентов. Даже слишком многое. Согласно исследованию, проведенному фирмой Bricata, типовой Центр обеспечения информационной безопасности (Security Operations Center, SOC) ежедневно получает более 10 000 предупреждений от целого набора средств мониторинга и обнаружения угроз. Очевидно, что вопрос не в недостаточном выявлении событий безопасности.

На самом деле, проблема заключается не в обнаружении, а в корреляции угроз.

Обнаружить легко, а что делать дальше?

Обнаружение, в своей простейшей форме, выражается в оповещении о событии. Пользователь выполняет действие, которое регистрируется в журнале. Современные облачные системы безопасности заточены под обнаружение угроз. В среднем в центр безопасности поступают от 5 до 40 тысяч предупреждений в сутки (в крупных сетях еще больше).

Проблема в том, что само по себе отдельное оповещение ни о чем не говорит. Каждое действие может быть законным либо незаконным, в зависимости от контекста.

Рассмотрим для примера следующие события. Если смотреть на них по-отдельности, возможно ли определить легитимность каждого действия?

• Системный администратор вошел в систему из необычного местоположения. Как понять, выполняет ли администратор срочную задачу, находясь в отпуске, или хакеры из Восточной Европы украли его учетные данные?
• Пользователь вошел в сеть в нерабочее время. У него появилось срочное дело, или это хакеры пытаются остаться незамеченными?
• Инженер DevOps в первый раз делает ранее неиспользованный вызов API. Возможно, он развертывает новую версию программы, или это хакеры действуют в вашей сети?
• Администратор баз данных зашел в облачное хранилище и экспортировал все данные. Это часть рабочего процесса, или кто-то только что украл всю вашу базу данных пользователей?

Вывод: по отдельным оповещениям о событиях безопасности невозможно судить о реальных намерениях пользователя.

[Также вам может быть интересно. Защита уязвимостей в облаке. Уже поздно?]

Хакеры остаются незамеченными

По нашему опыту анализа инцидентов утечки данных, в большинстве случаев вредоносную активность регистрируют вовремя, но не обращают на нее внимание.

В чем причины?

• Чрезмерное количество событий: специалисты по безопасности получают столько предупреждений, что не успевают многие из них проанализировать. В результате важные события теряются в потоке остальных.
• Малый приоритет: к утечке данных приводят рутинные действия, которым присвоен низкий приоритет и степень риска. Поэтому их часто игнорируют.
• Недостаток контекста: невозможно определить цель действия, если рассматривать его отдельно от остальных.
• Протяженность во времени: инциденты, предшествующие утечке данных, могут происходить неделями или даже месяцами. Каждый день регистрируется огромное количество событий, поэтому вспомнить событие недельной давности и связать его с другими невозможно.

В связи с этими повседневными реалиями управления безопасностью любые способы ручного анализа оповещений и рассмотрения событий безопасности в контексте для определения вредоносной активности обречены на провал. 

Обнаружение угроз имеет важное значение, но решающую роль играет сопоставление выявленных событий безопасности

Ключевая задача, таким образом, не в большем количестве оповещений, а в их корреляции.

Для этого берутся отдельные, кажущиеся несвязанными события и сопоставляются друг с другом по видам атаки, источникам и временным рамкам.

Вернемся к приведенным выше примерам действий пользователя в системе.  По отдельности каждое из этих событий ни о чем не говорит, и мы не смогли разгадать намерение пользователя.

А теперь взглянем на следующую цепочку событий:

1. Пользователь подключается из удаленного местоположения в нерабочее время.
2. Через несколько дней тот же пользователь впервые использует вызов API, чтобы составить список всех прав доступа.
3. Еще через несколько недель пользователь подключается к разным хранилищам с конфиденциальными данными.
4. Пользователь выгружает данные из хранилищ в какое-то местоположение за пределами сети.

Рассмотрение этих действий как связанных звеньев цепи событий представляется информативнее, чем анализ каждого из них по отдельности. Вот почему так важна корреляция – совокупность событий  позволяет выявить утечку данных, а не просто зафиксировать отдельные события, которые являются частью этой атаки.

Корреляция — важнейший компонент безопасности, от которого зависит, остановите ли вы утечку данных или узнаете о ней из новостей.

[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.]