Как DeviceLock DLP предотвращает утечки конфиденциальных данных на GitHub / Хабр

В последнее время стало много новостей про случайные утечки различных конфиденциальных данных из веб-сервиса для хостинга IT-проектов и их совместной разработки GitHub.

Подчеркну, что речь пойдет именно о случайных утечках, т.е. произошедших по неосторожности и без злого умысла со стороны виновников инцидентов. Списать такие утечки на неопытность сотрудников в вопросах IT не получится, т.к. пользователи GitHub -это в подавляющем своем числе разработчики, т.е. вполне квалифицированные и грамотные кадры. К сожалению, даже очень хорошие специалисты порой допускают банальные ошибки, особенно если дело касается вопросов безопасности. Давайте считать это халатностью.

Приведу несколько очень известных примеров, связанных с GitHub:

• 2021 год — компания Uber допустила утечку персональных данных 50 тысяч своих водителей. Причиной было то, что в публичный репозиторий GitHub разработчики Uber сохранили ключи доступа к облаку Amazon (AWS), на котором, в свою очередь, хранились те самые утерянные данные.
• 2021 год — выяснилось, что разработчики производителя квадрокоптеров DJI сохранили в публичном репозитории GitHub закрытый ключ SSL-сертификата компании и AES-ключи для шифрования прошивок. Кроме того, там же хранились учетные данные для Amazon Web Services, в котором, в свою очередь, находились журналы полетов, данные паспортов и водительских удостоверений клиентов DJI.
• 2021 год – инженер крупного американского IT-аутсорсера DXC Technologies загрузил ключи доступа к AWS в публичный репозиторий GitHub.
• 2021 год — в публичном репозитории GitHub обнаружились исходные коды, отчёты и планы разработки нескольких крупных финансовых организаций Канады, США и Японии, которые поместили туда сотрудники индийской аутсорсинговой компании Tata Consultancy Service, чьими заказчиками были пострадавшие финансовые учреждения.

Очевидно, что все эти случаи непреднамеренных утечек легко можно было бы предотвратить посредством контроля загружаемых на GitHub данных. Никто не говорит о тотальном запрете доступа к GitHub, это бессмысленная и даже вредная идея (если есть запрет, но сервис нужен, то разработчики этот запрет обойдут). Необходимо решение, предотвращающее утечки информации и обладающее анализатором контента в реальном времени, не дающее загрузить в GitHub только те данные, которых там быть не должно по соображениям безопасности (например, ключи доступа к облаку Amazon).

Покажу, как можно решить данную конкретную задачу, на примере DeviceLock DLP. Исходные данные у нас такие:

Для начала определим, что защищаемыми данными является ключ AWS и его попадание на GitHub необходимо предотвратить.

Поскольку ключ представляет собой набор байт без каких-либо выраженных сигнатур (да, я знаю о тексте “BEGIN/END PRIVATE KEY” в начале и в конце, но это очень слабая сигнатура и лучше на нее не опираться), то мы будем использовать идентификацию по цифровым отпечаткам.

Добавим файл ключа в базу цифровых отпечатков DeviceLock DLP, чтобы продукт «знал» наш ключ «в лицо» и мог позже его однозначно идентифицировать (и не спутать, например, с тестовыми ключами, которые вполне могут загружаться на GitHub).

Теперь создадим в DeviceLock DLP правило контентной фильтрации для файловых хранилищ (GitHub попадает под нашу классификацию «файловые хранилища», в рамках которой помимо GitHub поддерживается еще более 15 различных сервисов файлового обмена и синхронизации).

Согласно этому правилу, любым пользователям запрещена загрузка данных с цифровыми отпечатками, совпадающими с заданными выше, а при обнаружении запрещенных данных в журналы централизованного архива должны записываться соответствующие события (записи об инциденте) и теневые копии, помимо собственно исполнения действия с запретом загрузки данных на GitHub.

Давайте теперь попробуем загрузить ключ AWS в репозиторий GitHub.

Как видно, процесс загрузки «почему-то» не удался, а DeviceLock DLP предупредил нас, что данная операция была им заблокирована (разумеется, сообщение настраиваемое и отключаемое).

При этом, если посмотреть в журнал теневого копирования DeviceLock DLP, там можно обнаружить тот самый ключ.

Таким образом, на данном примере было показано, как с помощью DeviceLock DLP решить частную задачу предотвращения утечки любых конфиденциальных данных (цифровые отпечатки можно снимать практически с любых файлов) в облачные хранилища.

Конечно, помимо предотвращения утечки данных на GitHub, можно еще проводить периодическую инвентаризацию репозиториев и выявлять в них информацию, которой там быть не должно. Для целей сканирования репозиториев GitHub созданы бесплатные утилиты Gittyleaks, Git Secrets, Git Hound, Truffle Hog и многие другие.

Профессиональное сообщество всерьез обеспокоено рисками утечки информации ограниченного доступа через корпоративную и личную почту с мобильных BYOD-устройств. Практически на каждой конференции по защите от утечек данных возникает актуальный для большинства участников вопрос о контроле корпоративной почты на мобильных устройствах под управлением наиболее распространенных платформ Android и iOS.

Попробуем разобраться с этим вопросом.

Безусловно, активное применение персональных мобильных устройств в рабочих целях, и прежде всего для оперативных коммуникаций по электронной почте, значительно упрощает практическое использование корпоративных данных в производственных процессах, повышает производительность труда сотрудников, их мобильность и работоспособность. Однако, с точки зрения обеспечения информационной безопасности, возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.

В качестве решения этой проблемы чаще всего на рынке предлагаются решения класса application wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений – перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента «контейнерной» почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных ИС – дорогостоящие «защищенные телефоны», которые, по сути, есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android. Отмечаются также попытки создать DLP-подобный агент для мобильных устройств Android, где контроль трафика на самом деле сводится к его перенаправлению в VPN-туннель. Общим для всех этих вариантов защиты корпоративной почты является использование DLP-шлюза или сервера мониторинга почтового трафика, полученного с мобильных устройств по VPN-туннелям.

Важным фактором, влияющим на архитектуру решений по предотвращению утечек данных с мобильных персональных устройств, является то, что по разным причинам современные мобильные операционные системы не обеспечивают надежное функционирование DLP-агентов. Платформа iOS не предоставляет доступа приложениям к ядру ОС, тогда как Android, напротив, является открытой платформой, а значит, любой пользователь может путём несложной процедуры получить полный административный доступ к своему устройству Android и удалить приложение – в данном случае гипотетический DLP-агент, тем самым отключив контроль передаваемых данных и предотвращение утечек ценной информации. Наконец, нельзя забывать, что личные устройства всегда остаются личными, даже будучи предоставленными организацией – возникает масса ограничений как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие административного контроля личного устройства службой ИТ и т.д.

Сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих отечественных продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы – проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.

Другим динамично развивающимся направлением ИБ является предоставление доступа к информационным активам компании через удаленное подключение к стерильной рабочей среде, созданной с помощью решений для виртуализации рабочих сред и приложений. Применительно к предотвращению утечек в почтовых коммуникациях на устройствах Android и iOS это реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности через терминальные сессии. При этом контроль почтовых коммуникаций каждой терминальной сессии осуществляется DLP-агентом, работающим на терминальном сервере. В данной модели почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства – включая мобильные устройства Android и iOS, а DLP-контроль реализуется непосредственно в корпоративной среде виртуализации на терминальном сервере. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой веб-браузер, поддерживающий HTML5.

На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто – Citrix Receiver доступен и в App Store, и в Play Market и без каких-либо сложностей устанавливается на любые версии iOS и Android, а инструкция по подключению к корпоративному почтовому клиенту как виртуализованному приложению будет довольно компактной.

Последняя, самая важная часть описываемой модели – это DLP-система, контролирующая почтовые коммуникации в среде виртуализации. Агент программного комплекса DeviceLock DLP, будучи установленным на терминальном сервере, обеспечивает контроль контекста и контентную фильтрацию сетевых коммуникаций каждой сессии виртуальной корпоративной среды. Технология DeviceLock Virtual DLP позволяет перехватывать почтовые сообщения непосредственно из опубликованного в Citrix XenApp приложения-почтового клиента, доступ к которому пользователь получает через терминальную сессию, и в режиме реального времени осуществлять проверку контекста сообщения (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого контента) сообщений и вложений на их соответствие DLP-политикам, заданным для этого пользователя. В случае выявления нарушения операция передачи данных ограниченного доступа блокируется в целях предотвращения их утечки, при этом создается соответствующая запись в журнале и теневая копия передаваемого сообщения с вложениями, а также генерируется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Отличие Virtual DLP от описанных выше вариантов решения задачи c перенаправлением трафика в VPN-туннель и анализом почтовых коммуникаций на уровне DLP-сервера прежде всего состоит в том, что пользователь получает доступ не к данным в почтовых клиентах как таковым, а их графическому представлению в терминальной сессии. Кроме того, Virtual DLP использует агентский вариант контроля сетевых коммуникаций, когда функции контроля выполняются непосредственно в точке возникновения трафика. Только в такой архитектуре возможны перехват данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, в режиме реального времени обеспечивается проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленные с личного устройства в терминальную сессию рабочего стола или приложения, что не менее важно для защиты от утечек корпоративных данных с BYOD-устройств, чем контроль почты.

Стоит отметить, что DeviceLock DLP позволяет контролировать все распространенные почтовые протоколы – SMTP/SMTP over SSL, MAPI и IBM/Lotus Notes, а на мобильное устройство пользователей потребуется установить и настроить только приложение для терминального доступа. Более того, благодаря использованию технологии DeviceLock Virtual DLP обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, «домашний офис», тонкие клиенты), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей – компании могут полностью контролировать не только почтовые коммуникации, но и в целом корпоративные среды виртуализации, передаваемые на любые персональные устройства сотрудников, включая мобильные, равно как и любые другие удаленные устройства на любых операционных системах.

Nota bene: разумеется, следует учитывать, что работа с полноценным почтовым клиентом на смартфоне с крошечным экраном будет совершенно невозможной, и говорить всерьез о применении Outlook, особенно старых версий, на 4х-дюймовых экранах в разрешении 800х480 несерьезно. Но если взять в качестве виртуализованного почтового клиента более «компактное» в плане насыщенности разными интерфейсными элементами приложение, вооружиться устройством с качественным экраном большей диагонали – ситуация резко изменяется. Опять же, не стоит забывать и организационно-технический аспект – если сотруднику по роду деятельности нужен мобильный доступ к почтовым коммуникациям, почему бы не обеспечить его планшетом или легким ультрабуком?

На экране планшета даже полноценный Outlook становится действительно пригодным для использования, в чем можно убедиться на этом рисунке.

В следующей статье мы планируем более подробно рассказать, как устроен контроль потоков данных в терминальных сессиях в технологии Virtual DLP. Оставайтесь на связи!

Компания “Смарт Лайн Инк” совместно с компанией «АЛТЭКС-СОФТ» информируют, что ФСТЭК России подтвердил результаты испытаний (инспекционного контроля) актуальной версии программного комплекса DeviceLock DLP 8. Срок действия Сертификата Соответствия №3465 от 5 ноября 2021г. продлен до 5 ноября 2023 года.

Испытания в рамках инспекционного сертификационного контроля проводились согласно действующим нормативно-правовым актам ФСТЭК России, в частности Требованиям к средствам контроля съемных машинных носителей информации (ФСТЭК России, 2021). Программный продукт DeviceLock 8 DLP Suite соответствует 4 классу защиты средств контроля подключения съемных машинных носителей информации, 4 уровню контроля отсутствия недекларированных возможностей, а также требованиям к функциям контроля содержания передаваемой информации (DLP), заявленным в Задании по безопасности.

По результатам сертификации продукт может использоваться в составе автоматизированных систем до класса защищенности 1Г, а также ИСПДн, ГИС, автоматизированных системах управления производственными и технологическими процессами, обрабатывающих конфиденциальную информацию, любых классов (уровней) защищенности. В данном контексте DeviceLock DLP предназначен для реализации мер защиты, связанных с применением съемных носителей информации, контролем содержания информации, передаваемой из информационной системы, и исключением неправомерной передачи информации.

О комплексе

Комплекс DeviceLock DLP предназначен для организаций, заинтересованных в простом, доступном и высокоэффективном подходе к решению задачи предотвращения утечки корпоративных данных с Windows- и Mac-компьютеров, а также виртуализованных Windows-сред. DeviceLock DLP обеспечивает координированное применение полного набора механизмов контекстного контроля и контентной фильтрации для защиты от утечек данных при их использовании, передаче и хранении на корпоративных компьютерах, при этом не прерывая штатные производственные процессы. DeviceLock DLP позволяет службам информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации независимо от размера ИТ-инфраструктуры. Это достигается благодаря нативной интеграции управления в групповые политики домена Microsoft Active Directory и встраиванию консоли DeviceLock в оснастку управления Microsoft Group Policy Management Console (GPMC). Кроме того, DeviceLock поддерживает любые LDAP-каталоги, рабочие группы и может использоваться на отделенных от общей сети рабочих станциях под управлением Windows. Комплекс DeviceLock предоставляет службам ИБ высочайший уровень функциональных возможностей для DLP-защиты рабочих станций при гибкой ценовой политике.