Сообщение о реализации технологии защиты от утечек данных DLP (http://technet.microsoft.com/en-us/library/jj150527%28v=exchg.150%29.aspx) в Exchange Server 2013 (в том числе Exchange Online) и Outlook 2013 не произвело на меня сильного впечатления. Мне казалось, оно не принесет особых преимуществ потребителям, а для развертывания DLP был необходим новый настольный клиент. Кроме того, технология была несовместима с Outlook Web App (OWA) и отсутствовала перспектива ее реализации на стороне мобильного клиента. В целом я пришел к выводу, что польза от DLP не очень велика. Однако в зависимости от ваших требований к технологиям защиты, это утверждение может быть спорным. Давайте рассмотрим некоторые интересные аспекты реализации данной технологии компанией Microsoft.
DLP — не новшество
Необходимость предотвратить потери данных хорошо осознается, вероятно, потому, что известно множество примеров умышленного или случайного разглашения корпоративной или персональной информации. В техническом документе компании McAfee, Data Loss by the Numbers (http://www.mcafee.com/us/resources/white-papers/wp-data-loss-by-the-numbers.pdf), приведены графические примеры потери в той или иной форме миллионов записей, хранившихся в крупных акционерных компаниях. Результатом может быть ущерб, нанесенный репутации компании, увеличение затрат на юридические услуги, потеря клиентов и почти гарантированный конфуз в глазах общественности. Поэтому защита данных — задача первоочередной важности. В прошлом основной акцент делался на возведении и поддержании традиционных барьеров безопасности. Это позволяло остановить взломщиков и мошенников, но не помогало предотвратить потери данных, происходившие по недосмотру сотрудников. Как отмечается в документе McAfee, общее количество внутренних инцидентов достигает 44%, но «большинство из них были случайными».
DLP — отнюдь не новая технология. В течение многих лет такие поставщики, как Symantec (http://www.symantec.com/products-solutions/families/?fid=data-loss-prevention), EMC (http://web.emc.com/rsa-data-loss-prevention?reg_src=website&activity_id=181829&division=rsa) и Cisco Systems (http://www.cisco.com/en/US/netsol/ns895/), предлагали решения DLP для борьбы с раскрытием конфиденциальных данных. Давно публикуются и технические документы на данную тему. Например, институт SANS опубликовал документ Data Loss Prevention (http://www.sans.org/reading-room/whitepapers/dlp/data-loss-prevention-32883) в 2008 году.
В январе 2013 года Gartner опубликовала «магический квадрант» для защиты от потери данных с учетом контента (http://www.computerlinks.de/FMS/22876.magic_quadrant_for_content_aware_data_loss_prevent.pdf), в котором специалисты компании анализируют решения класса DLP в области электронной почты. Бросается в глаза отсутствие в «магическом квадранте» компании Microsoft. Версия DLP в составе Exchange 2013 — первый опыт Microsoft в этой области, естественно связанный с ошибками и недостатками, самый очевидный из которых — охват клиентов.
К преимуществам реализации Microsoft относится то, что в ней получили дальнейшее развитие следующие функции.
- Возможность переслать каждое сообщение в компании через известную контрольную точку (транспортный конвейер Exchange), в которой можно проанализировать содержимое сообщения.
- Настольный клиент с мощной функциональностью и встроенным интеллектуальным анализом информации по мере ввода текста пользователем.
Специалисты Microsoft расширили транспортные правила Exchange, чтобы выполнять проверку конфиденциальных данных, пересылаемых по транспортному конвейеру. Microsoft также предоставляет особые подсказки, чтобы пользователям было легче заметить, когда их сообщения содержат конфиденциальные данные. Подсказки от политики выглядят очень похоже на почтовые подсказки в Exchange 2010 и Outlook 2010.
Важно понимать, что DLP не предназначается для контроля над поведением пользователей и содержимым отправляемых ими сообщений. Другие инструменты, такие как транспортные правила, политики хранения и поиск с помощью функции обнаружения электронных данных, обеспечивают более явные формы соответствия требованиям. Технология DLP проектировалась для того, чтобы помочь компаниям защитить себя, не позволяя сотрудникам вводить конфиденциальную информацию, например номера социального страхования и данные кредитных карт, в неподходящие сообщения. При этом обучение пользователей является составной частью DLP. Если решение DLP помогает пользователям понять, что они совершают ошибки, то, вероятнее всего, они не допустят промаха в будущем. Предполагается, что клиенты понимают политики DLP и сигнализируют об ошибках. Теперь давайте более подробно познакомимся с реализацией DLP в Exchange 2013 и Outlook 2013.
Компоненты DLP
На клиентской стороне необходимо задействовать Outlook 2013 Professional Plus, чтобы получить следующие возможности.
- Использовать пакет XML, описывающий политику DLP, определенную для компании. Клиенты загружают пакет из серверов почтовых ящиков Exchange 2013 через каждые 24 часа. В пакете указываются типы конфиденциальных данных, которые нельзя вставлять в сообщения, и действия, предпринимаемые при обнаружении конфиденциальных данных.
- Анализировать текст по мере написания сообщения и распознавать типы конфиденциальных данных, охваченные политикой DLP. Впечатляет механизм распознавания текста, способный связывать различные его фрагменты и определять с большой долей уверенности, что части текста, соединенные вместе, представляют собой конфиденциальные данные. Например, если 16-значное число соответствует алгоритму Луна (http://en.wikipedia.org/wiki/Luhn_algorithm), то оно может быть номером кредитной карты. Если помимо этого присутствует дата, которая может быть датой истечения срока действия (например, 11/15), то это дополнительное свидетельство, что два фрагмента текста представляют собой данные кредитной карты. Наконец, если рядом указано чье-нибудь имя, то высока вероятность, что в сообщении содержится достаточная информация для снятия средств с кредитной карты.
- Отображать подсказки политики DLP, когда обнаружены конфиденциальные данные, чтобы уведомить пользователей о наличии таких данных и действиях, которые следует предпринять. Подсказка политики может отображать уведомление о невозможности отправить почтовое сообщение из-за содержащихся в нем данных или может носить рекомендательный характер (например, «вам не следует пересылать данные такого типа»). Также можно разрешить пользователям переопределять политику, запросив аргументы в пользу переопределения. Затем аргументы можно переслать вместе с информацией о сообщении менеджеру, ответственному за соблюдение корпоративных требований, который может принять решение, ознакомившись с контекстом сообщения. Например, работнику отдела кадров иногда бывает нужно пересылать сообщения, содержащие номера социального страхования. Кадровику можно разрешить переопределение, но не администратору другого отдела, который пытается отправить информацию о сотрудниках.
На стороне сервера Exchange 2013 позволяет определить политики DLP в разделе управления соответствием требованиям центра администрирования Exchange (EAC). Фундаментом EAC являются команды административной консоли Exchange, которые при желании можно использовать для управления политиками DLP.
В сущности, политика DLP представляет собой контейнер, содержащий набор специализированных транспортных правил для проверки сообщений, пересылаемых по транспортному конвейеру. Транспортные правила появились в Exchange Server 2007. Они представляют собой важную часть системы соответствия требованиям, так как обеспечивают надежный метод анализа сообщений, пересылаемых как внутренним, так и внешним получателям. Набор условий, действий и исключений, применяемых в транспортных правилах, значительно расширен по сравнению с Exchange 2007, и в результате транспортные правила можно использовать в самых разных ситуациях. Интеграция политик DLP достигается добавлением условия «если сообщение содержит конфиденциальные данные» с целью проверки указанного типа конфиденциальных данных и действий, предпринимаемых в случае выполнения условий. Exchange 2013 обеспечивает поиск конфиденциальных данных в тексте сообщений и вложениях.
Помимо гарантии, что все сообщения будут проверены на соответствие политикам DLP, самое важное преимущество использования транспортных правил заключается в их совместимости со всеми клиентами. Даже если вы не используете Outlook 2013, можно развернуть политики DLP через транспортные правила. Работать пользователю в этом случае чуть менее удобно, но действие политики будет эффективным. Однако необходимо помнить, что ответственность за пересылку сообщений в компании должна быть возложена на почтовые серверы Exchange 2013. Транспортным серверам Exchange Server 2010 и Exchange 2007 ничего не известно о политиках DLP, а транспортные правила, реализующие политики, остаются для них невидимыми. Таким образом, любое сообщение, прошедшее через транспортный сервер нижнего уровня, пересылается без проверки. Это небольшая, но важная деталь реализации, которую необходимо учитывать в любом развертывании DLP.
Типы конфиденциальных данных
Создавая политики DLP, необходимо знать, конфиденциальные данные какого типа нужно контролировать. Вспоминается несколько широко применяемых типов данных, которые обычно не рекомендуется передавать в сообщениях. Я уже рассказал о номерах кредитных карт и номерах социального обеспечения. Хотя для кредитных карт используется общемировой формат, личные сведения (PII) и другие типы конфиденциальных данных в разных странах различаются.
Со стороны компании Microsoft было бы неразумно предоставлять каждому желающему право самостоятельно определять степень конфиденциальности данных. В этом случае неизбежны многочисленные ошибки. Microsoft предоставила набор готовых определений конфиденциальных данных (http://technet.microsoft.com/en-us/library/jj150541%28v=exchg.150%29.aspx), которые можно использовать, не задумываясь о существенных характеристиках, лучше всего описывающих форматы данных. Так, имеются определения для:
- номеров маршрутизации ABA (Американской банковской ассоциации);
- номеров кредитных карт;
- номеров социального обеспечения США;
- номеров банковских счетов Канады;
- номеров дебетовых карт ЕС;
- номеров паспортов в Австралии;
- номеров водительских лицензий в Германии.
Вероятно, со временем список типов конфиденциальных данных будет расширен и в него войдут данные, используемые в других странах.
Шаблоны DLP
Политика DLP редко охватывает единственный тип конфиденциальных данных. Обычно компаниям приходится объединять в политике DLP многочисленные типы данных. Можно создать новую политику DLP, отражающую специфические нужды компании, но Microsoft предоставляет шаблоны DLP, спроектированные таким образом, чтобы помочь строить политики DLP для типовых сценариев. Каждый шаблон содержит набор правил для проверки типов данных, которые хочет защитить пользователь.
При создании новой политики DLP можно выбрать шаблон, и Exchange подготовит новую политику, используя информацию в выбранном шаблоне. Впоследствии политику можно изменить, удалив нежелательные правила или добавив новые по мере необходимости.
Специалисты Microsoft надеются, что независимые компании предложат подходящие шаблоны DLP для определенных отраслей и условий. Затем эти шаблоны можно будет предоставить потребителям в формате XML и импортировать для создания новой политики DLP.
Рассмотрим процесс определения политики DLP с использованием стандартного шаблона, предоставляемого Microsoft. Для этого нужно выполнить шаги, охватывающие:
- Определение защищаемых типов конфиденциальных данных.
- Создание новой политики DLP.
- Анализ и проверку правил политики DLP.
- Применение политики DLP и проверку транспортных правил.
- Аудит политики DLP.
Шаг 1. Определение защищаемых типов конфиденциальных данных
Самый простой шаг в определении любой политики — понять, для какой цели она предназначена. В данном случае требуется защитить компанию от случайного раскрытия конфиденциальных данных. Поэтому первым делом надо определить, какие типы конфиденциальных данных необходимо защитить. Затем нужно обдумать проверяемые условия, исключения и действия, предпринимаемые в случае нарушений политики. Поскольку политика DLP влияет на пользователей, полезно учесть мнение кадрового и юридического отделов, а также информировать пользователей о новой политике во время реализации.
Шаг 2. Создание новой политики DLP
После того как необходимость в политике DLP определена, ее можно создать в EAC. Перейдите в раздел Compliance management («Управление соответствием») в EAC и щелкните ссылку Data loss prevention («Защита от потери данных»). Как показано на экране 1, существует три способа создать новую политику: использовать шаблон, импортировать политику и заново создать особую политику. В большинстве случаев рекомендуется начать с одного из шаблонов, предоставленных Microsoft, поэтому выберите вариант New DLP policy from template («Создать политику DLP из шаблона»).
Экран 1. Выбор способа создания новой политики DLP |
На экране 2 показана страница, на которой можно дать имя новой политике и выбрать шаблон для ее подготовки. Для данного примера введите DLP Consumer Protection и выберите шаблон U. S. Federal Trade Commission (FTC) Consumer Rules, который защищает от передачи пользовательских данных, таких как сведения о кредитной карте. Убедитесь, что выбран режим Test DLP policy with Policy Tips («Тестирование политики защиты от потери данных с подсказками политики»), чтобы Exchange создал новую политику в тестовом режиме, не применяя ее немедленно. Таким образом можно протестировать политику, убедившись, что условия и исключения, содержащиеся в правилах, служат поставленной цели. Кроме того, немедленное применение политики может застать пользователей врасплох, если в Outlook появятся подсказки политики или не будут отправляться сообщения, содержащие конфиденциальную информацию. Всегда следует готовить пользователей к внесению изменений, влияющих на их работу.
Экран 2. Выбор шаблона DLP для использования с новой политикой DLP |
Затем сохраните политику. После этого Exchange импортирует правила, указанные в шаблоне, и создает их как новые транспортные правила. Эти правила связаны с новой политикой, но функционируют они точно так же, как и любое другое транспортное правило.
Шаг 3. Анализ и проверка правил политики DLP
В EAC можно выбрать новую политику и просмотреть ее свойства, чтобы увидеть связанные с ней правила. На экране 3 показано, что политика DLP Consumer Protection импортировала пять правил из шаблона U. S. Federal Trade Commission (FTC) Consumer Rules. Это может вызвать удивление, поскольку легко предположить, что единственное правило отыскивает конфиденциальные данные. Совершенно справедливо, что с помощью единственного правила можно искать конфиденциальные данные в каждом сообщении и вложенном файле, но на самом деле это не политика. У политики обычно бывают исключения (например, работники, оформляющие выезды в командировки для других сотрудников, могут передавать информацию о кредитных картах внешним поставщикам) и часто устанавливаются границы для передачи информации. Другими словами, сотруднику может быть дано право указать в сообщении номер кредитной карты, но вряд ли вы разрешите ему пересылать сведения о более чем двух кредитных картах. Единственное правило выполняет проверку условия по принципу «черное-белое». Набор правил обеспечивает больше гибкости в применении политики к различным сценариям.
Экран 3. Просмотр транспортных правил, созданных для новой политики DLP |
Таким образом, этот шаблон предоставляет правила для отправки конфиденциальных данных внутри и вне компании, а также при обнаружении неподдерживаемого типа вложения. В транспортной системе Exchange фильтры, предоставляемые платформой поиска, используются для проверки файлов очень многих форматов, в том числе PDF и Microsoft Office. Цель — пресечь попытки пользователей обойти проверки, передавая конфиденциальные данные в файлах малоизвестных форматов.
Щелкнув на правиле DLP, можно посмотреть его свойства. На экране 4 показано, как они отображаются. Интерфейс не удивит тех, кто работал с транспортными правилами в Exchange 2013, так как он идентичен используемому для построения других транспортных правил. В данном случае важны условие The message contains sensitive information («Сообщение содержит конфиденциальную информацию») и три указанных типа конфиденциальной информации: номер кредитной карты, номер банковского счета и номер маршрутизации ABA. Кроме того, видно, что правило спроектировано для обработки сообщений, отправляемых внешним получателям (то есть вне компании).
Экран 4. Просмотр свойств правила DLP |
Если щелкнуть на списке типов данных, будут отображены дополнительные сведения о них, как показано в окне типов конфиденциальной информации (sensitive information types) в правой части экрана 4. Таким образом, Exchange получает указания относительно числа экземпляров конфиденциальных данных, которые должны быть обнаружены, прежде чем правило сработает, при анализе текста сообщений и вложенных файлов. В данном случае минимальное число для всех трех типов данных — 10, то есть Exchange применит правило, только если 10 или более экземпляров любого из указанных типов данных будет обнаружено в тексте сообщения или вложенном файле. Таким образом, можно заключить, что правило предназначено для защиты от попыток переслать список кредитных карт или номера банковских счетов внешнему получателю.
Единственное действие, которое задает правило, копируемое из шаблона, — создание записи аудита среднего уровня серьезности. В производственных условиях полезно добавить действие для блокирования сообщения и уведомить пользователя о том, почему сообщение нельзя обработать. Это свидетельствует о необходимости тщательно анализировать все правила, скопированные из шаблона, чтобы убедиться в их пригодности для использования в производственных целях. Другими словами, не следует делать скоропалительных выводов только потому, что компонент входит в состав Exchange.
Если правило срабатывает, то заданное действие — Block the message but allow the user to override with a business justification and send («Блокировать сообщение, но разрешить пользователю переопределение для бизнес-целей и отправку»). Данное действие показывает, как правило может заставить клиента отобразить подсказку политики пользователям, уведомляя их об ошибке. Это действие выполняется на клиентской стороне, так как необходимость переопределения должна быть представлена, прежде чем сообщение попадет в транспортную систему. Outlook 2013 узнает о типах конфиденциальных данных, которые следует проверять, и обстоятельствах, при которых нужно отображать подсказки политики, через два файла XML с именами PolicyNudgeRules и PolicyNudgeClassificationDefinitions. Клиент загружает их автоматически с сервера почтовых ящиков через каждые 24 часа.
На экране 5 показано, что происходит, когда Outlook отображает подсказку политики. В данном случае Outlook обнаружил, что получатель сообщения не имеет права принимать такой контент, так как в нем содержатся конфиденциальные данные. Однако правило позволяет пользователю переопределить политику, поэтому Outlook запрашивает бизнес-обоснование. Пользователь может указать любое обоснование, так как причина будет рассмотрена и, надеюсь, подвергнута аудиту на каком-то этапе. Пользователю достаточно нажать кнопку, чтобы показать, что сообщение на самом деле не содержит конфиденциальных данных. Другими словами, углубленный анализ контента Outlook по какой-то причине ошибочен. В любом случае, после того как Outlook получает гарантии, что пользователь вправе пересылать такое сообщение, оно будет обработано и доставлено транспортной системой.
Экран 5. Отображение подсказки политики |
Если вас не устраивают стандартные приглашения, приводимые в подсказках политики, можно изменить их в EAC. Для этого воспользуйтесь параметром Customize Policy Tips («Настроить подсказки политики») при редактировании правил DLP, как объясняется на веб-странице TechNet Manage Policy Tips (http://technet.microsoft.com/en-us/library/jj619307%28v=exchg.150%29.aspx).
Наконец, вернемся к экрану 3, на котором видно, что первое правило в шаблоне названо Allow override («Разрешить переопределение»). Это правило позволяет пользователям просто ввести слово Override в тему любого сообщения, которое может содержать конфиденциальные данные, но должно быть отправлено. В результате проверка DLP отменяется путем установки специального свойства X-Ms-Exchange-Organization-Dlp-SenderOverrideJustification в заголовке сообщения со значением TransportRule override.
Вы можете по своему желанию ввести это правило в политику, применяемую в производственных условиях. Некоторые администраторы считают это приглашением переопределить или отменить политику и предпочитают запрашивать у пользователей бизнес-обоснование. Но существует контраргумент: правило позволяет сотрудникам переопределять политику, отправляя сообщения с клиентов, не способных запросить обоснование.
Шаг 4. Применение политики DLP и проверка транспортных правил
После того как вы убедились, что условия и исключения в правилах политики DLP соответствуют поставленной цели, и выполнили все необходимые настройки, можно применить политику, выбрав ее и установив флажок enforce.
Политики DLP зависят от транспортных правил, поэтому необходимо убедиться, что правила, используемые политикой DLP, корректно взаимодействуют с другими транспортными правилами. Когда создается новая политика DLP, ее правила добавляются в конец списка транспортных правил. Это показано на экране 6, где два ранее существовавших транспортных правила занимают позиции 0 и 1 в приоритетном порядке. Позиция 0 имеет высший приоритет.
Экран 6. Проверка взаимодействия правил DLP с другими транспортными правилами |
Предположим, что одно из ранее существовавших правил содержит действие, вынуждающее транспортный механизм остановить обработку дальнейших правил. В таком случае правила никогда не будут выполнены. Простой пример демонстрирует необходимость продумать порядок приоритетов для правил DLP и возможное взаимодействие с другими правилами.
Шаг 5. Аудит политики DLP
Аудит — важный компонент построения эффективной политики. Если не проверять, как работает политика, вы не сможете выяснить, отвечает ли она своему предназначению. Администраторы клиентов Office 365 могут обратиться к подключаемому модулю Microsoft Excel Mail Protection Reports, среди функций которого есть и возможности анализа DLP. Локальные администраторы могут попытаться найти в журналах отслеживания сообщений свидетельства того, что сообщения не были доставлены из-за вмешательства агента (причиной которого может быть правило DLP). Однако самый простой способ выяснить, работает ли политика DLP как задумано, — добавить к правилам действие, в результате которого копия любого сообщения, нарушающего политику, отправляется в назначенный почтовый ящик с именем incident manager. Предпочтительно указать специальный почтовый ящик для приема отчетов об инцидентах, поскольку таким образом значительно упрощается просмотр формируемых отчетов.
Возвращаясь к правилу, показанному на экране 4, можно нажать кнопку add action («Добавить действие»), выбрать действие Generate incident report and send it to («Создать отчет об инцидентах и отправить его»), а затем выбрать почтовый ящик, на который возлагается роль диспетчера инцидентов. Как показано на экране 7, еще можно выбрать свойства сообщения, которые нужно включить в отчет об инцидентах, в том числе полную копию оригинального сообщения и его вложенных файлов.
Экран 7. Выбор элементов, включаемых в отчет об инциденте |
На экране 8 показан образец отчета об инцидентах. Как мы видим, в этот отчет входят следующие сведения:
- отправитель;
- получатель;
- тема сообщения;
- уровень серьезности, заданный правилом DLP;
- переопределил ли пользователь подсказки политики и по какой причине;
- тип конфиденциальных данных, вызвавший нарушение политики. В данном случае единственный номер кредитной карты обнаружен с большой долей достоверности (85%), соответствующей минимальному стандарту обнаружения;
- правило DLP, срабатывание которого привело к созданию отчета об инциденте;
- действия, вызванные правилом. В данном случае назначен уровень аудита, отправитель извещен и создан отчет об инциденте.
Экран 8. Просмотр отчета об инциденте |
В отчете об инциденте может содержаться много информации. Часть этой информации — личная для отправителя и получателя. Это означает, что доступ к диспетчеру инцидентов должен управляться и ограничиваться лицами, имеющими право на просмотр таких данных.
Изменения в Exchange 2013 SP1
Окончательная первоначальная версия (RTM) Exchange 2013 была первой версией, в состав которой входил DLP. Поэтому неудивительно, что в DLP Exchange 2013 SP1 появились два важных улучшения. Первое — дополнительная возможность отображать подсказки политики в OWA и OWA для устройств. Второе улучшение позволяет компаниям добавлять отпечатки документов в анализ контента DLP.
Отпечаток документа — цифровое описание документа, такого как форма декларации о подоходном налоге США. Идея заключается в том, что можно отсканировать бланк любого документа, используемого для сбора конфиденциальной информации, и передать его в Exchange. Отпечатки документов становятся типом конфиденциальных данных, таким же, как номер кредитной карты, и могут использоваться как любой другой тип конфиденциальных данных в правиле DLP.
Ценная технология для ряда компаний
DLP в Exchange 2013 — интересная технология, которая была расширена и усовершенствована в Exchange 2013 SP1. Как для любого проекта по созданию и реализации политики, здесь необходимы предварительное планирование и усилия, чтобы определить потребности в защите от потери данных и продумать пути решения этой задачи с помощью политики DLP. Еще одно необходимое условие — обучение пользователей. По различным причинам некоторые компании не заинтересованы в DLP, но компании, уже вложившие средства в технологии Microsoft и развернувшие (или планирующие развернуть) Exchange 2013, по достоинству оценят преимущества технологии DLP.