Обеспечение информационной безопасности организации в реальной жизни должно соответствовать принципу «безопасность не ради безопасности, а ради бизнеса», что, безусловно, поможет специалистам по информационной безопасности повысить значимость своей работы в глазах других сотрудников. Поэтому любые решения для защиты информации должны не только поддерживать основную деятельность компании, но и способствовать ее развитию. Поиск ответа на вопрос, как же это сделать, очень непрост, поскольку на протяжении многих лет информационная безопасность воспринимались как палка в колеса бизнеса и, к сожалению, зачастую именно по этому принципу действовали сотрудники отделов информационной безопасности.

В предлагаемой статье мы хотели бы на реальных примерах показать, как встроенный компонент предотвращения утечек данных Data Leak Protection (DLP) в Microsoft Exchange Server 2013 SP1 не только решает свои «профильные» задачи информационной безопасности, но и способствует развитию основной деятельности компании.

Что имеем «из коробки»

Exchange Server 2013 SP1 располагает инструментами для создания и реализации политик предотвращения утечек данных (политик DLP) по каналам корпоративной электронной почты. Компонент DLP появился в Exchange Server 2013 SP1 более 3 лет назад; в нем предусмотрены механизмы анализа почтовых сообщений и их вложений, меры реагирования в случае обнаружения сообщений, нарушающих политику DLP, а также возможности рассылки уведомлений пользователям и администраторам.

Политики DLP создаются в модуле «Центр администрирования Exchange Server 2013 SP1» (раздел «Управление соответствием требованиям», «Предотвращение потери данных»), который хорошо знаком многим специалистам по ИТ, связанным с управлением почтовой системой. Это позволяет технологически настроить работу специалистов по информационной безопасности и администраторов «на одну волну».

Политика DLP состоит из правил, каждое из которых содержит следующий набор элементов (экран 1):

  • условия;
  • исключения;
  • действия;
  • свойства.

 

Правило политики DLP
Экран 1. Правило политики DLP

 

Условия определяют характеристики сообщения, к которому будет применено созданное правило. Несколько условий объединяются логическим «И». В условиях правил могут использоваться:

  • характеристики отправителя и получателя;
  • содержимое текста сообщения, темы или вложений;
  • свойства и заголовки сообщений.

Тот же перечень характеристик сообщения доступен для использования в исключениях. Несколько исключений в правиле объединяются логическим «ИЛИ».

Действия применяются к сообщению, если оно соответствует всем условиям и не подпадает ни под одно исключение.

Свойства правила позволяют указать, когда его применить или отключить, а также приоритет и режим правила. Приоритеты правил определяют, в каком порядке правила обрабатывают сообщение. Дополнительно в правиле предусмотрена возможность остановить обработку остальных правил для сообщения.

Методы контентного анализа

Exchange Server 2013 SP1 поддерживает анализ содержимого сообщения на соответствие:

  • ключевым словам;
  • регулярным выражениям;
  • отпечаткам документа.

Отпечаток документа является нововведением в Exchange Server 2013 с пакетом обновления Service Pack 1. Его удобно применять для документов, выполненных по определенному корпоративному шаблону или форме. Отпечаток документа представляет набор хеш-значений текста незаполненного шаблона или формы. Причем соответствие отпечатку документа будет установлено только в случае наличия в проверяемом документе всего текста из шаблона или формы, указать процент соответствия нельзя.

Для применения проверки отпечатков документов необходимо сначала создать их в разделе «Управление соответствием требованиям», «Защита от потери данных», «Управление отпечатками документов», а затем в правиле использовать условие «Если сообщение содержит конфиденциальную информацию».

Корпорация Microsoft предлагает набор готовых структур данных для выявления конфиденциальной информации, например номера паспортов или карт медицинского страхования. Но, к сожалению, они предназначены для узкого круга стран, и для России подходит только шаблон «Номер кредитной карты». При этом имеющиеся структуры данных можно использовать как справочные для создания собственных структур.

Анализ текста вложений возможен для перечня основных форматов документов набора офисных приложений, а если формат вложения в сообщении не поддерживается или вложение защищено паролем, то можно заблокировать отправку такого сообщения, используя соответствующее условие, например «Любое вложение защищено паролем» или «Невозможно проверить содержимое любого вложения», что актуально для многих организаций.

Правильное реагирование

Число возможных вариантов реагирования на нарушение политики DLP достигает двух десятков; мы остановимся подробнее на нескольких из них, наиболее интересных с точки зрения поддержания и развития бизнес-процессов организации. Схемы некоторых вариантов реагирования представлены на экране 2.

 

Схемы вариантов реагирования
Экран 2. Схемы вариантов реагирования

 

• Переслать сообщение для утверждения пользователям: запрос об утверждении, содержащий утверждаемое сообщение во вложении, отправляется на один или несколько адресов.

Если указано несколько адресов, то для утверждения или отклонения достаточно, чтобы хотя бы один из них разрешил или отклонил отправку. При отказе утверждающий может указать отправителю причину отказа (экран 3). Одним из возможных сценариев процесса утверждения является цепочка утверждений; для реализации данного сценария необходимо создать два правила с разными утверждающими лицами.

 

Отказ с объяснением причины
Экран 3. Отказ с объяснением причины

Данный вариант реагирования является исключительно интересным, так как на его основе можно выстроить полноценные процедуры согласования и утверждения определенных действий, и для этого не нужна какая-то сторонняя информационная система. А если необходимо, то можно обеспечить высокую оперативность за счет получения «отмашки» хотя бы от одного из согласующих/утверждающих лиц.

• Отклонить сообщение и включить объяснение: сообщение удаляется, а отправитель получает уведомление с объяснением причин (экран 4).

 

Уведомление о блокировке
Экран 4. Уведомление о блокировке

Стоит отметить, что уведомления формируются на русском языке, это позволяет отправителю быстрее сориентироваться и понять, что он сделал не так.

• Добавить получателей в поле «СК»: один или несколько получателей добавляются в поле «Скрытая копия», исходные получатели и отправитель не уведомляются об этом. Очень удобный вариант для случаев, когда об определенных действиях должен быть в обязательном порядке уведомлен ответственный специалист, определенный руководитель или специалист по информационной безопасности.

• Добавить в начало темы сообщения некоторый префикс. Если вы используете корпоративные правила наименования электронных писем, централизованно формируете для приложения Outlook правила по обработке электронной почты (сортировка по папкам, цветовая маркировка и т. п.), то этот вариант реагирования вас точно заинтересует.

• Создать отчет об инциденте и отправить его на указанные адреса (экран 5). Классическое уведомление специалистов по информационной безопасности, которое прекрасно встраивается в процесс управления инцидентами информационной безопасности.

 

Отчет об инциденте
Экран 5. Отчет об инциденте

• Уведомить отправителя подсказкой политики. Подсказки представляют собой, возможно, самый полезный инструмент. С его помощью можно предупредить пользователя, что набираемое им сообщение нарушает корпоративную политику, обратить его внимание на определенные аспекты, здесь бесшовно встраивается процесс повышения осведомленности персонала по вопросам обеспечения информационной безопасности организации. К тому же можно потребовать от отправителя подтвердить, что он отдает отчет в своих действиях, что тоже является крайне востребованной функцией при выстраивании бизнес-процессов компании.

Перед использованием подсказок в правилах политики необходимо создать их в разделе «Управление соответствием требованиям», «Защита от потери данных», «Управление подсказками политик». Самое ценное, что уведомления доступны не только в интерфейсе Outlook 2013, но и в веб-клиенте Outlook Web App (OWA). Похвастаться таким расширением зоны действия компонента DLP на сегодня не может ни одно стороннее решение DLP (экран 6).

 

Подсказки политики в Outlook и OWA
Экран 6. Подсказки политики в Outlook и OWA

Доступность корпоративной электронной почты

Если говорить о требованиях бизнеса к информационным технологиям, то доступность всегда была и будет на первом месте. В связи с этим очень часто на практике в ущерб конфиденциальности для «особых сотрудников» открывают доступ из любой точки мира или с использованием любых устройств. И здесь корпорация Microsoft пошла в правильном направлении, предоставив возможность применения политик DLP для различных вариантов доступа к корпоративной электронной почте. Доступ возможен с помощью:

  • Microsoft Outlook 2013 Professional Plus;
  • Outlook Web App (OWA);
  • мобильных устройств под управлением операционных систем Windows Phone, iOS или Android по протоколу Exchange ActiveSync.

При доступе пользователей к корпоративной электронной почте перечисленными выше способами наблюдаются некоторые отличия в уведомлении пользователей подсказками политики. Уведомления в интерфейсе OWA появились лишь в версии Exchange 2013 Service Pack 1, а при синхронизации по протоколу Exchange ActiveSync уведомления политики не отображаются, но важно отметить, что это не влияет на работу самих политик DLP в части разрешения или запрета на передачу сообщений.

Надо сказать, что множество вариантов доступа к корпоративной электронной почте имеет большое значение для обеспечения оперативного ответа при реализации сценариев утверждения отправки сообщений. Если сравнивать с аналогичным сценарием утверждения, реализуемым сторонним решением DLP, то ответственному за утверждение необходим непосредственный доступ к интерфейсу управления решения DLP, здесь же этого не требуется. На экране 7 приведен пример утверждения с мобильного устройства через интерфейс Outlook Web App (OWA).

 

Запрос на утверждение
Экран 7. Запрос на утверждение

Еще один пример использования

Вариантов условий, применяемых в политиках DLP, всего более пятидесяти, так что, к сожалению, мы не можем охватить их в данной статье (подробности приведены на веб-сайте TechNet по адресу: https://technet.microsoft.com/ru-ru/library/dd638183(v=exchg.150)), однако хотелось бы привести еще один пример использования одного интересного условия. Это условие на основе типа сообщения, которое может иметь следующие значения:

  • автоматический ответ;
  • автоматическое перенаправление;
  • зашифровано;
  • ведение календаря;
  • с управлением разрешениями;
  • голосовая почта;
  • подписано;
  • запрос на утверждение;
  • уведомление о прочтении.

Как мы видим, типы сообщения учитывают особенности корпоративной переписки посредством Exchange Server 2013 SP1 и практически недоступны сторонним решениям DLP.

Пример может быть следующий: если сообщение подписано электронной подписью, то его можно отправлять без проверки или с минимальной проверкой, предполагая, что отправитель совершает данное действие осознанно, используя свой цифровой сертификат и закрытый ключ, зачастую размещенный на съемном носителе или электронном ключе.

В данном контексте стоит упомянуть атаку от имени руководства, называемую CEO Fraud, в ходе которой злоумышленник отправляет сотрудникам сообщения с подозрительными требованиями якобы от имени руководства организации. Одним из вариантов борьбы с данной атакой как раз является использование электронной подписи в рамках инфраструктуры открытых ключей Public Key Infrastructure. И в случае с Exchange Server 2013 SP1 вы можете учитывать эти параметры при защите корпоративной электронной почты от утечки данных.

Если сравнивать штатный компонент DLP в составе Exchange Server 2013 SP1 cо сторонними полноценными решениями DLP, то он уступает им по возможностям контентного анализа вложений. Но, как показывает практика, чаще всего организации используют именно простые методы контентного анализа (в первую очередь по ключевым словам и регулярным выражениям) или, как минимум, начинают с них реализацию своего проекта DLP, а здесь Exchange Server 2013 SP1 «чувствует себя» вполне уверенно.

Еcли же говорить о возможностях создания «гибких» политик DLP, в том числе вариантах реагирования, учитывающих бизнес-процессы компании, то Exchange Server 2013 SP1 не только не уступает ведущим решениям DLP, но и превосходит некоторые из них за счет «нахождения» внутри службы электронной почты, а не «рядом с ней».

Как уже отмечалось, если говорить о зоне покрытия средством DLP в отношении канала утечки «Корпоративная электронная почта», то у Exchange Server 2013 SP1 она самая большая.

Принимая во внимание, что для владельцев Exchange Server 2013 SP1 компонент DLP доступен бесплатно «из коробки», вы можете начать его использовать сразу же после прочтения данной статьи. Для многих специалистов по информационной безопасности это возможность понять, готовы ли они к внедрению полноценной системы DLP у себя в организации.

На наш взгляд, только после фокусного использования в разрезе корпоративной электронной почты, когда вы поймете, каких именно возможностей DLP в Exchange Server 2013 SP1 вам действительно не хватает, имеет смысл обратиться к сторонним и зачастую дорогостоящим решениям DLP.

В заключение отметим, что для тех, кому необходимо использовать сертифицированные по требованиям безопасности информации средства защиты информации, существует версия Exchange Server 2013 SP1, имеющая сертификат ФСТЭК России № 3229 «Программное обеспечение Microsoft Exchange Server 2013 в редакциях Standard и Enterprise — на соответствие ТУ», но это уже тема для отдельной статьи.