Ложные срабатывания. Новая техника ловли двух зайцев. Часть 2 +23




Итак, в первой части статьи мы говорили о том, что поймать двух зайцев сразу, т.е. построить фильтрацию со 100% точностью и полнотой, можно лишь в «вакууме» — для конечного числа состояний искомых объектов и условий их передачи. При выходе из этого «вакуума» мы получим резкое ухудшение по обоим показателям.

Распределение ценной информации и мусора и идеальное условие в «вакууме», их разделяющее:



Но что если попробовать бороться за точность и полноту не одновременно, а по очереди? Например, сначала провести сообщение с информацией через правило политики повышенной точности, а затем через правило повышенной полноты с соответствующей маркировкой сообщения — «Правило повышенной точности» и «Правило повышенной полноты». Естественно, если сработало первое правило, второе автоматически игнорируется. Как показывает теория и практика, такой подход позволяет получить лучшие результаты при достаточном уровне зрелости использования систем DLP.

Таким образом, сообщения проходят два этапа фильтрации. После первого этапа, который мы назовем этапом высокой точности, мы сразу получаем некоторое количество событий высокой критичности с реальными инцидентами. На практике их количество варьируется, исходя из цифры 10 — 20 событий высокого риска в сутки на одного офицера безопасности. Соответственно, эти инциденты разбираются в первую очередь.

За этим следует т.н. этап высокой полноты, в ходе которого часть трафика, размеченная по правилам политики высокой полноты, обрабатывается в режиме мониторинга – также с использованием приемов, которых мы еще частично коснемся.

NB. При использовании одноуровневой фильтрации мы рекомендуем компромисс между полнотой и точностью с приоритетом первой — критерий Неймана-Пирсона, хорошо зарекомендовавший себя. Вкратце этот критерий требует прежде всего высокой полноты поиска.


Первый уровень фильтрации. Работа с повышенной точностью.


Напомним, что каждая политика безопасности в DLP определяет некоторое условие, накладываемое на информацию, и реакцию системы и офицера безопасности на выполнение этого условия. Проиллюстрируем такое правило и особенности точной фильтрации на одном распространенном простом примере — утечке коммерческих предложений.

Представим эту ситуацию базовой цепочкой «объект – субъект – действие». Для нашего случая объектом будет «коммерческое предложение», субъекты — персоны из группы «Отдел продаж», и действия — передача 2-х и более коммерческих предложений по исходящей почте. Соответствующими условиями политики DLP-системы будут:

  • Описание коммерческих предложений с помощью инструментов работы с текстами.
  • Принадлежность источника сообщений персонам из отдела продаж.
  • Передача сообщения по каналу исходящей почты.

Реакцией системы DLP на подобного рода сообщение будет создание события ИБ высокого уровня критичности. Такие условия и реакция определяют базовую политику фильтрации. Теперь перейдем к ее модификации до состояния точной фильтрации.

Точная фильтрация должна коснуться каждого из этих условий и, конечно, реакции на их выполнение. Например, в описание текстового шаблона коммерческого предложения добавляются условия, учитывающие регистр, порядок ключевых слов и их количество в документе. К условию на группу «Отдел продаж» можно добавить условие на превышение системного уровня доверия в DLP, а также принадлежность субъектов к группам особого риска, таким как «Испытательный срок» или «Под подозрением». Условие на канал коммуникации можно сузить до веб-почты. Более того, в качестве доменов можно указать список доменов конкурентов. Очевидно, что при таком детализированном наборе условий в выдачу будет попадать значительно меньше т. н. «мусора».

Что касается реакции на усиленные условия, то в ее роли может выступать создание события критичного уровня с дополнительной блокировкой или же отправкой уведомления офицеру безопасности.

Таким образом, правила фильтрации, соответствующие повышенной точности, обычно подразумевают оперативное реагирование на события. Наиболее строгое из них — это блокировка передаваемого сообщения или перемещения информации (например, запрет печати или копирования на съемный носитель). Менее строгое действие отправки уведомления тоже активно используется для правил фильтрации. Уведомления обычно отправляются офицеру безопасности, или в случаях передачи бизнес-сведений — руководителям соответствующих подразделений вплоть до самого пользователя (обычно это определяется стратегией информационной безопасности компании). Не тривиальным, но эффективным средством реагирования на события может быть реконструкция сообщения.

Итак, этот пример демонстрирует принцип точной фильтрации – первого из двух этапов предлагаемого нами метода двойной фильтрации, который состоит в усилении условий по всем факторам риска и повышении уровня реагирования.

Второй уровень фильтрации. Работа с повышенной полнотой.


Снова вернемся к примеру с коммерческими предложениями и настроим фильтрацию на второго «зайца» — полноту. Как уже говорилось ранее, сообщение проходит фильтрацию повышенной полноты после фильтрации на повышенную точность.

Теперь мы ослабим условия фильтрации событий, связанных с утечкой коммерческих предложений. В частности, откажемся от условия принадлежности источника сообщения группе «Отдел продаж» и снимем ограничение на передачу строго по каналу исходящей почты. Реагировать на подобные сообщения мы будем, создавая события низкого уровня критичности. Таким образом, при работе с повышенной полнотой исключаются действия немедленного реагирования (блокировка, отправка уведомлений, создание событий высокой критичности и т. д.).

На выходе после такой фильтрации мы получаем значительно больше событий уже низкого уровня критичности и без блокировки и отправки уведомлений. Разумеется, среди этих событий мусора будет уже значительно больше. Но благодаря динамической фильтрации событий по атрибутам и типам угрозы, мы, совмещая разные наборы событий, сможем находить среди множества событий те, которые не попадают под жесткие условия «высокой точности», но свидетельствуют о нарушении – иногда еще только планируемом.

То, что является мусором с точки зрения одного правила политики, может оказаться реальным инцидентом при комбинировании нескольких типов событий. Предположим, в нашем случае политика безопасности в отношении коммерческих предложений дополнена правилом, детектирующим документы Microsoft Word с непримененными исправлениями. Комбинация двух этих правил может выявить конфликт интересов, так как в непримененных исправлениях коммерческого предложения могут содержаться признаки сговора или раскрытия коммерческой тайны, даже если оно в одном экземпляре и получено по входящей почте.

При работе с результатами фильтрации повышенной полноты в работу по выявлению инцидентов активно вовлекается офицер безопасности, вооруженный аналитическими инструментами, имеющимися в DLP. Прежде всего, это инструменты работы с множественными выборками событий повышенной полноты:

  • Расширенный поиск по типам угроз и сработавшим правилам.
  • Досье на персону.
  • Динамическая фильтрация по сочетаниям событий разных типов, источников, каналов.
  • Статистические срезы.

Подведем итоги


Рассмотренная методика двухуровневой фильтрации информационного трафика позволяет повысить эффективность работы с DLP. Но, как обычно, высокое качество имеет дополнительные требования.

Во-первых, это увеличение затрат на разработку политик фильтрации. Хотя настройка политик — нечастое мероприятие, все же нужно предусмотреть увеличение затрат на эту задачу.

Во-вторых, ввиду удвоения правил фильтрации, своевременная быстрая обработка трафика будет требовать больше ресурсов, чем одноуровневая фильтрация.

В-третьих, предложенный подход подразумевает хороший уровень владения инструментами современных DLP. В особенности это касается средств построения политик фильтрации и расширенного поиска.

Однако во всем этом нет ничего недостижимого, и не боги горшки обжигают. Зато в итоге офицер безопасности получает не заверения в «нулевом количестве ложных срабатываний», а прозрачный и понятный метод работы, который позволяет повысить эффективность использования DLP – в плане как полноты обработки инцидентов, так и оперативности реагирования на них.

Авторы:
Максим Бузинов, старший математик, компания Solar Security.
Галина Рябова, руководитель направления Solar Dozor, компания Solar Security.




К сожалению, не доступен сервер mySQL