ОБ УТЕЧКЕ ДАННЫХ И DLP-СИСТЕМАХ Текст научной статьи по специальности «Компьютерные и информационные науки»

ЕСТЕСТВЕННЫЕ НАУКИ

v":' КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА v":'

Научная статья УДК 004.056

https://doi.org/10.24412/2687-0185-2022-4-226-232 NIION: 2007-0083-4/22-205 MOSURED: 77/27-005-2022-04-404

Об утечке данных и DLP-системах

Андрей Александрович Страхов1, Наталья Михайловна Дубинина2

'■2 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия

1 cokr@mail.ru

2 nm_dubinina@mail.ru

Аннотация. Информация — это актив, имеющий определенную ценность, следовательно, всегда найдется тот, кто попытается воспользоваться чужой информацией для собственного обогащения. Данная статья посвящена проблеме утечки данных в компьютерных системах и методам противодействия подобным инцидентам безопасности.

Ключевые слова: кибербезопасность, информационное пространство, киберпреступность, утечка данных, предотвращение потери данных

Для цитирования: Страхов А. А., Дубинина Н. М. Об утечке данных и DLP-системах // Криминологический журнал. 2022. № 4. С. 226-232. https://doi.org/10.24412/2687-0185-2022-4-226-232.

Original article

About data leakage and DLP systems

Andrey A. Strakhov1, Natalia M. Dubinina2

'•2 Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Moscow, Russia

1 cokr@mail.ru

2 nm_dubinina@mail.ru

Abstract. Information is an asset that has a certain price, therefore, there will always be someone who will try to use someone else's information for their own enrichment. This article is devoted to the problem of data leakage in computer systems and methods of countering such security incidents.

Keywords: cybersecurity, information space, cybercrime, data leakage, data loss prevention

For citation: Strakhov A. А., Dubinina N. M. About data leakage and DLP systems. Criminological Journal. 2022;(4):226-232. (In Russ.). https://doi.org/10.24412/2687-0185-2022-4-226-232.

Человеческая цивилизация в основной массе оказалась не готова к цифровой трансформации и переносу технологий в киберпространство. Информационное общество породило новые методы совершения преступлений, в новых условиях преступники адаптировались быстрее обычных потребителей цифровых данных и услуг.

В 2019 г. произошла утечка персональных данных более 533 млн пользователей социальной сети Facebook из 106 стран. В сеть Интернет хакеры выложили идентификаторы пользователей, номера телефонов, полные имена, места дислокации, даты рождения, биографии и адреса электронной почты. Не стали исключением персональные данные Марка

Цукерберга, Криса Хьюза и Дастина Московица — основателей Facebook. В результате владельцам Fa-сеЬоок был нанесен серьезный материальный и ре-путационный ущерб.

16 ноября 2022 г. на известном хакерском форуме появилось объявление о продаже базы данных с 487 млн номеров телефонов пользователей WhatsApp. Подобная информация, в основном, представляет ценность для любителей фишинга и его телефонных модификаций — смишинга и вишинга.

По заявлению продавца, база данных содержала телефоны пользователей мессенджера WhatsApp из 84 стран, среди которых граждане США (более 32 млн записей), Египта (45 млн), Италии (35 млн), Саудов-

165C 4:Mark: Zuckerberg:male: Palo Alto, California :Dobbs Ferry, New York:Married:Chan Zuckerberg

Initiative:1/10/2019 12:00:00 AM:: 05/14/1984

1617 :5 : Chris : Hughes:male: ::Married:Economic Security Project: 6/17/2018 12:00:00 AM::

1352 : 6 :Dustin:Moskovitz:male: : : ::ll/4/2018 12:00:00 AM::

Рис. 1. Фрагмент базы данных о пользователях РаееЬоок © Страхов А. А., Дубинина Н. М., 2022

-^pr-

COMPUTER SCIENCE AND INFORMATICS

BreachForums User

MEMBER

ской Аравии (29 млн), Франции (20 млн), Турции (20 млн), Великобритании (11 млн), России (10 млн) и др. Стоимость базы данных для США — 7 тыс. долл., для Великобритании — 2500 долл., а для Германии — 2 тыс. долл.

На обращение исследовательской компании Cybemews, продавец базы данных уточнил, что для сбора данных использовалась собственная стратегия, и заверил, что все записи принадлежат активным пользователям WhatsApp. Выборочная проверка 1097 номеров пользователей в Великобритании и 817 в США показала подлинность номеров и их принадлежность конкретным людям.

Специалисты Cybemews предположили, что информация о пользователях WhatsApp могла быть получена путем использования технологии масштабного скрейпинга (scraping) — извлечения нужных данных из кода веб-страниц. Материнская компания Meta (организация признана экстремистской и запрещена на территории России) на официальный запрос Cybernews об утечке данных из WhatsApp не ответила.

В то же время информационный ресурс Rolling Stone опубликовал другую скандальную информацию о том, что некоторые недобросовестные сотрудники компании Meta на протяжении многих лет использовали в корыстных целях доступ к учетным записям пользователей социальных сетей Facebook и Instagram и под видом хакеров продавали чужие логины и пароли.

Несколько десятков специалистов, в том числе из службы безопасности Facebook, были уволены в 2021 г. после того, как расследование установило факты противоправного получения контроля над чужими учетными записями с помощью внутренней функции восстановления доступа к учетным записям «Oops» (online operations).

В 2021 г. в Даркнете выставили на продажу персональные данные почти 100 млн подписчиков платежного приложения MobiKwik. За 70 тыс. долл. продавцы гарантировали предоставление около 8,2 ТБ данных с номерами телефонов, адресами электронной почты, зашифрованными паролями, журналами транзакций и номерами платежных карт.

В том же 2021 г. по сообщению The Wall Street Journal в китайской компании Alibaba Group произошла крупнейшая утечка конфиденциальной ин-

487 million whatsapp users database

by A Wednesday November 16,2022 at 05:23 AM

November 16,2022,05:23 AM

Hi, Today I'm selling following Whatsapp users database of recent 2022 updated.

Total countries are upto 84

Total Estimated records - 487 million plus

Telegram link - https://t.me/,

Sr # Country Records

1 Afghanistan 558,393

2 Africa 14,323,766

3 Albania 506,602

4 Algeria 11,505,898

5 Argentina 2,347,553

6 Austraia 1,249,388

7 Australia 7,320,478

8 Bahrain 1,450,124

9 Bangladesh 3,816,339

10 Belgium 3,183,584

11 Bolivia 2,959,209

12 Brazil 8,064,916

13 Brunei 213,795

14 Bulgaria 432,473

15 Cameroon 1,997,658

16 Canada 3,494,385

17 Chile 6,889,083

Рис. 2. Скриншот предложения о продаже базы пользователей WhatsApp формации — более 1 млрд персональных данных клиентов. Используя программу для сканирования сетевых ресурсов, официальный разработчик ПО в течение восьми месяцев копировал данные пользователей популярной платформы интернет-торговли Taobao, пока администрация Alibaba не заметила подозрительную активность в своей сети.

Одна из крупнейших утечек в здравоохранении зарегистрирована в январе 2022 г. на территории Таиланда. Неизвестные злоумышленники похитили и выставили на продажу в Даркнете персональные данные около 40 млн пациентов медицинских учреждений: имена, адреса, паспортные данные, телефоны, даты рождения и т. д.

Приблизительно тогда же в Telegram появилась информация о продаже контактных данных 16 млн итальянских граждан, привитых от COVID-19.

На подпольной площадке RaidForums (закрыта правоохранительными органами в апреле 2022 г.) появилось предложение о продаже 6 млн персональных данных граждан Индонезии: имена, фотографии, адреса больниц, рентгеновские снимки и результаты тестов на COVID-19.

В своем выступлении на Петербургском международном экономическом форуме (ПМЭФ) в 2022 г. зампред правления Сбербанка Станислав Кузнецов сообщил, что в течение 2022 г. из системы электронного банкинга были украдены данные 65 млн россиян. В результате хакерских атак скомпрометированы свыше 13 млн банковских карт, из которых 1 млн принадлежали Сбербанку, остальные 12 млн принадлежали другим банковским организациям. Ущерб от перевыпуска карт составил не менее 4,5 млрд руб.

Весной этого года в Интернете появились персональные данные пользователей «Яндекс Еды»,

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

Delivery Club, СДЭК, ВТБ, Wildberries и др. В июне «Яндекс» сообщил, что проводит внутреннее расследование в связи с публикацией в Интернете данных пользователей сервиса «Практикум».

Резкое изменение ландшафта угроз кибербезопас-ности в период пандемии повлекло серьезные сдвиги в формировании структуры утечек. Ускорились темпы цифровизации бизнес-процессов, на первый план вышли дистанционные технологии поддержки профессиональной деятельности, облачные сервисы, электронные платежи и т. п. Персональные данные потенциальных жертв в сети Интернет резко возросли в цене. Базы данных о клиентах той или иной организации стали ликвидным товаром на «черном» рынке.

В этом смысле вызывают интерес результаты исследования, опубликованные в отчете компании In-foWatch за 2021 г.

Утечку информации по вине внутренних нарушителей выявить намного сложнее, а политика мно-

0,8

2018 2019 2020 2021

Ряд 1 — доля умышленных утечек среди всех зарегистрированных утечек. Ряд 2 — доля умышленных утечек внутреннего характера.

Рис. 3. Динамика умышленных утечек

гих организаций не приветствует разглашение данных о внутренних инцидентах безопасности.

Доминирующим типом украденной информации со значительным отрывом являются персональные данные.

К персональным данным относятся также цифровые следы пользователя, позволяющие установить его личность — Personally Identifiable Information (PII).

Изучая наиболее громкие инциденты безопасности, связанные с утечками данных, руководитель исследовательской группы Cybernews Мантас Сас-наускас пришел к заключению: «В наш век мы все оставляем значительный цифровой след, и такие технологические гиганты, как Meta, должны обеспечить все меры предосторожности и средства для защиты этих данных». Клиенты компаний, ведущих свой бизнес через интернет-платформы, доверяют этим компаниям и ожидают именно от них практических мер нейтрализации угроз утечки и предотвращения злоупотреблений персональными данными.

Основными источниками угроз утечки данных непосредственно из автоматизированных систем, где они обрабатываются, являются:

• экструзия или проникновение внутрь периметра автоматизированной системы с целью «выдавливания» из нее конфиденциальной информации (вредоносные коды, фишинг, целевые атаки);

• инсайдерская деятельность или злоупотребления назначенными правами доступа штатных (или бывших) сотрудников организации;

• непреднамеренное воздействие или нарушение правил разграничения доступа при обработке конфиденциальных данных штатными сотрудниками.

Рис. 4. Типы данных — объекты утечки 228 Криминологический журнал № 4 / 2022

jjiiL.

-^pr-

COMPUTER SCIENCE AND INFORMATICS

Рис. 5. Доли утечек, распределенные по внутренним нарушителям

Эксперты считают, что первое понимание важности защиты внутренней информации от утечек появилось у крупного бизнеса в начале XXI в. Объемы деловой информации росли одновременно с запросами бизнес-процессов. Возникла необходимость автоматической защиты цифрового «периметра» вокруг организации с возможностью анализа всей исходящей, а в ряде случаев и входящей информации. В то же время стали зарождаться и развиваться нормативы, которые были направлены на защиту персональных данных.

Наиболее эффективным средством защиты автоматизированных систем от угроз утечки данных становятся системы класса DLP (Data Leak Prevention).

DLP — это специализированное программное обеспечение, предназначенное для защиты автоматизированных систем от утечек информации. В основе функционирования DLP лежит принцип анализа всей информации, которая циркулирует в корпоративной сети — входящей, исходящей и внутренней. Специальные датчики, установленные на сетевых конечных точках, серверах и внешних шлюзах определяют характер проходящей информации и реагируют на нее в соответствии с заданными алгоритмами.

Первые DLP-продукты сформировались из уже существующих и активно используемых на тот момент технологий антивирусных систем и решений по фильтрации спама. Технологии действовали по принципу контентно-контекстного подхода: алгоритм начинал оценивать определенный файл на основе его содержания и метаданных. Метод настолько укоренился, что, несмотря на все недостатки, до сих пор является основным для решений класса DLP.

Сейчас DLP-продукты поставляются с предварительными настройками правил контроля потоков

данных, но в каждой организации требуется их тонкая настройка на конкретные информационные активы и адаптация к политике безопасности.

Инструменты DLP могут иметь несколько форм и могут специализироваться на идентификации и управлении данными в различных состояниях, таких как данные, находящиеся в состоянии покоя на устройстве, используемые приложением или перемещаемые по сети. Превентивная защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

1. DATA-IN-TRANSIT — данные в виде информационных пакетов, передаваемых по проводным и беспроводным каналам связи, в процессах:

■ Сеть (браузер, Cloud)

■ Электронная почта

■ Менеджеры сообщений (текст, голос, видео)

■ Бумажные документы

■ Кража/потеря оборудования

■ Съемные носители Мобильные устройства

Рис. 6. Доли утечек, распределенные по типу канала утечки

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

• web-серфинга (протоколы HTTP/HTTPS);

• файлового обмена (протокол FTP);

• почтового обмена (протоколы POP, SMTP, IMAP и т. д.);

• серфинга в пиринговых сетях (P2P);

• мгновенного обмена сообщениями через IM-мес-сенджеры (Skype, WhatsApp, MSN, Telegram и т. д.);

• проведения групповых чатов, вебинаров, аудио-видеоконференций (Zoom, Discord, TrueConf и т. д.).

2. DATA-AT-REST — данные в виде файлов и баз данных, размещенных:

• на серверах (файловых, почтовых, DNS и др.);

• в информационных и управляющих АС;

• в облачных хранилищах.

3. DATA-IN-USE — данные в процессе обработки и хранения на конечных сетевых устройствах (endpoint):

• во встроенной памяти и на внешних носителях (HDD, SSD, USB-флеш, SD, DVD и т. д.);

• ноутбуках и мобильных коммуникаторах;

• периферийных устройствах ввода-вывода информации.

На верхнем уровне инструменты DLP поддерживают две основных стратегии — анализ DLP конечных точек и анализ DLP сети. Обе эти стратегии могут предоставляться как отдельное DLP-решение или интегрироваться как часть других инструментов или служб безопасности.

Endpoint DLP используют программу-агента, развернутую на защищенном компьютере. Этот подход часто необходим для защиты данных, находящихся в состоянии покоя на устройстве, которые не будут видны по сети. Endpoint DLP также может проверять контент и применять средства контроля перед его общим использованием, например, предотвращать отправку конечным пользователем конфиденциального документа по электронной почте.

Network DLP проверяет сетевой трафик на наличие защищаемых данных во время пересечения периметра автоматизированной системы. Сетевая стратегия предотвращения утечек не требует агента, но в значительной степени ограничена форматами пакетов данных.

Решение о блокировании данных принимается либо DLP-системой автоматически, либо администратором безопасности.

Все способы обнаружения утечек можно разделить на две группы. К первой относятся технологии, которые основаны на анализе непосредственно самих текстов передаваемых сообщений или документов (морфологический и статистический анализы, шаб-

лоны). По аналогии с антивирусной защитой их можно назвать проактивными. Вторую группу составляют реактивные способы (цифровые отпечатки и метки). Они определяют утечки по специальным свойствам документов или наличию в них специальных меток.

Морфологический анализ осуществляет поиск в исследуемом контексте ключевых слов или фраз, которые размещаются в специальных словарях, включая словари «цифровых отпечатков данных», подлежащих защите. В соответствии с ФЗ «О защите персональных данных» ФЗ-152 это могут быть персональные данные сотрудников или клиентов организации.

Главным преимуществом этого популярного метода является его универсальность. С помощью морфологического анализа может контролироваться любая текстовая информация, представленная в форматах текстовых файлов, мгновенных сообщений, электронной почты, веб-страниц и т. п. При этом мониторинг защищаемых данных активируется сразу после создания правил их обработки.

Недостатками морфологического анализа являются относительно низкая скорость полнотекстового анализа данных, необходимость постоянной корректировки базы правил, высокое количество ложных срабатываний.

Статистический анализ позволяет определить защищаемые данные на основе вероятностных характеристик. Интеллектуальные алгоритмы способны определить уровень конфиденциальности текста по количеству используемых терминов и определенных словосочетаний.

Несмотря на универсальность, алгоритмы статистического анализа эффективны только при условии постоянного обучения на основе известных исходных данных.

Основным недостатком статистического анализа является вероятностный характер принятия решения.

Регулярное выражение (regex) — это последовательность алфавитно-цифровых символов и специальных знаков, позволяющая создавать универсальные поисковые шаблоны. Другими словами регулярные выражения задают коды для поиска текстовых строк, имеющих общие признаки.

Главным преимуществом метода регулярных выражений является высокая эффективность обнаружения структурированных данных, например, о клиентах, бизнес-процессах или сотрудниках организации.

Вместе с тем, поиск среди определенных структур данных значительно ограничивает сферу применения метода и увеличивает количество ложных срабатываний.

jjiiL.

-^pr-

COMPUTER SCIENCE AND INFORMATICS

Ряс. 7. Анализ документа

Цифровой отпечаток документа или его части — это уникальный двоичный код, позволяющий идентифицировать документ среди других документов (по аналогии с отпечатками пальцев). Цифровые отпечатки типовых шаблонов обычно хранятся в базе DLP-систем в виде хэш-кодов.

Важным преимуществом цифровых отпечатков является то, что они могут использоваться не только для любых форматов данных.

Цифровые метки — это скрытые коды, вносимые в готовый текстовый документ в качестве признаков его конфиденциальности. В зависимости от их наличия DLP-система принимает решение об ограничениях доступа к защищаемой информации.

Недостатком данного метода является, то, что избежать установки меток можно путем набора текста вручную при создании нового документа.

Наиболее распространенные сценарии применения DLP-систем:

• защита информации, конфиденциальность которой критически важна для успешной деятельности (ноу-хау, персональные данные клиентов, стратегии развития и инвестирования и т. д.);

• управление персоналом и мотивация сотрудников к добросовестному выполнению служебных обязанностей;

• выявление коррупционных схем при закупках, а также фактов аффилированности, вымогательства и получения взяток;

• контроль сотрудников, имеющих доступ к важным финансовым и информационным активам;

• отслеживание коммуникаций по ключевым сделкам, управление конфликтом интересов, обеспечение непрерывности ключевых бизнес-процессов;

по цифровому отпечатку

• отслеживание климата в коллективе, отзывов о руководителях, выявление распространителей слухов и инсайдеров;

• выявление связей с конфликтно уволенными, криминалом, конкурентами, СМИ;

• контроль сотрудников из групп риска для своевременного пресечения возможного ущерба (должники, наркоманы, игроманы, транжиры, ранее судимые, сектанты и т. д.);

• отслеживание соответствия регламентам, кодексам, стандартам и законам;

• ведение архива всех коммуникаций в автоматизированной системе;

• передача данных в SIEM-системы менеджмента кибербезопасности и проведение расследований киберинцидентов;

• выявление признаков промышленного шпионажа и саботажа, террористических и экстремистских действий, вербовочных разработок, сокрытия нарушений режима охраны;

• обеспечение соответствия требованиям 152-ФЗ «О персональных данных», постановления правительства № 1119 «Об утверждении требований к защите персональных данных», приказов ФСТЭК России № 17-2019 г. и № 21-2020 г., а также стандартов и рекомендаций Банка России.

В заключение к множеству несомненных плюсов использования DLP-систем необходимо отметить и ряд проблем, возникающих при внедрении DLP в структуру автоматизированной системы организации:

• чем выше интеллект системы, тем выше ее стоимость;

• эффективная фильтрация конфиденциальных данных требует детального обучения анализатора, иначе резко возрастает число ложных срабатываний;

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

• перехват и анализ всех данных потребует значи- правил их контроля, что может оказаться достаточно тельных вычислительных ресурсов и отвлечение их от сложной проблемой для собственных специалистов; бизнес-процессов; • автоматическое прерывание бизнес-процессов

• высокая гарантия выявления утечек потребует по фактам утечки данных может снизить эффектив-детального описания информационных активов и ность основной деятельности организации.

Российские разработчики DLP-решений:

InfoWatch InfoWatch Traffic Monitor

SearchInform КИБ SearchInform

FalconGaze Falcongaze SecureTower

Zecurion Zecurion DLP

Symantec DLP-система Symantec

Ростелеком-Солар Solar Dozor

Staffcop Staffcop Enterprise

Библиографический список

1. WhatsApp data leaked — 500 million user records for sale online // URL://https://cybernews.com/news/what-sapp-data-leak/

2. Booz Allen Hamilton Holding Corporation notifies employees of insider breach // URL://https://www.da-tabreaches.net/booz-allen-hamilton-holding-corporation -notifies-employees-of-insider-breach/

3. Сбербанк заявил об утечке данных 65 млн россиян с 24 февраля // URL://https://www.forbes.ru/tekh-nologii/468879-sberbank-zaavil-ob-utecke-dannyh-65-mln-rossian-s-24-fevrala.

4. Сайт компании InfoWatch // URL://https:// www.infowatch.ru.

5. DLP (Data Leak Prevention) — предотвращение утечек данных // URL://https://processmi.com/terms/dlp-data-leak-prevention-predotvrashhenie-utechek-dannyh/

Bibliographic list

1. WhatsApp data leaked — 500 million user records for sale online // URL://https://cybernews.com/news/ whatsapp-data-leak/

2. Booz Allen Hamilton Holding Corporation notifies employees of insider breach // URL://https://www.da-tabreaches.net/booz-allen-hamilton-holding-corporation -notifies-employees-of-insider-breach/

3. Sberbank announced the data leak of 65 million Russians since February 24 // URL://https://www.for-bes.ru/tekhnologii/468879-sberbank-zaavil-ob-utecke-dannyh-65-mln-rossian-s-24-fevrala.

4. InfoWatch company website // URL://https:// www.infowatch.ru.

5. DLP (Data Leak Prevention) — prevention of data leaks // URL://https://processmi.com/terms/dlp-data-leak-prevention-predotvrashhenie-utechek-dannyh/

Информация об авторах

А. А. Страхов — доцент кафедры информатики и математики Московского университета МВД России имени В.Я. Кикотя;

Н. М. Дубинина — начальник кафедры информатики и математики Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук, доцент.

Information about the authors

A. A. Strakhov — Associate Professor of the Department of Computer Science and Mathematics of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot';

N. M. Dubinina — Head of the Department of Computer Science and Mathematics of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Candidate of Legal Sciences, Associate Professor.

Вклад авторов: все авторы сделали эквивалентный вклад в подготовку публи-кации. Авторы заявляют об отсутствии конфликта интересов.

Contribution of the authors: the authors contributed equally to this article. The au-thors declare no conflicts of interests.

Статья поступила в редакцию 05.12.2022; одобрена после рецензирования 12.12.2022; принята к публикации 15.12.2022.

The article was submitted 05.12.2022; approved after reviewing 12.12.2022; accepted for publication 15.12.2022.