حماية البرمجيات ضد المطلعين pdf. الحماية من المطلعين باستخدام نظام Zlock. الأنظمة القائمة على حظر الأجهزة الثابتة
"استشاري"، 2011، العدد 9
"من يملك المعلومات يملك العالم" - هذا القول المأثور الشهير لنستون تشرشل أصبح أكثر أهمية من أي وقت مضى في المجتمع الحديث. تأتي المعرفة والأفكار والتكنولوجيا في المقدمة، وتعتمد الريادة في السوق على مدى قدرة الشركة على إدارة رأسمالها الفكري.
في هذه الظروف، يصبح أمن المعلومات للمنظمة ذا أهمية خاصة.
إن أي تسرب للمعلومات إلى المنافسين أو نشر معلومات حول العمليات الداخلية يؤثر بشكل فوري على المراكز التي تحتلها الشركة في السوق.
نظام أمن المعلوماتيجب أن توفر الحماية ضد مجموعة متنوعة من التهديدات: التقنية والتنظيمية وتلك التي يسببها العامل البشري.
كما تظهر الممارسة، فإن القناة الرئيسية لتسرب المعلومات هي المطلعين.
العدو في الخلف
عادة، الشخص المطلع هو موظف في الشركة يتسبب في ضرر للشركة من خلال الكشف عن معلومات سرية.
ومع ذلك، إذا أخذنا في الاعتبار الشروط الرئيسية الثلاثة، التي يكون توفيرها هدف أمن المعلومات - السرية والنزاهة والتوافر - يمكن توسيع هذا التعريف.
يمكن أن يُطلق على المطلعين اسم الموظف الذي يتمتع بوصول رسمي مشروع إلى المعلومات السرية الخاصة بالمؤسسة، مما يؤدي إلى الكشف عن المعلومات أو تشويهها أو إتلافها أو عدم إمكانية الوصول إليها.
وهذا التعميم مقبول لأنه العالم الحديثغالبًا ما يؤدي انتهاك سلامة المعلومات وتوافرها إلى عواقب وخيمة على الأعمال التجارية أكثر من الكشف عن المعلومات السرية.
بالنسبة للعديد من الشركات، يهدد وقف العمليات التجارية، حتى لفترة قصيرة، بخسائر مالية كبيرة، ويمكن أن يتسبب تعطيل الأداء في غضون أيام قليلة في حدوث مثل هذه الضربة القوية التي قد تكون عواقبها قاتلة.
تقوم العديد من المنظمات التي تدرس مخاطر الأعمال بنشر نتائج أبحاثها بانتظام. ووفقا لهم، احتلت المعلومات الداخلية باستمرار المرتبة الأولى في قائمة أسباب انتهاكات أمن المعلومات لسنوات عديدة.
ونظرًا للزيادة المطردة في العدد الإجمالي للحوادث، يمكننا أن نستنتج أن أهمية المشكلة تتزايد طوال الوقت.
نموذج التهديد
من أجل بناء نظام موثوق لأمن المعلومات متعدد الطبقات والذي سيساعد في مكافحة المشكلة بشكل فعال، فمن الضروري أولاً إنشاء نموذج تهديد.
عليك أن تفهم من هم المطلعون وما الذي يحفزهم ولماذا يتخذون إجراءات معينة.
هناك طرق مختلفة لإنشاء مثل هذه النماذج، ولكن لأغراض عملية يمكنك استخدام التصنيف التالي، والذي يتضمن جميع الأنواع الرئيسية من المطلعين.
هاكر داخلي
مثل هذا الموظف، كقاعدة عامة، لديه مؤهلات هندسية أعلى من المتوسط ويفهم هيكل موارد المؤسسة، وهندسة أنظمة الكمبيوتر والشبكات.
يقوم بأعمال القرصنة بدافع الفضول والاهتمام الرياضي واستكشاف حدود قدراته الخاصة.
عادة ما يكون على علم بالضرر المحتمل من أفعاله، لذلك نادرا ما يسبب ضررا ملموسا.
درجة الخطورة متوسطة حيث أن تصرفاته قد تتسبب في توقف مؤقت لبعض العمليات التي تحدث في الشركة. يمكن تحديد الأنشطة في المقام الأول من خلال الوسائل التقنية.
موظف غير مسؤول ومنخفض المؤهلات
يمكن أن يكون لديه مجموعة متنوعة من المهارات والعمل في أي قسم من أقسام المؤسسة.
إنه أمر خطير لأنه ليس لديه عادة التفكير في عواقب أفعاله، فيمكنه العمل مع موارد المعلومات الخاصة بالشركة "عن طريق التجربة والخطأ"، وتدمير المعلومات وتشويهها عن غير قصد.
عادة لا يتذكر تسلسل أفعاله، وعندما يكتشف العواقب السلبية، قد يظل صامتا عنها.
قد يتم الكشف عن معلومات تشكل سرًا تجاريًا في محادثة شخصية مع صديق أو حتى عند التواصل في منتديات الإنترنت وفي في الشبكات الاجتماعية.
درجة الخطورة عالية جداً، خاصة وأن هذا النوع من المجرمين أكثر شيوعاً من غيره. يمكن أن تكون عواقب أنشطته أكثر خطورة من عواقب المهاجم الواعي.
من أجل منع عواقب أفعاله، من الضروري اتخاذ مجموعة كاملة من التدابير المختلفة، سواء التقنية (الترخيص، التقسيم الإلزامي لجلسات العمل حسب الحسابات) والتنظيمية (الرقابة الإدارية المستمرة على العملية ونتيجة العمل) .
شخص غير مستقر نفسيا
تمامًا مثل ممثل النوع السابق، يمكنه العمل في أي منصب ولديه مؤهلات مختلفة جدًا. خطير بسبب الميل إلى أفعال ذات دوافع ضعيفة في ظروف الانزعاج النفسي: في المواقف القصوى، الضغط النفسي من الموظفين الآخرين أو مجرد تهيج قوي.
في الحالة العاطفية، يمكنه الكشف عن معلومات سرية، وإتلاف البيانات، وتعطيل المسار المعتاد للعمل للأشخاص الآخرين.
درجة الخطر متوسطة، ولكن هذا النوع من الجناة ليس شائعا جدا.
لمنع العواقب السلبية لأفعاله، من الأكثر فعالية استخدام التدابير الإدارية - لتحديد هؤلاء الأشخاص في مرحلة المقابلة، والحد من الوصول إلى المعلومات والحفاظ على مناخ نفسي مريح في الفريق.
موظف مهين ومهين
أكبر مجموعة من المخالفين المحتملين لنظام أمن المعلومات.
من الناحية النظرية، فإن الغالبية العظمى من الموظفين قادرون على ارتكاب أعمال غير ودية تجاه الشركة.
يمكن أن يحدث هذا عندما تظهر الإدارة عدم احترام لشخصية الموظف أو صفاته المهنية، وعندما يؤثر ذلك على مستوى الأجر.
من المحتمل أن يشكل هذا النوع من المطلعين خطرًا كبيرًا جدًا - فمن الممكن حدوث تسرب وتلف للمعلومات، وسيتم ضمان أن يكون الضرر الناتج عنها ملحوظًا للشركة، حيث أن الموظف يسبب ذلك بوعي ويعرف جميع نقاط الضعف جيدًا.
هناك حاجة إلى تدابير إدارية وفنية للكشف عن الأنشطة.
موظف غير نظيف
الموظف الذي يحاول تكميل ثروته الشخصية على حساب ممتلكات الشركة التي يعمل بها. من بين العناصر التي تم الاستيلاء عليها، قد تكون هناك وسائط مختلفة تحتوي على معلومات سرية (محركات الأقراص الثابتة، ومحركات الأقراص المحمولة، وأجهزة الكمبيوتر المحمولة الخاصة بالشركات).
في هذه الحالة، هناك خطر وصول المعلومات إلى الأشخاص الذين لم تكن مخصصة لهم، مع نشرها لاحقًا أو نقلها إلى المنافسين.
الخطر متوسط، ولكن هذا النوع ليس من غير المألوف.
لتحديد ذلك، هناك حاجة إلى اتخاذ تدابير إدارية أولا.
ممثل المنافس
وكقاعدة عامة، فهو مؤهل تأهيلا عاليا ويشغل مناصب توفر فرصا كبيرة للحصول على المعلومات، بما في ذلك المعلومات السرية. هذا إما موظف حالي تم تعيينه أو شراؤه من قبل المنافسين (في كثير من الأحيان) أو أحد المطلعين الداخليين الذين تم تقديمهم خصيصًا للشركة.
درجة الخطر عالية جدًا، حيث أن الضرر يتم عن وعي ومع فهم عميق لقيمة المعلومات، فضلاً عن نقاط الضعف في الشركة.
ولتحديد الأنشطة، هناك حاجة إلى اتخاذ تدابير إدارية وفنية.
ماذا نسرق؟
من المستحيل فهم مشكلة المعلومات الداخلية دون النظر إلى طبيعة المعلومات المسروقة.
وفقا للإحصاءات، فإن البيانات الشخصية للعملاء، وكذلك المعلومات حول الشركات العميلة والشركاء، هي الأكثر طلبا، ويتم سرقتها في أكثر من نصف الحالات. تفاصيل المعاملات وشروط العقود والتسليم متابعة. التقارير المالية هي أيضا ذات أهمية كبيرة.
عند تشكيل مجموعة من التدابير الوقائية، تواجه كل شركة حتما السؤال: ما هي المعلومات المحددة التي تتطلب تدابير وقائية خاصة، وما الذي لا يحتاج إليها؟
وبطبيعة الحال، فإن أساس مثل هذه القرارات هو البيانات التي تم الحصول عليها نتيجة لتحليل المخاطر. ومع ذلك، غالبًا ما يكون لدى المؤسسة موارد مالية محدودة يمكن إنفاقها على نظام أمن المعلومات، وقد لا تكون كافية لتقليل جميع المخاطر.
نهجان
ولسوء الحظ، لا توجد إجابة جاهزة للسؤال: "ما الذي يجب حمايته أولا؟".
يمكن تناول هذه المشكلة من جانبين.
الخطر هو مؤشر معقد يأخذ في الاعتبار احتمالية وجود تهديد معين والضرر المحتمل الناجم عنه. وعليه، عند تحديد الأولويات الأمنية، يمكنك التركيز على أحد هذه المؤشرات. وهذا يعني أن المعلومات التي تتم حمايتها أولاً هي المعلومات التي يسهل سرقتها (على سبيل المثال، إذا كان بإمكان عدد كبير من الموظفين الوصول إليها)، والمعلومات التي قد تؤدي سرقتها أو حجبها إلى عواقب وخيمة.
أحد الجوانب المهمة للمشكلة الداخلية هو قناة نقل المعلومات. كلما زادت الفرص المادية المتاحة لنقل المعلومات غير المصرح بها خارج الشركة، زادت احتمالية حدوث ذلك.
آليات النقل
ويمكن تصنيف آليات النقل على النحو التالي:
- النقل الشفهي (المحادثة الشخصية)؛
- قنوات نقل البيانات الفنية ( الاتصالات الهاتفيةوالفاكس والبريد الإلكتروني وأنظمة المراسلة وخدمات الإنترنت الاجتماعية المتنوعة وما إلى ذلك)؛
- الوسائط المحمولة و أجهزة محمولة (هاتف خليويومحركات الأقراص الصلبة الخارجية وأجهزة الكمبيوتر المحمولة ومحركات الأقراص المحمولة وما إلى ذلك).
وفقًا للبحث في عصرنا، فإن القنوات الأكثر شيوعًا لنقل البيانات السرية هي (بالترتيب التنازلي): البريد الإلكتروني، والأجهزة المحمولة (بما في ذلك أجهزة الكمبيوتر المحمولة)، والشبكات الاجتماعية وخدمات الإنترنت الأخرى (مثل أنظمة المراسلة الفورية)، وما إلى ذلك.
للتحكم في القنوات التقنية، يمكن استخدام وسائل مختلفة، ومجموعة واسعة من المنتجات المتوفرة حاليًا في سوق الأمان.
على سبيل المثال، أنظمة تصفية المحتوى (أنظمة الحظر الديناميكي)، وسائل تقييد الوصول إلى وسائط المعلومات (CD، DVD، Bluetooth).
يتم أيضًا تطبيق التدابير الإدارية: تصفية حركة المرور على الإنترنت، وحظر المنافذ المادية لمحطات العمل، وضمان النظام الإداري والأمن المادي.
عند الاختيار الوسائل التقنيةتتطلب حماية المعلومات السرية اتباع نهج منظم. بهذه الطريقة فقط يمكن تحقيق أكبر قدر من الكفاءة من تنفيذها.
يجب عليك أيضًا أن تفهم أن التحديات التي تواجه كل شركة فريدة من نوعها، وغالبًا ما يكون من المستحيل استخدام الحلول التي تستخدمها المنظمات الأخرى.
لا ينبغي أن تتم مكافحة المعلومات الداخلية من تلقاء نفسها، فهي عنصر مهم في العملية التجارية الشاملة التي تهدف إلى ضمان نظام أمن المعلومات.
يجب أن يتم تنفيذها بواسطة محترفين وتتضمن دورة كاملة من الأنشطة: تطوير سياسة أمن المعلومات، وتحديد النطاق، وتحليل المخاطر، واختيار التدابير المضادة وتنفيذها، بالإضافة إلى تدقيق نظام أمن المعلومات.
إذا لم توفر المؤسسة أمن المعلومات في جميع أنحاء المجمع بأكمله، فإن مخاطر الخسائر المالية الناجمة عن التسريبات والأضرار التي لحقت بالمعلومات تزيد بشكل حاد.
التقليل من المخاطر
فحص
- فحص شامل للمتقدمين المتقدمين لأي منصب في الشركة. وينصح بجمع أكبر قدر ممكن من المعلومات عن المرشح، بما في ذلك محتوى صفحاته على شبكات التواصل الاجتماعي. قد يكون من المفيد أيضًا طلب مرجع من مكان عمل سابق.
- يجب أن يخضع المرشحون لمناصب مهندس تكنولوجيا المعلومات لفحص شامل بشكل خاص. تظهر الممارسة أن أكثر من نصف جميع المطلعين هم كذلك مسؤولي النظاموالمبرمجين.
- عند التوظيف، يجب إجراء الحد الأدنى من الفحص النفسي للمرشحين على الأقل. وسوف يساعد في تحديد المتقدمين الذين يعانون من صحة نفسية غير مستقرة.
حق الدخول
- نظام مشاركة الوصول موارد الشركات. يجب على المؤسسة إنشاء وثائق تنظيمية تصنف المعلومات حسب مستوى السرية وتحدد بوضوح حقوق الوصول إليها. يجب أن يكون الوصول إلى أي موارد شخصيًا.
- وينبغي تخصيص حقوق الوصول إلى الموارد وفقا لمبدأ "الكفاية الدنيا". لا ينبغي دائمًا أن يكون الوصول إلى صيانة المعدات التقنية، حتى مع حقوق المسؤول، مصحوبًا بإمكانية الوصول لعرض المعلومات نفسها.
- مراقبة عميقة قدر الإمكان لإجراءات المستخدم، مع الحصول على إذن إلزامي وتسجيل المعلومات حول العمليات المنفذة في السجل. كلما تم الاحتفاظ بالسجلات بعناية أكبر، زادت سيطرة الإدارة على الوضع في الشركة. الأمر نفسه ينطبق على تصرفات الموظف عند استخدام الوصول الرسمي إلى الإنترنت.
معيار الاتصالات
- يجب أن تتبنى المنظمة معيارها الخاص للتواصل، والذي من شأنه استبعاد جميع أشكال السلوك غير المناسب للموظفين تجاه بعضهم البعض (العدوان، العنف، الألفة المفرطة). بادئ ذي بدء، ينطبق هذا على العلاقة بين "المدير والمرؤوس".
لا ينبغي بأي حال من الأحوال أن يشعر الموظف بأنه يُعامل بشكل غير عادل، أو أنه لا يحظى بالتقدير الكافي، أو أنه يتعرض للاستغلال دون داع، أو أنه يتعرض للخداع.
إن اتباع هذه القاعدة البسيطة سيسمح لك بتجنب الغالبية العظمى من المواقف التي تستفز الموظفين لتقديم معلومات داخلية.
سرية
ولا ينبغي أن تكون اتفاقية عدم الإفصاح مجرد إجراء شكلي. يجب أن يتم التوقيع عليه من قبل جميع الموظفين الذين لديهم حق الوصول إلى المعلومات المهمة مصادر المعلوماتشركات.
بالإضافة إلى ذلك، حتى في مرحلة المقابلة، يحتاج الموظفون المحتملون إلى شرح كيفية سيطرة الشركة على أمن المعلومات.
مراقبة الأموال
يمثل السيطرة على الوسائل التقنية التي يستخدمها الموظف لأغراض العمل.
على سبيل المثال، من غير المرغوب فيه استخدام جهاز كمبيوتر محمول شخصي، لأنه عندما يغادر الموظف، على الأرجح لن يكون من الممكن معرفة المعلومات المخزنة عليه.
لنفس السبب، من غير المرغوب فيه استخدام الصناديق بريد إلكترونيعلى الموارد الخارجية.
روتين داخلي
يجب على المؤسسة الالتزام باللوائح الداخلية.
من الضروري الحصول على معلومات حول الوقت الذي يقضيه الموظفون في مكان العمل.
ويجب أيضًا ضمان السيطرة على حركة الأصول المادية.
سيؤدي الالتزام بجميع القواعد المذكورة أعلاه إلى تقليل مخاطر تلف المعلومات أو تسربها من خلال المعلومات الداخلية، وبالتالي سيساعد في منع الخسائر المالية أو خسائر السمعة الكبيرة.
شريك اداري
مجموعة شركات مجتمع الاستضافة
اليوم، هناك قناتان رئيسيتان لتسريب المعلومات السرية: الأجهزة المتصلة بالكمبيوتر (جميع أنواع أجهزة التخزين القابلة للإزالة، بما في ذلك محركات الأقراص المحمولة، ومحركات الأقراص المضغوطة/أقراص الفيديو الرقمية، وما إلى ذلك، والطابعات) والإنترنت (البريد الإلكتروني، ICQ، وسائل التواصل الاجتماعي). الشبكات، وما إلى ذلك).د.). وبالتالي، عندما تكون الشركة "ناضجة" لتنفيذ نظام حماية ضدها، فمن المستحسن التعامل مع هذا الحل بشكل شامل. المشكلة هي أنه يتم استخدام أساليب مختلفة لتغطية قنوات مختلفة. في حالة واحدة أكثر على نحو فعالستتحكم الحماية في استخدام محركات الأقراص القابلة للإزالة، وسيتضمن الثاني خيارات مختلفة لتصفية المحتوى، مما يسمح لك بحظر نقل البيانات السرية إلى شبكة خارجية. ولذلك، يتعين على الشركات استخدام منتجين للحماية من المطلعين، اللذين يشكلان معًا نظامًا أمنيًا شاملاً. وبطبيعة الحال، يفضل استخدام أدوات من مطور واحد. وفي هذه الحالة، يتم تبسيط عملية تنفيذها وإدارتها وتدريب الموظفين. على سبيل المثال، يمكننا أن نذكر منتجات SecurIT: Zlock وZgate.
Zlock: الحماية ضد التسربات من خلال محركات الأقراص القابلة للإزالة
لقد كان برنامج Zlock موجودًا في السوق لبعض الوقت. ونحن بالفعل. من حيث المبدأ، لا فائدة من تكرار نفسي. ومع ذلك، منذ نشر المقال، تم إصدار نسختين جديدتين من Zlock، والتي أضافت عددًا من الميزات المهمة. ومن الجدير الحديث عنهم، حتى ولو باختصار شديد.
بادئ ذي بدء، تجدر الإشارة إلى إمكانية تعيين العديد من السياسات لجهاز الكمبيوتر، والتي يتم تطبيقها بشكل مستقل اعتمادًا على ما إذا كان الكمبيوتر متصلاً أم لا شبكة الشركةمباشرة، عبر VPN، أو يعمل بشكل مستقل. يسمح هذا، على وجه الخصوص، بحظر منافذ USB ومحركات الأقراص المضغوطة/أقراص الفيديو الرقمية تلقائيًا عند فصل الكمبيوتر عن الشبكة المحلية. عمومًا هذه الوظيفةيزيد من أمان المعلومات المخزنة على أجهزة الكمبيوتر المحمولة، والتي يمكن للموظفين أخذها خارج المكتب في الرحلات أو للعمل في المنزل.
ثانية فرصة جديدة- إتاحة الوصول المؤقت لموظفي الشركة إلى الأجهزة المحظورة أو حتى مجموعات من الأجهزة عبر الهاتف. مبدأ عملها هو تبادل البرامج التي تم إنشاؤها رموز سريةبين المستخدم والموظف المسؤول عن أمن المعلومات. من الجدير بالذكر أنه لا يمكن إصدار إذن الاستخدام بشكل دائم فحسب، بل أيضًا بشكل مؤقت (لفترة معينة أو حتى نهاية جلسة العمل). يمكن اعتبار هذه الأداة بمثابة استرخاء بسيط في نظام الأمان، ولكنها تتيح لك زيادة استجابة قسم تكنولوجيا المعلومات لطلبات العمل.
الابتكار المهم التالي في الإصدارات الجديدة من Zlock هو التحكم في استخدام الطابعات. بعد إعداده، سيقوم نظام الأمان بتسجيل جميع طلبات المستخدم لأجهزة الطباعة في سجل خاص. ولكن هذا ليس كل شيء. يقدم Zlock الآن نسخة ظلية لجميع المستندات المطبوعة. يسجلون فيها تنسيق PDFوهي نسخة كاملة من الصفحات المطبوعة، بغض النظر عن الملف الذي تم إرساله إلى الطابعة. يساعد هذا في منع تسرب المعلومات السرية على الأوراق الورقية عندما يقوم أحد المطلعين بطباعة البيانات لإخراجها من المكتب. يتضمن نظام الأمان أيضًا نسخًا احتياطيًا للمعلومات المسجلة على أقراص CD/DVD.
كان الابتكار المهم هو ظهور مكون الخادم Zlock Enterprise Management Server. فهو يوفر تخزينًا مركزيًا وتوزيعًا لسياسات الأمان وإعدادات البرامج الأخرى ويسهل بشكل كبير إدارة Zlock في أنظمة المعلومات الكبيرة والموزعة. ومن المستحيل أيضًا عدم ذكر ظهور نظام المصادقة الخاص به، والذي، إذا لزم الأمر، يسمح لك بالتخلي عن استخدام المجال ومستخدمي Windows المحليين.
بالإضافة إلى هذا، في احدث اصداريحتوي Zlock الآن على العديد من الوظائف الأقل وضوحًا، ولكنها أيضًا مهمة جدًا: مراقبة سلامة وحدة العميل مع القدرة على منع تسجيل دخول المستخدم عند اكتشاف التلاعب، وإمكانيات موسعة لتنفيذ نظام أمان، ودعم Oracle DBMS، وما إلى ذلك.
Zgate: الحماية ضد تسرب الإنترنت
لذلك، زجيت. كما قلنا من قبل، هذا المنتج عبارة عن نظام للحماية من تسرب المعلومات السرية عبر الإنترنت. من الناحية الهيكلية، يتكون Zgate من ثلاثة أجزاء. المكون الرئيسي هو مكون الخادم، الذي ينفذ جميع عمليات معالجة البيانات. يمكن تثبيته على جهاز كمبيوتر منفصل وعلى الأجهزة التي تعمل بالفعل في إحدى الشركات نظام معلوماتالعقد - بوابة الإنترنت، وحدة تحكم المجال، بوابة البريد، إلخ. تتكون هذه الوحدة بدورها من ثلاثة مكونات: لمراقبة حركة مرور SMTP، ومراقبة البريد الداخلي لخادم Microsoft Exchange 2007/2010، بالإضافة إلى Zgate Web (وهو مسؤول عن التحكم حركة مرور HTTP وFTP وIM).
الجزء الثاني من نظام الأمان هو خادم التسجيل. يتم استخدامه لجمع معلومات الحدث من واحد أو أكثر من خوادم Zgate ومعالجتها وتخزينها. هذه الوحدة مفيدة بشكل خاص في المناطق الكبيرة والموزعة جغرافيًا أنظمة الشركاتلأنه يوفر الوصول المركزي إلى كافة البيانات. الجزء الثالث هو وحدة التحكم الإدارية. يستخدم وحدة تحكم قياسية لمنتجات SecurIT، وبالتالي لن نتناولها بالتفصيل. نلاحظ فقط أنه باستخدام هذه الوحدة، يمكنك التحكم في النظام ليس محليًا فحسب، بل أيضًا عن بُعد.
وحدة إدارة
يمكن لنظام Zgate العمل في عدة أوضاع. علاوة على ذلك، فإن توفرها يعتمد على طريقة تنفيذ المنتج. يتضمن الوضعان الأولان العمل كخادم وكيل للبريد. ولتنفيذها، يتم تثبيت النظام بين خادم بريد الشركة و"العالم الخارجي" (أو بين خادم البريد وخادم الإرسال، إذا كانا منفصلين). في هذه الحالة، يمكن لـ Zgate تصفية حركة المرور (تأخير الرسائل المخالفة والمشكوك فيها) وتسجيلها فقط (تمرير جميع الرسائل، ولكن حفظها في الأرشيف).
تتضمن طريقة التنفيذ الثانية استخدام نظام الحماية بالتزامن مع Microsoft Exchange 2007 أو 2010. للقيام بذلك، تحتاج إلى تثبيت Zgate مباشرة على الشركة خادم البريد. هناك أيضًا وضعان متاحان: التصفية والتسجيل. بالإضافة إلى ذلك، هناك خيار تنفيذ آخر. نحن نتحدث عن تسجيل الرسائل في وضع حركة المرور المتطابقة. بطبيعة الحال، لاستخدامه، من الضروري التأكد من أن الكمبيوتر الذي تم تثبيت Zgate عليه يتلقى نفس حركة المرور المتطابقة (عادةً ما يتم ذلك باستخدام معدات الشبكة).
تحديد وضع التشغيل Zgate
يستحق مكون Zgate Web قصة منفصلة. يتم تثبيته مباشرة على بوابة الإنترنت الخاصة بالشركة. في الوقت نفسه، يكتسب هذا النظام الفرعي القدرة على مراقبة حركة مرور HTTP وFTP والمراسلة الفورية، أي معالجتها من أجل اكتشاف محاولات إرسال معلومات سرية عبر واجهات بريد الويب وICQ، ونشرها على المنتديات وخوادم FTP ووسائل التواصل الاجتماعي. الشبكات وما إلى ذلك بالمناسبة، حول ICQ. تتوفر وظيفة حظر برامج المراسلة الفورية في العديد من المنتجات المماثلة. ومع ذلك، لا يوجد "ICQ" فيها. ببساطة لأنه في البلدان الناطقة بالروسية هو الأكثر انتشارًا.
مبدأ تشغيل مكون Zgate Web بسيط للغاية. في كل مرة يتم إرسال المعلومات إلى أي من الخدمات الخاضعة للرقابة، سيقوم النظام بإنشاء رسالة خاصة. أنه يحتوي على المعلومات نفسها وبعض بيانات الخدمة. يتم إرساله إلى خادم Zgate الرئيسي ومعالجته وفقًا للقواعد المحددة. وبطبيعة الحال، لا يتم حظر إرسال المعلومات في الخدمة نفسها. أي أن Zgate Web يعمل فقط في وضع التسجيل. وبمساعدتها، لا يمكنك منع تسرب البيانات المعزولة، ولكن يمكنك اكتشافها بسرعة وإيقاف أنشطة المهاجم الطوعي أو غير المقصود.
إعداد مكون الويب Zgate
يتم تحديد طريقة معالجة المعلومات في Zgate وإجراءات التصفية من خلال السياسة التي يتم تطويرها بواسطة ضابط الأمن أو أي موظف مسؤول آخر. وهو يمثل سلسلة من الشروط، كل منها يتوافق مع إجراء معين. يتم "تشغيل" جميع الرسائل الواردة من خلالها بالتسلسل واحدة تلو الأخرى. وإذا تم استيفاء أي شرط من الشروط، فسيتم إطلاق الإجراء المرتبط به.
نظام الترشيح
في المجمل، يوفر النظام 8 أنواع من الشروط، كما يقولون، “لجميع المناسبات”. أولها هو نوع الملف المرفق. بمساعدتها، يمكنك اكتشاف محاولات إرسال كائنات بتنسيق معين. تجدر الإشارة إلى أن التحليل لا يتم عن طريق الامتداد، ولكن عن طريق البنية الداخلية للملف، ويمكنك تحديد كلا النوعين المحددين من الكائنات ومجموعاتها (على سبيل المثال، جميع الأرشيفات ومقاطع الفيديو وما إلى ذلك). النوع الثاني من الشروط هو التحقق من خلال تطبيق خارجي. كتطبيق، يمكن أن يكون بمثابة برنامج عادي يتم إطلاقه من سطر الأوامر، والسيناريو.
الشروط في نظام الترشيح
لكن الشرط التالي يستحق الخوض فيه بمزيد من التفصيل. نحن نتحدث عن تحليل محتوى المعلومات المرسلة. بادئ ذي بدء، من الضروري أن نلاحظ "النهمة" من Zgate. الحقيقة هي أن البرنامج "يفهم" عددًا كبيرًا من التنسيقات المختلفة. لذلك، لا يمكنه تحليل النص البسيط فحسب، بل يمكنه أيضًا تحليل أي مرفق تقريبًا. ميزة أخرى لتحليل المحتوى هي قدراته الرائعة. ويمكن أن يتكون من بحث بسيط عن حدث ما في نص رسالة أو أي حقل آخر لكلمة معينة، أو تحليل كامل، بما في ذلك مراعاة أشكال الكلمات النحوية، وأصولها، والترجمة الصوتية لها. ولكن هذا ليس كل شيء. يستحق نظام تحليل الأنماط والتعبيرات العادية إشارة خاصة. بمساعدتها، يمكنك بسهولة اكتشاف وجود بيانات بتنسيق معين في الرسائل، على سبيل المثال، سلسلة وأرقام جواز السفر، ورقم الهاتف، ورقم العقد، ورقم الحساب البنكي، وما إلى ذلك. وهذا، من بين أمور أخرى، يسمح لك بتعزيز حماية البيانات الشخصية التي تعالجها الشركة.
أنماط التعرف على المعلومات السرية المختلفة
النوع الرابع من الشروط هو تحليل العناوين المبينة في الرسالة. أي البحث بينهم عن سلاسل معينة. خامسا- تحليل الملفات المشفرة. عند التنفيذ، يتم التحقق من سمات الرسالة و/أو الكائنات المتداخلة. النوع السادس من الشروط هو التحقق من معلمات الحروف المختلفة. السابع هو تحليل القاموس. أثناء هذه العملية، يكتشف النظام وجود كلمات من قواميس تم إنشاؤها مسبقًا في الرسالة. وأخيرًا، النوع الثامن والأخير من الشروط هو مركب. وهو يمثل شرطين آخرين أو أكثر يتم دمجهما بواسطة العوامل المنطقية.
وبالمناسبة، علينا أن نقول بشكل منفصل عن القواميس التي ذكرناها في وصف الشروط. وهي عبارة عن مجموعات من الكلمات تجمعها صفة واحدة وتستخدم في طرق التصفية المختلفة. الشيء الأكثر منطقية هو إنشاء قواميس من المحتمل جدًا أن تسمح لك بتصنيف الرسالة إلى فئة أو أخرى. يمكن إدخال محتوياتها يدويًا أو استيرادها من المحتويات الموجودة ملفات نصية. هناك خيار آخر لإنشاء القواميس - تلقائي. عند استخدامه، يحتاج المسؤول ببساطة إلى تحديد المجلد الذي يحتوي على المستندات ذات الصلة. سيقوم البرنامج نفسه بتحليلها واختيار الكلمات الضرورية وتعيين خصائص وزنها. لتجميع القواميس عالية الجودة، من الضروري الإشارة ليس فقط إلى الملفات السرية، ولكن أيضًا إلى الكائنات التي لا تحتوي على معلومات حساسة. وبشكل عام، فإن عملية الإنشاء التلقائي تشبه إلى حد كبير تدريب مكافحة البريد العشوائي على الإعلانات والرسائل العادية. وهذا ليس مفاجئا، لأن كلا البلدين يستخدمان تقنيات مماثلة.
مثال على قاموس حول موضوع مالي
عند الحديث عن القواميس، لا يسع المرء إلا أن يذكر تقنية أخرى للكشف عن البيانات السرية المطبقة في Zgate. نحن نتحدث عن بصمات الأصابع الرقمية. الجوهر هذه الطريقةعلى النحو التالي. يمكن للمسؤول الإشارة إلى مجلدات النظام التي تحتوي على بيانات سرية. سيقوم البرنامج بتحليل جميع المستندات الموجودة فيها وإنشاء "بصمات الأصابع الرقمية" - مجموعات من البيانات التي تسمح لك بتحديد محاولة نقل ليس فقط محتويات الملف بالكامل، ولكن أيضًا أجزائه الفردية. يرجى ملاحظة أن النظام يراقب تلقائيًا حالة المجلدات المحددة له ويقوم بشكل مستقل بإنشاء "بصمات الأصابع" لجميع الكائنات التي تظهر فيها مرة أخرى.
إنشاء فئة مع البصمات الرقمية للملفات
حسنًا، كل ما تبقى الآن هو معرفة الإجراءات المطبقة في نظام الحماية المعني. في المجموع، تم بيع 14 منهم بالفعل في Zgate. ومع ذلك، فإن معظمها يحدد الإجراءات التي يتم تنفيذها مع الرسالة. وتشمل هذه، على وجه الخصوص، الحذف دون إرسال (أي، في الواقع، منع إرسال الرسالة)، ووضعها في أرشيف، وإضافة أو حذف المرفقات، وتغيير الحقول المختلفة، وإدراج النص، وما إلى ذلك. ومن بينها بشكل خاص تجدر الإشارة إلى وضع الرسالة في الحجر الصحي. هذا الفعليسمح لك "بتأجيل" رسالة للتحقق اليدوي من قبل ضابط الأمن، الذي سيقرر مصيرها في المستقبل. ومن المثير للاهتمام أيضًا الإجراء الذي يسمح لك بحظر اتصال المراسلة الفورية. يمكن استخدامه لحظر القناة التي يتم من خلالها إرسال رسالة تحتوي على معلومات سرية على الفور.
هناك إجراءان منفصلان إلى حد ما - المعالجة بطريقة بايزي والمعالجة بطريقة بصمة الإصبع. تم تصميم كلاهما لفحص الرسائل لمعرفة ما إذا كانت تحتوي على معلومات حساسة. الأول فقط يستخدم القواميس والتحليل الإحصائي، والثاني يستخدم بصمات الأصابع الرقمية. يمكن تنفيذ هذه الإجراءات عند استيفاء شرط معين، على سبيل المثال، إذا كان عنوان المستلم ليس في مجال الشركة. بالإضافة إلى ذلك، يمكن ضبطها (مثل أي تطبيقات أخرى) ليتم تطبيقها دون قيد أو شرط على جميع الرسائل الصادرة. في هذه الحالة، سيقوم النظام بتحليل الحروف وتخصيصها لفئات معينة (إذا كان ذلك ممكنًا بالطبع). ولكن بالنسبة لهذه الفئات، يمكنك بالفعل تهيئة الظروف من خلال تنفيذ إجراءات معينة.
الإجراءات في نظام Zgate
حسنًا، في نهاية حديثنا اليوم عن Zgate، يمكننا تلخيص الأمر قليلاً. يعتمد نظام الحماية هذا بشكل أساسي على تحليل محتوى الرسائل. يعد هذا الأسلوب هو الأكثر شيوعًا للحماية من تسرب المعلومات السرية عبر الإنترنت. وبطبيعة الحال، لا يوفر تحليل المحتوى درجة 100% من الحماية بل هو ذو طبيعة احتمالية. ومع ذلك، فإن استخدامه يمنع معظم حالات النقل غير المصرح به للبيانات الحساسة. هل يجب على الشركات استخدامه أم لا؟ يجب على الجميع أن يقرروا ذلك بأنفسهم، وتقييم تكاليف التنفيذ و المشاكل المحتملةفي حالة تسرب المعلومات. ومن الجدير بالذكر أن Zgate تقوم بعمل ممتاز في التقاط التعبيرات العادية، مما يجعلها وسيلة فعالة للغاية لحماية البيانات الشخصية التي تعالجها الشركة.
أظهرت دراسات أمن المعلومات الحديثة، مثل دراسة CSI/FBI ComputerCrimeAndSecuritySurvey السنوية، أن الخسائر المالية التي تتكبدها الشركات بسبب معظم التهديدات تتناقص عامًا بعد عام. ومع ذلك، هناك العديد من المخاطر التي تتزايد منها الخسائر. أحدها هو السرقة المتعمدة للمعلومات السرية أو انتهاك قواعد التعامل معها من قبل الموظفين الذين يكون وصولهم إلى البيانات التجارية ضروريًا لأداء واجباتهم الرسمية. يطلق عليهم المطلعين.
في الغالبية العظمى من الحالات، تتم سرقة المعلومات السرية باستخدام الوسائط المحمولة: الأقراص المضغوطة وأقراص DVD وأجهزة ZIP، والأهم من ذلك، جميع أنواع محركات أقراص USB. لقد كان توزيعها على نطاق واسع هو الذي أدى إلى ازدهار النزعة الداخلية حول العالم. يدرك رؤساء معظم البنوك جيدًا مخاطر وقوع قاعدة بيانات تحتوي على بيانات شخصية لعملائهم، على سبيل المثال، أو علاوة على ذلك، وقوع المعاملات على حساباتهم في أيدي الهياكل الإجرامية. وهم يحاولون مكافحة السرقة المحتملة للمعلومات باستخدام الأساليب التنظيمية المتاحة لهم.
ومع ذلك، فإن الأساليب التنظيمية في هذه الحالة غير فعالة. يمكنك اليوم تنظيم نقل المعلومات بين أجهزة الكمبيوتر باستخدام محرك أقراص فلاش مصغر، الهاتف الخلوي، مشغل mp3، كاميرا رقمية... بالطبع، يمكنك محاولة منع إدخال كل هذه الأجهزة إلى المكتب، لكن هذا أولاً سيؤثر سلبًا على العلاقات مع الموظفين، وثانيًا، سيظل من المستحيل إقامة علاقة حقيقية السيطرة الفعالة على الناس صعبة للغاية - البنك لا يفعل ذلك " صندوق بريد" وحتى تعطيل جميع الأجهزة الموجودة على أجهزة الكمبيوتر والتي يمكن استخدامها لكتابة المعلومات إلى الوسائط الخارجية (أقراص FDD و ZIP، ومحركات الأقراص المضغوطة وأقراص DVD، وما إلى ذلك) ومنافذ USB لن يساعد. بعد كل شيء، هناك حاجة إلى الأول للعمل، والأخير متصل بأجهزة طرفية مختلفة: الطابعات والماسحات الضوئية وما إلى ذلك. ولا يمكن لأحد أن يمنع أي شخص من إيقاف تشغيل الطابعة لمدة دقيقة، وإدخال محرك أقراص فلاش في المنفذ المجاني والنسخ إليه معلومات مهمة. يمكنك بالطبع إيجاد طرق أصلية لحماية نفسك. على سبيل المثال، جرب أحد البنوك هذه الطريقة لحل المشكلة: لقد ملأوا تقاطع منفذ USB والكابل براتنج الإيبوكسي، و"ربطوا" الأخير بإحكام بالكمبيوتر. ولكن، لحسن الحظ، هناك اليوم طرق تحكم أكثر حداثة وموثوقية ومرونة.
إن الوسيلة الأكثر فعالية لتقليل المخاطر المرتبطة بالمطلعين هي وسيلة خاصة برمجة، الذي يتحكم ديناميكيًا في جميع أجهزة ومنافذ الكمبيوتر التي يمكن استخدامها لنسخ المعلومات. مبدأ عملهم على النحو التالي. يتم تعيين أذونات استخدام المنافذ والأجهزة المختلفة لكل مجموعة مستخدمين أو لكل مستخدم على حدة. أكبر ميزة لمثل هذه البرامج هي المرونة. يمكنك إدخال قيود على أنواع معينة من الأجهزة ونماذجها وحالاتها الفردية. يتيح لك ذلك تنفيذ سياسات توزيع حقوق الوصول المعقدة للغاية.
على سبيل المثال، قد ترغب في السماح لبعض الموظفين باستخدام أي طابعات أو ماسحات ضوئية متصلة بمنافذ USB. ومع ذلك، ستظل جميع الأجهزة الأخرى التي تم إدخالها في هذا المنفذ غير قابلة للوصول. إذا كان البنك يستخدم نظام مصادقة مستخدم يعتمد على الرموز المميزة، فيمكنك في الإعدادات تحديد النموذج الرئيسي المستخدم. بعد ذلك، سيتم السماح للمستخدمين باستخدام الأجهزة التي اشترتها الشركة فقط، وستكون جميع الأجهزة الأخرى عديمة الفائدة.
بناء على مبدأ تشغيل أنظمة الحماية الموصوفة أعلاه، يمكنك فهم النقاط المهمة عند اختيار البرامج التي تنفذ الحظر الديناميكي لأجهزة التسجيل ومنافذ الكمبيوتر. أولا، هو تعدد الاستخدامات. يجب أن يغطي نظام الحماية النطاق الكامل للمنافذ وأجهزة الإدخال/الإخراج الممكنة. وبخلاف ذلك، يظل خطر سرقة المعلومات التجارية مرتفعًا بشكل غير مقبول. ثانيًا، يجب أن يكون البرنامج المعني مرنًا ويسمح لك بإنشاء قواعد باستخدام كمية كبيرة من المعلومات المتنوعة حول الأجهزة: أنواعها، ومصنعو النماذج، والأرقام الفريدة التي يمتلكها كل مثيل، وما إلى ذلك. وثالثًا، يجب أن يكون نظام الحماية الداخلية قادرًا على التكامل مع نظام معلومات البنك، ولا سيما مع ActiveDirectory. خلاف ذلك، سيتعين على المسؤول أو ضابط الأمن الحفاظ على قاعدتي بيانات للمستخدمين وأجهزة الكمبيوتر، وهو أمر ليس غير مريح فحسب، بل يزيد أيضًا من خطر حدوث أخطاء.
حماية المعلومات من المطلعين باستخدام برمجة
الكسندر أنتيبوف
آمل أن تساعد المقالة نفسها وخاصة مناقشتها في تحديد الفروق الدقيقة المختلفة في استخدام الأدوات البرمجية وأن تصبح نقطة انطلاق في تطوير حل للمشكلة الموضحة لمتخصصي أمن المعلومات.
ناهنا
لفترة طويلة، كان قسم التسويق في شركة Infowatch يقنع جميع الأطراف المعنية - متخصصو تكنولوجيا المعلومات، بالإضافة إلى مديري تكنولوجيا المعلومات الأكثر تقدمًا - بأن معظم الأضرار الناجمة عن انتهاك أمن معلومات الشركة تقع على عاتق المطلعين - الموظفين الذين يفصحون الأسرار التجارية. الهدف واضح - نحن بحاجة إلى خلق الطلب على المنتج الذي يتم تصنيعه. والحجج تبدو قوية ومقنعة للغاية.
صياغة المشكلة
بناء نظام لحماية المعلومات من السرقة من قبل الموظفين على شبكة LAN الدليل النشطويندوز 2000/2003. محطات عمل المستخدم تحت التحكم بالويندوز XP. إدارة المؤسسات والمحاسبة على أساس منتجات 1C.يتم تخزين المعلومات السرية بثلاث طرق:
- DB 1C - الوصول إلى الشبكة عبر RDP ( الوصول إلى المحطة);
- المجلدات المشتركة على خوادم الملفات - الوصول إلى الشبكة؛
- محليًا على جهاز الكمبيوتر الخاص بالموظف؛
ما هو موجود في السوق
لقد قسمت الأنظمة قيد النظر إلى ثلاث فئات:- الأنظمة المعتمدة على محللات السياق - Surf Control وMIME Sweeper وInfoWatch Traffic Monitor وDozor Jet وما إلى ذلك.
- الأنظمة القائمة على قفل الأجهزة الثابتة - DeviceLock، ZLock، InfoWatch Net Monitor.
- الأنظمة القائمة على الحظر الديناميكي للأجهزة - SecrecyKeeper، Strazh، Accord، SecretNet.
الأنظمة القائمة على محللي السياق
مبدأ التشغيل:يتم البحث عن الكلمات الرئيسية في المعلومات المرسلة، وبناءً على نتائج البحث، يتم اتخاذ قرار بشأن ضرورة حظر الإرسال.
في رأيي، يتمتع InfoWatch Traffic Monitor (www.infowatch.ru) بأقصى إمكانيات بين المنتجات المدرجة. الأساس هو محرك Kaspersky Antispam الذي أثبت كفاءته، والذي يأخذ في الاعتبار بشكل كامل خصوصيات اللغة الروسية. على عكس المنتجات الأخرى، فإن InfoWatch Traffic Monitor، عند التحليل، لا يأخذ في الاعتبار وجود صفوف معينة في البيانات التي يتم فحصها فحسب، بل يأخذ أيضًا في الاعتبار الوزن المحدد مسبقًا لكل صف. وبالتالي، عند اتخاذ القرار النهائي، لا يتم أخذ حدوث كلمات معينة فقط في الاعتبار، ولكن أيضًا المجموعات التي تحدث فيها، مما يسمح بزيادة مرونة المحلل. تعتبر الميزات المتبقية قياسية لهذا النوع من المنتجات - تحليل الأرشيفات ومستندات MS Office والقدرة على منع نقل الملفات ذات التنسيق غير المعروف أو الأرشيفات المحمية بكلمة مرور.
مساوئ الأنظمة المدروسة المبنية على التحليل السياقي:
- تتم مراقبة بروتوكولين فقط - HTTP وSMTP (لمراقبة حركة المرور InfoWatch، ولحركة مرور HTTP، يتم فحص البيانات المرسلة باستخدام طلبات POST فقط، مما يسمح لك بتنظيم قناة تسرب باستخدام نقل البيانات باستخدام طريقة GET)؛
- لا يتم التحكم في أجهزة نقل البيانات - الأقراص المرنة والأقراص المضغوطة وأقراص DVD ومحركات أقراص USB وما إلى ذلك. (يحتوي InfoWatch على منتج لهذه الحالة: InfoWatch Net Monitor).
- لتجاوز الأنظمة المبنية على أساس تحليل المحتوى، يكفي استخدام أبسط ترميز النص (على سبيل المثال: سر -> с1е1к1р1е1т)، أو إخفاء المعلومات؛
- لا يمكن حل المشكلة التالية بطريقة تحليل المحتوى - لا يتبادر إلى ذهني أي وصف رسمي مناسب، لذا سأعطي مثالاً فقط: يوجد ملفان من ملفات Excel - في الأول توجد أسعار التجزئة (معلومات عامة)، وفي ثانيا - أسعار الجملة لعميل محدد (معلومات خاصة)، تختلف محتويات الملفات بالأرقام فقط. لا يمكن تمييز هذه الملفات باستخدام تحليل المحتوى.
يعد التحليل السياقي مناسبًا فقط لإنشاء أرشيفات حركة المرور ومكافحة التسرب العرضي للمعلومات ولا يحل المشكلة.
الأنظمة القائمة على حظر الأجهزة الثابتة
مبدأ التشغيل:يتم تعيين حقوق الوصول للمستخدمين إلى الأجهزة التي يتم التحكم فيها، على غرار حقوق الوصول إلى الملفات. من حيث المبدأ، يمكن تحقيق نفس التأثير تقريبًا باستخدام آليات Windows القياسية.
Zlock (www.securit.ru) - ظهر المنتج مؤخرًا نسبيًا، لذا فهو يحتوي على الحد الأدنى من الوظائف (لا أحسب الرتوش)، ولا يعمل بشكل جيد، على سبيل المثال، تتعطل وحدة التحكم الإدارية أحيانًا عند محاولة الحفظ إعدادات.
يعد DeviceLock (www.smartline.ru) منتجًا أكثر إثارة للاهتمام، فهو موجود في السوق لفترة طويلة، لذا فهو يعمل بشكل أكثر استقرارًا ويحتوي على وظائف أكثر تنوعًا. على سبيل المثال، فهو يسمح بالنسخ الاحتياطي للمعلومات المرسلة، مما قد يساعد في التحقيق في حادث ما، ولكن ليس في منعه. بالإضافة إلى ذلك، من المرجح أن يتم إجراء مثل هذا التحقيق عندما يصبح التسرب معروفًا، أي عندما يصبح التسرب معروفًا. فترة زمنية كبيرة بعد حدوثه.
يتكون InfoWatch Net Monitor (www.infowatch.ru) من وحدات - DeviceMonitor (مماثلة لـ Zlock)، وFileMonitor، وOfficeMonitor، وAdobeMonitor، وPrintMonitor. DeviceMonitor هو نظير لـ Zlock، وظيفة قياسية، بدون الزبيب. FileMonitor - التحكم في الوصول إلى الملفات. يتيح لك OfficeMonitor وAdobeMonitor التحكم في كيفية التعامل مع الملفات في التطبيقات الخاصة بهما. من الصعب حاليًا التوصل إلى تطبيق مفيد، وليس لعبة، لـ FileMonitor وOfficeMonitor وAdobeMonitor، ولكن في الإصدارات المستقبلية يجب أن يكون من الممكن إجراء تحليل سياقي للبيانات المعالجة. ربما بعد ذلك ستكشف هذه الوحدات عن إمكاناتها. على الرغم من أنه تجدر الإشارة إلى أن مهمة التحليل السياقي لعمليات الملف ليست تافهة، خاصة إذا كانت قاعدة تصفية المحتوى هي نفسها الموجودة في Traffic Monitor، أي. شبكة.
بشكل منفصل، من الضروري أن نقول عن حماية الوكيل من مستخدم لديه حقوق المسؤول المحلي.
ZLock وInfoWatch Net Monitor ببساطة لا يتمتعان بمثل هذه الحماية. أولئك. يمكن للمستخدم إيقاف الوكيل ونسخ البيانات وبدء تشغيل الوكيل مرة أخرى.
يتمتع DeviceLock بمثل هذه الحماية، وهي ميزة إضافية لا شك فيها. يعتمد على اعتراض مكالمات النظام للعمل مع السجل، نظام الملفاتوإدارة العمليات. ميزة أخرى هي أن الحماية تعمل أيضًا في الوضع الآمن. ولكن هناك أيضًا ناقص - لتعطيل الحماية، يكفي استعادة جدول واصف الخدمة، والذي يمكن القيام به عن طريق تنزيل برنامج تشغيل بسيط.
عيوب الأنظمة المدروسة القائمة على حجب الأجهزة الثابتة:
- لا يتم التحكم في نقل المعلومات إلى الشبكة.
- - لا يعرف كيفية التمييز بين المعلومات السرية والمعلومات غير السرية. إنه يعمل على مبدأ إما أن كل شيء ممكن أو لا شيء مستحيل.
- الحماية ضد تفريغ العامل غائبة أو يمكن تجاوزها بسهولة.
لا ينصح بتنفيذ مثل هذه الأنظمة، لأن لا يحلون المشكلة.
الأنظمة القائمة على قفل الجهاز الديناميكي
مبدأ التشغيل:يتم حظر الوصول إلى قنوات الإرسال اعتمادًا على مستوى وصول المستخدم ودرجة سرية المعلومات التي يتم التعامل معها. ولتنفيذ هذا المبدأ، تستخدم هذه المنتجات آلية التحكم في الوصول الرسمية. لا تحدث هذه الآلية كثيرًا، لذا سأتناولها بمزيد من التفصيل.
التحكم في الوصول الرسمي (القسري)، على عكس التقديرية (المطبقة في نظام الأمان Windows NT والإصدارات الأحدث)، هو أن مالك المورد (على سبيل المثال، ملف) لا يمكنه إضعاف متطلبات الوصول إلى هذا المورد، ولكن يمكنه تقويتها فقط ضمن حدود مستواك. يمكن فقط للمستخدم الذي يتمتع بصلاحيات خاصة - مسؤول أو مسؤول أمن المعلومات - تخفيف المتطلبات.
كان الهدف الرئيسي لتطوير منتجات مثل Guardian وAcord وSecretNet وDallasLock وبعض المنتجات الأخرى هو إمكانية التصديق على أنظمة المعلومات التي سيتم فيها تثبيت هذه المنتجات للامتثال لمتطلبات اللجنة الفنية الحكومية (الآن FSTEC). تعتبر هذه الشهادة إلزامية لأنظمة المعلومات التي تتم فيها معالجة البيانات الحكومية. سر يضمن بشكل أساسي الطلب على المنتجات من الشركات المملوكة للدولة.
لذلك، تم تحديد مجموعة الوظائف المطبقة في هذه المنتجات وفقًا لمتطلبات المستندات ذات الصلة. وهذا بدوره أدى إلى حقيقة أن معظم الوظائف المطبقة في المنتجات إما تكرر المعيار وظائف ويندوز(تنظيف الكائنات بعد الحذف، تنظيف ذاكرة الوصول العشوائي)، أو استخدامه ضمنيًا (التحكم في الوصول التمييزي). وذهب مطورو DallasLock إلى أبعد من ذلك من خلال تطبيق التحكم الإلزامي في الوصول لنظامهم من خلال آلية التحكم التقديرية لنظام Windows.
الاستخدام العملي لمثل هذه المنتجات غير مريح للغاية؛ على سبيل المثال، يتطلب DallasLock إعادة التقسيم للتثبيت قرص صلب، والتي يجب أيضًا إجراؤها باستخدام برنامج تابع لجهة خارجية. في كثير من الأحيان، بعد الحصول على الشهادة، تمت إزالة هذه الأنظمة أو تعطيلها.
يعد SecrecyKeeper (www.secrecykeeper.com) منتجًا آخر يطبق آلية موثوقة للتحكم في الوصول. وفقا للمطورين، تم تطوير SecrecyKeeper خصيصا لحل مشكلة محددة - منع سرقة المعلومات في منظمة تجارية. لذلك، مرة أخرى، وفقًا للمطورين، تم إيلاء اهتمام خاص أثناء التطوير للبساطة وسهولة الاستخدام، سواء بالنسبة لمسؤولي النظام أو المستخدمين العاديين. ما مدى نجاح هذا الأمر بالنسبة للمستهلك للحكم، أي. نحن. بالإضافة إلى ذلك، يقوم SecrecyKeeper بتنفيذ عدد من الآليات التي لا توجد في الأنظمة الأخرى المذكورة - على سبيل المثال، القدرة على تعيين مستوى الخصوصية للموارد ذات الوصول عن بعد وآلية حماية الوكيل.
يتم التحكم في حركة المعلومات في SecrecyKeeper بناءً على مستوى سرية المعلومات ومستويات أذونات المستخدم ومستوى أمان الكمبيوتر، والتي يمكن أن تأخذ القيم العامة والسرية والسرية للغاية. يتيح لك مستوى أمن المعلومات تصنيف المعلومات التي تتم معالجتها في النظام إلى ثلاث فئات:
معلومات عامة وليست سرية، ولا توجد قيود عند العمل معها؛
سر - معلومات سرية، عند العمل معها، يتم تقديم القيود اعتمادا على مستويات إذن المستخدم؛
سري للغاية - معلومات سرية للغاية، عند العمل معها، يتم فرض قيود اعتمادًا على مستويات إذن المستخدم.
يمكن ضبط مستوى أمن المعلومات لملف ما، محرك أقراص الشبكةومنفذ الكمبيوتر الذي يتم تشغيل بعض الخدمات عليه.
تتيح لك مستويات تصريح المستخدم تحديد كيفية قيام المستخدم بنقل المعلومات بناءً على مستوى الأمان الخاص به. توجد مستويات أذونات المستخدم التالية:
مستوى إذن المستخدم - يحد من الحد الأقصى لمستوى أمان المعلومات الذي يمكن للموظف الوصول إليه؛
مستوى الوصول إلى الشبكة - يحد من الحد الأقصى لمستوى أمان المعلومات الذي يمكن للموظف إرساله عبر الشبكة؛
مستوى الوصول إلى الوسائط القابلة للإزالة - يحد من الحد الأقصى لمستوى أمان المعلومات الذي يمكن للموظف نسخه إلى الوسائط الخارجية.
مستوى وصول الطابعة - يحد من الحد الأقصى لمستوى أمان المعلومات الذي يمكن للموظف طباعته.
مستوى أمان الكمبيوتر - يحدد الحد الأقصى لمستوى أمان المعلومات التي يمكن تخزينها ومعالجتها على جهاز الكمبيوتر.
يمكن توفير الوصول إلى المعلومات بمستوى الأمن العام من قبل موظف لديه أي تصريح أمني. ويمكن نقل هذه المعلومات عبر الشبكة ونسخها إلى وسائط خارجية دون قيود. لا يتم تتبع تاريخ العمل مع المعلومات المصنفة على أنها عامة.
لا يمكن الوصول إلى المعلومات بمستوى أمني سري إلا من قبل الموظفين الذين يكون مستوى تصريحهم مساويًا للسرية أو أعلى. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الشبكة سريًا أو أعلى نقل هذه المعلومات إلى الشبكة. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الوسائط القابلة للإزالة سريًا أو أعلى نسخ هذه المعلومات إلى الوسائط الخارجية. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الطابعة سريًا أو أعلى طباعة هذه المعلومات. تاريخ العمل مع المعلومات ذات المستوى السري، أي. يتم تسجيل محاولات الوصول إليه، ومحاولات نقله عبر الشبكة، ومحاولات نسخه إلى وسائط خارجية أو طباعته.
لا يمكن الوصول إلى المعلومات بمستوى سري للغاية من السرية إلا من قبل الموظفين الذين يكون مستوى تصريحهم مساويًا للسرية القصوى. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الشبكة مساويًا للسرية القصوى نقل هذه المعلومات إلى الشبكة. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الوسائط القابلة للإزالة مساويًا للسرية القصوى نسخ هذه المعلومات إلى الوسائط الخارجية. يمكن فقط للموظفين الذين يكون مستوى وصولهم إلى الطابعة مساويًا للسرية القصوى طباعة مثل هذه المعلومات. تاريخ العمل مع المعلومات ذات المستوى السري للغاية، أي. يتم تسجيل محاولات الوصول إليه، ومحاولات نقله عبر الشبكة، ومحاولات نسخه إلى وسائط خارجية أو طباعته.
على سبيل المثال: اسمح لأحد الموظفين أن يكون لديه مستوى إذن مساوٍ للسري للغاية، ومستوى وصول إلى الشبكة مساوٍ للسري للغاية، ومستوى وصول للوسائط القابلة للإزالة مساوٍ للعامة، ومستوى وصول للطابعة مساوٍ للسري للغاية؛ في هذه الحالة، يمكن للموظف الوصول إلى مستند بأي مستوى من السرية، ويمكن للموظف نقل المعلومات إلى الشبكة بمستوى سرية لا يزيد عن السرية، أو نسخها، على سبيل المثال، على الأقراص المرنة، ولا يمكن للموظف إلا المعلومات التي تحتوي على مستوى السرية العامة، ويمكن للموظف طباعة أي معلومات على الطابعة.
لإدارة نشر المعلومات في جميع أنحاء المؤسسة، يتم تعيين مستوى أمان للكمبيوتر لكل جهاز كمبيوتر مخصص للموظف. يحد هذا المستوى من الحد الأقصى لمستوى أمان المعلومات الذي يمكن لأي موظف الوصول إليه من جهاز كمبيوتر معين، بغض النظر عن مستويات تصريح الموظف. الذي - التي. إذا كان لدى الموظف مستوى إذن مساوٍ للسري للغاية، وكان الكمبيوتر الذي يعمل عليه حاليًا يتمتع بمستوى أمان مساوٍ للعامة، فلن يتمكن الموظف من الوصول إلى المعلومات بمستوى أمان أعلى من المستوى العام من محطة العمل هذه.
متسلحين بالنظرية، دعونا نحاول استخدام SecrecyKeeper لحل المشكلة. يمكن وصف المعلومات التي تتم معالجتها في نظام المعلومات الخاص بالمؤسسة المجردة قيد النظر (انظر بيان المشكلة) بطريقة مبسطة باستخدام الجدول التالي:
تم وصف موظفي المؤسسة ومجال اهتماماتهم الوظيفية باستخدام الجدول الثاني:
السماح باستخدام الخوادم التالية في المؤسسة:
الخادم 1C
خادم الملفات مع الكرات:
SecretDocs - يحتوي على وثائق سرية
PublicDocs - يحتوي على مستندات متاحة للعامة
يرجى ملاحظة أنه يتم استخدام القدرات القياسية لتنظيم التحكم في الوصول القياسي نظام التشغيلوالبرمجيات التطبيقية، أي. ومن أجل منع المدير، على سبيل المثال، من الوصول إلى البيانات الشخصية للموظفين، ليست هناك حاجة لإدخال أنظمة حماية إضافية. نحن نتحدث على وجه التحديد عن مكافحة نشر المعلومات التي يتمتع الموظف بحق الوصول القانوني إليها.
دعنا ننتقل إلى التكوين الفعلي لـ SecrecyKeeper.
لن أصف عملية تثبيت وحدة التحكم الإدارية والوكلاء، كل شيء بسيط قدر الإمكان - راجع وثائق البرنامج.
يتكون إعداد النظام من تنفيذ الخطوات التالية.
الخطوة 1. قم بتثبيت الوكلاء على كافة أجهزة الكمبيوتر باستثناء الخوادم - وهذا يمنعهم على الفور من الحصول على المعلومات التي تم تعيين مستوى السرية لها على مستوى أعلى من المستوى العام.
الخطوة 2. تحديد مستويات التخليص للموظفين حسب الجدول التالي:
| مستوى إذن المستخدم | مستوى الوصول إلى الشبكة | مستوى الوصول إلى الوسائط القابلة للإزالة | مستوى الوصول إلى الطابعة | |
| مخرج | سر | سر | سر | سر |
| مدير | سر | عام | عام | سر |
| شؤون الموظفين | سر | عام | عام | سر |
| محاسب | سر | عام | سر | سر |
| سكرتير | عام | عام | عام | عام |
الخطوة 3. قم بتعيين مستويات أمان الكمبيوتر كما يلي:
الخطوة 4. تكوين مستويات أمن المعلومات على الخوادم:
الخطوة 5. تكوين مستويات أمان المعلومات على أجهزة الكمبيوتر الخاصة بالموظفين للملفات المحلية. هذا هو الجزء الأكثر استهلاكا للوقت، لأنه من الضروري أن نفهم بوضوح الموظفين الذين يعملون مع المعلومات ومدى أهمية هذه المعلومات. إذا خضعت مؤسستك لتدقيق أمن المعلومات، فإن نتائجه يمكن أن تجعل المهمة أسهل بكثير.
الخطوة 6. إذا لزم الأمر، يتيح لك SecrecyKeeper تحديد قائمة البرامج التي يُسمح للمستخدمين بتشغيلها. يتم تنفيذ هذه الآلية بشكل مستقل عن سياسة تقييد برامج Windows ويمكن استخدامها، على سبيل المثال، إذا كان من الضروري فرض قيود على المستخدمين الذين لديهم حقوق المسؤول.
وبالتالي، بمساعدة SecrecyKeeper، من الممكن تقليل مخاطر النشر غير المصرح به للمعلومات السرية - سواء التسرب أو السرقة.
عيوب:
- صعوبة في الإعداد الأوليمستويات الخصوصية للملفات المحلية؛
خلاصة عامة:
يتم توفير الحد الأقصى من الفرص لحماية المعلومات من المطلعين من خلال برنامج لديه القدرة على تنظيم الوصول إلى قنوات نقل المعلومات ديناميكيًا، اعتمادًا على درجة سرية المعلومات التي يتم التعامل معها ومستوى التصريح الأمني للموظف.
شركة هي خدمة فريدة للمشترين والمطورين والتجار والشركاء التابعين. علاوة على ذلك، هذه واحدة من أفضل المتاجر على الانترنتبرنامج في روسيا وأوكرانيا وكازاخستان يقدم للعملاء مجموعة واسعة والعديد من طرق الدفع ومعالجة الطلبات السريعة (الفورية في كثير من الأحيان) وتتبع عملية الطلب في القسم الشخصي.
في الآونة الأخيرة، أصبحت مشكلة الحماية من التهديدات الداخلية تحديا حقيقيا لعالم أمن معلومات الشركات المفهوم والراسخ. تتحدث الصحافة عن المطلعين، ويحذر الباحثون والمحللون من الخسائر والمتاعب المحتملة، وتمتلئ قنوات الأخبار بتقارير حول حادثة أخرى أدت إلى تسرب مئات الآلاف من سجلات العملاء بسبب خطأ أو إهمال أحد الموظفين. دعونا نحاول معرفة ما إذا كانت هذه المشكلة خطيرة للغاية، وما إذا كانت تحتاج إلى التعامل معها، وما هي الأدوات والتقنيات المتاحة لحلها.
بادئ ذي بدء، من المفيد تحديد أن التهديد بسرية البيانات داخلي إذا كان مصدره موظفًا في المؤسسة أو أي شخص آخر لديه حق الوصول القانوني إلى هذه البيانات. وبالتالي، عندما نتحدث عن التهديدات الداخلية، فإننا نتحدث عن أي منها الإجراءات الممكنةالمستخدمين القانونيين، عن قصد أو عن غير قصد، مما قد يؤدي إلى تسرب المعلومات السرية خارج شبكة الشركة الخاصة بالمؤسسة. لإكمال الصورة، تجدر الإشارة إلى أن هؤلاء المستخدمين غالبا ما يطلق عليهم المطلعين، على الرغم من أن هذا المصطلح له معاني أخرى.
تم تأكيد أهمية مشكلة التهديدات الداخلية من خلال نتائج الدراسات الحديثة. على وجه الخصوص، في أكتوبر 2008، تم الإعلان عن نتائج دراسة مشتركة أجرتها شركة Compuware ومعهد Ponemon، والتي بموجبها يعتبر المطلعون السبب الأكثر شيوعًا لتسرب البيانات (75٪ من الحوادث في الولايات المتحدة)، بينما كان المتسللون في المركز الخامس فقط مكان. في الدراسة السنوية لعام 2008 التي أجراها معهد أمن الكمبيوتر (CSI)، كانت أرقام عدد حوادث التهديدات الداخلية كما يلي:
عدد الحوادث كنسبة مئوية يعني العدد الإجمالي للمستجيبين هذا النوعوقع الحادث في النسبة المحددة من المنظمات. وكما يتبين من هذه الأرقام، فإن كل منظمة تقريبًا معرضة لخطر المعاناة من التهديدات الداخلية. وبالمقارنة، وبحسب التقرير نفسه، أثرت الفيروسات على 50% من المؤسسات التي شملها الاستطلاع، ومع تسلل المتسللين إلى شبكه محليه 13٪ فقط واجهوا ذلك.
هكذا، التهديدات الداخلية– هذا هو واقع اليوم، وليس أسطورة اخترعها المحللون والبائعين. لذا فإن أولئك الذين يعتقدون، على الطراز القديم، أن أمن معلومات الشركات عبارة عن جدار حماية ومكافحة فيروسات، يحتاجون إلى إلقاء نظرة أوسع على المشكلة في أقرب وقت ممكن.
يعمل قانون "البيانات الشخصية" أيضًا على زيادة درجة التوتر، والذي بموجبه يتعين على المنظمات والمسؤولين الإجابة ليس فقط على إدارتهم، ولكن أيضًا على عملائهم وقانون التعامل غير السليم مع البيانات الشخصية.
نموذج الدخيل
تقليديا، عند النظر في التهديدات والدفاعات ضدها، ينبغي للمرء أن يبدأ بتحليل نموذج الخصم. كما ذكرنا سابقًا، سنتحدث عن المطلعين - موظفو المنظمة والمستخدمون الآخرون الذين لديهم حق الوصول القانوني إلى المعلومات السرية. كقاعدة عامة، بهذه الكلمات، يفكر الجميع في موظف مكتب يعمل على جهاز كمبيوتر كجزء من شبكة الشركة، والذي لا يغادر مكتب المنظمة أثناء العمل. ومع ذلك، فإن مثل هذا التمثيل غير كامل. ومن الضروري توسيعه ليشمل أنواعًا أخرى من الأشخاص الذين لديهم حق الوصول القانوني إلى المعلومات والذين يمكنهم مغادرة مكتب المنظمة. يمكن أن يكون هؤلاء مسافرين بغرض العمل ولديهم أجهزة كمبيوتر محمولة، أو أولئك الذين يعملون في المكتب والمنزل، أو السعاة الذين ينقلون الوسائط المحملة بالمعلومات، وفي المقام الأول الأشرطة المغناطيسية مع نسخة احتياطية، وما إلى ذلك.
مثل هذا النظر الموسع لنموذج الدخيل، أولاً، يتناسب مع المفهوم، نظرًا لأن التهديدات التي يشكلها هؤلاء المتسللون تتعلق أيضًا بالتهديدات الداخلية، وثانيًا، يسمح لنا بتحليل المشكلة على نطاق أوسع، مع الأخذ في الاعتبار جميع الخيارات الممكنةمكافحة هذه التهديدات.
يمكن تمييز الأنواع الرئيسية التالية من المخالفين الداخليين:
- الموظف الخائن/الاستياء.قد يتصرف المخالفون الذين ينتمون إلى هذه الفئة بشكل هادف، على سبيل المثال، من خلال تغيير الوظائف والرغبة في الحصول على معلومات سرية من أجل إثارة اهتمام صاحب العمل الجديد، أو عاطفيا، إذا اعتبروا أنفسهم مهينين، وبالتالي الرغبة في الانتقام. إنهم خطرون لأنهم متحمسون للغاية لإلحاق الضرر بالمنظمة التي يعملون فيها حاليًا. كقاعدة عامة، يكون عدد الحوادث التي تنطوي على موظفين غير مخلصين صغيرًا، ولكنه يمكن أن يزيد في حالات الظروف الاقتصادية غير المواتية والتخفيضات الهائلة في عدد الموظفين.
- الموظف المتسلل أو المرتشي أو المتلاعب به.في هذه الحالة نحن نتحدث عنحول أي أعمال متعمدة، عادة لغرض التجسس الصناعي في ظروف المنافسة الشديدة. ولجمع معلومات سرية، يقومون إما بإدخال شخصهم إلى شركة منافسة لأغراض معينة، أو العثور على موظف أقل ولاءً ورشوة له، أو إجبار موظف مخلص ولكن مهمل على تسليم المعلومات السرية من خلال الهندسة الاجتماعية. عادة ما يكون عدد الحوادث من هذا النوع أقل من الحوادث السابقة، وذلك بسبب حقيقة أن المنافسة في معظم قطاعات الاقتصاد في الاتحاد الروسي ليست متطورة جدًا أو يتم تنفيذها بطرق أخرى.
- موظف مهمل. هذا النوعالمخالف هو موظف مخلص ولكنه غافل أو مهمل وقد ينتهك السياسة الأمن الداخليالمؤسسة بسبب جهلها أو نسيانها. قد يرسل مثل هذا الموظف عن طريق الخطأ بريدًا إلكترونيًا يحتوي على ملف حساس مرفق بالشخص الخطأ، أو يأخذ إلى المنزل محرك أقراص محمول يحتوي على معلومات سرية للعمل عليه خلال عطلة نهاية الأسبوع ويفقده. يشمل هذا النوع أيضًا الموظفين الذين يفقدون أجهزة الكمبيوتر المحمولة والأشرطة المغناطيسية. ووفقا للعديد من الخبراء، فإن هذا النوع من المطلعين هو المسؤول عن غالبية تسريبات المعلومات السرية.
وبالتالي، فإن الدوافع، وبالتالي، قد تختلف مسارات عمل المخالفين المحتملين بشكل كبير. اعتمادا على ذلك، يجب عليك التعامل مع مهمة ضمان الأمن الداخلي للمنظمة.
تقنيات الحماية من التهديدات الداخلية
على الرغم من الشباب النسبي لهذا القطاع من السوق، فإن العملاء لديهم بالفعل الكثير للاختيار من بينها اعتمادًا على أهدافهم وقدراتهم المالية. تجدر الإشارة إلى أنه لا يوجد الآن أي بائعين في السوق متخصصين حصريًا في التهديدات الداخلية. وقد نشأ هذا الوضع ليس فقط بسبب عدم نضج هذا القطاع، ولكن أيضًا بسبب سياسة الاندماجات والاستحواذ العدوانية والفوضوية أحيانًا التي تنفذها الشركات المصنعة لمنتجات الأمان التقليدية والبائعين الآخرين المهتمين بالتواجد في هذا القطاع. تجدر الإشارة إلى شركة RSA Data Security، التي أصبحت قسمًا من EMC في عام 2006، وشراء NetApp للشركة الناشئة Decru، التي طورت أنظمة حماية تخزين الخادم و نسخ احتياطيةفي عام 2005، قامت شركة Symantec بشراء شركة Vontu التي تبيع خدمات DLP في عام 2007، وما إلى ذلك.
على الرغم من أن عددا كبيرا من هذه المعاملات يشير إلى آفاق جيدة لتطوير هذا القطاع، إلا أنها لا تفيد دائما جودة المنتجات التي تندرج تحت الجناح الشركات الكبيرة. تبدأ المنتجات في التطور بشكل أبطأ، ولا يستجيب المطورون بسرعة لمتطلبات السوق مقارنة بشركة متخصصة للغاية. وهذا مرض معروف لدى الشركات الكبيرة، والتي، كما نعلم، تفقد القدرة على الحركة والكفاءة أمام إخوانها الأصغر. ومن ناحية أخرى، تتحسن جودة الخدمة وتوافر المنتجات للعملاء في مختلف أنحاء العالم بسبب تطور شبكة خدماتهم ومبيعاتهم.
دعونا نفكر في التقنيات الرئيسية المستخدمة حاليًا لتحييد التهديدات الداخلية ومزاياها وعيوبها.
مراقبة الوثائق
تتجسد تقنية التحكم في المستندات في منتجات إدارة الحقوق الحديثة، مثل مايكروسوفت ويندوزخدمات إدارة الحقوق، وAdobe LiveCycle RightCycle Right Management ES، وOracle Information Right Management.
مبدأ تشغيل هذه الأنظمة هو تعيين قواعد الاستخدام لكل مستند والتحكم في هذه الحقوق في التطبيقات التي تعمل مع المستندات من هذا النوع. على سبيل المثال، يمكنك إنشاء مستند مايكروسوفت ووردوقم بتعيين القواعد لها: من يمكنه عرضها، ومن يمكنه تحرير التغييرات وحفظها، ومن يمكنه الطباعة. تسمى هذه القواعد ترخيصًا في شروط Windows RMS ويتم تخزينها مع الملف. يتم تشفير محتويات الملف لمنع المستخدمين غير المصرح لهم من مشاهدته.
الآن، إذا حاول أي مستخدم فتح مثل هذا الملف المحمي، يتصل التطبيق بخادم RMS خاص، ويؤكد أذونات المستخدم، وإذا كان الوصول إلى هذا المستخدم مسموحًا به، يقوم الخادم بتمرير المفتاح إلى التطبيق لفك تشفير هذا الملف والمعلومات حول حقوق هذا المستخدم. بناءً على هذه المعلومات، يتيح التطبيق للمستخدم فقط الوظائف التي لديه حقوق فيها. على سبيل المثال، إذا لم يكن مسموحًا للمستخدم بطباعة ملف، فلن تكون ميزة الطباعة الخاصة بالتطبيق متاحة.
وتبين أن المعلومات الموجودة في مثل هذا الملف آمنة حتى لو خرج الملف من شبكة الشركة - فهو مشفر. تم تضمين وظيفة RMS بالفعل في التطبيقات مايكروسوفت أوفيس 2003 الطبعة المهنية. لتضمين وظائف RMS في تطبيقات من مطورين آخرين، تقدم Microsoft حزمة SDK خاصة.
تم تصميم نظام التحكم في المستندات من Adobe بطريقة مماثلة، ولكنه يركز على المستندات بتنسيق PDF. يتم تثبيت Oracle IRM على أجهزة الكمبيوتر العميلة كوكيل ويتكامل مع التطبيقات في وقت التشغيل.
يعد التحكم في المستندات جزءًا مهمًا من المفهوم العام للحماية من التهديدات الداخلية، ولكن يجب أن تؤخذ القيود المتأصلة في هذه التكنولوجيا في الاعتبار. أولاً، إنه مصمم حصريًا لمراقبة ملفات المستندات. إذا كنا نتحدث عن ملفات أو قواعد بيانات غير منظمة، فهذه التكنولوجيا لا تعمل. ثانيًا، إذا قام أحد المهاجمين، باستخدام SDK لهذا النظام، بإنشاء تطبيق بسيط يتصل بخادم RMS، ويتلقى مفتاح تشفير من هناك ويحفظ المستند بنص واضح، ويقوم بتشغيل هذا التطبيق نيابة عن المستخدم الذي لديه الحد الأدنى من الوصول إلى الوثيقة، ثم هذا النظامسيتم تجاوزها. بالإضافة إلى ذلك، ينبغي للمرء أن يأخذ في الاعتبار الصعوبات عند تنفيذ نظام مراقبة المستندات إذا كانت المنظمة قد أنشأت بالفعل العديد من المستندات - فقد تتطلب مهمة تصنيف المستندات في البداية وتعيين حقوق استخدامها جهدًا كبيرًا.
هذا لا يعني أن أنظمة التحكم في المستندات لا تفي بالمهمة، علينا فقط أن نتذكر أن أمن المعلومات مشكلة معقدة، وكقاعدة عامة، ليس من الممكن حلها بمساعدة أداة واحدة فقط.
حماية من التسرب
ظهر مصطلح منع فقدان البيانات (DLP) في مفردات المتخصصين في أمن المعلومات مؤخرًا نسبيًا، وقد أصبح بالفعل، دون مبالغة، الموضوع الأكثر سخونة في السنوات الأخيرة. كقاعدة عامة، يشير اختصار DLP إلى الأنظمة التي تراقب قنوات التسرب المحتملة وتمنعها في حالة محاولة إرسال أي معلومات سرية عبر هذه القنوات. بالإضافة إلى ذلك، في الوظيفة أنظمة مماثلةغالبًا ما تتضمن القدرة على أرشفة المعلومات التي تمر عبرها لعمليات التدقيق اللاحقة والتحقيقات في الحوادث والتحليل بأثر رجعي للمخاطر المحتملة.
هناك نوعان من أنظمة DLP: DLP للشبكة وDLP للمضيف.
شبكة DLPالعمل على مبدأ بوابة الشبكة التي تقوم بتصفية جميع البيانات التي تمر عبرها. من الواضح، بناءً على مهمة مكافحة التهديدات الداخلية، أن الاهتمام الرئيسي لمثل هذه التصفية يكمن في القدرة على التحكم في البيانات المنقولة خارج شبكة الشركة إلى الإنترنت. تسمح لك عمليات DLP للشبكة بمراقبة البريد الصادر وحركة مرور http وftp وخدمات المراسلة الفورية وما إلى ذلك. إذا تم اكتشاف معلومات حساسة، فيمكن لـ DLP للشبكة حظر الملف المرسل. هناك أيضًا خيارات للمعالجة اليدوية للملفات المشبوهة. يتم وضع الملفات المشبوهة في الحجر الصحي، والتي تتم مراجعتها بشكل دوري من قبل ضابط الأمن وإما السماح أو رفض نقل الملفات. ومع ذلك، نظرًا لطبيعة البروتوكول، فإن هذه المعالجة ممكنة فقط للبريد الإلكتروني. يتم توفير فرص إضافية للتدقيق والتحقيق في الحوادث من خلال أرشفة جميع المعلومات التي تمر عبر البوابة، على أن تتم مراجعة هذا الأرشيف بشكل دوري وتحليل محتوياته من أجل التعرف على التسريبات التي حدثت.
إحدى المشاكل الرئيسية في تنفيذ وتنفيذ أنظمة DLP هي طريقة الكشف عن المعلومات السرية، أي لحظة اتخاذ القرار بشأن ما إذا كانت المعلومات المرسلة سرية والأسباب التي يتم أخذها في الاعتبار عند اتخاذ مثل هذا القرار . وكقاعدة عامة، يتم ذلك عن طريق تحليل المحتوى المستندات المنقولةويسمى أيضًا تحليل المحتوى. دعونا نفكر في الطرق الرئيسية للكشف عن المعلومات السرية.
- العلامات. تشبه هذه الطريقة أنظمة التحكم في المستندات التي تمت مناقشتها أعلاه. يتم تضمين التسميات في المستندات التي تصف درجة سرية المعلومات، وما يمكن فعله بهذه الوثيقة، وإلى من يجب إرسالها. واستنادًا إلى نتائج تحليل العلامات، يقرر نظام منع فقدان البيانات (DLP) ما إذا كان ذلك ممكنًا أم لا هذا المستندإرسال خارج أم لا. يتم في البداية جعل بعض أنظمة DLP متوافقة مع أنظمة إدارة الحقوق لاستخدام التسميات التي تثبتها هذه الأنظمة، بينما تستخدم الأنظمة الأخرى تنسيق التسميات الخاص بها.
- التوقيعات. تتكون هذه الطريقة من تحديد تسلسل واحد أو أكثر من الأحرف، والذي يجب أن يخبر وجوده في نص الملف المنقول نظام DLP أن هذا الملف يحتوي على معلومات سرية. يمكن تنظيم عدد كبير من التوقيعات في القواميس.
- طريقة بايز. يمكن أيضًا استخدام هذه الطريقة المستخدمة لمكافحة البريد العشوائي بنجاح في أنظمة DLP. لتطبيق هذه الطريقة، يتم إنشاء قائمة الفئات، ويتم الإشارة إلى قائمة الكلمات مع احتمالات أنه إذا ظهرت الكلمة في ملف، فإن الملف ذو الاحتمالية المحددة ينتمي أو لا ينتمي إلى الفئة المحددة.
- التحليل الصرفي.تشبه طريقة التحليل المورفولوجي طريقة التوقيع، والفرق هو أنه لا يتم تحليل التطابق بنسبة 100٪ مع التوقيع، ولكن يتم أيضًا أخذ الكلمات الجذرية المماثلة في الاعتبار.
- المطبوعات الرقمية.جوهر هذه الطريقة هو أنه يتم حساب دالة التجزئة لجميع المستندات السرية بحيث تظل وظيفة التجزئة كما هي أو تتغير قليلاً أيضًا إذا تم تغيير المستند قليلاً. وبالتالي، يتم تبسيط عملية الكشف عن الوثائق السرية إلى حد كبير. على الرغم من الإشادة الحماسية لهذه التكنولوجيا من قبل العديد من البائعين وبعض المحللين، إلا أن موثوقيتها تترك الكثير مما هو مرغوب فيه، وبالنظر إلى حقيقة أن البائعين، تحت ذرائع مختلفة، يفضلون ترك تفاصيل تنفيذ خوارزمية البصمة الرقمية في الظل، والثقة فيه لا يزيد.
- التعبيرات العاديةمعروف لكل من تعامل مع البرمجة، التعبيرات العاديةتسهيل العثور على بيانات القالب نصيًا، مثل أرقام الهواتف ومعلومات جواز السفر وأرقام الحسابات المصرفية وأرقام الضمان الاجتماعي وما إلى ذلك.
من القائمة أعلاه، من السهل أن نرى أن طرق الكشف إما لا تضمن تحديد المعلومات السرية بنسبة 100٪، لأن مستوى الأخطاء في كلا النوعين الأول والثاني مرتفع للغاية، أو تتطلب اليقظة المستمرة من خدمة الأمن ل قم بتحديث والحفاظ على قائمة محدثة من التوقيعات أو تسميات المهام للمستندات السرية.
بالإضافة إلى ذلك، يمكن أن يخلق تشفير حركة المرور مشكلة معينة في تشغيل DLP للشبكة. إذا كانت متطلبات الأمان تتطلب منك تشفير رسائل البريد الإلكتروني أو استخدام SSL عند الاتصال بأي موارد ويب، فقد يكون من الصعب جدًا حل مشكلة تحديد وجود معلومات سرية في الملفات المنقولة. لا تنس أن بعض خدمات المراسلة الفورية، مثل Skype، تحتوي على تشفير مدمج افتراضيًا. سيتعين عليك رفض استخدام مثل هذه الخدمات أو استخدام مضيف DLP للتحكم فيها.
ومع ذلك، على الرغم من كل التعقيدات، عند تكوينها بشكل صحيح وأخذها على محمل الجد، يمكن لـ DLP للشبكة أن تقلل بشكل كبير من مخاطر تسرب المعلومات السرية وتزود المؤسسة بوسائل ملائمة للرقابة الداخلية.
استضافة ميزة منع فقدان البيانات (DLP).يتم تثبيتها على كل مضيف على الشبكة (على محطات عمل العميل، وإذا لزم الأمر، على الخوادم) ويمكن استخدامها أيضًا للتحكم في حركة مرور الإنترنت. ومع ذلك، تعد عمليات DLP المستندة إلى المضيف أقل انتشارًا بهذه الصفة ويتم استخدامها حاليًا بشكل أساسي للتحكم الأجهزة الخارجيةوالطابعات. كما تعلمون، فإن الموظف الذي يجلب محرك أقراص فلاش أو مشغل MP3 للعمل يشكل تهديدا أكبر بكثير لأمن المعلومات في المؤسسة من جميع المتسللين مجتمعين. وتسمى هذه الأنظمة أيضًا أدوات أمان نقطة نهاية الشبكة ( أمن نقطة النهاية)، على الرغم من أن هذا المصطلح غالبًا ما يستخدم على نطاق أوسع، على سبيل المثال، تُسمى منتجات مكافحة الفيروسات أحيانًا بهذه الطريقة.
وكما تعلمون فإن مشكلة استخدام الأجهزة الخارجية يمكن حلها دون استخدام أي وسيلة من خلال تعطيل المنافذ سواء فعلياً أو باستخدام نظام التشغيل، أو إدارياً من خلال منع الموظفين من إدخال أي وسائط تخزين إلى المكتب. ومع ذلك، في معظم الحالات، يكون النهج "الرخيص والمبهج" غير مقبول، حيث لا يتم توفير المرونة المطلوبة لخدمات المعلومات التي تتطلبها العمليات التجارية.
ولهذا السبب، كان هناك طلب معين على وسائل خاصة، والتي يمكنك من خلالها حل مشكلة استخدام الأجهزة والطابعات الخارجية من قبل موظفي الشركة بشكل أكثر مرونة. تسمح لك هذه الأدوات بتكوين حقوق الوصول للمستخدمين أنواع مختلفةالأجهزة، على سبيل المثال، لمجموعة واحدة من المستخدمين لحظر العمل مع الوسائط والسماح لهم بالعمل مع الطابعات، ولأخرى - للسماح بالعمل مع الوسائط في وضع القراءة فقط. إذا كان من الضروري تسجيل المعلومات على الأجهزة الخارجية للمستخدمين الفرديين، فيمكن استخدام تقنية النسخ الاحتياطي، والتي تضمن نسخ جميع المعلومات المحفوظة على جهاز خارجي إلى الخادم. يمكن تحليل المعلومات المنسوخة لاحقًا لتحليل إجراءات المستخدم. هذه التكنولوجياينسخ كل شيء، ولا توجد حاليًا أنظمة تسمح بتحليل محتوى الملفات المخزنة من أجل منع العملية ومنع التسرب، كما تفعل عمليات DLP للشبكة. ومع ذلك، فإن أرشيف النسخ الاحتياطية سيوفر تحقيقات في الحوادث وتحليلاً بأثر رجعي للأحداث على الشبكة، ووجود مثل هذا الأرشيف يعني أنه يمكن القبض على المطلعين المحتملين ومعاقبتهم على أفعالهم. قد يكون هذا عقبة كبيرة أمامه وسببًا مهمًا للتخلي عن الأعمال العدائية.
ومن الجدير بالذكر أيضًا التحكم في استخدام الطابعات - حيث يمكن أن تصبح النسخ الورقية من المستندات أيضًا مصدرًا للتسرب. يتيح لك DLP المستضاف التحكم في وصول المستخدم إلى الطابعات بنفس طريقة الأجهزة الخارجية الأخرى، وتخزين نسخ من المستندات المطبوعة في تنسيق رسوميللتحليل اللاحق. بالإضافة إلى ذلك، أصبحت تقنية العلامات المائية منتشرة إلى حد ما، والتي تطبع رمزًا فريدًا على كل صفحة من المستند، والذي يمكن استخدامه لتحديد من قام بطباعة هذا المستند ومتى وأين بالضبط.
على الرغم من المزايا التي لا شك فيها لـ DLP المستندة إلى المضيف، إلا أن لديها عددًا من العيوب المرتبطة بالحاجة إلى تثبيت برنامج وكيل على كل كمبيوتر من المفترض مراقبته. أولا، يمكن أن يسبب هذا بعض الصعوبات فيما يتعلق بنشر وإدارة هذه الأنظمة. ثانيًا، قد يحاول المستخدم الذي يتمتع بحقوق المسؤول تعطيل هذا البرنامج لتنفيذ أي إجراءات غير مسموح بها بموجب سياسة الأمان.
ومع ذلك، للتحكم الموثوق في الأجهزة الخارجية، لا غنى عن DLP المستند إلى المضيف، والمشكلات المذكورة ليست غير قابلة للحل. وبالتالي، يمكننا أن نستنتج أن مفهوم DLP أصبح الآن أداة كاملة في ترسانة خدمات أمن الشركات في مواجهة الضغوط المتزايدة عليها لضمان الرقابة الداخلية والحماية من التسريبات.
مفهوم IPC
في عملية اختراع وسائل جديدة لمكافحة التهديدات الداخلية، لا يتوقف الفكر العلمي والهندسي للمجتمع الحديث، ومع مراعاة بعض أوجه القصور في الوسائل التي تمت مناقشتها أعلاه، فقد وصل سوق أنظمة الحماية من تسرب المعلومات إلى مستوى مفهوم IPC (حماية المعلومات والتحكم فيها). ظهر هذا المصطلح مؤخرًا نسبيًا، ويُعتقد أنه تم استخدامه لأول مرة في مراجعة أجرتها شركة التحليلات IDC في عام 2007.
جوهر هذا المفهوم هو الجمع بين أساليب DLP والتشفير. في هذا المفهوم، باستخدام DLP، يتم التحكم في المعلومات الخارجة من شبكة الشركة عبر القنوات التقنية، ويتم استخدام التشفير لحماية وسائط التخزين التي تقع فعليًا أو قد تقع في أيدي أشخاص غير مصرح لهم.
دعونا نلقي نظرة على تقنيات التشفير الأكثر شيوعًا التي يمكن استخدامها في مفهوم IPC.
- تشفير الأشرطة المغناطيسية.على الرغم من الطبيعة القديمة لهذا النوع من الوسائط، إلا أنه لا يزال يتم استخدامه بنشاط نسخة احتياطيةولنقل كميات كبيرة من المعلومات، حيث أنها لا تزال غير متساوية من حيث تكلفة الوحدة للميجابايت المخزن. وبناءً على ذلك، تستمر تسريبات الأشرطة في إسعاد محرري وكالات الأنباء الذين يضعونها على الصفحة الأولى، وإحباط مديري تكنولوجيا المعلومات وفرق الأمن في الشركات الذين يصبحون أبطال مثل هذه التقارير. ويتفاقم الوضع بسبب حقيقة أن هذه الأشرطة تحتوي على كميات كبيرة جدًا من البيانات، وبالتالي يمكن أن يصبح عدد كبير من الأشخاص ضحايا المحتالين.
- تشفير مخازن الخادم.على الرغم من حقيقة أن تخزين الخادم نادرًا ما يتم نقله، وأن خطر فقدانه أقل بما لا يقاس من خطر الشريط المغناطيسي، إلا أن هناك حاجة منفصلة الأقراص الصلبةمن التخزين قد تقع في أيدي المجرمين. الإصلاح والتخلص والترقية - تحدث هذه الأحداث بانتظام كافٍ لشطب هذه المخاطر. وحالة دخول الأشخاص غير المصرح لهم إلى المكتب ليست حدثا مستحيلا تماما.
يجدر هنا إجراء استطراد صغير وذكر المفهوم الخاطئ الشائع القائل بأنه إذا كان القرص جزءًا من مصفوفة RAID، فمن المفترض أنه لا داعي للقلق بشأن وقوعه في الأيدي الخطأ. يبدو أن تناوب البيانات المسجلة في عدة محركات الأقراص الصلبة، الذي تقوم به وحدات تحكم RAID، يوفر مظهرًا غير قابل للقراءة للبيانات الموجودة على أي نوع ثابت واحد. لسوء الحظ، هذا ليس صحيحا تماما. يحدث التشذير، ولكن في معظم الأجهزة الحديثة يتم ذلك على مستوى كتلة 512 بايت. وهذا يعني أنه على الرغم من انتهاك بنية الملفات وتنسيقاتها، لا يزال من الممكن استخراج المعلومات السرية من هذا القرص الصلب. ولذلك، إذا كان هناك شرط لضمان سرية المعلومات عند تخزينها في مصفوفة RAID، فإن التشفير يظل هو الخيار الوحيد الموثوق به.
- تشفير أجهزة الكمبيوتر المحمولة.لقد قيل هذا بالفعل مرات لا تحصى، ولكن لا يزال فقدان أجهزة الكمبيوتر المحمولة التي تحتوي على معلومات سرية لم يكن من بين الخمسة الأوائل من الحوادث الناجحة لسنوات عديدة حتى الآن.
- تشفير الوسائط القابلة للإزالة.في هذه الحالة، نحن نتحدث عن أجهزة USB المحمولة، وأحيانًا، الأقراص المضغوطة وأقراص DVD القابلة للتسجيل إذا تم استخدامها في العمليات التجارية للمؤسسة. يمكن لمثل هذه الأنظمة، بالإضافة إلى أنظمة تشفير القرص الصلب للكمبيوتر المحمول المذكورة أعلاه، أن تعمل في كثير من الأحيان كمكونات لأنظمة DLP المضيفة. في هذه الحالة، يتحدثون عن نوع من محيط التشفير، الذي يضمن التشفير التلقائي الشفاف للوسائط الموجودة بداخلها، وعدم القدرة على فك تشفير البيانات خارجها.
وبالتالي، يمكن للتشفير أن يوسع بشكل كبير قدرات أنظمة DLP ويقلل من مخاطر تسرب البيانات السرية. على الرغم من حقيقة أن مفهوم IPC قد تبلور مؤخرًا نسبيًا، وأن اختيار حلول IPC المعقدة في السوق ليس واسعًا جدًا، فإن الصناعة تستكشف هذا المجال بنشاط ومن المحتمل جدًا أن يصبح هذا المفهوم بعد مرور بعض الوقت هو الهدف المعيار الواقعي لحل مشاكل الأمن الداخلي والأمن الداخلي.
الاستنتاجات
كما يتبين من هذا الاستعراضتعد التهديدات الداخلية مجالًا جديدًا إلى حد ما في أمن المعلومات، والذي، مع ذلك، يتطور بنشاط ويتطلب اهتمامًا متزايدًا. تتيح تقنيات التحكم في المستندات المدروسة، DLP وIPC، إمكانية بناء نظام تحكم داخلي موثوق به إلى حد ما وتقليل مخاطر التسرب إلى مستوى مقبول. مما لا شك فيه أن هذا المجال من أمن المعلومات سيستمر في التطور، وسيتم تقديم تقنيات أحدث وأكثر تقدما، ولكن اليوم تختار العديد من المنظمات حلا أو آخر، لأن الإهمال في مسائل أمن المعلومات يمكن أن يكون مكلفا للغاية.
أليكسي رايفسكي
الرئيس التنفيذي لشركة SecurIT
