Protección de software contra infiltrados pdf. Protección contra personas internas mediante el sistema Zlock. Sistemas basados ​​en bloqueo de dispositivos estáticos

Protección de software contra infiltrados pdf. Protección contra personas internas mediante el sistema Zlock. Sistemas basados ​​en bloqueo de dispositivos estáticos

"Consultor", 2011, N 9

"Quien posee la información, posee el mundo": este famoso aforismo de Winston Churchill es más relevante que nunca en la sociedad moderna. El conocimiento, las ideas y la tecnología pasan a primer plano, y el liderazgo en el mercado depende de qué tan bien una empresa pueda gestionar su capital intelectual.

En estas condiciones, la seguridad de la información de una organización cobra especial importancia.

Cualquier filtración de información a la competencia o publicación de información sobre procesos internos afecta instantáneamente las posiciones que ocupa la empresa en el mercado.

Sistema seguridad de información debe proporcionar protección contra una variedad de amenazas: técnicas, organizativas y aquellas causadas por el factor humano.

Como muestra la práctica, el principal canal de fuga de información son los iniciados.

enemigo en la retaguardia

Normalmente, una persona privilegiada es un empleado de la empresa que causa daño a la empresa al revelar información confidencial.

Sin embargo, si consideramos las tres condiciones principales cuya provisión es el objetivo de la seguridad de la información (confidencialidad, integridad y disponibilidad), esta definición se puede ampliar.

Se puede llamar información privilegiada a un empleado que tiene acceso oficial legítimo a información confidencial de una empresa, lo que provoca divulgación, distorsión, daño o inaccesibilidad a la información.

Esta generalización es aceptable porque mundo moderno La violación de la integridad y disponibilidad de la información a menudo conlleva consecuencias mucho más graves para las empresas que la divulgación de información confidencial.

Para muchas empresas, la interrupción de los procesos de negocio, aunque sea por poco tiempo, amenaza con pérdidas financieras importantes, y la interrupción del funcionamiento en unos pocos días puede causar un golpe tan fuerte que sus consecuencias pueden ser fatales.

Varias organizaciones que estudian el riesgo empresarial publican periódicamente los resultados de sus investigaciones. Según ellos, la información privilegiada ocupa desde hace muchos años el primer lugar en la lista de motivos de violaciones de la seguridad de la información.

Debido al constante aumento del número total de incidentes, podemos concluir que la relevancia del problema aumenta cada vez.

Modelo de amenaza

Para construir un sistema de seguridad de la información en capas confiable que ayude a combatir eficazmente el problema, primero es necesario crear un modelo de amenaza.

Es necesario comprender quiénes son los insiders y qué los motiva, por qué toman determinadas acciones.

Existen diferentes enfoques para crear dichos modelos, pero a efectos prácticos se puede utilizar la siguiente clasificación, que incluye todos los tipos principales de información privilegiada.

hacker interno

Un empleado así, por regla general, tiene calificaciones de ingeniería superiores a la media y comprende la estructura de los recursos de la empresa, la arquitectura de los sistemas informáticos y las redes.

Realiza acciones de piratería por curiosidad, interés deportivo, explorando los límites de sus propias capacidades.

Por lo general, es consciente del posible daño de sus acciones, por lo que rara vez causa daños tangibles.

El grado de peligrosidad es medio, ya que sus acciones pueden provocar la parada temporal de algunos procesos que ocurren en la empresa. La identificación de actividades es posible principalmente a través de medios técnicos.

Empleado irresponsable y poco calificado.

Puede tener una variedad de habilidades y trabajar en cualquier departamento de la empresa.

Es peligroso porque no tiene la costumbre de pensar en las consecuencias de sus acciones, puede trabajar con los recursos de información de la empresa "por ensayo y error" y destruir y distorsionar información sin querer.

Por lo general, no recuerda la secuencia de sus acciones y, cuando descubre consecuencias negativas, es posible que simplemente guarde silencio sobre ellas.

Puede revelar información que constituye un secreto comercial en una conversación personal con un amigo o incluso cuando se comunica en foros de Internet y en en las redes sociales.

El grado de peligrosidad es muy alto, sobre todo teniendo en cuenta que este tipo de delincuentes es más común que otros. Las consecuencias de sus actividades pueden ser mucho más graves que las de un atacante consciente.

Para prevenir las consecuencias de sus acciones, es necesario tomar todo un abanico de medidas diferentes, tanto técnicas (autorización, división obligatoria de las sesiones de trabajo por cuentas) como organizativas (control de gestión constante sobre el proceso y resultado del trabajo). .

Persona psicológicamente inestable

Al igual que un representante del tipo anterior, puede trabajar en cualquier puesto y tener cualificaciones muy diferentes. Peligroso por tendencia a acciones débilmente motivadas en condiciones de malestar psicológico: en situaciones extremas, presión psicológica de otros empleados o simplemente fuerte irritación.

En estado afectivo, puede revelar información confidencial, dañar datos y alterar el curso habitual de trabajo de otras personas.

El grado de peligrosidad es medio, pero este tipo de delincuentes no es tan común.

Para evitar las consecuencias negativas de sus acciones, lo más eficaz es utilizar medidas administrativas: identificar a dichas personas en la etapa de entrevista, limitar el acceso a la información y mantener un clima psicológico confortable en el equipo.

Empleado insultado y ofendido

El grupo más amplio de posibles infractores del régimen de seguridad de la información.

Teóricamente, la gran mayoría de los empleados son capaces de cometer actos hostiles a la empresa.

Esto puede suceder cuando la dirección muestra falta de respeto por la personalidad o las cualidades profesionales del empleado, y cuando esto afecta el nivel salarial.

Potencialmente, este tipo de información privilegiada representa un peligro muy alto: es posible tanto la filtración como el daño a la información, y se garantiza que el daño resultante será perceptible para la empresa, ya que el empleado lo causa conscientemente y conoce bien todas las vulnerabilidades.

Se necesitan medidas tanto administrativas como técnicas para detectar actividades.

Empleado sucio

Un empleado que intenta complementar su patrimonio personal a expensas de los bienes de la empresa para la que trabaja. Entre los elementos apropiados pueden existir diversos soportes de información confidencial ( discos duros, unidades flash, portátiles corporativos).

En este caso, existe el riesgo de que la información llegue a personas a las que no estaba destinada, con posterior publicación o transferencia a la competencia.

El peligro es medio, pero este tipo no es infrecuente.

Para identificarlo, primero se necesitan medidas administrativas.

representante del competidor

Por regla general, está altamente calificado y ocupa puestos que brindan amplias oportunidades para obtener información, incluida información confidencial. Se trata de un empleado existente reclutado, comprado por la competencia (más a menudo) o de una persona con información privilegiada especialmente introducida en la empresa.

El grado de peligrosidad es muy alto, ya que el daño se causa de forma consciente y con un profundo conocimiento del valor de la información, así como de las vulnerabilidades de la empresa.

Para identificar actividades se necesitan medidas tanto administrativas como técnicas.

¿Qué estamos robando?

Comprender el problema de la información privilegiada es imposible sin considerar la naturaleza de la información robada.

Según las estadísticas, los datos personales de los clientes, así como la información sobre las empresas clientes y los socios, son los más demandados; en más de la mitad de los casos son robados. A continuación se detallan las transacciones, los términos de los contratos y las entregas. Los informes financieros también son de gran interés.

Al formar un conjunto de medidas de protección, cada empresa inevitablemente se enfrenta a la pregunta: ¿qué información específica requiere medidas de protección especiales y cuál no?

Por supuesto, la base para tales decisiones son los datos obtenidos como resultado del análisis de riesgos. Sin embargo, a menudo una empresa tiene recursos financieros limitados que pueden gastarse en un sistema de seguridad de la información y es posible que no sean suficientes para minimizar todos los riesgos.

Dos enfoques

Desafortunadamente, no existe una respuesta definitiva a la pregunta: “¿Qué proteger primero?”.

Este problema puede abordarse desde dos lados.

El riesgo es un indicador complejo que tiene en cuenta tanto la probabilidad de una amenaza particular como el posible daño de ella. En consecuencia, al establecer prioridades de seguridad, puede centrarse en uno de estos indicadores. Esto significa que la información que se protege primero es la que es más fácil de robar (por ejemplo, si un gran número de empleados tiene acceso a ella), y aquella información cuyo robo o bloqueo tendría las consecuencias más graves.

Un aspecto importante del problema interno es el canal de transmisión de información. Cuantas más oportunidades físicas haya para que se transfiera información no autorizada fuera de la empresa, más probable será que esto suceda.

Mecanismos de transmisión

Los mecanismos de transmisión se pueden clasificar de la siguiente manera:

  • transmisión oral (conversación personal);
  • canales de transmisión de datos técnicos ( comunicaciones telefónicas, fax, correo electrónico, sistemas de mensajería, diversos servicios sociales de Internet, etc.);
  • medios portátiles y dispositivos móviles (Celulares, discos duros externos, portátiles, unidades flash, etc.).

Según las investigaciones actuales, los canales más habituales para la transmisión de datos confidenciales son (en orden descendente): correo electrónico, dispositivos móviles (incluidos los portátiles), redes sociales y otros servicios de Internet (como los sistemas de mensajería instantánea), etc.

Para controlar los canales técnicos se pueden utilizar diversos medios, una amplia gama de productos disponibles actualmente en el mercado de la seguridad.

Por ejemplo, sistemas de filtrado de contenidos (sistemas de bloqueo dinámico), medios para restringir el acceso a soportes de información (CD, DVD, Bluetooth).

También se aplican medidas administrativas: filtrar el tráfico de Internet, bloquear los puertos físicos de las estaciones de trabajo, garantizar el régimen administrativo y la seguridad física.

Al elegir medios tecnicos La protección de la información confidencial requiere un enfoque sistemático. Sólo así se podrá conseguir la mayor eficiencia en su implementación.

También debe comprender que los desafíos que enfrenta cada empresa son únicos y, a menudo, es simplemente imposible utilizar soluciones utilizadas por otras organizaciones.

La lucha contra la información privilegiada no debe llevarse a cabo por sí sola; es un componente importante del proceso comercial general destinado a garantizar un régimen de seguridad de la información.

Debe ser realizado por profesionales e incluir un ciclo completo de actividades: desarrollar una política de seguridad de la información, definir el alcance, análisis de riesgos, seleccionar contramedidas y su implementación, así como auditar el sistema de seguridad de la información.

Si una empresa no garantiza la seguridad de la información en todo el complejo, los riesgos de pérdidas financieras por fugas y daños a la información aumentan considerablemente.

Minimizando riesgos

Examen

  1. Selección exhaustiva de los solicitantes que postulan para cualquier puesto en la empresa. Se recomienda recopilar la mayor cantidad de información posible sobre el candidato, incluido el contenido de sus páginas en las redes sociales. También puede resultar útil solicitar una referencia de un lugar de trabajo anterior.
  2. Los candidatos a puestos de ingeniero de TI deben estar sujetos a una selección especialmente exhaustiva. La práctica demuestra que más de la mitad de todos los insiders son administradores de sistemas y programadores.
  3. A la hora de contratar se deberá realizar al menos un mínimo control psicológico de los candidatos. Ayudará a identificar a los solicitantes con salud mental inestable.

Acceso correcto

  1. Sistema de acceso compartido recursos corporativos. La empresa debe crear documentación regulatoria que clasifique la información por nivel de confidencialidad y defina claramente los derechos de acceso a la misma. El acceso a cualquier recurso debe ser personalizado.
  2. Los derechos de acceso a los recursos deben asignarse según el principio de “suficiencia mínima”. El acceso al mantenimiento de equipos técnicos, incluso con derechos de administrador, no siempre debe ir acompañado del acceso a la visualización de la información en sí.
  3. Monitoreo lo más profundo posible de las acciones del usuario, con autorización obligatoria y registro de información sobre las operaciones realizadas en un registro. Cuanto más cuidadosamente se lleven los registros, más control tendrá la dirección sobre la situación de la empresa. Lo mismo se aplica a las acciones del empleado cuando utiliza el acceso oficial a Internet.

Estándar de comunicación

  1. La organización debe adoptar su propio estándar de comunicación, que excluiría toda forma de comportamiento inadecuado de los empleados entre sí (agresión, violencia, familiaridad excesiva). En primer lugar, esto se aplica a la relación "gerente-subordinado".

Bajo ninguna circunstancia un empleado debe sentir que se le trata injustamente, que no se le valora lo suficiente, que se le explota innecesariamente o que se le está engañando.

Seguir esta sencilla regla le permitirá evitar la gran mayoría de situaciones que provocan que los empleados proporcionen información privilegiada.

Confidencialidad

Un acuerdo de confidencialidad no debería ser una mera formalidad. Debe estar firmado por todos los empleados que tengan acceso a información importante. recursos de información compañías.

Además, incluso en la etapa de entrevista, es necesario explicar a los empleados potenciales cómo la empresa controla la seguridad de la información.

control de fondos

Representa el control de los medios técnicos utilizados por un empleado para fines laborales.

Por ejemplo, no es deseable utilizar una computadora portátil personal, ya que cuando un empleado se va, lo más probable es que no sea posible descubrir qué información está almacenada en ella.

Por la misma razón, no es deseable utilizar cajas. Correo electrónico sobre recursos externos.

rutina interna

La empresa debe cumplir con la normativa interna.

Es necesario disponer de información sobre el tiempo que pasan los empleados en el lugar de trabajo.

También debe garantizarse el control del movimiento de bienes materiales.

El cumplimiento de todas las reglas anteriores reducirá el riesgo de daño o filtración de información a través de información privilegiada y, por lo tanto, ayudará a prevenir pérdidas financieras o de reputación significativas.

Socio director

grupo de empresas Hosting Community


Hoy en día, existen dos canales principales para la filtración de información confidencial: los dispositivos conectados a la computadora (todo tipo de dispositivos de almacenamiento extraíbles, incluidas unidades flash, unidades de CD/DVD, etc., impresoras) e Internet (correo electrónico, ICQ, redes sociales). redes, etc.) d.). Y por ello, cuando una empresa está “madura” para implementar un sistema de protección contra ellos, es recomendable abordar esta solución de forma integral. El problema es que se utilizan diferentes enfoques para cubrir diferentes canales. En un caso el más manera efectiva La protección controlará el uso de unidades extraíbles y la segunda incluirá varias opciones para filtrar contenido, lo que le permitirá bloquear la transferencia de datos confidenciales a una red externa. Por lo tanto, las empresas tienen que utilizar dos productos para protegerse contra los infiltrados, que juntos forman un sistema de seguridad integral. Naturalmente, es preferible utilizar herramientas de un solo desarrollador. En este caso se simplifica el proceso de su implementación, administración y capacitación de los empleados. Como ejemplo, podemos citar los productos de SecurIT: Zlock y Zgate.

Zlock: protección contra fugas a través de unidades extraíbles

El programa Zlock lleva bastante tiempo en el mercado. Y nosotros ya. En principio no tiene sentido repetirme. Sin embargo, desde la publicación del artículo, se han lanzado dos nuevas versiones de Zlock, que han agregado una serie de características importantes. Vale la pena hablar de ellos, aunque sea muy brevemente.

En primer lugar, cabe destacar la posibilidad de asignar varias políticas a un ordenador, que se aplican de forma independiente dependiendo de si el ordenador está conectado a red corporativa directamente, a través de VPN o funciona de forma autónoma. Esto permite, en particular, bloquear automáticamente los puertos USB y las unidades de CD/DVD cuando el PC se desconecta de la red local. Generalmente esta función aumenta la seguridad de la información almacenada en las computadoras portátiles, que los empleados pueden sacar de la oficina en viajes o para trabajar en casa.

Segundo nueva oportunidad- proporcionar a los empleados de la empresa acceso temporal a dispositivos bloqueados o incluso grupos de dispositivos por teléfono. El principio de su funcionamiento es intercambiar información generada por el programa. códigos secretos entre el usuario y el empleado responsable de la seguridad de la información. Cabe destacar que el permiso de uso puede concederse no sólo de forma permanente, sino también temporal (durante un tiempo determinado o hasta el final de la sesión de trabajo). Esta herramienta puede considerarse una ligera relajación del sistema de seguridad, pero permite aumentar la capacidad de respuesta del departamento de TI a las solicitudes comerciales.

La siguiente innovación importante en las nuevas versiones de Zlock es el control sobre el uso de las impresoras. Después de configurarlo, el sistema de seguridad registrará todas las solicitudes de los usuarios a los dispositivos de impresión en un registro especial. Pero eso no es todo. Zlock ahora ofrece instantáneas de todos los documentos impresos. se inscriben en formato PDF y son una copia completa de las páginas impresas, independientemente del archivo que se envió a la impresora. Esto ayuda a evitar la fuga de información confidencial en hojas de papel cuando un interno imprime los datos para sacarlos de la oficina. El sistema de seguridad también incluye instantáneas de la información grabada en discos CD/DVD.

Una innovación importante fue la aparición del componente de servidor Zlock Enterprise Management Server. Proporciona almacenamiento y distribución centralizados de políticas de seguridad y otras configuraciones del programa y facilita significativamente la administración de Zlock en sistemas de información grandes y distribuidos. También es imposible no mencionar la aparición de su propio sistema de autenticación, que, si es necesario, le permite abandonar el uso de usuarios locales y de dominio de Windows.

Además de esto, en ultima versión Zlock ahora tiene varias funciones menos notables, pero también bastante importantes: monitorear la integridad del módulo del cliente con la capacidad de bloquear el inicio de sesión del usuario cuando se detecta manipulación, capacidades ampliadas para implementar un sistema de seguridad, soporte para Oracle DBMS, etc.

Zgate: protección contra filtraciones de Internet

Entonces, Zgate. Como ya hemos dicho, este producto es un sistema de protección contra la fuga de información confidencial a través de Internet. Estructuralmente, Zgate consta de tres partes. El principal es el componente del servidor, que realiza todas las operaciones de procesamiento de datos. Se puede instalar tanto en un ordenador independiente como en aquellos que ya se ejecutan en un ordenador corporativo. sistema de informacion nodos: puerta de enlace de Internet, controlador de dominio, puerta de enlace de correo, etc. Este módulo, a su vez, consta de tres componentes: para monitorear el tráfico SMTP, monitorear el correo interno del servidor Microsoft Exchange 2007/2010, así como Zgate Web (es responsable del control del tráfico HTTP, FTP y IM).

La segunda parte del sistema de seguridad es el servidor de registro. Se utiliza para recopilar información de eventos de uno o más servidores Zgate, procesarla y almacenarla. Este módulo es especialmente útil en grandes y geográficamente distribuidos sistemas corporativos, ya que proporciona acceso centralizado a todos los datos. La tercera parte es la consola de gestión. Utiliza una consola estándar para los productos SecurIT y, por lo tanto, no nos detendremos en ella en detalle. Solo notamos que con este módulo puede controlar el sistema no solo localmente, sino también de forma remota.

Consola de administración

El sistema Zgate puede funcionar en varios modos. Además, su disponibilidad depende del método de implementación del producto. Los dos primeros modos implican trabajar como servidor proxy de correo. Para implementarlos, el sistema se instala entre el servidor de correo corporativo y el “mundo exterior” (o entre el servidor de correo y el servidor de envío, si están separados). En este caso, Zgate puede filtrar el tráfico (retrasar los mensajes infractores y cuestionables) y solo registrarlo (pasar todos los mensajes, pero guardarlos en el archivo).

El segundo método de implementación implica el uso del sistema de protección junto con Microsoft Exchange 2007 o 2010. Para hacer esto, debe instalar Zgate directamente en la empresa servidor de correo. También hay dos modos disponibles: filtrado y registro. Además de esto, existe otra opción de implementación. Estamos hablando de registrar mensajes en modo de tráfico reflejado. Naturalmente, para usarlo, es necesario asegurarse de que la computadora en la que está instalado Zgate reciba este mismo tráfico reflejado (generalmente esto se hace usando equipo de red).


Selección del modo de funcionamiento Zgate

El componente web Zgate merece una historia aparte. Se instala directamente en el gateway de Internet corporativo. Al mismo tiempo, este subsistema adquiere la capacidad de monitorear el tráfico HTTP, FTP e IM, es decir, procesarlo para detectar intentos de envío de información confidencial a través de interfaces de correo web e ICQ, publicándolo en foros, servidores FTP y redes sociales. redes etc. Por cierto, sobre ICQ. La función de bloquear mensajeros IM está disponible en muchos productos similares. Sin embargo, no contienen ningún "ICQ". Simplemente porque es en los países de habla rusa donde está más extendido.

El principio de funcionamiento del componente web Zgate es bastante simple. Cada vez que se envíe información a cualquiera de los servicios controlados, el sistema generará un mensaje especial. Contiene la información en sí y algunos datos del servicio. Se envía al servidor principal de Zgate y se procesa según las reglas especificadas. Naturalmente, el envío de información no queda bloqueado en el propio servicio. Es decir, Zgate Web funciona sólo en modo de registro. Con su ayuda, no se pueden evitar fugas de datos aisladas, pero se pueden detectar rápidamente y detener las actividades de un atacante voluntario o involuntario.


Configurar el componente web Zgate

La forma en que se procesa la información en Zgate y el procedimiento de filtrado están determinados por la política desarrollada por el oficial de seguridad u otro empleado responsable. Representa una serie de condiciones, cada una de las cuales corresponde a una acción específica. Todos los mensajes entrantes se "recorren" secuencialmente uno tras otro. Y si se cumple alguna de las condiciones, entonces se lanza la acción asociada a ella.


Sistema de filtración

En total, el sistema ofrece 8 tipos de condiciones, como dicen, "para todas las ocasiones". El primero de ellos es el tipo de archivo adjunto. Con su ayuda, puedes detectar intentos de enviar objetos de un formato particular. Vale la pena señalar que el análisis no se realiza por extensión, sino por la estructura interna del archivo, y se pueden especificar tanto tipos específicos de objetos como sus grupos (por ejemplo, todos los archivos, videos, etc.). El segundo tipo de condiciones es la verificación mediante una aplicación externa. Como aplicación, puede actuar como un programa normal iniciado desde línea de comando y el guión.


Condiciones en el sistema de filtración.

Pero vale la pena detenerse con más detalle en la siguiente condición. Estamos hablando de análisis de contenido de la información transmitida. En primer lugar, es necesario señalar el “omnívoro” de Zgate. El hecho es que el programa "comprende" una gran cantidad de formatos diferentes. Por lo tanto, puede analizar no sólo texto simple, sino también casi cualquier archivo adjunto. Otra característica del análisis de contenido son sus grandes capacidades. Puede consistir en una simple búsqueda de una aparición en el texto de un mensaje o en cualquier otro campo de una determinada palabra, o en un análisis completo, que tenga en cuenta las formas gramaticales de las palabras, la derivación y la transliteración. Pero eso no es todo. Mención especial merece el sistema de análisis de patrones y expresiones regulares. Con su ayuda, puede detectar fácilmente la presencia de datos en un determinado formato en los mensajes, por ejemplo, series y números de pasaporte, número de teléfono, número de contrato, número de cuenta bancaria, etc. Esto, entre otras cosas, le permite fortalecer la protección de los datos personales tratados por la empresa.


Patrones para identificar diversa información confidencial.

El cuarto tipo de condiciones es el análisis de las direcciones indicadas en la carta. Es decir, buscar entre ellos determinadas cadenas. Quinto: análisis de archivos cifrados. Cuando se ejecuta, se verifican los atributos del mensaje y/o los objetos anidados. El sexto tipo de condiciones consiste en comprobar varios parámetros de las letras. El séptimo es el análisis del diccionario. Durante este proceso, el sistema detecta la presencia de palabras de diccionarios creados previamente en el mensaje. Y finalmente, el último, octavo tipo de condición, es compuesto. Representa dos o más condiciones combinadas por operadores lógicos.

Por cierto, debemos hablar por separado sobre los diccionarios que mencionamos en la descripción de las condiciones. Son grupos de palabras combinadas por una característica y se utilizan en varios métodos de filtrado. Lo más lógico es crear diccionarios que probablemente te permitan clasificar un mensaje en una categoría u otra. Su contenido se puede ingresar manualmente o importar desde los existentes. archivos de texto. Existe otra opción para generar diccionarios: automática. Al usarlo, el administrador simplemente necesita especificar la carpeta que contiene los documentos relevantes. El propio programa los analizará, seleccionará las palabras necesarias y les asignará sus características de peso. Para una compilación de diccionarios de alta calidad, es necesario indicar no solo los archivos confidenciales, sino también los objetos que no contienen información confidencial. En general, el proceso de generación automática es más similar a entrenar antispam en publicidad y cartas regulares. Y esto no es sorprendente, porque ambos países utilizan tecnologías similares.


Ejemplo de diccionario sobre un tema financiero.

Hablando de diccionarios, tampoco podemos dejar de mencionar otra tecnología de detección de datos confidenciales implementada en Zgate. Estamos hablando de huellas digitales. La esencia este método es como sigue. El administrador puede indicar al sistema carpetas que contengan datos confidenciales. El programa analizará todos los documentos que contienen y creará "huellas digitales", conjuntos de datos que le permiten determinar un intento de transferir no solo el contenido completo del archivo, sino también sus partes individuales. Tenga en cuenta que el sistema monitorea automáticamente el estado de las carpetas especificadas y crea de forma independiente "huellas digitales" para todos los objetos que aparecen nuevamente en ellas.


Crear una categoría con huellas digitales de archivos

Bueno, ahora solo queda conocer las acciones implementadas en el sistema de protección en cuestión. En total, ya son 14 los vendidos en Zgate. Sin embargo, la mayor parte determina las acciones que se realizan con el mensaje. Estos incluyen, en particular, eliminar sin enviar (es decir, de hecho, bloquear la transmisión de una carta), guardarla en un archivo, agregar o eliminar archivos adjuntos, cambiar varios campos, insertar texto, etc. Entre ellos, es especialmente Cabe destacar la colocación de una carta en cuarentena. Esta acción le permite "posponer" un mensaje para que un oficial de seguridad lo verifique manualmente, quien decidirá su futuro. También es muy interesante la acción que te permite bloquear una conexión de mensajería instantánea. Se puede utilizar para bloquear instantáneamente el canal a través del cual se transmitió un mensaje con información confidencial.

Dos acciones se distinguen un poco: el procesamiento mediante el método bayesiano y el procesamiento mediante el método de huellas dactilares. Ambos están diseñados para verificar mensajes y ver si contienen información confidencial. Sólo el primero utiliza diccionarios y análisis estadísticos, y el segundo utiliza huellas digitales. Estas acciones se pueden realizar cuando se cumple una determinada condición, por ejemplo, si la dirección del destinatario no está en un dominio corporativo. Además, (como cualquier otro) se pueden configurar para que se apliquen incondicionalmente a todos los mensajes salientes. En este caso, el sistema analizará las letras y las asignará a determinadas categorías (si, por supuesto, esto es posible). Pero para estas categorías ya se pueden crear condiciones con la implementación de determinadas acciones.


Acciones en el sistema Zgate.

Bueno, al final de nuestra conversación de hoy sobre Zgate, podemos resumirlo un poco. Este sistema de protección se basa principalmente en el análisis del contenido de los mensajes. Este enfoque es el más común para proteger contra la fuga de información confidencial a través de Internet. Naturalmente, el análisis de contenido no proporciona un grado de protección del 100% y es de naturaleza más bien probabilística. Sin embargo, su uso evita la mayoría de los casos de transferencia no autorizada de datos confidenciales. ¿Las empresas deberían utilizarlo o no? Cada uno debe decidir esto por sí mismo, evaluando los costos de implementación y Posibles problemas en caso de fuga de información. Vale la pena señalar que Zgate hace un excelente trabajo al capturar expresiones regulares, lo que lo hace muy medios eficaces protección de los datos personales tratados por la empresa.

Estudios recientes sobre seguridad de la información, como el informe anual ComputerCrimeAndSecuritySurvey de CSI/FBI, han demostrado que las pérdidas financieras que sufren las empresas debido a la mayoría de las amenazas están disminuyendo año tras año. Sin embargo, existen varios riesgos que hacen que las pérdidas aumenten. Uno de ellos es el robo deliberado de información confidencial o la violación de las reglas para su manejo por parte de aquellos empleados cuyo acceso a datos comerciales es necesario para el desempeño de sus funciones oficiales. Se les llama insiders.

En la gran mayoría de los casos, el robo de información confidencial se realiza mediante soportes móviles: CD y DVD, dispositivos ZIP y, lo más importante, todo tipo de unidades USB. Fue su distribución masiva lo que llevó al florecimiento del insiderismo en todo el mundo. Los directores de la mayoría de los bancos son muy conscientes del peligro de que, por ejemplo, una base de datos con datos personales de sus clientes o, además, las transacciones de sus cuentas caigan en manos de estructuras criminales. Y están intentando combatir el posible robo de información utilizando los métodos organizativos que tienen a su disposición.

Sin embargo, los métodos organizativos en este caso son ineficaces. Hoy puedes organizar la transferencia de información entre computadoras usando una unidad flash en miniatura, Teléfono móvil, reproductor de mp3, cámara digital... Por supuesto, puede intentar prohibir que todos estos dispositivos entren en la oficina, pero esto, en primer lugar, afectará negativamente las relaciones con los empleados y, en segundo lugar, todavía será imposible establecer realmente El control efectivo sobre las personas es muy difícil: el banco no " Buzón" E incluso deshabilitar todos los dispositivos en las computadoras que se pueden usar para escribir información en medios externos (discos FDD y ZIP, unidades de CD y DVD, etc.) y puertos USB no ayudará. Después de todo, los primeros son necesarios para trabajar y los segundos están conectados a varios periféricos: impresoras, escáneres, etc. Y nadie puede impedir que una persona apague la impresora por un minuto, inserte una unidad flash en el puerto libre y copie en ella. información importante. Por supuesto, puedes encontrar formas originales de protegerte. Por ejemplo, un banco probó este método para resolver el problema: llenaron la unión del puerto USB y el cable con resina epoxi, "atando" firmemente este último a la computadora. Pero, afortunadamente, hoy en día existen métodos de control más modernos, fiables y flexibles.

El medio más eficaz para minimizar los riesgos asociados con los insiders es un especial software, que controla dinámicamente todos los dispositivos y puertos de la computadora que se pueden usar para copiar información. El principio de su trabajo es el siguiente. Los permisos para utilizar varios puertos y dispositivos se establecen para cada grupo de usuarios o para cada usuario individualmente. La mayor ventaja de este tipo de software es la flexibilidad. Puede ingresar restricciones para tipos específicos de dispositivos, sus modelos e instancias individuales. Esto le permite implementar políticas de distribución de derechos de acceso muy complejas.

Por ejemplo, es posible que desee permitir que algunos empleados utilicen impresoras o escáneres conectados a puertos USB. Sin embargo, todos los demás dispositivos insertados en este puerto permanecerán inaccesibles. Si el banco utiliza un sistema de autenticación de usuarios basado en tokens, en la configuración puede especificar el modelo de clave utilizado. Entonces los usuarios podrán utilizar únicamente los dispositivos comprados por la empresa y todos los demás serán inútiles.

Con base en el principio de funcionamiento de los sistemas de protección descrito anteriormente, puede comprender qué puntos son importantes al elegir programas que implementen el bloqueo dinámico de dispositivos de grabación y puertos de computadora. En primer lugar, es la versatilidad. El sistema de protección debe cubrir toda la gama de posibles puertos y dispositivos de entrada/salida. De lo contrario, el riesgo de robo de información comercial sigue siendo inaceptablemente alto. En segundo lugar, el software en cuestión debe ser flexible y permitir crear reglas utilizando una gran cantidad de información diversa sobre los dispositivos: sus tipos, fabricantes de modelos, números únicos que tiene cada instancia, etc. Y en tercer lugar, el sistema de protección interna debe poder integrarse con el sistema de información del banco, en particular con ActiveDirectory. De lo contrario, el administrador o responsable de seguridad tendrá que mantener dos bases de datos de usuarios y ordenadores, lo que no sólo es un inconveniente, sino que también aumenta el riesgo de errores.

Proteger la información de personas internas utilizando software

Alejandro Antipov

Espero que el artículo en sí y especialmente su discusión ayuden a identificar varios matices del uso de herramientas de software y se conviertan en un punto de partida para desarrollar una solución al problema descrito para los especialistas en seguridad de la información.


nahna

Durante mucho tiempo, la división de marketing de la empresa Infowatch ha estado convenciendo a todas las partes interesadas (especialistas en TI, así como a los administradores de TI más avanzados) de que la mayor parte del daño causado por una violación de la seguridad de la información de la empresa recae en los iniciados: los empleados que divulgan secretos comerciales. El objetivo es claro: necesitamos crear demanda para el producto que se fabrica. Y los argumentos parecen bastante sólidos y convincentes.

Formulación del problema

Construir un sistema para proteger la información contra el robo por parte del personal en una LAN basada Directorio Activo Ventanas 2000/2003. Estaciones de trabajo de usuario en control de ventanas XP. Gestión y contabilidad empresarial basada en productos 1C.
La información secreta se almacena de tres maneras:
  1. DB 1C - acceso a la red a través de RDP ( acceso a la terminal);
  2. carpetas compartidas en servidores de archivos: acceso a la red;
  3. localmente en la PC del empleado;
Canales de fuga: Internet y medios extraíbles (unidades flash, teléfonos, reproductores, etc.). No se puede prohibir el uso de Internet y medios extraíbles, ya que son necesarios para el desempeño de funciones oficiales.

¿Qué hay en el mercado?

Dividí los sistemas considerados en tres clases:
  1. Sistemas basados ​​en analizadores de contexto: Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, etc.
  2. Sistemas basados ​​en bloqueo de dispositivos estáticos: DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Sistemas basados ​​​​en bloqueo dinámico de dispositivos: SecrecyKeeper, Strazh, Accord, SecretNet.

Sistemas basados ​​en analizadores de contexto

Principio de funcionamiento:
Se buscan palabras clave en la información transmitida y, en función de los resultados de la búsqueda, se decide si es necesario bloquear la transmisión.

En mi opinión, InfoWatch Traffic Monitor (www.infowatch.ru) tiene las capacidades máximas entre los productos enumerados. La base es el probado motor Kaspersky Antispam, que tiene en cuenta al máximo las peculiaridades del idioma ruso. A diferencia de otros productos, InfoWatch Traffic Monitor, al analizar, tiene en cuenta no solo la presencia de ciertas filas en los datos que se verifican, sino también el peso predeterminado de cada fila. Así, a la hora de tomar una decisión final, no sólo se tiene en cuenta la aparición de determinadas palabras, sino también las combinaciones en las que aparecen, lo que permite aumentar la flexibilidad del analizador. El resto de funciones son estándar para este tipo de producto: análisis de archivos, documentos de MS Office, la capacidad de bloquear la transferencia de archivos de formato desconocido o archivos protegidos con contraseña.

Desventajas de los sistemas considerados basados ​​en el análisis contextual:

  • Solo se monitorean dos protocolos: HTTP y SMTP (para InfoWatch Traffic Monitor y para el tráfico HTTP solo se verifican los datos transmitidos mediante solicitudes POST, lo que le permite organizar un canal de fuga mediante la transferencia de datos mediante el método GET);
  • Los dispositivos de transferencia de datos no están controlados: disquetes, CD, DVD, unidades USB, etc. (InfoWatch tiene un producto para este caso: InfoWatch Net Monitor).
  • para evitar los sistemas creados sobre la base del análisis de contenido, basta con utilizar la codificación de texto más simple (por ejemplo: secreto -> с1е1к1р1е1т) o esteganografía;
  • el siguiente problema no puede resolverse mediante el método de análisis de contenido; no se me ocurre ninguna descripción formal adecuada, así que simplemente daré un ejemplo: hay dos archivos Excel: en el primero están los precios minoristas (información pública), en el segundo: precios mayoristas para un cliente específico (información privada), el contenido de los archivos difiere solo en números. Estos archivos no se pueden distinguir mediante el análisis de contenido.
Conclusión:
El análisis contextual sólo sirve para crear archivos de tráfico y contrarrestar la fuga accidental de información y no resuelve el problema.

Sistemas basados ​​en bloqueo de dispositivos estáticos

Principio de funcionamiento:
A los usuarios se les asignan derechos de acceso a dispositivos controlados, similares a los derechos de acceso a archivos. En principio, se puede lograr casi el mismo efecto utilizando los mecanismos estándar de Windows.

Zlock (www.securit.ru): el producto apareció hace relativamente poco tiempo, por lo que tiene una funcionalidad mínima (no cuento los lujos) y no funciona particularmente bien, por ejemplo, la consola de administración a veces falla al intentar guardar ajustes.

DeviceLock (www.smartline.ru) es un producto más interesante, lleva bastante tiempo en el mercado, por lo que funciona de forma mucho más estable y tiene una funcionalidad más diversa. Por ejemplo, permite realizar instantáneas de la información transmitida, lo que puede ayudar a investigar un incidente, pero no a prevenirlo. Además, lo más probable es que dicha investigación se lleve a cabo cuando se conozca la fuga, es decir, cuando se conozca la fuga. un período de tiempo significativo después de que ocurre.

InfoWatch Net Monitor (www.infowatch.ru) consta de módulos: DeviceMonitor (análogo a Zlock), FileMonitor, OfficeMonitor, AdobeMonitor y PrintMonitor. DeviceMonitor es un análogo de Zlock, funcionalidad estándar, sin pasas. FileMonitor: control de acceso a archivos. OfficeMonitor y AdobeMonitor le permiten controlar cómo se manejan los archivos en sus respectivas aplicaciones. Actualmente es bastante difícil encontrar una aplicación útil, más que de juguete, para FileMonitor, OfficeMonitor y AdobeMonitor, pero en futuras versiones debería ser posible realizar análisis contextuales de los datos procesados. Quizás entonces estos módulos revelen su potencial. Aunque vale la pena señalar que la tarea de análisis contextual de las operaciones con archivos no es trivial, especialmente si la base de filtrado de contenido es la misma que en Traffic Monitor, es decir. red.

Por otra parte, es necesario decir acerca de la protección del agente de un usuario con derechos de administrador local.
ZLock e InfoWatch Net Monitor simplemente no tienen dicha protección. Aquellos. el usuario puede detener el agente, copiar los datos e iniciar el agente nuevamente.

DeviceLock tiene dicha protección, lo cual es una ventaja definitiva. Se basa en interceptar llamadas al sistema para trabajar con el registro, sistema de archivos y gestión de procesos. Otra ventaja es que la protección también funciona en modo seguro. Pero también hay un inconveniente: para desactivar la protección, basta con restaurar la tabla de descriptores de servicios, lo que se puede hacer descargando un controlador simple.

Desventajas de los sistemas considerados basados ​​en el bloqueo de dispositivos estáticos:

  • No se controla la transmisión de información a la red.
  • -No sabe distinguir la información clasificada de la no secreta. Funciona según el principio de que o todo es posible o nada es imposible.
  • La protección contra la descarga de agentes está ausente o se evita fácilmente.
Conclusión:
No es aconsejable implementar este tipo de sistemas, porque no resuelven el problema.

Sistemas basados ​​en bloqueo dinámico de dispositivos

Principio de funcionamiento:
El acceso a los canales de transmisión se bloquea en función del nivel de acceso del usuario y del grado de secreto de la información con la que se trabaja. Para implementar este principio, estos productos utilizan el mecanismo de control de acceso autorizado. Este mecanismo no ocurre con mucha frecuencia, por lo que lo abordaré con más detalle.

El control de acceso autorizado (forzado), a diferencia del discrecional (implementado en el sistema de seguridad de Windows NT y superiores), consiste en que el propietario de un recurso (por ejemplo, un archivo) no puede debilitar los requisitos de acceso a este recurso, pero puede sólo fortalécelos dentro de los límites de tu nivel. Sólo un usuario con poderes especiales (un responsable de seguridad de la información o un administrador) puede flexibilizar los requisitos.

El objetivo principal del desarrollo de productos como Guardian, Accord, SecretNet, DallasLock y algunos otros fue la posibilidad de certificar los sistemas de información en los que se instalarán estos productos para cumplir con los requisitos de la Comisión Técnica Estatal (ahora FSTEC). Dicha certificación es obligatoria para los sistemas de información en los que se procesan datos gubernamentales. un secreto que aseguró principalmente la demanda de productos de las empresas estatales.

Por lo tanto, el conjunto de funciones implementadas en estos productos estuvo determinado por los requisitos de los documentos relevantes. Lo que a su vez llevó al hecho de que la mayor parte de la funcionalidad implementada en los productos duplica el estándar Funcionalidad de Windows(limpiar objetos después de eliminarlos, limpiar RAM), o lo usa implícitamente (control de acceso discriminado). Y los desarrolladores de DallasLock fueron aún más lejos al implementar un control de acceso obligatorio para su sistema a través del mecanismo de control discrecional de Windows.

El uso práctico de tales productos es extremadamente inconveniente; por ejemplo, DallasLock requiere reparticionamiento para su instalación. disco duro, que también debe realizarse utilizando software de terceros. Muy a menudo, después de la certificación, estos sistemas fueron eliminados o desactivados.

SecrecyKeeper (www.secrecykeeper.com) es otro producto que implementa un mecanismo de control de acceso autorizado. Según los desarrolladores, SecrecyKeeper fue desarrollado específicamente para resolver un problema específico: prevenir el robo de información en una organización comercial. Por lo tanto, según los desarrolladores, durante el desarrollo se prestó especial atención a la simplicidad y facilidad de uso, tanto para los administradores del sistema como para los usuarios comunes. El éxito de esto lo debe juzgar el consumidor, es decir, a nosotros. Además, SecrecyKeeper implementa una serie de mecanismos que no existen en los otros sistemas mencionados, por ejemplo, la capacidad de establecer el nivel de privacidad para recursos con acceso remoto y un mecanismo de protección de agentes.
El control del movimiento de la información en SecrecyKeeper se implementa en función del Nivel de Secreto de la Información, los Niveles de Permiso del Usuario y el Nivel de Seguridad Informática, que pueden tomar los valores público, secreto y ultrasecreto. El Nivel de Seguridad de la Información permite clasificar la información procesada en el sistema en tres categorías:

público: información no secreta, no hay restricciones al trabajar con ella;

secreto: información secreta; al trabajar con ella, se introducen restricciones según los niveles de permiso del usuario;

top secret: información ultrasecreta; cuando se trabaja con ella, se introducen restricciones dependiendo de los niveles de permiso del usuario.

El nivel de seguridad de la información se puede configurar para un archivo, unidad de red y el puerto de la computadora en la que se está ejecutando algún servicio.

Los niveles de autorización del usuario le permiten determinar cómo un usuario puede mover información según su nivel de seguridad. Existen los siguientes niveles de permiso de usuario:

Nivel de permiso de usuario: limita el nivel máximo de seguridad de la información al que puede acceder un empleado;

Nivel de acceso a la red: limita el nivel máximo de seguridad de la información que un empleado puede transmitir a través de la red;

Nivel de acceso a medios extraíbles: limita el nivel máximo de seguridad de la información que un empleado puede copiar a medios externos.

Nivel de acceso a la impresora: limita el nivel máximo de seguridad de la información que un empleado puede imprimir.

Nivel de seguridad informática: determina el nivel máximo de seguridad de la información que se puede almacenar y procesar en una computadora.

Un empleado con cualquier autorización de seguridad puede proporcionar acceso a información con un nivel de seguridad pública. Dicha información puede transmitirse a través de la red y copiarse a medios externos sin restricciones. No se realiza un seguimiento del historial de trabajo con información clasificada como pública.

El acceso a información con un nivel de seguridad secreto solo puede ser obtenido por empleados cuyo nivel de autorización sea igual a secreto o superior. Sólo los empleados cuyo nivel de acceso a la red sea secreto o superior pueden transmitir dicha información a la red. Sólo los empleados cuyo nivel de acceso a medios extraíbles sea secreto o superior pueden copiar dicha información a medios externos. Sólo los empleados cuyo nivel de acceso a la impresora sea secreto o superior pueden imprimir dicha información. Historial de trabajo con información con el nivel secreto, es decir. Se registran los intentos de acceder a él, los intentos de transmitirlo a través de la red, los intentos de copiarlo a medios externos o imprimirlo.

El acceso a información con un nivel de secreto de alto secreto solo puede ser obtenido por empleados cuyo nivel de autorización sea igual a alto secreto. Sólo los empleados cuyo nivel de acceso a la red sea igual a alto secreto pueden transmitir dicha información a la red. Sólo los empleados cuyo nivel de acceso a medios extraíbles sea igual a alto secreto pueden copiar dicha información a medios externos. Sólo los empleados cuyo nivel de acceso a la impresora sea superior a secreto pueden imprimir dicha información. Historial de trabajo con información con un nivel de alto secreto, es decir. Se registran los intentos de acceder a él, los intentos de transmitirlo a través de la red, los intentos de copiarlo a medios externos o imprimirlo.

Ejemplo: permitir que un empleado tenga un Nivel de permiso igual a ultrasecreto, un Nivel de acceso a la red igual a secreto, un Nivel de acceso a medios extraíbles igual a público y un Nivel de acceso a la impresora igual a ultrasecreto; en este caso, un empleado puede acceder a un documento con cualquier nivel de secreto, el empleado puede transferir información a la red con un nivel de secreto no superior a secreto, copiar, por ejemplo, en disquetes, el empleado solo puede información con el nivel de secreto público, y el empleado puede imprimir cualquier información en una impresora.

Para gestionar la difusión de información en toda la empresa, a cada computadora asignada a un empleado se le asigna un Nivel de seguridad informática. Este nivel limita el nivel máximo de seguridad de la información al que cualquier empleado puede acceder desde una computadora determinada, independientemente de los niveles de autorización del empleado. Eso. si un empleado tiene un nivel de autorización igual a alto secreto, y la computadora en la que se encuentra este momento trabaja tiene un Nivel de Seguridad igual a público, entonces el empleado no podrá acceder a información con un nivel de seguridad superior a público desde esta estación de trabajo.

Armados con la teoría, intentemos utilizar SecrecyKeeper para resolver el problema. La información procesada en el sistema de información de la empresa abstracta considerada (ver planteamiento del problema) se puede describir de forma simplificada utilizando la siguiente tabla:

Los empleados de la empresa y el área de sus intereses laborales se describen utilizando la segunda tabla:

Deje que se utilicen los siguientes servidores en la empresa:
Servidor 1C
Servidor de archivos con bolas:
SecretDocs: contiene documentos secretos
PublicDocs: contiene documentos disponibles públicamente

Tenga en cuenta que las capacidades estándar se utilizan para organizar el control de acceso estándar. Sistema operativo y software de aplicación, es decir Para evitar, por ejemplo, que un directivo acceda a los datos personales de los empleados, no es necesario introducir sistemas de protección adicionales. Estamos hablando específicamente de contrarrestar la difusión de información a la que el empleado tiene acceso legal.

Pasemos a la configuración real de SecrecyKeeper.
No describiré el proceso de instalación de la consola de administración y los agentes, todo es lo más simple posible: consulte la documentación del programa.
La configuración del sistema consiste en realizar los siguientes pasos.

Paso 1. Instale agentes en todas las PC excepto en los servidores; esto les impide inmediatamente obtener información cuyo nivel de secreto esté establecido en un nivel superior al público.

Paso 2. Asigne niveles de autorización a los empleados de acuerdo con la siguiente tabla:

Nivel de permiso de usuario Nivel de acceso a la red Nivel de acceso a medios extraíbles Nivel de acceso a la impresora
director secreto secreto secreto secreto
gerente secreto público público secreto
jefe de personal secreto público público secreto
contador secreto público secreto secreto
secretario público público público público

Paso 3. Asigne niveles de seguridad informática de la siguiente manera:

Paso 4. Configure los niveles de seguridad de la información en los servidores:

Paso 5. Configure los niveles de seguridad de la información en las PC de los empleados para los archivos locales. Esta es la parte que lleva más tiempo, ya que es necesario comprender claramente qué empleados trabajan con qué información y qué tan crítica es esta información. Si su organización se ha sometido a una auditoría de seguridad de la información, sus resultados pueden facilitar mucho la tarea.

Paso 6. Si es necesario, SecrecyKeeper le permite limitar la lista de programas que los usuarios pueden ejecutar. Este mecanismo se implementa independientemente de la Política de restricción de software de Windows y se puede utilizar si, por ejemplo, es necesario imponer restricciones a los usuarios con derechos de administrador.

Por lo tanto, con la ayuda de SecrecyKeeper, es posible reducir significativamente el riesgo de difusión no autorizada de información clasificada, tanto de fuga como de robo.

Defectos:
- dificultad con configuración inicial niveles de privacidad para archivos locales;

Conclusión general:
Las máximas oportunidades para proteger la información de personas internas las proporciona un software que tiene la capacidad de regular dinámicamente el acceso a los canales de transmisión de información, dependiendo del grado de secreto de la información con la que se trabaja y del nivel de autorización de seguridad del empleado.

Compañía es un servicio único para compradores, desarrolladores, distribuidores y socios afiliados. Además, éste es uno de los mejores tiendas en línea Software en Rusia, Ucrania y Kazajstán, que ofrece a los clientes una amplia gama, muchos métodos de pago, procesamiento de pedidos rápido (a menudo instantáneo) y seguimiento del proceso de pedido en una sección personal.

Recientemente, el problema de la protección contra amenazas internas se ha convertido en un verdadero desafío para el mundo comprensible y establecido de la seguridad de la información corporativa. La prensa habla de información privilegiada, investigadores y analistas advierten sobre posibles pérdidas y problemas, y las noticias están llenas de informes sobre otro incidente que provocó la filtración de cientos de miles de registros de clientes debido a un error o descuido de un empleado. Intentemos averiguar si este problema es tan grave, si es necesario abordarlo y qué herramientas y tecnologías disponibles existen para resolverlo.

En primer lugar, vale la pena determinar que una amenaza a la confidencialidad de los datos es interna si su fuente es un empleado de la empresa o alguna otra persona que tenga acceso legal a estos datos. Por tanto, cuando hablamos de amenazas internas, nos referimos a cualquier posibles acciones usuarios legales, intencionales o accidentales, que pueden provocar la fuga de información confidencial fuera de la red corporativa de la empresa. Para completar el panorama, vale la pena agregar que a estos usuarios a menudo se les llama insiders, aunque este término tiene otros significados.

La relevancia del problema de las amenazas internas la confirman los resultados de estudios recientes. En particular, en octubre de 2008 se anunciaron los resultados de un estudio conjunto de Compuware y Ponemon Institue, según el cual los insiders son la causa más común de filtración de datos (75% de los incidentes en los Estados Unidos), mientras que los piratas informáticos ocupaban sólo el quinto lugar. lugar. En el estudio anual de 2008 del Instituto de Seguridad Informática (CSI), las cifras del número de incidentes de amenazas internas son las siguientes:

El número de incidentes como porcentaje significa el del número total de encuestados. este tipo El incidente ocurrió en el porcentaje especificado de organizaciones. Como puede verse en estas cifras, casi todas las organizaciones corren el riesgo de sufrir amenazas internas. En comparación, según el mismo informe, los virus afectaron al 50% de las organizaciones encuestadas y los piratas informáticos se infiltraron red local sólo el 13% lo encontró.

De este modo, amenazas internas– esta es la realidad de hoy, y no un mito inventado por analistas y proveedores. Por lo tanto, aquellos que, a la antigua usanza, creen que la seguridad de la información corporativa es un cortafuegos y un antivirus, deben examinar el problema más ampliamente lo antes posible.

La tensión aumenta también con la ley "Sobre Datos Personales", según la cual las organizaciones y los funcionarios tendrán que responder no sólo ante su gestión, sino también ante sus clientes y la ley por el manejo inadecuado de datos personales.

modelo intruso

Tradicionalmente, al considerar las amenazas y las defensas contra ellas, se debe comenzar con un análisis del modelo del adversario. Como ya se mencionó, hablaremos de información privilegiada: empleados de la organización y otros usuarios que tienen acceso legal a información confidencial. Como regla general, con estas palabras, todos piensan en un empleado de oficina que trabaja en una computadora como parte de una red corporativa, que no sale de la oficina de la organización mientras trabaja. Sin embargo, tal representación es incompleta. Es necesario ampliarlo para incluir otro tipo de personas con acceso legal a la información que puedan abandonar la oficina de la organización. Podrían ser viajeros de negocios con portátiles, o personas que trabajan tanto en la oficina como en casa, mensajeros que transportan soportes con información, principalmente cintas magnéticas con copia de seguridad, etc.

Una consideración tan ampliada del modelo de intruso, en primer lugar, encaja en el concepto, ya que las amenazas que plantean estos intrusos también se relacionan con las internas y, en segundo lugar, nos permite analizar el problema de manera más amplia, considerando todos opciones posibles combatir estas amenazas.

Se pueden distinguir los siguientes tipos principales de infractores internos:

  • Empleado desleal/resentido.Los infractores que pertenecen a esta categoría pueden actuar intencionalmente, por ejemplo, cambiando de trabajo y queriendo obtener información confidencial para interesar a un nuevo empleador, o emocionalmente, si se consideran ofendidos, y quieren vengarse. Son peligrosos porque están más motivados para causar daño a la organización en la que trabajan actualmente. Por regla general, el número de incidentes que involucran a empleados desleales es pequeño, pero puede aumentar en situaciones de condiciones económicas desfavorables y reducciones masivas de personal.
  • Un empleado infiltrado, sobornado o manipulado.En este caso estamos hablando acerca de sobre cualquier acción intencionada, generalmente con fines de espionaje industrial en condiciones de intensa competencia. Para recopilar información confidencial, introducen a su propia persona en una empresa competidora para ciertos fines, o encuentran un empleado poco leal y lo sobornan, o obligan a un empleado leal pero descuidado a entregar información confidencial mediante ingeniería social. El número de incidentes de este tipo suele ser incluso menor que los anteriores, debido a que en la mayoría de los segmentos de la economía de la Federación de Rusia la competencia no está muy desarrollada o se practica de otras formas.
  • Empleado negligente. Este tipo un infractor es un empleado leal pero desatento o negligente que puede violar la política seguridad interna empresa por ignorancia u olvido. Un empleado así podría enviar por error un correo electrónico con un archivo confidencial adjunto a la persona equivocada, o llevarse a casa una unidad flash con información confidencial para trabajar durante el fin de semana y perderla. Este tipo también incluye a los empleados que pierden computadoras portátiles y cintas magnéticas. Según muchos expertos, este tipo de información privilegiada es responsable de la mayoría de las filtraciones de información confidencial.

Por tanto, los motivos y, en consecuencia, el curso de acción de los posibles infractores pueden diferir significativamente. Dependiendo de esto, se debe abordar la tarea de garantizar la seguridad interna de la organización.

Tecnologías para protegerse contra amenazas internas

A pesar de la relativa juventud de este segmento del mercado, los clientes ya tienen mucho donde elegir dependiendo de sus objetivos y capacidades financieras. Vale la pena señalar que ahora prácticamente no hay proveedores en el mercado que se especialicen exclusivamente en amenazas internas. Esta situación se ha producido no sólo por la inmadurez de este segmento, sino también por la agresiva y en ocasiones caótica política de fusiones y adquisiciones llevada a cabo por fabricantes de productos de seguridad tradicionales y otros proveedores interesados ​​en tener presencia en este segmento. Cabe recordar la empresa RSA Data Security, que se convirtió en una división de EMC en 2006, la compra por parte de NetApp de la startup Decru, que desarrolló sistemas de protección de almacenamiento de servidores y copias de seguridad en 2005, la compra por parte de Symantec del proveedor de DLP Vontu en 2007, etc.

A pesar de que un gran número de transacciones de este tipo indican buenas perspectivas para el desarrollo de este segmento, no siempre benefician la calidad de los productos que se encuentran bajo el ala. grandes corporaciones. Los productos comienzan a desarrollarse más lentamente y los desarrolladores no responden tan rápidamente a las demandas del mercado en comparación con una empresa altamente especializada. Esta es una enfermedad bien conocida de las grandes empresas, que, como sabemos, pierden movilidad y eficiencia frente a sus hermanos más pequeños. Por otro lado, la calidad del servicio y la disponibilidad de productos para los clientes en diferentes partes del mundo está mejorando debido al desarrollo de su red de servicio y ventas.

Consideremos las principales tecnologías que se utilizan actualmente para neutralizar las amenazas internas, sus ventajas y desventajas.

Control de documentos

La tecnología de control de documentos está incorporada en productos modernos de gestión de derechos, como Microsoft Windows Servicios de gestión de derechos, Adobe LiveCycle Rights Management ES y Oracle Information Rights Management.

El principio de funcionamiento de estos sistemas es asignar reglas de uso para cada documento y controlar estos derechos en aplicaciones que trabajan con documentos de este tipo. Por ejemplo, puedes crear un documento. Microsoft Word y establezca reglas para ello: quién puede verlo, quién puede editarlo y guardar los cambios y quién puede imprimirlo. Estas reglas se denominan licencia en términos de Windows RMS y se almacenan con el archivo. El contenido del archivo está cifrado para evitar que usuarios no autorizados lo vean.

Ahora, si algún usuario intenta abrir dicho archivo protegido, la aplicación se pone en contacto con un servidor RMS especial, confirma los permisos del usuario y, si se permite el acceso a este usuario, el servidor pasa la clave a la aplicación para descifrar este archivo y su información. sobre los derechos de este usuario. A partir de esta información, la aplicación pone a disposición del usuario sólo aquellas funciones para las que tiene derechos. Por ejemplo, si a un usuario no se le permite imprimir un archivo, la función de impresión de la aplicación no estará disponible.

Resulta que la información contenida en dicho archivo está segura incluso si el archivo sale de la red corporativa: está cifrado. La funcionalidad RMS ya está integrada en las aplicaciones. oficina de microsoft Edición Profesional 2003. Para incorporar la funcionalidad RMS en aplicaciones de otros desarrolladores, Microsoft ofrece un SDK especial.

El sistema de control de documentos de Adobe está construido de manera similar, pero se centra en documentos en formato PDF. Oracle IRM se instala en las computadoras cliente como agente y se integra con las aplicaciones en tiempo de ejecución.

El control de documentos es una parte importante del concepto general de protección contra amenazas internas, pero se deben tener en cuenta las limitaciones inherentes de esta tecnología. En primer lugar, está diseñado exclusivamente para el seguimiento de archivos de documentos. Si hablamos de archivos o bases de datos no estructurados, esta tecnología no funciona. En segundo lugar, si un atacante, utilizando el SDK de este sistema, crea una aplicación simple que se comunicará con el servidor RMS, recibirá una clave de cifrado desde allí y guardará el documento en texto claro, e iniciará esta aplicación en nombre de un usuario que tiene un nivel mínimo de acceso al documento, entonces este sistema será omitido. Además, se deben tener en cuenta las dificultades al implementar un sistema de control de documentos si la organización ya ha creado muchos documentos: la tarea de clasificar inicialmente los documentos y asignar derechos para usarlos puede requerir un esfuerzo significativo.

Esto no significa que los sistemas de control de documentos no cumplan con la tarea, solo debemos recordar que la seguridad de la información es un problema complejo y, por regla general, no es posible resolverlo con la ayuda de una sola herramienta.

Protección contra fugas

El término prevención de pérdida de datos (DLP) apareció en el vocabulario de los especialistas en seguridad de la información hace relativamente poco tiempo y ya se ha convertido, sin exagerar, en el tema más candente de los últimos años. Como regla general, la abreviatura DLP se refiere a sistemas que monitorean posibles canales de fuga y los bloquean si se intenta enviar información confidencial a través de estos canales. Además, en la función sistemas similares a menudo incluye la capacidad de archivar información que pasa a través de ellos para auditorías posteriores, investigaciones de incidentes y análisis retrospectivo de riesgos potenciales.

Hay dos tipos de sistemas DLP: DLP de red y DLP de host.

DLP de red funciona según el principio de una puerta de enlace de red, que filtra todos los datos que pasan a través de ella. Evidentemente, partiendo de la tarea de combatir las amenazas internas, el principal interés de dicho filtrado radica en la capacidad de controlar los datos transmitidos fuera de la red corporativa a Internet. Los DLP de red le permiten monitorear el correo saliente, el tráfico http y ftp, los servicios de mensajería instantánea, etc. Si se detecta información confidencial, los DLP de red pueden bloquear el archivo transmitido. También existen opciones para el procesamiento manual de archivos sospechosos. Los archivos sospechosos se colocan en cuarentena, que es revisada periódicamente por un oficial de seguridad y permite o niega la transferencia de archivos. Sin embargo, debido a la naturaleza del protocolo, dicho procesamiento sólo es posible para el correo electrónico. Se brindan oportunidades adicionales para la auditoría y la investigación de incidentes al archivar toda la información que pasa a través del portal, siempre que este archivo se revise periódicamente y su contenido se analice para identificar las fugas que se han producido.

Uno de los principales problemas en la implementación e implementación de sistemas DLP es el método de detección de información confidencial, es decir, el momento de tomar una decisión sobre si la información transmitida es confidencial y los motivos que se tienen en cuenta al tomar tal decisión. . Como regla general, esto se hace analizando el contenido. documentos transferidos, también llamado análisis de contenido. Consideremos los principales enfoques para detectar información confidencial.

  • Etiquetas. Este método es similar a los sistemas de control de documentos discutidos anteriormente. Las etiquetas están integradas en los documentos que describen el grado de confidencialidad de la información, qué se puede hacer con este documento y a quién se debe enviar. Según los resultados del análisis de etiquetas, el sistema DLP decide si es posible este documento enviar afuera o no. Inicialmente, algunos sistemas DLP se hacen compatibles con los sistemas de gestión de derechos para utilizar las etiquetas que instalan estos sistemas; otros sistemas utilizan su propio formato de etiqueta.
  • Firmas. Este método consiste en especificar una o más secuencias de caracteres, cuya presencia en el texto del archivo transferido debería indicarle al sistema DLP que este archivo contiene información confidencial. Se puede organizar una gran cantidad de firmas en diccionarios.
  • Método Bayes. Este método, utilizado para combatir el spam, también se puede utilizar con éxito en sistemas DLP. Para aplicar este método, se crea una lista de categorías y se indica una lista de palabras con las probabilidades de que si la palabra aparece en un archivo, entonces el archivo con una probabilidad dada pertenece o no a la categoría especificada.
  • Análisis morfológico.El método de análisis morfológico es similar al de firma, la diferencia es que no se analiza el 100% de coincidencia con la firma, pero también se tienen en cuenta palabras raíz similares.
  • Impresiones digitales.La esencia de este método es que se calcula una función hash para todos los documentos confidenciales de tal manera que si el documento se modifica ligeramente, la función hash seguirá siendo la misma o también cambiará ligeramente. De esta forma, el proceso de detección de documentos confidenciales se simplifica enormemente. A pesar de los elogios entusiastas de esta tecnología por parte de muchos proveedores y algunos analistas, su fiabilidad deja mucho que desear y, dado que los proveedores, con diversos pretextos, prefieren dejar en la sombra los detalles de la implementación del algoritmo de huellas digitales, confíen en en él no aumenta.
  • Expresiones regulares.Conocido por todos los que se han ocupado de la programación, expresiones regulares facilite la búsqueda de datos de plantilla en texto, como números de teléfono, información de pasaporte, números de cuentas bancarias, números de seguro social, etc.

De la lista anterior es fácil ver que los métodos de detección no garantizan la identificación del 100% de la información confidencial, ya que el nivel de errores tanto del primer como del segundo tipo es bastante alto, o requieren una vigilancia constante del servicio de seguridad para actualizar y mantener una lista actualizada de firmas o etiquetas de asignaciones para documentos confidenciales.

Además, el cifrado del tráfico puede crear cierto problema en el funcionamiento de la red DLP. Si los requisitos de seguridad requieren que cifre los mensajes de correo electrónico o utilice SSL al conectarse a cualquier recurso web, el problema de determinar la presencia de información confidencial en los archivos transferidos puede resultar muy difícil de resolver. No olvides que algunos servicios de mensajería instantánea, como Skype, tienen cifrado integrado de forma predeterminada. Tendrá que negarse a utilizar dichos servicios o utilizar el host DLP para controlarlos.

Sin embargo, a pesar de todas las dificultades, cuando ajuste correcto Cuando se toma en serio, la DLP de red puede reducir significativamente el riesgo de fuga de información confidencial y proporcionar a una organización un medio conveniente de control interno.

DLP del anfitrión se instalan en cada host de la red (en las estaciones de trabajo cliente y, si es necesario, en los servidores) y también se pueden utilizar para controlar el tráfico de Internet. Sin embargo, los DLP basados ​​en host están menos extendidos en esta capacidad y actualmente se utilizan principalmente para el control. dispositivos externos e impresoras. Como usted sabe, un empleado que trae una unidad flash o un reproductor MP3 al trabajo representa una amenaza mucho mayor para la seguridad de la información de una empresa que todos los piratas informáticos juntos. Estos sistemas también se denominan herramientas de seguridad de terminales de red ( puesto final de Seguridad), aunque este término suele utilizarse de forma más amplia; por ejemplo, a veces los productos antivirus se denominan así.

Como sabes, el problema del uso de dispositivos externos se puede solucionar sin utilizar ningún medio desactivando los puertos ya sea físicamente o mediante el sistema operativo, o administrativamente prohibiendo a los empleados llevar cualquier medio de almacenamiento a la oficina. Sin embargo, en la mayoría de los casos, el enfoque "barato y alegre" es inaceptable, ya que no se proporciona la flexibilidad necesaria de los servicios de información que requieren los procesos comerciales.

Debido a esto, ha habido una cierta demanda de medios especiales, con la ayuda del cual podrá resolver de forma más flexible el problema del uso de dispositivos e impresoras externos por parte de los empleados de la empresa. Estas herramientas le permiten configurar derechos de acceso para que los usuarios varios tipos dispositivos, por ejemplo, para que un grupo de usuarios prohíba trabajar con medios y les permita trabajar con impresoras, y para otro, para permitir trabajar con medios en modo de solo lectura. Si es necesario registrar información en dispositivos externos para usuarios individuales, se puede utilizar la tecnología de instantáneas, que garantiza que toda la información guardada en un dispositivo externo se copie en el servidor. La información copiada se puede analizar posteriormente para analizar las acciones del usuario. Esta tecnología copia todo, y actualmente no existen sistemas que permitan analizar el contenido de los archivos almacenados para bloquear el funcionamiento y evitar fugas, como hacen los DLP de red. Sin embargo, un archivo de instantáneas proporcionará investigaciones de incidentes y análisis retrospectivo de eventos en la red, y la presencia de dicho archivo significa que un potencial informante puede ser capturado y castigado por sus acciones. Esto puede convertirse para él en un obstáculo importante y en una razón importante para abandonar las acciones hostiles.

También vale la pena mencionar el control sobre el uso de impresoras: las copias impresas de los documentos también pueden convertirse en una fuente de fugas. DLP alojado le permite controlar el acceso de los usuarios a las impresoras de la misma manera que otros dispositivos externos y almacenar copias de documentos impresos en formato gráfico para su posterior análisis. Además, se ha generalizado un poco la tecnología de las marcas de agua, que imprimen un código único en cada página de un documento, mediante el cual se puede determinar exactamente quién, cuándo y dónde imprimió este documento.

A pesar de las indudables ventajas del DLP basado en host, tienen una serie de desventajas asociadas con la necesidad de instalar un software agente en cada computadora que se supone que debe monitorearse. En primer lugar, esto puede causar ciertas dificultades en términos de implementación y gestión de dichos sistemas. En segundo lugar, un usuario con derechos de administrador puede intentar desactivar este software para realizar acciones no permitidas por la política de seguridad.

Sin embargo, para un control fiable de dispositivos externos, el DLP basado en host es indispensable y los problemas mencionados no son irresolubles. Por lo tanto, podemos concluir que el concepto de DLP es ahora una herramienta de pleno derecho en el arsenal de los servicios de seguridad corporativos frente a la presión cada vez mayor sobre ellos para garantizar el control interno y la protección contra filtraciones.

Concepto de PCI

En el proceso de inventar nuevos medios para combatir las amenazas internas, el pensamiento científico y de ingeniería de la sociedad moderna no se detiene y, teniendo en cuenta ciertas deficiencias de los medios que se discutieron anteriormente, el mercado de sistemas de protección contra fugas de información ha llegado a la cima. concepto de IPC (Protección y Control de la Información). Este término apareció hace relativamente poco tiempo; se cree que se utilizó por primera vez en una revisión de la empresa analítica IDC en 2007.

La esencia de este concepto es combinar DLP y métodos de cifrado. En este concepto, utilizando DLP, la información que sale de la red corporativa se controla a través de canales técnicos y el cifrado se utiliza para proteger los medios de almacenamiento que físicamente caen o pueden caer en manos de personas no autorizadas.

Veamos las tecnologías de cifrado más comunes que se pueden utilizar en el concepto IPC.

  • Cifrado de cintas magnéticas.A pesar del carácter arcaico de este tipo de medios, se sigue utilizando activamente para Copia de reserva y para transferir grandes volúmenes de información, ya que todavía no tiene igual en cuanto al coste unitario de un megabyte almacenado. En consecuencia, las filtraciones de cintas siguen deleitando a los editores de noticias que las colocan en primera plana y frustran a los CIO y a los equipos de seguridad de las empresas que se convierten en los héroes de tales informes. La situación se ve agravada por el hecho de que dichas cintas contienen cantidades muy grandes de datos y, por tanto, un gran número de personas pueden convertirse en víctimas de estafadores.
  • Cifrado de almacenamientos de servidores.A pesar de que el almacenamiento del servidor rara vez se transporta y el riesgo de pérdida es inmensamente menor que el de la cinta magnética, un separado disco duro del almacenamiento puede caer en manos de delincuentes. Reparación, eliminación, actualización: estos eventos ocurren con suficiente regularidad como para cancelar este riesgo. Y la situación de que personas no autorizadas entren en la oficina no es un hecho completamente imposible.

Aquí vale la pena hacer una pequeña digresión y mencionar la idea errónea común de que si un disco es parte de una matriz RAID, entonces, supuestamente, no hay necesidad de preocuparse de que caiga en las manos equivocadas. Parecería que la alternancia de datos registrados en varios unidades de disco duro, que realizan los controladores RAID, proporciona una apariencia ilegible a los datos ubicados en cualquier tipo de disco duro. Lamentablemente, esto no es del todo cierto. El entrelazado se produce, pero en la mayoría de los dispositivos modernos se realiza a nivel de bloque de 512 bytes. Esto significa que, a pesar de la violación de la estructura y los formatos de los archivos, aún se puede extraer información confidencial de dicho disco duro. Por lo tanto, si existe el requisito de garantizar la confidencialidad de la información cuando se almacena en una matriz RAID, el cifrado sigue siendo la única opción confiable.

  • Cifrado de portátiles.Esto ya se ha dicho innumerables veces, pero aún así, la pérdida de portátiles con información confidencial no figura desde hace muchos años entre los cinco primeros incidentes.
  • Cifrado de medios extraíbles.En este caso, estamos hablando de dispositivos USB portátiles y, en ocasiones, de CD y DVD grabables si se utilizan en los procesos comerciales de la empresa. Dichos sistemas, así como los sistemas de cifrado de discos duros de computadoras portátiles antes mencionados, a menudo pueden actuar como componentes de sistemas DLP host. En este caso, se habla de una especie de perímetro criptográfico que garantiza el cifrado automático y transparente de los medios que se encuentran en su interior y la imposibilidad de descifrar los datos fuera de él.

Por tanto, el cifrado puede ampliar significativamente las capacidades de los sistemas DLP y reducir el riesgo de fuga de datos confidenciales. A pesar de que el concepto de IPC se desarrolló hace relativamente poco tiempo y la elección de soluciones IPC complejas en el mercado no es muy amplia, la industria está explorando activamente esta área y es muy posible que después de un tiempo este concepto se convierta en el Norma de facto para la solución de problemas de seguridad interior y control de seguridad interior.

conclusiones

Como puede verse en esta revisión, las amenazas internas son un área bastante nueva en la seguridad de la información que, sin embargo, se está desarrollando activamente y requiere mayor atención. Las tecnologías de control de documentos consideradas, DLP e IPC, permiten construir un sistema de control interno bastante confiable y reducir el riesgo de fugas a un nivel aceptable. Sin duda este área de la seguridad de la información seguirá desarrollándose, se ofrecerán tecnologías más nuevas y avanzadas, pero hoy en día muchas organizaciones están optando por una solución u otra, ya que un descuido en materia de seguridad de la información puede salir demasiado caro.

Alexey Raevsky
CEO de SecurIT



Popular en la categoría:
¿Cómo crear un clip de karaoke en una computadora?
¿Cómo crear un clip de karaoke en una computadora?
leer
Se requiere la aplicación Origin para el juego, pero no está instalada. FIFA 16 requiere Origin.
Se requiere la aplicación Origin para jugar, pero no está instalada FIFA...
leer
Registrar una página personal en la red social Facebook
Registrar una página personal en la red social Facebook
leer
Cómo ejecutar un escaneo Nmap simple de Nmap
Cómo ejecutar un escaneo Nmap simple de Nmap
leer

últimos artículos
Cómo rotar una imagen unos grados...
leer
Deshabilitar la publicidad en el navegador Yandex Dónde...
leer
Solución de problemas de conexión Wi-Fi en...
leer
Cambiar contraseña en el perfil de Windows 10
leer
Instrucciones para configurar enrutadores inalámbricos...
leer
Cómo elegir un disco duro y cuál es mejor comprar...
leer
Meizu para tontos. Llamadas y libreta de direcciones....
leer
Descargar PDFPrograma Master
leer
Arriba