Szoftveres védelem a bennfentesek ellen pdf. Védelem a bennfentesektől a Zlock rendszer segítségével. Statikus eszközblokkolásra épülő rendszerek

Szoftveres védelem a bennfentesek ellen pdf. Védelem a bennfentesektől a Zlock rendszer segítségével. Statikus eszközblokkolásra épülő rendszerek

„Tanácsadó”, 2011, N 9

„Aki birtokolja az információkat, az birtokolja a világot” – Winston Churchillnek ez a híres aforizmája aktuálisabb, mint valaha a modern társadalomban. A tudás, az ötletek és a technológia kerül előtérbe, a piacvezető szerep pedig azon múlik, hogy egy vállalat mennyire tudja gazdálkodni a szellemi tőkéjével.

Ilyen körülmények között a szervezet információbiztonsága különösen fontossá válik.

Bármilyen információ kiszivárogtatása a versenytársak felé vagy a belső folyamatokkal kapcsolatos információk közzététele azonnal befolyásolja a vállalat pozícióit a piacon.

Rendszer információ biztonság védelmet kell nyújtania számos fenyegetés ellen: technikai, szervezeti és az emberi tényező okozta veszélyekkel szemben.

Amint azt a gyakorlat mutatja, az információszivárgás fő csatornája a bennfentesek.

Ellenség hátul

Jellemzően a bennfentes a cég olyan alkalmazottja, aki bizalmas információk felfedésével kárt okoz a cégnek.

Ha azonban figyelembe vesszük a három fő feltételt, amelyek biztosítása az információbiztonság célja - titoktartás, integritás, elérhetőség -, akkor ez a meghatározás bővíthető.

Bennfentesnek nevezhetjük azt a munkavállalót, aki jogszerűen hatósági hozzáféréssel rendelkezik egy vállalkozás bizalmas információihoz, ami az információk felfedését, eltorzulását, sérülését vagy hozzáférhetetlenségét okozza.

Ez az általánosítás elfogadható, mert modern világ Az információk integritásának és elérhetőségének megsértése gyakran sokkal súlyosabb következményekkel jár a vállalkozások számára, mint a bizalmas információk nyilvánosságra hozatala.

Sok vállalkozás számára az üzleti folyamatok rövid időre történő leállása jelentős anyagi veszteséggel fenyeget, a működés néhány napon belüli megszakadása pedig olyan erős csapást okozhat, hogy végzetes következményekkel járhat.

Az üzleti kockázatokat vizsgáló szervezetek rendszeresen publikálják kutatásaik eredményeit. Szerintük a bennfentes információk hosszú évek óta folyamatosan az első helyen állnak az információbiztonság megsértését kiváltó okok listáján.

Az összes incidens számának folyamatos növekedése miatt megállapítható, hogy a probléma aktualitása folyamatosan növekszik.

Fenyegetés modell

A probléma hatékony leküzdését segítő, megbízható réteges információbiztonsági rendszer felépítéséhez mindenekelőtt egy fenyegetési modellt kell létrehozni.

Meg kell értened, kik a bennfentesek, és mi motiválja őket, miért tesznek bizonyos lépéseket.

Különféle megközelítések léteznek az ilyen modellek létrehozására, de gyakorlati célokra használhatja a következő osztályozást, amely magában foglalja a bennfentesek összes fő típusát.

Belső hacker

Az ilyen alkalmazott általában átlag feletti mérnöki képesítéssel rendelkezik, és megérti a vállalati erőforrások szerkezetét, a számítógépes rendszerek és hálózatok architektúráját.

Kíváncsiságból, sportérdekből, saját képességei határait kutatva hajt végre hacker akciókat.

Általában tisztában van a tetteiből eredő esetleges károkkal, ezért csak ritkán okoz kézzelfogható kárt.

A veszélyeztetettség mértéke közepes, mivel tettei a vállalatban lezajló folyamatok átmeneti leállását idézhetik elő. A tevékenységek azonosítása elsősorban technikai eszközökkel lehetséges.

Felelőtlen és alacsonyan képzett munkatárs

Különféle készségekkel rendelkezhet, és a vállalkozás bármely részlegében dolgozhat.

Veszélyes, mert nem szokott a tettei következményeire gondolni, „próbával és hibával” tud dolgozni a vállalat információforrásaival, akaratlanul is megsemmisítheti, eltorzítja az információkat.

Általában nem emlékszik tettei sorrendjére, és amikor negatív következményeket fedez fel, egyszerűen hallgat róluk.

Felfedhet üzleti titoknak minősülő információkat egy barátjával folytatott személyes beszélgetés során, vagy akár internetes fórumokon és a közösségi hálózatokon.

A veszély mértéke nagyon magas, különös tekintettel arra, hogy az ilyen típusú elkövetők gyakoribbak, mint mások. Tevékenységének következményei sokkal súlyosabbak lehetnek, mint egy tudatos támadóé.

Cselekedeteinek következményeinek megelőzése érdekében különféle intézkedések egész sorát kell megtenni, mind technikai (felhatalmazás, kötelező munkamegosztás elszámolások szerint), mind szervezeti (a munka folyamatának és eredményének állandó vezetési ellenőrzése) .

Pszichológiailag instabil személy

Akárcsak az előző típus képviselője, ő is bármilyen beosztásban dolgozhat, és nagyon eltérő végzettséggel rendelkezik. Veszélyes a gyengén motivált cselekvésekre való hajlam miatt pszichológiai kényelmetlenség körülményei között: extrém helyzetekben, más alkalmazottak pszichológiai nyomása vagy egyszerűen erős irritáció.

Affektív állapotban bizalmas információkat tárhat fel, megrongálhatja az adatokat, és megzavarhatja más emberek szokásos munkáját.

A veszélyeztetettség mértéke átlagos, de ez a fajta elkövető nem olyan gyakori.

A tettei negatív következményeinek megelőzése érdekében a leghatékonyabb adminisztratív intézkedések alkalmazása - az ilyen emberek azonosítása az interjú szakaszában, az információkhoz való hozzáférés korlátozása és a kényelmes pszichológiai légkör fenntartása a csapatban.

Sértett, sértett alkalmazott

Az információbiztonsági rendszer potenciális megsértőinek legszélesebb csoportja.

Elméletileg a munkavállalók túlnyomó többsége képes a vállalat számára barátságtalan cselekedeteket elkövetni.

Ez akkor fordulhat elő, ha a vezetőség tiszteletlenséget tanúsít a munkavállaló személyisége vagy szakmai tulajdonságai iránt, és ez befolyásolja a fizetés szintjét.

Potenciálisan az ilyen típusú bennfentesek nagyon nagy veszélyt jelentenek - mind a kiszivárogtatás, mind az információsérülés lehetséges, és az ezekből származó károk garantáltan észrevehetőek lesznek a vállalkozás számára, mivel a munkavállaló ezt tudatosan okozza, és jól ismeri az összes sérülékenységet.

A tevékenységek felderítéséhez mind adminisztratív, mind technikai intézkedésekre van szükség.

Tisztátalan alkalmazott

Alkalmazott, aki megpróbálja kiegészíteni személyes vagyonát annak a cégnek a vagyonának terhére, amelynek dolgozik. Az eltulajdonított tételek között lehetnek különféle bizalmas információhordozók ( merevlemezek, pendrive-ok, céges laptopok).

Ebben az esetben fennáll annak a veszélye, hogy az információk olyan emberekhez jutnak el, akiknek nem szánták, és ezt követően közzéteszik vagy átadják a versenytársaknak.

A veszély átlagos, de ez a típus nem ritka.

Az azonosításhoz először adminisztratív intézkedésekre van szükség.

A versenyző képviselője

Általános szabály, hogy magasan képzett, és olyan pozíciókat tölt be, amelyek bőséges lehetőséget biztosítanak információk megszerzésére, beleértve a bizalmas információkat is. Ez vagy egy meglévő alkalmazott, akit a versenytársak vettek fel, vásároltak ki (gyakrabban), vagy egy speciálisan a cégbe bevezetett bennfentes.

A veszély mértéke nagyon magas, hiszen a kárt tudatosan, az információ értékének, valamint a vállalat sérülékenységének mély megértésével okozzák.

A tevékenységek azonosításához mind adminisztratív, mind technikai intézkedésekre van szükség.

Mit lopunk?

A bennfentes információ problémájának megértése lehetetlen az ellopott információ természetének figyelembevétele nélkül.

A statisztikák szerint az ügyfelek személyes adatai, valamint az ügyfélcégekről, partnerekről szóló információk a legkeresettebbek, ezeket az esetek több mint felében ellopják. A tranzakciók részletei, a szerződési feltételek és a szállítások a következők. A pénzügyi jelentések is nagy érdeklődésre tartanak számot.

A védőintézkedések összeállítása során minden vállalatnak elkerülhetetlenül szembe kell néznie azzal a kérdéssel: mely konkrét információk igényelnek speciális védőintézkedéseket, és melyek azok, amelyekre nincs szükség?

Természetesen az ilyen döntések alapja a kockázatelemzés eredményeként kapott adatok. Gyakran azonban egy vállalkozásnak korlátozottak az információbiztonsági rendszerre fordítható pénzügyi forrásai, és ezek nem feltétlenül elegendőek az összes kockázat minimalizálásához.

Két megközelítés

Sajnos nincs kész válasz arra a kérdésre: „Mit védjünk először?”

Ezt a problémát két oldalról lehet megközelíteni.

A kockázat egy összetett mutató, amely figyelembe veszi egy adott fenyegetés valószínűségét és az abból eredő lehetséges károkat is. Ennek megfelelően a biztonsági prioritások meghatározásakor e mutatók valamelyikére összpontosíthat. Ez azt jelenti, hogy először azt az információt védik meg, amelyet a legkönnyebben el lehet lopni (például, ha nagyszámú munkavállaló fér hozzá), és amely információ ellopása vagy blokkolása járna a legsúlyosabb következményekkel.

A bennfentes probléma fontos aspektusa az információátviteli csatorna. Minél több fizikai lehetőség van arra, hogy jogosulatlan információkat továbbítsanak a vállalaton kívülre, annál valószínűbb, hogy ez megtörténik.

Átviteli mechanizmusok

Az átviteli mechanizmusok a következők szerint osztályozhatók:

  • szóbeli közvetítés (személyes beszélgetés);
  • műszaki adatátviteli csatornák ( telefonos kommunikáció, fax, e-mail, üzenetküldő rendszerek, különféle közösségi internetes szolgáltatások stb.);
  • hordozható adathordozók és mobil eszközök (Mobiltelefonok, külső merevlemezek, laptopok, flash meghajtók stb.).

Korunk kutatásai szerint a bizalmas adatok továbbításának leggyakoribb csatornái (csökkenő sorrendben): e-mail, mobil eszközök (ideértve a laptopokat is), közösségi hálózatok és egyéb internetes szolgáltatások (például azonnali üzenetküldő rendszerek) stb.

A technikai csatornák vezérlésére különféle eszközök, jelenleg a biztonsági piacon elérhető termékek széles választéka használható.

Például, tartalomszűrő rendszerek (dinamikus blokkoló rendszerek), információhordozókhoz való hozzáférés korlátozásának eszközei (CD, DVD, Bluetooth).

Adminisztratív intézkedéseket is alkalmaznak: az internetes forgalom szűrése, a munkaállomások fizikai portjainak blokkolása, az adminisztrációs rendszer és a fizikai biztonság biztosítása.

Választáskor technikai eszközöket a bizalmas információk védelme szisztematikus megközelítést igényel. Csak így érhető el a legnagyobb hatékonyság megvalósításukból.

Azt is meg kell értenie, hogy az egyes vállalatok előtt álló kihívások egyediek, és gyakran egyszerűen lehetetlen más szervezetek által használt megoldásokat használni.

A bennfentes információk elleni küzdelem önmagában nem valósulhat meg, az információbiztonsági rendszer biztosítását célzó átfogó üzleti folyamat fontos eleme.

Ezt szakembereknek kell elvégezniük, és egy teljes tevékenységi ciklust kell tartalmazniuk: információbiztonsági politika kialakítása, hatókör meghatározása, kockázatelemzés, ellenintézkedések kiválasztása és végrehajtása, valamint az információbiztonsági rendszer auditálása.

Ha egy vállalkozás nem biztosítja az információbiztonságot a teljes komplexumban, akkor a kiszivárogtatásból és az információsérülésből eredő pénzügyi veszteségek kockázata meredeken megnő.

A kockázatok minimalizálása

Vizsgálat

  1. A cég bármely pozíciójára jelentkező jelentkezők alapos átvilágítása. Javasoljuk, hogy minél több információt gyűjtsön össze a jelöltről, beleértve a közösségi oldalak tartalmát is. Az is segíthet, ha referenciát kér egy korábbi munkahelyről.
  2. Az informatikai mérnöki pozícióra jelentkezőket különösen alapos átvilágításnak kell alávetni. A gyakorlat azt mutatja, hogy a bennfentesek több mint fele ilyen rendszergazdákés programozók.
  3. A felvétel során legalább egy minimális pszichológiai ellenőrzést el kell végezni a jelölteknél. Segít azonosítani az instabil mentális egészséggel rendelkező jelentkezőket.

Hozzáférési jog

  1. Hozzáférés megosztó rendszer vállalati erőforrások. A vállalkozásnak olyan szabályozási dokumentációt kell készítenie, amely az információkat bizalmassági szint szerint rangsorolja, és egyértelműen meghatározza a hozzáférési jogokat. A forrásokhoz való hozzáférést személyre szabottnak kell lennie.
  2. Az erőforrásokhoz való hozzáférési jogokat a „minimális elegendőség” elve szerint kell elosztani. A műszaki berendezések karbantartásához való hozzáféréshez még rendszergazdai jogokkal sem szabad mindig hozzáférni magának az információnak a megtekintéséhez.
  3. A felhasználói műveletek lehető legmélyebb nyomon követése, kötelező engedélyezéssel és az elvégzett műveletek információinak naplóban történő rögzítésével. Minél körültekintőbben vezetik a naplókat, a menedzsment annál nagyobb ellenőrzést gyakorol a vállalat helyzete felett. Ugyanez vonatkozik a munkavállaló tevékenységére, amikor hivatalos internet-hozzáférést használ.

Kommunikációs szabvány

  1. A szervezetnek el kell fogadnia saját kommunikációs standardját, amely kizárja a munkavállalók egymás iránti nem megfelelő magatartásának minden formáját (agresszió, erőszak, túlzott összeszokottság). Ez mindenekelőtt a „vezető-beosztott” viszonyra vonatkozik.

A munkavállaló semmilyen körülmények között nem érezheti úgy, hogy igazságtalanul bánnak vele, nem becsülik meg eléggé, feleslegesen kihasználják, vagy becsapják.

Ennek az egyszerű szabálynak a betartásával elkerülheti az olyan helyzetek túlnyomó többségét, amelyek bennfentes információ megadására késztetik az alkalmazottakat.

Titoktartás

A titoktartási megállapodás nem lehet puszta formalitás. Minden olyan alkalmazottnak alá kell írnia, aki hozzáfér a fontos dolgokhoz információs források cégek.

Ezenkívül még az interjú szakaszában el kell magyarázni a potenciális alkalmazottaknak, hogy a vállalat hogyan ellenőrzi az információbiztonságot.

Az alapok ellenőrzése

A munkavállaló által munkavégzésre használt technikai eszközök ellenőrzését jelenti.

Például, a személyes laptop használata nem kívánatos, mivel amikor egy alkalmazott távozik, valószínűleg nem lehet megtudni, milyen információkat tárolnak rajta.

Ugyanezen okból nem kívánatos a dobozok használata Email külső erőforrásokon.

Belső rutin

A vállalkozásnak meg kell felelnie a belső előírásoknak.

Információkkal kell rendelkezni arról, hogy a munkavállalók mennyi időt töltenek a munkahelyen.

Biztosítani kell az anyagi javak mozgásának ellenőrzését is.

A fenti szabályok betartása csökkenti a bennfentes információkon keresztüli károsodás vagy információszivárgás kockázatát, és ezáltal segít megelőzni a jelentős anyagi vagy hírnévveszteségeket.

Ügyvezető partner

cégcsoport Hosting Community


Ma a bizalmas információk kiszivárgásának két fő csatornája van: a számítógéphez csatlakoztatott eszközök (mindenféle cserélhető tárolóeszköz, beleértve a flash meghajtókat, CD/DVD meghajtók stb., nyomtatók) és az Internet (e-mail, ICQ, közösségi oldalak). hálózatok stb.). d.). Ezért, amikor egy cég „megérett” a védelmi rendszer bevezetésére ellenük, célszerű ezt a megoldást átfogóan megközelíteni. A probléma az, hogy különböző megközelítéseket alkalmaznak a különböző csatornák lefedésére. Egy esetben a legtöbbet hatékony mód A védelem szabályozza a cserélhető meghajtók használatát, a második pedig különféle tartalomszűrési lehetőségeket tartalmaz, lehetővé téve a bizalmas adatok külső hálózatra történő átvitelének blokkolását. Ezért a cégeknek két terméket kell használniuk a bennfentesek elleni védekezésre, amelyek együttesen egy átfogó biztonsági rendszert alkotnak. Természetesen célszerű egy fejlesztő eszközeit használni. Ilyenkor leegyszerűsödik a megvalósításuk, az adminisztrációjuk, a dolgozók képzése. Példaként említhetjük a SecurIT termékeit: a Zlockot és a Zgate-et.

Zlock: védelem a kivehető meghajtókon keresztüli szivárgás ellen

A Zlock program már jó ideje a piacon van. És már mi is. Elvileg nincs értelme ismételni magam. A cikk megjelenése óta azonban a Zlock két új verziója is megjelent, amelyek számos fontos funkcióval bővültek. Érdemes beszélni róluk, még ha csak nagyon röviden is.

Mindenekelőtt érdemes megjegyezni annak lehetőségét, hogy egy számítógéphez több házirend hozzárendelhető, amelyek egymástól függetlenül kerülnek alkalmazásra attól függően, hogy a számítógép csatlakozik-e vállalati hálózat közvetlenül, VPN-en keresztül vagy önállóan működik. Ez különösen lehetővé teszi az USB-portok és a CD/DVD-meghajtók automatikus blokkolását, amikor a számítógépet leválasztják a helyi hálózatról. Általában ezt a funkciót növeli a laptopokon tárolt információk biztonságát, amelyeket a dolgozók kivihetnek az irodából utazásra vagy otthoni munkára.

Második új lehetőség- a cég alkalmazottainak ideiglenes hozzáférés biztosítása a letiltott eszközökhöz vagy akár eszközcsoportokhoz telefonon keresztül. Működésének elve a csereprogram által generált titkos kódokat a felhasználó és az információbiztonságért felelős munkatárs között. Figyelemre méltó, hogy a felhasználási engedély nem csak véglegesen, hanem ideiglenesen is kiadható (bizonyos időre vagy a munkamenet végéig). Ez az eszköz enyhe lazításnak tekinthető a biztonsági rendszerben, de lehetővé teszi, hogy növelje az informatikai részleg reagálóképességét az üzleti kérésekre.

A következő fontos innováció a Zlock új verzióiban a nyomtatók használatának ellenőrzése. A beállítást követően a biztonsági rendszer egy speciális naplóba rögzíti az összes felhasználói kérést a nyomtatóeszközökhöz. De ez még nem minden. A Zlock mostantól minden nyomtatott dokumentum árnyékmásolását kínálja. Beiratkoznak PDF formátumés a kinyomtatott oldalak teljes másolata, függetlenül attól, hogy melyik fájlt küldték el a nyomtatónak. Ez segít megelőzni a bizalmas információk kiszivárgását a papírlapokra, amikor egy bennfentes kinyomtatja az adatokat, hogy kivigye azokat az irodából. A biztonsági rendszer magában foglalja a CD/DVD lemezekre rögzített információk árnyékmásolását is.

Fontos újítás volt a Zlock Enterprise Management Server szerverkomponens megjelenése. Ez biztosítja a biztonsági szabályzatok és egyéb programbeállítások központi tárolását és elosztását, és jelentősen megkönnyíti a Zlock adminisztrációját nagy és elosztott információs rendszerekben. Nem is beszélve a saját hitelesítési rendszer megjelenéséről, amely szükség esetén lehetővé teszi a tartomány és a helyi Windows-felhasználók használatának elhagyását.

Ezen kívül in legújabb verzió A Zlock immár több kevésbé észrevehető, de meglehetősen fontos funkcióval is rendelkezik: a kliens modul integritásának felügyelete azzal a lehetőséggel, hogy blokkolja a felhasználói bejelentkezést, ha manipulációt észlel, kibővített képességek a biztonsági rendszer megvalósításához, az Oracle DBMS támogatása stb.

Zgate: védelem az internetes szivárgások ellen

Szóval, Zgate. Mint már említettük, ez a termék egy olyan rendszer, amely megvédi a bizalmas információk interneten keresztüli kiszivárgását. Szerkezetileg a Zgate három részből áll. A fő a szerver komponens, amely minden adatfeldolgozási műveletet végrehajt. Telepíthető külön számítógépre és a már vállalati környezetben futókra is tájékoztatási rendszer csomópontok - Internet átjáró, tartományvezérlő, levelezési átjáró stb. Ez a modul három összetevőből áll: az SMTP forgalom figyelésére, a Microsoft Exchange 2007/2010 szerver belső leveleinek figyelésére, valamint a Zgate Webre (az irányításért felelős) HTTP, FTP és IM forgalom).

A biztonsági rendszer második része a naplózószerver. Arra használják, hogy eseményinformációkat gyűjtsenek egy vagy több Zgate szerverről, feldolgozzák és tárolják. Ez a modul különösen hasznos nagy és földrajzilag elosztott vállalati rendszerek, mivel központosított hozzáférést biztosít az összes adathoz. A harmadik rész a felügyeleti konzol. A SecurIT termékekhez szabványos konzolt használ, ezért nem fogunk vele foglalkozni. Csak azt jegyezzük meg, hogy ezzel a modullal nem csak helyben, hanem távolról is vezérelheti a rendszert.

Menedzsment konzol

A Zgate rendszer többféle üzemmódban is működhet. Ezenkívül elérhetőségük a termék megvalósításának módjától függ. Az első két mód levélproxyszerverként működik. Ezek megvalósításához a rendszert a vállalati levelezőszerver és a „külvilág” (vagy a levelezőszerver és a küldőszerver közé, ha el vannak választva) telepítik. Ebben az esetben a Zgate egyszerre tudja szűrni a forgalmat (késleltetni a jogsértő és megkérdőjelezhető üzeneteket), és csak naplózni (az összes üzenetet átadja, de az archívumba menti).

A második megvalósítási mód a védelmi rendszer Microsoft Exchange 2007 vagy 2010 rendszerrel történő együttes használatát jelenti. Ehhez közvetlenül a vállalati számítógépre kell telepítenie a Zgate-et. levelezőszerver. Két mód is elérhető: szűrés és naplózás. Ezen kívül van még egy megvalósítási lehetőség. Az üzenetek tükrözött forgalmi módban történő naplózásáról beszélünk. Természetesen a használatához biztosítani kell, hogy a számítógép, amelyre a Zgate telepítve van, ugyanazt a tükrözött forgalmat kapja (általában ez hálózati eszközök segítségével történik).


A Zgate üzemmód kiválasztása

A Zgate Web komponens külön történetet érdemel. Közvetlenül a vállalati internetes átjáróra van telepítve. Ezzel egyidejűleg ez az alrendszer képessé válik a HTTP, FTP és IM forgalom figyelésére, azaz feldolgozására annak érdekében, hogy észlelje a bizalmas információk webes levelezőfelületeken és ICQ-n keresztüli küldésére irányuló kísérleteket, és azokat fórumokon, FTP szervereken és közösségi oldalakon közzéteszi. hálózatok stb. Egyébként az ICQ-ról. Az IM üzenetküldők blokkolása számos hasonló termékben elérhető. Azonban nincs bennük „ICQ”. Egyszerűen azért, mert az orosz nyelvű országokban a legelterjedtebb.

A Zgate Web komponens működési elve meglehetősen egyszerű. Valahányszor információt küldenek valamelyik ellenőrzött szolgáltatásnak, a rendszer egy speciális üzenetet generál. Magát az információt és néhány szolgáltatási adatot tartalmazza. A rendszer elküldi a fő Zgate szerverre, és a megadott szabályok szerint dolgozza fel. Természetesen magában a szolgáltatásban nincs blokkolva az információ küldése. Vagyis a Zgate Web csak naplózási módban működik. Segítségével nem akadályozhatja meg az elszigetelt adatszivárgást, de gyorsan észlelheti azokat, és megállíthatja egy önkéntes vagy akaratlan támadó tevékenységét.


A Zgate Web komponens beállítása

A Zgate információfeldolgozásának módját és a szűrési eljárást a szabályzat határozza meg, amelyet a biztonsági tiszt vagy más felelős alkalmazott dolgoz ki. Feltételek sorozatát képviseli, amelyek mindegyike egy adott műveletnek felel meg. Az összes bejövő üzenet egymás után „fut át” rajtuk. Ha pedig valamelyik feltétel teljesül, akkor elindul a hozzá tartozó akció.


Szűrő rendszer

A rendszer összesen 8 féle feltételt biztosít, ahogy mondani szokták, „minden alkalomra”. Ezek közül az első a csatolt fájl típusa. Segítségével észlelheti az adott formátumú objektumok küldésére irányuló kísérleteket. Érdemes megjegyezni, hogy az elemzést nem kiterjesztéssel, hanem a fájl belső szerkezetével végzik, és megadhatja az objektumokat és csoportjaikat (például az összes archívum, videó stb.). A feltételek második típusa a külső alkalmazás általi ellenőrzés. Alkalmazásként normál programként működhet, amelyről indul parancs sorés a forgatókönyvet.


Feltételek a szűrőrendszerben

De a következő feltételnél érdemes részletesebben elidőzni. A továbbított információk tartalomelemzéséről beszélünk. Mindenekelőtt meg kell jegyezni Zgate „mindenevő voltát”. Az a tény, hogy a program számos különböző formátumot „megért”. Ezért nem csak egyszerű szöveget, hanem szinte bármilyen mellékletet is képes elemezni. A tartalomelemzés másik jellemzője a nagyszerű képességek. Ez állhat egy egyszerű előfordulás kereséséből egy üzenet szövegében vagy egy adott szó bármely más mezőjében, vagy teljes körű elemzésből, beleértve a nyelvtani szóalakok, a szótő és az átírás figyelembevételét. De ez még nem minden. Külön említést érdemel a minták és reguláris kifejezések elemzésére szolgáló rendszer. Segítségével könnyedén észlelheti az üzenetekben bizonyos formátumú adatok jelenlétét, például útlevél sorozatok és számok, telefonszám, szerződésszám, bankszámlaszám stb. Ez többek között lehetővé teszi a a cég által kezelt személyes adatok védelme.


Minták különböző bizalmas információk azonosítására

A negyedik típusú feltételek a levélben feltüntetett címek elemzése. Vagyis keresni közöttük bizonyos húrokat. Ötödször - a titkosított fájlok elemzése. Végrehajtáskor az üzenet és/vagy a beágyazott objektumok attribútumai ellenőrzésre kerülnek. A hatodik típusú feltételek a betűk különböző paramétereinek ellenőrzése. A hetedik a szótárelemzés. A folyamat során a rendszer érzékeli az előre létrehozott szótárakból származó szavak jelenlétét az üzenetben. És végül, az utolsó, nyolcadik típusú állapot összetett. Két vagy több további feltételt jelent logikai operátorokkal kombinálva.

Egyébként külön kell szólnunk azokról a szótárakról, amelyeket a feltételek leírásánál említettünk. Ezek szócsoportok, amelyeket egyetlen jellemző kombinál, és különféle szűrési módszerekben használatosak. A leglogikusabb dolog olyan szótárak létrehozása, amelyek nagy valószínűséggel lehetővé teszik az üzenetek egyik vagy másik kategóriába való besorolását. Tartalmuk beírható manuálisan vagy importálható a meglévőkből szöveges fájlok. Van egy másik lehetőség a szótárak generálására - automatikus. Használatakor az adminisztrátornak egyszerűen meg kell adnia azt a mappát, amely a vonatkozó dokumentumokat tartalmazza. Maga a program elemzi őket, kiválasztja a szükséges szavakat és hozzárendeli a súlyjellemzőket. A szótárak kiváló minőségű összeállításához nemcsak a bizalmas fájlokat, hanem az érzékeny információkat nem tartalmazó objektumokat is meg kell jelölni. Általánosságban elmondható, hogy az automatikus generálási folyamat leginkább a hirdetésekre és a hagyományos levelekre vonatkozó kéretlen levelek szűrőjének betanításához hasonlít. És ez nem meglepő, mert mindkét ország hasonló technológiát használ.


Példa egy szótárra pénzügyi témában

Ha már a szótáraknál tartunk, nem szabad megemlíteni egy másik bizalmas adatfelderítési technológiát a Zgate-ben. Digitális ujjlenyomatokról beszélünk. A lényeg ez a módszer az alábbiak. Az adminisztrátor jelezheti a rendszermappáknak, amelyek bizalmas adatokat tartalmaznak. A program elemzi a bennük lévő összes dokumentumot, és „digitális ujjlenyomatokat” hoz létre - olyan adatkészleteket, amelyek lehetővé teszik nemcsak a fájl teljes tartalmának, hanem annak egyes részeinek átvitelére irányuló kísérlet meghatározását. Kérjük, vegye figyelembe, hogy a rendszer automatikusan figyeli a számára megadott mappák állapotát, és önállóan „ujjlenyomatokat” hoz létre minden olyan objektumhoz, amely ismét megjelenik azokban.


Kategória létrehozása a fájlok digitális ujjlenyomataival

Nos, most már csak az van hátra, hogy kitaláljuk a kérdéses védelmi rendszerben végrehajtott műveleteket. Összesen már 14 darabot árulnak belőlük Zgatéban. A legtöbb azonban meghatározza az üzenettel végrehajtott műveleteket. Ide tartozik különösen a küldés nélküli törlés (vagyis egy levél továbbításának blokkolása), archívumba helyezés, mellékletek hozzáadása vagy törlése, különböző mezők módosítása, szöveg beszúrása stb. érdemes megjegyezni egy levél karanténba helyezését. Ezt az akciót lehetővé teszi egy üzenet „elhalasztását” egy biztonsági tiszt általi kézi ellenőrzésre, aki dönt a további sorsáról. Szintén nagyon érdekes az a művelet, amely lehetővé teszi az IM-kapcsolat blokkolását. Segítségével azonnal blokkolható a csatorna, amelyen keresztül bizalmas információkat tartalmazó üzenetet továbbítottak.

Két művelet különbözik egymástól: a Bayes-módszerrel végzett feldolgozás és az ujjlenyomat-módszerrel történő feldolgozás. Mindkettőt úgy tervezték, hogy ellenőrizze az üzeneteket, hogy azok érzékeny információkat tartalmaznak-e. Csak az első használ szótárakat és statisztikai elemzést, a második pedig digitális ujjlenyomatokat. Ezek a műveletek akkor hajthatók végre, ha egy bizonyos feltétel teljesül, például ha a címzett címe nem egy vállalati tartományban található. Ezen túlmenően ezek (mint bármely más) beállíthatók úgy, hogy minden kimenő üzenetre feltétel nélkül vonatkozzanak. Ebben az esetben a rendszer elemzi a betűket, és bizonyos kategóriákhoz rendeli (ha természetesen ez lehetséges). De ezekhez a kategóriákhoz már feltételeket teremthet bizonyos műveletek végrehajtásával.


Műveletek a Zgate rendszerben

Nos, a Zgate-ről folytatott mai beszélgetésünk végén egy kicsit összefoglalhatjuk. Ez a védelmi rendszer elsősorban az üzenetek tartalomelemzésére épül. Ez a megközelítés a legelterjedtebb a bizalmas információk interneten keresztüli kiszivárgása elleni védelemben. A tartalomelemzés természetesen nem nyújt 100%-os védelmet, és inkább valószínűségi jellegű. Használata azonban megakadályozza a legtöbb esetben az érzékeny adatok jogosulatlan továbbítását. Használják a cégek vagy ne? Ezt mindenkinek magának kell eldöntenie, felmérve a megvalósítás költségeit ill lehetséges problémákat információszivárgás esetén. Érdemes megjegyezni, hogy a Zgate kiváló munkát végez a reguláris kifejezések elkapásában, ezért nagyon hatékony eszközök a cég által kezelt személyes adatok védelme.

A legújabb információbiztonsági tanulmányok, mint például az éves CSI/FBI ComputerCrimeAndSecuritySurvey, kimutatták, hogy a vállalatok pénzügyi veszteségei a legtöbb fenyegetés miatt évről évre csökkennek. Vannak azonban olyan kockázatok, amelyek miatt a veszteségek növekednek. Ezek egyike a bizalmas információ szándékos ellopása vagy kezelési szabályainak megsértése azon munkavállalók részéről, akiknek a kereskedelmi adatokhoz való hozzáférése hivatali feladataik ellátásához szükséges. Bennfenteseknek hívják őket.

Az esetek túlnyomó többségében a bizalmas információk ellopása mobil adathordozók segítségével történik: CD-k és DVD-k, ZIP-eszközök és ami a legfontosabb, mindenféle USB-meghajtó. Tömeges terjesztésük volt az, ami a bennfentesség virágzásához vezetett szerte a világon. A legtöbb bank vezetője jól ismeri annak veszélyeit, ha például egy ügyfeleik személyes adatait tartalmazó adatbázis, vagy ráadásul a számláikon végrehajtott tranzakciók bűnözői struktúrák kezébe kerülnek. Az esetleges információlopás ellen pedig a rendelkezésükre álló szervezeti módszerekkel próbálnak küzdeni.

A szervezési módszerek azonban ebben az esetben hatástalanok. Ma már megszervezheti az információátvitelt a számítógépek között miniatűr flash meghajtó segítségével, mobiltelefon, mp3 lejátszó, digitális fényképezőgép... Természetesen meg lehet próbálni ezeknek az eszközöknek az irodába való behozatalát betiltani, de ez egyrészt negatívan befolyásolja az alkalmazottakkal való kapcsolatokat, másrészt továbbra is lehetetlen lesz igazán Az emberek feletti hatékony ellenőrzés nagyon nehéz - a bank nem " Postafiók" És még az sem segít, ha a számítógépeken az összes olyan eszközt letiltják, amelyekkel információkat lehet írni külső adathordozókra (FDD és ZIP lemezek, CD- és DVD-meghajtók stb.) és USB-portokra. Végül is az előbbiekre a munkához van szükség, az utóbbiak pedig különféle perifériákhoz csatlakoznak: nyomtatók, szkennerek stb. És senki sem akadályozhatja meg, hogy egy percre kikapcsolja a nyomtatót, behelyezzen egy flash meghajtót a szabad portba és másoljon rá fontos információ. Természetesen találhat eredeti módszereket is, hogy megvédje magát. Az egyik bank például kipróbálta ezt a problémamegoldási módszert: az USB-port és a kábel találkozási pontját epoxigyantával töltötték meg, ez utóbbit szorosan „kötözték” a számítógéphez. De szerencsére ma már léteznek korszerűbb, megbízhatóbb és rugalmasabb ellenőrzési módszerek.

A bennfentesekkel kapcsolatos kockázatok minimalizálásának leghatékonyabb eszköze egy speciális szoftver, amely dinamikusan vezérli a számítógép összes olyan eszközét és portját, amely információk másolására használható. Munkájuk elve a következő. A különféle portok és eszközök használatára vonatkozó engedélyek minden felhasználói csoporthoz vagy minden felhasználóhoz külön-külön be vannak állítva. Az ilyen szoftverek legnagyobb előnye a rugalmasság. Korlátozásokat adhat meg bizonyos típusú eszközökhöz, azok modelljéhez és egyedi példányaihoz. Ez lehetővé teszi nagyon összetett hozzáférési jog-elosztási szabályzatok megvalósítását.

Például megengedheti, hogy egyes alkalmazottak az USB-portokhoz csatlakoztatott nyomtatókat vagy szkennereket használják. Az ehhez a porthoz csatlakoztatott összes többi eszköz azonban elérhetetlen marad. Ha a bank token alapú felhasználó-hitelesítési rendszert használ, akkor a beállításokban megadhatja a használt kulcsmodellt. Ekkor a felhasználók csak a cég által vásárolt eszközöket használhatják, a többi pedig használhatatlan lesz.

A védelmi rendszerek fent leírt működési elve alapján megértheti, hogy mely pontok fontosak a rögzítőeszközök és a számítógépes portok dinamikus blokkolását megvalósító programok kiválasztásakor. Először is ez a sokoldalúság. A védelmi rendszernek le kell fednie a lehetséges portok és bemeneti/kimeneti eszközök teljes körét. Ellenkező esetben a kereskedelmi információk ellopásának kockázata elfogadhatatlanul magas marad. Másodszor, a szóban forgó szoftvernek rugalmasnak kell lennie, és lehetővé kell tennie szabályok létrehozását az eszközökről szóló nagy mennyiségű információ felhasználásával: típusuk, modellgyártók, az egyes példányok egyedi számai stb. Harmadszor pedig a bennfentes védelmi rendszernek integrálhatónak kell lennie a bank információs rendszerével, különösen az ActiveDirectory-val. Ellenkező esetben az adminisztrátornak vagy biztonsági tisztnek két adatbázist kell karbantartania a felhasználókról és a számítógépekről, ami nem csak kényelmetlen, de növeli a hibaveszélyt is.

Az információk védelme a bennfentesek felhasználásától szoftver

Alekszandr Antipov

Remélem, hogy maga a cikk és különösen annak megvitatása segít azonosítani a szoftvereszközök használatának különféle árnyalatait, és kiindulási pont lesz a leírt probléma megoldásának kidolgozásában az információbiztonsági szakemberek számára.


nahna

Az Infowatch cég marketing részlege hosszú ideje meggyőz minden érdeklődőt - informatikusokat, valamint a legfejlettebb informatikai vezetőket is, hogy a cég információbiztonságának megsértéséből származó károk nagy része a bennfentesekre esik - árulják el a munkatársak. üzleti titok. A cél egyértelmű – keresletet kell teremtenünk a gyártott termék iránt. Az érvek pedig elég szilárdnak és meggyőzőnek tűnnek.

A probléma megfogalmazása

Építsen ki egy rendszert, amely megvédi az információkat a személyzet általi lopástól LAN alapú Active Directory Windows 2000/2003. alatt található felhasználói munkaállomások Windows vezérlés XP. Vállalatirányítás és könyvelés 1C termékeken.
A titkos információk tárolása háromféleképpen történik:
  1. DB 1C - hálózati hozzáférés RDP-n keresztül ( terminál hozzáférés);
  2. megosztott mappák a fájlszervereken - hálózati hozzáférés;
  3. helyileg az alkalmazott számítógépén;
Szivárgási csatornák - az internet és a cserélhető adathordozók (flash meghajtók, telefonok, lejátszók stb.). Az internet és a cserélhető adathordozók használata nem tiltható meg, mivel ezek a hivatali feladatok ellátásához szükségesek.

Mi van a piacon

A vizsgált rendszereket három osztályba osztottam:
  1. Kontextuselemzőkre épülő rendszerek - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet stb.
  2. Statikus eszközzáron alapuló rendszerek - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Dinamikus eszközblokkolásra épülő rendszerek - SecrecyKeeper, Strazh, Accord, SecretNet.

Kontextuselemzőkre épülő rendszerek

Működés elve:
A továbbított információban kulcsszavakat keresnek, és a keresési eredmények alapján döntenek az átvitel blokkolásának szükségességéről.

Véleményem szerint a felsorolt ​​termékek közül az InfoWatch Traffic Monitor (www.infowatch.ru) rendelkezik a maximális képességekkel. Az alap a jól bevált Kaspersky Antispam motor, amely a legteljesebben veszi figyelembe az orosz nyelv sajátosságait. Más termékektől eltérően az InfoWatch Traffic Monitor az elemzés során nemcsak bizonyos sorok jelenlétét veszi figyelembe az ellenőrzött adatokban, hanem az egyes sorok előre meghatározott súlyát is. Így a végső döntés meghozatalakor nemcsak bizonyos szavak előfordulását veszik figyelembe, hanem azokat a kombinációkat is, amelyekben előfordulnak, ami lehetővé teszi az elemző rugalmasságának növelését. A fennmaradó funkciók szabványosak az ilyen típusú termékekhez - archívumok elemzése, MS Office dokumentumok, az ismeretlen formátumú fájlok vagy jelszóval védett archívumok átvitelének blokkolása.

A kontextuális elemzés alapján vizsgált rendszerek hátrányai:

  • Csak két protokoll figyelhető meg - a HTTP és az SMTP (az InfoWatch Traffic Monitor esetében, és a HTTP forgalom esetén csak a POST-kérésekkel továbbított adatok kerülnek ellenőrzésre, ami lehetővé teszi a szivárgási csatorna megszervezését adatátvitel segítségével a GET módszerrel);
  • Az adatátviteli eszközök nincsenek vezérelve - hajlékonylemezek, CD-k, DVD-k, USB-meghajtók stb. (Az InfoWatch-nek van egy terméke erre az esetre: InfoWatch Net Monitor).
  • a tartalomelemzés alapján épített rendszerek megkerüléséhez elég a legegyszerűbb szövegkódolást (például: titkos -> с1е1к1р1е1т), vagy a szteganográfiát használni;
  • a következő probléma nem oldható meg tartalomelemzés módszerével - nem jut eszembe megfelelő formai leírás, ezért csak egy példát mondok: van két Excel fájl - az elsőben kiskereskedelmi árak (nyilvános információk), a második - nagykereskedelmi árak egy adott ügyfél számára (privát információ), a fájlok tartalma csak számokban tér el. Ezek a fájlok nem különböztethetők meg tartalomelemzés segítségével.
Következtetés:
A kontextuális elemzés csak forgalmi archívumok létrehozására és a véletlen információszivárgás elleni küzdelemre alkalmas, a problémát nem oldja meg.

Statikus eszközblokkolásra épülő rendszerek

Működés elve:
A felhasználók hozzáférési jogokat kapnak a vezérelt eszközökhöz, hasonlóan a fájlokhoz való hozzáférési jogokhoz. Elvileg majdnem ugyanaz a hatás érhető el a szabványos Windows-mechanizmusokkal.

Zlock (www.securit.ru) - a termék viszonylag nemrég jelent meg, így minimális a funkcionalitása (a sallangokat nem számolom), és nem kifejezetten jól működik, például a menedzsment konzol néha összeomlik mentés közben beállítások.

A DeviceLock (www.smartline.ru) egy érdekesebb termék, elég régóta a piacon van, így sokkal stabilabban működik, és sokrétűbb funkcionalitással rendelkezik. Például lehetővé teszi a továbbított információk árnyékmásolását, ami segíthet az incidens kivizsgálásában, de nem a megelőzésben. Ráadásul egy ilyen vizsgálatra nagy valószínűséggel akkor kerül sor, amikor a szivárgás ismertté válik, pl. jelentős idő elteltével annak bekövetkezése után.

Az InfoWatch Net Monitor (www.infowatch.ru) modulokból áll: DeviceMonitor (a Zlockhoz hasonló), FileMonitor, OfficeMonitor, AdobeMonitor és PrintMonitor. A DeviceMonitor a Zlock analógja, standard funkcionalitással, mazsola nélkül. FileMonitor - a fájlokhoz való hozzáférés szabályozása. Az OfficeMonitor és az AdobeMonitor lehetővé teszi a fájlok kezelésének szabályozását a megfelelő alkalmazásokban. A FileMonitor, az OfficeMonitor és az AdobeMonitor számára jelenleg meglehetősen nehéz hasznos, nem játékalkalmazást találni, de a jövőbeni verziókban lehetővé kell tenni a feldolgozott adatok kontextuális elemzését. Talán akkor ezek a modulok felfedik bennük rejlő lehetőségeket. Bár érdemes megjegyezni, hogy a fájlműveletek kontextuális elemzésének feladata nem triviális, különösen akkor, ha a tartalomszűrő alapja megegyezik a Traffic Monitoréval, pl. hálózat.

Külön meg kell mondani az ügynök védelméről a helyi rendszergazdai jogokkal rendelkező felhasználótól.
A ZLock és az InfoWatch Net Monitor egyszerűen nem rendelkezik ilyen védelemmel. Azok. a felhasználó leállíthatja az ügynököt, átmásolhatja az adatokat, és újraindíthatja az ügynököt.

A DeviceLock rendelkezik ilyen védelemmel, ami határozott plusz. A rendszerleíró adatbázissal való együttműködéshez szükséges rendszerhívások elfogásán alapul, fájlrendszerés folyamatmenedzsment. További előnye, hogy a védelem csökkentett módban is működik. De van egy mínusz is - a védelem letiltásához elegendő a Service Descriptor Table visszaállítása, amelyet egy egyszerű illesztőprogram letöltésével lehet megtenni.

A statikus eszközblokkolásra épülő vizsgált rendszerek hátrányai:

  • Az információ továbbítása a hálózatba nem ellenőrzött.
  • - Nem tudja, hogyan lehet megkülönböztetni a minősített információkat a nem titkos információktól. Ez azon az elven működik, hogy vagy minden lehetséges, vagy semmi sem lehetetlen.
  • Hiányzik vagy könnyen megkerülhető a szer kiürülése elleni védelem.
Következtetés:
Ilyen rendszereket nem célszerű megvalósítani, mert nem oldják meg a problémát.

Dinamikus eszközzáron alapuló rendszerek

Működés elve:
Az átviteli csatornákhoz való hozzáférés a felhasználó hozzáférési szintjétől és a kezelt információ titkosságának mértékétől függően blokkolva van. Ezen elv megvalósítása érdekében ezek a termékek a hiteles hozzáférés-ellenőrzési mechanizmust használják. Ez a mechanizmus nem túl gyakran fordul elő, ezért részletesebben foglalkozom vele.

A hiteles (kényszerített) hozzáférés-szabályozás, ellentétben a diszkrecionális (a Windows NT és újabb biztonsági rendszereiben megvalósított), az, hogy egy erőforrás (például egy fájl) tulajdonosa nem gyengítheti az ehhez az erőforráshoz való hozzáférés követelményeit, hanem csak a szinted határain belül erősítsd meg őket. Csak egy speciális jogosultsággal rendelkező felhasználó – információbiztonsági tiszt vagy rendszergazda – lazíthat a követelményeken.

Az olyan termékek fejlesztésének fő célja, mint a Guardian, Accord, SecretNet, DallasLock és néhány más olyan információs rendszerek tanúsítása volt, amelyekbe ezeket a termékeket telepítik, hogy megfeleljenek az Állami Műszaki Bizottság (ma FSTEC) követelményeinek. Ez a tanúsítás kötelező azon információs rendszerek esetében, amelyekben kormányzati adatokat dolgoznak fel. titok, amely elsősorban az állami tulajdonú vállalatok termékei iránti keresletet biztosította.

Ezért az ezekben a termékekben megvalósított funkciók körét a vonatkozó dokumentumok követelményei határozták meg. Ami viszont oda vezetett, hogy a termékekben megvalósított funkciók többsége vagy megduplázza a szabványt Windows funkciók(objektumok törlés utáni tisztítása, RAM tisztítása), vagy implicit módon használja (diszkriminált hozzáférés-szabályozás). A DallasLock fejlesztői pedig még tovább mentek azzal, hogy kötelező hozzáférés-szabályozást vezettek be rendszerükhöz a Windows diszkrecionális vezérlőmechanizmusán keresztül.

Az ilyen termékek gyakorlati használata rendkívül kényelmetlen; például a DallasLock újraparticionálást igényel a telepítéshez merevlemez, amelyet szintén harmadik féltől származó szoftverrel kell végrehajtani. Nagyon gyakran a tanúsítás után ezeket a rendszereket eltávolították vagy letiltották.

A SecrecyKeeper (www.secrecykeeper.com) egy másik termék, amely hiteles hozzáférés-felügyeleti mechanizmust valósít meg. A fejlesztők szerint a SecrecyKeeper-t kifejezetten egy konkrét probléma megoldására fejlesztették ki - az információlopás megakadályozására egy kereskedelmi szervezetben. Ezért ismét a fejlesztők szerint a fejlesztés során kiemelt figyelmet fordítottak az egyszerűségre és a könnyű kezelhetőségre, mind a rendszergazdák, mind a hétköznapi felhasználók számára. Hogy ez mennyire sikerült, azt a fogyasztó ítéli meg, i.e. minket. Ezenkívül a SecrecyKeeper számos olyan mechanizmust valósít meg, amelyek a többi említett rendszerben hiányoznak – például a távoli hozzáféréssel rendelkező erőforrások adatvédelmi szintjének beállítására és az ügynökvédelmi mechanizmusra.
Az információmozgás szabályozása a SecrecyKeeperben az információtitkossági szint, a felhasználói engedély szintjei és a számítógép-biztonsági szint alapján valósul meg, amely nyilvános, titkos és szigorúan titkos értékeket vehet fel. Az Információbiztonsági szint lehetővé teszi a rendszerben feldolgozott információk három kategóriába sorolását:

nyilvános - nem titkos információ, nincs korlátozás a vele való munka során;

titkos - titkos információ, a vele való munka során korlátozásokat vezetnek be a Felhasználó engedélyszintjétől függően;

szigorúan titkos - szigorúan titkos információ; a vele való munka során korlátozásokat vezetnek be a Felhasználó engedélyszintjétől függően.

Az információbiztonsági szint beállítható egy fájlhoz, hálózati meghajtóés annak a számítógépnek a portját, amelyen valamilyen szolgáltatás fut.

A felhasználói engedély szintjei lehetővé teszik annak meghatározását, hogy a felhasználó a biztonsági szintje alapján hogyan mozgassa át az információkat. A következő felhasználói jogosultsági szintek léteznek:

Felhasználói engedély szintje – korlátozza az információ maximális biztonsági szintjét, amelyhez az alkalmazott hozzáférhet;

Hálózati hozzáférési szint – korlátozza az információ maximális biztonsági szintjét, amelyet az alkalmazott továbbíthat a hálózaton;

A cserélhető adathordozóhoz való hozzáférés szintje – korlátozza az alkalmazottak által külső adathordozóra másolható információk maximális biztonsági szintjét.

Nyomtató hozzáférési szint – korlátozza az alkalmazottak által nyomtatható információk maximális biztonsági szintjét.

Számítógép biztonsági szintje – meghatározza a számítógépen tárolható és feldolgozható információk maximális biztonsági szintjét.

A közbiztonsági szintű információkhoz való hozzáférést bármely biztonsági engedéllyel rendelkező munkavállaló biztosíthatja. Az ilyen információk korlátozás nélkül továbbíthatók a hálózaton keresztül, és külső adathordozóra másolhatók. A nyilvánosnak minősített információkkal végzett munka előzményei nem követhetők nyomon.

A titkos biztonsági szinttel rendelkező információkhoz csak azok az alkalmazottak férhetnek hozzá, akiknek a biztonsági szintje legalább a titkos. Csak a titkos vagy magasabb hálózati hozzáférési szinttel rendelkező alkalmazottak továbbíthatnak ilyen információkat a hálózatnak. Csak azok az alkalmazottak másolhatják át ezeket az információkat külső adathordozóra, akiknek a cserélhető adathordozókhoz való hozzáférési szintje titkos vagy magasabb. Csak olyan alkalmazottak nyomtathatnak ilyen információkat, akiknek a nyomtató-hozzáférési szintje titkos vagy magasabb. A titkos szintű információval való munka története, i.e. naplózásra kerül, ha megpróbálja elérni, megkísérli a hálózaton keresztül továbbítani, külső adathordozóra másolni vagy kinyomtatni.

A szigorúan titkos titoktartási szinttel rendelkező információkhoz csak azok az alkalmazottak férhetnek hozzá, akiknek a felhatalmazási szintje szigorúan titkos. Csak a szigorúan titkos hozzáférési szinttel rendelkező alkalmazottak továbbíthatnak ilyen információkat a hálózatnak. Csak azok az alkalmazottak másolhatják át ezeket az információkat külső adathordozóra, akiknek a cserélhető adathordozóhoz való hozzáférési szintje szigorúan titkos. Csak olyan alkalmazottak nyomtathatnak ilyen információkat, akiknek a nyomtató hozzáférési szintje megegyezik a szigorúan titkos szinttel. A szigorúan titkos szintű információkkal való munka története, pl. naplózásra kerül, ha megpróbálja elérni, megkísérli a hálózaton keresztül továbbítani, külső adathordozóra másolni vagy kinyomtatni.

Példa: engedjen meg egy alkalmazottnak szigorúan titkos engedélyt, hálózati hozzáférési szintet titkos, cserélhető adathordozó hozzáférési szintet nyilvános és nyomtató hozzáférési szintet szigorúan titkosnak; ebben az esetben a munkavállaló bármilyen titkosságú dokumentumhoz hozzáférhet, a munkavállaló legfeljebb titkos titkossági fokozatú információkat továbbíthat a hálózatba, másolhat például hajlékonylemezekre, a munkavállaló csak a nyilvános titoktartási szintet, és az alkalmazott bármilyen információt kinyomtathat egy nyomtatón.

Az információk vállalaton belüli terjesztésének kezeléséhez minden alkalmazotthoz rendelt számítógép hozzá van rendelve egy számítógépes biztonsági szinthez. Ez a szint korlátozza az információk maximális biztonsági szintjét, amelyhez bármely alkalmazott hozzáférhet egy adott számítógépről, függetlenül az alkalmazott engedélyszintjétől. Hogy. ha egy alkalmazott biztonsági szintje szigorúan titkos, és a számítógép, amelyen dolgozik Ebben a pillanatban munka a publikussal egyenlő biztonsági szinttel rendelkezik, akkor erről a munkaállomásról a munkavállaló nem férhet hozzá a nyilvánosnál magasabb biztonsági szintű információkhoz.

Az elmélettel felvértezve próbáljuk meg a SecrecyKeeper segítségével megoldani a problémát. A vizsgált absztrakt vállalkozás információs rendszerében feldolgozott információk (lásd a problémafelvetést) az alábbi táblázat segítségével leegyszerűsítve írhatók le:

A vállalkozás alkalmazottait és munkaköri érdeklődési körét a második táblázat mutatja be:

Engedje meg a következő szerverek használatát a vállalatban:
1C szerver
Fájlszerver golyókkal:
SecretDocs – titkos dokumentumokat tartalmaz
PublicDocs – nyilvánosan elérhető dokumentumokat tartalmaz

Kérjük, vegye figyelembe, hogy a szabványos hozzáférés-vezérlés megszervezéséhez a szabványos képességeket használják operációs rendszerés alkalmazási szoftverek, azaz annak megakadályozása érdekében, hogy például egy vezető hozzáférjen az alkalmazottak személyes adataihoz, nincs szükség további védelmi rendszerek bevezetésére. Kifejezetten az olyan információk terjesztésének megakadályozásáról beszélünk, amelyekhez a munkavállaló legálisan hozzáfér.

Térjünk át a SecrecyKeeper tényleges konfigurációjára.
Nem írom le a felügyeleti konzol és az ügynökök telepítésének folyamatát, minden a lehető legegyszerűbb - lásd a program dokumentációját.
A rendszer beállítása a következő lépések végrehajtásából áll.

1. lépés: Telepítsen ügynököket az összes PC-re, kivéve a szervereket – ez azonnal megakadályozza, hogy olyan információkhoz jussanak, amelyek titkossági szintje magasabb, mint nyilvános.

2. lépés: Rendeljen engedményszinteket az alkalmazottakhoz az alábbi táblázat szerint:

Felhasználói engedély szintje Hálózati hozzáférési szint A cserélhető adathordozóhoz való hozzáférés szintje Nyomtató hozzáférési szint
rendező titok titok titok titok
menedzser titok nyilvános nyilvános titok
személyügyi tiszt titok nyilvános nyilvános titok
Könyvelő titok nyilvános titok titok
titkár nyilvános nyilvános nyilvános nyilvános

3. lépés: Rendelje hozzá a számítógép biztonsági szintjeit az alábbiak szerint:

4. lépés: Állítsa be az információbiztonsági szinteket a szervereken:

5. lépés: Állítsa be az információbiztonsági szinteket az alkalmazotti számítógépeken a helyi fájlokhoz. Ez a legidőigényesebb rész, mivel világosan meg kell érteni, hogy mely alkalmazottak milyen információkkal dolgoznak, és mennyire kritikusak ezek az információk. Ha szervezete átesett egy információbiztonsági auditon, annak eredményei jelentősen megkönnyíthetik a feladatot.

6. lépés Ha szükséges, a SecrecyKeeper lehetővé teszi a felhasználók által futtatható programok listájának korlátozását. Ez a mechanizmus a Windows szoftverkorlátozási szabályzatától függetlenül kerül megvalósításra, és akkor használható, ha például korlátozásokat kell előírni a rendszergazdai jogokkal rendelkező felhasználók számára.

Így a SecrecyKeeper segítségével jelentősen csökkenthető a minősített információk jogosulatlan terjesztésének – mind a kiszivárogtatás, mind a lopás – kockázata.

Hibák:
- nehézséggel kezdeti beállítás helyi fájlok adatvédelmi szintjei;

Általános következtetés:
Az információk bennfentesekkel szembeni védelmének maximális lehetőségeit olyan szoftverek biztosítják, amelyek képesek dinamikusan szabályozni az információtovábbítási csatornákhoz való hozzáférést, a kezelt információ titkosságának fokától és a munkavállaló biztonsági engedélyének szintjétől függően.

Vállalat egyedülálló szolgáltatás vásárlók, fejlesztők, kereskedők és kapcsolt partnerek számára. Sőt, ez az egyik legjobb online áruházak Szoftver Oroszországban, Ukrajnában, Kazahsztánban, amely széles választékot, sok fizetési módot, gyors (gyakran azonnali) rendelésfeldolgozást kínál ügyfeleinek, a megrendelés folyamatának nyomon követését személyes szekcióban.

Az utóbbi időben a belső fenyegetésekkel szembeni védelem problémája igazi kihívássá vált a vállalati információbiztonság érthető és megalapozott világa számára. A sajtó bennfentesekről beszél, a kutatók és elemzők figyelmeztetnek az esetleges veszteségekre és bajokra, a hírfolyamok pedig tele vannak hírekkel egy újabb incidensről, amely egy alkalmazott hibája vagy figyelmetlensége miatt több százezer ügyfélrekord kiszivárgásához vezetett. Próbáljuk meg kitalálni, hogy ez a probléma olyan súlyos-e, kell-e foglalkozni vele, és milyen eszközök és technológiák állnak rendelkezésre a megoldására.

Mindenekelőtt érdemes meghatározni, hogy az adattitok védelmét fenyegető belső veszély, ha annak forrása a vállalkozás alkalmazottja vagy más olyan személy, aki jogszerűen hozzáfér ezen adatokhoz. Így amikor bennfentes fenyegetésekről beszélünk, akkor bármelyikről beszélünk lehetséges cselekvések szándékos vagy véletlen jogszerű felhasználók, amelyek bizalmas információknak a vállalkozás vállalati hálózatán kívülre való kiszivárgásához vezethetnek. A kép teljessége érdekében érdemes hozzátenni, hogy az ilyen felhasználókat gyakran nevezik bennfenteseknek, bár ennek a kifejezésnek más jelentése is van.

A belső fenyegetések problémájának relevanciáját a legújabb tanulmányok eredményei is megerősítik. Konkrétan 2008 októberében jelentették be a Compuware és a Ponemon Institue közös tanulmányának eredményeit, amely szerint a bennfentesek az adatszivárgások leggyakoribb okai (az Egyesült Államokban az incidensek 75%-a), míg a hackerek csak az ötödik helyen állnak. hely. A Computer Security Institute (CSI) 2008-as éves tanulmányában a bennfentes fenyegetésekkel kapcsolatos incidensek száma a következő:

Az incidensek százalékos aránya a válaszadók teljes számához viszonyítva ez a típus incidens a szervezetek meghatározott százalékában történt. Amint az ezekből a számokból látható, szinte minden szervezetnél fennáll a belső fenyegetések veszélye. Összehasonlításképpen, ugyanezen jelentés szerint a vírusok a megkérdezett szervezetek 50%-át érintették, és hackerek is beszivárogtak. helyi hálózat csak 13%-uk találkozott vele.

És így, belső fenyegetések– ez a mai valóság, nem pedig elemzők és gyártók által kitalált mítosz. Akik tehát a régimódi módon azt hiszik, hogy a vállalati információbiztonság tűzfal és vírusirtó, annak minél előbb szélesebb körben kell szemügyre vennie a problémát.

Növeli a feszültség mértékét a „Személyes adatokról” szóló törvény is, amely szerint a szervezeteknek, tisztségviselőknek nem csak a gazdálkodásuknak, hanem ügyfeleiknek és a törvénynek is felelniük kell a személyes adatok nem megfelelő kezeléséért.

Betolakodó modell

Hagyományosan a fenyegetések és az ellenük való védekezés mérlegelésekor az ellenfél modelljének elemzésével kell kezdeni. Amint már említettük, a bennfentesekről - a szervezet alkalmazottairól és más felhasználókról, akik törvényesen hozzáférnek a bizalmas információkhoz, beszélünk. Általában ezekkel a szavakkal mindenki a vállalati hálózat részeként gondol a számítógépen dolgozó irodai alkalmazottra, aki munka közben nem hagyja el a szervezet irodáját. Az ilyen ábrázolás azonban nem teljes. Ki kell terjeszteni más típusú, információkhoz legális hozzáféréssel rendelkező személyekre is, akik elhagyhatják a szervezet irodáját. Ilyenek lehetnek a laptoppal rendelkező üzleti utazók, vagy az irodában és otthon dolgozók, adathordozókat szállító futárok, elsősorban mágnesszalagok biztonsági másolattal stb.

A behatoló modell ilyen kiterjesztett mérlegelése egyrészt beleillik a koncepcióba, hiszen az ezen behatolók által jelentett fenyegetések belső fenyegetésekre is vonatkoznak, másrészt lehetővé teszi a probléma szélesebb körű elemzését, minden szempontot figyelembe véve. lehetséges opciók leküzdeni ezeket a fenyegetéseket.

A belső jogsértők következő fő típusai különböztethetők meg:

  • Hűtlen/neheztelő alkalmazott.Az ebbe a kategóriába tartozó jogsértők céltudatosan cselekszenek, például munkahelyet váltva, bizalmas információkat akarnak magukhoz ragadni egy új munkáltató felkeltése érdekében, vagy érzelmileg, ha sértettnek érezték magukat, így bosszút akarnak állni. Veszélyesek, mert leginkább arra késztetnek, hogy kárt okozzanak abban a szervezetben, amelyben jelenleg dolgoznak. A hűtlen munkavállalókat érintő incidensek száma általában csekély, de kedvezőtlen gazdasági körülmények és jelentős létszámleépítések esetén növekedhet.
  • Beszivárgott, megvesztegetett vagy manipulált alkalmazott.Ebben az esetben arról beszélünk minden olyan céltudatos cselekvésről, amely általában ipari kémkedést céloz meg intenzív versenyhelyzetben. A bizalmas információk gyűjtése érdekében vagy bevezetik saját személyüket egy versengő cégbe bizonyos célokból, vagy találnak egy kevésbé hűséges alkalmazottat és megvesztegetik, vagy egy lojális, de hanyag alkalmazottat kényszerítenek bizalmas információk átadására social engineering segítségével. Az ilyen jellegű incidensek száma általában még kevesebb, mint a korábbiaknál, annak a ténynek köszönhető, hogy az Orosz Föderáció gazdaságának legtöbb szegmensében a verseny nem túl fejlett, vagy más módon valósul meg.
  • Hanyag alkalmazott. Ez a típus a szabálysértő lojális, de figyelmetlen vagy hanyag alkalmazott, aki megsértheti a szabályzatot belső biztonság vállalkozás tudatlansága vagy feledékenysége miatt. Egy ilyen alkalmazott tévedésből érzékeny fájlt tartalmazó e-mailt küldhet rossz személynek, vagy hazavihet egy bizalmas információkat tartalmazó flash meghajtót a hétvégén, és elveszítheti. Ebbe a típusba tartoznak azok az alkalmazottak is, akik elveszítik a laptopjukat és a mágnesszalagokat. Sok szakértő szerint az ilyen típusú bennfentesek felelősek a bizalmas információk kiszivárogtatásáért.

Így a potenciális szabálysértők indítékai, és ebből következően cselekvési iránya is jelentősen eltérhet. Ennek függvényében kell megközelítenie a szervezet belső biztonságának biztosítását.

Technológiák a bennfentes fenyegetésekkel szemben

A piaci szegmens viszonylagos fiatalsága ellenére az ügyfeleknek már most is bőven van miből válogatniuk céljaiktól és anyagi lehetőségeiktől függően. Érdemes megjegyezni, hogy ma már gyakorlatilag nincs olyan szállító a piacon, aki kizárólag a belső fenyegetésekre szakosodott volna. Ez a helyzet nemcsak e szegmens fejletlensége miatt alakult ki, hanem a hagyományos biztonsági termékek gyártói és más, a szegmensben jelenlétben érdekelt szállítók által végrehajtott egyesülések és felvásárlások agresszív és olykor kaotikus politikája miatt is. Érdemes felidézni a 2006-ban az EMC részlegévé vált RSA Data Security céget, a szervertároló védelmi rendszereket fejlesztő startup Decru NetApp általi megvásárlását, ill. biztonsági másolatok 2005-ben, a Symantec megvásárolta a DLP-szállító Vontu-t 2007-ben stb.

Annak ellenére, hogy az ilyen tranzakciók nagy száma jó kilátásokat jelez ennek a szegmensnek a fejlődésére, nem mindig tesznek jót a szárny alá tartozó termékek minőségének. nagyvállalatok. A termékek lassabban kezdenek fejlődni, és a fejlesztők nem reagálnak olyan gyorsan a piaci igényekre, mint egy magasan specializálódott vállalatnál. Ez a nagyvállalatok jól ismert betegsége, amelyek, mint tudjuk, mobilitásban és hatékonyságban elveszítik kisebb testvéreiket. Másrészt a szolgáltatás minősége és a termékek elérhetősége a világ különböző pontjain a vásárlók számára a szerviz- és értékesítési hálózatuk fejlesztésének köszönhetően javul.

Tekintsük a belső fenyegetések semlegesítésére jelenleg használt főbb technológiákat, azok előnyeit és hátrányait.

Dokumentum ellenőrzés

A dokumentum-ellenőrzési technológia a modern jogkezelési termékekben testesül meg, mint pl Microsoft Windows Jogkezelési szolgáltatások, Adobe LiveCycle Rights Management ES és Oracle Information Rights Management.

Ezeknek a rendszereknek az a működési elve, hogy minden dokumentumhoz használati szabályokat rendelnek, és ezeket a jogokat szabályozzák az ilyen típusú dokumentumokkal működő alkalmazásokban. Például létrehozhat egy dokumentumot Microsoft Wordés állítsunk fel rá szabályokat: ki tekintheti meg, ki szerkesztheti és mentheti el a változtatásokat, és ki nyomtathat. Ezeket a szabályokat a Windows RMS feltételei szerint licencnek nevezik, és a fájllal együtt tárolják. A fájl tartalma titkosítva van, hogy megakadályozza az illetéktelen felhasználók megtekintését.

Most, ha bármelyik felhasználó megpróbál megnyitni egy ilyen védett fájlt, az alkalmazás kapcsolatba lép egy speciális RMS-kiszolgálóval, megerősíti a felhasználó engedélyeit, és ha a hozzáférés engedélyezett, a szerver átadja a kulcsot az alkalmazásnak a fájl és az információk visszafejtéséhez. a felhasználó jogairól. Ezen információk alapján az alkalmazás csak azokat a funkciókat teszi elérhetővé a felhasználó számára, amelyekhez jogosultsága van. Például, ha a felhasználó nem nyomtathat ki egy fájlt, az alkalmazás nyomtatási funkciója nem lesz elérhető.

Kiderült, hogy egy ilyen fájlban lévő információ akkor is biztonságban van, ha a fájl a vállalati hálózaton kívülre kerül - titkosítva van. Az RMS funkciók már be vannak építve az alkalmazásokba Microsoft Office 2003-as szakmai kiadás. Az RMS-funkciók más fejlesztők alkalmazásaiba való beágyazásához a Microsoft egy speciális SDK-t kínál.

Az Adobe dokumentumvezérlő rendszere hasonló módon épül fel, de a PDF formátumú dokumentumokra koncentrál. Az Oracle IRM ügynökként van telepítve az ügyfélszámítógépekre, és futás közben integrálódik az alkalmazásokkal.

A dokumentumok ellenőrzése fontos része a bennfentes fenyegetések elleni védelem átfogó koncepciójának, de figyelembe kell venni e technológia eredendő korlátait. Először is, kizárólag a dokumentumfájlok figyelésére tervezték. Ha strukturálatlan fájlokról vagy adatbázisokról beszélünk, ez a technológia nem működik. Másodszor, ha egy támadó ennek a rendszernek az SDK-ját használva létrehoz egy egyszerű alkalmazást, amely kommunikál az RMS-kiszolgálóval, onnan kap egy titkosítási kulcsot, és elmenti a dokumentumot tiszta szövegben, és elindítja ezt az alkalmazást egy olyan felhasználó nevében, aki akkor a dokumentumhoz való hozzáférés minimális szintje ezt a rendszert megkerülik. Ezenkívül figyelembe kell venni a dokumentum-ellenőrző rendszer bevezetésének nehézségeit, ha a szervezet már sok dokumentumot készített - a dokumentumok kezdeti osztályozása és a felhasználási jogok hozzárendelése jelentős erőfeszítést igényelhet.

Ez nem azt jelenti, hogy a dokumentum-ellenőrző rendszerek nem látják el a feladatot, csak emlékeznünk kell arra, hogy az információbiztonság összetett probléma, amelyet általában egyetlen eszköz segítségével nem lehet megoldani.

Szivárgás elleni védelem

Az adatvesztés-megelőzés (DLP) kifejezés viszonylag nemrég jelent meg az információbiztonsági szakemberek szókincsében, és már túlzás nélkül az elmúlt évek legfelkapottabb témájává vált. A DLP rövidítés általában azokra a rendszerekre utal, amelyek figyelik a lehetséges szivárgási csatornákat, és blokkolják azokat, ha ezeken a csatornákon keresztül megkísérelnek bármilyen bizalmas információt küldeni. Ráadásul a funkcióban hasonló rendszerek gyakran magában foglalja a rajtuk áthaladó információk archiválásának lehetőségét a későbbi auditok, incidensek kivizsgálása és a lehetséges kockázatok retrospektív elemzése céljából.

Kétféle DLP rendszer létezik: hálózati DLP és gazda DLP.

Hálózati DLP hálózati átjáró elvén működik, amely minden rajta áthaladó adatot kiszűr. Nyilvánvalóan a belső fenyegetések elleni küzdelem feladata alapján az ilyen szűrés fő érdeke a vállalati hálózaton kívülről az internetre továbbított adatok ellenőrzésének képessége. A hálózati DLP-k lehetővé teszik a kimenő levelek, a http és ftp forgalom, az azonnali üzenetküldő szolgáltatások stb. figyelését. Ha érzékeny információt észlel, a hálózati DLP blokkolhatja a továbbított fájlt. Lehetőségek vannak a gyanús fájlok kézi feldolgozására is. A gyanús fájlokat karanténba helyezik, amelyet egy biztonsági tiszt rendszeresen felülvizsgál, és engedélyezi vagy megtagadja a fájlátvitelt. A protokoll természetéből adódóan azonban az ilyen feldolgozás csak e-maileknél lehetséges. További lehetőségeket biztosít az auditálásra és az incidensek kivizsgálására az átjárón áthaladó összes információ archiválása, feltéve, hogy ezt az archívumot időszakonként felülvizsgálják, és annak tartalmát elemzik a megtörtént szivárgások azonosítása érdekében.

A DLP-rendszerek megvalósításának és megvalósításának egyik fő problémája a bizalmas információk felderítésének módja, vagyis az a pillanat, amikor döntés születik arról, hogy a továbbított információ bizalmas-e, és milyen indokokat vesznek figyelembe a döntés meghozatalakor. . Ez általában a tartalom elemzésével történik átvitt dokumentumokat tartalomelemzésnek is nevezik. Tekintsük a bizalmas információk felderítésének főbb módjait.

  • Címkék. Ez a módszer hasonló a fent tárgyalt dokumentum-ellenőrző rendszerekhez. A címkék olyan dokumentumokba vannak beágyazva, amelyek leírják az információk titkosságának fokát, azt, hogy mit lehet tenni ezzel a dokumentummal, és kinek kell elküldeni. A címkeelemzés eredményei alapján a DLP rendszer eldönti, hogy lehetséges-e ez a dokumentum kiküldeni vagy sem. Egyes DLP-rendszereket kezdetben kompatibilissé tettek a jogkezelési rendszerekkel, hogy az általuk telepített címkéket használják, míg más rendszerek saját címkeformátumukat használják.
  • Aláírások. Ez a módszer egy vagy több karaktersorozat meghatározásából áll, amelyek jelenléte az átvitt fájl szövegében jelzi a DLP-rendszernek, hogy ez a fájl bizalmas információkat tartalmaz. Nagyszámú aláírás szótárakba rendezhető.
  • Bayes módszer. Ez a kéretlen levelek leküzdésére használt módszer DLP rendszerekben is sikeresen alkalmazható. Ennek a módszernek az alkalmazásához létrejön egy kategórialista, és a szavak listája jelzi annak valószínűségét, hogy ha a szó előfordul egy fájlban, akkor az adott valószínűségű fájl a megadott kategóriába tartozik vagy nem.
  • Morfológiai elemzés.A morfológiai elemzés módszere hasonló az aláíráshoz, a különbség az, hogy nem 100%-os egyezést elemeznek az aláírással, hanem a hasonló gyökszavakat is figyelembe veszik.
  • Digitális nyomatok.Ennek a módszernek az a lényege, hogy minden bizalmas dokumentumra úgy számítanak ki egy hash függvényt, hogy ha a dokumentumot kismértékben módosítják, akkor a hash függvény változatlan marad, vagy kissé megváltozik. Így a bizalmas dokumentumok felderítésének folyamata jelentősen leegyszerűsödik. Annak ellenére, hogy számos gyártó és egyes elemzők lelkesen dicsérik ezt a technológiát, megbízhatósága sok kívánnivalót hagy maga után, és tekintettel arra a tényre, hogy a gyártók különféle ürügyekkel inkább az árnyékban hagyják a digitális ujjlenyomat-algoritmus megvalósításának részleteit, bíznak. benne nem növekszik.
  • Reguláris kifejezések.Mindenki számára ismert, aki foglalkozott programozással, reguláris kifejezések megkönnyíti a sablonadatok szöveges megtalálását, például telefonszámokat, útlevéladatokat, bankszámlaszámokat, társadalombiztosítási számokat stb.

A fenti listából jól belátható, hogy az észlelési módszerek vagy nem garantálják a bizalmas információk 100%-os azonosítását, mivel mind az első, mind a második típus hibaszintje meglehetősen magas, vagy a biztonsági szolgálat állandó éberségét igénylik. frissíti és naprakészen tartja a bizalmas dokumentumokhoz tartozó aláírások vagy hozzárendelési címkék listáját.

Ezenkívül a forgalom titkosítása bizonyos problémákat okozhat a hálózati DLP működésében. Ha a biztonsági követelmények megkövetelik az e-mail üzenetek titkosítását vagy az SSL használatát, amikor bármilyen webes erőforráshoz csatlakozik, akkor az átvitt fájlokban lévő bizalmas információk jelenlétének meghatározásával kapcsolatos probléma nagyon nehezen megoldható. Ne felejtse el, hogy néhány azonnali üzenetküldő szolgáltatás, például a Skype, alapértelmezés szerint beépített titkosítással rendelkezik. Meg kell tagadnia az ilyen szolgáltatások használatát, vagy a gazdagép DLP-t kell használnia a vezérlésükhöz.

Azonban minden nehézség ellenére mikor helyes beállítás Ha komolyan vesszük, a hálózati DLP jelentősen csökkentheti a bizalmas információk kiszivárgásának kockázatát, és kényelmes belső ellenőrzési eszközöket biztosíthat a szervezet számára.

Gazda DLP telepítve vannak a hálózat minden állomására (kliens munkaállomásokra és szükség esetén szerverekre), és az internetes forgalom vezérlésére is használhatók. A gazdagép alapú DLP-k azonban kevésbé elterjedtek ebben a minőségben, és jelenleg elsősorban vezérlésre használják külső eszközökés nyomtatók. Mint ismeretes, az a munkavállaló, aki pendrive-ot vagy MP3-lejátszót visz a munkahelyére, sokkal nagyobb veszélyt jelent egy vállalat információbiztonságára, mint az összes hacker együttvéve. Ezeket a rendszereket hálózati végpont biztonsági eszközöknek is nevezik ( végpont biztonság), bár ezt a kifejezést gyakran tágabban használják, például a víruskereső termékeket néha így hívják.

Mint ismeretes, a külső eszközök használatának problémája minden eszköz nélkül megoldható a portok fizikai vagy az operációs rendszer használatával történő letiltásával, vagy adminisztratív módon, ha megtiltják az alkalmazottaknak, hogy bármilyen adathordozót bevigyenek az irodába. Az „olcsó és vidám” megközelítés azonban a legtöbb esetben elfogadhatatlan, mivel az információs szolgáltatásoknak az üzleti folyamatok által megkívánt rugalmassága nem biztosított.

Emiatt volt egy bizonyos kereslet speciális eszközök, melynek segítségével rugalmasabban tudja megoldani a cég dolgozóinak külső eszközök, nyomtatók használatának problémáját. Az ilyen eszközök lehetővé teszik a felhasználók hozzáférési jogainak konfigurálását különféle típusok eszközök, például a felhasználók egyik csoportja számára, hogy megtiltsák az adathordozókkal való munkát, és lehetővé teszik számukra a nyomtatókkal való munkát, egy másik számára pedig - hogy engedélyezzék a médiával való munkát csak olvasható módban. Ha az egyes felhasználók számára külső eszközökön kell információkat rögzíteni, árnyékmásolási technológia használható, amely biztosítja, hogy a külső eszközön tárolt összes információ a szerverre másolódik. A másolt információk utólag elemezhetők a felhasználói műveletek elemzése céljából. Ez a technológia mindent lemásol, és jelenleg nincs olyan rendszer, amely lehetővé tenné a tárolt fájlok tartalomelemzését a működés blokkolása és a szivárgás megakadályozása érdekében, ahogyan azt a hálózati DLP-k teszik. Az árnyékmásolatok archívuma azonban lehetővé teszi az incidensek kivizsgálását és a hálózaton történt események retrospektív elemzését, és egy ilyen archívum jelenléte azt jelenti, hogy a potenciális bennfenteseket elkaphatják és megbüntetik tetteikért. Ez jelentős akadálynak bizonyulhat számára, és jelentős okot jelenthet az ellenséges akciók feladására.

Érdemes megemlíteni a nyomtatók használatának szabályozását is – a dokumentumok nyomtatott példányai is szivárgásforrássá válhatnak. A hosztolt DLP lehetővé teszi a nyomtatókhoz való felhasználói hozzáférés szabályozását ugyanúgy, mint más külső eszközökhöz, és a nyomtatott dokumentumok másolatainak tárolását grafikus formátum a későbbi elemzéshez. Emellett némileg elterjedt a vízjelek technológiája, amely a dokumentum minden oldalára egyedi kódot nyomtat, amely alapján pontosan megállapítható, hogy ki, mikor és hol nyomtatta ezt a dokumentumot.

A gazdagép alapú DLP kétségtelen előnyei ellenére számos hátránnyal jár, amelyek az ügynökszoftver telepítésének szükségességével járnak minden egyes felügyelt számítógépre. Először is, ez bizonyos nehézségeket okozhat az ilyen rendszerek telepítése és kezelése terén. Másodszor, egy rendszergazdai jogokkal rendelkező felhasználó megpróbálhatja letiltani ezt a szoftvert, hogy olyan műveleteket hajtson végre, amelyeket a biztonsági szabályzat nem engedélyez.

A külső eszközök megbízható vezérléséhez azonban nélkülözhetetlen a gazdagép alapú DLP, és az említett problémák sem megoldhatatlanok. Így arra a következtetésre juthatunk, hogy a DLP koncepciója ma már teljes értékű eszköz a vállalati biztonsági szolgáltatások arzenáljában a belső ellenőrzés és a szivárgások elleni védelem érdekében rajtuk nehezedő, folyamatosan növekvő nyomással szemben.

IPC koncepció

A belső fenyegetések leküzdésére szolgáló új eszközök feltalálása során a modern társadalom tudományos és mérnöki gondolkodása nem áll meg, és figyelembe véve az eszközök fentebb tárgyalt hiányosságait, az információszivárgás elleni védelmi rendszerek piaca a az IPC (Information Protection and Control) fogalma. Ez a kifejezés viszonylag nemrég jelent meg; úgy gondolják, hogy először az IDC elemző cég 2007-es áttekintésében használták.

Ennek a koncepciónak a lényege a DLP és a titkosítási módszerek kombinálása. Ebben a koncepcióban a DLP segítségével a vállalati hálózatból kilépő információk vezérlése ezen keresztül történik technikai csatornák, és a titkosítást a fizikailag illetéktelen személyek kezébe kerülő vagy esetleg tároló adathordozók védelmére használják.

Nézzük meg az IPC koncepcióban használható leggyakoribb titkosítási technológiákat.

  • Mágnesszalagok titkosítása.Az ilyen típusú média archaikus jellege ellenére továbbra is aktívan használják Tartalékmásolatés nagy mennyiségű információ átvitelére, mivel még mindig nincs párja a tárolt megabájt egységköltségében. Ennek megfelelően a kazettás kiszivárogtatások továbbra is örömet okoznak a híradók szerkesztőinek, akik a címlapra helyezték őket, és frusztrálják a vállalatok informatikai igazgatóit és biztonsági csapatait, akik az ilyen jelentések hősévé válnak. A helyzetet súlyosbítja, hogy az ilyen szalagok nagyon nagy mennyiségű adatot tartalmaznak, és ezért sok ember válhat csalók áldozatává.
  • A szerver tárolóinak titkosítása.Annak ellenére, hogy a szervertárat nagyon ritkán szállítják, elvesztésének kockázata pedig mérhetetlenül kisebb, mint a mágnesszalagoké, egy külön HDD a tárolásból bűnözők kezébe kerülhet. Javítás, ártalmatlanítás, frissítés – ezek az események kellő rendszerességgel fordulnak elő ahhoz, hogy leírják ezt a kockázatot. Az irodába belépő illetéktelen személyek helyzete pedig nem teljesen lehetetlen esemény.

Itt érdemes egy kis kitérőt megemlíteni, és megemlíteni azt a gyakori tévhitet, hogy ha egy lemez egy RAID tömb része, akkor állítólag nem kell attól tartani, hogy rossz kezekbe kerül. Úgy tűnik, hogy a felvett adatok váltakozása többre merevlemezek, amelyet a RAID-vezérlők hajtanak végre, olvashatatlan megjelenést kölcsönöz a bármely merev típuson található adatoknak. Sajnos ez nem teljesen igaz. Interleaving előfordul, de a legtöbb modern eszközben 512 bájtos blokkszinten történik. Ez azt jelenti, hogy a fájlszerkezet és a formátumok megsértése ellenére a bizalmas információk továbbra is kinyerhetők egy ilyen merevlemezről. Ezért, ha követelmény a RAID-tömbben tárolt információk titkosságának biztosítása, a titkosítás marad az egyetlen megbízható lehetőség.

  • Laptopok titkosítása.Ez már számtalanszor elhangzott, de ennek ellenére a bizalmas információkat tartalmazó laptopok elvesztése hosszú évek óta nem maradt ki az incidensek slágerparádéjának első öt közül.
  • Cserélhető adathordozók titkosítása.Ebben az esetben hordozható USB-eszközökről és esetenként írható CD-kről és DVD-kről beszélünk, ha azokat a vállalat üzleti folyamataiban használják. Az ilyen rendszerek, valamint a fent említett laptop merevlemez-titkosítási rendszerek gyakran a gazdagép DLP-rendszerek összetevőiként működhetnek. Ebben az esetben egyfajta kriptográfiai kerületről beszélnek, amely biztosítja a benne lévő médiák automatikus transzparens titkosítását, és a rajta kívüli adatok visszafejtésének képtelenségét.

Így a titkosítás jelentősen kibővítheti a DLP-rendszerek képességeit, és csökkentheti a bizalmas adatok kiszivárgásának kockázatát. Annak ellenére, hogy az IPC koncepciója viszonylag nemrégiben formálódott, és a komplex IPC megoldások választéka a piacon nem túl széles, az iparág aktívan kutatja ezt a területet, és nagyon valószínű, hogy egy idő után ez a koncepció válik a de. a belső biztonsági és belső biztonsági problémák megoldásának ténybeli szabványa.

következtetéseket

Amint az ebből az áttekintésből látható, a belső fenyegetések meglehetősen új területet jelentenek az információbiztonságban, amely ennek ellenére aktívan fejlődik és fokozott figyelmet igényel. A figyelembe vett dokumentum-ellenőrzési technológiák, a DLP és az IPC lehetővé teszik egy meglehetősen megbízható belső ellenőrzési rendszer kiépítését és a szivárgás kockázatának elfogadható szintre csökkentését. Kétségtelen, hogy az információbiztonságnak ez a területe tovább fog fejlődni, újabb és fejlettebb technológiákat kínálnak majd, de ma már sok szervezet választ ilyen vagy olyan megoldást, hiszen az információbiztonsági ügyekben való figyelmetlenség túl költséges lehet.

Alekszej Raevszkij
A SecurIT vezérigazgatója



Népszerű a kategóriában:
Hogyan készítsünk karaoke klipet számítógépen?
Hogyan készítsünk karaoke klipet számítógépen?
olvas
Az Origin alkalmazás szükséges a játékhoz, de nincs telepítve. A FIFA 16-hoz Origin szükséges.
Az Origin alkalmazás szükséges a játékhoz, de nincs telepítve a FIFA...
olvas
Személyes oldal regisztrációja a Facebook közösségi hálózaton
Személyes oldal regisztrációja a Facebook közösségi hálózaton
olvas
Egyszerű Nmap Nmap Scan futtatása
Egyszerű Nmap Nmap Scan futtatása
olvas

Legfrissebb cikkek
Hogyan forgatjunk el egy képet néhány fokkal...
olvas
Hirdetés letiltása a Yandex böngészőben Hol...
olvas
Wi-Fi-kapcsolati problémák elhárítása a következőn:
olvas
Jelszó módosítása a Windows 10 profilban
olvas
Útmutató a vezeték nélküli útválasztók beállításához...
olvas
Hogyan válasszunk merevlemezt és melyiket érdemesebb megvenni...
olvas
Meizu a bábuknak. Hívások és címjegyzék....
olvas
PDFMaster program letöltése
olvas
Top