casa › I problemi › Protezione del software contro gli addetti ai lavori pdf. Protezione dagli addetti ai lavori tramite il sistema Zlock. Sistemi basati sul blocco statico dei dispositivi

Protezione del software contro gli addetti ai lavori pdf. Protezione dagli addetti ai lavori tramite il sistema Zlock. Sistemi basati sul blocco statico dei dispositivi

"Consulente", 2011, N 9

"Chi possiede le informazioni possiede il mondo" - questo famoso aforisma di Winston Churchill è più attuale che mai nella società moderna. Conoscenza, idee e tecnologia vengono alla ribalta e la leadership di mercato dipende da quanto bene un’azienda riesce a gestire il proprio capitale intellettuale.

In queste condizioni, la sicurezza informatica di un’organizzazione diventa particolarmente importante.

Qualsiasi fuga di informazioni ai concorrenti o pubblicazione di informazioni sui processi interni influisce immediatamente sulle posizioni che l'azienda occupa nel mercato.

Sistema informazioni di sicurezza dovrebbe fornire protezione contro una varietà di minacce: tecniche, organizzative e quelle causate dal fattore umano.

Come dimostra la pratica, il canale principale per la fuga di informazioni sono gli addetti ai lavori.

Nemico nelle retrovie

Tipicamente, un insider è un dipendente dell'azienda che causa danni all'azienda divulgando informazioni riservate.

Tuttavia, se consideriamo le tre condizioni principali, la cui fornitura è l'obiettivo della sicurezza delle informazioni - riservatezza, integrità, disponibilità - questa definizione può essere ampliata.

Un insider può essere definito un dipendente che ha legittimo accesso ufficiale alle informazioni riservate di un'impresa, che causa divulgazione, distorsione, danno o inaccessibilità delle informazioni.

Questa generalizzazione è accettabile perché mondo moderno La violazione dell'integrità e della disponibilità delle informazioni spesso comporta conseguenze molto più gravi per le aziende rispetto alla divulgazione di informazioni riservate.

Per molte imprese, la cessazione dei processi aziendali, anche per un breve periodo, rappresenta una minaccia per perdite finanziarie significative e l'interruzione del funzionamento in pochi giorni può causare un colpo così forte che le sue conseguenze possono essere fatali.

Diverse organizzazioni che studiano il rischio aziendale pubblicano regolarmente i risultati delle loro ricerche. Secondo loro, da molti anni le informazioni privilegiate occupano costantemente il primo posto nella lista dei motivi di violazione della sicurezza informatica.

A causa del costante aumento del numero totale di incidenti, possiamo concludere che la rilevanza del problema è in costante aumento.

Modello di minaccia

Per costruire un sistema di sicurezza informatica affidabile e stratificato che aiuti a combattere efficacemente il problema, è necessario innanzitutto creare un modello di minaccia.

Bisogna capire chi sono gli insider e cosa li motiva, perché intraprendono determinate azioni.

Esistono diversi approcci per creare tali modelli, ma per scopi pratici è possibile utilizzare la seguente classificazione, che comprende tutte le principali tipologie di addetti ai lavori.

Hacker interno

Un tale dipendente, di regola, ha qualifiche ingegneristiche superiori alla media e comprende la struttura delle risorse aziendali, l'architettura dei sistemi e delle reti informatiche.

Compie azioni di hacking per curiosità, interesse sportivo, esplorando i confini delle proprie capacità.

Di solito è consapevole del possibile danno derivante dalle sue azioni, quindi raramente provoca danni tangibili.

Il grado di pericolo è medio, poiché le sue azioni potrebbero causare l'interruzione temporanea di alcuni processi che si verificano in azienda. L'identificazione delle attività è possibile principalmente attraverso mezzi tecnici.

Dipendente irresponsabile e poco qualificato

Può avere una varietà di competenze e lavorare in qualsiasi reparto dell'impresa.

È pericoloso perché non ha l’abitudine di pensare alle conseguenze delle sue azioni, può lavorare con le risorse informative dell’azienda “per tentativi ed errori” e distruggere e distorcere involontariamente le informazioni.

Di solito non ricorda la sequenza delle sue azioni e quando scopre conseguenze negative, può semplicemente tacere al riguardo.

Può rivelare informazioni che costituiscono un segreto commerciale in una conversazione personale con un amico o anche quando si comunica su forum Internet e in nei social network.

Il grado di pericolo è molto elevato, soprattutto se si considera che questa tipologia di delinquenti è più diffusa di altre. Le conseguenze delle sue attività possono essere molto più gravi di quelle di un aggressore cosciente.

Per prevenire le conseguenze delle sue azioni è necessario adottare tutta una serie di misure diverse, sia tecniche (autorizzazione, suddivisione obbligatoria delle sessioni di lavoro per conti) che organizzative (costante controllo gestionale del processo e del risultato del lavoro) .

Persona psicologicamente instabile

Proprio come un rappresentante del tipo precedente, può lavorare in qualsiasi posizione e avere qualifiche molto diverse. Pericoloso a causa della tendenza ad azioni debolmente motivate in condizioni di disagio psicologico: in situazioni estreme, pressione psicologica da parte di altri dipendenti o semplicemente forte irritazione.

In uno stato affettivo può rivelare informazioni riservate, danneggiare dati e interrompere il normale svolgimento del lavoro di altre persone.

Il grado di pericolo è nella media, ma questo tipo di delinquenti non è così comune.

Per prevenire le conseguenze negative delle sue azioni, è più efficace utilizzare misure amministrative: identificare tali persone nella fase del colloquio, limitare l'accesso alle informazioni e mantenere un clima psicologico confortevole nella squadra.

Dipendente insultato e offeso

Il gruppo più ampio di potenziali violatori del regime di sicurezza informatica.

Teoricamente, la stragrande maggioranza dei dipendenti è capace di commettere atti ostili all’azienda.

Ciò può accadere quando la direzione mostra mancanza di rispetto per la personalità o le qualità professionali del dipendente e quando ciò influisce sul livello della retribuzione.

Potenzialmente, questo tipo di insider rappresenta un pericolo molto elevato: sono possibili sia perdite che danni alle informazioni e il danno che ne deriva sarà sicuramente evidente per l'azienda, poiché il dipendente lo provoca consapevolmente e conosce bene tutte le vulnerabilità.

Per rilevare le attività sono necessarie misure sia amministrative che tecniche.

Dipendente impuro

Un dipendente che cerca di integrare il proprio patrimonio personale a scapito del patrimonio dell'azienda per la quale lavora. Tra gli elementi stanziati possono esserci vari supporti di informazioni riservate ( dischi rigidi, unità flash, laptop aziendali).

In questo caso c'è il rischio che le informazioni raggiungano persone a cui non erano destinate, con successiva pubblicazione o cessione ai concorrenti.

Il pericolo è medio, ma questo tipo non è raro.

Per identificarlo sono necessarie prima misure amministrative.

Rappresentante del concorrente

Di norma, è altamente qualificato e occupa posizioni che offrono ampie opportunità per ottenere informazioni, comprese informazioni riservate. Si tratta di un dipendente esistente reclutato, acquistato dai concorrenti (più spesso) o di un insider introdotto appositamente nell'azienda.

Il grado di pericolo è molto elevato, poiché il danno viene causato consapevolmente e con una profonda comprensione del valore delle informazioni, nonché delle vulnerabilità dell’azienda.

Per identificare le attività sono necessarie misure sia amministrative che tecniche.

Cosa stiamo rubando?

Comprendere il problema delle informazioni privilegiate è impossibile senza considerare la natura delle informazioni rubate.

Secondo le statistiche, i dati personali dei clienti, nonché le informazioni sulle aziende clienti e sui partner, sono i più richiesti e in più della metà dei casi vengono rubati. Seguono i dettagli delle transazioni, i termini dei contratti e delle consegne. Anche i resoconti finanziari sono di grande interesse.

Quando si forma una serie di misure di protezione, ogni azienda si trova inevitabilmente ad affrontare la domanda: quali informazioni specifiche richiedono misure di protezione speciali e quali no?

Naturalmente, la base per tali decisioni sono i dati ottenuti come risultato dell'analisi del rischio. Tuttavia, spesso un'azienda dispone di risorse finanziarie limitate che possono essere spese per un sistema di sicurezza delle informazioni e potrebbero non essere sufficienti a ridurre al minimo tutti i rischi.

Due approcci

Sfortunatamente, non esiste una risposta pronta alla domanda: “Cosa proteggere prima”.

Questo problema può essere affrontato da due lati.

Il rischio è un indicatore complesso che tiene conto sia della probabilità di una particolare minaccia sia del possibile danno che ne deriva. Di conseguenza, quando si stabiliscono le priorità di sicurezza, è possibile concentrarsi su uno di questi indicatori. Ciò significa che le informazioni protette per prime sono quelle più facili da rubare (ad esempio, se un gran numero di dipendenti vi hanno accesso) e quelle informazioni il cui furto o blocco porterebbe alle conseguenze più gravi.

Un aspetto importante del problema degli insider è il canale di trasmissione delle informazioni. Maggiore è la possibilità fisica che le informazioni non autorizzate vengano trasferite all'esterno dell'azienda, maggiore è la probabilità che ciò accada.

Meccanismi di trasmissione

I meccanismi di trasmissione possono essere classificati come segue:

trasmissione orale (conversazione personale);
canali di trasmissione dati tecnici ( comunicazioni telefoniche, fax, posta elettronica, sistemi di messaggistica, servizi vari di social internet, ecc.);
supporti portatili e dispositivi mobili (Telefono cellulare, dischi rigidi esterni, laptop, unità flash, ecc.).

Secondo le ricerche attuali, i canali più comuni per la trasmissione di dati riservati sono (in ordine decrescente): e-mail, dispositivi mobili (compresi i laptop), social network e altri servizi Internet (come i sistemi di messaggistica istantanea), ecc.

Per controllare i canali tecnici si possono utilizzare vari mezzi, un'ampia gamma di prodotti attualmente disponibili sul mercato della sicurezza.

Per esempio, sistemi di filtraggio dei contenuti (sistemi di blocco dinamico), mezzi per limitare l'accesso ai supporti di informazione (CD, DVD, Bluetooth).

Vengono inoltre applicate misure amministrative: filtraggio del traffico Internet, blocco delle porte fisiche delle postazioni di lavoro, garanzia del regime amministrativo e della sicurezza fisica.

Quando si sceglie mezzi tecnici la protezione delle informazioni riservate richiede un approccio sistematico. Solo in questo modo è possibile ottenere la massima efficienza dalla loro attuazione.

È inoltre necessario comprendere che le sfide che ogni azienda deve affrontare sono uniche e spesso è semplicemente impossibile utilizzare soluzioni utilizzate da altre organizzazioni.

La lotta contro le informazioni privilegiate non dovrebbe essere condotta da sola; è una componente importante del processo aziendale complessivo volto a garantire un regime di sicurezza delle informazioni.

Deve essere eseguito da professionisti e comprendere un ciclo completo di attività: sviluppo di una politica di sicurezza delle informazioni, determinazione dell'ambito, analisi dei rischi, selezione delle contromisure e loro implementazione, nonché audit del sistema di sicurezza delle informazioni.

Se un'azienda non garantisce la sicurezza delle informazioni nell'intero complesso, i rischi di perdite finanziarie dovute a fughe di informazioni e danni alle informazioni aumentano notevolmente.

Minimizzare i rischi

Visita medica

Screening accurato dei candidati che si candidano per qualsiasi posizione in azienda. Si consiglia di raccogliere quante più informazioni possibili sul candidato, compreso il contenuto delle sue pagine sui social network. Potrebbe anche essere utile chiedere una referenza da un precedente luogo di lavoro.
I candidati per le posizioni di ingegnere informatico dovrebbero essere soggetti a uno screening particolarmente approfondito. La pratica dimostra che più della metà di tutti gli addetti ai lavori lo sono amministratori di sistema e programmatori.
Al momento dell'assunzione deve essere effettuato almeno un controllo psicologico minimo dei candidati. Aiuterà a identificare i candidati con una salute mentale instabile.

Diritto di accesso

Sistema di condivisione degli accessi risorse aziendali. L'impresa deve creare una documentazione normativa che classifichi le informazioni in base al livello di riservatezza e definisca chiaramente i diritti di accesso ad esse. L'accesso a qualsiasi risorsa deve essere personalizzato.
I diritti di accesso alle risorse dovrebbero essere assegnati secondo il principio della “sufficienza minima”. L'accesso alla manutenzione delle apparecchiature tecniche, anche con diritti di amministratore, non dovrebbe sempre essere accompagnato dall'accesso per visualizzare le informazioni stesse.
Monitoraggio il più approfondito possibile delle azioni dell'utente, con autorizzazione obbligatoria e registrazione delle informazioni sulle operazioni eseguite in un registro. Quanto più attentamente vengono conservati i registri, tanto maggiore è il controllo che la direzione ha sulla situazione aziendale. Lo stesso vale per le azioni del dipendente quando utilizza l'accesso ufficiale a Internet.

Norma di comunicazione

L'organizzazione deve adottare un proprio standard di comunicazione, che escluda ogni forma di comportamento inappropriato dei dipendenti nei confronti degli altri (aggressione, violenza, eccessiva familiarità). Ciò vale innanzitutto per il rapporto “dirigente-subordinato”.

In nessun caso un dipendente deve avere la sensazione di essere trattato ingiustamente, di non essere abbastanza apprezzato, di essere sfruttato inutilmente o di essere ingannato.

Seguendo questa semplice regola potrai evitare la stragrande maggioranza delle situazioni che inducono i dipendenti a fornire informazioni privilegiate.

Riservatezza

Un accordo di non divulgazione non dovrebbe essere una mera formalità. Deve essere firmato da tutti i dipendenti che hanno accesso ad informazioni importanti risorse di informazione aziende.

Inoltre, anche nella fase del colloquio, è necessario spiegare ai potenziali dipendenti come l'azienda controlla la sicurezza delle informazioni.

Controllo dei fondi

Rappresenta il controllo dei mezzi tecnici utilizzati da un dipendente per scopi lavorativi.

Per esempio, l'utilizzo di un laptop personale è indesiderabile, poiché quando un dipendente se ne va, molto probabilmente non sarà possibile scoprire quali informazioni sono memorizzate su di esso.

Per lo stesso motivo, non è desiderabile utilizzare scatole E-mail sulle risorse esterne.

Routine interna

L’impresa deve rispettare le normative interne.

È necessario disporre di informazioni sul tempo trascorso dai dipendenti sul posto di lavoro.

Deve essere assicurato anche il controllo della circolazione dei beni materiali.

Il rispetto di tutte le regole di cui sopra ridurrà il rischio di danni o di fuga di informazioni attraverso informazioni privilegiate e, pertanto, aiuterà a prevenire significative perdite finanziarie o reputazionali.

Socio amministratore

gruppo di società che ospitano la comunità

Oggi esistono due canali principali per la fuga di informazioni riservate: i dispositivi collegati al computer (tutti i tipi di dispositivi di archiviazione rimovibili, comprese unità flash, unità CD/DVD, ecc., stampanti) e Internet (e-mail, ICQ, social network reti, ecc.). d.). E quindi, quando un’azienda è “matura” per implementare un sistema di protezione contro di loro, è consigliabile affrontare questa soluzione in modo globale. Il problema è che vengono utilizzati approcci diversi per coprire canali diversi. In un caso il massimo modo effettivo la protezione controllerà l'uso delle unità rimovibili e la seconda includerà varie opzioni per il filtraggio dei contenuti, consentendo di bloccare il trasferimento di dati riservati su una rete esterna. Per proteggersi dagli insider le aziende devono quindi utilizzare due prodotti che insieme costituiscono un sistema di sicurezza completo. Naturalmente è preferibile utilizzare gli strumenti di uno sviluppatore. In questo caso, il processo di implementazione, amministrazione e formazione dei dipendenti è semplificato. Ad esempio possiamo citare i prodotti di SecurIT: Zlock e Zgate.

Zlock: protezione contro le perdite attraverso unità rimovibili

Il programma Zlock è sul mercato da parecchio tempo. E noi già. In linea di principio, non ha senso ripetermi. Tuttavia, dalla pubblicazione dell'articolo, sono state rilasciate due nuove versioni di Zlock, che hanno aggiunto una serie di importanti funzionalità. Vale la pena parlarne, anche se solo brevemente.

Innanzitutto è da segnalare la possibilità di assegnare ad un computer più policy, che vengono applicate indipendentemente a seconda che il computer sia connesso o meno rete aziendale direttamente, tramite VPN, o funziona in modo autonomo. Ciò consente, in particolare, di bloccare automaticamente le porte USB e le unità CD/DVD quando il PC è disconnesso dalla rete locale. Generalmente questa funzione aumenta la sicurezza delle informazioni archiviate sui laptop, che i dipendenti possono portare con sé fuori dall'ufficio durante i viaggi o per lavorare a casa.

Secondo nuova opportunità- fornire ai dipendenti dell'azienda un accesso temporaneo ai dispositivi bloccati o anche a gruppi di dispositivi tramite telefono. Il principio del suo funzionamento è lo scambio generato dal programma codici segreti tra l’utente e il dipendente responsabile della sicurezza delle informazioni. È interessante notare che l'autorizzazione all'utilizzo può essere rilasciata non solo in modo permanente, ma anche temporaneo (per un certo periodo o fino alla fine della sessione di lavoro). Questo strumento può essere considerato un leggero allentamento del sistema di sicurezza, ma consente di aumentare la reattività del reparto IT alle richieste aziendali.

La prossima importante innovazione nelle nuove versioni di Zlock è il controllo sull'uso delle stampanti. Dopo averlo configurato, il sistema di sicurezza registrerà tutte le richieste degli utenti ai dispositivi di stampa in un registro speciale. Ma non è tutto. Zlock ora offre la copia shadow di tutti i documenti stampati. Si iscrivono Formato PDF e costituiscono una copia completa delle pagine stampate, indipendentemente da quale file sia stato inviato alla stampante. Ciò aiuta a prevenire la fuga di informazioni riservate su fogli di carta quando un interno stampa i dati per portarli fuori dall'ufficio. Il sistema di sicurezza include anche la copia shadow delle informazioni registrate su dischi CD/DVD.

Un'innovazione importante è stata la comparsa del componente server Zlock Enterprise Management Server. Fornisce archiviazione e distribuzione centralizzata delle politiche di sicurezza e di altre impostazioni del programma e facilita in modo significativo l'amministrazione di Zlock in sistemi informativi grandi e distribuiti. È inoltre impossibile non menzionare l'emergere di un proprio sistema di autenticazione, che, se necessario, consente di abbandonare l'utilizzo del dominio e degli utenti Windows locali.

Oltre a questo, a ultima versione Zlock ora ha diverse funzioni meno evidenti, ma anche piuttosto importanti: monitoraggio dell'integrità del modulo client con la possibilità di bloccare l'accesso dell'utente quando viene rilevata una manomissione, funzionalità estese per l'implementazione di un sistema di sicurezza, supporto per Oracle DBMS, ecc.

Zgate: protezione contro le fughe di Internet

Quindi, Zgate. Come abbiamo già detto, questo prodotto è un sistema di protezione contro la fuga di informazioni riservate tramite Internet. Strutturalmente, Zgate è composto da tre parti. La principale è la componente server, che esegue tutte le operazioni di elaborazione dei dati. Può essere installato sia su un computer separato che su quelli già in esecuzione in azienda sistema informativo nodi: gateway Internet, controller di dominio, gateway di posta, ecc. Questo modulo a sua volta è costituito da tre componenti: per il monitoraggio del traffico SMTP, il monitoraggio della posta interna del server Microsoft Exchange 2007/2010, nonché Zgate Web (è responsabile del controllo del traffico HTTP, FTP e IM).

La seconda parte del sistema di sicurezza è il server di accesso. Viene utilizzato per raccogliere informazioni sugli eventi da uno o più server Zgate, elaborarle e archiviarle. Questo modulo è particolarmente utile in ambienti grandi e geograficamente distribuiti sistemi aziendali, poiché fornisce un accesso centralizzato a tutti i dati. La terza parte è la console di gestione. Utilizza una console standard per i prodotti SecurIT e quindi non ci soffermeremo su di essa nel dettaglio. Notiamo solo che utilizzando questo modulo è possibile controllare il sistema non solo localmente, ma anche da remoto.

Consolle di gestione

Il sistema Zgate può funzionare in diverse modalità. Inoltre, la loro disponibilità dipende dal metodo di implementazione del prodotto. Le prime due modalità prevedono il funzionamento come server proxy di posta. Per implementarli, il sistema viene installato tra il server di posta aziendale e il “mondo esterno” (o tra il server di posta e il server di invio, se sono separati). In questo caso, Zgate può sia filtrare il traffico (ritardare i messaggi illeciti e discutibili) sia solo registrarlo (passare tutti i messaggi, ma salvarli nell'archivio).

La seconda modalità di implementazione prevede l'utilizzo del sistema di protezione in combinazione con Microsoft Exchange 2007 o 2010. Per fare ciò è necessario installare Zgate direttamente sull'azienda server email. Sono inoltre disponibili due modalità: filtraggio e registrazione. Oltre a questo, esiste un'altra opzione di implementazione. Stiamo parlando della registrazione dei messaggi in modalità traffico speculare. Naturalmente, per utilizzarlo è necessario assicurarsi che il computer su cui è installato Zgate riceva lo stesso traffico mirrorato (di solito ciò avviene utilizzando apparecchiature di rete).

Selezione della modalità operativa Zgate

Un discorso a parte merita la componente Web di Zgate. Viene installato direttamente sul gateway Internet aziendale. Allo stesso tempo, questo sottosistema acquisisce la capacità di monitorare il traffico HTTP, FTP e IM, ovvero di elaborarlo per rilevare tentativi di invio di informazioni riservate tramite interfacce web mail e ICQ, pubblicandole su forum, server FTP e social network. reti ecc. A proposito, riguardo a ICQ. La funzione di blocco dei messenger IM è disponibile in molti prodotti simili. Tuttavia, non contengono alcun “ICQ”. Semplicemente perché è nei paesi di lingua russa che è più diffuso.

Il principio di funzionamento del componente Zgate Web è abbastanza semplice. Ogni volta che l'informazione viene inviata ad uno qualsiasi dei servizi controllati, il sistema genererà un messaggio speciale. Contiene le informazioni stesse e alcuni dati di servizio. Viene inviato al server principale Zgate ed elaborato secondo le regole specificate. Naturalmente l'invio di informazioni non è bloccato nel servizio stesso. Cioè, Zgate Web funziona solo in modalità registrazione. Con il suo aiuto non è possibile evitare fughe di dati isolate, ma è possibile rilevarle rapidamente e fermare le attività di un aggressore volontario o inconsapevole.

Configurazione del componente Web Zgate

Il modo in cui le informazioni vengono elaborate in Zgate e la procedura di filtraggio sono determinati dalla politica sviluppata dal responsabile della sicurezza o da altro dipendente responsabile. Rappresenta una serie di condizioni, ciascuna delle quali corrisponde ad un'azione specifica. Tutti i messaggi in arrivo vengono "eseguiti" in sequenza uno dopo l'altro. E se una qualsiasi delle condizioni viene soddisfatta, viene avviata l'azione ad essa associata.

Sistema di filtraggio

In totale, il sistema fornisce 8 tipi di condizioni, come si suol dire, “per tutte le occasioni”. Il primo di questi è il tipo di file allegato. Con il suo aiuto, puoi rilevare tentativi di inviare oggetti di un formato particolare. Vale la pena notare che l'analisi viene effettuata non per estensione, ma per struttura interna del file, ed è possibile specificare sia tipi specifici di oggetti sia i loro gruppi (ad esempio, tutti gli archivi, video, ecc.). Il secondo tipo di condizioni è la verifica tramite un'applicazione esterna. Come applicazione, può agire come un normale programma lanciato da riga di comando e la sceneggiatura.

Condizioni nel sistema di filtrazione

Ma vale la pena soffermarsi più in dettaglio sulla condizione successiva. Stiamo parlando dell'analisi del contenuto delle informazioni trasmesse. Innanzitutto è necessario notare l’“onnivora” di Zgate. Il fatto è che il programma “capisce” un gran numero di formati diversi. Pertanto, può analizzare non solo il testo semplice, ma anche quasi tutti gli allegati. Un'altra caratteristica dell'analisi dei contenuti sono le sue grandi capacità. Può consistere in una semplice ricerca di un'occorrenza nel testo di un messaggio o in qualsiasi altro campo di una determinata parola, oppure in un'analisi completa, inclusa la presa in considerazione delle forme grammaticali delle parole, della radice e della traslitterazione. Ma non è tutto. Una menzione speciale merita il sistema di analisi dei pattern e delle espressioni regolari. Con il suo aiuto, puoi facilmente rilevare la presenza di dati in un determinato formato nei messaggi, ad esempio serie e numeri di passaporti, numero di telefono, numero di contratto, numero di conto bancario, ecc. Ciò, tra le altre cose, consente di rafforzare la tutela dei dati personali trattati dalla società.

Modelli per identificare varie informazioni riservate

La quarta tipologia di condizioni è l'analisi degli indirizzi indicati nella lettera. Cioè cercare tra loro determinate stringhe. Quinto: analisi dei file crittografati. Durante l'esecuzione vengono controllati gli attributi del messaggio e/o degli oggetti annidati. Il sesto tipo di condizioni consiste nel controllare vari parametri delle lettere. Il settimo è l'analisi del dizionario. Durante questo processo, il sistema rileva la presenza di parole provenienti da dizionari pre-creati nel messaggio. E infine, l'ultimo, ottavo tipo di condizione è composta. Rappresenta due o più altre condizioni combinate da operatori logici.

A proposito, dobbiamo parlare separatamente dei dizionari che abbiamo menzionato nella descrizione delle condizioni. Sono gruppi di parole combinati da una caratteristica e vengono utilizzati in vari metodi di filtraggio. La cosa più logica da fare è creare dizionari che con molta probabilità permettano di classificare un messaggio in una categoria o nell'altra. Il loro contenuto può essere inserito manualmente o importato da quelli esistenti file di testo. Esiste un'altra opzione per generare dizionari: automatica. Quando lo utilizza, l'amministratore deve semplicemente specificare la cartella che contiene i documenti rilevanti. Il programma stesso li analizzerà, selezionerà le parole necessarie e assegnerà le loro caratteristiche di peso. Per la compilazione di dizionari di alta qualità, è necessario indicare non solo file riservati, ma anche oggetti che non contengono informazioni sensibili. In generale, il processo di generazione automatica è molto simile all'addestramento dell'antispam sulla pubblicità e sulle lettere regolari. E questo non sorprende, perché entrambi i paesi utilizzano tecnologie simili.

Esempio di dizionario su un argomento finanziario

Parlando di dizionari, non possiamo non menzionare un'altra tecnologia di rilevamento dei dati riservati implementata in Zgate. Stiamo parlando delle impronte digitali. L'essenza questo metodoè come segue. L'amministratore può indicare al sistema le cartelle che contengono dati riservati. Il programma analizzerà tutti i documenti in essi contenuti e creerà "impronte digitali" - insiemi di dati che consentono di determinare un tentativo di trasferire non solo l'intero contenuto del file, ma anche le sue singole parti. Tieni presente che il sistema monitora automaticamente lo stato delle cartelle specificate e crea autonomamente "impronte digitali" per tutti gli oggetti che compaiono nuovamente in esse.

Creazione di una categoria con le impronte digitali dei file

Ebbene, ora non resta che capire le azioni attuate nel sistema di protezione in questione. In totale ce ne sono già 14 venduti su Zgate. Tuttavia, la maggior parte determina le azioni eseguite con il messaggio. Questi includono, in particolare, la cancellazione senza inviare (cioè, di fatto, il blocco della trasmissione di una lettera), l'inserimento in un archivio, l'aggiunta o la cancellazione di allegati, la modifica di vari campi, l'inserimento di testo, ecc. Tra questi rientra soprattutto da segnalare la collocazione di una lettera in quarantena. Questa azione consente di “rinviare” un messaggio per la verifica manuale da parte di un responsabile della sicurezza, che ne deciderà l'ulteriore destino. Molto interessante anche l'azione che permette di bloccare una connessione IM. Può essere utilizzato per bloccare istantaneamente il canale attraverso il quale è stato trasmesso un messaggio con informazioni riservate.

Due azioni si distinguono in qualche modo: l'elaborazione con il metodo bayesiano e l'elaborazione con il metodo dell'impronta digitale. Entrambi sono progettati per controllare i messaggi per vedere se contengono informazioni sensibili. Solo il primo utilizza dizionari e analisi statistiche, il secondo utilizza le impronte digitali. Queste azioni possono essere eseguite quando viene soddisfatta una determinata condizione, ad esempio, se l'indirizzo del destinatario non si trova in un dominio aziendale. Inoltre, essi (come tutti gli altri) possono essere impostati per essere applicati incondizionatamente a tutti i messaggi in uscita. In questo caso, il sistema analizzerà le lettere e le assegnerà a determinate categorie (se, ovviamente, ciò è possibile). Ma per queste categorie è già possibile creare condizioni con l'implementazione di determinate azioni.

Azioni nel sistema Zgate

Bene, alla fine della nostra conversazione di oggi su Zgate, possiamo riassumere un po' il tutto. Questo sistema di protezione si basa principalmente sull'analisi del contenuto dei messaggi. Questo approccio è il più comune per la protezione dalla fuga di informazioni riservate su Internet. Naturalmente l'analisi del contenuto non garantisce una protezione del 100% ed è piuttosto probabilistica. Tuttavia, il suo utilizzo impedisce la maggior parte dei casi di trasferimento non autorizzato di dati sensibili. Le aziende dovrebbero usarlo oppure no? Ognuno deve deciderlo da solo, valutando i costi di attuazione e possibili problemi in caso di fuga di informazioni. Vale la pena notare che Zgate fa un ottimo lavoro nel catturare le espressioni regolari, il che lo rende molto utile mezzi efficaci tutela dei dati personali trattati dalla società.

Recenti studi sulla sicurezza delle informazioni, come l’annuale CSI/FBI ComputerCrimeAndSecuritySurvey, hanno dimostrato che le perdite finanziarie per le aziende derivanti dalla maggior parte delle minacce stanno diminuendo anno dopo anno. Tuttavia, ci sono diversi rischi da cui le perdite aumentano. Uno di questi è il furto deliberato di informazioni riservate o la violazione delle regole per la loro gestione da parte di quei dipendenti il cui accesso ai dati commerciali è necessario per svolgere i loro compiti ufficiali. Si chiamano addetti ai lavori.

Nella stragrande maggioranza dei casi, il furto di informazioni riservate viene effettuato utilizzando supporti mobili: CD e DVD, dispositivi ZIP e, soprattutto, tutti i tipi di unità USB. È stata la loro distribuzione di massa a portare al fiorire dell’insiderismo in tutto il mondo. I direttori della maggior parte delle banche sono ben consapevoli del pericolo, ad esempio, che un database con i dati personali dei loro clienti o, soprattutto, che le transazioni sui loro conti cadano nelle mani di strutture criminali. E stanno cercando di combattere il possibile furto di informazioni utilizzando i metodi organizzativi a loro disposizione.

Tuttavia, i metodi organizzativi in questo caso sono inefficaci. Oggi puoi organizzare il trasferimento di informazioni tra computer utilizzando un'unità flash in miniatura, cellulare, lettore mp3, fotocamera digitale... Certo, puoi provare a vietare l'introduzione di tutti questi dispositivi in ufficio, ma questo, in primo luogo, influenzerà negativamente i rapporti con i dipendenti e, in secondo luogo, sarà comunque impossibile stabilire realmente un controllo efficace sulle persone è molto difficile: la banca no " Cassetta postale" E anche disabilitare tutti i dispositivi sui computer che possono essere utilizzati per scrivere informazioni su supporti esterni (dischi FDD e ZIP, unità CD e DVD, ecc.) e sulle porte USB non aiuterà. Dopotutto, i primi sono necessari per il lavoro e i secondi sono collegati a varie periferiche: stampanti, scanner, ecc. E nessuno può impedire a una persona di spegnere la stampante per un minuto, inserire una chiavetta USB nella porta libera e copiare su di essa Informazioni importanti. Naturalmente puoi trovare modi originali per proteggerti. Ad esempio, una banca ha provato questo metodo per risolvere il problema: hanno riempito la giunzione della porta USB e del cavo con resina epossidica, "legando" saldamente quest'ultimo al computer. Ma fortunatamente oggi esistono metodi di controllo più moderni, affidabili e flessibili.

Il mezzo più efficace per ridurre al minimo i rischi associati agli addetti ai lavori è uno speciale Software, che controlla dinamicamente tutti i dispositivi e le porte del computer che possono essere utilizzati per copiare le informazioni. Il principio del loro lavoro è il seguente. Le autorizzazioni per utilizzare varie porte e dispositivi vengono impostate per ciascun gruppo di utenti o per ciascun utente individualmente. Il più grande vantaggio di tale software è la flessibilità. Puoi inserire restrizioni per tipi specifici di dispositivi, relativi modelli e singole istanze. Ciò consente di implementare politiche di distribuzione dei diritti di accesso molto complesse.

Ad esempio, potresti voler consentire ad alcuni dipendenti di utilizzare stampanti o scanner collegati alle porte USB. Tuttavia, tutti gli altri dispositivi inseriti in questa porta rimarranno inaccessibili. Se la banca utilizza un sistema di autenticazione dell'utente basato su token, nelle impostazioni è possibile specificare il modello di chiave utilizzato. Quindi gli utenti potranno utilizzare solo i dispositivi acquistati dall'azienda e tutti gli altri saranno inutili.

Sulla base del principio di funzionamento dei sistemi di protezione sopra descritti, puoi capire quali punti sono importanti nella scelta dei programmi che implementano il blocco dinamico dei dispositivi di registrazione e delle porte del computer. Innanzitutto è la versatilità. Il sistema di protezione deve coprire l'intera gamma di possibili porte e dispositivi di input/output. In caso contrario, il rischio di furto di informazioni commerciali resta inaccettabilmente elevato. In secondo luogo, il software in questione deve essere flessibile e consentire di creare regole utilizzando una grande quantità di informazioni diverse sui dispositivi: tipi, produttori di modelli, numeri univoci di ciascuna istanza, ecc. E in terzo luogo, il sistema di protezione insider deve potersi integrare con il sistema informativo della banca, in particolare con ActiveDirectory. In caso contrario, l'amministratore o il responsabile della sicurezza dovrà mantenere due database di utenti e computer, il che non solo è scomodo, ma aumenta anche il rischio di errori.

Proteggere le informazioni dagli addetti ai lavori utilizzando Software

Aleksandr Antipov

Spero che l'articolo stesso e soprattutto la sua discussione aiutino a identificare le varie sfumature dell'utilizzo degli strumenti software e diventino un punto di partenza per lo sviluppo di una soluzione al problema descritto per gli specialisti della sicurezza informatica.

nana

Per molto tempo, la divisione marketing della società Infowatch ha convinto tutte le parti interessate - specialisti IT, così come i manager IT più avanzati, che la maggior parte del danno derivante da una violazione della sicurezza delle informazioni dell'azienda ricade sugli addetti ai lavori - i dipendenti che divulgano segreti commerciali. L'obiettivo è chiaro: dobbiamo creare la domanda per il prodotto che stiamo fabbricando. E gli argomenti sembrano abbastanza solidi e convincenti.

Formulazione del problema

Costruire un sistema per proteggere le informazioni dal furto da parte del personale su base LAN Directory attiva Finestre 2000/2003. Postazioni di lavoro utente sotto Controllo di Windows XP. Gestione aziendale e contabilità basata sui prodotti 1C.
Le informazioni segrete vengono archiviate in tre modi:

DB 1C - accesso alla rete tramite RDP ( accesso al terminale);
cartelle condivise su file server - accesso alla rete;
localmente sul PC del dipendente;

Canali di perdita: Internet e supporti rimovibili (unità flash, telefoni, lettori, ecc.). L'uso di Internet e dei supporti rimovibili non può essere vietato in quanto necessari per l'esercizio delle funzioni ufficiali.

Cosa c'è sul mercato

Ho diviso i sistemi in esame in tre classi:

Sistemi basati su analizzatori di contesto: Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, ecc.
Sistemi basati sul blocco statico dei dispositivi: DeviceLock, ZLock, InfoWatch Net Monitor.
Sistemi basati sul blocco dinamico dei dispositivi: SecrecyKeeper, Strazh, Accord, SecretNet.

Sistemi basati su analizzatori di contesto

Principio di funzionamento:
Vengono cercate le parole chiave nelle informazioni trasmesse e, in base ai risultati della ricerca, viene presa una decisione sulla necessità di bloccare la trasmissione.

A mio parere, InfoWatch Traffic Monitor (www.infowatch.ru) ha le massime capacità tra i prodotti elencati. La base è il collaudato motore Kaspersky Antispam, che tiene pienamente conto delle peculiarità della lingua russa. A differenza di altri prodotti, InfoWatch Traffic Monitor, durante l'analisi, tiene conto non solo della presenza di determinate righe nei dati da controllare, ma anche del peso predeterminato di ciascuna riga. Pertanto, quando si prende la decisione finale, non viene presa in considerazione solo la presenza di determinate parole, ma anche le combinazioni in cui si presentano, il che consente di aumentare la flessibilità dell'analizzatore. Le restanti funzionalità sono standard per questo tipo di prodotto: analisi di archivi, documenti MS Office, possibilità di bloccare il trasferimento di file di formato sconosciuto o archivi protetti da password.

Svantaggi dei sistemi considerati basati sull'analisi contestuale:

Vengono monitorati solo due protocolli: HTTP e SMTP (per InfoWatch Traffic Monitor e per il traffico HTTP vengono controllati solo i dati trasmessi utilizzando le richieste POST, che consente di organizzare un canale di perdita utilizzando il trasferimento dei dati utilizzando il metodo GET);
I dispositivi di trasferimento dati non sono controllati: floppy disk, CD, DVD, unità USB, ecc. (InfoWatch ha un prodotto per questo caso: InfoWatch Net Monitor).
per aggirare i sistemi costruiti sulla base dell'analisi del contenuto, è sufficiente utilizzare la codifica testuale più semplice (ad esempio: secret -> с1е1к1р1е1т), o la steganografia;
il seguente problema non può essere risolto con il metodo dell'analisi del contenuto - non mi viene in mente una descrizione formale adeguata, quindi faccio solo un esempio: ci sono due file Excel - nel primo ci sono i prezzi al dettaglio (informazioni pubbliche), nel secondo secondo: prezzi all'ingrosso per un cliente specifico (informazioni private), il contenuto dei file differisce solo dai numeri. Questi file non possono essere distinti utilizzando l'analisi del contenuto.

Conclusione:
L'analisi contestuale è adatta solo per creare archivi di traffico e contrastare la fuga accidentale di informazioni e non risolve il problema.

Sistemi basati sul blocco statico dei dispositivi

Principio di funzionamento:
Agli utenti vengono assegnati diritti di accesso ai dispositivi controllati, simili ai diritti di accesso ai file. In linea di principio, quasi lo stesso effetto può essere ottenuto utilizzando i meccanismi standard di Windows.

Zlock (www.securit.ru) - il prodotto è apparso relativamente di recente, quindi ha funzionalità minime (non conto i fronzoli) e non funziona particolarmente bene, ad esempio la console di gestione a volte si blocca quando si tenta di salvare impostazioni.

DeviceLock (www.smartline.ru) è un prodotto più interessante; è sul mercato da molto tempo, quindi funziona in modo molto più stabile e ha funzionalità più diversificate. Ad esempio, consente la copia shadow delle informazioni trasmesse, che può aiutare a indagare su un incidente, ma non a prevenirlo. Inoltre, tale indagine verrà molto probabilmente condotta quando la fuga di notizie verrà resa nota, ad es. un periodo di tempo significativo dopo che si è verificato.

InfoWatch Net Monitor (www.infowatch.ru) è costituito da moduli: DeviceMonitor (analogo a Zlock), FileMonitor, OfficeMonitor, AdobeMonitor e PrintMonitor. DeviceMonitor è un analogo di Zlock, funzionalità standard, senza uvetta. FileMonitor: controllo dell'accesso ai file. OfficeMonitor e AdobeMonitor ti consentono di controllare il modo in cui i file vengono gestiti nelle rispettive applicazioni. Attualmente è abbastanza difficile trovare un'applicazione utile e non un giocattolo per FileMonitor, OfficeMonitor e AdobeMonitor, ma nelle versioni future dovrebbe essere possibile condurre un'analisi contestuale dei dati elaborati. Forse allora questi moduli riveleranno il loro potenziale. Anche se vale la pena notare che il compito di analisi contestuale delle operazioni sui file non è banale, soprattutto se la base del filtraggio dei contenuti è la stessa di Traffic Monitor, ad es. rete.

Separatamente, è necessario parlare della protezione dell'agente da un utente con diritti di amministratore locale.
ZLock e InfoWatch Net Monitor semplicemente non dispongono di tale protezione. Quelli. l'utente può arrestare l'agente, copiare i dati e riavviare l'agente.

DeviceLock dispone di tale protezione, il che rappresenta sicuramente un vantaggio. Si basa sull'intercettazione delle chiamate di sistema per lavorare con il registro, file system e gestione dei processi. Un altro vantaggio è che la protezione funziona anche in modalità provvisoria. Ma c'è anche un aspetto negativo: per disabilitare la protezione, è sufficiente ripristinare la tabella dei descrittori del servizio, cosa che può essere fatta scaricando un semplice driver.

Svantaggi dei sistemi considerati basati sul blocco statico dei dispositivi:

La trasmissione delle informazioni alla rete non è controllata.
-Non sa distinguere le informazioni classificate da quelle non segrete. Funziona secondo il principio che o tutto è possibile o niente è impossibile.
La protezione contro lo scarico dell'agente è assente o facilmente aggirabile.

Conclusione:
Non è consigliabile implementare tali sistemi, perché non risolvono il problema.

Sistemi basati sul bloccaggio dinamico del dispositivo

Principio di funzionamento:
l'accesso ai canali di trasmissione viene bloccato a seconda del livello di accesso dell'utente e del grado di segretezza delle informazioni su cui si lavora. Per implementare questo principio, questi prodotti utilizzano il meccanismo di controllo degli accessi autorevole. Questo meccanismo non si verifica molto spesso, quindi mi soffermerò su di esso in modo più dettagliato.

Il controllo dell'accesso autorevole (forzato), a differenza del discrezionale (implementato nel sistema di sicurezza di Windows NT e versioni successive), è che il proprietario di una risorsa (ad esempio un file) non può indebolire i requisiti per l'accesso a questa risorsa, ma può rafforzali solo entro i limiti del tuo livello. Solo un utente con poteri speciali, un responsabile della sicurezza delle informazioni o un amministratore, può allentare i requisiti.

L'obiettivo principale dello sviluppo di prodotti come Guardian, Accord, SecretNet, DallasLock e alcuni altri era la possibilità di certificare i sistemi informativi in cui verranno installati questi prodotti per la conformità ai requisiti della Commissione Tecnica Statale (ora FSTEC). Tale certificazione è obbligatoria per i sistemi informativi in cui vengono elaborati dati governativi. un segreto, che garantiva principalmente la domanda di prodotti da parte delle imprese statali.

Pertanto, l'insieme delle funzioni implementate in questi prodotti è stato determinato dai requisiti dei documenti pertinenti. Ciò a sua volta ha portato al fatto che la maggior parte delle funzionalità implementate nei prodotti duplica lo standard Funzionalità di Windows(pulizia degli oggetti dopo l'eliminazione, pulizia della RAM) o lo utilizza implicitamente (controllo dell'accesso discriminato). E gli sviluppatori di DallasLock sono andati ancora oltre implementando il controllo obbligatorio degli accessi per il loro sistema attraverso il meccanismo di controllo discrezionale di Windows.

L'uso pratico di tali prodotti è estremamente scomodo; ad esempio, DallasLock richiede il ripartizionamento per l'installazione disco rigido, che dovrà essere eseguito anche utilizzando software di terze parti. Molto spesso, dopo la certificazione, questi sistemi venivano rimossi o disabilitati.

SecrecyKeeper (www.secrecykeeper.com) è un altro prodotto che implementa un meccanismo di controllo degli accessi autorevole. Secondo gli sviluppatori, SecrecyKeeper è stato sviluppato appositamente per risolvere un problema specifico, prevenendo il furto di informazioni in un'organizzazione commerciale. Pertanto, sempre secondo gli sviluppatori, durante lo sviluppo è stata prestata particolare attenzione alla semplicità e alla facilità d'uso, sia per gli amministratori di sistema che per gli utenti comuni. Spetta al consumatore giudicare quanto successo abbia avuto, ad es. noi. Inoltre, SecrecyKeeper implementa una serie di meccanismi assenti negli altri sistemi citati, ad esempio la possibilità di impostare il livello di privacy per le risorse con accesso remoto e un meccanismo di protezione dell'agente.
Il controllo del movimento delle informazioni in SecrecyKeeper viene implementato in base al livello di segretezza delle informazioni, ai livelli di autorizzazione dell'utente e al livello di sicurezza del computer, che possono assumere i valori pubblico, segreto e top secret. Il Livello di Sicurezza delle Informazioni consente di classificare le informazioni trattate nel sistema in tre categorie:

informazioni pubbliche: non segrete, non ci sono restrizioni quando si lavora con esse;

segreto: informazioni segrete, quando si lavora con esse, vengono introdotte restrizioni a seconda dei livelli di autorizzazione dell'utente;

top secret: informazioni top secret; quando si lavora con esso, vengono introdotte restrizioni a seconda dei livelli di autorizzazione dell'utente.

Il livello di sicurezza delle informazioni può essere impostato per un file, unità di rete e la porta del computer su cui è in esecuzione un servizio.

I livelli di autorizzazione utente consentono di determinare in che modo un utente può spostare le informazioni in base al suo livello di sicurezza. Esistono i seguenti livelli di autorizzazione utente:

Livello di autorizzazione utente: limita il livello massimo di sicurezza delle informazioni a cui un dipendente può accedere;

Livello di accesso alla rete: limita il livello massimo di sicurezza delle informazioni che un dipendente può trasmettere sulla rete;

Livello di accesso ai supporti rimovibili: limita il livello massimo di sicurezza delle informazioni che un dipendente può copiare su supporti esterni.

Livello di accesso alla stampante: limita il livello massimo di sicurezza delle informazioni che un dipendente può stampare.

Livello di sicurezza del computer: determina il livello massimo di sicurezza delle informazioni che possono essere archiviate ed elaborate su un computer.

L'accesso alle informazioni con livello di pubblica sicurezza può essere fornito da un dipendente dotato di qualsiasi nulla osta di sicurezza. Tali informazioni possono essere trasmesse in rete e copiate su supporti esterni senza restrizioni. La cronologia del lavoro con informazioni classificate come pubbliche non viene tracciata.

L'accesso alle informazioni con un livello di sicurezza segreto può essere ottenuto solo dai dipendenti il cui livello di autorizzazione è pari a segreto o superiore. Solo i dipendenti il cui livello di accesso alla rete è segreto o superiore possono trasmettere tali informazioni alla rete. Solo i dipendenti il cui livello di accesso ai supporti rimovibili è segreto o superiore possono copiare tali informazioni su supporti esterni. Solo i dipendenti il cui livello di accesso alla stampante è segreto o superiore possono stampare tali informazioni. Storia del lavoro con informazioni con il livello segreto, ad es. vengono registrati i tentativi di accesso, i tentativi di trasmetterlo in rete, i tentativi di copiarlo su un supporto esterno o di stamparlo.

L'accesso alle informazioni con un livello di segretezza top secret può essere ottenuto solo dai dipendenti il cui livello di autorizzazione è pari a top secret. Solo i dipendenti il cui livello di accesso alla rete è pari a top secret possono trasmettere tali informazioni alla rete. Solo i dipendenti il cui livello di accesso ai supporti rimovibili è pari a top secret possono copiare tali informazioni su supporti esterni. Solo i dipendenti il cui livello di accesso alla stampante è pari a top secret possono stampare tali informazioni. Storia di lavoro con informazioni di livello top secret, ad es. vengono registrati i tentativi di accesso, i tentativi di trasmetterlo in rete, i tentativi di copiarlo su un supporto esterno o di stamparlo.

Esempio: consentire a un dipendente di avere un livello di autorizzazione pari a top secret, un livello di accesso alla rete pari a secret, un livello di accesso ai supporti rimovibili pari a public e un livello di accesso alla stampante pari a top secret; in questo caso il dipendente può accedere a un documento con qualsiasi livello di segretezza, il dipendente può trasferire informazioni in rete con un livello di segretezza non superiore a segreto, copiare, ad esempio, su floppy disk, il dipendente può solo informazioni con il livello di segreto pubblico e il dipendente può stampare qualsiasi informazione su una stampante.

Per gestire la diffusione delle informazioni in tutta l'azienda, a ciascun computer assegnato a un dipendente viene assegnato un Livello di Sicurezza Informatica. Questo livello limita il livello massimo di sicurezza delle informazioni a cui qualsiasi dipendente può accedere da un determinato computer, indipendentemente dai livelli di autorizzazione del dipendente. Quello. se un dipendente ha un livello di autorizzazione pari a top secret e il computer su cui si trova questo momento works ha un livello di sicurezza pari a public, quindi il dipendente non potrà accedere a informazioni con un livello di sicurezza superiore a public da questa postazione di lavoro.

Armati di teoria, proviamo a utilizzare SecrecyKeeper per risolvere il problema. Le informazioni elaborate nel sistema informativo dell'impresa astratta in esame (vedi dichiarazione del problema) possono essere descritte in modo semplificato utilizzando la seguente tabella:

I dipendenti dell'impresa e l'area dei loro interessi lavorativi sono descritti utilizzando la seconda tabella:

Consentire l'utilizzo dei seguenti server nell'azienda:
Server 1C
File server con palline:
SecretDocs: contiene documenti segreti
PublicDocs: contiene documenti disponibili pubblicamente

Tieni presente che le funzionalità standard vengono utilizzate per organizzare il controllo degli accessi standard sistema operativo e software applicativo, ad es. per impedire, ad esempio, che un responsabile acceda ai dati personali dei dipendenti, non è necessario introdurre ulteriori sistemi di protezione. Si tratta nello specifico di contrastare la diffusione di informazioni alle quali il dipendente ha legalmente accesso.

Passiamo alla configurazione vera e propria di SecrecyKeeper.
Non descriverò il processo di installazione della console di gestione e degli agenti, tutto è il più semplice possibile: vedere la documentazione del programma.
La configurazione del sistema consiste nell'eseguire i seguenti passaggi.

Passaggio 1. Installa gli agenti su tutti i PC tranne i server: ciò impedisce immediatamente loro di ottenere informazioni per le quali il livello di segretezza è impostato su un livello superiore a quello pubblico.

Passo 2. Assegnare i livelli di autorizzazione ai dipendenti in base alla seguente tabella:

	Livello di autorizzazione utente	Livello di accesso alla rete	Livello di accesso ai supporti rimovibili	Livello di accesso alla stampante
direttore	segreto	segreto	segreto	segreto
manager	segreto	pubblico	pubblico	segreto
responsabile del personale	segreto	pubblico	pubblico	segreto
contabile	segreto	pubblico	segreto	segreto
segretario	pubblico	pubblico	pubblico	pubblico

Passaggio 3. Assegnare i livelli di sicurezza del computer come segue:

Passaggio 4. Configurare i livelli di sicurezza delle informazioni sui server:

Passaggio 5. Configurare i livelli di sicurezza delle informazioni sui PC dei dipendenti per i file locali. Questa è la parte che richiede più tempo, poiché è necessario capire chiaramente quali dipendenti lavorano con quali informazioni e quanto siano critiche queste informazioni. Se la tua organizzazione è stata sottoposta a un audit sulla sicurezza delle informazioni, i suoi risultati possono rendere l'attività molto più semplice.

Passaggio 6. Se necessario, SecrecyKeeper consente di limitare l'elenco dei programmi che gli utenti possono eseguire. Questo meccanismo è implementato indipendentemente dai criteri di restrizione del software di Windows e può essere utilizzato se, ad esempio, è necessario imporre restrizioni agli utenti con diritti di amministratore.

Pertanto, con l'aiuto di SecrecyKeeper, è possibile ridurre significativamente il rischio di diffusione non autorizzata di informazioni classificate, sia fuga che furto.

Screpolatura:
- difficoltà con configurazione iniziale livelli di privacy per i file locali;

Conclusione generale:
le massime opportunità per proteggere le informazioni dagli addetti ai lavori sono fornite da un software che ha la capacità di regolare dinamicamente l'accesso ai canali di trasmissione delle informazioni, a seconda del grado di segretezza delle informazioni con cui si lavora e del livello di autorizzazione di sicurezza del dipendente.

Azienda è un servizio unico per acquirenti, sviluppatori, rivenditori e partner affiliati. Inoltre, questo è uno dei i migliori negozi online Software in Russia, Ucraina, Kazakistan, che offre ai clienti un'ampia gamma, numerosi metodi di pagamento, elaborazione rapida (spesso istantanea) degli ordini, monitoraggio del processo di ordine in una sezione personale.

Recentemente, il problema della protezione dalle minacce interne è diventato una vera sfida per il mondo comprensibile e consolidato della sicurezza delle informazioni aziendali. La stampa parla di addetti ai lavori, ricercatori e analisti mettono in guardia su possibili perdite e problemi, e i feed di notizie sono pieni di notizie sull'ennesimo incidente che ha portato alla fuga di centinaia di migliaia di record di clienti a causa di un errore o disattenzione di un dipendente. Proviamo a capire se questo problema è così grave, se è necessario affrontarlo e quali strumenti e tecnologie esistono per risolverlo.

Prima di tutto, vale la pena determinare che la minaccia alla riservatezza dei dati è interna se la sua fonte è un dipendente dell'azienda o un'altra persona che ha accesso legale a questi dati. Pertanto, quando parliamo di minacce interne, parliamo di qualsiasi minaccia azioni possibili utenti legali, intenzionali o accidentali, che possono portare alla fuga di informazioni riservate al di fuori della rete aziendale dell'impresa. Per completare il quadro, vale la pena aggiungere che tali utenti sono spesso chiamati insider, sebbene questo termine abbia altri significati.

L'importanza del problema delle minacce interne è confermata dai risultati di studi recenti. In particolare, nell'ottobre 2008, sono stati resi noti i risultati di uno studio congiunto di Compuware e Ponemon Institue, secondo il quale gli insider sono la causa più comune di fughe di dati (75% degli incidenti negli Stati Uniti), mentre gli hacker sono solo al quinto posto. posto. Nello studio annuale del 2008 del Computer Security Institute (CSI), i numeri relativi al numero di incidenti legati a minacce interne sono i seguenti:

Il numero di incidenti in percentuale indica quello del numero totale di intervistati questo tipo l'incidente si è verificato nella percentuale specificata di organizzazioni. Come si può vedere da questi dati, quasi tutte le organizzazioni corrono il rischio di subire minacce interne. In confronto, secondo lo stesso rapporto, i virus hanno colpito il 50% delle organizzazioni intervistate e gli hacker si sono infiltrati rete locale solo il 13% lo ha riscontrato.

Così, minacce interne– questa è la realtà di oggi, e non un mito inventato da analisti e venditori. Quindi chi, alla vecchia maniera, crede che la sicurezza informatica aziendale sia un firewall e un antivirus, deve dare uno sguardo più ampio al problema il prima possibile.

Anche la legge “Sui dati personali” aumenta il grado di tensione, secondo la quale organizzazioni e funzionari dovranno rispondere non solo alla loro direzione, ma anche ai loro clienti e alla legge per il trattamento improprio dei dati personali.

Modello dell'intruso

Tradizionalmente, quando si considerano le minacce e le difese contro di esse, si dovrebbe iniziare con un’analisi del modello avversario. Come già accennato, parleremo di addetti ai lavori: dipendenti dell'organizzazione e altri utenti che hanno accesso legale a informazioni riservate. Di norma, con queste parole tutti pensano a un impiegato che lavora su un computer come parte di una rete aziendale, che non lascia l'ufficio dell'organizzazione mentre lavora. Tuttavia, tale rappresentazione è incompleta. È necessario ampliarlo per includere altri tipi di persone con accesso legale alle informazioni che possono lasciare l’ufficio dell’organizzazione. Potrebbero essere viaggiatori d'affari con laptop, o persone che lavorano sia in ufficio che a casa, corrieri che trasportano supporti con informazioni, principalmente nastri magnetici con una copia di backup, ecc.

Una considerazione così ampliata del modello degli intrusi, in primo luogo, si adatta al concetto, poiché le minacce poste da questi intrusi si riferiscono anche a quelle interne, e in secondo luogo, ci consente di analizzare il problema in modo più ampio, considerando tutti possibili opzioni combattere queste minacce.

Si possono distinguere le seguenti tipologie principali di violatori interni:

Dipendente sleale/risentito.I trasgressori appartenenti a questa categoria possono agire intenzionalmente, ad esempio, cambiando lavoro e volendo impossessarsi di informazioni riservate per interessare un nuovo datore di lavoro, oppure emotivamente, se si ritengono offesi, volendo quindi vendicarsi. Sono pericolosi perché sono maggiormente motivati a causare danni all’organizzazione in cui lavorano attualmente. Di norma il numero degli incidenti che coinvolgono dipendenti infedeli è piccolo, ma può aumentare in situazioni di condizioni economiche sfavorevoli e massicce riduzioni di personale.
Un dipendente infiltrato, corrotto o manipolato.In questo caso stiamo parlando su qualsiasi azione mirata, solitamente a scopo di spionaggio industriale in condizioni di intensa concorrenza. Per raccogliere informazioni riservate, introducono la propria persona in un'azienda concorrente per determinati scopi, oppure trovano un dipendente poco leale e lo corrompono, oppure costringono un dipendente leale ma negligente a fornire informazioni riservate attraverso l'ingegneria sociale. Il numero di incidenti di questo tipo è solitamente ancora inferiore a quelli precedenti, perché nella maggior parte dei segmenti dell'economia della Federazione Russa la concorrenza non è molto sviluppata o viene attuata in altri modi.
Dipendente negligente. Questo tipo un trasgressore è un dipendente leale ma disattento o negligente che potrebbe violare la politica sicurezza interna impresa a causa della sua ignoranza o dimenticanza. Un dipendente di questo tipo potrebbe erroneamente inviare un'e-mail con un file sensibile allegato alla persona sbagliata o portare a casa una chiavetta USB con informazioni riservate su cui lavorare durante il fine settimana e perderla. Rientrano in questa tipologia anche i dipendenti che perdono computer portatili e nastri magnetici. Secondo molti esperti, questo tipo di insider è responsabile della maggior parte delle fughe di informazioni riservate.

Pertanto, le motivazioni e, di conseguenza, la linea di condotta dei potenziali trasgressori possono differire in modo significativo. A seconda di ciò, dovresti affrontare il compito di garantire la sicurezza interna dell'organizzazione.

Tecnologie per la protezione dalle minacce interne

Nonostante la relativa giovinezza di questo segmento di mercato, i clienti hanno già molto da scegliere a seconda dei loro obiettivi e delle loro capacità finanziarie. Vale la pena notare che ora sul mercato non esistono praticamente fornitori specializzati esclusivamente in minacce interne. Questa situazione è dovuta non solo all'immaturità di questo segmento, ma anche alla politica aggressiva e talvolta caotica di fusioni e acquisizioni portata avanti dai produttori di prodotti di sicurezza tradizionali e da altri fornitori interessati a una presenza in questo segmento. Vale la pena ricordare l'azienda RSA Data Security, diventata una divisione di EMC nel 2006, l'acquisto da parte di NetApp della startup Decru, che sviluppava sistemi di protezione dello storage di server e copie di backup nel 2005, l’acquisto da parte di Symantec del fornitore DLP Vontu nel 2007, ecc.

Nonostante il fatto che un gran numero di tali transazioni indichi buone prospettive per lo sviluppo di questo segmento, non sempre vanno a vantaggio della qualità dei prodotti che entrano sotto l'ala protettrice grandi aziende. I prodotti iniziano a svilupparsi più lentamente e gli sviluppatori non rispondono così rapidamente alle richieste del mercato rispetto a un'azienda altamente specializzata. Si tratta di una malattia ben nota alle grandi aziende che, come sappiamo, perdono in mobilità ed efficienza a favore dei loro fratelli minori. D'altra parte, la qualità del servizio e la disponibilità dei prodotti per i clienti in diverse parti del mondo stanno migliorando grazie allo sviluppo della loro rete di assistenza e vendita.

Consideriamo le principali tecnologie attualmente utilizzate per neutralizzare le minacce interne, i loro vantaggi e svantaggi.

Controllo documenti

La tecnologia di controllo dei documenti è incorporata nei moderni prodotti di gestione dei diritti, come Microsoft Windows Servizi di gestione dei diritti, Adobe LiveCycle Rights Management ES e Oracle Information Rights Management.

Il principio di funzionamento di questi sistemi è assegnare regole di utilizzo per ciascun documento e controllare questi diritti nelle applicazioni che funzionano con documenti di questo tipo. Ad esempio, puoi creare un documento Microsoft Word e impostarne le regole: chi può visualizzarlo, chi può modificare e salvare le modifiche e chi può stampare. Queste regole sono chiamate licenza nei termini di Windows RMS e vengono archiviate con il file. Il contenuto del file viene crittografato per impedire la visualizzazione da parte di utenti non autorizzati.

Ora, se un utente tenta di aprire un file protetto, l'applicazione contatta uno speciale server RMS, conferma le autorizzazioni dell'utente e, se l'accesso a questo utente è consentito, il server passa la chiave all'applicazione per decrittografare questo file e le informazioni sui diritti di questo utente. Sulla base di queste informazioni, l'applicazione mette a disposizione dell'utente solo le funzioni per le quali ha i diritti. Ad esempio, se a un utente non è consentito stampare un file, la funzionalità di stampa dell'applicazione non sarà disponibile.

Si scopre che le informazioni contenute in un file di questo tipo sono sicure anche se il file esce dalla rete aziendale: è crittografato. La funzionalità RMS è già integrata nelle applicazioni Microsoft Office Edizione professionale 2003. Per incorporare la funzionalità RMS nelle applicazioni di altri sviluppatori, Microsoft offre uno speciale SDK.

Il sistema di controllo dei documenti di Adobe è costruito in modo simile, ma si concentra sui documenti in formato PDF. Oracle IRM viene installato sui computer client come agente e si integra con le applicazioni in fase di runtime.

Il controllo dei documenti è una parte importante del concetto generale di protezione dalle minacce interne, ma è necessario tenere conto dei limiti intrinseci di questa tecnologia. Innanzitutto, è progettato esclusivamente per il monitoraggio dei file di documenti. Se parliamo di file o database non strutturati, questa tecnologia non funziona. In secondo luogo, se un utente malintenzionato, utilizzando l'SDK di questo sistema, crea una semplice applicazione che comunicherà con il server RMS, riceverà da lì una chiave di crittografia e salverà il documento in chiaro, e avvierà questa applicazione per conto di un utente che ha un livello minimo di accesso al documento, quindi questo sistema verrà bypassato. Inoltre, si dovrebbero tenere in considerazione le difficoltà nell'implementazione di un sistema di controllo dei documenti se l'organizzazione ha già creato molti documenti: il compito di classificare inizialmente i documenti e assegnare i diritti per utilizzarli può richiedere uno sforzo significativo.

Ciò non significa che i sistemi di controllo dei documenti non soddisfino il compito, dobbiamo solo ricordare che la sicurezza delle informazioni è un problema complesso e, di norma, non è possibile risolverlo con l'aiuto di un solo strumento.

Protezione dalle perdite

Il termine prevenzione della perdita di dati (DLP) è apparso nel vocabolario degli specialisti della sicurezza informatica relativamente di recente ed è già diventato, senza esagerare, l'argomento più caldo degli ultimi anni. Di norma l'abbreviazione DLP si riferisce a sistemi che monitorano possibili canali di fuga e li bloccano se si tenta di inviare informazioni riservate attraverso questi canali. Inoltre, nella funzione sistemi simili spesso include la possibilità di archiviare le informazioni che passano attraverso di essi per successivi audit, indagini sugli incidenti e analisi retrospettive di potenziali rischi.

Esistono due tipi di sistemi DLP: DLP di rete e DLP host.

DLP di rete funzionano secondo il principio di un gateway di rete, che filtra tutti i dati che lo attraversano. Ovviamente, considerato il compito di combattere le minacce interne, l'interesse principale di tale filtraggio risiede nella capacità di controllare i dati trasmessi all'esterno della rete aziendale su Internet. I DLP di rete consentono di monitorare la posta in uscita, il traffico http e ftp, i servizi di messaggistica istantanea, ecc. Se vengono rilevate informazioni sensibili, i DLP di rete possono bloccare il file trasmesso. Esistono anche opzioni per l'elaborazione manuale dei file sospetti. I file sospetti vengono messi in quarantena, che viene periodicamente esaminata da un responsabile della sicurezza e consente o nega il trasferimento dei file. Tuttavia, a causa della natura del protocollo, tale trattamento è possibile solo per la posta elettronica. Ulteriori opportunità di controllo e indagine sugli incidenti sono fornite dall'archiviazione di tutte le informazioni che passano attraverso il gateway, a condizione che tale archivio venga periodicamente rivisto e il suo contenuto venga analizzato al fine di identificare le perdite che si sono verificate.

Uno dei principali problemi nell'implementazione e nell'implementazione dei sistemi DLP è il metodo di rilevamento delle informazioni riservate, ovvero il momento in cui si decide se le informazioni trasmesse sono riservate e i motivi che vengono presi in considerazione nel prendere tale decisione . Di norma, questo viene fatto analizzando il contenuto documenti trasferiti, chiamata anche analisi del contenuto. Consideriamo i principali approcci per rilevare informazioni riservate.

Tag. Questo metodo è simile ai sistemi di controllo dei documenti discussi sopra. Nei documenti sono incorporate etichette che descrivono il grado di riservatezza delle informazioni, cosa è possibile fare con questo documento e a chi deve essere inviato. Sulla base dei risultati dell'analisi dei tag, il sistema DLP decide se ciò è possibile questo documento inviare all'esterno o no. Alcuni sistemi DLP vengono inizialmente resi compatibili con i sistemi di gestione dei diritti per utilizzare le etichette installate da questi sistemi; altri sistemi utilizzano il proprio formato di etichetta.
Firme. Questo metodo consiste nello specificare una o più sequenze di caratteri, la cui presenza nel testo del file trasferito dovrebbe indicare al sistema DLP che questo file contiene informazioni riservate. Un gran numero di firme possono essere organizzate in dizionari.
Metodo di Bayes. Questo metodo, utilizzato per combattere lo spam, può essere utilizzato con successo anche nei sistemi DLP. Per applicare questo metodo, viene creato un elenco di categorie e viene indicato un elenco di parole con le probabilità che se la parola ricorre in un file, allora il file con una determinata probabilità appartiene o non appartiene alla categoria specificata.
Analisi morfologica.Il metodo di analisi morfologica è simile a quello della firma, la differenza è che non viene analizzata la corrispondenza al 100% con la firma, ma vengono prese in considerazione anche parole con radice simile.
Stampe digitali.L'essenza di questo metodo è che per tutti i documenti riservati viene calcolata una funzione hash in modo tale che se il documento viene leggermente modificato, la funzione hash rimane la stessa o cambia leggermente. Pertanto, il processo di rilevamento dei documenti riservati è notevolmente semplificato. Nonostante gli elogi entusiastici di questa tecnologia da parte di molti venditori e di alcuni analisti, la sua affidabilità lascia molto a desiderare e, dato che i venditori, con vari pretesti, preferiscono lasciare nell’ombra i dettagli dell’implementazione dell’algoritmo dell’impronta digitale, confidano in esso non aumenta.
Espressioni regolari.Noto a tutti coloro che si sono occupati di programmazione, espressioni regolari semplifica la ricerca dei dati del modello nel testo, come numeri di telefono, informazioni sul passaporto, numeri di conto bancario, numeri di previdenza sociale, ecc.

Dall'elenco sopra è facile vedere che i metodi di rilevamento non garantiscono l'identificazione al 100% delle informazioni riservate, poiché il livello di errori sia del primo che del secondo tipo in essi contenuti è piuttosto elevato, oppure richiedono una vigilanza costante da parte del servizio di sicurezza per aggiornare e mantenere un elenco aggiornato delle firme o delle etichette di assegnazione per i documenti riservati.

Inoltre, la crittografia del traffico può creare alcuni problemi nel funzionamento della rete DLP. Se i requisiti di sicurezza richiedono di crittografare i messaggi di posta elettronica o di utilizzare SSL durante la connessione a qualsiasi risorsa Web, il problema di determinare la presenza di informazioni riservate nei file trasferiti può essere molto difficile da risolvere. Non dimenticare che alcuni servizi di messaggistica istantanea, come Skype, hanno la crittografia integrata per impostazione predefinita. Dovrai rifiutarti di utilizzare tali servizi o utilizzare il DLP host per controllarli.

Tuttavia, nonostante tutte le difficoltà, quando impostazione corretta Se presa sul serio, la DLP di rete può ridurre significativamente il rischio di fuga di informazioni riservate e fornire a un'organizzazione un comodo mezzo di controllo interno.

Ospitare DLP vengono installati su ciascun host della rete (sulle postazioni client e, se necessario, sui server) e possono essere utilizzati anche per controllare il traffico Internet. Tuttavia, i DLP basati su host sono meno diffusi in questo senso e vengono attualmente utilizzati principalmente per il controllo dispositivi esterni e stampanti. Come sapete, un dipendente che porta al lavoro una chiavetta USB o un lettore MP3 rappresenta una minaccia per la sicurezza informatica di un'azienda molto più grave di tutti gli hacker messi insieme. Questi sistemi sono anche chiamati strumenti di sicurezza degli endpoint di rete ( sicurezza degli endpoint), anche se questo termine viene spesso utilizzato in modo più ampio, ad esempio i prodotti antivirus vengono talvolta chiamati in questo modo.

Come sapete, il problema dell'utilizzo di dispositivi esterni può essere risolto senza l'utilizzo di alcun mezzo disabilitando le porte sia fisicamente che utilizzando il sistema operativo, oppure amministrativamente vietando ai dipendenti di portare in ufficio qualsiasi supporto di memorizzazione. Tuttavia, nella maggior parte dei casi, l'approccio “economico e allegro” è inaccettabile, poiché non viene fornita la necessaria flessibilità dei servizi informativi richiesti dai processi aziendali.

Per questo motivo c'è stata una certa richiesta mezzi speciali, con l'aiuto del quale è possibile risolvere in modo più flessibile il problema dell'utilizzo di dispositivi e stampanti esterni da parte dei dipendenti dell'azienda. Tali strumenti consentono di configurare i diritti di accesso per gli utenti vari tipi dispositivi, ad esempio, per un gruppo di utenti per vietare il lavoro con i media e consentire loro di lavorare con le stampanti, e per un altro - per consentire il lavoro con i media in modalità di sola lettura. Se è necessario registrare informazioni su dispositivi esterni per singoli utenti, è possibile utilizzare la tecnologia di copia shadow, che garantisce che tutte le informazioni salvate su un dispositivo esterno vengano copiate sul server. Le informazioni copiate possono essere successivamente analizzate per analizzare le azioni dell'utente. Questa tecnologia copia tutto, e attualmente non esistono sistemi che consentano l'analisi del contenuto dei file archiviati in modo da bloccarne l'operazione ed evitare perdite, come fanno i DLP di rete. Tuttavia, un archivio di copie shadow fornirà indagini sugli incidenti e analisi retrospettiva degli eventi sulla rete, e la presenza di un tale archivio significa che un potenziale insider può essere catturato e punito per le sue azioni. Questo potrebbe rivelarsi un ostacolo significativo per lui e una ragione significativa per abbandonare azioni ostili.

Vale anche la pena menzionare il controllo sull'uso delle stampanti: anche le copie cartacee dei documenti possono diventare fonte di fuga di notizie. La DLP ospitata consente di controllare l'accesso degli utenti alle stampanti allo stesso modo di altri dispositivi esterni e di archiviare copie dei documenti stampati in formato grafico per la successiva analisi. Inoltre, è diventata piuttosto diffusa la tecnologia delle filigrane, che stampa un codice univoco su ogni pagina di un documento, che può essere utilizzato per determinare esattamente chi, quando e dove ha stampato questo documento.

Nonostante gli indubbi vantaggi del DLP basato su host, presenta una serie di svantaggi associati alla necessità di installare un software agente su ciascun computer che dovrebbe essere monitorato. In primo luogo, ciò può causare alcune difficoltà in termini di implementazione e gestione di tali sistemi. In secondo luogo, un utente con diritti di amministratore può provare a disabilitare questo software per eseguire azioni non consentite dalla politica di sicurezza.

Tuttavia, per un controllo affidabile dei dispositivi esterni, il DLP basato su host è indispensabile e i problemi menzionati non sono irrisolvibili. Pertanto, possiamo concludere che il concetto di DLP è ora uno strumento a pieno titolo nell'arsenale dei servizi di sicurezza aziendale a fronte della pressione sempre crescente su di essi per garantire il controllo interno e la protezione contro le perdite.

Il concetto di IPC

Nel processo di invenzione di nuovi mezzi per combattere le minacce interne, il pensiero scientifico e ingegneristico della società moderna non si ferma e, tenendo conto di alcune carenze dei mezzi discussi sopra, il mercato dei sistemi di protezione dalle fughe di informazioni è arrivato al limite concetto di IPC (Protezione e Controllo delle Informazioni). Questo termine è apparso relativamente di recente; si ritiene che sia stato utilizzato per la prima volta in una revisione da parte della società di analisi IDC nel 2007.

L'essenza di questo concetto è combinare metodi DLP e crittografia. In questo concetto, utilizzando DLP, le informazioni che escono dalla rete aziendale vengono controllate tramite canali tecnici e la crittografia viene utilizzata per proteggere i supporti di memorizzazione che cadono fisicamente o potrebbero cadere nelle mani di persone non autorizzate.

Diamo un'occhiata alle tecnologie di crittografia più comuni che possono essere utilizzate nel concetto IPC.

Crittografia dei nastri magnetici.Nonostante la natura arcaica di questo tipo di media, continua ad essere utilizzato attivamente Prenota copia e per trasferire grandi volumi di informazioni, poiché non ha ancora eguali in termini di costo unitario di un megabyte immagazzinato. Di conseguenza, le fughe di notizie continuano a deliziare i redattori dei newswire che le mettono in prima pagina e a frustrare i CIO e i team di sicurezza delle aziende che diventano gli eroi di tali rapporti. La situazione è aggravata dal fatto che tali nastri contengono quantità molto grandi di dati e, pertanto, un gran numero di persone può diventare vittima di truffatori.
Crittografia degli archivi del server.Nonostante il fatto che l'archiviazione del server venga trasportata molto raramente e che il rischio della sua perdita sia incommensurabilmente inferiore a quello del nastro magnetico, un separato HDD dallo stoccaggio potrebbero cadere nelle mani di criminali. Riparazione, smaltimento, aggiornamento: questi eventi si verificano con sufficiente regolarità per ammortizzare questo rischio. E la situazione dell'ingresso in ufficio di persone non autorizzate non è un evento del tutto impossibile.

Qui vale la pena fare una piccola digressione e menzionare l'idea sbagliata comune secondo cui se un disco fa parte di un array RAID, allora, presumibilmente, non devi preoccuparti che cada nelle mani sbagliate. Sembrerebbe che l'alternanza dei dati registrati in diversi dischi fissi, eseguito dai controller RAID, fornisce un aspetto illeggibile ai dati che si trovano su qualsiasi tipo di disco rigido. Sfortunatamente, questo non è del tutto vero. L'interleaving avviene, ma nella maggior parte dei dispositivi moderni viene eseguito a livello di blocco da 512 byte. Ciò significa che, nonostante la violazione della struttura e dei formati dei file, è ancora possibile estrarre informazioni riservate da un disco rigido di questo tipo. Pertanto, se è necessario garantire la riservatezza delle informazioni archiviate in un array RAID, la crittografia rimane l'unica opzione affidabile.

Crittografia dei laptop.Questo è già stato detto innumerevoli volte, ma ormai da molti anni la perdita di laptop con informazioni riservate non figura tra i primi cinque incidenti della hit parade.
Crittografia dei supporti rimovibili.In questo caso parliamo di dispositivi USB portatili e, talvolta, di CD e DVD registrabili se utilizzati nei processi aziendali dell'azienda. Tali sistemi, così come i suddetti sistemi di crittografia del disco rigido dei laptop, possono spesso fungere da componenti di sistemi DLP host. In questo caso si parla di una sorta di perimetro crittografico, che garantisce la crittografia automatica e trasparente dei media all'interno e l'impossibilità di decrittografare i dati all'esterno.

Pertanto, la crittografia può espandere significativamente le capacità dei sistemi DLP e ridurre il rischio di fuga di dati riservati. Nonostante il fatto che il concetto di IPC abbia preso forma relativamente di recente e che la scelta di soluzioni IPC complesse sul mercato non sia molto ampia, l'industria sta esplorando attivamente quest'area ed è del tutto possibile che dopo un po 'di tempo questo concetto diventerà il de standard di fatto per risolvere problemi di sicurezza interna e di controllo della sicurezza interna.

conclusioni

Come si può vedere da questa recensione, le minacce interne sono un'area abbastanza nuova nella sicurezza delle informazioni, che, tuttavia, si sta sviluppando attivamente e richiede maggiore attenzione. Le tecnologie di controllo dei documenti considerate, DLP e IPC, consentono di costruire un sistema di controllo interno abbastanza affidabile e di ridurre il rischio di perdite a un livello accettabile. Senza dubbio, quest'area della sicurezza delle informazioni continuerà a svilupparsi, verranno offerte tecnologie più nuove e avanzate, ma oggi molte organizzazioni optano per l'una o l'altra soluzione, poiché la disattenzione in materia di sicurezza delle informazioni può essere troppo costosa.

Alexey Raevskij
Amministratore Delegato di SecurIT

Popolare nella categoria: