집 › 문제 › 내부자로부터 소프트웨어 보호 pdf. Zlock 시스템을 사용하여 내부자로부터 보호합니다. 정적 장치 차단 기반 시스템

내부자로부터 소프트웨어 보호 pdf. Zlock 시스템을 사용하여 내부자로부터 보호합니다. 정적 장치 차단 기반 시스템

"컨설턴트", 2011, N 9

“정보를 소유한 사람이 세상을 소유한다” – 윈스턴 처칠의 이 유명한 격언은 현대 사회에서 그 어느 때보다 더 적절합니다. 지식, 아이디어, 기술이 가장 중요하며, 시장 리더십은 기업이 지적 자본을 얼마나 잘 관리할 수 있는지에 달려 있습니다.

이러한 상황에서는 조직의 정보 보안이 특히 중요해집니다.

경쟁업체에 대한 정보 유출이나 내부 프로세스에 대한 정보 공개는 회사가 시장에서 차지하는 위치에 즉시 영향을 미칩니다.

체계 정보 보안기술적, 조직적, 인적 요인으로 인한 위협 등 다양한 위협으로부터 보호해야 합니다.

실습에서 알 수 있듯이 정보 유출의 주요 채널은 내부자입니다.

후방에 적

일반적으로 내부자는 기밀 정보를 공개하여 회사에 손해를 끼치는 회사 직원입니다.

그러나 정보 보안의 목표인 기밀성, 무결성, 가용성의 세 가지 주요 조건을 고려하면 이 정의가 확장될 수 있습니다.

내부자는 기업의 기밀 정보에 합법적인 공식 접근 권한을 갖고 있어 정보의 공개, 왜곡, 손상 또는 접근 불가를 초래하는 직원이라고 할 수 있습니다.

이런 일반화는 받아들일 수 있다. 현대 세계정보의 무결성 및 가용성에 대한 위반은 종종 기밀 정보의 공개보다 비즈니스에 훨씬 더 심각한 결과를 초래합니다.

많은 기업의 경우 비즈니스 프로세스가 단기간이라도 중단되면 상당한 재정적 손실을 입을 수 있으며, 며칠 내에 기능이 중단되면 치명적일 수 있는 큰 타격을 입을 수 있습니다.

비즈니스 위험을 연구하는 다양한 조직에서는 정기적으로 연구 결과를 발표합니다. 이들에 따르면 내부자 정보는 수년간 정보 보안 위반 사유 목록에서 꾸준히 1위를 차지했습니다.

총 사고 건수가 꾸준히 증가함에 따라 문제의 관련성이 지속적으로 증가하고 있다고 결론 내릴 수 있습니다.

위협 모델

문제를 효과적으로 해결하는 데 도움이 되는 안정적인 계층형 정보 보안 시스템을 구축하려면 먼저 위협 모델을 만드는 것이 필요합니다.

내부자가 누구인지, 무엇이 그들에게 동기를 부여하는지, 왜 그들이 특정 행동을 취하는지 이해해야 합니다.

이러한 모델을 생성하는 데는 다양한 접근 방식이 있지만 실용적인 목적으로 모든 주요 유형의 내부자를 포함하는 다음 분류를 사용할 수 있습니다.

내부 해커

일반적으로 이러한 직원은 평균 이상의 엔지니어링 자격을 갖추고 있으며 기업 자원의 구조, 컴퓨터 시스템 및 네트워크 아키텍처를 이해합니다.

그는 호기심과 스포츠적 관심으로 해킹 작업을 수행하며 자신의 능력의 한계를 탐구합니다.

일반적으로 그는 자신의 행동으로 인해 발생할 수 있는 피해를 알고 있으므로 실질적인 피해를 입히는 경우는 거의 없습니다.

그의 행동으로 인해 회사에서 발생하는 일부 프로세스가 일시적으로 중단될 수 있으므로 위험 정도는 중간입니다. 활동 식별은 주로 기술적 수단을 통해 가능합니다.

무책임하고 자격이 낮은 직원

다양한 기술을 보유하고 기업의 모든 부서에서 일할 수 있습니다.

자신의 행동의 결과에 대해 생각하지 않는 경향이 있고 "시행 착오"를 통해 회사의 정보 자원을 사용하여 의도치 않게 정보를 파괴하고 왜곡할 수 있기 때문에 위험합니다.

일반적으로 그는 자신의 행동 순서를 기억하지 못하며 부정적인 결과를 발견하면 그에 대해 침묵을 지킬 수도 있습니다.

친구와의 개인적인 대화나 인터넷 포럼 및 대화에서 영업비밀을 구성하는 정보가 공개될 수 있습니다. 소셜 네트워크에서.

특히 이러한 유형의 범죄자가 다른 범죄자보다 더 흔하다는 점을 고려하면 위험 정도는 매우 높습니다. 그의 활동의 결과는 의식적인 공격자의 결과보다 훨씬 더 심각할 수 있습니다.

그의 행동으로 인한 결과를 방지하려면 기술적(권한 부여, 계정별 작업 세션 의무 분할) 및 조직적(작업 프로세스 및 결과에 대한 지속적인 관리 제어) 등 다양한 조치를 취해야 합니다. .

심리적으로 불안정한 사람

이전 유형의 대표자와 마찬가지로 그는 어떤 직위에서도 일할 수 있으며 매우 다른 자격을 가지고 있습니다. 극단적인 상황, 다른 직원의 심리적 압력 또는 단순히 강한 자극 등 심리적 불편함의 조건에서 동기가 약한 행동 경향으로 인해 위험합니다.

감정적인 상태에서는 기밀 정보가 공개되고, 데이터가 손상되고, 다른 사람의 일반적인 업무 과정이 방해를 받을 수 있습니다.

위험 정도는 평균이지만 이러한 유형의 범죄자는 그리 흔하지 않습니다.

그의 행동의 부정적인 결과를 방지하려면 인터뷰 단계에서 그러한 사람들을 식별하고 정보에 대한 접근을 제한하며 팀의 편안한 심리적 분위기를 유지하는 관리 조치를 사용하는 것이 가장 효과적입니다.

모욕적이고 불쾌한 직원

정보 보안 체제의 잠재적 위반자 중 가장 광범위한 그룹입니다.

이론적으로 대다수의 직원은 회사에 비우호적인 행위를 저지를 수 있습니다.

이는 경영진이 직원의 성격이나 직업적 자질을 무시하고 이것이 급여 수준에 영향을 미칠 때 발생할 수 있습니다.

잠재적으로 이러한 유형의 내부자는 매우 높은 위험을 초래합니다. 정보 유출 및 손상이 모두 가능하며 직원이 의식적으로 정보를 유발하고 모든 취약점을 잘 알고 있기 때문에 이로 인한 피해는 비즈니스에 눈에 띄게 보장됩니다.

활동을 탐지하려면 관리적, 기술적 조치가 모두 필요합니다.

불결한 직원

자신이 일하는 회사의 재산을 희생하여 개인의 부를 보충하려는 직원. 해당 항목 중에는 다양한 기밀 정보 매체가 있을 수 있습니다( 하드 디스크, 플래시 드라이브, 기업 노트북).

이 경우 정보가 의도하지 않은 사람에게 전달되어 이후에 게시되거나 경쟁업체에 전송될 위험이 있습니다.

위험은 평균이지만 이러한 유형은 드문 일이 아닙니다.

이를 식별하기 위해서는 먼저 행정적 조치가 필요합니다.

경쟁사 대표

일반적으로 그는 높은 자격을 갖추고 있으며 기밀 정보를 포함한 정보를 얻을 수 있는 충분한 기회를 제공하는 직위를 맡고 있습니다. 이는 채용된 기존 직원이거나 경쟁업체에 의해 매각되거나(더 자주) 회사에 특별히 소개된 내부자입니다.

정보의 가치와 회사의 취약점을 의식적으로, 깊이 이해하면서 피해가 발생하기 때문에 위험 정도는 매우 높습니다.

활동을 식별하려면 관리적, 기술적 조치가 모두 필요합니다.

우리는 무엇을 훔치고 있습니까?

내부자 정보의 문제를 이해하는 것은 도난당한 정보의 성격을 고려하지 않고는 불가능합니다.

통계에 따르면 고객의 개인 데이터와 고객 회사 및 파트너에 대한 정보가 가장 많이 요구되며 절반 이상의 경우가 도난당했습니다. 거래 세부사항, 계약 조건 및 배송은 다음과 같습니다. 재무 보고서에도 큰 관심이 있습니다.

일련의 보호 조치를 수립할 때 각 회사는 필연적으로 다음과 같은 질문에 직면하게 됩니다. 어떤 특정 정보에 특별한 보호 조치가 필요하고 어떤 정보가 필요하지 않습니까?

물론 그러한 결정의 기초는 위험 분석의 결과로 얻은 데이터입니다. 그러나 기업은 정보 보안 시스템에 투자할 수 있는 재정적 자원이 제한되어 있어 모든 위험을 최소화하기에는 충분하지 않은 경우가 많습니다.

두 가지 접근 방식

불행하게도 “무엇을 먼저 보호해야 하는가”라는 질문에 대한 준비된 대답은 없습니다.

이 문제는 두 가지 측면에서 접근할 수 있습니다.

위험은 특정 위협이 발생할 가능성과 이로 인해 발생할 수 있는 피해를 모두 고려하는 복잡한 지표입니다. 따라서 보안 우선순위를 설정할 때 이러한 지표 중 하나에 집중할 수 있습니다. 즉, 가장 먼저 보호되는 정보는 가장 쉽게 훔칠 수 있는 정보이고(예: 많은 수의 직원이 해당 정보에 액세스할 수 있는 경우), 훔치거나 차단할 경우 가장 심각한 결과를 초래할 수 있는 정보입니다.

내부자 문제의 중요한 측면은 정보 전송 채널입니다. 승인되지 않은 정보가 회사 외부로 전송될 수 있는 물리적 기회가 많을수록 이런 일이 발생할 가능성도 높아집니다.

전송 메커니즘

전송 메커니즘은 다음과 같이 분류될 수 있습니다.

구두 전달(개인 대화);
기술 데이터 전송 채널( 전화 통신, 팩스, 이메일, 메시징 시스템, 다양한 소셜 인터넷 서비스 등);
휴대용 미디어와 모바일 장치 (휴대폰, 외장 하드 드라이브, 노트북, 플래시 드라이브 등).

우리 시대의 연구에 따르면 기밀 데이터를 전송하는 가장 일반적인 채널은 이메일, 모바일 장치(노트북 포함), 소셜 네트워크 및 기타 인터넷 서비스(예: 인스턴트 메시징 시스템) 등입니다(내림차순).

기술 채널을 제어하기 위해 다양한 수단을 사용할 수 있으며 현재 보안 시장에서 사용 가능한 다양한 제품이 있습니다.

예를 들어, 콘텐츠 필터링 시스템(동적 차단 시스템), 정보 매체(CD, DVD, Bluetooth)에 대한 액세스를 제한하는 수단.

관리적 조치도 적용됩니다: 인터넷 트래픽 필터링, 워크스테이션의 물리적 포트 차단, 관리 체계 및 물리적 보안 보장.

선택할 때 기술적 수단기밀 정보를 보호하려면 체계적인 접근이 필요합니다. 이러한 방법으로만 구현 시 최대의 효율성을 얻을 수 있습니다.

또한 각 회사가 직면한 과제는 고유하며 다른 조직에서 사용하는 솔루션을 사용하는 것이 단순히 불가능한 경우가 많다는 점을 이해해야 합니다.

내부자 정보와의 싸움은 단독으로 수행되어서는 안 되며, 이는 정보 보안 체제 보장을 목표로 하는 전체 비즈니스 프로세스의 중요한 구성 요소입니다.

이는 전문가에 의해 수행되어야 하며 정보 보안 정책 개발, 범위 정의, 위험 분석, 대책 선택 및 구현, 정보 보안 시스템 감사 등 전체 활동 주기를 포함해야 합니다.

기업이 단지 전체에 걸쳐 정보 보안을 보장하지 않으면 정보 유출 및 손상으로 인한 금전적 손실 위험이 급격히 증가합니다.

위험 최소화

시험

회사의 모든 직책에 지원하는 지원자를 철저히 심사합니다. 소셜 네트워크 페이지의 콘텐츠를 포함하여 후보자에 대해 가능한 한 많은 정보를 수집하는 것이 좋습니다. 이전 직장에 대한 참고 자료를 요청하는 것도 도움이 될 수 있습니다.
IT 엔지니어 직위 후보자는 특히 철저한 심사를 거쳐야합니다. 실습에 따르면 전체 내부자 중 절반 이상이 시스템 관리자그리고 프로그래머.
채용 시에는 최소한 후보자에 대한 심리검사를 실시해야 합니다. 이는 정신 건강이 불안정한 지원자를 식별하는 데 도움이 됩니다.

오른쪽으로 접근하세요

접근 공유 시스템 기업 자원. 기업은 기밀 수준에 따라 정보의 순위를 지정하고 정보에 대한 액세스 권한을 명확하게 정의하는 규제 문서를 작성해야 합니다. 모든 리소스에 대한 액세스는 개인화되어야 합니다.
자원에 대한 접근 권한은 "최소 충분성" 원칙에 따라 할당되어야 합니다. 기술 장비 유지 관리에 대한 액세스는 관리자 권한이 있더라도 항상 정보 자체를 볼 수 있는 액세스와 함께 제공되어서는 안 됩니다.
필수 인증 및 수행된 작업에 대한 정보를 로그에 기록하여 사용자 작업을 최대한 심층적으로 모니터링합니다. 로그를 주의 깊게 보관할수록 경영진이 회사 상황에 대해 더 많은 통제권을 갖게 됩니다. 인터넷에 공식적으로 접속할 때 직원의 행동에도 동일하게 적용됩니다.

통신 표준

조직은 직원들이 서로를 향한 모든 형태의 부적절한 행동(공격성, 폭력, 과도한 친밀감)을 배제하는 자체 의사소통 표준을 채택해야 합니다. 우선, 이는 '관리자-하급' 관계에 적용됩니다.

어떤 경우에도 직원은 자신이 부당한 대우를 받고 있다거나, 자신이 충분히 평가받지 못한다거나, 불필요하게 착취당하고 있거나, 속고 있다는 느낌을 받아서는 안 됩니다.

이 간단한 규칙을 따르면 직원이 내부 정보를 제공하도록 자극하는 대부분의 상황을 피할 수 있습니다.

기밀성

비공개 계약은 단순한 형식이 되어서는 안 됩니다. 중요한 정보에 접근할 수 있는 모든 직원이 서명해야 합니다. 정보 자원회사.

또한, 면접 단계에서도 회사가 정보보안을 어떻게 관리하고 있는지를 예비 직원들에게 설명해야 합니다.

자금 통제

직원이 업무 목적으로 사용하는 기술적 수단에 대한 통제를 나타냅니다.

예를 들어, 개인 노트북을 사용하는 것은 바람직하지 않습니다. 직원이 퇴사하면 어떤 정보가 저장되어 있는지 알아내는 것이 불가능할 가능성이 높기 때문입니다.

같은 이유로 상자를 사용하는 것은 바람직하지 않습니다. 이메일외부 자원에.

내부 루틴

기업은 내부 규정을 준수해야 합니다.

직원이 직장에서 보내는 시간에 대한 정보가 필요합니다.

물질적 자산의 이동에 대한 통제도 보장되어야 합니다.

위의 모든 규칙을 준수하면 내부 정보를 통해 정보가 손상되거나 유출될 위험이 줄어들어 심각한 재정적 또는 명예 손실을 예방하는 데 도움이 됩니다.

관리 파트너

회사 그룹 호스팅 커뮤니티

오늘날 기밀 정보 유출에는 두 가지 주요 채널이 있습니다. 컴퓨터에 연결된 장치(플래시 드라이브, CD/DVD 드라이브 등을 포함한 모든 종류의 이동식 저장 장치, 프린터)와 인터넷(이메일, ICQ, 소셜 미디어)입니다. 네트워크 등) d.). 따라서 기업이 이에 대한 보호 시스템을 구현하기에 "성숙"한 경우 이 솔루션에 포괄적으로 접근하는 것이 좋습니다. 문제는 다양한 채널을 다루기 위해 다양한 접근 방식이 사용된다는 것입니다. 한 경우에는 가장 효과적인 방법보호 기능은 이동식 드라이브의 사용을 제어하고 두 번째 기능에는 콘텐츠 필터링을 위한 다양한 옵션이 포함되어 기밀 데이터가 외부 네트워크로 전송되는 것을 차단할 수 있습니다. 따라서 기업은 내부자로부터 보호하기 위해 두 가지 제품을 사용해야 하며, 이는 함께 포괄적인 보안 시스템을 구성합니다. 당연히 한 개발자의 도구를 사용하는 것이 좋습니다. 이 경우 구현, 관리 및 직원 교육 프로세스가 단순화됩니다. 예를 들어 SecurIT의 제품인 Zlock과 Zgate를 들 수 있습니다.

Zlock: 이동식 드라이브를 통한 누출 방지

Zlock 프로그램은 꽤 오랫동안 시장에 출시되었습니다. 그리고 우리는 이미. 원칙적으로 반복하는 것은 의미가 없습니다. 그러나 기사가 게시된 이후 Zlock의 두 가지 새로운 버전이 출시되어 여러 가지 중요한 기능이 추가되었습니다. 비록 아주 간략하더라도 그들에 대해 이야기할 가치가 있습니다.

우선, 컴퓨터가 연결되어 있는지 여부에 따라 독립적으로 적용되는 여러 정책을 컴퓨터에 할당할 수 있다는 점에 주목할 가치가 있습니다. 기업 네트워크 VPN을 통해 직접 또는 자율적으로 작동합니다. 특히 이를 통해 PC가 로컬 네트워크에서 연결이 끊어지면 USB 포트와 CD/DVD 드라이브를 자동으로 차단할 수 있습니다. 일반적으로 이 기능직원들이 여행이나 집에서 일할 때 사무실 밖으로 가져갈 수 있는 랩탑에 저장된 정보의 보안을 강화합니다.

두번째 새로운 기회- 회사 직원에게 전화를 통해 차단된 장치 또는 장치 그룹에 대한 임시 액세스를 제공합니다. 작동 원리는 프로그램 생성을 교환하는 것입니다. 비밀 코드이용자와 정보보안 책임자 사이의 사용 권한은 영구적으로 발급될 뿐만 아니라 일시적으로(특정 시간 동안 또는 작업 세션이 끝날 때까지) 발급될 수 있다는 점이 주목할 만합니다. 이 도구는 보안 시스템을 약간 완화한 것으로 간주될 수 있지만 비즈니스 요청에 대한 IT 부서의 대응력을 높일 수 있습니다.

Zlock 새 버전의 다음 중요한 혁신은 프린터 사용을 제어하는 것입니다. 설정 후 보안 시스템은 인쇄 장치에 대한 모든 사용자 요청을 특수 로그에 기록합니다. 하지만 그게 전부는 아닙니다. Zlock은 이제 모든 인쇄된 문서의 섀도 복사를 제공합니다. 그들은 등록합니다 PDF 형식이는 어떤 파일이 프린터로 전송되었는지에 관계없이 인쇄된 페이지의 전체 복사본입니다. 이는 내부자가 사무실 밖으로 가져가기 위해 데이터를 인쇄할 때 종이 시트에 있는 기밀 정보가 유출되는 것을 방지하는 데 도움이 됩니다. 보안 시스템에는 CD/DVD 디스크에 기록된 정보의 섀도 복사도 포함됩니다.

중요한 혁신은 서버 구성 요소인 Zlock Enterprise Management Server의 출현이었습니다. 이는 보안 정책 및 기타 프로그램 설정의 중앙 집중식 저장 및 배포를 제공하며 대규모 분산 정보 시스템에서 Zlock 관리를 크게 촉진합니다. 필요한 경우 도메인 및 로컬 Windows 사용자의 사용을 포기할 수 있는 자체 인증 시스템의 출현은 말할 것도 없습니다.

이 외에도, 최신 버전이제 Zlock에는 눈에 띄지 않지만 매우 중요한 기능이 있습니다. 즉, 변조가 감지될 때 사용자 로그인을 차단하는 기능으로 클라이언트 모듈의 무결성 모니터링, 보안 시스템 구현을 위한 확장 기능, Oracle DBMS 지원 등이 있습니다.

Zgate: 인터넷 유출로부터 보호

그럼, 지게이트. 이미 말씀드린 바와 같이 본 제품은 인터넷을 통한 기밀정보 유출을 방지하기 위한 시스템입니다. 구조적으로 Zgate는 세 부분으로 구성됩니다. 주요 구성 요소는 모든 데이터 처리 작업을 수행하는 서버 구성 요소입니다. 별도의 컴퓨터와 회사에서 이미 실행 중인 컴퓨터 모두에 설치할 수 있습니다. 정보 시스템노드 - 인터넷 게이트웨이, 도메인 컨트롤러, 메일 게이트웨이 등 이 모듈은 SMTP 트래픽 모니터링, Microsoft Exchange 2007/2010 서버의 내부 메일 모니터링 및 Zgate Web(제어를 담당함)의 세 가지 구성 요소로 구성됩니다. HTTP, FTP 및 IM 트래픽).

보안 시스템의 두 번째 부분은 로깅 서버입니다. 하나 이상의 Zgate 서버에서 이벤트 정보를 수집하고 처리하고 저장하는 데 사용됩니다. 이 모듈은 규모가 크고 지리적으로 분산된 환경에서 특히 유용합니다. 기업 시스템, 모든 데이터에 대한 중앙 집중식 액세스를 제공하기 때문입니다. 세 번째 부분은 관리 콘솔입니다. SecurIT 제품의 표준 콘솔을 사용하므로 자세히 설명하지 않겠습니다. 이 모듈을 사용하면 로컬뿐만 아니라 원격으로도 시스템을 제어할 수 있습니다.

관리 콘솔

Zgate 시스템은 여러 모드로 작동할 수 있습니다. 또한 가용성은 제품 구현 방법에 따라 다릅니다. 처음 두 가지 모드에는 메일 프록시 서버로 작동하는 작업이 포함됩니다. 이를 구현하기 위해 시스템은 기업 메일 서버와 "외부 세계" 사이(또는 메일 서버와 송신 서버가 분리된 경우 사이)에 설치됩니다. 이 경우 Zgate는 트래픽을 필터링(지연 침해 및 의심스러운 메시지)하고 기록만 할 수 있습니다(모든 메시지를 전달하지만 아카이브에 저장).

두 번째 구현 방법은 Microsoft Exchange 2007 또는 2010과 함께 보호 시스템을 사용하는 것입니다. 이렇게 하려면 회사에 Zgate를 직접 설치해야 합니다. 메일 서버. 필터링과 로깅이라는 두 가지 모드도 사용할 수 있습니다. 이 외에도 또 다른 구현 옵션이 있습니다. 미러링된 트래픽 모드에서 메시지를 로깅하는 것에 대해 이야기하고 있습니다. 당연히 이를 사용하려면 Zgate가 설치된 컴퓨터가 이와 동일한 미러링된 트래픽을 수신하는지 확인해야 합니다(일반적으로 이는 네트워크 장비를 사용하여 수행됨).

Zgate 작동 모드 선택

Zgate 웹 구성 요소에 대해서는 별도의 이야기가 필요합니다. 기업 인터넷 게이트웨이에 직접 설치됩니다. 동시에 이 하위 시스템은 HTTP, FTP 및 IM 트래픽을 모니터링하는 기능, 즉 웹 메일 인터페이스 및 ICQ를 통해 기밀 정보를 전송하려는 시도를 감지하고 포럼, FTP 서버 및 소셜 미디어에 게시하는 기능을 얻습니다. 네트워크 등 그런데 ICQ에 대해. IM 메신저 차단 기능은 유사한 제품에 많이 있습니다. 그러나 거기에는 "ICQ"가 없습니다. 러시아어를 사용하는 국가에서 가장 널리 퍼져 있기 때문입니다.

Zgate 웹 구성 요소의 작동 원리는 매우 간단합니다. 정보가 제어되는 서비스로 전송될 때마다 시스템은 특별한 메시지를 생성합니다. 여기에는 정보 자체와 일부 서비스 데이터가 포함되어 있습니다. 이는 기본 Zgate 서버로 전송되어 지정된 규칙에 따라 처리됩니다. 당연히 서비스 자체에서는 정보 전송이 차단되지 않습니다. 즉, Zgate Web은 로깅 모드에서만 작동합니다. 이를 통해 고립된 데이터 유출을 방지할 수는 없지만 이를 신속하게 감지하고 자발적이거나 무의식적인 공격자의 활동을 중지할 수 있습니다.

Zgate 웹 구성 요소 설정

Zgate에서 정보가 처리되는 방식과 필터링 절차는 보안 담당자 또는 기타 담당 직원이 개발한 정책에 따라 결정됩니다. 이는 일련의 조건을 나타내며 각 조건은 특정 작업에 해당합니다. 들어오는 모든 메시지는 순차적으로 하나씩 "실행"됩니다. 그리고 조건 중 하나라도 충족되면 해당 조건과 관련된 작업이 시작됩니다.

여과 시스템

전체적으로 시스템은 "모든 경우에 대해"라고 말하는 8가지 유형의 조건을 제공합니다. 첫 번째는 첨부 파일 형식입니다. 이를 통해 특정 형식의 개체를 보내려는 시도를 감지할 수 있습니다. 분석은 확장명이 아닌 파일의 내부 구조에 따라 수행되며 특정 유형의 개체와 해당 그룹(예: 모든 아카이브, 비디오 등)을 모두 지정할 수 있다는 점은 주목할 가치가 있습니다. 두 번째 유형의 조건은 외부 애플리케이션에 의한 확인입니다. 응용 프로그램으로서 다음 위치에서 실행되는 일반 프로그램으로 작동할 수 있습니다. 명령줄, 그리고 스크립트.

여과 시스템의 조건

그러나 다음 조건은 더 자세히 살펴볼 가치가 있습니다. 우리는 전송된 정보의 내용 분석에 대해 이야기하고 있습니다. 우선, Zgate의 '잡식성'에 주목할 필요가 있습니다. 사실 이 프로그램은 다양한 형식을 "이해"합니다. 따라서 간단한 텍스트뿐만 아니라 거의 모든 첨부 파일을 분석할 수 있습니다. 컨텐츠 분석의 또 다른 특징은 뛰어난 기능입니다. 이는 메시지 텍스트나 특정 단어의 다른 필드에서 발생하는 항목에 대한 간단한 검색 또는 문법적 단어 형식, 형태소 분석 및 음역 고려를 포함한 본격적인 분석으로 구성될 수 있습니다. 그러나 그것이 전부는 아닙니다. 패턴 및 정규식 분석 시스템은 특별히 언급할 가치가 있습니다. 이를 통해 메시지에서 특정 형식의 데이터(예: 여권 시리즈 및 번호, 전화번호, 계약 번호, 은행 계좌 번호 등)의 데이터 존재 여부를 쉽게 감지할 수 있습니다. 회사가 처리하는 개인정보를 보호합니다.

다양한 기밀 정보를 식별하는 패턴

네 번째 유형의 조건은 편지에 표시된 주소를 분석하는 것입니다. 즉, 특정 문자열을 검색하는 것입니다. 다섯째 - 암호화된 파일 분석. 실행되면 메시지 및/또는 중첩된 개체의 속성이 확인됩니다. 여섯 번째 유형의 조건은 문자의 다양한 매개변수를 확인하는 것입니다. 일곱째는 사전분석이다. 이 과정에서 시스템은 메시지에서 미리 생성된 사전의 단어가 있는지 감지합니다. 그리고 마지막으로, 마지막 여덟 번째 유형의 조건은 복합형입니다. 논리 연산자로 결합된 두 개 이상의 다른 조건을 나타냅니다.

그런데 조건 설명에서 언급한 사전에 대해서는 별도로 말해야 합니다. 하나의 특성으로 결합된 단어들의 그룹으로 다양한 필터링 방법에 사용됩니다. 가장 논리적인 일은 메시지를 하나의 카테고리 또는 다른 카테고리로 분류할 가능성이 높은 사전을 만드는 것입니다. 해당 내용을 수동으로 입력하거나 기존 내용에서 가져올 수 있습니다. 텍스트 파일. 사전을 생성하는 또 다른 옵션인 자동이 있습니다. 이를 사용할 때 관리자는 관련 문서가 포함된 폴더를 지정하기만 하면 됩니다. 프로그램 자체가 이를 분석하고, 필요한 단어를 선택하고, 가중치 특성을 지정합니다. 고품질 사전 편집을 위해서는 기밀 파일뿐만 아니라 민감한 정보가 포함되지 않은 개체도 표시해야 합니다. 일반적으로 자동 생성 프로세스는 광고 및 일반 편지에 대한 스팸 방지 교육과 가장 유사합니다. 두 국가 모두 유사한 기술을 사용하기 때문에 이는 놀라운 일이 아닙니다.

금융 주제에 관한 사전의 예

사전에 관해 말하면 Zgate에 구현된 또 다른 기밀 데이터 탐지 기술도 언급하지 않을 수 없습니다. 우리는 디지털 지문에 대해 이야기하고 있습니다. 본질 이 방법다음과 같다. 관리자는 기밀 데이터가 포함된 시스템 폴더를 표시할 수 있습니다. 프로그램은 그 안의 모든 문서를 분석하고 파일의 전체 내용뿐만 아니라 개별 부분도 전송하려는 시도를 결정할 수 있는 데이터 세트인 "디지털 지문"을 생성합니다. 시스템은 지정된 폴더의 상태를 자동으로 모니터링하고 해당 폴더에 다시 나타나는 모든 개체에 대해 독립적으로 "지문"을 생성합니다.

파일의 디지털 지문으로 카테고리 생성

이제 남은 것은 문제의 보호 시스템에서 구현된 작업을 파악하는 것입니다. 전체적으로 Zgate에서는 이미 14개가 판매되었습니다. 그러나 대부분은 메시지와 함께 수행되는 작업을 결정합니다. 특히 여기에는 보내지 않고 삭제(즉, 편지 전송 차단), 아카이브에 넣기, 첨부 파일 추가 또는 삭제, 다양한 필드 변경, 텍스트 삽입 등이 포함됩니다. 그중에서도 특히 그렇습니다. 격리된 편지를 보관하는 것은 주목할 가치가 있습니다. 이 작업추가 운명을 결정할 보안 담당자의 수동 확인을 위해 메시지를 "연기"할 수 있습니다. 또한 매우 흥미로운 것은 IM 연결을 차단할 수 있는 작업입니다. 기밀 정보가 포함된 메시지가 전송된 채널을 즉시 차단하는 데 사용할 수 있습니다.

두 가지 작업은 베이지안 방법에 의한 처리와 지문 방법에 의한 처리라는 다소 차이가 있습니다. 둘 다 메시지에 민감한 정보가 포함되어 있는지 확인하도록 설계되었습니다. 첫 번째만 사전과 통계 분석을 사용하고 두 번째는 디지털 지문을 사용합니다. 이러한 작업은 특정 조건이 충족될 때(예: 수신자의 주소가 회사 도메인에 없는 경우) 수행될 수 있습니다. 또한 다른 메시지와 마찬가지로 모든 발신 메시지에 무조건 적용되도록 설정할 수 있습니다. 이 경우 시스템은 문자를 분석하여 특정 카테고리에 할당합니다(물론 이것이 가능한 경우). 그러나 이러한 범주의 경우 이미 특정 작업을 구현하여 조건을 생성할 수 있습니다.

Zgate 시스템의 작업

자, 오늘 Zgate에 대한 대화를 마치면서 간단히 요약할 수 있습니다. 이 보호 시스템은 주로 메시지의 내용 분석을 기반으로 합니다. 이 접근 방식은 인터넷을 통한 기밀 정보 유출을 방지하는 데 가장 일반적입니다. 당연히 콘텐츠 분석은 100% 보호 수준을 제공하지 않으며 본질적으로 확률적입니다. 그러나 이를 사용하면 민감한 데이터의 무단 전송을 대부분 방지할 수 있습니다. 기업이 이를 사용해야 할까요, 말아야 할까요? 모든 사람은 구현 비용을 평가하고 이를 스스로 결정해야 합니다. 가능한 문제정보 유출의 경우. Zgate가 정규식을 포착하는 데 탁월한 역할을 한다는 점은 주목할 가치가 있습니다. 효과적인 수단회사가 처리하는 개인정보를 보호합니다.

연례 CSI/FBI ComputerCrimeAndSecuritySurvey와 같은 최근 정보 보안 연구에 따르면 대부분의 위협으로 인해 기업이 입은 재정적 손실이 해마다 감소하고 있는 것으로 나타났습니다. 그러나 손실이 증가하는 몇 가지 위험이 있습니다. 그 중 하나는 공무를 수행하기 위해 상업 데이터에 접근해야 하는 직원이 기밀 정보를 고의로 도용하거나 처리 규칙을 위반하는 것입니다. 이들을 내부자라고 합니다.

대부분의 경우 기밀 정보 도난은 CD 및 DVD, ZIP 장치, 가장 중요한 모든 종류의 USB 드라이브와 같은 모바일 미디어를 사용하여 수행됩니다. 전 세계적으로 내부주의가 번성하게 된 것은 대량 배포였습니다. 대부분의 은행장은 예를 들어 고객의 개인 데이터가 포함된 데이터베이스 또는 계좌 거래가 범죄 구조의 손에 들어가는 위험을 잘 알고 있습니다. 그리고 그들은 이용 가능한 조직적 방법을 사용하여 정보 도난 가능성을 방지하려고 노력하고 있습니다.

그러나 이 경우 조직적 방법은 효과적이지 않습니다. 오늘날에는 소형 플래시 드라이브를 사용하여 컴퓨터 간 정보 전송을 구성할 수 있습니다. 휴대폰, MP3 플레이어, 디지털 카메라... 물론 이러한 모든 장치를 사무실로 가져 오는 것을 금지하려고 할 수는 있지만 이는 첫째로 직원과의 관계에 부정적인 영향을 미치고 둘째로 실제로 확립하는 것이 여전히 불가능합니다. 사람들에 대한 효과적인 통제는 매우 어렵습니다. 은행은 " 사서함" 그리고 외부 미디어(FDD 및 ZIP 디스크, CD 및 DVD 드라이브 등)와 USB 포트에 정보를 기록하는 데 사용할 수 있는 컴퓨터의 모든 장치를 비활성화해도 도움이 되지 않습니다. 결국 전자는 작업에 필요하고 후자는 프린터, 스캐너 등 다양한 주변 장치에 연결됩니다. 그리고 누구도 프린터를 잠시 끄고 빈 포트에 플래시 드라이브를 삽입하고 복사하는 것을 막을 수 없습니다. 중요한 정보. 물론 자신을 보호할 수 있는 독창적인 방법을 찾을 수도 있습니다. 예를 들어, 한 은행에서는 문제를 해결하기 위해 이 방법을 시도했습니다. USB 포트와 케이블의 접합부를 에폭시 수지로 채우고 케이블을 컴퓨터에 단단히 "묶었습니다". 그러나 다행스럽게도 오늘날에는 더욱 현대적이고 안정적이며 유연한 제어 방법이 있습니다.

내부자와 관련된 위험을 최소화하는 가장 효과적인 방법은 특별한 조치입니다. 소프트웨어는 정보를 복사하는 데 사용할 수 있는 컴퓨터의 모든 장치와 포트를 동적으로 제어합니다. 그들의 작업 원리는 다음과 같습니다. 다양한 포트 및 장치를 사용할 수 있는 권한은 사용자 그룹별로 설정되거나 사용자별로 개별적으로 설정됩니다. 이러한 소프트웨어의 가장 큰 장점은 유연성입니다. 특정 유형의 장치, 해당 모델 및 개별 인스턴스에 대한 제한 사항을 입력할 수 있습니다. 이를 통해 매우 복잡한 액세스 권한 배포 정책을 구현할 수 있습니다.

예를 들어, 일부 직원이 USB 포트에 연결된 프린터나 스캐너를 사용하도록 허용할 수 있습니다. 그러나 이 포트에 삽입된 다른 모든 장치에는 액세스할 수 없습니다. 은행이 토큰 기반 사용자 인증 시스템을 사용하는 경우 설정에서 사용되는 키 모델을 지정할 수 있습니다. 그러면 사용자는 회사에서 구매한 기기만 사용할 수 있게 되며, 그 외의 기기는 모두 쓸모 없게 됩니다.

위에서 설명한 보호 시스템의 작동 원리를 바탕으로 녹음 장치 및 컴퓨터 포트의 동적 차단을 구현하는 프로그램을 선택할 때 어떤 점이 중요한지 이해할 수 있습니다. 첫째, 다양성이다. 보호 시스템은 가능한 포트와 입력/출력 장치의 전체 범위를 포괄해야 합니다. 그렇지 않으면 상업 정보의 도난 위험이 용납할 수 없을 정도로 높습니다. 둘째, 문제의 소프트웨어는 유연해야 하며 장치 유형, 모델 제조업체, 각 인스턴스의 고유 번호 등 장치에 대한 다양한 정보를 사용하여 규칙을 생성할 수 있어야 합니다. 셋째, 내부자 보호 시스템은 은행의 정보 시스템, 특히 ActiveDirectory와 통합될 수 있어야 합니다. 그렇지 않으면 관리자나 보안 담당자가 사용자와 컴퓨터에 대한 두 개의 데이터베이스를 유지해야 하므로 불편할 뿐만 아니라 오류 위험도 높아집니다.

다음을 사용하여 내부자로부터 정보를 보호합니다. 소프트웨어

알렉산더 안티포프

기사 자체, 특히 기사에 대한 논의가 소프트웨어 도구 사용의 다양한 뉘앙스를 식별하는 데 도움이 되고 정보 보안 전문가를 위해 설명된 문제에 대한 솔루션을 개발하는 출발점이 되기를 바랍니다.

나나

오랫동안 Infowatch 회사의 마케팅 부서는 IT 전문가와 가장 진보된 IT 관리자 등 모든 이해 관계자에게 회사의 정보 보안 위반으로 인한 피해의 대부분이 내부자에게 있음을 확신시켜 왔습니다. 영업 비밀. 목표는 분명합니다. 제조되는 제품에 대한 수요를 창출해야 한다는 것입니다. 그리고 그 주장은 매우 견고하고 설득력이 있어 보입니다.

문제의 공식화

LAN 기반 인력에 의한 정보도용 방지 시스템 구축 액티브 디렉토리윈도우 2000/2003. 사용자 워크스테이션 윈도우 제어 XP. 1C 제품을 기반으로 한 기업 관리 및 회계.
비밀 정보는 세 가지 방법으로 저장됩니다.

DB 1C - RDP를 통한 네트워크 액세스( 터미널 접속);
파일 서버의 공유 폴더 - 네트워크 액세스;
직원의 PC에 로컬로 저장

유출 경로 - 인터넷 및 이동식 미디어(플래시 드라이브, 휴대폰, 플레이어 등) 인터넷 및 이동식 미디어의 사용은 공무 수행에 필요하므로 금지할 수 없습니다.

시장에 무엇이 있나요?

나는 고려중인 시스템을 세 가지 클래스로 나누었습니다.

컨텍스트 분석기 기반 시스템 - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet 등
정적 장치 잠금 기반 시스템 - DeviceLock, ZLock, InfoWatch Net Monitor.
동적 장치 차단 기반 시스템 - SecrecyKeeper, Strazh, Accord, SecretNet.

컨텍스트 분석기 기반 시스템

작동 원리:
전송되는 정보에서 키워드를 검색하고, 검색 결과를 바탕으로 전송 차단 여부를 판단합니다.

제 생각에는 InfoWatch Traffic Monitor(www.infowatch.ru)가 나열된 제품 중에서 최대 기능을 갖추고 있습니다. 그 기반은 러시아어의 특성을 가장 완벽하게 고려하는 잘 입증된 Kaspersky Antispam 엔진입니다. 다른 제품과 달리 InfoWatch Traffic Monitor는 분석 시 확인 중인 데이터에 특정 행의 존재 여부뿐만 아니라 각 행의 사전 결정된 가중치도 고려합니다. 따라서 최종 결정을 내릴 때 특정 단어의 발생뿐만 아니라 해당 단어가 발생하는 조합도 고려되므로 분석기의 유연성이 높아집니다. 나머지 기능은 이러한 유형의 제품에 대한 표준입니다(아카이브 분석, MS Office 문서, 알 수 없는 형식의 파일 전송 차단 기능 또는 비밀번호로 보호된 아카이브).

상황 분석을 기반으로 고려된 시스템의 단점:

HTTP와 SMTP(InfoWatch Traffic Monitor의 경우, HTTP 트래픽의 경우 POST 요청을 사용하여 전송된 데이터만 확인하므로 GET 메서드를 사용한 데이터 전송을 통해 누출 채널을 구성할 수 있음)의 두 가지 프로토콜만 모니터링됩니다.
플로피 디스크, CD, DVD, USB 드라이브 등 데이터 전송 장치는 통제되지 않습니다. (InfoWatch에는 이 경우를 위한 제품이 있습니다: InfoWatch Net Monitor).
콘텐츠 분석을 기반으로 구축된 시스템을 우회하려면 가장 간단한 텍스트 인코딩(예: 비밀 -> с1е1к1р1е1т) 또는 스테가노그래피를 사용하는 것으로 충분합니다.
다음 문제는 내용 분석 방법으로는 해결할 수 없습니다. 적절한 공식 설명이 떠오르지 않으므로 예를 들겠습니다. 두 개의 Excel 파일이 있습니다. 첫 번째에는 소매 가격(공개 정보)이 있고 두 번째 - 특정 클라이언트에 대한 도매 가격(개인 정보), 파일 내용은 숫자만 다릅니다. 이러한 파일은 콘텐츠 분석을 사용하여 구별할 수 없습니다.

결론:
상황별 분석은 트래픽 아카이브를 생성하고 우발적인 정보 유출에 대응하는 데에만 적합하며 문제를 해결하지 못합니다.

정적 장치 차단 기반 시스템

작동 원리:
사용자에게는 파일에 대한 액세스 권한과 유사하게 제어되는 장치에 대한 액세스 권한이 할당됩니다. 원칙적으로 표준 Windows 메커니즘을 사용하여 거의 동일한 효과를 얻을 수 있습니다.

Zlock(www.securit.ru) - 제품이 비교적 최근에 등장했기 때문에 기능이 최소한이고(장식은 포함하지 않음) 특별히 기능도 좋지 않습니다. 예를 들어 저장하려고 할 때 관리 콘솔이 충돌하는 경우가 있습니다. 설정.

DeviceLock(www.smartline.ru)은 더 흥미로운 제품으로, 시장에 출시된 지 꽤 오래되었기 때문에 훨씬 더 안정적으로 작동하고 더 다양한 기능을 가지고 있습니다. 예를 들어, 전송된 정보의 섀도 복사를 허용합니다. 이는 사고 조사에 도움이 될 수 있지만 예방에는 도움이 되지 않습니다. 또한 이러한 조사는 누출 사실이 알려졌을 때 수행될 가능성이 높습니다. 발생한 후 상당한 시간이 걸립니다.

InfoWatch Net Monitor(www.infowatch.ru)는 DeviceMonitor(Zlock과 유사), FileMonitor, OfficeMonitor, AdobeMonitor 및 PrintMonitor 모듈로 구성됩니다. DeviceMonitor는 건포도가 없는 표준 기능인 Zlock과 유사합니다. FileMonitor - 파일에 대한 액세스 제어. OfficeMonitor 및 AdobeMonitor를 사용하면 해당 응용 프로그램에서 파일이 처리되는 방식을 제어할 수 있습니다. 현재 FileMonitor, OfficeMonitor 및 AdobeMonitor를 위한 유용한 응용 프로그램을 만드는 것은 매우 어렵습니다. 그러나 향후 버전에서는 처리된 데이터에 대한 상황별 분석을 수행하는 것이 가능할 것입니다. 그러면 아마도 이 모듈들이 그 잠재력을 드러낼 것입니다. 파일 작업의 상황별 분석 작업이 쉽지 않다는 점은 주목할 가치가 있지만, 특히 콘텐츠 필터링 기반이 트래픽 모니터와 동일한 경우에는 더욱 그렇습니다. 회로망.

별도로, 로컬 관리자 권한을 가진 사용자로부터 에이전트를 보호하는 것에 대해 말할 필요가 있습니다.
ZLock 및 InfoWatch Net Monitor에는 이러한 보호 기능이 없습니다. 저것들. 사용자는 에이전트를 중지하고 데이터를 복사한 다음 에이전트를 다시 시작할 수 있습니다.

DeviceLock에는 이러한 보호 기능이 있으며 이는 확실한 장점입니다. 이는 레지스트리 작업을 위한 시스템 호출을 가로채는 것을 기반으로 합니다. 파일 시스템및 프로세스 관리. 또 다른 장점은 보호가 안전 모드에서도 작동한다는 것입니다. 그러나 마이너스도 있습니다. 보호를 비활성화하려면 간단한 드라이버를 다운로드하여 서비스 설명자 테이블을 복원하는 것으로 충분합니다.

정적 장치 차단을 기반으로 고려된 시스템의 단점:

네트워크로의 정보 전송은 통제되지 않습니다.
-비밀이 아닌 정보와 기밀 정보를 구별하는 방법을 모릅니다. 그것은 모든 것이 가능하거나 불가능한 것이 없다는 원칙에 따라 작동합니다.
에이전트 언로드에 대한 보호 기능이 없거나 쉽게 우회됩니다.

결론:
이러한 시스템을 구현하는 것은 바람직하지 않습니다. 그들은 문제를 해결하지 않습니다.

동적 장치 잠금 기반 시스템

작동 원리:
전송 채널에 대한 접근은 사용자의 접근 수준과 작업 중인 정보의 비밀 수준에 따라 차단됩니다. 이 원칙을 구현하기 위해 이러한 제품은 권한 있는 액세스 제어 메커니즘을 사용합니다. 이 메커니즘은 자주 발생하지 않으므로 더 자세히 설명하겠습니다.

임의적(Windows NT 이상의 보안 시스템에서 구현됨)과 달리 권한 있는(강제) 액세스 제어는 리소스(예: 파일)의 소유자가 이 리소스에 대한 액세스 요구 사항을 약화시킬 수는 없지만 레벨 한도 내에서만 강화하세요. 정보 보안 담당자나 관리자 등 특별한 권한을 가진 사용자만이 요구 사항을 완화할 수 있습니다.

Guardian, Accord, SecretNet, DallasLock 등과 같은 제품 개발의 주요 목표는 국가 기술위원회(현 FSTEC)의 요구 사항을 준수하기 위해 이러한 제품이 설치될 정보 시스템을 인증하는 것이었습니다. 이러한 인증은 정부 데이터가 처리되는 정보 시스템에 필수입니다. 주로 국영 기업의 제품에 대한 수요를 보장하는 비밀입니다.

따라서 이러한 제품에 구현된 기능 세트는 관련 문서의 요구 사항에 따라 결정되었습니다. 결과적으로 제품에 구현된 대부분의 기능은 표준을 복제하거나 Windows 기능(삭제 후 개체 정리, RAM 정리) 또는 암시적으로 사용합니다(차별적인 액세스 제어). 그리고 DallasLock 개발자는 Windows 임의 제어 메커니즘을 통해 시스템에 대한 필수 액세스 제어를 구현함으로써 더욱 발전했습니다.

이러한 제품의 실제 사용은 매우 불편합니다. 예를 들어 DallasLock은 설치를 위해 다시 파티션을 해야 합니다. 하드 드라이브, 이는 타사 소프트웨어를 사용하여 수행해야 합니다. 인증 후 이러한 시스템이 제거되거나 비활성화되는 경우가 많습니다.

SecrecyKeeper(www.secrecykeeper.com)는 권위 있는 액세스 제어 메커니즘을 구현하는 또 다른 제품입니다. 개발자에 따르면 SecrecyKeeper는 상업 조직의 정보 도난을 방지하는 특정 문제를 해결하기 위해 특별히 개발되었습니다. 따라서 개발자에 따르면 개발 과정에서 시스템 관리자와 일반 사용자 모두의 단순성과 사용 편의성에 특별한 주의를 기울였습니다. 이것이 얼마나 성공적인지는 소비자가 판단하는 것입니다. 우리를. 또한 SecrecyKeeper는 언급된 다른 시스템에는 없는 여러 메커니즘(예: 원격 액세스가 가능한 리소스에 대한 개인 정보 보호 수준 설정 기능 및 에이전트 보호 메커니즘)을 구현합니다.
SecrecyKeeper의 정보 이동 제어는 공개, 비밀 및 일급 비밀 값을 취할 수 있는 정보 보안 수준, 사용자 권한 수준 및 컴퓨터 보안 수준을 기반으로 구현됩니다. 정보 보안 수준을 사용하면 시스템에서 처리되는 정보를 세 가지 범주로 분류할 수 있습니다.

공개 - 비밀 정보가 아니며 작업 시 제한이 없습니다.

비밀 - 비밀 정보로 작업할 때 사용자의 권한 수준에 따라 제한이 적용됩니다.

일급 비밀 - 일급 비밀 정보로 작업할 때 사용자의 권한 수준에 따라 제한이 적용됩니다.

정보 보안 수준은 파일에 대해 설정할 수 있습니다. 네트워크 드라이브일부 서비스가 실행되고 있는 컴퓨터의 포트입니다.

사용자 허가 수준을 사용하면 보안 수준에 따라 사용자가 정보를 이동할 수 있는 방법을 결정할 수 있습니다. 다음과 같은 사용자 권한 수준이 존재합니다.

사용자 권한 수준 - 직원이 액세스할 수 있는 정보의 최대 보안 수준을 제한합니다.

네트워크 액세스 수준 - 직원이 네트워크를 통해 전송할 수 있는 정보의 최대 보안 수준을 제한합니다.

이동식 미디어에 대한 액세스 수준 - 직원이 외부 미디어에 복사할 수 있는 정보의 최대 보안 수준을 제한합니다.

프린터 액세스 수준 - 직원이 인쇄할 수 있는 정보의 최대 보안 수준을 제한합니다.

컴퓨터 보안 수준 - 컴퓨터에 저장되고 처리될 수 있는 정보의 최대 보안 수준을 결정합니다.

공개 보안 수준의 정보에 대한 접근은 보안 허가를 받은 직원이 제공할 수 있습니다. 이러한 정보는 네트워크를 통해 전송될 수 있으며 제한 없이 외부 미디어에 복사될 수 있습니다. 공개로 분류된 정보를 사용한 작업 내역은 추적되지 않습니다.

보안 수준이 비밀인 정보에 대한 접근 권한은 보안 수준이 비밀 이상인 직원만 얻을 수 있습니다. 네트워크 액세스 수준이 비밀 이상인 직원만 해당 정보를 네트워크로 전송할 수 있습니다. 이동식 미디어에 대한 액세스 수준이 비밀 이상인 직원만 해당 정보를 외부 미디어에 복사할 수 있습니다. 프린터 액세스 수준이 비밀 이상인 직원만 해당 정보를 인쇄할 수 있습니다. 비밀 수준의 정보 작업 이력, 즉 액세스 시도, 네트워크를 통한 전송 시도, 외부 미디어에 복사 또는 인쇄 시도가 기록됩니다.

일급 비밀 수준의 정보에 대한 접근 권한은 일급 비밀 수준의 인가 수준을 가진 직원만 얻을 수 있습니다. 네트워크 액세스 수준이 일급 비밀과 동일한 직원만 해당 정보를 네트워크로 전송할 수 있습니다. 이동식 미디어에 대한 액세스 수준이 일급 비밀과 동일한 직원만 해당 정보를 외부 미디어에 복사할 수 있습니다. 프린터 액세스 수준이 일급 비밀과 동일한 직원만 해당 정보를 인쇄할 수 있습니다. 일급 비밀 수준의 정보 작업 이력, 즉 액세스 시도, 네트워크를 통한 전송 시도, 외부 미디어에 복사 또는 인쇄 시도가 기록됩니다.

예: 직원의 권한 수준은 일급 비밀, 네트워크 액세스 수준은 비밀, 이동식 미디어 액세스 수준은 공개, 프린터 액세스 수준은 일급 비밀로 설정합니다. 이 경우 직원은 모든 비밀 수준의 문서에 접근할 수 있고 직원은 비밀 수준 이하의 비밀 수준으로 정보를 네트워크로 전송할 수 있으며 예를 들어 플로피 디스크에 복사할 수 있습니다. 공개 비밀 수준이며 직원은 프린터에서 모든 정보를 인쇄할 수 있습니다.

기업 전체의 정보 배포를 관리하기 위해 직원에게 할당된 각 컴퓨터에는 컴퓨터 보안 수준이 할당됩니다. 이 수준은 직원의 허가 수준에 관계없이 직원이 특정 컴퓨터에서 액세스할 수 있는 정보의 최대 보안 수준을 제한합니다. 저것. 직원의 인증 수준이 일급 비밀과 동일하고 해당 직원이 사용하는 컴퓨터가 있는 경우 이 순간작업의 보안 수준이 공개와 같으면 직원은 이 워크스테이션에서 공개보다 높은 보안 수준의 정보에 액세스할 수 없습니다.

이론으로 무장하고 SecrecyKeeper를 사용하여 문제를 해결해 보겠습니다. 고려 중인 추상 기업의 정보 시스템에서 처리되는 정보(문제 설명 참조)는 다음 표를 사용하여 단순화된 방식으로 설명할 수 있습니다.

기업의 직원과 직무 관심 분야는 두 번째 표를 사용하여 설명됩니다.

기업에서는 다음 서버를 사용하십시오.
서버 1C
공이 있는 파일 서버:
SecretDocs - 비밀 문서가 포함되어 있습니다.
PublicDocs - 공개적으로 사용 가능한 문서가 포함되어 있습니다.

표준 기능은 표준 액세스 제어를 구성하는 데 사용됩니다. 운영 체제및 응용 소프트웨어, 즉 예를 들어 관리자가 직원의 개인 데이터에 접근하는 것을 방지하기 위해 추가 보호 시스템을 도입할 필요가 없습니다. 우리는 직원이 합법적으로 접근할 수 있는 정보 유포에 반대하는 것에 대해 구체적으로 이야기하고 있습니다.

SecrecyKeeper의 실제 구성으로 넘어가겠습니다.
관리 콘솔과 에이전트를 설치하는 과정은 설명하지 않으며 모든 것이 최대한 간단합니다. 프로그램 설명서를 참조하세요.
시스템 설정은 다음 단계 수행으로 구성됩니다.

1단계. 서버를 제외한 모든 PC에 에이전트를 설치합니다. 이렇게 하면 보안 수준이 공개보다 높게 설정된 정보를 즉시 얻을 수 없게 됩니다.

2단계. 다음 표에 따라 직원에게 허가 수준을 할당합니다.

	사용자 권한 수준	네트워크 액세스 수준	이동식 미디어에 대한 액세스 수준	프린터 액세스 수준
감독	비밀	비밀	비밀	비밀
관리자	비밀	공공의	공공의	비밀
인사 담당자	비밀	공공의	공공의	비밀
회계사	비밀	공공의	비밀	비밀
비서	공공의	공공의	공공의	공공의

3단계. 다음과 같이 컴퓨터 보안 수준을 할당합니다.

4단계. 서버에서 정보 보안 수준을 구성합니다.

5단계. 로컬 파일에 대한 직원 PC의 정보 보안 수준을 구성합니다. 어떤 직원이 어떤 정보를 가지고 작업하는지, 이 정보가 얼마나 중요한지 명확하게 이해해야 하기 때문에 이는 가장 시간이 많이 걸리는 부분입니다. 귀하의 조직이 정보 보안 감사를 받은 경우 그 결과를 통해 작업이 훨씬 쉬워질 수 있습니다.

6단계. 필요한 경우 SecrecyKeeper를 사용하면 사용자가 실행할 수 있는 프로그램 목록을 제한할 수 있습니다. 이 메커니즘은 Windows 소프트웨어 제한 정책과 독립적으로 구현되며, 예를 들어 관리자 권한이 있는 사용자에게 제한을 적용해야 하는 경우에 사용할 수 있습니다.

따라서 SecrecyKeeper의 도움으로 기밀 정보의 무단 유포(누출 및 도난) 위험을 크게 줄일 수 있습니다.

결점:
- 어려움 초기 설정로컬 파일의 개인 정보 보호 수준

일반적인 결론:
내부자로부터 정보를 보호할 수 있는 최대 기회는 작업 중인 정보의 비밀 수준과 직원의 보안 허가 수준에 따라 정보 전송 채널에 대한 액세스를 동적으로 규제할 수 있는 소프트웨어를 통해 제공됩니다.

회사 구매자, 개발자, 딜러, 제휴 파트너를 위한 독특한 서비스입니다. 게다가 이것은 그 중 하나이다. 최고의 온라인 상점러시아, 우크라이나, 카자흐스탄의 소프트웨어로 고객에게 다양한 결제 방법, 신속한(종종 즉시) 주문 처리, 개인 섹션의 주문 프로세스 추적 기능을 제공합니다.

최근 내부 위협으로부터 보호하는 문제는 이해 가능하고 확립된 기업 정보 보안 세계에 대한 실질적인 과제가 되었습니다. 언론에서는 내부자, 연구원, 분석가들이 손실과 문제에 대해 경고하고 있으며, 뉴스피드는 직원의 실수나 부주의로 인해 수십만 건의 고객 기록이 유출된 또 다른 사건에 대한 보도로 가득 차 있습니다. 이 문제가 그렇게 심각한지, 처리해야 하는지, 그리고 이를 해결하기 위해 어떤 도구와 기술이 존재하는지 알아보도록 하겠습니다.

우선, 출처가 기업의 직원이거나 이 데이터에 합법적으로 접근할 수 있는 다른 사람인 경우 데이터 기밀성에 대한 위협이 내부에 있는지 판단하는 것이 좋습니다. 따라서 내부자 위협에 대해 이야기할 때 우리는 모든 위협에 대해 이야기합니다. 가능한 조치의도적이든 우발적이든 합법적인 사용자로 인해 기밀 정보가 기업 네트워크 외부로 유출될 수 있습니다. 그림을 완성하려면 이러한 사용자를 내부자라고 부르는 경우가 많지만 이 용어에는 다른 의미가 있다는 점을 추가하는 것이 좋습니다.

내부 위협 문제의 관련성은 최근 연구 결과에 의해 확인되었습니다. 특히 2008년 10월 Compuware와 Ponemon Institue의 공동 연구 결과에 따르면 데이터 유출의 가장 흔한 원인은 내부자(미국 전체 사건의 75%)인 반면 해커는 5위에 불과했습니다. 장소. CSI(Computer Security Institute)의 2008년 연례 연구에 따르면 내부자 위협 사고 건수는 다음과 같습니다.

백분율로 표시된 사건 수는 전체 응답자 수를 의미합니다. 이 유형사고는 지정된 비율의 조직에서 발생했습니다. 이 수치에서 알 수 있듯이 거의 모든 조직은 내부 위협으로 고통받을 위험이 있습니다. 이에 비해 동일한 보고서에 따르면 바이러스는 조사 대상 조직의 50%에 영향을 미쳤으며 해커가 바이러스에 침투했습니다. 지역 네트워크단지 13%만이 그것을 경험했습니다.

따라서, 내부 위협– 이것은 분석가와 공급업체가 만들어낸 신화가 아니라 오늘날의 현실입니다. 따라서 기존 방식으로 기업 정보 보안이 방화벽이자 바이러스 백신이라고 믿는 사람들은 가능한 한 빨리 문제를 더 폭넓게 살펴볼 필요가 있습니다.

"개인 데이터에 관한" 법률도 긴장의 정도를 높이고 있으며 이에 따라 조직과 공무원은 경영진뿐만 아니라 고객 및 개인 데이터의 부적절한 처리에 대한 법률에도 답변해야 합니다.

침입자 모델

전통적으로 이들에 대한 위협과 방어를 고려할 때는 공격자 모델 분석부터 시작해야 합니다. 이미 언급했듯이 내부자, 즉 조직의 직원과 기밀 정보에 합법적으로 접근할 수 있는 기타 사용자에 대해 이야기하겠습니다. 일반적으로 이러한 단어를 통해 모든 사람은 컴퓨터에서 작업하는 사무실 직원을 회사 네트워크의 일부로 생각하고 일하는 동안 조직 사무실을 떠나지 않습니다. 그러나 그러한 표현은 불완전합니다. 조직의 사무실을 떠날 수 있는 정보에 대한 법적 접근 권한이 있는 다른 유형의 사람을 포함하도록 이를 확장할 필요가 있습니다. 여기에는 노트북을 가지고 있는 출장자, 사무실과 집에서 일하는 사람, 정보가 담긴 미디어(주로 백업 복사본이 포함된 자기 테이프 등)를 운반하는 택배기사 등이 포함될 수 있습니다.

침입자 모델에 대한 이러한 확장된 고려는 먼저 이러한 침입자가 제기하는 위협이 내부 위협과도 관련되어 있기 때문에 개념에 적합하고 두 번째로 모든 것을 고려하여 문제를 더 광범위하게 분석할 수 있습니다. 가능한 옵션이러한 위협에 맞서 싸우십시오.

내부 위반자의 주요 유형은 다음과 같습니다.

불충실하고 분개하는 직원.이 범주에 속하는 위반자는 예를 들어 새로운 고용주의 관심을 끌기 위해 직업을 바꾸고 기밀 정보를 빼앗으려는 등 의도적으로 행동할 수 있으며, 자신이 기분이 상했다고 생각하여 복수를 원할 경우 감정적으로 행동할 수 있습니다. 그들은 현재 일하고 있는 조직에 피해를 입히려는 동기가 가장 높기 때문에 위험합니다. 일반적으로 불충실한 직원과 관련된 사고의 수는 적지만, 불리한 경제 상황과 대규모 직원 감축 상황에서는 증가할 수 있습니다.
침투, 뇌물 수수 또는 조작된 직원.이 경우 우리 얘기 중이야일반적으로 치열한 경쟁 상황에서 산업 스파이를 목적으로 하는 의도적인 행동에 대해 설명합니다. 기밀 정보를 수집하기 위해 특정 목적을 위해 자신의 사람을 경쟁 회사에 소개하거나, 충성심이 낮은 직원을 찾아 뇌물을 주거나, 충성심이 있지만 부주의한 직원에게 소셜 엔지니어링을 통해 기밀 정보를 넘겨주도록 강요합니다. 이러한 종류의 사건 수는 일반적으로 러시아 연방 경제의 대부분 부문에서 경쟁이 그다지 발전하지 않았거나 다른 방식으로 구현된다는 사실로 인해 이전 사건보다 훨씬 적습니다.
부주의한 직원. 이 유형위반자는 정책을 위반할 수 있는 충실하지만 부주의하거나 부주의한 직원입니다. 내부 보안그녀의 무지나 건망증으로 인한 사업. 이러한 직원은 실수로 중요한 파일이 첨부된 이메일을 엉뚱한 사람에게 보내거나, 주말에 작업하기 위해 기밀 정보가 담긴 플래시 드라이브를 집에 가져가서 잃어버릴 수도 있습니다. 이 유형에는 노트북과 자기 테이프를 분실한 직원도 포함됩니다. 많은 전문가에 따르면 이러한 유형의 내부자가 기밀 정보 유출의 대부분을 담당합니다.

따라서 잠재적 위반자의 동기와 결과적으로 행동 과정이 크게 다를 수 있습니다. 이에 따라 조직의 내부 보안을 보장하는 작업에 접근해야 합니다.

내부자 위협으로부터 보호하는 기술

이 시장 부문이 상대적으로 젊음에도 불구하고 고객은 이미 목표와 재무 능력에 따라 선택할 수 있는 것이 많습니다. 현재 시장에는 내부 위협만을 전문으로 하는 공급업체가 거의 없다는 점은 주목할 가치가 있습니다. 이러한 상황은 이 부문이 미성숙할 뿐만 아니라 전통적인 보안 제품 제조업체와 이 부문에 관심이 있는 기타 공급업체가 수행하는 공격적이고 때로는 혼란스러운 인수합병 정책으로 인해 발생했습니다. 2006년에 EMC의 사업부가 된 RSA Data Security라는 회사와 서버 스토리지 보호 시스템을 개발한 스타트업 Decru를 NetApp이 인수한 것을 기억할 가치가 있습니다. 백업 복사본 2005년 Symantec의 DLP 공급업체 Vontu 인수(2007년) 등

그러한 거래의 다수가 이 부문의 발전에 대한 좋은 전망을 나타냄에도 불구하고, 그것이 항상 날개 아래에 있는 제품의 품질에 도움이 되는 것은 아닙니다. 대기업. 제품은 더 느리게 개발되기 시작하고 개발자는 고도로 전문화된 회사에 비해 시장 요구에 빠르게 반응하지 않습니다. 이것은 우리가 알고 있듯이 작은 형제들에게 이동성과 효율성을 잃는 대기업의 잘 알려진 질병입니다. 한편, 서비스 및 판매 네트워크 개발로 인해 세계 각지의 고객을 위한 서비스 품질과 제품 가용성이 향상되고 있습니다.

현재 내부 위협을 무력화하는 데 사용되는 주요 기술과 그 장점 및 단점을 고려해 보겠습니다.

문서 관리

문서 제어 기술은 다음과 같은 최신 권한 관리 제품에 구현됩니다. 마이크로소프트 윈도우권한 관리 서비스, Adobe LiveCycle 권한 관리 ES 및 Oracle 정보 권한 관리.

이러한 시스템의 운영 원칙은 각 문서에 대한 사용 규칙을 할당하고 이러한 유형의 문서로 작업하는 응용 프로그램에서 이러한 권한을 제어하는 것입니다. 예를 들어 문서를 만들 수 있습니다. 마이크로 소프트 워드누가 볼 수 있는지, 누가 변경 사항을 편집하고 저장할 수 있는지, 누가 인쇄할 수 있는지에 대한 규칙을 설정하세요. 이러한 규칙은 Windows RMS 용어로 라이선스라고 하며 파일과 함께 저장됩니다. 파일 내용은 권한이 없는 사용자가 볼 수 없도록 암호화됩니다.

이제 사용자가 이러한 보호된 파일을 열려고 하면 응용 프로그램은 특수 RMS 서버에 연결하여 사용자의 권한을 확인하고, 이 사용자에 대한 액세스가 허용되면 서버는 이 파일과 정보를 해독하기 위해 응용 프로그램에 키를 전달합니다. 이 사용자의 권리에 대해. 이 정보를 기반으로 애플리케이션은 사용자에게 권한이 있는 기능만 제공합니다. 예를 들어, 사용자에게 파일 인쇄가 허용되지 않으면 해당 응용 프로그램의 인쇄 기능을 사용할 수 없습니다.

해당 파일의 정보는 파일이 회사 네트워크 외부로 유출되더라도 암호화되어 안전하다는 것이 밝혀졌습니다. RMS 기능은 이미 애플리케이션에 내장되어 있습니다. 마이크로 소프트 오피스 2003 프로페셔널 에디션. 다른 개발자의 응용 프로그램에 RMS 기능을 포함시키기 위해 Microsoft는 특별한 SDK를 제공합니다.

Adobe의 문서 제어 시스템은 비슷한 방식으로 구축되었지만 PDF 형식의 문서에 중점을 둡니다. Oracle IRM은 클라이언트 컴퓨터에 에이전트로 설치되며 런타임 시 응용 프로그램과 통합됩니다.

문서 제어는 내부자 위협 방지의 전체 개념에서 중요한 부분이지만 이 기술의 본질적인 한계를 고려해야 합니다. 첫째, 문서 파일 모니터링 전용으로 설계되었습니다. 구조화되지 않은 파일이나 데이터베이스에 대해서는 이 기술이 작동하지 않습니다. 둘째, 공격자가 이 시스템의 SDK를 사용하여 RMS 서버와 통신하는 간단한 응용 프로그램을 만들고 거기에서 암호화 키를 받아 문서를 일반 텍스트로 저장한 다음 문서에 대한 최소 액세스 수준 이 시스템우회됩니다. 또한 조직이 이미 많은 문서를 생성한 경우 문서 관리 시스템을 구현할 때 어려움을 고려해야 합니다. 처음에 문서를 분류하고 사용 권한을 할당하는 작업에는 상당한 노력이 필요할 수 있습니다.

이는 문서 제어 시스템이 작업을 수행하지 못한다는 의미는 아니며 정보 보안은 복잡한 문제이며 일반적으로 하나의 도구만으로는 문제를 해결할 수 없다는 점을 기억하면 됩니다.

누출 방지

데이터 손실 방지(DLP)라는 용어는 비교적 최근에 정보 보안 전문가들의 어휘에 등장했으며 이미 최근 몇 년간 가장 뜨거운 주제가 되었습니다. 일반적으로 약어 DLP는 누출 가능성이 있는 채널을 모니터링하고 이러한 채널을 통해 기밀 정보를 전송하려고 시도하는 경우 이를 차단하는 시스템을 나타냅니다. 게다가 함수에 유사한 시스템후속 감사, 사고 조사 및 잠재적 위험에 대한 회고적 분석을 위해 전달되는 정보를 보관하는 기능이 포함되는 경우가 많습니다.

DLP 시스템에는 네트워크 DLP와 호스트 DLP의 두 가지 유형이 있습니다.

네트워크 DLP통과하는 모든 데이터를 필터링하는 네트워크 게이트웨이의 원리에 따라 작업합니다. 내부 위협에 대처하는 작업을 기반으로 하는 이러한 필터링의 주요 관심은 기업 네트워크 외부에서 인터넷으로 전송되는 데이터를 제어하는 기능에 있습니다. 네트워크 DLP를 사용하면 보내는 메일, http 및 ftp 트래픽, 인스턴트 메시징 서비스 등을 모니터링할 수 있습니다. 민감한 정보가 감지되면 네트워크 DLP가 전송된 파일을 차단할 수 있습니다. 의심스러운 파일을 수동으로 처리하는 옵션도 있습니다. 의심스러운 파일은 검역소에 보관되며 보안 담당자가 주기적으로 검토하여 파일 전송을 허용하거나 거부합니다. 다만, 프로토콜의 특성상 이메일에 대해서만 이러한 처리가 가능합니다. 발생한 누출을 식별하기 위해 이 아카이브를 정기적으로 검토하고 해당 내용을 분석하는 경우 게이트웨이를 통과하는 모든 정보를 보관함으로써 감사 및 사고 조사를 위한 추가 기회가 제공됩니다.

DLP 시스템의 구현 및 구현에 있어서 주요 문제점 중 하나는 기밀 정보를 탐지하는 방법, 즉 전송된 정보가 기밀인지 여부를 결정하는 순간과 그러한 결정을 내릴 때 고려되는 근거입니다. . 원칙적으로 이는 내용을 분석하여 수행됩니다. 전송된 문서, 콘텐츠 분석이라고도 합니다. 기밀 정보를 탐지하는 주요 접근 방식을 고려해 보겠습니다.

태그. 이 방법은 위에서 설명한 문서 관리 시스템과 유사합니다. 정보의 기밀성 수준, 이 문서로 수행할 수 있는 작업, 정보를 누구에게 보내야 하는지를 설명하는 레이블이 문서에 포함되어 있습니다. 태그 분석 결과를 바탕으로 DLP 시스템에서 가능 여부를 결정합니다. 이 문서외부로 보낼지 말지. 일부 DLP 시스템은 초기에 권한 관리 시스템과 호환되어 이러한 시스템이 설치하는 라벨을 사용하고, 다른 시스템은 자체 라벨 형식을 사용합니다.
서명. 이 방법은 하나 이상의 문자 시퀀스를 지정하는 것으로 구성되며, 전송된 파일의 텍스트에 문자가 있으면 이 파일에 기밀 정보가 포함되어 있음을 DLP 시스템에 알려야 합니다. 많은 수의 서명을 사전으로 구성할 수 있습니다.
베이즈 방법. 스팸을 퇴치하는 데 사용되는 이 방법은 DLP 시스템에서도 성공적으로 사용될 수 있습니다. 이 방법을 적용하기 위해 카테고리 목록이 생성되고 해당 단어가 파일에 나타나면 주어진 확률을 가진 파일이 지정된 카테고리에 속하거나 속하지 않을 확률로 단어 목록이 표시됩니다.
형태학적 분석.형태소 분석 방법은 시그니처와 유사하지만, 시그니처와 100% 일치하는 것은 아니지만 유사한 어근도 고려한다는 차이점이 있습니다.
디지털 인쇄물.이 방법의 핵심은 문서가 약간 변경되면 해시 함수가 동일하게 유지되거나 약간 변경되는 방식으로 모든 기밀 문서에 대해 해시 함수가 계산된다는 것입니다. 따라서 기밀 문서를 탐지하는 프로세스가 크게 단순화되었습니다. 많은 공급업체와 일부 분석가가 이 기술에 대해 열광적인 찬사를 보냈음에도 불구하고 그 신뢰성은 많이 요구되며 공급업체는 다양한 구실로 디지털 지문 알고리즘 구현에 대한 세부 사항을 비밀로 두는 것을 선호한다는 사실을 고려하면 신뢰가 필요합니다. 그 안에는 증가하지 않습니다.
정규식.프로그래밍을 해본 사람이라면 누구나 다 아는 사실이지만, 정규 표현식전화번호, 여권 정보, 은행 계좌 번호, 주민등록번호 등의 템플릿 데이터를 텍스트로 쉽게 찾을 수 있습니다.

위 목록에서 첫 번째와 두 번째 유형의 오류 수준이 상당히 높기 때문에 탐지 방법이 기밀 정보의 100% 식별을 보장하지 않거나 보안 서비스의 지속적인 감시가 필요하다는 것을 쉽게 알 수 있습니다. 기밀 문서에 대한 최신 서명 또는 할당 라벨 목록을 업데이트하고 유지합니다.

또한 트래픽 암호화는 네트워크 DLP 작동에 특정 문제를 일으킬 수 있습니다. 보안 요구 사항에 따라 이메일 메시지를 암호화하거나 웹 리소스에 연결할 때 SSL을 사용해야 하는 경우 전송된 파일에 기밀 정보가 있는지 확인하는 문제를 해결하기가 매우 어려울 수 있습니다. Skype와 같은 일부 인스턴트 메시징 서비스에는 기본적으로 암호화 기능이 내장되어 있다는 점을 잊지 마십시오. 귀하는 그러한 서비스 사용을 거부하거나 호스트 DLP를 사용하여 이를 제어해야 합니다.

그러나 그 모든 어려움에도 불구하고, 올바른 설정심각하게 받아들이면 네트워크 DLP는 기밀 정보 유출 위험을 크게 줄이고 조직에 편리한 내부 통제 수단을 제공할 수 있습니다.

호스트 DLP네트워크의 각 호스트(클라이언트 워크스테이션 및 필요한 경우 서버)에 설치되며 인터넷 트래픽을 제어하는 데에도 사용할 수 있습니다. 그러나 호스트 기반 DLP는 이 용량에서 덜 널리 사용되며 현재 주로 제어에 사용됩니다. 외부 장치그리고 프린터. 아시다시피 플래시 드라이브나 MP3 플레이어를 직장에 가져오는 직원은 모든 해커를 합친 것보다 기업의 정보 보안에 훨씬 더 큰 위협이 됩니다. 이러한 시스템은 네트워크 엔드포인트 보안 도구라고도 합니다( 엔드포인트 보안), 이 용어는 더 광범위하게 사용되는 경우가 많지만, 예를 들어 바이러스 백신 제품을 이런 식으로 부르는 경우도 있습니다.

아시다시피, 외부 장치 사용 문제는 물리적으로 또는 운영 체제를 사용하여 포트를 비활성화하거나 직원이 저장 매체를 사무실로 가져 오지 못하도록 관리적으로 금지함으로써 어떤 수단을 사용하지 않고도 해결할 수 있습니다. 그러나 대부분의 경우 비즈니스 프로세스에 필요한 정보 서비스의 유연성이 제공되지 않기 때문에 "저렴하고 유쾌한" 접근 방식은 허용되지 않습니다.

이로 인해 일정한 수요가 생겼습니다. 특별한 수단, 이를 통해 회사 직원이 외부 장치 및 프린터를 사용하는 문제를 보다 유연하게 해결할 수 있습니다. 이러한 도구를 사용하면 사용자의 액세스 권한을 구성할 수 있습니다. 다양한 방식예를 들어, 한 그룹의 사용자는 미디어 작업을 금지하고 프린터 작업을 허용하고 다른 사용자 그룹은 읽기 전용 모드에서 미디어 작업을 허용합니다. 개별 사용자를 위해 외부 장치에 대한 정보를 기록해야 하는 경우, 외부 장치에 저장된 모든 정보를 서버에 복사하는 섀도우 복사 기술을 사용할 수 있습니다. 복사된 정보는 이후에 분석되어 사용자 작업을 분석할 수 있습니다. 이 기술모든 것을 복사하는데, 현재는 네트워크 DLP처럼 작업을 차단하고 유출을 방지하기 위해 저장된 파일의 내용을 분석할 수 있는 시스템이 없습니다. 그러나 쉐도우 복사본 아카이브는 사건 조사 및 네트워크 이벤트에 대한 회고적 분석을 제공하며 이러한 아카이브가 있다는 것은 잠재적인 내부자가 체포되어 해당 행위에 대해 처벌될 수 있음을 의미합니다. 이는 그에게 심각한 장애물이 될 수 있으며 적대적인 행동을 포기하는 중요한 이유가 될 수 있습니다.

프린터 사용에 대한 통제도 언급할 가치가 있습니다. 문서의 하드 카피도 누출 원인이 될 수 있습니다. Hosted DLP를 사용하면 다른 외부 장치와 동일한 방식으로 프린터에 대한 사용자 액세스를 제어하고 인쇄된 문서의 복사본을 그래픽 형식후속 분석을 위해. 또한 문서의 각 페이지에 고유한 코드를 인쇄하는 워터마크 기술이 어느 정도 널리 보급되어 이 문서를 누가, 언제, 어디서 인쇄했는지 정확하게 확인할 수 있습니다.

호스트 기반 DLP의 확실한 장점에도 불구하고 모니터링할 각 컴퓨터에 에이전트 소프트웨어를 설치해야 한다는 점과 관련된 여러 가지 단점이 있습니다. 첫째, 이는 그러한 시스템을 배포하고 관리하는 데 특정 어려움을 초래할 수 있습니다. 둘째, 관리자 권한이 있는 사용자는 보안 정책에서 허용하지 않는 작업을 수행하기 위해 이 소프트웨어를 비활성화하려고 할 수 있습니다.

그러나 외부 장치를 안정적으로 제어하기 위해서는 호스트 기반 DLP가 반드시 필요하며 앞서 언급한 문제도 해결 불가능한 것은 아니다. 따라서 우리는 DLP의 개념이 이제 내부 통제 및 유출 방지를 보장해야 한다는 압력이 점점 더 커지고 있는 기업 보안 서비스 무기고의 본격적인 도구라고 결론 내릴 수 있습니다.

IPC 개념

내부 위협에 맞서기 위한 새로운 수단을 고안하는 과정에서 현대 사회의 과학 및 공학적 사고는 멈추지 않고 위에서 논의한 수단의 특정 단점을 고려하여 정보 유출 방지 시스템 시장이 도래했습니다. IPC(정보 보호 및 통제)의 개념입니다. 이 용어는 비교적 최근에 등장했는데, 2007년 분석업체 IDC의 리뷰에서 처음 사용된 것으로 추정된다.

이 개념의 핵심은 DLP와 암호화 방법을 결합하는 것입니다. 이 개념에서는 DLP를 사용하여 회사 네트워크에서 나가는 정보를 다음을 통해 제어합니다. 기술 채널, 물리적으로 떨어지거나 권한이 없는 사람의 손에 들어갈 수 있는 저장 매체를 보호하기 위해 암호화가 사용됩니다.

IPC 개념에서 사용할 수 있는 가장 일반적인 암호화 기술을 살펴보겠습니다.

자기 테이프의 암호화.이러한 유형의 미디어는 고풍스러운 특성에도 불구하고 계속해서 활발하게 활용되고 있습니다. 예약 사본저장된 메가바이트의 단위 비용 측면에서 여전히 동일하지 않기 때문에 대량의 정보를 전송하는 데 적합합니다. 따라서 테이프 유출 사건은 이를 일면에 장식한 뉴스 편집자들에게 계속 기쁨을 주고, 그러한 보도의 영웅이 되는 기업의 CIO와 보안 팀을 좌절시킵니다. 이러한 테이프에는 매우 많은 양의 데이터가 포함되어 있어 많은 사람들이 사기꾼의 피해자가 될 수 있다는 사실로 인해 상황이 더욱 악화됩니다.
서버 저장소 암호화.서버 스토리지는 운송되는 경우가 매우 드물고 손실 위험이 자기 테이프에 비해 엄청나게 낮다는 사실에도 불구하고 별도의 HDD보관된 정보는 범죄자의 손에 넘어갈 수 있습니다. 수리, 폐기, 업그레이드 - 이러한 이벤트는 이 위험을 상쇄할 만큼 충분히 규칙적으로 발생합니다. 그리고 허가받지 않은 사람이 사무실에 들어오는 상황은 완전히 불가능한 사건은 아닙니다.

여기에서는 디스크가 RAID 어레이의 일부인 경우 디스크가 잘못된 사람의 손에 들어가는 것에 대해 걱정할 필요가 없다는 일반적인 오해를 언급하고 약간의 여담을 만들 가치가 있습니다. 기록된 데이터를 여러 개로 번갈아 가며 사용하는 것 같습니다. 하드 드라이브 RAID 컨트롤러가 수행하는 는 하나의 하드 유형에 있는 데이터에 읽을 수 없는 모양을 제공합니다. 불행히도 이것은 전적으로 사실이 아닙니다. 인터리빙이 발생하지만 대부분의 최신 장치에서는 512바이트 블록 수준에서 수행됩니다. 이는 파일 구조와 형식을 위반하더라도 해당 하드 드라이브에서 기밀 정보가 추출될 수 있음을 의미합니다. 따라서 RAID 어레이에 저장될 때 정보의 기밀성을 보장해야 하는 요구 사항이 있는 경우 암호화는 신뢰할 수 있는 유일한 옵션으로 남아 있습니다.

노트북 암호화.이것은 이미 수없이 언급되었지만, 여전히 기밀 정보가 담긴 노트북의 분실은 수년 동안 히트 사건 중 상위 5위 안에 들지 못했습니다.
이동식 미디어 암호화.이 경우 휴대용 USB 장치에 대해 이야기하고 있으며 때로는 기업의 비즈니스 프로세스에 사용되는 경우 기록 가능한 CD 및 DVD에 대해 이야기합니다. 이러한 시스템은 앞서 언급한 노트북 하드 드라이브 암호화 시스템과 마찬가지로 호스트 DLP 시스템의 구성 요소 역할을 할 수 있는 경우가 많습니다. 이 경우 그들은 내부 미디어의 자동 투명 암호화를 보장하고 외부 데이터를 해독할 수 없는 일종의 암호화 경계에 대해 이야기합니다.

따라서 암호화는 DLP 시스템의 기능을 크게 확장하고 기밀 데이터 유출 위험을 줄일 수 있습니다. IPC의 개념은 비교적 최근에 구체화되었고 시장에서 복잡한 IPC 솔루션의 선택이 그다지 넓지 않다는 사실에도 불구하고 업계는 이 분야를 적극적으로 탐색하고 있으며 얼마 후 이 개념이 드 내부 보안 문제 해결을 위한 사실상의 표준 및 내부 보안 통제.

결론

이번 검토에서 볼 수 있듯이 내부 위협은 정보 보안에서 상당히 새로운 영역이지만, 그럼에도 불구하고 활발히 발전하고 있으며 더 많은 관심이 필요합니다. 고려된 문서 통제 기술인 DLP와 IPC를 통해 상당히 안정적인 내부 통제 시스템을 구축하고 누출 위험을 허용 가능한 수준으로 줄일 수 있습니다. 의심의 여지 없이 이 정보 보안 영역은 계속해서 발전하고 더 새롭고 발전된 기술이 제공될 것이지만 오늘날 많은 조직은 정보 보안 문제에 대한 부주의로 인해 비용이 너무 많이 들기 때문에 하나 또는 다른 솔루션을 선택하고 있습니다.

알렉세이 라예프스키
시큐어IT 대표이사

해당 카테고리의 인기 항목: