Софтверска заштита од инсајдерски pdf. Заштита од инсајдери користејќи го системот Zlock. Системи базирани на статичко блокирање на уреди

„Консултант“, 2011 година, N 9

„Оној што ги поседува информациите го поседува светот“ - овој познат афоризам на Винстон Черчил е порелевантен од кога било во современото општество. Знаењето, идеите и технологијата доаѓаат до израз, а лидерството на пазарот зависи од тоа колку добро компанијата може да управува со својот интелектуален капитал.

Во овие услови, безбедноста на информациите на една организација станува особено важна.

Секое протекување на информации до конкурентите или објавување информации за внатрешните процеси моментално влијае на позициите што компанијата ги зазема на пазарот.

Систем безбедност на информациитреба да обезбеди заштита од различни закани: технички, организациски и оние предизвикани од човечкиот фактор.

Како што покажува практиката, главниот канал за истекување на информации се инсајдерите.

Непријател во задниот дел

Вообичаено, инсајдер е вработен во компанијата кој предизвикува штета на компанијата со откривање доверливи информации.

Меѓутоа, ако ги земеме предвид трите главни услови, чиешто обезбедување е цел на безбедноста на информациите - доверливост, интегритет, достапност - оваа дефиниција може да се прошири.

Инсајдерски може да се нарече вработен кој има легитимен официјален пристап до доверливите информации на претпријатието, што предизвикува откривање, искривување, оштетување или недостапност на информациите.

Оваа генерализација е прифатлива затоа што модерен светПовреда на интегритетот и достапноста на информациите често повлекува многу потешки последици за бизнисот отколку откривањето на доверливи информации.

За многу претпријатија, прекинот на деловните процеси, дури и на кратко, се заканува со значителни финансиски загуби, а нарушувањето на функционирањето во рок од неколку дена може да предизвика толку силен удар што неговите последици можат да бидат фатални.

Различни организации кои го проучуваат деловниот ризик редовно ги објавуваат резултатите од нивното истражување. Според нив, инсајдерски информации постојано се рангирани на прво место во листата на причини за прекршување на безбедноста на информациите долги години.

Поради постојаното зголемување на вкупниот број инциденти, можеме да заклучиме дека релевантноста на проблемот постојано се зголемува.

Модел на закана

Со цел да се изгради доверлив слоевит систем за безбедност на информации што ќе помогне ефикасно да се бори против проблемот, неопходно е пред сè да се создаде модел на закана.

Треба да разберете кои се инсајдерите и што ги мотивира, зошто преземаат одредени активности.

Постојат различни пристапи за создавање такви модели, но за практични цели можете да ја користите следнава класификација, која ги вклучува сите главни типови инсајдери.

Внатрешен хакер

Таквиот вработен, по правило, има натпросечни инженерски квалификации и ја разбира структурата на ресурсите на претпријатието, архитектурата на компјутерските системи и мрежи.

Тој врши хакерски акции од љубопитност, спортски интерес, истражувајќи ги границите на сопствените можности.

Обично тој е свесен за можната штета од неговите постапки, па затоа ретко предизвикува опиплива штета.

Степенот на опасност е среден, бидејќи неговите постапки може да предизвикаат привремено запирање на некои процеси што се случуваат во компанијата. Идентификувањето на активностите е можно првенствено преку технички средства.

Неодговорен и нискоквалификуван вработен

Може да има различни вештини и да работи во кој било оддел на претпријатието.

Опасно е затоа што нема навика да размислува за последиците од своите постапки, може да работи со информативните ресурси на компанијата „со обиди и грешки“ и ненамерно да уништува и искривува информации.

Обично тој не се сеќава на редоследот на своите постапки, а кога ќе открие негативни последици, едноставно може да молчи за нив.

Може да открие информации што претставуваат деловна тајна во личен разговор со пријател или дури и кога комуницира на форуми на Интернет и во во социјалните мрежи.

Степенот на опасност е многу висок, особено ако се земе предвид дека овој тип на престапници е почест од другите. Последиците од неговите активности можат да бидат многу посериозни од оние на свесен напаѓач.

За да се спречат последиците од неговите постапки, неопходно е да се преземат цела низа различни мерки, технички (овластување, задолжителна поделба на работните сесии по сметки) и организациски (постојана управна контрола врз процесот и резултатот од работата). .

Психолошки нестабилна личност

Исто како претставник од претходниот тип, тој може да работи на која било позиција и да има многу различни квалификации. Опасно поради склоноста кон слабо мотивирани дејства во услови на психолошка непријатност: во екстремни ситуации, психолошки притисок од други вработени или едноставно силна иритација.

Во афективна состојба, може да открие доверливи информации, да оштети податоци и да го наруши вообичаениот тек на работа на другите луѓе.

Степенот на опасност е просечен, но овој тип на престапници не е толку чест.

За да се спречат негативните последици од неговите постапки, најефективно е да се користат административни мерки - да се идентификуваат таквите луѓе во фазата на интервју, да се ограничи пристапот до информации и да се одржи удобна психолошка клима во тимот.

Навреден, навреден вработен

Најширока група на потенцијални прекршители на режимот за информатичка безбедност.

Теоретски, огромното мнозинство на вработени се способни да извршат дела непријателски настроени кон компанијата.

Ова може да се случи кога раководството покажува непочитување кон личноста или професионалните квалитети на вработениот и кога тоа влијае на нивото на плата.

Потенцијално, овој тип на инсајдери претставува многу голема опасност - можни се и протекување и оштетување на информациите, а штетата од нив ќе биде загарантирана забележлива за бизнисот, бидејќи вработениот тоа го предизвикува свесно и добро ги знае сите ранливости.

Потребни се и административни и технички мерки за откривање на активностите.

Нечист вработен

Вработен кој се обидува да го надополни своето лично богатство на сметка на имотот на компанијата за која работи. Меѓу присвоените предмети може да има различни медиуми со доверливи информации ( хард дискови, флеш драјвови, корпоративни лаптопи).

Во овој случај, постои ризик информациите да стигнат до луѓе за кои не биле наменети, со последователно објавување или пренесување до конкурентите.

Опасноста е просечна, но овој тип не е невообичаен.

За да се идентификува, прво се потребни административни мерки.

Претставник на натпреварувачот

Како по правило, тој е висококвалификуван и зазема позиции кои обезбедуваат многу можности за добивање информации, вклучително и доверливи информации. Ова е или постоечки вработен регрутиран, купен од конкурентите (почесто), или инсајдерски специјално воведен во компанијата.

Степенот на опасност е многу висок, бидејќи штетата е предизвикана свесно и со длабоко разбирање на вредноста на информациите, како и на ранливостите на компанијата.

За да се идентификуваат активностите, потребни се и административни и технички мерки.

Што крадеме?

Разбирањето на проблемот со инсајдерски информации е невозможно без да се земе предвид природата на украдените информации.

Според статистичките податоци, најбарани се личните податоци на клиентите, како и информациите за компаниите и партнерите на клиентите, кои се украдени во повеќе од половина од случаите. Следат детали за трансакциите, условите на договорите и испораките. Од голем интерес се и финансиските извештаи.

При формирањето на збир на заштитни мерки, секоја компанија неминовно се соочува со прашањето: кои конкретни информации бараат посебни заштитни мерки, а што не се потребни?

Секако, основа за ваквите одлуки се податоците добиени како резултат на анализата на ризик. Меѓутоа, често претпријатието има ограничени финансиски ресурси кои можат да се потрошат на систем за безбедност на информации и тие можеби не се доволни за да се минимизираат сите ризици.

Два пристапи

За жал, нема подготвен одговор на прашањето: „Што прво да се заштити“.

На овој проблем може да се пристапи од две страни.

Ризикот е комплексен индикатор кој ја зема предвид и веројатноста за одредена закана и можната штета од неа. Соодветно на тоа, кога поставувате безбедносни приоритети, можете да се фокусирате на еден од овие индикатори. Тоа значи дека информациите што се први заштитени се оние што најлесно се крадат (на пример, ако голем број вработени имаат пристап до нив), а информациите чие кражба или блокирање би довело до најтешки последици.

Важен аспект на инсајдерскиот проблем е каналот за пренос на информации. Колку повеќе физички можности има за неовластени информации да се пренесат надвор од компанијата, толку е поголема веројатноста тоа да се случи.

Механизми за пренос

Механизмите за пренос може да се класифицираат на следниов начин:

• усно пренесување (личен разговор);
• канали за пренос на технички податоци ( телефонски комуникации, факс, е-пошта, системи за пораки, разни социјални интернет услуги итн.);
• преносни медиуми и Мобилни уреди (Мобилни телефони, надворешни хард дискови, лаптопи, флеш драјвови итн.).

Според истражувањата во нашево време, најчестите канали за пренос на доверливи податоци се (по опаѓачки редослед): е-пошта, мобилни уреди (вклучувајќи лаптопи), социјални мрежи и други услуги на Интернет (како што се системите за инстант пораки) итн.

За контрола на техничките канали, може да се користат различни средства, широк спектар на производи кои моментално се достапни на безбедносниот пазар.

На пример, системи за филтрирање содржини (системи за динамично блокирање), средства за ограничување на пристапот до информативните медиуми (ЦД, ДВД, Bluetooth).

Се применуваат и административни мерки: филтрирање на интернет сообраќајот, блокирање физички пристаништа на работни станици, обезбедување административен режим и физичка безбедност.

При изборот технички средствазаштитата на доверливите информации бара систематски пристап. Само на овој начин може да се постигне најголема ефикасност од нивното спроведување.

Исто така, мора да разберете дека предизвиците со кои се соочува секоја компанија се единствени и често е едноставно невозможно да се користат решенија што ги користат други организации.

Борбата против инсајдерски информации не треба да се спроведува сама по себе, таа е важна компонента на целокупниот деловен процес насочен кон обезбедување режим на безбедност на информациите.

Таа мора да биде спроведена од професионалци и да вклучува целосен циклус на активности: развивање политика за безбедност на информации, дефинирање на опсегот, анализа на ризик, избор на контрамерки и нивна имплементација, како и ревизија на системот за безбедност на информациите.

Ако претпријатието не обезбеди сигурност на информациите низ целиот комплекс, тогаш ризиците од финансиски загуби од протекување и оштетување на информациите нагло се зголемуваат.

Минимизирање на ризиците

Испитување

1. Темелен скрининг на апликантите кои аплицираат за која било позиција во компанијата. Се препорачува да се соберат што е можно повеќе информации за кандидатот, вклучително и содржината на неговите страници на социјалните мрежи. Може да помогне и да побарате референца од претходното работно место.
2. Кандидатите за позиции инженери за ИТ треба да бидат предмет на особено темелна проверка. Практиката покажува дека повеќе од половина од сите инсајдери се системски администратории програмери.
3. При вработување, мора да се изврши барем минимална психолошка проверка на кандидатите. Тоа ќе помогне да се идентификуваат апликантите со нестабилно ментално здравје.

Правилен пристап

1. Систем за споделување пристап корпоративни ресурси. Претпријатието мора да создаде регулаторна документација која ги рангира информациите по ниво на доверливост и јасно ги дефинира правата за пристап до нив. Пристапот до какви било ресурси мора да биде персонализиран.
2. Правата за пристап до ресурсите треба да се распределат според принципот „минимална доволност“. Пристапот до одржување на техничката опрема, дури и со администраторски права, не треба секогаш да биде придружен со пристап за прегледување на самите информации.
3. Што е можно подлабоко следење на активностите на корисникот, со задолжително овластување и запишување на информации за извршените операции во дневник. Колку повнимателно се водат дневниците, толку менаџментот има поголема контрола врз ситуацијата во компанијата. Истото важи и за постапките на вработениот при користење на официјален пристап до Интернет.

Стандард за комуникација

1. Организацијата мора да усвои свој стандард на комуникација, кој би ги исклучил сите форми на несоодветно однесување на вработените едни кон други (агресија, насилство, прекумерна блискост). Пред сè, ова се однесува на односот „менаџер-подреден“.

Вработениот во никој случај не смее да чувствува дека се однесува неправедно, дека не е доволно ценет, дека е непотребно експлоатиран или дека е измамен.

Следењето на ова едноставно правило ќе ви овозможи да избегнете огромно мнозинство ситуации кои ги предизвикуваат вработените да даваат внатрешни информации.

Доверливост

Договорот за необјавување не треба да биде обична формалност. Мора да биде потпишан од сите вработени кои имаат пристап до важни информациски ресурсикомпании.

Дополнително, дури и во фазата на интервју, на потенцијалните вработени треба да им се објасни како компанијата ја контролира безбедноста на информациите.

Контрола на средствата

Претставува контрола на технички средства што ги користи работникот за работни цели.

На пример, користењето личен лаптоп е непожелно, бидејќи кога вработен ќе замине, најверојатно нема да може да се открие кои информации се зачувани на него.

Од истата причина, непожелно е да се користат кутии Е-поштана надворешни ресурси.

Внатрешна рутина

Претпријатието мора да ги почитува внатрешните прописи.

Неопходно е да имате информации за времето кое вработените го поминуваат на работното место.

Мора да се обезбеди и контрола на движењето на материјалните средства.

Усогласеноста со сите горенаведени правила ќе го намали ризикот од оштетување или истекување на информации преку инсајдерски информации и затоа ќе помогне да се спречат значителни финансиски загуби или загуби на угледот.

Управен партнер

група на компании Хостинг заедница

Денес, постојат два главни канали за истекување на доверливи информации: уреди поврзани со компјутерот (сите видови отстранливи уреди за складирање, вклучувајќи флеш драјвови, CD/DVD дискови, итн., печатачи) и Интернет (email, ICQ, социјални мрежи итн.) г.). И затоа, кога компанијата е „зрела“ да имплементира систем за заштита од нив, препорачливо е сеопфатно да се пристапи кон ова решение. Проблемот е што се користат различни пристапи за покривање на различни канали. Во еден случај најмногу ефективен начинзаштитата ќе ја контролира употребата на отстранливи дискови, а втората ќе вклучува различни опции за филтрирање на содржината, што ќе ви овозможи да го блокирате преносот на доверливи податоци на надворешна мрежа. Затоа, компаниите мора да користат два производи за заштита од инсајдери, кои заедно формираат сеопфатен безбедносен систем. Секако, подобро е да се користат алатки од еден развивач. Во овој случај, процесот на нивно спроведување, администрација и обука на вработените е поедноставен. Како пример, можеме да ги наведеме производите на SecurIT: Zlock и Zgate.

Zlock: заштита од протекување преку отстранливи погони

Програмата Zlock е на пазарот веќе подолго време. А ние веќе. Во принцип, нема смисла да се повторувам. Сепак, од објавувањето на статијата, беа објавени две нови верзии на Zlock, кои додадоа голем број важни карактеристики. Вреди да се зборува за нив, макар и многу кратко.

Пред сè, вреди да се забележи можноста за доделување неколку политики на компјутер, кои независно се применуваат во зависност од тоа дали компјутерот е поврзан со корпоративна мрежадиректно, преку VPN, или работи автономно. Ова особено овозможува автоматско блокирање на USB-порти и CD/DVD-дискови кога компјутерот е исклучен од локалната мрежа. Општо земено оваа функцијаја зголемува безбедноста на информациите зачувани на лаптопите, кои вработените можат да ги изнесат од канцеларија на патувања или на работа дома.

Второ нова можност- обезбедување на вработените во компанијата привремен пристап до блокирани уреди или дури и групи уреди преку телефон. Принципот на неговото функционирање е да се разменат генерирани програми тајни кодовипомеѓу корисникот и вработениот одговорен за безбедноста на информациите. Вреди да се одбележи дека дозволата за користење може да се издаде не само трајно, туку и привремено (одредено време или до крајот на работната сесија). Оваа алатка може да се смета за мало опуштање во безбедносниот систем, но ви овозможува да ја зголемите одговорноста на одделот за ИТ на деловните барања.

Следната важна иновација во новите верзии на Zlock е контролата врз употребата на принтери. Откако ќе го поставите, безбедносниот систем ќе ги запише сите барања на корисниците до уредите за печатење во посебен дневник. Но, тоа не е се. Злок сега нуди копирање во сенка на сите печатени документи. Се запишуваат PDF формати се целосна копија од печатените страници, без разлика која датотека е испратена до печатачот. Ова помага да се спречи истекување на доверливи информации на хартиени листови кога некој инсајдерски ги печати податоците за да ги извади од канцеларијата. Системот за безбедност вклучува и копирање во сенка на информации снимени на CD/DVD-дискови.

Важна иновација беше појавата на серверската компонента Zlock Enterprise Management Server. Обезбедува централизирано складирање и дистрибуција на безбедносните политики и други програмски поставки и значително ја олеснува администрацијата на Zlock во големи и дистрибуирани информациски системи. Исто така, невозможно е да не се спомене појавата на сопствен систем за автентикација, кој, доколку е потребно, ви овозможува да ја напуштите употребата на домен и локални корисници на Windows.

Покрај ова, во Најновата верзијаЗлок сега има неколку помалку забележливи, но и доста важни функции: следење на интегритетот на модулот на клиентот со можност за блокирање на најавување на корисникот при откривање на манипулации, проширени можности за имплементација на безбедносен систем, поддршка за Oracle DBMS итн.

Zgate: заштита од протекување на Интернет

Значи, Згејт. Како што веќе рековме, овој производ е систем за заштита од истекување на доверливи информации преку Интернет. Структурно, Zgate се состои од три дела. Главната е компонентата на серверот, која ги извршува сите операции за обработка на податоци. Може да се инсталира и на посебен компјутер и на оние што веќе работат во корпоративно систем за информациијазли - Интернет порта, контролер на домен, порта за пошта итн. Овој модул пак се состои од три компоненти: за следење на сообраќајот SMTP, следење на внатрешната пошта на серверот Microsoft Exchange 2007/2010, како и Zgate Web (одговорен е за контрола на HTTP, FTP и IM сообраќај).

Вториот дел од безбедносниот систем е серверот за логирање. Се користи за собирање информации за настани од еден или повеќе Zgate сервери, нивна обработка и складирање. Овој модул е ​​особено корисен во големи и географски дистрибуирани корпоративни системи, бидејќи обезбедува централизиран пристап до сите податоци. Третиот дел е конзолата за управување. Таа користи стандардна конзола за производите на SecurIT, и затоа нема да се задржуваме во детали на неа. Забележуваме само дека користејќи го овој модул можете да го контролирате системот не само локално, туку и од далечина.

Управувачка конзола

Системот Zgate може да работи во неколку режими. Покрај тоа, нивната достапност зависи од начинот на имплементација на производот. Првите два режими вклучуваат работа како прокси-сервер за пошта. За да ги имплементира, системот се инсталира помеѓу корпоративниот сервер за пошта и „надворешниот свет“ (или помеѓу серверот за пошта и серверот за испраќање, доколку се разделени). Во овој случај, Zgate може и да го филтрира сообраќајот (да ги одложи пораките со прекршување и сомнителни пораки) и само да го евидентира (да ги пренесе сите пораки, но да ги зачува во архивата).

Вториот метод на имплементација вклучува користење на системот за заштита во врска со Microsoft Exchange 2007 или 2010 година. За да го направите ова, треба да го инсталирате Zgate директно на корпоративната сервер за пошта. Достапни се и два режима: филтрирање и логирање. Покрај ова, постои уште една опција за имплементација. Зборуваме за евидентирање пораки во режим на ретровизорски сообраќај. Секако, за да го користите, неопходно е да се осигурате дека компјутерот на кој е инсталиран Zgate го добива истиот пресликан сообраќај (обично тоа се прави со помош на мрежна опрема).

Избор на режим на работа Zgate

Компонентата Zgate Web заслужува посебна приказна. Тој е инсталиран директно на корпоративната интернет-порта. Во исто време, овој потсистем добива можност да го следи сообраќајот HTTP, FTP и IM, односно да го обработува со цел да открие обиди за испраќање доверливи информации преку интерфејсите за веб-пошта и ICQ, објавувајќи ги на форуми, FTP сервери и социјалните мрежи. мрежи итн. Патем, за ICQ. Функцијата за блокирање IM-месинџери е достапна во многу слични производи. Сепак, во нив нема „ICQ“. Едноставно затоа што тоа е најраспространето во земјите од рускиот јазик.

Принципот на работа на Zgate Web компонентата е прилично едноставен. Секој пат кога информациите се испраќаат до некоја од контролираните услуги, системот ќе генерира посебна порака. Ги содржи самите информации и некои податоци за услугата. Се испраќа до главниот Zgate сервер и се обработува според наведените правила. Секако, испраќањето информации не е блокирано во самата услуга. Односно, Zgate Web работи само во режим на логирање. Со негова помош, не можете да спречите истекување на изолирани податоци, но можете брзо да ги откриете и да ги запрете активностите на доброволен или несакан напаѓач.

Поставување на веб компонентата Zgate

Начинот на кој се обработуваат информациите во Zgate и процедурата за филтрирање се одредуваат со политиката, која ја изготвува службеникот за безбедност или друг одговорен вработен. Претставува низа услови, од кои секоја одговара на одредена акција. Сите дојдовни пораки се „трчаат“ низ нив последователно една по друга. И ако некој од условите е исполнет, тогаш акцијата поврзана со неа се активира.

Систем за филтрирање

Севкупно, системот обезбедува 8 типа на услови, како што велат, „за сите прилики“. Првиот од нив е типот на датотека со прилог. Со негова помош, можете да откриете обиди за испраќање објекти од одреден формат. Вреди да се напомене дека анализата се врши не со проширување, туку од внатрешната структура на датотеката и можете да ги наведете и специфичните типови на објекти и нивните групи (на пример, сите архиви, видеа итн.). Вториот тип на услови е верификација со надворешна апликација. Како апликација, може да дејствува како редовна програма лансирана од командна линија, и сценариото.

Услови во системот за филтрирање

Но, следниот услов вреди да се задржиме подетално. Станува збор за анализа на содржината на пренесените информации. Пред сè, неопходно е да се забележи „сештојадноста“ на Zgate. Факт е дека програмата „разбира“ голем број различни формати. Затоа, може да анализира не само едноставен текст, туку и речиси секој прилог. Друга карактеристика на анализата на содржината се нејзините големи способности. Може да се состои од едноставно пребарување за појава во текстот на пораката или кое било друго поле на одреден збор, или целосна анализа, вклучително и земајќи ги предвид граматичките форми на зборови, стеблата и транслитерацијата. Но, тоа не е се. Системот за анализа на обрасци и правилни изрази заслужува посебно споменување. Со негова помош можете лесно да откриете присуство на податоци во одреден формат во пораките, на пример, серии и броеви на пасоши, телефонски број, број на договор, број на банкарска сметка итн. Ова, меѓу другото, ви овозможува да ја зајакнете заштита на личните податоци кои ги обработува компанијата.

Шаблони за идентификување на различни доверливи информации

Четвртиот тип на услови е анализа на адресите наведени во писмото. Односно, пребарување меѓу нив за одредени жици. Петто - анализа на шифрирани датотеки. Кога се извршува, се проверуваат атрибутите на пораката и/или вгнездените објекти. Шестиот тип на услови е проверка на различни параметри на буквите. Седмиот е речник анализа. За време на овој процес, системот детектира присуство на зборови од претходно креирани речници во пораката. И, конечно, последниот, осми тип на состојба е сложена. Тој претставува два или повеќе други услови комбинирани со логички оператори.

Патем, треба посебно да кажеме за речниците што ги споменавме во описот на условите. Тие се групи зборови комбинирани со една карактеристика и се користат во различни методи на филтрирање. Најлогичното нешто што треба да направите е да креирате речници кои со голема веројатност ќе ви овозможат да класифицирате порака во една или друга категорија. Нивната содржина може да се внесе рачно или да се увезе од постојните текстуални датотеки. Постои уште една опција за генерирање речници - автоматско. Кога го користите, администраторот едноставно треба да ја одреди папката што ги содржи соодветните документи. Самата програма ќе ги анализира, ќе ги избере потребните зборови и ќе им ги додели карактеристиките на тежината. За висококвалитетно составување на речници, неопходно е да се наведат не само доверливи датотеки, туку и предмети што не содржат чувствителни информации. Општо земено, процесот на автоматско генерирање е најмногу сличен на обуката за антиспам за рекламирање и редовни писма. И тоа не е изненадувачки, бидејќи и двете земји користат слични технологии.

Пример за речник на финансиска тема

Зборувајќи за речници, не можеме да не спомнеме уште една технологија за откривање доверливи податоци имплементирана во Zgate. Зборуваме за дигитални отпечатоци од прсти. Суштината овој методе како што следува. Администраторот може да им покаже на системските папки што содржат доверливи податоци. Програмата ќе ги анализира сите документи во нив и ќе создаде „дигитални отпечатоци од прсти“ - збирки на податоци што ви овозможуваат да одредите обид за пренос не само на целата содржина на датотеката, туку и на нејзините поединечни делови. Забележете дека системот автоматски го следи статусот на папките наведени на него и независно создава „отпечатоци“ за сите предмети што се појавуваат во нив повторно.

Создавање категорија со дигитални отпечатоци од прсти на датотеки

Па, сега останува само да се сфатат активностите спроведени во односниот систем за заштита. Вкупно, во Zgate веќе се продадени 14 од нив. Сепак, најголемиот дел од него ги одредува дејствата што се вршат со пораката. Тие вклучуваат, особено, бришење без испраќање (што е, всушност, блокирање на преносот на писмо), негово ставање во архива, додавање или бришење прилози, менување различни полиња, вметнување текст итн. Меѓу нив, особено е вреди да се напомене поставувањето писмо во карантин. Оваа акцијави овозможува да „одложите“ порака за рачна верификација од службеник за безбедност, кој ќе одлучи за нејзината понатамошна судбина. Исто така многу интересна е акцијата која ви овозможува да блокирате IM конекција. Може да се користи за инстантно блокирање на каналот преку кој е пренесена порака со доверливи информации.

Две дејства стојат малку одвоени - обработка со методот на Бајес и обработка со методот на отпечаток од прст. И двете се дизајнирани да ги проверуваат пораките за да видат дали содржат чувствителни информации. Само првиот користи речници и статистичка анализа, а вториот користи дигитални отпечатоци од прсти. Овие дејства може да се извршат кога е исполнет одреден услов, на пример, ако адресата на примачот не е во корпоративен домен. Покрај тоа, тие (како и сите други) може да се постават да се применуваат безусловно на сите појдовни пораки. Во овој случај, системот ќе ги анализира буквите и ќе ги додели на одредени категории (ако, се разбира, тоа е можно). Но, за овие категории веќе можете да создадете услови со спроведување на одредени акции.

Дејства во системот Zgate

Па, на крајот од нашиот денешен разговор за Zgate, можеме малку да го сумираме. Овој систем за заштита се базира првенствено на анализа на содржината на пораките. Овој пристап е најчест за заштита од истекување на доверливи информации преку Интернет. Секако, анализата на содржината не обезбедува 100% степен на заштита и е прилично веројатна по природа. Сепак, неговата употреба ги спречува повеќето случаи на неовластен пренос на чувствителни податоци. Дали компаниите треба да го користат или не? Секој мора да одлучи за ова, проценувајќи ги трошоците за имплементација и можни проблемиво случај на протекување информации. Вреди да се напомене дека Zgate прави одлична работа во фаќањето регуларни изрази, што го прави многу ефективни средствазаштита на личните податоци кои ги обработува компанијата.

Неодамнешните студии за безбедноста на информациите, како што е годишниот CSI/FBI ComputerCrimeAndSecuritySurvey, покажаа дека финансиските загуби на компаниите од повеќето закани се намалуваат од година во година. Сепак, постојат неколку ризици од кои загубите се зголемуваат. Еден од нив е намерна кражба на доверливи информации или прекршување на правилата за постапување со нив од страна на оние вработени чиј пристап до комерцијални податоци е неопходен за извршување на нивните службени должности. Тие се нарекуваат инсајдери.

Во огромното мнозинство на случаи, кражбата на доверливи информации се врши со помош на мобилни медиуми: ЦД-а и ДВД-а, ZIP уреди и, што е најважно, сите видови USB-дискови. Тоа беше нивната масовна дистрибуција што доведе до процут на инсајдеризмот низ целиот свет. Раководителите на повеќето банки добро ги знаат опасностите од, на пример, базата на податоци со лични податоци на нивните клиенти или, згора на тоа, трансакциите на нивните сметки да паднат во рацете на криминалните структури. И тие се обидуваат да се изборат со можната кражба на информации користејќи организациски методи кои им се достапни.

Меѓутоа, организациските методи во овој случај се неефикасни. Денес можете да организирате пренос на информации помеѓу компјутери користејќи минијатурен флеш драјв, мобилен телефон, mp3 плеер, дигитален фотоапарат... Се разбира, може да се обидете да ги забраните сите овие уреди да се внесуваат во канцеларија, но ова, прво, негативно ќе влијае на односите со вработените, а второ, сепак ќе биде невозможно навистина да се воспостават ефикасна контрола над луѓето многу тешко - банката не " Поштенско сандаче" Па дури и оневозможувањето на сите уреди на компјутерите што може да се користат за пишување информации на надворешни медиуми (FDD и ZIP дискови, CD и DVD драјвови, итн.) и USB-порти нема да помогне. На крајот на краиштата, првите се потребни за работа, а вторите се поврзани со разни периферни уреди: печатачи, скенери итн. И никој не може да спречи човек да го исклучи печатачот за една минута, да вметне флеш-уред во слободната порта и да копира на него важна информација. Се разбира, можете да најдете оригинални начини да се заштитите. На пример, една банка го испроба овој метод за решавање на проблемот: го наполнија спојот на USB-портата и кабелот со епоксидна смола, цврсто „врзувајќи го“ вториот за компјутерот. Но, за среќа, денес постојат посовремени, сигурни и флексибилни методи за контрола.

Најефективното средство за минимизирање на ризиците поврзани со инсајдерите е посебно софтвер, кој динамички ги контролира сите уреди и порти на компјутерот што може да се користат за копирање информации. Принципот на нивната работа е како што следува. Дозволите за користење на различни порти и уреди се поставени за секоја корисничка група или за секој корисник поединечно. Најголемата предност на таков софтвер е флексибилноста. Можете да внесете ограничувања за одредени типови уреди, нивните модели и поединечни примероци. Ова ви овозможува да имплементирате многу сложени политики за дистрибуција на правата за пристап.

На пример, можеби ќе сакате да им дозволите на некои вработени да користат какви било печатачи или скенери поврзани на USB-порти. Сепак, сите други уреди вметнати во оваа порта ќе останат недостапни. Ако банката користи систем за автентикација на корисникот базиран на токени, тогаш во поставките можете да го наведете употребениот модел на клучот. Тогаш на корисниците ќе им биде дозволено да користат само уреди купени од компанијата, а сите останати ќе бидат бескорисни.

Врз основа на принципот на работа на заштитните системи опишани погоре, можете да разберете кои точки се важни при изборот на програми кои спроведуваат динамично блокирање на уреди за снимање и компјутерски порти. Прво, тоа е разноврсност. Системот за заштита мора да го покрие целиот опсег на можни порти и влезно/излезни уреди. Во спротивно, ризикот од кражба на комерцијални информации останува неприфатливо висок. Второ, софтверот за кој станува збор мора да биде флексибилен и да ви дозволува да креирате правила користејќи голема количина на различни информации за уредите: нивните типови, производители на модели, единствени броеви што ги има секој примерок итн. И трето, системот за заштита на инсајдери мора да може да се интегрира со информацискиот систем на банката, особено со ActiveDirectory. Во спротивно, администраторот или службеникот за безбедност ќе мора да одржува две бази на податоци на корисници и компјутери, што не само што е незгодно, туку и го зголемува ризикот од грешки.

Заштита на информации од инсајдери кои користат софтвер

Александар Антипов

Се надевам дека самиот напис и особено неговата дискусија ќе помогне да се идентификуваат различните нијанси на користење софтверски алатки и ќе стане почетна точка во развивањето решение за опишаниот проблем за специјалисти за информациска безбедност.

нахна

Одделот за маркетинг на компанијата Infowatch веќе подолго време ги убедува сите заинтересирани - ИТ специјалисти, како и најнапредните ИТ менаџери, дека најголем дел од штетата од нарушувањето на информациската безбедност на компанијата паѓа на упатените - вработените откриваат трговски тајни. Целта е јасна - треба да создадеме побарувачка за производот што се произведува. А аргументите изгледаат сосема издржани и убедливи.

Формулирање на проблемот

Изградете систем за заштита на информации од кражба од страна на персоналот на LAN базиран Активен директориум Windows 2000/2003. Кориснички работни станици под Контрола на Windows XP. Управување со претпријатија и сметководство засновани на производи 1C.
Тајните информации се чуваат на три начини:

1. DB 1C - пристап до мрежа преку RDP ( пристап до терминалот);
2. споделени папки на сервери за датотеки - мрежен пристап;
3. локално на компјутерот на вработениот;

Канали за истекување - Интернет и пренослив медиум (флеш драјвови, телефони, плеери, итн.). Употребата на Интернет и преносливите медиуми не може да се забрани, бидејќи тие се неопходни за извршување на службените должности.

Што има на пазарот

Ги поделив системите што се разгледуваат во три класи:

1. Системи засновани на анализатори на контекст - контрола на сурфање, MIME чистач, InfoWatch Traffic Monitor, Dozor Jet итн.
2. Системи базирани на статичко заклучување на уредот - DeviceLock, ZLock, InfoWatch Net Monitor.
3. Системи базирани на динамично блокирање на уреди - SecrecyKeeper, Strazh, Accord, SecretNet.

Системи засновани на анализатори на контекст

Принцип на работа:
Во пренесените информации се пребаруваат клучни зборови, а врз основа на резултатите од пребарувањето се донесува одлука за потребата од блокирање на преносот.

Според мое мислење, InfoWatch Traffic Monitor (www.infowatch.ru) има максимални можности меѓу наведените производи. Основата е добро докажаниот мотор Kaspersky Antispam, кој најцелосно ги зема предвид особеностите на рускиот јазик. За разлика од другите производи, InfoWatch Traffic Monitor при анализата го зема предвид не само присуството на одредени редови во податоците што се проверуваат, туку и однапред одредената тежина на секој ред. Така, при донесување на конечна одлука не се зема предвид само појавата на одредени зборови, туку и комбинациите во кои тие се јавуваат, што овозможува зголемување на флексибилноста на анализаторот. Останатите функции се стандардни за овој тип производи - анализа на архиви, документи на MS Office, можност за блокирање на пренос на датотеки од непознат формат или архиви заштитени со лозинка.

Недостатоци на разгледуваните системи засновани на контекстуална анализа:

• Се следат само два протоколи - HTTP и SMTP (за InfoWatch Traffic Monitor, а за HTTP сообраќај се проверуваат само податоци пренесени со POST барања, што ви овозможува да организирате канал за истекување користејќи пренос на податоци користејќи го методот GET);
• Уредите за пренос на податоци не се контролираат - флопи дискови, ЦД-а, ДВД-а, USB-дискови итн. (InfoWatch има производ за овој случај: InfoWatch Net Monitor).
• за да се заобиколат системите изградени врз основа на анализа на содржината, доволно е да се користи наједноставното кодирање на текст (на пример: тајна -> с1е1к1р1е1т), или стеганографија;
• следниот проблем не може да се реши со методот на анализа на содржината - не ми паѓа на ум соодветен формален опис, па ќе дадам само пример: има две датотеки Excel - во првата има малопродажни цени (информации од јавен карактер), во второ - големопродажни цени за одреден клиент (приватни информации), содржината на датотеките се разликува само со бројки. Овие датотеки не можат да се разликуваат користејќи анализа на содржината.

Заклучок:
Контекстуалната анализа е погодна само за создавање сообраќајни архиви и спречување на случајно истекување на информации и не го решава проблемот.

Системи базирани на статичко блокирање на уреди

Принцип на работа:
На корисниците им се доделуваат права за пристап до контролираните уреди, слично на правата за пристап до датотеките. Во принцип, речиси истиот ефект може да се постигне со користење на стандардни механизми на Windows.

Злок (www.securit.ru) - производот се појави релативно неодамна, така што има минимална функционалност (не сметам важни), и не работи особено добро, на пример, конзолата за управување понекогаш паѓа кога се обидува да заштеди поставувања.

DeviceLock (www.smartline.ru) е поинтересен производ; тој е на пазарот доста долго време, така што работи многу постабилно и има поразновидна функционалност. На пример, дозволува копирање во сенка на пренесените информации, што може да помогне во истражување на инцидент, но не и во спречување. Дополнително, таква истрага најверојатно ќе биде спроведена кога ќе се дознае истекувањето, т.е. значителен временски период откако ќе се појави.

InfoWatch Net Monitor (www.infowatch.ru) се состои од модули - DeviceMonitor (аналогно на Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor е аналог на Zlock, стандардна функционалност, без суво грозје. FileMonitor - контрола на пристап до датотеки. OfficeMonitor и AdobeMonitor ви дозволуваат да контролирате како се постапува со датотеките во нивните соодветни апликации. Во моментов е доста тешко да се дојде до корисна, наместо играчка, апликација за FileMonitor, OfficeMonitor и AdobeMonitor, но во идните верзии би требало да биде можно да се спроведе контекстуална анализа на обработените податоци. Можеби тогаш овие модули ќе го откријат својот потенцијал. Иако вреди да се напомене дека задачата за контекстуална анализа на операциите со датотеки не е тривијална, особено ако базата за филтрирање на содржината е иста како во Traffic Monitor, т.е. мрежа.

Одделно, неопходно е да се каже за заштита на агентот од корисник со локални администраторски права.
ZLock и InfoWatch Net Monitor едноставно немаат таква заштита. Оние. корисникот може да го запре агентот, да ги копира податоците и повторно да го стартува агентот.

DeviceLock има таква заштита, што е дефинитивен плус. Се заснова на пресретнување системски повици за работа со регистарот, датотечен системи управување со процесите. Друга предност е што заштитата работи и во безбеден режим. Но, има и минус - за да се оневозможи заштитата, доволно е да се врати Табелата со дескриптори на услуги, што може да се направи со преземање на едноставен драјвер.

Недостатоци на разгледуваните системи засновани на статичко блокирање на уреди:

• Преносот на информации до мрежата не е контролиран.
• -Не знае да разликува класифицирани од нетајни информации. Работи на принципот дека или се е можно или ништо не е невозможно.
• Заштитата од растоварување агент е отсутна или лесно се заобиколува.

Заклучок:
Не е препорачливо да се имплементираат такви системи, бидејќи тие не го решаваат проблемот.

Системи базирани на динамично заклучување на уредот

Принцип на работа:
пристапот до каналите за пренос е блокиран во зависност од нивото на пристап на корисникот и степенот на тајност на информациите со кои се работи. За да се имплементира овој принцип, овие производи го користат авторитативниот механизам за контрола на пристап. Овој механизам не се јавува многу често, па затоа ќе се задржам на него подетално.

Авторитетна (присилна) контрола на пристап, за разлика од дискреционото (имплементирано во безбедносниот систем на Windows NT и повисоко), е дека сопственикот на ресурс (на пример, датотека) не може да ги ослабне барањата за пристап до овој ресурс, но може само зајакнете ги во границите на вашето ниво. Само корисник со посебни овластувања - службеник за безбедност на информации или администратор - може да ги релаксира барањата.

Главната цел на развојот на производи како што се Guardian, Accord, SecretNet, DallasLock и некои други беше можноста за сертифицирање на информациски системи во кои ќе се инсталираат овие производи за усогласеност со барањата на Државната техничка комисија (сега FSTEC). Таквата сертификација е задолжителна за информатичките системи во кои се обработуваат владините податоци. тајна, која главно ја обезбедуваше побарувачката на производи од државните претпријатија.

Затоа, збирот на функции имплементирани во овие производи беше одреден со барањата на соодветните документи. Што пак доведе до фактот дека поголемиот дел од функционалноста имплементирана во производите или го дуплира стандардот Функционалност на Windows(чистење предмети по бришење, чистење RAM) или имплицитно го користи (дискриминира контрола на пристап). А програмерите на DallasLock отидоа уште подалеку со имплементирање на задолжителна контрола на пристап за нивниот систем преку механизмот за дискрециона контрола на Windows.

Практичната употреба на таквите производи е крајно незгодна; на пример, DallasLock бара препартиционирање за инсталација хард диск, што исто така мора да се изврши со користење на софтвер од трета страна. Многу често, по сертификацијата, овие системи беа отстранети или оневозможени.

SecrecyKeeper (www.secrecykeeper.com) е уште еден производ кој имплементира авторитативен механизам за контрола на пристап. Според програмерите, SecrecyKeeper е развиен специјално за да реши одреден проблем - спречување на кражба на информации во комерцијална организација. Затоа, повторно според програмерите, посебно внимание при развојот беше посветено на едноставноста и леснотијата на користење, како за системските администратори, така и за обичните корисници. Колку беше ова успешно, потрошувачот може да процени, т.е. нас. Покрај тоа, SecrecyKeeper имплементира голем број механизми кои се отсутни во другите споменати системи - на пример, можност за поставување на ниво на приватност за ресурси со далечински пристап и механизам за заштита на агенти.
Контролата на движењето на информациите во SecrecyKeeper се имплементира врз основа на ниво на тајност на информации, нивоа на кориснички дозволи и ниво на компјутерска безбедност, што може да ги земе вредностите јавни, тајни и строго доверливи. Нивото за безбедност на информации ви овозможува да ги класифицирате информациите обработени во системот во три категории:

јавни - не тајни информации, нема ограничувања при работа со нив;

тајни - тајни информации, при работа со нив се воведуваат ограничувања во зависност од нивоата на дозволи на корисникот;

строго доверливо - строго доверливо информации; при работа со нив, се воведуваат ограничувања во зависност од нивоата на дозволи на корисникот.

Нивото за безбедност на информации може да се постави за датотека, мрежен погони портата на компјутерот на која работи некоја услуга.

Нивоата на клиренс на корисникот ви овозможуваат да одредите како корисникот може да преместува информации врз основа на неговото безбедносно ниво. Постојат следниве нивоа на кориснички дозволи:

Ниво на корисничка дозвола - го ограничува максималното ниво на безбедност на информации до кое вработениот може да пристапи;

Ниво на пристап до мрежа - го ограничува максималното ниво на безбедност на информации што вработениот може да го пренесе преку мрежата;

Ниво на пристап до пренослив медиум - го ограничува максималното ниво на безбедност на информации што вработениот може да го копира на надворешни медиуми.

Ниво на пристап до печатач - го ограничува максималното ниво на безбедност на информации што вработениот може да го печати.

Ниво на безбедност на компјутерот - го одредува максималното ниво на безбедност на информации што може да се складираат и обработуваат на компјутер.

Пристап до информации со ниво на јавна безбедност може да обезбеди вработен со кој било безбедносен сертификат. Таквите информации може да се пренесат преку мрежата и да се копираат на надворешни медиуми без ограничувања. Историјата на работа со информации класифицирани како јавни не се следи.

Пристап до информации со безбедносно ниво на тајна може да добијат само вработени чие ниво на дозвола е еднакво на тајно или повисоко. Само вработените чие ниво на пристап до мрежата е тајно или повисоко може да пренесат такви информации до мрежата. Само вработените чие ниво на пристап до пренослив медиум е тајно или повисоко може да ги копираат таквите информации на надворешни медиуми. Само вработените чие ниво на пристап до печатачот е тајно или повисоко може да печатат такви информации. Историја на работа со информации со тајното ниво, т.е. евидентирани се обидите за пристап до него, обидите да се пренесе преку мрежата, обидите да се копира на надворешен медиум или да се испечати.

Пристап до информации со строго доверливо ниво на тајност може да добијат само вработени чие ниво на дозвола е еднакво на строго доверливо. Само вработените чие ниво на пристап до мрежата е еднакво на строго доверливо може да пренесат такви информации до мрежата. Само вработени чие ниво на пристап до пренослив медиум е еднакво на строго доверливо може да ги копираат таквите информации на надворешни медиуми. Само вработени чие ниво на пристап до печатачот е еднакво на строго доверливо може да печатат такви информации. Историја на работа со информации со врвно тајно ниво, т.е. евидентирани се обидите за пристап до него, обидите да се пренесе преку мрежата, обидите да се копира на надворешен медиум или да се испечати.

Пример: нека вработен има ниво на дозвола еднакво на строго тајно, ниво на пристап до мрежа еднакво на тајно, ниво на пристап до медиуми што се отстрануваат еднакво на јавно и ниво на пристап до печатач еднакво на строго тајно; во овој случај, вработениот може да добие пристап до документ со кое било ниво на тајност, вработениот може да пренесе информации на мрежата со ниво на тајност не повисоко од тајно, да копира, на пример, на флопи дискови, вработениот може само информации со нивото на јавна тајна, а вработениот може да печати какви било информации на печатач.

За да се управува со ширењето на информации низ претпријатието, на секој компјутер доделен на вработен му е доделено ниво на компјутерска безбедност. Ова ниво го ограничува максималното ниво на безбедност на информации до кое секој вработен може да пристапи од даден компјутер, без оглед на нивоата на дозвола на вработениот. Тоа. ако вработениот има ниво на дозвола еднакво на строго доверливо и компјутерот на кој се наоѓа овој моментработи има ниво на безбедност еднакво на јавно, тогаш вработениот нема да може да пристапи до информации со безбедносно ниво повисоко од јавното од оваа работна станица.

Вооружени со теорија, ајде да се обидеме да го искористиме SecrecyKeeper за да го решиме проблемот. Информациите обработени во информацискиот систем на апстрактното претпријатие што се разгледува (види изјава за проблемот) може да се опишат на поедноставен начин користејќи ја следната табела:

Вработените во претпријатието и областа на нивните работни интереси се опишани со помош на втората табела:

Нека се користат следните сервери во претпријатието:
Сервер 1C
Сервер за датотеки со топки:
SecretDocs - содржи тајни документи
PublicDocs - содржи јавно достапни документи

Ве молиме имајте предвид дека стандардните способности се користат за организирање на стандардна контрола на пристап операционен системи апликативен софтвер, т.е. за да се спречи, на пример, менаџер да пристапи до личните податоци на вработените, нема потреба од воведување дополнителни системи за заштита. Зборуваме конкретно за спротивставување на ширењето на информации до кои вработениот има законски пристап.

Ајде да преминеме на вистинската конфигурација на SecrecyKeeper.
Нема да го опишам процесот на инсталирање на конзолата за управување и агентите, сè е што е можно поедноставно - видете ја документацијата за програмата.
Поставувањето на системот се состои од извршување на следните чекори.

Чекор 1. Инсталирајте агенти на сите компјутери освен серверите - ова веднаш ги спречува да добијат информации за кои Нивото на тајност е поставено повисоко од јавното.

Чекор 2. Доделете им ги нивоата на дозвола на вработените според следната табела:

	Ниво на корисничка дозвола	Ниво на пристап до мрежа	Ниво на пристап до пренослив медиум	Ниво на пристап до печатачот
директор	тајна	тајна	тајна	тајна
менаџер	тајна	јавен	јавен	тајна
персонален офицер	тајна	јавен	јавен	тајна
сметководител	тајна	јавен	тајна	тајна
секретарка	јавен	јавен	јавен	јавен

Чекор 3. Доделете ги нивоата на компјутерска безбедност на следниов начин:

Чекор 4. Конфигурирајте ги нивоата за безбедност на информации на серверите:

Чекор 5. Конфигурирајте ги нивоата за безбедност на информации на персоналните компјутери за локални датотеки. Ова е делот што одзема најмногу време, бидејќи е неопходно јасно да се разбере кои вработени работат со какви информации и колку се критични овие информации. Ако вашата организација била подложена на ревизија за безбедноста на информациите, нејзините резултати можат многу да ја олеснат задачата.

Чекор 6. Доколку е потребно, SecrecyKeeper ви овозможува да ја ограничите листата на програми што на корисниците им е дозволено да ги извршуваат. Овој механизам се имплементира независно од Политиката за ограничување на софтверот на Windows и може да се користи доколку, на пример, е неопходно да се наметнат ограничувања на корисниците со администраторски права.

Така, со помош на SecrecyKeeper, можно е значително да се намали ризикот од неовластено ширење на доверливи информации - и истекување и кражба.

Недостатоци:
- тешкотии со првично поставувањенивоа на приватност за локални датотеки;

Општ заклучок:
максималните можности за заштита на информациите од инсајдерите се обезбедени со софтвер кој има способност динамички да го регулира пристапот до каналите за пренос на информации, во зависност од степенот на тајност на информациите со кои се работи и нивото на безбедносна дозвола на вработениот.

Компанијата е единствена услуга за купувачи, програмери, дилери и партнери. Покрај тоа, ова е едно од најдобрите онлајн продавнициСофтвер во Русија, Украина, Казахстан, кој на клиентите им нуди широк опсег, многу начини на плаќање, брза (често моментална) обработка на нарачките, следење на процесот на нарачка во личен дел.

Неодамна, проблемот со заштитата од внатрешни закани стана вистински предизвик за разбирливиот и воспоставен свет на корпоративна информациска безбедност. Печатот зборува за инсајдери, истражувачите и аналитичарите предупредуваат за можни загуби и неволји, а вестите се полни со извештаи за уште еден инцидент што доведе до протекување на стотици илјади записи од клиенти поради грешка или невнимание на вработен. Ајде да се обидеме да откриеме дали овој проблем е толку сериозен, дали треба да се справи со него и кои достапни алатки и технологии постојат за да се реши.

Пред сè, вреди да се утврди дека заканата за доверливоста на податоците е внатрешна доколку нејзиниот извор е вработен во претпријатието или некое друго лице кое има правен пристап до овие податоци. Така, кога зборуваме за инсајдерски закани, зборуваме за какви било можни дејстваправни корисници, намерни или случајни, што може да доведе до истекување на доверливи информации надвор од корпоративната мрежа на претпријатието. За комплетирање на сликата, вреди да се додаде дека таквите корисници често се нарекуваат инсајдери, иако овој термин има други значења.

Релевантноста на проблемот со внатрешните закани е потврдена со резултатите од неодамнешните студии. Конкретно, во октомври 2008 година беа објавени резултатите од заедничката студија на Compuware и Ponemon Institue, според која инсајдерите се најчеста причина за протекување податоци (75% од инцидентите во САД), додека хакерите беа само на петтото место. Во годишната студија од 2008 година на Институтот за компјутерска безбедност (CSI), бројките за бројот на инциденти од инсајдерски закани се како што следува:

Бројот на инциденти во проценти значи дека од вкупниот број на испитаници овој типинцидент се случил во наведениот процент на организации. Како што може да се види од овие бројки, речиси секоја организација има ризик да страда од внатрешни закани. За споредба, според истиот извештај, вирусите зафатиле 50% од анкетираните организации и со инфилтрација на хакери локална мрежасамо 13% го сретнале.

Така, внатрешни закани– ова е реалноста на денешницата, а не мит измислен од аналитичари и продавачи. Така, оние кои на старомоден начин веруваат дека безбедноста на корпоративните информации е заштитен ѕид и антивирус, треба што поскоро да го разгледаат проблемот пошироко.

Законот „За лични податоци“ го зголемува и степенот на тензија, според кој организациите и функционерите ќе треба да одговараат не само пред нивното раководство, туку и пред своите клиенти и законот за неправилно постапување со личните податоци.

Модел на натрапник

Традиционално, кога се разгледуваат заканите и одбраната од нив, треба да се започне со анализа на моделот на противникот. Како што веќе споменавме, ќе зборуваме за инсајдери - вработени во организацијата и други корисници кои имаат правен пристап до доверливи информации. Како по правило, со овие зборови, секој мисли на вработен во канцеларија што работи на компјутер како дел од корпоративна мрежа, кој не ја напушта канцеларијата на организацијата додека работи. Сепак, таквата репрезентација е нецелосна. Неопходно е да се прошири за да вклучи и други типови на лица со правен пристап до информации кои можат да ја напуштат канцеларијата на организацијата. Тоа може да бидат деловни патници со лаптопи или оние кои работат и во канцеларија и дома, курири кои превезуваат медиуми со информации, првенствено магнетни ленти со резервна копија итн.

Ваквото проширено разгледување на моделот на натрапникот, прво, се вклопува во концептот, бидејќи заканите што ги претставуваат овие натрапници се однесуваат и на внатрешните, и второ, ни овозможува пошироко да го анализираме проблемот, земајќи ги предвид сите можни опцииборба против овие закани.

Може да се разликуваат следниве главни типови на внатрешни прекршители:

• Нелојален/огорчен вработен.Прекршителите кои припаѓаат на оваа категорија може да дејствуваат намерно, на пример, менувајќи ги работните места и сакаат да зграпчат доверливи информации со цел да заинтересираат нов работодавец или емотивно, ако се сметаат себеси за навредени, со што сакаат да се одмаздат. Тие се опасни затоа што се најмотивирани да предизвикаат штета на организацијата во која моментално работат. По правило, бројот на инциденти со нелојални вработени е мал, но може да се зголеми во ситуации на неповолни економски услови и масовно намалување на персоналот.
• Инфилтриран, поткупен или изманипулиран вработен.Во овој случај ние зборуваме заза какви било намерни дејствија, најчесто со цел индустриска шпионажа во услови на интензивна конкуренција. За да соберат доверливи информации, тие или воведуваат своја личност во конкурентска компанија за одредени цели, или наоѓаат помалку од лојален вработен и го поткупуваат или принудуваат лојален, но невнимателен вработен да предаде доверливи информации преку социјален инженеринг. Бројот на инциденти од овој вид е обично дури и помал од претходните, поради фактот што во повеќето сегменти на економијата во Руската Федерација конкуренцијата не е многу развиена или се спроведува на други начини.
• Несовесен вработен. Овој типпрекршител е лојален, но невнимателен или несовесен вработен кој може да ја прекрши политиката внатрешна безбедностпретпријатие поради нејзиното незнаење или заборав. Таквиот вработен може погрешно да испрати е-пошта со чувствителна датотека прикачена на погрешна личност или да земе дома флеш-драјв со доверливи информации за работа во текот на викендот и да ја изгуби. Овој тип ги вклучува и вработените кои губат лаптопи и магнетни ленти. Според многу експерти, овој тип на инсајдери е одговорен за повеќето протекувања на доверливи информации.

Така, мотивите и, следствено, текот на дејствувањето на потенцијалните прекршители може значително да се разликуваат. Во зависност од ова, треба да пристапите кон задачата за обезбедување на внатрешна безбедност на организацијата.

Технологии за заштита од инсајдерски закани

И покрај релативната младост на овој сегмент од пазарот, клиентите веќе имаат многу да изберат во зависност од нивните цели и финансиски можности. Вреди да се напомене дека сега практично нема продавачи на пазарот кои се специјализирани исклучиво за внатрешни закани. Оваа состојба настана не само поради незрелоста на овој сегмент, туку и поради агресивната и понекогаш хаотична политика на спојувања и превземања што ја спроведуваат производителите на традиционални безбедносни производи и други продавачи заинтересирани за присуство во овој сегмент. Вреди да се потсетиме на компанијата RSA Data Security, која стана поделба на EMC во 2006 година, купувањето од страна на NetApp на стартапот Decru, кој разви системи за заштита на складирање на сервери и резервни копииво 2005 година, купувањето на Симантек на продавачот на DLP Vontu во 2007 година, итн.

И покрај фактот дека голем број такви трансакции укажуваат на добри изгледи за развој на овој сегмент, тие не секогаш имаат корист од квалитетот на производите што доаѓаат под закрила. големи корпорации. Производите почнуваат да се развиваат побавно, а програмерите не реагираат толку брзо на барањата на пазарот во споредба со високо специјализираната компанија. Ова е добро позната болест на големите компании, кои, како што знаеме, губат во мобилноста и ефикасноста на нивните помали браќа. Од друга страна, квалитетот на услугата и достапноста на производите за клиентите во различни делови на светот се подобрува поради развојот на нивната услуга и продажна мрежа.

Да ги разгледаме главните технологии кои моментално се користат за неутрализирање на внатрешните закани, нивните предности и недостатоци.

Контрола на документи

Технологијата за контрола на документи е отелотворена во современи производи за управување со права, како на пр Microsoft WindowsУслуги за управување со права, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management.

Принципот на работа на овие системи е да назначат правила за користење за секој документ и да ги контролираат овие права во апликациите што работат со документи од овие типови. На пример, можете да креирате документ Microsoft Wordи поставете правила за тоа: кој може да го гледа, кој може да уредува и зачувува промени и кој може да печати. Овие правила се нарекуваат лиценца во услови на Windows RMS и се складираат со датотеката. Содржината на датотеката е шифрирана за да се спречат неовластени корисници да ја гледаат.

Сега, ако некој корисник се обиде да отвори таква заштитена датотека, апликацијата контактира со посебен RMS сервер, ги потврдува дозволите на корисникот и, ако е дозволен пристап до овој корисник, серверот го предава клучот на апликацијата за да ја дешифрира оваа датотека и информации за правата на овој корисник. Врз основа на овие информации, апликацијата ги прави достапни на корисникот само оние функции за кои тој има права. На пример, ако на корисникот не му е дозволено да печати датотека, функцијата за печатење на апликацијата нема да биде достапна.

Излегува дека информациите во таква датотека се безбедни дури и ако датотеката излезе надвор од корпоративната мрежа - таа е шифрирана. Функционалноста на RMS е веќе вградена во апликациите Microsoft OfficeПрофесионално издание од 2003 година. За да се вгради RMS функционалноста во апликации од други програмери, Microsoft нуди специјален SDK.

Системот за контрола на документи на Adobe е изграден на сличен начин, но е фокусиран на документи во PDF формат. Oracle IRM е инсталиран на клиентските компјутери како агент и се интегрира со апликациите при извршување.

Контролата на документите е важен дел од севкупниот концепт на заштита од инсајдерски закани, но инхерентните ограничувања на оваа технологија мора да се земат предвид. Прво, тој е дизајниран исклучиво за следење на датотеки со документи. Ако зборуваме за неструктурирани датотеки или бази на податоци, оваа технологија не работи. Второ, ако напаѓачот, користејќи го SDK на овој систем, создаде едноставна апликација која ќе комуницира со RMS-серверот, ќе добие клуч за шифрирање од таму и ќе го зачува документот во јасен текст и ќе ја стартува оваа апликација во име на корисник кој има минимално ниво на пристап до документот, тогаш овој системќе бидат заобиколени. Дополнително, треба да се земат предвид тешкотиите при спроведување на систем за контрола на документи ако организацијата веќе има создадено многу документи - задачата за првично класифицирање на документите и доделување права за нивно користење може да бара значителен напор.

Ова не значи дека системите за контрола на документи не ја исполнуваат задачата, само треба да запомниме дека безбедноста на информациите е сложен проблем и, по правило, не е можно да се реши со помош на само една алатка.

Заштита од истекување

Терминот превенција од загуба на податоци (DLP) се појави во речникот на специјалисти за информациска безбедност релативно неодамна, и веќе стана, без претерување, најжешката тема во последниве години. Како по правило, кратенката DLP се однесува на системи кои ги следат можните канали за протекување и ги блокираат доколку се направи обид да се испратат какви било доверливи информации преку овие канали. Покрај тоа, во функцијата слични системичесто вклучува можност за архивирање на информациите што минуваат низ нив за последователни ревизии, истраги на инциденти и ретроспективна анализа на потенцијалните ризици.

Постојат два типа на DLP системи: мрежен DLP и домаќин DLP.

Мрежна DLPработат на принципот на мрежен портал, кој ги филтрира сите податоци што минуваат низ него. Очигледно, врз основа на задачата за борба против внатрешните закани, главниот интерес на таквото филтрирање лежи во способноста да се контролираат податоците што се пренесуваат надвор од корпоративната мрежа на Интернет. Мрежните DLP ви дозволуваат да ја следите појдовната пошта, http и ftp сообраќајот, услугите за инстант пораки итн. Ако се откријат чувствителни информации, мрежните DLP може да ја блокираат пренесената датотека. Постојат и опции за рачна обработка на сомнителни датотеки. Сомнителните датотеки се ставаат во карантин, кој периодично го прегледува службеник за безбедност и дозволува или негира пренос на датотеки. Сепак, поради природата на протоколот, таквата обработка е можна само за е-пошта. Дополнителни можности за ревизија и истрага на инциденти се обезбедуваат со архивирање на сите информации што минуваат низ портата, под услов оваа архива периодично да се прегледува и нејзината содржина да се анализира со цел да се идентификуваат протекувањето што се случило.

Еден од главните проблеми во имплементацијата и имплементацијата на DLP системите е начинот на откривање на доверливи информации, односно моментот на донесување одлука за тоа дали пренесените информации се доверливи и основите што се земаат предвид при донесување на таква одлука. . Како по правило, тоа се прави со анализа на содржината пренесени документи, наречена и анализа на содржината. Да ги разгледаме главните пристапи за откривање на доверливи информации.

• Тагови. Овој метод е сличен на системите за контрола на документи дискутирани погоре. Етикетите се вградени во документите кои го опишуваат степенот на доверливост на информациите, што може да се направи со овој документ и на кого треба да се испрати. Врз основа на резултатите од анализата на ознаките, системот DLP одлучува дали тоа е можно овој документиспрати надвор или не. Некои DLP системи првично се компатибилни со системите за управување со права за да ги користат етикетите што ги инсталираат овие системи; други системи користат свој формат на етикети.
• Потписи. Овој метод се состои од одредување на една или повеќе секвенци на знаци, чие присуство во текстот на пренесената датотека треба да му каже на системот DLP дека оваа датотека содржи доверливи информации. Голем број на потписи може да се организираат во речници.
• Бејсов метод. Овој метод, кој се користи за борба против спам, може успешно да се користи и во DLP системите. За да се примени овој метод, се креира листа на категории и се означува список на зборови со веројатности дека ако зборот се појави во датотека, тогаш датотеката со дадена веројатност припаѓа или не припаѓа на наведената категорија.
• Морфолошка анализа.Начинот на морфолошка анализа е сличен на потписот, разликата е во тоа што не се анализира 100% совпаѓање со потписот, туку се земаат предвид и слични коренски зборови.
• Дигитални отпечатоци.Суштината на овој метод е дека хаш-функцијата се пресметува за сите доверливи документи на таков начин што ако документот е малку променет, функцијата за хаш ќе остане иста или исто така малку ќе се промени. Така, процесот на откривање на доверливи документи е значително поедноставен. И покрај ентузијастичките пофалби за оваа технологија од многу продавачи и некои аналитичари, нејзината доверливост остава многу да се посакува, а со оглед на фактот дека продавачите, под различни изговори, претпочитаат да ги остават деталите за имплементацијата на дигиталниот алгоритам за отпечатоци од прсти во сенка, доверба во него не се зголемува.
• Редовни изрази.Познат на сите што се занимавале со програмирање, регуларни изразиго олеснуваат наоѓањето податоци за шаблоните во текст, како што се телефонски броеви, информации за пасош, броеви на банкарски сметки, броеви за социјално осигурување итн.

Од горенаведената листа лесно може да се види дека методите за откривање или не гарантираат 100% идентификација на доверливи информации, бидејќи нивото на грешки и на првиот и на вториот тип во нив е доста високо, или бараат постојана внимателност на безбедносната служба за ажурирајте и одржувајте ажурирана листа на етикети за потписи или задачи за доверливи документи.

Покрај тоа, шифрирањето на сообраќајот може да создаде одреден проблем во работата на мрежниот DLP. Ако безбедносните барања бараат од вас да ги шифрирате пораките на е-пошта или да користите SSL кога се поврзувате со кој било веб-ресурс, проблемот со утврдување на присуството на доверливи информации во пренесените датотеки може да биде многу тешко да се реши. Не заборавајте дека некои услуги за инстант пораки, како што е Skype, имаат стандардно вградено шифрирање. Ќе мора да одбиете да користите такви услуги или да користите DLP-домаќин за да ги контролирате.

Меѓутоа, и покрај сите тешкотии, кога правилна поставкаКога се сфаќа сериозно, мрежниот DLP може значително да го намали ризикот од истекување на доверливи информации и да и обезбеди на организацијата практично средство за внатрешна контрола.

Домаќин на DLPсе инсталирани на секој домаќин на мрежата (на клиентски работни станици и, доколку е потребно, на сервери) и може да се користат и за контрола на интернет сообраќајот. Сепак, DLP-и базирани на домаќин се помалку распространети во овој капацитет и во моментов се користат главно за контрола надворешни уредии принтери. Како што знаете, вработен кој носи флеш драјв или MP3 плеер на работа претставува многу поголема закана за безбедноста на информациите на претпријатието отколку сите хакери заедно. Овие системи се нарекуваат и мрежни безбедносни алатки за крајна точка ( безбедност на крајната точка), иако овој термин често се користи пошироко, на пример, антивирусните производи понекогаш се нарекуваат на овој начин.

Како што знаете, проблемот со користење на надворешни уреди може да се реши без користење на какви било средства со оневозможување на пристаништата или физички или со користење на оперативниот систем, или административно со забрана на вработените да внесуваат какви било медиуми за складирање во канцеларијата. Сепак, во повеќето случаи, „евтин и весел“ пристап е неприфатлив, бидејќи не е обезбедена потребната флексибилност на информативните услуги што ја бараат деловните процеси.

Поради ова, имаше одредена побарувачка за специјални средства, со чија помош можете пофлексибилно да го решите проблемот со користење на надворешни уреди и принтери од страна на вработените во компанијата. Ваквите алатки ви овозможуваат да ги конфигурирате правата за пристап за корисниците разни видовиуреди, на пример, за една група корисници да забранат работа со медиуми и да им дозволат да работат со печатачи, а за друга - да дозволат работа со медиуми во режим само за читање. Доколку е неопходно да се снимаат информации на надворешни уреди за поединечни корисници, може да се користи технологија за копирање во сенка, што гарантира дека сите информации што се зачувани на надворешен уред се копираат на серверот. Копираните информации може последователно да се анализираат за да се анализираат активностите на корисникот. Оваа технологијакопира сè, а моментално нема системи што дозволуваат анализа на содржината на зачуваните датотеки со цел да се блокира работата и да се спречи истекување, како што прават мрежните DLP. Сепак, архивата на копии во сенка ќе обезбеди истраги на инциденти и ретроспективна анализа на настаните на мрежата, а присуството на таква архива значи дека потенцијалниот инсајдер може да биде фатен и казнет за своите постапки. Ова може да се покаже како значајна пречка за него и значајна причина да се откаже од непријателските акции.

Исто така, вреди да се спомене контролата врз употребата на печатачи - печатените копии на документи исто така може да станат извор на истекување. Hosted DLP ви овозможува да го контролирате корисничкиот пристап до печатачите на ист начин како и другите надворешни уреди и да складирате копии од печатените документи во графички форматза последователна анализа. Покрај тоа, технологијата на водени жигови стана некако широко распространета, која печати единствен код на секоја страница од документот, кој може да се користи за да се одреди точно кој, кога и каде го испечатил овој документ.

И покрај несомнените предности на DLP базиран на домаќин, тие имаат голем број на недостатоци поврзани со потребата да се инсталира софтвер за агенти на секој компјутер што треба да се следи. Прво, ова може да предизвика одредени тешкотии во однос на распоредувањето и управувањето со таквите системи. Второ, корисник со администраторски права може да се обиде да го оневозможи овој софтвер за да изврши какви било дејства што не се дозволени со безбедносната политика.

Сепак, за сигурна контрола на надворешни уреди, DLP базиран на домаќин е неопходен, а споменатите проблеми не се нерешливи. Така, можеме да заклучиме дека концептот на DLP сега е полноправна алатка во арсеналот на корпоративните безбедносни служби соочени со постојано зголемување на притисокот врз нив за да се обезбеди внатрешна контрола и заштита од протекување.

Концепт на IPC

Во процесот на измислување нови средства за борба против внатрешните закани, научната и инженерската мисла на современото општество не запира и, земајќи ги предвид одредени недостатоци на средствата што беа дискутирани погоре, пазарот на системи за заштита од истекување информации дојде до концепт на IPC (Заштита и контрола на информации). Овој термин се појави релативно неодамна; се верува дека првпат бил користен во преглед на аналитичката компанија IDC во 2007 година.

Суштината на овој концепт е да се комбинираат DLP и методите за шифрирање. Во овој концепт, користејќи DLP, информациите што ја напуштаат корпоративната мрежа се контролираат преку технички канали, а шифрирањето се користи за заштита на медиумот за складирање што физички паѓа или може да падне во рацете на неовластени лица.

Да ги погледнеме најчестите технологии за шифрирање што можат да се користат во концептот IPC.

• Енкрипција на магнетни ленти.И покрај архаичната природа на овој тип на медиуми, тој продолжува активно да се користи за Резервирајте копијаи за пренос на големи количини на информации, бидејќи сè уште нема еднакви во однос на единечната цена на складиран мегабајт. Според тоа, протекувањето на снимките продолжува да ги воодушевува уредниците на вестите кои ги ставаат на насловната страница и ги фрустрира директорите на директори и безбедносните тимови на претпријатијата кои стануваат херои на таквите извештаи. Ситуацијата е отежната од фактот дека таквите ленти содржат многу големи количини на податоци и, според тоа, голем број луѓе можат да станат жртви на измамници.
• Енкрипција на складишта на серверот.И покрај фактот дека складирањето на серверот многу ретко се транспортира, а ризикот од негово губење е неизмерно помал од оној на магнетната лента, посебна HDDод складирање може да падне во рацете на криминалци. Поправка, отстранување, надградба - овие настани се случуваат со доволно регуларност за да се отпише овој ризик. А ситуацијата со неовластени лица кои влегуваат во канцеларијата не е сосема невозможен настан.

Овде вреди да се направи мала дигресија и да се спомене вообичаената заблуда дека ако дискот е дел од низата RAID, тогаш, наводно, не треба да се грижите дека ќе падне во погрешни раце. Се чини дека алтернацијата на снимените податоци во неколку хард дискови, што ги извршуваат RAID контролерите, обезбедува нечитлив изглед на податоците што се наоѓаат на кој било тврд тип. За жал, ова не е сосема точно. Преклопувањето навистина се случува, но во повеќето современи уреди тоа се прави на ниво на блок од 512 бајти. Ова значи дека, и покрај нарушувањето на структурата и форматите на датотеките, доверливите информации сè уште може да се извлечат од таков хард диск. Затоа, ако постои барање да се обезбеди доверливост на информациите кога се складирани во RAID низа, шифрирањето останува единствената сигурна опција.

• Енкрипција на лаптопи.Ова е веќе кажано безброј пати, но сепак загубата на лаптопи со доверливи информации веќе долги години не е надвор од првите пет на хит парадата на инциденти.
• Шифрирање на пренослив медиум.Во овој случај, зборуваме за преносливи USB-уреди и, понекогаш, за снимање ЦД-а и ДВД-а ако се користат во деловните процеси на претпријатието. Ваквите системи, како и гореспоменатите системи за шифрирање на хард дискови на лаптоп, честопати можат да дејствуваат како компоненти на домаќинските DLP системи. Во овој случај, тие зборуваат за еден вид криптографски периметар, кој обезбедува автоматско транспарентно шифрирање на медиумите внатре и неможност за дешифрирање на податоците надвор од него.

Така, шифрирањето може значително да ги прошири можностите на DLP системите и да го намали ризикот од истекување на доверливи податоци. И покрај фактот што концептот на IPC се оформи релативно неодамна, а изборот на комплексни IPC решенија на пазарот не е многу широк, индустријата активно ја истражува оваа област и сосема е можно по некое време овој концепт да стане де факто стандард за решавање на проблеми од внатрешна безбедност и внатрешна безбедност.контрола.

заклучоци

Како што може да се види од овој преглед, внатрешните закани се прилично нова област во безбедноста на информациите, која, сепак, активно се развива и бара зголемено внимание. Разгледаните технологии за контрола на документи, DLP и IPC овозможуваат да се изгради прилично сигурен систем за внатрешна контрола и да се намали ризикот од истекување на прифатливо ниво. Без сомнение, оваа област на информациска безбедност ќе продолжи да се развива, ќе се нудат понови и понапредни технологии, но денес многу организации се одлучуваат за едно или друго решение, бидејќи негрижата во однос на безбедноста на информациите може да биде премногу скапа.

Алексеј Раевски
Извршен директор на SecurIT