дома › Проблеми › Инсајдерски софтвер за заштита на pdf. Заштита од инсајдери користејќи го системот Zlock. Системи базирани на статичко блокирање на уредите

Инсајдерски софтвер за заштита на pdf. Заштита од инсајдери користејќи го системот Zlock. Системи базирани на статичко блокирање на уредите

„Консултант“, 2011 година, N 9

„Оној што ги поседува информациите го поседува светот“ - овој познат афоризам на Винстон Черчил е порелевантен од кога било во современото општество. Знаењето, идеите и технологијата доаѓаат до израз, а лидерството на пазарот зависи од тоа колку добро компанијата може да управува со својот интелектуален капитал.

Под овие услови, безбедноста на информациите на организацијата е од особено значење.

Секое протекување на информации до конкурентите или откривање информации за внатрешните процеси веднаш влијае на позициите што компанијата ги зазема на пазарот.

Систем безбедност на информациитреба да обезбеди заштита од различни закани: технички, организациски и оние предизвикани од човечкиот фактор.

Како што покажува практиката, инсајдерите се главниот канал на истекување на информации.

Непријател во задниот дел

Вообичаено е да се нарече инсајдер вработен во компанија кој и штети на компанијата со откривање на доверливи информации.

Меѓутоа, ако ги земеме предвид трите главни услови, чиешто обезбедување е цел на безбедноста на информациите - доверливост, интегритет, достапност - оваа дефиниција може да се прошири.

Инсајдер може да биде вработен кој има легитимен официјален пристап до доверливите информации на компанијата, што станува причина за откривање, искривување, оштетување или недостапност на информациите.

Оваа генерализација е валидна затоа што модерен светповредата на интегритетот и достапноста на информациите често повлекува многу посериозни последици за бизнисот отколку откривањето на доверливи информации.

За многу бизниси, затворањето на деловните процеси, дури и за кратко време, се заканува со значителни финансиски загуби, а нарушувањето на функционирањето во рок од неколку дена може да биде толку силно што последиците можат да бидат фатални.

Различни организации кои ги проучуваат деловните ризици редовно ги објавуваат своите резултати од истражувањето. Според нив, инсајдерски информации постојано се рангирани на прво место во листата на причини за нарушување на безбедноста на информациите долги години.

Поради постојаниот раст на вкупниот број инциденти, може да се заклучи дека итноста на проблемот постојано се зголемува.

Модел на закана

За да се изгради доверлив слоевит систем за информациска безбедност кој ќе помогне ефикасно да се справи со проблемот, потребно е пред сè да се создаде модел на закана.

Неопходно е да се разбере кои се инсајдерите и што ги тера, зошто вршат одредени дејствија.

Постојат различни пристапи за создавање на такви модели, но за практични цели, можете да ја користите следнава класификација, која ги вклучува сите главни типови на инсајдери.

внатрешен „хакер“

Таквиот вработен, по правило, има инженерска квалификација над просечното ниво, ја разбира организацијата на ресурсите на претпријатието, архитектурата на компјутерските системи и мрежите.

Тој врши хакерски акции од љубопитност, спортски интерес, истражувајќи ги границите на сопствените можности.

Обично тој е свесен за можната штета од неговите постапки, па затоа ретко носи опиплива штета.

Степенот на опасност е среден, бидејќи неговите постапки можат да предизвикаат привремено запирање на некои процеси што се случуваат во компанијата. Идентификувањето на активноста е можно првенствено со технички средства.

Неодговорен и нискоквалификуван вработен

Може да има различни вештини и да работи во кој било оддел на претпријатието.

Опасно е затоа што обично не размислува за последиците од своите постапки, може да работи со информативните ресурси на компанијата „со обиди и грешки“, ненамерно да уништува и искривува информации.

Обично тој не се сеќава на редоследот на неговите постапки, а кога ќе открие негативни последици, едноставно може да ги премолчи.

Може да открие трговски тајни во разговор лице в лице со пријател или дури и на форуми на интернет и во социјалните мрежи.

Степенот на опасност е многу висок, особено ако се земе предвид дека овој тип на натрапници е почест од другите. Последиците од неговите активности можат да бидат многу посериозни од оние на свесен напаѓач.

За да се спречат последиците од неговите постапки, неопходно е да се преземат цела низа различни мерки, технички (овластување, задолжително делење на работните сесии на сметки) и организациски (постојана управна контрола врз процесот и резултатот од работата). .

Психолошки нестабилна личност

Исто како претставник од претходниот тип, тој може да работи на која било позиција и да има многу различни квалификации. Опасно е поради тенденцијата да се делува слабо мотивирано во услови на психолошка непријатност: во екстремни ситуации, психолошки притисок од други вработени или едноставно силна иритација.

Во афективна состојба, може да даде доверливи информации, да оштети податоци, да го наруши вообичаениот тек на работа на другите луѓе.

Степенот на опасност е среден, но овој тип на натрапници не е толку вообичаен.

За да се спречат негативните последици од неговите постапки, најефективно е да се користат административни мерки - да се идентификуваат таквите луѓе во фазата на интервју, да се разликува пристапот до информации и да се одржи удобна психолошка клима во тимот.

Навреден, навреден вработен

Најширока група на потенцијални прекршители на режимот за информатичка безбедност.

Теоретски, огромното мнозинство на вработени се способни да извршат дела непријателски настроени кон компанијата.

Ова може да се случи ако раководството покаже непочитување кон личноста на вработениот или неговите професионални квалитети и кога тоа влијае на нивото на наградување.

Потенцијално, овој тип на инсајдери претставува многу голема опасност - можни се и протекување и оштетување на информациите, а штетата од нив ќе биде загарантирана опиплива за бизнисот, бидејќи вработениот го нанесува намерно и добро ги знае сите ранливости.

Потребни се и административни и технички мерки за откривање активност.

Нечесен вработен

Вработен кој сака да го надополни своето лично богатство од средствата на компанијата во која работи. Меѓу доделените работи може да има различни носители на доверливи информации (хард дискови, флеш драјвови, корпоративни лаптопи).

Во овој случај, постои ризик информациите да стигнат до луѓе за кои не биле наменети, со последователно објавување или пренесување до конкурентите.

Опасноста е средна, но овој тип не е невообичаен.

Пред сè, потребни се административни мерки за нивно идентификување.

Претставник на конкурентите

Како по правило, тој е висококвалификуван, има позиции кои обезбедуваат многу можности за добивање информации, вклучително и доверливи информации. Ова е или активен вработен регрутиран од конкурентите (почесто), или инсајдерски специјално воведен во компанијата.

Степенот на опасност е многу висок, бидејќи штетата е направена намерно и со длабоко разбирање на вредноста на информациите, како и на ранливостите на компанијата.

Потребни се и административни и технички мерки за да се идентификуваат активностите.

Што крадеме?

Разбирањето на инсајдерскиот проблем е невозможно без да се земе предвид природата на украдените информации.

Според статистичките податоци, најбарани се личните податоци на клиентите, како и информациите за компаниите и партнерите на клиентите, тие се крадат во повеќе од половина од случаите. Следуваат дополнителни детали за трансакциите, условите на договорите и испораките. Од голем интерес се и финансиските извештаи.

При формирање на збир на заштитни мерки, неизбежно се поставува прашањето за секоја компанија: кои конкретни информации бараат посебни заштитни мерки, а што не се потребни?

Се разбира, основа за ваквите одлуки се податоците добиени како резултат на анализа на ризик. Меѓутоа, често претпријатието има ограничени финансиски ресурси кои можат да се потрошат на систем за безбедност на информации и тие можеби не се доволни за да се минимизираат сите ризици.

Два пристапи

За жал, нема подготвен одговор на прашањето: „Што да се заштити на прво место“.

На овој проблем може да се пристапи од две страни.

Ризикот е комплексен индикатор кој ја зема предвид и веројатноста за одредена закана и можната штета од неа. Според тоа, кога давате приоритет на безбедноста, можете да се фокусирате на еден од овие индикатори. Тоа значи дека на прво место се заштитени информациите што најлесно се крадат (на пример, ако голем број вработени имаат пристап до нив) и чие кражба или блокирање ќе доведе до најсериозни последици.

Важен аспект на инсајдерскиот проблем е каналот на пренос на информации. Колку повеќе физички можности за неовластен пренос на информации надвор од компанијата, толку е поголема веројатноста тоа да се случи.

Механизми за пренос

Механизмите за пренос може да се класифицираат на следниов начин:

усно пренесување (личен разговор);
канали за пренос на технички податоци ( телефонски комуникации, факсимилска комуникација, е-пошта, системи за пораки, разни социјални интернет услуги итн.);
преносни медиуми и Мобилни уреди (Мобилни телефони, надворешни хард дискови, лаптопи, флеш драјвови итн.).

Според истражувањата, во наше време, најчести канали за пренос на доверливи податоци се (по опаѓачки редослед): е-пошта, мобилни уреди (вклучувајќи лаптопи), социјални мрежи и други услуги на Интернет (како што се системите за инстант пораки) и сл. .

За контрола на техничките канали, може да се користат различни средства, кои сега се во широк опсег на безбедносниот пазар.

На пример, системи за филтрирање содржини (системи за динамично блокирање), средства за ограничување на пристапот до информативните медиуми (ЦД, ДВД, Bluetooth).

Се применуваат и административни мерки: филтрирање на интернет сообраќајот, блокирање физички пристаништа на работни станици, обезбедување административен режим и физичка заштита.

При изборот технички средстваЗаштитата на доверливите информации бара систематски пристап. Само на овој начин е можно да се постигне најголема ефикасност од нивното спроведување.

Исто така, треба да разберете дека предизвиците со кои се соочува секоја компанија се единствени и често е едноставно невозможно да се користат решенија што ги користат други организации.

Борбата против инсајдерски информации не треба да се спроведува сама по себе, таа е важна компонента на севкупниот деловен процес насочен кон обезбедување режим на безбедност на информациите.

Тој треба да биде спроведен од професионалци и да вклучува целосен циклус на активности: развој на политика за безбедност на информации, дефинирање на опсегот, анализа на ризик, избор на контрамерки и нивна имплементација, како и ревизија на системот за информациска безбедност .

Ако претпријатието не обезбеди режим на безбедност на информации за целиот комплекс, тогаш ризиците од финансиски загуби од протекување и корупција на информации драстично се зголемуваат.

Минимизирање на ризикот

Испитување

Темелен скрининг на апликантите кои аплицираат за која било позиција во компанијата. Се препорачува да се соберат што е можно повеќе информации за кандидатот, вклучително и содржината на неговите страници на социјалните мрежи. Може да помогне и да аплицирате за упатување на претходната работа.
Кандидатите за позиции на ИТ инженери треба да бидат подложени на особено темелна контрола. Практиката покажува дека повеќе од половина од сите упатени - системски администратории програмери.
При вработувањето, треба да се спроведе барем минимален психолошки тест на кандидатите. Тоа ќе помогне да се идентификуваат апликантите со нестабилна психа.

Правилен пристап

Систем за споделување пристап корпоративни ресурси. Претпријатието треба да создаде регулаторна документација која ги рангира информациите според нивото на доверливост и јасно ги дефинира правата за пристап до нив. Пристапот до какви било ресурси мора да биде персонализиран.
Правата за пристап до ресурсите треба да се распределат според принципот „минимална доволност“. Пристапот до одржување на техничките капацитети, дури и со администраторски права, не мора секогаш да биде придружен со пристап за прегледување на самите информации.
Колку што е можно, длабоко следење на корисничките дејства, со задолжително овластување и евидентирање на информации за извршените операции во дневникот. Колку повнимателно се водат дневниците (логовите), толку повеќе раководството ја контролира ситуацијата во компанијата. Истото важи и за постапките на вработен при користење на услугата пристап до Интернет.

Стандард за комуникација

Во рамките на организацијата треба да се усвои сопствен стандард на комуникација, кој би ги исклучил сите форми на некоректно однесување на вработените едни кон други (агресија, насилство, прекумерна блискост). Пред се, ова се однесува на односот „водач – подреден“.

Вработениот во никој случај не смее да чувствува дека се однесува неправедно, дека не е доволно ценет, дека е претерано експлоатиран, дека е измамен.

Усогласеноста со ова едноставно правило ќе ви овозможи да избегнете огромно мнозинство ситуации кои ги предизвикуваат вработените до инсајдерски знаења.

Доверливост

Договорот за необјавување не треба да биде обична формалност. Мора да биде потпишан од сите вработени кои имаат пристап до важни информациски ресурсикомпании.

Дополнително, дури и во фазата на интервју, на потенцијалните вработени треба да им се објасни како компанијата ја контролира безбедноста на информациите.

Контрола на средствата

Претставува контрола на технички средства што ги користи работникот за работни цели.

На пример, употребата на личен лаптоп е непожелна, бидејќи кога вработен ќе замине, најверојатно нема да може да се открие кои информации се зачувани на него.

Од истата причина, употребата на кутии е непожелна. Е-поштана надворешни ресурси.

внатрешен ред

Компанијата мора да ги почитува внатрешните прописи.

Неопходно е да имате информации за времето поминато на вработените на работното место.

Исто така, треба да се обезбеди контрола врз движењето на материјалните средства.

Усогласеноста со сите овие правила ќе го намали ризикот од оштетување или истекување на информации преку инсајдерски информации, што значи дека ќе помогне да се спречат значителни финансиски загуби или загуби на угледот.

Управен партнер

Група на компании за хостинг заедница

Денес, постојат два главни канали за протекување доверливи информации: уреди поврзани на компјутер (сите видови отстранливи дискови, вклучително и флеш-дискови, ЦД/ДВД драјвови, итн., печатачи) и Интернет (e-mail, ICQ, социјални мрежи , итн.) г.). И затоа, кога компанијата „зрее“ да воведе систем за заштита од нив, препорачливо е да се пристапи кон ова решение на сеопфатен начин. Проблемот е што се користат различни пристапи за преклопување на различни канали. Во еден случај најмногу ефективен начинзаштитата ќе ја контролира употребата на отстранливи дискови, а во втората - различни опции за филтрирање на содржината, што ви овозможува да го блокирате преносот на доверливи податоци на надворешна мрежа. И така, компаниите мора да користат два производи за заштита од инсајдери, кои заедно формираат сеопфатен безбедносен систем. Секако, подобро е да се користат алатките на еден развивач. Во овој случај се олеснува процесот на нивно спроведување, администрирање и обука на вработените. Пример се производите на SecurIT: Zlock и Zgate.

Zlock: заштита од истекување преку отстранливи погони

Злок програмата е на пазарот долго време. А ние веќе. Во принцип, нема смисла да се повторува. Сепак, од објавувањето на статијата, беа објавени две нови верзии на Zlock, кои имаат голем број важни карактеристики. Вреди да се зборува за нив, макар и многу кратко.

Пред сè, вреди да се забележи можноста за доделување неколку политики на компјутер, кои независно се применуваат во зависност од тоа дали компјутерот е поврзан со корпоративна мрежадиректно, преку VPN или работи офлајн. Ова овозможува, особено, автоматско блокирање на USB-порти и CD/DVD-дискови кога компјутерот е исклучен од локалната мрежа. Општо земено дадена функцијаја зголемува безбедноста на информациите зачувани на лаптопите што вработените можат да ги изнесат од канцеларија за патување или на работа дома.

Второ нова можност- обезбедување на вработените во компанијата привремен пристап до заклучени уреди или дури и групи уреди преку телефон. Принципот на неговото функционирање е размена генерирана од програмата тајни кодовипомеѓу корисникот и лицето одговорно за безбедноста на информациите. Вреди да се одбележи дека дозволата за користење може да се издаде не само трајна, туку и привремена (за одредено време или до крајот на сесијата). Оваа алатка може да се смета за некакво олеснување во безбедносниот систем, но ви овозможува да ја зголемите одговорноста на одделот за ИТ на деловните барања.

Следната важна иновација во новите верзии на Zlock е контролата врз употребата на принтери. Откако ќе го поставите, системот за заштита ќе ги запише сите барања на корисниците до уредите за печатење во посебен дневник. Но, тоа не е се. Злок има копија во сенка од сите печатени документи. Тие се снимени во PDF формати се целосна копија од печатените страници, без разлика која датотека е испратена до печатачот. Ова го спречува протекувањето на доверливи информации на хартиените листови кога некој инсајдерски ги печати податоците за да ги извади од канцеларијата. Исто така, во системот за заштита се појави копирање во сенка на информации снимени на ЦД / ДВД-дискови.

Важна иновација беше појавата на серверската компонента Zlock Enterprise Management Server. Обезбедува централизирано складирање и дистрибуција на безбедносните политики и други програмски поставки и во голема мера ја олеснува администрацијата на Zlock во големи и дистрибуирани информациски системи. Исто така, невозможно е да не се спомене појавата на сопствен систем за автентикација, кој, доколку е потребно, ви овозможува да одбиете да користите домен и локални корисници на Windows.

Покрај тоа, во Најновата верзијаЗлок има неколку не толку забележливи, но и доста важни функции: контрола на интегритетот на клиентскиот модул со можност за блокирање на најавувањето на корисникот при откривање на упади, напредни опции за имплементација на безбедносен систем, поддршка за Oracle DBMS итн.

Zgate: Заштита од истекување на Интернет

Значи Згејт. Како што веќе рековме, овој производ е систем за заштита од истекување на доверливи информации преку Интернет. Структурно Zgate се состои од три дела. Главната компонента е серверската компонента, која ги извршува сите операции за обработка на податоци. Може да се инсталира и на посебен компјутер и на оние кои веќе работат во корпоративна компанија систем за информациихостови - Интернет порта, контролер на домен, порта за пошта, итн. Овој модул, пак, се состои од три компоненти: за контрола на сообраќајот SMTP, контрола на внатрешната пошта на серверот Microsoft Exchange 2007/2010 и Zgate Web (тој е одговорен за контрола на HTTP, FTP и IM сообраќај).

Вториот дел од системот за заштита е серверот за логирање. Се користи за собирање информации за настани од еден или повеќе Zgate сервери, нивна обработка и складирање. Овој модул е особено корисен во големи и географски дистрибуирани корпоративни системи, бидејќи обезбедува централизиран пристап до сите податоци. Третиот дел е конзолата за управување. Ја користи стандардната конзола за производите на SecurIT и затоа нема да се задржуваме во детали на неа. Забележуваме само дека со помош на овој модул, можете да управувате со системот не само локално, туку и од далечина.

Управувачка конзола

Системот Zgate може да работи во неколку режими. Покрај тоа, нивната достапност зависи од начинот на кој се имплементира производот. Првите два режими вклучуваат работа како прокси-сервер за пошта. За да ги имплементира, системот се инсталира помеѓу корпоративниот сервер за пошта и „надворешниот свет“ (или помеѓу серверот за пошта и серверот за испраќање, доколку се разделени). Во овој случај, Zgate може или да го филтрира сообраќајот (да задржува прекршителни и сомнителни пораки) или само да го евидентира (да ги прескокне сите пораки, но да ги чува во архивата).

Вториот метод на имплементација вклучува користење на системот за заштита во врска со Microsoft Exchange 2007 или 2010 година. За да го направите ова, треба да го инсталирате Zgate директно на корпоративната сервер за пошта. Во овој случај, достапни се и два режима: филтрирање и логирање. Покрај тоа, постои уште една опција за имплементација. Зборуваме за евидентирање пораки во режимот на пресликан сообраќај. Природно, за да го користите, неопходно е да се осигурате дека компјутерот на кој е инсталиран Zgate го добива овој многу пресликан сообраќај (обично тоа се прави со помош на мрежна опрема).

Избор на режим на работа Zgate

Компонентата Zgate Web заслужува посебна приказна. Тој е инсталиран директно на корпоративната интернет-порта. Во исто време, овој потсистем добива можност да го контролира сообраќајот HTTP, FTP и IM, односно да го обработува со цел да открие обиди за испраќање доверливи информации преку интерфејси за веб-пошта и ICQ, објавување на форуми, FTP сервери, и социјалните мрежи итн. Патем, за „ICQ“. Функцијата за блокирање IM-месинџери е во многу слични производи. Сепак, токму „ICQ“ не е во нив. Едноставно затоа што тоа е најраспространето во земјите од рускиот јазик.

Принципот на работа на Zgate Web компонентата е прилично едноставен. Секој пат кога информациите се испраќаат до некоја од контролираните услуги, системот ќе генерира посебна порака. Ги содржи самите информации и некои податоци за услугата. Се испраќа до главниот Zgate сервер и се обработува според дадените правила. Секако, испраќањето информации во самата услуга не е блокирано. Односно, Zgate Web работи само во режим на логирање. Со негова помош, невозможно е да се спречи протекување на поединечни податоци, но од друга страна, можете брзо да ги откриете и да ја запрете активноста на слободен или несакан напаѓач.

Конфигурирање на веб-компонентата Zgate

Како се обработуваат информациите во Zgate и наредбата за филтрирање се одредуваат со политика што ја развива службеник за безбедност или друг одговорен вработен. Тоа е низа услови, од кои секоја одговара на одредена акција. Сите дојдовни пораки се „трчаат“ низ нив последователно една по друга. И ако некој од условите е исполнет, тогаш акцијата поврзана со неа се активира.

Систем за филтрирање

Севкупно, системот обезбедува 8 типа на услови, како што велат, „за сите прилики“. Првиот е типот на датотеката за прилог. Со него, можете да откриете обиди за испраќање објекти од еден или друг формат. Треба да се напомене дека анализата се врши не со проширување, туку од внатрешната структура на датотеката и можете да ги наведете и специфичните типови на објекти и нивните групи (на пример, сите архиви, видео снимки итн.). Вториот тип на услови е верификација со надворешна апликација. Како апликација, може да дејствува како редовна програма лансирана од командна линија, како и сценариото.

Услови во системот за филтрирање

Но, следниот услов вреди да се задржиме подетално. Станува збор за анализа на содржината на пренесените информации. Пред сè, неопходно е да се забележи „сештојадната“ Згате. Факт е дека програмата „разбира“ голем број различни формати. Затоа, може да анализира не само едноставен текст, туку и речиси секој прилог. Друга карактеристика на анализата на содржината е нејзиниот голем потенцијал. Може да се состои и во едноставно пребарување за појава во текстот на пораката или кое било друго поле на одреден збор, или во целосна анализа, вклучително и земајќи ги предвид граматичките форми на зборови, стеблата и транслитерацијата. Но, тоа не е се. Посебно споменување заслужува системот за анализа на обрасци и правилни изрази. Со негова помош можете лесно да откриете присуство на податоци во одреден формат во пораките, на пример, серии и броеви на пасоши, телефонски број, број на договор, број на банкарска сметка итн. Ова, меѓу другото, ви овозможува да ја зајакнете заштита на личните податоци кои ги обработува компанијата.

Шаблони за идентификување на различни чувствителни информации

Четвртиот тип на услови е анализа на адресите наведени во писмото. Односно, барај меѓу нив одредени жици. Петто - анализа на шифрирани датотеки. Кога ќе се изврши, се проверуваат атрибутите на пораката и/или вгнездените објекти. Шестиот тип на услови е проверка на различни параметри на буквите. Седмиот е речник анализа. За време на него, системот детектира присуство во пораката на зборови од претходно креирани речници. И, конечно, последниот, осми тип на состојба е сложена. Тој претставува два или повеќе други услови во комбинација со логички оператори.

Патем, за речниците споменати од нас во описот на условите, неопходно е да се каже посебно. Тие се групи зборови обединети со истата карактеристика и се користат во различни методи на филтрирање. Најлогично е да се креираат речници кои, со висок степен на веројатност, ќе ви овозможат да ја припишете пораката на една или друга категорија. Нивната содржина може да се внесе рачно или да се увезе од постојните. текстуални датотеки. Постои уште една опција за генерирање речници - автоматско. Кога го користите, администраторот едноставно треба да ја одреди папката што ги содржи соодветните документи. Самата програма ќе ги анализира, ќе ги избере потребните зборови и ќе ги распореди нивните тежински карактеристики. За висококвалитетно составување на речници, неопходно е да се наведат не само доверливи датотеки, туку и предмети што не содржат доверливи информации. Општо земено, процесот на автоматско генерирање е најмногу сличен на учењето анти-спам на промотивни и редовни пораки. И ова не е изненадувачки, бидејќи и таму и таму се користат слични технологии.

Пример за финансиски речник

Зборувајќи за речници, не може да не се спомене друга технологија за откривање доверливи податоци имплементирана во Zgate. Зборуваме за дигитални отпечатоци. суштина овој методе како што следува. Администраторот може да го насочи системот на папки што содржат чувствителни податоци. Програмата ќе ги анализира сите документи во нив и ќе создаде „дигитални отпечатоци од прсти“ - збирки на податоци што ви овозможуваат да го одредите обидот за пренос не само на целата содржина на датотеката, туку и на нејзините поединечни делови. Имајте предвид дека системот автоматски го следи статусот на папките наведени од него и независно создава „отпечатоци“ за сите новопојавени објекти во нив.

Создадете категорија со отпечатоци од прсти на дигитални датотеки

Па, сега останува само да се справиме со активностите спроведени во односниот систем за заштита. Вкупно, веќе има 14 од нив имплементирани во Zgate. Сепак, мнозинството ги дефинира дејствата што се вршат со пораката. Тие вклучуваат, особено, бришење без испраќање (тоа е, всушност, блокирање на преносот на писмото), негово ставање во архива, додавање или бришење прилози, менување различни полиња, вметнување текст итн. Меѓу нив, вреди забележувајќи ставање писмо во карантин. Оваа акцијави овозможува да ја „одложите“ пораката за рачна проверка од страна на службеникот за безбедност, кој ќе одлучи за нејзината идна судбина. Исто така многу интересна е акцијата која ви овозможува да ја блокирате IM конекцијата. Може да се користи за инстантно блокирање на каналот преку кој е пренесена порака со доверливи информации.

Две дејства донекаде се издвојуваат - бајесова обработка и обработка на отпечатоци од прсти. И двете се дизајнирани да ги проверуваат пораките за чувствителни информации. Само првиот користи речници и статистичка анализа, додека вториот користи дигитални отпечатоци од прсти. Овие дејства може да се извршат кога е исполнет одреден услов, на пример, ако адресата на примачот не е во корпоративниот домен. Покрај тоа, тие (сепак, како и сите други) може да се постават за безусловна примена на сите појдовни пораки. Во овој случај, системот ќе ги анализира буквите и ќе ги класифицира во одредени категории (ако, се разбира, тоа е можно). Но, за овие категории веќе е можно да се создадат услови со спроведување на одредени акции.

Дејства во системот Zgate

Па, на крајот од нашиот денешен разговор за Zgate, можеме малку да сумираме. Овој систем за заштита се базира првенствено на анализа на содржината на пораките. Овој пристап е најчест за заштита од истекување на доверливи информации преку Интернет. Секако, анализата на содржината не обезбедува 100% степен на заштита и е прилично веројатна. Сепак, неговата употреба ги спречува повеќето случаи на неовластен пренос на тајни податоци. Дали компаниите треба да го користат или не? Секој треба да одлучи за ова, оценувајќи ги трошоците за имплементација и можни проблемиво случај на протекување информации. Вреди да се напомене дека Zgate одлично ги „фаќа“ редовните изрази, што го прави многу ефикасно средство за заштита на личните податоци што ги обработува компанијата.

Неодамнешните студии во областа на безбедноста на информациите, како што е годишниот CSI/FBI ComputerCrimeAndSecuritySurvey, покажаа дека финансиските загуби на компаниите од повеќето закани се намалуваат од година во година. Сепак, постојат неколку ризици, од кои загубите се зголемуваат. Една од нив е намерна кражба на доверливи информации или прекршување на правилата за постапување со нив од страна на оние вработени чиј пристап до комерцијални податоци е неопходен за извршување на службените должности. Тие се нарекуваат инсајдери.

Во огромното мнозинство на случаи, кражбата на доверливи информации се врши со помош на мобилни медиуми: ЦД-а и ДВД-а, ZIP уреди и, што е најважно, сите видови USB-дискови. Тоа беше нивната масовна дистрибуција што доведе до процут на инсајдерското тргување низ целиот свет. Лидерите на повеќето банки добро знаат што се заканува, на пример, ако базата на податоци со лични податоци на нивните клиенти или, згора на тоа, трансакции на нивните сметки, падне во рацете на криминалните структури. А против евентуалната кражба на информации се обидуваат да се изборат со организациските методи кои им стојат на располагање.

Меѓутоа, организациските методи во овој случај се неефикасни. Денес можете да организирате пренос на информации помеѓу компјутери користејќи минијатурен флеш драјв, мобилен телефон, mp3 плеер, дигитален фотоапарат... Се разбира, може да се обидете да им забраните на сите овие уреди да влезат во канцеларија, но ова, прво, негативно ќе влијае на односите со вработените, и второ, воспоставувањето навистина ефикасна контрола над луѓето и онака многу тешко - банката не“ Поштенско сандаче“. Па дури и оневозможувањето на сите уреди на компјутерите што може да се користат за пишување информации на надворешни медиуми (FDD и ZIP-дискови, CD и DVD дискови, итн.) и USB-порти нема да помогне. На крајот на краиштата, првите се потребни за работа, а различни периферни уреди се поврзани со вторите: печатачи, скенери итн. И никој не може да спречи некое лице да го исклучи печатачот за една минута, да вметне флеш-уред во испразнетата порта и да копира на него важна информација. Се разбира, можете да најдете оригинални начини на заштита. На пример, во една банка го пробаа овој метод за решавање на проблемот: го наполнија спојот на USB-портата и кабелот со епоксидна смола, цврсто „врзувајќи го“ вториот за компјутерот. Но, за среќа, денес постојат посовремени, сигурни и флексибилни методи на контрола.

Најефективното средство за минимизирање на ризиците поврзани со инсајдерите е посебно софтвер, кој динамички управува со сите уреди и порти на компјутерот што може да се користат за копирање информации. Принципот на нивната работа е како што следува. Дозволите за користење на различни порти и уреди се поставени за секоја корисничка група или за секој корисник поединечно. Најголемата предност на таков софтвер е флексибилноста. Можете да внесете ограничувања за одредени типови уреди, нивните модели и поединечни примероци. Ова ви овозможува да имплементирате многу сложени политики за распределба на правата за пристап.

На пример, на некои вработени може да им се дозволи да користат какви било печатачи и скенери поврзани на USB-порти. Сите други уреди вметнати во оваа порта ќе останат недостапни. Ако банката користи систем за автентикација на корисникот базиран на токени, тогаш во поставките можете да го наведете употребениот модел на клучот. Тогаш на корисниците ќе им биде дозволено да користат само уреди купени од компанијата, а сите останати ќе бидат бескорисни.

Врз основа на принципот на работа на заштитните системи опишани погоре, можете да разберете кои точки се важни при изборот на програми кои спроведуваат динамично блокирање на уреди за снимање и компјутерски порти. Прво, тоа е разноврсност. Системот за заштита треба да го покрие целиот опсег на можни порти и уреди за влез-излез на информации. Во спротивно, ризикот од кражба на комерцијални информации останува неприфатливо висок. Второ, софтверот за кој станува збор треба да биде флексибилен и да ви овозможи да креирате правила користејќи голема количина на различни информации за уредите: нивните типови, производители на модели, единствени броеви што ги има секој примерок итн. И, трето, системот за заштита на инсајдери треба да може да се интегрира со информацискиот систем на банката, особено со ActiveDirectory. Во спротивно, администраторот или службеникот за безбедност ќе мора да одржува две бази на податоци на корисници и компјутери, што не само што е незгодно, туку и го зголемува ризикот од грешки.

Заштита на информации од инсајдери со софтверски алатки

Александар Антипов

Се надевам дека самиот напис, а особено неговата дискусија, ќе помогне да се идентификуваат различните нијанси на користење софтверски алатки и да стане почетна точка во развојот на решение за опишаниот проблем за специјалисти за информациска безбедност.

нахна

Одделот за маркетинг на Infowatch веќе подолго време ги убедува сите заинтересирани - ИТ специјалисти, како и најнапредните ИТ менаџери, дека најголем дел од штетата од нарушувањето на информациската безбедност на компанијата паѓа на инсајдерите - вработените кои откриваат деловни тајни. . Целта е јасна - неопходно е да се создаде побарувачка за произведениот производ. Да, и аргументите изгледаат сосема цврсти и убедливи.

Формулирање на проблемот

Изградете систем за заштита на информации од кражба од страна на персоналот во LAN врз основа на Активен директориум Windows 2000/2003. Кориснички работни станици под Контрола на Windows xp. Управување со претпријатија и сметководство засновани на производи 1C.
Тајните информации се чуваат на три начини:

DB 1C - пристап до мрежа преку RDP ( пристап до терминалот);
споделени папки на сервери за датотеки - мрежен пристап;
локално на компјутерот на вработениот;

Протекуваат канали - Интернет и пренослив медиум (флеш драјвови, телефони, плеери, итн.). Невозможно е да се забрани употребата на Интернет и преносливи медиуми, бидејќи тие се неопходни за извршување на службените должности.

Што има на пазарот

Ги поделив системите што се разгледуваат во три класи:

Системи засновани на анализатори на контекст - контрола на сурфање, MIME чистач, InfoWatch Traffic Monitor, Dozor Jet итн.
Системи базирани на статичко заклучување на уредот - DeviceLock, ZLock, InfoWatch Net Monitor.
Системи базирани на динамично блокирање на уреди - SecrecyKeeper, Strazh, Akkord, SecretNet.

Системи засновани на анализатори на контекст

Принцип на работа:
Пренесените информации се пребаруваат за клучни зборови, врз основа на резултатите од пребарувањето, се донесува одлука за потребата од блокирање на преносот.

Според мое мислење, InfoWatch Traffic Monitor (www.infowatch.ru) има максимален потенцијал меѓу наведените производи. Како основа се зема добро докажаниот мотор Kaspersky Antispam, кој најцелосно ги зема предвид особеностите на рускиот јазик. За разлика од другите производи, InfoWatch Traffic Monitor при анализата го зема предвид не само присуството на одредени линии во податоците што се проверуваат, туку и однапред дефинираната тежина на секоја линија. Така, при донесување на конечна одлука не се зема предвид само појавата на одредени зборови, туку и комбинациите во кои тие се јавуваат, што овозможува зголемување на флексибилноста на анализаторот. Други карактеристики се стандардни за такви производи - анализа на архиви, документи на MS Office, можност за блокирање на пренос на датотеки со непознат формат или архиви заштитени со лозинка.

Недостатоци на разгледуваните системи засновани на контекстуална анализа:

Се контролираат само два протоколи - HTTP и SMTP (за InfoWatch Traffic Monitor, и за HTTP сообраќај, се проверуваат само податоците што се пренесуваат со помош на барањата POST, што овозможува организирање канал за истекување користејќи пренос на податоци користејќи го методот GET);
Уредите за пренос на податоци - флопи дискови, ЦД-а, ДВД-а, УСБ-дискови итн. не се контролираат. (Infowatch има InfoWatch Net Monitor за овој случај).
за да се заобиколат системите изградени врз основа на анализа на содржината, доволно е да се користи наједноставното кодирање на текст (на пример: тајна -> s1e1k1p1e1t), или стеганографија;
следниов проблем не може да се реши со методот на анализа на содржината - соодветен формален опис не ми паѓа на ум, па ќе дадам само пример: има две датотеки ексел - во првата има малопродажни цени (информации од јавен карактер) , во втората - големопродажни цени за одреден клиент (тајни информации), содржината на датотеките се разликува само во бројки. Овие датотеки не можат да се разликуваат користејќи анализа на содржината.

Заклучок:
контекстуалната анализа е погодна само за создавање сообраќајни архиви и спречување на случајно истекување на информации и не ја решава задачата.

Системи базирани на статичко блокирање на уредите

Принцип на работа:
На корисниците им се доделуваат права за пристап до контролираните уреди, слично на правата за пристап до датотеки. Во принцип, речиси истиот ефект може да се постигне со користење на стандардни механизми на Windows.

Zlock (www.securit.ru) - производот се појави релативно неодамна, така што има минимална функционалност (мислам дека не е важна), и не се разликува во дебагирање, на пример, конзолата за управување понекогаш паѓа кога се обидува да зачувајте ги поставките.

DeviceLock (www.smartline.ru) е поинтересен производ, долго време е на пазарот, така што работи многу постабилно и има поразновидна функционалност. На пример, дозволува копирање во сенка на пренесените информации, што може да помогне во истрагата на инцидентот, но не и во негова превенција. Дополнително, таква истрага најверојатно ќе се спроведе кога ќе се дознае истекувањето, т.е. значителен временски период откако ќе се појави.

InfoWatch Net Monitor (www.infowatch.ru) се состои од модули - DeviceMonitor (аналогно на Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor е аналог на Zlock, стандардна функционалност, без суво грозје. FileMonitor - контрола на пристап до датотеки. OfficeMonitor и AdobeMonitor ви дозволуваат да контролирате како се постапува со датотеките во нивните соодветни апликации. Во моментов е доста тешко да се дојде до корисна, а не играчка, апликација за FileMonitor, OfficeMonitor и AdobeMonitor, но во идните верзии би требало да биде можно контекстуално да се анализираат податоците што се обработуваат. Можеби тогаш овие модули ќе го откријат својот потенцијал. Иако вреди да се напомене дека задачата за контекстуална анализа на операциите со датотеки не е тривијална, особено ако базата за филтрирање на содржината е иста како во Traffic Monitor, т.е. мрежа.

Одделно, неопходно е да се каже за заштита на агентот од корисник со локални администраторски права.
ZLock и InfoWatch Net Monitor едноставно немаат таква заштита. Оние. корисникот може да го запре агентот, да ги копира податоците и повторно да го стартува агентот.

DeviceLock има таква заштита, што е дефинитивен плус. Се заснова на пресретнување системски повици за работа со регистарот, датотечен системи управување со процесите. Друг плус е тоа што заштитата работи и во безбеден режим. Но, има и минус - за да се оневозможи заштитата, доволно е да се врати Табелата со дескриптори на услуги, што може да се направи со вчитување на едноставен драјвер.

Недостатоци на разгледуваните системи засновани на статичко блокирање на уредите:

Преносот на информации до мрежата не е контролиран.
-Не можам да разликувам класифицирани и нетајни информации. Работи на принципот дека или се е можно или ништо не е невозможно.
Нема или лесно се заобиколува заштита од растоварување на агентот.

Заклучок:
не е препорачливо да се воведуваат такви системи, бидејќи тие не го решаваат проблемот.

Системи базирани на динамично блокирање на уреди

Принцип на работа:
пристапот до каналите за пренос е блокиран во зависност од нивото на пристап на корисникот и степенот на тајност на информациите со кои се работи. За да се имплементира овој принцип, овие производи го користат механизмот на авторитативна контрола на пристапот. Овој механизам не е многу чест, па ќе се задржам на него подетално.

Авторитетна (задолжителна) контрола на пристап, за разлика од описната (имплементирана во безбедносниот систем на Windows NT и повисоко), лежи во фактот дека сопственикот на ресурс (на пример, датотека) не може да ги ослабне барањата за пристап до овој ресурс , но може само да ги зајакне во рамките на вашето ниво. Барањата може да се релаксираат само од корисник обдарен со посебни овластувања - службеник или администратор за безбедност на информации.

Главната цел на развојот на производи како што се Guard, Accord, SecretNet, DallasLock и некои други, беше можноста за сертификација на информациски системи во кои ќе се инсталираат овие производи, за усогласување со барањата на Државната техничка комисија (сега FSTEC). Ваквата сертификација е задолжителна за информатичките системи во кои се обработува државата. тајна, која во основа ја обезбедуваше побарувачката на производи од државните претпријатија.

Затоа, збирот на функции имплементирани во овие производи беше одреден со барањата на соодветните документи. Што пак доведе до фактот дека поголемиот дел од функционалноста имплементирана во производите или го дуплира стандардот Функционалност на Windows(бришење објекти по бришење, бришење на RAM-от), или го користи имплицитно (опишувајќи ја контролата на пристап). А програмерите на DallasLock отидоа уште подалеку, спроведувајќи ја задолжителната контрола на пристап на нивниот систем, преку механизмот за контрола на описот на Windows.

Практичната употреба на таквите производи е исклучително незгодна, на пример, DallasLock бара препартиционирање за инсталација. хард диск, што исто така треба да се изврши со користење на софтвер од трета страна. Многу често, по сертификацијата, овие системи беа отстранети или исклучени.

SecrecyKeeper (www.secrecykeeper.com) е уште еден производ кој имплементира авторитативен механизам за контрола на пристап. Според програмерите, SecrecyKeeper е развиен специјално за да реши одреден проблем - спречување на кражба на информации во комерцијална организација. Затоа, повторно, според програмерите, во текот на развојот беше посветено посебно внимание на едноставноста и леснотијата на користење, како за системските администратори, така и за обичните корисници. Колку е ова успешно е потрошувачот да процени, т.е. нас. Дополнително, SecrecyKeeper имплементира голем број механизми кои не се достапни во другите споменати системи - на пример, способноста да се постави безбедносно ниво за ресурсите со далечински пристап и механизмот за заштита на агентот.
Контролата на движењето на информациите во SecrecyKeeper се имплементира врз основа на Нивото на тајност на информации, нивоа на кориснички дозволи и ниво на компјутерска безбедност, што може да ги земе вредностите јавни, тајни и строго доверливи. Нивото на доверливост на информации овозможува класификација на информациите обработени во системот во три категории:

јавни - не тајни информации, нема ограничувања при работа со нив;

тајни - тајни информации, при работа со нив се воведуваат ограничувања во зависност од нивоата на кориснички дозволи;

строго доверливо - строго доверливи информации, при работа со нив се воведуваат ограничувања во зависност од Нивоата на кориснички дозволи.

Нивото на безбедност на информации може да се постави за датотека, мрежен погони портата на компјутерот на која работи некоја услуга.

Нивоата на кориснички дозволи ви дозволуваат да одредите како корисникот може да преместува информации, во зависност од неговото безбедносно ниво. Постојат следниве нивоа за пристап на корисници:

Ниво на пристап на корисникот - го ограничува максималното ниво на безбедност на информации до кое вработениот може да пристапи;

Ниво на пристап до мрежата - го ограничува максималното Ниво на тајност на информации што вработениот може да го пренесе преку мрежата;

Ниво на пристап до отстранлив медиум - го ограничува максималното безбедносно ниво на информации што вработениот може да го копира на надворешни медиуми.

Ниво на безбедност на печатачот - го ограничува максималното ниво на безбедност на информации што вработениот може да го печати.

Ниво на безбедност на компјутерот - го одредува максималното ниво на безбедност на информации што може да се складираат и обработуваат на компјутер.

Пристап до информации со ниво на тајност на јавноста, може да го врши вработен со кое било ниво на пристап. Таквите информации може да се пренесат преку мрежата без ограничувања и да се копираат на надворешни медиуми. Историјата на работа со информации со ниво на јавна тајна не се следи.

Пристап до информации со тајно ниво на тајна може да добијат само вработени чие ниво на дозвола е тајно или повисоко. Само вработените чие ниво на пристап до мрежата е тајно или повисоко може да ги префрлат таквите информации на мрежата. Копирањето на таквите информации на надворешни медиуми може да го направат само вработени чие ниво на пристап до медиумот што може да се отстрани е тајно или повисоко. Печатењето на таквите информации може да го прават само вработени чие ниво на пристап до печатачот е тајно или повисоко. Историјата на работа со информации кои имаат тајно ниво на тајна, т.е. евидентирани се обиди за пристап до него, обиди да се префрли преку мрежа, обиди да се копира на надворешен медиум или да се испечати.

Пристап до информации со строго тајно ниво може да добијат само вработени чие ниво на дозвола е еднакво на строго доверливо. Само вработените чие ниво на пристап до мрежата е еднакво на строго доверливо може да ги пренесат таквите информации на мрежата. Копирањето на таквите информации на надворешни медиуми може да го направат само вработени чие ниво на пристап до медиум што може да се отстрани е еднакво на најстрога тајна. Само вработените со ниво на пристап до печатачот еднакво на строго доверливо можат да печатат такви информации. Историјата на работа со информации кои имаат врвно тајно ниво на тајност, т.е. евидентирани се обиди за пристап до него, обиди да се префрли преку мрежа, обиди да се копира на надворешен медиум или да се испечати.

Пример: дозволете вработен да има безбедносно ниво на строго доверливо, ниво на мрежна безбедност на тајно, ниво на безбедност на медиуми што може да се отстранливи за јавност и ниво на безбедност на печатачот строго доверливо; во овој случај, вработениот може да пристапи до документ со кое било ниво на тајност, вработениот може да пренесе информации на мрежата со ниво на тајност не повисоко од тајно, да копира, на пример, на флопи дискови, вработениот може само информации со јавноста ниво на тајност, а вработениот може да печати какви било информации на печатач.

За да се контролира ширењето на информациите до претпријатието, на секој компјутер доделен на вработен му е доделено ниво на компјутерска безбедност. Ова ниво го ограничува максималното ниво на безбедност на информации до кое секој вработен може да пристапи од овој компјутер, без оглед на нивоата на дозвола на вработениот. Тоа. ако работникот има ниво на дозвола еднакво на строго доверливо, а компјутерот на кој работи моментално има ниво на безбедност еднакво на јавното, тогаш вработениот нема да може да пристапи до информации со тајно ниво повисоко од јавното од оваа работна станица.

Вооружени со теорија, ајде да се обидеме да го искористиме SecrecyKeeper за да го решиме проблемот. Можно е да се опише на поедноставен начин информациите обработени во информацискиот систем на апстрактното претпријатие што се разгледува (видете ја изјавата за проблемот), користејќи ја следната табела:

Вработените во претпријатието и областа на нивните работни интереси се опишани со помош на втората табела:

Нека се користат следните сервери во претпријатието:
Сервер 1C
Сервер за датотеки со топки:
SecretDocs - содржи тајни документи
PublicDocs - содржи јавни документи

Забележувам дека стандардните функции се користат за организирање на стандардна контрола на пристап. операционен системи апликативен софтвер, т.е. за да се спречи, на пример, менаџер да пристапи до личните податоци на вработените, не треба да се воведуваат дополнителни безбедносни системи. Станува збор за спротивставување на ширењето на информации до кои вработениот има законски пристап.

Ајде да продолжиме со директната конфигурација на SecrecyKeeper.
Нема да го опишам процесот на инсталирање на конзолата за управување и агентите, сè е што е можно поедноставно - видете ја документацијата за програмата.
Поставувањето на системот се состои од извршување на следните чекори.

Чекор 1. Инсталирајте агенти на сите компјутери освен серверите - ова веднаш ги спречува да добијат информации за кои нивото на безбедност е поставено повисоко од јавното.

Чекор 2. Доделете им нивоа на дозвола на вработените според следната табела:

	Ниво на клиренс на корисникот	Ниво на пристап до мрежа	Ниво на пристап до медиум што може да се отстрани	Ниво на пристап до печатачот
директор	тајна	тајна	тајна	тајна
менаџер	тајна	јавен	јавен	тајна
персонален офицер	тајна	јавен	јавен	тајна
сметководител	тајна	јавен	тајна	тајна
секретарка	јавен	јавен	јавен	јавен

Чекор 3. Доделете ги нивоата на компјутерска безбедност на следниов начин:

Чекор 4. Конфигурирајте ги нивоата на приватност на информациите на серверите:

Чекор 5. Поставете нивоа на приватност на компјутерите на вработените за локални датотеки. Ова е делот што одзема најмногу време, бидејќи е неопходно јасно да се разбере кој од вработените работи со какви информации и колку е критична оваа информација. Доколку е спроведена ревизија за безбедноста на информациите во организацијата, нејзините резултати можат многу да ја олеснат задачата.

Чекор 6. Доколку е потребно, SecrecyKeeper ви дозволува да ја ограничите листата на програми што им се дозволени да ги извршуваат корисниците. Овој механизам се имплементира независно од Политиката за ограничување на софтверот на Windows и може да се користи доколку, на пример, е неопходно да се наметнат ограничувања на корисниците со администраторски права.

Така, со помош на SecrecyKeeper, можно е значително да се намали ризикот од неовластена дистрибуција на тајни информации - и истекување и кражба.

Недостатоци:
- тешкотии со првично поставувањенивоа на безбедност за локални датотеки;

Општ заклучок:
максимални можности за заштита на информациите од инсајдерите се обезбедуваат со софтвер кој има можност динамички да го регулира пристапот до каналите за пренос на информации, во зависност од степенот на тајност на информациите со кои се работи и нивото на пристап на вработените.

Компанијата е единствена услуга за купувачи, програмери, дилери и партнери. Покрај тоа, таа е една од најдобрите онлајн продавнициСофтвер во Русија, Украина, Казахстан, кој на клиентите им нуди широк опсег, многу начини на плаќање, брза (често моментална) обработка на нарачките, следење на напредокот на нарачката во личниот дел.

Неодамна, проблемот со заштитата од внатрешни закани стана вистински предизвик за јасниот и добро воспоставен свет на корпоративна информациска безбедност. Во печатот се зборува за инсајдери, истражувачите и аналитичарите предупредуваат на можни загуби и проблеми, а вестите се полни со извештаи за друг инцидент што доведе до протекување на стотици илјади записи од клиенти поради грешка или невнимание на вработениот. Ајде да се обидеме да откриеме дали овој проблем е толку сериозен, дали треба да се справи со него и кои алатки и технологии се достапни за негово решавање.

Пред сè, вреди да се утврди дека заканата за доверливоста на податоците е внатрешна доколку нејзиниот извор е вработен во претпријатието или кое било друго лице кое има правен пристап до овие податоци. Така, кога зборуваме за внатрешни закани, зборуваме за некои можни дејстваправни корисници, намерни или случајни, што може да доведе до истекување на доверливи информации надвор од корпоративната мрежа на претпријатието. За комплетирање на сликата, вреди да се додаде дека таквите корисници често се нарекуваат инсајдери, иако овој термин има други значења.

Релевантноста на проблемот со внатрешните закани е потврдена со резултатите од неодамнешните студии. Конкретно, во октомври 2008 година беа објавени резултатите од заедничката студија на Compuware и Ponemon Institue, според која инсајдерите се најчеста причина за протекување податоци (75% од инцидентите во САД), додека хакерите се само на петтото место. . Во годишното истражување на Институтот за компјутерска безбедност (CSI) за 2008 година, бројките за инциденти од инсајдерски закани се како што следува:

Бројот на инциденти во проценти значи дека од вкупниот број на испитаници даден типинцидент се случил во наведениот процент на организации. Како што може да се види од овие бројки, речиси секоја организација е изложена на ризик да страда од внатрешни закани. За споредба, според истиот извештај, вирусите зафатиле 50% од анкетираните организации, а со навлегувањето на хакерите во локална мрежасе соочи со само 13%.

Така, внатрешни закание реалноста на денешницата, а не мит измислен од аналитичари и продавачи. Така, оние кои на старомоден начин веруваат дека безбедноста на корпоративните информации е заштитен ѕид и антивирус, треба да го разгледаат проблемот што е можно поскоро.

Законот „За лични податоци“ го зголемува и степенот на тензија, според кој организациите и функционерите ќе треба да одговараат не само пред нивното раководство, туку и пред своите клиенти и пред законот за несоодветно постапување со личните податоци.

Модел на натрапник

Традиционално, кога се разгледуваат заканите и средствата за заштита од нив, треба да се започне со анализа на моделот на натрапникот. Како што веќе споменавме, ќе зборуваме за инсајдери - вработени во организацијата и други корисници кои имаат правен пристап до доверливи информации. Како по правило, со овие зборови, на сите им доаѓа на ум канцелариски вработен кој работи на компјутер во корпоративната мрежа, кој во процесот на работа не ја напушта канцеларијата на организацијата. Сепак, ова претставување е нецелосно. Треба да се прошири за да вклучи и други типови на луѓе со легален пристап до информации кои можат да ја напуштат канцеларијата на организацијата. Тоа може да бидат деловни патници со лаптопи или да работат и во канцеларија и дома, курири кои носат медиуми со информации, првенствено магнетни ленти со резервна копија итн.

Ваквото проширено разгледување на моделот на натрапникот, прво, се вклопува во концептот, бидејќи заканите што ги претставуваат овие натрапници се исто така внатрешни, и второ, ни овозможува пошироко да го анализираме проблемот, земајќи ги предвид сите можни опцииборба против овие закани.

Може да се разликуваат следниве главни типови на внатрешни прекршители:

Нелојален / навреден вработен.Прекршителите од оваа категорија може да дејствуваат намерно, на пример, со менување на работните места и сакаат да украдат доверливи информации за да заинтересираат нов работодавец или емотивно, ако се чувствуваат навредени, со што сакаат да се одмаздат. Тие се опасни затоа што се најмотивирани да предизвикаат штета на организацијата во која моментално работат. По правило, бројот на инциденти со нелојални вработени е мал, но може да се зголеми во ситуација на неповолни економски услови и масовно намалување на персоналот.
Вграден, поткупен или изманипулиран вработен.Во овој случај ние зборувамеза какви било намерни дејствија, по правило, со цел индустриска шпионажа во високо конкурентна средина. За да се соберат доверливи информации во конкурентска компанија, или воведуваат сопствено лице за одредени цели, или ќе најдат вработен кој не е најлојален и ќе го поткупат, или лојален, но невнимателен вработен е принуден да пренесува доверливи информации преку социјалните инженеринг. Бројот на инциденти од овој вид е обично дури и помал од претходните, поради фактот што во повеќето сегменти на економијата во Руската Федерација конкуренцијата не е многу развиена или се спроведува на други начини.
Нечесниот вработен. Овој типпрекршител е лојален, но невнимателен или несовесен вработен кој може да ја прекрши политиката внатрешна безбедностпретпријатие поради нејзиното незнаење или заборавеност. Таквиот вработен може погрешно да испрати е-пошта со тајна датотека прикачена на погрешна личност или да земе дома флеш драјв со доверливи информации за работа за време на викендот и да ја изгуби. Истиот тип ги вклучува вработените кои губат лаптопи и магнетни ленти. Според многу експерти, овој тип на инсајдери е одговорен за повеќето протекувања на доверливи информации.

Така, мотивите и, следствено, текот на дејствувањето на потенцијалните прекршители може значително да се разликуваат. Во зависност од ова, треба да се пристапи кон решавање на проблемот со обезбедување на внатрешна безбедност на организацијата.

Инсајдерски технологии за заштита од закани

И покрај релативната младост на овој сегмент од пазарот, клиентите веќе имаат многу да избираат во зависност од нивните задачи и финансиски можности. Треба да се напомене дека сега практично нема продавачи на пазарот кои би се специјализирале исклучиво за внатрешни закани. Ваквата состојба не се должи само на незрелоста на овој сегмент, туку и на агресивните, а понекогаш и хаотични спојувања и превземања што ги спроведуваат производителите на традиционални средства за заштита и други продавачи заинтересирани за присуство во овој сегмент. Вреди да се потсетиме на компанијата RSA Data Security, која стана поделба на EMC во 2006 година, купувањето од страна на NetApp на стартапот Decru, кој разви системи за заштита на складирање на серверот и резервни копииво 2005 година, купувањето на Симантек на продавачот на DLP Vontu во 2007 година, итн.

И покрај фактот дека голем број такви трансакции укажуваат на добри изгледи за развој на овој сегмент, тие не секогаш имаат корист од квалитетот на производите што доаѓаат под крилото. големи корпорации. Производите почнуваат да се развиваат побавно, а програмерите не одговараат толку на барањата на пазарот во споредба со високо специјализираната компанија. Ова е добро позната болест на големите компании, кои, како што знаете, губат во мобилноста и ефикасноста на нивните помали браќа. Од друга страна, квалитетот на услугата и достапноста на производите за клиентите во различни делови на светот се подобруваат поради развојот на нивната услуга и продажна мрежа.

Размислете за главните технологии кои моментално се користат за неутрализирање на внатрешните закани, нивните предности и недостатоци.

Контрола на документи

Технологијата за контрола на документи е отелотворена во современи производи од класата за управување со права, како што се Microsoft WindowsУслуги за управување со права, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management.

Принципот на работа на овие системи е да се доделат правила за користење за секој документ и да се контролираат овие права во апликациите што работат со документи од овие типови. На пример, можете да креирате документ Microsoft Wordи поставете правила за него, кој може да го гледа, кој може да уредува и зачувува промени и кој може да го печати. Овие правила се нарекуваат лиценца во услови на Windows RMS и се складираат со датотеката. Содржината на датотеката е шифрирана за да се спречи неовластен корисник да ја гледа.

Сега, ако некој корисник се обиде да отвори таква заштитена датотека, апликацијата контактира со посебен RMS сервер, го потврдува авторитетот на корисникот и ако е дозволен пристап до овој корисник, серверот и предава на апликацијата клуч за дешифрирање на оваа датотека и информации за правата на овој корисник. Врз основа на овие информации, апликацијата ги прави достапни на корисникот само оние функции за кои тој има права. На пример, ако на корисникот не му е дозволено да печати датотека, функционалноста за печатење на апликацијата нема да биде достапна.

Излегува дека информациите во таква датотека се безбедни дури и ако датотеката излезе надвор од корпоративната мрежа - таа е шифрирана. Функциите на RMS веќе се вградени во апликациите Microsoft OfficeПрофесионално издание од 2003 година. За вградување на RMS функционалност во апликации од други програмери, Microsoft нуди специјален SDK.

Системот за контрола на документи на Adobe е изграден на сличен начин, но е фокусиран на PDF документи. Oracle IRM е инсталиран на клиентските компјутери како агент и се интегрира со апликациите при извршување.

Контролата на документите е важен дел од севкупниот концепт на заштита од инсајдерски закани, но мора да се земат предвид природните ограничувања на оваа технологија. Прво, тој е дизајниран исклучиво за контрола на датотеки со документи. Кога станува збор за неструктурирани датотеки или бази на податоци, оваа технологија не функционира. Второ, ако напаѓачот, користејќи го SDK на овој систем, создаде едноставна апликација која ќе комуницира со RMS-серверот, ќе добие клуч за шифрирање од таму и ќе го зачува документот во јасен текст и ќе ја стартува оваа апликација во име на корисник со минимум ниво на пристап до документот, тогаш овој системќе бидат заобиколени. Покрај тоа, треба да се земат предвид тешкотиите во спроведувањето на системот за контрола на документи ако организацијата веќе има создадено многу документи - задачата за првично класифицирање на документите и доделување права за нивно користење може да бара значителен напор.

Ова не значи дека системите за контрола на документи не ја исполнуваат задачата, само треба да запомните дека заштитата на информациите е сложен проблем и, по правило, не е можно да се реши со само една алатка.

Заштита од истекување

Терминот превенција од загуба на податоци (DLP) релативно неодамна се појави во лексиконот на специјалисти за информациска безбедност и веќе успеа да стане, без претерување, најжешката тема во последните години. Како по правило, кратенката DLP означува системи кои ги следат можните канали за истекување и ги блокираат во случај на обид да се испратат какви било доверливи информации преку овие канали. Покрај тоа, во функцијата слични системичесто вклучува можност за архивирање на информациите што минуваат низ нив за последователни ревизии, истраги на инциденти и ретроспективна анализа на потенцијалните ризици.

Постојат два типа на DLP системи: мрежен DLP и домаќин DLP.

Мрежна DLPработат на принципот на мрежен портал кој ги филтрира сите податоци што минуваат низ него. Очигледно, врз основа на задачата за борба против внатрешните закани, главниот интерес на таквото филтрирање лежи во способноста да се контролираат податоците што се пренесуваат надвор од корпоративната мрежа на Интернет. Мрежата DLP ви овозможува да ја контролирате појдовната пошта, сообраќајот http и ftp, услугите за инстант пораки, итн. Исто така, постојат опции за рачна обработка на сомнителни датотеки. Сомнителните досиеја се ставаат во карантин, кој периодично го прегледува службеник за безбедност и или дозволува пренос на датотеката или го забранува. Точно, таквата обработка, поради особеностите на протоколот, е можна само за е-пошта. Дополнителни способности за ревизија и истрага за инциденти се обезбедуваат со архивирање на сите информации што минуваат низ портата, под услов оваа архива периодично да се прегледува и нејзината содржина да се анализира со цел да се идентификуваат протекувањата што се случиле.

Еден од главните проблеми во имплементацијата и имплементацијата на DLP системите е начинот на откривање на доверливи информации, односно моментот на одлучување дали пренесената информација е доверлива и причините кои се земаат предвид при донесување на таква одлука. Како по правило, тоа се прави со анализа на содржината. пренесените документинаречена и анализа на содржината. Да ги разгледаме главните пристапи за откривање на доверливи информации.

Тагови. Овој метод е сличен на системите за контрола на документи дискутирани погоре. Етикетите се вградени во документите кои го опишуваат степенот на доверливост на информациите, што може да се направи со овој документ и на кого треба да се испрати. Врз основа на резултатите од анализата на етикетата, системот DLP одлучува дали е можно овој документиспрати или не. Некои DLP системи првично се компатибилни со системите за управување со права за да ги користат ознаките што ги поставуваат овие системи, а други системи користат свој формат на етикети.
Потписи. Овој метод се состои во одредување на една или повеќе секвенци на знаци, чие присуство во текстот на пренесената датотека треба да му каже на системот DLP дека оваа датотека содржи доверливи информации. Голем број на потписи може да се организираат во речници.
Бејсов метод. Овој метод, кој се користи во борбата против спам, може успешно да се примени во DLP системите. За да се примени овој метод, се креира листа на категории и се одредува список на зборови со веројатности дека ако се појави збор во датотека, тогаш датотеката припаѓа или не припаѓа на одредената категорија со дадена веројатност.
Морфолошка анализа.Методот на морфолошка анализа е сличен на методот на потпис, разликата лежи во тоа што не се совпаѓа 100% со потписот што се анализира, туку се земаат предвид и зборовите со еден корен.
Дигитални отпечатоци.Суштината на овој метод е дека за сите доверливи документи некоја хаш-функција се пресметува на таков начин што ако документот е малку изменет, хеш-функцијата ќе остане иста, или исто така малку ќе се промени. Така, процесот на откривање на доверливи документи е значително поедноставен. И покрај ентузијастичките пофалби за оваа технологија од многу продавачи и некои аналитичари, нејзината доверливост остава многу да се посакува, а со оглед на фактот дека продавачите под различни изговори претпочитаат да ги држат деталите за имплементацијата на дигиталниот алгоритам за отпечатоци од прсти во сенка, неговиот кредибилитет не се зголемува.
Редовни изрази.Познат на сите што се занимавале со програмирање, регуларни изразиви овозможува лесно да најдете податоци за шаблоните во текстот, на пример, телефонски броеви, детали за пасош, броеви на банкарски сметки, броеви за социјално осигурување итн.

Од горната листа, лесно е да се види дека методите за откривање или не гарантираат 100% откривање на доверливи информации, бидејќи нивото на грешки и од првиот и од вториот вид во нив е доста високо, или бараат постојана будност на службата за безбедност за ажурирање и ажурирање на списокот на потписи или задачи.етикети за доверливи документи.

Покрај тоа, шифрирањето на сообраќајот може да создаде одреден проблем во работата на мрежниот DLP. Ако од безбедносни причини е неопходно да се шифрираат пораките на е-пошта или да се користи SSL протоколот кога се поврзувате со било кој веб-ресурс, проблемот со утврдување на присуството на доверливи информации во пренесените датотеки може да биде многу тешко да се реши. Не заборавајте дека некои услуги за инстант пораки, како што е Skype, имаат стандардно вградено шифрирање. Ќе мора да одбиете да користите такви услуги или да користите DLP-домаќин за да ги контролирате.

Сепак, и покрај сите тешкотии, доколку правилно се конфигурира и се сфати сериозно, мрежниот DLP може значително да го намали ризикот од истекување на доверливи информации и да и обезбеди на организацијата погодно средство за внатрешна контрола.

Домаќин на DLPсе инсталирани на секој хост во мрежата (на клиентски работни станици и, доколку е потребно, на сервери) и може да се користат и за контрола на интернет сообраќајот. Меѓутоа, во овој капацитет, домаќинските DLP станаа помалку распространети и во моментов се користат главно за контрола надворешни уредии принтери. Како што знаете, вработен кој доаѓа на работа од флеш драјв или од MP3 плеер претставува многу поголема закана за безбедноста на информациите на претпријатието отколку сите хакери заедно. Овие системи се нарекуваат и мрежни безбедносни алатки за крајна точка ( безбедност на крајната точка), иако овој термин често се користи пошироко, на пример, ова понекогаш се нарекува антивирусни алатки.

Како што знаете, проблемот со користење на надворешни уреди може да се реши без користење на какви било средства, со оневозможување на пристаништата или физички, или со помош на оперативниот систем, или административно, со забрана на вработените да внесуваат какви било медиуми во канцеларијата. Меѓутоа, во повеќето случаи, „евтиниот и весел“ пристап е неприфатлив, бидејќи не е обезбедена соодветна флексибилност на информативните услуги, која ја бараат деловните процеси.

Како резултат на тоа, постои одредена побарувачка за специјални средства, со кој можете пофлексибилно да го решите проблемот со користење на надворешни уреди и принтери од страна на вработените во компанијата. Ваквите алатки ви овозможуваат да ги конфигурирате правата за пристап за корисниците разни видовиуреди, на пример, за една група корисници да забранат работа со медиуми и да дозволат печатачи, а за другата - да дозволат работа со медиум во режим само за читање. Доколку е неопходно да се снимаат информации на надворешни уреди за поединечни корисници, може да се користи технологија за копирање во сенка, што гарантира дека сите информации што се зачувани на надворешен уред се копираат на серверот. Копираните информации може последователно да се анализираат за да се анализираат активностите на корисникот. Оваа технологијакопира сè, а моментално нема системи што дозволуваат анализа на содржината на зачуваните датотеки со цел да се блокира работата и да се спречи истекување, како што прават мрежните DLP. Сепак, архивата со копии во сенка ќе обезбеди истрага за инциденти и ретроспективна анализа на настаните на мрежата, а имањето таква архива значи дека потенцијалниот инсајдер може да биде фатен и казнет за нивните постапки. Ова може да се покаже како значајна пречка за него и тешка причина да се откаже од непријателските дејствија.

Вреди да се спомене и контролата на употребата на печатачи - хард копии на документи исто така може да станат извор на истекување. Домаќинот DLP ви овозможува да го контролирате корисничкиот пристап до печатачите на ист начин како и до другите надворешни уреди и да зачувате копии од печатените документи во графички форматза понатамошна анализа. Дополнително, технологијата на водени жигови (водени жигови), која го имплементира печатењето на секоја страница од документ со единствен код, со што е можно точно да се одреди кој, кога и каде го испечатил овој документ, добил одредена дистрибуција.

И покрај несомнените предности на домаќин DLP, тие имаат голем број на недостатоци поврзани со потребата да се инсталира софтвер за агенти на секој компјутер што треба да се контролира. Прво, може да предизвика одредени тешкотии во однос на распоредувањето и управувањето со таквите системи. Второ, корисник со администраторски права може да се обиде да го оневозможи овој софтвер за да изврши какви било дејства што не се дозволени со безбедносната политика.

Сепак, за сигурна контрола на надворешни уреди, домаќин DLP е неопходен, а споменатите проблеми не се нерешливи. Така, можеме да заклучиме дека концептот DLP сега е полноправна алатка во арсеналот на корпоративните безбедносни служби во услови на постојано зголемување на притисокот врз нив за да се обезбеди внатрешна контрола и заштита од протекување.

Концепт на IPC

Во процесот на измислување нови средства за борба против внатрешните закани, научната и инженерската мисла на современото општество не запира и, со оглед на одредени недостатоци на средствата што беа дискутирани погоре, пазарот на системи за заштита од истекување информации дојде до концептот на IPC ( Заштита и контрола на информации). Овој термин се појави релативно неодамна, се верува дека првпат бил користен во преглед на аналитичката компанија IDC во 2007 година.

Суштината на овој концепт е да се комбинираат DLP и методите за шифрирање. Во овој концепт, DLP ги контролира информациите што ја напуштаат корпоративната мрежа преку технички канали, а шифрирањето се користи за заштита на носачите на податоци кои физички паѓаат или можат да паднат во рацете на неовластени лица.

Размислете за најчестите технологии за шифрирање што може да се користат во концептот IPC.

Енкрипција на магнетни ленти.И покрај архаизмот на овој тип на медиуми, тој продолжува активно да се користи за Резервирајте копијаи за пренос на големи количини на информации, бидејќи сè уште нема еднакви во однос на единечната цена на складиран мегабајт. Според тоа, протекувањето поврзано со изгубени снимки и понатаму ги воодушевува уредниците на вестите на насловната страница и ги фрустрира ЦИО и службениците за безбедност на претпријатијата кои се предмет на такви извештаи. Ситуацијата се влошува со фактот дека таквите ленти содржат многу големи количини на податоци, и, следствено, голем број луѓе можат да станат жртви на измамници.
Енкрипција на складишта на серверот.И покрај фактот дека складирањето на серверот многу ретко се транспортира, а ризикот од негово губење е неизмерно помал отколку со магнетна лента, посебна HDDскладирањето може да падне во погрешни раце. Поправка, отстранување, надградба - овие настани се случуваат со доволно регуларност за да се отпише овој ризик. А, ситуацијата со навлегување во канцеларијата на неовластени лица не е сосема невозможен настан.

Овде вреди да се направи мала дигресија и да се спомене вообичаената заблуда дека ако дискот е дел од RAID низа, тогаш наводно не треба да се грижите дали ќе падне во неовластени раце. Се чини дека преплетувањето на снимените податоци од неколку хард дискови, што го вршат RAID контролери, обезбедува нечитлив приказ на податоците што се наоѓаат на кој било тврд приказ. За жал, ова не е сосема точно. Преклопувањето навистина се случува, но во повеќето современи уреди тоа се прави на ниво на блок од 512 бајти. Ова значи дека, и покрај прекршувањето на структурата и форматите на датотеки, доверливите информации сè уште може да се извлечат од таков хард диск. Затоа, ако постои барање да се обезбеди доверливост на информациите кога се складирани во RAID низа, шифрирањето останува единствената сигурна опција.

Енкрипција на лаптопи.Ова е веќе кажано безброј пати, но сепак, загубата на лаптопи со доверливи информации веќе долги години е во првите пет хит парада на инциденти.
Шифрирање на отстранливи медиуми.Во овој случај, зборуваме за преносливи USB-уреди и, понекогаш, за снимање ЦД-а и ДВД-а ако се користат во деловните процеси на претпријатието. Ваквите системи, како и системите за шифрирање на хард дискот на лаптопот споменати погоре, честопати можат да дејствуваат како компонента на домаќинските DLP системи. Во овој случај, се зборува за еден вид крипто-периметар, кој обезбедува автоматско транспарентно шифрирање на медиумите внатре и неможност да се дешифрираат податоците надвор од него.

Така, шифрирањето може значително да ги подобри можностите на DLP системите и да го намали ризикот од истекување на доверливи податоци. И покрај фактот што концептот IPC се оформи релативно неодамна, а изборот на интегрирани IPC решенија на пазарот не е премногу широк, индустријата активно ја развива оваа област и сосема е можно по некое време овој концепт да стане де факто стандард за решавање на проблеми од внатрешна безбедност и внатрешна безбедност.контрола.

заклучоци

Како што се гледа од овој преглед, внатрешните закани се прилично нова област во безбедноста на информациите, која, сепак, активно се развива и бара зголемено внимание. Разгледаните технологии за контрола на документи, DLP и IPC, овозможуваат да се изгради прилично сигурен систем за внатрешна контрола и да се намали ризикот од истекување на прифатливо ниво. Без сомнение, оваа област на информациска безбедност ќе продолжи да се развива, ќе се нудат понови и понапредни технологии, но денес многу организации избираат едно или друго решение, бидејќи негрижата во прашањата за безбедноста на информациите може да биде премногу скапа.

Алексеј Раевски
Извршен директор на SecurIT

Популарни во категоријата: