Domov › Problémy › Softvérová ochrana pred zasvätenými pdf. Ochrana pred zasvätenými osobami pomocou systému Zlock. Systémy založené na blokovaní statických zariadení

Softvérová ochrana pred zasvätenými pdf. Ochrana pred zasvätenými osobami pomocou systému Zlock. Systémy založené na blokovaní statických zariadení

"Konzultant", 2011, N 9

„Ten, kto vlastní informácie, vlastní svet“ – tento slávny aforizmus Winstona Churchilla je v modernej spoločnosti relevantnejší než kedykoľvek predtým. Vedomosti, nápady a technológie sa dostávajú do popredia a vedúce postavenie na trhu závisí od toho, ako dobre spoločnosť dokáže riadiť svoj intelektuálny kapitál.

V týchto podmienkach sa informačná bezpečnosť organizácie stáva obzvlášť dôležitou.

Akýkoľvek únik informácií ku konkurencii alebo zverejnenie informácií o interných procesoch okamžite ovplyvňuje pozície, ktoré firma na trhu zastáva.

systém informačná bezpečnosť by mala poskytovať ochranu pred rôznymi hrozbami: technickými, organizačnými a tými, ktoré spôsobuje ľudský faktor.

Ako ukazuje prax, hlavným kanálom pre únik informácií sú zasvätení.

Nepriateľ vzadu

Insider je zvyčajne zamestnanec spoločnosti, ktorý spôsobí škodu spoločnosti zverejnením dôverných informácií.

Ak však vezmeme do úvahy tri hlavné podmienky, ktorých zabezpečenie je cieľom informačnej bezpečnosti – dôvernosť, integrita, dostupnosť – možno túto definíciu rozšíriť.

Insiderom možno nazvať zamestnanca, ktorý má legitímny oficiálny prístup k dôverným informáciám podniku, čo spôsobuje zverejnenie, skreslenie, poškodenie alebo nedostupnosť informácií.

Toto zovšeobecnenie je prijateľné, pretože modernom svete Porušenie integrity a dostupnosti informácií má často oveľa vážnejšie dôsledky pre podnikanie ako zverejnenie dôverných informácií.

Mnohým podnikom zastavenie obchodných procesov čo i len na krátky čas ohrozuje značné finančné straty a narušenie fungovania v priebehu niekoľkých dní môže spôsobiť takú silnú ranu, že jej následky môžu byť fatálne.

Rôzne organizácie, ktoré skúmajú podnikateľské riziko, pravidelne zverejňujú výsledky svojho výskumu. Podľa nich sú dôverné informácie už dlhé roky trvalo na prvom mieste v zozname dôvodov porušenia informačnej bezpečnosti.

Vzhľadom na neustály nárast celkového počtu incidentov môžeme konštatovať, že závažnosť problému sa neustále zvyšuje.

Model ohrozenia

Na vybudovanie spoľahlivého vrstveného systému informačnej bezpečnosti, ktorý pomôže efektívne bojovať s problémom, je potrebné v prvom rade vytvoriť model hrozby.

Musíte pochopiť, kto sú zasvätení a čo ich motivuje, prečo robia určité kroky.

Existujú rôzne prístupy k vytváraniu takýchto modelov, ale na praktické účely môžete použiť nasledujúcu klasifikáciu, ktorá zahŕňa všetky hlavné typy zasvätených.

Interný hacker

Takýto zamestnanec má spravidla nadpriemernú inžiniersku kvalifikáciu a rozumie štruktúre podnikových zdrojov, architektúre počítačových systémov a sietí.

Hackerské akcie vykonáva zo zvedavosti, športového záujmu, skúmania hraníc vlastných možností.

Zvyčajne si je vedomý možnej ujmy zo svojich činov, takže len zriedka spôsobí hmatateľnú škodu.

Stupeň nebezpečenstva je stredný, pretože jeho konanie môže spôsobiť dočasné zastavenie niektorých procesov prebiehajúcich v spoločnosti. Identifikácia činností je možná predovšetkým technickými prostriedkami.

Nezodpovedný a málo kvalifikovaný zamestnanec

Môže mať rôzne zručnosti a pracovať v akomkoľvek oddelení podniku.

Je nebezpečný, pretože nemá tendenciu premýšľať o dôsledkoch svojich činov, môže pracovať s informačnými zdrojmi spoločnosti „pokusom a omylom“ a neúmyselne ničiť a skresľovať informácie.

Zvyčajne si nepamätá postupnosť svojich činov a keď zistí negatívne dôsledky, môže o nich jednoducho mlčať.

Môže odhaliť informácie predstavujúce obchodné tajomstvo pri osobnom rozhovore s priateľom alebo dokonca pri komunikácii na internetových fórach a v sociálnych sieťach.

Stupeň nebezpečenstva je veľmi vysoký, najmä ak vezmeme do úvahy, že tento typ páchateľa je bežnejší ako ostatní. Následky jeho aktivít môžu byť oveľa závažnejšie ako následky vedomého útočníka.

Aby sa predišlo následkom jeho konania, je potrebné prijať celý rad rôznych opatrení, a to technických (oprávnenie, povinné rozdelenie pracovných stretnutí podľa účtov), ako aj organizačných (neustála manažérska kontrola nad procesom a výsledkom práce) .

Psychicky labilný človek

Rovnako ako zástupca predchádzajúceho typu môže pracovať na akejkoľvek pozícii a má veľmi rozdielnu kvalifikáciu. Nebezpečné kvôli tendencii k slabo motivovaným činom v podmienkach psychického nepohodlia: v extrémnych situáciách, psychologický tlak od iných zamestnancov alebo jednoducho silné podráždenie.

V afektívnom stave môže odhaliť dôverné informácie, poškodiť dáta a narušiť bežný chod práce iných ľudí.

Stupeň nebezpečenstva je priemerný, ale tento typ páchateľa nie je taký bežný.

Aby sa predišlo negatívnym dôsledkom jeho konania, je najefektívnejšie použiť administratívne opatrenia - identifikovať takýchto ľudí vo fáze rozhovoru, obmedziť prístup k informáciám a udržiavať v tíme príjemnú psychologickú klímu.

Urazený, urazený zamestnanec

Najširšia skupina potenciálnych porušovateľov režimu informačnej bezpečnosti.

Teoreticky je veľká väčšina zamestnancov schopná páchať činy nepriateľské voči spoločnosti.

To sa môže stať, keď vedenie prejaví neúctu k osobnosti alebo odborným kvalitám zamestnanca a keď to ovplyvní výšku odmeny.

Tento typ zasvätených osôb predstavuje potenciálne veľmi vysoké nebezpečenstvo – sú možné úniky aj poškodenie informácií a ujma z nich bude zaručene citeľná pre podnik, pretože zamestnanec to spôsobuje vedome a dobre pozná všetky zraniteľné miesta.

Na odhaľovanie činností sú potrebné administratívne aj technické opatrenia.

Nečistý zamestnanec

Zamestnanec, ktorý sa snaží dopĺňať svoje osobné bohatstvo na úkor majetku firmy, pre ktorú pracuje. Medzi príslušnými položkami môžu byť rôzne médiá dôverných informácií ( pevné disky, flash disky, firemné notebooky).

V tomto prípade existuje riziko, že sa informácie dostanú k ľuďom, ktorým neboli určené, s následným zverejnením alebo prenosom ku konkurencii.

Nebezpečenstvo je priemerné, ale tento typ nie je nezvyčajný.

Na identifikáciu sú najprv potrebné administratívne opatrenia.

Zástupca súťažiaceho

Spravidla je vysoko kvalifikovaný a zastáva pozície, ktoré poskytujú dostatok príležitostí na získanie informácií vrátane dôverných informácií. Ide buď o existujúceho zamestnanca naverbovaného, odkúpeného konkurentmi (častejšie), alebo o insidera špeciálne zavedeného do spoločnosti.

Stupeň nebezpečenstva je veľmi vysoký, pretože škoda je spôsobená vedome a s hlbokým pochopením hodnoty informácií, ako aj zraniteľnosti spoločnosti.

Na identifikáciu činností sú potrebné administratívne aj technické opatrenia.

Čo kradneme?

Pochopenie problému dôverných informácií je nemožné bez zohľadnenia povahy ukradnutých informácií.

Podľa štatistík sú najžiadanejšie osobné údaje klientov, ako aj informácie o klientskych spoločnostiach a partneroch, kradnú sa vo viac ako polovici prípadov. Nasledujú podrobnosti o transakciách, zmluvných podmienkach a dodávkach. Veľkému záujmu sa tešia aj finančné správy.

Pri vytváraní súboru ochranných opatrení každá spoločnosť nevyhnutne čelí otázke: aké konkrétne informácie vyžadujú špeciálne ochranné opatrenia a ktoré ich nepotrebujú?

Samozrejme, základom pre takéto rozhodnutia sú údaje získané ako výsledok analýzy rizík. Podnik má však často obmedzené finančné zdroje, ktoré možno minúť na systém informačnej bezpečnosti, a nemusia stačiť na minimalizáciu všetkých rizík.

Dva prístupy

Žiaľ, neexistuje hotová odpoveď na otázku: „Čo chrániť ako prvé“.

K tomuto problému sa dá pristupovať z dvoch strán.

Riziko je komplexný ukazovateľ, ktorý zohľadňuje tak pravdepodobnosť konkrétnej hrozby, ako aj možné škody z nej. Preto sa pri nastavovaní bezpečnostných priorít môžete zamerať na jeden z týchto ukazovateľov. To znamená, že informácie, ktoré sú chránené ako prvé, sa dajú najľahšie ukradnúť (napríklad ak k nim má prístup veľký počet zamestnancov) a informácie, ktorých krádež alebo zablokovanie by viedli k najvážnejším následkom.

Dôležitým aspektom vnútorného problému je kanál prenosu informácií. Čím viac fyzických príležitostí na prenos neoprávnených informácií mimo spoločnosti existuje, tým je pravdepodobnejšie, že sa tak stane.

Prenosové mechanizmy

Prenosové mechanizmy možno klasifikovať takto:

ústny prenos (osobný rozhovor);
kanály na prenos technických údajov ( telefonickú komunikáciu, fax, e-mail, systémy zasielania správ, rôzne sociálne internetové služby atď.);
prenosné médiá a mobilné zariadenia (Mobilné telefóny, externé pevné disky, notebooky, flash disky atď.).

Podľa výskumu v súčasnosti sú najbežnejšími kanálmi na prenos dôverných údajov (v zostupnom poradí): e-mail, mobilné zariadenia (vrátane notebookov), sociálne siete a iné internetové služby (napríklad systémy okamžitých správ) atď.

Na ovládanie technických kanálov možno použiť rôzne prostriedky, širokú škálu produktov, ktoré sú v súčasnosti dostupné na trhu s bezpečnosťou.

Napríklad, systémy filtrovania obsahu (dynamické blokovacie systémy), prostriedky na obmedzenie prístupu k informačným médiám (CD, DVD, Bluetooth).

Uplatňujú sa aj administratívne opatrenia: filtrovanie internetovej prevádzky, blokovanie fyzických portov pracovných staníc, zabezpečenie administratívneho režimu a fyzickej bezpečnosti.

Pri výbere technické prostriedky ochrana dôverných informácií si vyžaduje systematický prístup. Len tak sa dá dosiahnuť najväčšia efektívnosť pri ich realizácii.

Musíte tiež pochopiť, že výzvy, ktorým čelí každá spoločnosť, sú jedinečné a často je jednoducho nemožné použiť riešenia používané inými organizáciami.

Boj proti dôverným informáciám by sa nemal vykonávať samostatne, je to dôležitá súčasť celkového obchodného procesu zameraného na zabezpečenie režimu informačnej bezpečnosti.

Musia ho vykonávať odborníci a zahŕňať celý cyklus činností: vypracovanie politiky informačnej bezpečnosti, definovanie rozsahu, analýza rizík, výber protiopatrení a ich implementácia, ako aj audit systému informačnej bezpečnosti.

Ak podnik nezabezpečí informačnú bezpečnosť v celom komplexe, potom sa prudko zvýšia riziká finančných strát z úniku a poškodenia informácií.

Minimalizácia rizík

Vyšetrenie

Dôkladná kontrola uchádzačov, ktorí sa uchádzajú o akékoľvek pozície v spoločnosti. Odporúča sa zozbierať čo najviac informácií o kandidátovi, vrátane obsahu jeho stránok na sociálnych sieťach. Môže tiež pomôcť požiadať o referenciu z predchádzajúceho pracoviska.
Kandidáti na pozície IT inžinierov by mali byť podrobení obzvlášť dôkladnej previerke. Prax ukazuje, že viac ako polovica všetkých insiderov je správcov systému a programátorov.
Pri prijímaní do zamestnania musí byť vykonaná aspoň minimálna psychologická kontrola kandidátov. Pomôže identifikovať žiadateľov s nestabilným duševným zdravím.

Prístupové právo

Systém zdieľania prístupu podnikových zdrojov. Podnik musí vytvoriť regulačnú dokumentáciu, ktorá zoradí informácie podľa úrovne dôvernosti a jasne definuje prístupové práva k nim. Prístup k akýmkoľvek zdrojom musí byť prispôsobený.
Prístupové práva k zdrojom by sa mali prideľovať podľa zásady „minimálnej dostatočnosti“. Prístup k údržbe technických zariadení, aj keď s právami správcu, by nemal byť vždy sprevádzaný prístupom na prezeranie samotných informácií.
Čo najhlbšie sledovanie užívateľských akcií, s povinnou autorizáciou a zaznamenávaním informácií o vykonaných operáciách do logu. Čím starostlivejšie sa denníky vedú, tým väčšiu kontrolu má manažment nad situáciou vo firme. To isté platí pre konanie zamestnanca pri používaní oficiálneho prístupu na internet.

Komunikačný štandard

Organizácia musí prijať vlastný štandard komunikácie, ktorý by vylúčil všetky formy nevhodného správania zamestnancov voči sebe navzájom (agresivita, násilie, prílišná familiárnosť). V prvom rade to platí pre vzťah „manažér – podriadený“.

Zamestnanec by v žiadnom prípade nemal mať pocit, že sa s ním zaobchádza nespravodlivo, že nie je dostatočne ohodnotený, že je zbytočne vykorisťovaný, alebo že je klamaný.

Dodržiavanie tohto jednoduchého pravidla vám umožní vyhnúť sa drvivej väčšine situácií, ktoré provokujú zamestnancov k poskytovaniu dôverných informácií.

Dôvernosť

Dohoda o mlčanlivosti by nemala byť len formalitou. Musia ho podpísať všetci zamestnanci, ktorí majú prístup k dôležitým informačné zdroje spoločnosti.

Navyše, už vo fáze pohovoru je potrebné potenciálnym zamestnancom vysvetliť, ako spoločnosť kontroluje informačnú bezpečnosť.

Kontrola fondov

Predstavuje kontrolu technických prostriedkov používaných zamestnancom na pracovné účely.

Napríklad, používanie osobného notebooku je nežiaduce, pretože keď zamestnanec odíde, s najväčšou pravdepodobnosťou nebude možné zistiť, aké informácie sú na ňom uložené.

Z rovnakého dôvodu je nežiaduce používať boxy Email o externých zdrojoch.

Vnútorná rutina

Podnik musí dodržiavať interné predpisy.

Je potrebné mať informácie o čase, ktorý zamestnanci strávia na pracovisku.

Musí byť zabezpečená aj kontrola pohybu hmotného majetku.

Dodržiavanie všetkých vyššie uvedených pravidiel zníži riziko poškodenia alebo úniku informácií prostredníctvom dôverných informácií, a preto pomôže predchádzať významným finančným stratám alebo stratám dobrej povesti.

Riadiaci partner

skupina spoločností Hosting Community

V súčasnosti existujú dva hlavné kanály na únik dôverných informácií: zariadenia pripojené k počítaču (všetky druhy vymeniteľných úložných zariadení vrátane flash diskov, jednotiek CD/DVD atď., tlačiarne) a internet (e-mail, ICQ, sociálne siete). siete atď.) d.). A preto, keď je firma „zrelá“ na implementáciu systému ochrany proti nim, je vhodné pristupovať k tomuto riešeniu komplexne. Problém je v tom, že na pokrytie rôznych kanálov sa používajú rôzne prístupy. V jednom prípade najviac efektívnym spôsobom ochrana bude kontrolovať používanie vymeniteľných jednotiek a druhá bude obsahovať rôzne možnosti filtrovania obsahu, čo vám umožní zablokovať prenos dôverných údajov do externej siete. Firmy preto musia na ochranu pred insidermi využívať dva produkty, ktoré spolu tvoria ucelený bezpečnostný systém. Prirodzene, je lepšie používať nástroje od jedného vývojára. V tomto prípade sa zjednoduší proces ich implementácie, administrácie a zaškolenia zamestnancov. Ako príklad môžeme uviesť produkty spoločnosti SecurIT: Zlock a Zgate.

Zlock: ochrana proti úniku cez vymeniteľné jednotky

Program Zlock je na trhu už pomerne dlho. A my už. V zásade nemá zmysel sa opakovať. Od zverejnenia článku však vyšli dve nové verzie Zlocku, ktoré pridali množstvo dôležitých funkcií. Stojí za to hovoriť o nich, aj keď len veľmi krátko.

V prvom rade stojí za zmienku možnosť priradiť počítaču niekoľko politík, ktoré sa nezávisle aplikujú v závislosti od toho, či je počítač pripojený k firemná sieť priamo, cez VPN alebo funguje autonómne. To umožňuje najmä automatické blokovanie USB portov a CD/DVD mechaniky pri odpojení PC od lokálnej siete. Vo všeobecnosti túto funkciu zvyšuje bezpečnosť informácií uložených na notebookoch, ktoré si zamestnanci môžu vziať z kancelárie na cesty alebo do práce doma.

Po druhé nová príležitosť- poskytovanie dočasného prístupu k zablokovaným zariadeniam alebo dokonca skupinám zariadení cez telefón zamestnancom spoločnosti. Princípom jeho fungovania je výmena generovaná programom tajné kódy medzi používateľom a zamestnancom zodpovedným za bezpečnosť informácií. Je pozoruhodné, že povolenie na použitie môže byť vydané nielen trvalo, ale aj dočasne (na určitý čas alebo do konca pracovného stretnutia). Tento nástroj možno považovať za mierny relax v bezpečnostnom systéme, no umožňuje zvýšiť citlivosť IT oddelenia na obchodné požiadavky.

Ďalšou dôležitou inováciou v nových verziách Zlock je kontrola nad používaním tlačiarní. Po nastavení bude zabezpečovací systém zaznamenávať všetky požiadavky používateľov na tlačové zariadenia do špeciálneho denníka. To však nie je všetko. Zlock teraz ponúka tieňové kopírovanie všetkých tlačených dokumentov. Zapisujú sa do vo formáte PDF a sú úplnou kópiou vytlačených strán bez ohľadu na to, ktorý súbor bol odoslaný do tlačiarne. To pomáha predchádzať úniku dôverných informácií na papierových hárkoch, keď zasvätená osoba vytlačí údaje, aby ich odniesla z kancelárie. Súčasťou bezpečnostného systému je aj tieňové kopírovanie informácií zaznamenaných na CD/DVD diskoch.

Dôležitou novinkou bol vzhľad serverového komponentu Zlock Enterprise Management Server. Poskytuje centralizované ukladanie a distribúciu bezpečnostných politík a ďalších nastavení programu a výrazne uľahčuje správu Zlocku vo veľkých a distribuovaných informačných systémoch. Nemožno nespomenúť ani vznik vlastného autentifikačného systému, ktorý v prípade potreby umožňuje opustiť používanie doménových a lokálnych používateľov Windows.

Okrem toho v Najnovšia verzia Zlock má teraz niekoľko menej nápadných, ale aj dosť dôležitých funkcií: monitorovanie integrity klientskeho modulu s možnosťou blokovania prihlásenia používateľa pri zistení manipulácie, rozšírené možnosti implementácie bezpečnostného systému, podpora Oracle DBMS atď.

Zgate: ochrana pred únikmi z internetu

Takže, Zgate. Ako sme už povedali, tento produkt je systémom na ochranu pred únikom dôverných informácií cez internet. Štrukturálne sa Zgate skladá z troch častí. Hlavným je serverový komponent, ktorý vykonáva všetky operácie spracovania údajov. Môže byť nainštalovaný ako na samostatnom počítači, tak aj na tých, ktoré už bežia v podniku informačný systém uzly - internetová brána, radič domény, poštová brána atď. Tento modul sa zase skladá z troch komponentov: pre sledovanie SMTP prevádzky, sledovanie internej pošty servera Microsoft Exchange 2007/2010, ako aj Zgate Web (zodpovedá za kontrolu prenosu HTTP, FTP a IM).

Druhou časťou bezpečnostného systému je logovací server. Používa sa na zhromažďovanie informácií o udalostiach z jedného alebo viacerých serverov Zgate, ich spracovanie a uloženie. Tento modul je užitočný najmä vo veľkých a geograficky distribuovaných podnikové systémy, pretože poskytuje centralizovaný prístup ku všetkým údajom. Treťou časťou je riadiaca konzola. Používa štandardnú konzolu pre produkty SecurIT, a preto sa jej nebudeme podrobne venovať. Upozorňujeme len, že pomocou tohto modulu môžete ovládať systém nielen lokálne, ale aj na diaľku.

Riadiaca konzola

Systém Zgate môže fungovať v niekoľkých režimoch. Ich dostupnosť navyše závisí od spôsobu implementácie produktu. Prvé dva režimy zahŕňajú prácu ako poštový proxy server. Na ich implementáciu sa systém inštaluje medzi firemný poštový server a „vonkajší svet“ (alebo medzi poštový server a odosielajúci server, ak sú oddelené). V tomto prípade môže Zgate filtrovať prevádzku (odkladať správy porušujúce autorské práva a sporné správy) a iba ju zaznamenávať (prechádzať všetky správy, ale ukladať ich do archívu).

Druhý spôsob implementácie zahŕňa použitie ochranného systému v spojení s Microsoft Exchange 2007 alebo 2010. Aby ste to dosiahli, musíte nainštalovať Zgate priamo na podnikové poštový server. K dispozícii sú tiež dva režimy: filtrovanie a protokolovanie. Okrem toho existuje ďalšia možnosť implementácie. Hovoríme o protokolovaní správ v režime zrkadlovej premávky. Prirodzene, aby ste ho mohli používať, je potrebné zabezpečiť, aby počítač, na ktorom je nainštalovaný Zgate, prijímal rovnakú zrkadlenú prevádzku (zvyčajne sa to robí pomocou sieťového zariadenia).

Výber prevádzkového režimu Zgate

Komponent Zgate Web si zaslúži samostatný príbeh. Inštaluje sa priamo na firemnú internetovú bránu. Zároveň tento subsystém získava schopnosť monitorovať prenos HTTP, FTP a IM, to znamená spracovávať ho za účelom detekcie pokusov o odosielanie dôverných informácií cez webové poštové rozhrania a ICQ, ich zverejňovanie na fórach, FTP serveroch a sociálnych sieťach. siete a pod. Mimochodom, o ICQ. Funkcia blokovania IM messengerov je dostupná v mnohých podobných produktoch. Nie je v nich však žiadne „ICQ“. Jednoducho preto, že práve v rusky hovoriacich krajinách je najviac rozšírený.

Princíp fungovania komponentu Zgate Web je pomerne jednoduchý. Pri každom odoslaní informácie ktorejkoľvek z riadených služieb systém vygeneruje špeciálnu správu. Obsahuje samotné informácie a niektoré servisné údaje. Odošle sa na hlavný server Zgate a spracuje sa podľa špecifikovaných pravidiel. Prirodzene, odosielanie informácií nie je blokované v samotnej službe. To znamená, že Zgate Web funguje iba v režime protokolovania. S jeho pomocou nezabránite izolovaným únikom dát, dokážete ich však rýchlo odhaliť a zastaviť činnosť dobrovoľného či nevedomého útočníka.

Nastavenie webového komponentu Zgate

Spôsob spracovania informácií v Zgate a postup filtrovania je určený politikou, ktorú vypracuje bezpečnostný pracovník alebo iný zodpovedný zamestnanec. Predstavuje sériu podmienok, z ktorých každá zodpovedá konkrétnej akcii. Všetky prichádzajúce správy „prechádzajú“ cez ne postupne jedna po druhej. A ak je splnená niektorá z podmienok, spustí sa akcia s tým spojená.

Filtračný systém

Celkovo systém poskytuje 8 typov podmienok, ako sa hovorí „pre všetky príležitosti“. Prvým z nich je typ súboru prílohy. S jeho pomocou môžete zistiť pokusy o odoslanie objektov určitého formátu. Stojí za zmienku, že analýza sa nevykonáva podľa rozšírenia, ale podľa vnútornej štruktúry súboru a môžete špecifikovať špecifické typy objektov a ich skupiny (napríklad všetky archívy, videá atď.). Druhým typom podmienok je overenie externou aplikáciou. Ako aplikácia môže fungovať ako bežný program spúšťaný z príkazový riadok a scenár.

Podmienky vo filtračnom systéme

Ďalšia podmienka však stojí za to podrobnejšie sa zaoberať. Hovoríme o obsahovej analýze prenášaných informácií. V prvom rade je potrebné poznamenať „všežravosť“ Zgate. Faktom je, že program „rozumie“ veľkému množstvu rôznych formátov. Preto dokáže analyzovať nielen jednoduchý text, ale aj takmer akúkoľvek prílohu. Ďalšou vlastnosťou analýzy obsahu sú jej skvelé možnosti. Môže pozostávať z jednoduchého vyhľadania výskytu v texte správy alebo iného poľa určitého slova alebo z plnohodnotnej analýzy vrátane zohľadnenia gramatických tvarov slov, odvodenia a prepisu. To však nie je všetko. Osobitnú zmienku si zaslúži systém na analýzu vzorov a regulárnych výrazov. S jeho pomocou môžete ľahko zistiť prítomnosť údajov v určitom formáte v správach, napríklad sériu a čísla pasov, telefónne číslo, číslo zmluvy, číslo bankového účtu atď. To vám okrem iného umožňuje posilniť ochranu osobných údajov spracúvaných spoločnosťou.

Vzory na identifikáciu rôznych dôverných informácií

Štvrtým typom podmienok je analýza adries uvedených v liste. Teda hľadať medzi nimi určité reťazce. Po piate - analýza šifrovaných súborov. Pri spustení sa skontrolujú atribúty správy a/alebo vnorených objektov. Šiestym typom podmienok je kontrola rôznych parametrov písmen. Siedmym je analýza slovníka. Počas tohto procesu systém zisťuje v správe prítomnosť slov z vopred vytvorených slovníkov. A napokon posledný, ôsmy typ podmienky je zložený. Predstavuje dve alebo viac ďalších podmienok kombinovaných logickými operátormi.

Mimochodom, musíme samostatne povedať o slovníkoch, ktoré sme spomenuli v popise podmienok. Sú to skupiny slov, ktoré sú spojené jednou charakteristikou a používajú sa v rôznych metódach filtrovania. Najlogickejšia vec, ktorú musíte urobiť, je vytvoriť slovníky, ktoré vám s vysokou pravdepodobnosťou umožnia zaradiť správu do jednej alebo druhej kategórie. Ich obsah je možné zadať ručne alebo importovať z existujúcich textové súbory. Existuje ďalšia možnosť generovania slovníkov - automatická. Pri jeho použití musí administrátor jednoducho určiť priečinok, ktorý obsahuje príslušné dokumenty. Program ich sám analyzuje, vyberie potrebné slová a priradí ich váhové charakteristiky. Pre kvalitnú kompiláciu slovníkov je potrebné označovať nielen dôverné súbory, ale aj objekty, ktoré neobsahujú citlivé informácie. Vo všeobecnosti sa proces automatického generovania najviac podobá trénovaniu antispamu na reklamných a bežných listoch. A to nie je prekvapujúce, pretože obe krajiny používajú podobné technológie.

Príklad slovníka na finančnú tému

Keď už hovoríme o slovníkoch, nemôžeme nespomenúť ďalšiu technológiu detekcie dôverných údajov implementovanú v Zgate. Hovoríme o digitálnych odtlačkoch prstov. Podstatou túto metódu je nasledujúca. Správca môže systémovým priečinkom oznámiť, že obsahujú dôverné údaje. Program analyzuje všetky dokumenty v nich a vytvorí „digitálne odtlačky prstov“ - súbory údajov, ktoré vám umožňujú určiť pokus o prenos nielen celého obsahu súboru, ale aj jeho jednotlivých častí. Upozorňujeme, že systém automaticky monitoruje stav priečinkov, ktoré mu boli zadané, a nezávisle vytvára „odtlačky prstov“ pre všetky objekty, ktoré sa v nich znova objavia.

Vytvorenie kategórie s digitálnymi odtlačkami súborov

Teraz už zostáva len zistiť, aké akcie sa v príslušnom systéme ochrany vykonávajú. Celkovo sa ich v Zgate predáva už 14 kusov. Väčšina z nich však určuje akcie, ktoré sa so správou vykonajú. Ide najmä o mazanie bez odoslania (teda v skutočnosti zablokovanie prenosu listu), jeho ukladanie do archívu, pridávanie alebo mazanie príloh, zmena rôznych políčok, vkladanie textu a pod. za zmienku stojí umiestnenie listu do karantény. Táto akcia umožňuje „odložiť“ správu na manuálne overenie bezpečnostným dôstojníkom, ktorý rozhodne o jej ďalšom osude. Veľmi zaujímavá je aj akcia, ktorá umožňuje zablokovať IM spojenie. Môže sa použiť na okamžité zablokovanie kanála, cez ktorý bola odoslaná správa s dôvernými informáciami.

Dve akcie sa trochu líšia – spracovanie Bayesovskou metódou a spracovanie metódou odtlačkov prstov. Oba sú navrhnuté tak, aby kontrolovali správy, či neobsahujú citlivé informácie. Iba prvý používa slovníky a štatistickú analýzu a druhý používa digitálne odtlačky prstov. Tieto akcie je možné vykonať, keď je splnená určitá podmienka, napríklad ak adresa príjemcu nie je v podnikovej doméne. Okrem toho sa dajú (ako všetky ostatné) nastaviť tak, aby sa bezpodmienečne aplikovali na všetky odchádzajúce správy. V tomto prípade systém písmená analyzuje a priradí ich do určitých kategórií (ak je to, samozrejme, možné). Ale pre tieto kategórie už môžete vytvoriť podmienky pri vykonávaní určitých akcií.

Akcie v systéme Zgate

No a na záver nášho dnešného rozhovoru o Zgate to môžeme trochu zhrnúť. Tento ochranný systém je založený predovšetkým na obsahovej analýze správ. Tento prístup je najbežnejší na ochranu pred únikom dôverných informácií cez internet. Prirodzene, analýza obsahu neposkytuje 100% stupeň ochrany a má skôr pravdepodobnostný charakter. Jeho použitie však zabráni väčšine prípadov neoprávneného prenosu citlivých údajov. Mali by to firmy využívať alebo nie? O tom sa musí rozhodnúť každý sám, pričom posúdi náklady na realizáciu a možné problémy v prípade úniku informácií. Stojí za zmienku, že Zgate odvádza vynikajúcu prácu pri zachytení regulárnych výrazov, vďaka čomu je veľmi účinnými prostriedkami ochranu osobných údajov spracúvaných spoločnosťou.

Nedávne štúdie o bezpečnosti informácií, ako napríklad každoročný prieskum CSI/FBI ComputerCrimeAndSecuritySurvey, ukázali, že finančné straty spoločností spôsobené väčšinou hrozieb z roka na rok klesajú. Existuje však niekoľko rizík, z ktorých straty narastajú. Jedným z nich je úmyselné odcudzenie dôverných informácií alebo porušenie pravidiel nakladania s nimi tými zamestnancami, ktorých prístup ku komerčným údajom je nevyhnutný na výkon služobných povinností. Hovorí sa im insideri.

Krádež dôverných informácií sa vo veľkej väčšine prípadov uskutočňuje pomocou mobilných médií: CD a DVD, ZIP zariadení a predovšetkým všetkých druhov USB kľúčov. Práve ich masová distribúcia viedla k rozkvetu insiderizmu po celom svete. Šéfovia väčšiny bánk si dobre uvedomujú nebezpečenstvo, že sa napríklad databáza s osobnými údajmi ich klientov alebo navyše transakcie na ich účtoch dostanú do rúk zločineckých štruktúr. A snažia sa bojovať proti možnej krádeži informácií pomocou organizačných metód, ktoré majú k dispozícii.

Organizačné metódy sú však v tomto prípade neúčinné. Dnes môžete organizovať prenos informácií medzi počítačmi pomocou miniatúrneho flash disku, mobilný telefón, mp3 prehrávač, digitálny fotoaparát... Samozrejme, môžete sa pokúsiť zakázať nosenie všetkých týchto zariadení do kancelárie, ale to po prvé negatívne ovplyvní vzťahy so zamestnancami a po druhé, stále nebude možné reálne nadviazať efektívna kontrola nad ľuďmi veľmi ťažká – banka nie “ Poštová schránka" A nepomôže ani vypnutie všetkých zariadení na počítačoch, ktoré sa dajú použiť na zapisovanie informácií na externé médiá (disky FDD a ZIP, mechaniky CD a DVD atď.) a USB porty. Koniec koncov, prvé sú potrebné na prácu a druhé sú pripojené k rôznym periférnym zariadeniam: tlačiarňam, skenerom atď. A nikto nemôže zabrániť tomu, aby na minútu vypol tlačiareň, vložil flash disk do voľného portu a skopíroval naň dôležitá informácia. Môžete, samozrejme, nájsť originálne spôsoby, ako sa chrániť. Napríklad jedna banka vyskúšala túto metódu riešenia problému: naplnili spoj USB portu a kábla epoxidovou živicou a pevne ich „priviazali“ k počítaču. Ale, našťastie, dnes existujú modernejšie, spoľahlivejšie a flexibilnejšie metódy kontroly.

Najúčinnejším prostriedkom na minimalizáciu rizík spojených s insidermi je špeciál softvér, ktorý dynamicky riadi všetky zariadenia a porty počítača, ktoré možno použiť na kopírovanie informácií. Princíp ich práce je nasledovný. Oprávnenia na používanie rôznych portov a zariadení sú nastavené pre každú skupinu používateľov alebo pre každého používateľa individuálne. Najväčšou výhodou takéhoto softvéru je flexibilita. Môžete zadať obmedzenia pre konkrétne typy zariadení, ich modely a jednotlivé inštancie. To vám umožňuje implementovať veľmi zložité politiky distribúcie prístupových práv.

Môžete napríklad chcieť niektorým zamestnancom povoliť používanie akýchkoľvek tlačiarní alebo skenerov pripojených k portom USB. Všetky ostatné zariadenia vložené do tohto portu však zostanú nedostupné. Ak banka používa systém autentifikácie používateľov na základe tokenov, potom v nastaveniach môžete určiť použitý model kľúča. Potom budú môcť používatelia používať iba zariadenia zakúpené spoločnosťou a všetky ostatné budú zbytočné.

Na základe princípu fungovania ochranných systémov opísaných vyššie môžete pochopiť, aké body sú dôležité pri výbere programov, ktoré implementujú dynamické blokovanie záznamových zariadení a počítačových portov. Po prvé, je to všestrannosť. Ochranný systém musí pokrývať celý rozsah možných portov a vstupno/výstupných zariadení. V opačnom prípade zostáva riziko krádeže obchodných informácií neprijateľne vysoké. Po druhé, príslušný softvér musí byť flexibilný a musí vám umožniť vytvárať pravidlá pomocou veľkého množstva rôznych informácií o zariadeniach: ich typy, výrobcovia modelov, jedinečné čísla, ktoré má každá inštancia atď. A po tretie, systém ochrany zasvätených osôb musí byť schopný integrácie s informačným systémom banky, najmä s ActiveDirectory. V opačnom prípade bude musieť správca alebo bezpečnostný pracovník udržiavať dve databázy používateľov a počítačov, čo je nielen nepohodlné, ale zvyšuje sa aj riziko chýb.

Ochrana informácií pred použitím zasvätených osôb softvér

Alexander Antipov

Dúfam, že samotný článok a najmä jeho diskusia pomôžu identifikovať rôzne nuansy používania softvérových nástrojov a stanú sa východiskom pri vývoji riešenia opísaného problému pre špecialistov informačnej bezpečnosti.

nahna

Marketingová divízia spoločnosti Infowatch dlhodobo presviedča všetkých zainteresovaných - IT špecialistov, ale aj najvyspelejších IT manažérov, že väčšina škôd z narušenia informačnej bezpečnosti spoločnosti padá na insiderov - zamestnancov prezrádzajúcich obchodné tajomstvá. Cieľ je jasný – musíme vytvoriť dopyt po vyrábanom produkte. A argumenty vyzerajú celkom solídne a presvedčivo.

Formulácia problému

Vybudujte systém na ochranu informácií pred krádežou personálom na báze LAN Aktívny adresár Windows 2000/2003. Používateľské pracovné stanice pod Ovládanie Windows XP. Podnikový manažment a účtovníctvo založené na produktoch 1C.
Tajné informácie sa ukladajú tromi spôsobmi:

DB 1C - sieťový prístup cez RDP ( terminálový prístup);
zdieľané priečinky na súborových serveroch - sieťový prístup;
lokálne na PC zamestnanca;

Únikové kanály - internet a vymeniteľné médiá (flash disky, telefóny, prehrávače atď.). Používanie internetu a vymeniteľných médií nemožno zakázať, pretože sú nevyhnutné na plnenie služobných povinností.

Čo je na trhu

Uvažované systémy som rozdelil do troch tried:

Systémy založené na kontextových analyzátoroch - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet atď.
Systémy založené na statickom zamykaní zariadení - DeviceLock, ZLock, InfoWatch Net Monitor.
Systémy založené na dynamickom blokovaní zariadení - SecrecyKeeper, Strazh, Accord, SecretNet.

Systémy založené na kontextových analyzátoroch

Princíp činnosti:
V prenášaných informáciách sa vyhľadávajú kľúčové slová a na základe výsledkov vyhľadávania sa rozhoduje o potrebe blokovania prenosu.

Podľa môjho názoru má InfoWatch Traffic Monitor (www.infowatch.ru) maximálne možnosti spomedzi uvedených produktov. Základom je osvedčený engine Kaspersky Antispam, ktorý najviac zohľadňuje zvláštnosti ruského jazyka. Na rozdiel od iných produktov, InfoWatch Traffic Monitor pri analýze berie do úvahy nielen prítomnosť určitých riadkov v kontrolovaných údajoch, ale aj vopred stanovenú váhu každého riadku. Pri konečnom rozhodnutí sa teda berie do úvahy nielen výskyt určitých slov, ale aj kombinácie, v ktorých sa vyskytujú, čo umožňuje zvýšiť flexibilitu analyzátora. Zvyšné funkcie sú štandardom pre tento typ produktu – analýza archívov, dokumentov MS Office, možnosť blokovania prenosu súborov neznámeho formátu alebo archívov chránených heslom.

Nevýhody uvažovaných systémov založených na kontextovej analýze:

Monitorujú sa iba dva protokoly - HTTP a SMTP (pre InfoWatch Traffic Monitor a pre HTTP prevádzku sa kontrolujú iba údaje prenášané pomocou požiadaviek POST, čo vám umožňuje organizovať únikový kanál pomocou prenosu údajov pomocou metódy GET);
Zariadenia na prenos dát nie sú kontrolované – diskety, CD, DVD, USB disky atď. (InfoWatch má pre tento prípad produkt: InfoWatch Net Monitor).
na obídenie systémov vybudovaných na základe obsahovej analýzy stačí použiť najjednoduchšie kódovanie textu (napríklad: tajné -> с1е1к1р1е1т), alebo steganografiu;
nasledovný problém nie je možné vyriešiť metódou obsahovej analýzy - nenapadá ma vhodný formálny popis, preto uvediem iba príklad: existujú dva excelové súbory - v prvom sú maloobchodné ceny (verejné informácie), v druhá - veľkoobchodné ceny pre konkrétneho klienta (súkromné informácie), obsah súborov sa líši iba číslami. Tieto súbory nie je možné rozlíšiť pomocou analýzy obsahu.

Záver:
Kontextová analýza je vhodná len na vytváranie archívov návštevnosti a boj proti náhodnému úniku informácií a nerieši problém.

Systémy založené na blokovaní statických zariadení

Princíp činnosti:
Používatelia majú pridelené prístupové práva k ovládaným zariadeniam, podobne ako prístupové práva k súborom. V zásade možno takmer rovnaký efekt dosiahnuť pomocou štandardných mechanizmov Windows.

Zlock (www.securit.ru) - produkt sa objavil relatívne nedávno, takže má minimálnu funkčnosť (nepočítam kudrlinky) a nie je zvlášť dobre funkčný, napríklad pri pokuse o uloženie niekedy padá konzola na správu nastavenie.

DeviceLock (www.smartline.ru) je zaujímavejší produkt, ktorý je na trhu pomerne dlho, takže funguje oveľa stabilnejšie a má rozmanitejšie funkcie. Umožňuje napríklad tieňové kopírovanie prenášaných informácií, čo môže pomôcť pri vyšetrovaní incidentu, nie však pri jeho predchádzaní. Navyše, takéto vyšetrovanie sa s najväčšou pravdepodobnosťou uskutoční, keď sa únik dozvie, t.j. významný časový úsek po tom, ako k nemu dôjde.

InfoWatch Net Monitor (www.infowatch.ru) pozostáva z modulov - DeviceMonitor (analogicky k Zlock), FileMonitor, OfficeMonitor, AdobeMonitor a PrintMonitor. DeviceMonitor je analógom Zlocku, štandardná funkčnosť, bez hrozienok. FileMonitor - kontrola prístupu k súborom. OfficeMonitor a AdobeMonitor vám umožňujú ovládať, ako sa so súbormi zaobchádza v príslušných aplikáciách. V súčasnosti je pomerne ťažké vymyslieť užitočnú, nie hračku, aplikáciu pre FileMonitor, OfficeMonitor a AdobeMonitor, no v budúcich verziách by malo byť možné vykonávať kontextovú analýzu spracovávaných dát. Možno potom tieto moduly odhalia svoj potenciál. Aj keď stojí za zmienku, že úloha kontextovej analýzy operácií so súbormi nie je triviálna, najmä ak je základ filtrovania obsahu rovnaký ako v Monitore návštevnosti, t.j. siete.

Samostatne je potrebné povedať o ochrane agenta pred používateľom s právami lokálneho správcu.
ZLock a InfoWatch Net Monitor jednoducho takúto ochranu nemajú. Tie. používateľ môže zastaviť agenta, skopírovať údaje a znova spustiť agenta.

DeviceLock má takúto ochranu, čo je jednoznačné plus. Je založená na zachytávaní systémových volaní pre prácu s registrom, systém súborov a riadenie procesov. Ďalšou výhodou je, že ochrana funguje aj v núdzovom režime. Existuje však aj mínus - na vypnutie ochrany stačí obnoviť tabuľku deskriptorov služieb, čo je možné vykonať stiahnutím jednoduchého ovládača.

Nevýhody uvažovaných systémov založených na blokovaní statických zariadení:

Prenos informácií do siete nie je kontrolovaný.
-Nevie rozlíšiť utajované informácie od neutajovaných. Funguje na princípe, že buď je možné všetko, alebo nič nie je nemožné.
Ochrana proti vyprázdneniu agenta chýba alebo sa dá ľahko obísť.

Záver:
Nie je vhodné implementovať takéto systémy, pretože problém neriešia.

Systémy založené na dynamickom uzamykaní zariadení

Princíp činnosti:
prístup k prenosovým kanálom je zablokovaný v závislosti od úrovne prístupu používateľa a stupňa utajenia informácií, s ktorými sa pracuje. Na implementáciu tohto princípu tieto produkty využívajú autoritatívny mechanizmus kontroly prístupu. Tento mechanizmus sa nevyskytuje veľmi často, preto sa mu budem venovať podrobnejšie.

Autoritatívna (nútená) kontrola prístupu, na rozdiel od diskrečnej (implementovanej v bezpečnostnom systéme Windows NT a vyššie), spočíva v tom, že vlastník zdroja (napríklad súboru) nemôže oslabiť požiadavky na prístup k tomuto zdroju, ale môže posilňujte ich len v rámci limitov vašej úrovne. Len používateľ so špeciálnymi právomocami - správca informačnej bezpečnosti alebo správca - môže zmierniť požiadavky.

Hlavným cieľom vývoja produktov ako Guardian, Accord, SecretNet, DallasLock a niektorých ďalších bola možnosť certifikácie informačných systémov, v ktorých budú tieto produkty inštalované, aby spĺňali požiadavky Štátnej technickej komisie (dnes FSTEC). Takáto certifikácia je povinná pre informačné systémy, v ktorých sa spracúvajú vládne údaje. tajomstvo, ktoré zabezpečovalo najmä dopyt po výrobkoch zo strany štátnych podnikov.

Preto súbor funkcií implementovaných v týchto produktoch bol určený požiadavkami príslušných dokumentov. Čo následne viedlo k tomu, že väčšina funkcií implementovaných v produktoch buď duplikuje štandard Funkčnosť systému Windows(čistenie objektov po vymazaní, čistenie RAM), alebo ho používa implicitne (diskriminačná kontrola prístupu). A vývojári DallasLock zašli ešte ďalej, keď implementovali povinné riadenie prístupu pre svoj systém prostredníctvom diskrečného kontrolného mechanizmu Windows.

Praktické použitie takýchto produktov je mimoriadne nepohodlné, napríklad DallasLock vyžaduje pre inštaláciu prerozdelenie pevný disk, ktoré je potrebné vykonať aj pomocou softvéru tretích strán. Veľmi často boli po certifikácii tieto systémy odstránené alebo deaktivované.

SecrecyKeeper (www.secrecykeeper.com) je ďalší produkt, ktorý implementuje autoritatívny mechanizmus kontroly prístupu. Podľa vývojárov bol SecrecyKeeper vyvinutý špeciálne na riešenie konkrétneho problému - zabránenie krádeži informácií v komerčnej organizácii. Preto, opäť podľa vývojárov, bola pri vývoji venovaná mimoriadna pozornosť jednoduchosti a jednoduchosti používania, a to ako pre správcov systému, tak aj pre bežných používateľov. Ako sa to podarilo, musí posúdiť spotrebiteľ, t.j. nás. SecrecyKeeper navyše implementuje množstvo mechanizmov, ktoré v ostatných spomínaných systémoch absentujú – napríklad možnosť nastavenia úrovne súkromia pre zdroje so vzdialeným prístupom a mechanizmus ochrany agenta.
Kontrola pohybu informácií v SecrecyKeeper je implementovaná na základe úrovne utajenia informácií, úrovní používateľských povolení a úrovne počítačovej bezpečnosti, ktoré môžu nadobúdať hodnoty verejné, tajné a prísne tajné. Úroveň informačnej bezpečnosti vám umožňuje klasifikovať informácie spracovávané v systéme do troch kategórií:

verejné - nie tajné informácie, pri práci s nimi neexistujú žiadne obmedzenia;

tajné - tajné informácie, pri práci s nimi sa zavádzajú obmedzenia v závislosti od Úrovne povolení používateľa;

prísne tajné – prísne tajné informácie, pri práci s nimi sú zavedené obmedzenia v závislosti od úrovní oprávnení používateľa.

Úroveň informačnej bezpečnosti možno nastaviť pre súbor, sieťový disk a port počítača, na ktorom beží nejaká služba.

Úrovne povolenia používateľa vám umožňujú určiť, ako môže používateľ presúvať informácie na základe úrovne zabezpečenia. Existujú nasledujúce úrovne používateľských povolení:

Úroveň povolenia používateľa – obmedzuje maximálnu úroveň zabezpečenia informácií, ku ktorým má zamestnanec prístup;

Úroveň prístupu k sieti – obmedzuje maximálnu úroveň zabezpečenia informácií, ktoré môže zamestnanec prenášať cez sieť;

Úroveň prístupu k vymeniteľným médiám – obmedzuje maximálnu úroveň zabezpečenia informácií, ktoré môže zamestnanec skopírovať na externé médiá.

Úroveň prístupu k tlačiarni – obmedzuje maximálnu úroveň zabezpečenia informácií, ktoré môže zamestnanec vytlačiť.

Úroveň zabezpečenia počítača – určuje maximálnu úroveň zabezpečenia informácií, ktoré je možné uložiť a spracovať v počítači.

Prístup k informáciám so stupňom verejného zabezpečenia môže poskytnúť zamestnanec s akoukoľvek bezpečnostnou previerkou. Takéto informácie je možné prenášať po sieti a kopírovať na externé médiá bez obmedzení. História práce s informáciami klasifikovanými ako verejné sa nesleduje.

Prístup k informáciám s bezpečnostným stupňom tajné môžu získať len zamestnanci, ktorých úroveň preverenia je rovnaká alebo vyššia. Takéto informácie môžu do siete prenášať iba zamestnanci, ktorých úroveň prístupu k sieti je tajná alebo vyššia. Iba zamestnanci, ktorých úroveň prístupu k vymeniteľným médiám je tajná alebo vyššia, môžu kopírovať takéto informácie na externé médiá. Takéto informácie môžu tlačiť iba zamestnanci, ktorých úroveň prístupu k tlačiarni je tajná alebo vyššia. História práce s informáciami s úrovňou utajenia, t.j. zaznamenávajú sa pokusy o prístup k nemu, pokusy o jeho prenos cez sieť, pokusy o skopírovanie na externé médium alebo jeho tlač.

Prístup k informáciám so stupňom utajenia prísne tajné môžu získať len zamestnanci, ktorých stupeň preverenia sa rovná prísnemu tajnému. Iba zamestnanci, ktorých úroveň prístupu k sieti je rovná prísne tajné, môžu prenášať takéto informácie do siete. Iba zamestnanci, ktorých úroveň prístupu k vymeniteľným médiám je rovná prísne tajné, môžu kopírovať takéto informácie na externé médiá. Takéto informácie môžu tlačiť iba zamestnanci, ktorých úroveň prístupu k tlačiarni je rovná prísne tajné. História práce s informáciami s úrovňou prísne tajné, t.j. zaznamenávajú sa pokusy o prístup k nemu, pokusy o jeho prenos cez sieť, pokusy o skopírovanie na externé médium alebo jeho tlač.

Príklad: nechajte zamestnanca mať úroveň povolenia rovnajúcu sa prísne tajné, úroveň prístupu k sieti rovnajúcu sa tajnému, úroveň prístupu k vymeniteľným médiám rovnajúcu sa verejnému a úroveň prístupu tlačiarne rovnú prísne tajné; v tomto prípade môže zamestnanec získať prístup k dokumentu s akýmkoľvek stupňom utajenia, zamestnanec môže prenášať informácie do siete so stupňom utajenia nie vyšším ako tajný, kopírovať napríklad na diskety, zamestnanec môže len informácie s stupeň verejného tajomstva a zamestnanec môže vytlačiť akékoľvek informácie na tlačiarni.

Na riadenie šírenia informácií v rámci podniku má každý počítač pridelený zamestnancovi pridelenú úroveň počítačovej bezpečnosti. Táto úroveň obmedzuje maximálnu úroveň zabezpečenia informácií, ku ktorým môže mať z daného počítača prístup každý zamestnanec, bez ohľadu na úrovne preverenia zamestnanca. To. ak má zamestnanec úroveň preverenia rovnajúcu sa prísnemu tajnému, a počítač, na ktorom sa nachádza tento moment práce má úroveň zabezpečenia rovnajúcu sa verejnému, potom nebude mať zamestnanec z tejto pracovnej stanice prístup k informáciám s úrovňou zabezpečenia vyššou ako verejné.

Vyzbrojení teóriou, skúsme použiť SecrecyKeeper na vyriešenie problému. Informácie spracované v informačnom systéme posudzovaného abstraktného podniku (pozri problémové vyhlásenie) možno zjednodušene opísať pomocou nasledujúcej tabuľky:

Zamestnanci podniku a oblasť ich pracovných záujmov sú opísané pomocou druhej tabuľky:

Nechajte v podniku používať nasledujúce servery:
Server 1C
Súborový server s loptičkami:
SecretDocs – obsahuje tajné dokumenty
PublicDocs – obsahuje verejne dostupné dokumenty

Upozorňujeme, že na organizáciu štandardného riadenia prístupu sa používajú štandardné funkcie operačný systém a aplikačný softvér, t.j. aby sa napríklad manažér nedostal k osobným údajom zamestnancov, nie je potrebné zavádzať ďalšie systémy ochrany. Hovoríme konkrétne o boji proti šíreniu informácií, ku ktorým má zamestnanec legálny prístup.

Prejdime k samotnej konfigurácii SecrecyKeeper.
Nebudem popisovať proces inštalácie riadiacej konzoly a agentov, všetko je čo najjednoduchšie - pozri dokumentáciu k programu.
Nastavenie systému pozostáva z vykonania nasledujúcich krokov.

Krok 1. Nainštalujte agentov na všetky počítače okrem serverov - to im okamžite zabráni získať informácie, pre ktoré je úroveň utajenia nastavená vyššie ako verejné.

Krok 2. Priraďte úrovne preverenia zamestnancom podľa nasledujúcej tabuľky:

	Úroveň povolenia používateľa	Úroveň prístupu k sieti	Úroveň prístupu k vymeniteľným médiám	Úroveň prístupu k tlačiarni
riaditeľ	tajný	tajný	tajný	tajný
manažér	tajný	verejnosti	verejnosti	tajný
personalista	tajný	verejnosti	verejnosti	tajný
účtovník	tajný	verejnosti	tajný	tajný
sekretárka	verejnosti	verejnosti	verejnosti	verejnosti

Krok 3. Priraďte úrovne zabezpečenia počítača takto:

Krok 4. Nakonfigurujte úrovne zabezpečenia informácií na serveroch:

Krok 5. Nakonfigurujte úrovne zabezpečenia informácií na počítačoch zamestnancov pre lokálne súbory. Toto je časovo najnáročnejšia časť, pretože je potrebné jasne pochopiť, ktorí zamestnanci s akými informáciami pracujú a nakoľko sú tieto informácie kritické. Ak vaša organizácia prešla auditom informačnej bezpečnosti, jeho výsledky môžu túto úlohu výrazne uľahčiť.

Krok 6. V prípade potreby vám SecrecyKeeper umožňuje obmedziť zoznam programov, ktoré môžu používatelia spúšťať. Tento mechanizmus je implementovaný nezávisle od Windows Software Restriction Policy a možno ho použiť, ak je napríklad potrebné uvaliť obmedzenia na používateľov s právami správcu.

S pomocou SecrecyKeeper je teda možné výrazne znížiť riziko neoprávneného šírenia utajovaných skutočností – úniku aj krádeže.

nedostatky:
- ťažkosti s pôvodné nastavenieúrovne ochrany osobných údajov pre lokálne súbory;

Všeobecný záver:
maximálne možnosti ochrany informácií pred zasvätenými osobami poskytuje softvér, ktorý má schopnosť dynamicky regulovať prístup ku kanálom prenosu informácií v závislosti od stupňa utajenia informácií, s ktorými sa pracuje, a stupňa bezpečnostnej previerky zamestnanca.

Spoločnosť je jedinečná služba pre nákupcov, vývojárov, predajcov a affiliate partnerov. Navyše, toto je jedna z najlepšie internetové obchody Softvér v Rusku, na Ukrajine, v Kazachstane, ktorý zákazníkom ponúka široký sortiment, množstvo platobných metód, promptné (často okamžité) vybavenie objednávky, sledovanie priebehu objednávky v osobnej sekcii.

Problém ochrany pred internými hrozbami sa v poslednom čase stal skutočnou výzvou pre zrozumiteľný a zabehnutý svet podnikovej informačnej bezpečnosti. Tlač hovorí o zasvätených, výskumníci a analytici varujú pred možnými stratami a problémami a spravodajské kanály sú plné správ o ďalšom incidente, ktorý viedol k úniku stoviek tisíc záznamov o zákazníkoch v dôsledku chyby alebo neopatrnosti zamestnanca. Pokúsme sa zistiť, či je tento problém taký vážny, či je potrebné sa ním zaoberať a aké dostupné nástroje a technológie existujú na jeho vyriešenie.

V prvom rade stojí za to určiť, že ohrozenie dôvernosti údajov je interné, ak je jeho zdrojom zamestnanec podniku alebo iná osoba, ktorá má legálny prístup k týmto údajom. Keď teda hovoríme o vnútorných hrozbách, hovoríme o akýchkoľvek možné akcie legálnych používateľov, úmyselných alebo náhodných, čo môže viesť k úniku dôverných informácií mimo podnikovej siete podniku. Pre dokreslenie je vhodné dodať, že takíto používatelia sú často označovaní za insiderov, hoci tento výraz má aj iné významy.

Relevantnosť problému vnútorných hrozieb potvrdzujú výsledky nedávnych štúdií. Konkrétne v októbri 2008 boli oznámené výsledky spoločnej štúdie spoločností Compuware a Ponemon Institue, podľa ktorých sú insideri najčastejšou príčinou úniku dát (75 % incidentov v USA), kým hackeri boli až na piatom mieste. miesto. Vo výročnej štúdii Inštitútu počítačovej bezpečnosti (CSI) z roku 2008 sú čísla o počte incidentov s hrozbami zasvätených osôb nasledovné:

Počet incidentov v percentách znamená počet incidentov z celkového počtu respondentov tento typ k incidentu došlo v určenom percente organizácií. Ako vidno z týchto čísel, takmer každá organizácia má riziko, že bude trpieť vnútornými hrozbami. Na porovnanie, podľa tej istej správy vírusy zasiahli 50 % skúmaných organizácií a hackeri prenikli lokálna sieť stretlo sa s ním len 13 %.

teda vnútorné hrozby– toto je realita dneška a nie mýtus, ktorý vymysleli analytici a predajcovia. Takže tí, ktorí staromódnym spôsobom veria, že bezpečnosť podnikových informácií je firewall a antivírus, sa musia na problém čo najskôr pozrieť zoširoka.

Mieru napätia zvyšuje aj zákon „O osobných údajoch“, podľa ktorého sa organizácie a úradníci budú musieť zodpovedať nielen svojmu vedeniu, ale aj svojim klientom a zákonom za nesprávne nakladanie s osobnými údajmi.

Model votrelca

Tradične by sa pri zvažovaní hrozieb a obrany proti nim malo začať analýzou modelu protivníka. Ako už bolo spomenuté, budeme hovoriť o insideroch - zamestnancoch organizácie a iných používateľoch, ktorí majú legálny prístup k dôverným informáciám. Spravidla si pri týchto slovách každý predstaví zamestnanca kancelárie pracujúceho na počítači ako súčasť podnikovej siete, ktorý počas práce neopúšťa kanceláriu organizácie. Takáto reprezentácia je však neúplná. Je potrebné ho rozšíriť o ďalšie typy osôb s legálnym prístupom k informáciám, ktoré môžu opustiť kanceláriu organizácie. Môžu to byť obchodní cestujúci s notebookmi alebo pracujúci v kancelárii aj doma, kuriéri prepravujúci médiá s informáciami, predovšetkým magnetické pásky so záložnou kópiou atď.

Takáto rozšírená úvaha o modeli narušiteľa po prvé zapadá do konceptu, pretože hrozby, ktoré títo narušovatelia predstavujú, sa týkajú aj vnútorných, a po druhé, umožňuje nám analyzovať problém širšie, berúc do úvahy všetky možné možnosti bojovať proti týmto hrozbám.

Je možné rozlíšiť tieto hlavné typy vnútorných porušovateľov:

Nelojálny/neuctivý zamestnanec.Porušovatelia patriaci do tejto kategórie môžu konať účelovo, napríklad tak, že zmenia zamestnanie a chcú získať dôverné informácie, aby zaujali nového zamestnávateľa, alebo emocionálne, ak sa považovali za urazených, a tak sa chcú pomstiť. Sú nebezpeční, pretože sú najviac motivovaní spôsobiť škodu organizácii, v ktorej momentálne pracujú. Počet incidentov s nelojálnymi zamestnancami je spravidla malý, ale môže sa zvýšiť v situáciách nepriaznivých ekonomických podmienok a masívneho znižovania počtu zamestnancov.
Infiltrovaný, podplatený alebo zmanipulovaný zamestnanec.V tomto prípade hovoríme o o akýchkoľvek účelových akciách, spravidla za účelom priemyselnej špionáže v podmienkach silnej konkurencie. Aby zhromaždili dôverné informácie, buď zavedú svoju osobu do konkurenčnej spoločnosti na určité účely, alebo si nájdu menej lojálneho zamestnanca a podplatia ho, alebo prinútia lojálneho, no neopatrného zamestnanca, aby odovzdal dôverné informácie prostredníctvom sociálneho inžinierstva. Počet incidentov tohto druhu je zvyčajne ešte nižší ako tie predchádzajúce, a to z toho dôvodu, že vo väčšine segmentov hospodárstva v Ruskej federácii nie je hospodárska súťaž príliš rozvinutá alebo sa realizuje iným spôsobom.
Nedbalý zamestnanec. Tento typ porušovateľ je lojálny, ale nepozorný alebo nedbalý zamestnanec, ktorý môže porušiť zásady vnútornej bezpečnosti podniku kvôli jej nevedomosti alebo zábudlivosti. Takýto zamestnanec môže omylom poslať e-mail s citlivým súborom pripojeným nesprávnej osobe alebo si vziať domov flash disk s dôvernými informáciami, na ktorom cez víkend pracovať, a stratiť ho. Do tohto typu patria aj zamestnanci, ktorí stratia notebooky a magnetické pásky. Podľa mnohých odborníkov je tento typ insidera zodpovedný za väčšinu únikov dôverných informácií.

Motívy a následne aj postup potenciálnych porušovateľov sa teda môžu výrazne líšiť. V závislosti od toho by ste mali pristupovať k úlohe zabezpečiť vnútornú bezpečnosť organizácie.

Technológie na ochranu pred vnútornými hrozbami

Napriek relatívnej mladosti tohto segmentu trhu si klienti už teraz majú z čoho vyberať v závislosti od svojich cieľov a finančných možností. Stojí za zmienku, že teraz na trhu prakticky neexistujú predajcovia, ktorí by sa špecializovali výlučne na interné hrozby. Táto situácia vznikla nielen v dôsledku nevyspelosti tohto segmentu, ale aj v dôsledku agresívnej a niekedy až chaotickej politiky fúzií a akvizícií zo strany výrobcov tradičných bezpečnostných produktov a iných predajcov, ktorí majú záujem o pôsobenie v tomto segmente. Za pripomenutie stojí spoločnosť RSA Data Security, ktorá sa stala divíziou EMC v roku 2006, odkúpenie startupu Decru spoločnosťou NetApp, ktorý vyvinul systémy ochrany serverových úložísk a záložné kópie v roku 2005, odkúpenie dodávateľa DLP Vontu spoločnosťou Symantec v roku 2007 atď.

Napriek tomu, že veľké množstvo takýchto transakcií naznačuje dobré vyhliadky na rozvoj tohto segmentu, nie vždy prospievajú kvalite produktov, ktoré spadajú pod krídla. veľké korporácie. Produkty sa začínajú vyvíjať pomalšie a vývojári nereagujú tak rýchlo na požiadavky trhu v porovnaní s vysoko špecializovanou firmou. Ide o známu chorobu veľkých firiem, ktoré, ako vieme, na svojich menších bratov strácajú na mobilite a efektivite. Na druhej strane sa vďaka rozvoju ich servisnej a predajnej siete zlepšuje kvalita služieb a dostupnosť produktov pre zákazníkov v rôznych častiach sveta.

Pozrime sa na hlavné technológie, ktoré sa v súčasnosti používajú na neutralizáciu vnútorných hrozieb, ich výhody a nevýhody.

Kontrola dokumentov

Technológia kontroly dokumentov je zakomponovaná do moderných produktov správy práv, ako napr Microsoft Windows Služby správy práv, Adobe LiveCycle Rights Management ES a Oracle Information Rights Management.

Princípom fungovania týchto systémov je priradiť pravidlá používania pre každý dokument a riadiť tieto práva v aplikáciách, ktoré pracujú s dokumentmi tohto typu. Môžete napríklad vytvoriť dokument Microsoft Word a nastaviť preň pravidlá: kto si ho môže prezerať, kto môže upravovať a ukladať zmeny a kto môže tlačiť. Tieto pravidlá sa v podmienkach Windows RMS nazývajú licencia a sú uložené spolu so súborom. Obsah súboru je zašifrovaný, aby ho neoprávnení používatelia nemohli prezerať.

Ak sa teraz ktorýkoľvek používateľ pokúsi otvoriť takýto chránený súbor, aplikácia kontaktuje špeciálny server RMS, potvrdí povolenia používateľa a ak je povolený prístup tomuto používateľovi, server odovzdá kľúč aplikácii na dešifrovanie tohto súboru a informácií. o právach tohto užívateľa. Na základe týchto informácií aplikácia sprístupňuje používateľovi len tie funkcie, na ktoré má práva. Ak napríklad používateľ nemá povolené tlačiť súbor, funkcia tlače aplikácie nebude dostupná.

Ukazuje sa, že informácie v takomto súbore sú bezpečné aj v prípade, že sa súbor dostane mimo firemnú sieť – je zašifrovaný. Funkcionalita RMS je už zabudovaná do aplikácií Microsoft Office Profesionálne vydanie z roku 2003. Na zabudovanie funkcií RMS do aplikácií od iných vývojárov ponúka spoločnosť Microsoft špeciálnu súpravu SDK.

Systém kontroly dokumentov Adobe je postavený podobným spôsobom, ale je zameraný na dokumenty vo formáte PDF. Oracle IRM je nainštalovaný na klientskych počítačoch ako agent a integruje sa s aplikáciami za behu.

Kontrola dokumentov je dôležitou súčasťou celkovej koncepcie ochrany pred hrozbami zasvätených osôb, no treba brať do úvahy prirodzené obmedzenia tejto technológie. Po prvé, je určený výhradne na monitorovanie súborov dokumentov. Ak hovoríme o neštruktúrovaných súboroch alebo databázach, táto technológia nefunguje. Po druhé, ak útočník pomocou súpravy SDK tohto systému vytvorí jednoduchú aplikáciu, ktorá bude komunikovať so serverom RMS, dostane odtiaľ šifrovací kľúč a uloží dokument ako čistý text, a spustí túto aplikáciu v mene používateľa, ktorý má minimálnu úroveň prístupu k dokumentu tento systém bude obídená. Okrem toho je potrebné vziať do úvahy ťažkosti pri implementácii systému kontroly dokumentov, ak organizácia už vytvorila veľa dokumentov - úloha počiatočnej klasifikácie dokumentov a prideľovania práv na ich používanie si môže vyžadovať značné úsilie.

Neznamená to, že systémy na kontrolu dokumentov túto úlohu neplnia, len treba pamätať na to, že informačná bezpečnosť je komplexný problém a spravidla ho nie je možné vyriešiť len pomocou jedného nástroja.

Ochrana proti úniku

Pojem prevencia straty údajov (DLP) sa objavil v slovníku špecialistov na informačnú bezpečnosť pomerne nedávno a už sa stal bez preháňania najhorúcejšou témou posledných rokov. Skratka DLP spravidla označuje systémy, ktoré monitorujú možné únikové kanály a blokujú ich, ak dôjde k pokusu o zaslanie dôverných informácií cez tieto kanály. Navyše vo funkcii podobné systémyčasto zahŕňa schopnosť archivovať informácie, ktoré cez ne prechádzajú, pre následné audity, vyšetrovanie incidentov a retrospektívnu analýzu potenciálnych rizík.

Existujú dva typy systémov DLP: sieťové DLP a hostiteľské DLP.

Sieťové DLP fungujú na princípe sieťovej brány, ktorá filtruje všetky dáta, ktoré ňou prechádzajú. Je zrejmé, že na základe úlohy boja proti interným hrozbám spočíva hlavný záujem takéhoto filtrovania v schopnosti kontrolovať dáta prenášané mimo podnikovej siete na internet. Sieťové DLP vám umožňujú monitorovať odchádzajúcu poštu, http a ftp prevádzku, služby okamžitých správ atď. Ak sa zistia citlivé informácie, sieťové DLP môžu zablokovať prenášaný súbor. Existujú aj možnosti manuálneho spracovania podozrivých súborov. Podozrivé súbory sú umiestnené do karantény, ktorú pravidelne kontroluje bezpečnostný dôstojník a buď povolí, alebo zakáže prenos súborov. Vzhľadom na povahu protokolu je však takéto spracovanie možné len pre e-mail. Ďalšie príležitosti na audit a vyšetrovanie incidentov poskytuje archivácia všetkých informácií, ktoré prechádzajú bránou, za predpokladu, že sa tento archív pravidelne kontroluje a jeho obsah sa analyzuje s cieľom identifikovať úniky, ku ktorým došlo.

Jedným z hlavných problémov pri implementácii a implementácii systémov DLP je spôsob zisťovania dôverných informácií, teda moment rozhodovania o tom, či sú prenášané informácie dôverné, a dôvody, ktoré sa pri takomto rozhodovaní zohľadňujú. . Spravidla sa to robí analýzou obsahu prenesené dokumenty nazývaná aj obsahová analýza. Pozrime sa na hlavné prístupy k zisťovaniu dôverných informácií.

Tagy. Táto metóda je podobná vyššie uvedeným systémom kontroly dokumentov. Štítky sú vložené do dokumentov, ktoré popisujú stupeň dôvernosti informácií, čo možno s týmto dokumentom robiť a komu sa má poslať. Na základe výsledkov analýzy tagov systém DLP rozhodne, či je to možné tento dokument poslať von alebo nie. Niektoré systémy DLP sú pôvodne kompatibilné so systémami správy práv, aby mohli používať štítky, ktoré tieto systémy inštalujú, iné systémy používajú svoj vlastný formát štítkov.
Podpisy. Táto metóda pozostáva zo špecifikovania jednej alebo viacerých sekvencií znakov, ktorých prítomnosť v texte prenášaného súboru by mala systému DLP povedať, že tento súbor obsahuje dôverné informácie. Veľký počet podpisov je možné usporiadať do slovníkov.
Bayesova metóda. Táto metóda, používaná na boj proti spamu, sa dá úspešne použiť aj v systémoch DLP. Na použitie tejto metódy sa vytvorí zoznam kategórií a uvedie sa zoznam slov s pravdepodobnosťou, že ak sa slovo vyskytuje v súbore, súbor s danou pravdepodobnosťou patrí alebo nepatrí do špecifikovanej kategórie.
Morfologická analýza.Metóda morfologickej analýzy je podobná ako pri podpise, rozdiel je v tom, že sa neanalyzuje 100% zhoda s podpisom, ale zohľadňujú sa aj podobné koreňové slová.
Digitálne výtlačky.Podstatou tejto metódy je, že hašovacia funkcia je vypočítaná pre všetky dôverné dokumenty tak, že ak sa dokument mierne zmení, hašovacia funkcia zostane rovnaká alebo sa aj mierne zmení. Proces odhaľovania dôverných dokumentov je teda značne zjednodušený. Napriek nadšeným chválam tejto technológie od mnohých dodávateľov a niektorých analytikov jej spoľahlivosť zanecháva veľa požiadaviek a vzhľadom na skutočnosť, že predajcovia pod rôznymi zámienkami radšej nechávajú detaily implementácie algoritmu digitálnych odtlačkov prstov v tieni, dôverujte v ňom nezvyšuje.
Regulárne výrazy.Známy každému, kto sa zaoberal programovaním, regulárne výrazy zjednodušiť vyhľadávanie údajov šablóny v texte, ako sú telefónne čísla, informácie o pasoch, čísla bankových účtov, čísla sociálneho poistenia atď.

Z vyššie uvedeného zoznamu je ľahké vidieť, že metódy detekcie buď nezaručujú 100% identifikáciu dôverných informácií, pretože úroveň chýb prvého aj druhého typu je v nich dosť vysoká, alebo vyžadujú neustálu ostražitosť bezpečnostnej služby, aby aktualizovať a udržiavať aktuálny zoznam podpisov alebo priradených štítkov pre dôverné dokumenty.

Okrem toho môže šifrovanie prevádzky spôsobiť určitý problém pri prevádzke sieťového DLP. Ak bezpečnostné požiadavky vyžadujú, aby ste pri pripájaní k akýmkoľvek webovým zdrojom šifrovali e-mailové správy alebo používali SSL, problém určenia prítomnosti dôverných informácií v prenášaných súboroch môže byť veľmi ťažké vyriešiť. Nezabudnite, že niektoré služby okamžitých správ, ako napríklad Skype, majú štandardne zabudované šifrovanie. Budete musieť odmietnuť používanie takýchto služieb alebo používať hostiteľské DLP na ich ovládanie.

Avšak napriek všetkým ťažkostiam, keď správne nastavenie Ak sa to berie vážne, sieťové DLP môže výrazne znížiť riziko úniku dôverných informácií a poskytnúť organizácii pohodlný prostriedok vnútornej kontroly.

Hostiteľ DLP sú nainštalované na každom hostiteľovi v sieti (na klientskych pracovných staniciach av prípade potreby aj na serveroch) a možno ich použiť aj na riadenie internetovej prevádzky. Avšak hostiteľské DLP sú v tejto kapacite menej rozšírené a v súčasnosti sa používajú hlavne na kontrolu externých zariadení a tlačiarní. Ako viete, zamestnanec, ktorý si do práce prinesie flash disk alebo MP3 prehrávač, predstavuje oveľa väčšiu hrozbu pre informačnú bezpečnosť podniku ako všetci hackeri dohromady. Tieto systémy sa tiež nazývajú nástroje zabezpečenia koncových bodov siete ( zabezpečenie koncového bodu), aj keď sa tento termín často používa širšie, napríklad antivírusové produkty sa tak niekedy nazývajú.

Ako viete, problém s používaním externých zariadení možno vyriešiť bez použitia akýchkoľvek prostriedkov fyzickým deaktivovaním portov alebo použitím operačného systému, prípadne administratívne zákazom nosenia akýchkoľvek pamäťových médií zamestnancom do kancelárie. Vo väčšine prípadov je však „lacný a veselý“ prístup neprijateľný, pretože nie je zabezpečená požadovaná flexibilita informačných služieb, ktorú si obchodné procesy vyžadujú.

Z tohto dôvodu vznikol určitý dopyt špeciálne prostriedky, pomocou ktorej môžete flexibilnejšie riešiť problém používania externých zariadení a tlačiarní zamestnancami spoločnosti. Takéto nástroje vám umožňujú konfigurovať prístupové práva pre používateľov rôzne druhy zariadenia, napríklad pre jednu skupinu používateľov zakázať prácu s médiami a umožniť im pracovať s tlačiarňami a pre druhú - umožniť prácu s médiami v režime len na čítanie. Ak je potrebné zaznamenať informácie o externých zariadeniach pre jednotlivých používateľov, je možné použiť technológiu tieňovej kópie, ktorá zabezpečí, že všetky informácie uložené na externom zariadení sa skopírujú na server. Skopírované informácie je možné následne analyzovať a analyzovať akcie používateľov. Táto technológia kopíruje všetko a v súčasnosti neexistujú žiadne systémy, ktoré umožňujú analýzu obsahu uložených súborov s cieľom zablokovať operáciu a zabrániť úniku, ako to robia sieťové DLP. Archív tieňových kópií však poskytne vyšetrovanie incidentov a retrospektívnu analýzu udalostí na sieti a prítomnosť takéhoto archívu znamená, že potenciálny insider môže byť chytený a potrestaný za svoje činy. To sa môže pre neho ukázať ako významná prekážka a významný dôvod na zanechanie nepriateľských akcií.

Za zmienku stojí aj kontrola používania tlačiarní – zdrojom úniku sa môžu stať aj papierové kópie dokumentov. Hostiteľské DLP vám umožňuje riadiť prístup používateľov k tlačiarňam rovnakým spôsobom ako iné externé zariadenia a ukladať kópie vytlačených dokumentov do grafický formát pre následnú analýzu. Navyše sa trochu rozšírila technológia vodoznakov, ktorá na každú stranu dokumentu vytlačí jedinečný kód, pomocou ktorého sa dá presne určiť, kto, kedy a kde tento dokument vytlačil.

Napriek nepochybným výhodám hostiteľského DLP majú množstvo nevýhod spojených s potrebou inštalovať softvér agenta na každý počítač, ktorý sa má monitorovať. Po prvé, toto môže spôsobiť určité ťažkosti, pokiaľ ide o nasadenie a správu takýchto systémov. Po druhé, používateľ s oprávneniami správcu sa môže pokúsiť zakázať tento softvér, aby vykonal akcie, ktoré nie sú povolené bezpečnostnou politikou.

Pre spoľahlivé ovládanie externých zariadení je však hostiteľská DLP nevyhnutná a spomínané problémy nie sú neriešiteľné. Môžeme teda skonštatovať, že koncept DLP je dnes plnohodnotným nástrojom v arzenáli firemných bezpečnostných služieb pri neustále sa zvyšujúcom tlaku na ne zabezpečenie vnútornej kontroly a ochrany pred únikmi.

IPC koncept

V procese vynájdenia nových prostriedkov na boj proti vnútorným hrozbám sa vedecké a inžinierske myslenie modernej spoločnosti nezastaví a berúc do úvahy určité nedostatky prostriedkov, o ktorých sa hovorilo vyššie, trh so systémami na ochranu pred únikom informácií sa dostal na trh. koncepcia IPC (Information Protection and Control). Tento výraz sa objavil relatívne nedávno; predpokladá sa, že bol prvýkrát použitý v recenzii analytickej spoločnosti IDC v roku 2007.

Podstatou tohto konceptu je spojenie metód DLP a šifrovania. V tomto koncepte pomocou DLP sú informácie opúšťajúce podnikovú sieť riadené cez technické kanály a šifrovanie sa používa na ochranu pamäťových médií, ktoré sa fyzicky dostanú alebo môžu dostať do rúk neoprávnených osôb.

Pozrime sa na najbežnejšie šifrovacie technológie, ktoré je možné použiť v koncepte IPC.

Šifrovanie magnetických pások.Napriek archaickej povahe tohto typu médií sa naďalej aktívne používa Rezervovať kópiu a na prenos veľkých objemov informácií, pretože stále nemá rovnakú cenu, pokiaľ ide o jednotkovú cenu uloženého megabajtu. V súlade s tým úniky pások naďalej potešujú redaktorov newswire, ktorí ich umiestnili na titulnú stranu, a frustrujú CIO a bezpečnostné tímy podnikov, ktoré sa stávajú hrdinami takýchto správ. Situáciu zhoršuje skutočnosť, že takéto pásky obsahujú veľmi veľké množstvo údajov, a preto sa veľké množstvo ľudí môže stať obeťami podvodníkov.
Šifrovanie serverových úložísk.Napriek tomu, že serverové úložisko sa prenáša veľmi zriedkavo a riziko jeho straty je neporovnateľne nižšie ako pri magnetickej páske, samostatný HDD zo skladu sa môžu dostať do rúk zločincov. Oprava, likvidácia, modernizácia - tieto udalosti sa vyskytujú s dostatočnou pravidelnosťou na odpísanie tohto rizika. A situácia vstupu neoprávnených osôb do kancelárie nie je úplne nemožná udalosť.

Tu stojí za to urobiť malú odbočku a spomenúť bežnú mylnú predstavu, že ak je disk súčasťou poľa RAID, potom sa údajne nemusíte obávať, že sa dostane do nesprávnych rúk. Zdalo by sa, že striedanie zaznamenaných údajov do niekoľkých pevné disky, ktorý vykonávajú radiče RAID, poskytuje nečitateľný vzhľad údajov, ktoré sa nachádzajú na akomkoľvek pevnom type. Žiaľ, nie je to celkom pravda. Prekladanie sa vyskytuje, ale vo väčšine moderných zariadení sa vykonáva na úrovni 512-bajtového bloku. To znamená, že aj napriek porušeniu štruktúry a formátov súborov je možné z takéhoto pevného disku získať dôverné informácie. Preto, ak existuje požiadavka na zabezpečenie dôvernosti informácií pri ukladaní do poľa RAID, šifrovanie zostáva jedinou spoľahlivou možnosťou.

Šifrovanie notebookov.To už bolo povedané nespočetne veľakrát, no napriek tomu strata notebookov s dôvernými informáciami už dlhé roky nepatrí do prvej päťky hitparády incidentov.
Šifrovanie vymeniteľných médií.V tomto prípade hovoríme o prenosných zariadeniach USB a niekedy aj o zapisovateľných diskoch CD a DVD, ak sa používajú v obchodných procesoch podniku. Takéto systémy, ako aj vyššie uvedené systémy šifrovania pevných diskov prenosných počítačov, môžu často fungovať ako súčasti hostiteľských systémov DLP. V tomto prípade hovoria o akomsi kryptografickom perimetri, ktorý zabezpečuje automatické transparentné šifrovanie médií vo vnútri, a nemožnosti dešifrovať dáta mimo neho.

Šifrovanie teda môže výrazne rozšíriť možnosti systémov DLP a znížiť riziko úniku dôverných údajov. Napriek tomu, že koncept IPC sa formoval pomerne nedávno a výber komplexných IPC riešení na trhu nie je príliš široký, priemysel túto oblasť aktívne skúma a je dosť možné, že po určitom čase sa tento koncept stane faktický štandard pre riešenie problémov vnútornej bezpečnosti a vnútornej bezpečnosti.kontrola.

závery

Ako vyplýva z tohto prehľadu, vnútorné hrozby sú celkom novou oblasťou informačnej bezpečnosti, ktorá sa však aktívne rozvíja a vyžaduje si zvýšenú pozornosť. Uvažované technológie kontroly dokumentov, DLP a IPC umožňujú vybudovať pomerne spoľahlivý systém vnútornej kontroly a znížiť riziko úniku na prijateľnú úroveň. Bezpochyby sa táto oblasť informačnej bezpečnosti bude naďalej rozvíjať, budú ponúkané novšie a pokročilejšie technológie, ale dnes sa mnohé organizácie rozhodujú pre jedno alebo druhé riešenie, pretože nedbanlivosť v otázkach informačnej bezpečnosti môže byť príliš drahá.

Alexej Raevskij
CEO spoločnosti SecurIT

Populárne v kategórii: