Domov › Problémy › Softvér na ochranu osôb vo formáte pdf. Ochrana pred zasvätenými osobami pomocou systému Zlock. Systémy založené na statickom blokovaní zariadení

Softvér na ochranu osôb vo formáte pdf. Ochrana pred zasvätenými osobami pomocou systému Zlock. Systémy založené na statickom blokovaní zariadení

"Konzultant", 2011, N 9

„Ten, kto vlastní informácie, vlastní svet“ – tento slávny aforizmus Winstona Churchilla je v modernej spoločnosti relevantnejší než kedykoľvek predtým. Vedomosti, nápady a technológie sa dostávajú do popredia a vedúce postavenie na trhu závisí od toho, ako dobre spoločnosť dokáže riadiť svoj intelektuálny kapitál.

Za týchto podmienok je informačná bezpečnosť organizácie mimoriadne dôležitá.

Akýkoľvek únik informácií ku konkurencii alebo zverejnenie informácií o interných procesoch okamžite ovplyvňuje pozície, ktoré firma na trhu zastáva.

systém informačná bezpečnosť by mala poskytovať ochranu pred rôznymi hrozbami: technickými, organizačnými a tými, ktoré spôsobuje ľudský faktor.

Ako ukazuje prax, insideri sú hlavným kanálom úniku informácií.

Nepriateľ vzadu

Je zvykom označovať insidera za zamestnanca firmy, ktorý prezrádzaním dôverných informácií poškodzuje firmu.

Ak však vezmeme do úvahy tri hlavné podmienky, ktorých zabezpečenie je cieľom informačnej bezpečnosti – dôvernosť, integrita, dostupnosť – možno túto definíciu rozšíriť.

Insiderom môže byť zamestnanec, ktorý má legitímny oficiálny prístup k dôverným informáciám spoločnosti, čo sa stáva príčinou prezradenia, skreslenia, poškodenia alebo neprístupnosti informácií.

Toto zovšeobecnenie platí, pretože modernom svete porušenie integrity a dostupnosti informácií má často za následok oveľa vážnejšie dôsledky pre podnikanie ako zverejnenie dôverných informácií.

Mnohým podnikom hrozia aj krátkodobé odstávky obchodných procesov značné finančné straty a narušenie fungovania v priebehu niekoľkých dní môže zasiahnuť natoľko, že následky môžu byť fatálne.

Rôzne organizácie, ktoré skúmajú podnikateľské riziká, pravidelne zverejňujú svoje výsledky výskumu. Podľa nich sú dôverné informácie už dlhé roky stabilne na prvom mieste v zozname príčin narušenia informačnej bezpečnosti.

Vzhľadom na neustály rast celkového počtu incidentov možno konštatovať, že naliehavosť problému sa neustále zvyšuje.

Model ohrozenia

Na vybudovanie spoľahlivého vrstveného systému informačnej bezpečnosti, ktorý pomôže efektívne riešiť problém, je potrebné v prvom rade vytvoriť model hrozby.

Je potrebné pochopiť, kto sú zasvätení a čo ich vedie, prečo vykonávajú určité akcie.

Existujú rôzne prístupy k vytváraniu takýchto modelov, ale na praktické účely môžete použiť nasledujúcu klasifikáciu, ktorá zahŕňa všetky hlavné typy zasvätených.

Interný "hacker"

Takýto zamestnanec má spravidla nadpriemernú inžiniersku kvalifikáciu, rozumie organizácii podnikových zdrojov, architektúre počítačových systémov a sietí.

Hackerské akcie vykonáva zo zvedavosti, športového záujmu, skúmania hraníc vlastných možností.

Zvyčajne si je vedomý možnej škody zo svojich činov, takže len zriedka prináša hmatateľné škody.

Stupeň nebezpečenstva je stredný, pretože jeho konanie môže spôsobiť dočasné zastavenie niektorých procesov prebiehajúcich v spoločnosti. Identifikácia činnosti je možná predovšetkým technickými prostriedkami.

Nezodpovedný a nekvalifikovaný zamestnanec

Môže mať rôzne zručnosti a pracovať v akomkoľvek oddelení podniku.

Nebezpečná je tým, že väčšinou nepremýšľa o dôsledkoch svojich činov, dokáže pracovať s informačnými zdrojmi firmy „pokus-omyl“, neúmyselne ničiť a skresľovať informácie.

Zvyčajne si nepamätá postupnosť svojich činov, a keď zistí negatívne dôsledky, môže o nich jednoducho mlčať.

Môže odhaliť obchodné tajomstvá v osobnom rozhovore s priateľom alebo dokonca na online fórach a v sociálnych sieťach.

Stupeň nebezpečenstva je veľmi vysoký, najmä ak vezmeme do úvahy, že tento typ votrelca je bežnejší ako ostatné. Následky jeho aktivít môžu byť oveľa závažnejšie ako následky vedomého útočníka.

Aby sa predišlo následkom jeho konania, je potrebné prijať celý rad rôznych opatrení, či už technických (oprávnenie, povinné rozdelenie pracovných stretnutí na účty), ako aj organizačných (neustála manažérska kontrola nad procesom a výsledkom práce) .

Psychicky labilný človek

Rovnako ako zástupca predchádzajúceho typu môže pracovať na akejkoľvek pozícii a má veľmi rozdielnu kvalifikáciu. Je to nebezpečné kvôli tendencii konať slabo motivovane v podmienkach psychického nepohodlia: v extrémnych situáciách, psychologický tlak zo strany iných zamestnancov alebo jednoducho silné podráždenie.

V afektívnom stave môže poskytnúť dôverné informácie, poškodiť údaje, narušiť obvyklý priebeh práce iných ľudí.

Stupeň nebezpečenstva je stredný, ale tento typ votrelca nie je taký bežný.

Aby sa predišlo negatívnym dôsledkom jeho konania, je najefektívnejšie použiť administratívne opatrenia - identifikovať takýchto ľudí v štádiu rozhovoru, diferencovať prístup k informáciám a udržiavať v tíme príjemnú psychologickú klímu.

Urazený, urazený zamestnanec

Najširšia skupina potenciálnych porušovateľov režimu informačnej bezpečnosti.

Teoreticky je veľká väčšina zamestnancov schopná páchať činy nepriateľské voči spoločnosti.

To sa môže stať, ak vedenie prejaví neúctu k osobnosti zamestnanca alebo k jeho odborným kvalitám, a keď to ovplyvní výšku odmeňovania.

Potenciálne predstavuje tento typ dôverníka veľmi vysoké nebezpečenstvo – sú možné úniky aj poškodenie informácií a ujma z nich bude zaručene hmatateľná pre podnik, pretože zamestnanec ho spôsobí úmyselne a dobre pozná všetky zraniteľné miesta.

Na odhaľovanie činností sú potrebné administratívne aj technické opatrenia.

Nepoctivý zamestnanec

Zamestnanec, ktorý sa snaží doplniť svoje osobné bohatstvo z majetku spoločnosti, pre ktorú pracuje. Medzi priradenými vecami môžu byť rôzne nosiče dôverných informácií (pevné disky, flash disky, firemné notebooky).

V tomto prípade hrozí, že sa informácia dostane k ľuďom, pre ktorých nebola určená, s následným zverejnením alebo postúpením ku konkurencii.

Nebezpečenstvo je stredné, ale tento typ nie je nezvyčajný.

V prvom rade sú potrebné administratívne opatrenia na ich identifikáciu.

Zástupca súťažiaceho

Spravidla je vysoko kvalifikovaný, zastáva funkcie, ktoré poskytujú dostatok príležitostí na získanie informácií, vrátane dôverných informácií. Ide buď o aktívneho zamestnanca naverbovaného konkurenciou (častejšie), alebo o insidera špeciálne zavedeného do spoločnosti.

Stupeň nebezpečenstva je veľmi vysoký, pretože škoda je spôsobená úmyselne a s hlbokým pochopením hodnoty informácií, ako aj zraniteľnosti spoločnosti.

Na identifikáciu činností sú potrebné administratívne aj technické opatrenia.

Čo kradneme?

Pochopenie vnútorného problému je nemožné bez zohľadnenia povahy ukradnutých informácií.

Podľa štatistík sú najžiadanejšie osobné údaje klientov, ale aj informácie o klientskych spoločnostiach a partneroch, kradnú sa vo viac ako polovici prípadov. Ďalšie podrobnosti o transakciách, zmluvných podmienkach a dodávkach sú uvedené nižšie. Veľkému záujmu sa tešia aj finančné správy.

Pri zostavovaní súboru ochranných opatrení sa pre každú spoločnosť nevyhnutne vynára otázka: aké konkrétne informácie si vyžadujú osobitné ochranné opatrenia a ktoré ich nepotrebujú?

Samozrejme, základom pre takéto rozhodnutia sú údaje získané ako výsledok analýzy rizík. Podnik má však často obmedzené finančné zdroje, ktoré možno minúť na systém informačnej bezpečnosti, a nemusia stačiť na minimalizáciu všetkých rizík.

Dva prístupy

Žiaľ, neexistuje hotová odpoveď na otázku: "Čo chrániť predovšetkým."

K tomuto problému sa dá pristupovať z dvoch strán.

Riziko je komplexný ukazovateľ, ktorý zohľadňuje tak pravdepodobnosť konkrétnej hrozby, ako aj možné škody z nej. Preto sa pri uprednostňovaní bezpečnosti môžete zamerať na jeden z týchto ukazovateľov. To znamená, že v prvom rade sú chránené informácie, ktoré je najjednoduchšie ukradnúť (napríklad ak k nim má prístup veľký počet zamestnancov), ktorých krádež alebo zablokovanie bude mať najvážnejšie následky.

Dôležitým aspektom vnútorného problému je kanál prenosu informácií. Čím viac fyzických príležitostí na neoprávnený prenos informácií mimo spoločnosti, tým vyššia je pravdepodobnosť, že sa tak stane.

Prenosové mechanizmy

Prenosové mechanizmy možno klasifikovať takto:

ústny prenos (osobný rozhovor);
kanály na prenos technických údajov ( telefonickú komunikáciu, faxová komunikácia, e-mail, systémy zasielania správ, rôzne sociálne internetové služby atď.);
prenosné médiá a mobilné zariadenia (Mobilné telefóny, externé pevné disky, notebooky, flash disky atď.).

Podľa výskumu sú v súčasnosti najčastejšími kanálmi na prenos dôverných údajov (v zostupnom poradí): e-mail, mobilné zariadenia (vrátane notebookov), sociálne siete a iné internetové služby (napríklad systémy okamžitých správ) atď. .

Na ovládanie technických kanálov možno využiť rôzne prostriedky, ktoré sú dnes na trhu s bezpečnosťou v širokom spektre.

Napríklad, systémy filtrovania obsahu (dynamické blokovacie systémy), prostriedky na obmedzenie prístupu k informačným médiám (CD, DVD, Bluetooth).

Uplatňujú sa aj administratívne opatrenia: filtrovanie internetovej prevádzky, blokovanie fyzických portov pracovných staníc, zabezpečenie administratívneho režimu a fyzickej ochrany.

Pri výbere technické prostriedky Ochrana dôverných informácií si vyžaduje systematický prístup. Len tak je možné dosiahnuť najväčšiu efektivitu z ich realizácie.

Musíte tiež pochopiť, že výzvy, ktorým čelí každá spoločnosť, sú jedinečné a často je jednoducho nemožné použiť riešenia používané inými organizáciami.

Boj proti dôverným informáciám by sa nemal vykonávať samostatne, je dôležitou súčasťou celkového obchodného procesu zameraného na zabezpečenie režimu informačnej bezpečnosti.

Mali by ho vykonávať odborníci a zahŕňať celý cyklus činností: vypracovanie politiky informačnej bezpečnosti, definovanie rozsahu, analýzu rizík, výber protiopatrení a ich implementáciu, ako aj audit systému informačnej bezpečnosti. .

Ak podnik nezabezpečí režim informačnej bezpečnosti pre celý komplex, potom sa dramaticky zvýšia riziká finančných strát z únikov a korupcie informácií.

Minimalizácia rizika

Vyšetrenie

Dôkladná kontrola uchádzačov, ktorí sa uchádzajú o akékoľvek pozície v spoločnosti. Odporúča sa zhromaždiť čo najviac informácií o kandidátovi, vrátane obsahu jeho stránok na sociálnych sieťach. Pomôcť môže aj žiadosť o referenciu na predchádzajúce zamestnanie.
Kandidáti na pozície IT inžinierov by mali byť podrobení obzvlášť dôkladnej kontrole. Prax ukazuje, že viac ako polovica všetkých zasvätených - správcov systému a programátorov.
Pri prijímaní do zamestnania by sa mal vykonať aspoň minimálny psychologický test kandidátov. Pomôže identifikovať uchádzačov s labilnou psychikou.

Prístupové právo

Systém zdieľania prístupu podnikových zdrojov. Podnik by mal vytvoriť regulačnú dokumentáciu, ktorá zoradí informácie podľa úrovne dôvernosti a jasne definuje práva na prístup k nim. Prístup k akýmkoľvek zdrojom musí byť prispôsobený.
Prístupové práva k zdrojom by sa mali prideľovať podľa zásady „minimálnej dostatočnosti“. Prístup k údržbe technických zariadení, aj keď s právami správcu, nemusí byť vždy sprevádzaný prístupom na prezeranie samotných informácií.
V rámci možností hĺbkové sledovanie užívateľských akcií s povinnou autorizáciou a zaznamenávaním informácií o vykonaných operáciách do logu. Čím starostlivejšie sa denníky (logy) vedú, tým viac manažment kontroluje situáciu vo firme. To isté platí pre konanie zamestnanca pri využívaní prístupu k internetu.

Komunikačný štandard

V rámci organizácie by mal byť prijatý vlastný štandard komunikácie, ktorý by vylúčil všetky formy nekorektného správania zamestnancov voči sebe navzájom (agresivita, násilie, prílišná familiárnosť). V prvom rade to platí pre vzťah „vedúci – podriadený“.

Zamestnanec by v žiadnom prípade nemal mať pocit, že sa s ním zaobchádza nespravodlivo, že nie je dostatočne ohodnotený, že je nadmerne vykorisťovaný, že je klamaný.

Dodržiavanie tohto jednoduchého pravidla vám umožní vyhnúť sa veľkej väčšine situácií, ktoré provokujú zamestnancov k zasväteným poznatkom.

Dôvernosť

Dohoda o mlčanlivosti by nemala byť len formalitou. Musia ho podpísať všetci zamestnanci, ktorí majú prístup k dôležitým informačné zdroje spoločnosti.

Navyše, už vo fáze pohovoru je potrebné potenciálnym zamestnancom vysvetliť, ako spoločnosť kontroluje informačnú bezpečnosť.

Kontrola fondov

Predstavuje kontrolu technických prostriedkov používaných zamestnancom na pracovné účely.

Napríklad, používanie osobného notebooku je nežiaduce, pretože keď zamestnanec odíde, s najväčšou pravdepodobnosťou nebude možné zistiť, aké informácie sú na ňom uložené.

Z rovnakého dôvodu je použitie krabičiek nežiaduce. Email o externých zdrojoch.

vnútorný poriadok

Spoločnosť musí dodržiavať interné predpisy.

Je potrebné mať informácie o čase strávenom zamestnancami na pracovisku.

Taktiež by mala byť zabezpečená kontrola nad pohybom hmotného majetku.

Dodržiavanie všetkých týchto pravidiel zníži riziko poškodenia alebo úniku informácií prostredníctvom dôverných informácií, čo znamená, že pomôže predchádzať značným finančným stratám alebo stratám dobrej povesti.

Riadiaci partner

Hosting Spoločenstva skupiny spoločností

Dnes existujú dva hlavné kanály na únik dôverných informácií: zariadenia pripojené k počítaču (všetky druhy vymeniteľných jednotiek vrátane flash diskov, jednotiek CD / DVD atď., tlačiarne) a internet (e-mail, ICQ, sociálne siete). , atď.) d.). A preto, keď firma „dozrieva“ na zavedenie systému ochrany proti nim, je vhodné pristupovať k tomuto riešeniu komplexne. Problém je v tom, že na prekrytie rôznych kanálov sa používajú rôzne prístupy. V jednom prípade najviac efektívnym spôsobom ochrana bude kontrolovať používanie vymeniteľných jednotiek av druhej - rôzne možnosti filtrovania obsahu, čo vám umožňuje zablokovať prenos dôverných údajov do externej siete. A tak musia firmy na ochranu pred insidermi využívať dva produkty, ktoré spolu tvoria ucelený bezpečnostný systém. Prirodzene, je vhodnejšie použiť nástroje jedného vývojára. V tomto prípade je uľahčený proces ich implementácie, správy a školenia zamestnancov. Príkladom sú produkty SecurIT: Zlock a Zgate.

Zlock: ochrana proti úniku cez vymeniteľné jednotky

Program Zlock je na trhu už dlho. A my už. V zásade nemá zmysel opakovať sa. Od zverejnenia článku však vyšli dve nové verzie Zlocku, ktoré majú množstvo dôležitých funkcií. Stojí za to hovoriť o nich, aj keď veľmi stručne.

V prvom rade stojí za zmienku možnosť priradiť počítaču niekoľko politík, ktoré sa nezávisle aplikujú v závislosti od toho, či je počítač pripojený k firemná sieť priamo, cez VPN alebo funguje offline. To umožňuje najmä automatické blokovanie USB portov a CD/DVD mechanik pri odpojení PC od lokálnej siete. Vo všeobecnosti danú funkciu zvyšuje bezpečnosť informácií uložených na notebookoch, ktoré si zamestnanci môžu vziať z kancelárie na cesty alebo do práce doma.

Po druhé nová príležitosť- poskytovanie dočasného prístupu k uzamknutým zariadeniam alebo dokonca skupinám zariadení cez telefón zamestnancom spoločnosti. Princípom jeho fungovania je výmena generovaná programom tajné kódy medzi používateľom a osobou zodpovednou za informačnú bezpečnosť. Je pozoruhodné, že povolenie na použitie môže byť vydané nielen trvalé, ale aj dočasné (na určitý čas alebo do konca relácie). Tento nástroj možno považovať za určitú úľavu v bezpečnostnom systéme, ale umožňuje zvýšiť schopnosť IT oddelenia reagovať na obchodné požiadavky.

Ďalšou dôležitou inováciou v nových verziách Zlock je kontrola používania tlačiarní. Po nastavení bude systém ochrany zaznamenávať všetky požiadavky používateľov na tlačové zariadenia do špeciálneho denníka. Ale to nie je všetko. Zlock má tieňovú kópiu všetkých tlačených dokumentov. Sú zaznamenané v vo formáte PDF a sú úplnou kópiou vytlačených strán bez ohľadu na to, ktorý súbor bol odoslaný do tlačiarne. Tým sa zabráni úniku dôverných informácií na papierových hárkoch, keď zasvätený pracovník vytlačí údaje, aby ich odniesol z kancelárie. Aj v systéme ochrany sa objavilo tieňové kopírovanie informácií zaznamenaných na CD / DVD diskoch.

Dôležitou inováciou bol vznik serverového komponentu Zlock Enterprise Management Server. Poskytuje centralizované ukladanie a distribúciu bezpečnostných politík a iných nastavení programu a výrazne uľahčuje správu Zlocku vo veľkých a distribuovaných informačných systémoch. Nemožno nespomenúť ani vznik vlastného autentifikačného systému, ktorý v prípade potreby umožňuje odmietnuť používanie doménových a lokálnych používateľov Windows.

Okrem toho v Najnovšia verzia Zlock má niekoľko menej nápadných, ale aj dosť dôležitých funkcií: kontrola integrity klientskeho modulu so schopnosťou zablokovať prihlásenie používateľa pri detekcii prienikov, pokročilé možnosti implementácie bezpečnostného systému, podpora Oracle DBMS atď.

Zgate: Internet Leak Protection

Takže Zgate. Ako sme už povedali, tento produkt je systémom na ochranu pred únikom dôverných informácií cez internet. Štrukturálne sa Zgate skladá z troch častí. Hlavným komponentom je serverový komponent, ktorý vykonáva všetky operácie spracovania údajov. Môže byť nainštalovaný na samostatnom počítači aj na tých, ktorí už pracujú v spoločnosti informačný systém hosts - Internetová brána, radič domény, poštová brána atď. Tento modul sa zase skladá z troch komponentov: na riadenie SMTP prevádzky, riadenie internej pošty servera Microsoft Exchange 2007/2010 a Zgate Web (zodpovedá za kontrolu prenosu HTTP, FTP a IM).

Druhou časťou systému ochrany je logovací server. Používa sa na zhromažďovanie informácií o udalostiach z jedného alebo viacerých serverov Zgate, ich spracovanie a ukladanie. Tento modul je užitočný najmä vo veľkých a geograficky distribuovaných podnikové systémy, pretože poskytuje centralizovaný prístup ku všetkým údajom. Treťou časťou je riadiaca konzola. Používa štandardnú konzolu pre produkty SecurIT, a preto sa jej nebudeme podrobne venovať. Poznamenávame len, že pomocou tohto modulu môžete spravovať systém nielen lokálne, ale aj vzdialene.

Riadiaca konzola

Systém Zgate môže fungovať v niekoľkých režimoch. Navyše ich dostupnosť závisí od spôsobu implementácie produktu. Prvé dva režimy zahŕňajú prácu ako poštový proxy server. Na ich implementáciu sa systém inštaluje medzi firemný poštový server a „vonkajší svet“ (alebo medzi poštový server a odosielajúci server, ak sú oddelené). V tomto prípade môže Zgate buď filtrovať prevádzku (zadržiavať správy porušujúce autorské práva a sporné správy), alebo ju iba zaprotokolovať (preskočiť všetky správy, ale ponechať ich v archíve).

Druhý spôsob implementácie zahŕňa použitie ochranného systému v spojení s Microsoft Exchange 2007 alebo 2010. Aby ste to dosiahli, musíte nainštalovať Zgate priamo na podnikové poštový server. V tomto prípade sú k dispozícii aj dva režimy: filtrovanie a protokolovanie. Okrem toho existuje ďalšia možnosť implementácie. Hovoríme o protokolovaní správ v režime zrkadlenej prevádzky. Prirodzene, aby ste ho mohli používať, je potrebné zabezpečiť, aby počítač, na ktorom je nainštalovaný Zgate, prijímal túto veľmi zrkadlenú prevádzku (zvyčajne sa to robí pomocou sieťového zariadenia).

Výber prevádzkového režimu Zgate

Komponent Zgate Web si zaslúži samostatný príbeh. Inštaluje sa priamo na firemnú internetovú bránu. Zároveň tento subsystém získava schopnosť riadiť HTTP, FTP a IM prevádzku, teda spracovávať ju za účelom detekcie pokusov o odosielanie dôverných informácií cez webové mailové rozhrania a ICQ, ich publikovanie na fórach, FTP serveroch, a sociálne siete atď. Mimochodom, o "ICQ". Funkcia blokovania IM-messengerov je v mnohých podobných produktoch. Nie je to však práve „ICQ“. Jednoducho preto, že práve v rusky hovoriacich krajinách sa najviac rozšíril.

Princíp fungovania komponentu Zgate Web je pomerne jednoduchý. Pri každom odoslaní informácie ktorejkoľvek z riadených služieb systém vygeneruje špeciálnu správu. Obsahuje samotné informácie a niektoré servisné údaje. Odošle sa na hlavný server Zgate a spracuje sa podľa daných pravidiel. Prirodzene, odosielanie informácií v samotnej službe nie je blokované. To znamená, že Zgate Web funguje iba v režime protokolovania. S jeho pomocou nie je možné zabrániť jednotlivým únikom dát, no na druhej strane ich dokážete rýchlo odhaliť a zastaviť činnosť slobodného či nevedomého útočníka.

Konfigurácia webového komponentu Zgate

Spôsob spracovania informácií v Zgate a poradie filtrovania je určené zásadou, ktorú vypracuje bezpečnostný dôstojník alebo iný zodpovedný zamestnanec. Ide o sériu podmienok, z ktorých každá zodpovedá určitej akcii. Všetky prichádzajúce správy cez ne „prechádzajú“ postupne jedna po druhej. A ak je splnená niektorá z podmienok, spustí sa akcia s tým spojená.

Filtračný systém

Celkovo systém poskytuje 8 typov podmienok, ako sa hovorí, „pre všetky príležitosti“. Prvým je typ súboru prílohy. S ním môžete zistiť pokusy o odoslanie objektov jedného alebo druhého formátu. Je potrebné poznamenať, že analýza sa nevykonáva podľa rozšírenia, ale podľa vnútornej štruktúry súboru a môžete špecifikovať špecifické typy objektov a ich skupiny (napríklad všetky archívy, videozáznamy atď.). Druhým typom podmienok je overenie externou aplikáciou. Ako aplikácia môže fungovať ako bežný program spúšťaný z príkazový riadok, ako aj scenár.

Podmienky vo filtračnom systéme

Ďalšia podmienka však stojí za to podrobnejšie sa zaoberať. Hovoríme o obsahovej analýze prenášaných informácií. V prvom rade si treba všimnúť „všežravého“ Zgatea. Faktom je, že program si „rozumie“ s veľkým množstvom rôznych formátov. Preto dokáže analyzovať nielen jednoduchý text, ale aj takmer akúkoľvek prílohu. Ďalšou vlastnosťou obsahovej analýzy je jej veľký potenciál. Môže spočívať v jednoduchom vyhľadávaní výskytu v texte správy alebo v akomkoľvek inom poli určitého slova alebo v plnohodnotnej analýze vrátane zohľadnenia gramatických tvarov slov, odvodenia a prepisu. To však nie je všetko. Osobitnú zmienku si zaslúži systém analýzy vzorov a regulárnych výrazov. S jeho pomocou môžete ľahko zistiť prítomnosť údajov v určitom formáte v správach, napríklad sériu a čísla pasov, telefónne číslo, číslo zmluvy, číslo bankového účtu atď. To vám okrem iného umožňuje posilniť ochranu osobných údajov spracúvaných spoločnosťou.

Šablóny na identifikáciu rôznych citlivých informácií

Štvrtým typom podmienok je analýza adries uvedených v liste. To znamená, hľadať medzi nimi určité reťazce. Po piate - analýza šifrovaných súborov. Keď sa spustí, skontrolujú sa atribúty správy a/alebo vnorených objektov. Šiestym typom podmienok je kontrola rôznych parametrov písmen. Siedmym je analýza slovníka. Počas nej systém zisťuje prítomnosť v správe slov z vopred vytvorených slovníkov. A napokon posledný, ôsmy typ podmienky je zložený. Predstavuje dve alebo viac ďalších podmienok kombinovaných s logickými operátormi.

Mimochodom, o slovníkoch, ktoré sme spomenuli v popise podmienok, je potrebné povedať samostatne. Sú to skupiny slov, ktoré spája rovnaký prvok a používajú sa v rôznych metódach filtrovania. Najlogickejšie je vytvárať slovníky, ktoré vám s vysokou mierou pravdepodobnosti umožňujú priradiť správu k tej či onej kategórii. Ich obsah je možné zadať ručne alebo importovať z existujúcich. textové súbory. Existuje ďalšia možnosť generovania slovníkov - automatická. Pri jeho použití musí administrátor jednoducho určiť priečinok, ktorý obsahuje príslušné dokumenty. Program ich sám analyzuje, vyberie potrebné slová a usporiada ich hmotnostné charakteristiky. Pre kvalitnú kompiláciu slovníkov je potrebné označiť nielen dôverné súbory, ale aj objekty, ktoré neobsahujú dôverné informácie. Vo všeobecnosti sa proces automatického generovania najviac podobá učeniu antispamu na propagačných a bežných e-mailoch. A to nie je prekvapujúce, pretože tam aj tam sa používajú podobné technológie.

Príklad finančného slovníka

Keď už hovoríme o slovníkoch, nemožno nespomenúť ďalšiu technológiu na zisťovanie dôverných údajov implementovanú v Zgate. Hovoríme o digitálnych výtlačkoch. esencia túto metódu je nasledujúca. Administrátor môže nasmerovať systém na priečinky, ktoré obsahujú citlivé údaje. Program analyzuje všetky dokumenty v nich a vytvorí "digitálne odtlačky prstov" - súbory údajov, ktoré umožňujú určiť pokus o prenos nielen celého obsahu súboru, ale aj jeho jednotlivých častí. Upozorňujeme, že systém automaticky monitoruje stav ním špecifikovaných priečinkov a nezávisle vytvára „odtlačky prstov“ pre všetky novoobjavené objekty v nich.

Vytvorte kategóriu s odtlačkami digitálnych súborov

Teraz zostáva len zaoberať sa akciami implementovanými v príslušnom systéme ochrany. Celkovo je ich v Zgate zrealizovaných už 14. Väčšina však definuje akcie, ktoré sa so správou vykonajú. Ide najmä o mazanie bez odoslania (teda v skutočnosti zablokovanie prenosu listu), jeho ukladanie do archívu, pridávanie alebo mazanie príloh, zmena rôznych polí, vkladanie textu a pod. oznamuje umiestnenie listu do karantény. Táto akcia umožňuje správu „odložiť“ na manuálne overenie bezpečnostným dôstojníkom, ktorý rozhodne o jej ďalšom osude. Veľmi zaujímavá je aj akcia, ktorá umožňuje zablokovať IM spojenie. Môže sa použiť na okamžité zablokovanie kanála, cez ktorý bola odoslaná správa s dôvernými informáciami.

Trochu vynikajú dve akcie – bayesovské spracovanie a spracovanie odtlačkov prstov. Obe sú určené na kontrolu citlivých informácií v správach. Iba prvý používa slovníky a štatistickú analýzu, zatiaľ čo druhý používa digitálne odtlačky prstov. Tieto akcie je možné vykonať, keď je splnená určitá podmienka, napríklad ak adresa príjemcu nie je v podnikovej doméne. Okrem toho sa dajú (ako aj všetky ostatné) nastaviť na bezpodmienečnú aplikáciu na všetky odchádzajúce správy. V tomto prípade systém analyzuje písmená a zaradí ich do určitých kategórií (ak je to, samozrejme, možné). Ale pre tieto kategórie je už možné vytvoriť podmienky s realizáciou určitých akcií.

Akcie v systéme Zgate

No a na záver nášho dnešného rozhovoru o Zgate môžeme niečo málo zhrnúť. Tento ochranný systém je založený predovšetkým na obsahovej analýze správ. Tento prístup je najbežnejší na ochranu pred únikom dôverných informácií cez internet. Prirodzene, analýza obsahu neposkytuje 100% stupeň ochrany a je skôr pravdepodobnostná. Jeho použitie však zabraňuje väčšine prípadov neoprávneného prenosu tajných údajov. Mali by to firmy využívať alebo nie? O tom sa musí rozhodnúť každý sám, pričom zhodnotí náklady na realizáciu a možné problémy v prípade úniku informácií. Za zmienku stojí, že Zgate odvádza skvelú prácu pri „chytaní“ regulárnych výrazov, čo z neho robí veľmi efektívny prostriedok na ochranu osobných údajov, ktoré spoločnosť spracúva.

Nedávne štúdie v oblasti informačnej bezpečnosti, ako napríklad každoročný prieskum CSI/FBI ComputerCrimeAndSecuritySurvey, ukázali, že finančné straty spoločností spôsobené väčšinou hrozieb z roka na rok klesajú. Existuje však niekoľko rizík, z ktorých straty narastajú. Jedným z nich je úmyselné odcudzenie dôverných informácií alebo porušenie pravidiel nakladania s nimi tými zamestnancami, ktorých prístup ku komerčným údajom je nevyhnutný na plnenie služobných povinností. Hovorí sa im insideri.

Krádež dôverných informácií sa vo veľkej väčšine prípadov uskutočňuje pomocou mobilných médií: CD a DVD, ZIP zariadení a predovšetkým všetkých druhov USB kľúčov. Práve ich masová distribúcia viedla k rozkvetu insider tradingu po celom svete. Lídri väčšiny bánk dobre vedia, čo hrozí, ak sa napríklad databáza s osobnými údajmi ich klientov alebo navyše transakcie na ich účtoch dostane do rúk zločineckých štruktúr. A proti možnej krádeži informácií sa snažia bojovať organizačnými metódami, ktoré majú k dispozícii.

Organizačné metódy sú však v tomto prípade neúčinné. Dnes môžete organizovať prenos informácií medzi počítačmi pomocou miniatúrneho flash disku, mobilný telefón, mp3 prehrávač, digitálny fotoaparát... Samozrejme, môžete sa pokúsiť zakázať všetkým týmto zariadeniam vstup do kancelárie, ale to po prvé negatívne ovplyvní vzťahy so zamestnancami a po druhé, zaviesť skutočne efektívnu kontrolu nad ľuďmi je aj tak veľmi ťažké - banka nie" Poštová schránka". A nepomôže ani vypnutie všetkých zariadení na počítačoch, ktoré sa dajú použiť na zapisovanie informácií na externé médiá (jednotky FDD a ZIP, jednotky CD a DVD atď.) a USB porty. Koniec koncov, prvé sú potrebné na prácu a k nim sú pripojené rôzne periférie: tlačiarne, skenery atď. A nikto nemôže zabrániť osobe vypnúť tlačiareň na minútu, vložiť flash disk do uvoľneného portu a skopírovať do neho dôležitá informácia. Môžete samozrejme nájsť originálne spôsoby ochrany. Napríklad v jednej banke vyskúšali tento spôsob riešenia problému: naplnili spoj USB portu a kábla epoxidovou živicou a pevne ich „priviazali“ k počítaču. Ale, našťastie, dnes existujú modernejšie, spoľahlivejšie a flexibilnejšie spôsoby ovládania.

Najúčinnejším prostriedkom na minimalizáciu rizík spojených s insidermi je špeciál softvér, ktorý dynamicky spravuje všetky zariadenia a porty v počítači, ktoré možno použiť na kopírovanie informácií. Princíp ich práce je nasledovný. Povolenia na používanie rôznych portov a zariadení sú nastavené pre každú skupinu používateľov alebo pre každého používateľa individuálne. Najväčšou výhodou takéhoto softvéru je flexibilita. Môžete zadať obmedzenia pre konkrétne typy zariadení, ich modely a jednotlivé inštancie. To vám umožňuje implementovať veľmi zložité politiky pre distribúciu prístupových práv.

Niektorí zamestnanci môžu mať napríklad povolené používať akékoľvek tlačiarne a skenery pripojené k portom USB. Všetky ostatné zariadenia vložené do tohto portu zostanú nedostupné. Ak banka používa systém autentifikácie používateľov na základe tokenov, potom v nastaveniach môžete určiť použitý model kľúča. Potom budú môcť používatelia používať iba zariadenia zakúpené spoločnosťou a všetky ostatné budú zbytočné.

Na základe princípu fungovania ochranných systémov opísaných vyššie môžete pochopiť, aké body sú dôležité pri výbere programov, ktoré implementujú dynamické blokovanie záznamových zariadení a počítačových portov. Po prvé, je to všestrannosť. Ochranný systém by mal pokrývať celú škálu možných portov a informačných vstupno-výstupných zariadení. V opačnom prípade zostáva riziko krádeže komerčných informácií neprijateľne vysoké. Po druhé, príslušný softvér by mal byť flexibilný a mal by vám umožniť vytvárať pravidlá pomocou veľkého množstva rôznych informácií o zariadeniach: ich typy, výrobcovia modelov, jedinečné čísla, ktoré má každá inštancia atď. A po tretie, systém ochrany dôverných osôb by sa mal dať integrovať s informačným systémom banky, najmä s ActiveDirectory. V opačnom prípade bude musieť správca alebo bezpečnostný pracovník udržiavať dve databázy používateľov a počítačov, čo je nielen nepohodlné, ale zvyšuje sa aj riziko chýb.

Ochrana informácií pred zasvätenými osobami pomocou softvérové nástroje

Alexander Antipov

Dúfam, že samotný článok a najmä jeho diskusia pomôže identifikovať rôzne nuansy používania softvérových nástrojov a stane sa východiskom pri vývoji riešenia opísaného problému pre špecialistov informačnej bezpečnosti.

nahna

Marketingová divízia Infowatch už dlhodobo presviedča všetkých zainteresovaných – IT špecialistov, ale aj najvyspelejších IT manažérov, že väčšina škôd z narušenia informačnej bezpečnosti spoločnosti padá na insiderov – zamestnancov, ktorí prezradia obchodné tajomstvo . Cieľ je jasný – je potrebné vytvoriť dopyt po vyrábanom produkte. Áno, a argumenty vyzerajú celkom solídne a presvedčivo.

Formulácia problému

Vybudujte systém na ochranu informácií pred krádežou personálom v sieti LAN na základe Aktívny adresár Windows 2000/2003. Používateľské pracovné stanice pod Ovládanie Windows xp. Podnikový manažment a účtovníctvo založené na produktoch 1C.
Tajné informácie sa ukladajú tromi spôsobmi:

DB 1C - sieťový prístup cez RDP ( terminálový prístup);
zdieľané priečinky na súborových serveroch - sieťový prístup;
lokálne na PC zamestnanca;

Únikové kanály - internet a vymeniteľné médiá (flash disky, telefóny, prehrávače atď.). Nie je možné zakázať používanie internetu a vymeniteľných médií, pretože sú potrebné na plnenie úradných povinností.

Čo je na trhu

Uvažované systémy som rozdelil do troch tried:

Systémy založené na kontextových analyzátoroch - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet atď.
Systémy založené na statickom zamykaní zariadení - DeviceLock, ZLock, InfoWatch Net Monitor.
Systémy založené na dynamickom blokovaní zariadení - SecrecyKeeper, Strazh, Akkord, SecretNet.

Systémy založené na kontextových analyzátoroch

Princíp činnosti:
V prenášaných informáciách sa vyhľadávajú kľúčové slová, na základe výsledkov vyhľadávania sa rozhoduje o potrebe blokovania prenosu.

Podľa môjho názoru má InfoWatch Traffic Monitor (www.infowatch.ru) maximálny potenciál spomedzi uvedených produktov. Základom je osvedčený modul Kaspersky Antispam, ktorý najviac zohľadňuje zvláštnosti ruského jazyka. Na rozdiel od iných produktov, InfoWatch Traffic Monitor pri analýze berie do úvahy nielen prítomnosť určitých riadkov v kontrolovaných údajoch, ale aj preddefinovanú váhu každého riadku. Pri konečnom rozhodnutí sa teda berie do úvahy nielen výskyt určitých slov, ale aj kombinácie, v ktorých sa vyskytujú, čo umožňuje zvýšiť flexibilitu analyzátora. Ďalšie funkcie sú štandardom pre takéto produkty – analýza archívov, dokumentov MS Office, možnosť blokovania prenosu súborov neznámeho formátu alebo archívov chránených heslom.

Nevýhody uvažovaných systémov založených na kontextovej analýze:

Kontrolujú sa iba dva protokoly - HTTP a SMTP (pre InfoWatch Traffic Monitor a pre HTTP prevádzku sa kontrolujú iba údaje prenášané pomocou požiadaviek POST, čo umožňuje organizovať únikový kanál pomocou prenosu údajov pomocou metódy GET);
Nekontrolujú sa zariadenia na prenos dát – diskety, CD, DVD, USB disky a pod. (Infowatch má pre tento prípad InfoWatch Net Monitor).
na obídenie systémov vybudovaných na základe obsahovej analýzy stačí použiť najjednoduchšie kódovanie textu (napríklad: tajné -> s1e1k1r1e1t), alebo steganografiu;
nasledujúci problém nie je možné vyriešiť metódou obsahovej analýzy - vhodný formálny popis neprichádza do úvahy, preto uvediem iba príklad: sú dva excelové súbory - v prvom sú maloobchodné ceny (verejné informácie) , v druhej - veľkoobchodné ceny pre konkrétneho klienta (tajná informácia) sa obsah súborov líši len v číslach. Tieto súbory nie je možné rozlíšiť pomocou analýzy obsahu.

Záver:
kontextová analýza je vhodná len na vytváranie archívov návštevnosti a zabránenie náhodnému úniku informácií a nerieši úlohu.

Systémy založené na statickom blokovaní zariadení

Princíp činnosti:
užívateľom sú priradené prístupové práva k ovládaným zariadeniam, podobne ako pri prístupových právach k súborom. V zásade možno takmer rovnaký efekt dosiahnuť pomocou štandardných mechanizmov Windows.

Zlock (www.securit.ru) - produkt sa objavil relatívne nedávno, takže má minimálnu funkčnosť (nemyslím si, že je to zbytočnosť) a nelíši sa v ladení, napríklad konzola na správu niekedy spadne pri pokuse o uložiť nastavenia.

DeviceLock (www.smartline.ru) je zaujímavejší produkt, je na trhu už dlho, takže funguje oveľa stabilnejšie a má rôznorodejšiu funkcionalitu. Umožňuje napríklad tieňové kopírovanie prenášaných informácií, čo môže pomôcť pri vyšetrovaní incidentu, nie však pri jeho prevencii. Okrem toho sa takéto vyšetrovanie pravdepodobne uskutoční, keď sa únik dozvie, t.j. značné časové obdobie po tom, ako k nemu dôjde.

InfoWatch Net Monitor (www.infowatch.ru) pozostáva z modulov - DeviceMonitor (analogicky k Zlock), FileMonitor, OfficeMonitor, AdobeMonitor a PrintMonitor. DeviceMonitor je analógom Zlocku, štandardná funkčnosť, bez hrozienok. FileMonitor - kontrola prístupu k súborom. OfficeMonitor a AdobeMonitor vám umožňujú ovládať, ako sa so súbormi zaobchádza v príslušných aplikáciách. V súčasnosti je pomerne ťažké vymyslieť užitočnú, a nie hračku, aplikáciu pre FileMonitor, OfficeMonitor a AdobeMonitor, no v budúcich verziách by malo byť možné kontextovo analyzovať spracovávané dáta. Možno potom tieto moduly odhalia svoj potenciál. Aj keď stojí za zmienku, že úloha kontextovej analýzy operácií so súbormi nie je triviálna, najmä ak je základ filtrovania obsahu rovnaký ako v Monitore návštevnosti, t.j. siete.

Samostatne je potrebné povedať o ochrane agenta pred používateľom s právami lokálneho správcu.
ZLock a InfoWatch Net Monitor takáto ochrana jednoducho chýba. Tie. používateľ môže zastaviť agenta, skopírovať údaje a znova spustiť agenta.

DeviceLock má takúto ochranu, čo je jednoznačné plus. Je založená na zachytávaní systémových volaní pre prácu s registrom, systém súborov a riadenie procesov. Ďalším plusom je, že ochrana funguje aj v núdzovom režime. Existuje však aj mínus - na deaktiváciu ochrany stačí obnoviť tabuľku deskriptorov služieb, čo je možné vykonať načítaním jednoduchého ovládača.

Nevýhody uvažovaných systémov založených na statickom blokovaní zariadení:

Prenos informácií do siete nie je kontrolovaný.
-Nedokáže rozlíšiť medzi utajovanými a neutajovanými informáciami. Funguje na princípe, že buď je možné všetko, alebo nič nie je nemožné.
Neexistuje žiadna alebo sa dá ľahko obísť ochrana proti vyloženiu agenta.

Záver:
nie je vhodné zavádzať takéto systémy, pretože problém neriešia.

Systémy založené na dynamickom blokovaní zariadení

Princíp činnosti:
prístup k prenosovým kanálom je zablokovaný v závislosti od úrovne prístupu používateľa a stupňa utajenia informácií, s ktorými sa pracuje. Na implementáciu tohto princípu tieto produkty využívajú mechanizmus autoritatívneho riadenia prístupu. Tento mechanizmus nie je veľmi bežný, preto sa mu budem venovať podrobnejšie.

Autoritatívna (povinná) kontrola prístupu na rozdiel od popisnej (implementovanej v bezpečnostnom systéme Windows NT a vyššie) spočíva v tom, že vlastník zdroja (napríklad súboru) nemôže oslabiť požiadavky na prístup k tomuto zdroju. , ale môže ich posilniť iba v rámci vašej úrovne. Požiadavky môže zmierniť iba používateľ vybavený špeciálnymi právomocami – úradník alebo správca informačnej bezpečnosti.

Hlavným cieľom vývoja produktov ako Guard, Accord, SecretNet, DallasLock a niektorých ďalších, bola možnosť certifikácie informačných systémov, v ktorých budú tieto produkty inštalované, pre splnenie požiadaviek Štátnej technickej komisie (dnes FSTEC). Takáto certifikácia je povinná pre informačné systémy, v ktorých sa spracováva stav. tajné, čo v podstate zabezpečovalo dopyt po výrobkoch zo strany štátnych podnikov.

Preto súbor funkcií implementovaných v týchto produktoch bol určený požiadavkami príslušných dokumentov. Čo následne viedlo k tomu, že väčšina funkcií implementovaných v produktoch buď duplikuje štandard Funkčnosť systému Windows(vymazanie objektov po vymazaní, vymazanie pamäte RAM), alebo ho používa implicitne (popis kontroly prístupu). A vývojári DallasLock zašli ešte ďalej a implementovali povinné riadenie prístupu do svojho systému prostredníctvom mechanizmu kontroly popisu systému Windows.

Praktické použitie takýchto produktov je mimoriadne nepohodlné, napríklad DallasLock vyžaduje pre inštaláciu prerozdelenie. pevný disk, ktoré je potrebné vykonať aj pomocou softvéru tretích strán. Veľmi často boli po certifikácii tieto systémy odstránené alebo vypnuté.

SecrecyKeeper (www.secrecykeeper.com) je ďalší produkt, ktorý implementuje autoritatívny mechanizmus kontroly prístupu. Podľa vývojárov bol SecrecyKeeper vyvinutý špeciálne na vyriešenie konkrétneho problému - zabránenie krádeži informácií v komerčnej organizácii. Preto sa opäť podľa vývojárov pri vývoji dbalo najmä na jednoduchosť a jednoduchosť používania ako pre správcov systému, tak aj pre bežných používateľov. Nakoľko je to úspešné, musí posúdiť spotrebiteľ, t.j. nás. SecrecyKeeper navyše implementuje množstvo mechanizmov, ktoré nie sú dostupné v ostatných spomínaných systémoch – napríklad možnosť nastavenia úrovne zabezpečenia pre zdroje so vzdialeným prístupom a mechanizmus ochrany agenta.
Riadenie pohybu informácií v SecrecyKeeper je implementované na základe úrovne utajenia informácií, úrovní používateľských povolení a úrovne počítačovej bezpečnosti, ktoré môžu nadobúdať hodnoty verejné, tajné a prísne tajné. Úroveň dôvernosti informácií umožňuje klasifikovať informácie spracovávané v systéme do troch kategórií:

verejné - nie tajné informácie, pri práci s nimi neexistujú žiadne obmedzenia;

tajné - tajné informácie, pri práci s nimi sa zavádzajú obmedzenia v závislosti od úrovní oprávnení používateľa;

prísne tajné - prísne tajné informácie, pri práci s nimi sú zavedené obmedzenia v závislosti od Úrovne povolení používateľa.

Úroveň zabezpečenia informácií možno nastaviť pre súbor, sieťový disk a port počítača, na ktorom beží nejaká služba.

Úrovne povolení používateľa vám umožňujú určiť, ako môže používateľ presúvať informácie v závislosti od úrovne ochrany osobných údajov. Existujú nasledujúce úrovne prístupu používateľov:

Úroveň prístupu používateľa – obmedzuje maximálnu úroveň zabezpečenia informácií, ku ktorým má zamestnanec prístup;

Úroveň prístupu do siete – obmedzuje maximálnu úroveň utajenia informácií, ktoré môže zamestnanec prenášať cez sieť;

Úroveň prístupu k vymeniteľným médiám – obmedzuje maximálnu úroveň zabezpečenia informácií, ktoré môže zamestnanec skopírovať na externé médiá.

Úroveň zabezpečenia tlačiarne – obmedzuje maximálnu úroveň zabezpečenia informácií, ktoré môže zamestnanec vytlačiť.

Úroveň zabezpečenia počítača – určuje maximálnu úroveň zabezpečenia informácií, ktoré je možné uložiť a spracovať v počítači.

Prístup k informáciám so stupňom utajenia verejnosti môže vykonávať zamestnanec s akoukoľvek úrovňou prístupu. Takéto informácie môžu byť prenášané cez sieť bez obmedzení a skopírované na externé médiá. História práce s informáciami s úrovňou verejného tajomstva sa nesleduje.

Prístup k informáciám s utajeným stupňom utajenia môžu získať len zamestnanci, ktorých stupeň preverenia je tajný alebo vyšší. Iba zamestnanci, ktorých úroveň prístupu k sieti je tajná alebo vyššia, môžu prenášať takéto informácie do siete. Kopírovanie takýchto informácií na externé médiá môžu vykonávať iba zamestnanci, ktorých úroveň prístupu na vymeniteľné médiá je tajná alebo vyššia. Tlač takýchto informácií môžu vykonávať iba zamestnanci, ktorých úroveň prístupu k tlačiarni je tajná alebo vyššia. História práce s informáciami, ktoré majú utajenú úroveň utajenia, t.j. zaznamenávajú sa pokusy o prístup k nemu, pokusy o jeho prenos cez sieť, pokusy o skopírovanie na externé médium alebo jeho tlač.

Prístup k informáciám s úrovňou prísne tajné môžu získať iba zamestnanci, ktorých úroveň preverenia je rovnaká ako úroveň prísne tajné. Takéto informácie môžu prenášať do siete iba zamestnanci, ktorých úroveň prístupu do siete je rovná prísnemu tajnému. Kopírovanie takýchto informácií na externé médiá môžu vykonávať iba zamestnanci, ktorých úroveň prístupu na vymeniteľné médiá je rovná prísnemu tajnému. Takéto informácie môžu tlačiť iba zamestnanci s úrovňou prístupu k tlačiarni rovnou prísne tajné. História práce s informáciami, ktoré majú prísne tajný stupeň utajenia, t.j. zaznamenávajú sa pokusy o prístup k nemu, pokusy o jeho prenos cez sieť, pokusy o skopírovanie na externé médium alebo jeho tlač.

Príklad: nechajte zamestnanca mať úroveň zabezpečenia prísne tajné, úroveň zabezpečenia siete tajné, úroveň zabezpečenia vymeniteľných médií verejné a úroveň zabezpečenia tlačiarne prísne tajné; v tomto prípade môže zamestnanec pristupovať k dokumentu s ľubovoľným stupňom utajenia, zamestnanec môže prenášať informácie do siete so stupňom utajenia nie vyšším ako tajný, kopírovať napríklad na diskety, zamestnanec môže len informácie s verejnosťou stupeň utajenia a zamestnanec môže vytlačiť akékoľvek informácie na tlačiarni.

Na kontrolu šírenia informácií do podniku má každý počítač pridelený zamestnancovi pridelenú úroveň počítačovej bezpečnosti. Táto úroveň obmedzuje maximálnu úroveň zabezpečenia informácií, ku ktorej má z tohto počítača prístup ktorýkoľvek zamestnanec, bez ohľadu na úrovne preverenia zamestnanca. To. ak má zamestnanec úroveň oprávnenia rovnajúcu sa prísnemu tajnému a počítač, na ktorom práve pracuje, má úroveň zabezpečenia rovnajúcu sa verejnému, potom zamestnanec nebude mať z tejto pracovnej stanice prístup k informáciám s úrovňou utajenia vyššou ako verejné.

Vyzbrojení teóriou, skúsme použiť SecrecyKeeper na vyriešenie problému. Informácie spracované v informačnom systéme posudzovaného abstraktného podniku je možné zjednodušene popísať (pozri popis problému) pomocou nasledujúcej tabuľky:

Zamestnanci podniku a oblasť ich pracovných záujmov sú opísané pomocou druhej tabuľky:

Nechajte v podniku používať nasledujúce servery:
Server 1C
Súborový server s loptičkami:
SecretDocs – obsahuje tajné dokumenty
PublicDocs – obsahuje verejné dokumenty

Všimol som si, že štandardné funkcie sa používajú na organizáciu štandardného riadenia prístupu. operačný systém a aplikačný softvér, t.j. aby sa napríklad manažér nedostal k osobným údajom zamestnancov, netreba zavádzať žiadne dodatočné bezpečnostné systémy. Hovoríme o zamedzení šírenia informácií, ku ktorým má zamestnanec legálny prístup.

Poďme k priamej konfigurácii SecrecyKeeper.
Nebudem popisovať proces inštalácie riadiacej konzoly a agentov, všetko je čo najjednoduchšie - pozri dokumentáciu k programu.
Nastavenie systému pozostáva z vykonania nasledujúcich krokov.

Krok 1. Nainštalujte agentov na všetky počítače okrem serverov - to im okamžite zabráni získať informácie, pre ktoré je úroveň zabezpečenia nastavená vyššie ako verejné.

Krok 2. Priraďte úrovne povolení zamestnancom podľa nasledujúcej tabuľky:

	Úroveň povolenia používateľa	Úroveň prístupu k sieti	Úroveň prístupu k vymeniteľným médiám	Úroveň prístupu k tlačiarni
riaditeľ	tajný	tajný	tajný	tajný
manažér	tajný	verejnosti	verejnosti	tajný
personalista	tajný	verejnosti	verejnosti	tajný
účtovník	tajný	verejnosti	tajný	tajný
sekretárka	verejnosti	verejnosti	verejnosti	verejnosti

Krok 3. Priraďte úrovne zabezpečenia počítača takto:

Krok 4. Konfigurácia úrovní ochrany osobných údajov na serveroch:

Krok 5. Nastavte úrovne ochrany osobných údajov na počítačoch zamestnancov pre lokálne súbory. Ide o časovo najnáročnejšiu časť, pretože je potrebné jasne pochopiť, ktorý zo zamestnancov s akými informáciami pracuje a nakoľko sú tieto informácie kritické. Ak bol v organizácii vykonaný audit informačnej bezpečnosti, jeho výsledky môžu túto úlohu výrazne uľahčiť.

Krok 6. V prípade potreby vám SecrecyKeeper umožňuje obmedziť zoznam programov, ktoré môžu používatelia spustiť. Tento mechanizmus je implementovaný nezávisle od Windows Software Restriction Policy a možno ho použiť, ak je napríklad potrebné uvaliť obmedzenia na používateľov s právami správcu.

S pomocou SecrecyKeeper je teda možné výrazne znížiť riziko neoprávneného šírenia tajných informácií – úniku aj krádeže.

nedostatky:
- ťažkosti s pôvodné nastavenieúrovne bezpečnosti pre lokálne súbory;

Všeobecný záver:
maximálne možnosti na ochranu informácií pred insidermi poskytuje softvér, ktorý má schopnosť dynamicky regulovať prístup ku kanálom prenosu informácií v závislosti od stupňa utajenia informácií, s ktorými sa pracuje, a od úrovne prístupu zamestnancov.

Spoločnosť je jedinečná služba pre nákupcov, vývojárov, predajcov a affiliate partnerov. Navyše je jedným z najlepšie internetové obchody Softvér v Rusku, na Ukrajine, v Kazachstane, ktorý zákazníkom ponúka široký sortiment, množstvo platobných metód, promptné (často okamžité) vybavenie objednávky, sledovanie priebehu objednávky v osobnej časti.

Problém ochrany pred internými hrozbami sa v poslednom čase stal skutočnou výzvou pre jasný a zabehnutý svet podnikovej informačnej bezpečnosti. Tlač hovorí o zasvätených, výskumníci a analytici varujú pred možnými stratami a problémami a spravodajské kanály sú plné správ o ďalšom incidente, ktorý viedol k úniku stoviek tisíc záznamov o zákazníkoch v dôsledku chyby alebo nepozornosti zamestnanca. Pokúsme sa zistiť, či je tento problém taký vážny, či sa ním treba zaoberať a aké nástroje a technológie sú k dispozícii na jeho vyriešenie.

V prvom rade stojí za to určiť, že ohrozenie dôvernosti údajov je interné, ak je jeho zdrojom zamestnanec podniku alebo akákoľvek iná osoba, ktorá má legálny prístup k týmto údajom. Keď teda hovoríme o vnútorných hrozbách, hovoríme o niektorých možné akcie legálnych používateľov, úmyselných alebo náhodných, čo môže viesť k úniku dôverných informácií mimo podnikovej siete podniku. Pre dokreslenie je vhodné dodať, že takíto používatelia sú často označovaní ako insideri, hoci tento pojem má aj iné významy.

Relevantnosť problému vnútorných hrozieb potvrdzujú výsledky nedávnych štúdií. Konkrétne v októbri 2008 boli oznámené výsledky spoločnej štúdie spoločností Compuware a Ponemon Institue, podľa ktorých sú insideri najčastejšou príčinou úniku dát (75 % incidentov v USA), kým hackeri boli až na piatom mieste. . V ročnom prieskume Computer Security Institute (CSI) za rok 2008 sú čísla o incidentoch s hrozbami zasvätených osôb nasledovné:

Počet incidentov v percentách znamená, že z celkového počtu respondentov daný typ k incidentu došlo v určenom percente organizácií. Ako vidno z týchto čísel, takmer každá organizácia je ohrozená vnútornými hrozbami. Pre porovnanie, podľa rovnakej správy vírusy zasiahli 50 % skúmaných organizácií a s prienikom hackerov do lokálna sieťčelilo len 13 %.

teda vnútorné hrozby je realitou dneška a nie mýtom, ktorý vymysleli analytici a predajcovia. Takže tí, ktorí staromódnym spôsobom veria, že bezpečnosť podnikových informácií je firewall a antivírus, musíte sa na problém čo najskôr pozrieť zoširoka.

Mieru napätia zvyšuje aj zákon „O osobných údajoch“, podľa ktorého sa organizácie a úradníci budú musieť zodpovedať nielen svojmu vedeniu, ale aj svojim zákazníkom a pred zákonom za nesprávne nakladanie s osobnými údajmi.

Model votrelca

Tradične by sa pri zvažovaní hrozieb a prostriedkov ochrany pred nimi malo začať analýzou modelu narušiteľa. Ako už bolo spomenuté, budeme hovoriť o insideroch - zamestnancoch organizácie a iných používateľoch, ktorí majú legálny prístup k dôverným informáciám. Pri týchto slovách sa spravidla každému vybaví zamestnanec kancelárie pracujúci na počítači v podnikovej sieti, ktorý v procese práce neopúšťa kanceláriu organizácie. Toto znázornenie je však neúplné. Je potrebné ho rozšíriť o ďalšie typy ľudí s legálnym prístupom k informáciám, ktorí môžu opustiť kanceláriu organizácie. Môžu to byť obchodní cestujúci s notebookmi alebo pracujúci v kancelárii aj doma, kuriéri prepravujúci médiá s informáciami, predovšetkým magnetické pásky so zálohou atď.

Takáto rozšírená úvaha o modeli narušiteľa po prvé zapadá do konceptu, pretože hrozby, ktoré títo narušovatelia predstavujú, sú tiež vnútorné, a po druhé, umožňuje nám analyzovať problém širšie, berúc do úvahy všetky možné možnosti bojovať proti týmto hrozbám.

Je možné rozlíšiť tieto hlavné typy vnútorných porušovateľov:

Nelojálny/urazený zamestnanec.Porušovatelia v tejto kategórii môžu konať účelovo, napríklad tak, že zmenia zamestnanie a chcú ukradnúť dôverné informácie, aby zaujali nového zamestnávateľa, alebo emocionálne, ak sa cítili urazení, a tak sa chcú pomstiť. Sú nebezpeční, pretože sú najviac motivovaní spôsobiť škodu organizácii, v ktorej momentálne pracujú. Počet incidentov s nelojálnymi zamestnancami je spravidla malý, ale môže sa zvýšiť v situácii nepriaznivých ekonomických podmienok a masívneho znižovania počtu zamestnancov.
Zabudovaný, podplatený alebo zmanipulovaný zamestnanec.V tomto prípade rozprávame sa o akýchkoľvek účelových akciách spravidla za účelom priemyselnej špionáže vo vysoko konkurenčnom prostredí. Na zhromažďovanie dôverných informácií v konkurenčnej spoločnosti buď predstavia svoju osobu na konkrétne účely, alebo nájdu zamestnanca, ktorý nie je najlojálnejší a podplatia ho, alebo je lojálny, ale neopatrný zamestnanec nútený odovzdávať dôverné informácie prostredníctvom sociálnych strojárstvo. Počet incidentov tohto druhu je zvyčajne ešte nižší ako tie predchádzajúce, a to z toho dôvodu, že vo väčšine segmentov hospodárstva v Ruskej federácii nie je hospodárska súťaž príliš rozvinutá alebo sa realizuje iným spôsobom.
Nečestný zamestnanec. Tento typ porušovateľ je lojálny, ale nepozorný alebo nedbalý zamestnanec, ktorý môže porušiť zásady vnútornej bezpečnosti podniku kvôli jej nevedomosti alebo zábudlivosti. Takýto zamestnanec môže omylom poslať e-mail s tajným súborom pripojeným nesprávnej osobe alebo si vziať domov flash disk s dôvernými informáciami, s ktorým bude cez víkend pracovať, a stratí ho. Rovnaký typ zahŕňa zamestnancov, ktorí stratia notebooky a magnetické pásky. Podľa mnohých odborníkov je tento typ insidera zodpovedný za väčšinu únikov dôverných informácií.

Motívy a následne aj postup potenciálnych porušovateľov sa teda môžu výrazne líšiť. V závislosti od toho by sa malo pristupovať k riešeniu problému zabezpečenia vnútornej bezpečnosti organizácie.

Insider Threat Protection Technologies

Napriek relatívnej mladosti tohto segmentu trhu si zákazníci už teraz majú z čoho vyberať v závislosti od svojich úloh a finančných možností. Treba si uvedomiť, že teraz na trhu prakticky neexistujú predajcovia, ktorí by sa špecializovali výlučne na interné hrozby. Tento stav nie je spôsobený len nevyspelosťou tohto segmentu, ale aj agresívnymi a niekedy chaotickými fúziami a akvizíciami výrobcov tradičných ochranných prostriedkov a iných predajcov, ktorí majú záujem o pôsobenie v tomto segmente. Za pripomenutie stojí spoločnosť RSA Data Security, ktorá sa stala divíziou EMC v roku 2006, odkúpenie startupu Decru spoločnosťou NetApp, ktorý vyvinul systémy na ochranu serverových úložísk a zálohy v roku 2005, kúpa DLP predajcu Vontu spoločnosťou Symantec v roku 2007 atď.

Napriek tomu, že veľké množstvo takýchto transakcií naznačuje dobré vyhliadky na rozvoj tohto segmentu, nie vždy prospievajú kvalite produktov, ktoré spadajú pod krídla. veľké korporácie. Produkty sa začínajú vyvíjať pomalšie a vývojári tak nereagujú na požiadavky trhu v porovnaní s vysoko špecializovanou spoločnosťou. Ide o známu chorobu veľkých spoločností, ktoré, ako viete, strácajú na mobilite a efektívnosti svojich menších bratov. Na druhej strane sa vďaka rozvoju ich servisnej a predajnej siete zlepšuje kvalita služieb a dostupnosť produktov pre zákazníkov v rôznych častiach sveta.

Zvážte hlavné technológie, ktoré sa v súčasnosti používajú na neutralizáciu vnútorných hrozieb, ich výhody a nevýhody.

Kontrola dokumentov

Technológia kontroly dokumentov je zakomponovaná do moderných produktov triedy správy práv, ako napr Microsoft Windows Služby správy práv, Adobe LiveCycle Rights Management ES a Oracle Information Rights Management.

Princípom fungovania týchto systémov je prideliť každému dokumentu pravidlá používania a kontrolovať tieto práva v aplikáciách, ktoré pracujú s dokumentmi tohto typu. Môžete napríklad vytvoriť dokument Microsoft Word a nastaviť preň pravidlá, kto si ho môže prezerať, kto môže upravovať a ukladať zmeny a kto ho môže tlačiť. Tieto pravidlá sa v podmienkach Windows RMS nazývajú licencia a sú uložené spolu so súborom. Obsah súboru je zašifrovaný, aby si ho nemohol pozrieť neoprávnený používateľ.

Ak sa teraz ktorýkoľvek používateľ pokúsi otvoriť takýto chránený súbor, aplikácia kontaktuje špeciálny RMS server, potvrdí oprávnenie používateľa a ak je povolený prístup tomuto používateľovi, server odovzdá aplikácii kľúč na dešifrovanie tohto súboru a informácie o práva tohto užívateľa. Na základe týchto informácií aplikácia sprístupňuje používateľovi len tie funkcie, na ktoré má práva. Ak napríklad používateľ nemá povolené vytlačiť súbor, funkcia tlače aplikácie nebude dostupná.

Ukazuje sa, že informácie v takomto súbore sú bezpečné aj v prípade, že sa súbor dostane mimo firemnú sieť – je zašifrovaný. Funkcie RMS sú už zabudované do aplikácií Microsoft Office Profesionálne vydanie z roku 2003. Na zabudovanie funkcií RMS do aplikácií od iných vývojárov ponúka spoločnosť Microsoft špeciálnu súpravu SDK.

Systém kontroly dokumentov Adobe je postavený podobným spôsobom, ale je zameraný na dokumenty PDF. Oracle IRM je nainštalovaný na klientskych počítačoch ako agent a integruje sa s aplikáciami za behu.

Kontrola dokumentov je dôležitou súčasťou celkovej koncepcie ochrany pred hrozbami zasvätených osôb, no treba brať do úvahy prirodzené obmedzenia tejto technológie. Po prvé, je určený výhradne na kontrolu súborov dokumentov. Pokiaľ ide o neštruktúrované súbory alebo databázy, táto technológia nefunguje. Po druhé, ak útočník pomocou SDK tohto systému vytvorí jednoduchú aplikáciu, ktorá bude komunikovať so serverom RMS, dostane odtiaľ šifrovací kľúč a uloží dokument ako čistý text a spustí túto aplikáciu v mene používateľa s minimálnou úroveň prístupu k dokumentu tento systém bude obídená. Okrem toho je potrebné vziať do úvahy ťažkosti pri implementácii systému kontroly dokumentov, ak organizácia už vytvorila veľa dokumentov - úloha prvotnej klasifikácie dokumentov a prideľovania práv na ich používanie si môže vyžadovať značné úsilie.

Neznamená to, že systémy na kontrolu dokumentov túto úlohu neplnia, len treba pamätať na to, že ochrana informácií je komplexný problém a spravidla ho nie je možné riešiť iba jedným nástrojom.

Ochrana proti úniku

Pojem prevencia straty údajov (DLP) sa v lexike špecialistov na informačnú bezpečnosť objavil pomerne nedávno a už sa stihol stať bez preháňania najhorúcejšou témou posledných rokov. Skratka DLP spravidla označuje systémy, ktoré monitorujú možné únikové kanály a blokujú ich v prípade pokusu o zaslanie dôverných informácií cez tieto kanály. Navyše vo funkcii podobné systémyčasto zahŕňa schopnosť archivovať informácie, ktoré cez ne prechádzajú, pre následné audity, vyšetrovanie incidentov a retrospektívnu analýzu potenciálnych rizík.

Existujú dva typy systémov DLP: sieťové DLP a hostiteľské DLP.

Sieťové DLP fungujú na princípe sieťovej brány, ktorá filtruje všetky dáta, ktoré ňou prechádzajú. Je zrejmé, že na základe úlohy boja proti interným hrozbám spočíva hlavný záujem takéhoto filtrovania v schopnosti kontrolovať dáta prenášané mimo podnikovej siete na internet. Sieťové DLP vám umožňuje kontrolovať odchádzajúcu poštu, prenos http a ftp, služby okamžitých správ atď. Ak sa zistia citlivé informácie, sieťové DLP môže zablokovať prenášaný súbor. Existujú aj možnosti manuálneho spracovania podozrivých súborov. Podozrivé súbory sú umiestnené do karantény, ktorú pravidelne kontroluje bezpečnostný dôstojník a buď povolí prenos súboru, alebo ho zakáže. Je pravda, že takéto spracovanie je vzhľadom na osobitosti protokolu možné iba pre e-mail. Ďalšie možnosti auditu a vyšetrovania incidentov poskytuje archivácia všetkých informácií, ktoré prechádzajú bránou, za predpokladu, že tento archív je pravidelne kontrolovaný a jeho obsah analyzovaný s cieľom identifikovať úniky, ku ktorým došlo.

Jedným z hlavných problémov pri implementácii a implementácii systémov DLP je spôsob zisťovania dôverných informácií, teda moment rozhodovania, či sú prenášané informácie dôverné a dôvody, ktoré sa pri takomto rozhodovaní zohľadňujú. Spravidla sa to robí obsahovou analýzou. prenášané dokumenty nazývaná aj obsahová analýza. Pozrime sa na hlavné prístupy k zisťovaniu dôverných informácií.

Tagy. Táto metóda je podobná vyššie uvedeným systémom kontroly dokumentov. Štítky sú vložené do dokumentov, ktoré popisujú stupeň dôvernosti informácií, čo možno s týmto dokumentom robiť a komu sa má poslať. Na základe výsledkov analýzy štítkov systém DLP rozhodne, či je to možné tento dokument poslať alebo nie. Niektoré systémy DLP sú pôvodne kompatibilné so systémami správy práv, aby používali označenia, ktoré tieto systémy nastavujú, iné systémy používajú svoj vlastný formát štítkov.
Podpisy. Táto metóda spočíva v špecifikovaní jednej alebo viacerých sekvencií znakov, ktorých prítomnosť v texte prenášaného súboru by mala systému DLP povedať, že tento súbor obsahuje dôverné informácie. Veľký počet podpisov je možné usporiadať do slovníkov.
Bayesova metóda. Táto metóda, využívaná v boji proti spamu, sa dá úspešne aplikovať v systémoch DLP. Na použitie tejto metódy sa vytvorí zoznam kategórií a špecifikuje sa zoznam slov s pravdepodobnosťou, že ak sa slovo vyskytne v súbore, potom súbor patrí alebo nepatrí do zadanej kategórie s danou pravdepodobnosťou.
Morfologická analýza.Metóda morfologickej analýzy je podobná metóde podpisu, rozdiel spočíva v tom, že sa neanalyzuje na 100% zhodu s podpisom, ale zohľadňujú sa aj slová s jedným koreňom.
Digitálne výtlačky.Podstatou tejto metódy je, že pre všetky dôverné dokumenty sa vypočíta nejaká hašovacia funkcia tak, že ak sa dokument mierne zmení, hašovacia funkcia zostane rovnaká, prípadne sa aj mierne zmení. Proces odhaľovania dôverných dokumentov je teda značne zjednodušený. Napriek nadšenej chvále tejto technológie od mnohých dodávateľov a niektorých analytikov jej spoľahlivosť zanecháva veľa želaní a vzhľadom na skutočnosť, že predajcovia pod rôznymi zámienkami uprednostňujú detaily implementácie algoritmu digitálnych odtlačkov prstov v tieni, jej dôveryhodnosť nezvyšuje.
Regulárne výrazy.Známy každému, kto sa zaoberal programovaním, regulárne výrazy umožňujú v texte jednoducho nájsť údaje šablóny, napríklad telefónne čísla, údaje o pasoch, čísla bankových účtov, čísla sociálneho poistenia atď.

Z vyššie uvedeného zoznamu je ľahké vidieť, že metódy detekcie buď nezaručujú 100% odhalenie dôverných informácií, pretože úroveň chýb prvého aj druhého druhu je v nich dosť vysoká, alebo si vyžadujú neustálu ostražitosť bezpečnosti. služba na aktualizáciu a udržiavanie aktuálneho zoznamu podpisov alebo pridelení štítky pre dôverné dokumenty.

Okrem toho môže šifrovanie prevádzky spôsobiť určitý problém pri prevádzke sieťového DLP. Ak je z bezpečnostných dôvodov potrebné pri pripájaní k akýmkoľvek webovým zdrojom šifrovať e-mailové správy alebo použiť protokol SSL, problém zisťovania prítomnosti dôverných informácií v prenášaných súboroch môže byť vyriešený veľmi ťažko. Nezabudnite, že niektoré služby okamžitých správ, ako napríklad Skype, majú štandardne zabudované šifrovanie. Budete musieť odmietnuť používanie takýchto služieb alebo používať hostiteľské DLP na ich ovládanie.

Napriek všetkým ťažkostiam, ak je správne nakonfigurované a brané vážne, môže sieťová DLP výrazne znížiť riziko úniku dôverných informácií a poskytnúť organizácii pohodlné prostriedky na vnútornú kontrolu.

Hostiteľ DLP sú nainštalované na každom hostiteľovi v sieti (na klientskych pracovných staniciach av prípade potreby aj na serveroch) a možno ich použiť aj na riadenie internetovej prevádzky. V tejto funkcii sa však hostiteľské DLP stali menej rozšírenými a v súčasnosti sa používajú hlavne na kontrolu externých zariadení a tlačiarní. Ako viete, zamestnanec, ktorý si prinesie do práce z flash disku alebo z MP3 prehrávača, predstavuje oveľa väčšiu hrozbu pre informačnú bezpečnosť podniku ako všetci hackeri dohromady. Tieto systémy sa tiež nazývajú nástroje zabezpečenia koncových bodov siete ( zabezpečenie koncového bodu), aj keď sa tento výraz často používa širšie, napríklad sa to niekedy nazýva antivírusové nástroje.

Ako viete, problém používania externých zariadení sa dá vyriešiť bez použitia akýchkoľvek prostriedkov, a to fyzickým deaktivovaním portov, alebo prostredníctvom operačného systému, alebo administratívne, zákazom nosenia akýchkoľvek médií do kancelárie zamestnancom. Vo väčšine prípadov je však „lacný a veselý“ prístup neprijateľný, keďže nie je zabezpečená náležitá flexibilita informačných služieb, ktorú si obchodné procesy vyžadujú.

V dôsledku toho existuje určitý dopyt po špeciálne prostriedky, s ktorým môžete flexibilnejšie riešiť problém používania externých zariadení a tlačiarní zamestnancami spoločnosti. Takéto nástroje vám umožňujú konfigurovať prístupové práva pre používateľov rôzne druhy zariadenia, napríklad pre jednu skupinu používateľov zakázať prácu s médiami a povoliť tlačiarne a pre druhú - umožniť prácu s médiami v režime len na čítanie. Ak je potrebné zaznamenávať informácie o externých zariadeniach pre jednotlivých používateľov, je možné použiť technológiu tieňovej kópie, ktorá zaisťuje, že všetky informácie, ktoré sú uložené na externom zariadení, sa skopírujú na server. Skopírované informácie je možné následne analyzovať a analyzovať akcie používateľov. Táto technológia kopíruje všetko a v súčasnosti neexistujú žiadne systémy, ktoré umožňujú analýzu obsahu uložených súborov s cieľom zablokovať operáciu a zabrániť úniku, ako to robia sieťové DLP. Archív tieňovej kópie však poskytne vyšetrovanie incidentov a retrospektívnu analýzu udalostí v sieti a mať takýto archív znamená, že potenciálny insider môže byť chytený a potrestaný za svoje činy. Môže sa to pre neho ukázať ako významná prekážka a vážny dôvod na zanechanie nepriateľských akcií.

Za zmienku stojí aj kontrola používania tlačiarní – zdrojom úniku sa môžu stať aj papierové kópie dokumentov. Hostiteľ DLP vám umožňuje riadiť prístup používateľov k tlačiarňam rovnakým spôsobom ako k iným externým zariadeniam a ukladať kópie vytlačených dokumentov do grafický formát pre ďalšiu analýzu. Určitú distribúciu si navyše získala technológia vodoznakov (watermarks), ktorá implementuje tlač na každú stranu dokumentu unikátnym kódom, pomocou ktorého je možné presne určiť, kto, kedy a kde tento dokument vytlačil.

Napriek nepochybným výhodám hostiteľského DLP majú množstvo nevýhod spojených s potrebou inštalovať softvér agenta na každý počítač, ktorý sa má monitorovať. Po prvé, môže to spôsobiť určité ťažkosti, pokiaľ ide o nasadenie a správu takýchto systémov. Po druhé, používateľ s oprávneniami správcu sa môže pokúsiť zakázať tento softvér, aby vykonal akcie, ktoré nie sú povolené bezpečnostnou politikou.

Pre spoľahlivé ovládanie externých zariadení je však hostiteľské DLP nevyhnutné a spomínané problémy nie sú neriešiteľné. Môžeme teda skonštatovať, že koncept DLP je dnes plnohodnotným nástrojom v arzenáli firemných bezpečnostných služieb pri neustále sa zvyšujúcom tlaku na ne zabezpečenie vnútornej kontroly a ochrany pred únikmi.

IPC koncept

V procese vynájdenia nových prostriedkov na boj proti vnútorným hrozbám sa vedecké a inžinierske myslenie modernej spoločnosti nezastaví a vzhľadom na určité nedostatky prostriedkov diskutovaných vyššie sa trh systémov ochrany pred únikom informácií dostal ku konceptu IPC ( Ochrana a kontrola informácií). Tento výraz sa objavil relatívne nedávno, predpokladá sa, že bol prvýkrát použitý v recenzii analytickej spoločnosti IDC v roku 2007.

Podstatou tohto konceptu je spojenie metód DLP a šifrovania. V tomto koncepte DLP kontroluje informácie, ktoré opúšťajú podnikovú sieť cez technické kanály a šifrovanie sa používa na ochranu dátových nosičov, ktoré sa fyzicky dostanú alebo môžu dostať do rúk neoprávnených osôb.

Zvážte najbežnejšie šifrovacie technológie, ktoré možno použiť v koncepte IPC.

Šifrovanie magnetických pások.Napriek archaizmu tohto typu médií sa naďalej aktívne využíva Rezervovať kópiu a na prenos veľkého množstva informácií, pretože stále nemá rovnakú cenu, pokiaľ ide o jednotkovú cenu uloženého megabajtu. Úniky súvisiace so stratenými páskami preto naďalej potešujú redaktorov správ na titulnej strane a frustrujú riaditeľov IT a podnikových bezpečnostných pracovníkov, ktorí sú predmetom takýchto správ. Situáciu zhoršuje skutočnosť, že takéto pásky obsahujú veľmi veľké množstvo údajov, a preto sa veľké množstvo ľudí môže stať obeťami podvodníkov.
Šifrovanie serverových úložísk.Napriek tomu, že serverové úložisko sa prenáša veľmi zriedkavo a riziko jeho straty je neporovnateľne nižšie ako pri magnetickej páske, samostatný HDD skladovanie sa môže dostať do nesprávnych rúk. Oprava, likvidácia, modernizácia - tieto udalosti sa vyskytujú s dostatočnou pravidelnosťou na odpísanie tohto rizika. A situácia prieniku do kancelárie nepovolaných osôb nie je úplne nemožná udalosť.

Tu stojí za to urobiť malú odbočku a spomenúť bežnú mylnú predstavu, že ak je disk súčasťou poľa RAID, údajne sa nemusíte báť, že by sa dostal do neautorizovaných rúk. Zdalo by sa, že prekladanie zaznamenaných údajov viacerými pevné disky, ktorý vykonávajú radiče RAID, poskytuje nečitateľný pohľad na údaje, ktoré sú na akomkoľvek pevnom zobrazení. Žiaľ, nie je to celkom pravda. Prekladanie sa vykonáva, ale vo väčšine moderných zariadení sa vykonáva na úrovni 512-bajtového bloku. To znamená, že aj napriek porušeniu štruktúry a formátov súborov je možné z takéhoto pevného disku získať dôverné informácie. Preto, ak existuje požiadavka na zabezpečenie dôvernosti informácií, keď sú uložené v poli RAID, šifrovanie zostáva jedinou spoľahlivou možnosťou.

Šifrovanie notebookov.Bolo to povedané už nespočetne veľakrát, ale stále je strata notebookov s dôvernými informáciami v prvej päťke hitparády incidentov už mnoho rokov.
Šifrovanie vymeniteľných médií.V tomto prípade hovoríme o prenosných zariadeniach USB a niekedy aj o zapisovateľných diskoch CD a DVD, ak sa používajú v obchodných procesoch podniku. Takéto systémy, ako aj vyššie uvedené systémy šifrovania pevných diskov prenosných počítačov, môžu často fungovať ako súčasť hostiteľských systémov DLP. V tomto prípade sa hovorí o akomsi krypto-perimetri, ktorý zabezpečuje automatické transparentné šifrovanie médií vo vnútri a nemožnosť dešifrovať dáta mimo neho.

Šifrovanie teda môže výrazne zlepšiť možnosti systémov DLP a znížiť riziko úniku dôverných údajov. Napriek tomu, že koncept IPC sa formoval pomerne nedávno a výber integrovaných riešení IPC na trhu nie je príliš široký, priemysel túto oblasť aktívne rozvíja a je celkom možné, že po určitom čase sa tento koncept stane faktický štandard pre riešenie problémov vnútornej bezpečnosti a vnútornej bezpečnosti.kontrola.

závery

Ako je vidieť z túto recenziu Interné hrozby sú pomerne novou oblasťou informačnej bezpečnosti, ktorá sa však aktívne rozvíja a vyžaduje si zvýšenú pozornosť. Uvažované technológie kontroly dokumentov, DLP a IPC, umožňujú vybudovať pomerne spoľahlivý systém vnútornej kontroly a znížiť riziko úniku na prijateľnú úroveň. Táto oblasť informačnej bezpečnosti sa bude nepochybne naďalej rozvíjať, budú ponúkané novšie a pokročilejšie technológie, ale dnes si mnohé organizácie vyberajú jedno alebo druhé riešenie, pretože neopatrnosť v otázkach bezpečnosti informácií môže byť príliš drahá.

Alexej Raevskij
CEO spoločnosti SecurIT

Populárne v kategórii: