Zaščita programske opreme pred notranjimi osebami pdf. Zaščita pred notranjimi osebami s sistemom Zlock. Sistemi, ki temeljijo na statičnem blokiranju naprav

Zaščita programske opreme pred notranjimi osebami pdf. Zaščita pred notranjimi osebami s sistemom Zlock. Sistemi, ki temeljijo na statičnem blokiranju naprav

"Svetovalec", 2011, št. 9

"Kdor ima v lasti informacije, ima v lasti svet" - ta slavni aforizem Winstona Churchilla je v sodobni družbi bolj pomemben kot kdaj koli prej. V ospredje prihajajo znanje, ideje in tehnologija, vodilni položaj na trgu pa je odvisen od tega, kako zna podjetje upravljati svoj intelektualni kapital.

V teh razmerah postaja informacijska varnost organizacije še posebej pomembna.

Vsako uhajanje informacij konkurentom ali objava informacij o notranjih procesih takoj vpliva na položaje, ki jih podjetje zaseda na trgu.

Sistem varnost informacij zagotoviti zaščito pred različnimi grožnjami: tehničnimi, organizacijskimi in tistimi, ki jih povzroča človeški dejavnik.

Kot kaže praksa, so glavni kanal za uhajanje informacij notranji ljudje.

Sovražnik v zadnjem delu

Običajno je insajder zaposleni v podjetju, ki podjetju povzroči škodo z razkritjem zaupnih informacij.

Če pa upoštevamo tri glavne pogoje, katerih zagotavljanje je cilj informacijske varnosti - zaupnost, celovitost, razpoložljivost - lahko to definicijo razširimo.

Insajder se lahko imenuje zaposleni, ki ima zakonit uradni dostop do zaupnih informacij podjetja, kar povzroči razkritje, izkrivljanje, poškodovanje ali nedostopnost informacij.

To posploševanje je sprejemljivo, ker sodobni svet Kršitev celovitosti in dostopnosti informacij ima pogosto veliko hujše posledice za poslovanje kot razkritje zaupnih informacij.

Za mnoga podjetja ustavitev poslovnih procesov, četudi za kratek čas, grozi z velikimi finančnimi izgubami, motnje v delovanju v nekaj dneh pa lahko povzročijo tako močan udarec, da so posledice lahko usodne.

Različne organizacije, ki preučujejo poslovna tveganja, redno objavljajo rezultate svojih raziskav. Po njihovem mnenju so notranje informacije že vrsto let na prvem mestu na seznamu razlogov za kršitve informacijske varnosti.

Zaradi nenehnega naraščanja skupnega števila incidentov lahko sklepamo, da aktualnost problematike ves čas narašča.

Model grožnje

Za izgradnjo zanesljivega večplastnega sistema informacijske varnosti, ki bo pomagal pri učinkovitem boju proti problemu, je treba najprej ustvariti model groženj.

Razumeti morate, kdo so insajderji in kaj jih motivira, zakaj izvajajo določena dejanja.

Obstajajo različni pristopi k ustvarjanju takšnih modelov, vendar za praktične namene lahko uporabite naslednjo klasifikacijo, ki vključuje vse glavne vrste insajderjev.

Notranji heker

Takšen zaposleni ima praviloma nadpovprečno inženirsko usposobljenost in razume strukturo virov podjetja, arhitekturo računalniških sistemov in omrežij.

Hekerske akcije izvaja iz radovednosti, športnega interesa, raziskovanja meja lastnih zmožnosti.

Običajno se zaveda možne škode zaradi svojih dejanj, zato le redko povzroči otipljivo škodo.

Stopnja nevarnosti je srednja, saj lahko njegovo ravnanje povzroči začasno zaustavitev nekaterih procesov, ki potekajo v podjetju. Identifikacija dejavnosti je možna predvsem s tehničnimi sredstvi.

Neodgovoren in nizkokvalificiran delavec

Lahko ima različne spretnosti in dela v katerem koli oddelku podjetja.

Nevarno je, ker ne razmišlja o posledicah svojih dejanj, lahko dela z informacijskimi viri podjetja "s poskusi in napakami" ter nenamerno uničuje in izkrivlja informacije.

Običajno se ne spomni zaporedja svojih dejanj in ko odkrije negativne posledice, lahko o njih preprosto molči.

Lahko razkrije podatke, ki predstavljajo poslovno skrivnost, v osebnem pogovoru s prijateljem ali celo pri komuniciranju na internetnih forumih in v v socialnih omrežjih.

Stopnja nevarnosti je zelo visoka, še posebej če upoštevamo, da je tovrstni prestopnik pogostejši od drugih. Posledice njegovih dejavnosti so lahko veliko resnejše od posledic zavestnega napadalca.

Da bi preprečili posledice njegovih dejanj, je treba sprejeti celo vrsto različnih ukrepov, tako tehničnih (pooblastilo, obvezna delitev delovnih sej po računih) kot organizacijskih (nenehni nadzor vodstva nad procesom in rezultatom dela) .

Psihično nestabilna oseba

Tako kot predstavnik prejšnje vrste lahko dela na katerem koli položaju in ima zelo različne kvalifikacije. Nevarno zaradi nagnjenosti k šibko motiviranim dejanjem v pogojih psihološkega nelagodja: v ekstremnih situacijah, psihološki pritisk drugih zaposlenih ali preprosto močno razdraženost.

V afektu lahko razkrije zaupne podatke, poškoduje podatke in moti običajen potek dela drugih ljudi.

Stopnja nevarnosti je povprečna, vendar tovrstni prestopniki niso tako pogosti.

Da bi preprečili negativne posledice njegovih dejanj, je najučinkoviteje uporabiti upravne ukrepe - identificirati takšne ljudi na stopnji razgovora, omejiti dostop do informacij in vzdrževati udobno psihološko klimo v ekipi.

Užaljen, užaljen zaposleni

Najširša skupina potencialnih kršiteljev režima informacijske varnosti.

Teoretično je velika večina zaposlenih sposobna zagrešiti podjetju neprijazna dejanja.

To se lahko zgodi, ko vodstvo ne spoštuje osebnosti ali poklicnih lastnosti zaposlenega in kadar to vpliva na višino plačila.

Potencialno ta vrsta insajderja predstavlja zelo veliko nevarnost - možni so tako uhajanja kot poškodbe informacij, škoda zaradi njih pa bo zagotovo opazna za podjetje, saj jo zaposleni povzroči zavestno in dobro pozna vse ranljivosti.

Za odkrivanje dejavnosti so potrebni tako upravni kot tehnični ukrepi.

Nečist zaposleni

Zaposleni, ki poskuša dopolniti svoje osebno bogastvo na račun lastnine podjetja, za katerega dela. Med prisvojenimi predmeti so lahko različni nosilci zaupnih informacij (trdi diski, bliskovni pogoni, poslovni prenosniki).

V tem primeru obstaja tveganje, da informacije pridejo do ljudi, ki jim niso bile namenjene, s kasnejšo objavo ali prenosom na konkurente.

Nevarnost je povprečna, vendar ta vrsta ni neobičajna.

Za identifikacijo so najprej potrebni upravni ukrepi.

Predstavnik tekmovalca

Praviloma je visoko usposobljen in zaseda položaje, ki nudijo veliko možnosti za pridobivanje informacij, tudi zaupnih. To je bodisi obstoječi uslužbenec, ki so ga zaposlili konkurenti (pogosteje), bodisi insajder, ki je bil posebej uveden v podjetje.

Stopnja nevarnosti je zelo visoka, saj je škoda povzročena zavestno in z globokim razumevanjem vrednosti informacij, pa tudi ranljivosti podjetja.

Za identifikacijo dejavnosti so potrebni tako administrativni kot tehnični ukrepi.

Kaj krademo?

Razumevanje problema notranjih informacij je nemogoče brez upoštevanja narave ukradenih informacij.

Po statističnih podatkih je največ povpraševanja po osebnih podatkih strank ter informacijah o podjetjih in partnerjih strank, ki so v več kot polovici primerov ukradeni. Sledijo podrobnosti o transakcijah, pogojih pogodb in dobavah. Zelo zanimiva so tudi finančna poročila.

Pri oblikovanju nabora zaščitnih ukrepov se vsako podjetje neizogibno sooči z vprašanjem: katere specifične informacije zahtevajo posebne zaščitne ukrepe in katere jih ne potrebujejo?

Seveda so osnova za takšne odločitve podatki, pridobljeni kot rezultat analize tveganja. Vendar ima podjetje pogosto omejena finančna sredstva, ki jih lahko porabi za sistem informacijske varnosti, in morda ne bodo zadostovala za zmanjšanje vseh tveganj.

Dva pristopa

Žal ni pripravljenega odgovora na vprašanje: "Kaj najprej zaščititi."

Tega problema je mogoče obravnavati z dveh strani.

Tveganje je kompleksen indikator, ki upošteva tako verjetnost določene grožnje kot tudi možno škodo zaradi nje. V skladu s tem se lahko pri določanju varnostnih prioritet osredotočite na enega od teh kazalnikov. To pomeni, da so najprej zaščiteni tisti podatki, ki jih je najlažje ukrasti (če ima na primer dostop do njih večje število zaposlenih), in tisti, katerih kraja ali blokiranje bi povzročila najtežje posledice.

Pomemben vidik notranjega problema je kanal za prenos informacij. Več ko je fizičnih možnosti za prenos nepooblaščenih informacij izven podjetja, večja je verjetnost, da se bo to zgodilo.

Prenosni mehanizmi

Prenosne mehanizme lahko razvrstimo na naslednji način:

  • ustni prenos (osebni pogovor);
  • kanali za prenos tehničnih podatkov ( telefonske komunikacije, faks, e-pošta, sistemi za sporočanje, različne socialne internetne storitve itd.);
  • prenosni mediji in mobilne naprave (Mobilni telefon, zunanji trdi diski, prenosni računalniki, bliskovni pogoni itd.).

Glede na raziskave v našem času so najpogostejši kanali za prenos zaupnih podatkov (v padajočem vrstnem redu): elektronska pošta, mobilne naprave (vključno s prenosniki), družbena omrežja in druge internetne storitve (kot so sistemi za takojšnje sporočanje) itd.

Za nadzor tehničnih kanalov se lahko uporabljajo različna sredstva, na varnostnem trgu je trenutno na voljo široka paleta izdelkov.

Na primer, sistemi za filtriranje vsebin (sistemi dinamičnega blokiranja), sredstva za omejevanje dostopa do informacijskih medijev (CD, DVD, Bluetooth).

Uporabljajo se tudi administrativni ukrepi: filtriranje internetnega prometa, blokiranje fizičnih vrat delovnih postaj, zagotavljanje administrativnega režima in fizične varnosti.

Pri izbiri tehnična sredstva varovanje zaupnih podatkov zahteva sistematičen pristop. Samo na ta način je mogoče doseči največjo učinkovitost njihovega izvajanja.

Zavedati se morate tudi, da so izzivi, s katerimi se sooča vsako podjetje, edinstveni in da je pogosto preprosto nemogoče uporabiti rešitve, ki jih uporabljajo druge organizacije.

Boj proti notranjim informacijam ne bi smel potekati sam po sebi, temveč je pomemben sestavni del celotnega poslovnega procesa, katerega cilj je zagotavljanje režima informacijske varnosti.

Izvajati ga morajo strokovnjaki in vključevati celoten cikel dejavnosti: razvoj politike informacijske varnosti, določitev obsega, analizo tveganja, izbiro protiukrepov in njihovo izvajanje ter revizijo sistema informacijske varnosti.

Če podjetje ne zagotovi varnosti informacij v celotnem kompleksu, se tveganje finančnih izgub zaradi uhajanja in poškodbe informacij močno poveča.

Minimiziranje tveganj

Pregled

  1. Temeljito preverjanje kandidatov, ki se prijavljajo za katero koli delovno mesto v podjetju. Priporočljivo je zbrati čim več podatkov o kandidatu, vključno z vsebino njegovih strani na družbenih omrežjih. Pomaga lahko tudi, če zaprosite za referenco iz prejšnjega delovnega mesta.
  2. Kandidate za delovna mesta inženirjev informatike je treba posebej temeljito preveriti. Praksa kaže, da je več kot polovica vseh insajderjev sistemski skrbniki in programerji.
  3. Pri zaposlovanju mora biti opravljen vsaj minimalen psihološki pregled kandidatov. Pomagal bo prepoznati prosilce z nestabilnim duševnim zdravjem.

Pravica dostopa

  1. Sistem deljenja dostopa korporativni viri. Podjetje mora ustvariti regulativno dokumentacijo, ki razvršča informacije po stopnji zaupnosti in jasno določa pravice dostopa do njih. Dostop do vseh virov mora biti prilagojen.
  2. Pravice dostopa do virov bi morale biti dodeljene v skladu z načelom "minimalne zadostnosti". Dostopa do vzdrževanja tehnične opreme, tudi z skrbniškimi pravicami, ne sme vedno spremljati dostop do samih informacij.
  3. Čim bolj poglobljeno spremljanje uporabniških dejanj z obvezno avtorizacijo in beleženjem podatkov o izvedenih operacijah v dnevnik. Bolj kot se skrbno vodijo dnevniki, več nadzora ima vodstvo nad stanjem v podjetju. Enako velja za dejanja zaposlenega pri uporabi službenega dostopa do interneta.

Komunikacijski standard

  1. Organizacija mora sprejeti svoj standard komuniciranja, ki bi izključeval vse oblike neprimernega vedenja zaposlenih drug do drugega (agresivnost, nasilje, pretirana familijarnost). Najprej to velja za razmerje »vodja – podrejeni«.

Zaposleni v nobenem primeru ne sme imeti občutka, da se z njim ravna nepravično, da ga ne cenijo dovolj, da ga po nepotrebnem izkoriščajo ali da ga zavajajo.

Upoštevanje tega preprostega pravila vam bo omogočilo, da se izognete veliki večini situacij, ki izzovejo zaposlene, da posredujejo notranje informacije.

Zaupnost

Pogodba o nerazkritju ne sme biti zgolj formalnost. Podpisati ga morajo vsi zaposleni, ki imajo dostop do pomembnih informacijskih virov podjetja.

Poleg tega je treba potencialnim zaposlenim že v fazi razgovora razložiti, kako podjetje nadzoruje informacijsko varnost.

Nadzor sredstev

Predstavlja kontrolo tehničnih sredstev, ki jih zaposleni uporablja za namene dela.

Na primer, uporaba osebnega prenosnika je nezaželena, saj ko zaposleni odide, najverjetneje ne bo mogoče ugotoviti, katere informacije so shranjene na njem.

Iz istega razloga je nezaželeno uporabljati škatle E-naslov na zunanjih virih.

Notranja rutina

Podjetje mora upoštevati interne predpise.

Potreben je podatek o času, ki ga zaposleni preživijo na delovnem mestu.

Zagotovljen mora biti tudi nadzor nad gibanjem materialnih sredstev.

Skladnost z vsemi zgoraj navedenimi pravili bo zmanjšala tveganje škode ali uhajanja informacij prek notranjih informacij in tako pomagala preprečiti znatne finančne izgube ali izgube ugleda.

Poslovodni partner

skupina podjetij Hosting Community


Danes obstajata dva glavna kanala za uhajanje zaupnih informacij: naprave, povezane z računalnikom (vse vrste izmenljivih naprav za shranjevanje, vključno z bliskovnimi pogoni, CD/DVD pogoni itd., tiskalniki) in internet (e-pošta, ICQ, družabna omrežja). omrežja itd.). d.). In zato, ko je podjetje »zrelo« za uvedbo sistema zaščite pred njimi, je priporočljivo k tej rešitvi pristopiti celovito. Težava je v tem, da se za pokrivanje različnih kanalov uporabljajo različni pristopi. V enem primeru najbolj učinkovit način zaščita bo nadzorovala uporabo izmenljivih pogonov, druga pa bo vključevala različne možnosti za filtriranje vsebine, kar vam bo omogočilo blokiranje prenosa zaupnih podatkov v zunanje omrežje. Zato morajo podjetja za zaščito pred notranjimi osebami uporabljati dva produkta, ki skupaj tvorita celovit varnostni sistem. Seveda je bolje uporabiti orodja enega razvijalca. V tem primeru se poenostavi proces njihovega izvajanja, administracije in usposabljanja zaposlenih. Kot primer lahko navedemo izdelke SecurIT: Zlock in Zgate.

Zlock: zaščita pred puščanjem skozi odstranljive pogone

Program Zlock je na trgu že kar nekaj časa. In že smo. Načeloma se nima smisla ponavljati. Od objave članka pa sta bili izdani dve novi različici Zlocka, ki sta dodali številne pomembne funkcije. O njih je vredno spregovoriti, čeprav le na kratko.

Najprej velja omeniti možnost dodelitve več pravilnikov računalniku, ki se uporabljajo neodvisno glede na to, ali je računalnik povezan z korporativno omrežje neposredno, prek VPN ali deluje avtonomno. To zlasti omogoča samodejno blokiranje vrat USB in pogonov CD/DVD, ko je računalnik izključen iz lokalnega omrežja. Na splošno to funkcijo povečuje varnost informacij, shranjenih na prenosnih računalnikih, ki jih zaposleni lahko odnesejo iz pisarne na potovanja ali v službo doma.

drugič nova priložnost- omogočanje zaposlenim v podjetju začasnega dostopa do blokiranih naprav ali celo skupin naprav preko telefona. Načelo njegovega delovanja je izmenjava programsko ustvarjenih tajne kode med uporabnikom in zaposlenim, odgovornim za informacijsko varnost. Omeniti velja, da je dovoljenje za uporabo mogoče izdati ne le trajno, ampak tudi začasno (za določen čas ali do konca delovne seje). To orodje lahko štejemo za rahlo sprostitev varnostnega sistema, vendar omogoča večjo odzivnost IT oddelka na poslovne zahteve.

Naslednja pomembna novost v novih različicah Zlocka je nadzor nad uporabo tiskalnikov. Po nastavitvi bo varnostni sistem beležil vse zahteve uporabnikov do tiskalnih naprav v poseben dnevnik. A to še ni vse. Zlock zdaj ponuja senčno kopiranje vseh natisnjenih dokumentov. Vpišejo se format PDF in so popolna kopija natisnjenih strani, ne glede na to, katera datoteka je bila poslana v tiskalnik. To pomaga preprečiti uhajanje zaupnih informacij na listih papirja, ko notranji uporabnik natisne podatke, da bi jih odnesel iz pisarne. Varnostni sistem vključuje tudi senčno kopiranje podatkov, posnetih na CD/DVD ploščah.

Pomembna novost je bil pojav strežniške komponente Zlock Enterprise Management Server. Zagotavlja centralizirano shranjevanje in distribucijo varnostnih politik in drugih programskih nastavitev ter bistveno olajša administracijo Zlock v velikih in porazdeljenih informacijskih sistemih. Prav tako je nemogoče ne omeniti pojava lastnega sistema za preverjanje pristnosti, ki vam po potrebi omogoča, da opustite uporabo domenskih in lokalnih uporabnikov sistema Windows.

Poleg tega je v Najnovejša različica Zlock ima zdaj več manj opaznih, a prav tako pomembnih funkcij: spremljanje integritete odjemalskega modula z možnostjo blokiranja prijave uporabnika, ko je zaznan poseg, razširjene zmogljivosti za implementacijo varnostnega sistema, podpora za Oracle DBMS itd.

Zgate: zaščita pred uhajanjem interneta

Torej, Zgate. Kot smo že povedali, je ta izdelek sistem za zaščito pred uhajanjem zaupnih informacij prek interneta. Strukturno je Zgate sestavljen iz treh delov. Glavna je strežniška komponenta, ki izvaja vse operacije obdelave podatkov. Namestite ga lahko tako na ločen računalnik kot na tiste, ki že delujejo v podjetju informacijski sistem vozlišča - internetni prehod, krmilnik domene, poštni prehod itd. Ta modul je sestavljen iz treh komponent: za nadzor prometa SMTP, nadzor interne pošte strežnika Microsoft Exchange 2007/2010 in Zgate Web (odgovoren je za nadzor prometa HTTP, FTP in IM).

Drugi del varnostnega sistema je strežnik za beleženje. Uporablja se za zbiranje informacij o dogodkih z enega ali več strežnikov Zgate, njihovo obdelavo in shranjevanje. Ta modul je še posebej uporaben v velikih in geografsko porazdeljenih korporativni sistemi, saj omogoča centraliziran dostop do vseh podatkov. Tretji del je upravljalna konzola. Uporablja standardno konzolo za izdelke SecurIT, zato se o njej ne bomo podrobneje ukvarjali. Opozarjamo le, da lahko s tem modulom nadzorujete sistem ne le lokalno, ampak tudi na daljavo.

Upravljalska konzola

Sistem Zgate lahko deluje v več načinih. Poleg tega je njihova razpoložljivost odvisna od načina izvedbe izdelka. Prva dva načina vključujeta delo kot poštni proxy strežnik. Za njihovo izvedbo je sistem nameščen med poštnim strežnikom podjetja in »zunanjim svetom« (ali med poštnim in pošiljajočim strežnikom, če sta ločena). V tem primeru lahko Zgate tako filtrira promet (zadrži kršitvena in vprašljiva sporočila) kot tudi samo beleži (prepusti vsa sporočila, vendar jih shrani v arhiv).

Drugi način implementacije vključuje uporabo zaščitnega sistema v povezavi z Microsoft Exchange 2007 ali 2010. Če želite to narediti, morate namestiti Zgate neposredno v podjetje poštni strežnik. Na voljo sta tudi dva načina: filtriranje in beleženje. Poleg tega obstaja še ena možnost izvedbe. Govorimo o beleženju sporočil v načinu zrcaljenega prometa. Seveda je za njegovo uporabo potrebno zagotoviti, da računalnik, na katerem je nameščen Zgate, prejme isti zrcaljeni promet (običajno se to naredi z omrežno opremo).


Izbira načina delovanja Zgate

Komponenta Zgate Web si zasluži ločeno zgodbo. Nameščen je neposredno na internetni prehod podjetja. Hkrati ta podsistem pridobi možnost spremljanja HTTP, FTP in IM prometa, torej njegove obdelave za odkrivanje poskusov pošiljanja zaupnih informacij preko spletnih poštnih vmesnikov in ICQ, objavljanja na forumih, FTP strežnikih in družbenih omrežjih. omrežja itd. Mimogrede, o ICQ. Funkcija blokiranja sporočil IM je na voljo v številnih podobnih izdelkih. Vendar v njih ni "ICQ". Preprosto zato, ker je v rusko govorečih državah najbolj razširjena.

Načelo delovanja spletne komponente Zgate je precej preprosto. Vsakič, ko je informacija poslana kateri od nadzorovanih storitev, sistem ustvari posebno sporočilo. Vsebuje same informacije in nekatere storitvene podatke. Poslan je na glavni strežnik Zgate in obdelan v skladu z določenimi pravili. Pošiljanje informacij seveda ni blokirano v sami storitvi. To pomeni, da Zgate Web deluje samo v načinu beleženja. Z njegovo pomočjo ne morete preprečiti izoliranih uhajanj podatkov, lahko pa jih hitro zaznate in zaustavite dejavnosti prostovoljnega ali nenamernega napadalca.


Nastavitev spletne komponente Zgate

Način obdelave informacij v Zgate in postopek filtriranja določa pravilnik, ki ga pripravi varnostnik ali drug odgovorni uslužbenec. Predstavlja niz pogojev, od katerih vsak ustreza določenemu dejanju. Vsa dohodna sporočila se "poganjajo" skozi njih zaporedno eno za drugim. In če je kateri od pogojev izpolnjen, se sproži z njim povezano dejanje.


Sistem filtracije

Skupaj sistem zagotavlja 8 vrst pogojev, kot pravijo, "za vse priložnosti". Prva od teh je vrsta datoteke priponke. Z njegovo pomočjo lahko zaznate poskuse pošiljanja predmetov določenega formata. Omeniti velja, da se analiza ne izvaja po razširitvi, temveč po notranji strukturi datoteke in lahko določite tako določene vrste predmetov kot njihove skupine (na primer vse arhive, videoposnetke itd.). Druga vrsta pogojev je preverjanje z zunanjo aplikacijo. Kot aplikacija lahko deluje kot običajen program, ki se zažene iz ukazna vrstica, in scenarij.


Pogoji v filtrirnem sistemu

Toda naslednji pogoj je vreden podrobnejšega obravnavanja. Govorimo o vsebinski analizi posredovanih informacij. Najprej je treba opozoriti na "vsejedost" Zgate. Dejstvo je, da program "razume" veliko število različnih formatov. Zato lahko analizira ne samo preprosto besedilo, ampak tudi skoraj vsako prilogo. Druga značilnost analize vsebine so njene velike zmogljivosti. Lahko je sestavljen iz preprostega iskanja pojavitve v besedilu sporočila ali katerem koli drugem polju določene besede ali popolne analize, vključno z upoštevanjem slovničnih besednih oblik, korena in transkripcije. A to še ni vse. Posebej velja omeniti sistem za analizo vzorcev in regularnih izrazov. Z njegovo pomočjo lahko preprosto zaznate prisotnost podatkov v določeni obliki v sporočilih, na primer serije in številke potnega lista, telefonske številke, številke pogodbe, številke bančnega računa itd. To vam med drugim omogoča krepitev varstvo osebnih podatkov, ki jih družba obdeluje.


Vzorci za prepoznavanje različnih zaupnih informacij

Četrta vrsta pogojev je analiza naslovov, navedenih v pismu. Se pravi iskanje med njimi določenih nizov. Petič - analiza šifriranih datotek. Ko se izvede, se preverijo atributi sporočila in/ali ugnezdeni objekti. Šesta vrsta pogojev je preverjanje različnih parametrov črk. Sedma je analiza slovarjev. Med tem postopkom sistem zazna prisotnost besed iz vnaprej ustvarjenih slovarjev v sporočilu. In končno, zadnja, osma vrsta stanja je sestavljena. Predstavlja dva ali več drugih pogojev, združenih z logičnimi operatorji.

Mimogrede, moramo posebej povedati o slovarjih, ki smo jih omenili v opisu pogojev. So skupine besed, ki jih združuje ena lastnost in se uporabljajo pri različnih metodah filtriranja. Najbolj logično je, da ustvarite slovarje, ki vam bodo z veliko verjetnostjo omogočili razvrstitev sporočila v eno ali drugo kategorijo. Njihovo vsebino lahko vnesete ročno ali uvozite iz obstoječih besedilne datoteke. Obstaja še ena možnost za ustvarjanje slovarjev - samodejno. Ko ga uporablja, mora skrbnik preprosto določiti mapo, ki vsebuje ustrezne dokumente. Program jih bo sam analiziral, izbral potrebne besede in jim dodelil značilnosti teže. Za kakovostno sestavljanje slovarjev je treba navesti ne le zaupne datoteke, ampak tudi predmete, ki ne vsebujejo občutljivih informacij. Na splošno je postopek samodejnega generiranja najbolj podoben treningu zaščite pred neželeno pošto za oglaševanje in običajna pisma. In to ni presenetljivo, saj obe državi uporabljata podobne tehnologije.


Primer slovarja na finančno temo

Ko že govorimo o slovarjih, ne moremo omeniti še ene tehnologije za zaznavanje zaupnih podatkov, implementirane v Zgate. Govorimo o digitalnih prstnih odtisih. Bistvo ta metoda kot sledi. Skrbnik lahko označi sistemske mape, ki vsebujejo zaupne podatke. Program bo analiziral vse dokumente v njih in ustvaril "digitalne prstne odtise" - nize podatkov, ki vam omogočajo, da določite poskus prenosa ne le celotne vsebine datoteke, temveč tudi njenih posameznih delov. Upoštevajte, da sistem samodejno spremlja status map, ki so mu določene, in neodvisno ustvari "prstne odtise" za vse predmete, ki se znova pojavijo v njih.


Ustvarjanje kategorije z digitalnimi prstnimi odtisi datotek

No, zdaj je vse, kar nam ostane, ugotoviti ukrepe, ki se izvajajo v zadevnem zaščitnem sistemu. Skupno jih je v Zgateh že 14 prodanih. Vendar večina določa dejanja, ki se izvedejo s sporočilom. Sem sodijo zlasti brisanje brez pošiljanja (torej pravzaprav blokiranje prenosa pisma), arhiviranje, dodajanje ali brisanje priponk, spreminjanje raznih polj, vstavljanje besedila itd. Med njimi je zlasti vredno omeniti namestitev pisma v karanteno. To dejanje vam omogoča, da "odložite" sporočilo za ročno preverjanje s strani varnostnika, ki bo odločil o njegovi nadaljnji usodi. Zelo zanimivo je tudi dejanje, ki vam omogoča blokiranje IM povezave. Z njim lahko takoj blokirate kanal, prek katerega je bilo poslano sporočilo z zaupnimi informacijami.

Dve akciji stojita nekoliko ločeno - obdelava po Bayesovi metodi in obdelava po metodi prstnih odtisov. Oba sta zasnovana za preverjanje sporočil, da ugotovita, ali vsebujejo občutljive informacije. Le prvi uporablja slovarje in statistične analize, drugi pa digitalne prstne odtise. Ta dejanja je mogoče izvesti, ko je izpolnjen določen pogoj, na primer, če naslov prejemnika ni v domeni podjetja. Poleg tega jih (kot vse druge) lahko nastavite tako, da se brezpogojno uporabljajo za vsa odhodna sporočila. V tem primeru bo sistem črke analiziral in jih razvrstil v določene kategorije (če je to seveda mogoče). Toda za te kategorije lahko že ustvarite pogoje z izvajanjem določenih ukrepov.


Dejanja v sistemu Zgate

No, za konec najinega današnjega pogovora o Zgateju lahko še malo povzamemo. Ta sistem zaščite temelji predvsem na analizi vsebine sporočil. Ta pristop je najpogostejši za zaščito pred uhajanjem zaupnih informacij po internetu. Analiza vsebine seveda ne zagotavlja 100-odstotne stopnje zaščite in je precej verjetnostne narave. Vendar pa njegova uporaba prepreči večino primerov nepooblaščenega prenosa občutljivih podatkov. Naj ga podjetja uporabljajo ali ne? O tem se mora vsak odločiti sam, oceniti stroške izvedbe in možne težave v primeru uhajanja informacij. Omeniti velja, da Zgate odlično lovi regularne izraze, zaradi česar je zelo učinkovito sredstvo za zaščito osebnih podatkov, ki jih obdeluje podjetje.

Nedavne študije informacijske varnosti, kot je letna raziskava CSI/FBI ComputerCrimeAndSecuritySurvey, so pokazale, da se finančne izgube podjetij zaradi večine groženj iz leta v leto zmanjšujejo. Vendar obstaja več tveganj, zaradi katerih se izgube povečujejo. Eden od njih je namerna kraja zaupnih podatkov oziroma kršitev pravil ravnanja z njimi s strani tistih zaposlenih, ki jim je dostop do komercialnih podatkov nujen za opravljanje službenih nalog. Imenujejo se insajderji.

V veliki večini primerov se kraja zaupnih informacij izvaja z uporabo mobilnih medijev: CD-jev in DVD-jev, ZIP naprav in, kar je najpomembneje, vseh vrst USB pogonov. Prav njihova množična distribucija je povzročila razcvet insajderizma po vsem svetu. Šefi večine bank se dobro zavedajo nevarnosti, da na primer baza z osebnimi podatki njihovih komitentov ali pa transakcije na njihovih računih pridejo v roke kriminalnim strukturam. In poskušajo se boriti proti morebitni kraji informacij z organizacijskimi metodami, ki so jim na voljo.

Vendar so organizacijske metode v tem primeru neučinkovite. Danes lahko organizirate prenos informacij med računalniki z uporabo miniaturnega bliskovnega pogona, mobitel, mp3 predvajalnik, digitalni fotoaparat ... Seveda lahko poskusite prepovedati vnos vseh teh naprav v pisarno, vendar bo to, prvič, negativno vplivalo na odnose z zaposlenimi, in drugič, še vedno bo nemogoče vzpostaviti resnično učinkovit nadzor nad ljudmi zelo težko - banka ne " Poštni nabiralnik" In tudi onemogočanje vseh naprav na računalnikih, ki jih je mogoče uporabiti za zapisovanje informacij na zunanje medije (diske FDD in ZIP, pogoni CD in DVD itd.) in vrata USB, ne bo pomagalo. Navsezadnje so prvi potrebni za delo, drugi pa so povezani z različnimi zunanjimi napravami: tiskalniki, optičnimi bralniki itd. In nihče ne more preprečiti osebi, da za minuto izklopi tiskalnik, vstavi bliskovni pogon v prosta vrata in kopira vanj pomembna informacija. Seveda lahko najdete izvirne načine za zaščito. Na primer, ena banka je poskusila rešiti težavo s to metodo: stičišče vrat USB in kabla so napolnili z epoksidno smolo in slednjega tesno "privezali" na računalnik. Toda na srečo danes obstajajo bolj sodobne, zanesljive in prilagodljive metode nadzora.

Najučinkovitejše sredstvo za zmanjšanje tveganj, povezanih z notranjimi informacijami, je posebno programsko opremo, ki dinamično nadzoruje vse naprave in vrata računalnika, ki se lahko uporabljajo za kopiranje informacij. Načelo njihovega dela je naslednje. Dovoljenja za uporabo različnih vrat in naprav se nastavijo za vsako uporabniško skupino ali za vsakega uporabnika posebej. Največja prednost takšne programske opreme je prilagodljivost. Vnesete lahko omejitve za določene vrste naprav, njihove modele in posamezne primerke. To vam omogoča implementacijo zelo zapletenih politik razdeljevanja pravic dostopa.

Na primer, nekaterim zaposlenim boste morda želeli dovoliti uporabo katerega koli tiskalnika ali optičnega bralnika, priključenega na vrata USB. Vse druge naprave, vstavljene v ta vrata, pa bodo ostale nedostopne. Če banka uporablja sistem za avtentikacijo uporabnikov, ki temelji na žetonih, lahko v nastavitvah določite uporabljeni model ključa. Takrat bodo uporabniki smeli uporabljati samo naprave, ki jih bo kupilo podjetje, vse ostale pa bodo neuporabne.

Na podlagi zgoraj opisanega načela delovanja zaščitnih sistemov lahko razumete, katere točke so pomembne pri izbiri programov, ki izvajajo dinamično blokiranje snemalnih naprav in računalniških vrat. Prvič, to je vsestranskost. Zaščitni sistem mora pokrivati ​​celoten nabor možnih vrat in vhodno/izhodnih naprav. V nasprotnem primeru ostaja tveganje kraje komercialnih informacij nesprejemljivo visoko. Drugič, zadevna programska oprema mora biti prilagodljiva in vam omogoča ustvarjanje pravil z uporabo velike količine različnih informacij o napravah: njihovih vrstah, proizvajalcih modelov, edinstvenih številkah, ki jih ima vsak primerek itd. In tretjič, sistem notranje zaščite mora imeti možnost integracije z informacijskim sistemom banke, zlasti z ActiveDirectory. V nasprotnem primeru bo moral skrbnik oziroma varnostnik vzdrževati dve bazi podatkov o uporabnikih in računalnikih, kar ni le neprijetno, ampak tudi poveča tveganje za napake.

Zaščita informacij pred uporabo notranjih oseb programsko opremo

Aleksander Antipov

Upam, da bo sam članek in zlasti njegova razprava pomagal prepoznati različne nianse uporabe programskih orodij in bo postal izhodišče pri razvoju rešitve opisanega problema za strokovnjake za informacijsko varnost.


nahna

Tržni oddelek podjetja Infowatch že dolgo časa prepričuje vse zainteresirane strani – informatike, pa tudi najnaprednejše IT managerje, da največ škode zaradi kršitve informacijske varnosti podjetja nosijo insajderji – zaposleni, ki razkrivajo poslovne skrivnosti. Cilj je jasen – ustvariti moramo povpraševanje po izdelku, ki se proizvaja. In argumenti so videti precej trdni in prepričljivi.

Oblikovanje problema

Zgradite sistem za zaščito informacij pred krajo s strani osebja na podlagi LAN Aktivni imenik Windows 2000/2003. Uporabniške delovne postaje pod Nadzor Windows XP. Vodenje podjetja in računovodstvo na osnovi izdelkov 1C.
Tajni podatki so shranjeni na tri načine:
  1. DB 1C - dostop do omrežja prek RDP ( terminalski dostop);
  2. skupne mape na datotečnih strežnikih - dostop do omrežja;
  3. lokalno na osebnem računalniku zaposlenega;
Kanali uhajanja - internet in izmenljivi mediji (bliskovni pogoni, telefoni, predvajalniki itd.). Uporabe interneta in izmenljivih medijev ni mogoče prepovedati, saj so nujni za opravljanje službenih nalog.

Kaj je na trgu

Obravnavane sisteme sem razdelil v tri razrede:
  1. Sistemi, ki temeljijo na analizatorjih konteksta - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet itd.
  2. Sistemi, ki temeljijo na statičnem zaklepanju naprav - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Sistemi, ki temeljijo na dinamičnem blokiranju naprav - SecrecyKeeper, Strazh, Accord, SecretNet.

Sistemi, ki temeljijo na analizatorjih konteksta

Princip delovanja:
V posredovanih informacijah se iščejo ključne besede, na podlagi rezultatov iskanja pa se odloči o potrebi po blokadi prenosa.

Po mojem mnenju ima InfoWatch Traffic Monitor (www.infowatch.ru) največje zmogljivosti med navedenimi izdelki. Osnova je preizkušen mehanizem Kaspersky Antispam, ki v največji meri upošteva posebnosti ruskega jezika. Za razliko od drugih izdelkov InfoWatch Traffic Monitor pri analizi ne upošteva le prisotnosti določenih vrstic v podatkih, ki se preverjajo, temveč tudi vnaprej določeno težo vsake vrstice. Tako se pri sprejemanju končne odločitve upošteva ne samo pojavnost določenih besed, temveč tudi kombinacije, v katerih se pojavljajo, kar omogoča povečanje prilagodljivosti analizatorja. Preostale funkcije so standardne za to vrsto izdelka - analiza arhivov, dokumentov MS Office, možnost blokiranja prenosa datotek neznanega formata ali arhivov, zaščitenih z geslom.

Slabosti obravnavanih sistemov na podlagi kontekstualne analize:

  • Spremljata se samo dva protokola - HTTP in SMTP (za InfoWatch Traffic Monitor, za promet HTTP pa se preverjajo samo podatki, poslani z zahtevami POST, kar vam omogoča, da organizirate kanal uhajanja s prenosom podatkov z metodo GET);
  • Naprave za prenos podatkov niso nadzorovane - diskete, CD-ji, DVD-ji, USB-pogoni itd. (InfoWatch ima izdelek za ta primer: InfoWatch Net Monitor).
  • za obhod sistemov, zgrajenih na podlagi analize vsebine, je dovolj, da uporabite najpreprostejše kodiranje besedila (na primer: skrivnost -> с1е1к1р1е1т) ali steganografijo;
  • naslednjega problema ni mogoče rešiti z metodo vsebinske analize - ne pride na misel ustrezen formalni opis, zato bom navedel samo primer: obstajata dve datoteki Excel - v prvi so maloprodajne cene (javne informacije), v drugič - veleprodajne cene za določeno stranko (zasebni podatki), vsebina datotek se razlikuje le v številkah. Teh datotek ni mogoče razlikovati z analizo vsebine.
Zaključek:
Kontekstualna analiza je primerna samo za ustvarjanje prometnih arhivov in preprečevanje nenamernega uhajanja informacij in ne reši problema.

Sistemi, ki temeljijo na statičnem blokiranju naprav

Princip delovanja:
Uporabnikom so dodeljene pravice dostopa do nadzorovanih naprav, podobno kot pravice dostopa do datotek. Načeloma je skoraj enak učinek mogoče doseči s standardnimi mehanizmi Windows.

Zlock (www.securit.ru) - izdelek se je pojavil relativno nedavno, zato ima minimalno funkcionalnost (ne štejem dodatkov) in ni posebej dobro delujoč, na primer, upravljalna konzola se včasih zruši, ko poskušate shraniti nastavitve.

DeviceLock (www.smartline.ru) je bolj zanimiv izdelek, ki je na trgu že precej časa, zato deluje veliko bolj stabilno in ima bolj raznoliko funkcionalnost. Omogoča na primer senčno kopiranje posredovanih informacij, kar lahko pomaga pri preiskavi incidenta, ne pa tudi pri njegovem preprečevanju. Poleg tega bo takšna preiskava najverjetneje izvedena, ko bo znano, da je uhajanje, tj. precejšnje obdobje po tem, ko se pojavi.

InfoWatch Net Monitor (www.infowatch.ru) je sestavljen iz modulov - DeviceMonitor (analogno Zlock), FileMonitor, OfficeMonitor, AdobeMonitor in PrintMonitor. DeviceMonitor je analog Zlock, standardna funkcionalnost, brez rozin. FileMonitor - nadzor dostopa do datotek. OfficeMonitor in AdobeMonitor omogočata nadzor nad tem, kako se datoteke obravnavajo v njihovih aplikacijah. Za FileMonitor, OfficeMonitor in AdobeMonitor je trenutno precej težko pripraviti bolj uporabno kot igračo aplikacijo, a v prihodnjih različicah naj bi bilo mogoče izvajati kontekstualno analizo obdelanih podatkov. Morda bodo takrat ti moduli razkrili svoj potencial. Čeprav je treba omeniti, da naloga kontekstualne analize operacij datotek ni trivialna, še posebej, če je osnova za filtriranje vsebine enaka kot pri Traffic Monitorju, tj. omrežje.

Ločeno je treba povedati o zaščiti agenta pred uporabnikom s pravicami lokalnega skrbnika.
ZLock in InfoWatch Net Monitor takšne zaščite enostavno nimata. Tisti. uporabnik lahko ustavi agenta, kopira podatke in znova zažene agenta.

DeviceLock ima tako zaščito, kar je vsekakor plus. Temelji na prestrezanju sistemskih klicev za delo z registrom, datotečni sistem in upravljanje procesov. Druga prednost je, da zaščita deluje tudi v varnem načinu. Obstaja pa tudi minus - če želite onemogočiti zaščito, je dovolj, da obnovite tabelo deskriptorjev storitve, kar lahko storite s prenosom preprostega gonilnika.

Slabosti obravnavanih sistemov, ki temeljijo na statičnem blokiranju naprav:

  • Prenos informacij v omrežje ni nadzorovan.
  • - Ne zna ločiti tajnih podatkov od nezaupnih. Deluje po načelu ali je vse mogoče ali pa nič ni nemogoče.
  • Zaščita pred razkladanjem agenta je odsotna ali jo je zlahka zaobiti.
Zaključek:
Takih sistemov ni priporočljivo izvajati, ker ne rešijo problema.

Sistemi, ki temeljijo na dinamičnem zaklepanju naprav

Princip delovanja:
dostop do prenosnih kanalov je blokiran glede na stopnjo dostopa uporabnika in stopnjo tajnosti podatkov, s katerimi se dela. Za izvajanje tega načela ti izdelki uporabljajo avtoritativni mehanizem za nadzor dostopa. Ta mehanizem se ne pojavlja zelo pogosto, zato se bom o njem podrobneje posvetil.

Avtoritativni (prisilni) nadzor dostopa, v nasprotju z diskrecijskim (implementiranim v varnostnem sistemu Windows NT in novejših), je, da lastnik vira (na primer datoteke) ne more oslabiti zahtev za dostop do tega vira, lahko pa krepite jih le v mejah vaše ravni. Zahteve lahko omili le uporabnik s posebnimi pooblastili – pooblaščenec za informacijsko varnost ali skrbnik.

Glavni cilj razvoja produktov, kot so Guardian, Accord, SecretNet, DallasLock in nekateri drugi, je bila možnost certificiranja informacijskih sistemov, v katere bodo ti produkti vgrajeni, glede skladnosti z zahtevami Državne tehnične komisije (zdaj FSTEC). Takšno certificiranje je obvezno za informacijske sisteme, v katerih se obdelujejo državni podatki. skrivnost, ki je zagotavljala predvsem povpraševanje po izdelkih državnih podjetij.

Zato je bil nabor funkcij, implementiranih v teh izdelkih, določen z zahtevami ustreznih dokumentov. Kar je posledično privedlo do dejstva, da večina funkcionalnosti, implementirane v izdelkih, podvaja standard Windows funkcionalnost(čiščenje objektov po izbrisu, čiščenje RAM-a) ali pa ga uporablja implicitno (diskriminatorni nadzor dostopa). Razvijalci DallasLocka so šli še dlje z uvedbo obveznega nadzora dostopa za svoj sistem prek diskrecijskega nadzornega mehanizma Windows.

Praktična uporaba takšnih izdelkov je zelo neprijetna; DallasLock na primer zahteva ponovno razdelitev za namestitev trdi disk, ki ga je treba izvesti tudi s programsko opremo tretjih oseb. Zelo pogosto so bili po certificiranju ti sistemi odstranjeni ali onemogočeni.

SecrecyKeeper (www.secrecykeeper.com) je še en izdelek, ki izvaja avtoritativni mehanizem za nadzor dostopa. Po mnenju razvijalcev je bil SecrecyKeeper razvit posebej za reševanje določenega problema - preprečevanje kraje informacij v komercialni organizaciji. Zato je bila po besedah ​​razvijalcev posebna pozornost med razvojem namenjena preprostosti in enostavnosti uporabe, tako za sistemske skrbnike kot za navadne uporabnike. Kako uspešno je bilo to, naj presodi potrošnik, t.j. nas. Poleg tega SecrecyKeeper izvaja številne mehanizme, ki jih v drugih omenjenih sistemih ni - na primer možnost nastavitve stopnje zasebnosti za vire z oddaljenim dostopom in mehanizem zaščite agentov.
Nadzor gibanja informacij v SecrecyKeeper se izvaja na podlagi stopnje tajnosti informacij, ravni uporabniških dovoljenj in ravni računalniške varnosti, ki ima lahko vrednosti javno, tajno in strogo tajno. Raven informacijske varnosti vam omogoča, da podatke, ki se obdelujejo v sistemu, razvrstite v tri kategorije:

javni - niso tajni podatki, pri delu z njimi ni omejitev;

skrivnost - tajne informacije, pri delu z njimi so uvedene omejitve glede na ravni dovoljenj uporabnika;

strogo zaupno - strogo zaupne informacije; pri delu z njimi so uvedene omejitve glede na ravni dovoljenj uporabnika.

Raven informacijske varnosti lahko nastavite za datoteko, omrežni pogon in vrata računalnika, na katerem se izvaja neka storitev.

Stopnje dovoljenja uporabnika vam omogočajo, da določite, kako lahko uporabnik premakne informacije glede na njegovo raven varnosti. Obstajajo naslednje ravni uporabniških dovoljenj:

Raven uporabniškega dovoljenja - omejuje najvišjo raven varnosti informacij, do katerih lahko zaposleni dostopa;

Raven dostopa do omrežja - omejuje najvišjo raven varnosti informacij, ki jih zaposleni lahko prenaša po omrežju;

Raven dostopa do izmenljivih medijev – omejuje najvišjo raven varnosti informacij, ki jih lahko zaposleni kopira na zunanji medij.

Raven dostopa do tiskalnika - omejuje najvišjo raven varnosti informacij, ki jih lahko zaposleni natisne.

Raven računalniške varnosti - določa najvišjo raven varnosti informacij, ki jih je mogoče shraniti in obdelati v računalniku.

Dostop do informacij s stopnjo javne varnosti lahko zagotovi uslužbenec s poljubnim varnostnim dovoljenjem. Takšne informacije je mogoče brez omejitev prenašati po omrežju in kopirati na zunanji medij. Zgodovina dela z informacijami, razvrščenimi kot javne, se ne spremlja.

Dostop do podatkov s stopnjo varnosti tajnost lahko pridobijo le zaposleni, katerih stopnja varnosti je enaka tajnosti ali višja. Samo zaposleni, katerih raven dostopa do omrežja je tajna ali višja, lahko posredujejo takšne informacije v omrežje. Samo zaposleni, katerih stopnja dostopa do izmenljivih medijev je tajna ali višja, lahko kopirajo take informacije na zunanji medij. Samo zaposleni, katerih raven dostopa do tiskalnika je tajna ali višja, lahko natisnejo takšne podatke. Zgodovina dela z informacijami s stopnjo tajnosti, tj. beležijo se poskusi dostopa do njega, poskusi prenosa prek omrežja, poskusi kopiranja na zunanji medij ali tiskanja.

Dostop do podatkov s stopnjo tajnosti strogo tajno lahko pridobijo le zaposleni, katerih varnostna stopnja je enaka stopnji tajnosti. Samo zaposleni, katerih stopnja dostopa do omrežja je enaka strogo zaupno, lahko posredujejo takšne podatke v omrežje. Samo zaposleni, katerih stopnja dostopa do izmenljivih medijev je enaka strogo zaupno, lahko kopirajo take podatke na zunanji medij. Takšne podatke lahko natisnejo samo zaposleni, katerih raven dostopa do tiskalnika je enaka strogo zaupno. Zgodovina dela s podatki s stopnjo strogo tajnosti, t.j. beležijo se poskusi dostopa do njega, poskusi prenosa prek omrežja, poskusi kopiranja na zunanji medij ali tiskanja.

Primer: naj ima zaposleni raven dovoljenj, ki je enaka strogo zaupno, raven dostopa do omrežja, ki je enaka zaupnosti, raven dostopa do izmenljivih medijev, ki je enaka javnosti, in raven dostopa do tiskalnika, ki je enako zaupno; v tem primeru lahko zaposleni pridobi dostop do dokumenta s katero koli stopnjo tajnosti, zaposleni lahko prenese informacije v omrežje s stopnjo tajnosti, ki ni višja od tajne, kopira npr. na diskete, zaposleni lahko podatke le s stopnjo javne tajnosti, zaposleni pa si lahko poljubne podatke natisne na tiskalnik.

Za upravljanje razširjanja informacij po celotnem podjetju je vsakemu računalniku, dodeljenemu zaposlenemu, dodeljena raven računalniške varnosti. Ta raven omejuje najvišjo raven varnosti informacij, do katere lahko kateri koli zaposleni dostopa iz danega računalnika, ne glede na stopnjo dovoljenja zaposlenega. to. Če ima zaposleni raven dovoljenj, ki je enaka strogo zaupno, in ima računalnik, na katerem trenutno dela, raven varnosti, ki je enaka javnosti, potem zaposleni s te delovne postaje ne bo mogel dostopati do informacij z varnostno stopnjo, višjo od javne.

Oboroženi s teorijo, poskusimo uporabiti SecrecyKeeper za rešitev težave. Informacije, ki se obdelujejo v informacijskem sistemu obravnavanega abstraktnega podjetja (glej navedbo problema), lahko poenostavljeno opišemo z naslednjo tabelo:

Zaposleni v podjetju in področje njihovih poklicnih interesov so opisani z drugo tabelo:

Naj se v podjetju uporabljajo naslednji strežniki:
Strežnik 1C
Datotečni strežnik z žogicami:
SecretDocs - vsebuje tajne dokumente
PublicDocs - vsebuje javno dostopne dokumente

Upoštevajte, da se za organizacijo standardnega nadzora dostopa uporabljajo standardne zmogljivosti operacijski sistem in aplikacijsko programsko opremo, tj. da bi na primer vodji preprečili dostop do osebnih podatkov zaposlenih, ni treba uvajati dodatnih sistemov zaščite. Govorimo konkretno o preprečevanju širjenja informacij, do katerih ima zaposleni zakonit dostop.

Preidimo na dejansko konfiguracijo SecrecyKeeper.
Ne bom opisoval postopka namestitve upravljalne konzole in agentov, vse je čim bolj preprosto - glejte dokumentacijo za program.
Nastavitev sistema je sestavljena iz naslednjih korakov.

Korak 1. Namestite agente na vse osebne računalnike razen na strežnike - to jim takoj prepreči pridobivanje informacij, za katere je stopnja tajnosti nastavljena višje od javne.

2. korak. Dodelite ravni dovoljenja zaposlenim v skladu z naslednjo tabelo:

Raven uporabniškega dovoljenja Raven dostopa do omrežja Raven dostopa do izmenljivih medijev Raven dostopa do tiskalnika
direktorica skrivnost skrivnost skrivnost skrivnost
vodja skrivnost javnosti javnosti skrivnost
kadrovski referent skrivnost javnosti javnosti skrivnost
računovodja skrivnost javnosti skrivnost skrivnost
tajnica javnosti javnosti javnosti javnosti

3. korak. Določite ravni računalniške varnosti na naslednji način:

4. korak. Konfigurirajte ravni informacijske varnosti na strežnikih:

5. korak. Konfigurirajte ravni informacijske varnosti na osebnih računalnikih zaposlenih za lokalne datoteke. To je najbolj zamuden del, saj je treba jasno razumeti, kateri zaposleni delajo s kakšnimi informacijami in kako kritične so te informacije. Če je vaša organizacija opravila revizijo informacijske varnosti, lahko njeni rezultati zelo olajšajo nalogo.

Korak 6. Po potrebi vam SecrecyKeeper omogoča omejitev seznama programov, ki jih uporabniki smejo zagnati. Ta mehanizem je implementiran neodvisno od pravilnika o omejevanju programske opreme Windows in se lahko uporabi, če je na primer treba uvesti omejitve za uporabnike s skrbniškimi pravicami.

Tako je s pomočjo SecrecyKeeper mogoče bistveno zmanjšati tveganje nepooblaščenega razširjanja tajnih podatkov – tako uhajanja kot kraje.

Napake:
- težave z začetna nastavitev ravni zasebnosti za lokalne datoteke;

Splošni zaključek:
Največje možnosti za zaščito informacij pred notranjimi osebami zagotavlja programska oprema, ki ima možnost dinamičnega urejanja dostopa do kanalov za prenos informacij, odvisno od stopnje tajnosti podatkov, s katerimi se dela, in stopnje varnostnega preverjanja zaposlenega.

Podjetje je edinstvena storitev za kupce, razvijalce, trgovce in pridružene partnerje. Poleg tega je to eden od najboljše spletne trgovine Programska oprema v Rusiji, Ukrajini, Kazahstanu, ki strankam ponuja široko paleto, veliko načinov plačila, hitro (pogosto takojšnjo) obdelavo naročil, sledenje postopka naročila v osebnem razdelku.

Problem zaščite pred notranjimi grožnjami je v zadnjem času postal pravi izziv za razumljiv in uveljavljen svet korporativne informacijske varnosti. Tisk govori o insajderjih, raziskovalci in analitiki svarijo pred morebitnimi izgubami in težavami, viri novic pa so polni poročil o še enem incidentu, ki je zaradi napake ali malomarnosti zaposlenega privedel do uhajanja več sto tisoč podatkov o strankah. Poskusimo ugotoviti, ali je ta težava tako resna, ali jo je treba obravnavati in katera orodja in tehnologije obstajajo za njeno rešitev.

Najprej je vredno ugotoviti, da je grožnja zaupnosti podatkov notranja, če je njen vir zaposleni v podjetju ali katera koli druga oseba, ki ima zakonit dostop do teh podatkov. Ko torej govorimo o notranjih grožnjah, govorimo o kakršnih koli možna dejanja zakonitih uporabnikov, namernih ali naključnih, kar lahko vodi do uhajanja zaupnih informacij izven korporativnega omrežja podjetja. Za popolnost je vredno dodati, da se takšni uporabniki pogosto imenujejo insajderji, čeprav ima ta izraz druge pomene.

Relevantnost problema notranjih groženj potrjujejo rezultati nedavnih študij. Zlasti oktobra 2008 so bili objavljeni rezultati skupne študije Compuware in Ponemon Institute, po kateri so notranji ljudje najpogostejši vzrok uhajanja podatkov (75 % incidentov v ZDA), medtem ko so hekerji le na petem mestu. mesto. V letni študiji Inštituta za računalniško varnost (CSI) iz leta 2008 so številke za število incidentov notranjih groženj naslednje:

Število incidentov kot odstotek pomeni število vseh anketirancev ta tip incident zgodil v določenem odstotku organizacij. Kot je razvidno iz teh številk, skoraj vsaka organizacija obstaja tveganje, da bo utrpela notranje grožnje. Za primerjavo, po istem poročilu so virusi prizadeli 50 % anketiranih organizacij, hekerji pa so se infiltrirali lokalno omrežje le 13 % jih je naletelo na to.

torej notranje grožnje– to je današnja realnost in ne mit, ki so si ga izmislili analitiki in prodajalci. Tisti, ki po starem verjamejo, da je korporativna informacijska varnost požarni zid in antivirus, morajo torej na problem čim prej pogledati širše.

Stopnjo napetosti povečuje tudi zakon o osebnih podatkih, po katerem bodo morale organizacije in uradniki za nepravilno ravnanje z osebnimi podatki odgovarjati ne le svojemu vodstvu, temveč tudi svojim strankam in zakonu.

Model vsiljivca

Tradicionalno, ko razmišljamo o grožnjah in obrambi pred njimi, je treba začeti z analizo nasprotnikovega modela. Kot smo že omenili, bomo govorili o notranjih osebah - zaposlenih v organizaciji in drugih uporabnikih, ki imajo zakonit dostop do zaupnih informacij. Praviloma ob teh besedah ​​vsi pomislijo na pisarniškega uslužbenca, ki dela na računalniku kot del korporativnega omrežja, ki med delom ne zapusti pisarne organizacije. Vendar je takšna predstavitev nepopolna. Treba ga je razširiti na druge vrste oseb z zakonitim dostopom do informacij, ki lahko zapustijo pisarno organizacije. To so lahko poslovni potniki s prenosnimi računalniki ali tisti, ki delajo tako v pisarni kot doma, kurirji, ki prenašajo medije z informacijami, predvsem magnetne trakove z varnostno kopijo itd.

Tako razširjeno obravnavanje modela vsiljivca se, prvič, ujema s konceptom, saj se grožnje, ki jih predstavljajo ti vsiljivci, nanašajo tudi na notranje, in drugič, omogoča širšo analizo problema z upoštevanjem vseh možne možnosti boj proti tem grožnjam.

Razlikujemo lahko naslednje glavne vrste notranjih kršiteljev:

  • Nelojalen/zamerljiv zaposleni.Kršitelji, ki spadajo v to kategorijo, lahko delujejo namenoma, na primer z zamenjavo službe in se želijo dokopati do zaupnih podatkov, da bi zainteresirali novega delodajalca, ali čustveno, če se imajo za užaljene in se tako želijo maščevati. Nevarni so, ker so najbolj motivirani, da povzročijo škodo organizaciji, v kateri trenutno delajo. Število incidentov, v katere so vpleteni nelojalni zaposleni, je praviloma majhno, vendar se lahko poveča v razmerah neugodnih gospodarskih razmer in velikega zmanjševanja števila zaposlenih.
  • Infiltriran, podkupljen ali zmanipuliran uslužbenec.V tem primeru govorimo o o kakršnih koli namenskih dejanjih, običajno z namenom industrijskega vohunjenja v razmerah močne konkurence. Za zbiranje zaupnih informacij bodisi vpeljejo svojo osebo v konkurenčno podjetje za določene namene, ali najdejo manj kot lojalnega zaposlenega in ga podkupijo, ali pa lojalnega, a neprevidnega zaposlenega s socialnim inženiringom prisilijo, da preda zaupne podatke. Število tovrstnih incidentov je običajno še manjše od prejšnjih zaradi dejstva, da v večini segmentov gospodarstva v Ruski federaciji konkurenca ni zelo razvita ali se izvaja na druge načine.
  • Malomaren uslužbenec. Ta vrsta kršitelj je lojalen, a nepazljiv ali malomaren uslužbenec, ki lahko krši politiko notranja varnost podjetja zaradi njene nevednosti ali pozabljivosti. Tak uslužbenec lahko pomotoma pošlje e-poštno sporočilo s priloženo občutljivo datoteko napačni osebi ali pa domov odnese bliskovni pogon z zaupnimi informacijami, na katerem bo delal čez vikend, in ga izgubi. V to vrsto spadajo tudi zaposleni, ki izgubijo prenosnike in magnetne trakove. Po mnenju mnogih strokovnjakov je ta vrsta insajderja odgovorna za večino uhajanja zaupnih informacij.

Tako se lahko motivi in ​​posledično tudi ravnanje morebitnih kršiteljev bistveno razlikujejo. Glede na to se morate lotiti naloge zagotavljanja notranje varnosti organizacije.

Tehnologije za zaščito pred notranjimi grožnjami

Kljub relativni mladosti tega tržnega segmenta imajo stranke že zdaj veliko izbire glede na svoje cilje in finančne zmožnosti. Omeniti velja, da zdaj na trgu praktično ni prodajalcev, ki bi bili specializirani izključno za notranje grožnje. To stanje ni nastalo le zaradi nezrelosti tega segmenta, ampak tudi zaradi agresivne in včasih kaotične politike združitev in prevzemov, ki jih izvajajo proizvajalci tradicionalnih varnostnih izdelkov in drugi prodajalci, ki jih zanima prisotnost v tem segmentu. Spomnimo na podjetje RSA Data Security, ki je leta 2006 postalo oddelek EMC, nakup startupa Decru s strani NetAppa, ki je razvijal sisteme za zaščito strežniških pomnilnikov in varnostne kopije leta 2005, Symantecov nakup prodajalca DLP Vontu leta 2007 itd.

Kljub dejstvu, da veliko število takšnih transakcij kaže na dobre možnosti za razvoj tega segmenta, ne koristijo vedno kakovosti izdelkov, ki prihajajo pod okrilje. velike korporacije. Izdelki se začnejo razvijati počasneje, razvijalci pa se ne odzivajo tako hitro na zahteve trga kot visoko specializirana podjetja. To je znana bolezen velikih podjetij, ki, kot vemo, v mobilnosti in učinkovitosti izgubljajo pred manjšimi brati. Po drugi strani pa se kakovost storitev in dostopnost izdelkov za kupce na različnih koncih sveta izboljšujeta zaradi razvoja njihove servisne in prodajne mreže.

Oglejmo si glavne tehnologije, ki se trenutno uporabljajo za nevtralizacijo notranjih groženj, njihove prednosti in slabosti.

Nadzor dokumentov

Tehnologija nadzora dokumentov je utelešena v sodobnih izdelkih za upravljanje pravic, kot je npr Microsoft Windows Storitve upravljanja pravic, Adobe LiveCycle Rights Management ES in Oracle Information Rights Management.

Načelo delovanja teh sistemov je dodelitev pravil uporabe za vsak dokument in nadzor teh pravic v aplikacijah, ki delajo s tovrstnimi dokumenti. Na primer, lahko ustvarite dokument Microsoft Word in zanj določite pravila: kdo si ga lahko ogleduje, kdo lahko ureja in shranjuje spremembe in kdo lahko tiska. Ta pravila se v pogojih Windows RMS imenujejo licenca in so shranjena skupaj z datoteko. Vsebina datoteke je šifrirana, da nepooblaščenim uporabnikom prepreči ogled.

Zdaj, če kateri koli uporabnik poskuša odpreti tako zaščiteno datoteko, aplikacija vzpostavi stik s posebnim strežnikom RMS, potrdi dovoljenja uporabnika in, če je dostop temu uporabniku dovoljen, strežnik posreduje ključ aplikaciji za dešifriranje te datoteke in informacij o pravicah tega uporabnika. Na podlagi teh informacij daje aplikacija uporabniku na voljo samo tiste funkcije, za katere ima pravice. Na primer, če uporabniku ni dovoljeno natisniti datoteke, funkcija tiskanja aplikacije ne bo na voljo.

Izkazalo se je, da so informacije v takšni datoteki varne, tudi če datoteka zaide iz omrežja podjetja - je šifrirana. Funkcionalnost RMS je že vgrajena v aplikacije Microsoft Office 2003 Professional Edition. Za vgradnjo funkcionalnosti RMS v aplikacije drugih razvijalcev Microsoft ponuja poseben SDK.

Adobejev sistem za nadzor dokumentov je zgrajen na podoben način, vendar je osredotočen na dokumente v formatu PDF. Oracle IRM je nameščen na odjemalskih računalnikih kot agent in se med izvajanjem integrira z aplikacijami.

Nadzor dokumentov je pomemben del celotnega koncepta zaščite pred notranjimi grožnjami, vendar je treba upoštevati inherentne omejitve te tehnologije. Prvič, zasnovan je izključno za spremljanje datotek dokumentov. Če govorimo o nestrukturiranih datotekah ali bazah podatkov, ta tehnologija ne deluje. Drugič, če napadalec z uporabo SDK tega sistema ustvari preprosto aplikacijo, ki bo komunicirala s strežnikom RMS, od tam prejela šifrirni ključ in shranila dokument v čistem besedilu ter zagnala to aplikacijo v imenu uporabnika, ki ima minimalna raven dostopa do dokumenta, torej ta sistem bo obšel. Poleg tega je treba upoštevati težave pri izvajanju sistema za nadzor dokumentov, če je organizacija že ustvarila veliko dokumentov - naloga začetnega razvrščanja dokumentov in dodeljevanja pravic za njihovo uporabo lahko zahteva veliko truda.

To ne pomeni, da sistemi za nadzor dokumentov ne izpolnjujejo naloge, zavedati se moramo le, da je informacijska varnost kompleksen problem in ga praviloma ni mogoče rešiti samo z enim orodjem.

Zaščita pred puščanjem

Izraz preprečevanje izgube podatkov (DLP) se je v besednjaku strokovnjakov za informacijsko varnost pojavil relativno nedavno in je brez pretiravanja že postal najbolj vroča tema zadnjih let. Okrajšava DLP se praviloma nanaša na sisteme, ki spremljajo morebitne kanale puščanja in jih blokirajo, če se prek teh kanalov poskuša poslati kakršne koli zaupne informacije. Poleg tega v funkciji podobni sistemi pogosto vključuje zmožnost arhiviranja informacij, ki gredo skoznje, za kasnejše revizije, preiskave incidentov in retrospektivno analizo možnih tveganj.

Obstajata dve vrsti sistemov DLP: omrežni DLP in gostiteljski DLP.

Omrežni DLP deluje na principu omrežnega prehoda, ki filtrira vse podatke, ki gredo skozi njega. Očitno je, glede na nalogo boja proti notranjim grožnjam, glavni interes takšnega filtriranja v zmožnosti nadzora podatkov, ki se prenašajo zunaj omrežja podjetja v internet. Omrežni DLP-ji vam omogočajo spremljanje odhodne pošte, prometa http in ftp, storitev neposrednega sporočanja itd. Če so zaznane občutljive informacije, lahko omrežni DLP-ji blokirajo poslano datoteko. Obstajajo tudi možnosti ročne obdelave sumljivih datotek. Sumljive datoteke se postavijo v karanteno, ki jo občasno pregleda varnostnik in dovoli ali zavrne prenos datotek. Vendar pa je zaradi narave protokola takšna obdelava mogoča le za elektronsko pošto. Dodatne priložnosti za revizijo in preiskavo incidentov so zagotovljene z arhiviranjem vseh informacij, ki gredo skozi prehod, pod pogojem, da se ta arhiv redno pregleduje in njegova vsebina analizira, da se odkrijejo uhajanja, do katerih je prišlo.

Eden glavnih problemov pri implementaciji in implementaciji sistemov DLP je način zaznavanja zaupnih informacij, to je trenutek sprejema odločitve o tem, ali so posredovane informacije zaupne in razlogi, ki se upoštevajo pri takšni odločitvi. . Praviloma se to naredi z analizo vsebine prenesenih dokumentov, imenovano tudi analiza vsebine. Razmislimo o glavnih pristopih k odkrivanju zaupnih informacij.

  • Oznake. Ta metoda je podobna zgoraj obravnavanim sistemom za nadzor dokumentov. V dokumente so vdelane oznake, ki opisujejo stopnjo zaupnosti informacij, kaj je mogoče narediti s tem dokumentom in komu naj se pošlje. Na podlagi rezultatov analize oznak se sistem DLP odloči, ali je to mogoče ta dokument poslati ven ali ne. Nekateri sistemi DLP so na začetku združljivi s sistemi za upravljanje pravic za uporabo nalepk, ki jih ti sistemi namestijo; drugi sistemi uporabljajo svojo lastno obliko nalepk.
  • Podpisi. Ta metoda je sestavljena iz podajanja enega ali več zaporedij znakov, katerih prisotnost v besedilu prenesene datoteke bi morala sistemu DLP povedati, da ta datoteka vsebuje zaupne informacije. Veliko število podpisov je mogoče organizirati v slovarje.
  • Bayesova metoda. Ta metoda, ki se uporablja za boj proti neželeni pošti, se lahko uspešno uporablja tudi v sistemih DLP. Za uporabo te metode je ustvarjen seznam kategorij in seznam besed je označen z verjetnostmi, da če se beseda pojavi v datoteki, potem datoteka z dano verjetnostjo pripada ali ne pripada določeni kategoriji.
  • Morfološka analiza.Metoda morfološke analize je podobna signaturi, razlika je v tem, da se ne analizira 100% ujemanje s signaturo, ampak se upoštevajo tudi podobne korenske besede.
  • Digitalni tisk.Bistvo te metode je, da se zgoščevalna funkcija za vse zaupne dokumente izračuna tako, da če se dokument malo spremeni, zgoščevalna funkcija ostane enaka ali pa se tudi nekoliko spremeni. Tako je postopek odkrivanja zaupnih dokumentov močno poenostavljen. Kljub navdušenim pohvalam te tehnologije s strani številnih prodajalcev in nekaterih analitikov je njena zanesljivost daleč od želenega in glede na to, da prodajalci pod različnimi pretvezami raje puščajo podrobnosti implementacije algoritma za digitalne prstne odtise v senci, zaupajte v njem se ne poveča.
  • Regularni izrazi.Poznajo vsi, ki imajo opravka s programiranjem, regularni izrazi olajša iskanje podatkov predloge v besedilu, kot so telefonske številke, podatki o potnih listih, številke bančnih računov, številke socialnega zavarovanja itd.

Iz zgornjega seznama je enostavno razbrati, da metode odkrivanja bodisi ne zagotavljajo 100-odstotne identifikacije zaupnih informacij, saj je stopnja napak tako prve kot druge vrste v njih precej visoka, ali pa zahtevajo stalno budnost varnostne službe, da posodabljanje in vzdrževanje posodobljenega seznama podpisov ali nalepk dodelitev za zaupne dokumente.

Poleg tega lahko šifriranje prometa povzroči določeno težavo pri delovanju omrežne DLP. Če varnostne zahteve zahtevajo šifriranje e-poštnih sporočil ali uporabo SSL pri povezovanju s katerim koli spletnim virom, je lahko težavo ugotavljanja prisotnosti zaupnih informacij v prenesenih datotekah zelo težko rešiti. Ne pozabite, da imajo nekatere storitve neposrednega sporočanja, kot je Skype, privzeto vgrajeno šifriranje. Morali boste zavrniti uporabo takšnih storitev ali uporabiti DLP gostitelja za njihov nadzor.

Kljub vsem zapletenostim pa lahko omrežni DLP, če je pravilno konfiguriran in jemljen resno, znatno zmanjša tveganje uhajanja zaupnih informacij in organizaciji zagotovi priročno sredstvo notranjega nadzora.

Gostitelj DLP so nameščeni na vsakem gostitelju v omrežju (na odjemalskih delovnih postajah in po potrebi na strežnikih) in se lahko uporabljajo tudi za nadzor internetnega prometa. Vendar so DLP-ji, ki temeljijo na gostitelju, v tej vlogi manj razširjeni in se trenutno uporabljajo predvsem za nadzor zunanje naprave in tiskalniki. Kot veste, zaposleni, ki v službo prinese bliskovni pogon ali predvajalnik MP3, predstavlja veliko večjo grožnjo informacijski varnosti podjetja kot vsi hekerji skupaj. Ti sistemi se imenujejo tudi varnostna orodja za končne točke omrežja ( varnost končne točke), čeprav se ta izraz pogosto uporablja širše, na primer protivirusni izdelki se včasih imenujejo tako.

Kot veste, je težavo uporabe zunanjih naprav mogoče rešiti brez kakršnih koli sredstev, tako da onemogočite vrata fizično ali z uporabo operacijskega sistema ali administrativno tako, da zaposlenim prepoveste, da bi v pisarno prinesli kakršne koli medije za shranjevanje. Vendar pa je v večini primerov pristop »poceni in veselo« nesprejemljiv, saj ni zagotovljena zahtevana fleksibilnost informacijskih storitev, ki jo zahtevajo poslovni procesi.

Zaradi tega je bilo določeno povpraševanje po posebna sredstva, s pomočjo katerega lahko bolj fleksibilno rešite problem uporabe zunanjih naprav in tiskalnikov s strani zaposlenih v podjetju. Takšna orodja vam omogočajo konfiguracijo pravic dostopa za uporabnike različne vrste naprave, na primer za eno skupino uporabnikov, da prepovejo delo z mediji in jim omogočijo delo s tiskalniki, za drugo pa - omogočijo delo z mediji v načinu samo za branje. Če je potrebno za posameznega uporabnika zapisovati podatke na zunanje naprave, se lahko uporabi tehnologija shadow copy, ki poskrbi, da se vsi podatki, ki so shranjeni na zunanji napravi, prekopirajo na strežnik. Kopirane informacije je mogoče naknadno analizirati za analizo uporabnikovih dejanj. Ta tehnologija kopira vse in trenutno ni sistemov, ki bi omogočali analizo vsebine shranjenih datotek, da bi blokirali delovanje in preprečili uhajanje, kot to počnejo omrežni DLP-ji. Vendar pa bo arhiv senčnih kopij zagotovil preiskave incidentov in retrospektivno analizo dogodkov v omrežju, prisotnost takšnega arhiva pa pomeni, da je potencialnega insajderja mogoče ujeti in kaznovati za svoja dejanja. To se lahko zanj izkaže kot pomembna ovira in pomemben razlog za opustitev sovražnih dejanj.

Omeniti velja tudi nadzor nad uporabo tiskalnikov – tudi tiskane kopije dokumentov lahko postanejo vir uhajanja. Gostujoči DLP vam omogoča nadzor uporabniškega dostopa do tiskalnikov na enak način kot druge zunanje naprave in shranjevanje kopij natisnjenih dokumentov v grafični format za naknadno analizo. Poleg tega se je nekoliko razširila tehnologija vodnih žigov, ki na vsako stran dokumenta natisne edinstveno kodo, s katero lahko natančno ugotovimo, kdo, kdaj in kje je ta dokument natisnil.

Kljub nedvomnim prednostim gostiteljskega DLP-ja imajo številne pomanjkljivosti, povezane s potrebo po namestitvi agentske programske opreme na vsak računalnik, ki naj bi ga spremljali. Prvič, to lahko povzroči določene težave pri uvajanju in upravljanju takih sistemov. Drugič, uporabnik s skrbniškimi pravicami lahko poskusi onemogočiti to programsko opremo za izvajanje dejanj, ki jih varnostna politika ne dovoljuje.

Za zanesljiv nadzor zunanjih naprav pa je gostiteljski DLP nepogrešljiv in omenjene težave niso nerešljive. Tako lahko sklepamo, da je koncept DLP zdaj polnopravno orodje v arzenalu korporativnih varnostnih služb ob vedno večjem pritisku nanje, da zagotovijo notranji nadzor in zaščito pred uhajanjem.

Koncept IPC

V procesu izumljanja novih sredstev za boj proti notranjim grožnjam se znanstvena in inženirska misel sodobne družbe ne ustavi in ​​ob upoštevanju nekaterih pomanjkljivosti sredstev, o katerih smo govorili zgoraj, je trg sistemov za zaščito pred uhajanjem informacij prišel na trg. koncept IPC (Information Protection and Control). Ta izraz se je pojavil relativno nedavno, domneva se, da je bil prvič uporabljen v pregledu analitične družbe IDC leta 2007.

Bistvo tega koncepta je združiti DLP in metode šifriranja. V tem konceptu se z uporabo DLP informacije, ki zapuščajo omrežje podjetja, nadzorujejo prek tehnične kanale, šifriranje pa se uporablja za zaščito medijev za shranjevanje, ki fizično padejo ali bi lahko padli v roke nepooblaščenim osebam.

Oglejmo si najpogostejše tehnologije šifriranja, ki se lahko uporabljajo v konceptu IPC.

  • Šifriranje magnetnih trakov.Kljub arhaičnosti te vrste medijev se še naprej aktivno uporablja za Rezervni izvod in za prenos velikih količin informacij, saj še vedno nima para v smislu stroškov na enoto shranjenega megabajta. Skladno s tem uhajanje trakov še naprej razveseljuje urednike novic, ki jih objavijo na prvi strani, in frustrira direktorje informatike in varnostne ekipe podjetij, ki postanejo junaki takih poročil. Situacijo otežuje dejstvo, da takšni trakovi vsebujejo zelo velike količine podatkov, zato lahko veliko število ljudi postane žrtev prevarantov.
  • Šifriranje strežniških shramb.Kljub temu, da se strežniška shramba zelo redko prevaža in je tveganje za njeno izgubo neizmerno manjše kot pri magnetnem traku, ločen HDD iz skladišča lahko pride v roke kriminalcev. Popravilo, odstranitev, nadgradnja – ti dogodki se pojavljajo dovolj redno, da se to tveganje odpiše. In situacija nepooblaščenega vstopa v pisarno ni povsem nemogoč dogodek.

Tukaj je vredno narediti majhno digresijo in omeniti splošno napačno prepričanje, da če je disk del polja RAID, potem vam domnevno ni treba skrbeti, da bi padel v napačne roke. Zdi se, da menjava zapisanih podatkov v več trdi diski, ki ga izvajajo krmilniki RAID, zagotavlja neberljiv videz podatkov, ki se nahajajo na kateri koli trdi vrsti. Žal to ne drži povsem. Do prepletanja sicer pride, vendar se v večini sodobnih naprav izvaja na ravni 512-bajtnega bloka. To pomeni, da je kljub kršitvi datotečne strukture in formatov zaupne informacije še vedno mogoče izvleči iz takega trdega diska. Če torej obstaja zahteva po zagotavljanju zaupnosti informacij, ko so shranjene v polju RAID, šifriranje ostaja edina zanesljiva možnost.

  • Šifriranje prenosnih računalnikov.To je bilo že neštetokrat povedano, a vseeno izguba prenosnikov z zaupnimi informacijami že vrsto let ne izstopa iz prve peterice parade incidentov.
  • Šifriranje izmenljivih medijev.V tem primeru govorimo o prenosnih USB napravah in včasih tudi o zapisljivih CD-jih in DVD-jih, če se uporabljajo v poslovnih procesih podjetja. Takšni sistemi, kot tudi zgoraj omenjeni sistemi za šifriranje trdega diska prenosnika, lahko pogosto delujejo kot komponente gostiteljskih sistemov DLP. V tem primeru govorijo o nekakšnem kriptografskem perimetru, ki zagotavlja samodejno transparentno šifriranje medijev v notranjosti in nezmožnost dešifriranja podatkov zunaj njega.

Tako lahko šifriranje znatno razširi zmogljivosti sistemov DLP in zmanjša tveganje uhajanja zaupnih podatkov. Kljub dejstvu, da se je koncept IPC oblikoval relativno nedavno in izbira kompleksnih IPC rešitev na trgu ni zelo široka, industrija aktivno raziskuje to področje in povsem možno je, da bo čez nekaj časa ta koncept postal de facto standard za reševanje problemov notranje varnosti in notranje varnosti.

zaključki

Kot je razvidno iz ta pregled, notranje grožnje so dokaj novo področje informacijske varnosti, ki se kljub temu aktivno razvija in zahteva večjo pozornost. Upoštevane tehnologije nadzora dokumentov, DLP in IPC omogočajo izgradnjo dokaj zanesljivega sistema notranjega nadzora in zmanjšanje tveganja uhajanja na sprejemljivo raven. Nedvomno se bo to področje informacijske varnosti še razvijalo, ponujale se bodo novejše in naprednejše tehnologije, a danes se številne organizacije odločajo za eno ali drugo rešitev, saj je malomarnost pri vprašanjih informacijske varnosti lahko predraga.

Aleksej Rajevski
Direktor podjetja SecurIT



Priljubljeno v kategoriji:
Kako ustvariti karaoke posnetek v računalniku?
Kako ustvariti karaoke posnetek v računalniku?
prebrati
Za igro je potrebna aplikacija Origin, vendar ni nameščena. FIFA 16 zahteva Origin.
Za igranje je potrebna aplikacija Origin, ni pa nameščena FIFA...
prebrati
Registracija osebne strani na družbenem omrežju Facebook
Registracija osebne strani na družbenem omrežju Facebook
prebrati
Kako zagnati preprosto skeniranje Nmap Nmap
Kako zagnati preprosto skeniranje Nmap Nmap
prebrati

Najnovejši članki
Kako obrniti sliko za nekaj stopinj...
prebrati
Onemogočanje oglaševanja v brskalniku Yandex Kje ...
prebrati
Odpravljanje težav s povezavo Wi-Fi na...
prebrati
Spremenite geslo v profilu Windows 10
prebrati
Navodila za nastavitev brezžičnih usmerjevalnikov...
prebrati
Kako izbrati trdi disk in katerega je bolje kupiti ...
prebrati
Meizu za telebane. Klici in adresar....
prebrati
Prenesite program PDFMaster
prebrati
Vrh