Programvara skydd mot insiders pdf. Skydd från insiders som använder Zlock-systemet. System baserade på statisk enhetsblockering

Programvara skydd mot insiders pdf. Skydd från insiders som använder Zlock-systemet. System baserade på statisk enhetsblockering

"Konsult", 2011, N 9

"Den som äger informationen äger världen" - denna berömda aforism av Winston Churchill är mer relevant än någonsin i det moderna samhället. Kunskap, idéer och teknik kommer i förgrunden och marknadsledarskapet beror på hur väl ett företag kan hantera sitt intellektuella kapital.

Under dessa förhållanden blir informationssäkerheten i en organisation särskilt viktig.

Varje läckage av information till konkurrenter eller publicering av information om interna processer påverkar omedelbart de positioner som företaget intar på marknaden.

Systemet informationssäkerhet bör ge skydd mot en mängd olika hot: tekniska, organisatoriska och de som orsakas av den mänskliga faktorn.

Som praxis visar är den huvudsakliga kanalen för informationsläckage insiders.

Fiende i ryggen

Vanligtvis är en insider en företagsanställd som orsakar skada på företaget genom att avslöja konfidentiell information.

Men om vi överväger de tre huvudvillkoren, vars tillhandahållande är målet för informationssäkerhet - konfidentialitet, integritet, tillgänglighet - kan denna definition utökas.

En insider kan kallas en anställd som har legitim officiell tillgång till konfidentiell information om ett företag, vilket orsakar avslöjande, förvrängning, skada eller otillgänglighet av information.

Denna generalisering är acceptabel eftersom modern värld Brott mot informationens integritet och tillgänglighet medför ofta mycket allvarligare konsekvenser för företagen än utlämnande av konfidentiell information.

För många företag hotar upphörandet av affärsprocesser, även under en kort tid, betydande ekonomiska förluster, och funktionsstörningar inom några dagar kan orsaka ett så kraftigt slag att dess konsekvenser kan bli ödesdigra.

Olika organisationer som studerar affärsrisk publicerar regelbundet resultaten av sin forskning. Enligt dem har insiderinformation genomgående hamnat först på listan över orsaker till brott mot informationssäkerheten under många år.

På grund av den stadiga ökningen av det totala antalet incidenter kan vi konstatera att problemets relevans ökar hela tiden.

Hotmodell

För att bygga ett tillförlitligt skiktat informationssäkerhetssystem som hjälper till att effektivt bekämpa problemet, är det först och främst nödvändigt att skapa en hotmodell.

Du måste förstå vilka insiders är och vad som motiverar dem, varför de vidtar vissa åtgärder.

Det finns olika tillvägagångssätt för att skapa sådana modeller, men för praktiska ändamål kan du använda följande klassificering, som inkluderar alla huvudtyper av insiders.

Intern hacker

En sådan anställd har som regel över genomsnittet ingenjörskvalifikationer och förstår strukturen på företagsresurser, arkitekturen för datorsystem och nätverk.

Han utför hackande åtgärder av nyfikenhet, sportintresse, utforska gränserna för sina egna förmågor.

Vanligtvis är han medveten om den möjliga skadan från hans handlingar, så han orsakar sällan påtaglig skada.

Graden av fara är medelhög, eftersom hans handlingar kan orsaka ett tillfälligt stopp av vissa processer som sker i företaget. Identifiering av aktiviteter är möjlig främst genom tekniska medel.

Ansvarslös och lågkvalificerad medarbetare

Kan ha en mängd olika kompetenser och arbeta inom vilken avdelning som helst på företaget.

Det är farligt eftersom det inte tenderar att tänka på konsekvenserna av sina handlingar, det kan arbeta med företagets informationsresurser "genom försök och misstag" och oavsiktligt förstöra och förvränga information.

Vanligtvis kommer han inte ihåg sekvensen av sina handlingar, och när han upptäcker negativa konsekvenser kan han helt enkelt vara tyst om dem.

Kan avslöja information som utgör en affärshemlighet i ett personligt samtal med en vän eller till och med när man kommunicerar på internetforum och i i sociala nätverk.

Farograden är mycket hög, särskilt med tanke på att den här typen av gärningsmän är vanligare än andra. Konsekvenserna av hans aktiviteter kan vara mycket allvarligare än en medveten angripares.

För att förhindra konsekvenserna av hans handlingar är det nödvändigt att vidta en hel rad olika åtgärder, både tekniska (auktorisering, obligatorisk uppdelning av arbetssessioner efter konton) och organisatoriska (ständig ledningskontroll över processen och resultatet av arbetet) .

Psykologiskt instabil person

Precis som en representant för den tidigare typen kan han arbeta i vilken position som helst och har väldigt olika kvalifikationer. Farligt på grund av en tendens till svagt motiverade handlingar under tillstånd av psykiskt obehag: i extrema situationer, psykisk press från andra anställda eller helt enkelt stark irritation.

I ett affektivt tillstånd kan det avslöja konfidentiell information, skada data och störa andra människors vanliga arbetsförlopp.

Farograden är genomsnittlig, men den här typen av förövare är inte så vanlig.

För att förhindra de negativa konsekvenserna av hans handlingar är det mest effektivt att använda administrativa åtgärder - för att identifiera sådana personer i intervjustadiet, begränsa tillgången till information och upprätthålla ett bekvämt psykologiskt klimat i laget.

Förolämpad, kränkt anställd

Den bredaste gruppen av potentiella överträdare av informationssäkerhetsregimen.

Teoretiskt sett är de allra flesta anställda kapabla att begå handlingar som är ovänliga mot företaget.

Detta kan ske när ledningen visar respektlöshet för medarbetarens personlighet eller yrkesegenskaper, och när detta påverkar lönenivån.

Potentiellt utgör denna typ av insider en mycket stor fara - både läckor och skador på information är möjliga, och skadan från dem kommer garanterat att bli märkbar för verksamheten, eftersom den anställde orsakar det medvetet och känner till alla sårbarheter väl.

Både administrativa och tekniska åtgärder behövs för att upptäcka aktiviteter.

Oren anställd

En anställd som försöker komplettera sin personliga förmögenhet på bekostnad av egendomen i företaget som han arbetar för. Bland de föremål som tillägnas kan det finnas olika medier med konfidentiell information ( hårddiskar, flash-enheter, bärbara företagsdatorer).

I det här fallet finns det risk för att information når personer som den inte var avsedd för, med efterföljande publicering eller överföring till konkurrenter.

Faran är genomsnittlig, men denna typ är inte ovanlig.

För att identifiera behövs först administrativa åtgärder.

Konkurrentens representant

Han är i regel högt kvalificerad och innehar befattningar som ger stora möjligheter att få information, inklusive konfidentiell information. Detta är antingen en befintlig anställd som rekryterats, köpts ut av konkurrenter (oftare), eller en insider som speciellt introducerats i företaget.

Farlighetsgraden är mycket hög, eftersom skadan orsakas medvetet och med en djup förståelse för informationens värde, samt företagets sårbarheter.

För att identifiera aktiviteter behövs både administrativa och tekniska åtgärder.

Vad är det vi stjäl?

Att förstå problemet med insiderinformation är omöjligt utan att ta hänsyn till arten av den stulna informationen.

Enligt statistik är det mest efterfrågade personuppgifter om kunder, liksom information om kundföretag och partners, de stjäls i mer än hälften av fallen. Detaljer om transaktioner, avtalsvillkor och leveranser följer. Finansiella rapporter är också av stort intresse.

När man bildar en uppsättning skyddsåtgärder står varje företag oundvikligen inför frågan: vilken specifik information kräver speciella skyddsåtgärder och vad behöver inte dem?

Grunden för sådana beslut är givetvis de uppgifter som erhållits till följd av riskanalysen. Men ofta har ett företag begränsade ekonomiska resurser som kan läggas på ett informationssäkerhetssystem, och de kanske inte räcker till för att minimera alla risker.

Två tillvägagångssätt

Tyvärr finns det inget klart svar på frågan: "Vad ska man skydda först."

Detta problem kan närma sig från två sidor.

Risk är en komplex indikator som tar hänsyn till både sannolikheten för ett visst hot och den möjliga skadan från det. Följaktligen, när du anger säkerhetsprioriteringar, kan du fokusera på en av dessa indikatorer. Det betyder att den information som skyddas först är den som är lättast att stjäla (till exempel om ett stort antal anställda har tillgång till den), och den information vars stöld eller blockering skulle leda till de allvarligaste konsekvenserna.

En viktig aspekt av insiderproblemet är informationsöverföringskanalen. Ju fler fysiska möjligheter det finns för att obehörig information kan överföras utanför företaget, desto mer sannolikt är det att så sker.

Överföringsmekanismer

Överföringsmekanismer kan klassificeras enligt följande:

  • muntlig överföring (personligt samtal);
  • tekniska dataöverföringskanaler ( telefonkommunikation, fax, e-post, meddelandesystem, olika sociala internettjänster, etc.);
  • bärbara media och Mobil enheter (Mobiltelefoner, externa hårddiskar, bärbara datorer, flash-enheter, etc.).

Enligt forskning i vår tid är de vanligaste kanalerna för att överföra konfidentiell data (i fallande ordning): e-post, mobila enheter (inklusive bärbara datorer), sociala nätverk och andra internettjänster (som snabbmeddelandesystem), etc.

För att styra tekniska kanaler kan olika medel användas, ett brett utbud av produkter som idag finns på säkerhetsmarknaden.

Till exempel, innehållsfiltreringssystem (dynamiska blockeringssystem), sätt att begränsa åtkomsten till informationsmedia (CD, DVD, Bluetooth).

Administrativa åtgärder tillämpas också: filtrering av internettrafik, blockering av fysiska portar på arbetsstationer, säkerställande av administrativa regler och fysisk säkerhet.

När man väljer tekniska medel Att skydda konfidentiell information kräver ett systematiskt tillvägagångssätt. Endast på detta sätt kan den största effektiviteten uppnås från genomförandet.

Du måste också förstå att utmaningarna som varje företag står inför är unika och att det ofta helt enkelt är omöjligt att använda lösningar som används av andra organisationer.

Kampen mot insiderinformation bör inte genomföras på egen hand, den är en viktig del av den övergripande affärsprocessen som syftar till att säkerställa en informationssäkerhetsregim.

Den måste utföras av yrkesverksamma och omfatta en fullständig cykel av aktiviteter: utveckling av en informationssäkerhetspolicy, fastställande av omfattningen, riskanalys, val av motåtgärder och deras genomförande, samt revision av informationssäkerhetssystemet.

Om ett företag inte säkerställer informationssäkerhet genom hela komplexet ökar riskerna för ekonomiska förluster från läckor och skador på information kraftigt.

Minimera risker

Undersökning

  1. Noggrann genomgång av sökande som söker eventuella tjänster i företaget. Det rekommenderas att samla in så mycket information som möjligt om kandidaten, inklusive innehållet på hans sidor på sociala nätverk. Det kan också hjälpa att be om en referens från en tidigare arbetsplats.
  2. Kandidater till befattningar som IT-ingenjör bör genomgå en särskilt noggrann genomgång. Praxis visar att mer än hälften av alla insiders är det systemadministratörer och programmerare.
  3. Vid anställning måste åtminstone en minsta psykologisk kontroll av kandidater utföras. Det kommer att hjälpa till att identifiera sökande med instabil psykisk hälsa.

Tillträdesrätt

  1. Accessdelningssystem företagens resurser. Företaget måste skapa regulatorisk dokumentation som rangordnar information efter konfidentialitetsnivå och tydligt definierar åtkomsträttigheter till den. Tillgång till alla resurser måste vara personlig.
  2. Tillgångsrätt till resurser bör tilldelas enligt principen om "minimitillräcklighet". Tillgång till underhåll av teknisk utrustning, även med administratörsrättigheter, bör inte alltid åtföljas av tillgång att se själva informationen.
  3. Så djup som möjligt övervakning av användaråtgärder, med obligatorisk auktorisering och registrering av information om utförda operationer i en logg. Ju mer noggrant loggarna förs, desto mer kontroll har ledningen över situationen i företaget. Detsamma gäller för den anställdes handlingar vid användning av officiell tillgång till Internet.

Kommunikationsstandard

  1. Organisationen måste anta sin egen kommunikationsstandard, som skulle utesluta alla former av olämpligt beteende av anställda mot varandra (aggression, våld, överdriven förtrogenhet). Först och främst gäller detta relationen "chef-underordnad".

Under inga omständigheter får en anställd känna att han blir orättvist behandlad, att han inte värderas tillräckligt, att han utnyttjas i onödan eller att han blir lurad.

Genom att följa denna enkla regel kan du undvika de allra flesta situationer som provocerar anställda att ge insiderinformation.

Sekretess

Ett sekretessavtal bör inte vara en ren formalitet. Den ska undertecknas av alla anställda som har tillgång till viktiga informationsresurser företag.

Dessutom behöver potentiella medarbetare även på intervjustadiet förklaras hur företaget kontrollerar informationssäkerheten.

Fondkontroll

Representerar kontroll av tekniska medel som används av en anställd i arbetssyfte.

Till exempel, att använda en personlig bärbar dator är oönskat, eftersom när en anställd lämnar kommer det troligen inte att vara möjligt att ta reda på vilken information som lagras på den.

Av samma anledning är det inte önskvärt att använda lådor E-post på externa resurser.

Intern rutin

Företaget måste följa interna regler.

Det är nödvändigt att ha information om den tid anställda tillbringar på arbetsplatsen.

Kontroll av förflyttningen av materiella tillgångar måste också säkerställas.

Efterlevnad av alla ovanstående regler kommer att minska risken för skada eller läckage av information genom insiderinformation, och kommer därför att bidra till att förhindra betydande ekonomiska förluster eller anseende.

Verkställande partner

grupp av företag Hosting Community


Idag finns det två huvudkanaler för läckage av konfidentiell information: enheter anslutna till datorn (alla typer av flyttbara lagringsenheter, inklusive flash-enheter, CD/DVD-enheter, etc., skrivare) och Internet (e-post, ICQ, socialt nätverk) nätverk, etc.) d.). Och därför, när ett företag är "moget" att implementera ett skyddssystem mot dem, är det tillrådligt att närma sig denna lösning heltäckande. Problemet är att olika tillvägagångssätt används för att täcka olika kanaler. I ett fall mest effektivt sätt skydd kommer att kontrollera användningen av flyttbara enheter, och den andra kommer att innehålla olika alternativ för innehållsfiltrering, så att du kan blockera överföringen av konfidentiell data till ett externt nätverk. Därför måste företag använda två produkter för att skydda mot insiders, som tillsammans bildar ett heltäckande säkerhetssystem. Naturligtvis är det att föredra att använda verktyg från en utvecklare. I det här fallet förenklas processen för deras implementering, administration och utbildning av anställda. Som ett exempel kan vi nämna produkterna från SecurIT: Zlock och Zgate.

Zlock: skydd mot läckor genom flyttbara enheter

Zlock-programmet har funnits på marknaden ganska länge. Och vi redan. I princip är det ingen idé att upprepa mig. Men sedan publiceringen av artikeln har två nya versioner av Zlock släppts, som har lagt till ett antal viktiga funktioner. Det är värt att prata om dem, även om det bara är väldigt kort.

Först och främst är det värt att notera möjligheten att tilldela flera policyer till en dator, som tillämpas oberoende beroende på om datorn är ansluten till företagsnätverk direkt, via VPN, eller arbetar självständigt. Detta gör det i synnerhet möjligt att automatiskt blockera USB-portar och CD/DVD-enheter när datorn kopplas bort från det lokala nätverket. Allmänt denna funktionökar säkerheten för information som lagras på bärbara datorer, som anställda kan ta med sig från kontoret på resor eller till jobbet hemma.

Andra ny möjlighet- ge företagets anställda tillfällig åtkomst till blockerade enheter eller till och med grupper av enheter via telefon. Principen för dess verksamhet är att utbyta programgenererade hemliga koder mellan användaren och den anställde som ansvarar för informationssäkerhet. Det är anmärkningsvärt att tillstånd att använda kan utfärdas inte bara permanent utan också tillfälligt (för en viss tid eller till slutet av arbetssessionen). Det här verktyget kan betraktas som en liten avslappning i säkerhetssystemet, men det låter dig öka IT-avdelningens lyhördhet för affärsförfrågningar.

Nästa viktiga innovation i nya versioner av Zlock är kontroll över användningen av skrivare. Efter att ha installerat det kommer säkerhetssystemet att registrera alla användarförfrågningar till utskriftsenheter i en speciell logg. Men det är inte allt. Zlock erbjuder nu skuggkopiering av alla utskrivna dokument. De anmäler sig PDF-format och är en fullständig kopia av de utskrivna sidorna, oavsett vilken fil som skickades till skrivaren. Detta hjälper till att förhindra läckage av konfidentiell information på pappersark när en insider skriver ut informationen för att ta den bort från kontoret. Säkerhetssystemet inkluderar även skuggkopiering av information inspelad på CD/DVD-skivor.

En viktig innovation var utseendet på serverkomponenten Zlock Enterprise Management Server. Det tillhandahåller centraliserad lagring och distribution av säkerhetspolicyer och andra programinställningar och underlättar avsevärt administrationen av Zlock i stora och distribuerade informationssystem. Det är också omöjligt att inte nämna uppkomsten av ett eget autentiseringssystem, som vid behov låter dig överge användningen av domänen och lokala Windows-användare.

Utöver detta, i senaste versionen Zlock har nu flera mindre märkbara, men också ganska viktiga funktioner: övervakning av klientmodulens integritet med möjligheten att blockera användarinloggning när manipulering upptäcks, utökade möjligheter för att implementera ett säkerhetssystem, stöd för Oracle DBMS, etc.

Zgate: skydd mot Internetläckor

Så Zgate. Som vi redan har sagt är denna produkt ett system för att skydda mot läckage av konfidentiell information via Internet. Strukturellt består Zgate av tre delar. Den viktigaste är serverkomponenten, som utför all databehandling. Det kan installeras både på en separat dator och på de som redan körs i ett företag informationssystem noder - Internet-gateway, domänkontrollant, e-postgateway, etc. Denna modul består i sin tur av tre komponenter: för övervakning av SMTP-trafik, övervakning av intern e-post på Microsoft Exchange 2007/2010-servern, samt Zgate Web (den är ansvarig för kontroll av HTTP-, FTP- och IM-trafik).

Den andra delen av säkerhetssystemet är loggservern. Den används för att samla in händelseinformation från en eller flera Zgate-servrar, bearbeta den och lagra den. Denna modul är särskilt användbar i stora och geografiskt distribuerade företagssystem, eftersom det ger centraliserad åtkomst till all data. Den tredje delen är hanteringskonsolen. Den använder en standardkonsol för SecurIT-produkter, och därför kommer vi inte att uppehålla oss i detalj. Vi noterar bara att med denna modul kan du styra systemet inte bara lokalt utan även på distans.

Management Console

Zgate-systemet kan fungera i flera lägen. Dessutom beror deras tillgänglighet på metoden för produktimplementering. De två första lägena involverar att arbeta som en proxyserver för e-post. För att implementera dem installeras systemet mellan företagets e-postserver och "omvärlden" (eller mellan e-postservern och sändningsservern, om de är åtskilda). I det här fallet kan Zgate både filtrera trafik (fördröja intrång och tvivelaktiga meddelanden) och bara logga den (passera alla meddelanden, men spara dem i arkivet).

Den andra implementeringsmetoden innebär att man använder skyddssystemet i kombination med Microsoft Exchange 2007 eller 2010. För att göra detta måste du installera Zgate direkt på företaget Mejl server. Det finns också två tillgängliga lägen: filtrering och loggning. Utöver detta finns det ytterligare ett implementeringsalternativ. Vi pratar om att logga meddelanden i speglat trafikläge. Naturligtvis, för att använda det, är det nödvändigt att se till att datorn som Zgate är installerad på tar emot samma speglade trafik (vanligtvis görs detta med nätverksutrustning).


Väljer driftläge Zgate

Zgate Web-komponenten förtjänar en separat historia. Den installeras direkt på företagets Internet-gateway. Samtidigt får detta delsystem förmågan att övervaka HTTP-, FTP- och IM-trafik, det vill säga bearbeta den för att upptäcka försök att skicka konfidentiell information via webbpostgränssnitt och ICQ, publicera den på forum, FTP-servrar och sociala medier nätverk etc. Förresten, om ICQ. Funktionen att blockera IM-meddelanden finns i många liknande produkter. Det finns dock ingen "ICQ" i dem. Helt enkelt för att det är i rysktalande länder som det är mest utbrett.

Funktionsprincipen för Zgate Web-komponenten är ganska enkel. Varje gång information skickas till någon av de kontrollerade tjänsterna kommer systemet att generera ett speciellt meddelande. Den innehåller själva informationen och vissa tjänstedata. Det skickas till Zgate-huvudservern och bearbetas enligt de angivna reglerna. Att skicka information blockeras naturligtvis inte i själva tjänsten. Det vill säga, Zgate Web fungerar endast i loggningsläge. Med dess hjälp kan du inte förhindra isolerade dataläckor, men du kan snabbt upptäcka dem och stoppa aktiviteterna för en frivillig eller omedveten angripare.


Konfigurera Zgate Web-komponenten

Hur information behandlas i Zgate och filtreringsproceduren bestäms av policyn, som utvecklas av säkerhetsansvarig eller annan ansvarig anställd. Det representerar en serie villkor, som var och en motsvarar en specifik handling. Alla inkommande meddelanden "körs" igenom dem sekventiellt efter varandra. Och om något av villkoren är uppfyllt, startas den åtgärd som är kopplad till den.


Filtreringssystem

Totalt ger systemet 8 typer av villkor, som de säger, "för alla tillfällen." Den första av dessa är den bifogade filtypen. Med dess hjälp kan du upptäcka försök att skicka objekt av ett visst format. Det är värt att notera att analysen inte utförs i förlängning, utan av filens interna struktur, och du kan ange både specifika typer av objekt och deras grupper (till exempel alla arkiv, videor, etc.). Den andra typen av villkor är verifiering av en extern applikation. Som en applikation kan den fungera som ett vanligt program som startas från kommandorad, och manuset.


Förhållanden i filtreringssystemet

Men nästa tillstånd är värt att uppehålla sig mer i detalj. Vi talar om innehållsanalys av överförd information. Först och främst är det nödvändigt att notera Zgates "allätande". Faktum är att programmet "förstår" ett stort antal olika format. Därför kan den analysera inte bara enkel text, utan också nästan vilken bilaga som helst. En annan egenskap hos innehållsanalys är dess stora kapacitet. Det kan bestå av en enkel sökning efter en förekomst i texten i ett meddelande eller något annat fält av ett visst ord, eller en fullfjädrad analys, inklusive att ta hänsyn till grammatiska ordformer, härkomst och translitteration. Men det är inte allt. Systemet för att analysera mönster och reguljära uttryck förtjänar särskilt att nämnas. Med dess hjälp kan du enkelt upptäcka förekomsten av data i ett visst format i meddelanden, till exempel passserier och nummer, telefonnummer, kontraktsnummer, bankkontonummer etc. Detta gör att du bland annat kan stärka skydd av personuppgifter som behandlas av företaget.


Mönster för att identifiera olika konfidentiell information

Den fjärde typen av villkor är analysen av adresserna som anges i brevet. Det vill säga att söka bland dem efter vissa strängar. Femte - analys av krypterade filer. När det körs kontrolleras attributen för meddelandet och/eller kapslade objekt. Den sjätte typen av villkor är att kontrollera olika parametrar för bokstäver. Den sjunde är ordboksanalys. Under denna process upptäcker systemet närvaron av ord från förskapade ordböcker i meddelandet. Och slutligen, den sista, åttonde typen av tillstånd är sammansatt. Det representerar två eller flera andra villkor kombinerade av logiska operatorer.

Förresten måste vi säga separat om de ordböcker vi nämnde i beskrivningen av villkoren. De är grupper av ord kombinerade av en egenskap och används i olika filtreringsmetoder. Det mest logiska att göra är att skapa ordböcker som med stor sannolikhet låter dig klassificera ett meddelande i en eller annan kategori. Deras innehåll kan matas in manuellt eller importeras från befintliga textfiler. Det finns ett annat alternativ för att skapa ordböcker - automatiskt. När du använder det behöver administratören helt enkelt ange mappen som innehåller relevanta dokument. Programmet själv kommer att analysera dem, välja de nödvändiga orden och tilldela deras viktegenskaper. För högkvalitativ sammanställning av ordböcker är det nödvändigt att ange inte bara konfidentiella filer, utan också objekt som inte innehåller känslig information. Generellt sett är den automatiska genereringsprocessen mest lik träning av antispam på reklam och vanliga brev. Och detta är inte förvånande, eftersom båda länderna använder liknande teknik.


Exempel på en ordbok om ett finansiellt ämne

På tal om ordböcker, vi kan inte heller undgå att nämna en annan teknik för konfidentiell datadetektering implementerad i Zgate. Vi pratar om digitala fingeravtryck. Kärnan den här metoden enligt följande. Administratören kan indikera till systemmappar som innehåller konfidentiella data. Programmet kommer att analysera alla dokument i dem och skapa "digitala fingeravtryck" - uppsättningar av data som låter dig bestämma ett försök att överföra inte bara hela innehållet i filen utan också dess enskilda delar. Observera att systemet automatiskt övervakar statusen för de mappar som har angetts och skapar självständigt "fingeravtryck" för alla objekt som visas i dem igen.


Skapa en kategori med digitala fingeravtryck av filer

Nåväl, nu återstår bara att lista ut de åtgärder som genomförts i skyddssystemet i fråga. Totalt finns det redan 14 av dem sålda i Zgate. Det mesta avgör dock de åtgärder som utförs med meddelandet. Dessa inkluderar i synnerhet att radera utan att skicka (det vill säga blockera överföringen av ett brev), placera det i ett arkiv, lägga till eller ta bort bilagor, ändra olika fält, infoga text etc. Bland dem är det särskilt värt att notera placeringen av ett brev i karantän. Denna åtgärd låter dig "skjuta upp" ett meddelande för manuell verifiering av en säkerhetsansvarig, som kommer att besluta om dess vidare öde. Också mycket intressant är åtgärden som låter dig blockera en IM-anslutning. Den kan användas för att omedelbart blockera kanalen genom vilken ett meddelande med konfidentiell information överfördes.

Två åtgärder skiljer sig något åt ​​- bearbetning med Bayesiansk metod och bearbetning med fingeravtrycksmetoden. Båda är utformade för att kontrollera meddelanden för att se om de innehåller känslig information. Endast den första använder ordböcker och statistisk analys, och den andra använder digitala fingeravtryck. Dessa åtgärder kan utföras när ett visst villkor är uppfyllt, till exempel om mottagarens adress inte finns i en företagsdomän. Dessutom kan de (som alla andra) ställas in för att tillämpas ovillkorligt på alla utgående meddelanden. I det här fallet kommer systemet att analysera bokstäverna och tilldela dem till vissa kategorier (om, naturligtvis, detta är möjligt). Men för dessa kategorier kan du redan skapa förutsättningar med genomförandet av vissa åtgärder.


Åtgärder i Zgate-systemet

Tja, i slutet av vårt samtal idag om Zgate kan vi sammanfatta det lite. Detta skyddssystem bygger främst på innehållsanalys av meddelanden. Detta tillvägagångssätt är det vanligaste för att skydda mot läckage av konfidentiell information över Internet. Naturligtvis ger innehållsanalys inte en 100-procentig skyddsgrad och är snarare sannolikhetsmässigt till sin natur. Dess användning förhindrar dock de flesta fall av obehörig överföring av känsliga uppgifter. Ska företag använda det eller inte? Var och en måste bestämma detta själv, bedöma kostnaderna för genomförandet och eventuella problem vid informationsläckage. Det är värt att notera att Zgate gör ett utmärkt jobb med att fånga reguljära uttryck, vilket gör det väldigt effektiva medel skydd av personuppgifter som behandlas av företaget.

Nyligen genomförda informationssäkerhetsstudier, som den årliga CSI/FBI ComputerCrimeAndSecuritySurvey, har visat att ekonomiska förluster för företag från de flesta hot minskar år från år. Det finns dock flera risker från vilka förlusterna ökar. En av dem är avsiktlig stöld av konfidentiell information eller brott mot reglerna för hantering av den av de anställda vars tillgång till kommersiella uppgifter är nödvändiga för att utföra sina officiella uppgifter. De kallas insiders.

I de allra flesta fall utförs stöld av konfidentiell information med hjälp av mobila medier: CD- och DVD-skivor, ZIP-enheter och, viktigast av allt, alla typer av USB-enheter. Det var deras massdistribution som ledde till att insiderism blomstrade runt om i världen. Cheferna för de flesta banker är väl medvetna om farorna med att till exempel en databas med personuppgifter om deras kunder eller dessutom transaktioner på deras konton hamnar i händerna på kriminella strukturer. Och de försöker bekämpa eventuell stöld av information med hjälp av organisatoriska metoder som är tillgängliga för dem.

Men organisatoriska metoder i detta fall är ineffektiva. Idag kan du organisera överföringen av information mellan datorer med hjälp av en miniatyr flash-enhet, mobiltelefon, mp3-spelare, digitalkamera... Naturligtvis kan du försöka förbjuda alla dessa enheter från att föras in på kontoret, men detta kommer för det första att negativt påverka relationerna med anställda, och för det andra kommer det fortfarande att vara omöjligt att fastställa riktigt effektiv kontroll över människor mycket svårt - banken inte " Brevlåda" Och även att inaktivera alla enheter på datorer som kan användas för att skriva information till externa media (FDD- och ZIP-diskar, CD- och DVD-enheter, etc.) och USB-portar hjälper inte. När allt kommer omkring behövs de förra för arbete, och de senare är anslutna till olika kringutrustning: skrivare, skannrar, etc. Och ingen kan hindra en person från att stänga av skrivaren i en minut, sätta in en flashenhet i den fria porten och kopiera till den viktig information. Du kan naturligtvis hitta originella sätt att skydda dig. Till exempel försökte en bank den här metoden för att lösa problemet: de fyllde förbindelsen mellan USB-porten och kabeln med epoxiharts och "band" den senare till datorn. Men lyckligtvis finns det idag mer moderna, pålitliga och flexibla styrmetoder.

Det mest effektiva sättet att minimera risker förknippade med insiders är en speciell programvara, som dynamiskt styr alla enheter och portar på datorn som kan användas för att kopiera information. Principen för deras arbete är som följer. Behörigheter att använda olika portar och enheter ställs in för varje användargrupp eller för varje användare individuellt. Den största fördelen med sådan programvara är flexibilitet. Du kan ange begränsningar för specifika typer av enheter, deras modeller och enskilda instanser. Detta gör att du kan implementera mycket komplexa policyer för distribution av åtkomsträttigheter.

Till exempel kanske du vill tillåta vissa anställda att använda alla skrivare eller skannrar som är anslutna till USB-portar. Alla andra enheter som sätts in i denna port kommer dock att förbli otillgängliga. Om banken använder ett användarautentiseringssystem baserat på tokens, kan du i inställningarna ange vilken nyckelmodell som används. Då får användare endast använda enheter som köpts av företaget, och alla andra kommer att vara oanvändbara.

Baserat på principen om skyddssystem som beskrivs ovan kan du förstå vilka punkter som är viktiga när du väljer program som implementerar dynamisk blockering av inspelningsenheter och datorportar. För det första är det mångsidighet. Skyddssystemet måste täcka hela utbudet av möjliga portar och in-/utgångsenheter. Annars förblir risken för stöld av kommersiell information oacceptabelt hög. För det andra måste programvaran i fråga vara flexibel och låta dig skapa regler med hjälp av en stor mängd olika information om enheter: deras typer, modelltillverkare, unika nummer som varje instans har, etc. Och för det tredje måste insiderskyddssystemet kunna integreras med bankens informationssystem, särskilt med ActiveDirectory. Annars måste administratören eller säkerhetsansvarig underhålla två databaser med användare och datorer, vilket inte bara är obekvämt utan också ökar risken för fel.

Skydda information från insiders som använder programvara

Alexander Antipov

Jag hoppas att artikeln i sig och särskilt dess diskussion kommer att hjälpa till att identifiera olika nyanser av att använda mjukvaruverktyg och kommer att bli en utgångspunkt för att utveckla en lösning på det beskrivna problemet för informationssäkerhetsspecialister.


nahna

Marknadsavdelningen för Infowatch-företaget har under lång tid övertygat alla intresserade parter - IT-specialister, såväl som de mest avancerade IT-cheferna, att den största delen av skadan från ett brott mot företagets informationssäkerhet faller på insiders - anställda som avslöjar byta hemligheter. Målet är tydligt – vi behöver skapa efterfrågan på produkten som tillverkas. Och argumenten ser ganska solida och övertygande ut.

Formulering av problemet

Bygg ett system för att skydda information från stöld av personal på ett LAN-baserat Active Directory Windows 2000/2003. Användararbetsstationer under Windows kontroll XP. Företagsledning och redovisning baserat på 1C-produkter.
Hemlig information lagras på tre sätt:
  1. DB 1C - nätverksåtkomst via RDP ( terminalåtkomst);
  2. delade mappar på filservrar - nätverksåtkomst;
  3. lokalt på medarbetarens PC;
Läckagekanaler - Internet och flyttbara media (flash-enheter, telefoner, spelare, etc.). Användningen av Internet och flyttbara medier kan inte förbjudas, eftersom de är nödvändiga för att utföra officiella uppgifter.

Vad finns på marknaden

Jag delade in de system som berördes i tre klasser:
  1. System baserade på kontextanalysatorer - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, etc.
  2. System baserade på statisk enhetslåsning - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. System baserade på dynamisk enhetsblockering - SecrecyKeeper, Strazh, Accord, SecretNet.

System baserade på kontextanalysatorer

Funktionsprincip:
Nyckelord söks i den överförda informationen och baserat på sökresultaten fattas ett beslut om behovet av att blockera överföringen.

Enligt min åsikt har InfoWatch Traffic Monitor (www.infowatch.ru) den maximala kapaciteten bland de listade produkterna. Grunden är den väl beprövade Kaspersky Antispam-motorn, som mest tar hänsyn till det ryska språkets egenheter. Till skillnad från andra produkter tar InfoWatch Traffic Monitor, vid analys, hänsyn inte bara till förekomsten av vissa rader i data som kontrolleras, utan även den förutbestämda vikten av varje rad. Sålunda, när man fattar ett slutgiltigt beslut, beaktas inte bara förekomsten av vissa ord, utan också de kombinationer där de förekommer, vilket gör det möjligt att öka analysatorns flexibilitet. De återstående funktionerna är standard för denna typ av produkt - analys av arkiv, MS Office-dokument, möjligheten att blockera överföring av filer av okänt format eller lösenordsskyddade arkiv.

Nackdelar med de övervägda systemen baserade på kontextuell analys:

  • Endast två protokoll övervakas - HTTP och SMTP (för InfoWatch Traffic Monitor, och för HTTP-trafik kontrolleras endast data som överförs med POST-förfrågningar, vilket gör att du kan organisera en läckagekanal med hjälp av dataöverföring med GET-metoden);
  • Dataöverföringsenheter kontrolleras inte - disketter, CD-skivor, DVD-skivor, USB-enheter, etc. (InfoWatch har en produkt för detta fodral: InfoWatch Net Monitor).
  • för att kringgå system byggda på grundval av innehållsanalys räcker det att använda den enklaste textkodningen (till exempel: hemlig -> с1е1к1р1е1т), eller steganografi;
  • Följande problem kan inte lösas med metoden för innehållsanalys - ingen lämplig formell beskrivning kommer att tänka på, så jag ska bara ge ett exempel: det finns två Excel-filer - i den första finns det försäljningspriser (offentlig information), i andra - grossistpriser för en specifik kund (privat information), innehållet i filerna skiljer sig endast nummer. Dessa filer kan inte särskiljas med hjälp av innehållsanalys.
Slutsats:
Kontextanalys är endast lämplig för att skapa trafikarkiv och motverka oavsiktligt informationsläckage och löser inte problemet.

System baserade på statisk enhetsblockering

Funktionsprincip:
Användare tilldelas åtkomsträttigheter till kontrollerade enheter, liknande åtkomsträttigheter till filer. I princip kan nästan samma effekt uppnås med vanliga Windows-mekanismer.

Zlock (www.securit.ru) - produkten dök upp relativt nyligen, så den har minimal funktionalitet (jag räknar inte krusiduller), och den är inte särskilt välfungerande, till exempel kraschar hanteringskonsolen ibland när man försöker spara inställningar.

DeviceLock (www.smartline.ru) är en mer intressant produkt, den har funnits på marknaden ganska länge, så den fungerar mycket stabilare och har mer varierande funktionalitet. Det tillåter till exempel skuggkopiering av överförd information, vilket kan hjälpa till att undersöka en incident, men inte att förhindra den. Dessutom kommer en sådan utredning med största sannolikhet att genomföras när läckan blir känd, d.v.s. en betydande tid efter det att det inträffade.

InfoWatch Net Monitor (www.infowatch.ru) består av moduler - DeviceMonitor (analogt med Zlock), FileMonitor, OfficeMonitor, AdobeMonitor och PrintMonitor. DeviceMonitor är en analog av Zlock, standardfunktionalitet, utan russin. FileMonitor - kontroll av åtkomst till filer. OfficeMonitor och AdobeMonitor låter dig styra hur filer hanteras i sina respektive applikationer. Det är för närvarande ganska svårt att komma med en användbar, snarare än leksak, applikation för FileMonitor, OfficeMonitor och AdobeMonitor, men i framtida versioner bör det vara möjligt att göra kontextuell analys av den bearbetade datan. Kanske kommer dessa moduler då att avslöja sin potential. Även om det är värt att notera att uppgiften med kontextuell analys av filoperationer inte är trivial, speciellt om innehållsfiltreringsbasen är densamma som i Traffic Monitor, d.v.s. nätverk.

Separat är det nödvändigt att säga om att skydda agenten från en användare med lokala administratörsrättigheter.
ZLock och InfoWatch Net Monitor har helt enkelt inte ett sådant skydd. De där. användaren kan stoppa agenten, kopiera data och starta agenten igen.

DeviceLock har ett sådant skydd, vilket är ett klart plus. Det är baserat på att avlyssna systemanrop för att arbeta med registret, filsystem och processledning. En annan fördel är att skyddet även fungerar i säkert läge. Men det finns också ett minus - för att inaktivera skyddet räcker det med att återställa Service Descriptor Table, vilket kan göras genom att ladda ner en enkel drivrutin.

Nackdelar med de övervägda systemen baserade på statisk enhetsblockering:

  • Överföringen av information till nätverket är inte kontrollerad.
  • -Vet inte hur man skiljer sekretessbelagd information från icke-hemlig information. Det fungerar utifrån principen att antingen är allt möjligt eller ingenting är omöjligt.
  • Skydd mot agentavlastning saknas eller går lätt förbi.
Slutsats:
Det är inte tillrådligt att implementera sådana system, eftersom de löser inte problemet.

System baserade på dynamisk enhetslåsning

Funktionsprincip:
åtkomst till överföringskanaler spärras beroende på användarens åtkomstnivå och graden av sekretess för den information som arbetas med. För att implementera denna princip använder dessa produkter den auktoritativa åtkomstkontrollmekanismen. Denna mekanism förekommer inte så ofta, så jag kommer att uppehålla mig mer i detalj.

Auktoritativ (tvingad) åtkomstkontroll, till skillnad från diskretionär (implementerad i säkerhetssystemet för Windows NT och högre), är att ägaren av en resurs (till exempel en fil) inte kan försvaga kraven för åtkomst till denna resurs, men kan stärk dem bara inom gränserna för din nivå. Endast en användare med särskilda befogenheter - en informationssäkerhetsansvarig eller administratör - kan lätta på kraven.

Huvudmålet med att utveckla produkter som Guardian, Accord, SecretNet, DallasLock och några andra var möjligheten att certifiera informationssystem där dessa produkter kommer att installeras för att uppfylla kraven från State Technical Commission (nu FSTEC). Sådan certifiering är obligatorisk för informationssystem där myndighetsuppgifter behandlas. en hemlighet, som främst säkerställde efterfrågan på produkter från statligt ägda företag.

Därför bestämdes uppsättningen av funktioner som implementerades i dessa produkter av kraven i de relevanta dokumenten. Vilket i sin tur ledde till att det mesta av funktionaliteten som implementerats i produkterna antingen duplicerar standarden Windows funktionalitet(rengöring av objekt efter radering, rengöring av RAM), eller använder det implicit (diskriminera åtkomstkontroll). Och DallasLock-utvecklarna gick ännu längre genom att implementera obligatorisk åtkomstkontroll för sitt system genom Windows diskretionära kontrollmekanism.

Den praktiska användningen av sådana produkter är extremt obekväm, till exempel kräver DallasLock ompartitionering för installation hårddisk, som också måste utföras med programvara från tredje part. Mycket ofta, efter certifiering, togs dessa system bort eller inaktiverades.

SecrecyKeeper (www.secrecykeeper.com) är en annan produkt som implementerar en auktoritativ åtkomstkontrollmekanism. Enligt utvecklarna utvecklades SecrecyKeeper specifikt för att lösa ett specifikt problem – att förhindra stöld av information i en kommersiell organisation. Därför, återigen enligt utvecklarna, ägnades särskild uppmärksamhet under utvecklingen åt enkelhet och användarvänlighet, både för systemadministratörer och vanliga användare. Hur lyckat detta blev får konsumenten att bedöma, d.v.s. oss. Dessutom implementerar SecrecyKeeper ett antal mekanismer som saknas i de andra nämnda systemen – till exempel möjligheten att ställa in integritetsnivån för resurser med fjärråtkomst och en agentskyddsmekanism.
Kontroll av informationsrörelse i SecrecyKeeper implementeras baserat på informationssekretessnivån, användartillståndsnivåerna och datorsäkerhetsnivån, som kan ta värdena offentlig, hemlig och topphemlig. Informationssäkerhetsnivån låter dig klassificera informationen som behandlas i systemet i tre kategorier:

offentlig - inte hemlig information, det finns inga begränsningar när du arbetar med den;

hemlig - hemlig information, när man arbetar med den införs begränsningar beroende på användarens behörighetsnivåer;

topphemlig - topphemlig information; när man arbetar med den införs begränsningar beroende på användarens behörighetsnivåer.

Informationssäkerhetsnivån kan ställas in för en fil, nätverksenhet och porten på datorn där någon tjänst körs.

Användartillståndsnivåer låter dig bestämma hur en användare kan flytta information baserat på dess säkerhetsnivå. Följande användarbehörighetsnivåer finns:

Användarbehörighetsnivå - begränsar den maximala säkerhetsnivån för information som en anställd kan komma åt;

Nätverksåtkomstnivå - begränsar den maximala säkerhetsnivån för information som en anställd kan överföra över nätverket;

Åtkomstnivå till flyttbara media - begränsar den maximala säkerhetsnivån för information som en anställd kan kopiera till externa media.

Skrivaråtkomstnivå - begränsar den maximala säkerhetsnivån för information som en anställd kan skriva ut.

Datorsäkerhetsnivå - bestämmer den maximala säkerhetsnivån för information som kan lagras och bearbetas på en dator.

Tillgång till information med allmän säkerhetsnivå kan ges av en anställd med valfri säkerhetstillstånd. Sådan information kan överföras över nätverket och kopieras till externa media utan begränsningar. Historien om att arbeta med information som klassificeras som offentlig spåras inte.

Tillgång till information med hemlig säkerhetsnivå kan endast erhållas av anställda vars tillståndsnivå är lika med hemlig eller högre. Endast anställda vars nätverksåtkomstnivå är hemlig eller högre kan överföra sådan information till nätverket. Endast anställda vars åtkomstnivå till flyttbara media är hemlig eller högre kan kopiera sådan information till externa media. Endast anställda vars skrivaråtkomstnivå är hemlig eller högre kan skriva ut sådan information. Historia av att arbeta med information med den hemliga nivån, d.v.s. försök att komma åt det, försök att överföra det över nätverket, försök att kopiera det till externa media eller skriva ut det loggas.

Tillgång till information med en topphemlig sekretessnivå kan endast erhållas av anställda vars tillståndsnivå är lika med topphemlig. Endast anställda vars nätverksåtkomstnivå är lika med topphemlig kan överföra sådan information till nätverket. Endast anställda vars åtkomstnivå till flyttbara media är lika med topphemlig kan kopiera sådan information till externa media. Endast anställda vars skrivaråtkomstnivå är lika med topphemlig kan skriva ut sådan information. Historia av att arbeta med information med topphemlig nivå, d.v.s. försök att komma åt det, försök att överföra det över nätverket, försök att kopiera det till externa media eller skriva ut det loggas.

Exempel: låt en anställd ha en behörighetsnivå lika med topphemlig, en nätverksåtkomstnivå lika med hemlig, en åtkomstnivå för flyttbara media lika med offentlig och en skrivaråtkomstnivå lika med topphemlig; i detta fall kan en anställd få tillgång till ett dokument med vilken sekretessnivå som helst, den anställde kan överföra information till nätverket med en sekretessnivå som inte är högre än hemlig, kopiera till exempel till disketter, den anställde kan endast information med sekretessnivån, och den anställde kan skriva ut all information på en skrivare.

För att hantera spridningen av information i hela företaget tilldelas varje dator som tilldelas en anställd en datorsäkerhetsnivå. Denna nivå begränsar den maximala säkerhetsnivån för information som alla anställda kan komma åt från en given dator, oavsett den anställdes behörighetsnivåer. Den där. om en anställd har en Clearance Level lika med topphemlig, och den dator som han befinner sig på det här ögonblicket verk har en säkerhetsnivå som är lika med offentlig, då kommer den anställde inte att kunna komma åt information med en högre säkerhetsnivå än offentlig från denna arbetsstation.

Beväpnade med teori, låt oss försöka använda SecrecyKeeper för att lösa problemet. Den information som behandlas i informationssystemet för det abstrakta företaget i fråga (se problembeskrivning) kan beskrivas på ett förenklat sätt med hjälp av följande tabell:

De anställda i företaget och området för deras jobbintressen beskrivs med hjälp av den andra tabellen:

Låt följande servrar användas i företaget:
Server 1C
Filserver med bollar:
SecretDocs - innehåller hemliga dokument
PublicDocs - innehåller offentligt tillgängliga dokument

Observera att standardfunktioner används för att organisera standardåtkomstkontroll operativ system och applikationsprogramvara, dvs. för att till exempel förhindra en chef från att få tillgång till personalens personuppgifter finns det inget behov av att införa ytterligare skyddssystem. Vi talar specifikt om att motverka spridning av information som arbetstagaren har laglig tillgång till.

Låt oss gå vidare till den faktiska konfigurationen av SecrecyKeeper.
Jag kommer inte att beskriva processen för att installera hanteringskonsolen och agenter, allt är så enkelt som möjligt - se dokumentationen för programmet.
Att installera systemet består av att utföra följande steg.

Steg 1. Installera agenter på alla datorer utom servrar - detta hindrar dem omedelbart från att få information för vilken sekretessnivån är högre än offentlig.

Steg 2. Tilldela behörighetsnivåer till anställda enligt följande tabell:

Användarbehörighetsnivå Nätverksåtkomstnivå Nivå av åtkomst till flyttbara media Skrivaråtkomstnivå
direktör hemlighet hemlighet hemlighet hemlighet
chef hemlighet offentlig offentlig hemlighet
personalofficer hemlighet offentlig offentlig hemlighet
revisor hemlighet offentlig hemlighet hemlighet
sekreterare offentlig offentlig offentlig offentlig

Steg 3. Tilldela datorsäkerhetsnivåer enligt följande:

Steg 4. Konfigurera informationssäkerhetsnivåer på servrarna:

Steg 5. Konfigurera informationssäkerhetsnivåer på anställdas datorer för lokala filer. Detta är den mest tidskrävande delen, eftersom det är nödvändigt att tydligt förstå vilka anställda som arbetar med vilken information och hur kritisk denna information är. Om din organisation har genomgått en informationssäkerhetsrevision kan dess resultat göra uppgiften mycket enklare.

Steg 6. Om det behövs låter SecrecyKeeper dig begränsa listan över program som användare får köra. Denna mekanism implementeras oberoende av Windows Software Restriction Policy och kan användas om det till exempel är nödvändigt att införa begränsningar för användare med administratörsrättigheter.

Med hjälp av SecrecyKeeper är det alltså möjligt att avsevärt minska risken för otillåten spridning av sekretessbelagd information – både läckage och stöld.

Brister:
- svårt med första installationen sekretessnivåer för lokala filer;

Allmän slutsats:
maximala möjligheter att skydda information från insiders ges av programvara som har förmågan att dynamiskt reglera tillgången till informationsöverföringskanaler, beroende på graden av sekretess för den information som arbetas med och den anställdes säkerhetstillståndsnivå.

Företag är en unik tjänst för köpare, utvecklare, återförsäljare och affiliate partners. Dessutom är detta en av de bästa nätbutikerna Programvara i Ryssland, Ukraina, Kazakstan, som erbjuder kunder ett brett utbud, många betalningsmetoder, snabb (ofta omedelbar) orderhantering, spårning av beställningsprocessen i en personlig sektion.

Nyligen har problemet med skydd mot interna hot blivit en verklig utmaning för den begripliga och etablerade världen av företagsinformationssäkerhet. Pressen talar om insiders, forskare och analytiker varnar för möjliga förluster och problem, och nyhetsflöden är fulla av rapporter om ännu en incident som ledde till läckage av hundratusentals kundregister på grund av ett fel eller slarv från en anställd. Låt oss försöka ta reda på om det här problemet är så allvarligt, om det måste hanteras och vilka tillgängliga verktyg och tekniker som finns för att lösa det.

Först och främst är det värt att fastställa att ett hot mot datakonfidentialitet är internt om dess källa är en anställd på företaget eller någon annan person som har laglig tillgång till dessa uppgifter. När vi talar om insiderhot talar vi alltså om ev möjliga åtgärder lagliga användare, avsiktliga eller oavsiktliga, vilket kan leda till läckage av konfidentiell information utanför företagets företagsnätverk. För att komplettera bilden är det värt att tillägga att sådana användare ofta kallas insiders, även om denna term har andra betydelser.

Relevansen av problemet med interna hot bekräftas av resultaten från nyare studier. Speciellt i oktober 2008 tillkännagavs resultaten av en gemensam studie av Compuware och Ponemon Institue, enligt vilken insiders är den vanligaste orsaken till dataläckor (75 % av incidenterna i USA), medan hackare bara var på femte plats plats. I 2008 års årliga studie av Computer Security Institute (CSI) är siffrorna för antalet insiderhotsincidenter följande:

Antalet incidenter i procent avser det totala antalet tillfrågade den här typen incidenten inträffade i den angivna andelen organisationer. Som framgår av dessa siffror löper nästan varje organisation en risk att drabbas av interna hot. Som jämförelse, enligt samma rapport, påverkade virus 50 % av de undersökta organisationerna och med hackare som infiltrerade lokalt nätverk endast 13 % stötte på det.

Således, interna hot– detta är verkligheten i dag, och inte en myt som uppfunnits av analytiker och leverantörer. Så de som på gammaldags vis tror att företagens informationssäkerhet är en brandvägg och antivirus behöver snarast ta en bredare titt på problemet.

Lagen "Om personuppgifter" ökar också graden av spänning, enligt vilken organisationer och tjänstemän inte bara måste stå till svars för sin ledning utan också mot sina klienter och lagen för felaktig hantering av personuppgifter.

Inkräktare modell

Traditionellt bör man, när man överväger hot och försvar mot dem, börja med en analys av motståndarmodellen. Som redan nämnts kommer vi att prata om insiders - anställda i organisationen och andra användare som har laglig tillgång till konfidentiell information. Som regel, med dessa ord, tänker alla på en kontorsanställd som arbetar på en dator som en del av ett företagsnätverk, som inte lämnar organisationens kontor medan han arbetar. En sådan representation är dock ofullständig. Det är nödvändigt att utöka den till att omfatta andra typer av personer med laglig tillgång till information som kan lämna organisationens kontor. Det kan vara affärsresenärer med bärbara datorer, eller de som arbetar både på kontoret och hemma, kurirer som transporterar media med information, i första hand magnetband med säkerhetskopia, etc.

En sådan utökad övervägande av inkräktaremodellen passar för det första in i konceptet, eftersom de hot som dessa inkräktare utgör också hänför sig till interna, och för det andra tillåter det oss att analysera problemet bredare, med tanke på alla möjliga alternativ bekämpa dessa hot.

Följande huvudtyper av interna överträdare kan särskiljas:

  • Olojal/förbittrad anställd.Kränkare som tillhör denna kategori kan agera målmedvetet, till exempel genom att byta jobb och vilja ta tag i konfidentiell information för att intressera en ny arbetsgivare, eller känslomässigt, om de anser sig kränkta, och därmed vilja ta hämnd. De är farliga eftersom de är mest motiverade att orsaka skada på den organisation där de för närvarande arbetar. Som regel är antalet incidenter med illojala anställda litet, men det kan öka i situationer med ogynnsamma ekonomiska förhållanden och massiva personalminskningar.
  • En infiltrerad, mutad eller manipulerad anställd.I detta fall vi pratar om om några målmedvetna handlingar, vanligtvis i syfte att industrispionage under hård konkurrens. För att samla in konfidentiell information, introducerar de antingen sin egen person i ett konkurrerande företag för vissa ändamål, eller hittar en mindre lojal anställd och mutar honom, eller tvingar en lojal men slarvig anställd att lämna över konfidentiell information genom social ingenjörskonst. Antalet incidenter av detta slag är vanligtvis ännu mindre än tidigare, på grund av det faktum att konkurrensen i de flesta segment av ekonomin i Ryska federationen inte är särskilt utvecklad eller implementeras på andra sätt.
  • Försumlig anställd. Den här typen en överträdare är en lojal men ouppmärksam eller försumlig anställd som kan bryta mot policyn inre säkerhet företagande på grund av hennes okunnighet eller glömska. En sådan anställd kan av misstag skicka ett e-postmeddelande med en känslig fil bifogad till fel person, eller ta hem en flash-enhet med konfidentiell information att arbeta med under helgen och förlora den. Till denna typ hör även anställda som tappar bärbara datorer och magnetband. Enligt många experter är denna typ av insider ansvarig för majoriteten av läckor av konfidentiell information.

Därför kan motiven och följaktligen handlingssättet för potentiella överträdare skilja sig väsentligt. Beroende på detta bör du närma dig uppgiften att säkerställa den interna säkerheten i organisationen.

Teknik för att skydda mot insiderhot

Trots den relativa ungdomen i detta marknadssegment har kunderna redan mycket att välja på beroende på deras mål och ekonomiska möjligheter. Det är värt att notera att det nu praktiskt taget inte finns några leverantörer på marknaden som enbart specialiserar sig på interna hot. Denna situation har uppstått inte bara på grund av omognaden i detta segment, utan också på grund av den aggressiva och ibland kaotiska policyn för fusioner och förvärv som utförs av tillverkare av traditionella säkerhetsprodukter och andra leverantörer som är intresserade av närvaro i detta segment. Det är värt att påminna om företaget RSA Data Security, som blev en division av EMC 2006, köpet av NetApp av startupen Decru, som utvecklade skyddssystem för serverlagring och säkerhetskopior 2005, Symantecs köp av DLP-leverantören Vontu 2007, etc.

Trots det faktum att ett stort antal sådana transaktioner indikerar goda utsikter för utvecklingen av detta segment, gynnar de inte alltid kvaliteten på de produkter som kommer under vingen stora företag. Produkter börjar utvecklas långsammare och utvecklare svarar inte lika snabbt på marknadens krav jämfört med ett högspecialiserat företag. Detta är en välkänd sjukdom hos stora företag, som, som vi vet, tappar rörlighet och effektivitet till sina mindre bröder. Å andra sidan förbättras kvaliteten på servicen och tillgängligheten av produkter för kunder i olika delar av världen på grund av utvecklingen av deras service- och försäljningsnätverk.

Låt oss överväga de viktigaste teknikerna som för närvarande används för att neutralisera interna hot, deras fördelar och nackdelar.

Dokument kontroll

Dokumentkontrolltekniken finns i moderna rättighetshanteringsprodukter, som t.ex Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES och Oracle Information Rights Management.

Funktionsprincipen för dessa system är att tilldela användningsregler för varje dokument och kontrollera dessa rättigheter i applikationer som arbetar med dokument av denna typ. Du kan till exempel skapa ett dokument Microsoft Word och ställ in regler för det: vem kan se det, vem kan redigera och spara ändringar och vem som kan skriva ut. Dessa regler kallas licens i Windows RMS-termer och lagras tillsammans med filen. Innehållet i filen är krypterad för att förhindra obehöriga användare från att se den.

Nu, om någon användare försöker öppna en sådan skyddad fil, kontaktar applikationen en speciell RMS-server, bekräftar användarens behörigheter, och om åtkomst till denna användare tillåts skickar servern nyckeln till applikationen för att dekryptera denna fil och information om denna användares rättigheter. Baserat på denna information gör applikationen tillgänglig för användaren endast de funktioner som han har rättigheter till. Till exempel, om en användare inte får skriva ut en fil, kommer programmets utskriftsfunktion inte att vara tillgänglig.

Det visar sig att informationen i en sådan fil är säker även om filen hamnar utanför företagets nätverk - den är krypterad. RMS-funktionalitet är redan inbyggd i applikationerna Microsoft Office 2003 Professional Edition. För att bädda in RMS-funktionalitet i applikationer från andra utvecklare erbjuder Microsoft en speciell SDK.

Adobes dokumentkontrollsystem är byggt på liknande sätt, men är fokuserat på dokument i PDF-format. Oracle IRM installeras på klientdatorer som en agent och integreras med applikationer under körning.

Dokumentkontroll är en viktig del av det övergripande konceptet för skydd av insiderhot, men de inneboende begränsningarna för denna teknik måste beaktas. För det första är det designat uteslutande för att övervaka dokumentfiler. Om vi ​​pratar om ostrukturerade filer eller databaser så fungerar inte denna teknik. För det andra, om en angripare, med hjälp av detta systems SDK, skapar en enkel applikation som kommunicerar med RMS-servern, tar emot en krypteringsnyckel därifrån och sparar dokumentet i klartext och startar denna applikation på uppdrag av en användare som har en miniminivå av åtkomst till dokumentet, alltså detta system kommer att förbigås. Dessutom bör man ta hänsyn till svårigheterna när man implementerar ett dokumentkontrollsystem om organisationen redan har skapat många dokument - uppgiften att initialt klassificera dokument och tilldela rättigheter att använda dem kan kräva betydande ansträngningar.

Det betyder inte att dokumentkontrollsystem inte uppfyller uppgiften, vi behöver bara komma ihåg att informationssäkerhet är ett komplext problem, och som regel går det inte att lösa det med hjälp av bara ett verktyg.

Läckageskydd

Termen förebyggande av dataförlust (DLP) dök upp i vokabulären för informationssäkerhetsspecialister relativt nyligen och har redan blivit, utan att överdriva, det hetaste ämnet de senaste åren. Förkortningen DLP syftar i regel på system som övervakar möjliga läckkanaler och blockerar dem om man försöker skicka någon konfidentiell information via dessa kanaler. Dessutom i funktionen liknande system inkluderar ofta möjligheten att arkivera information som passerar genom dem för efterföljande revisioner, incidentutredningar och retrospektiv analys av potentiella risker.

Det finns två typer av DLP-system: nätverks-DLP och värd-DLP.

Nätverks-DLP arbeta enligt principen om en nätverksgateway, som filtrerar all data som passerar genom den. Uppenbarligen, baserat på uppgiften att bekämpa interna hot, ligger huvudintresset för sådan filtrering i förmågan att kontrollera data som överförs utanför företagets nätverk till Internet. Nätverks-DLP:er låter dig övervaka utgående e-post, http- och ftp-trafik, snabbmeddelandetjänster, etc. Om känslig information upptäcks kan nätverks-DLP:er blockera den överförda filen. Det finns också alternativ för manuell bearbetning av misstänkta filer. Misstänkta filer placeras i karantän, som regelbundet granskas av en säkerhetsansvarig och antingen tillåter eller nekar filöverföring. Men på grund av protokollets natur är sådan behandling endast möjlig för e-post. Ytterligare möjligheter till revision och incidentutredning ges genom att arkivera all information som passerar genom gatewayen, förutsatt att detta arkiv regelbundet granskas och dess innehåll analyseras för att identifiera läckor som har inträffat.

Ett av huvudproblemen vid implementering och implementering av DLP-system är metoden för att upptäcka konfidentiell information, det vill säga när man fattar ett beslut om huruvida den överförda informationen är konfidentiell och de skäl som beaktas när ett sådant beslut fattas. . I regel görs detta genom att analysera innehållet överförda handlingar, även kallad innehållsanalys. Låt oss överväga de viktigaste metoderna för att upptäcka konfidentiell information.

  • Taggar. Denna metod liknar dokumentkontrollsystemen som diskuterats ovan. Etiketter är inbäddade i dokument som beskriver graden av konfidentialitet för information, vad som kan göras med detta dokument och till vem det ska skickas. Baserat på resultaten av tagganalysen avgör DLP-systemet om det är möjligt det här dokumentet skicka utanför eller inte. Vissa DLP-system görs initialt kompatibla med system för rättighetshantering för att använda de etiketter som dessa system installerar; andra system använder sitt eget etikettformat.
  • Signaturer. Denna metod består av att specificera en eller flera teckensekvenser, vars närvaro i texten i den överförda filen bör berätta för DLP-systemet att denna fil innehåller konfidentiell information. Ett stort antal signaturer kan organiseras i ordböcker.
  • Bayes metod. Denna metod, som används för att bekämpa skräppost, kan också användas framgångsrikt i DLP-system. För att tillämpa denna metod skapas en lista med kategorier, och en lista med ord indikeras med sannolikheterna att om ordet förekommer i en fil, så tillhör filen med en given sannolikhet eller inte tillhör den angivna kategorin.
  • Morfologisk analys.Metoden för morfologisk analys liknar signaturen, skillnaden är att inte 100% matchning med signaturen analyseras, utan liknande grundord beaktas också.
  • Digitala tryck.Kärnan i denna metod är att en hashfunktion beräknas för alla konfidentiella dokument på ett sådant sätt att om dokumentet ändras något, kommer hashfunktionen att förbli densamma eller också ändras något. Således förenklas processen för att upptäcka konfidentiella dokument avsevärt. Trots den entusiastiska berömmen av denna teknik från många leverantörer och vissa analytiker lämnar dess tillförlitlighet mycket att önska, och med tanke på det faktum att leverantörer, under olika förevändningar, föredrar att lämna detaljer om implementeringen av den digitala fingeravtrycksalgoritmen i skuggan, litar på i den ökar inte.
  • Vanliga uttryck.Känd för alla som har sysslat med programmering, vanliga uttryck gör det enkelt att hitta malldata i text, såsom telefonnummer, passinformation, bankkontonummer, personnummer, etc.

Från listan ovan är det lätt att se att detekteringsmetoder antingen inte garanterar 100% identifiering av konfidentiell information, eftersom nivån av fel av både den första och andra typen i dem är ganska hög, eller kräver konstant vaksamhet av säkerhetstjänsten för att uppdatera och underhålla en uppdaterad lista över signaturer eller uppdragsetiketter för konfidentiella dokument.

Dessutom kan trafikkryptering skapa ett visst problem i driften av nätverks-DLP. Om säkerhetskrav kräver att du krypterar e-postmeddelanden eller använder SSL när du ansluter till webbresurser, kan problemet med att fastställa förekomsten av konfidentiell information i överförda filer vara mycket svårt att lösa. Glöm inte att vissa snabbmeddelandetjänster, som Skype, har inbyggd kryptering som standard. Du måste vägra att använda sådana tjänster eller använda värd-DLP för att kontrollera dem.

Men trots alla svårigheter, när korrekt inställning När det tas på allvar kan nätverks-DLP avsevärt minska risken för konfidentiell informationsläckage och ge en organisation ett bekvämt sätt för intern kontroll.

Värd DLP installeras på varje värd i nätverket (på klientarbetsstationer och vid behov på servrar) och kan även användas för att styra internettrafik. Värdbaserade DLP:er är dock mindre utbredda i denna egenskap och används för närvarande huvudsakligen för kontroll externa enheter och skrivare. Som ni vet utgör en anställd som tar med sig en flash-enhet eller en MP3-spelare till jobbet ett mycket större hot mot ett företags informationssäkerhet än alla hackare tillsammans. Dessa system kallas även nätverksändpunktssäkerhetsverktyg ( slutpunktssäkerhet), även om denna term ofta används mer brett, till exempel kallas antivirusprodukter ibland på det här sättet.

Som ni vet kan problemet med att använda externa enheter lösas utan att använda några medel genom att inaktivera portarna antingen fysiskt eller med operativsystemet, eller administrativt genom att förbjuda anställda att ta med sig lagringsmedia till kontoret. Men i de flesta fall är det "billiga och glada" tillvägagångssättet oacceptabelt, eftersom den nödvändiga flexibiliteten för informationstjänster som krävs av affärsprocesser inte tillhandahålls.

På grund av detta har det funnits en viss efterfrågan på särskilda medel, med hjälp av vilken du mer flexibelt kan lösa problemet med att använda externa enheter och skrivare av företagets anställda. Sådana verktyg låter dig konfigurera åtkomsträttigheter för användare olika typer enheter, till exempel för en grupp användare att förbjuda arbete med media och tillåta dem att arbeta med skrivare, och för en annan - för att tillåta arbete med media i skrivskyddat läge. Om det är nödvändigt att registrera information på externa enheter för enskilda användare kan skuggkopieringsteknik användas som säkerställer att all information som sparas på en extern enhet kopieras till servern. Den kopierade informationen kan sedan analyseras för att analysera användaråtgärder. Denna teknik kopierar allt, och för närvarande finns det inga system som tillåter innehållsanalys av lagrade filer för att blockera operationen och förhindra läckage, som nätverks-DLP:er gör. Ett arkiv med skuggkopior kommer dock att tillhandahålla incidentutredningar och retrospektiv analys av händelser på nätverket, och närvaron av ett sådant arkiv innebär att en potentiell insider kan fångas och straffas för sina handlingar. Detta kan visa sig vara ett betydande hinder för honom och en betydande anledning att överge fientliga handlingar.

Det är också värt att nämna kontroll över användningen av skrivare - papperskopior av dokument kan också bli en källa till läckage. Hosted DLP låter dig kontrollera användaråtkomst till skrivare på samma sätt som andra externa enheter och lagra kopior av utskrivna dokument i grafiskt format för efterföljande analys. Dessutom har tekniken med vattenstämplar blivit något utbredd, som skriver ut en unik kod på varje sida i ett dokument, som kan användas för att bestämma exakt vem, när och var som har skrivits ut detta dokument.

Trots de otvivelaktiga fördelarna med värdbaserad DLP har de ett antal nackdelar förknippade med behovet av att installera agentprogramvara på varje dator som är tänkt att övervakas. För det första kan detta orsaka vissa svårigheter när det gäller att distribuera och hantera sådana system. För det andra kan en användare med administratörsrättigheter försöka inaktivera denna programvara för att utföra åtgärder som inte är tillåtna enligt säkerhetspolicyn.

För pålitlig kontroll av externa enheter är dock värdbaserad DLP oumbärlig, och de nämnda problemen är inte olösliga. Således kan vi dra slutsatsen att konceptet DLP nu är ett fullfjädrat verktyg i arsenalen av företags säkerhetstjänster inför den ständigt ökande pressen på dem att säkerställa intern kontroll och skydd mot läckor.

IPC koncept

I processen att uppfinna nya sätt att bekämpa interna hot upphör inte det moderna samhällets vetenskapliga och tekniska tanke, och med hänsyn till vissa brister hos de medel som diskuterades ovan har marknaden för system för skydd mot informationsläckor kommit till begreppet IPC (informationsskydd och kontroll). Denna term dök upp relativt nyligen; man tror att den först användes i en granskning av analysföretaget IDC 2007.

Kärnan i detta koncept är att kombinera DLP och krypteringsmetoder. I detta koncept, med hjälp av DLP, styrs information som lämnar företagets nätverk via tekniska kanaler, och kryptering används för att skydda lagringsmedia som fysiskt faller eller kan hamna i händerna på obehöriga.

Låt oss titta på de vanligaste krypteringsteknikerna som kan användas i IPC-konceptet.

  • Kryptering av magnetband.Trots den ålderdomliga karaktären hos denna typ av media, fortsätter den att användas aktivt för Reserv exemplar och för att överföra stora mängder information, eftersom den fortfarande inte har någon motsvarighet när det gäller enhetskostnaden för en lagrad megabyte. Följaktligen fortsätter bandläckor att glädja nyhetsredaktörerna som sätter dem på förstasidan, och frustrerar CIO:erna och säkerhetsteamen för de företag som blir hjältarna i sådana rapporter. Situationen förvärras av det faktum att sådana band innehåller mycket stora mängder data, och därför kan ett stort antal människor bli offer för bedragare.
  • Kryptering av serverlagringar.Trots det faktum att serverlagring mycket sällan transporteras och risken för förlust är oändligt lägre än för magnetband, är en separat HDD från förvaring kan falla i händerna på brottslingar. Reparation, kassering, uppgradering - dessa händelser inträffar med tillräcklig regelbundenhet för att avskriva denna risk. Och situationen för obehöriga som kommer in på kontoret är inte en helt omöjlig händelse.

Här är det värt att göra en liten utvikning och nämna den vanliga missuppfattningen att om en disk är en del av en RAID-array, så behöver du förmodligen inte oroa dig för att den hamnar i fel händer. Det verkar som om växlingen av registrerade data till flera hårddiskar, som RAID-kontroller utför, ger ett oläsbart utseende till data som finns på en hård typ. Tyvärr är detta inte helt sant. Interleaving förekommer, men i de flesta moderna enheter görs det på 512-byte blocknivå. Detta innebär att konfidentiell information, trots brott mot filstruktur och filformat, fortfarande kan extraheras från en sådan hårddisk. Därför, om det finns ett krav på att säkerställa konfidentialitet för information när den lagras i en RAID-array, förblir kryptering det enda tillförlitliga alternativet.

  • Kryptering av bärbara datorer.Detta har redan sagts otaliga gånger, men ändå har förlusten av bärbara datorer med konfidentiell information inte varit utanför topp fem av hitparaden av incidenter på många år nu.
  • Kryptering av flyttbara media.I det här fallet talar vi om bärbara USB-enheter och ibland inspelningsbara CD- och DVD-skivor om de används i företagets affärsprocesser. Sådana system, såväl som de tidigare nämnda krypteringssystemen för hårddiskar för bärbara datorer, kan ofta fungera som komponenter i värd-DLP-system. I det här fallet talar de om en slags kryptografisk perimeter, som säkerställer automatisk transparent kryptering av media inuti, och oförmågan att dekryptera data utanför den.

Således kan kryptering avsevärt utöka kapaciteten hos DLP-system och minska risken för läckage av konfidentiell data. Trots det faktum att konceptet med IPC tog form relativt nyligen och valet av komplexa IPC-lösningar på marknaden inte är särskilt brett, utforskar branschen aktivt detta område och det är mycket möjligt att detta koncept efter en tid kommer att bli det faktostandard för att lösa problem med intern säkerhet och intern säkerhet.

Slutsatser

Som framgår av denna genomgång är interna hot ett ganska nytt område inom informationssäkerheten, som ändå är under aktiv utveckling och kräver ökad uppmärksamhet. De övervägda dokumentkontrollteknikerna, DLP och IPC gör det möjligt att bygga ett ganska tillförlitligt internkontrollsystem och minska risken för läckage till en acceptabel nivå. Utan tvekan kommer detta område av informationssäkerhet att fortsätta att utvecklas, nyare och mer avancerade tekniker kommer att erbjudas, men idag väljer många organisationer en eller annan lösning, eftersom slarv i frågor om informationssäkerhet kan vara för dyrt.

Alexey Raevsky
VD för SecurIT



Populär i kategorin:
Hur skapar man ett karaokeklipp på en dator?
Hur skapar man ett karaokeklipp på en dator?
läsa
Origin-appen krävs för spelet, men den är inte installerad. FIFA 16 kräver Origin.
Origin-appen krävs för att spela, men den är inte installerad FIFA...
läsa
Registrera en personlig sida på det sociala nätverket Facebook
Registrera en personlig sida på det sociala nätverket Facebook
läsa
Hur man kör en enkel Nmap Nmap Scan
Hur man kör en enkel Nmap Nmap Scan
läsa

Senaste artiklarna
Hur man roterar en bild några grader...
läsa
Inaktiverar annonsering i Yandex webbläsare Där...
läsa
Felsöker problem med Wi-Fi-anslutningen på...
läsa
Byt lösenord på Windows 10-profilen
läsa
Instruktioner för att ställa in trådlösa routrar...
läsa
Hur man väljer en hårddisk och vilken är bättre att köpa...
läsa
Meizu för dummies. Samtal och adressbok....
läsa
Ladda ner programmet PDFMaster
läsa
Topp