Ev › problemler › İçeriden koruma yazılımı pdf. Zlock sistemini kullanarak içeriden koruma. Cihazların statik olarak bloke edilmesine dayalı sistemler

İçeriden koruma yazılımı pdf. Zlock sistemini kullanarak içeriden koruma. Cihazların statik olarak bloke edilmesine dayalı sistemler

"Danışman", 2011, N 9

"Bilgiye sahip olan, dünyanın sahibidir" - Winston Churchill'in bu ünlü aforizması, modern toplumda her zamankinden daha alakalı. Bilgi, fikir ve teknoloji öne çıkıyor ve pazar liderliği, bir şirketin entelektüel sermayesini ne kadar iyi yönetebildiğine bağlı.

Bu koşullar altında, kuruluşun bilgi güvenliği ayrı bir önem taşımaktadır.

Rakiplere herhangi bir bilgi sızıntısı veya iç süreçlerle ilgili bilgilerin ifşası, şirketin pazardaki konumunu anında etkiler.

sistem bilgi Güvenliğiçeşitli tehditlere karşı koruma sağlamalıdır: teknik, organizasyonel ve insan faktörünün neden olduğu tehditler.

Pratikte görüldüğü gibi, içeridekiler bilgi sızıntısının ana kanalıdır.

arkadaki düşman

Gizli bilgileri ifşa ederek şirkete zarar veren bir şirket çalışanına içeriden bilgi vermek adettendir.

Bununla birlikte, sağlanması bilgi güvenliğinin amacı olan üç ana koşulu - gizlilik, bütünlük, kullanılabilirlik - dikkate alırsak, bu tanım genişletilebilir.

İçeriden biri, şirketin gizli bilgilerine meşru resmi erişimi olan ve bilgilerin ifşa edilmesine, bozulmasına, zarar görmesine veya erişilemezliğine neden olan bir çalışan olabilir.

Bu genelleme geçerlidir çünkü modern dünya bilgilerin bütünlüğünün ve kullanılabilirliğinin ihlali, genellikle iş için gizli bilgilerin ifşasından çok daha ciddi sonuçlar doğurur.

Birçok işletme için iş süreçlerini kısa bir süre için bile olsa kapatmak önemli mali kayıpları tehdit eder ve birkaç gün içinde işleyişin aksaması o kadar şiddetli olabilir ki sonuçları ölümcül olabilir.

İş risklerini inceleyen çeşitli kuruluşlar, araştırma sonuçlarını düzenli olarak yayınlar. Onlara göre, içeriden öğrenilen bilgiler, uzun yıllardır bilgi güvenliği ihlallerinin nedenleri listesinde sürekli olarak birinci sırada yer almaktadır.

Toplam olay sayısındaki istikrarlı büyüme nedeniyle, sorunun aciliyetinin her zaman arttığı sonucuna varılabilir.

Tehdit modeli

Sorunla etkin bir şekilde başa çıkmaya yardımcı olacak güvenilir, katmanlı bir bilgi güvenliği sistemi oluşturmak için öncelikle bir tehdit modeli oluşturmak gerekir.

İçeridekilerin kim olduğunu ve onları neyin harekete geçirdiğini, neden belirli eylemleri gerçekleştirdiklerini anlamak gerekir.

Bu tür modelleri oluşturmak için farklı yaklaşımlar vardır, ancak pratik amaçlar için, tüm ana içeriden bilgi türlerini içeren aşağıdaki sınıflandırmayı kullanabilirsiniz.

Dahili "hacker"

Böyle bir çalışan, kural olarak, ortalama seviyenin üzerinde bir mühendislik yeterliliğine sahiptir, kurumsal kaynakların organizasyonunu, bilgisayar sistemlerinin ve ağlarının mimarisini anlar.

Meraktan, sportif ilgiden, kendi yeteneklerinin sınırlarını keşfederek bilgisayar korsanlığı eylemleri gerçekleştirir.

Genellikle eylemlerinin olası zararlarının farkındadır, bu nedenle nadiren somut zarar getirir.

Eylemleri şirkette gerçekleşen bazı süreçlerin geçici olarak durmasına neden olabileceğinden tehlike derecesi orta düzeydedir. Faaliyetin tanımlanması öncelikle teknik yollarla mümkündür.

Sorumsuz ve düşük vasıflı çalışan

Farklı becerilere sahip olabilir ve işletmenin herhangi bir bölümünde çalışabilir.

Tehlikelidir çünkü genellikle eylemlerinin sonuçlarını düşünmez, şirketin bilgi kaynaklarıyla "deneme yanılma yoluyla" çalışabilir, bilgileri istemeden yok edebilir ve çarpıtabilir.

Genellikle eylemlerinin sırasını hatırlamaz ve olumsuz sonuçlar bulduğunda, onlar hakkında sessiz kalabilir.

Bir arkadaşınızla yüz yüze bir görüşmede veya hatta çevrimiçi forumlarda ticari sırları ifşa edebilir ve sosyal ağlarda.

Özellikle bu tür davetsiz misafirlerin diğerlerinden daha yaygın olduğu düşünüldüğünde, tehlike derecesi çok yüksektir. Faaliyetlerinin sonuçları, bilinçli bir saldırganınkinden çok daha ciddi olabilir.

Eylemlerinin sonuçlarını önlemek için, hem teknik (yetkilendirme, çalışma oturumlarının hesaplara zorunlu olarak bölünmesi) hem de örgütsel (süreç ve işin sonucu üzerinde sürekli yönetim kontrolü) olmak üzere bir dizi farklı önlem almak gerekir. .

Psikolojik olarak dengesiz kişi

Tıpkı önceki tipin temsilcisi gibi her pozisyonda çalışabilir ve çok farklı niteliklere sahip olabilir. Psikolojik rahatsızlık koşullarında yetersiz motive olma eğilimi nedeniyle tehlikelidir: aşırı durumlarda, diğer çalışanlardan gelen psikolojik baskı veya sadece güçlü tahriş.

Duygusal bir durumda, gizli bilgiler verebilir, verilere zarar verebilir, diğer insanların olağan iş akışını bozabilir.

Tehlike derecesi orta düzeydedir, ancak bu tür bir davetsiz misafir çok yaygın değildir.

Eylemlerinin olumsuz sonuçlarını önlemek için, idari önlemleri kullanmak en etkili olanıdır - bu tür kişileri görüşme aşamasında belirlemek, bilgiye erişimi ayırt etmek ve ekipte rahat bir psikolojik iklimi sürdürmek.

Kırgın, kırgın çalışan

Bilgi güvenliği rejiminin potansiyel ihlalcilerinden oluşan en geniş grup.

Teorik olarak, çalışanların büyük çoğunluğu şirkete karşı düşmanca davranışlarda bulunabilir.

Bu, yönetimin çalışanın kişiliğine veya mesleki niteliklerine saygısızlık göstermesi ve bunun ücret düzeyini etkilemesi durumunda gerçekleşebilir.

Potansiyel olarak, bu tür bir içeriden bilgi çok yüksek bir tehlike oluşturur - hem bilgi sızıntıları hem de bilgilerin zarar görmesi mümkündür ve çalışan bunu kasıtlı olarak uyguladığı ve tüm güvenlik açıklarını iyi bildiği için bunlardan kaynaklanan zararın işletme için somut olması garanti edilecektir.

Aktiviteyi tespit etmek için hem idari hem de teknik önlemlere ihtiyaç vardır.

dürüst olmayan çalışan

Çalıştığı şirketin varlıklarından kişisel servetini artırmaya çalışan bir çalışan. Atanan şeyler arasında çeşitli gizli bilgi taşıyıcıları (sabit sürücüler, flash sürücüler, kurumsal dizüstü bilgisayarlar) olabilir.

Bu durumda, bilgilerin daha sonra yayınlanması veya rakiplere aktarılmasıyla amaçlanmayan kişilere ulaşması riski vardır.

Tehlike orta düzeydedir, ancak bu tür nadir değildir.

Her şeyden önce, bunları tespit etmek için idari önlemlere ihtiyaç vardır.

rakip temsilcisi

Kural olarak, yüksek niteliklidir, gizli bilgiler de dahil olmak üzere bilgi elde etmek için geniş fırsatlar sağlayan pozisyonlara sahiptir. Bu, ya rakipler tarafından işe alınan aktif bir çalışandır (daha sık) ya da şirkete özel olarak tanıtılan içeriden bir kişidir.

Zarar kasıtlı olarak ve bilginin değeri ve şirketin güvenlik açıkları konusunda derin bir anlayışla verildiği için tehlike derecesi çok yüksektir.

Faaliyetleri belirlemek için hem idari hem de teknik önlemlere ihtiyaç vardır.

Ne çalıyoruz?

Çalınan bilgilerin doğası dikkate alınmadan içeriden öğrenenlerin sorununu anlamak imkansızdır.

İstatistiklere göre, müşterilerin kişisel verileri ile müşteri şirketler ve ortaklar hakkındaki bilgiler en çok aranan verilerdir ve vakaların yarısından fazlasında çalınırlar. İşlemler, sözleşme koşulları ve teslimatlarla ilgili daha fazla ayrıntıyı aşağıda bulabilirsiniz. Finansal raporlar da büyük ilgi görüyor.

Bir dizi koruyucu önlem oluştururken, her şirket için kaçınılmaz olarak şu soru ortaya çıkar: Hangi özel bilgiler özel koruyucu önlemler gerektirir ve bunlara ihtiyaç duymaz?

Elbette bu tür kararların dayanağı, risk analizi sonucunda elde edilen verilerdir. Ancak, çoğu zaman bir kuruluşun bir bilgi güvenliği sistemine harcanabilecek sınırlı finansal kaynakları vardır ve bunlar tüm riskleri en aza indirmek için yeterli olmayabilir.

İki yaklaşım

Ne yazık ki, "İlk etapta ne korunmalı" sorusuna hazır bir cevap yok.

Bu soruna iki yönden yaklaşılabilir.

Risk, hem belirli bir tehdidin olasılığını hem de bunun olası zararını hesaba katan karmaşık bir göstergedir. Buna göre güvenliğe öncelik verirken bu göstergelerden birine odaklanabilirsiniz. Bu, her şeyden önce, çalınması en kolay olan bilgilerin (örneğin, çok sayıda çalışanın erişimi varsa) ve çalınması veya engellenmesi en ciddi sonuçlara yol açacak bilgilerin korunduğu anlamına gelir.

İçeriden öğrenenler sorununun önemli bir yönü, bilgi aktarım kanalıdır. Şirket dışına yetkisiz bilgi aktarımı için ne kadar çok fiziksel fırsat varsa, bunun olma olasılığı o kadar yüksek olur.

İletim mekanizmaları

İletim mekanizmaları aşağıdaki gibi sınıflandırılabilir:

sözlü aktarım (kişisel konuşma);
teknik veri aktarım kanalları ( telefon iletişimi, faks iletişimi, e-posta, mesajlaşma sistemleri, çeşitli sosyal internet hizmetleri vb.);
taşınabilir medya ve mobil cihazlar (Cep telefonları, harici sabit sürücüler, dizüstü bilgisayarlar, flash sürücüler vb.).

Araştırmalara göre, zamanımızda gizli verileri iletmek için en sık kullanılan kanallar (azalan sırayla): e-posta, mobil cihazlar (dizüstü bilgisayarlar dahil), sosyal ağlar ve diğer İnternet hizmetleri (anlık mesajlaşma sistemleri gibi) vb. .

Teknik kanalları kontrol etmek için, artık güvenlik piyasasında geniş bir yelpazede bulunan çeşitli araçlar kullanılabilir.

Örneğin, içerik filtreleme sistemleri (dinamik engelleme sistemleri), bilgi ortamına (CD, DVD, Bluetooth) erişimi kısıtlama araçları.

İdari önlemler de uygulanmaktadır: İnternet trafiğini filtrelemek, iş istasyonlarının fiziksel bağlantı noktalarını bloke etmek, idari rejimi ve fiziksel korumayı sağlamak.

seçerken teknik araçlar Gizli bilgilerin korunması sistematik bir yaklaşım gerektirir. Ancak bu şekilde uygulamalarından en yüksek verimi elde etmek mümkündür.

Ayrıca, her şirketin karşılaştığı zorlukların benzersiz olduğunu ve diğer kuruluşlar tarafından kullanılan çözümleri kullanmanın genellikle imkansız olduğunu da anlamanız gerekir.

İçeriden öğrenilen bilgilere karşı mücadele tek başına yürütülmemelidir; bilgi güvenliği rejimini sağlamayı amaçlayan genel iş sürecinin önemli bir bileşenidir.

Profesyoneller tarafından yapılmalı ve tam bir faaliyet döngüsü içermelidir: bir bilgi güvenliği politikasının geliştirilmesi, kapsamın tanımlanması, risk analizi, karşı önlemlerin seçimi ve bunların uygulanması ve ayrıca bilgi güvenliği sisteminin denetimi .

Bir kuruluş tüm kompleks için bir bilgi güvenliği rejimi sağlamazsa, sızıntılardan ve bilgi bozulmasından kaynaklanan mali kayıp riskleri önemli ölçüde artar.

Risk minimizasyonu

muayene

Şirketteki herhangi bir pozisyon için başvuran adayların kapsamlı bir şekilde taranması. Sosyal ağlardaki sayfalarının içeriği de dahil olmak üzere, aday hakkında mümkün olduğunca fazla bilgi toplanması önerilir. Önceki bir işe referans için başvurmak da yardımcı olabilir.
BT mühendislerinin pozisyonları için adaylar, özellikle kapsamlı bir incelemeye tabi tutulmalıdır. Uygulama, içerdekilerin yarısından fazlasının - sistem yöneticileri ve programcılar.
İşe alırken, adayların en azından asgari bir psikolojik testi yapılmalıdır. Kararsız bir ruha sahip başvuru sahiplerinin belirlenmesine yardımcı olacaktır.

Erişim hakkı

Erişim paylaşım sistemi kurumsal kaynaklar. İşletme, bilgileri gizlilik düzeyine göre sıralayan ve bunlara erişim haklarını açıkça tanımlayan düzenleyici belgeler oluşturmalıdır. Herhangi bir kaynağa erişim kişiselleştirilmelidir.
Kaynaklara erişim hakları “minimum yeterlilik” ilkesine göre tahsis edilmelidir. Teknik tesislerin bakımına erişimin, yönetici haklarıyla bile olsa, her zaman bilgilerin kendisini görüntüleme erişimiyle birlikte olması gerekmez.
Mümkün olduğunca, zorunlu yetkilendirme ile kullanıcı eylemlerinin derinlemesine izlenmesi ve gerçekleştirilen işlemlerle ilgili bilgilerin günlükte kaydedilmesi. Günlükler (günlükler) ne kadar dikkatli tutulursa, yönetim şirketteki durumu o kadar çok kontrol eder. Aynısı, İnternet'e hizmet erişimini kullanırken bir çalışanın eylemleri için de geçerlidir.

İletişim standardı

Kuruluş içinde, çalışanların birbirlerine karşı her türlü yanlış davranışını (saldırganlık, şiddet, aşırı yakınlık) dışlayacak kendi iletişim standardı benimsenmelidir. Her şeyden önce bu, "lider - ast" ilişkisi için geçerlidir.

Bir çalışan hiçbir koşulda kendisine haksızlık edildiğini, kendisine yeterince değer verilmediğini, aşırı sömürüldüğünü, aldatıldığını hissetmemelidir.

Bu basit kurala uymak, çalışanları içeriden bilgi edinmeye teşvik eden durumların büyük çoğunluğundan kaçınmanıza olanak tanır.

Gizlilik

Bir gizlilik anlaşması sadece bir formalite olmamalıdır. Önemli bilgilere erişimi olan tüm çalışanlar tarafından imzalanmalıdır. bilgi kaynaklarışirketler.

Ayrıca görüşme aşamasında bile potansiyel çalışanlara şirketin bilgi güvenliğini nasıl kontrol ettiğini açıklamak gerekir.

fon kontrolü

Çalışanın iş amacıyla kullandığı teknik araçların kontrolünü temsil eder.

Örneğin, kişisel bir dizüstü bilgisayarın kullanılması istenmez, çünkü bir çalışan ayrıldığında, üzerinde hangi bilgilerin saklandığını bulmak büyük olasılıkla mümkün olmayacaktır.

Aynı nedenle kutu kullanımı da istenmeyen bir durumdur. E-posta dış kaynaklar üzerinde.

Iç düzen

Şirket iç düzenlemelere uymak zorundadır.

Çalışanların işyerinde geçirdikleri süre hakkında bilgi sahibi olunması gerekmektedir.

Ayrıca, maddi varlıkların hareketi üzerinde kontrol sağlanmalıdır.

Tüm bu kurallara uyulması, içeriden öğrenilen bilgiler yoluyla bilgilerin zarar görme veya sızma riskini azaltacak, bu da önemli mali veya itibar kayıplarının önlenmesine yardımcı olacaktır.

Yönetici Ortağı

Barındırma Topluluğu şirketler grubu

Bugün, gizli bilgileri sızdırmak için iki ana kanal var: bir bilgisayara bağlı cihazlar (flash sürücüler, CD / DVD sürücüleri vb. Dahil her türlü çıkarılabilir sürücü, yazıcılar) ve İnternet (e-posta, ICQ, sosyal ağlar) vb.) d.). Bu nedenle, bir şirket onlara karşı bir koruma sistemi uygulamaya "olgunlaştığında", bu çözüme kapsamlı bir şekilde yaklaşmanız önerilir. Sorun, farklı kanalların örtüşmesi için farklı yaklaşımların kullanılmasıdır. Bir durumda, en etkili yol koruma, çıkarılabilir sürücülerin kullanımını kontrol edecek ve ikincisi - gizli verilerin harici bir ağa aktarılmasını engellemenizi sağlayan çeşitli içerik filtreleme seçenekleri. Bu nedenle şirketler, içerideki kişilere karşı korunmak için birlikte kapsamlı bir güvenlik sistemi oluşturan iki ürün kullanmak zorundadır. Doğal olarak, bir geliştiricinin araçlarının kullanılması tercih edilir. Bu durumda, uygulama, yönetim ve çalışanların eğitimi süreci kolaylaştırılır. Bir örnek, SecurIT'in ürünleridir: Zlock ve Zgate.

Zlock: çıkarılabilir sürücüler aracılığıyla sızıntı koruması

Zlock programı uzun süredir piyasada. Ve biz zaten. Prensip olarak, tekrar etmenin bir anlamı yoktur. Ancak makalenin yayınlanmasından bu yana, bir takım önemli özelliklere sahip olan Zlock'un iki yeni sürümü yayınlandı. Çok kısa da olsa onlardan bahsetmeye değer.

Her şeyden önce, bir bilgisayara, bilgisayarın bağlı olup olmadığına bağlı olarak bağımsız olarak uygulanan birkaç ilke atama olasılığını belirtmekte fayda var. Şirket ağı doğrudan, bir VPN aracılığıyla veya çevrimdışı çalışır. Bu, özellikle PC'nin yerel ağ bağlantısı kesildiğinde USB portlarının ve CD / DVD sürücülerinin otomatik olarak bloke edilmesini sağlar. Genel olarak verilen işlevçalışanların seyahat veya evde çalışmak için ofis dışına çıkarabilecekleri dizüstü bilgisayarlarda saklanan bilgilerin güvenliğini artırır.

Saniye yeni fırsat- şirket çalışanlarına telefon üzerinden kilitli cihazlara ve hatta cihaz gruplarına geçici erişim sağlama. Çalışma prensibi, program tarafından üretilen değiş tokuştur. gizli kodlar kullanıcı ile bilgi güvenliğinden sorumlu kişi arasında. Kullanım izninin yalnızca kalıcı değil, geçici olarak da (belirli bir süre için veya oturumun sonuna kadar) verilebileceği dikkat çekicidir. Bu araç, güvenlik sisteminde bir miktar rahatlama olarak kabul edilebilir, ancak BT departmanının iş taleplerine yanıt verebilirliğini artırmanıza olanak tanır.

Zlock'un yeni sürümlerindeki bir sonraki önemli yenilik, yazıcıların kullanımı üzerindeki kontroldür. Ayarladıktan sonra, koruma sistemi baskı cihazlarına yönelik tüm kullanıcı isteklerini özel bir günlüğe kaydedecektir. Ama hepsi bu kadar değil. Zlock, yazdırılan tüm belgelerin gölge kopyasına sahiptir. onlar kayıtlı PDF biçimi ve yazıcıya hangi dosyanın gönderildiğine bakılmaksızın yazdırılan sayfaların eksiksiz bir kopyasıdır. Bu, içeriden biri verileri ofis dışına çıkarmak için yazdırdığında gizli bilgilerin kağıt sayfalara sızmasını önler. Ayrıca koruma sisteminde, CD / DVD disklere kaydedilen bilgilerin gölge kopyası da ortaya çıktı.

Önemli bir yenilik, sunucu bileşeni Zlock Enterprise Management Server'ın ortaya çıkmasıydı. Güvenlik politikalarının ve diğer program ayarlarının merkezi olarak depolanmasını ve dağıtımını sağlar ve büyük ve dağıtık bilgi sistemlerinde Zlock yönetimini büyük ölçüde kolaylaştırır. Gerekirse etki alanını ve yerel Windows kullanıcılarını kullanmayı reddetmenize izin veren kendi kimlik doğrulama sisteminin ortaya çıkışından da bahsetmek imkansızdır.

ek olarak, içinde En son sürüm Zlock'un pek fark edilmeyen ama aynı zamanda oldukça önemli işlevleri vardır: izinsiz girişler algılandığında kullanıcının oturum açmasını engelleme yeteneği ile istemci modülünün bütünlüğünün kontrolü, bir güvenlik sistemi uygulamak için gelişmiş seçenekler, Oracle DBMS desteği, vb.

Zgate: İnternet Sızıntı Koruması

Yani Zgate. Daha önce de belirttiğimiz gibi bu ürün, gizli bilgilerin İnternet üzerinden sızmasına karşı koruma sağlayan bir sistemdir. Yapısal olarak Zgate üç bölümden oluşur. Ana bileşen, tüm veri işleme işlemlerini gerçekleştiren sunucu bileşenidir. Hem ayrı bir bilgisayara hem de halihazırda bir şirkette çalışanlara kurulabilir. bilgi sistemi ana bilgisayarlar - İnternet ağ geçidi, etki alanı denetleyicisi, posta ağ geçidi vb. Bu modül sırasıyla üç bileşenden oluşur: SMTP trafiğini kontrol etmek, Microsoft Exchange 2007/2010 sunucusunun dahili postasını kontrol etmek ve Zgate Web (kontrolden sorumludur) HTTP, FTP ve IM trafiği).

Koruma sisteminin ikinci kısmı, kayıt sunucusudur. Bir veya daha fazla Zgate sunucusundan olaylar hakkında bilgi toplamak, işlemek ve depolamak için kullanılır. Bu modül özellikle büyük ve coğrafi olarak dağılmış kurumsal sistemler, çünkü tüm verilere merkezi erişim sağlar. Üçüncü bölüm yönetim konsoludur. SecurIT ürünleri için standart konsolu kullanır ve bu nedenle üzerinde ayrıntılı olarak durmayacağız. Sadece bu modülün yardımıyla sistemi sadece yerel olarak değil, uzaktan da yönetebileceğinizi not ediyoruz.

Yönetim konsolu

Zgate sistemi birkaç modda çalışabilir. Ayrıca, kullanılabilirlikleri ürünün uygulanma şekline bağlıdır. İlk iki mod, bir posta proxy sunucusu olarak çalışmayı içerir. Bunları uygulamak için sistem, kurumsal posta sunucusu ile "dış dünya" arasına (veya ayrılmışlarsa, posta sunucusu ile gönderen sunucu arasında) kurulur. Bu durumda, Zgate ya trafiği filtreleyebilir (ihlal eden ve şüpheli mesajları alıkoyabilir) ya da sadece günlüğe kaydedebilir (tüm mesajları atlayıp arşivde tutabilir).

İkinci uygulama yöntemi, koruma sisteminin Microsoft Exchange 2007 veya 2010 ile birlikte kullanılmasını içerir. Bunu yapmak için Zgate'i doğrudan şirkete yüklemeniz gerekir. posta sunucusu. Bu durumda, iki mod da mevcuttur: filtreleme ve günlük kaydı. Ayrıca, başka bir uygulama seçeneği daha vardır. Yansıtılmış trafik modunda mesajların günlüğe kaydedilmesinden bahsediyoruz. Doğal olarak, onu kullanmak için, Zgate'in kurulu olduğu bilgisayarın bu çok yansıtılmış trafiği almasını sağlamak gerekir (genellikle bu, ağ ekipmanı kullanılarak yapılır).

Zgate çalışma modu seçimi

Zgate Web bileşeni ayrı bir hikayeyi hak ediyor. Doğrudan kurumsal İnternet ağ geçidine kurulur. Aynı zamanda, bu alt sistem HTTP, FTP ve IM trafiğini kontrol etme, yani web posta arayüzleri ve ICQ aracılığıyla gizli bilgi gönderme girişimlerini tespit etmek için işleme, forumlarda, FTP sunucularında yayınlama, ve sosyal ağlar vb. Bu arada, "ICQ" hakkında. Anlık ileti mesajlarını engelleme işlevi birçok benzer üründe bulunur. Ancak, içlerinde olmayan tam olarak “ICQ” dur. Basitçe, Rusça konuşulan ülkelerde en yaygın hale geldiği için.

Zgate Web bileşeninin çalışma prensibi oldukça basittir. Kontrol edilen hizmetlerden herhangi birine bilgi gönderildiğinde, sistem özel bir mesaj üretecektir. Bilginin kendisini ve bazı servis verilerini içerir. Ana Zgate sunucusuna gönderilir ve verilen kurallara göre işlenir. Doğal olarak, hizmetin kendisinde bilgi gönderilmesi engellenmez. Yani, Zgate Web yalnızca günlük modunda çalışır. Yardımı ile tek veri sızıntılarını önlemek imkansızdır, ancak öte yandan bunları hızlı bir şekilde tespit edebilir ve özgür veya farkında olmayan bir saldırganın faaliyetini durdurabilirsiniz.

Zgate Web Bileşenini Yapılandırma

Bilgilerin Zgate'te nasıl işlendiği ve filtreleme sırası, bir güvenlik görevlisi veya diğer sorumlu çalışan tarafından geliştirilen bir politika tarafından belirlenir. Her biri belirli bir eyleme karşılık gelen bir dizi koşuldur. Gelen tüm mesajlar birbiri ardına sırayla "çalıştırılır". Ve koşullardan herhangi biri karşılanırsa, onunla ilişkili eylem başlatılır.

Filtreleme sistemi

Toplamda, sistem "tüm durumlar için" dedikleri gibi 8 tür koşul sağlar. İlki, ek dosya türüdür. Bununla birlikte, şu veya bu biçimdeki nesneleri gönderme girişimlerini tespit edebilirsiniz. Analizin uzantıya göre değil, dosyanın iç yapısına göre yapıldığına dikkat edilmelidir ve hem belirli nesne türlerini hem de gruplarını (örneğin, tüm arşivler, video kayıtları vb.) Belirtebilirsiniz. İkinci tür koşul, harici bir uygulama ile doğrulamadır. Bir uygulama olarak, şu adresten başlatılan normal bir program gibi davranabilir: Komut satırı, yanı sıra komut dosyası.

Filtreleme sistemindeki koşullar

Ancak bir sonraki koşul üzerinde daha ayrıntılı olarak durmaya değer. Aktarılan bilgilerin içerik analizinden bahsediyoruz. Her şeyden önce, "omnivor" Zgate'e dikkat etmek gerekiyor. Gerçek şu ki, program çok sayıda farklı formatı "anlıyor". Bu nedenle, yalnızca basit metni değil, hemen hemen her eki de analiz edebilir. İçerik analizinin bir diğer özelliği de büyük potansiyelidir. Hem mesaj metninde veya belirli bir kelimenin başka herhangi bir alanında basit bir aramadan, hem de gramer kelime formlarını, köklendirmeyi ve harf çevirisini hesaba katmak da dahil olmak üzere tam teşekküllü bir analizden oluşabilir. Ama hepsi bu kadar değil. Modeller ve düzenli ifadeler için analiz sistemi özel olarak anılmayı hak ediyor. Yardımı ile, örneğin pasaport serileri ve numaraları, telefon numarası, sözleşme numarası, banka hesap numarası vb. gibi mesajlarda belirli bir formattaki verilerin varlığını kolayca tespit edebilirsiniz. şirket tarafından işlenen kişisel verilerin korunması.

Çeşitli hassas bilgileri tanımlamak için şablonlar

Dördüncü tür koşullar, mektupta belirtilen adreslerin analizidir. Yani, aralarında belirli dizeleri arayın. Beşinci - şifrelenmiş dosyaların analizi. Yürütüldüğünde, mesajın öznitelikleri ve/veya iç içe geçmiş nesneler kontrol edilir. Altıncı koşul türü, harflerin çeşitli parametrelerini kontrol etmektir. Yedinci sözlük analizidir. Bu sırada sistem, önceden oluşturulmuş sözlüklerdeki sözcüklerin mesajdaki varlığını algılar. Ve son olarak, son sekizinci koşul türü bileşiktir. Mantıksal operatörlerle birleştirilmiş iki veya daha fazla koşulu temsil eder.

Bu arada, koşulların açıklamasında tarafımızdan bahsedilen sözlükler hakkında ayrı ayrı söylemek gerekiyor. Aynı özellikte birleşmiş kelime gruplarıdır ve çeşitli filtreleme yöntemlerinde kullanılırlar. Yüksek olasılıkla, mesajı bir kategoriye veya diğerine atfetmenize izin veren sözlükler oluşturmak en mantıklısıdır. İçerikleri manuel olarak girilebilir veya mevcut olanlardan içe aktarılabilir. metin dosyaları. Sözlük oluşturmak için başka bir seçenek daha var - otomatik. Kullanırken, yöneticinin sadece ilgili belgeleri içeren klasörü belirtmesi gerekir. Programın kendisi bunları analiz edecek, gerekli kelimeleri seçecek ve ağırlık özelliklerini ayarlayacaktır. Sözlüklerin yüksek kalitede derlenmesi için, yalnızca gizli dosyaları değil, aynı zamanda gizli bilgi içermeyen nesneleri de belirtmek gerekir. Genel olarak, otomatik oluşturma süreci, promosyon e-postalarında ve normal e-postalarda istenmeyen posta önlemeyi öğrenmeye en çok benzer. Ve bu şaşırtıcı değil çünkü hem orada hem de orada benzer teknolojiler kullanılıyor.

Bir mali sözlük örneği

Sözlüklerden bahsetmişken, Zgate'de uygulanan gizli verileri tespit etmek için başka bir teknolojiden söz edilemez. Dijital baskılardan bahsediyoruz. öz Bu methodŞöyleki. Yönetici, sistemi hassas veriler içeren klasörlere yönlendirebilir. Program, içlerindeki tüm belgeleri analiz edecek ve "dijital parmak izleri" - yalnızca dosyanın tüm içeriğini değil, aynı zamanda tek tek parçalarını da aktarma girişimini belirlemenizi sağlayan veri kümeleri oluşturacaktır. Lütfen sistemin, kendisi tarafından belirtilen klasörlerin durumunu otomatik olarak izlediğini ve bunlarda yeni görünen tüm nesneler için bağımsız olarak "parmak izleri" oluşturduğunu unutmayın.

Dijital dosya parmak izleriyle bir kategori oluşturun

Şimdi geriye sadece söz konusu koruma sisteminde uygulanan eylemlerle ilgilenmek kalıyor. Toplamda, Zgate'de uygulanmış 14 tane var. Ancak çoğunluk, mesajla gerçekleştirilen eylemleri tanımlar. Bunlar, özellikle göndermeden silme (yani, aslında bir mektubun iletimini engelleme), bir arşive yerleştirme, ek ekleme veya silme, çeşitli alanları değiştirme, metin ekleme vb. bir mektubu karantinaya almak. Bu hareket mesajı, gelecekteki kaderine karar verecek olan güvenlik görevlisi tarafından manuel olarak doğrulamak üzere "ertelemenize" olanak tanır. Anlık ileti bağlantısını engellemenize izin veren eylem de çok ilginçtir. Gizli bilgiler içeren bir mesajın iletildiği kanalı anında bloke etmek için kullanılabilir.

İki eylem biraz öne çıkıyor - Bayes işleme ve parmak izi işleme. Her ikisi de hassas bilgiler için mesajları kontrol etmek üzere tasarlanmıştır. Yalnızca ilki sözlükleri ve istatistiksel analizi kullanırken, ikincisi dijital parmak izlerini kullanır. Bu eylemler, örneğin alıcının adresi kurumsal etki alanında değilse, belirli bir koşul karşılandığında gerçekleştirilebilir. Ek olarak, (ancak diğerleri gibi) tüm giden mesajlara koşulsuz uygulama için ayarlanabilirler. Bu durumda, sistem harfleri analiz edecek ve bunları belirli kategorilere ayıracaktır (tabii ki bu mümkünse). Ancak bu kategoriler için, belirli eylemlerin uygulanmasıyla koşullar oluşturmak zaten mümkündür.

Zgate sistemindeki eylemler

Evet, bugünkü Zgate sohbetimizin sonunda biraz özet geçebiliriz. Bu koruma sistemi, öncelikle mesajların içerik analizine dayanmaktadır. Bu yaklaşım, gizli bilgilerin İnternet üzerinden sızmasına karşı koruma için en yaygın olanıdır. Doğal olarak, içerik analizi %100 koruma derecesi sağlamaz ve oldukça olasılıksaldır. Bununla birlikte, kullanımı çoğu durumda gizli verilerin yetkisiz aktarımını önler. Şirketler kullanmalı mı kullanmamalı mı? Herkes uygulama maliyetlerini değerlendirerek buna kendisi karar vermelidir ve olası problemler bilgi sızıntısı durumunda. Zgate'in normal ifadeleri "yakalama" konusunda mükemmel bir iş çıkardığını belirtmekte fayda var, bu da onu şirket tarafından işlenen kişisel verileri korumanın çok etkili bir yolu haline getiriyor.

Her yıl düzenlenen CSI/FBI ComputerCrimeAndSecuritySurvey gibi bilgi güvenliği alanında yapılan son araştırmalar, şirketlerin çoğu tehditten kaynaklanan mali kayıplarının yıldan yıla azaldığını göstermiştir. Bununla birlikte, kayıpların arttığı birkaç risk vardır. Bunlardan biri, resmi görevlerin yerine getirilmesi için ticari verilere erişimi gerekli olan çalışanlar tarafından gizli bilgilerin kasıtlı olarak çalınması veya bunların işlenmesine ilişkin kuralların ihlalidir. Bunlara içeridekiler denir.

Çoğu durumda, gizli bilgilerin çalınması mobil medya kullanılarak gerçekleştirilir: CD'ler ve DVD'ler, ZIP cihazları ve en önemlisi her türlü USB sürücü. Dünya çapında içeriden öğrenenlerin ticaretinin gelişmesine yol açan, onların toplu dağıtımlarıydı. Çoğu bankanın lideri, örneğin müşterilerinin kişisel verilerini içeren bir veri tabanının veya dahası hesaplarındaki işlemlerin suç yapılarının eline geçmesi durumunda neyin tehdit edildiğinin gayet iyi farkındadır. Ve olası bilgi hırsızlığına karşı kendilerine sunulan örgütsel yöntemlerle mücadele etmeye çalışıyorlar.

Ancak, bu durumda örgütsel yöntemler etkisizdir. Bugün, minyatür bir flash sürücü kullanarak bilgisayarlar arasında bilgi aktarımını organize edebilirsiniz. cep telefonu, mp3 çalar, dijital kamera... Elbette tüm bu cihazların ofise girmesini yasaklamayı deneyebilirsiniz ama bu, öncelikle çalışanlarla ilişkileri olumsuz etkileyecek ve ikincisi, insanlar üzerinde gerçekten etkili bir kontrol kurmak zaten çok zor. - banka " Posta kutusu". Ve hatta harici ortama (FDD ve ZIP sürücüleri, CD ve DVD sürücüleri vb.) ve USB bağlantı noktalarına bilgi yazmak için kullanılabilecek bilgisayarlardaki tüm aygıtları devre dışı bırakmak bile yardımcı olmaz. Sonuçta, birincisi iş için gereklidir ve ikincisine çeşitli çevre birimleri bağlanır: yazıcılar, tarayıcılar vb. Ve hiç kimse bir kişinin yazıcıyı bir dakikalığına kapatmasını, boş bağlantı noktasına bir flash sürücü takmasını ve ona kopyalama yapmasını engelleyemez. önemli bilgi. Elbette orijinal koruma yolları bulabilirsiniz. Örneğin, bir bankada sorunu çözmek için bu yöntemi denediler: USB bağlantı noktasının bağlantısını ve kabloyu epoksi reçineyle doldurdular ve ikincisini bilgisayara sıkıca "bağladılar". Ancak neyse ki bugün daha modern, güvenilir ve esnek kontrol yöntemleri var.

İçeriden öğrenenler ile ilgili riskleri en aza indirmenin en etkili yolu, özel bir yazılım bilgisayardaki bilgi kopyalamak için kullanılabilecek tüm aygıtları ve bağlantı noktalarını dinamik olarak yöneten . Çalışmalarının prensibi aşağıdaki gibidir. Farklı bağlantı noktalarını ve cihazları kullanma izinleri, her kullanıcı grubu veya her kullanıcı için ayrı ayrı ayarlanır. Bu tür yazılımların en büyük avantajı esnekliktir. Belirli cihaz türleri, modelleri ve bireysel örnekler için kısıtlamalar girebilirsiniz. Bu, erişim haklarının dağıtımı için çok karmaşık politikalar uygulamanıza olanak tanır.

Örneğin, bazı çalışanların USB bağlantı noktalarına bağlı tüm yazıcıları ve tarayıcıları kullanmasına izin verilebilir. Bu bağlantı noktasına takılan diğer tüm cihazlara erişilemez. Banka, belirteçlere dayalı bir kullanıcı kimlik doğrulama sistemi kullanıyorsa, ayarlarda kullanılan anahtar modelini belirtebilirsiniz. Ardından, kullanıcıların yalnızca şirket tarafından satın alınan cihazları kullanmasına izin verilecek ve diğerleri işe yaramaz hale gelecektir.

Yukarıda açıklanan koruma sistemlerinin çalışma prensibine dayanarak, kayıt cihazlarının ve bilgisayar bağlantı noktalarının dinamik olarak engellenmesini uygulayan programları seçerken hangi noktaların önemli olduğunu anlayabilirsiniz. Birincisi, çok yönlülük. Koruma sistemi, tüm olası bağlantı noktalarını ve bilgi giriş-çıkış cihazlarını kapsamalıdır. Aksi takdirde, ticari bilgi hırsızlığı riski kabul edilemeyecek kadar yüksek kalır. İkinci olarak, söz konusu yazılım esnek olmalı ve cihazlar hakkında çok çeşitli bilgileri kullanarak kurallar oluşturmanıza izin vermelidir: türleri, model üreticileri, her örneğin sahip olduğu benzersiz sayılar vb. Ve üçüncü olarak, içeriden koruma sistemi, bankanın bilgi sistemiyle, özellikle ActiveDirectory ile entegre olabilmelidir. Aksi takdirde, yönetici veya güvenlik görevlisi, kullanıcı ve bilgisayarlardan oluşan iki veri tabanını korumak zorunda kalacaktır, bu sadece uygunsuz olmakla kalmaz, aynı zamanda hata riskini de artırır.

Bilgilerin içeriden korunması yazılım araçları

Alexander Antipov

Makalenin kendisinin ve özellikle tartışmasının, yazılım araçlarını kullanmanın çeşitli nüanslarını belirlemeye yardımcı olacağını ve bilgi güvenliği uzmanları için açıklanan soruna bir çözüm geliştirmede bir başlangıç noktası olacağını umuyorum.

nahna

Infowatch'ın pazarlama bölümü, tüm ilgili tarafları - BT uzmanlarını ve en gelişmiş BT yöneticilerini uzun süredir, şirketin bilgi güvenliği ihlalinden kaynaklanan zararın çoğunun içeriden - ticari sırları ifşa eden çalışanlara - geldiğine ikna ediyor. . Amaç açık - üretilen ürün için talep yaratmak gerekiyor. Evet ve argümanlar oldukça sağlam ve inandırıcı görünüyor.

Sorunun formülasyonu

Bir LAN'da personel tarafından bilgi hırsızlığına karşı korumak için bir sistem oluşturun. Aktif Dizin Windows 2000/2003. Kullanıcı iş istasyonları Windows kontrolü xp. 1C ürünlerine dayalı kurumsal yönetim ve muhasebe.
Gizli bilgiler üç şekilde saklanır:

DB 1C - RDP üzerinden ağ erişimi ( terminal erişimi);
dosya sunucularındaki paylaşılan klasörler - ağ erişimi;
yerel olarak çalışanın bilgisayarında;

Sızıntı kanalları - İnternet ve çıkarılabilir medya (flash sürücüler, telefonlar, oynatıcılar, vb.). Resmi görevlerin yerine getirilmesi için gerekli oldukları için İnternet ve çıkarılabilir medya kullanımını yasaklamak imkansızdır.

piyasada neler var

Söz konusu sistemleri üç sınıfa ayırdım:

Bağlam analizörlerine dayalı sistemler - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, vb.
Statik cihaz kilitlemeye dayalı sistemler - DeviceLock, ZLock, InfoWatch Net Monitor.
Cihazların dinamik olarak engellenmesine dayalı sistemler - SecrecyKeeper, Strazh, Akkord, SecretNet.

Bağlam analizcilerine dayalı sistemler

Çalışma prensibi:
İletilen bilgiler anahtar kelimelerle aranır, arama sonuçlarına göre iletimi engelleme ihtiyacına karar verilir.

Bence InfoWatch Traffic Monitor (www.infowatch.ru), listelenen ürünler arasında maksimum potansiyele sahip. Rus dilinin özelliklerini en iyi şekilde dikkate alan kendini kanıtlamış Kaspersky Antispam motoru temel alınır. Diğer ürünlerin aksine InfoWatch Traffic Monitor, analiz yaparken yalnızca kontrol edilen verilerdeki belirli satırların varlığını değil, aynı zamanda her satırın önceden tanımlanmış ağırlığını da dikkate alır. Böylece, nihai bir karar verilirken, yalnızca belirli kelimelerin geçtiği yerler değil, aynı zamanda bulundukları kombinasyonlar da dikkate alınır, bu da analizörün esnekliğini artırmaya olanak tanır. Diğer özellikler bu tür ürünler için standarttır - arşivlerin analizi, MS Office belgeleri, bilinmeyen formattaki dosyaların veya parola korumalı arşivlerin aktarımını engelleme yeteneği.

Bağlamsal analize dayalı dikkate alınan sistemlerin dezavantajları:

Yalnızca iki protokol kontrol edilir - HTTP ve SMTP (InfoWatch Traffic Monitor ve HTTP trafiği için, yalnızca POST istekleri kullanılarak iletilen veriler kontrol edilir, bu da GET yöntemini kullanarak veri iletimini kullanarak bir sızıntı kanalının düzenlenmesine izin verir);
Veri aktarım cihazları - disketler, CD'ler, DVD'ler, USB diskler vb. kontrol edilmez. (Bu durum için Infowatch, InfoWatch Net Monitor'e sahiptir).
içerik analizine dayalı olarak oluşturulmuş sistemleri atlamak için en basit metin kodlamasını (örneğin: gizli -> s1e1k1r1e1t) veya steganografiyi kullanmak yeterlidir;
aşağıdaki problem içerik analizi yöntemiyle çözülemez - uygun bir resmi açıklama aklıma gelmiyor, bu yüzden sadece bir örnek vereceğim: iki excel dosyası var - ilkinde perakende fiyatları var (kamuya açık bilgi) , ikincisi - belirli bir müşteri için toptan satış fiyatları (gizli bilgi), dosyaların içeriği yalnızca sayı olarak farklılık gösterir. Bu dosyalar içerik analizi kullanılarak ayırt edilemez.

Çözüm:
bağlamsal analiz, yalnızca trafik arşivleri oluşturmak ve kazara bilgi sızıntısını önlemek için uygundur ve görevi çözmez.

Cihazların statik olarak bloke edilmesine dayalı sistemler

Çalışma prensibi:
kullanıcılara, dosya erişim haklarına benzer şekilde, kontrollü cihazlara erişim hakları atanır. Prensip olarak, standart Windows mekanizmaları kullanılarak neredeyse aynı etki elde edilebilir.

Zlock (www.securit.ru) - ürün nispeten yakın zamanda ortaya çıktı, bu nedenle minimum işlevselliğe sahip (fırfır olduğunu düşünmüyorum) ve hata ayıklamada farklılık göstermiyor, örneğin, yönetim konsolu bazen çalışırken çöküyor ayarları kaydet.

DeviceLock (www.smartline.ru) daha ilginç bir üründür, uzun süredir piyasadadır, bu nedenle çok daha kararlı çalışır ve daha çeşitli işlevlere sahiptir. Örneğin, iletilen bilgilerin gölge kopyalanmasına izin verir, bu da bir olayın soruşturulmasına yardımcı olabilir, ancak önlenmesine yardımcı olamaz. Ek olarak, böyle bir soruşturma, sızıntı öğrenildiğinde, yani; ortaya çıktıktan sonra önemli bir süre.

InfoWatch Net Monitor (www.infowatch.ru) modüllerden oluşur - DeviceMonitor (Zlock'a benzer), FileMonitor, OfficeMonitor, AdobeMonitor ve PrintMonitor. DeviceMonitor, kuru üzüm içermeyen standart işlevsellik olan bir Zlock analoğudur. FileMonitor - dosyalara erişimin kontrolü. OfficeMonitor ve AdobeMonitor, dosyaların kendi uygulamalarında nasıl işleneceğini kontrol etmenizi sağlar. Şu anda FileMonitor, OfficeMonitor ve AdobeMonitor için kullanışlı ve oyuncak olmayan bir uygulama bulmak oldukça zordur, ancak gelecek sürümlerde işlenmekte olan verileri bağlamsal olarak analiz etmek mümkün olacaktır. Belki o zaman bu modüller potansiyellerini ortaya çıkaracaktır. Dosya işlemlerinin bağlamsal analizi görevinin, özellikle içerik filtreleme tabanı Traffic Monitor'deki ile aynıysa, yani önemsiz olmadığını belirtmekte fayda var. ağ.

Ayrı olarak, aracıyı yerel yönetici haklarına sahip bir kullanıcıdan korumaktan bahsetmek gerekir.
ZLock ve InfoWatch Net Monitor böyle bir korumadan yoksundur. Onlar. kullanıcı aracıyı durdurabilir, verileri kopyalayabilir ve aracıyı yeniden başlatabilir.

DeviceLock, kesin bir artı olan böyle bir korumaya sahiptir. Kayıt defteri, dosya sistemi ve süreç yönetimi ile çalışmak için sistem çağrılarını yakalamaya dayanır. Diğer bir artı, korumanın güvenli modda da çalışmasıdır. Ancak bir eksi de var - korumayı devre dışı bırakmak için, basit bir sürücü yükleyerek yapılabilecek Hizmet Tanımlayıcı Tablosunu geri yüklemek yeterlidir.

Cihazların statik olarak bloke edilmesine dayalı olarak dikkate alınan sistemlerin dezavantajları:

Ağa bilgi iletimi kontrol edilmez.
-Gizli ve gizli olmayan bilgileri ayırt edemez. Ya her şey mümkündür ya da hiçbir şey imkansız değildir prensibiyle çalışır.
Ajanın boşaltılmasına karşı koruma yoktur veya kolayca atlanır.

Çözüm:
bu tür sistemlerin tanıtılması tavsiye edilmez, çünkü sorunu çözmezler.

Cihazların dinamik olarak engellenmesine dayalı sistemler

Çalışma prensibi:
kullanıcının erişim düzeyine ve üzerinde çalışılan bilgilerin gizlilik derecesine bağlı olarak iletim kanallarına erişim engellenir. Bu prensibi uygulamak için, bu ürünler yetkili erişim kontrolü mekanizmasını kullanır. Bu mekanizma çok yaygın değil, bu yüzden üzerinde daha ayrıntılı olarak duracağım.

Yetkili (zorunlu) erişim kontrolü, açıklamanın (Windows NT ve sonraki güvenlik sisteminde uygulanan) aksine, bir kaynağın (örneğin bir dosyanın) sahibinin bu kaynağa erişim gereksinimlerini zayıflatamaması gerçeğinde yatmaktadır. , ancak onları yalnızca seviyeniz dahilinde güçlendirebilir. Gereksinimler yalnızca özel yetkilere sahip bir kullanıcı - bir memur veya bilgi güvenliği yöneticisi - tarafından gevşetilebilir.

Guard, Accord, SecretNet, DallasLock ve diğerleri gibi ürünler geliştirmenin temel amacı, bu ürünlerin kurulacağı bilgi sistemlerinin Devlet Teknik Komisyonu (şimdi FSTEC) gerekliliklerine uygunluk açısından sertifikalandırılması olasılığıydı. Bu belgelendirme, durumun işlendiği bilgi sistemleri için zorunludur. temelde devlete ait işletmelerin ürün talebini sağlayan sır.

Bu nedenle, bu ürünlerde uygulanan işlevler dizisi, ilgili belgelerin gerekliliklerine göre belirlenmiştir. Bu da ürünlerde uygulanan işlevlerin çoğunun ya standardı kopyalamasına yol açtı. Windows işlevselliği(silme işleminden sonra nesneleri temizleme, RAM'i temizleme) veya dolaylı olarak kullanır (erişim kontrolünü açıklayarak). Ve DallasLock'un geliştiricileri daha da ileri giderek, Windows açıklama kontrol mekanizması aracılığıyla sistemlerinin zorunlu erişim kontrolünü uyguladılar.

Bu tür ürünlerin pratik kullanımı son derece elverişsizdir, örneğin DallasLock, kurulum için yeniden bölümleme gerektirir. sabit disk, ayrıca üçüncü taraf yazılım kullanılarak gerçekleştirilmesi gereken. Çoğu zaman, sertifikalandırmadan sonra bu sistemler kaldırıldı veya kapatıldı.

SecrecyKeeper (www.secrecykeeper.com), yetkili bir erişim kontrol mekanizması uygulayan başka bir üründür. Geliştiricilere göre SecrecyKeeper, ticari bir organizasyonda bilgi hırsızlığını önleyen belirli bir sorunu çözmek için özel olarak geliştirildi. Bu nedenle, yine geliştiricilere göre, geliştirme sırasında hem sistem yöneticileri hem de sıradan kullanıcılar için basitliğe ve kullanım kolaylığına özel önem verildi. Bunun ne kadar başarılı olduğuna tüketici karar verir, yani. biz. Ek olarak, SecrecyKeeper bahsedilen diğer sistemlerde bulunmayan bir dizi mekanizma uygular - örneğin, uzaktan erişimli kaynaklar için güvenlik seviyesini ayarlama yeteneği ve aracı koruma mekanizması.
SecrecyKeeper'da bilgi hareket kontrolü, kamuya açık, gizli ve çok gizli değerlerini alabilen Bilgi Gizliliği Seviyesi, Kullanıcı İzin Seviyeleri ve Bilgisayar Güvenlik Seviyesi bazında uygulanmaktadır. Bilgi Gizliliği düzeyi, sistemde işlenen bilgilerin üç kategoride sınıflandırılmasını sağlar:

halka açık - gizli bilgi değil, onunla çalışırken herhangi bir kısıtlama yoktur;

gizli - gizli bilgi, onunla çalışırken, Kullanıcı İzin Düzeylerine bağlı olarak kısıtlamalar getirilir;

çok gizli - çok gizli bilgi, onunla çalışırken, Kullanıcı İzin Düzeylerine bağlı olarak kısıtlamalar getirilir.

Bir dosya için Bilgi Güvenlik Düzeyi ayarlanabilir, ağ sürücüsü ve bazı hizmetlerin çalıştığı bilgisayarın bağlantı noktası.

Kullanıcı İzin Düzeyleri, bir kullanıcının Güvenlik Düzeyine bağlı olarak bilgileri nasıl taşıyabileceğini belirlemenizi sağlar. Aşağıdaki Kullanıcı Erişim Düzeyleri mevcuttur:

Kullanıcı Erişim Düzeyi - bir çalışanın erişebileceği maksimum Bilgi Güvenlik Düzeyini sınırlar;

Ağa Erişim Düzeyi - bir çalışanın ağ üzerinden iletebileceği maksimum Bilgi Gizliliği Düzeyini sınırlar;

Çıkarılabilir Ortam Erişim Düzeyi - bir çalışanın harici ortama kopyalayabileceği maksimum Bilgi Güvenlik Düzeyini sınırlar.

Yazıcı Güvenlik Düzeyi - bir çalışanın yazdırabileceği maksimum Bilgi Güvenlik Düzeyini sınırlar.

Bilgisayar Güvenlik Düzeyi - bir bilgisayarda saklanabilen ve işlenebilen maksimum Bilgi Güvenlik Düzeyini belirler.

Kamuya açık bir gizlilik düzeyine sahip bilgilere erişim, herhangi bir erişim düzeyine sahip bir çalışan tarafından gerçekleştirilebilir. Bu tür bilgiler ağ üzerinden kısıtlama olmadan iletilebilir ve harici ortama kopyalanabilir. Kamu sırrı düzeyindeki bilgilerle çalışma geçmişi izlenmez.

Sır düzeyi sır olan bilgilere erişim, ancak gizlilik düzeyi gizli veya daha yüksek olan çalışanlar tarafından sağlanabilir. Sadece ağa erişim düzeyi gizli veya daha yüksek olan çalışanlar bu tür bilgileri ağa aktarabilir. Bu tür bilgilerin harici ortama kopyalanması, yalnızca taşınabilir ortam erişim düzeyi gizli veya daha yüksek olan çalışanlar tarafından yapılabilir. Bu tür bilgilerin yazdırılması, yalnızca yazıcı erişim düzeyi gizli veya daha yüksek olan çalışanlar tarafından yapılabilir. Gizli bir sır düzeyine sahip bilgilerle çalışmanın geçmişi, yani. erişme girişimleri, ağ üzerinden aktarma girişimleri, harici ortama kopyalama veya yazdırma girişimleri günlüğe kaydedilir.

Çok gizli düzeydeki bilgilere erişim, yalnızca yetki düzeyi çok gizli olan çalışanlar tarafından sağlanabilir. Yalnızca ağa erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri ağa aktarabilir. Bu tür bilgilerin harici ortama kopyalanması, yalnızca çıkarılabilir medya erişim düzeyi çok gizli olan çalışanlar tarafından yapılabilir. Yalnızca yazıcı erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri yazdırabilir. Çok gizli bir gizlilik düzeyine sahip bilgilerle çalışmanın geçmişi, örn. erişme girişimleri, ağ üzerinden aktarma girişimleri, harici ortama kopyalama veya yazdırma girişimleri günlüğe kaydedilir.

Örnek: bir çalışanın Güvenlik Düzeyinin çok gizli, Ağ Güvenlik Düzeyinin gizli, Çıkarılabilir Ortam Güvenlik Düzeyinin genel ve Yazıcı Güvenlik Düzeyinin çok gizli olmasına izin verin; bu durumda, çalışan herhangi bir gizlilik düzeyine sahip bir belgeye erişebilir, çalışan ağa gizlilikten daha yüksek olmayan bir gizlilik düzeyiyle bilgi aktarabilir, örneğin disketlere kopyalayabilir, çalışan yalnızca kamuya açık bilgileri kullanabilir gizlilik seviyesi ve çalışan herhangi bir bilgiyi bir yazıcıya yazdırabilir.

İşletmeye bilgi dağıtımını kontrol etmek için, bir çalışana atanan her bilgisayara bir Bilgisayar Güvenlik Düzeyi atanır. Bu seviye, çalışanın izin seviyeleri ne olursa olsun, herhangi bir çalışanın bu bilgisayardan erişebileceği maksimum Bilgi Güvenliği Seviyesini sınırlar. O. çalışanın çok gizli bir İzin Düzeyine sahip olması ve içinde bulunduğu bilgisayarın şu an işlerin Güvenlik Seviyesi public'e eşitse, çalışan bu iş istasyonundan public'ten daha yüksek güvenlik seviyesine sahip bilgilere erişemeyecektir.

Teori ile donanmış olarak, sorunu çözmek için SecrecyKeeper'ı kullanmayı deneyelim. Soyut girişimin bilgi sisteminde işlenen bilgileri, aşağıdaki tabloyu kullanarak basitleştirilmiş bir şekilde açıklamak mümkündür (sorunun ifadesine bakın):

İşletmenin çalışanları ve ilgi alanları ikinci tablo kullanılarak açıklanmaktadır:

Kuruluşta aşağıdaki sunucuların kullanılmasına izin verin:
Sunucu 1C
Topları olan dosya sunucusu:
SecretDocs - gizli belgeler içerir
PublicDocs - genel belgeleri içerir

Standart erişim kontrolünü düzenlemek için standart özelliklerin kullanıldığını unutmayın. işletim sistemi ve uygulama yazılımı, yani örneğin bir yöneticinin çalışanların kişisel verilerine erişmesini engellemek için ek güvenlik sistemlerinin getirilmesine gerek yoktur. Çalışanın yasal erişime sahip olduğu bilgilerin yayılmasına karşı koymaktan bahsediyoruz.

SecrecyKeeper'ın doğrudan yapılandırmasına geçelim.
Yönetim konsolunu ve aracıları yükleme sürecini açıklamayacağım, her şey olabildiğince basit - programın belgelerine bakın.
Sistem kurulumu aşağıdaki adımların gerçekleştirilmesinden oluşur.

Adım 1. Aracıları sunucular dışındaki tüm bilgisayarlara kurun - bu, Güvenlik Düzeyinin genelden daha yüksek olarak ayarlandığı bilgileri almalarını hemen engeller.

Adım 2. Aşağıdaki tabloya göre çalışanlara izin seviyeleri atayın:

	Kullanıcı İzin Seviyesi	Ağ Erişim Düzeyi	Çıkarılabilir Ortam Erişim Düzeyi	Yazıcı Erişim Düzeyi
müdür	gizli	gizli	gizli	gizli
müdür	gizli	halk	halk	gizli
personel memuru	gizli	halk	halk	gizli
muhasebeci	gizli	halk	gizli	gizli
Sekreter	halk	halk	halk	halk

Adım 3. Bilgisayar Güvenlik Düzeylerini aşağıdaki gibi atayın:

Adım 4. Sunucularda Bilgi Gizliliği Düzeylerini Yapılandırın:

5. Adım. Yerel Dosyalar için Çalışanların Bilgisayarlarında Gizlilik Düzeylerini Ayarlayın. Bu en çok zaman alan kısımdır çünkü hangi çalışanın hangi bilgi ile çalıştığını ve bu bilginin ne kadar kritik olduğunu net olarak anlamak gerekir. Bir kuruluşta bir bilgi güvenliği denetimi yapılmışsa, sonuçları görevi büyük ölçüde kolaylaştırabilir.

Adım 6. Gerekirse, SecrecyKeeper, kullanıcılar tarafından çalıştırılmasına izin verilen programların listesini sınırlamanıza izin verir. Bu mekanizma, Windows Yazılım Kısıtlama İlkesi'nden bağımsız olarak uygulanır ve örneğin, yönetici haklarına sahip kullanıcılara kısıtlamalar getirilmesi gerektiğinde kullanılabilir.

Böylece, SecrecyKeeper'ın yardımıyla, hem sızıntı hem de hırsızlık gibi gizli bilgilerin yetkisiz dağıtım riskini önemli ölçüde azaltmak mümkündür.

Kusurlar:
- ile zorluk ilk kurulum yerel dosyalar için güvenlik seviyeleri;

Genel sonuç:
Bilgilerin içerdekilerden korunması için maksimum fırsatlar, işin yapıldığı bilgilerin gizlilik derecesine ve çalışanların erişim düzeyine bağlı olarak bilgi aktarım kanallarına erişimi dinamik olarak düzenleme yeteneğine sahip yazılımlar tarafından sağlanır.

Şirket alıcılar, geliştiriciler, satıcılar ve bağlı ortaklar için benzersiz bir hizmettir. Üstelik bunlardan biri en iyi çevrimiçi mağazalar Rusya, Ukrayna ve Kazakistan'da müşterilere geniş bir yelpaze, birçok ödeme yöntemi, hızlı (genellikle anında) sipariş işleme, kişisel bölümde siparişin ilerlemesini izleme sunan yazılım.

Son zamanlarda, iç tehditlere karşı koruma sorunu, kurumsal bilgi güvenliğinin açık ve köklü dünyası için gerçek bir meydan okuma haline geldi. Basın, içeriden birileri hakkında konuşuyor, araştırmacılar ve analistler olası kayıplar ve sıkıntılar hakkında uyarıda bulunuyor ve haber kaynakları, bir çalışanın hatası veya dikkatsizliği nedeniyle yüzbinlerce müşteri kaydının sızdırılmasına yol açan başka bir olayla ilgili haberlerle dolu. Bu sorunun çok ciddi olup olmadığını, ele alınması gerekip gerekmediğini ve sorunu çözmek için hangi araç ve teknolojilerin mevcut olduğunu anlamaya çalışalım.

Her şeyden önce, kaynağı işletmenin bir çalışanı veya bu verilere yasal erişimi olan herhangi bir kişi ise, veri gizliliğine yönelik tehdidin içsel olduğunu belirlemeye değer. Bu nedenle, iç tehditlerden bahsettiğimizde, bazılarından bahsediyoruz. olası eylemler kasıtlı veya kazara, gizli bilgilerin işletmenin kurumsal ağı dışına sızmasına yol açabilecek yasal kullanıcılar. Resmi tamamlamak için, bu terimin başka anlamları olmasına rağmen, bu tür kullanıcılara genellikle içeriden bilgi verildiğini eklemekte fayda var.

İç tehdit sorununun alaka düzeyi, son çalışmaların sonuçlarıyla doğrulanmaktadır. Özellikle Ekim 2008'de, Compuware ve Ponemon Institue tarafından yapılan ortak bir çalışmanın sonuçları açıklandı; buna göre, içerideki kişiler veri sızıntılarının en yaygın nedeni (ABD'deki olayların %75'i), bilgisayar korsanları ise yalnızca beşinci sırada yer alıyor. . Computer Security Institute'un (CSI) 2008 yılı yıllık araştırmasında, içeriden gelen tehdit olaylarına ilişkin rakamlar aşağıdaki gibidir:

Yüzde olarak olay sayısı, yanıt verenlerin toplam sayısından verilen tip olay, kuruluşların belirtilen yüzdesinde meydana geldi. Bu rakamlardan da görülebileceği gibi, hemen hemen her kuruluş iç tehditlere maruz kalma riskiyle karşı karşıyadır. Karşılaştırma için, aynı rapora göre, virüsler ankete katılan kuruluşların %50'sini etkiledi ve bilgisayar korsanlarının yerel ağ sadece %13 ile karşı karşıya kaldı.

Böylece, iç tehditler analistler ve satıcılar tarafından icat edilen bir efsane değil, bugünün gerçeğidir. Bu nedenle, kurumsal bilgi güvenliğinin bir güvenlik duvarı ve antivirüs olduğuna eski moda bir şekilde inananlar, soruna bir an önce daha geniş bir şekilde bakmanız gerekir.

"Kişisel Veriler Hakkında" yasası, kuruluşların ve yetkililerin kişisel verilerin uygunsuz kullanımı nedeniyle yalnızca yönetimlerine değil, aynı zamanda müşterilerine ve yasa önünde de hesap vermek zorunda kalacakları gerginliğin derecesini de artırıyor.

davetsiz misafir modeli

Geleneksel olarak, tehditler ve bunlara karşı koruma araçları ele alınırken, davetsiz misafir modelinin analizi ile başlanmalıdır. Daha önce de belirtildiği gibi, içeriden - kuruluş çalışanları ve gizli bilgilere yasal erişimi olan diğer kullanıcılar hakkında konuşacağız. Kural olarak, bu sözlerle herkesin aklına, iş sürecinde kuruluşun ofisinden ayrılmayan, kurumsal ağda bir bilgisayarda çalışan bir ofis çalışanı gelir. Ancak bu temsil eksiktir. Bilgiye yasal erişimi olan ve kuruluşun ofisinden ayrılabilen diğer insan türlerini içerecek şekilde genişletilmesi gerekir. Bunlar, dizüstü bilgisayarları olan iş seyahatinde olanlar veya hem ofiste hem de evde çalışan, başta yedekli manyetik bantlar olmak üzere bilgi içeren medya taşıyan kuryeler olabilir.

Davetsiz misafir modelinin bu kadar geniş bir şekilde ele alınması, ilk olarak, bu davetsiz misafirlerin oluşturduğu tehditler de içsel olduğu için konsepte uygundur ve ikinci olarak, sorunu daha geniş bir şekilde analiz etmemizi sağlar. olası seçenekler bu tehditlerle mücadele edin.

Aşağıdaki ana dahili ihlal türleri ayırt edilebilir:

Sadakatsiz / gücenmiş çalışan.Bu kategorideki ihlalciler kasıtlı olarak, örneğin yeni bir işverenin ilgisini çekmek için iş değiştirerek ve gizli bilgileri çalmak isteyerek veya gücenmiş hissettiklerinde duygusal olarak intikam almak için hareket edebilirler. Tehlikelidirler çünkü en çok şu anda çalıştıkları kuruluşa zarar vermeye motive olurlar. Kural olarak, sadakatsiz çalışanların karıştığı olayların sayısı azdır, ancak elverişsiz ekonomik koşullar ve büyük personel azaltma durumlarında artabilir.
Katıştırılmış, rüşvet verilmiş veya manipüle edilmiş çalışan.Bu durumda Konuşuyoruz kural olarak, son derece rekabetçi bir ortamda endüstriyel casusluk amacıyla herhangi bir amaçlı eylem hakkında. Rakip bir şirkette gizli bilgi toplamak için ya belirli amaçlarla kendi kişisini tanıtırlar ya da en sadık olmayan bir çalışanı bulup ona rüşvet verirler ya da sadık ama dikkatsiz bir çalışan gizli bilgileri sosyal medya aracılığıyla aktarmaya zorlanır. mühendislik. Rusya Federasyonu'ndaki ekonominin çoğu kesiminde rekabetin çok gelişmemiş olması veya başka şekillerde uygulanması nedeniyle, bu tür olayların sayısı genellikle öncekilerden bile daha azdır.
Kaçak çalışan. Bu tip ihlal eden, politikayı ihlal edebilecek sadık ancak dikkatsiz veya ihmalkar bir çalışandır. iç güvenlik bilgisizliği veya unutkanlığı nedeniyle girişimde bulunma. Böyle bir çalışan yanlışlıkla yanlış kişiye eklenmiş gizli bir dosya içeren bir e-posta gönderebilir veya hafta sonu üzerinde çalışmak üzere eve gizli bilgiler içeren bir flash sürücü götürebilir ve onu kaybedebilir. Aynı tip, dizüstü bilgisayarlarını ve manyetik bantlarını kaybeden çalışanları da içerir. Pek çok uzmana göre, gizli bilgilerin çoğu sızıntısından bu tür içeriden kişiler sorumludur.

Bu nedenle, potansiyel ihlalcilerin güdüleri ve sonuç olarak hareket tarzları önemli ölçüde farklılık gösterebilir. Buna bağlı olarak örgütün iç güvenliğini sağlama sorununun çözümüne de yaklaşılmalıdır.

İçeriden Tehdit Koruma Teknolojileri

Bu pazar segmentinin nispeten genç olmasına rağmen, müşterilerin görevlerine ve finansal yeteneklerine bağlı olarak aralarından seçim yapabilecekleri çok şey var. Şu anda piyasada yalnızca dahili tehditler konusunda uzmanlaşacak hiçbir satıcı bulunmadığına dikkat edilmelidir. Bu durum yalnızca bu segmentin olgunlaşmamış olmasından değil, aynı zamanda geleneksel koruma araçları üreticileri ve bu segmentte yer almak isteyen diğer satıcılar tarafından yürütülen agresif ve bazen kaotik birleşme ve satın almalardan da kaynaklanmaktadır. 2006 yılında EMC'nin bir bölümü haline gelen RSA Data Security şirketini, sunucu depolamasını korumak için sistemler geliştiren NetApp tarafından satın alınan Decru'yu hatırlamakta fayda var. yedekler 2005'te Symantec'in 2007'de DLP satıcısı Vontu'yu satın alması vb.

Bu tür işlemlerin çok sayıda olması, bu segmentin gelişimi için iyi umutları gösterse de, kanat altına giren ürünlerin kalitesinden her zaman fayda sağlamazlar. büyük şirketler. Ürünler daha yavaş gelişmeye başlar ve geliştiriciler, oldukça uzmanlaşmış bir şirkete kıyasla pazar gereksinimlerine o kadar duyarlı değildir. Bu, bildiğiniz gibi hareketliliği ve verimliliği küçük kardeşlerine kaptıran büyük şirketlerin iyi bilinen bir hastalığıdır. Öte yandan, hizmet ve satış ağlarının gelişmesi nedeniyle hizmet kalitesi ve dünyanın farklı yerlerindeki müşterilere ürün bulunabilirliği artıyor.

Şu anda iç tehditleri, avantajlarını ve dezavantajlarını etkisiz hale getirmek için kullanılan ana teknolojileri düşünün.

Doküman Kontrolü

Doküman kontrol teknolojisi, aşağıdakiler gibi modern hak yönetimi sınıfı ürünlerde yer almaktadır: Microsoft Windows Hak Yönetimi Hizmetleri, Adobe LiveCycle Rights Management ES ve Oracle Information Rights Management.

Bu sistemlerin çalışma prensibi, her belge için kullanım kuralları atamak ve bu tür belgelerle çalışan uygulamalarda bu hakları kontrol etmektir. Örneğin, bir belge oluşturabilirsiniz. Microsoft Word ve kimlerin görüntüleyebileceği, değişiklikleri kimlerin düzenleyebileceği ve kaydedebileceği ve kimlerin yazdırabileceği konusunda kurallar belirleyin. Bu kurallara Windows RMS koşullarında lisans denir ve dosyayla birlikte saklanır. Dosyanın içeriği, yetkisiz bir kullanıcının dosyayı görüntülemesini önlemek için şifrelenir.

Artık herhangi bir kullanıcı böyle bir korumalı dosyayı açmaya çalışırsa, uygulama özel bir RMS sunucusuyla iletişime geçer, kullanıcının yetkisini onaylar ve bu kullanıcıya erişime izin verilirse sunucu şifre çözme anahtarını uygulamaya iletir. verilen dosya ve bu kullanıcının hakları hakkında bilgi. Bu bilgilere dayanarak, uygulama kullanıcıya yalnızca haklarına sahip olduğu işlevleri sunar. Örneğin, kullanıcının bir dosyayı yazdırmasına izin verilmezse, uygulamanın yazdırma işlevi kullanılamayacaktır.

Görünüşe göre böyle bir dosyadaki bilgiler, dosya şirket ağının dışına çıksa bile güvenlidir - şifrelenmiştir. Uygulamalarda zaten yerleşik olarak bulunan RMS özellikleri Microsoft Office 2003 Profesyonel Sürüm. Microsoft, RMS işlevselliğini diğer geliştiricilerin uygulamalarına katıştırmak için özel bir SDK sunar.

Adobe'nin belge kontrol sistemi benzer şekilde oluşturulmuştur ancak PDF belgelerine odaklanmıştır. Oracle IRM, istemci bilgisayarlara bir aracı olarak kurulur ve çalışma zamanında uygulamalarla bütünleşir.

Doküman kontrolü, genel iç tehdit koruması konseptinin önemli bir parçasıdır, ancak bu teknolojinin doğal sınırlamaları dikkate alınmalıdır. İlk olarak, yalnızca belge dosyalarının kontrolü için tasarlanmıştır. Yapılandırılmamış dosyalar veya veritabanları söz konusu olduğunda, bu teknoloji çalışmaz. İkincisi, bu sistemin SDK'sını kullanan bir saldırgan, RMS sunucusuyla iletişim kuracak basit bir uygulama oluşturursa, oradan bir şifreleme anahtarı alır ve belgeyi açık metin olarak kaydeder ve bu uygulamayı minimum bir kullanıcı adına çalıştırır. belgeye erişim düzeyi, ardından bu sistem baypas edilecektir. Ek olarak, kuruluş zaten çok sayıda belge oluşturmuşsa, bir belge kontrol sisteminin uygulanmasındaki zorluklar dikkate alınmalıdır - başlangıçta belgeleri sınıflandırma ve bunları kullanma haklarını atama görevi önemli çaba gerektirebilir.

Bu, belge kontrol sistemlerinin görevi yerine getirmediği anlamına gelmez, yalnızca bilgi korumanın karmaşık bir sorun olduğunu ve kural olarak, yalnızca bir araç kullanarak çözmenin mümkün olmadığını hatırlamanız gerekir.

Sızıntı koruması

Veri kaybını önleme (DLP) terimi, bilgi güvenliği uzmanlarının sözlüğünde nispeten yakın bir zamanda yer aldı ve şimdiden, hiç abartısız, son yılların en sıcak konusu olmayı başardı. Kural olarak, DLP kısaltması, olası sızıntı kanallarını izleyen ve bu kanallar aracılığıyla herhangi bir gizli bilgi gönderme girişimi durumunda onları engelleyen sistemleri ifade eder. Ayrıca fonksiyon içerisinde benzer sistemler genellikle sonraki denetimler, olay incelemeleri ve potansiyel risklerin geriye dönük analizi için içlerinden geçen bilgileri arşivleme yeteneğini içerir.

İki tür DLP sistemi vardır: ağ DLP'si ve ana bilgisayar DLP'si.

Ağ Veri Kaybını Önleme içinden geçen tüm verileri filtreleyen bir ağ geçidi prensibi üzerinde çalışın. Açıkçası, iç tehditlerle mücadele etme görevine dayalı olarak, bu tür filtrelemenin temel amacı, şirket ağının dışından İnternet'e iletilen verileri kontrol etme yeteneğinde yatmaktadır. Ağ DLP'si, giden postayı, http ve ftp trafiğini, anlık mesajlaşma servislerini vb. kontrol etmenizi sağlar. Hassas bilgiler algılanırsa, ağ DLP'si dosyanın aktarılmasını engelleyebilir. Şüpheli dosyaları manuel olarak işlemek için seçenekler de vardır. Şüpheli dosyalar, bir güvenlik görevlisi tarafından periyodik olarak incelenen ve dosyanın aktarımına izin veren veya yasaklayan karantinaya alınır. Doğru, protokolün özellikleri nedeniyle bu tür işlemler yalnızca e-posta için mümkündür. Gerçekleşen sızıntıları belirlemek için bu arşivin periyodik olarak gözden geçirilmesi ve içeriğinin analiz edilmesi koşuluyla, ağ geçidinden geçen tüm bilgilerin arşivlenmesiyle ek denetim ve olay inceleme yetenekleri sağlanır.

DLP sistemlerinin uygulanması ve uygulanmasındaki temel sorunlardan biri, gizli bilgileri tespit etme yöntemi, yani iletilen bilgilerin gizli olup olmadığına karar verme anı ve böyle bir karar verilirken dikkate alınan sebeplerdir. Kural olarak, bu içerik analizi ile yapılır. iletilen belgeler içerik analizi olarak da adlandırılır. Gizli bilgileri tespit etmeye yönelik ana yaklaşımları ele alalım.

Etiketler. Bu yöntem, yukarıda tartışılan belge kontrol sistemlerine benzer. Bilgilerin gizlilik derecesini, bu belgeyle neler yapılabileceğini ve kime gönderilmesi gerektiğini açıklayan belgelere etiketler yerleştirilmiştir. DLP sistemi, etiket analizinin sonuçlarına göre, bu belge gönder ya da gönderme. Bazı DLP sistemleri, bu sistemlerin belirlediği etiketleri kullanmak için başlangıçta hak yönetimi sistemleriyle uyumlu hale getirilir, diğer sistemler kendi etiket formatlarını kullanır.
İmzalar. Bu yöntem, aktarılan dosyanın metnindeki varlığı DLP sistemine bu dosyanın gizli bilgiler içerdiğini söylemesi gereken bir veya daha fazla karakter dizisinin belirtilmesinden oluşur. Sözlüklerde çok sayıda imza düzenlenebilir.
Bayes yöntemi. Spam ile mücadelede kullanılan bu yöntem, DLP sistemlerinde başarıyla uygulanabilmektedir. Bu yöntemi uygulamak için, bir kategori listesi oluşturulur ve bir dosyada bir kelime olması durumunda, dosyanın belirli bir olasılıkla belirtilen kategoriye ait olup olmadığı olasılıklarıyla birlikte bir kelime listesi belirtilir.
Morfolojik analiz.Morfolojik analiz yöntemi, imza yöntemine benzer, farkı, analiz edilen imza ile %100 eşleşmemesi, tek köklü kelimelerin de dikkate alınmasıdır.
Dijital baskılar.Bu yöntemin özü, tüm gizli belgeler için bazı hash işlevlerinin, belge biraz değiştirilirse, hash işlevinin aynı kalacağı veya biraz değişeceği şekilde hesaplanmasıdır. Böylece, gizli belgeleri tespit etme süreci büyük ölçüde basitleştirilmiştir. Bu teknolojinin birçok satıcıdan ve bazı analistlerden coşkulu övgüler almasına rağmen, güvenilirliği arzulanan çok şey bırakıyor ve satıcıların çeşitli bahaneler altında dijital parmak izi algoritmasının uygulanmasının ayrıntılarını gölgede tutmayı tercih ettikleri gerçeği göz önüne alındığında, güvenilirliği. artmaz.
Düzenli ifadeler.Programlama ile uğraşan herkesin bildiği, düzenli ifadeler metindeki şablon verileri, örneğin telefon numaraları, pasaport bilgileri, banka hesap numaraları, sosyal güvenlik numaraları vb. kolayca bulmanızı sağlar.

Yukarıdaki listeden, tespit yöntemlerinin ya gizli bilgilerin %100 tespitini garanti etmediğini görmek kolaydır, çünkü bunlarda hem birinci hem de ikinci türden hata seviyesi oldukça yüksektir veya güvenlik hizmetinin sürekli teyakkuzunu gerektirir. imzaların veya atamaların listesini güncellemek ve güncel tutmak için gizli belgeler için etiketler.

Ek olarak, trafik şifrelemesi, ağ DLP'sinin çalışmasında belirli bir sorun yaratabilir. Güvenlik nedeniyle herhangi bir web kaynağına bağlanırken e-posta mesajlarını şifrelemek veya SSL protokolünü kullanmak gerekiyorsa, iletilen dosyalarda gizli bilgilerin varlığını belirleme sorununu çözmek çok zor olabilir. Skype gibi bazı anlık mesajlaşma servislerinin varsayılan olarak dahili şifrelemeye sahip olduğunu unutmayın. Bu tür hizmetleri kullanmayı reddetmeniz veya bunları kontrol etmek için ana bilgisayar DLP'sini kullanmanız gerekecektir.

Bununla birlikte, tüm zorluklara rağmen, düzgün bir şekilde yapılandırılır ve ciddiye alınırsa, ağ DLP'si gizli bilgi sızıntısı riskini önemli ölçüde azaltabilir ve bir kuruluşa iç kontrol için uygun bir araç sağlayabilir.

Veri Kaybını Önlemeyi Barındırma ağdaki her ana bilgisayara (istemci iş istasyonlarına ve gerekirse sunuculara) kurulur ve ayrıca İnternet trafiğini kontrol etmek için kullanılabilir. Ancak, bu kapasitede, ana DLP'ler daha az yaygın hale geldi ve şu anda esas olarak kontrol için kullanılıyor. harici cihazlar ve yazıcılar. Bildiğiniz gibi, bir flash sürücüden veya bir MP3 çalardan işe getiren bir çalışan, bir kuruluşun bilgi güvenliği için tüm bilgisayar korsanlarının toplamından çok daha büyük bir tehdit oluşturur. Bu sistemlere ağ uç nokta güvenlik araçları da denir ( uç nokta güvenliği), bu terim genellikle daha geniş bir şekilde kullanılsa da, örneğin buna bazen virüsten koruma araçları denir.

Bildiğiniz gibi harici cihaz kullanma sorunu, portların fiziksel olarak veya işletim sistemi aracılığıyla devre dışı bırakılması veya yönetimsel olarak çalışanların ofise herhangi bir medya getirmesinin yasaklanması ile herhangi bir yöntem kullanılmadan çözülebilir. Ancak çoğu durumda "ucuz ve neşeli" yaklaşım, iş süreçlerinin gerektirdiği bilgi hizmetlerinde uygun esneklik sağlanamadığı için kabul edilemez.

Sonuç olarak, belirli bir talep var. özel araçlar, şirket çalışanlarının harici cihaz ve yazıcı kullanma sorununu daha esnek bir şekilde çözebileceğiniz. Bu tür araçlar, kullanıcıların erişim haklarını yapılandırmanıza izin verir. çeşitli tipler cihazlar, örneğin, bir kullanıcı grubu için medya ile çalışmayı yasaklamak ve yazıcılara izin vermek ve diğeri için - medya ile salt okunur modda çalışmaya izin vermek. Bireysel kullanıcılar için harici cihazlara bilgi kaydedilmesi gerekiyorsa, harici bir cihazda saklanan tüm bilgilerin sunucuya kopyalanmasını sağlayan gölge kopya teknolojisi kullanılabilir. Kopyalanan bilgiler daha sonra kullanıcı eylemlerini analiz etmek için analiz edilebilir. Bu teknoloji her şeyi kopyalar ve şu anda, ağ DLP'lerinin yaptığı gibi, işlemi engellemek ve sızıntıyı önlemek için kaydedilen dosyaların içerik analizine izin veren hiçbir sistem yoktur. Bununla birlikte, bir gölge kopya arşivi, ağdaki olayların araştırılmasını ve geriye dönük analizini sağlayacaktır ve böyle bir arşive sahip olmak, potansiyel bir içeriden birinin yakalanıp eylemlerinden dolayı cezalandırılabileceği anlamına gelir. Bu, onun için önemli bir engel ve düşmanca eylemlerden vazgeçmek için ağır bir neden olabilir.

Yazıcı kullanımının kontrolünden de bahsetmeye değer - belgelerin basılı kopyaları da bir sızıntı kaynağı olabilir. Ana Bilgisayar DLP'si, diğer harici aygıtlarla aynı şekilde yazıcılara kullanıcı erişimini denetlemenize ve yazdırılan belgelerin kopyalarını grafik biçimi daha fazla analiz için. Ek olarak, bir belgenin her sayfasına benzersiz bir kodla baskı uygulayan ve bu belgenin tam olarak kimin, ne zaman ve nerede basıldığını belirlemenin mümkün olduğu filigran teknolojisi (filigranlar) bir miktar dağıtım kazanmıştır.

Ana bilgisayar DLP'nin şüphesiz avantajlarına rağmen, izlenmesi gereken her bilgisayara ajan yazılımı yükleme ihtiyacıyla ilgili bir takım dezavantajları vardır. İlk olarak, bu tür sistemlerin konuşlandırılması ve yönetimi açısından belirli zorluklara neden olabilir. İkinci olarak, yönetici haklarına sahip bir kullanıcı, güvenlik politikası tarafından izin verilmeyen herhangi bir eylemi gerçekleştirmek için bu yazılımı devre dışı bırakmayı deneyebilir.

Bununla birlikte, harici cihazların güvenilir kontrolü için ana bilgisayar DLP'si vazgeçilmezdir ve belirtilen sorunlar çözülemez değildir. Bu nedenle, DLP konseptinin, iç kontrol ve sızıntılara karşı koruma sağlamak için üzerlerinde giderek artan baskı karşısında artık kurumsal güvenlik hizmetlerinin cephaneliğinde tam teşekküllü bir araç olduğu sonucuna varabiliriz.

IPC Konsepti

İç tehditlerle mücadele için yeni araçlar bulma sürecinde, modern toplumun bilimsel ve mühendislik düşüncesi durmuyor ve yukarıda tartışılan araçların bazı eksiklikleri göz önüne alındığında, bilgi sızıntısı koruma sistemleri pazarı IPC kavramına geldi ( Bilgi Koruma ve Kontrol). Bu terim nispeten yakın zamanda ortaya çıktı, ilk olarak 2007 yılında analitik şirket IDC tarafından yapılan bir incelemede kullanıldığına inanılıyor.

Bu konseptin özü, DLP ve şifreleme yöntemlerini birleştirmektir. Bu konseptte DLP, kurumsal ağdan ayrılan bilgileri kontrol eder. teknik kanallar ve yetkisiz kişilerin eline fiziksel olarak düşen veya geçme olasılığı olan veri ortamlarını korumak için şifreleme kullanılır.

IPC konseptinde kullanılabilecek en yaygın şifreleme teknolojilerini düşünün.

Manyetik bantların şifrelenmesi.Bu tür medyanın arkaikliğine rağmen, aktif olarak kullanılmaya devam ediyor. Yedek kopya ve depolanan bir megabaytın birim maliyeti açısından hala eşi benzeri olmadığı için büyük miktarda bilginin aktarılması için. Buna göre, kayıp teyplerle ilgili sızıntılar, ön sayfa haber editörlerini memnun etmeye ve bu tür raporların konusu olan CIO'ları ve kurumsal güvenlik görevlilerini hayal kırıklığına uğratmaya devam ediyor. Durum, bu tür bantların çok büyük miktarda veri içermesi ve sonuç olarak çok sayıda insanın dolandırıcıların kurbanı olabilmesi gerçeğiyle daha da kötüleşiyor.
Sunucu depolarının şifrelenmesi.Sunucu depolamasının çok nadiren taşınmasına ve onu kaybetme riskinin manyetik teybe göre ölçülemeyecek kadar düşük olmasına rağmen, depolamadan ayrı bir sabit sürücü yanlış ellere geçebilir. Onarım, imha, yükseltme - bu olaylar, bu riski ortadan kaldırmak için yeterli düzenlilikte gerçekleşir. Yetkisiz kişilerin ofise sızma durumu da tamamen imkansız bir olay değildir.

Burada küçük bir konudan bahsetmeye ve bir disk bir RAID dizisinin parçasıysa, sözde yetkisiz ellere geçmesi konusunda endişelenmenize gerek olmadığına dair yaygın bir yanılgıdan bahsetmeye değer. Görünüşe göre RAID denetleyicilerinin gerçekleştirdiği birden çok sabit sürücüye yazılan verilerin şeritlenmesi, herhangi bir sabit sürücüdeki verilere okunamaz bir görünüm sağlıyor. Ne yazık ki, bu tamamen doğru değil. Serpiştirme gerçekleşir, ancak çoğu modern cihazda 512 baytlık blok düzeyinde yapılır. Bu, yapı ve dosya biçimlerinin ihlal edilmesine rağmen, gizli bilgilerin böyle bir sabit diskten çıkarılabileceği anlamına gelir. Bu nedenle, bir RAID dizisinde saklanan bilgilerin gizliliğini sağlama gereksinimi varsa, şifreleme tek güvenilir seçenek olarak kalır.

Dizüstü bilgisayarların şifrelenmesi.Bu zaten sayısız kez söylendi, ancak yine de, gizli bilgilere sahip dizüstü bilgisayarların kaybı, uzun yıllardır en çok izlenen beş olay arasında yer alıyor.
Çıkarılabilir medya şifrelemesi.Bu durumda, taşınabilir USB aygıtlarından ve bazen de işletmenin iş süreçlerinde kullanılıyorsa kaydedilebilir CD ve DVD'lerden bahsediyoruz. Bu tür sistemler ve yukarıda belirtilen dizüstü bilgisayar sabit disk şifreleme sistemleri, genellikle ana bilgisayar DLP sistemlerinin bir bileşeni olarak işlev görebilir. Bu durumda, içerideki ortamın otomatik şeffaf şifrelemesini ve bunun dışındaki verilerin şifresini çözememesini sağlayan bir tür kripto-çevreden söz edilir.

Böylece şifreleme, DLP sistemlerinin yeteneklerini önemli ölçüde artırabilir ve gizli veri sızıntısı riskini azaltabilir. IPC konseptinin nispeten yakın zamanda şekillenmiş olmasına ve piyasadaki entegre IPC çözümlerinin seçiminin çok geniş olmamasına rağmen, endüstri bu alanı aktif olarak geliştiriyor ve bir süre sonra bu konseptin popüler hale gelmesi oldukça olası. iç güvenlik ve iç güvenlik kontrol problemlerini çözmek için facto standart.

sonuçlar

Bu incelemeden görülebileceği gibi, iç tehditler bilgi güvenliğinde oldukça yeni bir alandır, ancak yine de aktif olarak gelişmektedir ve daha fazla dikkat gerektirir. Dikkate alınan belge kontrol teknolojileri, DLP ve IPC, oldukça güvenilir bir iç kontrol sistemi oluşturmayı ve sızıntı riskini kabul edilebilir bir düzeye indirmeyi mümkün kılar. Şüphesiz, bu bilgi güvenliği alanı gelişmeye devam edecek, daha yeni ve daha ileri teknolojiler sunulacak, ancak bugün birçok kuruluş bilgi güvenliği konularında dikkatsizlik çok pahalı olabileceğinden şu veya bu çözümü seçiyor.

Alexey Raevsky
SecurIT'in CEO'su

Kategoride popüler: