İçeriden öğrenenlere karşı yazılım koruması pdf. Zlock sistemini kullanarak içerideki kişilerden koruma. Statik cihaz engellemeye dayalı sistemler

İçeriden öğrenenlere karşı yazılım koruması pdf. Zlock sistemini kullanarak içerideki kişilerden koruma. Statik cihaz engellemeye dayalı sistemler

"Danışman", 2011, N 9

"Bilgiye sahip olan dünyanın sahibidir" - Winston Churchill'in bu ünlü aforizması modern toplumda her zamankinden daha alakalı. Bilgi, fikir ve teknoloji ön plana çıkıyor ve pazar liderliği bir şirketin entelektüel sermayesini ne kadar iyi yönetebildiğine bağlı.

Bu koşullarda bir kuruluşun bilgi güvenliği özellikle önem kazanmaktadır.

Rakiplere herhangi bir bilgi sızıntısı veya iç süreçlere ilişkin bilgilerin yayınlanması, şirketin pazarda işgal ettiği konumları anında etkiler.

Sistem bilgi GüvenliğiÇeşitli tehditlere karşı koruma sağlamalıdır: teknik, organizasyonel ve insan faktörünün neden olduğu tehditler.

Uygulamada görüldüğü gibi, bilgi sızıntısının ana kanalı içerdekilerdir.

Arkadaki düşman

Tipik olarak içeriden biri, gizli bilgileri ifşa ederek şirkete zarar veren bir şirket çalışanıdır.

Ancak bilgi güvenliğinin amacı olan üç ana koşulu (gizlilik, bütünlük, kullanılabilirlik) dikkate alırsak bu tanımı genişletebiliriz.

İçeriden biri, bir işletmenin gizli bilgilerine meşru resmi erişimi olan ve bilgilerin ifşa edilmesine, bozulmasına, zarar görmesine veya erişilemezliğine neden olan bir çalışan olarak adlandırılabilir.

Bu genelleme kabul edilebilir çünkü modern dünya Bilginin bütünlüğünün ve kullanılabilirliğinin ihlali, genellikle iş dünyası için gizli bilgilerin ifşa edilmesinden çok daha ciddi sonuçlara yol açar.

Pek çok işletme için iş süreçlerinin kısa süreliğine de olsa durdurulması ciddi mali kayıp tehlikesini beraberinde getirirken, işleyişin birkaç gün içinde bozulması, sonuçları ölümcül olabilecek kadar güçlü bir darbeye neden olabilir.

İş riskini inceleyen çeşitli kuruluşlar, araştırmalarının sonuçlarını düzenli olarak yayınlamaktadır. Onlara göre içeriden öğrenilen bilgiler, uzun yıllardır bilgi güvenliği ihlallerinin nedenleri listesinde sürekli olarak ilk sırada yer alıyor.

Toplam vaka sayısındaki istikrarlı artış nedeniyle sorunun öneminin her geçen gün arttığı sonucunu çıkarabiliriz.

Tehdit modeli

Sorunla etkili bir şekilde mücadele etmeye yardımcı olacak güvenilir, katmanlı bir bilgi güvenliği sistemi oluşturmak için öncelikle bir tehdit modeli oluşturmak gerekir.

İçeridekilerin kim olduğunu, onları neyin motive ettiğini, neden belirli eylemlerde bulunduğunu anlamalısınız.

Bu tür modelleri oluşturmaya yönelik farklı yaklaşımlar vardır, ancak pratik amaçlar için, tüm ana içeriden öğrenen türlerini içeren aşağıdaki sınıflandırmayı kullanabilirsiniz.

Dahili bilgisayar korsanı

Böyle bir çalışan, kural olarak, ortalamanın üzerinde mühendislik niteliklerine sahiptir ve kurumsal kaynakların yapısını, bilgisayar sistemleri ve ağlarının mimarisini anlar.

Meraktan, sportif ilgiden, kendi yeteneklerinin sınırlarını keşfetmekten dolayı hackleme eylemleri gerçekleştiriyor.

Genellikle eylemlerinin olası zararının farkındadır, bu nedenle nadiren somut hasara neden olur.

Eylemleri şirkette meydana gelen bazı süreçlerin geçici olarak durmasına neden olabileceğinden tehlike derecesi orta düzeydedir. Faaliyetlerin belirlenmesi öncelikle teknik yollarla mümkündür.

Sorumsuz ve düşük vasıflı çalışan

Çeşitli becerilere sahip olabilir ve işletmenin herhangi bir bölümünde çalışabilir.

Tehlikelidir çünkü eylemlerinin sonuçlarını düşünmeye eğilimli değildir, şirketin bilgi kaynaklarıyla “deneme yanılma yoluyla” çalışabilir ve istemeden bilgileri yok edebilir ve çarpıtabilir.

Genellikle eylemlerinin sırasını hatırlamaz ve olumsuz sonuçları keşfettiğinde bunlar hakkında sessiz kalabilir.

Bir arkadaşınızla yaptığınız kişisel bir görüşmede veya hatta İnternet forumlarında iletişim kurarken ticari sır teşkil eden bilgileri açığa çıkarabilir. sosyal ağlarda.

Özellikle bu tür suçluların diğerlerine göre daha yaygın olduğu göz önüne alındığında, tehlike derecesi çok yüksektir. Faaliyetlerinin sonuçları bilinçli bir saldırganınkinden çok daha ciddi olabilir.

Eylemlerinin sonuçlarını önlemek için, hem teknik (yetkilendirme, çalışma oturumlarının hesaplara göre zorunlu bölünmesi) hem de organizasyonel (işin süreci ve sonucu üzerinde sürekli yönetim kontrolü) olmak üzere bir dizi farklı önlemin alınması gerekir. .

Psikolojik açıdan dengesiz kişi

Tıpkı önceki türün temsilcisi gibi, her pozisyonda çalışabilir ve çok farklı niteliklere sahip olabilir. Psikolojik rahatsızlık koşullarında zayıf motivasyonlu eylemlere eğilim nedeniyle tehlikelidir: aşırı durumlarda, diğer çalışanların psikolojik baskısı veya sadece güçlü tahriş.

Duygusal bir durumda, gizli bilgileri açığa çıkarabilir, verilere zarar verebilir ve diğer insanların olağan iş akışını bozabilir.

Tehlike derecesi ortalamadır, ancak bu tür suçlular çok yaygın değildir.

Eylemlerinin olumsuz sonuçlarını önlemek için, bu tür kişileri görüşme aşamasında belirlemek, bilgiye erişimi sınırlamak ve ekipte rahat bir psikolojik iklimi sürdürmek gibi idari önlemleri kullanmak en etkili yöntemdir.

Hakarete uğrayan, kırgın çalışan

Bilgi güvenliği rejimini ihlal eden en geniş potansiyel grup.

Teorik olarak çalışanların büyük çoğunluğu şirkete düşmanca davranışlarda bulunma kapasitesine sahiptir.

Yönetim, çalışanın kişiliğine veya mesleki niteliklerine saygısızlık gösterdiğinde ve bu durum ücret düzeyini etkilediğinde bu durum meydana gelebilir.

Potansiyel olarak, bu tür içeriden öğrenenler çok yüksek bir tehlike oluşturur - hem bilgi sızıntısı hem de hasar mümkündür ve çalışan buna bilinçli olarak neden olduğu ve tüm güvenlik açıklarını iyi bildiği için bunlardan kaynaklanan zararın işletme için farkedilmesi garanti edilecektir.

Faaliyetlerin tespiti için hem idari hem de teknik önlemlere ihtiyaç vardır.

Temiz olmayan çalışan

Çalıştığı şirketin mülkü pahasına kişisel servetini artırmaya çalışan bir çalışan. El konulan öğeler arasında çeşitli gizli bilgi ortamları bulunabilir ( sabit diskler, flash sürücüler, kurumsal dizüstü bilgisayarlar).

Bu durumda, bilginin amaçlanmayan kişilere ulaşması, daha sonra yayınlanması veya rakiplere aktarılması riski vardır.

Tehlike ortalama düzeydedir ancak bu tür nadir değildir.

Tespit için öncelikle idari tedbirlere ihtiyaç vardır.

Yarışmacı temsilcisi

Kural olarak, oldukça niteliklidir ve gizli bilgiler de dahil olmak üzere bilgi edinmek için geniş fırsatlar sağlayan pozisyonlarda bulunur. Bu, ya rakipler tarafından satın alınan (daha sıklıkla) işe alınan mevcut bir çalışan ya da şirkete özel olarak tanıtılan içeriden bir kişidir.

Zararın bilinçli olarak ve bilginin değerinin ve şirketin zayıf noktalarının derinlemesine anlaşılmasıyla meydana gelmesi nedeniyle tehlike derecesi çok yüksektir.

Faaliyetleri belirlemek için hem idari hem de teknik önlemlere ihtiyaç vardır.

Ne çalıyoruz?

Çalınan bilgilerin niteliği dikkate alınmadan içeriden öğrenilen bilgiler sorununu anlamak imkansızdır.

İstatistiklere göre, müşterilerin kişisel verilerinin yanı sıra müşteri şirketleri ve ortakları hakkındaki bilgiler en çok talep görenler arasında yer alıyor; vakaların yarısından fazlasında bunlar çalınıyor. İşlemlerin ayrıntıları, sözleşme şartları ve teslimatlar aşağıda yer almaktadır. Finansal raporlar da büyük ilgi görüyor.

Bir dizi koruyucu önlem oluştururken, her şirket kaçınılmaz olarak şu soruyla karşı karşıya kalır: Hangi özel bilgiler özel koruyucu önlemler gerektirir ve nelere ihtiyaç duymaz?

Elbette bu tür kararların temeli risk analizi sonucunda elde edilen verilerdir. Ancak çoğu zaman bir işletmenin bilgi güvenliği sistemine harcanabilecek mali kaynakları sınırlıdır ve bunlar tüm riskleri en aza indirmek için yeterli olmayabilir.

İki yaklaşım

Ne yazık ki “Önce neyi korumalıyız?” sorusunun hazır bir cevabı yok.

Bu soruna iki açıdan yaklaşılabilir.

Risk, hem belirli bir tehdidin olasılığını hem de bundan kaynaklanan olası hasarı dikkate alan karmaşık bir göstergedir. Buna göre güvenlik önceliklerini belirlerken bu göstergelerden birine odaklanabilirsiniz. Bu, ilk korunan bilginin çalınması en kolay olan (örneğin, çok sayıda çalışanın erişimi varsa) ve çalınması veya engellenmesi en ağır sonuçlara yol açacak bilgi olduğu anlamına gelir.

İçeriden öğrenen sorununun önemli bir yönü bilgi aktarım kanalıdır. Yetkisiz bilgilerin şirket dışına aktarılmasına yönelik fiziksel fırsatlar ne kadar fazlaysa, bunun gerçekleşme olasılığı da o kadar yüksektir.

İletim mekanizmaları

İletim mekanizmaları şu şekilde sınıflandırılabilir:

  • sözlü aktarım (kişisel konuşma);
  • teknik veri iletim kanalları ( telefon iletişimi, faks, e-posta, mesajlaşma sistemleri, çeşitli sosyal İnternet hizmetleri vb.);
  • taşınabilir medya ve mobil cihazlar (Cep telefonları, harici sabit sürücüler, dizüstü bilgisayarlar, flash sürücüler vb.).

Çağımızdaki araştırmalara göre, gizli verileri iletmek için en yaygın kanallar (azalan sırayla): e-posta, mobil cihazlar (dizüstü bilgisayarlar dahil), sosyal ağlar ve diğer İnternet hizmetleri (anlık mesajlaşma sistemleri gibi) vb.

Teknik kanalları kontrol etmek için, şu anda güvenlik pazarında mevcut olan geniş bir ürün yelpazesi olan çeşitli araçlar kullanılabilir.

Örneğin, içerik filtreleme sistemleri (dinamik engelleme sistemleri), bilgi ortamlarına (CD, DVD, Bluetooth) erişimi kısıtlama araçları.

İdari önlemler de uygulanır: İnternet trafiğinin filtrelenmesi, iş istasyonlarının fiziksel bağlantı noktalarının engellenmesi, idari rejimin ve fiziksel güvenliğin sağlanması.

Seçerken teknik araçlar Gizli bilgilerin korunması sistematik bir yaklaşım gerektirir. Ancak bu şekilde bunların uygulanmasından en yüksek verim elde edilebilir.

Ayrıca her şirketin karşılaştığı zorlukların benzersiz olduğunu ve diğer kuruluşların kullandığı çözümleri kullanmanın genellikle imkansız olduğunu da anlamalısınız.

İçeriden öğrenilen bilgilere karşı mücadele tek başına yürütülmemelidir; bu, bilgi güvenliği rejimini sağlamayı amaçlayan genel iş sürecinin önemli bir bileşenidir.

Profesyoneller tarafından gerçekleştirilmeli ve tam bir faaliyet döngüsü içermelidir: bir bilgi güvenliği politikasının geliştirilmesi, kapsamın tanımlanması, risk analizi, karşı önlemlerin seçilmesi ve bunların uygulanması, ayrıca bilgi güvenliği sisteminin denetlenmesi.

Bir işletme tüm kompleks boyunca bilgi güvenliğini sağlamazsa, sızıntılardan kaynaklanan mali kayıp ve bilgilerin zarar görmesi riski keskin bir şekilde artar.

Riskleri en aza indirmek

Sınav

  1. Şirketteki herhangi bir pozisyona başvuran adayların kapsamlı bir şekilde taranması. Aday hakkında, sosyal ağlardaki sayfalarının içeriği de dahil olmak üzere mümkün olduğunca fazla bilgi toplanması önerilir. Daha önce çalıştığınız bir yerden referans istemek de yardımcı olabilir.
  2. BT mühendisi pozisyonları için adaylar özellikle kapsamlı bir taramaya tabi tutulmalıdır. Uygulama, içeriden öğrenenlerin yarısından fazlasının sistem yöneticileri ve programcılar.
  3. İşe alırken adayların en azından minimum psikolojik kontrolünün yapılması gerekir. Akıl sağlığı dengesiz olan başvuru sahiplerinin tespit edilmesine yardımcı olacaktır.

Erişim hakkı

  1. Erişim paylaşım sistemi kurumsal kaynaklar. İşletme, bilgileri gizlilik düzeyine göre sıralayan ve bu bilgilere erişim haklarını açıkça tanımlayan düzenleyici belgeler oluşturmalıdır. Herhangi bir kaynağa erişim kişiselleştirilmelidir.
  2. Kaynaklara erişim hakları “asgari yeterlilik” ilkesine göre tahsis edilmelidir. Teknik ekipmanın bakımına erişim, yönetici haklarına sahip olsa bile, her zaman bilgilerin kendisini görüntüleme erişimiyle birlikte olmamalıdır.
  3. Zorunlu yetkilendirme ve gerçekleştirilen işlemlerle ilgili bilgilerin bir günlüğe kaydedilmesi ile kullanıcı eylemlerinin mümkün olduğunca derinlemesine izlenmesi. Kayıtlar ne kadar dikkatli tutulursa yönetim şirketteki durum üzerinde o kadar kontrol sahibi olur. Aynı durum, çalışanın internete resmi erişimini kullanırken yaptığı eylemler için de geçerlidir.

İletişim Standardı

  1. Kuruluş, çalışanların birbirlerine karşı her türlü uygunsuz davranışını (saldırganlık, şiddet, aşırı yakınlık) dışlayacak kendi iletişim standardını benimsemelidir. Bu öncelikle “yönetici-ast” ilişkisi için geçerlidir.

Çalışan hiçbir durumda kendisine haksızlık yapıldığını, kendisine yeterince değer verilmediğini, gereksiz yere sömürüldüğünü, aldatıldığını düşünmemelidir.

Bu basit kurala uymak, çalışanları içeriden bilgi vermeye kışkırtan durumların büyük çoğunluğundan kaçınmanıza olanak sağlayacaktır.

Gizlilik

Bir gizlilik anlaşması sadece bir formalite olmamalıdır. Önemli bilgilere erişimi olan tüm çalışanlar tarafından imzalanmalıdır. bilgi kaynaklarışirketler.

Ayrıca görüşme aşamasında bile potansiyel çalışanlara şirketin bilgi güvenliğini nasıl kontrol ettiğinin açıklanması gerekir.

Fon kontrolü

Bir çalışanın iş amacıyla kullandığı teknik araçların kontrolünü temsil eder.

Örneğin, kişisel bir dizüstü bilgisayar kullanmak istenmeyen bir durumdur, çünkü bir çalışan ayrıldığında, üzerinde hangi bilgilerin saklandığını bulmak büyük olasılıkla mümkün olmayacaktır.

Aynı sebepten dolayı kutuların kullanılması istenmez. E-posta dış kaynaklar hakkında.

Dahili rutin

İşletme iç düzenlemelere uymak zorundadır.

Çalışanların işyerinde geçirdikleri süre hakkında bilgi sahibi olmak gerekmektedir.

Maddi varlıkların hareketinin kontrolü de sağlanmalıdır.

Yukarıdaki kuralların tümüne uyulması, içeriden alınan bilgiler nedeniyle hasar veya bilgi sızıntısı riskini azaltacak ve dolayısıyla önemli mali veya itibar kayıplarının önlenmesine yardımcı olacaktır.

Yönetici Ortağı

şirketler grubu Hosting Topluluğu


Günümüzde gizli bilgilerin sızması için iki ana kanal bulunmaktadır: bilgisayara bağlı cihazlar (flash sürücüler, CD/DVD sürücüleri vb. dahil her türlü çıkarılabilir depolama cihazı, yazıcılar) ve İnternet (e-posta, ICQ, sosyal medya) ağlar vb.) d.). Bu nedenle, bir şirket kendisine karşı bir koruma sistemi uygulamak için "olgunlaştığında", bu çözüme kapsamlı bir şekilde yaklaşmanız tavsiye edilir. Sorun, farklı kanalları kapsamak için farklı yaklaşımların kullanılmasıdır. Bir durumda en çok etkili yol koruma, çıkarılabilir sürücülerin kullanımını kontrol edecek ve ikincisi, gizli verilerin harici bir ağa aktarılmasını engellemenize olanak tanıyan çeşitli içerik filtreleme seçenekleri içerecektir. Bu nedenle şirketlerin içeriden öğrenenlere karşı koruma sağlamak için birlikte kapsamlı bir güvenlik sistemi oluşturan iki ürünü kullanması gerekiyor. Doğal olarak tek bir geliştiricinin araçlarının kullanılması tercih edilir. Bu durumda, bunların uygulanması, yönetimi ve çalışanların eğitimi süreci basitleştirilir. Örnek olarak SecurIT'in ürünlerini sayabiliriz: Zlock ve Zgate.

Zlock: çıkarılabilir sürücüler aracılığıyla sızıntılara karşı koruma

Zlock programı bir süredir piyasada. Ve biz zaten. Prensip olarak kendimi tekrarlamanın bir anlamı yok. Ancak makalenin yayınlanmasından bu yana Zlock'un bir dizi önemli özellik ekleyen iki yeni sürümü yayınlandı. Çok kısa da olsa bunlardan bahsetmeye değer.

Her şeyden önce, bir bilgisayara bağlı olup olmadığına bağlı olarak bağımsız olarak uygulanan birkaç politikayı bir bilgisayara atama olasılığını belirtmekte fayda var. Şirket ağı doğrudan, VPN aracılığıyla veya bağımsız olarak çalışır. Bu, özellikle bilgisayarın yerel ağ bağlantısı kesildiğinde USB bağlantı noktalarının ve CD/DVD sürücülerinin otomatik olarak engellenmesine olanak tanır. Genel olarak bu fonksiyonÇalışanların seyahatlerde veya evde çalışırken ofis dışına taşıyabilecekleri dizüstü bilgisayarlarda saklanan bilgilerin güvenliğini artırır.

Saniye yeni fırsat- şirket çalışanlarına telefon üzerinden engellenen cihazlara ve hatta cihaz gruplarına geçici erişim sağlamak. Çalışma prensibi program tarafından oluşturulan değişimi sağlamaktır. gizli kodlar Kullanıcı ile bilgi güvenliğinden sorumlu çalışan arasında. Kullanım izninin yalnızca kalıcı olarak değil aynı zamanda geçici olarak da (belirli bir süre için veya çalışma oturumunun sonuna kadar) verilebileceği dikkat çekicidir. Bu araç, güvenlik sisteminde hafif bir rahatlama olarak düşünülebilir ancak BT departmanının iş taleplerine yanıt verme hızını artırmanıza olanak tanır.

Zlock'un yeni versiyonlarındaki bir sonraki önemli yenilik, yazıcıların kullanımı üzerindeki kontroldür. Kurulumun ardından güvenlik sistemi, tüm kullanıcı isteklerini baskı cihazlarına özel bir günlüğe kaydedecektir. Ama hepsi bu değil. Zlock artık tüm basılı belgelerin gölge kopyasını sunuyor. Kayıt oluyorlar PDF formatı ve yazıcıya hangi dosyanın gönderildiğine bakılmaksızın yazdırılan sayfaların tam bir kopyasıdır. Bu, içeriden birinin verileri ofis dışına çıkarmak için çıktısını alması durumunda gizli bilgilerin kağıt sayfalara sızmasını önlemeye yardımcı olur. Güvenlik sistemi ayrıca CD/DVD disklerine kaydedilen bilgilerin gölge kopyalanmasını da içerir.

Önemli bir yenilik, Zlock Enterprise Management Server sunucu bileşeninin ortaya çıkmasıydı. Güvenlik politikalarının ve diğer program ayarlarının merkezi olarak depolanmasını ve dağıtımını sağlar ve büyük ve dağıtılmış bilgi sistemlerinde Zlock'un yönetimini önemli ölçüde kolaylaştırır. Gerekirse etki alanı ve yerel Windows kullanıcılarının kullanımından vazgeçmenize izin veren kendi kimlik doğrulama sisteminin ortaya çıkışından da bahsetmek imkansızdır.

Buna ek olarak, En son sürüm Zlock'un artık daha az fark edilen ancak aynı zamanda oldukça önemli birkaç işlevi var: kurcalama tespit edildiğinde kullanıcı oturum açma işlemini engelleme yeteneği ile istemci modülünün bütünlüğünü izlemek, bir güvenlik sistemi uygulamak için genişletilmiş yetenekler, Oracle DBMS desteği vb.

Zgate: İnternet sızıntılarına karşı koruma

Yani Zgate. Daha önce de söylediğimiz gibi bu ürün, gizli bilgilerin internet üzerinden sızmasına karşı koruma sağlayan bir sistemdir. Yapısal olarak Zgate üç bölümden oluşmaktadır. Bunlardan en önemlisi, tüm veri işleme işlemlerini gerçekleştiren sunucu bileşenidir. Hem ayrı bir bilgisayara hem de halihazırda kurumsal bir bilgisayarda çalışan bilgisayarlara kurulabilir. bilgi sistemi düğümler - İnternet ağ geçidi, etki alanı denetleyicisi, posta ağ geçidi vb. Bu modül sırasıyla üç bileşenden oluşur: SMTP trafiğini izlemek, Microsoft Exchange 2007/2010 sunucusunun dahili postasını izlemek ve Zgate Web'i (kontrolden sorumludur) HTTP, FTP ve IM trafiği).

Güvenlik sisteminin ikinci kısmı kayıt sunucusudur. Bir veya daha fazla Zgate sunucusundan olay bilgilerinin toplanması, işlenmesi ve saklanması için kullanılır. Bu modül özellikle büyük ve coğrafi olarak dağıtılmış uygulamalarda kullanışlıdır. kurumsal sistemler, çünkü tüm verilere merkezi erişim sağlar. Üçüncü bölüm yönetim konsoludur. SecurIT ürünleri için standart bir konsol kullanıyor ve bu nedenle üzerinde ayrıntılı olarak durmayacağız. Sadece bu modülü kullanarak sistemi yalnızca yerel olarak değil uzaktan da kontrol edebileceğinizi not ediyoruz.

Yönetim konsolu

Zgate sistemi çeşitli modlarda çalışabilir. Ayrıca bunların kullanılabilirliği, ürünün uygulama yöntemine bağlıdır. İlk iki mod, posta proxy sunucusu olarak çalışmayı içerir. Bunları uygulamak için sistem, kurumsal posta sunucusu ile “dış dünya” arasına (veya ayrılmışsa posta sunucusu ile gönderen sunucu arasına) kurulur. Bu durumda, Zgate hem trafiği filtreleyebilir (hak ihlalinde bulunan ve şüpheli mesajları geciktirebilir) hem de yalnızca günlüğe kaydedebilir (tüm mesajları iletebilir, ancak bunları arşive kaydedebilir).

İkinci uygulama yöntemi, koruma sisteminin Microsoft Exchange 2007 veya 2010 ile birlikte kullanılmasını içerir. Bunu yapmak için Zgate'i doğrudan kurumsal şirkete yüklemeniz gerekir. posta sunucusu. Ayrıca iki mod mevcuttur: filtreleme ve günlüğe kaydetme. Buna ek olarak başka bir uygulama seçeneği daha var. Yansıtılmış trafik modunda mesajların günlüğe kaydedilmesinden bahsediyoruz. Doğal olarak, onu kullanmak için Zgate'in kurulu olduğu bilgisayarın aynı yansıtılmış trafiği almasını sağlamak gerekir (bu genellikle ağ ekipmanı kullanılarak yapılır).


Zgate çalışma modunun seçilmesi

Zgate Web bileşeni ayrı bir hikayeyi hak ediyor. Doğrudan kurumsal İnternet ağ geçidine kurulur. Aynı zamanda, bu alt sistem HTTP, FTP ve IM trafiğini izleme, yani gizli bilgileri web posta arayüzleri ve ICQ aracılığıyla gönderme, forumlarda, FTP sunucularında ve sosyal medyada yayınlama girişimlerini tespit etmek için işleme yeteneği kazanır. ağlar vb. Bu arada, ICQ hakkında. IM mesajlaşma programlarını engelleme işlevi birçok benzer üründe mevcuttur. Ancak içlerinde “ICQ” yok. Basitçe, Rusça konuşulan ülkelerde en yaygın olduğu için.

Zgate Web bileşeninin çalışma prensibi oldukça basittir. Kontrollü hizmetlerden herhangi birine bilgi gönderildiğinde sistem özel bir mesaj oluşturacaktır. Bilginin kendisini ve bazı servis verilerini içerir. Ana Zgate sunucusuna gönderilir ve belirlenen kurallara göre işlenir. Doğal olarak hizmetin kendisinde bilgi gönderilmesi engellenmiyor. Yani Zgate Web yalnızca kayıt modunda çalışır. Onun yardımıyla izole veri sızıntılarını önleyemezsiniz, ancak bunları hızlı bir şekilde tespit edebilir ve gönüllü veya farkında olmayan bir saldırganın faaliyetlerini durdurabilirsiniz.


Zgate Web bileşenini kurma

Bilgilerin Zgate'te işlenme şekli ve filtreleme prosedürü, güvenlik görevlisi veya diğer sorumlu çalışan tarafından geliştirilen politika tarafından belirlenir. Her biri belirli bir eyleme karşılık gelen bir dizi koşulu temsil eder. Gelen tüm mesajlar sırayla birbiri ardına "çalıştırılır". Koşullardan herhangi birinin karşılanması durumunda bununla ilgili eylem başlatılır.


Filtrasyon sistemi

Toplamda sistem, "tüm durumlar için" dedikleri gibi 8 tür koşul sağlar. Bunlardan ilki ek dosya türüdür. Onun yardımıyla, belirli bir formattaki nesneleri gönderme girişimlerini tespit edebilirsiniz. Analizin uzantıya göre değil, dosyanın iç yapısına göre gerçekleştirildiğini ve hem belirli nesne türlerini hem de bunların gruplarını (örneğin, tüm arşivler, videolar vb.) Belirtebileceğinizi belirtmekte fayda var. İkinci tip koşullar ise harici bir uygulamayla doğrulamadır. Bir uygulama olarak, şuradan başlatılan normal bir program gibi davranabilir: Komut satırı ve senaryo.


Filtreleme sistemindeki koşullar

Ancak bir sonraki koşul üzerinde daha ayrıntılı olarak durmaya değer. Aktarılan bilgilerin içerik analizinden bahsediyoruz. Öncelikle Zgate'in “her şeyi yiyen”liğine dikkat çekmek gerekiyor. Gerçek şu ki, program çok sayıda farklı formatı "anlıyor". Bu nedenle yalnızca basit metni değil, hemen hemen her eki de analiz edebilir. İçerik analizinin bir diğer özelliği de büyük yetenekleridir. Bu, bir mesajın metninde veya belirli bir kelimenin başka herhangi bir alanında geçen basit bir aramayı veya dilbilgisel kelime formlarını, köklerini ve harf çevirisini hesaba katmayı içeren tam teşekküllü bir analizi içerebilir. Ama hepsi bu değil. Kalıpları ve düzenli ifadeleri analiz etme sistemi özel olarak anılmayı hak ediyor. Onun yardımıyla, mesajlarda pasaport serileri ve numaraları, telefon numarası, sözleşme numarası, banka hesap numarası vb. gibi belirli bir formattaki verilerin varlığını kolayca tespit edebilirsiniz. Bu, diğer şeylerin yanı sıra, Şirket tarafından işlenen kişisel verilerin korunması.


Çeşitli gizli bilgileri tanımlamaya yönelik modeller

Dördüncü tip koşullar ise mektupta belirtilen adreslerin analizidir. Yani, aralarında belirli dizeleri aramak. Beşinci - şifrelenmiş dosyaların analizi. Yürütüldüğünde mesajın ve/veya iç içe geçmiş nesnelerin öznitelikleri kontrol edilir. Altıncı tür koşullar, harflerin çeşitli parametrelerini kontrol etmektir. Yedinci sözlük analizidir. Bu işlem sırasında sistem, mesajda önceden oluşturulmuş sözlüklerden kelimelerin varlığını tespit eder. Ve son olarak, son sekizinci tip durum bileşiktir. Mantıksal operatörler tarafından birleştirilen iki veya daha fazla koşulu temsil eder.

Bu arada şartların açıklamasında bahsettiğimiz sözlüklerden de ayrıca bahsetmemiz gerekiyor. Bir karakteristik tarafından birleştirilen ve çeşitli filtreleme yöntemlerinde kullanılan kelime gruplarıdır. Yapılacak en mantıklı şey, bir mesajı bir kategoriye veya diğerine sınıflandırmanıza büyük olasılıkla izin verecek sözlükler oluşturmaktır. İçerikleri manuel olarak girilebilir veya mevcut olanlardan içe aktarılabilir metin dosyaları. Sözlük oluşturmak için başka bir seçenek daha var - otomatik. Bunu kullanırken, yöneticinin ilgili belgeleri içeren klasörü belirtmesi yeterlidir. Programın kendisi bunları analiz edecek, gerekli kelimeleri seçecek ve ağırlık özelliklerini atayacaktır. Sözlüklerin yüksek kalitede derlenmesi için yalnızca gizli dosyaların değil aynı zamanda hassas bilgiler içermeyen nesnelerin de belirtilmesi gerekir. Genel olarak, otomatik oluşturma süreci, reklam ve normal mektuplar konusunda antispam eğitimine en çok benzer. Ve bu şaşırtıcı değil çünkü her iki ülke de benzer teknolojileri kullanıyor.


Finansal bir konuyla ilgili sözlük örneği

Sözlüklerden bahsetmişken, Zgate'te uygulanan başka bir gizli veri tespit teknolojisinden de bahsetmeden geçemeyeceğiz. Dijital parmak izlerinden bahsediyoruz. Öz Bu methodŞöyleki. Yönetici, gizli verileri içeren sistem klasörlerini gösterebilir. Program, içindeki tüm belgeleri analiz edecek ve "dijital parmak izleri" oluşturacaktır - yalnızca dosyanın tüm içeriğini değil, aynı zamanda tek tek parçalarını da aktarma girişimini belirlemenize olanak tanıyan veri kümeleri. Sistemin kendisine belirtilen klasörlerin durumunu otomatik olarak izlediğini ve içlerinde yeniden görünen tüm nesneler için bağımsız olarak "parmak izleri" oluşturduğunu lütfen unutmayın.


Dosyaların dijital parmak izlerini içeren bir kategori oluşturma

Artık geriye kalan tek şey, söz konusu koruma sisteminde uygulanan eylemleri anlamaktır. Toplamda Zgate'te halihazırda 14 adet satılıyor. Ancak çoğu, mesajla gerçekleştirilen eylemleri belirler. Bunlar arasında özellikle göndermeden silme (yani bir mektubun iletimini engelleme), arşive yerleştirme, ek ekleme veya silme, çeşitli alanları değiştirme, metin ekleme vb. yer alır. Bunlar arasında özellikle Bir mektubun karantinaya yerleştirilmesine dikkat çekmeye değer. Bu hareket bir mesajın daha sonraki kaderine karar verecek bir güvenlik görevlisi tarafından manuel olarak doğrulanması için "ertelemenize" olanak tanır. Ayrıca çok ilginç olan, bir IM bağlantısını engellemenize olanak tanıyan eylemdir. Gizli bilgi içeren bir mesajın iletildiği kanalın anında engellenmesi için kullanılabilir.

İki eylem birbirinden biraz farklıdır: Bayes yöntemiyle işleme ve parmak izi yöntemiyle işleme. Her ikisi de mesajların hassas bilgiler içerip içermediğini kontrol etmek için tasarlanmıştır. Yalnızca birincisi sözlükleri ve istatistiksel analizi kullanır, ikincisi ise dijital parmak izlerini kullanır. Bu eylemler, belirli bir koşul karşılandığında (örneğin, alıcının adresi kurumsal bir alanda değilse) gerçekleştirilebilir. Ek olarak, bunlar (diğerleri gibi) tüm giden mesajlara koşulsuz olarak uygulanacak şekilde ayarlanabilir. Bu durumda sistem harfleri analiz edecek ve bunları belirli kategorilere atayacaktır (tabii ki bu mümkünse). Ancak bu kategoriler için zaten belirli eylemlerin uygulanmasıyla koşullar oluşturabilirsiniz.


Zgate sistemindeki eylemler

Evet, bugünkü Zgate sohbetimizin sonunda konuyu biraz özetleyebiliriz. Bu koruma sistemi öncelikle mesajların içerik analizine dayanmaktadır. Bu yaklaşım, gizli bilgilerin İnternet üzerinden sızmasına karşı koruma sağlamak için en yaygın olanıdır. Doğal olarak içerik analizi %100 koruma sağlamaz ve doğası gereği oldukça olasılıksaldır. Ancak kullanımı çoğu durumda hassas verilerin yetkisiz aktarımını önler. Şirketler bunu kullanmalı mı kullanmamalı mı? Herkes uygulama maliyetlerini değerlendirerek buna kendisi karar vermelidir. olası sorunlar bilgi sızıntısı durumunda. Zgate'in düzenli ifadeleri yakalama konusunda mükemmel bir iş çıkardığını belirtmekte fayda var. Etkili araçlarŞirket tarafından işlenen kişisel verilerin korunması.

Yıllık CSI/FBI ComputerCrimeAndSecuritySurvey gibi son bilgi güvenliği çalışmaları, şirketlerin çoğu tehditten kaynaklanan mali kayıplarının yıldan yıla azaldığını göstermiştir. Ancak kayıpların arttığı çeşitli riskler var. Bunlardan biri, gizli bilgilerin kasıtlı olarak çalınması veya resmi görevlerini yerine getirmek için ticari verilere erişimi gerekli olan çalışanların bu bilgileri kullanma kurallarını ihlal etmesidir. Bunlara içerdekiler denir.

Çoğu durumda, gizli bilgilerin çalınması mobil medya kullanılarak gerçekleştirilir: CD'ler ve DVD'ler, ZIP aygıtları ve en önemlisi her türlü USB sürücüsü. İçeridenciliğin dünya çapında gelişmesine yol açan şey onların kitlesel dağılımıydı. Çoğu bankanın başkanları, örneğin müşterilerinin kişisel verilerini içeren bir veri tabanının veya dahası, hesaplarındaki işlemlerin suç yapılarının eline geçmesinin tehlikelerinin çok iyi farkındadır. Ve kendilerine sunulan organizasyonel yöntemleri kullanarak olası bilgi hırsızlığıyla mücadele etmeye çalışıyorlar.

Ancak bu durumda organizasyonel yöntemler etkisizdir. Bugün minyatür bir flash sürücü kullanarak bilgisayarlar arasında bilgi aktarımını düzenleyebilirsiniz, cep telefonu, mp3 oynatıcı, dijital kamera... Elbette tüm bu cihazların ofise getirilmesini yasaklamayı deneyebilirsiniz ancak bu öncelikle çalışanlarla ilişkileri olumsuz etkileyecek, ikincisi ise gerçekten kurmak yine de imkansız olacaktır. insanlar üzerinde etkili kontrol çok zor - banka bunu yapmıyor " Posta kutusu" Ve harici ortama (FDD ve ZIP diskleri, CD ve DVD sürücüleri vb.) ve USB bağlantı noktalarına bilgi yazmak için kullanılabilecek bilgisayarlardaki tüm aygıtların devre dışı bırakılması bile yardımcı olmayacaktır. Sonuçta, birincisi iş için gereklidir ve ikincisi çeşitli çevre birimlerine bağlıdır: yazıcılar, tarayıcılar vb. Ve hiç kimse bir kişinin yazıcıyı bir dakikalığına kapatmasını, boş bağlantı noktasına bir flash sürücü takıp buraya kopyalama yapmasını engelleyemez. önemli bilgi. Elbette kendinizi korumanın orijinal yollarını bulabilirsiniz. Örneğin, bir banka sorunu çözmek için bu yöntemi denedi: USB bağlantı noktası ile kablonun bağlantı noktasını epoksi reçine ile doldurdular ve ikincisini bilgisayara sıkıca "bağladılar". Ancak neyse ki günümüzde daha modern, güvenilir ve esnek kontrol yöntemleri var.

İçeriden öğrenenlerle ilgili riskleri en aza indirmenin en etkili yolu özel bir yazılım, bilgisayarın bilgileri kopyalamak için kullanılabilecek tüm aygıtlarını ve bağlantı noktalarını dinamik olarak kontrol eder. Çalışmalarının prensibi aşağıdaki gibidir. Çeşitli bağlantı noktalarını ve cihazları kullanma izinleri, her kullanıcı grubu için veya her kullanıcı için ayrı ayrı ayarlanır. Bu tür yazılımların en büyük avantajı esnekliktir. Belirli cihaz türleri, modelleri ve bireysel örnekleri için kısıtlamalar girebilirsiniz. Bu, çok karmaşık erişim hakları dağıtım politikalarını uygulamanıza olanak tanır.

Örneğin, bazı çalışanların USB bağlantı noktalarına bağlı tüm yazıcıları veya tarayıcıları kullanmasına izin vermek isteyebilirsiniz. Ancak bu bağlantı noktasına takılan diğer tüm cihazlara erişilemez durumda kalacaktır. Banka, jetonlara dayalı bir kullanıcı kimlik doğrulama sistemi kullanıyorsa, ayarlarda kullanılan anahtar modelini belirleyebilirsiniz. Daha sonra kullanıcıların yalnızca şirket tarafından satın alınan cihazları kullanmasına izin verilecek ve diğerlerinin tümü işe yaramaz hale gelecektir.

Yukarıda açıklanan koruma sistemlerinin çalışma prensibine dayanarak, kayıt cihazlarının ve bilgisayar bağlantı noktalarının dinamik olarak engellenmesini uygulayan programları seçerken hangi noktaların önemli olduğunu anlayabilirsiniz. İlk olarak çok yönlülüktür. Koruma sistemi olası tüm bağlantı noktalarını ve giriş/çıkış cihazlarını kapsamalıdır. Aksi takdirde ticari bilgilerin çalınması riski kabul edilemeyecek kadar yüksek kalır. İkinci olarak, söz konusu yazılım esnek olmalı ve cihazlarla ilgili çok sayıda farklı bilgiyi kullanarak kurallar oluşturmanıza izin vermelidir: türleri, model üreticileri, her örneğin sahip olduğu benzersiz numaralar vb. Üçüncüsü, içeriden koruma sisteminin bankanın bilgi sistemiyle, özellikle de ActiveDirectory ile entegre olabilmesi gerekiyor. Aksi takdirde, yönetici veya güvenlik görevlisinin kullanıcı ve bilgisayarlardan oluşan iki veri tabanını muhafaza etmesi gerekecektir; bu sadece zahmetli olmakla kalmaz, aynı zamanda hata riskini de artırır.

Bilgilerin içerdekilerden korunması yazılım

Alexander Antipov

Makalenin kendisinin ve özellikle de tartışmasının, yazılım araçlarını kullanmanın çeşitli nüanslarını belirlemeye yardımcı olacağını ve bilgi güvenliği uzmanları için açıklanan soruna bir çözüm geliştirmede bir başlangıç ​​​​noktası olacağını umuyorum.


hayır

Infowatch şirketinin pazarlama bölümü, uzun bir süredir tüm ilgili tarafları - BT uzmanlarının yanı sıra en ileri düzey BT yöneticilerini - şirketin bilgi güvenliğinin ihlalinden kaynaklanan zararın çoğunun şirket içindeki kişilere - çalışanların ifşa ettiğine - inandırıyor. Ticaret Sırları. Amaç açık; üretilen ürüne talep yaratmamız gerekiyor. Ve argümanlar oldukça sağlam ve ikna edici görünüyor.

Sorunun formülasyonu

LAN tabanlı bilgileri personel tarafından hırsızlığa karşı korumak için bir sistem oluşturun Aktif Dizin Windows 2000/2003. Kullanıcı iş istasyonları Windows kontrolü XP. 1C ürünlerine dayalı kurumsal yönetim ve muhasebe.
Gizli bilgiler üç şekilde saklanır:
  1. DB 1C - RDP aracılığıyla ağ erişimi ( terminal erişimi);
  2. dosya sunucularındaki paylaşılan klasörler - ağ erişimi;
  3. yerel olarak çalışanın bilgisayarında;
Sızıntı kanalları - İnternet ve çıkarılabilir medya (flaş sürücüler, telefonlar, oynatıcılar vb.). İnternet ve çıkarılabilir medyanın kullanımı, resmi görevlerin yerine getirilmesi için gerekli olduğundan yasaklanamaz.

Piyasada neler var

Söz konusu sistemleri üç sınıfa ayırdım:
  1. Bağlam analizörlerine dayalı sistemler - Sörf Kontrolü, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, vb.
  2. Statik cihaz kilitlemeye dayalı sistemler - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Dinamik cihaz engellemeye dayalı sistemler - SecrecyKeeper, Strazh, Accord, SecretNet.

Bağlam analizörlerine dayalı sistemler

Çalışma prensibi:
İletilen bilgilerde anahtar kelimeler aranır ve arama sonuçlarına göre aktarımın engellenmesi gerektiğine karar verilir.

Bana göre InfoWatch Traffic Monitor (www.infowatch.ru) listelenen ürünler arasında maksimum yeteneklere sahip. Temel, Rus dilinin özelliklerini en iyi şekilde dikkate alan, kanıtlanmış Kaspersky Antispam motorudur. InfoWatch Traffic Monitor, diğer ürünlerden farklı olarak analiz yaparken yalnızca kontrol edilen verilerdeki belirli satırların varlığını değil, aynı zamanda her satırın önceden belirlenmiş ağırlığını da dikkate alır. Böylece, nihai bir karar verirken yalnızca belirli kelimelerin oluşu değil, aynı zamanda bunların oluştuğu kombinasyonlar da dikkate alınır, bu da analizörün esnekliğinin arttırılmasına olanak tanır. Geri kalan özellikler bu tür ürünler için standarttır - arşivlerin analizi, MS Office belgeleri, bilinmeyen formattaki dosyaların veya şifre korumalı arşivlerin aktarımını engelleme yeteneği.

Bağlamsal analize dayalı olarak ele alınan sistemlerin dezavantajları:

  • Yalnızca iki protokol izlenir - HTTP ve SMTP (InfoWatch Traffic Monitor için ve yalnızca POST istekleri kullanılarak iletilen HTTP trafiği için veriler kontrol edilir; bu, GET yöntemini kullanarak veri aktarımını kullanarak bir sızıntı kanalı düzenlemenize olanak tanır);
  • Veri aktarım aygıtları kontrol edilmez - disketler, CD'ler, DVD'ler, USB sürücüler vb. (InfoWatch'un bu durum için bir ürünü vardır: InfoWatch Net Monitor).
  • içerik analizi temelinde oluşturulan sistemleri atlamak için en basit metin kodlamasını (örneğin: gizli -> с1е1к1р1е1т) veya steganografiyi kullanmak yeterlidir;
  • aşağıdaki sorun içerik analizi yöntemiyle çözülemez - aklıma uygun bir resmi açıklama gelmiyor, bu yüzden sadece bir örnek vereceğim: iki Excel dosyası var - ilkinde perakende fiyatları var (kamuya açık bilgi), ikincisi - belirli bir müşteri için toptan satış fiyatları (özel bilgi), dosyaların içeriği yalnızca rakamlarla farklılık gösterir. Bu dosyalar içerik analizi kullanılarak ayırt edilemez.
Çözüm:
Bağlamsal analiz yalnızca trafik arşivleri oluşturmak ve kazara bilgi sızıntısını önlemek için uygundur ve sorunu çözmez.

Statik cihaz engellemeye dayalı sistemler

Çalışma prensibi:
Kullanıcılara, dosyalara erişim haklarına benzer şekilde, kontrollü cihazlara erişim hakları atanır. Prensip olarak, standart Windows mekanizmaları kullanılarak hemen hemen aynı etki elde edilebilir.

Zlock (www.securit.ru) - ürün nispeten yakın zamanda ortaya çıktı, bu nedenle minimum işlevselliğe sahip (gösterişleri saymıyorum) ve özellikle iyi çalışmıyor, örneğin, yönetim konsolu bazen kaydetmeye çalışırken çöküyor ayarlar.

DeviceLock (www.smartline.ru) daha ilginç bir üründür, uzun süredir piyasada olduğundan çok daha kararlı çalışır ve daha çeşitli işlevlere sahiptir. Örneğin, iletilen bilgilerin gölge kopyalanmasına izin verir; bu, bir olayın araştırılmasına yardımcı olabilir ancak olayı önlemede yardımcı olamaz. Ayrıca böyle bir soruşturma büyük olasılıkla sızıntı öğrenildiğinde gerçekleştirilecektir. meydana geldikten sonra önemli bir süre geçer.

InfoWatch Net Monitor (www.infowatch.ru) modüllerden oluşur - DeviceMonitor (Zlock'a benzer), FileMonitor, OfficeMonitor, AdobeMonitor ve PrintMonitor. DeviceMonitor, kuru üzüm içermeyen standart işlevsellik olan Zlock'un bir analogudur. FileMonitor - dosyalara erişimin kontrolü. OfficeMonitor ve AdobeMonitor, dosyaların ilgili uygulamalarda nasıl işleneceğini kontrol etmenize olanak tanır. FileMonitor, OfficeMonitor ve AdobeMonitor için oyuncak olmaktan ziyade kullanışlı bir uygulama bulmak şu anda oldukça zordur, ancak gelecek sürümlerde işlenen verilerin bağlamsal analizini yapmak mümkün olmalıdır. Belki o zaman bu modüller potansiyellerini ortaya çıkaracaktır. Her ne kadar, özellikle içerik filtreleme tabanı Traffic Monitor'dekiyle aynıysa, dosya işlemlerinin bağlamsal analizi görevinin önemsiz olmadığını belirtmekte fayda var. ağ.

Ayrıca, aracıyı yerel yönetici haklarına sahip bir kullanıcıdan korumaktan da bahsetmek gerekir.
ZLock ve InfoWatch Net Monitor'ün böyle bir koruması yoktur. Onlar. kullanıcı aracıyı durdurabilir, verileri kopyalayabilir ve aracıyı yeniden başlatabilir.

DeviceLock'un böyle bir koruması var ve bu kesinlikle bir artı. Kayıt defteriyle çalışmak için sistem çağrılarının ele geçirilmesine dayanır, dosya sistemi ve süreç yönetimi. Diğer bir avantaj ise korumanın güvenli modda da çalışmasıdır. Ancak bir eksi de var - korumayı devre dışı bırakmak için, basit bir sürücü indirilerek yapılabilecek Hizmet Tanımlayıcı Tablosunu geri yüklemek yeterlidir.

Statik cihaz engellemeye dayalı olarak dikkate alınan sistemlerin dezavantajları:

  • Bilginin ağa iletimi kontrol edilmez.
  • -Gizli bilgileri gizli olmayan bilgilerden nasıl ayırt edeceğini bilmiyor. Ya her şeyin mümkün olduğu ya da hiçbir şeyin imkansız olmadığı ilkesiyle çalışır.
  • Ajan boşaltmaya karşı koruma yoktur veya kolaylıkla atlanabilir.
Çözüm:
Bu tür sistemlerin uygulanması tavsiye edilmez, çünkü sorunu çözmüyorlar.

Dinamik cihaz kilitlemeyi temel alan sistemler

Çalışma prensibi:
iletim kanallarına erişim, kullanıcının erişim düzeyine ve üzerinde çalışılan bilginin gizlilik derecesine bağlı olarak engellenir. Bu prensibi uygulamak için bu ürünler yetkili erişim kontrol mekanizmasını kullanır. Bu mekanizma çok sık meydana gelmiyor, bu yüzden üzerinde daha detaylı duracağım.

Yetkili (zorunlu) erişim kontrolü, isteğe bağlı olanın (Windows NT ve üzeri güvenlik sisteminde uygulanan) aksine, bir kaynağın (örneğin bir dosya) sahibinin bu kaynağa erişim gereksinimlerini zayıflatamaması, ancak onları yalnızca seviyeniz dahilinde güçlendirin. Yalnızca özel yetkilere sahip bir kullanıcı (bilgi güvenliği görevlisi veya yönetici) gereksinimleri gevşetebilir.

Guardian, Accord, SecretNet, DallasLock ve diğerleri gibi ürünleri geliştirmenin temel amacı, bu ürünlerin kurulacağı bilgi sistemlerinin Devlet Teknik Komisyonunun (şu anda FSTEC) gerekliliklerine uygunluk açısından sertifikalandırılması olasılığıydı. Bu tür bir sertifikasyon, devlet verilerinin işlendiği bilgi sistemleri için zorunludur. esas olarak devlete ait işletmelerin ürünlerine olan talebi sağlayan bir sır.

Bu nedenle, bu ürünlerde uygulanan işlevler kümesi, ilgili belgelerin gereklerine göre belirlenmiştir. Bu da ürünlerde uygulanan işlevlerin çoğunun ya standardı kopyaladığı gerçeğine yol açtı Windows işlevselliği(nesneleri sildikten sonra temizlemek, RAM'i temizlemek) veya örtülü olarak kullanmak (erişim kontrolünü ayırt etmek). Ve DallasLock geliştiricileri, Windows isteğe bağlı kontrol mekanizması aracılığıyla sistemleri için zorunlu erişim kontrolünü uygulayarak daha da ileri gitti.

Bu tür ürünlerin pratik kullanımı son derece elverişsizdir; örneğin DallasLock, kurulum için yeniden bölümlendirmeyi gerektirir sabit disk bunun da üçüncü taraf yazılım kullanılarak yapılması gerekir. Çoğu zaman, sertifikasyondan sonra bu sistemler kaldırıldı veya devre dışı bırakıldı.

SecrecyKeeper (www.secrecykeeper.com), yetkili bir erişim kontrol mekanizması uygulayan başka bir üründür. Geliştiricilere göre SecrecyKeeper, ticari bir kuruluşta bilgi hırsızlığını önleyen belirli bir sorunu çözmek için özel olarak geliştirildi. Bu nedenle, yine geliştiricilere göre, geliştirme sırasında hem sistem yöneticileri hem de sıradan kullanıcılar için basitlik ve kullanım kolaylığına özel önem verildi. Bunun ne kadar başarılı olduğunu tüketici değerlendirebilir. biz. Buna ek olarak, SecrecyKeeper, bahsedilen diğer sistemlerde bulunmayan bir dizi mekanizmayı uygular - örneğin, uzaktan erişim ve bir aracı koruma mekanizması ile kaynaklar için gizlilik düzeyini ayarlama yeteneği.
SecrecyKeeper'da bilgi hareketinin kontrolü, genel, gizli ve çok gizli değerlerini alabilen Bilgi Gizliliği Düzeyi, Kullanıcı İzin Düzeyleri ve Bilgisayar Güvenlik Düzeyine göre gerçekleştirilir. Bilgi Güvenliği Düzeyi, sistemde işlenen bilgileri üç kategoriye ayırmanıza olanak tanır:

halka açık - gizli bilgi değil, onunla çalışırken herhangi bir kısıtlama yoktur;

gizli - gizli bilgiler, onunla çalışırken Kullanıcının İzin Düzeylerine bağlı olarak kısıtlamalar getirilir;

çok gizli - çok gizli bilgiler; onunla çalışırken Kullanıcının İzin Düzeylerine bağlı olarak kısıtlamalar getirilir.

Bilgi Güvenliği Düzeyi bir dosya için ayarlanabilir, ağ sürücüsü ve bazı hizmetlerin çalıştığı bilgisayarın bağlantı noktası.

Kullanıcı Temizleme Düzeyleri, bir kullanıcının Güvenlik Düzeyine göre bilgileri nasıl taşıyabileceğini belirlemenize olanak tanır. Aşağıdaki Kullanıcı İzin Düzeyleri mevcuttur:

Kullanıcı İzin Düzeyi - bir çalışanın erişebileceği maksimum Bilgi Güvenlik Düzeyini sınırlar;

Ağ Erişim Düzeyi - bir çalışanın ağ üzerinden iletebileceği maksimum Bilgi Güvenlik Düzeyini sınırlar;

Çıkarılabilir Ortama Erişim Düzeyi - bir çalışanın harici ortama kopyalayabileceği maksimum Bilgi Güvenlik Düzeyini sınırlar.

Yazıcı Erişim Düzeyi - bir çalışanın yazdırabileceği maksimum Bilgi Güvenlik Düzeyini sınırlar.

Bilgisayar Güvenlik Düzeyi - bilgisayarda saklanabilecek ve işlenebilecek maksimum Bilgi Güvenlik Düzeyini belirler.

Kamu güvenliği düzeyinde bilgiye erişim, herhangi bir güvenlik iznine sahip bir çalışan tarafından sağlanabilir. Bu tür bilgiler ağ üzerinden iletilebilir ve herhangi bir kısıtlama olmaksızın harici ortama kopyalanabilir. Herkese açık olarak sınıflandırılan bilgilerle çalışma geçmişi izlenmez.

Güvenlik düzeyi sır olan bilgilere erişim, ancak açıklık düzeyi sır düzeyine eşit veya daha yüksek olan çalışanlar tarafından sağlanabilmektedir. Yalnızca ağ erişim düzeyi gizli veya daha yüksek olan çalışanlar bu tür bilgileri ağa aktarabilir. Yalnızca çıkarılabilir medyaya erişim düzeyi gizli veya daha yüksek olan çalışanlar bu bilgileri harici medyaya kopyalayabilir. Bu tür bilgileri yalnızca yazıcı erişim düzeyi gizli veya daha yüksek olan çalışanlar yazdırabilir. Gizli düzeydeki bilgilerle çalışmanın tarihi, yani. erişim girişimleri, ağ üzerinden aktarma girişimleri, harici ortama kopyalama veya yazdırma girişimleri günlüğe kaydedilir.

Çok gizli gizlilik düzeyine sahip bilgilere erişim, ancak yetki düzeyi çok gizli düzeyine eşit olan çalışanlar tarafından elde edilebilmektedir. Yalnızca ağ erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri ağa aktarabilir. Yalnızca çıkarılabilir medyaya erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri harici medyaya kopyalayabilir. Yalnızca yazıcı erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri yazdırabilir. Çok gizli düzeydeki bilgilerle çalışmanın geçmişi, örn. erişim girişimleri, ağ üzerinden aktarma girişimleri, harici ortama kopyalama veya yazdırma girişimleri günlüğe kaydedilir.

Örnek: bir çalışanın çok gizliye eşit bir İzin Düzeyine, gizliye eşit bir Ağ Erişim Düzeyine, genele eşit bir Çıkarılabilir Medya Erişim Düzeyine ve çok gizliye eşit bir Yazıcı Erişim Düzeyine sahip olmasına izin verin; bu durumda, bir çalışan herhangi bir gizlilik düzeyine sahip bir belgeye erişebilir, çalışan bilgileri gizlilik düzeyinden daha yüksek olmayan bir gizlilik düzeyiyle ağa aktarabilir, örneğin disketlere kopyalayabilir, çalışan yalnızca bilgileri kamu gizliliği düzeyindedir ve çalışan herhangi bir bilgiyi bir yazıcıya yazdırabilir.

Bilginin kuruluş genelinde yayılmasını yönetmek için, bir çalışana atanan her bilgisayara bir Bilgisayar Güvenlik Düzeyi atanır. Bu düzey, çalışanın izin düzeylerine bakılmaksızın, herhangi bir çalışanın belirli bir bilgisayardan erişebileceği maksimum Bilgi Güvenlik Düzeyini sınırlar. O. Bir çalışanın çok gizliye eşit bir Yetki Düzeyi varsa ve içinde bulunduğu bilgisayar şu an işlerinin public'e eşit bir Güvenlik Seviyesi varsa, çalışan bu iş istasyonundan public'ten daha yüksek bir güvenlik seviyesine sahip bilgilere erişemeyecektir.

Teoriyle donanmış olarak sorunu çözmek için SecrecyKeeper'ı kullanmaya çalışalım. Söz konusu soyut işletmenin bilgi sisteminde işlenen bilgiler (problem açıklamasına bakın), aşağıdaki tablo kullanılarak basitleştirilmiş bir şekilde açıklanabilir:

İşletmenin çalışanları ve iş ilgi alanları ikinci tablo kullanılarak açıklanmaktadır:

Kuruluşta aşağıdaki sunucuların kullanılmasına izin verin:
Sunucu 1C
Topları olan dosya sunucusu:
SecretDocs - gizli belgeleri içerir
PublicDocs - kamuya açık belgeleri içerir

Standart erişim kontrolünü düzenlemek için standart yeteneklerin kullanıldığını lütfen unutmayın. işletim sistemi ve uygulama yazılımı, yani Örneğin bir yöneticinin çalışanların kişisel verilerine erişmesini engellemek için ek koruma sistemlerinin getirilmesine gerek yoktur. Özellikle çalışanın yasal erişime sahip olduğu bilgilerin yayılmasına karşı çıkmaktan bahsediyoruz.

SecrecyKeeper'ın gerçek konfigürasyonuna geçelim.
Yönetim konsolunu ve aracıları kurma sürecini açıklamayacağım, her şey mümkün olduğu kadar basit - programın belgelerine bakın.
Sistemin kurulumu aşağıdaki adımların gerçekleştirilmesinden oluşur.

Adım 1. Sunucular dışındaki tüm bilgisayarlara aracıları yükleyin - bu, onların Gizlilik Düzeyinin genelden daha yüksek olarak ayarlandığı bilgileri almasını hemen engeller.

Adım 2. Aşağıdaki tabloya göre çalışanlara İzin Seviyeleri atayın:

Kullanıcı İzin Düzeyi Ağ Erişim Düzeyi Çıkarılabilir Medyaya Erişim Düzeyi Yazıcı Erişim Düzeyi
müdür gizli gizli gizli gizli
müdür gizli halk halk gizli
personel memuru gizli halk halk gizli
muhasebeci gizli halk gizli gizli
Sekreter halk halk halk halk

Adım 3. Bilgisayar Güvenlik Düzeylerini aşağıdaki gibi atayın:

Adım 4. Sunucularda Bilgi Güvenliği Düzeylerini Yapılandırın:

Adım 5. Yerel dosyalar için çalışan bilgisayarlarında Bilgi Güvenliği Düzeylerini yapılandırın. Hangi çalışanların hangi bilgilerle çalıştığını ve bu bilgilerin ne kadar kritik olduğunu net bir şekilde anlamak gerektiğinden bu en çok zaman alan kısımdır. Kuruluşunuz bilgi güvenliği denetiminden geçmişse sonuçları işinizi çok daha kolaylaştırabilir.

6. Adım. Gerekirse SecrecyKeeper, kullanıcıların çalıştırmasına izin verilen programların listesini sınırlamanıza olanak tanır. Bu mekanizma, Windows Yazılım Kısıtlama Politikasından bağımsız olarak uygulanır ve örneğin yönetici haklarına sahip kullanıcılara kısıtlamalar getirilmesinin gerekli olduğu durumlarda kullanılabilir.

Böylece, SecrecyKeeper'ın yardımıyla, gizli bilgilerin izinsiz olarak yayılması (hem sızıntı hem de hırsızlık) riskini önemli ölçüde azaltmak mümkündür.

Kusurlar:
- zorluk ilk kurulum yerel dosyalar için gizlilik düzeyleri;

Genel sonuç:
Bilginin içeriden korunmasına yönelik maksimum fırsatlar, üzerinde çalışılan bilginin gizlilik derecesine ve çalışanın güvenlik izni düzeyine bağlı olarak bilgi iletim kanallarına erişimi dinamik olarak düzenleme yeteneğine sahip yazılım tarafından sağlanmaktadır.

Şirket alıcılar, geliştiriciler, bayiler ve bağlı ortaklar için benzersiz bir hizmettir. Üstelik bu, en iyi çevrimiçi mağazalar Rusya, Ukrayna, Kazakistan'da müşterilere geniş bir yelpazede, birçok ödeme yöntemi, hızlı (genellikle anında) sipariş işleme, kişisel bir bölümde sipariş sürecini takip etme olanağı sunan yazılım.

Son zamanlarda, iç tehditlere karşı koruma sorunu, kurumsal bilgi güvenliğinin anlaşılır ve yerleşik dünyası için gerçek bir zorluk haline geldi. Basın içerdekilerden bahsediyor, araştırmacılar ve analistler olası kayıplar ve sıkıntılar konusunda uyarıyor ve haber akışları, bir çalışanın hatası veya dikkatsizliği nedeniyle yüzbinlerce müşteri kaydının sızdırılmasına yol açan başka bir olayla ilgili raporlarla dolu. Bu sorunun bu kadar ciddi olup olmadığını, çözülmesi gerekip gerekmediğini ve sorunu çözmek için hangi araç ve teknolojilerin mevcut olduğunu anlamaya çalışalım.

Her şeyden önce, kaynağının işletmenin bir çalışanı veya bu verilere yasal erişimi olan başka bir kişi olması durumunda, veri gizliliğine yönelik tehdidin dahili olduğunu belirlemekte fayda var. Dolayısıyla içeriden gelen tehditlerden bahsettiğimizde, herhangi bir tehditten bahsediyoruz. olası eylemler Kasıtlı veya kazara yasal kullanıcılar, gizli bilgilerin işletmenin kurumsal ağı dışına sızmasına yol açabilir. Resmi tamamlamak için, bu terimin başka anlamları olmasına rağmen, bu tür kullanıcılara genellikle içeriden öğrenenler olarak adlandırıldığını eklemekte fayda var.

İç tehditler sorununun önemi son araştırmaların sonuçlarıyla doğrulanmaktadır. Özellikle Ekim 2008'de Compuware ve Ponemon Institue tarafından yapılan ortak bir çalışmanın sonuçları açıklandı; buna göre veri sızıntılarının en yaygın nedeni içerideki kişilerdir (Amerika Birleşik Devletleri'ndeki olayların %75'i), bilgisayar korsanları ise yalnızca beşinci sıradadır. yer. Bilgisayar Güvenliği Enstitüsü'nün (CSI) 2008 yılındaki yıllık araştırmasında, içeriden tehdit olaylarının sayısına ilişkin rakamlar şu şekildedir:

Yüzde olarak olay sayısı, toplam yanıt verenlerin sayısı anlamına gelir bu tip Olay kuruluşların belirli bir yüzdesinde meydana geldi. Bu rakamlardan da anlaşılacağı üzere hemen hemen her organizasyonun iç tehditlere maruz kalma riski bulunmaktadır. Karşılaştırıldığında, aynı rapora göre virüsler ankete katılan kuruluşların %50'sini etkiledi ve bilgisayar korsanları sızdı yerel ağ yalnızca %13'ü bununla karşılaştı.

Böylece, iç tehditler– bu günümüzün gerçeğidir, analistler ve satıcılar tarafından icat edilen bir efsane değildir. Dolayısıyla kurumsal bilgi güvenliğinin bir güvenlik duvarı ve antivirüs olduğuna eski kafayla inananların bir an önce soruna daha geniş bir açıdan bakması gerekiyor.

Kuruluşların ve yetkililerin yalnızca kendi yönetimlerine değil, aynı zamanda müşterilerine ve kişisel verilerin uygunsuz işlenmesine ilişkin yasaya da yanıt vermek zorunda kalacağı "Kişisel Verilere İlişkin" yasa, gerilimin derecesini de artırıyor.

Davetsiz misafir modeli

Geleneksel olarak, tehditleri ve bunlara karşı savunmaları değerlendirirken, düşman modelinin analiziyle başlamak gerekir. Daha önce de belirtildiği gibi, içeriden öğrenenler - kuruluşun çalışanları ve gizli bilgilere yasal erişimi olan diğer kullanıcılar hakkında konuşacağız. Kural olarak, bu sözlerle herkes, kurumsal bir ağın parçası olarak bilgisayarda çalışan, çalışırken kuruluşun ofisinden ayrılmayan bir ofis çalışanını düşünür. Ancak böyle bir temsil eksiktir. Kuruluşun ofisinden ayrılabilecek, bilgiye yasal erişimi olan diğer türdeki kişileri de kapsayacak şekilde genişletilmesi gerekmektedir. Bunlar, dizüstü bilgisayarları olan iş seyahatinde olanlar veya hem ofiste hem de evde çalışanlar, bilgi içeren medyayı (özellikle yedek kopyalı manyetik bantlar vb.) taşıyan kuryeler olabilir.

Davetsiz misafir modelinin böylesine genişletilmiş bir değerlendirmesi, öncelikle bu davetsiz misafirlerin oluşturduğu tehditler aynı zamanda iç tehditlerle de ilgili olduğundan konsepte uymaktadır ve ikinci olarak, sorunu daha geniş bir şekilde analiz etmemize olanak sağlamaktadır. olası seçenekler Bu tehditlerle mücadele edin.

Aşağıdaki ana iç ihlalci türleri ayırt edilebilir:

  • Sadakatsiz/kızgın çalışan.Bu kategoriye giren ihlalciler, örneğin iş değiştirerek ve yeni bir işverenin ilgisini çekmek için gizli bilgileri ele geçirmek isteyerek veya kendilerini kırgın olarak değerlendirip intikam almak isteyerek duygusal olarak kasıtlı hareket edebilirler. Tehlikelidirler çünkü en çok şu anda çalıştıkları organizasyona zarar verme motivasyonuna sahiptirler. Kural olarak, sadakatsiz çalışanların karıştığı olayların sayısı azdır, ancak olumsuz ekonomik koşullar ve büyük personel azaltımı durumlarında bu sayı artabilir.
  • İçeri sızmış, rüşvet almış veya manipüle edilmiş bir çalışan.Bu durumda Hakkında konuşuyoruz Yoğun rekabet koşullarında genellikle endüstriyel casusluk amacıyla yapılan herhangi bir kasıtlı eylem hakkında. Gizli bilgi toplamak için ya kendi şahsını belirli amaçlar doğrultusunda rakip bir şirkete sokarlar ya da sadık olmayan bir çalışan bulup ona rüşvet verirler ya da sadık ama dikkatsiz bir çalışanı sosyal mühendislik yoluyla gizli bilgileri vermeye zorlarlar. Rusya Federasyonu'ndaki ekonominin çoğu bölümünde rekabetin çok gelişmemiş olması veya başka şekillerde uygulanması nedeniyle bu tür olayların sayısı genellikle öncekilerden daha azdır.
  • İhmalkar çalışan. Bu tip ihlalci, politikayı ihlal edebilecek sadık ancak dikkatsiz veya ihmalkar bir çalışandır iç güvenlik cehaleti veya unutkanlığı nedeniyle girişimde bulundu. Böyle bir çalışan yanlışlıkla yanlış kişiye hassas bir dosya eklenmiş bir e-posta gönderebilir veya hafta sonu üzerinde çalışmak üzere gizli bilgilerin bulunduğu bir flash sürücüyü eve götürüp kaybedebilir. Bu tür aynı zamanda dizüstü bilgisayarlarını ve manyetik bantlarını kaybeden çalışanları da içerir. Pek çok uzmana göre, gizli bilgilerin sızdırılmasının çoğundan bu tür içeriden kişiler sorumludur.

Bu nedenle, potansiyel ihlalcilerin saikleri ve dolayısıyla eylemleri önemli ölçüde farklılık gösterebilir. Buna bağlı olarak kurumun iç güvenliğinin sağlanması görevine yaklaşmalısınız.

İçeriden gelen tehditlere karşı koruma teknolojileri

Bu pazar segmentinin nispeten genç olmasına rağmen, müşterilerin halihazırda hedeflerine ve finansal yeteneklerine bağlı olarak seçebilecekleri çok sayıda seçenek var. Artık piyasada yalnızca iç tehditler konusunda uzmanlaşmış neredeyse hiçbir satıcının bulunmadığını belirtmekte fayda var. Bu durum, yalnızca bu segmentin olgunlaşmamış olmasından değil, aynı zamanda geleneksel güvenlik ürünleri üreticileri ve bu segmentte yer almak isteyen diğer satıcılar tarafından yürütülen agresif ve bazen kaotik birleşme ve satın alma politikasından da kaynaklanmaktadır. 2006 yılında EMC'nin bir bölümü haline gelen RSA Data Security şirketini, sunucu depolama koruma sistemleri geliştiren ve NetApp tarafından satın alınan Decru girişimini hatırlamakta fayda var. yedek kopyalar 2005'te Symantec'in 2007'de DLP satıcısı Vontu'yu satın alması vb.

Bu tür işlemlerin çok sayıda olması bu segmentin gelişimi için iyi beklentiler göstermesine rağmen, kanat altına gelen ürünlerin kalitesinden her zaman fayda sağlamamaktadır. büyük şirketler. Ürünler daha yavaş gelişmeye başlıyor ve geliştiriciler, son derece uzmanlaşmış bir şirketle karşılaştırıldığında pazar taleplerine o kadar hızlı yanıt vermiyor. Bu, hareket kabiliyeti ve verimliliği küçük kardeşlerine kaptıran büyük şirketlerin iyi bilinen bir hastalığıdır. Öte yandan, hizmet ve satış ağlarının gelişmesiyle birlikte dünyanın farklı yerlerindeki müşterilere yönelik hizmet kalitesi ve ürün bulunabilirliği de artıyor.

Şu anda iç tehditleri etkisiz hale getirmek için kullanılan ana teknolojileri, bunların avantajlarını ve dezavantajlarını ele alalım.

Doküman Kontrolü

Belge kontrol teknolojisi, aşağıdakiler gibi modern hak yönetimi ürünlerinde yer almaktadır: Microsoft Windows Hak Yönetimi Hizmetleri, Adobe LiveCycle Hak Yönetimi ES ve Oracle Bilgi Hakları Yönetimi.

Bu sistemlerin çalışma prensibi her belgeye kullanım kuralları atamak ve bu tür belgelerle çalışan uygulamalarda bu hakları kontrol etmektir. Örneğin, bir belge oluşturabilirsiniz Microsoft Word ve bunun için kurallar belirleyin: kim görüntüleyebilir, kimler değişiklikleri düzenleyebilir ve kaydedebilir ve kimler yazdırabilir. Bu kurallara Windows RMS koşullarında lisans adı verilir ve dosyayla birlikte saklanır. Yetkisiz kullanıcıların dosyayı görüntülemesini önlemek için dosyanın içeriği şifrelenir.

Artık herhangi bir kullanıcı böyle bir korumalı dosyayı açmaya çalışırsa uygulama özel bir RMS sunucusuyla iletişim kurar, kullanıcının izinlerini onaylar ve bu kullanıcıya erişime izin verilirse sunucu bu dosyanın ve bilgilerin şifresini çözmek için anahtarı uygulamaya iletir. Bu kullanıcının hakları hakkında. Uygulama, bu bilgilere dayanarak kullanıcıya yalnızca haklarına sahip olduğu işlevleri sunar. Örneğin, kullanıcının bir dosyayı yazdırmasına izin verilmiyorsa uygulamanın yazdırma özelliği kullanılamayacaktır.

Böyle bir dosyadaki bilgilerin, dosya kurumsal ağın dışına çıksa bile güvenli olduğu ortaya çıktı - şifrelenmiş. RMS işlevselliği zaten uygulamalara yerleşiktir Microsoft Office 2003 Profesyonel Sürüm. RMS işlevselliğini diğer geliştiricilerin uygulamalarına eklemek için Microsoft özel bir SDK sunmaktadır.

Adobe'nin belge kontrol sistemi de benzer şekilde oluşturulmuştur ancak PDF formatındaki belgelere odaklanmıştır. Oracle IRM, istemci bilgisayarlara aracı olarak yüklenir ve çalışma zamanında uygulamalarla bütünleşir.

Belge kontrolü, içeriden gelen tehditlere karşı genel koruma konseptinin önemli bir parçasıdır, ancak bu teknolojinin doğasında olan sınırlamalar dikkate alınmalıdır. İlk olarak, yalnızca belge dosyalarını izlemek için tasarlanmıştır. Yapılandırılmamış dosyalardan veya veritabanlarından bahsediyorsak bu teknoloji işe yaramıyor. İkinci olarak, saldırganın bu sistemin SDK'sını kullanarak RMS sunucusuyla iletişim kuracak basit bir uygulama oluşturması, oradan şifreleme anahtarını alıp belgeyi açık metin olarak kaydetmesi ve bu uygulamayı, RMS sunucusuna sahip bir kullanıcı adına başlatması durumunda. belgeye minimum erişim düzeyi, ardından bu sistem bypass edilecektir. Ek olarak, kuruluş zaten çok sayıda belge oluşturmuşsa, belge kontrol sistemini uygularken karşılaşılan zorluklar dikkate alınmalıdır - başlangıçta belgeleri sınıflandırma ve bunları kullanma haklarını atama görevi önemli çaba gerektirebilir.

Bu, belge kontrol sistemlerinin görevini yerine getirmediği anlamına gelmez, sadece bilgi güvenliğinin karmaşık bir sorun olduğunu ve kural olarak tek bir araç yardımıyla çözmenin mümkün olmadığını unutmamamız gerekiyor.

Sızıntı koruması

Veri kaybı önleme (DLP) terimi, bilgi güvenliği uzmanlarının sözlüğünde nispeten yakın zamanda ortaya çıktı ve abartısız son yılların en sıcak konusu haline geldi. Kural olarak DLP kısaltması, olası sızıntı kanallarını izleyen ve bu kanallar üzerinden herhangi bir gizli bilgi gönderilmeye çalışıldığında bunları engelleyen sistemleri ifade eder. Ayrıca fonksiyonda benzer sistemler genellikle sonraki denetimler, olay incelemeleri ve potansiyel risklerin geriye dönük analizi için içlerinden geçen bilgileri arşivleme yeteneğini içerir.

İki tür DLP sistemi vardır: ağ DLP'si ve ana bilgisayar DLP'si.

Ağ Veri Kaybını Önleme içinden geçen tüm verileri filtreleyen bir ağ geçidi prensibi üzerinde çalışır. Açıkçası, iç tehditlerle mücadele görevine dayalı olarak, bu tür filtrelemenin asıl amacı, kurumsal ağ dışından İnternet'e iletilen verileri kontrol etme yeteneğinde yatmaktadır. Ağ DLP'leri giden postayı, http ve ftp trafiğini, anlık mesajlaşma servislerini vb. izlemenize olanak tanır. Hassas bilgiler tespit edilirse ağ DLP'leri iletilen dosyayı engelleyebilir. Şüpheli dosyaların manuel olarak işlenmesine yönelik seçenekler de vardır. Şüpheli dosyalar, bir güvenlik görevlisi tarafından periyodik olarak incelenen ve dosya aktarımına izin veren veya reddeden karantinaya alınır. Ancak protokolün doğası gereği bu tür işlemler yalnızca e-posta için mümkündür. Ağ geçidinden geçen tüm bilgilerin arşivlenmesi, bu arşivin periyodik olarak gözden geçirilmesi ve meydana gelen sızıntıların tespit edilmesi amacıyla içeriğinin analiz edilmesi koşuluyla, denetim ve olay incelemesi için ek fırsatlar sağlanır.

DLP sistemlerinin uygulanması ve uygulanmasındaki temel sorunlardan biri, gizli bilginin tespit yöntemi yani iletilen bilginin gizli olup olmadığına karar verme anı ve bu karar alınırken dikkate alınan gerekçelerdir. . Kural olarak bu, içeriğin analiz edilmesiyle yapılır. aktarılan belgeler içerik analizi olarak da adlandırılır. Gizli bilgilerin tespit edilmesine yönelik ana yaklaşımları ele alalım.

  • Etiketler. Bu yöntem yukarıda tartışılan belge kontrol sistemlerine benzer. Bilgilerin gizlilik derecesini, bu belgeyle neler yapılabileceğini ve kime gönderilmesi gerektiğini açıklayan etiketler belgelere yerleştirilmiştir. Etiket analizi sonuçlarına göre DLP sistemi bunun mümkün olup olmadığına karar verir. bu belge Dışarıya gönder ya da gönderme. Bazı DLP sistemleri, bu sistemlerin yüklediği etiketleri kullanmak için başlangıçta hak yönetimi sistemleriyle uyumlu hale getirilir; diğer sistemler ise kendi etiket formatını kullanır.
  • İmzalar. Bu yöntem, aktarılan dosyanın metninde varlığı DLP sistemine bu dosyanın gizli bilgiler içerdiğini bildiren bir veya daha fazla karakter dizisinin belirlenmesinden oluşur. Sözlüklerde çok sayıda imza düzenlenebilir.
  • Bayes yöntemi. Spam ile mücadelede kullanılan bu yöntem DLP sistemlerinde de başarıyla kullanılabilir. Bu yöntemi uygulamak için, bir kategori listesi oluşturulur ve bir kelime listesi, kelimenin bir dosyada bulunması durumunda, belirli bir olasılığa sahip dosyanın belirtilen kategoriye ait olup olmadığı olasılıklarıyla belirtilir.
  • Morfolojik analiz.Morfolojik analiz yöntemi imza yöntemine benzer, farkı imzayla %100 eşleşmenin analiz edilmemesi, ancak benzer kök kelimelerin de dikkate alınmasıdır.
  • Dijital baskılar.Bu yöntemin özü, tüm gizli belgeler için bir karma fonksiyonunun, belge biraz değiştirilirse karma fonksiyonunun aynı kalacağı veya biraz değişeceği şekilde hesaplanmasıdır. Böylece gizli belgelerin tespit edilmesi süreci büyük ölçüde basitleştirilmiştir. Bu teknolojinin birçok satıcı ve bazı analistlerden gelen coşkulu övgülerine rağmen, güvenilirliği arzulanan çok şey bırakıyor ve satıcıların çeşitli bahaneler altında dijital parmak izi algoritmasının uygulanmasına ilişkin ayrıntıları gölgede bırakmayı tercih ettiği gerçeği göz önüne alındığında, güven içinde artmaz.
  • Düzenli ifadeler.Programlamayla uğraşan herkesin bildiği, düzenli ifadeler telefon numaraları, pasaport bilgileri, banka hesap numaraları, sosyal güvenlik numaraları vb. gibi şablon verilerini metinde bulmayı kolaylaştırın.

Yukarıdaki listeden, hem birinci hem de ikinci türdeki hataların düzeyi oldukça yüksek olduğundan, tespit yöntemlerinin ya gizli bilgilerin% 100 tanımlanmasını garanti etmediğini ya da güvenlik hizmetinin sürekli dikkatli olmasını gerektirdiğini görmek kolaydır. Gizli belgelere ilişkin imzaların veya atama etiketlerinin güncel bir listesini güncelleyin ve sürdürün.

Ayrıca trafik şifrelemesi, ağ DLP'nin çalışmasında belirli bir sorun yaratabilir. Güvenlik gereksinimleri e-posta mesajlarını şifrelemenizi veya herhangi bir web kaynağına bağlanırken SSL kullanmanızı gerektiriyorsa, aktarılan dosyalarda gizli bilgilerin varlığının belirlenmesi sorununun çözülmesi çok zor olabilir. Skype gibi bazı anlık mesajlaşma servislerinin varsayılan olarak yerleşik şifrelemeye sahip olduğunu unutmayın. Bu tür hizmetleri kullanmayı reddetmeniz veya bunları kontrol etmek için ana bilgisayar DLP'sini kullanmanız gerekecektir.

Ancak tüm zorluklara rağmen doğru ayar Ciddiye alındığında ağ DLP, gizli bilgi sızıntısı riskini önemli ölçüde azaltabilir ve bir kuruluşa uygun bir iç kontrol aracı sağlayabilir.

Ana Bilgisayar DLP'si ağdaki her ana bilgisayara (istemci iş istasyonlarına ve gerekirse sunuculara) yüklenir ve ayrıca İnternet trafiğini kontrol etmek için de kullanılabilir. Ancak ana bilgisayar tabanlı DLP'ler bu kapasitede daha az yaygındır ve şu anda esas olarak kontrol amacıyla kullanılmaktadır. harici cihazlar ve yazıcılar. Bildiğiniz gibi, işe flash sürücü veya MP3 çalar getiren bir çalışan, kurumun bilgi güvenliği açısından tüm bilgisayar korsanlarının toplamından çok daha büyük bir tehdit oluşturur. Bu sistemlere ağ uç noktası güvenlik araçları da denir ( uç nokta güvenliği), ancak bu terim genellikle daha geniş anlamda kullanılsa da, örneğin antivirüs ürünleri bazen bu şekilde adlandırılır.

Bildiğiniz gibi harici cihaz kullanma sorunu, portların fiziksel olarak veya işletim sistemi kullanılarak devre dışı bırakılmasıyla veya idari olarak çalışanların ofise herhangi bir depolama ortamı getirmesinin yasaklanmasıyla herhangi bir araç kullanılmadan çözülebilir. Ancak çoğu durumda iş süreçlerinin gerektirdiği bilgi hizmetleri esnekliği sağlanamadığı için “ucuz ve neşeli” yaklaşım kabul edilemez.

Bu nedenle belli bir talep oluştu. özel araçlarŞirket çalışanlarının harici aygıtları ve yazıcıları kullanma sorununu daha esnek bir şekilde çözebileceğiniz yardımıyla. Bu tür araçlar, kullanıcıların erişim haklarını yapılandırmanıza olanak tanır. çeşitli türler Cihazlar, örneğin bir grup kullanıcı için medyayla çalışmayı yasaklamak ve yazıcılarla çalışmalarına izin vermek ve bir diğeri için medyayla salt okunur modda çalışmaya izin vermek. Bireysel kullanıcılar için harici cihazlara bilgi kaydedilmesi gerekiyorsa, harici cihaza kaydedilen tüm bilgilerin sunucuya kopyalanmasını sağlayan gölge kopya teknolojisi kullanılabilir. Kopyalanan bilgiler daha sonra kullanıcı eylemlerini analiz etmek için analiz edilebilir. Bu teknoloji her şeyi kopyalar ve şu anda ağ DLP'lerinin yaptığı gibi işlemi engellemek ve sızıntıyı önlemek için depolanan dosyaların içerik analizine izin veren bir sistem yoktur. Bununla birlikte, gölge kopyalardan oluşan bir arşiv, olay incelemeleri ve ağdaki olayların geriye dönük analizini sağlayacaktır ve böyle bir arşivin varlığı, içerideki potansiyel bir kişinin eylemleri nedeniyle yakalanıp cezalandırılabileceği anlamına gelir. Bu onun için önemli bir engel ve düşmanca eylemlerden vazgeçmesi için önemli bir neden olabilir.

Yazıcıların kullanımı üzerindeki kontrolden de bahsetmeye değer; belgelerin basılı kopyaları da bir sızıntı kaynağı olabilir. Barındırılan DLP, diğer harici cihazlarla aynı şekilde yazıcılara kullanıcı erişimini kontrol etmenize ve basılı belgelerin kopyalarını grafik formatı sonraki analiz için. Ek olarak, bir belgenin her sayfasına benzersiz bir kod basan ve bu belgenin tam olarak kimin, ne zaman ve nerede yazdırıldığını belirlemek için kullanılabilen filigran teknolojisi bir miktar yaygınlaştı.

Ana bilgisayar tabanlı DLP'nin şüphesiz avantajlarına rağmen, izlenmesi gereken her bilgisayara aracı yazılımı yükleme ihtiyacıyla ilgili bir takım dezavantajlara sahiptirler. Öncelikle bu durum, bu tür sistemlerin konuşlandırılması ve yönetilmesi açısından bazı zorluklara neden olabilir. İkinci olarak, yönetici haklarına sahip bir kullanıcı, güvenlik politikasının izin vermediği herhangi bir eylemi gerçekleştirmek için bu yazılımı devre dışı bırakmayı deneyebilir.

Ancak harici cihazların güvenilir kontrolü için host tabanlı DLP vazgeçilmezdir ve bahsedilen sorunlar çözülemez değildir. Böylece, DLP kavramının, iç kontrol ve sızıntılara karşı koruma sağlama konusunda giderek artan baskı karşısında kurumsal güvenlik hizmetlerinin cephaneliğinde artık tam teşekküllü bir araç olduğu sonucuna varabiliriz.

IPC konsepti

İç tehditlerle mücadele için yeni araçlar icat etme sürecinde, modern toplumun bilimsel ve mühendislik düşüncesi durmuyor ve yukarıda tartışılan araçların bazı eksiklikleri göz önüne alındığında, bilgi sızıntısını önleme sistemleri pazarı ortaya çıktı. IPC (Bilgi Koruma ve Kontrol) kavramı. Bu terim nispeten yakın zamanda ortaya çıktı; ilk olarak 2007 yılında analitik şirket IDC tarafından yapılan bir incelemede kullanıldığına inanılıyor.

Bu konseptin özü DLP ve şifreleme yöntemlerini birleştirmektir. Bu konseptte DLP kullanılarak kurumsal ağdan çıkan bilgiler, teknik kanallar ve şifreleme, fiziksel olarak düşen veya yetkisiz kişilerin eline geçebilecek depolama ortamlarını korumak için kullanılır.

IPC konseptinde kullanılabilecek en yaygın şifreleme teknolojilerine bakalım.

  • Manyetik bantların şifrelenmesi.Bu tür medyanın arkaik yapısına rağmen, aktif olarak kullanılmaya devam edilmektedir. Kopyayı rezerve et ve depolanan bir megabaytın birim maliyeti açısından hala eşit olmadığı için büyük miktarda bilginin aktarılması için. Buna göre kaset sızıntıları, onları ön sayfalara çıkaran haber editörlerini sevindirmeye, bu tür haberlerin kahramanı haline gelen şirketlerin CIO'larını ve güvenlik ekiplerini hayal kırıklığına uğratmaya devam ediyor. Bu tür bantların çok büyük miktarda veri içermesi nedeniyle durum daha da kötüleşiyor ve bu nedenle çok sayıda insan dolandırıcıların kurbanı olabiliyor.
  • Sunucu depolarının şifrelenmesi.Sunucu depolamasının çok nadiren taşınmasına ve kaybolma riskinin manyetik banttan ölçülemeyecek kadar düşük olmasına rağmen, ayrı bir Sabit disk depodan suçluların eline geçebilir. Onarım, imha, yükseltme - bu olaylar, bu riski ortadan kaldırmak için yeterli düzenlilikte gerçekleşir. Yetkisiz kişilerin ofise girmesi durumu ise tamamen imkansız bir olay değildir.

Burada küçük bir inceleme yapmaya ve bir disk bir RAID dizisinin parçasıysa, o zaman yanlış ellere düşmesi konusunda endişelenmenize gerek olmadığı şeklindeki yaygın yanlış kanıdan bahsetmeye değer. Kaydedilen verilerin birkaç parçaya dönüştürülmesi gibi görünüyor sabit sürücüler RAID denetleyicilerinin gerçekleştirdiği, herhangi bir sabit türde bulunan verilere okunamayan bir görünüm sağlar. Ne yazık ki bu tamamen doğru değil. Serpiştirme meydana gelir, ancak çoğu modern cihazda 512 bayt blok düzeyinde yapılır. Bu, dosya yapısı ve formatlarının ihlaline rağmen, böyle bir sabit diskten gizli bilgilerin yine de çıkarılabileceği anlamına gelir. Bu nedenle, bir RAID dizisinde saklanan bilgilerin gizliliğinin sağlanmasına yönelik bir gereksinim varsa, şifreleme tek güvenilir seçenek olmaya devam eder.

  • Dizüstü bilgisayarların şifrelenmesi.Bu zaten sayısız kez söylendi, ancak yine de gizli bilgilerin bulunduğu dizüstü bilgisayarların kaybı, yıllardır en çok etkilenen olaylar arasında ilk beşte yer almıyor.
  • Çıkarılabilir medyanın şifrelenmesi.Bu durumda taşınabilir USB cihazlardan ve bazen işletmenin iş süreçlerinde kullanılıyorsa kaydedilebilir CD ve DVD'lerden bahsediyoruz. Bu tür sistemler ve yukarıda bahsedilen dizüstü bilgisayar sabit disk şifreleme sistemleri genellikle ana DLP sistemlerinin bileşenleri olarak işlev görebilir. Bu durumda, içerideki medyanın otomatik olarak şeffaf bir şekilde şifrelenmesini ve dışarıdaki verilerin şifresinin çözülememesini sağlayan bir tür kriptografik çevreden bahsediyorlar.

Böylece şifreleme, DLP sistemlerinin yeteneklerini önemli ölçüde artırabilir ve gizli verilerin sızma riskini azaltabilir. IPC kavramının nispeten yakın zamanda şekillenmesine ve piyasadaki karmaşık IPC çözümlerinin seçiminin çok geniş olmamasına rağmen, endüstri bu alanı aktif olarak araştırıyor ve bir süre sonra bu kavramın yeni bir teknoloji haline gelmesi oldukça muhtemel. İç güvenlik ve iç güvenlik sorunlarının çözümü için fiili standart.

sonuçlar

Bu incelemeden de görülebileceği gibi, iç tehditler bilgi güvenliğinde oldukça yeni bir alandır, ancak aktif olarak gelişmektedir ve daha fazla dikkat gerektirir. Dikkate alınan belge kontrol teknolojileri, DLP ve IPC, oldukça güvenilir bir iç kontrol sistemi oluşturmayı ve sızıntı riskini kabul edilebilir bir düzeye indirmeyi mümkün kılar. Şüphesiz bilgi güvenliğinin bu alanı gelişmeye devam edecek, daha yeni ve daha gelişmiş teknolojiler sunulacak, ancak bugün birçok kuruluş bilgi güvenliği konularında dikkatsizliğin çok pahalı olabileceği için şu veya bu çözümü tercih ediyor.

Alexey Raevsky
SecurIT'in CEO'su



Kategoride popüler:
Bilgisayarda karaoke klibi nasıl oluşturulur?
Bilgisayarda karaoke klibi nasıl oluşturulur?
Okumak
Oyun için Origin uygulaması gereklidir ancak yüklü değildir. FIFA 16, Origin gerektirir.
Oynamak için Origin uygulaması gerekiyor ancak FIFA yüklü değil...
Okumak
Facebook sosyal ağında kişisel bir sayfanın kaydedilmesi
Facebook sosyal ağında kişisel bir sayfanın kaydedilmesi
Okumak
Basit Nmap Nmap Taraması Nasıl Çalıştırılır
Basit Nmap Nmap Taraması Nasıl Çalıştırılır
Okumak

En son makaleler
Bir görüntüyü birkaç derece döndürmek nasıl...
Okumak
Yandex tarayıcısında reklamların devre dışı bırakılması Nerede...
Okumak
Wi-Fi bağlantı sorunlarını giderme...
Okumak
Windows 10 profilinde şifreyi değiştirin
Okumak
Kablosuz yönlendiricileri kurma talimatları...
Okumak
Bir sabit disk nasıl seçilir ve hangisini satın almak daha iyidir?
Okumak
Aptallar için Meizu. Aramalar ve adres defteri....
Okumak
PDFMaster programını indirin
Okumak
Tepe