Головна › Проблеми › Програмні засоби захисту від інсайдерів PDF. Захист від інсайдерів за допомогою системи Zlock. Системи на основі статичного блокування пристроїв

Програмні засоби захисту від інсайдерів PDF. Захист від інсайдерів за допомогою системи Zlock. Системи на основі статичного блокування пристроїв

"Консультант", 2011, N 9

"Хто володіє інформацією, той володіє світом" - цей знаменитий афоризм Уїнстона Черчілля як ніколи актуальний саме в суспільстві. Знання, ідеї та технології виходять на перший план, і лідерство на ринку залежить від того, наскільки успішно компанія може керувати своїм інтелектуальним капіталом.

У цих умовах особливого значення набуває інформаційна безпека організації.

Будь-який витік інформації до конкурентів або оприлюднення відомостей про внутрішні процеси миттєво позначаються на тих позиціях, які компанія займає на ринку.

Система інформаційної безпекимає передбачати захист від різних загроз: технічних, організаційних і тих, причиною яких є людський фактор.

Як показує практика, основним каналом витоку інформації є інсайдери.

Ворог у тилу

Зазвичай інсайдером прийнято називати співробітника компанії, який завдає їй збитків шляхом розголошення конфіденційної інформації.

Однак якщо ми розглянемо три головні умови, забезпечення яких і є метою інформаційної безпеки, – конфіденційність, цілісність, доступність – це визначення можна розширити.

Інсайдером можна назвати співробітника, який має легітимний службовий доступ до конфіденційної інформації підприємства, який стає причиною розголошення, викривлення, псування чи недоступності інформації.

Таке узагальнення допустиме, тому що в сучасному світіПорушення цілісності та доступності інформації часто тягне за собою набагато важчі наслідки для бізнесу, ніж розголошення конфіденційних відомостей.

Для багатьох підприємств припинення бізнес-процесів навіть на нетривалий час загрожує відчутними фінансовими втратами, а порушення функціонування протягом кількох днів може завдати такого сильного удару, що наслідки його можуть стати фатальними.

Різні організації, що вивчають бізнес-ризики, регулярно публікують результати своїх досліджень. Відповідно до них інсайд уже протягом багатьох років стабільно посідає перше місце у списку причин порушення інформаційної безпеки.

У зв'язку зі стійким зростанням загальної кількості інцидентів можна дійти невтішного висновку, що актуальність проблеми постійно зростає.

Модель погроз

Для того, щоб побудувати надійну ешелоновану систему інформаційної безпеки, яка допоможе ефективно боротися з проблемою, необхідно насамперед створити модель загроз.

Потрібно зрозуміти, хто такі інсайдери і що ними рухає, чому вони чинять ті чи інші дії.

Існують різні підходи до створення таких моделей, проте для практичних цілей можна скористатися наступною класифікацією, яка включає всі основні типи інсайдерів.

Внутрішній "хакер"

Такий співробітник, як правило, володіє інженерною кваліфікацією вище середнього рівня, розуміє будову ресурсів підприємства, архітектуру обчислювальних комплексів та мереж.

Дії зі злому робить із цікавості, спортивного інтересу, досліджуючи межі своїх можливостей.

Зазвичай він усвідомлює можливу шкоду від своїх дій, тому рідко завдає відчутної шкоди.

Ступінь небезпеки середня, оскільки його дії можуть викликати тимчасову зупинку деяких процесів, що відбуваються в компанії. Виявлення діяльності можливе насамперед технічними засобами.

Безвідповідальний та низькокваліфікований співробітник

Може мати різні навички і працювати в будь-якому підрозділі підприємства.

Небезпечний тому, що немає звичаю замислюватися про наслідки своїх дій, може працювати з інформаційними ресурсами компанії "методом проб та помилок", ненавмисно знищувати та спотворювати інформацію.

Зазвичай не запам'ятовує послідовності своїх дій, а виявивши негативні наслідки, може просто про них промовчати.

Може розкрити відомості, що становлять комерційну таємницю, в особистій розмові з приятелем або навіть при спілкуванні на інтернет-форумах та в соціальних мережах.

Ступінь небезпеки дуже високий, особливо з огляду на те, що цей тип порушника зустрічається частіше за інших. Наслідки його діяльності можуть бути набагато серйознішими, ніж у свідомого зловмисника.

Для того щоб запобігти наслідкам вчинених ним дій, необхідно вжити цілий спектр різних заходів, як технічних (авторизація, обов'язковий поділ робочих сесій з акаунтів), так і організаційних (постійний контроль з боку керівництва за процесом та результатом роботи).

Психологічно нестійка людина

Так само як представник попереднього типу, може працювати на будь-якій посаді і мати дуже різну кваліфікацію. Небезпечний через схильність до слабомотивованих дій в умовах психологічного дискомфорту: при екстремальних ситуаціях, психологічному тиску з боку інших співробітників або просто сильному роздратуванні.

В афективному стані може видати конфіденційну інформацію, пошкодити дані, порушити звичний перебіг інших людей.

Ступінь небезпеки середня, проте цей тип порушника трапляється не так часто.

Для запобігання негативним наслідкам його вчинків найефективніше використовувати адміністративні заходи - виявляти таких людей ще на етапі співбесіди, розмежовувати доступ до інформації та підтримувати комфортний психологічний клімат у колективі.

Ображений, скривджений співробітник

Найширша група потенційних порушників режиму інформаційної безпеки.

Теоретично робити недружні по відношенню до компанії вчинки здатна абсолютна більшість співробітників.

Це може статися у тому випадку, якщо керівництво виявляє неповагу до особи працівника або його професійних якостей, і коли це позначається на рівні оплати праці.

Потенційно такий тип інсайдерів становить дуже високу небезпеку - можливі і витоку, і пошкодження інформації, причому шкода від них буде гарантовано відчутною для бізнесу, оскільки співробітник завдає свідомо і добре знає всі вразливі місця.

Для виявлення діяльності потрібні як адміністративні, і технічні заходи.

Нечистий на руку співробітник

Співробітник, який намагається поповнити свій особистий добробут за рахунок майна компанії, де він працює. Серед речей можуть бути різні носії конфіденційної інформації ( жорсткі диски, флеш-накопичувачі, корпоративні ноутбуки).

І тут є ризик потрапляння інформації до людей, котрим вона призначалася, з наступною публікацією чи передачею конкурентам.

Небезпека середня, але такий тип трапляється нерідко.

Для виявлення потрібні насамперед адміністративні заходи.

Представник конкурента

Має, як правило, високу кваліфікацію, займає посади, що забезпечують широкі можливості для отримання інформації, в тому числі конфіденційної. Це або завербований, перекуплений конкурентами діючий співробітник (частіше), або спеціально впроваджений у компанію інсайдер.

Ступінь небезпеки дуже високий, оскільки шкода завдається свідомо і з глибоким розумінням цінності інформації, а також уразливих місць компанії.

Для виявлення діяльності потрібні й адміністративні та технічні заходи.

Що викрадаємо?

Розуміння проблеми інсайду неможливе без розгляду характеру інформації, що викрадається.

Згідно зі статистикою персональні дані клієнтів, а також відомості про компанії-клієнтів і партнерів - найзатребуваніші, вони викрадають більш ніж у половині випадків. Далі йдуть деталі угод, умови контрактів та поставок. Також великий інтерес викликають фінансові звіти.

p align="justify"> При формуванні комплексу захисних заходів перед кожною компанією неминуче виникає питання: яка конкретно інформація вимагає спеціальних захисних заходів, а яка їх не потребує?

Зрозуміло, основою таких рішень є дані, отримані в результаті аналізу ризиків. Однак часто підприємство має обмежені фінансові ресурси, які можна витратити на систему інформаційної безпеки, і їх може не вистачити на те, щоб мінімізувати всі ризики.

Два підходи

На жаль, не існує готової відповіді на запитання: "Що захищати насамперед".

До вирішення цього завдання можна підійти із двох сторін.

Ризик – це комплексний показник, який враховує як ймовірність тієї чи іншої загрози, так і можливу шкоду від неї. Відповідно, при розміщенні пріоритетів безпеки можна орієнтуватися на один із цих показників. Це означає, що в першу чергу захищається та інформація, яку найлегше викрасти (наприклад, якщо до неї має доступ велика кількість співробітників), та та, викрадення чи блокування якої призведе до найважчих наслідків.

p align="justify"> Важливим аспектом проблеми інсайду є канал передачі інформації. Чим більше фізичних можливостей несанкціонованої передачі за межі компанії, тим вища ймовірність того, що це станеться.

Механізми передачі

Механізми передачі можна класифікувати так:

усна передача (особова розмова);
технічні канали передачі даних ( телефонний зв'язок, факсимільний зв'язок, електронна пошта, системи обміну повідомленнями, різні соціальні інтернет-сервіси тощо);
переносні носії та мобільні пристрої (мобільні телефони, зовнішні жорсткі диски, ноутбуки, флеш-накопичувачі і т.д.).

Згідно з дослідженнями, у наш час найчастішими каналами передачі конфіденційних даних є (за принципом зменшення): електронна пошта, мобільні пристрої (у тому числі ноутбуки), соціальні мережі та інші інтернет-сервіси (такі, як системи миттєвого обміну повідомленнями) та інше.

Для контролю технічних каналів можуть застосовуватись різноманітні засоби, у широкому асортименті представлені зараз на ринку засобів безпеки.

Наприклад, системи контентної фільтрації (системи динамічного блокування); засоби обмеження доступу до носіїв інформації (CD, DVD, Bluetooth).

Також застосовуються адміністративні заходи: фільтрація інтернет-трафіку, блокування фізичних портів робочих станцій, забезпечення адміністративного режиму та фізичної охорони.

При виборі технічних засобівзахисту конфіденційної інформації слід застосовувати системний підхід. Тільки таким чином можна досягти найбільшої ефективності від їхнього впровадження.

Потрібно також розуміти, що завдання, що стоять перед кожною компанією, унікальні, і використовувати рішення, які застосовують інші організації, часто просто неможливо.

Боротьба з інсайдом не повинна вестись сама по собі, вона є важливим компонентом спільного бізнес-процесу, спрямованого на забезпечення режиму інформаційної безпеки.

Він має здійснюватися професіоналами та передбачати повний цикл заходів: розробку політики інформаційної безпеки, визначення сфери дії, аналіз ризиків, вибір контрзаходів та їх впровадження, а також аудит системи інформаційної безпеки.

Якщо підприємство не забезпечує режим інформаційної безпеки у всьому комплексі, то ризики фінансових втрат від витоків та псування інформації різко зростають.

Мінімізація ризиків

Перевірка

Ретельна перевірка претендентів, які претендують на будь-які посади в компанії. Рекомендується зібрати максимум інформації про кандидата, включаючи вміст його сторінок у соціальних мережах. Також може допомогти звернення по характеристику на попереднє місце роботи.
Особливо ретельній перевірці повинні бути піддані кандидати на посади інженерів IT. Практика показує, що більше половини всіх інсайдерів - системні адміністраторита програмісти.
При прийомі працювати повинна проводитися хоча б мінімальна психологічна перевірка кандидатів. Вона допоможе виявити претендентів із нестійкою психікою.

Право доступу

Система поділу доступу до корпоративним ресурсам. На підприємстві має бути створена регламентуюча документація, що ранжує інформацію щодо рівня конфіденційності та чітко прописує права доступу до неї. Доступ до будь-яких ресурсів має бути персоніфікованим.
Права доступу до ресурсів мають виділятися за принципом "мінімальної достатності". Доступ до обслуговування технічних засобів, навіть із правами адміністратора, не завжди повинен супроводжуватися доступом до перегляду самої інформації.
Наскільки можливий глибокий моніторинг дій користувача, з обов'язковою авторизацією та записом відомостей про проведені операції в журналі. Чим ретельніше ведуться журнали (логи), тим більше керівництво володіє ситуацією в компанії. Те саме стосується і дій співробітника під час використання службового доступу до Інтернету.

Стандарт спілкування

Усередині організації має бути прийнятий свій стандарт спілкування, який виключав би всі форми некоректної поведінки співробітників стосовно один одного (агресія, насильство, зайва фамільярність). Насамперед це стосується відносин "керівник - підлеглий".

У співробітника ні за яких умов не повинно з'явитися відчуття, що з ним чинять несправедливо, його недостатньо цінують, надмірно експлуатують, обманюють.

Дотримання цього простого правила дозволить уникнути абсолютної більшості ситуацій, які провокують співробітників на інсайд.

Конфіденційність

Угода про нерозголошення конфіденційної інформації не повинна бути простою формальністю. Воно має бути підписане всіма співробітниками, які мають доступ до важливих інформаційним ресурсамкомпанії.

З іншого боку, ще етапі співбесіди потенційним працівникам необхідно роз'яснити, як у компанії ведеться контролю над інформаційної безпекою.

Контроль коштів

Є контроль технічних засобів, використовуваних співробітником для робочих цілей.

Наприклад, використання особистого ноутбука небажано, оскільки при звільненні співробітника, швидше за все, не вдасться дізнатися, яка інформація на ньому зберігається.

З тієї ж причини небажане використання ящиків електронної поштина зовнішніх ресурсах.

Внутрішній порядок

На підприємстві повинні дотримуватись правил внутрішнього розпорядку.

Необхідно мати у своєму розпорядженні інформацію про час перебування співробітників на робочому місці.

Також має бути забезпечений контроль переміщення матеріальних цінностей.

Дотримання всіх перерахованих правил дозволить знизити ризик псування або витоку інформації через інсайд, а значить, допоможе запобігти суттєвим фінансовим або репутаційним втратам.

Керуючий партнер

групи компаній Hosting Community

На сьогоднішній день існує два основних канали витоку конфіденційної інформації: пристрої, підключені до комп'ютера (різні знімні накопичувачі, включаючи «флешки», CD/DVD-диски та ін., принтери) та інтернет (електронна пошта, ICQ, соціальні мережі тощо). д.). А тому, коли компанія "дозріває" на впровадження системи захисту від них, бажано підходити до вирішення цієї комплексно. Проблема у тому, що з перекриття різних каналів використовуються різні підходи. В одному випадку найбільш ефективним способомзахисту буде контроль за використанням знімних накопичувачів, тоді як у другому - різні варіанти контентної фільтрації, що дозволяє заблокувати передачу конфіденційних даних у зовнішню мережу. Тому компаніям для захисту від інсайдерів доводиться використовувати два продукти, які в сумі утворюють комплексну систему безпеки. Звичайно, краще використовувати інструменти одного розробника. І тут полегшується процес їх впровадження, адміністрування, і навіть навчання співробітників. Як приклад можна навести продукти компанії SecurIT: Zlock та Zgate.

Zlock: захист від витоків через знімні накопичувачі

Програма Zlock з'явилася на ринку вже досить давно. І ми вже. У принципі, повторюватися немає сенсу. Однак з моменту публікації статті вийшла дві нові версії Zlock, в яких з'явилася низка важливих функцій. Ось про них варто розповісти, хай навіть дуже коротко.

Насамперед варто відзначити можливість призначення комп'ютера кількох політик, які самостійно застосовуються залежно від того, чи підключений комп'ютер до корпоративної мережібезпосередньо, через VPN або працює автономно. Це дозволяє, зокрема, автоматично блокувати USB-порти та CD/DVD-приводи у разі відключення ПК від локальної мережі. В цілому дана функціязбільшує безпеку інформації, розміщеної на ноутбуках, які співробітники можуть виносити з офісу на виїзди або для роботи вдома.

Друга нова можливість- надання працівникам компанії тимчасового доступу до заблокованих пристроїв або навіть груп пристроїв телефоном. Принцип її роботи полягає в обміні програмою, що генерується. секретними кодамиміж користувачем та відповідальним за інформаційну безпеку співробітником. Примітно, що дозвіл на використання може видаватися не лише постійним, а й тимчасовим (на певний час або до завершення сеансу роботи). Цей інструмент можна вважати деяким послабленням у системі захисту, проте він дозволяє підвищити оперативність реагування ІТ-відділу на запити бізнесу.

Наступним важливим нововведенням у нових версіях Zlock є контроль використання принтерів. Після його налаштування система захисту записуватиме у спеціальний журнал усі звернення користувачів до принтерів. Але це ще не все. У Zlock з'явилося тіньове копіювання всіх документів, що роздруковуються. Вони записуються в форматі PDFі є повною копією сторінок, що виводяться на друк, незалежно від того, який файл був відправлений на принтер. Це дозволяє запобігти витоку конфіденційної інформації на паперових аркушах, коли інсайдер роздруковує дані з метою їхнього винесення з офісу. Також у системі захисту з'явилося тіньове копіювання інформації, що записується на CD/DVD-диски.

Важливим нововведенням стала поява серверного компонента Zlock Enterprise Management Server. Він забезпечує централізоване зберігання та поширення політик безпеки та інших налаштувань програми та суттєво полегшує адміністрування Zlock у великих та розподілених інформаційних системах. Також не можна не згадати про появу власної системи аутентифікації, яка, при необхідності, дозволяє відмовитися від використання доменних і локальних користувачів Windows.

Крім цього, в останньої версії Zlock з'явилося кілька менш помітних, але теж досить важливих функцій: контроль цілісності клієнтського модуля з можливістю блокування входу користувача при виявленні втручань, розширені можливості впровадження системи захисту, підтримка СУБД Oracle і т.п.

Zgate: захист від витоків через інтернет

Отже, Zgate. Як ми вже говорили, цей продукт є системою захисту від витоку конфіденційної інформації через інтернет. Структурно Zgate складається із трьох частин. Основний серверний компонент, який і здійснює всі операції з обробки даних. Він може інсталюватися як на окремий комп'ютер, так і на ті, що вже працюють у корпоративній інформаційної системивузли - інтернет-шлюз, контролер домену, поштовий шлюз і т. п. Даний модуль у свою чергу складається з трьох компонентів: для контролю SMTP-трафіку, контролю внутрішньої пошти сервера Microsoft Exchange 2007/2010, а також Zgate Web (він відповідає за контроль HTTP-, FTP- та IM-трафіку).

Друга частина системи захисту – сервер журналування. Він використовується для збору інформації про події з одного або декількох серверів Zgate, її обробки та зберігання. Цей модуль особливо корисний у великих та територіально розподілених корпоративних системахоскільки забезпечує централізований доступ до всіх даних. Третя частина – консоль управління. В її якості використовується стандартна для продуктів SecurIT консоль, а тому докладно зупинятися на ній ми не будемо. Зазначимо лише, що з допомогою даного модуля можна керувати системою як локально, а й віддалено.

Консоль управління

Система Zgate може працювати у кількох режимах. Причому їх доступність залежить від методу застосування товару. Перші два режими передбачають роботу як поштовий проксі-сервер. Для їхньої реалізації система встановлюється між корпоративним поштовим сервером та «зовнішнім світом» (або між поштовим сервером та сервером відправки, якщо вони розділені). У цьому випадку Zgate може як фільтрувати трафік (затримувати порушуючі та сумнівні повідомлення), так і лише журналювати його (пропускати всі повідомлення, проте зберігати їх в архіві).

Другий спосіб впровадження передбачає використання системи захисту спільно з Microsoft Exchange 2007 або 2010. Для цього необхідно інсталювати Zgate безпосередньо на корпоративний поштовий сервер. При цьому також є два режими: фільтрація та журналування. Крім цього існує ще один варіант застосування. Йдеться про журналування повідомлень у режимі дзеркального трафіку. Природно, для його використання необхідно забезпечити надходження на комп'ютер, на якому встановлено Zgate, цього дзеркального трафіку (зазвичай це здійснюється засобами мережевого обладнання).

Вибір режиму роботи Zgate

На окрему розповідь заслуговує компонент Zgate Web. Він встановлюється безпосередньо на корпоративний інтернет-шлюз. При цьому дана підсистема отримує можливість контролювати HTTP-, FTP- та IM-трафік, тобто обробляти його з метою виявлення спроб відправки конфіденційної інформації через поштові веб-інтерфейси та «аську», публікації її на форумах, FTP-серверах, у соціальних мережах та ін. До речі, про «аську». Функція блокування IM-месенджерів є у багатьох подібних продуктах. Однак саме «аські» у них немає. Просто тому, що саме в російськомовних країнах вона набула найбільшого поширення.

Принцип роботи компонента Zgate Web є досить простим. При кожному надсиланні інформації в будь-якому з контрольованих сервісів система генеруватиме спеціальне повідомлення. У ньому міститься сама інформація та деякі службові дані. Воно відправляється на основний сервер Zgate та обробляється відповідно до заданих правил. Звісно, відправлення інформації у самому сервісі не блокується. Тобто Zgate Web працює лише у режимі журналування. З його допомогою не можна запобігти поодиноким витокам даних, але можна швидко їх виявити і припинити діяльність вільного або мимовільного зловмисника.

Налаштування компонента Zgate Web

Способи обробки інформації в Zgate та порядок фільтрації визначає політика, яка розробляється офіцером з безпеки або іншим відповідальним співробітником. Вона є рядом умов, кожному з яких відповідає певна дія. Усі вхідні повідомлення "проганяються" по них послідовно один за одним. І якщо якась із умов виконується, то запускається асоційована з ним дія.

Система фільтрації

Загалом у системі передбачено 8 типів умов, як кажуть, «на всі випадки життя». Перший - тип файлу вкладення. З його допомогою можна виявити спроби пересилання об'єктів того чи іншого формату. Варто зазначити, що аналіз ведеться не за розширенням, а за внутрішньою структурою файлу, причому можна задавати як конкретні типи об'єктів, так і їх групи (наприклад, усі архіви, відеозаписи та ін.). Другий тип умов – перевірка зовнішнім додатком. Як додаток може виступати як звичайна програма, що запускається з командного рядка, і скрипт.

Умови у системі фільтрації

А ось за наступної умови варто зупинитися докладніше. Йдеться про контентний аналіз інформації, що передається. Насамперед необхідно відзначити «всеїдність» Zgate. Справа в тому, що програма «розуміє» велику кількість різних форматів. А тому вона може аналізувати не лише простий текст, а й практично будь-які вкладення. Іншою особливістю контентного аналізу є великі можливості. Він може полягати як у простому пошуку входження у текст повідомлення чи будь-яке інше поле певного слова, і у повноцінному аналізі, зокрема і з урахуванням граматичних словоформ, стемминга і транслита. Але це ще не все. На окрему згадку заслуговує система аналізу за шаблонами і регулярними виразами. З її допомогою можна легко виявити в повідомленнях наявність даних певного формату, наприклад, серія та номери паспорта, номер телефону, номер договору, номер банківського рахунку тощо. Це, крім іншого, дозволяє посилити захист персональних даних, що знаходяться в обробці компанії.

Шаблони виявлення різної конфіденційної інформації

Четвертий тип умов - аналіз адрес, зазначених у листі. Тобто пошук серед них певних рядків. П'ятий – аналіз зашифрованих файлів. При його виконанні перевіряються атрибути повідомлення та/або вкладених об'єктів. Шостий тип умов полягає у перевірці різних параметрів листів. Сьомий – аналіз за словником. У ході його система виявляє наявність у повідомленні слів із заздалегідь створених словників. Ну і, нарешті, останній, восьмий тип умови – складовий. Він є двома чи більше інших умов, об'єднаних логічними операторами.

До речі, про словники, згадані нами в описі умов, слід сказати окремо. Вони є групою слів, об'єднаних за однією ознакою, і використовуються в різних методах фільтрації. Логічне всього створювати словники, які з великою ймовірністю дозволяють віднести повідомлення до тієї чи іншої категорії. Їх вміст можна вводити вручну або імпортувати дані з існуючих текстових файлів. Існує ще один варіант генерації словників - автоматичний. При використанні адміністратору досить просто вказати папку, в якій містяться відповідні документи. Програма сама проаналізує їх, вибере потрібні слова та розставить їх вагові характеристики. Для якісного складання словників необхідно вказувати як конфіденційні файли, а й об'єкти, які містять закриту інформацію. Загалом процес автоматичної генерації найбільше схожий на навчання антиспаму на рекламних і звичайних листах. І це не дивно, бо там і там використовуються схожі технології.

Приклад словника на фінансову тему

Говорячи про словники, не можна також не згадати про ще одну технологію виявлення конфіденційних даних, реалізовану в Zgate. Йдеться про цифрові відбитки. Суть даного методуполягає в наступному. Адміністратор може вказати системі папки, які містять конфіденційні дані. Програма проаналізує всі документи і створить «цифрові відбитки» - набори даних, які дозволяють визначити спробу передачі як всього вмісту файлу, а й окремих його частин. Зверніть увагу, що система автоматично відстежує стан зазначених їй папок і самостійно створює «відбитки» для всіх об'єктів, що з'явилися в них.

Створення категорії з цифровими відбитками файлів

Ну а тепер залишилося тільки розібратися з діями, реалізованими в системі захисту. Загалом їх реалізовано у Zgate аж 14 штук. Втім, більшість визначає ті дії, які здійснюються з повідомленням. До них відноситься, зокрема, видалення без відправки (тобто фактично блокування передачі листа), приміщення в архів, додавання або видалення вкладень, зміни різних полів, вставка тексту та ін. Серед них особливо варто відзначити приміщення листа в карантин. Ця діядозволяє «відкласти» повідомлення для ручної перевірки офіцером безпеки, який і прийматиме рішення щодо його подальшої долі. Також дуже цікава дія, що дозволяє заблокувати IM-з'єднання. Його можна використовувати для моментального блокування каналу, яким було передано повідомлення з конфіденційною інформацією.

Дещо окремо стоять дві дії - обробка методом Байєса та обробка методом відбитків. Обидва вони призначені для перевірки повідомлень щодо знаходження в них конфіденційної інформації. Тільки першому використовуються словники і статистичний аналіз, тоді як у другому - цифрові відбитки. Ці дії можуть виконуватися при виконанні певної умови, наприклад, якщо адреса одержувача не в корпоративному домені. Крім того, їх (втім, як і будь-які інші) можна виставити для застосування до всіх вихідних повідомлень. У цьому випадку система аналізуватиме листи та відноситиме їх до тих чи інших категорій (якщо, звичайно, це можливо). А ось за цими категоріями вже можна виконувати умови з виконанням певних дій.

Дії у системі Zgate

Ну і на завершення нашої сьогоднішньої розмови про Zgate можна підвести невеликий підсумок. Ця система захисту заснована насамперед на контентному аналізі повідомлень. Такий підхід є найпоширенішим для захисту від витоку конфіденційної інформації через Інтернет. Звичайно, контентний аналіз не дає стовідсоткового ступеня захисту і носить швидше імовірнісний характер. Тим не менш, його використання дозволяє запобігти більшій частині випадків несанкціонованої передачі секретних даних. Застосовувати її компаніям чи ні? Це кожен повинен вирішити сам для себе, оцінивши витрати на впровадження та можливі проблемиу разі витоку інформації. Zgate чудово справляється з «виловом» регулярних виразів, що робить його досить ефективним засобомзахисту персональних даних, що у обробці в компанії.

Останні дослідження в галузі інформаційної безпеки, наприклад щорічне CSI/FBI ComputerCrimeAndSecuritySurvey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисне крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками, а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно - банк не Поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватися для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токена, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, а й збільшує ризик виникнення помилок.

Захист інформації від інсайдерів за допомогою програмних засобів

Alexander Antipov

Сподіваюся, що сама стаття та особливо її обговорення допоможуть виявити різні нюанси застосування програмних засобів та стануть відправною точкою у розробці рішення описаного завдання для фахівців з ІБ.

nahna

Маркетингове підрозділ компанії Инфовотч, вже протягом тривалого часу переконує всіх зацікавлених осіб - ІТ-фахівців, і навіть найбільш просунутих у сфері ІТ керівників, що більшість збитків порушення ІБ компанії посідає інсайдерів - співробітників розголошують комерційну таємницю. Мета зрозуміла - треба створювати попит на продукт, що випускається. Та й докази виглядають цілком солідно та переконливо.

Постановка задачі

Побудувати систему захисту інформації від крадіжки персоналом у ЛОМ на базі Active Directory Windows 2000/2003. Робочі станції користувачів під керуванням Windows XP. Управління підприємством та бухгалтерський облік на базі продуктів 1С.
Секретна інформація зберігається трьома способами:

БД 1С - доступ через мережу через RDP ( термінальний доступ);
розшаровані папки на файлових серверах – доступ по мережі;
локально на ПК співробітника;

Канали витоку - інтернет та змінні носії (флешки, телефони, плеєри тощо). Забороняти використання інтернету та змінних носіїв не можна, оскільки вони необхідні для виконання службових обов'язків.

Що є на ринку

Розглянуті системи я розділив на три класи:

Системи на основі контекстних аналізаторів – Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет тощо.
Системи на основі статичного блокування пристроїв – DeviceLock, ZLock, InfoWatch Net Monitor.
Системи на основі динамічного блокування пристроїв - SecrecyKeeper, Страж, Акорд, SecretNet.

Системи на основі контекстних аналізаторів

Принцип роботи:
У інформації, що передається, шукаються ключові слова, за результатами пошуку приймається рішення про необхідність блокування передачі.

Максимальними можливостями серед перерахованих продуктів, на мій погляд, має InfoWatch Traffic Monitor (www.infowatch.ru). За основу взятий непогано себе зарекомендував двигун Касперський Антиспам, що найбільш повно враховує особливості російської мови. На відміну від інших продуктів, InfoWatch Traffic Monitor, при аналізі враховує не тільки наявність певних рядків у даних, що перевіряються, а й заздалегідь задану вагу кожного рядка. Отже після ухвалення остаточного рішення, враховується як входження певних слів, а й те, у яких поєднаннях вони зустрічаються, що дозволяє підвищити гнучкість аналізатора. Інші можливості стандартні для таких продуктів - аналіз архівів, документів MS Office, можливість блокування передачі файлів невідомого формату чи запароленних архівів.

Недоліки розглянутої системи на основі контекстного аналізу:

Контролюються лише два протоколи - HTTP і SMTP (для InfoWatch Traffic Monitor, причому для HTTP трафіку перевіряються лише дані, що передаються за допомогою POST-запитів, що дозволяє організувати канал витоку за допомогою передачі даних методом GET);
Не контролюються пристрої перенесення даних – дискети, CD, DVD, USB-диски тощо. (Інфовотч на цей випадок є продукт InfoWatch Net Monitor).
для обходу систем побудованих на основі контентного аналізу, достатньо застосувати найпростіше кодування тексту (наприклад: секрет -> с1е1к1р1е1т), або стеганографію;
наступне завдання не вирішується методом контентного аналізу - відповідного формального опису на думку не спадає, тому просто наведу приклад: є два екселевські файли - у першому роздрібні ціни (публічна інформація), у другому - оптові для певного клієнта (закрита інформація), вміст файлів відрізняється лише цифрами. За допомогою контентного аналізу ці файли не можна розрізнити.

Висновок:
контекстний аналіз годиться тільки для створення архівів трафіку та протидії випадкового витоку інформації та поставлене завдання не вирішує.

Системи на основі статичного блокування пристроїв

Принцип роботи:
користувачам надаються права доступу до контрольованих пристроїв, за аналогією до прав доступу до файлів. У принципі практично такого ж ефекту можна досягти, використовуючи штатні механізми Windows.

Zlock (www.securit.ru) – продукт з'явився порівняно недавно, тому має мінімальний функціонал (рюшечки я не вважаю), та й налагодженістю він не відрізняється, наприклад, консоль управління іноді падає при спробі зберегти налаштування.

DeviceLock (www.smartline.ru) - продукт цікавіший, на ринку досить давно, тому працює значно стабільніше і функціонал має різноманітніший. Наприклад, дозволяє виконувати тіньове копіювання інформації, що передається, що може допомогти в розслідуванні інциндента, але не в його запобіганні. З іншого боку, таке розслідування швидше за все буде проводитися тоді, коли про витік стане відомо, тобто. через значний проміжок часу після того, як вона станеться.

InfoWatch Net Monitor (www.infowatch.ru) складається з модулів - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor та PrintMonitor. DeviceMonitor є аналогом Zlock, стандартний функціонал, без родзинок. FileMonitor – контроль звернення до файлів. OfficeMonitor та AdobeMonitor дозволяють контролювати роботу з файлами у відповідних програмах. Придумати корисне, а не іграшкове застосування для FileMonitor, OfficeMonitor і AdobeMonitor в даний час досить важко, але в майбутніх версіях має з'явитися можливість контекстного аналізу за даними, що обробляється. Можливо тоді ці модулі розкриють свій потенціал. Хоча варто зауважити, що завдання контекстного аналізу файлових операцій не є тривіальною, особливо якщо база контентної фільтрації буде такою, що і в Traffic Monitor, тобто. мережевий.

Окремо необхідно сказати захист агента від користувача з правами локального адміністратора.
У ZLock та InfoWatch Net Monitor такий захист просто відсутній. Тобто. користувач може зупинити агента, скопіювати дані та знову запустити агента.

У DeviceLock такий захист є, що є безперечним плюсом. Вона заснована на перехопленні системних викликів роботи з реєстром, файловою системоюта управління процесами. Ще одним плюсом є те, що захист працює і в safe-mode. Але є і мінус – для відключення захисту достатньо відновити Service Descriptor Table, що можна зробити завантаживши простий драйвер.

Недоліки розглянутих систем на основі статичного блокування пристроїв:

Не контролюється передача інформації до мережі.
-Не вміє відрізняти секретну інформацію від нетаємної. Працює за принципом або все можна або нічого не можна.
Відсутня або легко обходиться захист від розвантаження агента.

Висновок:
впроваджувати такі системи недоцільно, т.к. поставлене завдання вони не вирішують.

Системи на основі динамічного блокування пристроїв

Принцип роботи:
доступ до каналів передачі блокується залежно від рівня допуску користувача та ступеня секретності інформації з якою ведеться робота. Для реалізації цього принципу зазначені продукти використовують механізм повноважного розмежування доступу. Цей механізм зустрічається не дуже часто, тому зупинюся на ньому докладніше.

Повноважний (примусовий) контроль доступу на відміну від дескриційного (реалізованого в системі безпеки Windows NT і вище), полягає в тому, що господар ресурсу (наприклад файлу), не може послабити вимоги на доступ до цього ресурсу, а може лише посилювати їх у межах свого рівня. Послаблювати вимоги може лише користувач, наділений особливими повноваженнями - офіцер або адміністратор інформаційної безпеки.

Основною метою розробки продуктів типу Страж, Акорд, SecretNet, DallasLock та ще деяких, була можливість сертифікації інформаційних систем у яких ці продукти будуть встановлені, на відповідність вимогам Держтехкоммісії (зараз ФСТЕК). Така сертифікація є обов'язковою для інформаційних систем у яких обробляється держ. таємниця, що в основному і забезпечувало попит на товари з боку державних підприємств.

Тому набір функцій реалізованих у цих продуктах визначався вимогами відповідних документів. Що своєю чергою спричинило те що, що більшість реалізованого у продуктах функціоналу, чи дублює штатний функціонал Windows(очищення об'єктів після видалення, чищення ОЗП), або його неявно використовує (дескрицирний контроль доступу). Розробники DallasLock пішли ще далі, реалізувавши мандатний контроль доступу своєї системи, через механізм дескриційного контролю Windows.

Практичне застосування подібних продуктів вкрай не зручне, наприклад, DallasLock для установки вимагає перерозбивки. жорсткого диска, яку до того ж треба виконувати за допомогою стороннього програмного забезпечення. Дуже часто після сертифікації ці системи видалялися або відключалися.

SecrecyKeeper (www.secrecykeeper.com) – ще один продукт, що реалізує повноважний механізм контролю доступу. За словами розробників, розроблявся SecrecyKeeper саме для вирішення конкретного завдання – запобігання крадіжці інформації в комерційній організації. Тому, знову ж таки зі слів розробників, особлива увага при розробці приділялася простоті та зручності використання як для адміністраторів системи так і для простих користувачів. Як це вдалося - судити споживачеві, тобто. нам. Крім того в SecrecyKeeper реалізовано ряд механізмів, які в інших згаданих системах відсутні - наприклад, можливість встановлювати рівень секретності для ресурсів з віддаленим доступом і механізм захисту агента.
Контроль переміщення інформації в SecrecyKeeper реалізований на основі Рівню Секретності Інформації, Рівень Допуску Користувача та Рівню Безпеки Комп'ютера, які можуть набувати значень public, secret та top secret. Рівень Секретності Інформація дозволяє класифікувати оброблювану в системі інформацію за трьома категоріями:

public - не секретна інформація, під час роботи з нею жодних обмежень немає;

secret - секретна інформація, при роботі з нею вводяться обмеження в залежності від рівня Допуску Користувача;

top secret - абсолютно секретна інформація, при роботі з нею вводяться обмеження в залежності від рівня Допуску Користувача.

Рівень Секретності Інформація може встановлюватися для файлу, мережного дискаі порту комп'ютера на якому запущено якусь службу.

Рівні Допуску Користувача дозволяють визначити, як користувач може переміщувати інформацію, залежно від її Секретності. Існують такі рівні Допуску Користувача:

Рівень Допуску Користувача - обмежує максимальний Рівень Секретності Інформація до якої може отримати доступ співробітник;

Рівень Допуску до Мережі обмежує максимальний Рівень Секретності Інформації, яку співробітник може передавати по мережі;

Рівень Допуску до Змінних Носіїв обмежує максимальний Рівень Секретності Інформації, яку співробітник може копіювати на зовнішні носії.

Рівень Допуску до Принтера – обмежує максимальний Рівень секретності інформації, яку співробітник може роздрукувати.

Рівень безпеки комп'ютера - визначає максимальний рівень секретності інформації, яка може зберігатися і оброблятися на комп'ютері.

Доступ до інформації, що має рівень секретності public, може бути здійснений співробітником з будь-яким рівнем допуску. Така інформація без обмежень може передаватися через мережу та копіюватися на зовнішні носії. Історія роботи з інформацією, що має рівень секретності, public не відстежується.

Доступ до інформації, що має рівень секретності secret, можуть отримати тільки співробітники, рівень допуску яких дорівнює secret або вище. Передавати таку інформацію в мережу можуть лише співробітники рівень допуску до мережі яких дорівнює secret і вище. Копіювати таку інформацію на зовнішні носії можуть лише співробітники, рівень допуску до змінних носіїв яких дорівнює secret і вище. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтера яких дорівнює secret і вище. Історія роботи з інформацією має рівень секретності secret, тобто. спроби отримати доступ до неї, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Доступ до інформації, що має рівень секретності top secret, можуть отримати лише співробітники, рівень допуску яких дорівнює top secret. Передавати таку інформацію в мережу можуть лише співробітники рівень допуску до мережі яких дорівнює top secret. Копіювати таку інформацію на зовнішні носії можуть лише співробітники, рівень допуску до змінних носіїв яких дорівнює top secret. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтера яких дорівнює top secret. Історія з інформацією має рівень секретності top secret, тобто. спроби отримати доступ до неї, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Приклад: нехай співробітник має Рівень Допуску рівний top secret, Рівень Допуску до Мережі рівний secret, Рівень Допуску до Змінних Носіїв рівний public та Рівень Допуску до Принтеру рівний top secret; в цьому випадку співробітник може отримати доступ до документа, що має будь-який рівень секретності, передати в мережу співробітник може інформацію, що має рівень секретності не вище ніж secret, копіювати, наприклад на дискети, співробітник може тільки інформацію з рівнем секретності public і роздруковувати на принтері співробітник може будь-яку інформацію .

Для управління розповсюдженням інформації на підприємство кожному комп'ютеру, закріпленому за співробітником, присвоюється Рівень Безпеки Комп'ютера. Цей рівень обмежує максимальний рівень секретності інформації, до якої будь-який співробітник може отримати доступ з даного комп'ютера, незалежно від рівнів допуску співробітника. Т.о. якщо співробітник має Рівень Допуску рівним top secret, а комп'ютер на якому він у Наразіпрацює Рівень Безпеки рівний public, то співробітник не зможе з цієї робочої станції отримати доступ до інформації з рівнем секретності вище ніж public.

Озброївшись теорією, спробуємо застосувати SecrecyKeeper для вирішення поставленого завдання. Спрощено описати інформацію, що обробляється в інформаційній системі аналізованого абстрактного підприємства (див. постановку завдання), можна за допомогою наступної таблиці:

Співробітників підприємства та сфера їх посадових інтересів описується за допомогою другої таблиці:

нехай на підприємстві використовуються такі сервери:
Сервер 1С
Файловий сервер із кулями:
SecretDocs - містить секретні документи
PublicDocs - містить загальнодоступні документи

Зауважу, що для організації стандартного розмежування доступу використовуються штатні можливості операційної системита прикладного ПЗ, тобто. Для того, щоб запобігти доступу наприклад менеджера до персональних даних співробітників, додаткових систем захисту вводити не треба. Йдеться саме про протидію поширенню інформації, до якої працівник має законний доступ.

Переходимо до безпосереднього налаштування SecrecyKeeper.
Процес установки консолі управління та агентів описувати не буду, там все максимально просто – див. документацію до програми.
Налаштування системи складається з таких дій.

Крок 1. Встановити агенти на всі ПК крім серверів - це відразу дозволяє запобігти попаданню на них інформації для якої встановлено рівень секретності вище, ніж public.

Крок 2. Присвоїти співробітникам рівні Допуски відповідно до наступної таблиці:

	Рівень Допуску Користувача	Рівень Допуску до Мережі	Рівень Допуску до Змінних Носіїв	Допуск до Принтера
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретар	public	public	public	public

Крок 3. Присвоїти рівні Безпеки Комп'ютера наступним чином:

Крок 4. Налаштувати рівні секретності інформації на серверах:

Крок 5. Налаштувати рівні секретності інформації на ПК співробітників для локальних файлів. Це найбільш трудомістка частина, тому що необхідно чітко уявляти, хто зі співробітників з якою інформацією працює і наскільки ця інформація критична. Якщо в організації було проведено аудит інформаційної безпеки, його результати можуть значно полегшити завдання.

Крок 6. При необхідності SecrecyKeeper дозволяє обмежити список програм, дозволених до запуску користувачам. Цей механізм реалізований незалежно від Windows Software Restriction Policy і може використовуватися якщо, наприклад, треба накласти обмеження і на користувачів з правами адміністратора.

Таким чином за допомогою SecrecyKeeper, можливо, значно знизити ризик несанкціонованого поширення секретної інформації - як витоку, так і крадіжки.

Недоліки:
- труднощі з початковим настроюваннямрівнів таємності для локальних файлів;

Загальний висновок:
максимальні можливості захисту інформації від інсайдерів надає ПЗ, що володіє можливістю динамічно регулювати доступ до каналів передачі інформації, залежно від ступеня секретності інформації з якою ведеться робота і рівня допуску співробітника.

Компанія - Це унікальний сервіс для покупців, розробників, дилерів та афіліат-партнерів. Крім того, це один з найкращих Інтернет-магазинівПЗ у Росії, Україні, Казахстані, який пропонує покупцям широкий асортимент, безліч способів оплати, оперативну (часто миттєву) обробку замовлення, відстеження процесу виконання замовлення в персональному розділі.

Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого і усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку чи неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення.

Насамперед варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є співробітник підприємства або будь-яка інша особа, яка має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі діїлегальних користувачів, навмисних чи випадкових, які можуть призвести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має інші значення.

Актуальність проблеми внутрішніх загроз підтверджується наслідками останніх досліджень. Зокрема, у жовтні 2008 року було оголошено результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів у США), тоді як хакери виявилися лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, які говорять про кількість інцидентів, пов'язаних із внутрішніми загрозами, виглядають так:

Кількість інцидентів у відсотках означає, що із загальної кількості опитаних даний типінцидент відбувався у вказаному відсотку організацій. Як видно з цих цифр, ризик постраждати від внутрішніх загроз є практично в кожної організації. Для порівняння, відповідно до того ж звіту, віруси вразили 50% опитаних організацій, а з проникненням хакерів у локальну мережузіткнулося лише 13%.

Таким чином, внутрішні загрози- Це реальність сьогоднішнього дня, а не придуманий аналітиками та вендорами міф. Тож тим, хто по-старому вважає, що корпоративна ІБ – це міжмережевий екран та антивірус, необхідно якнайшвидше поглянути на проблему ширше.

Підвищує градус напруженості і закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям та посадовим особам доведеться відповідати не лише перед своїм керівництвом, а й перед своїми клієнтами та перед законом.

Модель порушника

Традиційно при розгляді загроз та засобів захисту від них слід розпочинати аналіз моделі порушника. Як уже згадувалося, ми говоритимемо про інсайдерів – співробітників організації та інших користувачів, які мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім спадає на думку офісний співробітник, який працює на комп'ютері у складі корпоративної мережі, який у процесі роботи не залишає меж офісу організації. Однак таке уявлення неповне. Необхідно розширити його за рахунок інших видів осіб, які мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюючі і в офісі та вдома, кур'єри, що перевозять носії з інформацією, насамперед магнітні стрічки з резервною копією тощо.

Такий розширений розгляд моделі порушника, по-перше, укладається в концепцію, оскільки погрози, що походять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему ширше, розглянувши все можливі варіантиборотьби з цими загрозами.

Можна виділити такі основні типи внутрішніх порушників:

Нелояльний/ображений співробітник.Порушники, що належать до цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, якщо вони вважають себе скривдженими, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій зараз працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але вона може збільшуватись у ситуації несприятливих економічних умов та масових скорочень персоналу.
Впроваджений співробітник, що підкуповується або маніпулюється.В даному випадку мова йдепро будь-які цілеспрямовані дії, як правило, з метою промислового шпигунства в умовах гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але непильного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість таких інцидентів зазвичай ще менше, ніж попередніх, у зв'язку з тим, що в більшості сегментів економіки в конкуренція не сильно розвинена або реалізується іншими способами.
Недбалий співробітник. Цей видпорушника є лояльним, але неуважним або халатним співробітником, який може порушити політику внутрішньої безпекипідприємства через її незнання чи забудькуватість. Такий співробітник може помилково надіслати листа електронною поштою з доданим секретним файлом не тому, для кого він призначений, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею у вихідні, і втратити її. До цього ж типу належать співробітники, які втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього відповідальні за більшість витоків конфіденційної інформації.

Отже, мотиви, отже, і спосіб дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.

Технології захисту від внутрішніх загроз

Незважаючи на відносну молодість даного сегменту ринку, клієнтам вже є з чого вибирати залежно від їхніх завдань та фінансових можливостей. Варто зазначити, що зараз на ринку практично немає вендорів, які б спеціалізувалися виключно на внутрішніх загрозах. Така ситуація склалася не тільки через незрілість даного сегменту, але ще й завдяки агресивній та іноді хаотичній політиці злиття та поглинання, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені у присутності на цьому сегменті. Варто нагадати про компанію RSA Data Security, яка стала підрозділом EMC в 2006 році, купівлю компанією NetApp стартапа Decru, який займався розробкою систем захисту серверних сховищ та резервних копійу 2005, купівлю компанією Symantec DLP-вендора Vontu у 2007 році тощо.

Незважаючи на те, що велика кількість подібних угод говорить про добрі перспективи розвитку даного сегменту, вони не завжди йдуть на користь якості продуктів, що переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники негаразд оперативно реагують на вимоги ринку порівняно з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють у мобільності та оперативності своїм меншим братам. З іншого боку, покращується якість сервісу та доступність продуктів для клієнтів у різних точках земної кулі завдяки розвиненості їхньої сервісної та збутової мережі.

Розглянемо основні технології, що застосовуються нині для нейтралізації внутрішніх загроз, їх переваги та недоліки.

Контроль документів

Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES та Oracle Information Rights Management.

Принцип роботи даних систем полягає у призначенні правил використання для кожного документа та контролю цих прав у додатках, що працюють із документами даних типів. Наприклад, можна створити документ Microsoft Wordі задати йому правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Ці правила в термінах Windows RMS називаються ліцензією та зберігаються разом із файлом. Вміст файлу зашифровується для запобігання можливості його перегляду неавторизованим користувачем.

Тепер якщо будь-який користувач намагається відкрити такий захищений файл, програма зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цього користувача дозволено, сервер передає додатку ключ для розшифрування даного файлу та інформацію про права цього користувача. Програма на основі цієї інформації робить доступними для користувача лише ті функції, для виконання яких він має права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в програмі буде недоступною.

Виходить, що інформація в такому файлі є безпечною навіть у випадку, якщо файл потрапить за межі корпоративної мережі – вона зашифрована. Функції RMS вже вбудовані у програми Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS у додатки інших розробників Microsoft пропонує спеціальний SDK.

Система контролю документів від Adobe побудована аналогічно, але орієнтована на документи у форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери як агента і інтегрується з додатками на етапі їх виконання.

Контроль документів – це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктуровані файли або бази даних, ця технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить найпростіший додаток, який буде зв'язуватися з RMS-сервером, отримувати звідти ключ шифрування та зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то дана системабуде обійдено. Крім цього, слід враховувати складнощі при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів – завдання первісної класифікації документів та призначення прав їх використання може вимагати значних зусиль.

Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації – проблема комплексна, і вирішити її за допомогою лише одного засобу, як правило, не вдається.

Захист від витоків

Термін захист від витоків (data loss prevention, DLP) з'явився в лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати без перебільшення найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, що контролюють можливі канали витоку та блокують їх у разі спроби пересилання цими каналами будь-якої конфіденційної інформації. Крім цього, у функції подібних системчасто входить можливість архівування інформації, що проходить по них, для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.

Розрізняють два види DLP-систем: мережеві DLP та хостові DLP.

Мережеві DLPпрацюють за принципом мережевого шлюзу, який фільтрує всі дані, що проходять через нього. Очевидно, що з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в Інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- та ftp-трафік, служби миттєвих повідомлень і т. д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати файл, що передається. Також існують можливості щодо ручної обробки підозрілих файлів. Підозрільні файли поміщаються в карантин, який періодично переглядає офіцер безпеки і дозволяє передачу файлу, або забороняє її. Щоправда, така обробка через особливості протоколу можлива лише для електронної пошти. Додаткові можливості з аудиту та розслідування інцидентів надає архівування всіх інформації, що проходить через шлюз, за умови, що цей архів періодично проглядається і його вміст аналізується з метою виявлення витоків.

Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто момент прийняття рішення про те, чи є інформація, що передається, конфіденційною та підстави, які враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту переданих документів, званий також контентним аналізом Розглянемо основні підходи до детектування конфіденційної інформації.

Мітки. Цей метод аналогічний системам контролю документів, розглянутим вище. У документи впроваджуються мітки, що описують ступінь конфіденційності інформації, що можна робити з цим документом, та кому посилати. За результатами аналізу міток, система DLP приймає рішення, чи можна даний документвідправити назовні чи не можна. Деякі DLP системи спочатку роблять сумісними із системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких у тексті файлу, що передається, повинна говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велику кількість сигнатур можна організовувати у словнику.
Метод Байєса. Даний метод, який застосовується при боротьбі зі спамом, може успішно застосовуватись і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів з ймовірностями того, що якщо слово зустрілося у файлі, файл із заданою ймовірністю належить або не належить до зазначеної категорії.
Морфологічний аналізМетод морфологічного аналізу аналогічний сигнатурному, відмінність у тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
Цифрові відбитки.Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде трохи змінено, хеш-функція залишиться такою самою, або теж зміниться незначно. Таким чином, процес детектування конфіденційних документів значно спрощується. Незважаючи на захоплені дифірамби цієї технології з боку багатьох вендорів та деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами вважають за краще залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіра до неї не збільшується.
Регулярні вирази.Відомі всім, хто мав справу з програмуванням, Регулярні виразидозволяють легко знаходити в тексті шаблонні дані, наприклад телефони, паспортні дані, номери банківських рахунків, номери соціального страхування і т.д.

З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного чування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або присвоювання конфіденційним документам.

Крім цього, певну проблему у роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в файлах, що передаються, може бути дуже складною. Не варто забувати і про те, що деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудоване за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для контролю хостові DLP.

Тим не менш, незважаючи на всі складнощі, при правильному налаштуванніі серйозний підхід мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації і дати організації зручне засіб для внутрішнього контролю.

Хостові DLPвстановлюються за кожен хост у мережі (на клієнтські робочі станції і, за необхідності, на сервера) і можуть бути використані контролю інтернет-трафіку. Проте в цій якості хостові DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроївта принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, становить для інформаційної безпеки підприємства набагато більшу загрозу, ніж усі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі ( endpoint security), хоча часто цей термін використовується ширше, наприклад, іноді називають антивірусні засоби.

Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, у більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що висувається з боку бізнес-процесів.

Через це виник певний попит на спеціальні засоби, за допомогою яких можна гнучкіше вирішити проблему використання зовнішніх пристроїв та принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів. різним видампристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями та дозволяти з принтерами, а для іншої – дозволяти роботу з носіями в режимі «тільки читання». У разі потреби записування інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія тіньового копіювання, яка забезпечує копіювання на сервер всієї інформації, що зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізована для аналізу дій користувачів. Ця технологіякопіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Тим не менш, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій у мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим та покараним за свої дії. Це може виявитися для нього суттєвою перешкодою та вагомою причиною відмовитись від ворожих дій.

Варто ще згадати контроль використання принтерів – тверді копії документів можуть стати джерелом витоку. Хостові DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії документів, що роздруковуються в графічному форматідля подальшого аналізу. Крім цього, певного поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.

Незважаючи на безперечні плюси хостових DLP, у них є ряд недоліків, пов'язаних з необхідністю встановлення агентського програмного забезпечення на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з погляду розгортання таких систем та управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це програмне забезпечення для здійснення будь-яких дій, не дозволених політикою безпеки.

Тим не менш, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а згадані проблеми не стосуються розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах тиску, що постійно посилюється, щодо забезпечення внутрішнього контролю та захисту від витоків.

Концепція IPC

У процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і з огляду на певні недоліки засобів, що розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Цей термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC у 2007 році.

Суть цієї концепції полягає у поєднанні методів DLP та шифрування. У цій концепції за допомогою DLP контролюється інформація, що залишає межі корпоративної мережі технічним каналама шифрування використовується для захисту носіїв даних, які фізично потрапляють або можуть потрапити до рук сторонніх осіб.

Розглянемо найпоширеніші технології шифрування, які можна застосовувати у концепції IPC.

Шифрування магнітних стрічок.Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіюванняі для перенесення великих обсягів інформації, оскільки за питомою вартістю мегабайту, що зберігається, досі не має рівних. Відповідно, витоки, пов'язані з втратами магнітних стрічок, продовжують радувати редакторів стрічок новин, що поміщають інформацію про них на перші смуги, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, багато людей можуть стати жертвами шахраїв.
Шифрування серверних сховищ.Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати набагато нижче, ніж у магнітної стрічки, окремий жорсткий дискіз сховища може потрапити до рук зловмисників. Ремонт, утилізація, апгрейд – ці події виникають із достатньою регулярністю для того, щоб списувати цей ризик із рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є неможливою подією.

Тут варто зробити невеликий відступ і згадати про поширену оману про те, що якщо диск знаходиться у складі RAID-масиву, то нібито можна не турбуватися про те, що він потрапить у сторонні руки. Здавалося б, чергування записуваних даних на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вигляд даних, які знаходяться на одному жорсткому вигляді. На жаль, це зовсім не так. Чергування дійсно має місце, однак у більшості сучасних пристроїв воно виконується на рівні блоків 512 байт. Це означає, що, незважаючи на порушення структури та форматів файлів, конфіденційну інформацію витягти з такого жорсткого диска все одно можна. Тому якщо поставлена вимога щодо забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.

Шифрування ноутбуків.Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
Шифрування знімних носіїв.У цьому випадку йдеться про портативні USB-пристрої і, іноді, про CD- і DVD-диски, що записуються, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, так само як і згадані вище системи шифрування жорстких дисків у ноутбуках, часто можуть виступати як компоненти хостових DLP-систем. У цьому випадку говорять про свого роду криптопериметр, який забезпечує автоматичне прозоре шифрування носіїв усередині, і неможливість розшифрувати дані за його межами.

Таким чином, шифрування може суттєво розширити можливості DLP-систем та знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не надто широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки та внутрішнього контролю.

Висновки

Як видно з даного огляду, внутрішні загрози – це досить нова область ІБ, яка активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP та IPC дозволяють побудувати досить надійну систему внутрішнього контролю та знизити ризик витоку до прийнятного рівня. Без сумніву, ця галузь ІБ продовжить розвиватися, пропонуватимуться новіші та досконаліші технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безтурботність у питаннях інформаційної безпеки може обійтися занадто дорого.

Олексій Раєвський
Генеральний директор компанії SecurIT

Популярне в рубриці: