Головна → Корисні програми Захист від інсайдерів за допомогою зв'язки із Zgate та Zlock. Сучасні методи боротьби з інсайдерами Zgate: захист від витоків через інтернет

Захист від інсайдерів за допомогою зв'язки із Zgate та Zlock. Сучасні методи боротьби з інсайдерами Zgate: захист від витоків через інтернет

Не секрет, що у сфері інформаційної безпекиособливе місце займає моніторинг діяльності працівників, що включає електронний моніторинг системних подій і моніторинг контенту, що породжує ряд правових, етичних і технічних проблемдля роботодавця. Такі проблеми існують у всіх демократичних країнах. Незважаючи на те, що в одній статті не можна розкрити всі аспекти цієї непростої теми, автори постаралися охопити багато суттєвих питань, включаючи законодавство, кращі практики та «підводні камені», на прикладі США. Чим більших успіхів досягає людство у боротьбі із зовнішніми кіберзагрозами, тим рішучішим на перший план виходять загрози внутрішні, з якими за статистикою пов'язано понад 70% всіх інцидентів безпеки. Ця стаття узагальнює досвід російської компанії – інтегратора у сфері створення комплексних систем запобігання витоку конфіденційної інформації. Подібні комплексні системи є життєво важливими для функціонування багатьох сучасних підприємств та організацій. Компанії застосовують цілий арсенал способів контролю над працівниками: переглядають електронне листування, прослуховують телефонні розмови, встановлюють камери спостереження, стежать відвідуваність web-сайтів в Інтернеті. Чи законні такі дії? В даний час конфіденційна інформація та персональні дані обробляються в АС практично будь-якого підприємства. Природно, що така інформація потребує захисту. Але як її захищати, чим відрізняються засоби захисту домашнього комп'ютерата комп'ютерів у корпоративних додатках, які завдання захисту інформації та яким чином мають вирішуватись у комплексі для забезпечення ефективного захисту конфіденційної інформації? Ніхто не застрахований від саботажу ІТ-інфраструктури. Будь-який співробітник може навіть з найдрібнішого приводу образитися на керівництво або колег, а потім зробити справжню диверсію: знищити надзвичайно важливу для компанії інформацію, розіслати непристойні листи клієнтам фірми і т. п. Очевидно, що збитки в цьому випадку можуть змінюватись від зіпсованого робітника до прямих багатомільйонних втрат. Стурбованість бізнесу проблемами внутрішньої IT-безпеки та захисту своїх інформаційних активів постійно підтверджується дослідженнями провідних організацій. Згідно з опублікованим в січні 2006 року звітом 2005 FBI Computer Crime Survey, 44% американських компаній постраждали протягом року в результаті серйозних інцидентів, що відбувалися у внутрішній IT-безпеці, при цьому інсайдери крали конфіденційні документи роботодавця, намагалися спотворити інформацію. з офісу обладнання та ін. В даний час на ринку систем, призначених для захисту конфіденційної інформації від витоків (DLP), існує кілька основних базових технологійвиявлення, серед яких лінгвістичний та контекстний аналіз, а також цифрові відбитки та мітки. Багато працівників комерційних організацій знайомі з таким проявом корпоративного контролю, як прослуховування службових телефонів. Зазвичай цим займаються співробітники служб безпеки великих та середніх організацій за дорученням керівництва, причому прослуховування може мати як голосний, і негласний характер. Як визначити, хто зі співробітників організації та вступників на роботу завдає чи може завдати шкоди її інтересам? Як виявити потенційних алкоголіків, людей, схильних до крадіжки та тих, хто ніколи не продуктивно працюватиме? Адже вони можуть стати співробітниками Вашої компанії. Грамотно розібратися в цьому - завдання нелегке. Про роль людського фактора у забезпеченні безпеки організації, деяких потенційних джерелах кадрового ризику та заходах щодо захисту організації від них розповідає ця стаття. Захист корпоративної інформації від внутрішніх загроз Останніми рокамипереросла з модного тренду для обраних компаній у цілком самостійний напрямок інформаційної безпеки. Топ-менеджери поступово починають переглядати своє ставлення до фінансування та розглядати захист даних від внутрішніх загроз не лише як джерело видатків, а й як конкурентну перевагу компанії. У багатьох організаціях сформовано спеціальні групи та відділи для захисту комерційної таємниці, персональних даних та іншої конфіденційної інформації. Цінність інформації як однієї зі складових будь-якого бізнесу важко переоцінити: на думку фахівців, втрата лише чверті інформації, яка належить до категорії комерційної таємниці організації, протягом кількох місяців призводить до банкрутства половини цих самих організацій, які допустили витік подібних відомостей. У сфері інформаційних технологій, як у жодній іншій галузі, успіх компанії нерідко цілком ґрунтується на вдалому ноу-хау, технологічному ході, маркетинговій стратегії або навіть просто оригінальної ідеї. Причому найцінніша інформація про ці рішення, ходи та ідеї існує в головах співробітників компанії. Не можна не погодитися з тим, що сховище це далеко не найнадійніше з точки зору захисту конфіденційної інформації від неправомірного чи небажаного доступу третіх осіб, або від несумлінного використання її самим працівником, наприклад, для створення власної конкурентної розробки. Нижче йтиметься про те, як роботодавець може проконтролювати поширення комерційно важливої інформації всередині компанії та за її межами, як при цьому можуть бути дотримані права працівника і які компенсації він має отримати за певне обмеження цих прав. А також, як відповідає працівник за розголошення секретних відомостей свого роботодавця. «Хай мине мене чаша ця!» Відганяючи від себе найнеприємніші думки, це потаємне заклинання ми вимовляємо в різні моменти нашого життя. Будь то похід на кишеньковий кишенькові речовий ринок або пізніше повернення додому. Відчуття безпеки не виникає у нас часом навіть у власній квартирі. Міліцейські зведення нагадують хроніку бойових дій. За статистикою, кожні 3,5 хвилини у Росії відбувається квартирна крадіжка. Виявити зловмисників, як правило, не вдається. Але чи можна подібну неприємність запобігти? Фахівці компанії «Промет», провідного постачальника та виробника вітчизняних сейфів та металевих меблів, на це питання відповідають цілком точно: надійним захистом ваших заощаджень стане сейф. Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого і усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку чи неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення. Нині дедалі більше організацій використовують рішення класу DLP (Data Loss Prevention) захисту корпоративної інформації від витоків. Кожна компанія перед впровадженням DLP оцінює ризики та будує модель загроз, в якій прописуються класи інформації, що захищається, сценарії використання даних та пов'язані з ними загрози. У більшості випадків потенційними каналами витоку даних визнаються. зовнішні накопичувачі, принтери, корпоративна пошта та різні веб-сервіси, і мало хто замислюється про захист даних, що записуються на магнітні стрічки або інші резервні носії, які зберігаються і транспортуються в незахищеному вигляді. Вивчаючи інформаційну безпеку підприємств та ефективність заходів її забезпечення, що реалізуються в даний час у корпоративних інформаційних системах (КІС) банків, мимоволі звертає на себе увагу опитування, проведене у 2011 році фірмою Sailpoint Technologies, в аспекті, дещо віддаленому від визначень «захист комп'ютера від несанкціонованого доступу» та «несанкціонований доступ до комп'ютерної інформації» (НСД) – аналітики оцінювали лояльність співробітників компаній корпоративної етики щодо роботи з інформацією обмеженого використання. Сьогодні загроза інсайдерства є актуальною проблемоюдля служб безпеки компанії Організації надають своїм тимчасовим та постійним співробітникам доступ до критично важливої інформації, що становить серйозну загрозу безпеці організації. Персоналу компанії простіше зробити крадіжку чи зловжити наявною інформацією ніж будь-кому, оскільки вони мають прямий доступ до інформаційних активів організації. За даними дослідження компанії Trustwave, 80% інцидентів у сфері інформаційної безпеки відбуваються через використання ненадійних паролів. Інсайдери стали основною причиною недавніх інцидентів у міністерстві охорони здоров'я штатів Юта та Південна Кароліна у США. Використання парольної автентифікації в ІС підприємств та організацій себе виживає. Продовжуючи застосовувати цю традиційну методику доступу щодо власних інформаційних ресурсів, Компанії фактично ставлять під загрозу рентабельність і, ймовірно, саме існування підприємства. Одного разу практично всі організації починають розуміти, що потребують надійного захисту корпоративної інформації. Один з найбільш ефективних способівзахистити свої дані – це встановити у компанії систему DLP. У більшості випадків організація мотивує своє рішення тим, що ці системи надійно захищають конфіденційну інформацію та дозволяють відповідати вимогам органів-регуляторів. Скільки копій було зламано в дебатах про те, чи інсайдери становлять реальну загрозу бізнесу чи ні. Банківська сфера, перебуваючи на передовій сучасних технологій, завжди однією з перших апробувала новинки світу IT та сфери інформаційної безпеки зокрема. Двофакторна автентифікація, біометричні системи та багато іншого. Все це знайшло відгук там, де практичні люди вважають за краще тримати свої заощадження. Але так влаштований наш слов'янський менталітет, що «поки грім не вдарить». А тому, давайте розвіємо основні міфи, які досі ні-ні та й зустрічаються в банківському секторі. За останні кілька років оператори «великої трійки» вже двічі зганьбилися на SMS-повідомленнях. Вперше «допоміг» Яндекс і в принципі витік можна відносити до розряду витоків «необережно». Але цього разу... Федеральна службаБезпека повідомила про те, що було виявлено групу зловмисників, які отримали від співробітників МТС та «Вимпелкому» архіви SMS-листування трьох високопоставлених московських чиновників, після чого «Вимпелком» підтвердив факт витоку інформації, а МТС, навпаки, спростував. Залишимо пошук винних на долю слідства та звернемо увагу на матеріали справи: невстановлені співробітники технічних центрів мобільних операторівпередавали конфіденційну інформацію третім особам. Говорячи мовою «безпеків», мало місце дії інсайдерів. Запобігання витоку інформації, несанкціонованого доступу, є одним з найважливіших завдань служби інформаційної безпеки будь-якої організації. Якщо є конфіденційна інформація (державна, комерційна таємниця, персональні дані), існує проблема її охорони від розкрадання, видалення, зміни, перегляду. Зі зростанням компанії збільшується небезпека розкрадання інформації, у тому числі співробітниками, зростають фінансові та репутаційні ризики, це призводить до посилення політик та систем контролю. Нині інформація є величезну цінність. Володіння нею надає колосальні можливості у бізнесі, економіці, політиці та інших сферах. Недарма кажуть, хто володіє інформацією, той володіє світом, а хто володіє чужою інформацією, той краще підготовлений до конкурентної боротьби, ніж його суперники. Існує безліч різних форматів файлів, у яких зберігається текстова інформація, серед яких TXT, RTF, DOC, DOCX, HTML, PDF та багато інших. ін. Проте жодна компанія як у нашій країні, так і в усьому світі не пропонувала захист XML-документації. Розглянемо докладно, що таке XML-файли, чому їх потрібно захищати, і як було вперше створено захист для такого формату.

Стрімкий розвиток інформаційних технологій та сучасних засобів комунікації значно ускладнив контроль над потоками даних. Уявити нормальну роботу компанії без електронної пошти, інтернет-пейджерів, мобільних пристроїв та інших засобів оперативної передачі просто неможливо. Бухгалтерські документи, фінансові звіти, бази даних, договори з клієнтами, плани розвитку та інші конфіденційні відомості зберігаються та обробляються в електронному вигляді, а отже, можуть бути частково або повністю скопійовані та передані зловмисникам.

Ідентифікація ризиків

За даними аналітичного центру InfoWatch, у 2007 році у світі було зафіксовано понад 500 інсайдерських інцидентів, загальна шкода від яких склала близько $58 млрд, що на 30% перевищує аналогічний показник 2006 року. Зрозуміло, що невиявлених випадків витоку інформації може бути у рази більше. Якщо говорити про ситуацію в Росії, то масштаб проблеми свідчить, наприклад, кількість нелегального програмного забезпечення з різними базами даних за доступними цінами.

Ідентифікацію інформаційних ризиків можна розпочати з з'ясування питання про те, які дані і по яких каналах найчастіше витікають з російських компаній. Під час дослідження «Інсайдерські загрози 2008», проведеного аналітичним центром Perimetrix, було опитано представників понад 470 вітчизняних підприємств. На думку респондентів, найчастіше з компаній викрадають персональні дані, включаючи відомості про клієнтів (57%), а також деталі конкретних угод (47%) та фінансові звіти (38%), далі йдуть інтелектуальна власність (25%) та бізнес-плани (19%) (рис. 1)

Джерело: Дослідження Perimetrix «Інсайдерські погрози 2008»

Найпоширенішим каналом витоку конфіденційних даних у тому ж дослідженні було визнано мобільні накопичувачі великої ємності (наприклад, на основі флеш-пам'яті або магнітних пластин) (рис. 2). Інше дослідження інцидентів внутрішньої інформаційної безпеки, проведене аналітичним центром InfoWatch, також показало, що у 2007 році найбільша кількість витоків інформації сталася через мобільні пристрої(Ноутбуки, КПК, USB-флешки, CD-і DVD-диски та ін).

Другим за популярністю способом передачі секретних відомостей виявилася корпоративна електронна пошта, доступ до якої сьогодні має практично кожен офісний співробітник. Справа в тому, що далеко не всі фірми фільтрують поштовий трафік щодо конфіденційних даних, до того ж методи контентної фільтрації можуть мати низьку ефективність. Приблизно вдвічі рідше, ніж робочу електронну пошту, інсайдери використовують веб-пошту (mail.ru, yandex.ru і т.п.) та інтернет-пейджери. Це може пояснюватися обмеженнями на доступ до Інтернету, які діють у багатьох організаціях.

Джерело: дослідження Perimetrix «Інсайдерські погрози 2008»

Однак корисливі інсайдери - лише одна з категорій несумлінних працівників, які становлять загрозу внутрішній інформаційній безпеці компанії. Як свідчать дослідження, значно більше витоків відбувається з вини необачних співробітників, які нехтують елементарними засобами захисту (CCleaner) чи порушують посадові інструкціїроботи з конфіденційними даними. Як приклад можна навести випадки втрати USB-накопичувачів або ноутбуків з незашифрованими даними або ситуації, коли співробітники без власного корисливого наміру виявляються постачальниками цінної інформації для зловмисників, які вводять їх в оману.

Таким чином, результати досліджень дозволяють виділити кілька проблемних областей, з якими пов'язані основні загрози внутрішній інформаційній безпеці для більшості російських компаній:

відсутність контролю над копіюванням конфіденційних документів на змінні носії або зовнішні пристрої, що підключаються через різні порти та бездротові мережі;
відсутність протоколювання операцій із конфіденційними документами, що зберігаються в електронному вигляді;
відсутність контролю за роздруком конфіденційних документів;
відсутність контролю над конфіденційними документами, які виносяться за межі компанії на ноутбуках співробітників.

Зрозуміло, що мінімізувати ризики в перелічених областях за допомогою систем захисту інформації, які сьогодні використовуються у більшості російських компаній, практично неможливо. Антивіруси, міжмережеві екрани, контроль доступу та системи виявлення/запобігання вторгненням (IDS/IPS), що становлять основу інформаційної безпеки багатьох вітчизняних підприємств, орієнтовані, в основному, на захист від зовнішніх загроз та малозастосовні для боротьби з інсайдерами.

Для запобігання витоку конфіденційної інформації, пов'язаних з діями самих співробітників, необхідні комплексні заходи, спрямовані на побудову системи управління внутрішньою інформаційною безпекою та впровадження режиму комерційної таємниці.

Забезпечення внутрішньої інформаційної безпеки

Впровадження системи внутрішньої інформаційної безпеки для підприємства - процес тривалий і дуже затратний, тому його рекомендується розділити кілька послідовно реалізованих етапів. Насамперед необхідно провести класифікацію всієї внутрішньої інформації з поділом на категорії за рівнем конфіденційності. Дані, з якими працюють співробітники, можна розділити на загальнодоступні (без обмежень доступу), чутливі ( обмежений доступ), персональні та конфіденційні (спеціальний допуск для використання).

На наступному етапі необхідно визначити, де зберігається та як обробляється інформація різних категорій доступу, а також хто відповідає за її збереження. Для кожної категорії інформації потрібно прописати процедури поводження з нею: як копіювати, зберігати, передавати та знищувати. З цією метою проводиться інвентаризація ресурсів, які у роботі з інформацією. Деякі фахівці пропонують виділяти в ході такого аудиту інформаційні, програмні та фізичні ресурси. До інформаційних ресурсів, що містять конфіденційні відомості, можуть належати файли, бази даних, документація керівництва тощо. Програмні ресурси, що обробляють конфіденційну інформацію, включають прикладні програми, СУБД (MS SQL, Oracle), засоби управління документами, а також поштові системи та proxy-сервери, через які проходить та кешується інформація. До фізичних ресурсів, у яких обробляється конфіденційна інформація, належать сервери, робочі станції, знімні носії, ноутбуки, комунікаційне обладнання тощо. Приклад інвентаризації інформаційних ресурсів наведено в табл. 1.

Таблиця 1. Приклад інвентаризації інформаційних ресурсів

Вид інформації

Розташування

Виробнича

Плани виробництва, інтелектуальна власність, опис технологій, внутрішні розробки

Файлові сервери, СУБД

Конфіденційна

Інфраструктурна

Карти IT-інфраструктури, IT-системи, логіни

Локально

Чутлива

Фінансова

Бухгалтерська інформація, фінансові плани, звіти, баланси

База 1С чи інше середовище роботи фінансового департаменту

Конфіденційна

Кадрова

Особисті картки персоналу

Локально, файловий сервер

Чутлива

Файли та документи для внутрішнього обміну

Персональна

Внутрішньокорпоративна

Звіти зборів, накази, розпорядження, статті

Файловий сервер

Загальнодоступна

Розважальна

Фотографії, відеоролики, фільми, аудіокниги

Розширені папки або виділений файловий сервер

Останні дослідження в галузі інформаційної безпеки, наприклад щорічне CSI/FBI ComputerCrimeAndSecuritySurvey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисне крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Однак організаційні методи даному випадкунеефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками, а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно - банк не Поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватися для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токена, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, а й збільшує ризик виникнення помилок.

Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисний крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв і, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, трЗ-плссра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може перешкодити людині відключити на хвилину принтер, вставити в порт, що звільнився. флеш-дискта скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, але і збільшує ризики виникнення помилок.

Захист інформації від інсайдерів за допомогою програмних засобів

Alexander Antipov

Сподіваюся, що сама стаття та особливо її обговорення допоможуть виявити різні нюанси застосування програмних засобів та стануть відправною точкою у розробці рішення описаного завдання для фахівців з ІБ.

nahna

Маркетингове підрозділ компанії Инфовотч, вже протягом тривалого часу переконує всіх зацікавлених осіб - ІТ-фахівців, і навіть найбільш просунутих у сфері ІТ керівників, що більшість збитків порушення ІБ компанії посідає інсайдерів - співробітників розголошують комерційну таємницю. Мета зрозуміла - треба створювати попит на продукт, що випускається. Та й докази виглядають цілком солідно та переконливо.

Постановка задачі

Побудувати систему захисту інформації від крадіжки персоналом у ЛОМ на базі Active Directory Windows 2000/2003. Робочі станції користувачів під керуванням Windows XP. Управління підприємством та бухгалтерський облік на базі продуктів 1С.
Секретна інформація зберігається трьома способами:

БД 1С – доступ по мережі через RDP (термінальний доступ);
розшаровані папки на файлових серверах – доступ по мережі;
локально на ПК співробітника;

Канали витоку - інтернет та змінні носії (флешки, телефони, плеєри тощо). Забороняти використання інтернету та змінних носіїв не можна, оскільки вони необхідні для виконання службових обов'язків.

Що є на ринку

Розглянуті системи я розділив на три класи:

Системи на основі контекстних аналізаторів – Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет тощо.
Системи на основі статичного блокування пристроїв – DeviceLock, ZLock, InfoWatch Net Monitor.
Системи на основі динамічного блокування пристроїв - SecrecyKeeper, Страж, Акорд, SecretNet.

Системи на основі контекстних аналізаторів

Принцип роботи:
У переданій інформації шукаються ключові слова, за результатами пошуку приймається рішення про необхідність блокування передачі.

Максимальними можливостями серед перерахованих продуктів, на мій погляд, має InfoWatch Traffic Monitor (www.infowatch.ru). За основу взятий непогано себе зарекомендував двигун Касперський Антиспам, що найбільш повно враховує особливості російської мови. На відміну від інших продуктів, InfoWatch Traffic Monitor, при аналізі враховує не тільки наявність певних рядків у даних, що перевіряються, а й заздалегідь задану вагу кожного рядка. Отже після ухвалення остаточного рішення, враховується як входження певних слів, а й те, у яких поєднаннях вони зустрічаються, що дозволяє підвищити гнучкість аналізатора. Інші можливості стандартні для таких продуктів - аналіз архівів, документів MS Office, можливість блокування передачі файлів невідомого формату чи запароленних архівів.

Недоліки розглянутих систем на основі контекстного аналізу:

Контролюються лише два протоколи - HTTP і SMTP (для InfoWatch Traffic Monitor, причому для HTTP трафіку перевіряються лише дані, що передаються за допомогою POST-запитів, що дозволяє організувати канал витоку за допомогою передачі даних методом GET);
Не контролюються пристрої перенесення даних – дискети, CD, DVD, USB-диски тощо. (Інфовотч на цей випадок є продукт InfoWatch Net Monitor).
для обходу систем побудованих на основі контентного аналізу, достатньо застосувати найпростіше кодування тексту (наприклад: секрет -> с1е1к1р1е1т), або стеганографію;
наступне завдання не вирішується методом контентного аналізу - відповідного формального опису на думку не спадає, тому просто наведу приклад: є два екселевські файли - у першому роздрібні ціни (публічна інформація), у другому - оптові для певного клієнта (закрита інформація), вміст файлів відрізняється лише цифрами. За допомогою контентного аналізу ці файли не можна розрізнити.

Висновок:
контекстний аналіз годиться тільки для створення архівів трафіку та протидії випадкового витоку інформації та поставлене завдання не вирішує.

Системи на основі статичного блокування пристроїв

Принцип роботи:
користувачам надаються права доступу до контрольованих пристроїв, за аналогією до прав доступу до файлів. У принципі практично такого ж ефекту можна досягти, використовуючи штатні механізми Windows.

Zlock (www.securit.ru) – продукт з'явився порівняно недавно, тому має мінімальний функціонал (рюшечки я не вважаю), та й налагодженістю він не відрізняється, наприклад, консоль управління іноді падає при спробі зберегти налаштування.

DeviceLock (www.smartline.ru) - продукт цікавіший, на ринку досить давно, тому працює значно стабільніше і функціонал має різноманітніший. Наприклад, дозволяє виконувати тіньове копіювання інформації, що передається, що може допомогти в розслідуванні інциндента, але не в його запобіганні. З іншого боку, таке розслідування швидше за все буде проводитися тоді, коли про витік стане відомо, тобто. через значний проміжок часу після того, як вона станеться.

InfoWatch Net Monitor (www.infowatch.ru) складається з модулів - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor та PrintMonitor. DeviceMonitor є аналогом Zlock, стандартний функціонал, без родзинок. FileMonitor – контроль звернення до файлів. OfficeMonitor та AdobeMonitor дозволяють контролювати роботу з файлами у відповідних програмах. Придумати корисне, а не іграшкове застосування для FileMonitor, OfficeMonitor і AdobeMonitor в даний час досить важко, але в майбутніх версіях має з'явитися можливість контекстного аналізу за даними, що обробляється. Можливо тоді ці модулі розкриють свій потенціал. Хоча варто зауважити, що завдання контекстного аналізу файлових операцій не є тривіальною, особливо якщо база контентної фільтрації буде такою, що і в Traffic Monitor, тобто. мережевий.

Окремо необхідно сказати захист агента від користувача з правами локального адміністратора.
У ZLock та InfoWatch Net Monitor такий захист просто відсутній. Тобто. користувач може зупинити агента, скопіювати дані та знову запустити агента.

У DeviceLock такий захист є, що є безперечним плюсом. Вона заснована на перехопленні системних викликів роботи з реєстром, файловою системоюта управління процесами. Ще одним плюсом є те, що захист працює і в safe-mode. Але є і мінус – для відключення захисту достатньо відновити Service Descriptor Table, що можна зробити завантаживши простий драйвер.

Недоліки розглянутих систем на основі статичного блокування пристроїв:

Не контролюється передача інформації до мережі.
-Не вміє відрізняти секретну інформацію від нетаємної. Працює за принципом або все можна або нічого не можна.
Відсутня або легко обходиться захист від розвантаження агента.

Висновок:
впроваджувати такі системи недоцільно, т.к. поставлене завдання вони не вирішують.

Системи на основі динамічного блокування пристроїв

Принцип роботи:
доступ до каналів передачі блокується залежно від рівня допуску користувача та ступеня секретності інформації з якою ведеться робота. Для реалізації цього принципу зазначені продукти використовують механізм повноважного розмежування доступу. Цей механізм зустрічається не дуже часто, тому зупинюся на ньому докладніше.

Повноважний (примусовий) контроль доступу на відміну дескриційного (реалізованого у системі безпеки Windows NT і вище), полягає в тому, що господар ресурсу (наприклад файлу), не може послабити вимоги на доступ до цього ресурсу, а може лише посилювати їх у межах свого рівня. Послаблювати вимоги може лише користувач, наділений особливими повноваженнями - офіцер або адміністратор інформаційної безпеки.

Основною метою розробки продуктів типу Страж, Акорд, SecretNet, DallasLock та ще деяких, була можливість сертифікації інформаційних систем у яких ці продукти будуть встановлені, на відповідність вимогам Держтехкоммісії (зараз ФСТЕК). Така сертифікація є обов'язковою для інформаційних систем у яких обробляється держ. таємниця, що в основному і забезпечувало попит на товари з боку державних підприємств.

Тому набір функцій реалізованих у цих продуктах визначався вимогами відповідних документів. Що своєю чергою спричинило те що, що більшість реалізованого у продуктах функціоналу, або дублює штатний функціонал Windows (очищення об'єктів після видалення, очищення ОЗУ), або його неявно використовує (дескрицирный контроль доступу). Розробники DallasLock пішли ще далі, реалізувавши мандатний контроль доступу своєї системи, через механізм дескриційного контролю Windows.

Практичне застосування подібних продуктів вкрай не зручне, наприклад, DallasLock для установки вимагає перерозбивки. жорсткого диска, яку до того ж треба виконувати за допомогою стороннього програмного забезпечення. Дуже часто після сертифікації ці системи видалялися або відключалися.

SecrecyKeeper (www.secrecykeeper.com) – ще один продукт, що реалізує повноважний механізм контролю доступу. За словами розробників, розроблявся SecrecyKeeper саме для вирішення конкретного завдання – запобігання крадіжці інформації в комерційній організації. Тому, знову ж таки зі слів розробників, особлива увага при розробці приділялася простоті та зручності використання як для адміністраторів системи так і для простих користувачів. Як це вдалося - судити споживачеві, тобто. нам. Крім того в SecrecyKeeper реалізовано ряд механізмів, які в інших згаданих системах відсутні - наприклад, можливість встановлювати рівень секретності для ресурсів з віддаленим доступомта механізм захисту агента.
Контроль переміщення інформації в SecrecyKeeper реалізований на основі Рівню Секретності Інформації, Рівень Допуску Користувача та Рівню Безпеки Комп'ютера, які можуть набувати значень public, secret та top secret. Рівень Секретності Інформація дозволяє класифікувати оброблювану в системі інформацію за трьома категоріями:

public - не секретна інформація, під час роботи з нею жодних обмежень немає;

secret - секретна інформація, при роботі з нею вводяться обмеження в залежності від рівня Допуску Користувача;

top secret - абсолютно секретна інформація, при роботі з нею вводяться обмеження в залежності від рівня Допуску Користувача.

Рівень Секретності Інформація може встановлюватися для файлу, мережного дискаі порту комп'ютера на якому запущено якусь службу.

Рівні Допуску Користувача дозволяють визначити, як користувач може переміщувати інформацію, залежно від її Секретності. Існують такі рівні Допуску Користувача:

Рівень Допуску Користувача - обмежує максимальний Рівень Секретності Інформація до якої може отримати доступ співробітник;

Рівень Допуску до Мережі обмежує максимальний Рівень Секретності Інформації, яку співробітник може передавати по мережі;

Рівень Допуску до Змінним носіям- обмежує максимальний рівень секретності інформації, яку співробітник може копіювати на зовнішні носії.

Рівень Допуску до Принтера – обмежує максимальний Рівень секретності інформації, яку співробітник може роздрукувати.

Рівень безпеки комп'ютера - визначає максимальний рівень секретності інформації, яка може зберігатися і оброблятися на комп'ютері.

Доступ до інформації, що має рівень секретності public, може бути здійснений співробітником з будь-яким рівнем допуску. Така інформація без обмежень може передаватися через мережу та копіюватися на зовнішні носії. Історія роботи з інформацією, що має рівень секретності, public не відстежується.

Доступ до інформації, що має рівень секретності secret, можуть отримати тільки співробітники, рівень допуску яких дорівнює secret або вище. Передавати таку інформацію в мережу можуть лише співробітники рівень допуску до мережі яких дорівнює secret і вище. Копіювати таку інформацію на зовнішні носії можуть лише співробітники, рівень допуску до змінних носіїв яких дорівнює secret і вище. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтера яких дорівнює secret і вище. Історія роботи з інформацією має рівень секретності secret, тобто. спроби отримати доступ до неї, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Доступ до інформації, що має рівень секретності top secret, можуть отримати лише співробітники, рівень допуску яких дорівнює top secret. Передавати таку інформацію в мережу можуть лише співробітники рівень допуску до мережі яких дорівнює top secret. Копіювати таку інформацію на зовнішні носії можуть лише співробітники, рівень допуску до змінних носіїв яких дорівнює top secret. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтера яких дорівнює top secret. Історія з інформацією має рівень секретності top secret, тобто. спроби отримати доступ до неї, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Приклад: нехай співробітник має Рівень Допуску рівний top secret, Рівень Допуску до Мережі рівний secret, Рівень Допуску до Змінних Носіїв рівний public та Рівень Допуску до Принтеру рівний top secret; в цьому випадку співробітник може отримати доступ до документа, що має будь-який рівень секретності, передати в мережу співробітник може інформацію, що має рівень секретності не вище ніж secret, копіювати, наприклад на дискети, співробітник може тільки інформацію з рівнем секретності public і роздруковувати на принтері співробітник може будь-яку інформацію .

Для управління розповсюдженням інформації на підприємство кожному комп'ютеру, закріпленому за співробітником, присвоюється Рівень Безпеки Комп'ютера. Цей рівень обмежує максимальний рівень секретності інформації, до якої будь-який співробітник може отримати доступ з даного комп'ютера, незалежно від рівнів допуску працівника. Т.о. якщо співробітник має Рівень Допуску рівним top secret, а комп'ютер на якому він у Наразіпрацює Рівень Безпеки рівний public, то співробітник не зможе з цього робочої станціїотримати доступ до інформації з рівнем секретності вище, ніж public.

Озброївшись теорією, спробуємо застосувати SecrecyKeeper для вирішення поставленого завдання. Спрощено описати інформацію, що обробляється в інформаційної системианалізованого абстрактного підприємства (див. постановку завдання), можна за допомогою наступної таблиці:

Співробітників підприємства та сфера їх посадових інтересів описується за допомогою другої таблиці:

нехай на підприємстві використовуються такі сервери:
Сервер 1С
Файловий сервер із кулями:
SecretDocs - містить секретні документи
PublicDocs - містить загальнодоступні документи

Зауважу, що для організації стандартного розмежування доступу використовуються штатні можливості операційної системита прикладного ПЗ, тобто. Для того, щоб запобігти доступу наприклад менеджера до персональних даних співробітників, додаткових систем захисту вводити не треба. Йдеться саме про протидію поширенню інформації, до якої працівник має законний доступ.

Переходимо до безпосереднього налаштування SecrecyKeeper.
Процес установки консолі управління та агентів описувати не буду, там все максимально просто – див. документацію до програми.
Налаштування системи складається з таких дій.

Крок 1. Встановити агенти на всі ПК крім серверів - це відразу дозволяє запобігти попаданню на них інформації для якої встановлено рівень секретності вище, ніж public.

Крок 2. Присвоїти співробітникам рівні Допуски відповідно до наступної таблиці:

	Рівень Допуску Користувача	Рівень Допуску до Мережі	Рівень Допуску до Змінних Носіїв	Допуск до Принтера
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретар	public	public	public	public

Крок 3. Присвоїти рівні Безпеки Комп'ютера наступним чином:

Крок 4. Налаштувати рівні секретності інформації на серверах:

Крок 5. Налаштувати рівні секретності інформації на ПК співробітників для локальних файлів. Це найбільш трудомістка частина, тому що необхідно чітко уявляти, хто зі співробітників з якою інформацією працює і наскільки ця інформація критична. Якщо в організації було проведено аудит інформаційної безпеки, його результати можуть значно полегшити завдання.

Крок 6. При необхідності SecrecyKeeper дозволяє обмежити список програм, дозволених до запуску користувачам. Цей механізм реалізований незалежно від Windows Software Restriction Policy і може використовуватися якщо, наприклад, треба накласти обмеження і на користувачів з правами адміністратора.

Таким чином за допомогою SecrecyKeeper, можливо, значно знизити ризик несанкціонованого поширення секретної інформації - як витоку, так і крадіжки.

Недоліки:
- труднощі з початковим настроюванням рівнів секретності для локальних файлів;

Загальний висновок:
максимальні можливості захисту інформації від інсайдерів надає ПЗ, що володіє можливістю динамічно регулювати доступ до каналів передачі інформації, залежно від ступеня секретності інформації з якою ведеться робота і рівня допуску співробітника.

Компанія - Це унікальний сервіс для покупців, розробників, дилерів та афіліат-партнерів. Крім того, це один з найкращих Інтернет-магазинівПЗ у Росії, Україні, Казахстані, який пропонує покупцям широкий асортимент, безліч способів оплати, оперативну (часто миттєву) обробку замовлення, відстеження процесу виконання замовлення в персональному розділі.

Це цікаво: