Schutz von Informationen vor Insidern mithilfe von Softwaretools. Insider-Bedrohungen: eine neue Herausforderung für Informationssicherheitsdienste von Unternehmen

Nach Angaben verschiedener Analyseunternehmen kommt es sehr häufig zu Informationslecks, die nicht auf Diebstahl von außen zurückzuführen sind, sondern auf die Weitergabe vertraulicher Informationen durch eigene Mitarbeiter an Vertreter konkurrierender Organisationen. Heutzutage gibt es viele verschiedene Geräte, auf die alle im lokalen Netzwerk der Organisation gespeicherten Dokumente kopiert werden können. Und es sind nicht nur externe USB-Laufwerke oder CD/DVD-Laufwerke. Sie können Informationen auch auf MP3-Player oder Mobiltelefone kopieren, die möglicherweise direkt mit einem Computer verbunden sind, auf externe Geräte, die über WLAN und auf andere Weise mit einem lokalen Netzwerk verbunden werden können. Darüber hinaus handelt es sich dabei um den Versand per E-Mail, mittels Instant-Messaging-Programmen, über Foren, Blogs und Chats. Es gibt viele Möglichkeiten. Kann man sich davor schützen?

Für Schutz der Daten vor Insidern Verwenden Sie verschiedene Methoden, einschließlich der Verwendung spezieller Programme zur Steuerung der Verwendung von Peripheriegeräten. In diesem Artikel betrachten wir mehrere Programme, sowohl ausländische als auch inländische Hersteller, und versuchen herauszufinden, wo und wann sie angewendet werden sollten.

Das Programm ist konzipiert für Zugangsbeschränkungen auf verschiedene Peripheriegeräte, mit der Möglichkeit, „weiße“ Listen zu erstellen, Benutzeraktivitäten zu überwachen und Schattenkopien von Dateien auf oder von kontrollierten Geräten zu kopieren. Es ist möglich, Tracking-Treiber sowohl zentral als auch lokal zu installieren.

Die Anwendung kann sowohl zentral als auch lokal installiert werden, wenn der Zugriff auf den geschützten Computer über das Netzwerk eingeschränkt oder nicht möglich ist. Ein einzelnes Distributionskit umfasst mehrere Module: Server, der auf dem Server des lokalen Büronetzwerks installiert ist und bestimmte Aktionen zulässt/verbietet, Informationen in der Datenbank speichert; Client, implementiert als Tracking-Treiber; Administrator und Datenbank, die als SQLite verwendet wird.

Tracking-Treiber bieten Kontrolle verschiedene Häfen, darunter USB, CIM, LPT, WiFi, IR und andere. Je nach Porttyp können Sie den Zugriff vollständig verweigern, das Lesen zulassen oder den vollständigen Zugriff auf das Gerät zulassen. Es gibt keine zeitliche Verteilung des Zugriffs. Es wurde außerdem festgestellt, dass beim Gewähren des schreibgeschützten Zugriffs auf Geräte wie USB-Flash-Laufwerke die Möglichkeit bestehen bleibt, normale Textdateien auf diesen Geräten zu bearbeiten und sie auf demselben Medium zu speichern.

Zeigt an Computer angeschlossene USB-Geräte an und führt ein Protokoll der Benutzeraktionen mit externen Speicherlaufwerken. In der Datenbank werden Informationen über die Verbindungs-/Trennzeit von Geräten und darüber gespeichert, welche Dateien wann gelesen oder geschrieben wurden. Schattenkopie von Dateien implementiert, die von USB-Geräten gelesen oder darauf geschrieben wurden. Es erfolgt keine Schattenkopie von Dateien, die zum Drucken oder an andere Geräte gesendet werden, sie werden nur protokolliert.

Es gibt das Konzept einer „Whitelist“, die USB-Geräte umfasst, auf die immer auf allen Computern zugegriffen werden muss (z. B. USB-Sticks). Diese Liste ist für alle Computer gleich; es gibt keine individuellen Listen für einzelne Benutzer.

Bietet die Konfiguration des Zugriffs auf verschiedene externe Geräte, wählt jedoch nicht die an diese Ports angeschlossenen Drucker aus der allgemeinen Liste der USB-Geräte aus. Gleichzeitig unterscheidet es zwischen Wechselmedien und kann für diese unterschiedliche Zugriffsarten einstellen. Wechselmedien werden automatisch zur Gerätedatenbank hinzugefügt (das Programm fügt der Datenbank alle USB-Laufwerke hinzu, die jemals an einen bestimmten Computer angeschlossen waren), sodass Sie die ihnen zugewiesenen Zugriffsrechte auf alle durch das Programm geschützten Computer anwenden können.

Es bietet die Möglichkeit, die zentralisierte Installation von Client-Teilen mithilfe der Active Directory-Gruppenrichtlinie zu nutzen. Gleichzeitig können Sie sie lokal und über das Programmadministratorfenster installieren. Die Differenzierung der Zugriffsrechte erfolgt auf Basis von Zugriffskontrollrichtlinien, es ist jedoch möglich, mehrere Richtlinien zu erstellen, die individuell für verschiedene Computer angewendet werden können. Zusätzlich zur Zugriffskontrollfunktion ermöglicht es die Protokollierung der Nutzung von Geräten auf dem lokalen Computer.

Das Programm unterstützt die Schattenkopiefunktion – die Möglichkeit, eine exakte Kopie der vom Benutzer kopierten Dateien auf externen Speichergeräten zu speichern. Exakte Kopien aller Dateien werden in einem speziellen Speicher gespeichert und können später mit dem integrierten Analysesystem analysiert werden. Das Schattenkopieren kann für einzelne Benutzer und Benutzergruppen eingestellt werden. Wenn die Funktion „Nur Protokoll behalten“ aktiviert ist, werden beim Kopieren von Dateien nur Informationen darüber gespeichert (ohne eine exakte Kopie der Datei zu speichern).

Das Programm verfügt nicht über das Konzept einer „weißen Liste“ von Geräten. Stattdessen können Sie in der allgemeinen Richtlinie Wechselmedien angeben und den Zugriff darauf von jedem Computer aus zulassen. Beachten Sie, dass es keine Möglichkeit gibt, dieselben Einstellungen auf einzelne CDs/DVDs anzuwenden.

Firmenprogramm GFIübertrifft sowohl in seinen Fähigkeiten deutlich als auch - darin gibt es beispielsweise viel mehr gesteuerte Geräte als frühere Programme (iPod-Mediaplayer, Creative Zen, Mobiltelefone, Digitalkameras, Archivierungstools auf Magnetbändern und Zip-Disks, Webkameras, Scanner).

Das Programm bietet drei typische Einstellungen für Zugriffsrechte – für Server, Workstations und Laptops. Zusätzlich zu Geräteblockierung, das Programm hat die Möglichkeit Zugriffssperre Dateien abhängig von ihrem Typ. Sie können beispielsweise den Lesezugriff auf Dokumentdateien zulassen, den Zugriff auf ausführbare Dateien jedoch verweigern. Es ist auch möglich, den Zugriff auf Geräte nicht nur nach ihrem Typ zu blockieren, sondern auch nach dem physischen Port, an den externe Geräte angeschlossen sind. Noch eine Zugriffsrechte festlegen erfolgt über eindeutige Gerätekennungen.

Der Anwendungsadministrator kann zwei Arten von Gerätelisten verwalten – diejenigen, die standardmäßig zugelassen sind („weiße Liste“), und solche, denen der Zugriff verweigert wird („schwarze Liste“). Ein IT-Spezialist kann temporäre Berechtigungen für den Zugriff auf Geräte oder Gerätegruppen auf einem einzelnen Computer erteilen (umgesetzt durch die Generierung eines speziellen Codes, der an den Benutzer übertragen werden kann, auch wenn sein Computer vom Netzwerk getrennt ist und der Anwendungsagent keine Verbindung herstellen kann). der Server).

Das Programm unterstützt eine neue Verschlüsselungsfunktion namens BitLocker To Go in Windows 7. Diese Funktion dient zum Schutz und zur Verschlüsselung von Daten auf Wechseldatenträgern. GFI EndPointSecurity kann diese Geräte erkennen und je nach Typ Zugriff auf die darauf gespeicherten Dateien gewähren.

Bietet dem Administrator ein leistungsstarkes Berichtssystem. Das Statistik-Subsystem (GFI EndPointSecurity ReportPack) zeigt (in Text- und Grafikform) eine tägliche Zusammenfassung der Gerätenutzung sowohl für ausgewählte Computer als auch für alle Computer im Allgemeinen. Sie können auch statistische Daten zur Benutzeraktivität nach Tag, Woche, Monat, aufgeschlüsselt nach verwendeten Anwendungen, Geräten und Dateizugriffspfaden abrufen.

Eines der gängigsten Programme zum Schutz von Informationen vor Insidern in Russland. wird in Russland unter dem Markennamen „1C: Distribution“ veröffentlicht

Das Programm bietet Kontrolle nicht nur Geräte mit Windows Mobile, sondern auch Geräte mit iPhone OS und Palm OS. Gleichzeitig wird auch eine Schattenkopie aller überschriebenen Dateien und Daten bereitgestellt, unabhängig davon, über welchen Port diese Geräte mit dem überwachten Netzwerk verbunden sind. Das Schattenkopieren kann nicht nur nach Gerät, sondern auch nach Dateityp konfiguriert werden, wobei der Typ nicht anhand von Erweiterungen, sondern anhand ihres Inhalts bestimmt wird.

Sie können den schreibgeschützten Zugriff für Wechselmedien, einschließlich Bandlaufwerken, festlegen. Als zusätzliche Option – Schutz der Medien vor versehentlicher oder absichtlicher Formatierung. Sie können auch alle Benutzeraktionen mit Geräten und Dateien aufzeichnen (nicht nur Kopieren oder Lesen, sondern auch Löschen, Umbenennen usw.).

Mithilfe der Streaming-Komprimierung kann die Netzwerklast bei der Übertragung von Daten, die von Agenten und Schattenkopiedateien empfangen werden, reduziert werden. Schattenkopiedaten in großen Netzwerken können auf mehreren Servern gespeichert werden. Das Programm wählt automatisch den optimalen Server aus und berücksichtigt dabei die Netzwerkbandbreite und die Serverlast.

Viele Organisationen verwenden zum Schutz von Daten Festplatten, die durch spezielle Verschlüsselungsprogramme geschützt sind – ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt und TrueCrypt. Für solche Datenträger kann das Programm spezielle „Verschlüsselungsrichtlinien“ festlegen, die es Ihnen ermöglichen, nur verschlüsselte Daten auf Wechseldatenträger zu schreiben. Die Arbeit wird auch mit Lexar JumpDrive SAFE S3000- und Lexar SAFE PSD-Flash-Laufwerken unterstützt, die Hardware-Datenverschlüsselung unterstützen. In der nächsten Version wird auch die Arbeit mit dem in Windows 7 integrierten Datenverschlüsselungstool auf Wechselmedien BitLocker To Go unterstützt.

Das Schattenkopieren dient nicht nur dem Speichern von Kopien von Dateien, sondern auch der Analyse der verschobenen Informationen. kann eine Volltextsuche für den Inhalt von Dateien durchführen und dabei Dokumente in verschiedenen Formaten automatisch erkennen und indizieren.

Die Veröffentlichung einer neuen Version des Programms wurde bereits angekündigt, die neben einer vollwertigen Suche auch eine Inhaltsfilterung von Dateien, die auf Wechselspeichergeräte jeglicher Art kopiert werden, sowie eine Kontrolle des Dateninhalts implementiert Objekte, die von einem Computer über Netzwerkkommunikationskanäle übertragen werden, einschließlich E-Mail-Anwendungen, interaktive Webdienste, soziale Netzwerke, Foren und Konferenzen, die beliebtesten Instant-Messaging-Dienste (Instant Messenger), Dateiaustausch über FTP sowie Telnet-Sitzungen

Einzigartig in der neuen Version ist die Technologie zum Filtern von Textdaten im Kanal des Netzwerk- und lokalen Druckens von Dokumenten für Aufträge in den Formaten PCL und PostScript, die es ermöglicht, das Drucken von Dokumenten abhängig von ihrem Informationsgehalt zu blockieren oder zuzulassen.

Schlussfolgerungen


Remote-Client-Verwaltung
Steuerung über MMC-Snap-In
Zentralisierte Richtlinieneinstellung, -kontrolle und -wiederherstellung
Steuerung externer Geräte	Nur USB
WiFi-Adaptersteuerung
Steuerung von Palm OS-Geräten. iPhone/iPod			Begrenzt	Begrenzt
Unterstützung für Whitelisting-Technologie
Unterstützung für Medien-Whitelisting-Technologie
Unterstützung für externe verschlüsselte Laufwerke
Keylogger blockieren
Begrenzung der kopierten Datenmenge
Daten nach Typ steuern
Zentralisierte Protokollierung
Schattenkopie	Nur USB	Nur USB	Teilweise
Schattenkopie von Druckdaten
Grafische Protokollierungs- und Shadowing-Berichte
Volltextsuche in Schattenkopiedaten

Die ersten beiden der besprochenen Programme können dazu verwendet werden Informationsschutz vor Diebstahl, aber ihre Möglichkeiten sind begrenzt. Sie „schließen“ standardmäßige externe Geräte in unterschiedlichem Maße, ihre Möglichkeiten sind jedoch begrenzt – sowohl hinsichtlich der Einstellungen als auch hinsichtlich der Analyse der Benutzerarbeit. Diese Programme können „zum Testen“ empfohlen werden, um den eigentlichen Schutzprozess zu verstehen. Für große Organisationen, die eine Vielzahl von Peripheriegeräten verwenden und eine Analyse der Benutzeraktivität benötigen, sind die oben genannten Programme eindeutig unzureichend.

Für sie ist es besser, auf Programme zu achten – und. Dabei handelt es sich um professionelle Lösungen, die sowohl in Unternehmen mit kleinen als auch großen Rechnerzahlen eingesetzt werden können. Beide Programme ermöglichen die Steuerung verschiedener Peripheriegeräte und Ports und verfügen über leistungsstarke Analyse- und Berichtssysteme. Es gebe aber erhebliche Unterschiede zwischen ihnen, so das Programm des Unternehmens GFI in diesem Fall kann als Basis genommen werden. kann nicht nur Geräte steuern und mit Daten arbeiten, sondern auch die Nutzung von Software. Diese Funktion „zieht“ es aus der Nische „Gerätesteuerung“ in das Segment „Content-Aware Endpoint DLP“. Neue, angekündigte Funktionen ermöglichen es ihm, sich deutlich von seinen Mitbewerbern abzuheben, da die Möglichkeit besteht, Inhalte zu dem Zeitpunkt zu analysieren, zu dem der Benutzer verschiedene Aktionen mit Daten ausführt, einschließlich Streaming, sowie eine Reihe von Kontextparametern der Netzwerkkommunikation zu steuern. einschließlich E-Mail-Adressen, IP-Adressen, Benutzer-IDs und Netzwerkanwendungsressourcen usw. Dies ist beim Partner „1Soft“ möglich.

Michail Abramzon

Ich denke, es ist für jeden offensichtlich, dass vor dem Hintergrund der aktuellen Krise gerade im Finanzsektor eine grandiose Umverteilung des Eigentums stattfindet. Konkurrenten scheuen keine Mittel. Im Krieg wird wie im Krieg alles genutzt. Die Nutzung von Insiderinformationen ist oft der Schlüssel zum Sieg und für manche die Quelle der Niederlage.

Es geht nicht mehr um Rufschädigung oder finanzielle Schwierigkeiten des Unternehmens. Oft sprechen wir vom banalen Überleben des Unternehmens.

Die klassische Definition eines Insiders ist ein Mitglied eines begrenzten Personenkreises, der Zugang zu wichtigen Insiderinformationen hat. Aus Sicht der Finanzstrukturen ist ein Insider ein Angreifer, der sein Wissen über die Emittenten von Wertpapieren nutzt, um an der Börse zu spielen oder diese Informationen an Dritte zu verkaufen. Strafverfolgungsbehörden betrachten einen Insider als einen Agenten, der Informationen über die Operationen des Innenministeriums an eine organisierte kriminelle Gemeinschaft verkauft.

Spezialisten für Informationssicherheit betrachten Unternehmensmitarbeiter, die Zugang zu vertraulichen Daten im lokalen Netzwerk des Unternehmens haben, als Insider.

Mitarbeiter können diese Informationen freiwillig oder unfreiwillig offenlegen. Neben dem regelrechten Datendiebstahl zum Zwecke des Weiterverkaufs oder der Offenlegung zum Nachteil des Unternehmens gibt es eine Vielzahl von Fällen, in denen Informationen durch Fehler oder Missverständnisse in die falschen Hände geraten. Dabei kann es sich um einen Brief mit wichtigen Spezifikationen handeln, der von einer „dummen“ Sekretärin an die falsche Stelle geschickt wurde, oder es handelt sich um einen nicht eindeutigen Hinweis der Behörden, wodurch die „Quellcodes“ eines neuen Softwareprodukts veröffentlicht werden die Website des Unternehmens.

Welche Daten sind für Angreifer am häufigsten interessant?

Seltsamerweise interessieren sich Insider laut Statistik vor allem für personenbezogene Daten. 68 % der Befragten der Studie Insider Threats in Russia 2009 gaben an, dass diese Art von Informationen zum Gegenstand ungesunder Aufmerksamkeit der Mitarbeiter wird. Und das, obwohl solche Informationen keine kommerziellen Vorteile wie technische Spezifikationen neuer Produkte, Finanzberichte oder Geschäftspläne mit sich bringen ... Diese Informationen ziehen auch die Aufmerksamkeit von Insidern auf sich, sind aber in unserem Land traditionell besser geschützt.

Ich möchte darauf hinweisen, dass es unrealistisch ist, absolut alle Informationen vor Lecks zu schützen. Nach Ansicht der Spezialisten unseres Unternehmens ist es sinnvoll, sich auf den Schutz von zwei Hauptkategorien von Daten zu konzentrieren:

Informationen zum Kundenstamm – Firmennamen, Namen und Kontaktdaten der Kunden (Telefone, Adressen, E-Mail).
Informationen, die bei Kunden Panik auslösen oder große Transaktionen stören können. Dabei kann es sich um Informationen über Massenentlassungen von Mitarbeitern, das Einfrieren von Einlagen, Zahlungsverzögerungen usw. handeln.

Es ist zu beachten, dass die Systeme zum Schutz vor unbefugtem Zugriff (NSA) oder zur Rechteverteilung (DRM) in diesem Fall nur sehr begrenzt helfen. Dies ist auf die Tatsache zurückzuführen, dass es in der Regel Personen sind, die über Zugang und entsprechende Rechte verfügen und zu einer Quelle für Informationslecks werden. Aber die sogenannten DLP-Systeme (Data Leakage Prevention) – Systeme zur Verhinderung von Datenlecks – werden sehr effektiv sein.

Kundeninformationen können mithilfe formaler Datenbanksicherheitsmethoden geschützt werden. Hierbei handelt es sich um die Analyse formaler Dateiattribute bzw. die Verfolgung von Dateifingerabdrücken (Fingerprints). Derzeit werden diese Schutzmethoden von den meisten Entwicklern von DLP-Systemen unterstützt.

Was die Lecks von „Panik“-Informationen betrifft, können wir sagen, dass es nur mit Hilfe der sogenannten Inhaltsfilterung wirklich möglich ist, sie aufzuspüren. Dies ist eine beliebte Technologie, die von Antiviren- und Spamfiltern verwendet wird. Sein Kern besteht darin, den gesamten Informationsfluss in der Informationsinfrastruktur des Unternehmens anhand seines Inhalts (Inhalts) zu sortieren und zu klassifizieren. Dabei handelt es sich um sehr komplexe und spezifische Produkte, die von Fachleuten konfiguriert werden müssen.

Eine Schlüsselfunktion zur Verhinderung des Verlusts von Insiderinformationen besteht darin, den Informationsfluss vom internen Informationssystem nach außen zu blockieren. Dabei handelt es sich zunächst einmal um die Weiterleitung per E-Mail und über Internetkanäle (die nicht in allen Systemen verfügbar ist). Viele Unternehmen bleiben bei der üblichen Überwachung von Informationen mit anschließender Analyse stehen. Dies scheint eine einfachere Methode zu sein, als mit möglichen Fehlalarmen von DLP-Systemen spontan umzugehen. Es ist jedoch anzumerken, dass es viel besser ist, die Weitergabe von Informationen zu verhindern, die für die Existenz eines Unternehmens wirklich wichtig sind, als die Täter im Nachhinein zu bestrafen. Daher ist die Implementierung und Wartung von DLP-Systemen die beste Investition, um Ihr Unternehmen vor Insidern zu schützen.

Automatisierte Systeme zur Verhinderung von Informationslecks, die auf Inhaltsfilterung basieren, sind keineswegs das einzige Glied in der Schutzkette. Ein wirksamer Schutz sensibler Daten kann nur durch die Kombination technischer, administrativer und organisatorischer Maßnahmen geschaffen werden! Als integraler Bestandteil der Bekämpfung von Insiderinformationen sollten im Unternehmen folgende Maßnahmen ergriffen werden:

Software-Standardisierung unter strikter Einhaltung der Anforderungen von Sicherheitsspezialisten. Durch verschiedene, nicht standardmäßige Software, die Benutzer auf ihren Computern installieren, verschwindet ein sehr beträchtlicher Prozentsatz an Informationen.
Strikte Einhaltung der Unternehmenssicherheitsregeln, einschließlich organisatorischer Regeln (Beschränkungen des Zugangs zu Räumlichkeiten, Einschränkungen bei der Verwendung tragbarer Laufwerke usw.)
Gesetzlich durchgesetzte Verantwortung des Personals für die Offenlegung vertraulicher Informationen mit einer klaren Definition dessen, was genau in der Liste dieser Informationen enthalten ist.
Zentralisiert und vollständig vom IT-Dienst und dem Sicherheitsdienst kontrolliert, erfolgt der Zugriff von Mitarbeitern aller Dienstgrade auf das Internet.
Verwendung von Bebei der Arbeit in der Unternehmensinformationsumgebung.
Schulung der Mitarbeiter im sicheren Umgang mit Informationen, Computern und dem Internet.

In letzter Zeit ist das Problem des Schutzes vor internen Bedrohungen zu einer echten Herausforderung für die klare und etablierte Welt der Ungeworden. Die Presse berichtet von Insidern, Forscher und Analysten warnen vor möglichen Verlusten und Problemen, und in den Newsfeeds wimmelt es von Berichten über einen weiteren Vorfall, der aufgrund eines Fehlers oder einer Unaufmerksamkeit eines Mitarbeiters zum Verlust Hunderttausender Kundendaten geführt hat. Versuchen wir herauszufinden, ob dieses Problem so schwerwiegend ist, ob es angegangen werden sollte und welche Tools und Technologien zur Lösung verfügbar sind.

Zunächst muss festgestellt werden, dass die Gefährdung der Vertraulichkeit der Daten intern ist, wenn die Quelle ein Mitarbeiter des Unternehmens oder eine andere Person ist, die rechtmäßigen Zugriff auf diese Daten hat. Wenn wir also über interne Bedrohungen sprechen, sprechen wir über alle möglichen absichtlichen oder versehentlichen Handlungen rechtmäßiger Benutzer, die zum Verlust vertraulicher Informationen außerhalb des Unternehmensnetzwerks eines Unternehmens führen können. Um das Bild zu vervollständigen, ist es erwähnenswert, dass solche Benutzer oft als Insider bezeichnet werden, obwohl dieser Begriff auch andere Bedeutungen hat.

Die Relevanz des Problems interner Bedrohungen wird durch Ergebnisse neuerer Studien bestätigt. Insbesondere wurden im Oktober 2008 die Ergebnisse einer gemeinsamen Studie von Compuware und Ponemon Institue bekannt gegeben, wonach Insider die häufigste Ursache für Datenlecks sind (75 % der Vorfälle in den USA), während Hacker nur an fünfter Stelle standen . In der jährlichen Umfrage des Computer Security Institute (CSI) für 2008 lauten die Zahlen zu Insider-Bedrohungsvorfällen wie folgt:

Der Prozentsatz der Vorfälle bedeutet, dass von der Gesamtzahl der Befragten diese Art von Vorfall im angegebenen Prozentsatz der Organisationen aufgetreten ist. Wie aus diesen Zahlen hervorgeht, besteht für nahezu jede Organisation das Risiko, unter internen Bedrohungen zu leiden. Zum Vergleich: Laut demselben Bericht waren 50 % der befragten Organisationen von Viren betroffen, und nur 13 % waren dem Eindringen von Hackern in das lokale Netzwerk ausgesetzt.

Somit sind interne Bedrohungen die Realität von heute und kein von Analysten und Anbietern erfundener Mythos. Wer also ganz altmodisch glaubt, dass Uneine Firewall und ein Antivirenprogramm sei, muss sich das Problem so schnell wie möglich genauer ansehen.

Auch das Gesetz „Über personenbezogene Daten“ erhöht die Spannungen, wonach Organisationen und Beamte sich nicht nur gegenüber ihrem Management, sondern auch gegenüber ihren Kunden und vor dem Gesetz für den missbräuchlichen Umgang mit personenbezogenen Daten verantworten müssen.

Eindringlingsmodell

Traditionell sollte man bei der Betrachtung von Bedrohungen und Möglichkeiten zum Schutz vor ihnen mit einer Analyse des Eindringlingsmodells beginnen. Wie bereits erwähnt, sprechen wir über Insider – Mitarbeiter der Organisation und andere Benutzer, die legalen Zugang zu vertraulichen Informationen haben. In der Regel denkt jeder bei diesen Worten an einen Büroangestellten, der an einem Computer im Unternehmensnetzwerk arbeitet und während seiner Arbeit das Büro der Organisation nicht verlässt. Diese Darstellung ist jedoch unvollständig. Es muss ausgeweitet werden, um auch andere Arten von Personen mit legalem Zugang zu Informationen einzubeziehen, die das Büro der Organisation verlassen können. Dabei kann es sich um Geschäftsreisende mit Laptops handeln, um solche, die sowohl im Büro als auch zu Hause arbeiten, um Kuriere, die Medien mit Informationen transportieren, vor allem Magnetbänder mit Backup usw.

Eine solche erweiterte Betrachtung des Eindringlingsmodells passt erstens in das Konzept, da die von diesen Eindringlingen ausgehenden Bedrohungen auch interner Natur sind, und ermöglicht uns zweitens, das Problem umfassender zu analysieren und alle möglichen Optionen zur Bekämpfung dieser Bedrohungen zu berücksichtigen.

Die folgenden Haupttypen interner Übertreter können unterschieden werden:

Illoyaler/beleidigter Mitarbeiter.Verstöße dieser Kategorie können gezielt handeln, indem sie beispielsweise den Arbeitsplatz wechseln und vertrauliche Informationen stehlen wollen, um das Interesse eines neuen Arbeitgebers zu wecken, oder emotional, wenn sie sich beleidigt fühlen und sich deshalb rächen wollen. Sie sind gefährlich, weil ihr größtes Motiv darin besteht, der Organisation, in der sie derzeit arbeiten, Schaden zuzufügen. Die Zahl der Vorfälle mit illoyalen Mitarbeitern ist in der Regel gering, kann jedoch bei ungünstigen wirtschaftlichen Rahmenbedingungen und massivem Personalabbau zunehmen.
Eingebetteter, bestochener oder manipulierter Mitarbeiter.In diesem Fall handelt es sich in der Regel um gezielte Handlungen zum Zweck der Wirtschaftsspionage in einem hart umkämpften Umfeld. Um vertrauliche Informationen in einem Konkurrenzunternehmen zu sammeln, stellen sie entweder ihre eigene Person für bestimmte Zwecke vor, oder sie finden einen Mitarbeiter, der nicht der loyalste ist, und bestechen ihn, oder ein treuer, aber nicht wachsamer Mitarbeiter wird gezwungen, vertrauliche Informationen mit Mitteln weiterzugeben des Social Engineering. Die Zahl solcher Vorfälle ist in der Regel sogar geringer als bei den vorherigen, da der Wettbewerb in den meisten Wirtschaftszweigen der Russischen Föderation noch nicht sehr ausgeprägt ist oder auf andere Weise umgesetzt wird.
Schurkenangestellter.Bei dieser Art von Verstößen handelt es sich um loyale, aber unaufmerksame oder fahrlässige Mitarbeiter, die aufgrund von Unwissenheit oder Vergesslichkeit gegen die internen Sicherheitsrichtlinien des Unternehmens verstoßen können. Ein solcher Mitarbeiter kann versehentlich eine E-Mail mit einer geheimen Datei an die falsche Person senden oder einen USB-Stick mit vertraulichen Informationen für die Arbeit am Wochenende mit nach Hause nehmen und ihn verlieren. Zur gleichen Kategorie gehören Mitarbeiter, die Laptops und Magnetbänder verlieren. Nach Ansicht vieler Experten ist diese Art von Insider für die meisten Lecks vertraulicher Informationen verantwortlich.

Daher können sich die Motive und damit auch die Vorgehensweise potenzieller Täter erheblich unterscheiden. Abhängig davon sollte man sich der Lösung des Problems der Gewährleistung der inneren Sicherheit der Organisation nähern.

Technologien zum Schutz vor Insider-Bedrohungen

Obwohl dieses Marktsegment noch relativ jung ist, haben Kunden je nach Aufgabenstellung und finanziellen Möglichkeiten bereits eine große Auswahl. Es ist zu beachten, dass es derzeit praktisch keine Anbieter auf dem Markt gibt, die sich ausschließlich auf interne Bedrohungen spezialisieren würden. Diese Situation ist nicht nur auf die Unreife dieses Segments zurückzuführen, sondern auch auf aggressive und manchmal chaotische Fusionen und Übernahmen von Herstellern traditioneller Schutzmittel und anderen Anbietern, die an einer Präsenz in diesem Segment interessiert sind. Es lohnt sich, sich an RSA Data Security zu erinnern, das 2006 zu einem Geschäftsbereich von EMC wurde, an den Kauf von Decru durch NetApp, einem Startup, das Serverspeicher- und Backup-Schutzsysteme entwickelte, im Jahr 2005, an den Kauf des DLP-Anbieters Vontu durch Symantec im Jahr 2007 usw.

Obwohl eine Vielzahl solcher Transaktionen auf gute Aussichten für die Entwicklung dieses Segments hinweist, kommen sie nicht immer der Qualität der Produkte zugute, die unter die Fittiche großer Konzerne fallen. Produkte entwickeln sich langsamer und Entwickler reagieren nicht so schnell auf Marktanforderungen wie ein hochspezialisiertes Unternehmen. Dies ist eine bekannte Krankheit großer Unternehmen, die, wie Sie wissen, gegenüber ihren kleineren Brüdern an Mobilität und Effizienz verlieren. Andererseits verbessern sich die Servicequalität und die Produktverfügbarkeit für Kunden in verschiedenen Teilen der Welt durch den Ausbau ihres Service- und Vertriebsnetzes.

Betrachten Sie die wichtigsten Technologien, die derzeit zur Neutralisierung interner Bedrohungen eingesetzt werden, sowie ihre Vor- und Nachteile.

Dokumentenkontrolle

Die Dokumentenkontrolltechnologie ist in modernen Rechteverwaltungsprodukten wie Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES und Oracle Information Rights Management verankert.

Das Funktionsprinzip dieser Systeme besteht darin, für jedes Dokument Nutzungsregeln zuzuweisen und diese Rechte in Anwendungen zu steuern, die mit Dokumenten dieser Art arbeiten. Sie können beispielsweise ein Microsoft Word-Dokument erstellen und Regeln dafür festlegen, wer es anzeigen, wer Änderungen bearbeiten und speichern und wer drucken kann. Diese Regeln werden in Windows RMS-Begriffen als Lizenz bezeichnet und mit der Datei gespeichert. Der Inhalt der Datei wird verschlüsselt, um zu verhindern, dass ein unbefugter Benutzer sie einsehen kann.

Wenn nun ein Benutzer versucht, eine solche geschützte Datei zu öffnen, kontaktiert die Anwendung einen speziellen RMS-Server, bestätigt die Berechtigung des Benutzers und wenn der Zugriff auf diesen Benutzer erlaubt ist, übergibt der Server der Anwendung einen Schlüssel zum Entschlüsseln dieser Datei und Informationen darüber die Rechte dieses Benutzers. Basierend auf diesen Informationen stellt die Anwendung dem Benutzer nur die Funktionen zur Verfügung, für die er Rechte hat. Wenn der Benutzer beispielsweise nicht berechtigt ist, eine Datei zu drucken, ist die Druckfunktion der Anwendung nicht verfügbar.

Es stellt sich heraus, dass die Informationen in einer solchen Datei auch dann sicher sind, wenn die Datei das Unternehmensnetzwerk verlässt – sie ist verschlüsselt. RMS-Funktionen sind bereits in Microsoft Office 2003 Professional Edition-Anwendungen integriert. Um RMS-Funktionalität in Anwendungen von Drittanbietern einzubetten, stellt Microsoft ein spezielles SDK zur Verfügung.

Das Dokumentenkontrollsystem von Adobe ist ähnlich aufgebaut, konzentriert sich jedoch auf PDF-Dokumente. Oracle IRM wird als Agent auf Clientcomputern installiert und zur Laufzeit in Anwendungen integriert.

Die Dokumentenkontrolle ist ein wichtiger Teil des Gesamtkonzepts zum Schutz vor Insider-Bedrohungen, es müssen jedoch die natürlichen Grenzen dieser Technologie berücksichtigt werden. Erstens ist es ausschließlich für die Kontrolle von Dokumentdateien konzipiert. Bei unstrukturierten Dateien oder Datenbanken funktioniert diese Technologie nicht. Zweitens: Wenn ein Angreifer mithilfe des SDK dieses Systems eine einfache Anwendung erstellt, die mit dem RMS-Server kommuniziert, erhält er von dort einen Verschlüsselungsschlüssel, speichert das Dokument im Klartext und führt diese Anwendung im Namen eines Benutzers mit einem Mindestaufwand aus Wenn Sie keine Zugriffsebene auf das Dokument haben, wird dieses System umgangen. Darüber hinaus sollte man die Schwierigkeiten bei der Implementierung eines Dokumentenkontrollsystems berücksichtigen, wenn die Organisation bereits viele Dokumente erstellt hat – die Aufgabe, Dokumente zunächst zu klassifizieren und ihnen Nutzungsrechte zuzuweisen, kann einen erheblichen Aufwand erfordern.

Dies bedeutet nicht, dass Dokumentenkontrollsysteme diese Aufgabe nicht erfüllen. Sie müssen lediglich bedenken, dass der Informationsschutz ein komplexes Problem ist und in der Regel nicht mit nur einem Tool gelöst werden kann.

Auslaufschutz

Der Begriff Data Loss Prevention (DLP) taucht erst seit relativ kurzer Zeit im Lexikon von Infauf und hat es ohne Übertreibung bereits geschafft, zum heißesten Thema der letzten Jahre zu werden. Unter der Abkürzung DLP werden in der Regel Systeme bezeichnet, die mögliche Leckkanäle überwachen und diese blockieren, falls versucht wird, vertrauliche Informationen über diese Kanäle zu versenden. Darüber hinaus umfassen die Funktionen solcher Systeme häufig die Möglichkeit, durch sie hindurchgehende Informationen für spätere Prüfungen, Vorfalluntersuchungen und retrospektive Analysen potenzieller Risiken zu archivieren.

Es gibt zwei Arten von DLP-Systemen: Netzwerk-DLP und Host-DLP.

Netzwerk-DLP arbeiten nach dem Prinzip eines Netzwerk-Gateways, das alle durch ihn fließenden Daten filtert. Ausgehend von der Aufgabe, interne Bedrohungen zu bekämpfen, liegt das Hauptinteresse einer solchen Filterung offensichtlich in der Möglichkeit, Daten zu kontrollieren, die außerhalb des Unternehmensnetzwerks ins Internet übertragen werden. Mit Netzwerk-DLP können Sie ausgehende E-Mails, HTTP- und FTP-Verkehr, Instant Messaging-Dienste usw. steuern. Wenn vertrauliche Informationen erkannt werden, kann Netzwerk-DLP die übertragene Datei blockieren. Es gibt auch Möglichkeiten, verdächtige Dateien manuell zu bearbeiten. Verdächtige Dateien werden in Quarantäne gestellt, die regelmäßig von einem Sicherheitsbeauftragten überprüft wird und die Übertragung der Datei entweder erlaubt oder verbietet. Allerdings ist eine solche Verarbeitung aufgrund der Besonderheiten des Protokolls nur für E-Mail möglich. Zusätzliche Audit- und Vorfalluntersuchungsmöglichkeiten werden durch die Archivierung aller über das Gateway übermittelten Informationen bereitgestellt, vorausgesetzt, dass dieses Archiv regelmäßig überprüft und sein Inhalt analysiert wird, um aufgetretene Lecks zu identifizieren.

Eines der Hauptprobleme bei der Implementierung und Implementierung von DLP-Systemen ist die Methode zur Erkennung vertraulicher Informationen, also der Zeitpunkt der Entscheidung, ob die übermittelten Informationen vertraulich sind, und die Gründe, die bei einer solchen Entscheidung berücksichtigt werden. Dies geschieht in der Regel durch eine inhaltliche Analyse der übermittelten Dokumente, auch Inhaltsanalyse genannt. Betrachten wir die wichtigsten Ansätze zur Erkennung vertraulicher Informationen.

Stichworte. Diese Methode ähnelt den oben diskutierten Dokumentenkontrollsystemen. In Dokumente werden Etiketten eingebettet, die den Grad der Vertraulichkeit von Informationen beschreiben, was mit diesem Dokument gemacht werden kann und an wen es gesendet werden soll. Basierend auf den Ergebnissen der Etikettenanalyse entscheidet das DLP-System, ob das jeweilige Dokument nach draußen gesendet werden kann oder nicht. Einige DLP-Systeme werden zunächst mit Rechteverwaltungssystemen kompatibel gemacht, um die von diesen Systemen festgelegten Etiketten zu verwenden, andere Systeme verwenden ihr eigenes Etikettenformat.
Unterschriften. Diese Methode besteht in der Angabe einer oder mehrerer Zeichenfolgen, deren Vorhandensein im Text der übertragenen Datei dem DLP-System mitteilen soll, dass diese Datei vertrauliche Informationen enthält. Eine große Anzahl von Signaturen kann in Wörterbüchern organisiert werden.
Bayes-Methode. Diese im Kampf gegen Spam eingesetzte Methode kann erfolgreich in DLP-Systemen eingesetzt werden. Um diese Methode anzuwenden, wird eine Liste von Kategorien erstellt und eine Liste von Wörtern mit den Wahrscheinlichkeiten angegeben, dass, wenn ein Wort in einer Datei vorkommt, die Datei mit einer bestimmten Wahrscheinlichkeit zur angegebenen Kategorie gehört oder nicht.
Morphologische Analyse.Die Methode der morphologischen Analyse ähnelt der Signaturmethode, der Unterschied besteht darin, dass nicht eine 100-prozentige Übereinstimmung mit der analysierten Signatur erfolgt, sondern auch einwurzelige Wörter berücksichtigt werden.
Digitaldrucke.Der Kern dieser Methode besteht darin, dass für alle vertraulichen Dokumente eine Hash-Funktion so berechnet wird, dass bei geringfügigen Änderungen am Dokument die Hash-Funktion gleich bleibt oder sich auch geringfügig ändert. Dadurch wird der Prozess der Erkennung vertraulicher Dokumente erheblich vereinfacht. Trotz des begeisterten Lobes dieser Technologie durch viele Anbieter und einige Analysten lässt ihre Zuverlässigkeit zu wünschen übrig, und angesichts der Tatsache, dass Anbieter es unter verschiedenen Vorwänden vorziehen, die Details der Implementierung des digitalen Fingerabdruckalgorithmus im Schatten zu halten, ist ihre Glaubwürdigkeit gering erhöht sich nicht.
Reguläre Ausdrücke.Reguläre Ausdrücke sind allen bekannt, die sich mit Programmierung beschäftigt haben, und erleichtern das Auffinden von Musterdaten in Texten, wie z. B. Telefonnummern, Passdaten, Bankkontonummern, Sozialversicherungsnummern usw.

Aus der obigen Liste ist leicht zu erkennen, dass Erkennungsmethoden entweder keine hundertprozentige Erkennung vertraulicher Informationen garantieren, da die Fehlerquote sowohl erster als auch zweiter Art recht hoch ist, oder eine ständige Wachsamkeit des Sicherheitsdienstes erfordern um die Liste der Unterschriften oder Aufgaben zu aktualisieren und auf dem neuesten Stand zu halten. Etiketten für vertrauliche Dokumente.

Darüber hinaus kann die Verkehrsverschlüsselung ein gewisses Problem beim Betrieb von Netzwerk-DLP verursachen. Wenn es aus Sicherheitsgründen erforderlich ist, E-Mail-Nachrichten zu verschlüsseln oder beim Herstellen einer Verbindung zu Webressourcen das SSL-Protokoll zu verwenden, kann das Problem der Feststellung des Vorhandenseins vertraulicher Informationen in übertragenen Dateien sehr schwierig zu lösen sein. Vergessen Sie nicht, dass einige Instant-Messaging-Dienste wie Skype standardmäßig über eine integrierte Verschlüsselung verfügen. Sie müssen die Nutzung solcher Dienste verweigern oder Host-DLP verwenden, um sie zu kontrollieren.

Doch trotz aller Schwierigkeiten kann Netzwerk-DLP, wenn es richtig konfiguriert und ernst genommen wird, das Risiko des Verlusts vertraulicher Informationen erheblich reduzieren und einem Unternehmen ein praktisches Mittel zur internen Kontrolle bieten.

Host-DLP werden auf jedem Host im Netzwerk (auf Client-Arbeitsplätzen und ggf. auf Servern) installiert und können auch zur Steuerung des Internetverkehrs genutzt werden. Host-DLPs sind in dieser Funktion jedoch weniger verbreitet und werden derzeit hauptsächlich zur Steuerung externer Geräte und Drucker eingesetzt. Wie Sie wissen, stellt ein Mitarbeiter, der von einem Flash-Laufwerk oder einem MP3-Player zur Arbeit kommt, eine viel größere Bedrohung für die Informationssicherheit eines Unternehmens dar als alle Hacker zusammen. Diese Systeme werden auch als Endpoint-Security-Tools bezeichnet, obwohl dieser Begriff oft weiter gefasst wird, beispielsweise wird dies manchmal auch als Antiviren-Tools bezeichnet.

Wie Sie wissen, lässt sich das Problem der Nutzung externer Geräte ganz einfach lösen, indem man die Ports physisch, über das Betriebssystem oder administrativ deaktiviert, indem man den Mitarbeitern das Mitbringen jeglicher Medien ins Büro verbietet. In den meisten Fällen ist der „billige und fröhliche“ Ansatz jedoch inakzeptabel, da die für Geschäftsprozesse erforderliche Flexibilität der Informationsdienste nicht gegeben ist.

Aus diesem Grund bestand ein gewisser Bedarf an Spezialwerkzeugen, mit denen sich das Problem der Nutzung externer Geräte und Drucker durch Firmenmitarbeiter flexibler lösen lässt. Mit solchen Tools können Sie Zugriffsrechte für Benutzer auf verschiedene Arten von Geräten konfigurieren, beispielsweise für eine Benutzergruppe, um das Arbeiten mit Medien zu verbieten und Drucker zuzulassen, und für eine andere Gruppe, um das Arbeiten mit Medien im schreibgeschützten Modus zuzulassen. Ist es erforderlich, für einzelne Benutzer Informationen auf externen Geräten aufzuzeichnen, kann die Schattenkopie-Technologie eingesetzt werden, die dafür sorgt, dass alle Informationen, die auf einem externen Gerät gespeichert sind, auf den Server kopiert werden. Die kopierten Informationen können anschließend analysiert werden, um Benutzeraktionen zu analysieren. Diese Technologie kopiert alles, und derzeit gibt es keine Systeme, die eine Inhaltsanalyse gespeicherter Dateien ermöglichen, um den Vorgang zu blockieren und Datenlecks zu verhindern, wie dies bei Netzwerk-DLP der Fall ist. Ein Schattenkopie-Archiv ermöglicht jedoch die Untersuchung von Vorfällen und die retrospektive Analyse von Ereignissen im Netzwerk. Mit einem solchen Archiv kann ein potenzieller Insider gefasst und für seine Handlungen bestraft werden. Dies könnte für ihn ein erhebliches Hindernis und ein wichtiger Grund sein, feindliche Aktionen aufzugeben.

Erwähnenswert ist auch die Kontrolle der Nutzung von Druckern – auch Ausdrucke von Dokumenten können zu einer Leckquelle werden. Mit Host DLP können Sie den Benutzerzugriff auf Drucker auf die gleiche Weise wie auf andere externe Geräte steuern und Kopien gedruckter Dokumente im Grafikformat für eine spätere Analyse speichern. Darüber hinaus hat die Technologie der Wasserzeichen (Wasserzeichen), die das Drucken eines eindeutigen Codes auf jede Seite eines Dokuments implementiert, mit dem genau bestimmt werden kann, wer, wann und wo dieses Dokument gedruckt hat, eine gewisse Verbreitung erlangt.

Trotz der unbestrittenen Vorteile von Host-DLP weisen sie eine Reihe von Nachteilen auf, die mit der Notwendigkeit verbunden sind, auf jedem Computer, der überwacht werden soll, Agentensoftware zu installieren. Erstens kann es zu gewissen Schwierigkeiten bei der Bereitstellung und Verwaltung solcher Systeme kommen. Zweitens kann ein Benutzer mit Administratorrechten versuchen, diese Software zu deaktivieren, um Aktionen auszuführen, die von der Sicherheitsrichtlinie nicht zugelassen werden.

Dennoch ist Host-DLP für eine zuverlässige Steuerung externer Geräte unverzichtbar und die genannten Probleme nicht unlösbar. Wir können daher den Schluss ziehen, dass das DLP-Konzept angesichts des ständig wachsenden Drucks auf sie, interne Kontrolle und Schutz vor Lecks sicherzustellen, mittlerweile ein vollwertiges Werkzeug im Arsenal der Sicherheitsdienste von Unternehmen ist.

IPC-Konzept

Bei der Erfindung neuer Mittel zur Bekämpfung interner Bedrohungen hört das wissenschaftliche und technische Denken der modernen Gesellschaft nicht auf, und angesichts bestimmter Mängel der oben diskutierten Mittel ist der Markt für Systeme zum Schutz vor Informationslecks zum Konzept des IPC gelangt ( Informationsschutz und -kontrolle). Dieser Begriff tauchte erst vor relativ kurzer Zeit auf, man geht davon aus, dass er erstmals 2007 in einer Rezension des Analyseunternehmens IDC verwendet wurde.

Der Kern dieses Konzepts besteht darin, DLP- und Verschlüsselungsmethoden zu kombinieren. Bei diesem Konzept kontrolliert DLP Informationen, die das Unternehmensnetzwerk über technische Kanäle verlassen, und Verschlüsselung dient dem Schutz von Datenträgern, die physisch in die Hände Unbefugter fallen oder fallen könnten.

Betrachten Sie die gängigsten Verschlüsselungstechnologien, die im IPC-Konzept verwendet werden können.

Verschlüsselung von Magnetbändern.Trotz des Archaismus dieser Art von Medien wird sie weiterhin aktiv zur Sicherung und Übertragung großer Informationsmengen eingesetzt, da sie in Bezug auf die Stückkosten eines gespeicherten Megabytes immer noch ihresgleichen sucht. Dementsprechend erfreuen Lecks im Zusammenhang mit verlorenen Bändern weiterhin Nachrichtenredakteure auf den Titelseiten und frustrieren CIOs und Unternehmenssicherheitsbeauftragte, die Gegenstand solcher Berichte sind. Erschwerend kommt hinzu, dass solche Bänder sehr große Datenmengen enthalten und somit viele Menschen Opfer von Betrügern werden können.
Verschlüsselung von Serverspeichern.Obwohl Serverspeicher sehr selten transportiert werden und das Risiko, ihn zu verlieren, wesentlich geringer ist als bei Magnetbändern, kann eine vom Speicher getrennte Festplatte in die falschen Hände geraten. Reparatur, Entsorgung, Modernisierung – diese Ereignisse treten mit ausreichender Regelmäßigkeit auf, um dieses Risiko auszuschließen. Und das Eindringen unbefugter Personen in das Büro ist kein völlig unmögliches Ereignis.

Hier lohnt es sich, einen kleinen Exkurs zu machen und das weit verbreitete Missverständnis zu erwähnen, dass, wenn eine Festplatte Teil eines RAID-Arrays ist, man sich angeblich keine Sorgen machen muss, dass sie in unbefugte Hände gerät. Es scheint, dass das von RAID-Controllern durchgeführte Striping von Daten, die auf mehrere Festplatten geschrieben werden, den Daten, die sich auf einer Festplatte befinden, ein unlesbares Aussehen verleiht. Leider ist das nicht ganz richtig. Es findet zwar Interleaving statt, aber in den meisten modernen Geräten erfolgt es auf der 512-Byte-Blockebene. Dies bedeutet, dass trotz der Verletzung der Struktur und der Dateiformate immer noch vertrauliche Informationen von einer solchen Festplatte extrahiert werden können. Wenn daher die Vertraulichkeit von Informationen bei der Speicherung in einem RAID-Array gewährleistet werden muss, bleibt die Verschlüsselung die einzig zuverlässige Option.

Verschlüsselung von Laptops.Dies wurde bereits unzählige Male gesagt, und dennoch gehört der Verlust von Laptops mit vertraulichen Informationen seit vielen Jahren zu den Top 5 der Vorfälle.
Verschlüsselung von Wechselmedien.In diesem Fall handelt es sich um tragbare USB-Geräte und manchmal auch um beschreibbare CDs und DVDs, wenn diese in den Geschäftsprozessen des Unternehmens verwendet werden. Solche Systeme sowie die oben erwähnten Verschlüsselungssysteme für Laptop-Festplatten können häufig als Bestandteil von Host-DLP-Systemen fungieren. In diesem Fall spricht man von einer Art Krypto-Perimeter, der für eine automatische transparente Verschlüsselung der Medien im Inneren sorgt und die Unfähigkeit, Daten außerhalb davon zu entschlüsseln.

Somit kann die Verschlüsselung die Fähigkeiten von DLP-Systemen erheblich verbessern und das Risiko des Verlusts vertraulicher Daten verringern. Obwohl das IPC-Konzept erst vor relativ kurzer Zeit Gestalt angenommen hat und die Auswahl an integrierten IPC-Lösungen auf dem Markt nicht allzu groß ist, entwickelt die Branche diesen Bereich aktiv weiter und es ist durchaus möglich, dass dieses Konzept nach einiger Zeit zum Standard wird Fakto-Standard zur Lösung von Problemen der inneren Sicherheit und der inneren Sicherheit. Kontrolle.

Schlussfolgerungen

Wie aus dieser Überprüfung hervorgeht, handelt es sich bei internen Bedrohungen um einen relativ neuen Bereich der Informationssicherheit, der sich jedoch aktiv weiterentwickelt und erhöhte Aufmerksamkeit erfordert. Die betrachteten Dokumentenkontrolltechnologien DLP und IPC ermöglichen den Aufbau eines recht zuverlässigen internen Kontrollsystems und reduzieren das Leckrisiko auf ein akzeptables Maß. Zweifellos wird sich dieser Bereich der Informationssicherheit weiterentwickeln, neuere und fortschrittlichere Technologien werden angeboten, aber heute entscheiden sich viele Organisationen für die eine oder andere Lösung, da Nachlässigkeit in Fragen der Informationssicherheit zu teuer sein kann.

Alexey Raevsky
CEO von SecurIT

Aktuelle Untersuchungen im Bereich der Informationssicherheit, wie beispielsweise die jährliche CSI/FBI-Umfrage zu Computerkriminalität und Sicherheit, haben gezeigt, dass die finanziellen Verluste von Unternehmen durch die meisten Bedrohungen von Jahr zu Jahr abnehmen. Allerdings gibt es mehrere Risiken, deren Verluste zunehmen. Eine davon ist der vorsätzliche Diebstahl vertraulicher Informationen oder die Verletzung der Regeln für den Umgang damit durch diejenigen Mitarbeiter, deren Zugriff auf Geschäftsdaten für die Erfüllung ihrer Aufgaben erforderlich ist. Sie werden Insider genannt.

In den allermeisten Fällen erfolgt der Diebstahl vertraulicher Informationen über mobile Medien: CDs und DVDs, ZIP-Geräte und vor allem alle Arten von USB-Laufwerken. Es war ihre Massenverbreitung, die zum Aufschwung von Insidern auf der ganzen Welt führte. Den Führungskräften der meisten Banken ist bewusst, was droht, wenn beispielsweise eine Datenbank mit personenbezogenen Daten ihrer Kunden oder darüber hinaus Transaktionen auf deren Konten in die Hände krimineller Strukturen gerät. Und sie versuchen, mit den ihnen zur Verfügung stehenden Organisationsmethoden den möglichen Informationsdiebstahl zu bekämpfen.

Allerdings sind organisatorische Methoden in diesem Fall wirkungslos. Heutzutage ist es möglich, die Übertragung von Informationen zwischen Computern mithilfe eines Miniatur-Flash-Laufwerks, eines Mobiltelefons, eines TRZ-PLSSRA, einer Digitalkamera ... zu organisieren. Natürlich können Sie versuchen, die Mitnahme all dieser Geräte ins Büro zu verbieten , aber das wird sich erstens negativ auf die Beziehungen zu den Mitarbeitern auswirken und zweitens ist es immer noch sehr schwierig, eine wirklich wirksame Kontrolle über Menschen aufzubauen – die Bank ist kein „Postfach“. Und selbst das Deaktivieren aller Geräte auf Computern, die zum Schreiben von Informationen auf externe Medien (FDD- und ZIP-Laufwerke, CD- und DVD-Laufwerke usw.) und USB-Anschlüsse verwendet werden können, hilft nicht. Denn erstere werden für die Arbeit benötigt und an letztere werden diverse Peripheriegeräte angeschlossen: Drucker, Scanner etc. Und niemand kann verhindern, dass eine Person den Drucker für eine Minute ausschaltet, ein Flash-Laufwerk in den freien Anschluss einsteckt und wichtige Informationen darauf kopiert. Natürlich können Sie originelle Schutzmöglichkeiten finden. In einer Bank versuchten sie beispielsweise, das Problem auf diese Weise zu lösen: Sie füllten die Verbindungsstelle zwischen USB-Anschluss und Kabel mit Epoxidharz und „befestigten“ letzteres fest mit dem Computer. Aber glücklicherweise gibt es heute modernere, zuverlässigere und flexiblere Kontrollmethoden.

Das wirksamste Mittel zur Minimierung der mit Insidern verbundenen Risiken ist eine spezielle Software, die alle Geräte und Computeranschlüsse, die zum Kopieren von Informationen verwendet werden können, dynamisch verwaltet. Das Prinzip ihrer Arbeit ist wie folgt. Berechtigungen zur Nutzung verschiedener Ports und Geräte werden für jede Benutzergruppe oder für jeden Benutzer einzeln festgelegt. Der größte Vorteil einer solchen Software ist die Flexibilität. Sie können Einschränkungen für bestimmte Gerätetypen, deren Modelle und einzelne Instanzen eingeben. Damit lassen sich sehr komplexe Richtlinien zur Verteilung von Zugriffsrechten umsetzen.

Beispielsweise kann es bestimmten Mitarbeitern gestattet werden, alle an USB-Anschlüsse angeschlossenen Drucker und Scanner zu verwenden. Alle anderen an diesen Port angeschlossenen Geräte bleiben unzugänglich. Wenn die Bank ein Benutzerauthentifizierungssystem auf Basis von Token verwendet, können Sie in den Einstellungen das verwendete Schlüsselmodell festlegen. Dann dürfen Benutzer nur noch vom Unternehmen gekaufte Geräte verwenden, alle anderen sind nutzlos.

Anhand des oben beschriebenen Funktionsprinzips der Schutzsysteme können Sie verstehen, welche Punkte bei der Auswahl von Programmen wichtig sind, die eine dynamische Blockierung von Aufnahmegeräten und Computeranschlüssen implementieren. Erstens ist es Vielseitigkeit. Das Schutzsystem sollte die gesamte Bandbreite möglicher Ports und Informations-Eingabe-Ausgabe-Geräte abdecken. Andernfalls bleibt das Risiko eines kommerziellen Informationsdiebstahls unannehmbar hoch. Zweitens sollte die betreffende Software flexibel sein und es Ihnen ermöglichen, Regeln anhand einer großen Menge verschiedener Informationen über Geräte zu erstellen: deren Typen, Modellhersteller, eindeutige Nummern, die jede Instanz hat usw. Und drittens sollte sich das Insiderschutzsystem in das Informationssystem der Bank, insbesondere in Active Directory, integrieren lassen. Andernfalls muss der Administrator oder Sicherheitsbeauftragte zwei Datenbanken mit Benutzern und Computern verwalten, was nicht nur unpraktisch ist, sondern auch das Fehlerrisiko erhöht.

Aktuelle Studien im Bereich der Informationssicherheit, wie beispielsweise die jährliche CSI/FBI ComputerCrimeAndSecuritySurvey, haben gezeigt, dass die finanziellen Verluste von Unternehmen durch die meisten Bedrohungen von Jahr zu Jahr abnehmen. Allerdings gibt es mehrere Risiken, deren Verluste zunehmen. Eine davon ist der vorsätzliche Diebstahl vertraulicher Informationen oder die Verletzung der Regeln für den Umgang damit durch diejenigen Mitarbeiter, deren Zugriff auf Geschäftsdaten für die Erfüllung ihrer dienstlichen Aufgaben erforderlich ist. Sie werden Insider genannt.

In den allermeisten Fällen erfolgt der Diebstahl vertraulicher Informationen über mobile Medien: CDs und DVDs, ZIP-Geräte und vor allem alle Arten von USB-Laufwerken. Es war ihre Massenverbreitung, die zur Blüte des Insiderhandels auf der ganzen Welt führte. Den Führungskräften der meisten Banken ist bewusst, was droht, wenn beispielsweise eine Datenbank mit personenbezogenen Daten ihrer Kunden oder darüber hinaus Transaktionen auf deren Konten in die Hände krimineller Strukturen gerät. Und sie versuchen, mit den ihnen zur Verfügung stehenden Organisationsmethoden den möglichen Informationsdiebstahl zu bekämpfen.

Allerdings sind organisatorische Methoden in diesem Fall wirkungslos. Heutzutage ist es möglich, die Übertragung von Informationen zwischen Computern mithilfe eines Miniatur-Flash-Laufwerks, eines Mobiltelefons, eines MP3-Players oder einer Digitalkamera zu organisieren. Natürlich können Sie versuchen, die Mitnahme all dieser Geräte ins Büro zu verbieten. Dies wird sich jedoch erstens negativ auf die Beziehungen zu den Mitarbeitern auswirken, und zweitens ist es immer noch sehr schwierig, eine wirklich wirksame Kontrolle über Menschen aufzubauen – die Bank ist kein „Briefkasten“. Und selbst das Deaktivieren aller Geräte auf Computern, die zum Schreiben von Informationen auf externe Medien (FDD- und ZIP-Laufwerke, CD- und DVD-Laufwerke usw.) und USB-Anschlüsse verwendet werden können, hilft nicht. Denn erstere werden für die Arbeit benötigt und an letztere werden diverse Peripheriegeräte angeschlossen: Drucker, Scanner etc. Und niemand kann verhindern, dass eine Person den Drucker für eine Minute ausschaltet, ein Flash-Laufwerk in den freien Anschluss einsteckt und wichtige Informationen darauf kopiert. Natürlich können Sie originelle Schutzmöglichkeiten finden. In einer Bank versuchten sie beispielsweise, das Problem auf diese Weise zu lösen: Sie füllten die Verbindungsstelle zwischen USB-Anschluss und Kabel mit Epoxidharz und „befestigten“ letzteres fest mit dem Computer. Aber glücklicherweise gibt es heute modernere, zuverlässigere und flexiblere Kontrollmethoden.

Anhand des oben beschriebenen Funktionsprinzips der Schutzsysteme können Sie verstehen, welche Punkte bei der Auswahl von Programmen wichtig sind, die eine dynamische Blockierung von Aufnahmegeräten und Computeranschlüssen implementieren. Erstens ist es Vielseitigkeit. Das Schutzsystem sollte die gesamte Bandbreite möglicher Ports und Informations-Eingabe-Ausgabe-Geräte abdecken. Andernfalls bleibt das Risiko eines kommerziellen Informationsdiebstahls unannehmbar hoch. Zweitens sollte die betreffende Software flexibel sein und es Ihnen ermöglichen, Regeln anhand einer großen Menge verschiedener Informationen über Geräte zu erstellen: deren Typen, Modellhersteller, eindeutige Nummern, die jede Instanz hat usw. Und drittens sollte sich das Insiderschutzsystem in das Informationssystem der Bank, insbesondere in ActiveDirectory, integrieren lassen. Andernfalls muss der Administrator oder Sicherheitsbeauftragte zwei Datenbanken mit Benutzern und Computern verwalten, was nicht nur unpraktisch ist, sondern auch das Fehlerrisiko erhöht.