Protéger les informations des initiés à l’aide de logiciels. Menaces internes : un nouveau défi pour les services de sécurité de l'information des entreprises

Selon diverses sociétés d'analyse, les fuites d'informations se produisent très souvent non pas en raison de leur vol de l'extérieur, mais en raison du transfert d'informations confidentielles par leurs propres employés vers des représentants d'organisations concurrentes. Il existe aujourd’hui de nombreux appareils différents sur lesquels tous les documents stockés sur le réseau local de l’organisation peuvent être copiés. Et il ne s’agit pas uniquement de lecteurs USB externes ou de lecteurs CD/DVD. Vous pouvez également copier des informations sur des lecteurs mp3, des téléphones portables, qui ne peuvent pas être connectés directement à un ordinateur, vers des équipements externes pouvant se connecter à un réseau local via Wi-Fi et d'autres méthodes. Cela inclut également l'envoi par courrier électronique, par des programmes de messagerie instantanée, via des forums, des blogs et des chats. Il existe de nombreuses options, est-il possible de s'en protéger ?

Pour protection des données des initiés Ils utilisent diverses méthodes, notamment l'utilisation de programmes spéciaux conçus pour contrôler l'utilisation des périphériques. Dans cet article, nous examinerons plusieurs programmes, tant étrangers que nationaux, et tenterons de déterminer où et quand ils doivent être utilisés.

Le programme est destiné à Restrictions d'accèsà divers périphériques, avec la possibilité de créer des listes blanches, de surveiller le travail des utilisateurs, de copier des fichiers de clichés instantanés vers ou depuis des appareils contrôlés. Il est possible d'installer des pilotes de suivi de manière centralisée ou locale.

L'installation du programme peut être effectuée soit de manière centralisée, soit localement si l'accès à l'ordinateur protégé via le réseau est limité ou impossible. Un seul kit de distribution comprend plusieurs modules : le module serveur, installé sur un serveur du réseau local du bureau, autorise/interdit certaines actions, enregistre les informations dans une base de données ; client, implémenté en tant que pilote de suivi ; administrateur et base de données, qui utilise SQLite.

Les pilotes de suivi fournissent contrôle divers ports, dont USB, CIM, LPT, WiFi, IR et autres. Selon le type de port, vous pouvez refuser complètement l'accès, autoriser la lecture ou autoriser l'accès complet à l'appareil. Il n'y a pas de répartition temporelle de l'accès. Il a également été noté qu'en autorisant l'accès en lecture seule à des périphériques tels que des clés USB, la possibilité d'éditer des fichiers ordinaires fichiers texte sur ces appareils avec la possibilité de les sauvegarder sur le même support.

Affiche les périphériques USB connectés aux ordinateurs et conserve un journal des actions des utilisateurs avec les périphériques de stockage externes. Les informations sur l'heure de connexion/déconnexion des appareils et sur les fichiers qui ont été lus ou écrits et à quel moment sont enregistrées dans la base de données. Implémentation du cliché instantané des fichiers lus ou écrits sur des périphériques USB. Il n’y a pas de cliché instantané des fichiers envoyés aux imprimantes ou à d’autres appareils ; ils sont uniquement enregistrés.

Il existe le concept de « liste blanche », qui regroupe les périphériques USB dont l'accès doit toujours être ouvert sur tous les ordinateurs (par exemple les clés USB). Cette liste est la même pour tous les ordinateurs ; il n'existe pas de listes individuelles pour les utilisateurs individuels.

permet de configurer l'accès à divers périphériques externes, mais ne distingue pas les imprimantes connectées à ces ports de la liste générale des périphériques USB. Dans le même temps, il fait la distinction entre les supports amovibles et peut définir différents types d'accès pour ceux-ci. Les supports amovibles sont automatiquement saisis dans la base de données de l'appareil (le programme entrera dans la base de données toutes les clés USB jamais connectées à un ordinateur spécifique), ce qui vous permet d'appliquer les droits d'accès qui leur sont attribués pour tout ordinateur protégé par le programme.

Il a la capacité d'utiliser l'installation centralisée des parties client à l'aide de la stratégie de groupe Active Directory. Parallèlement, il reste possible de les installer localement et via le panneau d'administration du programme. Les droits d'accès sont différenciés en fonction des politiques de contrôle d'accès ; cependant, il est possible de créer plusieurs politiques pouvant être appliquées individuellement pour différents ordinateurs. En plus de la fonction de contrôle d'accès, il vous permet de consigner l'utilisation des appareils sur l'ordinateur local.

Le programme prend en charge la fonction de cliché instantané - la possibilité d'enregistrer une copie exacte des fichiers copiés par l'utilisateur sur des périphériques de stockage externes. Des copies exactes de tous les fichiers sont stockées dans un stockage spécial et peuvent ensuite être analysées à l'aide du système d'analyse intégré. Le cliché instantané peut être défini pour des utilisateurs individuels et des groupes d'utilisateurs. Lorsque vous activez la fonction « Conserver uniquement le journal », lors de la copie de fichiers, seules les informations les concernant seront enregistrées (sans enregistrer une copie exacte du fichier).

Le programme n'a pas le concept de « liste blanche » d'appareils. Au lieu de cela, vous pouvez spécifier un support amovible dans la politique générale et autoriser l'accès à celui-ci depuis n'importe quel ordinateur. Notez qu'il ne vous permet pas d'appliquer les mêmes paramètres à des lecteurs de CD/DVD individuels.

Programme d'entreprise GFI dépasse considérablement ses capacités et , et - il dispose, par exemple, de dispositifs beaucoup plus contrôlés que les programmes précédents (lecteurs multimédias iPod, Creative Zen, téléphones portables, appareils photo numériques, outils d'archivage sur bandes magnétiques et disques Zip, caméras Web, scanners) .

Le programme fournit trois paramètres standard pour les droits d'accès - pour les serveurs, les postes de travail et les ordinateurs portables. En plus de dispositifs de blocage, le programme a la possibilité bloquer l'accès aux fichiers en fonction de leur type. Par exemple, vous pouvez autoriser l'accès en lecture aux fichiers de documents, mais refuser l'accès aux fichiers exécutables. Il est également possible de bloquer l'accès aux appareils non seulement par leur type, mais également par le port physique auquel les appareils externes sont connectés. Un autre définition des droits d'accès est géré à l’aide d’identifiants d’appareil uniques.

L'administrateur du programme peut gérer deux types de listes d'appareils : celles auxquelles l'accès est autorisé par défaut (« liste blanche ») et celles auxquelles l'accès est interdit (« liste noire »). Un informaticien peut accorder des autorisations temporaires pour accéder à des appareils ou à des groupes d'appareils sur un seul ordinateur (mis en œuvre en générant un code spécial qui peut être transmis à l'utilisateur même si son ordinateur est déconnecté du réseau et que l'agent du programme n'est pas en mesure de se connecter au serveur).

Le programme prend en charge la nouvelle fonction de cryptage utilisée dans Système Windows 7, appelé BitLocker To Go. Cette fonctionnalité est utilisée pour protéger et crypter les données sur les périphériques amovibles. GFI EndPointSecurity peut reconnaître ces appareils et fournir un accès aux fichiers qui y sont stockés en fonction de leur type.

Fournit à l’administrateur un système de reporting puissant. Le sous-système de statistiques (GFI EndPointSecurity ReportPack) affiche (sous forme de texte et de graphique) un résumé quotidien de l'utilisation des appareils à la fois pour les ordinateurs sélectionnés et pour tous les ordinateurs en général. Vous pouvez également obtenir des données statistiques sur l'activité des utilisateurs par jour, semaine, mois, ventilées par applications utilisées, appareils et chemins d'accès aux fichiers.

L'un des programmes les plus courants pour protéger les informations des initiés en Russie aujourd'hui. publié en Russie sous la marque « 1C : Distribution »

Le programme fournit contrôle non seulement les appareils fonctionnant sous Contrôle Windows Mobiles, mais aussi appareils exécutant les systèmes d'exploitation iPhone OS et Palm OS. Dans le même temps, le cliché instantané de tous les fichiers et données écrasés est assuré, quel que soit le port sur lequel ces appareils sont connectés au réseau contrôlé. Le cliché instantané peut être configuré non seulement par appareil, mais également par type de fichier, et le type sera déterminé non pas en fonction des extensions, mais en fonction de leur contenu.

Il est possible de définir un accès en lecture seule aux supports amovibles, y compris les lecteurs de bande. En option supplémentaire - protection des supports contre le formatage accidentel ou intentionnel. Vous pouvez également conserver un journal de toutes les actions des utilisateurs avec les appareils et avec les fichiers (non seulement copier ou lire, mais également supprimer, renommer, etc.).

La compression de flux peut être utilisée pour réduire la charge du réseau lors de la transmission des données reçues des agents et des fichiers de clichés instantanés. Les données de cliché instantané dans les grands réseaux peuvent être stockées sur plusieurs serveurs. Le programme sélectionne automatiquement le serveur optimal, en tenant compte de la bande passante du réseau et de la charge du serveur.

De nombreuses organisations utilisent des disques protégés par programmes spéciaux cryptage - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt et TrueCrypt. Pour ces disques, le programme peut définir des « politiques de cryptage » spéciales, qui vous permettent d'autoriser uniquement l'écriture de données cryptées sur des périphériques amovibles. Il prend également en charge le travail avec les lecteurs flash Lexar JumpDrive SAFE S3000 et Lexar SAFE PSD, qui prennent en charge le cryptage matériel des données. La prochaine version prendra également en charge l'utilisation de BitLocker To Go, un outil intégré à Windows 7 pour crypter les données sur des supports amovibles.

Le cliché instantané est destiné non seulement à enregistrer des copies de fichiers, mais également à analyser les informations déplacées. peut effectuer une recherche en texte intégral du contenu des fichiers, en reconnaissant et en indexant automatiquement les documents dans différents formats.

Il a déjà été annoncé la sortie d'une nouvelle version du programme, dans laquelle, en plus d'une recherche complète, sera mis en œuvre le filtrage du contenu des fichiers copiés sur des périphériques de stockage amovibles de tout type, ainsi que le contrôle du contenu des données. objets transmis depuis un ordinateur via des canaux de communication réseau, y compris des applications de messagerie électronique, des services Web interactifs, réseaux sociaux, forums et conférences, les services de messagerie instantanée les plus populaires (Instant Messengers), les échanges de fichiers via FTP, ainsi que les sessions Telnet

La technologie de filtrage des données texte sur le réseau et le canal local d'impression de documents pour les travaux aux formats PCL et PostScript est unique dans la nouvelle version, ce qui vous permet de bloquer ou d'autoriser l'impression de documents en fonction de leur contenu informatif.

conclusions


Gestion des clients à distance
Gestion via le composant logiciel enfichable MMC
Installation, surveillance et récupération centralisées des politiques
Contrôle des appareils externes	USB uniquement
Contrôle de l'adaptateur WiFi
Contrôle des appareils Palm OS. iPhone/iPod			Limité	Limité
Prise en charge de la technologie de liste blanche
Prise en charge de la technologie de liste blanche des médias
Prise en charge des lecteurs externes chiffrés
Bloquer les enregistreurs de frappe
Limiter le volume de données copiées
Contrôle des données par type
Journalisation centralisée
Copie fantôme	USB uniquement	USB uniquement	Partiellement
Copie instantanée des données d'impression
Rapports graphiques de journaux et de clichés instantanés
Recherche en texte intégral dans les données fantômes

Les deux premiers programmes évoqués peuvent être utilisés pour protection des informations du vol, mais leurs possibilités sont limitées. Ils « ferment » les appareils externes standards à des degrés divers, mais leurs capacités sont limitées – tant en termes de paramètres qu'en termes d'analyse des performances des utilisateurs. Ces programmes peuvent être recommandés « pour des tests », afin de comprendre le processus de protection lui-même. Pour les grandes organisations qui utilisent une variété d'équipements périphériques et nécessitent une analyse de l'activité des utilisateurs, les programmes ci-dessus seront clairement insuffisants.

Pour eux, il vaut mieux faire attention aux programmes - et. Il s'agit de solutions professionnelles qui peuvent être utilisées dans les entreprises disposant d'un petit ou d'un grand nombre d'ordinateurs. Les deux programmes assurent la surveillance de divers périphériques et ports et disposent de puissants systèmes d'analyse et de reporting. Mais il existe des différences significatives entre eux, c'est pourquoi le programme de l'entreprise GFI dans ce cas, il peut être considéré comme le système de base. peut contrôler non seulement les appareils et le traitement des données, mais également l'utilisation des logiciels. Cette opportunité le « tire » du créneau « Contrôle des appareils » vers le segment « Content-Aware Endpoint DLP ». Les nouvelles capacités annoncées lui permettent de se démarquer nettement de ses concurrents grâce à l'émergence de la possibilité d'analyser les contenus au moment où l'utilisateur effectue diverses actions avec les données, notamment le streaming, ainsi qu'en surveillant un certain nombre de paramètres du contexte de communications réseau, y compris les adresses e-mail, les adresses IP, les identifiants utilisateur et les ressources d'application réseau, etc. Disponible auprès des partenaires 1Soft.

Mikhaïl Abramzon

Je pense qu'il est évident pour tout le monde que dans le contexte de la crise actuelle, une vaste redistribution de la propriété est en cours, notamment dans le secteur financier. Les concurrents n'hésitent pas à utiliser tous les moyens. En guerre, comme en guerre, tout entre en jeu. Utiliser des informations privilégiées devient souvent la clé de la victoire, et pour certains, la source de la défaite.

On ne parle plus d’atteinte à la réputation de l’entreprise ou de certaines difficultés financières. On parle souvent de la banale survie d’une entreprise.

La définition classique d’un initié est un membre d’un cercle limité de personnes ayant accès à des informations importantes et non publiques. Du point de vue des institutions financières, un initié est un attaquant qui utilise ses connaissances sur les émetteurs de titres pour jouer en bourse ou vend ces informations à des tiers. Les forces de l'ordre considéreront un initié comme un agent qui vend des informations sur les opérations du ministère de l'Intérieur à une communauté criminelle organisée.

Les spécialistes de la sécurité de l’information considèrent comme des initiés les salariés de l’entreprise qui ont accès à certaines données confidentielles situées sur le réseau local de l’entreprise.

Les employés peuvent divulguer ces informations volontairement ou involontairement. Outre le vol pur et simple de données en vue de leur revente ou de leur divulgation au détriment de l'entreprise, il existe de nombreux cas où des informations sont tombées entre de mauvaises mains par erreur ou par malentendu. Il peut s'agir d'une lettre avec des spécifications importantes, envoyée au mauvais endroit par un secrétaire « stupide », ou peut-être d'une instruction insuffisamment claire des autorités, à la suite de laquelle les « codes sources » d'un nouveau logiciel sont affichés sur le site Web. le site Web de la société.

Quelles données intéressent le plus souvent les attaquants ?

Curieusement, selon les statistiques, ce sont les données personnelles qui intéressent le plus les initiés. 68 % des personnes interrogées dans l'étude « Menaces internes en Russie 2009 » ont noté que c'est ce type d'informations qui fait l'objet d'une attention malsaine de la part des salariés. Ceci malgré le fait que ces informations n'apportent pas d'avantages commerciaux tels que les spécifications techniques des nouveaux produits, les rapports financiers ou les plans d'affaires... Ces informations attirent également l'attention des initiés, mais elles sont traditionnellement mieux protégées dans notre pays.

Je voudrais noter qu'il est irréaliste de protéger absolument toutes les informations contre les fuites. Selon les experts de notre entreprise, il est judicieux de se concentrer sur la protection de deux grandes catégories de données :

Informations sur la clientèle - noms de sociétés, noms et coordonnées des clients (téléphones, adresses, e-mail).
Informations susceptibles de provoquer la panique chez les clients ou de perturber des transactions importantes. Il peut s'agir d'informations sur des réductions massives de personnel, le gel des dépôts, des retards de paiement, etc.

Il convient de noter que les systèmes de protection contre les accès non autorisés (ATP) ou de répartition des droits (DRM) seront utiles dans ce cas dans une mesure très limitée. Cela se produit parce que ce sont les personnes qui disposent d'un accès et de droits appropriés qui, en règle générale, deviennent la source de fuites d'informations. Mais les systèmes dits DLP (Data Leakage Prevention) - systèmes de prévention des fuites - seront très efficaces.

Les informations client peuvent être protégées à l’aide de techniques formelles de sécurité des bases de données. Il s’agit de l’analyse des attributs formels des fichiers ou du suivi des empreintes digitales des fichiers. Actuellement, ces méthodes de protection sont prises en charge par la plupart des développeurs de systèmes DLP.

Concernant les fuites d’informations « paniques », on peut dire qu’elles ne peuvent être traquées qu’à l’aide de ce qu’on appelle le filtrage de contenu. Il s'agit d'une technologie populaire utilisée par les filtres antivirus et anti-spam. Son essence est de trier et de classer l'ensemble du flux d'informations dans l'infrastructure d'information d'une entreprise en fonction de son contenu. Ce sont des produits très complexes et spécifiques qui doivent être configurés par des professionnels.

Une fonction clé pour empêcher les fuites d’informations privilégiées est de bloquer le mouvement des informations du système d’information interne vers l’extérieur. Il s'agit avant tout de la transmission par courrier électronique et par Internet (qui n'est pas disponible dans tous les systèmes). De nombreuses entreprises optent pour la surveillance conventionnelle des informations et leur analyse ultérieure. Cela semble être une méthode plus simple que de traiter à la volée d’éventuels faux positifs des systèmes DLP. Mais il convient de noter qu’il vaut bien mieux prévenir la fuite d’informations réellement importantes pour l’existence d’une entreprise que de punir les auteurs après coup. Par conséquent, la mise en œuvre et la maintenance de systèmes DLP constituent le meilleur investissement pour protéger votre entreprise des initiés.

Les systèmes automatisés de prévention des fuites d'informations basés sur le filtrage des contenus sont loin d'être le seul maillon de la chaîne de protection. Une protection efficace des données confidentielles ne peut être créée que par une combinaison de mesures techniques, administratives et organisationnelles ! Dans le cadre de la lutte contre les informations privilégiées, l'entreprise doit prendre les mesures suivantes :

Standardisation des logiciels dans le strict respect des exigences des spécialistes de la sécurité. Grâce à divers logiciels non standards installés par les utilisateurs sur leurs ordinateurs, un pourcentage très décent d'informations disparaît.
Respect strict des règles de sécurité de l'entreprise, y compris organisationnelles (restrictions d'accès aux locaux, restrictions d'utilisation des périphériques de stockage portables, etc.)
Responsabilité légalement établie du personnel pour la divulgation d'informations confidentielles avec une définition claire de ce qui est exactement inclus dans la liste de ces informations.
Accès centralisé et entièrement contrôlé par le service informatique et de sécurité à Internet pour les employés de tout rang.
Utiliser des méthodes d'authentification des utilisateurs lorsque vous travaillez dans l'environnement d'informations d'entreprise.
Former les employés à travailler en toute sécurité avec l'information, les ordinateurs et Internet.

Récemment, le problème de la protection contre les menaces internes est devenu un véritable défi pour le monde compréhensible et établi de la sécurité des informations d'entreprise. La presse parle d'initiés, les chercheurs et les analystes mettent en garde contre d'éventuelles pertes et problèmes, et les fils d'actualité regorgent de rapports sur un autre incident qui a conduit à la fuite de centaines de milliers de dossiers de clients en raison d'une erreur ou de la négligence d'un employé. Essayons de déterminer si ce problème est si grave, s'il doit être résolu et quels outils et technologies existent pour le résoudre.

Tout d'abord, il convient de déterminer qu'une menace à la confidentialité des données est interne si sa source est un employé de l'entreprise ou une autre personne ayant un accès légal à ces données. Ainsi, lorsque nous parlons de menaces internes, nous parlons de toutes les actions possibles d'utilisateurs légitimes, intentionnelles ou accidentelles, qui pourraient conduire à la fuite d'informations confidentielles en dehors du réseau d'entreprise de l'entreprise. Pour compléter le tableau, il convient d'ajouter que ces utilisateurs sont souvent appelés initiés, bien que ce terme ait d'autres significations.

La pertinence du problème des menaces internes est confirmée par les résultats d'études récentes. En octobre 2008 notamment, ont été annoncés les résultats d'une étude conjointe de Compuware et du Ponemon Institute, selon laquelle les initiés sont la cause la plus fréquente des fuites de données (75 % des incidents aux États-Unis), tandis que les pirates informatiques n'arrivent qu'en cinquième position. lieu. Dans l'étude annuelle de 2008 du Computer Security Institute (CSI), les chiffres relatifs au nombre d'incidents de menaces internes sont les suivants :

Le nombre d'incidents en pourcentage signifie que sur le nombre total de répondants, ce type d'incident s'est produit dans le pourcentage spécifié d'organisations. Comme le montrent ces chiffres, presque toutes les organisations courent le risque de souffrir de menaces internes. À titre de comparaison, selon le même rapport, les virus touchaient 50 % des organisations interrogées, et les pirates informatiques s'infiltraient réseau local seuls 13 % l’ont rencontré.

Ainsi, les menaces internes sont une réalité d’aujourd’hui et non un mythe inventé par les analystes et les fournisseurs. Ainsi, ceux qui, à l’ancienne, croient que la sécurité des informations d’entreprise est un pare-feu et un antivirus doivent examiner le problème de manière plus large dès que possible.

La loi « sur les données personnelles » augmente également le degré de tension, selon laquelle les organisations et les fonctionnaires devront répondre non seulement devant leur direction, mais aussi devant leurs clients et devant la loi en cas de traitement inapproprié des données personnelles.

Modèle d'intrus

Traditionnellement, lorsqu’on considère les menaces et les défenses contre celles-ci, il faut commencer par une analyse du modèle de l’adversaire. Comme déjà mentionné, nous parlerons des initiés - les employés de l'organisation et autres utilisateurs qui ont un accès légal aux informations confidentielles. En règle générale, avec ces mots, tout le monde pense à un employé de bureau travaillant sur un ordinateur dans le cadre d'un réseau d'entreprise, qui ne quitte pas le bureau de l'organisation pendant son travail. Toutefois, une telle représentation est incomplète. Il est nécessaire de l’élargir pour inclure d’autres types de personnes ayant un accès légal à l’information et pouvant quitter les bureaux de l’organisation. Il peut s'agir de voyageurs d'affaires équipés d'un ordinateur portable ou de personnes travaillant à la fois au bureau et à la maison, de coursiers transportant des supports contenant des informations, principalement des bandes magnétiques avec une copie de sauvegarde, etc.

Une telle considération élargie du modèle d'intrus, d'une part, s'inscrit dans le concept, puisque les menaces posées par ces intrus sont également internes, et d'autre part, elle permet d'analyser le problème plus largement, en considérant toutes les options possibles pour lutter contre ces menaces.

Les principaux types de contrevenants internes suivants peuvent être distingués :

Employé déloyal/irrité.Les contrevenants appartenant à cette catégorie peuvent agir délibérément, par exemple en changeant d'emploi et en voulant récupérer des informations confidentielles afin d'intéresser un nouvel employeur, ou émotionnellement, s'ils se considèrent offensés, voulant ainsi se venger. Ils sont dangereux parce qu’ils sont surtout motivés à causer des dommages à l’organisation dans laquelle ils travaillent actuellement. En règle générale, le nombre d'incidents impliquant des employés déloyaux est faible, mais il peut augmenter dans des situations de conditions économiques défavorables et de réductions massives d'effectifs.
Un employé infiltré, soudoyé ou manipulé.Dans ce cas, nous parlons de toute action ciblée, généralement à des fins d'espionnage industriel dans des conditions de concurrence intense. Pour collecter des informations confidentielles, soit ils introduisent leur propre personne dans une entreprise concurrente à certaines fins, soit ils trouvent un employé peu loyal et le soudoyent, soit ils forcent un employé loyal mais imprudent à transmettre des informations confidentielles par le biais de l'ingénierie sociale. Le nombre d'incidents de ce type est généralement encore inférieur aux précédents, en raison du fait que dans la plupart des segments de l'économie de la Fédération de Russie, la concurrence n'est pas très développée ou est mise en œuvre par d'autres moyens.
Employé négligent.Ce type de contrevenant est un employé loyal, mais inattentif ou négligent, qui peut violer la politique de sécurité interne de l'entreprise par ignorance ou par oubli. Un tel employé pourrait envoyer par erreur un e-mail contenant un fichier sensible en pièce jointe à la mauvaise personne, ou emporter chez lui une clé USB contenant des informations confidentielles sur laquelle travailler pendant le week-end et la perdre. Ce type inclut également les employés qui perdent des ordinateurs portables et des bandes magnétiques. Selon de nombreux experts, ce type d’initiés est responsable de la majorité des fuites d’informations confidentielles.

Ainsi, les motivations et, par conséquent, la ligne de conduite des contrevenants potentiels peuvent différer considérablement. En fonction de cela, vous devez aborder la tâche consistant à assurer la sécurité interne de l'organisation.

Technologies de protection contre les menaces internes

Malgré la relative jeunesse de ce segment de marché, les clients ont déjà l'embarras du choix en fonction de leurs objectifs et de leurs capacités financières. Il convient de noter qu’il n’existe désormais pratiquement aucun fournisseur sur le marché spécialisé exclusivement dans les menaces internes. Cette situation est due non seulement à l'immaturité de ce segment, mais aussi à la politique agressive et parfois chaotique de fusions et d'acquisitions menées par les fabricants de produits de sécurité traditionnels et d'autres fournisseurs intéressés par une présence sur ce segment. Il convient de rappeler la société RSA Data Security, devenue division d'EMC en 2006, le rachat par NetApp de la startup Decru, qui développait des systèmes de protection du stockage des serveurs et des copies de sauvegarde en 2005, le rachat par Symantec de l'éditeur DLP Vontu en 2007, etc.

Même si un grand nombre de ces transactions indiquent de bonnes perspectives de développement de ce segment, elles ne profitent pas toujours à la qualité des produits placés sous l'aile des grandes entreprises. Les produits commencent à se développer plus lentement et les développeurs ne répondent pas aussi rapidement aux demandes du marché qu'une entreprise hautement spécialisée. Il s’agit d’une maladie bien connue des grandes entreprises qui, comme nous le savons, perdent en mobilité et en efficacité au profit de leurs petites frères. D'autre part, la qualité du service et la disponibilité des produits pour les clients dans différentes parties du monde s'améliorent grâce au développement de leur réseau de service et de vente.

Considérons les principales technologies actuellement utilisées pour neutraliser les menaces internes, leurs avantages et inconvénients.

Contrôle des documents

La technologie de contrôle des documents est incorporée dans des produits modernes de gestion des droits, tels que Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES et Oracle Information Rights Management.

Le principe de fonctionnement de ces systèmes est d'attribuer des règles d'utilisation à chaque document et de contrôler ces droits dans les applications qui fonctionnent avec des documents de ce type. Par exemple, vous pouvez créer un document Microsoft Word et définir des règles indiquant qui peut le consulter, qui peut le modifier et enregistrer les modifications et qui peut l'imprimer. Ces règles sont appelées licence dans les termes Windows RMS et sont stockées avec le fichier. Le contenu du fichier est crypté pour empêcher les utilisateurs non autorisés de le consulter.

Désormais, si un utilisateur tente d'ouvrir un tel fichier protégé, l'application contacte un serveur RMS spécial, confirme les autorisations de l'utilisateur et, si l'accès à cet utilisateur est autorisé, le serveur transmet la clé à l'application pour décrypter ce fichier et ces informations. sur les droits de cet utilisateur. Sur la base de ces informations, l'application met à la disposition de l'utilisateur uniquement les fonctions pour lesquelles il dispose de droits. Par exemple, si un utilisateur n'est pas autorisé à imprimer un fichier, la fonction d'impression de l'application ne sera pas disponible.

Il s'avère que les informations contenues dans un tel fichier sont en sécurité même si le fichier sort du réseau de l'entreprise - il est crypté. La fonctionnalité RMS est déjà intégrée aux applications Microsoft Office 2003 Professional Edition. Pour intégrer la fonctionnalité RMS dans les applications d'autres développeurs, Microsoft propose un SDK spécial.

Le système de contrôle des documents d'Adobe est construit de la même manière, mais se concentre sur les documents au format PDF. Oracle IRM est installé sur les ordinateurs clients en tant qu'agent et s'intègre aux applications au moment de l'exécution.

Le contrôle des documents constitue un élément important du concept global de protection contre les menaces internes, mais les limites inhérentes à cette technologie doivent être prises en compte. Premièrement, il est conçu exclusivement pour le suivi des dossiers documentaires. Si nous parlons de fichiers ou de bases de données non structurés, cette technologie ne fonctionne pas. Deuxièmement, si un attaquant, utilisant le SDK de ce système, crée une application simple qui communiquera avec le serveur RMS, en recevra une clé de cryptage et enregistrera le document en texte clair, et lancera cette application au nom d'un utilisateur qui a un niveau minimum d'accès au document, alors ce système sera contourné. De plus, il convient de prendre en compte les difficultés lors de la mise en œuvre d'un système de contrôle des documents si l'organisation a déjà créé de nombreux documents - la tâche de classification initiale des documents et d'attribution des droits d'utilisation peut nécessiter des efforts importants.

Cela ne signifie pas que les systèmes de contrôle des documents ne remplissent pas leur tâche, nous devons simplement nous rappeler que la sécurité de l'information est un problème complexe et, en règle générale, il n'est pas possible de le résoudre à l'aide d'un seul outil.

Protection contre les fuites

Le terme prévention contre la perte de données (DLP) est apparu relativement récemment dans le vocabulaire des spécialistes de la sécurité de l'information et est déjà devenu, sans exagération, le sujet le plus brûlant de ces dernières années. En règle générale, l'abréviation DLP fait référence aux systèmes qui surveillent les canaux de fuite possibles et les bloquent si une tentative est faite d'envoyer des informations confidentielles via ces canaux. De plus, dans la fonction systèmes similaires inclut souvent la possibilité d'archiver les informations qui les transitent pour des audits ultérieurs, des enquêtes sur les incidents et une analyse rétrospective des risques potentiels.

Il existe deux types de systèmes DLP : le DLP réseau et le DLP hôte.

DLP réseau fonctionne sur le principe d'une passerelle réseau, qui filtre toutes les données qui y transitent. Evidemment, s'appuyant sur la mission de lutte contre les menaces internes, l'intérêt principal d'un tel filtrage réside dans la capacité à contrôler les données transmises hors du réseau de l'entreprise vers Internet. Les DLP réseau vous permettent de surveiller le courrier sortant, le trafic http et ftp, les services de messagerie instantanée, etc. Si des informations sensibles sont détectées, les DLP réseau peuvent bloquer le fichier transmis. Il existe également des options de traitement manuel des fichiers suspects. Les fichiers suspects sont placés en quarantaine, qui est périodiquement examinée par un responsable de la sécurité et autorise ou refuse le transfert de fichiers. Cependant, en raison de la nature du protocole, un tel traitement n'est possible que pour le courrier électronique. Des possibilités supplémentaires d'audit et d'enquête sur les incidents sont fournies par l'archivage de toutes les informations transitant par la passerelle, à condition que ces archives soient périodiquement examinées et que leur contenu soit analysé afin d'identifier les fuites survenues.

L'un des principaux problèmes liés à la mise en œuvre et à la mise en œuvre des systèmes DLP est la méthode de détection des informations confidentielles, c'est-à-dire le moment de prendre une décision quant à savoir si les informations transmises sont confidentielles et les motifs pris en compte lors de la prise d'une telle décision. . En règle générale, il s’agit d’analyser le contenu des documents transmis, également appelée analyse de contenu. Considérons les principales approches pour détecter les informations confidentielles.

Mots clés. Cette méthode est similaire aux systèmes de contrôle de documents évoqués ci-dessus. Des étiquettes sont intégrées dans les documents qui décrivent le degré de confidentialité des informations, ce qui peut être fait avec ce document et à qui il doit être envoyé. Sur la base des résultats de l'analyse des balises, le système DLP décide si un document donné peut être envoyé à l'extérieur ou non. Certains systèmes DLP sont initialement rendus compatibles avec les systèmes de gestion des droits pour utiliser les étiquettes installées par ces systèmes ; d'autres systèmes utilisent leur propre format d'étiquette.
Signature. Cette méthode consiste à spécifier une ou plusieurs séquences de caractères dont la présence dans le texte du fichier transféré doit indiquer au système DLP que ce fichier contient des informations confidentielles. Un grand nombre de signatures peuvent être organisées en dictionnaires.
Méthode Bayésienne. Cette méthode, utilisée pour lutter contre le spam, peut également être utilisée avec succès dans les systèmes DLP. Pour appliquer cette méthode, une liste de catégories est créée et une liste de mots est indiquée avec les probabilités que si le mot apparaît dans un fichier, alors le fichier avec une probabilité donnée appartient ou n'appartient pas à la catégorie spécifiée.
Analyse morphologique.La méthode d'analyse morphologique est similaire à celle de la signature, la différence est que la correspondance à 100 % avec la signature n'est pas analysée, mais que les mots racines similaires sont également pris en compte.
Impressions numériques.L'essence de cette méthode est qu'une fonction de hachage est calculée pour tous les documents confidentiels de telle sorte que si le document est légèrement modifié, la fonction de hachage restera la même ou changera également légèrement. Ainsi, le processus de détection des documents confidentiels est grandement simplifié. Malgré les éloges enthousiastes de cette technologie de la part de nombreux fournisseurs et de certains analystes, sa fiabilité laisse beaucoup à désirer, et compte tenu du fait que les fournisseurs, sous divers prétextes, préfèrent laisser dans l'ombre les détails de la mise en œuvre de l'algorithme d'empreintes digitales, faites confiance en cela n'augmente pas.
Expressions régulières.Connues de tous ceux qui ont travaillé sur la programmation, les expressions régulières facilitent la recherche de données de modèle dans du texte, par exemple des numéros de téléphone, des informations de passeport, des numéros de compte bancaire, des numéros de sécurité sociale, etc.

De la liste ci-dessus, il est facile de voir que les méthodes de détection soit ne garantissent pas une identification à 100 % des informations confidentielles, car le niveau d'erreurs du premier et du deuxième type est assez élevé, soit nécessitent une vigilance constante du service de sécurité pour mettre à jour et maintenir à jour une liste de signatures ou d'étiquettes d'affectation pour les documents confidentiels.

De plus, le cryptage du trafic peut créer un certain problème dans le fonctionnement du réseau DLP. Si les exigences de sécurité vous obligent à crypter les messages électroniques ou à utiliser SSL lors de la connexion à des ressources Web, le problème de la détermination de la présence d'informations confidentielles dans les fichiers transférés peut être très difficile à résoudre. N'oubliez pas que certains services de messagerie instantanée, tels que Skype, intègrent le cryptage par défaut. Vous devrez refuser d'utiliser ces services ou utiliser l'hébergeur DLP pour les contrôler.

Cependant, malgré toutes les complexités, lorsqu'elle est correctement configurée et prise au sérieux, la DLP réseau peut réduire considérablement le risque de fuite d'informations confidentielles et fournir à une organisation un moyen pratique de contrôle interne.

DLP hôte sont installés sur chaque hôte du réseau (sur les postes clients et, le cas échéant, sur les serveurs) et peuvent également être utilisés pour contrôler le trafic Internet. Cependant, les DLP basés sur l'hôte sont devenus moins répandus à ce titre et sont actuellement utilisés principalement pour surveiller les périphériques externes et les imprimantes. Comme vous le savez, un employé qui apporte une clé USB ou un lecteur MP3 au travail constitue une menace bien plus grande pour la sécurité des informations d'une entreprise que tous les pirates informatiques réunis. Ces systèmes sont également appelés outils de sécurité des points finaux, bien que ce terme soit souvent utilisé de manière plus large, par exemple, c'est ainsi que sont parfois appelés les outils antivirus.

Comme vous le savez, le problème de l'utilisation de périphériques externes peut être résolu sans aucun moyen en désactivant les ports soit physiquement, soit à l'aide du système d'exploitation, soit administrativement en interdisant aux employés d'apporter des supports de stockage au bureau. Cependant, dans la plupart des cas, l'approche « bon marché et joyeuse » est inacceptable, car la flexibilité requise des services d'information requis par les processus métier n'est pas fournie.

Pour cette raison, une certaine demande est apparue pour des outils spéciaux pouvant être utilisés pour résoudre de manière plus flexible le problème de l'utilisation de périphériques et d'imprimantes externes par les employés de l'entreprise. De tels outils vous permettent de configurer les droits d'accès des utilisateurs à différents types d'appareils, par exemple, pour un groupe d'utilisateurs d'interdire le travail avec les médias et de leur permettre de travailler avec des imprimantes, et pour un autre, d'autoriser le travail avec les médias en lecture seule. mode. S'il est nécessaire d'enregistrer des informations sur des appareils externes pour des utilisateurs individuels, la technologie de cliché instantané peut être utilisée, qui garantit que toutes les informations enregistrées sur un appareil externe sont copiées sur le serveur. Les informations copiées peuvent ensuite être analysées pour analyser les actions de l'utilisateur. Cette technologie copie tout, et il n'existe actuellement aucun système permettant d'analyser le contenu des fichiers stockés afin de bloquer le fonctionnement et d'éviter les fuites, comme le font les DLP réseau. Cependant, une archive de copies fantômes permettra d'enquêter sur les incidents et d'analyser rétrospectivement les événements survenus sur le réseau, et la présence d'une telle archive signifie qu'un interne potentiel peut être arrêté et puni pour ses actions. Cela peut s'avérer être pour lui un obstacle important et une raison importante pour abandonner les actions hostiles.

Il convient également de mentionner le contrôle de l'utilisation des imprimantes - les copies papier des documents peuvent également devenir une source de fuite. Le DLP hébergé vous permet de contrôler l'accès des utilisateurs aux imprimantes de la même manière que d'autres périphériques externes et d'enregistrer des copies des documents imprimés dans un format graphique pour une analyse ultérieure. De plus, la technologie des filigranes s'est quelque peu répandue, qui imprime un code unique sur chaque page d'un document, qui peut être utilisé pour déterminer exactement qui, quand et où a imprimé ce document.

Malgré les avantages incontestables du DLP basé sur l'hôte, il présente un certain nombre d'inconvénients liés à la nécessité d'installer un logiciel agent sur chaque ordinateur censé être surveillé. Premièrement, cela peut entraîner certaines difficultés en termes de déploiement et de gestion de tels systèmes. Deuxièmement, un utilisateur disposant de droits d'administrateur peut tenter de désactiver ce logiciel pour effectuer des actions non autorisées par la politique de sécurité.

Cependant, pour un contrôle fiable des périphériques externes, le DLP basé sur l'hôte est indispensable et les problèmes mentionnés ne sont pas insolubles. Ainsi, on peut conclure que le concept de DLP est désormais un outil à part entière dans l'arsenal des services de sécurité des entreprises face à la pression toujours croissante exercée sur eux pour assurer le contrôle interne et la protection contre les fuites.

Notion CIP

Dans le processus d'invention de nouveaux moyens de lutte contre les menaces internes, la pensée scientifique et technique de la société moderne ne s'arrête pas et, compte tenu de certaines lacunes des moyens évoqués ci-dessus, le marché des systèmes de protection contre les fuites d'informations est devenu concept d’IPC (Protection et Contrôle de l’Information). Ce terme est apparu relativement récemment ; on pense qu'il a été utilisé pour la première fois dans une étude de la société d'analyse IDC en 2007.

L'essence de ce concept est de combiner les méthodes DLP et de cryptage. Dans ce concept, avec l'aide de DLP, les informations qui quittent le réseau d'entreprise par des canaux techniques sont contrôlées et le cryptage est utilisé pour protéger les supports de données qui tombent physiquement ou peuvent tomber entre les mains de personnes non autorisées.

Examinons les technologies de cryptage les plus courantes pouvant être utilisées dans le concept IPC.

Cryptage de bandes magnétiques.Malgré le caractère archaïque de ce type de support, il continue d'être activement utilisé pour la sauvegarde et le transfert de gros volumes d'informations, car il n'a toujours pas d'égal en termes de coût unitaire d'un mégaoctet stocké. En conséquence, les fuites de bandes continuent de ravir les rédacteurs des agences de presse qui les mettent en première page, et de frustrer les DSI et les équipes de sécurité des entreprises qui deviennent les héros de tels reportages. La situation est aggravée par le fait que ces bandes contiennent de très grandes quantités de données et, par conséquent, un grand nombre de personnes peuvent devenir victimes d'escrocs.
Cryptage des stockages du serveur.Malgré le fait que le stockage du serveur est très rarement transporté et que le risque de perte est infiniment inférieur à celui de la bande magnétique, un Disque dur provenant du stockage peuvent tomber entre les mains de criminels. Réparation, élimination, mise à niveau - ces événements se produisent avec une régularité suffisante pour amortir ce risque. Et la situation de personnes non autorisées entrant dans le bureau n’est pas un événement totalement impossible.

Ici, cela vaut la peine de faire une petite digression et de mentionner l'idée fausse courante selon laquelle si un disque fait partie d'une matrice RAID, vous n'avez apparemment pas à craindre qu'il tombe entre de mauvaises mains. Il semblerait que l'alternance des données enregistrées en plusieurs disques durs, exécuté par les contrôleurs RAID, donne une apparence illisible aux données situées sur n'importe quel type de disque. Malheureusement, ce n'est pas tout à fait vrai. L'alternance se produit, mais dans la plupart des cas appareils modernes il s'exécute au niveau des blocs de 512 octets. Cela signifie que, malgré la violation de la structure et des formats de fichiers, des informations confidentielles peuvent être extraites de ces fichiers. disque dur C'est encore possible. Par conséquent, s’il est nécessaire de garantir la confidentialité des informations stockées dans une matrice RAID, le cryptage reste la seule option fiable.

Cryptage des ordinateurs portables.Cela a déjà été dit à maintes reprises, mais la perte d'ordinateurs portables contenant des informations confidentielles ne figure plus parmi les cinq incidents les plus fréquents depuis de nombreuses années.
Cryptage des supports amovibles.Dans ce cas, nous parlons de périphériques USB portables et, parfois, de CD et DVD enregistrables s'ils sont utilisés dans les processus métiers de l'entreprise. De tels systèmes, ainsi que les systèmes de chiffrement de disque dur d'ordinateur portable mentionnés ci-dessus, peuvent souvent servir de composants aux systèmes DLP hôtes. Dans ce cas, ils parlent d'une sorte de périmètre cryptographique, qui garantit un cryptage automatique et transparent des médias à l'intérieur et l'impossibilité de décrypter les données à l'extérieur.

Ainsi, le cryptage peut étendre considérablement les capacités des systèmes DLP et réduire le risque de fuite de données confidentielles. Malgré le fait que le concept d'IPC a pris forme relativement récemment et que le choix de solutions IPC complexes sur le marché n'est pas très large, l'industrie explore activement ce domaine et il est fort possible qu'après un certain temps, ce concept devienne le de norme de fait pour résoudre les problèmes de sécurité intérieure et de contrôle de sécurité intérieure.

conclusions

Comme le montre cet examen, les menaces internes constituent un domaine relativement nouveau de la sécurité de l'information, qui se développe néanmoins activement et nécessite une attention accrue. Les technologies de contrôle documentaire envisagées, DLP et IPC permettent de construire un système de contrôle interne assez fiable et de réduire le risque de fuite à un niveau acceptable. Sans aucun doute, ce domaine de la sécurité de l'information continuera à se développer, des technologies plus récentes et plus avancées seront proposées, mais aujourd'hui de nombreuses organisations optent pour une solution ou une autre, car la négligence en matière de sécurité de l'information peut coûter trop cher.

Alexeï Raevski
PDG de SecurIT

Des études récentes dans le domaine de la sécurité de l'information, telles que l'enquête annuelle CSI/FBI sur la criminalité informatique et la sécurité, ont montré que les pertes financières des entreprises dues à la plupart des menaces diminuent d'année en année. Il existe cependant plusieurs risques qui entraînent des pertes croissantes. L'un d'eux est le vol délibéré d'informations confidentielles ou la violation des règles de traitement par les employés dont l'accès aux données commerciales est nécessaire à l'exercice de leurs fonctions officielles. On les appelle des initiés.

Dans la grande majorité des cas, le vol d'informations confidentielles s'effectue à l'aide de supports mobiles : CD et DVD, appareils ZIP et, surtout, toutes sortes de clés USB. C’est leur diffusion massive qui a conduit à l’épanouissement de l’initié dans le monde entier. Les dirigeants de la plupart des banques sont bien conscients des dangers, par exemple, qu'une base de données contenant les données personnelles de leurs clients ou, plus encore, que les transactions sur leurs comptes tombent entre les mains de structures criminelles. Et ils tentent de lutter contre un éventuel vol d'informations en utilisant les méthodes d'organisation dont ils disposent.

Cependant, les méthodes d'organisation dans ce cas sont inefficaces. Aujourd'hui, vous pouvez organiser le transfert d'informations entre ordinateurs à l'aide d'une clé USB miniature, d'un téléphone portable, d'un TZ-plssr, d'un appareil photo numérique... Bien sûr, vous pouvez essayer d'interdire l'introduction de tous ces appareils au bureau, mais ceci, d'une part, affectera négativement les relations avec les employés, et d'autre part, il est encore très difficile d'établir un contrôle réellement efficace sur les personnes - une banque n'est pas une « boîte aux lettres ». Et même désactiver tous les périphériques des ordinateurs pouvant être utilisés pour écrire des informations sur des supports externes (disques FDD et ZIP, lecteurs de CD et DVD, etc.) et les ports USB n'aidera pas. Après tout, les premiers sont nécessaires au travail, et les seconds sont connectés à divers périphériques : imprimantes, scanners, etc. Et personne ne peut empêcher une personne d'éteindre l'imprimante pendant une minute, d'insérer une clé USB dans le port libre et d'y copier des informations importantes. Vous pouvez bien sûr trouver des moyens originaux pour vous protéger. Par exemple, une banque a essayé cette méthode pour résoudre le problème : elle a rempli la jonction du port USB et du câble avec de la résine époxy, « attachant » étroitement ce dernier à l'ordinateur. Mais heureusement, il existe aujourd’hui des méthodes de contrôle plus modernes, plus fiables et plus flexibles.

Le moyen le plus efficace de minimiser les risques associés aux initiés est un logiciel spécial qui gère dynamiquement tous les appareils et ports informatiques pouvant être utilisés pour copier des informations. Le principe de leur travail est le suivant. Les autorisations d'utilisation de divers ports et appareils sont définies pour chaque groupe d'utilisateurs ou pour chaque utilisateur individuellement. Le plus grand avantage d’un tel logiciel est la flexibilité. Vous pouvez saisir des restrictions pour des types spécifiques d'appareils, leurs modèles et instances individuelles. Cela permet de mettre en œuvre des politiques de répartition des droits d’accès très complexes.

Par exemple, vous souhaiterez peut-être autoriser certains employés à utiliser des imprimantes ou des scanners connectés aux ports USB. Cependant, tous les autres appareils insérés dans ce port resteront inaccessibles. Si la banque utilise un système d'authentification des utilisateurs basé sur des jetons, vous pouvez alors spécifier dans les paramètres le modèle de clé utilisé. Les utilisateurs seront alors autorisés à utiliser uniquement les appareils achetés par l'entreprise, et tous les autres seront inutiles.

Sur la base du principe de fonctionnement des systèmes de protection décrit ci-dessus, vous pouvez comprendre quels points sont importants lors du choix des programmes mettant en œuvre le blocage dynamique des appareils d'enregistrement et des ports informatiques. Tout d’abord, c’est la polyvalence. Le système de protection doit couvrir toute la gamme des ports possibles et des dispositifs d'entrée/sortie. Dans le cas contraire, le risque de vol d’informations commerciales reste inacceptablement élevé. Deuxièmement, le logiciel en question doit être flexible et permettre de créer des règles utilisant une grande quantité d'informations diverses sur les appareils : leurs types, les fabricants de modèles, les numéros uniques que possède chaque instance, etc. Et troisièmement, le système de protection contre les initiés devrait pouvoir s'intégrer à Système d'Information banque, notamment avec Active Directory. Sinon, l'administrateur ou le responsable de la sécurité devra gérer deux bases de données d'utilisateurs et d'ordinateurs, ce qui est non seulement gênant, mais augmente également le risque d'erreurs.

Des études récentes sur la sécurité de l'information, telles que l'enquête annuelle CSI/FBI ComputerCrimeAndSecuritySurvey, ont montré que les pertes financières des entreprises dues à la plupart des menaces diminuent d'année en année. Il existe cependant plusieurs risques qui entraînent des pertes croissantes. L'un d'eux est le vol délibéré d'informations confidentielles ou la violation des règles de traitement par les employés dont l'accès aux données commerciales est nécessaire à l'exercice de leurs fonctions officielles. On les appelle des initiés.

Cependant, les méthodes d'organisation dans ce cas sont inefficaces. Aujourd'hui, vous pouvez organiser le transfert d'informations entre ordinateurs à l'aide d'une clé USB miniature, d'un téléphone portable, d'un lecteur mp3, d'un appareil photo numérique... Bien sûr, vous pouvez essayer d'interdire l'introduction de tous ces appareils au bureau, mais ceci, d'abord, affectera négativement les relations avec les employés , et deuxièmement, il est encore très difficile d'établir un contrôle vraiment efficace sur les personnes - une banque n'est pas une « boîte aux lettres ». Et même désactiver tous les périphériques des ordinateurs pouvant être utilisés pour écrire des informations sur des supports externes (disques FDD et ZIP, lecteurs de CD et DVD, etc.) et les ports USB n'aidera pas. Après tout, les premiers sont nécessaires au travail, et les seconds sont connectés à divers périphériques : imprimantes, scanners, etc. Et personne ne peut empêcher une personne d'éteindre l'imprimante pendant une minute, d'insérer une clé USB dans le port libre et d'y copier des informations importantes. Vous pouvez bien sûr trouver des moyens originaux pour vous protéger. Par exemple, une banque a essayé cette méthode pour résoudre le problème : elle a rempli la jonction du port USB et du câble avec de la résine époxy, « attachant » étroitement ce dernier à l'ordinateur. Mais heureusement, il existe aujourd’hui des méthodes de contrôle plus modernes, plus fiables et plus flexibles.

Sur la base du principe de fonctionnement des systèmes de protection décrit ci-dessus, vous pouvez comprendre quels points sont importants lors du choix des programmes mettant en œuvre le blocage dynamique des appareils d'enregistrement et des ports informatiques. Tout d’abord, c’est la polyvalence. Le système de protection doit couvrir toute la gamme des ports possibles et des dispositifs d'entrée/sortie. Dans le cas contraire, le risque de vol d’informations commerciales reste inacceptablement élevé. Deuxièmement, le logiciel en question doit être flexible et permettre de créer des règles utilisant une grande quantité d'informations diverses sur les appareils : leurs types, les fabricants de modèles, les numéros uniques que possède chaque instance, etc. Et troisièmement, le système de protection des initiés doit pouvoir s’intégrer au système d’information de la banque, notamment avec ActiveDirectory. Sinon, l'administrateur ou le responsable de la sécurité devra gérer deux bases de données d'utilisateurs et d'ordinateurs, ce qui est non seulement gênant, mais augmente également le risque d'erreurs.