Захист інформації від інсайдерів за допомогою програмних засобів. Внутрішні загрози: новий виклик корпоративним службам ІБ

За даними різних аналітичних компаній, витік інформації дуже часто відбувається не за рахунок її розкрадання ззовні, а за рахунок передачі конфіденційної інформації своїм співробітникам представникам організацій-конкурентів. Сьогодні існує безліч різних пристроїв, на які можуть бути скопійовані будь-які документи, що зберігаються у локальній мережі організації. І це не лише зовнішні USB-носія або CD/DVD-диски. Копіювати інформацію можна і на mp3-плеєри, стільникові телефони, які безпосередньо до комп'ютера можуть не підключатися, на зовнішнє обладнання, яке може підключатися до локальної мережі через Wi-Fi та іншими способами. Крім того - це і відправка електронною поштою, засобами програм для обміну миттєвими повідомленнями, через форуми, блоги, чати. Варіантів багато, чи можна захиститись від них?

Для захисту даних від інсайдерівзастосовують різні методи, до яких входить і використання спеціальних програм, призначених для контролю за використанням периферійних пристроїв. У цій статті ми розглянемо кілька програм, як зарубіжних виробників, так і вітчизняних, і намагатимемося визначити, де і коли їх слід застосовувати.

Програма призначена для обмеження доступудо різних периферійних пристроїв, з можливістю створення "білих" списків, ведення моніторингу роботи користувачів, тіньового копіювання файлів, що копіюються або з контрольованих пристроїв. Є можливість як централізованої установки драйверів стеження, і їх локальної установки.

Встановлення програми може здійснюватися як централізовано, так і локально, якщо доступ до комп'ютера через мережу обмежений або неможливий. У єдиний дистрибутив входить кілька модулів: серверний, встановлюється на сервері офісної локальної мережі, дозволяє/забороняє ті чи інші дії, зберігає інформацію в базу даних; клієнтський, реалізований як драйвера стеження; адміністраторський та база даних, в якості якої використовується SQLite.

Драйвера стеження забезпечують контрольрізних портів, включаючи USB, CIM, LPT, WiFi, ІЧ та інші. Залежно від типу порту можна повністю забороняти доступ, читати або відкривати повний доступ до пристрою. Розподіл доступу за часом відсутній. Також відмічено, що при дозволі доступу тільки на читання до пристроїв типу USB-флешок, можливість редагування звичайних текстових файлівна цих пристроях з можливістю їх збереження на цьому носії залишається.

Показує USB-пристрої, підключені до комп'ютерів, і веде журнал дій користувачів із зовнішніми накопичувачами інформації. Інформація про час підключення/відключення пристроїв і про те, які файли та коли були прочитані або записані, зберігається в базі даних. Реалізовано тіньове копіювання файлів, які читалися або записувалися на пристрої USB. Тіньового копіювання файлів, що надсилаються на друк або інші пристрої, немає, ведеться лише їхнє журналування.

Існує поняття "білого списку", до якого заносяться USB-пристрої, доступ до яких повинен бути відкритий завжди на всіх комп'ютерах (наприклад, USB-ключі). Цей список єдиний для всіх комп'ютерів, індивідуальних списків для окремих користувачів немає.

забезпечує налаштування доступу до різних зовнішніх пристроїв, але не виділяє при цьому із загального списку USB-пристроїв принтери, що підключаються до цих портів. У той самий час вона розрізняє змінні носії і може встановлювати їм різні види доступу. Змінні носії автоматично заносяться в базу пристроїв (програма занесе в базу всі USB-носії, що коли-небудь підключалися до конкретного комп'ютера), що дозволяє застосовувати призначені для них права доступу для будь-яких комп'ютерів, що захищаються за допомогою програми.

У ній можна використовувати централізовану установку клієнтських частин за допомогою групової політики Active Directory. При цьому зберігається можливість їх встановлення локально та через панель адміністратора програми. Розмежування прав доступу здійснюється на основі політик контролю доступу, однак допускається створення кількох політик, які можуть застосовуватися індивідуально для різних комп'ютерів. Крім функції контролю доступу, дозволяє здійснювати протоколювання використання пристроїв на локальному комп'ютері.

Програма підтримує функцію тіньового копіювання – можливість зберігати точну копію файлів, які копіюються користувачем на зовнішні пристрої зберігання інформації. Точні копії всіх файлів зберігаються у спеціальному сховищі та пізніше можуть бути проаналізовані за допомогою вбудованої системи аналізу. Тінне копіювання може бути задано для окремих користувачів та груп користувачів. При включенні функції "вести тільки лог" при копіюванні файлів зберігатиметься лише інформація про них (без збереження точної копії файлу).

У програмі немає поняття "білого списку" пристроїв. Замість нього в загальній політиці можна вказати знімний носій і дозволити йому доступ з будь-якого комп'ютера. Зауважимо, що в ній немає можливості застосувати такі ж налаштування до окремих CD/DVD-дисків.

Програма компанії GFIістотно перевершує за своїми можливостями і, і – в ній, наприклад, набагато більше контрольованих пристроїв, ніж у попередніх програм (медіаплеєри iPod, Creative Zen, мобільні телефони, цифрові камери, засоби архівування на магнітних стрічках та Zip-дисках, Web-камери, сканери).

У програмі передбачено три типові налаштування прав доступу – для серверів, робочих станцій та переносних комп'ютерів. На додаток до блокування пристроїв, у програмі є можливість блокування доступуфайлів залежно від їх типу. Наприклад, можна відкрити доступ до файлів документів, але заборонити доступ виконуваним файлам. Також є можливість блокування доступу до пристроїв не тільки за їх типом, але й фізичним портом, до якого підключаються зовнішні пристрої. Ще одна налаштування прав доступуведеться за унікальними ідентифікаторами пристроїв.

Адміністратор програми може вести два типи списків пристроїв – тих, доступ до яких дозволено за замовчуванням (білий список), і тих, доступ до яких заборонено (чорний список). ІТ-спеціаліст може давати тимчасові дозволи на доступ до пристроїв або груп пристроїв на окремо взятому комп'ютері (реалізується за рахунок генерації спеціального коду, який може передаватися користувачеві навіть у тому випадку, якщо комп'ютер відключений від мережі і агент програми не має можливості підключитися до сервера ).

У програмі реалізована підтримка нової функції шифрування, що застосовується в системі Windows 7, яка називається BitLocker To Go. Ця функція використовується для захисту та шифрування даних на знімних пристроях. GFI EndPointSecurity може розпізнавати такі пристрої та забезпечувати доступ до збережених на них файлів залежно від їх типів.

Надає адміністратору потужну систему звітів. Підсистема статистики (GFI EndPointSecurity ReportPack) показує (в текстовому та графічному вигляді) щоденне зведення використання пристроїв як для вибраних комп'ютерів, так і для всіх комп'ютерів загалом. Також можна отримати статистичні дані щодо активності користувачів у розрізі дня, тижня, місяця з розбивкою за використаними програмами, пристроями, шляхами доступу до файлів.

Одна з найпоширеніших сьогодні у Росії програм захисту від інсайдерів. видається в Росії під маркою «1С: Дистрибуція»

Програма забезпечує контрольне тільки пристроїв, що працюють під керуванням Windows Mobile, а також пристроїв, що працюють під операційними системами iPhone OS і Palm OS. При цьому забезпечується і тіньове копіювання всіх файлів і даних, що переписуються, незалежно від того, по якому порту ці пристрої підключаються до контрольованої мережі. Тіньове копіювання можна налаштувати не лише за пристроями, а й за типами файлів, при цьому тип визначатиметься не на основі розширень, а на основі змісту.

Передбачена можливість встановлення доступу "тільки для читання" для змінних носіїв, включаючи стрічкові накопичувачі. Як додаткова опція – захист носіїв від випадкового чи навмисного форматування. Також можна вести протокол всіх дій користувачів як із пристроями, і з файлами (як копіювання чи читання, а й видалення, перейменування тощо).

Для зменшення навантаження на мережу при передачі даних, одержуваних від агентів, та файлів тіньового копіювання може використовуватися потокове стиснення. Дані тіньового копіювання у великих мережах можуть зберігатися на кількох серверах. Програма автоматично вибирає оптимальний сервер, враховуючи пропускну спроможність мережі та завантаження серверів.

У багатьох організаціях захисту даних використовуються диски, що захищаються спеціальними програмамишифрування - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt та TrueCrypt. Для таких дисків програма може встановлювати спеціальні "політики шифрування", що дозволяє дозволити записування лише зашифрованих даних на знімні пристрої. Підтримується робота з флеш-дисками Lexar JumpDrive SAFE S3000 і Lexar SAFE PSD, що підтримують апаратне шифрування даних. Найближчою версією буде підтримана і робота із вбудованим у Windows 7 засобом шифрування даних на знімних носіях BitLocker To Go.

Тіньове копіювання призначене не тільки для збереження копій файлів, але і для аналізу переміщеної інформації. може здійснювати повнотекстовий пошук за вмістом файлів, автоматично розпізнаючи та індексуючи документи у різних форматах.

Вже оголошено про вихід нової версії програми, в якій крім повноцінного пошуку буде реалізовано і контентну фільтрацію файлів, що копіюються на знімні пристрої зберігання будь-яких типів, а також контроль вмісту об'єктів даних, що передаються з комп'ютера через канали мережевих комунікацій, включаючи додатки електронної пошти, інтерактивні web -Сервіси, соціальні мережі, форуми та конференції, найбільш популярні служби миттєвих повідомлень (Instant Messengers), файлові обміни за протоколом FTP, а також Telnet-сесії

Унікальною в новій версії є технологія фільтрації текстових даних у каналі мережного та локального друку документів для завдань у форматах PCL та PostScript, що дозволяє блокувати або дозволяти друк документів залежно від їхнього інформаційного змісту.

Висновки


Віддалене керування клієнтами
Управління через оснащення MMC
Централізована установка політик, контроль та відновлення
Контроль зовнішніх пристроїв	Тільки USB
Контроль WiFi адаптерів
Контролює пристрої Palm OS. iPhone/iPod			Обмежене	Обмежене
Підтримка технології "білих списків"
Підтримка технології "білих списків" носіїв даних
Підтримка зовнішніх зашифрованих дисків
Блокування кейлоггерів
Обмеження обсягів копійованих даних
Контроль даних за типами
Централізоване ведення логів
Тіньове копіювання	Тільки для USB	Тільки для USB	Частково
Тіньове копіювання даних друку
Графічні звіти логів та тіньового копіювання
Повнотекстовий пошук у даних тіньового копіювання

Дві перші з розглянутих програм можуть використовуватись для захисту інформаціївід розкрадань, але можливості обмежені. Вони різною мірою "закривають" стандартні зовнішні пристрої, але можливості їх обмежені - і в налаштуваннях, і в частині проведення аналізу роботи користувачів. Ці програми можна рекомендувати для проби, для з'ясування самого процесу захисту. Для великих організацій, де використовується різноманітне периферійне обладнання та потрібен аналіз діяльності користувачів, ці програми будуть явно недостатніми.

Для них краще звернути увагу на програми-і. Це професійні рішення, які можуть застосовуватися в компаніях як з малою, так і з великою кількістю комп'ютерів. Обидві програми забезпечують контроль різних периферійних пристроїв та портів, мають потужні системи аналізу та формування звітів. Але й між ними є суттєві відмінності, тому програму компанії GFIу цьому випадку можна сприйняти за базову. може контролювати не тільки пристрої та роботу з даними, але й використання програмного забезпечення. Ця можливість "підтягує" її з ніші "Device Control" у сегмент "Content-Aware Endpoint DLP". Нові заявлені можливості дозволяють їй різко відірватися від своїх конкурентів за рахунок появи можливості аналізу контенту на момент виконання користувачем різних дій з даними, включаючи потокові, а також за рахунок контролю ряду параметрів контексту мережевих комунікацій, включаючи адреси електронної пошти, IP адреси, ідентифікатори користувачів та ресурсів мережевих додатків тощо. можна у партнерів "1Софт".

Михайло Абрамзон

Всі права захищені. З питань використання статті звертайтесь до адміністраторам сайту

Думаю, всім очевидно, що на тлі нинішньої кризи відбувається грандіозний переділ власності, особливо у фінансовій сфері. Конкуренти не гребують жодними засобами. На війні як у війні - у хід йде все. Використання інсайдерської інформації часто стає ключем до перемоги, а комусь джерелом поразки.

Йдеться вже не про шкоду репутації фірми чи про деякі фінансові труднощі. Часто йдеться про банальне виживання підприємства.

Класичне визначення інсайдера – член обмеженого кола людей, які мають доступ до важливої закритої інформації. З погляду фінансових структур, інсайдер — це зловмисник, який використовує свої знання про емітентів цінних паперів для гри на фондовій біржі або продає ці відомості третім особам. Правоохоронні органи вважатимуть інсайдером оперативника, який продає відомості про операції МВС організованій злочинній спільноті.

Фахівці з інформаційної безпеки вважають інсайдерами співробітників компанії, які мають доступ до якихось конфіденційних даних, розміщених у локальній мережі підприємства.

Розповісти цю інформацію співробітники можуть свідомо чи мимоволі. Крім відвертого розкрадання даних з метою їхнього подальшого перепродажу або розголошення на шкоду підприємству, існує величезний пласт випадків, коли інформація потрапила не в ті руки помилково чи непорозуміння. Це може бути лист з важливими специфікаціями, відправлений не туди «дурною» секретаркою, а може й недостатньо чітка вказівка начальства, в результаті якого на сайт корпорації викладаються «вихідники» нового програмного продукту.

Які ж дані найчастіше цікавлять зловмисників?

Як не дивно, за статистикою, інсайдерів найбільше цікавлять персональні дані. 68% респондентів дослідження "Інсайдерські загрози в Росії 2009" зазначили, що саме цей тип інформації стає об'єктом нездорової уваги співробітників. І це незважаючи на те, що така інформація не приносить такої комерційної вигоди, як технічні специфікації нових продуктів, фінансові звіти чи бізнес-плани… Ці відомості також привертають увагу інсайдерів, але вони традиційно краще захищаються в нашій країні.

Захистити всю інформацію від витоків, неможливо. На думку фахівців нашої компанії, є сенс сфокусуватися на захисті двох основних категорій даних:

Інформація про клієнтську базу - назви компаній, імена та контактні дані клієнтів (телефонів, адрес, електронної пошти).
Інформація, яка може викликати паніку у клієнтів або зрив великих угод. Це може бути інформація про масові скорочення персоналу, заморожування вкладів, затримки виплат тощо.

Слід зазначити, що системи захисту від несанкціонованого доступу (НСД) або розподілу прав (DRM) у цьому випадку допоможуть дуже обмежено. Це відбувається тому, що саме люди, які мають доступ і відповідні права, як правило, стають джерелом витоку інформації. Зате дуже ефективними будуть звані DLP-системи (Data Leakage Prevention) - системи запобігання витоків.

Інформацію про клієнтів можна захистити за допомогою формальних методів захисту баз даних. Це аналіз формальних атрибутів файлу чи відстеження файлових відбитків (fingerprints). Наразі ці методи захисту підтримують більшість розробників DLP-систем.

Щодо витоків "панічної" інформації можна сказати, що відстежити їх реально лише за допомогою так званої контентної фільтрації. Ця популярна технологія, що використовується антивірусами та спам-фільтрами. Суть її полягає у сортуванні та класифікації всього потоку інформації в інформаційній інфраструктурі підприємства на основі їх змісту (контенту). Це дуже складні та специфічні продукти, які мають налаштовуватись професіоналами.

Ключовою функцією запобігання інсайдерської витоку інформації є блокування переміщення інформації з внутрішньої інформаційної системи назовні. Це, перш за все - пересилання електронною поштою та інтернет-каналами (що є не у всіх системах). Багато підприємств зупиняються на звичайному моніторингу інформації з подальшим її аналізом. Це видається більш простим методом, ніж розбиратися на льоту з можливими помилковими спрацьовуваннями DLP-систем. Але варто зазначити, що запобігти витоку дійсно важливої для існування підприємства інформації значно краще, ніж пост-фактум покарати винних. Тому впровадження та обслуговування DLP-систем – найкраще вкладення засобів для захисту вашого бізнесу від інсайду.

Автоматизовані системи щодо запобігання витоку інформації на основі контентної фільтрації - далеко не єдина ланка в ланцюзі захисту. Ефективний захист конфіденційних даних може бути створений лише з комбінації технічних, адміністративних та організаційних заходів! Як невід'ємна частина боротьби з інсайдом, на підприємстві мають виконуватися такі заходи:

Стандартизація програмного забезпечення з чітким виконанням вимог спеціалістів з безпеки. Через різне, нестандартне ПЗ, встановлене користувачами на своїх комп'ютерах випаровується досить пристойний відсоток інформації.
Неухильне дотримання правил безпеки підприємства, у тому числі організаційних (обмеження доступу до приміщень, обмеження використання переносних накопичувачів тощо)
Юридично закріплена відповідальність персоналу за розголошення конфіденційної інформації з чітким визначенням, що саме входить до переліку такої інформації.
Централізований і повністю контрольована ІТ-служба та служба безпеки вихід співробітників будь-якого рангу в мережу Інтернет.
Використання методів автентифікації користувачів під час роботи в інформаційному середовищі підприємства.
Навчання співробітників безпечної роботи з інформацією, комп'ютерами та Інтернетом.

Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого і усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку чи неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення.

Насамперед варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є співробітник підприємства або будь-яка інша особа, яка має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі дії легальних користувачів, навмисних або випадкових, які можуть призвести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має інші значення.

Актуальність проблеми внутрішніх загроз підтверджується наслідками останніх досліджень. Зокрема, у жовтні 2008 року було оголошено результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів у США), тоді як хакери виявилися лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, які говорять про кількість інцидентів, пов'язаних із внутрішніми загрозами, виглядають так:

Кількість інцидентів у відсотках означає, що із загальної кількості опитаних цей тип інциденту відбувався у вказаному відсотку організацій. Як видно з цих цифр, ризик постраждати від внутрішніх загроз є практично в кожної організації. Для порівняння, відповідно до того ж звіту, віруси вразили 50% опитаних організацій, а з проникненням хакерів у локальну мережузіткнулося лише 13%.

Таким чином, внутрішні загрози – це реальність сьогодення, а не вигаданий аналітиками та вендорами міф. Тож тим, хто по-старому вважає, що корпоративна ІБ – це міжмережевий екран та антивірус, необхідно якнайшвидше поглянути на проблему ширше.

Підвищує градус напруженості і закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям та посадовим особам доведеться відповідати не лише перед своїм керівництвом, а й перед своїми клієнтами та перед законом.

Модель порушника

Традиційно при розгляді загроз та засобів захисту від них слід розпочинати аналіз моделі порушника. Як уже згадувалося, ми говоритимемо про інсайдерів – співробітників організації та інших користувачів, які мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім спадає на думку офісний співробітник, що працює на комп'ютері у складі корпоративної мережі, який у процесі роботи не залишає меж офісу організації. Однак таке уявлення неповне. Необхідно розширити його за рахунок інших видів осіб, які мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюють і в офісі та вдома, кур'єри, що перевозять носії з інформацією, насамперед магнітні стрічки з резервною копією тощо.

Такий розширений розгляд моделі порушника, по-перше, укладається в концепцію, оскільки погрози, які походять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему ширше, розглянувши всі можливі варіанти боротьби з цими погрозами.

Можна виділити такі основні типи внутрішніх порушників:

Нелояльний/ображений співробітник.Порушники, що належать до цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, якщо вони вважають себе скривдженими, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій зараз працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але вона може збільшуватись у ситуації несприятливих економічних умов та масових скорочень персоналу.
Впроваджений співробітник, що підкуповується або маніпулюється.У разі йдеться про якісь цілеспрямовані дії, зазвичай, з метою промислового шпигунства за умов гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але непильного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість таких інцидентів зазвичай ще менше, ніж попередніх, у зв'язку з тим, що в більшості сегментів економіки в конкуренція не сильно розвинена або реалізується іншими способами.
Недбалий співробітник.Даний вид порушника є лояльним, але неуважним або халатним співробітником, який може порушити політику внутрішньої безпеки підприємства через її незнання або забудькуватість. Такий співробітник може помилково надіслати листа електронною поштою з доданим секретним файлом не тому, для кого він призначений, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею у вихідні, і втратити її. До цього ж типу належать співробітники, які втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього відповідальні за більшість витоків конфіденційної інформації.

Отже, мотиви, отже, і спосіб дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.

Технології захисту від внутрішніх загроз

Незважаючи на відносну молодість даного сегменту ринку, клієнтам вже є з чого вибирати залежно від їхніх завдань та фінансових можливостей. Варто зазначити, що зараз на ринку практично немає вендорів, які б спеціалізувалися виключно на внутрішніх загрозах. Така ситуація склалася не тільки через незрілість даного сегменту, але ще й завдяки агресивній та іноді хаотичній політиці злиття та поглинання, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені у присутності на цьому сегменті. Варто нагадати про компанію RSA Data Security, яка стала підрозділом EMC у 2006 році, купівлю компанією NetApp стартапа Decru, що займався розробкою систем захисту серверних сховищ та резервних копій у 2005 році, купівлю компанією Symantec DLP-вендора Vontu у 2007 році тощо.

Незважаючи на те, що велика кількість подібних угод говорить про добрі перспективи розвитку даного сегменту, вони не завжди йдуть на користь якості продуктів, що переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники негаразд оперативно реагують на вимоги ринку порівняно з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють у мобільності та оперативності своїм меншим братам. З іншого боку, покращується якість сервісу та доступність продуктів для клієнтів у різних точках земної кулі завдяки розвиненості їхньої сервісної та збутової мережі.

Розглянемо основні технології, що застосовуються нині для нейтралізації внутрішніх загроз, їх переваги та недоліки.

Контроль документів

Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES та Oracle Information Rights Management.

Принцип роботи даних систем полягає у призначенні правил використання для кожного документа та контролю цих прав у додатках, що працюють із документами даних типів. Наприклад, можна створити документ Microsoft Word і встановити для нього правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Ці правила в термінах Windows RMS називаються ліцензією та зберігаються разом із файлом. Вміст файлу зашифровується для запобігання можливості його перегляду неавторизованим користувачем.

Тепер якщо будь-який користувач намагається відкрити такий захищений файл, програма зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цього користувача дозволено, сервер передає додатку ключ для розшифрування даного файлу та інформацію про права цього користувача. Програма на основі цієї інформації робить доступними для користувача лише ті функції, для виконання яких він має права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в програмі буде недоступною.

Виходить, що інформація в такому файлі є безпечною навіть у випадку, якщо файл потрапить за межі корпоративної мережі – вона зашифрована. Функції RMS вже вбудовані в Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS у додатки інших розробників Microsoft пропонує спеціальний SDK.

Система контролю документів від Adobe побудована аналогічно, але орієнтована на документи у форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери як агента і інтегрується з додатками на етапі їх виконання.

Контроль документів – це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктуровані файли або бази даних, ця технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить найпростіший додаток, який буде зв'язуватися з RMS-сервером, отримувати звідти ключ шифрування та зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то ця система буде обійдена. Крім цього, слід враховувати складнощі при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів – завдання первісної класифікації документів та призначення прав їх використання може вимагати значних зусиль.

Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації – проблема комплексна, і вирішити її за допомогою лише одного засобу, як правило, не вдається.

Захист від витоків

Термін захист від витоків (data loss prevention, DLP) з'явився в лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати без перебільшення найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, що контролюють можливі канали витоку та блокують їх у разі спроби пересилання цими каналами будь-якої конфіденційної інформації. Крім цього, у функції подібних системчасто входить можливість архівування інформації, що проходить по них, для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.

Розрізняють два види DLP-систем: мережеві DLP та хостові DLP.

Мережеві DLPпрацюють за принципом мережевого шлюзу, який фільтрує всі дані, що проходять через нього. Очевидно, що з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в Інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- та ftp-трафік, служби миттєвих повідомлень і т. д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати файл, що передається. Також існують можливості щодо ручної обробки підозрілих файлів. Підозрільні файли поміщаються в карантин, який періодично переглядає офіцер безпеки і дозволяє передачу файлу, або забороняє її. Щоправда, така обробка через особливості протоколу можлива лише для електронної пошти. Додаткові можливості з аудиту та розслідування інцидентів надає архівування всіх інформації, що проходить через шлюз, за умови, що цей архів періодично проглядається і його вміст аналізується з метою виявлення витоків.

Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто момент прийняття рішення про те, чи є інформація, що передається, конфіденційною та підстави, які враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту документів, що передаються, званий також контентним аналізом. Розглянемо основні підходи до детектування конфіденційної інформації.

Мітки. Цей метод аналогічний системам контролю документів, розглянутим вище. У документи впроваджуються мітки, що описують ступінь конфіденційності інформації, що можна робити з цим документом, та кому посилати. За результатами аналізу міток, система DLP приймає рішення, чи можна цей документ відправити назовні чи не можна. Деякі DLP системи спочатку роблять сумісними із системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких у тексті файлу, що передається, повинна говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велику кількість сигнатур можна організовувати у словнику.
Метод Байєса. Даний метод, який застосовується при боротьбі зі спамом, може успішно застосовуватись і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів з ймовірностями того, що якщо слово зустрілося у файлі, файл із заданою ймовірністю належить або не належить до зазначеної категорії.
Морфологічний аналізМетод морфологічного аналізу аналогічний сигнатурному, відмінність у тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
Цифрові відбитки.Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде трохи змінено, хеш-функція залишиться такою самою, або теж зміниться незначно. Таким чином, процес детектування конфіденційних документів значно спрощується. Незважаючи на захоплені дифірамби цієї технології з боку багатьох вендорів та деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами вважають за краще залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіра до неї не збільшується.
Регулярні вирази.Відомі всім, хто мав справу з програмуванням, регулярні вирази дозволяють легко знаходити в тексті шаблонні дані, наприклад телефони, паспортні дані, номери банківських рахунків, номери соціального страхування і т.д.

З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного чування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або присвоювання конфіденційним документам.

Крім цього, певну проблему у роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в файлах, що передаються, може бути дуже складною. Не варто забувати і про те, що деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудоване за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для контролю хостові DLP.

Тим не менш, незважаючи на всі складнощі, при правильному налаштуванні та серйозному підході мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації та дати організації зручний засіб для внутрішнього контролю.

Хостові DLPвстановлюються за кожен хост у мережі (на клієнтські робочі станції і, за необхідності, на сервера) і можуть бути використані контролю інтернет-трафіку. Однак в цій якості хостові DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроїв та принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, становить для інформаційної безпеки підприємства набагато більшу загрозу, ніж усі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі (endpoint security), хоча часто цей термін використовується ширше, наприклад, іноді називають антивірусні засоби.

Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, у більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що з боку бізнес-процесів.

Через це виник певний попит на спеціальні засоби, за допомогою яких можна гнучкіше вирішити проблему використання зовнішніх пристроїв та принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів до різних видів пристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями та дозволяти з принтерами, а для іншої – дозволяти роботу з носіями в режимі лише читання. У разі потреби записування інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія тіньового копіювання, яка забезпечує копіювання на сервер всієї інформації, що зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізована для аналізу дій користувачів. Дана технологія копіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Тим не менш, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій у мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим та покараним за свої дії. Це може виявитися для нього суттєвою перешкодою та вагомою причиною відмовитись від ворожих дій.

Варто ще згадати контроль використання принтерів – тверді копії документів можуть стати джерелом витоку. Хостові DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії документів, що роздруковуються, у графічному форматі для подальшого аналізу. Крім цього, певного поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.

Незважаючи на безперечні плюси хостових DLP, у них є ряд недоліків, пов'язаних з необхідністю встановлення агентського програмного забезпечення на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з погляду розгортання таких систем та управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це програмне забезпечення для здійснення будь-яких дій, не дозволених політикою безпеки.

Тим не менш, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а згадані проблеми не стосуються розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах тиску, що постійно посилюється, щодо забезпечення внутрішнього контролю та захисту від витоків.

Концепція IPC

У процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і з огляду на певні недоліки засобів, що розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Цей термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC у 2007 році.

Суть цієї концепції полягає у поєднанні методів DLP та шифрування. У цій концепції за допомогою DLP контролюється інформація, що залишає межі корпоративної мережі з технічних каналів, а шифрування використовується захисту носіїв даних, які фізично потрапляють чи можуть потрапити до рук сторонніх осіб.

Розглянемо найпоширеніші технології шифрування, які можна застосовувати у концепції IPC.

Шифрування магнітних стрічок.Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіювання і для перенесення великих обсягів інформації, оскільки за питомою вартістю мегабайта, що зберігається, досі не має рівних. Відповідно, витоки, пов'язані з втратами магнітних стрічок, продовжують радувати редакторів стрічок новин, що поміщають інформацію про них на перші смуги, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, багато людей можуть стати жертвами шахраїв.
Шифрування серверних сховищ.Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати набагато нижче, ніж у магнітної стрічки, окремий жорсткий дискіз сховища може потрапити до рук зловмисників. Ремонт, утилізація, апгрейд – ці події виникають із достатньою регулярністю для того, щоб списувати цей ризик із рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є неможливою подією.

Тут варто зробити невеликий відступ і згадати про поширену оману про те, що якщо диск знаходиться у складі RAID-масиву, то нібито можна не турбуватися про те, що він потрапить у сторонні руки. Здавалося б, чергування записуваних даних на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вигляд даних, які знаходяться на одному жорсткому вигляді. На жаль, це зовсім не так. Чергування справді має місце, однак у більшості сучасних пристроїввоно виконується лише на рівні блоків по 512 байт. Це означає, що, незважаючи на порушення структури та форматів файлів, конфіденційну інформацію витягти з такого жорсткого дискавсе одно можна. Тому якщо поставлена вимога щодо забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.

Шифрування ноутбуків.Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
Шифрування знімних носіїв.У цьому випадку йдеться про портативні USB-пристрої і, іноді, про CD- і DVD-диски, що записуються, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, так само як і згадані вище системи шифрування жорстких дисків у ноутбуках, часто можуть виступати як компоненти хостових DLP-систем. У цьому випадку говорять про свого роду криптопериметр, який забезпечує автоматичне прозоре шифрування носіїв усередині, і неможливість розшифрувати дані за його межами.

Таким чином, шифрування може суттєво розширити можливості DLP-систем та знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не надто широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки та внутрішнього контролю.

Висновки

Як видно з даного огляду, внутрішні загрози – це досить нова область ІБ, яка активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP та IPC дозволяють побудувати досить надійну систему внутрішнього контролю та знизити ризик витоку до прийнятного рівня. Без сумніву, ця галузь ІБ продовжить розвиватися, пропонуватимуться новіші та досконаліші технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безтурботність у питаннях інформаційної безпеки може обійтися занадто дорого.

Олексій Раєвський
Генеральний директор компанії SecurIT

Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисний крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв і, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, трЗ-плссра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може перешкодити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо надаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токена, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системоюбанку, зокрема з Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, але і збільшує ризики виникнення помилок.

Останні дослідження в галузі інформаційної безпеки, наприклад щорічне CSI/FBI ComputerCrimeAndSecuritySurvey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисне крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, а й збільшує ризик виникнення помилок.