Android. Operativni sistem. Multimedija. Društvene mreže. Instrumenti. Kodeci. Grafika
Jesi li tu: » »

Zaštita od insajdera. Interne prijetnje: novi izazov za korporativne usluge sigurnosti informacija


Danas postoje dva glavna kanala za curenje povjerljivih informacija: uređaji povezani sa računarom (sve vrste prenosivih diskova, uključujući fleš diskove, CD/DVD, itd., štampači) i internet (e-pošta, ICQ, društvene mreže itd.) itd.). I stoga, kada je kompanija "zrela" za implementaciju sistema zaštite od njih, savjetuje se da se rješavanju toga pristupi sveobuhvatno. Problem je što se koriste različiti pristupi za preklapanje različitih kanala. U jednom slučaju, najefikasniji način zaštite bit će kontrola nad korištenjem izmjenjivih diskova, au drugom - različite opcije za filtriranje sadržaja, što vam omogućava da blokirate prijenos povjerljivih podataka na vanjsku mrežu. Stoga kompanije moraju koristiti dva proizvoda da bi se zaštitile od insajdera, koji zajedno čine integrirani sigurnosni sistem. Naravno, poželjno je koristiti alate jednog programera. U ovom slučaju olakšava se proces njihove implementacije, administriranja, kao i obuke zaposlenih. Primjeri uključuju SecurIT-ove Zlock i Zgate proizvode.

Zlock: zaštita od curenja kroz uklonjive diskove

Zlock je na tržištu već duže vrijeme. I već jesmo. U principu, nema smisla da se ponavljam. Međutim, od objavljivanja članka, objavljene su dvije nove verzije Zlocka, u kojima se pojavio niz važnih funkcija. Vrijedi govoriti o njima, makar i vrlo kratko.

Prije svega, vrijedi napomenuti mogućnost dodjele nekoliko polisa računaru, koje se nezavisno primenjuju u zavisnosti od toga da li je računar direktno povezan na korporativnu mrežu, preko VPN-a ili radi autonomno. Ovo omogućava, posebno, automatsko blokiranje USB portova i CD/DVD uređaja kada je računar isključen iz lokalne mreže. Općenito, ova funkcija povećava sigurnost informacija objavljenih na prijenosnim računarima, koje zaposleni mogu iznijeti iz ureda na putu ili na posao kod kuće.

Druga nova karakteristika je da se zaposlenima kompanije omogući privremeni pristup zaključanim uređajima ili čak grupama uređaja putem telefona. Princip njegovog rada je razmjena tajnih kodova koje generiše program između korisnika i zaposlenika odgovornog za sigurnost informacija. Važno je napomenuti da se dozvola za korištenje može izdati ne samo trajno, već i privremeno (na određeno vrijeme ili do kraja radne sesije). Ovaj alat se može smatrati svojevrsnom relaksacijom u sigurnosnom sistemu, ali pomaže da se poveća odziv IT odjela na poslovne zahtjeve.

Sljedeća velika inovacija u novim verzijama Zlock-a je kontrola upotrebe štampača. Nakon konfigurisanja, sistem zaštite će sve pozive korisnika ka uređajima za štampanje bilježiti u poseban dnevnik. Ali to nije sve. Zlock je uveo kopiranje u sjeni svih štampanih dokumenata. Napisane su u PDF formatu i potpuna su kopija odštampanih stranica, bez obzira koji je fajl poslat na štampač. To vam omogućava da spriječite curenje povjerljivih informacija na listovima papira kada insajder štampa podatke u svrhu iznošenja iz kancelarije. Također u sistemu zaštite došlo je do kopiranja u sjeni informacija snimljenih na CD/DVD diskovima.

Važna inovacija bila je pojava serverske komponente Zlock Enterprise Management Server. Obezbeđuje centralizovano skladištenje i distribuciju bezbednosnih politika i drugih programskih postavki i u velikoj meri olakšava administraciju Zlock-a u velikim i distribuiranim informacionim sistemima. Također, ne može se ne spomenuti pojava vlastitog sistema autentikacije, koji vam, ako je potrebno, omogućava da napustite korištenje domena i lokalnih Windows korisnika.

Osim toga, u najnovijoj verziji Zlock-a pojavilo se nekoliko ne tako uočljivih, ali i prilično važnih funkcija: kontrola integriteta klijentskog modula s mogućnošću blokiranja prijavljivanja korisnika kada se otkrije neovlašteno korištenje, napredne mogućnosti za implementaciju sigurnosnog sistema , podrška za Oracle DBMS, itd.

Zgate: Zaštita od curenja Interneta

Dakle, Zgate. Kao što smo već rekli, ovaj proizvod je sistem zaštite od curenja povjerljivih informacija preko Interneta. Strukturno, Zgate ima tri dijela. Glavna komponenta je serverska komponenta, koja obavlja sve operacije obrade podataka. Može se instalirati kako na zasebnom računaru, tako i na čvorovima koji već rade u korporativnom informacionom sistemu - Internet gateway, kontroler domena, mail gateway, itd. Ovaj modul se, pak, sastoji od tri komponente: za kontrolu SMTP saobraćaja, kontroliše interni mail server Microsoft Exchange 2007/2010, kao i Zgate Web (odgovoran je za kontrolu HTTP, FTP i IM saobraćaja).

Drugi dio sigurnosnog sistema je logging server. Koristi se za prikupljanje informacija o događajima sa jednog ili više Zgate servera, obradu i skladištenje. Ovaj modul je posebno koristan u velikim i geografski distribuiranim korporativnim sistemima, jer omogućava centralizovan pristup svim podacima. Treći dio je upravljačka konzola. Koristi standardnu ​​konzolu za SecurIT proizvode i stoga se nećemo detaljnije zadržavati na njoj. Napominjemo samo da pomoću ovog modula možete kontrolirati sistem ne samo lokalno, već i daljinski.

Upravljačka konzola

Zgate sistem može raditi na nekoliko načina. Štaviše, njihova dostupnost ovisi o načinu implementacije proizvoda. Prva dva načina bi trebala raditi kao mail proxy server. Za njihovu implementaciju, sistem se instalira između servera korporativne pošte i „spoljnog svijeta“ (ili između servera pošte i servera koji šalje, ako su odvojeni). U ovom slučaju, Zgate može ili filtrirati promet (odgoditi uvredljive i upitne poruke), ili ga samo evidentirati (preskočiti sve poruke, ali ih spremiti u arhivu).

Drugi način implementacije podrazumeva korišćenje sistema zaštite u sprezi sa Microsoft Exchange 2007 ili 2010. Da biste to uradili, potrebno je da instalirate Zgate direktno na server korporativne pošte. U isto vrijeme, dostupna su i dva načina rada: filtriranje i evidentiranje. Osim toga, postoji još jedna opcija implementacije. Govorimo o evidentiranju poruka u načinu rada preslikanog saobraćaja. Naravno, da biste ga koristili, potrebno je osigurati da ovaj preslikani promet teče do računara na kojem je Zgate instaliran (obično se to radi putem mrežne opreme).


Odabir načina rada Zgate

Zgate Web komponenta zaslužuje posebnu priču. Instalira se direktno na korporativni Internet gateway. Istovremeno, ovaj podsistem dobija mogućnost da kontroliše HTTP, FTP i IM saobraćaj, odnosno da ga obrađuje u cilju otkrivanja pokušaja slanja poverljivih informacija putem mail web interfejsa i ICQ-a, objavljivanja na forumima, FTP serverima i društvene mreže itd. Usput, o ICQ-u. Funkcija blokiranja IM messengera dostupna je u mnogim sličnim proizvodima. Međutim, u njima nema ICQ-a. Jednostavno zato što je u zemljama ruskog govornog područja najraširenija.

Princip rada Zgate Web komponente je prilično jednostavan. Svaki put kada se informacija pošalje bilo kojoj od praćenih usluga, sistem će generisati posebnu poruku. Sadrži same informacije i neke servisne podatke. Šalje se na glavni Zgate server i obrađuje prema navedenim pravilima. Naravno, slanje informacija u samom servisu nije blokirano. Odnosno, Zgate Web radi samo u načinu evidentiranja. Ne može spriječiti pojedinačna curenja podataka, ali ih može brzo otkriti i suzbiti aktivnosti dobrovoljnog ili nevoljnog napadača.


Konfiguriranje Zgate web komponente

Načini obrade informacija u Zgate-u i redoslijed filtriranja određuju se politikom koju izrađuje službenik za sigurnost ili drugi odgovorni zaposlenik. To je niz uslova, od kojih svaki odgovara određenoj radnji. Sve dolazne poruke se "provlače" kroz njih uzastopno jedna za drugom. A ako je ispunjen bilo koji od uvjeta, tada se pokreće akcija povezana s tim.


Sistem za filtriranje

Ukupno, sistem predviđa 8 vrsta uslova, kako kažu, "za sve prilike". Prvi je tip datoteke priloga. Uz njegovu pomoć možete otkriti pokušaje prijenosa objekata jednog ili drugog formata. Treba napomenuti da se analiza ne provodi po ekstenziji, već prema unutrašnjoj strukturi datoteke, a možete odrediti i određene vrste objekata i njihove grupe (na primjer, sve arhive, video zapisi, itd.). Druga vrsta uslova je validacija od strane eksterne aplikacije. Aplikacija može biti ili običan program koji se pokreće iz komandne linije ili skripta.


Uslovi sistema za filtriranje

Ali pod sljedećim uvjetom vrijedi se detaljnije zadržati. Riječ je o analizi sadržaja prenesenih informacija. Prije svega, potrebno je napomenuti "svejednost" Zgatea. Poenta je da program "razumije" veliki broj različitih formata. I stoga, može analizirati ne samo jednostavan tekst, već gotovo svaki prilog. Još jedna karakteristika analize sadržaja su njene velike mogućnosti. Može se sastojati kako od jednostavnog traženja pojavljivanja u tekstu poruke ili bilo kojeg drugog polja određene riječi, tako iu punoj analizi, uključujući uzimanje u obzir gramatičkih oblika riječi, korijena i transliteracije. Ali to nije sve. Sistem analize po obrascima i regularnim izrazima zaslužuje poseban spomen. Uz njegovu pomoć možete lako otkriti u porukama prisustvo podataka određenog formata, na primjer, serije i brojeve pasoša, telefonski broj, broj ugovora, broj bankovnog računa itd. To vam, između ostalog, omogućava jačanje zaštita ličnih podataka koje kompanija obrađuje.


Predlošci za identifikaciju raznih povjerljivih informacija

Četvrta vrsta uslova je analiza adresa navedenih u pismu. Odnosno, tražite među njima određene nizove. Peto - analiza šifriranih datoteka. Kada se izvrši, provjeravaju se atributi poruke i/ili priloženih objekata. Šesta vrsta uslova je provjera različitih parametara slova. Sedma je analiza rječnika. Pri tome, sistem detektuje prisustvo u poruci reči iz prethodno kreiranih rečnika. I konačno, posljednji, osmi tip stanja je složen. Predstavlja dva ili više drugih uslova kombinovanih logičkim operatorima.

Inače, rečnike koje smo spomenuli u opisu uslova treba pomenuti posebno. To su grupe riječi, grupisane prema istom atributu, i koriste se u različitim metodama filtriranja. Najlogičnije je kreirati rječnike koji će vam najvjerovatnije omogućiti klasificiranje poruke u jednu ili drugu kategoriju. Njihov sadržaj se može unijeti ručno ili uvesti iz već postojećih tekstualnih datoteka. Postoji još jedna opcija za generiranje rječnika - automatska. Kada ga koristi, administrator jednostavno treba da navede fasciklu koja sadrži odgovarajuće dokumente. Program će ih sam analizirati, odabrati potrebne riječi i urediti njihove težinske karakteristike. Za kvalitetnu kompilaciju rječnika potrebno je navesti ne samo povjerljive datoteke, već i objekte koji ne sadrže povjerljive informacije. Općenito, proces automatskog generiranja je najsličniji obuci protiv neželjene pošte na reklamama i redovnim emailovima. I to nije iznenađujuće, jer se i tamo i tamo koriste slične tehnologije.


Primjer vokabulara na financijsku temu

Govoreći o rječnicima, ne može se ne spomenuti još jedna tehnologija za detekciju osjetljivih podataka, implementirana u Zgate. Ovo su digitalni otisci. Suština ove metode je sljedeća. Administrator može reći sistemu fascikle koje sadrže povjerljive podatke. Program će analizirati sve dokumente u njima i kreirati "digitalne otiske" - skupove podataka koji vam omogućavaju da odredite pokušaj prijenosa ne samo cjelokupnog sadržaja datoteke, već i njenih pojedinačnih dijelova. Imajte na umu da sistem automatski prati stanje fascikli koje su mu određene i samostalno kreira "otiske prstiju" za sve novonastale objekte u njima.


Kreirajte kategoriju sa datotekama digitalnih otisaka prstiju

E, sad ostaje samo da se pozabavimo radnjama koje se implementiraju u razmatranom sistemu zaštite. U Zgatama ih se prodaje ukupno 14. Međutim, većina toga određuje radnje koje se izvode s porukom. To uključuje, posebno, brisanje bez slanja (to jest, zapravo blokiranje prijenosa pisma), arhiviranje, dodavanje ili uklanjanje priloga, promjenu raznih polja, umetanje teksta itd. Među njima vrijedi istaknuti karantin pismo. Ova radnja vam omogućava da "odgodite" poruku za ručnu provjeru od strane službenika sigurnosti, koji će odlučiti o njegovoj budućoj sudbini. Također je vrlo zanimljiva akcija koja vam omogućava da blokirate IM vezu. Može se koristiti za trenutno blokiranje kanala preko kojeg je poslana poruka s povjerljivim informacijama.

Dvije radnje se donekle razlikuju - Bayesova obrada i obrada otiska prsta. Oba su dizajnirana za provjeru poruka za povjerljive informacije. Samo prvi koristi rječnike i statističku analizu, dok drugi koristi digitalne otiske. Ove radnje se mogu izvršiti kada je ispunjen određeni uslov, na primjer, ako adresa primatelja nije u korporativnom domenu. Osim toga, one (međutim, kao i sve druge) mogu se podesiti za bezuslovnu primjenu na sve odlazne poruke. U tom slučaju, sistem će analizirati slova i razvrstati ih u određene kategorije (ako je to, naravno, moguće). Ali za ove kategorije već možete napraviti uslove uz provođenje određenih radnji.


Akcije u sistemu Zgate

Pa, na kraju našeg današnjeg razgovora o Zgate, možemo malo sumirati. Ovaj sistem zaštite zasniva se prvenstveno na analizi sadržaja poruka. Ovaj pristup je najčešći za zaštitu od curenja povjerljivih informacija preko Interneta. Naravno, analiza sadržaja ne pruža stopostotnu zaštitu i prilično je vjerovatnoće po prirodi. Međutim, njegovo korištenje sprječava većinu slučajeva neovlaštenog prijenosa povjerljivih podataka. Trebaju li ga kompanije primijeniti ili ne? Svako bi to trebao riješiti za sebe, procjenjujući troškove implementacije i moguće probleme u slučaju curenja informacija. Vrijedi napomenuti da Zgate odlično hvata regularne izraze, što ga čini vrlo efikasnim sredstvom za zaštitu ličnih podataka koje kompanija obrađuje.

Najnovija istraživanja u oblasti informacione bezbednosti, kao što je godišnje istraživanje CSI/FBI Computer Crime And Security Survey, pokazala su da se finansijski gubici kompanija od većine pretnji smanjuju iz godine u godinu. Međutim, postoji nekoliko rizika od kojih gubici rastu. Jedna od njih je namjerna krađa povjerljivih informacija ili kršenje pravila postupanja sa njima od strane onih službenika čiji je pristup komercijalnim podacima neophodan za obavljanje službene dužnosti. Zovu se insajderi.

U ogromnoj većini slučajeva, krađa povjerljivih informacija se vrši pomoću mobilnih medija: CD-a i DVD-a, ZIP uređaja i, što je najvažnije, svih vrsta USB diskova. Njihova masovna distribucija dovela je do procvata insajdera širom svijeta. Čelnici većine banaka su itekako svjesni šta bi moglo da prijeti, na primjer, dolazak baze podataka sa ličnim podacima njihovih klijenata ili, još više, transakcija na njihovim računima u ruke kriminalnih struktura. A sa mogućim krađom informacija pokušavaju se izboriti organizacionim metodama koje su im dostupne.

Međutim, organizacione metode su u ovom slučaju neefikasne. Danas možete organizovati prenos informacija između računara pomoću minijaturnog fleš diska, mobilnog telefona, TRZ-plssra, digitalnog fotoaparata... Naravno, možete pokušati da zabranite unošenje svih ovih uređaja u kancelariju, ali ovo, prvo, negativno će uticati na odnose sa zaposlenima i drugo, i dalje je veoma teško uspostaviti stvarno efektivnu kontrolu nad ljudima – banka nije „poštansko sanduče“. Čak ni onemogućavanje svih uređaja na računarima koji se mogu koristiti za upisivanje informacija na eksterne medije (FDD i ZIP diskove, CD i DVD drajvove, itd.) i USB portove neće pomoći. Uostalom, prvi su potrebni za rad, dok su drugi povezani na razne periferne uređaje: štampače, skenere itd. I niko ne može sprečiti osobu da na minut isključi štampač, ubaci fleš disk u ispražnjeni port i na njega kopira važne informacije. Možete, naravno, pronaći originalne metode zaštite. Na primjer, u jednoj banci su isprobali ovaj način rješavanja problema: spoj USB porta i kabla su napunili epoksidnom smolom, te potonji čvrsto "vezali" za računar. Ali, srećom, danas postoje modernije, pouzdanije i fleksibilnije metode kontrole.

Najefikasnije sredstvo za minimiziranje rizika povezanih sa insajderima je poseban softver koji dinamički upravlja svim uređajima i portovima na računaru koji se mogu koristiti za kopiranje informacija. Princip njihovog rada je sljedeći. Za svaku grupu korisnika ili za svakog korisnika pojedinačno, dozvole se postavljaju za korištenje različitih portova i uređaja. Najveća prednost ove vrste softvera je njegova fleksibilnost. Možete nametnuti ograničenja za određene vrste uređaja, njihove modele i pojedinačne instance. Ovo omogućava implementaciju vrlo složenih politika distribucije prava pristupa.

Na primjer, nekim zaposlenicima može biti dozvoljeno korištenje bilo kojeg štampača i skenera spojenog na USB portove. Svi ostali uređaji priključeni na ovaj port će ostati nedostupni. Ako banka koristi sistem autentikacije korisnika baziran na tokenima, tada u postavkama možete odrediti korišteni model ključa. Tada će korisnicima biti dozvoljeno korištenje samo uređaja koje je kupila kompanija, a svi ostali će biti beskorisni.

Na osnovu gore opisanog principa zaštitnih sistema, možete razumjeti koje su točke važne pri odabiru programa koji implementiraju dinamičko blokiranje uređaja za snimanje i portova računala. Prvo, to je svestranost. Sistem zaštite treba da pokriva čitav niz mogućih portova i ulazno-izlaznih uređaja. U suprotnom, rizik od krađe komercijalnih informacija ostaje neprihvatljivo visok. Drugo, softver o kojem je riječ treba biti fleksibilan i omogućiti kreiranje pravila koristeći veliku količinu različitih informacija o uređajima: njihovim tipovima, proizvođačima modela, jedinstvenim brojevima koje svaka instanca ima, itd. I, treće, sistem zaštite insajdera treba da bude u stanju da se integriše sa informacionim sistemom banke, posebno sa aktivnim direktorijumom. U suprotnom, administrator ili službenik za sigurnost će morati da održava dvije baze podataka korisnika i računara, što ne samo da je nezgodno, već i povećava rizik od grešaka.

Za efikasnu zaštitu od insajdera, prije svega, potrebno je osigurati kontrolu nad svim kanalima komunikacije - od običnog uredskog štampača do običnog fleš diska i mobilne kamere.

Metode unutrašnje zaštite:

  • * hardverska autentikacija zaposlenih (na primjer, korištenjem USB ključa ili pametne kartice);
  • * revizija svih radnji svih korisnika (uključujući i administratore) na mreži;
  • * korištenje moćnih hardverskih i softverskih alata za zaštitu povjerljivih informacija od insajdera;
  • * obuka zaposlenih odgovornih za sigurnost informacija;
  • * povećanje lične odgovornosti zaposlenih;
  • * stalni rad sa osobljem koje ima pristup povjerljivim informacijama (brifing, obuka, provjera poznavanja pravila i odgovornosti za poštivanje informacione sigurnosti itd.);
  • * usklađenost visine plate sa nivoom povjerljivosti informacija (u razumnim granicama!);
  • * šifriranje povjerljivih podataka;
  • * Ali najvažniji je, naravno, ljudski faktor: iako je osoba najslabija karika u sistemu bezbednosti, ona je i najvažnija! Borba protiv insajdera ne bi trebalo da se pretvori u potpuni nadzor svih. Kompanija mora imati zdravu moralnu klimu koja pogoduje pridržavanju korporativnog kodeksa časti!

Prema rezultatima godišnjeg istraživanja Instituta za kompjutersku bezbednost (CSI), 2007. godine, stručnjaci za bezbednost su identifikovali tri glavna problema sa kojima su se morali suočiti tokom godine: 59% je prepoznalo pretnju broj 1 od insajdera, 52% - viruse i 50 % - gubitak mobilnih medija (laptop, fleš disk). Tako je po prvi put problem insajdera u Americi počeo da prevladava nad problemom virusa. Nažalost, nemamo takve informacije o Rusiji, ali postoji razlog da se tvrdi da je situacija u našoj zemlji barem slična. Tako su tokom okruglog stola o problemu curenja informacija usled delovanja insajdera, održanog u oktobru na godišnjoj Aladin konferenciji, rezultati ankete sistem administratora državnih institucija, kao što znate, sa niskim nivoom prihoda , čuli su se. Na pitanje za koliko mogu dobiti povjerljive podatke, samo 10% ispitanika je odgovorilo da nikada ne bi počinili takav službeni zločin, oko polovina ispitanika je spremno riskirati za veliki novac, a oko 40% je spremno uzeti za bilo kakvu nagradu. Kako kažu, komentari su suvišni. Glavna poteškoća u organizovanju zaštite od insajdera leži u činjenici da je on legitimni korisnik sistema i da na dužnosti ima pristup povjerljivim informacijama. Vrlo je teško pratiti kako zaposleni upravlja ovim pristupom, unutar ili van kancelarije. Razmotrimo glavne zadatke postupanja sa unutrašnjim prekršiocima (vidi tabelu).

U posljednje vrijeme problem zaštite od internih prijetnji postao je pravi izazov razumljivom i uhodanom svijetu korporativne informacione sigurnosti. Štampa govori o insajderima, istraživačima i analitičarima upozorava na moguće gubitke i nevolje, a vijesti su pune izvještaja o još jednom incidentu koji je doveo do curenja stotina hiljada podataka o kupcima zbog greške ili nepažnje zaposlenih. Pokušajmo otkriti da li je ovaj problem toliko ozbiljan, da li ga treba rješavati i koja sredstva i tehnologije postoje za njegovo rješavanje.

Prije svega, vrijedno je utvrditi da je prijetnja povjerljivosti podataka interna ako je njen izvor zaposlenik preduzeća ili bilo koje drugo lice koje ima legalan pristup ovim podacima. Dakle, kada govorimo o internim prijetnjama, govorimo o svim mogućim radnjama legalnih korisnika, namjernim ili slučajnim, koje mogu dovesti do curenja povjerljivih informacija van korporativne mreže preduzeća. Radi kompletnosti, vrijedi dodati da se ovi korisnici često nazivaju insajderima, iako ovaj izraz ima druga značenja.

Ažurnost problema unutrašnjih prijetnji potvrđuju i rezultati nedavnih studija. Konkretno, u oktobru 2008. objavljeni su rezultati zajedničke studije Compuware i Ponemon Institute, prema kojima su insajderi najčešći uzrok curenja podataka (75% incidenata u SAD), dok su hakeri tek na petom mjestu . U godišnjem istraživanju Instituta za kompjutersku sigurnost (CSI) za 2008., brojke o broju incidenata povezanih sa internim prijetnjama su sljedeće:

Broj incidenata u procentima znači da se od ukupnog broja ispitanika ova vrsta incidenata dogodila u navedenom procentu organizacija. Kao što možete vidjeti iz ovih brojki, gotovo svaka organizacija ima rizik da bude oštećena internim prijetnjama. Poređenja radi, prema istom izvještaju, virusi su zarazili 50% anketiranih organizacija, a samo 13% se suočilo sa prodorom hakera u lokalnu mrežu.

Dakle, unutrašnje prijetnje su današnja stvarnost, a ne mit koji su izmislili analitičari i dobavljači. Dakle, oni koji na starinski način smatraju da je korporativna informaciona sigurnost firewall i antivirus, potrebno je što prije sagledati problem šire.

Stepen tenzije podiže i zakon "O ličnim podacima", prema kojem će organizacije i službenici za nepropisno postupanje sa ličnim podacima morati da odgovaraju ne samo svom rukovodstvu, već i svojim klijentima i zakonu.

Model uljeza

Tradicionalno, kada se razmatraju prijetnje i odbrane od njih, treba početi od analize modela napadača. Kao što je već spomenuto, govorit ćemo o insajderima - zaposlenima u organizaciji i drugim korisnicima koji imaju legalan pristup povjerljivim informacijama. U pravilu, uz ove riječi, svi misle na službenika u kancelariji koji radi na računaru u korporativnoj mreži, a koji pritom ne napušta kancelariju organizacije. Međutim, ovaj pogled je nepotpun. Neophodno ga je proširiti i na druge vrste osoba sa legalnim pristupom informacijama koje mogu napustiti kancelariju organizacije. To mogu biti poslovni putnici sa laptopima, ili oni koji rade u kancelariji i kod kuće, kuriri koji prevoze medije sa informacijama, prvenstveno magnetne trake sa rezervnom kopijom itd.

Ovako prošireno razmatranje modela uljeza, kao prvo, uklapa se u koncept, budući da su prijetnje koje dolaze od ovih uljeza također interne, a drugo, omogućava nam da analiziramo problem šire, sagledavajući sve moguće opcije za suzbijanje ovih prijetnji.

Mogu se razlikovati sljedeće glavne vrste unutrašnjih prestupnika:

  • Nelojalan / ogorčen zaposlenik.Prestupnici iz ove kategorije mogu djelovati namjerno, na primjer, mijenjati posao i želeći da zgrabe povjerljive informacije kako bi zainteresovali novog poslodavca, ili emotivno, u slučaju da su se smatrali uvrijeđenim, želeći se na taj način osvetiti. Opasni su jer su najmotiviraniji da nanesu štetu organizaciji u kojoj trenutno rade. Po pravilu, broj incidenata sa nelojalnim zaposlenima je mali, ali se može povećati u situaciji nepovoljnih ekonomskih uslova i masovnog otpuštanja osoblja.
  • Ugrađeni, potkupljeni ili izmanipulisani zaposlenik.U ovom slučaju govorimo o bilo kakvim svrsishodnim akcijama, po pravilu, u svrhu industrijske špijunaže u uslovima intenzivne konkurencije. Da bi prikupili povjerljive informacije u konkurentskoj kompaniji, ili predstavljaju svoju osobu za određene svrhe, ili pronađu ne najlojalnijeg zaposlenika i potkupe ga, ili je lojalan, ali oprezan zaposlenik primoran da prenosi povjerljive informacije putem društvenog inženjeringa. Broj ovakvih incidenata je obično čak i manji od prethodnih, zbog činjenice da u većini segmenata privrede u Ruskoj Federaciji konkurencija nije previše razvijena ili se sprovodi na druge načine.
  • Neoprezan zaposlenik.Ova vrsta nasilnika je lojalna, ali nepažljiva ili nemarna uposlenica koja zbog svog neznanja ili zaborava može narušiti politiku unutrašnje sigurnosti preduzeća. Takav zaposlenik može greškom poslati e-mail sa tajnom datotekom priloženom pogrešnoj osobi ili odnijeti kući USB fleš disk s povjerljivim informacijama da bi radio s njim tokom vikenda i izgubio ga. Zaposleni koji izgube laptope i kasete su istog tipa. Prema mišljenju mnogih stručnjaka, ova vrsta insajdera je odgovorna za većinu curenja povjerljivih informacija.

Dakle, motivi, a samim tim i način postupanja potencijalnih nasilnika mogu se značajno razlikovati. U zavisnosti od toga, treba pristupiti rešavanju problema obezbeđenja unutrašnje bezbednosti organizacije.

Internal Threat Protection Technologies

Uprkos relativnoj mladosti ovog tržišnog segmenta, kupci već imaju mnogo izbora, u zavisnosti od njihovih zadataka i finansijskih mogućnosti. Treba napomenuti da danas na tržištu praktički nema prodavača koji bi se specijalizirali isključivo za interne prijetnje. Ovakva situacija se razvila ne samo zbog nezrelosti ovog segmenta, već i zbog agresivne, a ponekad i haotične politike spajanja i preuzimanja koju sprovode proizvođači tradicionalnih sigurnosnih proizvoda i drugi dobavljači koji su zainteresirani da budu prisutni u ovom segmentu. Vrijedi podsjetiti RSA Data Security, koja je postala dio EMC-a 2006. godine, kupovinu od strane NetApp-a startupa Decru, koji se bavio razvojem serverskih sustava za pohranu i sigurnosnu zaštitu 2005. godine, kupovinu od strane Symantec-a DLP dobavljača Vontu 2007. itd.

Unatoč činjenici da veliki broj ovakvih poslova ukazuje na dobre izglede za razvoj ovog segmenta, oni ne idu uvijek u prilog kvaliteti proizvoda koji idu pod okrilje velikih korporacija. Proizvodi počinju da se razvijaju sporije, a programeri ne reaguju tako brzo na zahteve tržišta u poređenju sa visoko specijalizovanom kompanijom. Ovo je dobro poznata bolest velikih kompanija, koje, kao što znate, gube u mobilnosti i efikasnosti od svoje manje braće. S druge strane, kvalitet usluge i dostupnost proizvoda kupcima u različitim dijelovima svijeta poboljšavaju se razvojem njihove servisne i prodajne mreže.

Razmotrimo glavne tehnologije koje se trenutno koriste za neutralizaciju unutrašnjih prijetnji, njihove prednosti i nedostatke.

Kontrola dokumenata

Tehnologija kontrole dokumenata oličena je u modernim proizvodima za upravljanje pravima kao što su Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES i Oracle Information Rights Management.

Princip rada ovih sistema je dodeljivanje pravila korišćenja za svaki dokument i kontrola ovih prava u aplikacijama koje rade sa dokumentima ove vrste. Na primjer, možete kreirati Microsoft Word dokument i postaviti pravila za njega, ko ga može vidjeti, ko može uređivati ​​i čuvati promjene i ko može ispisivati. Ova pravila u smislu Windows RMS-a zovu se licenca i pohranjuju se uz datoteku. Sadržaj datoteke je šifriran kako bi se spriječilo da ga neovlašteni korisnik vidi.

Sada, ako bilo koji korisnik pokuša da otvori takvu zaštićenu datoteku, aplikacija kontaktira poseban RMS server, potvrđuje akreditive korisnika i, ako je ovom korisniku dozvoljen pristup, server šalje aplikaciji ključ za dešifrovanje ove datoteke i informacije o prava ovog korisnika. Na osnovu ovih informacija, aplikacija korisniku stavlja na raspolaganje samo one funkcije za koje ima prava. Na primjer, ako korisniku nije dozvoljeno da odštampa datoteku, funkcija štampanja aplikacije neće biti dostupna.

Ispostavilo se da su informacije u takvoj datoteci sigurne čak i ako datoteka izađe izvan korporativne mreže - šifrirana je. RMS funkcionalnost je već ugrađena u aplikacije Microsoft Office 2003 Professional Edition. Microsoft nudi namjenski SDK za ugradnju RMS funkcionalnosti u aplikacije trećih strana.

Adobeov sistem kontrole dokumenata izgrađen je na sličan način, ali se fokusira na dokumente u PDF formatu. Oracle IRM je instaliran na klijentskim računarima kao agent i integriše se sa aplikacijama tokom izvršavanja.

Kontrola dokumenata je važan dio cjelokupnog koncepta zaštite od unutrašnjih prijetnji, ali se moraju uzeti u obzir prirodna ograničenja ove tehnologije. Prvo, dizajniran je isključivo za kontrolu datoteka dokumenata. Kada su u pitanju ravni fajlovi ili baze podataka, ova tehnologija ne radi. Drugo, ako napadač, koristeći SDK ovog sistema, kreira jednostavnu aplikaciju koja će komunicirati sa RMS serverom, odatle primiti ključ za šifrovanje i sačuvati dokument u čistom tekstu i pokrenuti ovu aplikaciju u ime korisnika koji ima minimum nivo pristupa dokumentu, onda će ovaj sistem biti zaobiđen. Osim toga, treba uzeti u obzir poteškoće u implementaciji sistema kontrole dokumenata u slučaju da su mnogi dokumenti već kreirani u organizaciji - zadatak prvobitne klasifikacije dokumenata i dodjele prava na njihovo korištenje može zahtijevati znatan napor.

To ne znači da sistemi za kontrolu dokumenata ne ispunjavaju postavljeni zadatak, samo treba imati na umu da je zaštita informacija složen problem i da ga, po pravilu, nije moguće riješiti samo jednim sredstvom.

Zaštita od curenja

Termin prevencija gubitka podataka (DLP) pojavio se u leksikonu stručnjaka za sigurnost informacija relativno nedavno, a već je postao, bez preterivanja, najtoplija tema posljednjih godina. Po pravilu, skraćenica DLP označava sisteme koji kontrolišu moguće kanale curenja i blokiraju ih ako se putem ovih kanala pokuša poslati bilo kakva poverljiva informacija. Osim toga, funkcije takvih sistema često uključuju mogućnost arhiviranja informacija koje prolaze kroz njih za naknadnu reviziju, istragu incidenta i retrospektivnu analizu potencijalnih rizika.

Postoje dvije vrste DLP sistema: mrežni DLP i host DLP.

Mrežni DLP rade na principu mrežnog gatewaya koji filtrira sve podatke koji prolaze kroz njega. Očigledno, na osnovu zadatka borbe protiv internih pretnji, glavni interes ovakvog filtriranja je mogućnost kontrole podataka koji se prenose van korporativne mreže na Internet. Mrežni DLP-ovi vam omogućavaju da kontrolišete odlaznu poštu, http i ftp saobraćaj, usluge razmene trenutnih poruka, itd. Kada se otkriju poverljive informacije, mrežni DLP-ovi mogu blokirati datoteku koja se prenosi. Postoje i mogućnosti za ručnu obradu sumnjivih fajlova. Sumnjivi fajlovi se stavljaju u karantin, koji povremeno pregledava službenik za sigurnost i ili dozvoljava prijenos datoteka ili ga odbija. Istina, takva obrada je, zbog specifičnosti protokola, moguća samo za e-poštu. Dodatne mogućnosti revizije i istrage incidenata su obezbeđene arhiviranjem svih informacija koje prolaze kroz gateway, pod uslovom da se ova arhiva periodično pregleda i njen sadržaj analizira kako bi se identifikovala curenja koja su se desila.

Jedan od glavnih problema u implementaciji i implementaciji DLP sistema je način otkrivanja povjerljivih informacija, odnosno trenutak odlučivanja da li je prenesena informacija povjerljiva i osnove koje se uzimaju u obzir prilikom donošenja takve odluke. To se po pravilu radi analizom sadržaja prenetih dokumenata, što se naziva i analiza sadržaja. Razmotrimo glavne pristupe otkrivanju povjerljivih informacija.

  • Oznake. Ova metoda je slična sistemima za kontrolu dokumenata o kojima smo gore govorili. Oznake su ugrađene u dokumente koji opisuju stepen povjerljivosti informacija, šta se može učiniti sa ovim dokumentom i kome poslati. Na osnovu rezultata analize oznaka, DLP sistem odlučuje da li se ovaj dokument može poslati ili ne. Neki DLP sistemi su inicijalno usklađeni sa sistemima za upravljanje pravima da koriste oznake koje su ovi sistemi postavili, drugi sistemi koriste sopstveni format etikete.
  • Potpisi. Ova metoda se sastoji u specificiranju jedne ili više sekvenci znakova, čije prisustvo u tekstu prenesene datoteke treba da kaže DLP sistemu da ova datoteka sadrži povjerljive informacije. Veliki broj potpisa može se organizirati u rječnike.
  • Bayesova metoda. Ova metoda zaštite od neželjene pošte može se uspješno primijeniti iu DLP sistemima. Da bi se primenila ova metoda, kreira se lista kategorija, a lista reči je specificirana sa verovatnoćama da ako se reč pojavi u datoteci, onda datoteka sa datom verovatnoćom pripada ili ne pripada navedenoj kategoriji.
  • Morfološka analiza.Metoda morfološke analize je slična signaturnoj, razlika je u tome što se ne analizira 100% podudaranje sa potpisom, već se uzimaju u obzir i isti korijen riječi.
  • Digitalni otisci.Suština ove metode je da se za sve povjerljive dokumente hash funkcija izračunava na način da ako se dokument malo promijeni, hash funkcija će ostati ista, ili se također neznatno promijeniti. Time je proces otkrivanja povjerljivih dokumenata uvelike pojednostavljen. Uprkos oduševljenim pohvalama ove tehnologije od strane mnogih dobavljača i nekih analitičara, njena pouzdanost ostavlja mnogo da se poželi, a s obzirom na činjenicu da prodavci, pod raznim izgovorima, radije ostavljaju detalje algoritma digitalnog otiska prsta u senci, njegov kredibilitet se ne povećava.
  • Regularni izrazi.Poznati svima koji su se bavili programiranjem, regularni izrazi olakšavaju pronalaženje šablonskih podataka u tekstu, kao što su brojevi telefona, podaci o pasošu, brojevi bankovnih računa, brojevi socijalnog osiguranja i još mnogo toga.

Iz gornje liste je lako vidjeti da metode detekcije ili ne garantuju 100% utvrđivanja povjerljivih informacija, jer je nivo grešaka i prve i druge vrste u njima prilično visok, ili zahtijevaju stalnu budnost sigurnosti. servis za ažuriranje i održavanje liste potpisa ili zadatka u ažurnom obliku.oznake povjerljivih dokumenata.

Osim toga, enkripcija prometa može stvoriti određeni problem u radu DLP mreže. Ako sigurnosni zahtjevi zahtijevaju šifriranje e-mail poruka ili korištenje SSL-a prilikom povezivanja na bilo koji web resurs, problem utvrđivanja prisustva povjerljivih informacija u prenesenim datotekama može biti vrlo teško riješiti. Ne zaboravite da neke usluge za razmjenu trenutnih poruka, kao što je Skype, imaju ugrađenu enkripciju prema zadanim postavkama. Morat ćete napustiti korištenje takvih usluga ili koristiti host DLP da ih kontrolirate.

Međutim, uprkos svim složenostima, kada se pravilno konfiguriše i shvati ozbiljno, mrežni DLP može značajno smanjiti rizik od curenja poverljivih informacija i obezbediti organizaciji pogodna sredstva interne kontrole.

Host DLP instaliran na svakom hostu u mreži (na klijentskim radnim stanicama i, ako je potrebno, na serverima) i može se koristiti i za kontrolu Internet prometa. Međutim, u ovom svojstvu, host DLP-ovi su postali manje rasprostranjeni i trenutno se koriste uglavnom za kontrolu vanjskih uređaja i pisača. Kao što znate, zaposlenik koji na posao dovodi sa fleš diska ili sa MP3 plejera predstavlja mnogo veću pretnju informacionoj bezbednosti preduzeća od svih hakera zajedno. Ovi sistemi se takođe nazivaju bezbednost krajnjih tačaka, iako se ovaj termin često koristi šire, na primer, kako se ponekad nazivaju antivirusni alati.

Kao što znate, problem korišćenja eksternih uređaja može se rešiti bez upotrebe bilo kakvih sredstava tako što će se portovi onemogućiti fizički ili putem operativnog sistema, ili administrativno, zabranom zaposlenima da unose bilo koji medij za skladištenje podataka u kancelariju. Međutim, u većini slučajeva je neprihvatljiv pristup „jeftino i veselo“, jer nije obezbeđena potrebna fleksibilnost informacionih servisa, nametnuta od strane poslovnih procesa.

Zbog toga se javila određena potražnja za posebnim alatima koji se mogu koristiti za fleksibilnije rješavanje problema korištenja eksternih uređaja i printera od strane zaposlenih u kompaniji. Takvi alati vam omogućavaju da konfigurirate prava pristupa za korisnike različitim vrstama uređaja, na primjer, jednoj grupi korisnika da zabrani rad s medijima i dozvoli korištenje štampača, a drugoj - da omogući rad s medijima u načinu samo za čitanje. Ukoliko je potrebno snimiti informacije o eksternim uređajima za pojedinačne korisnike, može se koristiti tehnologija shadow copying koja osigurava da se sve informacije koje su pohranjene na eksternom uređaju kopiraju na server. Kopirane informacije mogu se naknadno analizirati kako bi se analizirale radnje korisnika. Ova tehnologija kopira sve, a trenutno ne postoje sistemi koji dozvoljavaju analizu sadržaja sačuvanih datoteka kako bi se blokirao rad i spriječilo curenje, kao što to radi mrežni DLP. Ipak, arhiva sjenčanih kopija omogućit će istragu incidenta i retrospektivnu analizu događaja na mreži, a prisustvo takve arhive za potencijalnog insajdera znači mogućnost da bude uhvaćen i kažnjen za svoje postupke. To se može pokazati kao značajna prepreka za njega i značajan razlog da odustane od neprijateljskih akcija.

Vrijedi spomenuti i kontrolu korištenja štampača - štampane kopije dokumenata također mogu postati izvor curenja. Host DLP vam omogućava da kontrolišete pristup korisnika štampačima na isti način kao i drugim spoljnim uređajima i da sačuvate kopije štampanih dokumenata u grafičkom formatu za kasniju analizu. Osim toga, određena je distribucija tehnologija vodenih žigova (vodenih žigova), koja implementira štampanje na svakoj stranici dokumenta sa jedinstvenim kodom, pomoću kojeg je moguće tačno utvrditi ko je, kada i gdje štampao ovaj dokument.

Uprkos nesumnjivim prednostima host DLP-a, oni imaju niz nedostataka povezanih sa potrebom instaliranja softvera agenta na svakom računaru koji bi trebalo da se nadgleda. Prvo, to može uzrokovati određene poteškoće u smislu postavljanja i upravljanja takvim sistemima. Drugo, korisnik sa administratorskim pravima može pokušati da onemogući ovaj softver da izvrši bilo koje radnje koje nisu dozvoljene sigurnosnom politikom.

Ipak, za pouzdanu kontrolu eksternih uređaja ne možete bez host DLP-a, a pomenuti problemi nisu nerešivi. Dakle, možemo zaključiti da je DLP koncept trenutno punopravni alat u arsenalu korporativnih sigurnosnih službi unatoč stalnom rastućem pritisku na njih da osiguraju internu kontrolu i zaštite od curenja.

IPC koncept

U procesu pronalaženja novih sredstava za borbu protiv unutrašnjih prijetnji, naučna i inženjerska misao savremenog društva ne staje, a s obzirom na određene nedostatke sredstava koja su prethodno razmatrana, tržište sistema zaštite od curenja informacija došlo je do koncepta IPC (Zaštita i kontrola informacija). Ovaj termin se pojavio relativno nedavno, a vjeruje se da je prvi put korišten u istraživanju analitičke kompanije IDC 2007. godine.

Suština ovog koncepta je da kombinuje DLP i metode šifrovanja. U ovom konceptu, DLP se koristi za kontrolu informacija koje izlaze iz korporativne mreže putem tehničkih kanala, a enkripcija se koristi za zaštitu nosača podataka koji fizički dospiju ili mogu pasti u ruke neovlaštenih osoba.

Pogledajmo najčešće tehnologije šifriranja koje se mogu primijeniti u IPC konceptu.

  • Šifrovanje magnetnih traka.Uprkos arhaičnoj prirodi ovog tipa medija, on se i dalje aktivno koristi za pravljenje rezervnih kopija i za prijenos velikih količina informacija, budući da mu još uvijek nema premca u pogledu jedinične cijene pohranjenog megabajta. Shodno tome, curenje podataka vezano za izgubljene trake i dalje oduševljava urednike vijesti na naslovnim stranicama i uznemiruje CIO i sigurnost preduzeća koji su glavne teme takvih poruka. Situaciju otežava činjenica da takve trake sadrže vrlo velike količine podataka, te stoga veliki broj ljudi može postati žrtvama prevaranta.
  • Šifrovanje serverske memorije.Uprkos činjenici da se serversko skladište veoma retko transportuje, a rizik od njegovog gubitka je nemerljivo manji nego kod magnetne trake, odvojeni hard disk iz skladišta može pasti u ruke uljeza. Popravka, odlaganje, nadogradnja - ovi događaji se dešavaju dovoljno redovno da se ovaj rizik otpiše. A situacija ulaska neovlašćenih lica u kancelariju nije apsolutno nemoguć događaj.

Ovdje je vrijedno napraviti malu digresiju i spomenuti uobičajenu zabludu da ako je disk dio RAID niza, onda, navodno, ne morate brinuti da će doći u pogrešne ruke. Čini se da razlaganje napisanih podataka na više tvrdih diskova, koje izvode RAID kontroleri, pruža nečitljiv prikaz podataka koji se nalaze na bilo kojem tvrdom disku. Nažalost, ovo nije sasvim tačno. Preplitanje se dešava, ali se u većini modernih uređaja vrši na nivou bloka od 512 bajta. To znači da se, uprkos kršenju strukture i formata datoteka, povjerljive informacije i dalje mogu preuzeti s takvog tvrdog diska. Stoga, ako postoji zahtjev da se osigura povjerljivost informacija kada su pohranjene u RAID nizu, šifriranje ostaje jedina pouzdana opcija.

  • Šifrovanje beležnica.Ovo je rečeno bezbroj puta, ali ipak je gubitak laptopa sa povjerljivim informacijama već dugi niz godina među prvih pet hit parade incidenata.
  • Enkripcija prenosivih medija.U ovom slučaju govorimo o prenosivim USB uređajima i ponekad o CD-ovima i DVD-ovima koji se mogu snimati, ako se koriste u poslovnim procesima preduzeća. Takvi sistemi, kao i sistemi za šifrovanje tvrdih diskova u laptopima koji su gore pomenuti, često mogu delovati kao komponente host DLP sistema. U ovom slučaju govore o nekoj vrsti kriptoperimetra koji obezbjeđuje automatsku transparentnu enkripciju medija unutar, i nemogućnost dešifriranja podataka izvan njega.

Dakle, enkripcija može značajno proširiti mogućnosti DLP sistema i smanjiti rizik od curenja povjerljivih podataka. Unatoč činjenici da je koncept IPC-a nastao relativno nedavno, a izbor integriranih IPC rješenja na tržištu nije previše širok, industrija aktivno istražuje ovu oblast i sasvim je moguće da će nakon nekog vremena ovaj koncept postati de facto standard za rješavanje interne sigurnosti i interne kontrole.

zaključci

Kao što se može vidjeti iz ovog pregleda, interne prijetnje su prilično nova oblast u informacionoj sigurnosti, koja se, ipak, aktivno razvija i zahtijeva povećanu pažnju. Razmatrane tehnologije kontrole dokumenata, DLP i IPC omogućavaju izgradnju prilično pouzdanog sistema interne kontrole i smanjenje rizika od curenja na prihvatljiv nivo. Bez sumnje, ova oblast informacione sigurnosti će se i dalje razvijati, nudit će se novije i naprednije tehnologije, ali danas mnoge organizacije biraju u korist jednog ili drugog rješenja, jer nemar u pitanjima sigurnosti informacija može biti previše skupo.

Alexey Raevsky
Izvršni direktor SecurIT-a

U oblasti informacione bezbednosti, organizacije najviše pažnje posvećuju zaštiti od eksternih napada, pa se skoro sva sredstva koja se izdvajaju za bezbednost usmeravaju na zaštitu ranjivih tačaka perimetra mreže preduzeća. Trenutna situacija se ogleda i na tržištu IT sigurnosnih rješenja – posljednjih godina u ponudi je širok spektar različitih sredstava zaštite od virusa, crva, trojanaca i drugih vanjskih prijetnji.
Međutim, preduzeća postepeno postaju svjesna nove opasnosti. Ne dolazi od hakera, neželjene pošte ili nasumičnih virusa, već od vlastitih zaposlenika. Insajderi se nalaze unutar same organizacije i obdareni su potpuno legalnim ovlastima, pa im je mnogo lakše doći do informacija koje ih zanimaju nego bilo kom vanjskom uljezu. Da bismo bolje razumjeli problem, osvrnimo se na studiju američke analitičke kompanije Aberdeen Group iz 2006. godine „The Insider Threat Benchmark Report – Strategies for Data Protection“, tokom koje je intervjuisano 88 velikih američkih korporacija.

Ključni nalazi iz istraživanja velikih korporacija

Pretnja od insajdera raste. Savremeni biznis više ne može ignorisati ovu opasnost i intenzivno se priprema za suprotstavljanje. Kompanije koje odluče da to ne primjete ili uštede na uvođenju novih sigurnosnih sistema snose ozbiljne gubitke. Mnoge kompanije koje se pominju u studiji bile su ozbiljno pogođene kršenjem podataka i tek tada su se pobrinule za preventivne mjere. Njihov primjer bi trebao poslužiti kao lekcija za druge firme.

Preduzeća koja žele da se zaštite od curenja poverljivih informacija treba da zauzmu odgovoran pristup rešavanju problema. Neracionalne sigurnosne uštede će se u bliskoj budućnosti pretvoriti u značajne gubitke. Najbolja opcija bi bila potražiti pomoć profesionalaca koji su specijalizovani za sisteme unutrašnje zaštite. Takvi sistemi se lako mogu integrirati u postojeću infrastrukturu. Osim toga, prodajne kompanije ne samo da će osigurati da rješenje funkcionira, već će garantirati i njegovu visoku efikasnost.

Kao takav, ne postoji alat protiv insajdera. Samo korištenje čitavog niza mjera i rješenja pomoći će da se informacije pouzdano zaštite. Uprkos inerciji velikih dobavljača, tržište ima dovoljan broj gotovih sistema koji pružaju zaštitu od insajdera i curenja.

Jedna od najvažnijih savremenih tehnologija informacione sigurnosti je filtriranje mrežnog saobraćaja (već ga implementira 53% ispitanika). Još 28% planira da ugradi takve filtere ove godine. Osim toga, klasifikacija podataka je vrlo obećavajuća tehnologija. Iako ga danas koristi samo 42% korporacija, ovaj broj će se ove godine povećati za 44% (odnosno na 86%). Međutim, ozbiljnu zabrinutost izaziva činjenica da neopravdano mali broj ispitanika koristi druga efikasna rješenja za zaštitu od curenja informacija i insajdera, kao što je praćenje aktivnosti zaposlenih.

Za mnoga preduzeća, jedna od glavnih prepreka (44%) za uvođenje dodatne zaštite od curenja informacija su ograničeni IT resursi. Istovremeno, implementacija ovakvih zaštitnih sredstava omogućava ne samo značajno smanjenje rizika od gubitka važnih podataka, već i značajno (za 17,5%) smanjenje troškova IT odjela.

trenutnu poziciju

Nije iznenađujuće da su posljedice incidenata s insajderima često mnogo strašnije od čak i uspješnog hakerskog napada. Postoji mnogo razloga za to. Lakoća pristupa raznim informacionim resursima sama po sebi ne može sve objasniti. Činjenica je da su informacije koje ukradu insajderi obično važnije od onoga što hakeri mogu dobiti. Jedan od najvažnijih razloga rastuće prijetnje od insajdera i lakoće s kojom provode nezakonite radnje je nemar internih IT sigurnosnih službi (ako ih ima). Organizacije nisu spremne da se suprotstave insajderima jer jednostavno nemaju odgovarajuće alate. Čak i ako je prijetnja identificirana, radnici u sigurnoj zoni još uvijek se ne mogu adekvatno suočiti s njom, jer nisu stekli odgovarajuće iskustvo u ovoj oblasti. Općenito, na tržištu već sada možete pronaći složena rješenja za zaštitu povjerljivih informacija od insajdera. Nažalost, često odgovorni lideri ne shvataju ozbiljnost pretnje. Po inerciji, oni nastavljaju da jačaju napore da zaštite perimetar svoje organizacije upravo od vanjskih prijetnji.

U međuvremenu, novinske agencije i mediji sve više pažnje posvećuju problemu insajdera. Stručnjaci govore o povećanju broja curenja povjerljivih informacija i njihovim tužnim posljedicama: gubitku vremena, finansijskim gubicima i narušavanju ugleda. Osim toga, postoji globalni trend da se preduzeća počinju posebno prebacivati ​​na pitanje interne IT sigurnosti.

U toku studije „The Insider Threat Benchmark Report – Strategies for Data Protection“ analitičari su uspjeli otkriti da su tokom protekle godine mnogi dobavljači i distributeri IT sistema kvalitativno promijenili spektar predloženih rješenja. Istovremeno se povećao udio proizvoda dizajniranih posebno za borbu protiv insajdera. Međutim, u isto vrijeme, najveći IT dobavljači nastavljaju da proširuju svoj tradicionalni portfolio, zadržavajući proporcije rješenja na istom nivou. To ukazuje ili na potcjenjivanje potencijala odgovarajuće linije proizvoda, ili na nisku trenutnu potražnju. Ipak, 41% američkih ispitanika već je implementiralo sigurnosne mjere u svoju IT infrastrukturu koje u ovoj ili onoj mjeri rješavaju problem insajdera.

Napominjemo da ruski kupci mogu vidjeti vlastitim očima da je interesovanje za sisteme za suzbijanje curenja i insajdera od strane dobavljača i sistem integratora uveliko poraslo. Na primjer, Kaspersky Lab je svoje poslovanje u oblasti interne IT sigurnosti izdvojio u posebnu kompaniju - InfoWatch, a praktično svi ruski sistem integratori su rješenja ove kompanije uvrstili u svoju liniju proizvoda. Prema riječima Denisa Zenkina, direktora marketinga InfoWatch-a, u 2005. godini dobit kompanije porasla je za 120 posto, au 2006. zabilježena je slična slika. To je uprkos činjenici da ruske kompanije značajno zaostaju za američkim u korištenju sistema za zaštitu od insajdera. Prema studiji "Interne IT pretnje u Rusiji 2005", tokom koje je InfoWatch anketirao više od 300 domaćih organizacija, samo 2% ispitanika koristi sisteme za borbu protiv insajdera i curenja informacija. Međutim, rast profita dobavljača jasno ukazuje da se ova situacija postepeno mijenja.

Pored toga, još jedna velika antivirusna kompanija, McAfee, nedavno je pokazala interesovanje za sisteme za borbu protiv insajdera. U oktobru 2006. kupio je izraelsku firmu Onigma, čije je jedino rješenje upravo identificiranje i sprječavanje curenja. Kako se navodi u saopćenju za javnost, McAfee će integrirati Onigma tehnologije u vlastito rješenje i time započeti svoju ekspanziju na interno tržište IT sigurnosti.

Moguće je da će se u bliskoj budućnosti na tržištu zaštite od curenja pojaviti najveća IT sigurnosna kompanija Symantec. Generalno, može se sa sigurnošću tvrditi da je uključivanje proizvoda za borbu protiv insajdera u njegov asortiman izuzetno obećavajući pravac diversifikacije za sve karike u lancu distribucije IT sigurnosnih rješenja.

Pogled sa druge strane

Vratimo se sada na rezultate studije "The Insider Threat Benchmark Report - Strategies for Data Protection" i pogledajmo sisteme zaštite od insajdera i curenja očima korisnika. Sve američke kompanije mogu se grubo podijeliti u tri grupe nejednake po kvantitativnom sastavu: zaostali (30%), srednji seljaci (50%) i lideri (20%). Pokazatelji performansi preduzeća u zaostatku su generalno niži od industrijskog prosjeka, dok lideri imaju odgovarajuće više pokazatelje učinka. Ispostavilo se da apsolutno sve uspješne organizacije (100% ispitanika) smatraju zaštitu povjerljivih podataka najvažnijim smjerom u borbi protiv insajdera. Osim toga, najbolje kompanije koriste politiku identifikacije i kontrole pristupa mnogo šire (75%). Karakteristike različitih grupa u oblasti interne IT bezbednosti prikazane su na slici.

Dijagrami pokazuju da vodeće kompanije više vole da gledaju na projekat uvođenja sistema insajderske zaštite kao na punopravan poslovni zadatak. Istovremeno, poseban značaj pridaju nizu pratećih usluga. Ovo vam omogućava da izgradite najefikasniji sistem unutrašnje bezbednosti i da ne prebacujete netipične zadatke na ramena sopstvenih zaposlenih. Osim toga, najbolje kompanije u industriji nastoje minimizirati ljudski faktor korištenjem potpuno automatiziranih procesa. Konačno, lideri daju prioritet integraciji proizvoda u jedinstven sistem kojim se može upravljati, te stoga cijene fleksibilnost svog rješenja za zaštitu od insajdera.

Pokušajmo problem unutrašnje sigurnosti procijeniti u tehnološkom smislu (Tabela 1). Nakon proučavanja nekoliko industrija, pokazalo se da su glavne tehnologije koje se koriste: lozinke, sistemi identifikacije, biometrija, skeniranje mrežnog prometa i upravljanje pristupom korisnika povjerljivim informacijama.

Tabela 1. Tehnologije zaštite sigurnosti: trenutno stanje i prognoza

Tehnologije

Udio ispitanika koji već sada koriste tehnologiju,%

Udio ispitanika koji planiraju implementaciju tehnologije u narednih 12 mjeseci,%

Složene lozinke

Liste kontrole pristupa

Filtriranje mrežnog saobraćaja

Perimetarsko skeniranje

Automatsko praćenje pristupa zaposlenih

Klasifikacija podataka (prema stepenu povjerljivosti)

Jedna ulazna tačka

Identifikacija sa zahtjevom i potvrdom

Autentifikacija putem povratnog poziva mobilnog telefona

Tačno 50% najboljih firmi u industriji koristi jake lozinke, filtriranje mrežnog prometa i ACL-ove. Štaviše, kompanije nameravaju da značajno povećaju upotrebu ovih posebnih tehnologija. Tako će se udio složenih lozinki povećati za 26% i dostići 93%; popularnost ACL-ova će se povećati za 24% i dostići 90%, a udio filtriranja mrežnog saobraćaja će se povećati sa 53 na 81%. U međuvremenu, korištenje ID-kartica, uprkos njihovoj rasprostranjenosti u današnje vrijeme, teško se može smatrati popularnim pravcem. Samo 13% ispitanika planira implementaciju ove tehnologije ove godine.

Zanimljivo, tehnologije koje najviše obećavaju su automatsko praćenje pristupa zaposlenih važnim podacima (očekuje se da će porasti do 72%) i klasifikacija podataka (sa 42% u 2006. na 86% ove godine). Ovdje se rezultati studije poklapaju sa mišljenjem domaćih stručnjaka iz oblasti informacione sigurnosti. InfoWatch think tank smatra da je upravo automatsko praćenje insajderskih radnji i klasifikacije podataka ono čemu su kompanije proteklih godina posvećivale nezasluženo malo pažnje. U međuvremenu, bez toga je jednostavno nemoguće izgraditi pouzdan sistem zaštite.

Nadalje, prema anketi, istih 53% koji koriste filtriranje saobraćaja smatraju da sama zaštita perimetra nije dovoljna za internu sigurnost. Neophodno je, između ostalog, razviti virtuelne privatne mreže kako se ne bi smanjio nivo sigurnosti u komunikaciji sa eksternim partnerima.

Ove tehnologije pružaju slojevit pristup i poboljšavaju sigurnost povjerljivih podataka. Međutim, pored tehnološke strane, ne treba zaboraviti na banalnu fizičku sigurnost informacija. Mnogo je primjera kako su važni dokumenti pali u ruke sajber kriminalaca nakon provale u kancelariju i krađe kompjuterske opreme. Štaviše, rezervne trake i mobilni mediji koji sadrže osjetljivi sadržaj često se izgube tokom transporta ili na službenim putovanjima.

Unutrašnja zaštita

Trenutno ne postoji jedinstveno mišljenje o tome kako regulisati pristup korisnika. Ovo primorava organizacije da obezbede centralizovano upravljanje podacima u distribuiranom okruženju. Tehnologija može učiniti podatke upravljivim, odgovornim i sigurnim, ali zahtijeva njihovu odgovarajuću primjenu. Zauzvrat, metode upotrebe ovise o specifičnostima djelatnosti poduzeća klijenta. Shodno tome, potrebno je izvršiti duboku i sveobuhvatnu analizu IT infrastrukture na kojoj bi sigurnosni sistem trebao biti postavljen. Mnogi kupci s pravom povjeravaju proces procjene i odabira tehnologija posebno kreiranim timovima, koji uključuju stručnjake iz različitih oblasti.

Savremene tehnologije i metode suprotstavljanja insajderima značajno se razlikuju. Poenta je da dobavljači ne mogu ponuditi insajderske lijekove koji odgovaraju svima. Oni pružaju niz rješenja za otkrivanje odstupanja, klasifikaciju podataka prema povjerljivosti i ograničavanje pristupa.

Uprkos činjenici da samo 51% kompanija ispitanih tokom studije smatra da su sveobuhvatna rješenja za zaštitu od insajdera izuzetno važna, preostalih 49% ne ocjenjuje svoju ulogu tako visoko. Međutim, značaj ovog rezultata leži u činjenici da najmanje polovina ispitanika preferira kompleksna rješenja. To sugerira da su oni zaista zabrinuti zbog ovog problema i razumiju važnost zajedničkih mjera.

Osim toga, u nekim industrijama od učesnika se traži da budu osjetljiviji na podatke o kupcima. Zakonodavstvo koje se stalno mijenja na federalnom i regionalnom nivou posvećuje sve više pažnje zaštiti ličnih podataka (kao što su puno ime, datum rođenja, kućna adresa, brojevi kreditnih kartica, medicinska politika, itd.).

Organizacije moraju razumjeti važnost zakona o zaštiti ličnosti. Prema mišljenju učesnika ankete, da bi se unaprijedilo upravljanje, potrebno je automatizirati ovlašteni pristup. Kompanije koje ne automatizuju ACL, pripremu i klasifikaciju podataka mogu se suočiti sa značajnim izazovima. Tako 78% ispitanika smatra da je zaštita informacija najvažniji razlog za izgradnju zaštite od insajdera. Dakle, preduzeća tek počinju da prepoznaju pretnju od insajdera i iz različitih razloga pokušavaju da umanje važnost internih incidenata. Međutim, nemoguće je sakriti tendenciju povećanja opasnosti od insajdera.

Izazovi uvođenja Insajderske zaštite

Razmotrite još dva zanimljiva nalaza istraživanja. Table U tabeli 2 navedeno je pet najozbiljnijih, po mišljenju ispitanika, problema koji se javljaju prilikom uvođenja sistema zaštite od unutrašnjih prijetnji, kao i mogućnosti za njihovo rješavanje. Tab. 3 je sličan tabeli. 2 po strukturi, ali sastavljena na osnovu odgovora ispitanika iz grupe vodećih kompanija. Upoređujući dobijene podatke, lako je uočiti razlike u pristupu ovom problemu između prosječnih i najuspješnijih poslovnih predstavnika. Ako je za lidere glavni problem nametanje implementiranog rješenja na već korištene tehnologije (75%), onda su za sve ispitanike općenito ograničeni IT resursi (44%). U toku istraživanja pokazalo se da su napredne organizacije već implementirale sveobuhvatnu zaštitu svoje IT infrastrukture i time pokrile samu mrežu, kao i osigurale se na nivou aplikacije. Sada ove kompanije traže načine da ojačaju svoje sigurnosne sisteme. Organizacije, kojima su glavni problem ograničeni IT resursi, ozbiljno su ograničene u svom djelovanju. Ovo je alarmantno, jer uštede na sigurnosti mogu dovesti do mnogo većih gubitaka. Očigledno, IT, kao i IT sigurnost, treba u potpunosti financirati. Uostalom, oni pripremaju bazu na kojoj će svi ostali odjeli uspješno funkcionirati.

Tabela 2. Najozbiljniji problemi u implementaciji sistema zaštite od insajdera
i njihovo moguće rješenje (na osnovu svih ispitanika)

Problem

Udio odgovora,%

Rješenje

Udio odgovora,%

Ograničeni IT resursi za implementaciju i upravljanje rješenjem

Definirajte zahtjeve prije implementacije

Složenost softverskog rješenja

Definirajte vlasnike podataka i procesa

Preklapanje rješenja na postojeće procese

Provesti obuke o korištenju novih procesa i procedura

Analizirajući tabele, može se uočiti i sljedeća prilično zanimljiva činjenica: osoblje vodećih kompanija mnogo češće pokazuje svoje nezadovoljstvo inovacijama nego zaposleni u srednjim preduzećima (50 prema 38%). Međutim, u tome nema ničeg iznenađujućeg. U oblasti IT bezbednosti, ljudski faktor čini najmanje polovinu problema. Ako, na primjer, neka organizacija dopušta izvođačima, partnerima ili dobavljačima korištenje svoje mreže, ali istovremeno ne brine o procedurama za reguliranje pristupa informacijama, onda možemo sa sigurnošću reći da će sigurno imati problema u tom pravcu.

Tabela 3. Najozbiljniji problemi u implementaciji sistema zaštite od insajdera
i njihovo moguće rješenje (na osnovu vodećih kompanija)

Problem

Udio odgovora,%

Rješenje

Udio odgovora,%

Preklapanje rješenja na već implementirane tehnologije

Fokusirajte se na kratke projekte s brzim učinkom

Otpor radnika prema inovacijama

Postepeno namotajte i polako distribuirajte nova rješenja korisnicima

Nedostatak sredstava za realizaciju aktivnosti

Implementirajte “odozgo prema dolje” od tehničkog i IT odjela do svih ostalih odjela

Ograničeni IT resursi za implementaciju i upravljanje rješenjem

Šefovima odjeljenja demonstrirati mogućnosti i karakteristike rješenja

Slabo poznavanje alata za procjenu rizika

Provesti obuke o korištenju novih procesa i procedura

Generalno, zaostala preduzeća i srednji seljaci, za razliku od lidera, manje koriste automatizaciju i integraciju rješenja, a osim toga, u svom osoblju imaju neiskusne radnike. Sve ovo utiče na efikasnost analize bezbednosnih procedura i interpretaciju njenih rezultata. Često samo uvođenje automatizovanih procesa i usavršavanje zaposlenih dovodi do prevazilaženja ljudskog faktora. Prema istraživanju, oko 25% najboljih preduzeća koristi potpuno automatizovane sisteme. Istovremeno, samo 9% slučajeva automatizacije može se klasifikovati kao industrijska.

Sigurnost informacija raste kako se nove tehnologije koriste u skladu sa zahtjevima poslovanja. Kontinuirano unapređenje sistema zaštite doneće nesumnjivu korist. Prema studiji, organizacije koje su implementirale sisteme insajderske zaštite postigle su u prosjeku sljedeće efekte:

  • smanjenje pritužbi i žalbi IT odjelima i službama podrške - za 3,5%;
  • smanjen je broj IT sigurnosnih incidenata - za 13%;
  • smanjeni troškovi rada u IT odjelima - za 17,5%.

Stoga analitičari zaključuju da su organizacije koje se bave samo eksternom zaštitom osuđene na propast. Zaista, osiguranje perimetra organizacije pomaže u odbrani od hakerskih napada, dok kompanije koje su postavile sisteme zaštite od curenja i insajderske zaštite uspijevaju smanjiti incidente i IT troškove.

Zaključak

Na osnovu rezultata istraživanja i procjene situacije nameću se sljedeći zaključci. Prvo, ne postoji jedinstvena tehnologija za zaštitu od insajdera. Samo skup mjera može osigurati sigurnost. Disagregirani proizvodi, koliko god bili dobri, najvjerovatnije neće riješiti probleme koji se javljaju prilikom izgradnje sveobuhvatne odbrane. Da, moguće je zatvoriti jedan od pravaca, ali poteškoća leži u činjenici da postoji ogroman broj različitih prijetnji. Napadači djeluju na različite načine, a samo da bi se otklonile sve moguće rupe, potrebno je stvoriti višeslojni sistem.

Drugo, odgovornost za sigurnost povjerljivih informacija ne može biti dodijeljena jednoj osobi ili čak jedinici. U tom pravcu bi zaposleni u IT službi i odeljenju za IT bezbednost trebalo da budu blisko povezani. Još efikasniji način je angažovanje stručnjaka sa velikim iskustvom u oblasti zaštite od curenja. Potonji nude dubinsku analizu postojeće situacije i pružaju kupcu konkretna rješenja. Gradi se pouzdan sistem koji može servisirati osoblje kompanije uz neophodnu podršku integratora.

Treće, podaci dostupni u organizaciji moraju biti pažljivo proučeni i strukturirani u skladu sa stepenom povjerljivosti. Zatim, na osnovu ove klasifikacije, treba izgraditi sistem ograničenja pristupa. Korisnici ne bi trebali imati pristup podacima koji im nisu potrebni za obavljanje službene dužnosti. Pored toga, potrebno je periodično revidirati prava pristupa kako bi sistem razgraničenja bio ažuran.

Četvrto, ljudski faktor je jedan od kritičnih u sistemu informacione bezbednosti. Nažalost, ljudi postaju najslabija karika u lancu. Često su insajderi zaposleni koji su odgovorni, ako ne za zaštitu povjerljivih informacija, onda barem za održavanje povjerljivosti informacija. Iz neznanja ili rasejanosti, sa ili bez zlobe, ali mogu nanijeti značajnu štetu svojim poslodavcima. Mnogo opasnija je situacija kada je insajder osoba iz IT odjela ili iz odjela za IT sigurnost. Njegov mandat je, naravno, mnogo širi od većine drugih zaposlenih, a on ima znanje i sposobnost da tiho odaje podatke. Upravo iz tih razloga je za uspješno poslovanje potrebno korištenje profesionalnih sistema praćenja postupanja zaposlenih. Oni treba da budu što je moguće automatizovani, nezavisni od ljudske kontrole, kako bi mogli da kontrolišu zaposlenog. Softverska rješenja i kompleksi su najefikasniji način zaštite od povećane prijetnje od strane insajdera. Naravno, ne treba zaboraviti ni metode rada sa zaposlenima. Trebalo bi ih obrazovati o potrebi pridržavanja sigurnosnih standarda i zahtijevati od njih da se pridržavaju postojećih direktiva o postupanju s povjerljivim informacijama. Međutim, samo softver i hardver mogu spriječiti moguće slučajeve interne krađe.

Naslov: Gadgets
Podijelite ovo