Manapság a bizalmas információk kiszivárogtatásának két fő csatornája van: számítógéphez csatlakoztatott eszközök (mindenféle cserélhető meghajtó, beleértve a flash meghajtókat, CD / DVD meghajtók stb., nyomtatók) és az internet (e-mail, ICQ, közösségi hálózatok). stb.). d.). Ezért amikor egy cég „érik” az ellenük való védekezési rendszer bevezetésére, célszerű ezt a megoldást átfogóan megközelíteni. A probléma az, hogy különböző megközelítéseket alkalmaznak a különböző csatornák átfedésére. Az egyik esetben a védelem leghatékonyabb módja a cserélhető meghajtók használatának ellenőrzése, a másodikban pedig a tartalomszűrés különféle lehetőségei, amelyek lehetővé teszik a bizalmas adatok külső hálózatra történő átvitelének blokkolását. Így a cégeknek két terméket kell használniuk a bennfentesek elleni védekezésre, amelyek együttesen átfogó biztonsági rendszert alkotnak. Természetesen célszerű egy fejlesztő eszközeit használni. Ebben az esetben a végrehajtásuk, adminisztrációjuk és a dolgozók képzése is megkönnyíthető. Példa erre a SecurIT termékei: Zlock és Zgate.
Zlock: szivárgás elleni védelem a kivehető meghajtókon keresztül
A Zlock program már régóta a piacon van. És már mi is. Elvileg nincs értelme ismételni. A cikk megjelenése óta azonban a Zlock két új verziója is megjelent, amelyek számos fontos funkcióval rendelkeznek. Érdemes beszélni róluk, még ha nagyon röviden is.
Mindenekelőtt érdemes megjegyezni, hogy egy számítógéphez többféle házirend hozzárendelhető, amelyeket egymástól függetlenül alkalmaznak attól függően, hogy a számítógép közvetlenül, VPN-en keresztül csatlakozik-e a vállalati hálózathoz, vagy offline módban működik. Ez különösen lehetővé teszi az USB-portok és a CD/DVD-meghajtók automatikus blokkolását, amikor a számítógépet leválasztják a helyi hálózatról. Általánosságban elmondható, hogy ez a funkció növeli a laptopokon tárolt információk biztonságát, amelyeket az alkalmazottak utazás vagy otthoni munkavégzés céljából kivihetnek az irodából.
A második újdonság, hogy a vállalati alkalmazottak ideiglenes hozzáférést biztosítanak a lezárt eszközökhöz vagy akár eszközcsoportokhoz telefonon keresztül. Működésének elve a program által generált titkos kódok cseréje a felhasználó és az információbiztonságért felelős munkatárs között. Figyelemre méltó, hogy a használati engedély nem csak állandó, hanem ideiglenes is (bizonyos időre vagy a munkamenet végéig) adható ki. Ez az eszköz némi könnyítésnek tekinthető a biztonsági rendszerben, de lehetővé teszi, hogy növelje az informatikai részleg reagálóképességét az üzleti kérésekre.
A következő fontos újítás a Zlock új verzióiban a nyomtatók használatának ellenőrzése. A beállítást követően a védelmi rendszer egy speciális naplóba rögzíti az összes felhasználói kérést a nyomtatóeszközökhöz. De ez még nem minden. A Zlocknak van árnyékmásolata az összes nyomtatott dokumentumról. PDF formátumban készültek, és a nyomtatott oldalak teljes másolata, függetlenül attól, hogy melyik fájlt küldték el a nyomtatónak. Ez megakadályozza, hogy bizalmas információk szivárogjanak ki papírlapokra, amikor egy bennfentes kinyomtatja az adatokat, hogy kivigye azokat az irodából. A védelmi rendszerben megjelent a CD / DVD-lemezekre rögzített információk árnyékmásolása is.
Fontos újítás volt a Zlock Enterprise Management Server szerverkomponens megjelenése. Ez biztosítja a biztonsági szabályzatok és egyéb programbeállítások központosított tárolását és elosztását, és nagyban megkönnyíti a Zlock adminisztrációját nagy és elosztott információs rendszerekben. Nem is beszélve a saját hitelesítési rendszerének megjelenéséről, amely szükség esetén lehetővé teszi a tartományi és helyi Windows-felhasználók használatának megtagadását.
Ezenkívül a Zlock legújabb verziója számos, nem annyira észrevehető, de meglehetősen fontos funkcióval is rendelkezik: ügyfélmodul integritás-ellenőrzése azzal a lehetőséggel, hogy blokkolja a felhasználó bejelentkezését, ha behatolást észlel, speciális biztonsági rendszer megvalósítási lehetőségek, Oracle DBMS támogatása, stb.
Zgate: Internet Leak Protection
Szóval Zgate. Mint már említettük, ez a termék egy olyan rendszer, amely megvédi a bizalmas információk interneten keresztüli kiszivárgását. Szerkezetileg a Zgate három részből áll. A fő komponens a szerver komponens, amely minden adatfeldolgozási műveletet végrehajt. Telepíthető mind külön számítógépre, mind a vállalati információs rendszerben már működő csomópontokra - internetes átjáróra, tartományvezérlőre, levelezési átjáróra stb. Ez a modul három összetevőből áll: az SMTP forgalom vezérlésére, a Microsoft Exchange 2007/2010 szerver belső leveleinek vezérlésére, valamint a Zgate Webre (a HTTP, FTP és IM forgalom vezérléséért felelős).
A védelmi rendszer második része a naplózószerver. Arra használják, hogy információkat gyűjtsenek az eseményekről egy vagy több Zgate szerverről, feldolgozzák és tárolják. Ez a modul különösen hasznos nagy és földrajzilag elosztott vállalati rendszerekben, mivel központi hozzáférést biztosít minden adathoz. A harmadik rész a felügyeleti konzol. A SecurIT termékekhez a szabványos konzolt használja, ezért nem fogunk vele részletesen foglalkozni. Csak annyit jegyzünk meg, hogy ennek a modulnak a segítségével nem csak helyben, hanem távolról is kezelheti a rendszert.
Menedzsment konzol
A Zgate rendszer többféle üzemmódban is működhet. Ezenkívül elérhetőségük a termék megvalósításának módjától is függ. Az első két mód levélproxyszerverként működik. Megvalósításukhoz a rendszer a vállalati levelezőszerver és a "külvilág" (vagy a levelezőszerver és a küldőszerver közé, ha el vannak választva) kerül telepítésre. Ebben az esetben a Zgate vagy szűrheti a forgalmat (visszatarthatja a jogsértő és megkérdőjelezhető üzeneteket), vagy csak naplózhatja (az összes üzenetet kihagyja, de az archívumban tartja).
A második megvalósítási mód szerint a védelmi rendszert a Microsoft Exchange 2007 vagy 2010 programokkal együtt kell használni. Ehhez közvetlenül a vállalati levelezőszerverre kell telepítenie a Zgate-et. Ebben az esetben két mód is elérhető: szűrés és naplózás. Ezen kívül van még egy megvalósítási lehetőség. Üzenetek naplózásáról beszélünk tükrözött forgalom módban. Természetesen a használatához biztosítani kell, hogy a számítógép, amelyre a Zgate telepítve van, fogadja ezt a nagyon tükrözött forgalmat (általában ez hálózati eszközök segítségével történik).
Zgate üzemmód kiválasztása
A Zgate Web komponens külön történetet érdemel. Közvetlenül a vállalati internetes átjáróra van telepítve. Ugyanakkor ez az alrendszer lehetőséget kap a HTTP, FTP és IM forgalom szabályozására, vagyis annak feldolgozására, hogy észlelje a bizalmas információk webes levelezőfelületeken és ICQ-n keresztüli küldésére irányuló kísérleteket, fórumokon, FTP szervereken való közzétételét, és közösségi hálózatok stb. Egyébként az "ICQ"-ról. Az IM-mesengerek blokkolásának funkciója sok hasonló termékben megtalálható. Azonban pontosan az „ICQ” nincs bennük. Egyszerűen azért, mert az orosz nyelvű országokban terjedt el leginkább.
A Zgate Web komponens működési elve meglehetősen egyszerű. Valahányszor információt küldenek valamelyik ellenőrzött szolgáltatásnak, a rendszer egy speciális üzenetet generál. Magát az információt és néhány szolgáltatási adatot tartalmazza. A rendszer elküldi a fő Zgate szerverre, és a megadott szabályok szerint dolgozza fel. Természetesen magában a szolgáltatásban az információ küldése nincs blokkolva. Vagyis a Zgate Web csak naplózási módban működik. Segítségével lehetetlen megakadályozni az egyszeri adatszivárgást, másrészt viszont gyorsan észlelheti azokat, és megállíthatja egy szabad vagy akaratlan támadó tevékenységét.
A Zgate webkomponens konfigurálása
Az információk Zgate-ben történő feldolgozásának módját és a szűrési sorrendet egy biztonsági tiszt vagy más felelős alkalmazott által kidolgozott szabályzat határozza meg. Ez egy sor feltétel, amelyek mindegyike egy bizonyos cselekvésnek felel meg. Minden bejövő üzenet egymás után „fut” keresztül rajtuk. Ha pedig valamelyik feltétel teljesül, akkor elindul a hozzá tartozó akció.
Szűrő rendszer
Összességében a rendszer 8 féle feltételt biztosít, ahogy mondani szokás, "minden alkalomra". Az első a csatolt fájl típusa. Segítségével észlelheti az objektumok egyik vagy másik formátumú küldésére irányuló kísérleteket. Meg kell jegyezni, hogy az elemzést nem kiterjesztéssel, hanem a fájl belső szerkezetével végzik, és megadhatja az objektumokat és csoportjaikat (például minden archívum, videofelvétel stb.). A feltételek második típusa a külső alkalmazás általi ellenőrzés. Az alkalmazás lehet parancssorból elindított szokásos program vagy parancsfájl.
Feltételek a szűrőrendszerben
De a következő feltételnél érdemes részletesebben elidőzni. A továbbított információk tartalomelemzéséről beszélünk. Először is meg kell jegyezni a "mindenevő" Zgate-t. Az a tény, hogy a program számos különböző formátumot "megért". Ezért nem csak egyszerű szöveget, hanem szinte bármilyen mellékletet is képes elemezni. A tartalomelemzés másik jellemzője a nagy potenciál. Ez állhat mind az üzenetszövegben, mind egy adott szó bármely más mezőjében előforduló előfordulás egyszerű kereséséből, vagy teljes körű elemzésből, beleértve a nyelvtani szóalakok, a szótő és az átírás figyelembevételét. De ez még nem minden. Külön említést érdemel a minták és reguláris kifejezések elemző rendszere. Segítségével könnyedén észlelheti az üzenetekben bizonyos formátumú adatok jelenlétét, például az útlevél sorozatát, számát, telefonszámot, szerződésszámot, bankszámlaszámot stb. Ez többek között lehetővé teszi, hogy a társaság által kezelt személyes adatok védelmének erősítése érdekében.
Sablonok különféle érzékeny információk azonosításához
A negyedik típusú feltételek a levélben feltüntetett címek elemzése. Vagyis keressen közöttük bizonyos karakterláncokat. Ötödször - a titkosított fájlok elemzése. Amikor végrehajtja, az üzenet és/vagy a beágyazott objektumok attribútumai ellenőrzésre kerülnek. A hatodik típusú feltételek a betűk különböző paramétereinek ellenőrzése. A hetedik a szótárelemzés. Ennek során a rendszer érzékeli az előre elkészített szótárakból származó szavak jelenlétét az üzenetben. És végül, az utolsó, nyolcadik típusú állapot összetett. Két vagy több további feltételt képvisel logikai operátorokkal kombinálva.
Az általunk a feltételek leírásánál említett szótárakról egyébként külön kell szólni. Ezek szócsoportok, amelyeket ugyanaz a tulajdonság egyesít, és különféle szűrési módszerekben használatosak. A leglogikusabb olyan szótárak létrehozása, amelyek nagy valószínűséggel lehetővé teszik az üzenet egyik vagy másik kategóriához való hozzárendelését. Tartalmuk beírható manuálisan vagy importálható meglévő szövegfájlokból. Van egy másik lehetőség a szótárak generálására - automatikus. Használatakor az adminisztrátornak egyszerűen meg kell adnia azt a mappát, amely a vonatkozó dokumentumokat tartalmazza. Maga a program elemzi őket, kiválasztja a szükséges szavakat és elrendezi a súlyjellemzőket. A szótárak minőségi összeállításához nemcsak a bizalmas fájlokat kell feltüntetni, hanem azokat az objektumokat is, amelyek nem tartalmaznak bizalmas információkat. Általánosságban elmondható, hogy az automatikus generálás folyamata leginkább a promóciós és hagyományos e-maileken megjelenő levélszemét-elhárítás megtanulásához hasonlít. És ez nem meglepő, mert ott és ott is hasonló technológiákat használnak.
Példa a pénzügyi szókincsre
Ha a szótárakról beszélünk, nem szabad megemlíteni egy másik Zgate-ben bevezetett bizalmas adatok felderítési technológiát. Digitális nyomatokról beszélünk. Ennek a módszernek a lényege a következő. Az adminisztrátor ráirányíthatja a rendszert a bizalmas adatokat tartalmazó mappákra. A program elemzi a bennük lévő összes dokumentumot, és "digitális ujjlenyomatokat" hoz létre - olyan adatkészleteket, amelyek lehetővé teszik nemcsak a fájl teljes tartalmának, hanem annak egyes részeinek átvitelére irányuló kísérlet meghatározását. Felhívjuk figyelmét, hogy a rendszer automatikusan figyeli az általa megadott mappák állapotát, és önállóan "ujjlenyomatokat" hoz létre az összes újonnan megjelenő objektumhoz.
Hozzon létre egy kategóriát digitális fájl ujjlenyomatokkal
Nos, most már csak a kérdéses védelmi rendszerben végrehajtott intézkedésekkel kell foglalkozni. Összesen már 14 db van belőlük Zgate-ben megvalósítva. A többség azonban meghatározza az üzenettel végrehajtandó műveleteket. Ide tartozik különösen a küldés nélküli törlés (vagyis a levél továbbításának blokkolása), az archívumba helyezés, a mellékletek hozzáadása vagy törlése, a különböző mezők megváltoztatása, szöveg beszúrása stb. Ezek között szerepel a karantén egy levél különösen érdemes megjegyezni. Ez a művelet lehetővé teszi az üzenet "elhalasztását" a biztonsági tiszt által történő kézi ellenőrzésre, aki dönt az üzenet jövőbeli sorsáról. Szintén nagyon érdekes az a művelet, amely lehetővé teszi az IM-kapcsolat blokkolását. Segítségével azonnal blokkolható a csatorna, amelyen keresztül bizalmas információkat tartalmazó üzenetet továbbítottak.
Két művelet emelkedik ki némileg – a Bayes-féle feldolgozás és az ujjlenyomat-feldolgozás. Mindkettőt úgy tervezték, hogy ellenőrizze az üzenetekben érzékeny információkat. Csak az első használ szótárakat és statisztikai elemzést, míg a második digitális ujjlenyomatokat. Ezek a műveletek akkor hajthatók végre, ha egy bizonyos feltétel teljesül, például ha a címzett címe nem a vállalati tartományban található. Ezen túlmenően ezek (azonban minden máshoz hasonlóan) beállíthatók az összes kimenő üzenet feltétel nélküli alkalmazására. Ebben az esetben a rendszer elemzi a leveleket, és bizonyos kategóriákba sorolja (ha természetesen ez lehetséges). De ezeknél a kategóriáknál már lehetséges feltételeket szabni bizonyos akciók végrehajtásával.
Műveletek a Zgate rendszerben
Nos, a Zgate-ról szóló mai beszélgetésünk végén egy kicsit összefoglalhatjuk. Ez a védelmi rendszer elsősorban az üzenetek tartalomelemzésére épül. Ez a megközelítés a legelterjedtebb a bizalmas információk interneten keresztüli kiszivárgása elleni védelemben. A tartalomelemzés természetesen nem nyújt 100%-os védelmet, és inkább valószínűségi. Használata azonban megakadályozza a legtöbb esetben a titkos adatok jogosulatlan továbbítását. Használják a cégek vagy ne? Ezt mindenkinek magának kell eldöntenie, felmérve a megvalósítás költségeit, információszivárgás esetén az esetleges problémákat. Érdemes megjegyezni, hogy a Zgate kiváló munkát végez a reguláris kifejezések "elfogásában", ami nagyon hatékony eszközévé teszi a vállalat által feldolgozott személyes adatok védelmét.
Az információbiztonság területén a közelmúltban végzett kutatások, mint például az éves CSI/FBI Computer Crime And Security Survey kimutatták, hogy a vállalatok pénzügyi veszteségei a legtöbb fenyegetés miatt évről évre csökkennek. Ennek ellenére több kockázat is felmerül, amelyekből származó veszteségek nőnek. Ezek egyike a bizalmas információ szándékos ellopása, illetve azok kezelési szabályainak megsértése azon munkavállalók részéről, akiknek a kereskedelmi adatokhoz való hozzáférése hivatali feladatai ellátásához szükséges. Bennfenteseknek hívják őket.
Az esetek túlnyomó többségében a bizalmas információk ellopása mobil adathordozók segítségével történik: CD-k és DVD-k, ZIP-eszközök és ami a legfontosabb, mindenféle USB-meghajtó. Tömeges terjesztésük volt az, ami a bennfentesek felvirágoztatásához vezetett szerte a világon. A legtöbb bank vezetője tisztában van azzal, hogy mi fenyeget például, ha bűnszervezetek kezébe kerül egy olyan adatbázis, amely ügyfeleik személyes adatait, vagy mi több a számláikon lévő tranzakciókat tartalmazza. Az esetleges információlopás ellen pedig a rendelkezésükre álló szervezési módszerekkel próbálnak küzdeni.
A szervezési módszerek azonban ebben az esetben hatástalanok. Ma már meg lehet szervezni az információátvitelt a számítógépek között miniatűr pendrive, mobiltelefon, trz-plssra, digitális fényképezőgép segítségével... Természetesen meg lehet próbálni ezeknek az eszközöknek az irodába való behozatalát tiltani, de ez , egyrészt negatívan befolyásolja az alkalmazottakkal fenntartott kapcsolatokat, másrészt még mindig nagyon nehéz valóban hatékony ellenőrzést kialakítani az emberek felett - a bank nem egy "postafiók". És még az sem segít, ha a számítógépeken minden olyan eszközt letiltunk, amelyekkel információkat lehet írni külső adathordozókra (FDD- és ZIP-meghajtók, CD- és DVD-meghajtók stb.) és USB-portokra. Hiszen előbbiekre a munkához van szükség, utóbbihoz pedig különféle perifériák csatlakoznak: nyomtatók, szkennerek stb. És senki sem akadályozhatja meg, hogy egy percre is kikapcsolja a nyomtatót, flash meghajtót helyezzen a felszabaduló portba, és fontos információkat másoljon rá. Természetesen megtalálhatja az eredeti védekezési módokat. Például az egyik bankban kipróbálták ezt a problémamegoldási módszert: az USB-port és a kábel találkozási pontját epoxigyantával töltötték meg, ez utóbbit szorosan „kötözték” a számítógéphez. De szerencsére ma már léteznek korszerűbb, megbízhatóbb és rugalmasabb ellenőrzési módszerek.
A bennfentesekkel kapcsolatos kockázatok minimalizálásának leghatékonyabb eszköze a speciális szoftver, amely dinamikusan kezeli az összes olyan eszközt és számítógép-portot, amely információk másolására használható. Munkájuk elve a következő. A különböző portok és eszközök használatára vonatkozó engedélyek minden felhasználói csoporthoz vagy minden felhasználóhoz külön-külön be vannak állítva. Az ilyen szoftverek legnagyobb előnye a rugalmasság. Meghatározott típusú eszközökhöz, azok modelljéhez és egyedi példányaihoz megadhat korlátozásokat. Ez lehetővé teszi a hozzáférési jogok elosztására vonatkozó nagyon összetett házirendek megvalósítását.
Például egyes alkalmazottak számára engedélyezhető az USB-portokhoz csatlakoztatott nyomtatók és szkennerek használata. Az ehhez a porthoz csatlakoztatott összes többi eszköz elérhetetlen marad. Ha a bank tokeneken alapuló felhasználó-hitelesítési rendszert használ, akkor a beállításokban megadhatja a használt kulcsmodellt. Ekkor a felhasználók csak a cég által vásárolt eszközöket használhatják, a többi pedig használhatatlan lesz.
A védelmi rendszerek fent leírt működési elve alapján megértheti, hogy mely pontok fontosak a rögzítőeszközök és a számítógépes portok dinamikus blokkolását megvalósító programok kiválasztásakor. Először is a sokoldalúság. A védelmi rendszernek le kell fednie a lehetséges portok és információbeviteli-kimeneti eszközök teljes körét. Ellenkező esetben a kereskedelmi információlopás kockázata elfogadhatatlanul magas marad. Másodszor, a kérdéses szoftvernek rugalmasnak kell lennie, és lehetővé kell tennie szabályok létrehozását az eszközökről szóló nagy mennyiségű információ felhasználásával: típusuk, modellgyártók, az egyes példányok egyedi számai stb. Harmadszor pedig a bennfentes védelmi rendszernek integrálhatónak kell lennie a bank információs rendszerével, különösen az Active Directoryval. Ellenkező esetben az adminisztrátornak vagy biztonsági tisztnek két adatbázist kell karbantartania a felhasználókról és a számítógépekről, ami nem csak kényelmetlen, de növeli a hibaveszélyt is.
A bennfentesek elleni hatékony védelem érdekében mindenekelőtt biztosítani kell az összes kommunikációs csatorna ellenőrzését - a közönséges irodai nyomtatótól a hagyományos flash meghajtóig és a mobiltelefon kamerájáig.
Bennfentes védelmi módszerek:
- * az alkalmazottak hardveres hitelesítése (például USB-kulcs vagy intelligens kártya használatával);
- * a hálózat összes felhasználója (beleértve a rendszergazdákat) összes tevékenységének ellenőrzése;
- * hatékony szoftver és hardver használata a bizalmas információk bennfentesekkel szembeni védelme érdekében;
- * információbiztonságért felelős munkatársak képzése;
- * a munkavállalók személyes felelősségének növelése;
- * állandó munkavégzés a bizalmas információkhoz hozzáférő személyzettel (oktatás, oktatás, az információbiztonsági szabályok és kötelezettségek ismeretének ellenőrzése stb.);
- * A fizetés mértékének megfelelősége az információk titkosságának szintjének (ésszerű határokon belül!);
- * Bizalmas adatok titkosítása;
- * De a legfontosabb természetesen az emberi tényező: bár az ember a leggyengébb láncszem a biztonsági rendszerben, egyben a legfontosabb is! A bennfentesek elleni küzdelem nem csaphat át mindenki feletti totális megfigyeléssé. A vállalatnak egészséges erkölcsi légkörrel kell rendelkeznie, amely elősegíti a vállalati becsületkódex betartását!
A Computer Security Institute (CSI) 2007-es éves felmérésében a biztonsági szakemberek három fő problémát azonosítottak, amelyekkel az év során meg kellett küzdeniük: 59%-uk a bennfenteseket ismerte el az első számú fenyegetésnek, 52%-uk a vírusokat és 50%-uk. - mobil adathordozó elvesztése (laptop, flash meghajtó). Így a bennfentesek problémája Amerikában először kezdett felülkerekedni a vírusok problémájával szemben. Oroszországról sajnos nem rendelkezünk ilyen információval, de okkal feltételezhetjük, hogy hazánkban legalábbis hasonló a helyzet. A bennfentes akciókból eredő információszivárgás problémájáról októberben, az éves Aladdin konferencián tartott kerekasztalon tehát ismertették az alacsony jövedelmű közintézmények rendszergazdái körében végzett felmérés eredményeit. Arra a kérdésre, hogy mennyiért juthatnak bizalmas adatokhoz, a válaszadók mindössze 10%-a válaszolta úgy, hogy soha nem követne el ilyen visszásságot, a válaszadók körülbelül fele kész kockázatot vállalni nagy pénzekért, és körülbelül 40% hajlandó megtenni. bármilyen jutalomért. Ahogy mondani szokták, a kommentek feleslegesek. A bennfentesekkel szembeni védelem megszervezésének fő nehézsége az, hogy jogos felhasználója a rendszernek, és szolgálati teljesítménnyel hozzáférhet bizalmas információkhoz. Nagyon nehéz nyomon követni, hogy egy alkalmazott miként kezeli ezt a hozzáférést a hatósági jogkör keretein belül vagy azon túl. Fontolja meg a bennfentesek elleni küzdelem fő feladatait (lásd a táblázatot).
Az utóbbi időben a belső fenyegetésekkel szembeni védelem problémája igazi kihívássá vált a vállalati információbiztonság világos és jól bevált világa számára. A sajtó bennfentesekről beszél, kutatók és elemzők figyelmeztetnek az esetleges veszteségekre és bajokra, a hírfolyamok pedig tele vannak újabb incidenssel, amely egy alkalmazott hibájából vagy figyelmetlensége miatt több százezer ügyfélnyilvántartás kiszivárgásához vezetett. Próbáljuk meg kitalálni, hogy ez a probléma olyan súlyos-e, kell-e foglalkozni vele, és milyen eszközök és technológiák állnak rendelkezésre a megoldására.
Mindenekelőtt érdemes meghatározni, hogy az adattitok védelmét fenyegető belső veszély, ha annak forrása a vállalkozás alkalmazottja vagy bármely más személy, aki jogszerűen hozzáfér ezen adatokhoz. Így amikor belső fenyegetésekről beszélünk, a jogszerű felhasználók szándékos vagy véletlenszerű cselekedeteiről beszélünk, amelyek bizalmas információk kiszivárgásához vezethetnek a vállalat vállalati hálózatán kívülre. A kép teljessége érdekében érdemes hozzátenni, hogy az ilyen felhasználókat gyakran bennfenteseknek nevezik, bár ennek a kifejezésnek más jelentése is van.
A belső fenyegetések problémájának relevanciáját a legújabb tanulmányok eredményei is megerősítik. Konkrétan 2008 októberében jelentették be a Compuware és a Ponemon Institue közös tanulmányának eredményeit, amely szerint a bennfentesek az adatszivárgások leggyakoribb okai (az USA-ban az incidensek 75%-a), míg a hackerek csak az ötödik helyen állnak. . A Computer Security Institute (CSI) 2008-as éves felmérésében a bennfentes fenyegetésekkel kapcsolatos incidensek számai a következők:
Az incidensek százalékos aránya azt jelenti, hogy a válaszadók teljes számából az ilyen típusú incidens a szervezetek meghatározott százalékában történt. Amint az ezekből a számokból látható, szinte minden szervezetet fenyeget a belső fenyegetések veszélye. Összehasonlításképpen, ugyanezen jelentés szerint a vírusok a megkérdezett szervezetek 50%-át sújtották, és csak 13%-uk volt szembesül azzal, hogy hackerek behatoltak a helyi hálózatba.
Így a belső fenyegetések a mai valóság, nem pedig elemzők és szállítók által kitalált mítosz. Akik tehát a régi módon azt hiszik, hogy a vállalati információbiztonság egy tűzfal és vírusirtó, annak mielőbb szélesebb körben kell szemlélnie a problémát.
Növeli a feszültség mértékét a „Személyes adatokról” szóló törvény is, amely szerint a szervezeteknek, tisztségviselőknek nem csak a menedzsmentjüknek, hanem ügyfeleiknek és a törvény előtt is felelniük kell a személyes adatok nem megfelelő kezeléséért.
Betolakodó modell
Hagyományosan a fenyegetések és az ellenük való védekezés módjainak mérlegelésekor a behatoló modell elemzésével kell kezdeni. Amint már említettük, bennfentesekről fogunk beszélni - a szervezet alkalmazottairól és más felhasználókról, akiknek törvényes hozzáférésük van a bizalmas információkhoz. Általában ezekkel a szavakkal mindenki eszébe jut a vállalati hálózat részeként számítógépen dolgozó irodai alkalmazott, aki a munkafolyamat során nem hagyja el a szervezet irodáját. Ez az ábrázolás azonban nem teljes. Ki kell terjeszteni más típusú, információkhoz legális hozzáféréssel rendelkező személyekre is, akik elhagyhatják a szervezet irodáját. Ilyenek lehetnek a laptoppal rendelkező üzleti utazók, az irodában és otthon egyaránt dolgozók, az információs adathordozókat szállító futárok, elsősorban mágnesszalagok biztonsági mentéssel stb.
A behatoló modell ilyen kiterjesztett mérlegelése egyrészt beleillik a koncepcióba, hiszen az e behatolók által jelentett fenyegetések is belsőek, másrészt lehetővé teszi a probléma szélesebb körű elemzését, a fenyegetések leküzdésének minden lehetséges lehetőségét mérlegelve.
A belső jogsértők következő fő típusai különböztethetők meg:
- Hűtlen/sértődött alkalmazott.Az ebbe a kategóriába tartozó jogsértők céltudatosan cselekszenek, például munkahelyet váltanak és bizalmas információkat akarnak ellopni egy új munkáltató felkeltése érdekében, vagy érzelmileg, ha sértve érezték magukat, így bosszút akarnak állni. Veszélyesek, mert leginkább arra késztetnek, hogy kárt okozzanak abban a szervezetben, amelyben jelenleg dolgoznak. A hűtlen munkavállalókat érintő incidensek száma általában csekély, de kedvezőtlen gazdasági körülmények és jelentős létszámleépítések esetén növekedhet.
- Beágyazott, megvesztegetett vagy manipulált alkalmazott.Ebben az esetben minden olyan céltudatos cselekvésről beszélünk, amely főszabály szerint ipari kémkedést céloz meg erős versenykörnyezetben. A konkurens cégben bizalmas információk gyűjtéséhez vagy bemutatják saját személyüket meghatározott célból, vagy találnak egy nem a leghűségesebb alkalmazottat és megvesztegetik, vagy egy lojális, de nem éber munkavállaló kénytelen bizalmas információkat átadni. szociális tervezés. Az ilyen jellegű incidensek száma általában még az előzőeknél is kevesebb, mivel az Orosz Föderáció gazdaságának legtöbb szegmensében a verseny nem túl fejlett, vagy más módon valósul meg.
- Gazember alkalmazott.Ez a fajta szabálysértő a lojális, de figyelmetlen vagy hanyag munkavállaló, aki tudatlanságból vagy feledékenységből eredően megsértheti a vállalkozás belső biztonsági politikáját. Egy ilyen alkalmazott tévedésből olyan e-mailt küld, amelyhez nem a megfelelő személynek csatolt titkos fájlt, vagy egy bizalmas információkat tartalmazó pendrive-ot hazavihet a hétvégén, és elveszíti azt. Ugyanebbe a típusba tartoznak az alkalmazottak, akik elveszítik a laptopjukat és a mágnesszalagokat. Sok szakértő szerint az ilyen típusú bennfentesek felelősek a legtöbb bizalmas információ kiszivárogtatásáért.
Így a lehetséges szabálysértők indítékai, és ebből következően cselekvési módja is jelentősen eltérhet. Ennek függvényében kell megközelíteni a szervezet belső biztonságának biztosításával kapcsolatos probléma megoldását.
Bennfentes fenyegetés elleni védelmi technológiák
A piaci szegmens viszonylagos fiatalsága ellenére az ügyfeleknek már most is bőven van miből válogatniuk feladataiktól és anyagi lehetőségeiktől függően. Megjegyzendő, hogy jelenleg gyakorlatilag nincs olyan szállító a piacon, amely kizárólag a belső fenyegetésekre szakosodott volna. Ez a helyzet nem csak a szegmens fejletlensége miatt alakult ki, hanem a hagyományos védelmi eszközök gyártói és más, ebben a szegmensben jelenlétben érdekelt szállítói által követett agresszív és olykor kaotikus M&A politika miatt is. Érdemes felidézni az RSA Data Security-t, amely 2006-ban az EMC részlege lett, a NetApp megvásárolta a Decru-t, a szerverek tárolási és biztonsági mentési védelmi rendszereit fejlesztő startupot 2005-ben, a Symantec 2007-ben megvásárolta a DLP-t gyártó Vontu-t stb.
Annak ellenére, hogy az ilyen tranzakciók nagy száma jó kilátásokat jelez ennek a szegmensnek a fejlődésére, nem mindig tesznek jót a nagyvállalatok szárnya alá tartozó termékek minőségének. A termékek lassabban kezdenek fejlődni, és a fejlesztők nem annyira reagálnak a piaci követelményekre, mint egy magasan specializálódott vállalatnál. Ez a nagyvállalatok jól ismert betegsége, amelyek, mint tudják, elveszítik mobilitásukat és hatékonyságukat kisebb testvéreik számára. Másrészt a szolgáltatás minősége és a termékek elérhetősége a világ különböző pontjain a vásárlók számára javul a szerviz- és értékesítési hálózatuk fejlesztésének köszönhetően.
Tekintsük a belső fenyegetések semlegesítésére jelenleg használt főbb technológiákat, azok előnyeit és hátrányait.
Dokumentum ellenőrzés
A dokumentumkezelési technológia olyan modern jogkezelési termékekben testesül meg, mint a Microsoft Windows Rights Management Services, az Adobe LiveCycle Rights Management ES és az Oracle Information Rights Management.
Ezeknek a rendszereknek az a működési elve, hogy minden dokumentumhoz használati szabályokat rendelnek, és ezeket a jogokat szabályozzák az ilyen típusú dokumentumokkal működő alkalmazásokban. Létrehozhat például egy Microsoft Word dokumentumot, és beállíthat rá szabályokat, ki tekintheti meg, ki szerkesztheti és mentheti a változtatásokat, ki nyomtathat. Ezeket a szabályokat a Windows RMS feltételei szerint licencnek nevezik, és a fájllal együtt tárolják. A fájl tartalma titkosítva van, hogy megakadályozza, hogy illetéktelen felhasználók megtekinthessék.
Most, ha bármelyik felhasználó megpróbál megnyitni egy ilyen védett fájlt, az alkalmazás kapcsolatba lép egy speciális RMS-kiszolgálóval, megerősíti a felhasználó jogosultságát, és ha engedélyezve van a hozzáférést ehhez a felhasználóhoz, a szerver átadja az alkalmazásnak a kulcsot a fájl visszafejtéséhez és az ezzel kapcsolatos információkat. ennek a felhasználónak a jogait. Ezen információk alapján az alkalmazás csak azokat a funkciókat teszi elérhetővé a felhasználó számára, amelyekhez jogosultsága van. Például, ha a felhasználó nem nyomtathat ki egy fájlt, az alkalmazás nyomtatási funkciója nem lesz elérhető.
Kiderült, hogy egy ilyen fájlban lévő információ akkor is biztonságban van, ha a fájl a vállalati hálózaton kívülre kerül - titkosítva van. Az RMS funkciók már be vannak építve a Microsoft Office 2003 Professional Edition alkalmazásokba. Az RMS-funkciók más fejlesztők alkalmazásaiba való beágyazásához a Microsoft egy speciális SDK-t biztosít.
Az Adobe dokumentumvezérlő rendszere hasonló módon épül fel, de a PDF dokumentumokra koncentrál. Az Oracle IRM ügynökként van telepítve az ügyfélszámítógépekre, és futás közben integrálódik az alkalmazásokkal.
A dokumentumok ellenőrzése fontos része a bennfentes fenyegetések elleni védelem átfogó koncepciójának, de figyelembe kell venni e technológia természetes korlátait. Először is, kizárólag a dokumentumfájlok vezérlésére szolgál. Ha strukturálatlan fájlokról vagy adatbázisokról van szó, ez a technológia nem működik. Másodszor, ha egy támadó ennek a rendszernek az SDK-ját használva létrehoz egy egyszerű alkalmazást, amely kommunikál az RMS-kiszolgálóval, titkosítási kulcsot kap onnan, elmenti a dokumentumot tiszta szöveggel, és futtatja ezt az alkalmazást egy olyan felhasználó nevében, aki rendelkezik minimális hozzáférési szint a dokumentumhoz, akkor ez a rendszer kikerül. Ezenkívül figyelembe kell venni a dokumentum-ellenőrző rendszer bevezetésének nehézségeit, ha a szervezet már sok dokumentumot készített - a dokumentumok kezdeti osztályozása és a felhasználási jogok hozzárendelése jelentős erőfeszítést igényelhet.
Ez nem jelenti azt, hogy a dokumentum-ellenőrző rendszerek nem látják el a feladatot, csak emlékezni kell arra, hogy az információvédelem összetett probléma, amelyet általában egyetlen eszközzel nem lehet megoldani.
Szivárgás elleni védelem
Az adatvesztés-megelőzés (DLP) kifejezés viszonylag nemrég jelent meg az információbiztonsági szakemberek lexikonjában, és már túlzás nélkül az elmúlt évek legfelkapottabb témájává vált. Általános szabály, hogy a DLP rövidítés olyan rendszereket jelöl, amelyek figyelik a lehetséges szivárgási csatornákat, és blokkolják azokat abban az esetben, ha ezeken a csatornákon keresztül bármilyen bizalmas információt küldenek. Ezen túlmenően az ilyen rendszerek funkciói gyakran magukban foglalják a rajtuk áthaladó információk archiválásának lehetőségét a későbbi auditok, incidensek kivizsgálása és a lehetséges kockázatok retrospektív elemzése céljából.
Kétféle DLP rendszer létezik: hálózati DLP és gazda DLP.
Hálózati DLP egy hálózati átjáró elvén működik, amely minden rajta áthaladó adatot kiszűr. Nyilvánvalóan a belső fenyegetések elleni küzdelem feladata alapján az ilyen szűrés fő érdeke a vállalati hálózaton kívülről az Internetre továbbított adatok ellenőrzésének képessége. A hálózati DLP lehetővé teszi a kimenő levelek, a http és ftp forgalom, az azonnali üzenetküldő szolgáltatások stb. szabályozását. Ha a rendszer érzékeny információkat észlel, a hálózati DLP blokkolhatja a fájl átvitelét. Lehetőségek vannak a gyanús fájlok kézi feldolgozására is. A gyanús iratokat karanténba helyezik, amelyet egy biztonsági tiszt rendszeresen felülvizsgál, és vagy engedélyezi az irattovábbítást, vagy megtiltja azt. Igaz, ilyen feldolgozás a protokoll sajátosságai miatt csak e-mailre lehetséges. További ellenőrzési és incidens-kivizsgálási lehetőségeket biztosít az átjárón áthaladó összes információ archiválása, feltéve, hogy ezt az archívumot rendszeresen felülvizsgálják, és annak tartalmát elemzik a megtörtént szivárgások azonosítása érdekében.
A DLP rendszerek megvalósításának és megvalósításának egyik fő problémája a bizalmas információk felderítésének módja, vagyis az a pillanat, amikor eldöntik, hogy a továbbított információ bizalmas-e, és milyen okokat vesznek figyelembe a döntés meghozatalakor. Ez általában a továbbított dokumentumok tartalmának elemzésével, más néven tartalomelemzéssel történik. Tekintsük a bizalmas információk felderítésének főbb módjait.
- Címkék. Ez a módszer hasonló a fent tárgyalt dokumentumkezelő rendszerekhez. A címkék olyan dokumentumokba vannak beágyazva, amelyek leírják az információk titkosságának fokát, azt, hogy mit lehet tenni ezzel a dokumentummal, és kinek kell elküldeni. A címkeelemzés eredményei alapján a DLP rendszer eldönti, hogy az adott dokumentum kiküldhető-e vagy sem. Egyes DLP-rendszereket kezdetben kompatibilissé tettek a jogkezelési rendszerekkel, hogy az általuk beállított címkéket használják, míg más rendszerek saját címkeformátumukat használják.
- Aláírások. Ez a módszer egy vagy több karaktersorozat megadásából áll, amelyek jelenléte a továbbított fájl szövegében jelzi a DLP-rendszernek, hogy ez a fájl bizalmas információkat tartalmaz. Nagyszámú aláírás szótárakba rendezhető.
- Bayes módszer. Ez a spam elleni küzdelemben alkalmazott módszer sikeresen alkalmazható DLP rendszerekben. A módszer alkalmazásához létrejön egy kategóriák listája, és megadunk egy szólistát annak valószínűségével, hogy ha egy szó előfordul egy fájlban, akkor a fájl adott valószínűséggel tartozik vagy nem tartozik a megadott kategóriába.
- Morfológiai elemzés.A morfológiai elemzés módszere hasonló a szignatúra módszeréhez, a különbség abban rejlik, hogy nem 100%-os illeszkedés történik az aláírással, hanem az egygyökerű szavakat is figyelembe veszik.
- Digitális nyomatok.Ennek a módszernek az a lényege, hogy minden bizalmas dokumentumra úgy számítanak ki valamilyen hash függvényt, hogy ha a dokumentumot kismértékben módosítják, akkor a hash függvény változatlan marad, vagy kissé megváltozik. Így a bizalmas dokumentumok felderítésének folyamata jelentősen leegyszerűsödik. Annak ellenére, hogy számos gyártó és egyes elemzők lelkesen dicsérik ezt a technológiát, megbízhatósága sok kívánnivalót hagy maga után, és tekintettel arra a tényre, hogy a gyártók különféle ürügyekkel inkább árnyékban tartják a digitális ujjlenyomat-algoritmus megvalósításának részleteit, annak hitelességét. nem növekszik.
- Reguláris kifejezések.A programozással foglalkozó mindenki által ismert reguláris kifejezések megkönnyítik a mintaadatok szövegben történő megtalálását, például telefonszámokat, útlevéladatokat, bankszámlaszámokat, társadalombiztosítási számokat stb.
A fenti felsorolásból jól látható, hogy a felderítési módszerek vagy nem garantálják a bizalmas információk 100%-os felderítését, mivel ezekben az első és a második típusú hibaszint is meglehetősen magas, vagy pedig a biztonsági szolgálat állandó éberségét igénylik. az aláírások vagy megbízások listájának frissítése és naprakészen tartása A bizalmas dokumentumok címkéi.
Ezenkívül a forgalom titkosítása bizonyos problémákat okozhat a hálózati DLP működésében. Ha biztonsági okokból szükség van az e-mail üzenetek titkosítására vagy az SSL protokoll használatára, amikor bármilyen webes erőforráshoz csatlakozik, akkor a továbbított fájlokban lévő bizalmas információk jelenlétének meghatározásával kapcsolatos probléma nagyon nehezen megoldható. Ne felejtse el, hogy néhány azonnali üzenetküldő szolgáltatás, például a Skype, alapértelmezés szerint beépített titkosítással rendelkezik. Önnek meg kell tagadnia az ilyen szolgáltatások használatát, vagy a gazdagép DLP-t kell használnia a vezérlésükhöz.
Azonban minden nehézség ellenére, ha megfelelően konfigurálják és komolyan veszik, a hálózati DLP jelentősen csökkentheti a bizalmas információk kiszivárgásának kockázatát, és kényelmes eszközöket biztosíthat a szervezet számára a belső ellenőrzéshez.
Gazda DLP A hálózat minden állomására telepítve vannak (kliens munkaállomásokon és szükség esetén szervereken), és az internetes forgalom vezérlésére is használhatók. A gazdagép DLP-k azonban kevésbé terjedtek el ebben a minőségben, és jelenleg elsősorban külső eszközök és nyomtatók vezérlésére használják. Mint ismeretes, az a munkavállaló, aki pendrive-ról vagy MP3-lejátszóról hoz munkába, sokkal nagyobb veszélyt jelent a vállalat információbiztonságára, mint a hackerek együttvéve. Ezeket a rendszereket végpontbiztonsági eszközöknek is nevezik, bár ezt a kifejezést gyakran szélesebb körben használják, például néha víruskereső eszközöknek is nevezik.
Mint ismeretes, a külső eszközök használatának problémája minden eszköz nélkül megoldható, a portok fizikai, vagy operációs rendszer segítségével, vagy adminisztratív letiltásával, megtiltva az alkalmazottaknak, hogy bármilyen adathordozót bevigyenek az irodába. Az "olcsó és vidám" megközelítés azonban a legtöbb esetben elfogadhatatlan, mivel az információs szolgáltatásoknak az üzleti folyamatok által megkívánt rugalmassága nem biztosított.
Emiatt megnőtt az igény olyan speciális szerszámokra, amelyekkel rugalmasabban tudja megoldani a vállalati alkalmazottak külső eszközeinek, nyomtatóinak használatát. Az ilyen eszközök lehetővé teszik a felhasználók hozzáférési jogainak konfigurálását különféle típusú eszközökhöz, például a felhasználók egyik csoportja számára, hogy megtiltsák a médiával való munkát és engedélyezzék a nyomtatókat, egy másik csoport számára pedig az adathordozókkal való munkavégzést csak olvasható módban. Ha az egyes felhasználók számára külső eszközökön kell információkat rögzíteni, árnyékmásolási technológia használható, amely biztosítja, hogy a külső eszközön tárolt összes információ a szerverre másolásra kerül. A másolt információk utólag elemezhetők a felhasználói műveletek elemzése céljából. Ez a technológia mindent másol, és jelenleg nincs olyan rendszer, amely lehetővé tenné az elmentett fájlok tartalomelemzését a működés blokkolása és a szivárgás megakadályozása érdekében, ahogyan azt a hálózati DLP teszi. Az árnyékmásolat-archívum azonban lehetővé teszi az incidensek kivizsgálását és a hálózaton történt események retrospektív elemzését, és egy ilyen archívum azt jelenti, hogy a potenciális bennfenteseket elkaphatják és megbüntetik tetteikért. Ez jelentős akadálynak bizonyulhat számára, és nyomós okot jelenthet az ellenséges akciók feladására.
Említést érdemel még a nyomtatók használatának ellenőrzése – a dokumentumok nyomtatott példányai is szivárgási forrássá válhatnak. A Host DLP lehetővé teszi a nyomtatókhoz való felhasználói hozzáférés szabályozását ugyanúgy, mint a többi külső eszközhöz, és a nyomtatott dokumentumok másolatait grafikus formátumban mentheti el későbbi elemzés céljából. Ezen kívül elterjedt a vízjelek (vízjelek) technológiája, amely egy dokumentum minden oldalára egyedi kódot nyomtat, amellyel pontosan megállapítható, hogy ki, mikor és hol nyomtatta ezt a dokumentumot.
A gazdagép DLP kétségtelen előnyei ellenére számos hátránnyal jár, amelyek az ügynökszoftver telepítésének szükségességével járnak minden egyes felügyelt számítógépre. Először is bizonyos nehézségeket okozhat az ilyen rendszerek telepítése és kezelése terén. Másodszor, a rendszergazdai jogokkal rendelkező felhasználó megpróbálhatja letiltani ezt a szoftvert, hogy olyan műveleteket hajtson végre, amelyeket a biztonsági szabályzat nem engedélyez.
Ennek ellenére a külső eszközök megbízható vezérléséhez nélkülözhetetlen a gazdagép DLP, és az említett problémák sem megoldhatatlanok. Így arra a következtetésre juthatunk, hogy a DLP-koncepció ma már teljes értékű eszköz a vállalati biztonsági szolgáltatások arzenáljában, szemben a rájuk nehezedő, a belső ellenőrzés és a szivárgások elleni védelem biztosítására nehezedő, folyamatosan növekvő nyomással.
IPC koncepció
A belső fenyegetések leküzdésére szolgáló új eszközök feltalálása során a modern társadalom tudományos és mérnöki gondolkodása nem áll meg, és a fent tárgyalt eszközök bizonyos hiányosságai miatt az információszivárgás elleni védelmi rendszerek piaca az IPC koncepciójához jutott ( Információvédelem és -ellenőrzés). Ez a kifejezés viszonylag nemrég jelent meg, úgy gondolják, hogy először az IDC elemző cég 2007-es áttekintésében használták.
Ennek a koncepciónak a lényege a DLP és a titkosítási módszerek kombinálása. Ebben a koncepcióban a DLP ellenőrzi a vállalati hálózatból technikai csatornákon keresztül távozó információkat, és titkosítással védik azokat az adathordozókat, amelyek fizikailag illetéktelen személyek kezébe kerülnek vagy kerülhetnek.
Tekintsük az IPC koncepcióban használható leggyakoribb titkosítási technológiákat.
- Mágnesszalagok titkosítása.Az ilyen típusú adathordozók archaizmusa ellenére továbbra is aktívan használják biztonsági mentésre és nagy mennyiségű információ átvitelére, mivel még mindig nincs párja a tárolt megabájt egységköltsége tekintetében. Ennek megfelelően az elveszett szalagokkal kapcsolatos kiszivárogtatások továbbra is örömet okoznak a címlap hírszerkesztőinek, és frusztrálják az informatikai igazgatókat és a vállalati biztonsági tiszteket, akikről az ilyen jelentések vonatkoznak. A helyzetet súlyosbítja, hogy az ilyen szalagok nagyon nagy mennyiségű adatot tartalmaznak, és ennek következtében nagyszámú ember válhat csalók áldozatává.
- A szerver tárolóinak titkosítása.Annak ellenére, hogy a szervertárolót nagyon ritkán szállítják, és az elvesztésének kockázata mérhetetlenül kisebb, mint a mágnesszalagnál, a tárolótól különálló merevlemez kerülhet illetéktelen kezekbe. Javítás, ártalmatlanítás, frissítés – ezek az események kellő rendszerességgel fordulnak elő ahhoz, hogy leírják ezt a kockázatot. Az illetéktelen személyek irodájába való behatolás helyzete pedig nem teljesen lehetetlen esemény.
Itt érdemes egy kis kitérőt megemlíteni, és megemlíteni azt a gyakori tévhitet, hogy ha egy lemez egy RAID tömb része, akkor állítólag nem kell attól tartani, hogy illetéktelen kezekbe kerül. Úgy tűnik, hogy a több merevlemezre írt adatok RAID-vezérlők által végrehajtott csíkozása olvashatatlan megjelenést kölcsönöz az egyetlen merevlemezen lévő adatoknak. Sajnos ez nem teljesen igaz. Az interleaving megtörténik, de a legtöbb modern eszközben 512 bájtos blokkszinten történik. Ez azt jelenti, hogy a szerkezet és a fájlformátumok megsértése ellenére a bizalmas információk továbbra is kinyerhetők egy ilyen merevlemezről. Ezért, ha követelmény az információk titkosságának biztosítása, amikor azokat RAID-tömbben tárolják, a titkosítás marad az egyetlen megbízható lehetőség.
- Laptopok titkosítása.Ez már számtalanszor elhangzott, de ennek ellenére a bizalmas információkat tartalmazó laptopok elvesztése évek óta az incidensek top ötös slágerparádéjában szerepel.
- Cserélhető adathordozó titkosítás.Ebben az esetben hordozható USB-eszközökről és esetenként írható CD-kről és DVD-kről beszélünk, ha azokat a vállalat üzleti folyamataiban használják. Az ilyen rendszerek, valamint a fent említett laptop merevlemez-titkosítási rendszerek gyakran a gazdagép DLP-rendszerek összetevőjeként működhetnek. Ebben az esetben egyfajta kriptoperiméterről beszélünk, amely biztosítja a benne lévő médiák automatikus transzparens titkosítását, és a rajta kívüli adatok visszafejtésének képtelenségét.
Így a titkosítás jelentősen növelheti a DLP-rendszerek képességeit, és csökkentheti a bizalmas adatok kiszivárgásának kockázatát. Annak ellenére, hogy az IPC koncepció viszonylag nemrégiben formálódott, és az integrált IPC megoldások választéka a piacon nem túl széles, az iparág aktívan fejleszti ezt a területet, és nagyon valószínű, hogy egy idő után ez a koncepció lesz a de. a belső biztonsági és belső ellenőrzési problémák megoldásának ténybeli szabványa.
következtetéseket
Amint az ebből az áttekintésből látható, a belső fenyegetések meglehetősen új területet jelentenek az információbiztonságban, amely ennek ellenére aktívan fejlődik és fokozott figyelmet igényel. A figyelembe vett dokumentum-ellenőrzési technológiák, a DLP és az IPC lehetővé teszik egy meglehetősen megbízható belső ellenőrzési rendszer kiépítését és a szivárgás kockázatának elfogadható szintre csökkentését. Kétségtelen, hogy az információbiztonságnak ez a területe tovább fog fejlődni, újabb és fejlettebb technológiákat kínálnak majd, de ma már sok szervezet választ ilyen vagy olyan megoldást, hiszen az információbiztonsági kérdésekben való figyelmetlenség túl költséges lehet.
Alekszej Raevszkij
A SecurIT vezérigazgatója
Az információbiztonság területén a szervezetek a legtöbb figyelmet a külső támadások elleni védelemre fordítják, így szinte minden biztonságra szánt forrás a vállalati hálózat sérülékeny pontjainak védelmére irányul. A jelenlegi helyzet ennek megfelelően tükröződik az IT-biztonsági megoldások piacán is – az elmúlt években a vírusok, férgek, trójaiak és más külső fenyegetések elleni védekezés számos különféle eszközét kínálták.
A vállalkozások azonban fokozatosan új veszélyre kezdenek ráébredni. Nem hackerektől, nem spamtől vagy véletlenszerű vírusoktól származik, hanem saját alkalmazottainktól. A bennfentesek magán a szervezeten belül vannak, és teljesen törvényes jogkörrel vannak felruházva, így sokkal könnyebben jutnak hozzá az őket érdeklő információkhoz, mint bármely kívülről érkező támadónak. A probléma jobb megértéséhez tekintsük át az Aberdeen Group amerikai elemző cég 2006-ban készített tanulmányát „The Insider Threat Benchmark Report – Strategies for Data Protection”, amelynek során 88 amerikai nagyvállalatot kérdeztek meg.
A nagyvállalatok felmérésének főbb eredményei
A bennfentesek fenyegetése nő. A modern üzletág már nem hagyhatja figyelmen kívül ezt a veszélyt, és intenzíven készül ennek leküzdésére. Azok a cégek, amelyek úgy döntenek, hogy ezt nem veszik észre, vagy fukarkodnak az új biztonsági rendszerek bevezetésével, komoly veszteségeket szenvednek el. A tanulmányban említett vállalatok közül sokan súlyosan megszenvedték az adatszivárgást, és csak ezután gondoskodtak a megelőző intézkedésekről. Példájuk tanulságul szolgáljon más cégek számára.
Azoknak a vállalkozásoknak, amelyek meg akarják védeni magukat a bizalmas információk kiszivárogtatásától, felelősségteljes megközelítést kell alkalmazniuk a probléma megoldásában. A biztonsági eszközökön való irracionális megtakarítások komoly veszteségeket eredményeznek a közeljövőben. A legjobb megoldás a bennfentes védelmi rendszerekre szakosodott szakemberek segítségét kérni. Az ilyen rendszerek könnyen integrálhatók a meglévő infrastruktúrába. Ráadásul a gyártók nemcsak a megoldás működését biztosítják, hanem garantálják annak magas hatékonyságát is.
Mint ilyen, nincs jogorvoslat a bennfentesekkel szemben. Csak az intézkedések és megoldások egész sorának alkalmazása segíti elő az információk megbízható védelmét. A nagy beszállítók tehetetlensége ellenére elegendő számú kész komplexum van a piacon, amely védelmet nyújt a bennfentesek és a szivárgás ellen.
Az egyik legfontosabb modern információbiztonsági technológia a hálózati forgalom szűrése (a válaszadók 53%-a már megvalósította). További 28% tervez hasonló szűrők telepítését ebben az évben. Emellett az adatosztályozás nagyon ígéretes technológia. Bár ma már csak a vállalatok 42%-a használja, idén 44%-kal (azaz akár 86%-kal) nő a számuk. Komoly aggodalomra ad okot azonban, hogy indokolatlanul kevés válaszadó alkalmaz más, hatékony megoldást a szivárgások és a bennfentesek elleni védekezésre, mint például a dolgozók intézkedéseinek figyelemmel kísérése.
Sok vállalkozás számára az információszivárgás elleni további védekezési eszközök bevezetésének egyik fő akadálya (44%) a korlátozott informatikai erőforrások. Ugyanakkor az ilyen védelmi eszközök bevezetése nemcsak a fontos adatok elvesztésének kockázatát csökkentheti jelentősen, hanem jelentősen (17,5%-kal) csökkentheti az informatikai részlegek költségeit is.
aktuális pozíció
Nincs abban semmi meglepő, hogy a bennfentes incidensek következményei sokszor még egy sikeres hackertámadásnál is sokkal siralmasabbak. Ennek számos oka van. A különféle információforrásokhoz való könnyű hozzáférés önmagában nem magyarázhat meg mindent. A tény az, hogy a bennfentesek által ellopott információk általában fontosabbak, mint a hackerek. A bennfentes fenyegetettség növekedésének és az illegális cselekmények elkövetésének könnyedségének egyik legnagyobb oka a belső IT biztonsági szolgáltatások (ha vannak ilyenek) hanyagsága. A szervezetek nem állnak készen arra, hogy ellenálljanak a bennfenteseknek, mert egyszerűen nem rendelkeznek a megfelelő eszközökkel. Hiába azonosítják a fenyegetést, a veszélytelen szférában dolgozók továbbra sem tudnak megfelelően ellenállni annak, mivel nem szerezték meg a szükséges tapasztalatokat ezen a területen. Általánosságban elmondható, hogy a bizalmas információk bennfentesekkel szembeni védelmére komplex megoldások már megtalálhatók a piacon. Sajnos a felelős vezetők gyakran nem értik a fenyegetés súlyát. Tehetetlenségük révén továbbra is erőfeszítéseket tesznek, hogy megvédjék szervezetük kerületét a külső veszélyektől.
Eközben a hírügynökségek és a média egyre nagyobb figyelmet fordít a bennfentesek problémájára. A szakértők a bizalmas információk kiszivárogtatásának növekedéséről és annak szomorú következményeiről beszélnek: időveszteség, anyagi veszteségek és jó hírnév csapása. Emellett az a globális trend, hogy az üzleti élet kezd áttérni a belső IT-biztonság problémájára.
A „The Insider Threat Benchmark Report – Strategies for Data Protection” című tanulmány során az elemzőknek sikerült kideríteniük, hogy az elmúlt év során számos IT-rendszer beszállítója és forgalmazója minőségileg megváltoztatta a javasolt megoldások körét. Ezzel párhuzamosan nőtt a kifejezetten a bennfentesek leküzdésére tervezett termékek aránya. Ezzel párhuzamosan azonban a legnagyobb IT-szállítók tovább bővítik hagyományos kínálatukat, szinten tartva a megoldások arányait. Ez vagy a megfelelő termékcsalád potenciáljának alulbecslését, vagy csekély jelenlegi keresletet jelez. Ennek ellenére az amerikai válaszadók 41%-a már bevezetett olyan biztonsági intézkedéseket az informatikai infrastruktúrájában, amelyek így vagy úgy megoldják a bennfentesek problémáját.
Megjegyzendő, hogy az orosz vásárlók saját szemükkel láthatják, hogy a beszállítók és rendszerintegrátorok részéről nagymértékben megnőtt az érdeklődés a szivárgások és a bennfentesek leküzdésére szolgáló rendszerek iránt. A Kaspersky Lab például külön céggé – InfoWatch – osztotta le a belső IT-biztonság területén tevékenykedő üzletágát, és szinte minden orosz rendszerintegrátor ennek a cégnek a megoldásait is beépítette termékcsaládjába. Denis Zenkin, az InfoWatch marketing igazgatója szerint 2005-ben 120%-kal nőtt a cég profitja, 2006-ban pedig hasonló kép volt megfigyelhető. És ez annak ellenére van így, hogy az orosz cégek jelentősen lemaradnak az amerikai vállalatok mögött a bennfentesek elleni védekezésben. Az „Internal IT Threats in Russia 2005” című tanulmány szerint, amelynek során az InfoWatch több mint 300 hazai szervezetet vizsgált meg, a válaszadók mindössze 2%-a használ rendszereket a bennfentesek és a kiszivárogtatások elleni küzdelemre. A beszállítói nyereség növekedése azonban egyértelműen jelzi, hogy ez a helyzet fokozatosan változik.
Emellett egy másik nagy vírusirtó cég, a McAfee is érdeklődést mutatott a közelmúltban a bennfentesek elleni küzdelemre szolgáló rendszerek iránt. 2006 októberében megvásárolta az Onigma izraeli céget, amelynek egyetlen megoldása a szivárgások észlelése és megakadályozása. A sajtóközlemény szerint a McAfee az Onigma technológiákat integrálja saját megoldásába, és ezzel megkezdi terjeszkedését a belső IT-biztonsági piacon.
Elképzelhető, hogy a közeljövőben a legnagyobb IT-biztonsági cég, a Symantec is megjelenik a szivárgásvédelmi termékek piacán. Általánosságban nyugodtan kijelenthetjük, hogy a bennfentesek leküzdésére szolgáló termékek bevonása az Ön kínálatába rendkívül ígéretes irány a diverzifikációra az IT-biztonsági megoldások értékesítési láncának minden láncszeme számára.
Kilátás a másik oldalról
Térjünk most vissza a „The Insider Threat Benchmark Report – Strategies for Data Protection” című tanulmány eredményeihez, és nézzük meg a bennfentesek és kiszivárogtatások elleni védelmi rendszereket az ügyfél szemén keresztül. Minden amerikai vállalat feltételesen három egyenlőtlen csoportra osztható: lemaradók (30%), középső (50%) és vezetők (20%). A lemaradó vállalkozások teljesítménymutatói általában alacsonyabbak az iparági átlagnál, míg a vezetőké ennek megfelelően magasabbak. Ebből kiderül, hogy abszolút minden sikeres szervezet (a válaszadók 100%-a) a bizalmas adatok védelmét tartja a legfontosabb területnek a bennfentesek elleni küzdelemben. Ráadásul a legjobb cégek sokkal szélesebb körben alkalmazzák az azonosítási és beléptetési politikákat (75%). A különböző csoportok jellemzőit a belső informatikai biztonság területén az ábra mutatja be.
Az ábrákon látható, hogy a vezető cégek szívesebben tekintik teljes értékű üzleti feladatnak a bennfentes védelmi rendszer bevezetésének projektjét. Ugyanakkor kiemelt jelentőséget tulajdonítanak a kísérő szolgáltatások komplexumának. Ez lehetővé teszi, hogy a leghatékonyabb belső biztonsági rendszert építse ki, és ne hárítsa át az atipikus feladatokat saját alkalmazottai vállára. Ezen túlmenően, iparáguk legjobb vállalatai a teljesen automatizált folyamatok használatával próbálják minimalizálni az emberi tényezőt. Végül a vezetők a termékek egységes és kezelhető rendszerbe integrálását helyezik előtérbe, így nagyra értékelik a bevezetett bennfentes védelmi megoldás rugalmasságát.
Próbáljuk meg értékelni a belső biztonság problémáját technológiai szempontból (1. táblázat). Több iparág tanulmányozása után kiderült, hogy a főbb használt technológiák a következők: jelszavak, azonosító rendszerek, biometrikus adatok, hálózati forgalom szkennelés és felhasználói hozzáférés-szabályozás a bizalmas információkhoz.
1. táblázat Biztonsági védelmi technológiák: jelenlegi állapot és előrejelzés
|
Technológia |
A technológiát jelenleg használó válaszadók aránya, % |
Azon válaszadók aránya, akik technológiai bevezetést terveznek a következő 12 hónapban, % |
|
Összetett jelszavak |
||
|
Hozzáférés-vezérlési listák |
||
|
Hálózati forgalom szűrése |
||
|
Perimeter Scan |
||
|
Az alkalmazottak hozzáférésének automatikus felügyelete |
||
|
Az adatok besorolása (a titkosság mértéke szerint) |
||
|
Egyetlen belépési pont |
||
|
Azonosítás kihívással és megerősítéssel |
||
|
Hitelesítés mobiltelefonra történő visszahívással |
Az iparág legjobb cégeinek pontosan 50%-a használ összetett jelszavakat, hálózati forgalomszűrést és hozzáférés-vezérlési listákat. Ezen túlmenően a vállalatok jelentősen növelni kívánják e technológiák használatát. Így az összetett jelszavak aránya 26%-kal nő, és eléri a 93%-ot; a beléptető listák népszerűsége 24%-kal nő és eléri a 90%-os határt, a hálózati forgalom szűrése pedig 53-ról 81%-ra nő. Eközben az igazolványok használata, annak ellenére, hogy jelenleg elterjedt, aligha tekinthető népszerű trendnek. A válaszadók mindössze 13%-a tervezi ebben az évben ennek a technológiának a bevezetését.
Érdekes módon a legígéretesebb technológiák a munkavállalók fontos adatokhoz való hozzáférésének automatikus monitorozása (akár 72% várható) és az adatok osztályozása (a 2006-os 42%-ról a mai 86%-ra). Itt a vizsgálat eredményei egybevágnak az információbiztonság területén dolgozó hazai szakemberek véleményével. Az InfoWatch elemző központ úgy véli, hogy a cégek az elmúlt években méltánytalanul kevés figyelmet fordítottak a bennfentes cselekmények automatikus nyomon követésére és az adatok minősítésére. Eközben e nélkül egyszerűen lehetetlen megbízható védelmi rendszert felépíteni.
Továbbá a felmérés szerint a forgalomszűrést használók 53%-a gondolja úgy, hogy a kerületvédelem önmagában nem elegendő a belső biztonsághoz. Szükséges többek között virtuális magánhálózatok fejlesztése, hogy ne csökkenjen a biztonsági szint a külső partnerekkel való kommunikáció során.
Ezek a technológiák többrétegű megközelítést biztosítanak, és javítják az érzékeny adatok biztonságát. A technológiai oldal mellett azonban nem szabad megfeledkezni az információ banális fizikai biztonságáról. Számos példa van arra, hogy egy irodába való behatolás és számítástechnikai eszközök ellopása után milyen fontos dokumentumok kerültek behatolók kezébe. Sőt, az érzékeny tartalmú biztonsági mentési szalagok és mobil adathordozók gyakran elvesznek szállítás vagy üzleti utak során.
Bennfentes védelem
Jelenleg nincs egységes álláspont a felhasználói hozzáférés szabályozására vonatkozóan. Ez arra kényszeríti a szervezeteket, hogy elosztott környezetben központosított adatkezelést biztosítsanak. A technológia lehetővé teszi az irányíthatóságot, az elszámoltathatóságot és az adatbiztonságot, de megfelelően kell alkalmazni. A felhasználás módjai viszont az ügyfél vállalkozás tevékenységének sajátosságaitól függenek. Ezért el kell végezni annak az informatikai infrastruktúrának a mélyreható és átfogó elemzését, amelyen a biztonsági rendszert telepíteni kell. Sok ügyfél teljesen jogosan bízza a technológiák értékelését és kiválasztását speciálisan létrehozott csoportokra, amelyekben különböző területek szakemberei vannak.
A bennfentesek elleni küzdelem modern technológiái és módszerei jelentősen eltérnek egymástól. A tény az, hogy a beszállítók nem kínálhatnak univerzális jogorvoslatot a bennfentesektől. Számos megoldást kínálnak a kiugró értékek azonosítására, az adatok titkossági fok szerinti osztályozására és a hozzáférés korlátozására.
Míg a felmérésben megkérdezett cégek mindössze 51%-a gondolja úgy, hogy az átfogó bennfentes védelmi megoldások kritikus fontosságúak, a maradék 49% nem értékeli olyan magasra a szerepüket. Ennek az eredménynek a jelentősége azonban abban rejlik, hogy a válaszadók legalább fele a komplex megoldásokat részesíti előnyben. Ez arra utal, hogy valóban aggódnak a probléma miatt, és megértik a közös intézkedések fontosságát.
Ezenkívül egyes iparágakban a tagoknak érzékenyebbnek kell lenniük az ügyfelek adatainak bizalmas kezelésére. A szövetségi és regionális szinten folyamatosan változó jogszabályok egyre nagyobb figyelmet fordítanak a személyes adatok (például teljes név, születési dátum, lakcím, hitelkártyaszám, egészségügyi szabályzat stb.) védelmére.
A szervezeteknek fel kell ismerniük a jogszabályi rendelkezések fontosságát a személyi védelem területén. A felmérésben résztvevők szerint az irányítás javítása érdekében szükséges az engedélyezett hozzáférés automatizálása. Komoly problémákkal szembesülhetnek azok a cégek, amelyek nem automatizálják a beléptetési listákat, az adatok előkészítését és az osztályozást. Így a válaszadók 78%-a az információvédelmet tartja a bennfentes védelem kiépítésének legfontosabb indokának. A vállalkozások tehát csak most kezdik felismerni a bennfentesek fenyegetéseit, és különféle okokból megpróbálják lekicsinyelni a belső incidensek jelentőségét. A növekvő veszély tendenciáját azonban lehetetlen eltitkolni a bennfentesek elől.
A bennfentes védelem megvalósításának kihívásai
Tekintsük a tanulmány két további érdekes eredményét. táblázatban. A 2. táblázat tartalmazza a válaszadók szerint az öt legsúlyosabb problémát, amely a belső fenyegetésekkel szembeni védelmi rendszer megvalósítása során felmerül, és ezek megoldási lehetőségeit. Tab. 3 hasonló a táblázathoz. 2 szerkezetileg, de a vezető vállalatok csoportjába tartozó válaszadók válaszai alapján állítottuk össze. A kapott adatokat összevetve könnyen észrevehető, hogy a középparasztok és a legsikeresebb üzleti élet képviselői eltérőek e probléma megközelítésében. Ha a vezetők számára a fő probléma a bevezetett megoldás rákényszerítése a már használt technológiákra (75%), akkor általában az összes válaszadónál az informatikai erőforrások szűkössége (44%). A vizsgálat során kiderült, hogy a fejlett szervezetek már bevezették informatikai infrastruktúrájuk átfogó védelmét, és így lefedték magát a hálózatot, illetve alkalmazási szinten is biztosították magukat. Most ezek a cégek keresik a módokat a kialakított biztonsági rendszer megerősítésére. Azok a szervezetek, amelyeknél a fő probléma a korlátozott informatikai erőforrások, tevékenységükben komolyan korlátozottak. Ez aggasztó, mivel a biztonságon való megtakarítás sokkal nagyobb veszteségekhez vezethet. Nyilvánvaló, hogy az IT-szolgáltatásoknak, akárcsak az IT-biztonsági szolgáltatásoknak, teljes finanszírozást kell kapniuk. Végül is olyan bázist készítenek elő, amelyen az összes többi egység sikeresen működni fog.
2. táblázat A bennfentes védelmi rendszerek megvalósításának legsúlyosabb problémái
és lehetséges megoldásuk (minden válaszadó alapján)
|
Probléma |
Válaszok aránya, % |
Megoldás |
Válaszok aránya, % |
|
Korlátozott IT-erőforrások a megoldás megvalósításához és kezeléséhez |
A megvalósítás előtt határozza meg a követelményeket |
||
|
A szoftveres megoldás összetettsége |
Határozza meg az adatok és folyamatok tulajdonosait |
||
|
Átfedési megoldás a meglévő folyamatokra |
Az új folyamatok és eljárások használatára vonatkozó képzés biztosítása |
A táblázatokat elemezve a következő igen érdekes tényt is megjegyezhetjük: a vezető cégek munkatársai sokkal gyakrabban mutatják meg elégedetlenségüket az innovációkkal, mint a középvállalkozások alkalmazottai (50 vs. 38%). Ebben azonban nincs semmi meglepő. Az informatikai biztonság területén a probléma legalább fele az emberi tényező. Ha például egy szervezet megengedi, hogy vállalkozók, partnerek vagy beszállítók használják hálózatát, de nem törődnek az információhoz való hozzáférés szabályozási eljárásaival, akkor nyugodtan kijelenthetjük, hogy ez irányú problémái biztosan lesznek.
3. táblázat A bennfentes védelmi rendszerek megvalósításának legsúlyosabb problémái
és lehetséges megoldásuk (vezető cégek alapján)
|
Probléma |
Válaszok aránya, % |
Megoldás |
Válaszok aránya, % |
|
A megoldás átfedése a már bevezetett technológiákra |
Fókuszáljon a rövid, gyors megtérülésű projektekre |
||
|
A munkavállalók ellenállása az innovációval szemben |
Fokozatosan állítsa le, és lassan terjessze az új megoldásokat a felhasználóknak |
||
|
Pénzhiány a tevékenységekhez |
Végezzen felülről lefelé, a műszaki és informatikai részlegtől az összes többi részlegig |
||
|
Korlátozott IT-erőforrások a megoldás megvalósításához és kezeléséhez |
Mutassa be az osztályvezetőknek a megoldások képességeit és jellemzőit |
||
|
A kockázatértékelési eszközök gyenge ismerete |
Az új folyamatok és eljárások használatára vonatkozó képzés biztosítása |
Általánosságban elmondható, hogy a leszakadó cégek és a középparasztok – a vezetőkkel ellentétben – kevésbé alkalmazzák az automatizálást, a megoldások integrációját, ráadásul állományukban tapasztalatlan alkalmazottak is vannak. Mindez befolyásolja a biztonsági eljárások elemzésének eredményességét és eredményeinek értelmezését. Gyakran csak az automatizált folyamatok bevezetése és a személyzet fejlesztése vezet az emberi tényező leküzdéséhez. A tanulmány szerint a legjobb vállalkozások körülbelül 25%-a használ teljesen automatizált rendszereket. Ugyanakkor az automatizálási esetek mindössze 9%-a tudható be az ipari eseteknek.
Az információbiztonság növekszik, ahogy az új technológiákat az üzleti követelményeknek megfelelően alkalmazzák. A védelmi rendszerek folyamatos fejlesztése kétségtelenül előnyökkel jár. A tanulmány szerint a bennfentes védelmi rendszereket alkalmazó szervezetek átlagosan a következő hatásokat tapasztalták:
- az informatikai osztályokhoz és a támogatási szolgálathoz intézett panaszok és fellebbezések száma 3,5%-kal csökkent;
- az IT biztonsági incidensek száma 13%-kal csökkent;
- csökkentette a munkaerőköltségeket az informatikai részlegeken - 17,5%-kal.
Így az elemzők arra a következtetésre jutnak, hogy azok a szervezetek, amelyek csak külső védelemmel foglalkoznak, kudarcra vannak ítélve. Valójában a szervezet peremén lévő biztonság segít visszaszorítani a hackereket, míg a szivárgás- és bennfentes védelmi rendszereket megvalósító cégeknek sikerül csökkenteni az incidensek számát és az IT-költségeket.
Következtetés
Az elvégzett kutatás és a helyzetértékelés eredményei alapján a következő következtetések vonhatók le. Először is, nincs egyetlen technológia a bennfentesek elleni védelemre. Csak az intézkedések összessége tudja megfelelően biztosítani a biztonságot. A különböző termékek, bármennyire is jók, biztosan nem oldják meg az átfogó védelem kiépítése során felmerülő problémákat. Igen, le lehet zárni az egyik irányt, de a nehézség abban rejlik, hogy rengeteg különféle fenyegetés létezik. A támadók különféle módokon lépnek fel, és csak az összes lehetséges kiskapu kiküszöbölése érdekében többszintű rendszert kell létrehozni.
Másodszor, a bizalmas információk biztonságáért való felelősséget nem lehet egy személyre vagy akár egy egységre kiosztani. Ebben az irányban az IT-szolgálat és az IT-biztonsági osztály dolgozóinak szorosan együtt kell működniük. Még hatékonyabb módszer a szivárgásvédelem területén nagy tapasztalattal rendelkező szakemberek bevonása. Ez utóbbiak a fennálló helyzet mélyreható elemzését kínálják, és konkrét megoldásokat kínálnak az ügyfélnek. Megbízható rendszer kiépítése zajlik, amelyet az integrátor szükséges támogatásával a cég munkatársai is karbantarthatnak.
Harmadszor, a szervezetben rendelkezésre álló adatokat gondosan tanulmányozni kell, és a titkosság mértékének megfelelően strukturálni kell. Majd ennek a besorolásnak a alapján be kell építeni egy hozzáférést korlátozó rendszert. A felhasználók ne férhessenek hozzá olyan adatokhoz, amelyekre nincs szükségük hivatalos feladataik ellátásához. Ezen túlmenően a hozzáférési jogok rendszeres felülvizsgálata szükséges a megkülönböztetési rendszer naprakészen tartása érdekében.
Negyedszer, az emberi tényező az egyik kritikus tényező az információbiztonsági rendszerben. Sajnos az emberek válnak a lánc leggyengébb láncszemévé. Gyakran a bennfentesek az alkalmazottak felelősek, ha nem is a bizalmas információk védelméért, de legalább az információk titkosságának megőrzéséért. Tudatlanságból vagy figyelemelterelésből, rosszindulatú szándékkal vagy anélkül, de ők azok, akik jelentős károkat okozhatnak munkáltatóiknak. Sokkal veszélyesebb az a helyzet, amikor a bennfentes az informatikai osztály vagy az IT biztonsági szolgálat munkatársa. Jogosultsága természetesen sokkal szélesebb, mint a legtöbb alkalmazotté, és elegendő tudással és képességekkel rendelkezik ahhoz, hogy csendesen „egyesítse” az adatokat. Ezen okokból kifolyólag a sikeres üzletvitelhez professzionális rendszerek alkalmazása szükséges a munkavállalók tevékenységének nyomon követésére. Lehetőleg automatizáltnak kell lenniük, nem személytől függőnek, hogy ellenőrizni lehessen a munkavállalót. A szoftveres megoldások és komplexumok a leghatékonyabb védekezési mód a bennfentesek fokozott fenyegetése ellen. Természetesen nem szabad megfeledkeznünk az alkalmazottakkal való munkamódszerekről sem. Fel kell tanítani őket a biztonsági szabványoknak való megfelelés szükségességéről, és meg kell követelni tőlük a meglévő adatvédelmi irányelvek betartását. Az esetleges belső lopások megelőzésére azonban csak szoftver és hardver képes.
