На сьогоднішній день існує два основних канали витоку конфіденційної інформації: пристрої, підключені до комп'ютера (різні знімні накопичувачі, включаючи «флешки», CD/DVD-диски та ін., принтери) та інтернет (електронна пошта, ICQ, соціальні мережі тощо). д.). А тому, коли компанія «дозріває» на використання системи захисту від них, бажано підходити до вирішення цієї комплексно. Проблема у тому, що з перекриття різних каналів використовуються різні підходи. В одному випадку найбільш ефективним способом захисту буде контроль за використанням знімних накопичувачів, а в другому - різні варіанти контентної фільтрації, що дозволяє заблокувати передачу конфіденційних даних у зовнішню мережу. Тому компаніям для захисту від інсайдерів доводиться використовувати два продукти, які в сумі утворюють комплексну систему безпеки. Звичайно, краще використовувати інструменти одного розробника. І тут полегшується процес їх впровадження, адміністрування, і навіть навчання сотрудников. Як приклад можна навести продукти компанії SecurIT: Zlock та Zgate.
Zlock: захист від витоків через знімні накопичувачі
Програма Zlock з'явилася на ринку вже досить давно. І ми вже. В принципі, повторюватися немає сенсу. Однак з моменту публікації статті вийшла дві нові версії Zlock, в яких з'явилася низка важливих функцій. Ось про них варто розповісти, хай навіть дуже коротко.
Насамперед варто відзначити можливість призначення комп'ютера кількох політик, які самостійно застосовуються залежно від того, чи підключений комп'ютер до корпоративної мережі безпосередньо, через VPN або працює автономно. Це дозволяє, зокрема, автоматично блокувати USB-порти та CD/DVD-приводи у разі відключення ПК від локальної мережі. В цілому ця функція збільшує безпеку інформації, розміщеної на ноутбуках, які співробітники можуть виносити з офісу на виїзди або для роботи вдома.
Друга нова можливість – надання працівникам компанії тимчасового доступу до заблокованих пристроїв або навіть груп пристроїв телефоном. Принцип її роботи полягає в обміні генерованими програмою секретними кодами між користувачем та відповідальним за інформаційну безпеку співробітником. Примітно, що дозвіл на використання може видаватися не лише постійним, а й тимчасовим (на певний час або до завершення сеансу роботи). Цей інструмент можна вважати деяким послабленням у системі захисту, однак він дозволяє підвищити оперативність реагування ІТ-відділу на запити бізнесу.
Наступним важливим нововведенням у нових версіях Zlock є контроль використання принтерів. Після його налаштування система захисту записуватиме в спеціальний журнал всі звернення користувачів до принтерів. Але це ще не все. У Zlock з'явилося тіньове копіювання всіх документів, що роздруковуються. Вони записуються у форматі PDF і є повною копією сторінок, що виводяться на друк, незалежно від того, який файл був відправлений на принтер. Це дозволяє запобігти витоку конфіденційної інформації на паперових аркушах, коли інсайдер роздруковує дані з метою їхнього винесення з офісу. Також у системі захисту з'явилося тіньове копіювання інформації, що записується на CD/DVD-диски.
Важливим нововведенням стала поява серверних компонентів Zlock Enterprise Management Server. Він забезпечує централізоване зберігання та розповсюдження політик безпеки та інших налаштувань програми та суттєво полегшує адміністрування Zlock у великих та розподілених інформаційних системах. Також не можна не згадати про появу власної системи аутентифікації, яка, при необхідності, дозволяє відмовитися від використання доменних і локальних користувачів Windows.
Крім цього, в останній версії Zlock з'явилося кілька не настільки помітних, але також досить важливих функцій: контроль цілісності клієнтського модуля з можливістю блокування входу користувача при виявленні втручань, розширені можливості впровадження системи захисту, підтримка СУБД Oracle і т.п.
Zgate: захист від витоків через інтернет
Отже, Zgate. Як ми вже говорили, цей продукт є системою захисту від витоку конфіденційної інформації через інтернет. Структурно Zgate складається із трьох частин. Основний серверний компонент, який і здійснює всі операції з обробки даних. Він може встановлюватися як на окремий комп'ютер, так і на вузли, що вже працюють у корпоративній інформаційній системі - інтернет-шлюз, контролер домену, поштовий шлюз і т. п. Цей модуль у свою чергу складається з трьох компонентів: для контролю SMTP-трафіку, контролю внутрішньої пошти сервера Microsoft Exchange 2007/2010, а також Zgate Web (він відповідає за контроль HTTP-, FTP- та IM-трафіку).
Друга частина системи захисту – сервер журналування. Він використовується для збору інформації про події з одного або декількох серверів Zgate, її обробки та зберігання. Цей модуль особливо корисний у великих та територіально розподілених корпоративних системах, оскільки забезпечує централізований доступ до всіх даних. Третя частина – консоль управління. В її якості використовується стандартна для продуктів компанії SecurIT консоль, тому докладно зупинятися на ній ми не будемо. Зазначимо лише, що з допомогою даного модуля можна керувати системою як локально, а й віддалено.
Консоль керування
Система Zgate може працювати у кількох режимах. Причому їх доступність залежить від методу застосування товару. Перші два режими передбачають роботу як поштовий проксі-сервер. Для реалізації системи встановлюється між корпоративним поштовим сервером і «зовнішнім світом» (або між поштовим сервером і сервером відправки, якщо вони розділені). У цьому випадку Zgate може як фільтрувати трафік (затримувати порушуючі та сумнівні повідомлення), так і лише журналювати його (пропускати всі повідомлення, проте зберігати їх в архіві).
Другий спосіб впровадження передбачає використання системи захисту спільно з Microsoft Exchange 2007 або 2010. Для цього необхідно встановити Zgate безпосередньо на корпоративний поштовий сервер. При цьому також доступні два режими: фільтрація та журналювання. Крім цього існує ще один варіант застосування. Йдеться про журнал повідомлень у режимі дзеркального трафіку. Звичайно, для його використання необхідно забезпечити надходження на комп'ютер, на якому встановлено Zgate, цього самого дзеркального трафіку (зазвичай це здійснюється засобами мережного обладнання).
Вибір режиму роботи Zgate
На окрему розповідь заслуговує компонент Zgate Web. Він встановлюється безпосередньо на корпоративний інтернет-шлюз. При цьому дана підсистема отримує можливість контролювати HTTP-, FTP- та IM-трафік, тобто обробляти його з метою виявлення спроб надсилання конфіденційної інформації через поштові веб-інтерфейси та «аську», публікації її на форумах, FTP-серверах, у соціальних мережах та ін. До речі, про «аську». Функція блокування IM-месенджерів є у багатьох подібних продуктах. Проте саме «аські» у них немає. Просто тому, що саме в російськомовних країнах вона набула найбільшого поширення.
Принцип роботи компонента Zgate Web є досить простим. При кожному надсиланні інформації в будь-якому з контрольованих сервісів система генеруватиме спеціальне повідомлення. У ньому міститься сама інформація та деякі службові дані. Воно відправляється на основний сервер Zgate та обробляється відповідно до заданих правил. Звичайно, відправлення інформації в самому сервісі не блокується. Тобто Zgate Web працює лише у режимі журналування. З його допомогою не можна запобігти поодиноким витокам даних, але можна швидко їх виявити і припинити діяльність вільного або мимовільного зловмисника.
Налаштування компонента Zgate Web
Способи обробки інформації в Zgate та порядок фільтрації визначає політика, яка розробляється офіцером з безпеки або іншим відповідальним співробітником. Вона є ряд умов, кожному з яких відповідає певна дія. Усі вхідні повідомлення «проганяються» ними послідовно друг за другом. І якщо якась з умов виконується, то запускається асоційована з ним дія.
Система фільтрації
Загалом у системі передбачено 8 типів умов, як кажуть, «на всі випадки життя». Перший - тип файлу вкладення. З його допомогою можна знайти спроби пересилання об'єктів того чи іншого формату. Варто відзначити, що аналіз ведеться не за розширенням, а за внутрішньою структурою файлу, причому можна задавати як конкретні типи об'єктів, так і їх групи (наприклад, всі архіви, відеозаписи та ін.). Другий тип умов – перевірка зовнішнім додатком. Як програма може виступати як звичайна програма, що запускається з командного рядка, і скрипт.
Умови у системі фільтрації
А ось за наступної умови варто зупинитися докладніше. Йдеться про контентний аналіз інформації, що передається. Насамперед необхідно відзначити «всеїдність» Zgate. Справа в тому, що програма «розуміє» велику кількість різних форматів. А тому вона може аналізувати не лише простий текст, а й практично будь-які вкладення. Іншою особливістю контентного аналізу є великі можливості. Він може полягати як у простому пошуку входження у текст повідомлення чи будь-яке інше поле певного слова, і у повноцінному аналізі, зокрема і з урахуванням граматичних словоформ, стеммінгу і транслита. Але це ще не все. На окрему згадку заслуговує система аналізу за шаблонами та регулярними виразами. З її допомогою можна легко виявити в повідомленнях наявність даних певного формату, наприклад, серія та номери паспорта, номер телефону, номер договору, номер банківського рахунку тощо. Це, крім іншого, дозволяє посилити захист персональних даних, що перебувають у обробці компанії.
Шаблони для виявлення різної конфіденційної інформації
Четвертий тип умов - аналіз адрес, зазначених у листі. Тобто пошук серед них певних рядків. П'ятий – аналіз зашифрованих файлів. При його виконанні перевіряються атрибути повідомлення та/або вкладених об'єктів. Шостий тип умов полягає у перевірці різних параметрів листів. Сьомий – аналіз за словником. У ході його система виявляє наявність у повідомленні слів із заздалегідь створених словників. Ну і, нарешті, останній, восьмий тип умови – складовий. Це два або більше інших умов, об'єднаних логічними операторами.
До речі, про словники, згадані в описі умов, треба сказати окремо. Вони є групи слів, об'єднаних за однією ознакою, і застосовують у різних методах фільтрації. Логічніше створювати словники, які з великою ймовірністю дозволяють віднести повідомлення до тієї чи іншої категорії. Їх можна вводити вручну або імпортувати дані з існуючих текстових файлів. Існує і ще один варіант генерації словників – автоматичний. При використанні адміністратору досить просто вказати папку, в якій містяться відповідні документи. Програма сама проаналізує їх, вибере потрібні слова та розставить їх вагові характеристики. Для якісного складання словників необхідно вказувати як конфіденційні файли, а й об'єкти, які містять закриту інформацію. Загалом процес автоматичної генерації найбільше схожий на навчання антиспаму на рекламних і звичайних листах. І це не дивно, бо і там, і там використовуються подібні технології.
Приклад словника на фінансову тему
Говорячи про словники, не можна також не згадати ще одну технологію виявлення конфіденційних даних, реалізованої в Zgate. Йдеться про цифрові відбитки. Суть цього методу полягає в наступному. Адміністратор може вказати системі папки, які містять конфіденційні дані. Програма проаналізує всі документи в них і створить «цифрові відбитки» - набори даних, які дозволяють визначити спробу передачі не лише вмісту файлу, але й окремих його частин. Зверніть увагу, що система автоматично відстежує стан зазначених їй папок і самостійно створює «відбитки» для всіх об'єктів, що в них знову з'явилися.
Створення категорії з цифровими відбитками файлів
Ну а тепер залишилося тільки розібратися з діями, реалізованими в системі захисту. Усього їх реалізовано у Zgate аж 14 штук. Втім, більшість визначає ті дії, які здійснюються з повідомленням. До них відноситься, зокрема, видалення без відправки (тобто, фактично, блокування передачі листа), приміщення в архів, додавання або видалення вкладень, зміни різних полів, вставка тексту та ін. Серед них варто відзначити приміщення листа в карантин. Дана дія дозволяє «відкласти» повідомлення для ручної перевірки офіцером безпеки, який і прийматиме рішення щодо його подальшої долі. Також дуже цікава дія, що дозволяє заблокувати IM-з'єднання. Його можна використовувати для моментального блокування каналу, яким було передано повідомлення з конфіденційною інформацією.
Дещо особняком стоять дві дії - обробка методом Байєса та обробка методом відбитків. Обидва вони призначені для перевірки повідомлень щодо знаходження в них конфіденційної інформації. Тільки першому використовуються словники і статистичний аналіз, тоді як у другому - цифрові відбитки. Ці дії можуть виконуватися при виконанні певної умови, наприклад, якщо адреса одержувача не в корпоративному домені. Крім того, їх (втім, як і будь-які інші) можна виставити для застосування до всіх вихідних повідомлень. У цьому випадку система аналізуватиме листи та відноситиме їх до тих чи інших категорій (якщо, звичайно, це можливо). А ось за цими категоріями вже можна виконувати умови з виконанням певних дій.
Дії у системі Zgate
Ну і на завершення нашої сьогоднішньої розмови про Zgate можна підвести невеликий підсумок. Ця система захисту заснована насамперед на контентному аналізі повідомлень. Такий підхід є найпоширенішим для захисту від витоку конфіденційної інформації через Інтернет. Звичайно, контентний аналіз не дає стовідсоткового ступеня захисту і носить швидше імовірнісний характер. Тим не менш, його використання дозволяє запобігти більшій частині випадків несанкціонованої передачі секретних даних. Застосовувати її компаніям чи ні? Це кожен повинен вирішити сам для себе, оцінивши витрати на впровадження та можливі проблеми у разі витоку інформації. Zgate чудово справляється з «відловом» регулярних висловів, що робить його дуже ефективним засобом захисту персональних даних, що знаходяться в обробці у компанії.
Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисний крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.
У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним крадіжкою інформації доступними їм організаційними методами.
Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, трЗ-плссра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може перешкодити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звичайно, знайти оригінальні засоби захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.
Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.
Наприклад, деякі співробітники можуть дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система автентифікації користувачів, заснована на токенах, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.
Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису і портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, але й збільшує ризики виникнення помилок.
Для ефективного захисту від інсайдерів насамперед необхідно забезпечити контроль над усіма комунікаційними каналами – від звичайного офісного принтера до звичайної флешки та фотокамери мобільного телефону.
Методи захисту від інсайдерів:
- * Апаратна автентифікація співробітників (наприклад, за допомогою USB-ключа або смарт-карти);
- * аудит всіх дій всіх користувачів (включаючи адміністраторів) у мережі;
- * Використання потужних програмно-апаратних засобів захисту конфіденційної інформації від інсайдерів;
- * Навчання співробітників, відповідальних за інформаційну безпеку;
- * Підвищення особистої відповідальності співробітників;
- * постійна робота з персоналом, що має доступ до конфіденційної інформації (інструктаж, навчання, перевірка знань правил та обов'язків щодо дотримання інформаційної безпеки тощо);
- * відповідність рівня зарплати рівню конфіденційності інформації (у розумних межах!);
- * Шифрування конфіденційних даних;
- * Але найголовніше, звичайно, людський фактор: хоча людина – найслабша ланка в системі безпеки, але й найважливіше! Боротьба з інсайдерами не повинна перетворюватися на тотальне стеження за всіма. У компанії має бути здоровий моральний клімат, що сприяє дотриманню корпоративного кодексу честі!
За підсумками щорічного опитування Інституту комп'ютерної безпеки (CSI, Computer Security Institute), у 2007 р. фахівці з безпеки виділили три основні проблеми, з якими їм довелося стикатися протягом року: 59% визнали загрозою №1 інсайдерів, 52% – віруси та 50 % – втрату мобільного носія (ноутбука, флеш-накопичувача). Отже, проблема внутрішніх порушників в Америці вперше почала переважати проблему вірусів. На жаль, такої інформації по Росії ми не маємо, проте є підстави стверджувати, що ситуація в нашій країні, як мінімум, схожа. Так, у ході круглого столу з проблеми витоку інформації внаслідок дій інсайдерів, що проходив у жовтні на щорічній конференції Aladdin, прозвучали результати опитування системних адміністраторів державних установ, які, як відомо, мають невисокий рівень доходу. На запитання, за яку суму у них можна отримати конфіденційні дані, лише 10% опитаних відповіли, що ніколи не підуть на такий посадовий злочин, близько половини опитаних готові ризикнути за великі гроші, а приблизно 40% готові піти на це за будь-яку винагороду. Як кажуть, коментарі зайві. Основна складність організації захисту від інсайдера полягає в тому, що він є законним користувачем системи та за боргом служби має доступ до конфіденційної інформації. Те, як співробітник розпоряджається цим доступом у межах службових повноважень чи поза, відстежити дуже складно. Розглянемо основні завдання боротьби із внутрішніми порушниками (див. таблицю).
Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого та усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку або неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення.
Насамперед, варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є працівник підприємства або будь-яка інша особа, яка має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі дії легальних користувачів, навмисних або випадкових, які можуть призвести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має інші значення.
Актуальність проблеми внутрішніх загроз підтверджується наслідками останніх досліджень. Зокрема, у жовтні 2008 року було оголошено результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів у США), тоді як хакери виявилися лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, що говорять про кількість інцидентів, пов'язаних із внутрішніми загрозами, виглядають так:
Кількість інцидентів у відсотках означає, що із загальної кількості опитаних цей тип інциденту відбувався у зазначеному відсотку організацій. Як видно з цих цифр, ризик постраждати від внутрішніх загроз має практично кожна організація. Для порівняння, відповідно до цього звіту, віруси вразили 50% опитаних організацій, а з проникненням хакерів у локальну мережу зіткнулося лише 13%.
Таким чином, внутрішні загрози – це реальність сьогодення, а не вигаданий аналітиками та вендорами міф. Так що тим, хто по-старому вважає, що корпоративна ІБ - це міжмережевий екран і антивірус, необхідно якнайшвидше поглянути на проблему ширше.
Підвищує градус напруженості та закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям та посадовим особам доведеться відповідати не лише перед своїм керівництвом, а ще й перед своїми клієнтами та перед законом.
Модель порушника
Традиційно при розгляді загроз та засобів захисту від них слід розпочинати з аналізу моделі порушника. Як уже згадувалося, ми говоритимемо про інсайдерів – співробітників організації та інших користувачів, які мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім спадає на думку офісний співробітник, що працює на комп'ютері у складі корпоративної мережі, який у процесі роботи не залишає меж офісу організації. Проте, така вистава неповна. Необхідно його розширити за рахунок інших видів осіб, які мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюють і в офісі та вдома, кур'єри, що перевозять носії з інформацією, насамперед магнітні стрічки з резервною копією тощо.
Такий розширений розгляд моделі порушника, по-перше, укладається в концепцію, оскільки загрози, що походять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему ширше, розглянувши всі можливі варіанти боротьби з цими загрозами.
Можна виділити такі основні типи внутрішніх порушників:
- Нелояльний/ображений співробітник.Порушники, що належать до цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, якщо вони вважають себе скривдженими, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій нині працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але може збільшуватися в ситуації несприятливих економічних умов і масових скорочень персоналу.
- Впроваджений, підкуповуваний або співробітник, що маніпулюється.У разі йдеться про будь-які цілеспрямовані дії, зазвичай, з метою промислового шпигунства за умов гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але непильного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість інцидентів такого роду зазвичай ще менше, ніж попередніх, у зв'язку з тим, що у більшості сегментів економіки РФ конкуренція не сильно розвинена або реалізується іншими способами.
- Недбалий співробітник.Даний вид порушника є лояльним, але неуважним або халатним співробітником, який може порушити політику внутрішньої безпеки підприємства через її незнання або забудькуватість. Такий співробітник може помилково надіслати листа електронною поштою з доданим секретним файлом не тому, для кого він призначений, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею на вихідні, і втратити її. До цього ж типу відносяться співробітники, що втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього відповідальні за більшість витоків конфіденційної інформації.
Отже, мотиви, отже, і спосіб дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.
Технології захисту від внутрішніх загроз
Незважаючи на відносну молодість даного сегменту ринку, клієнтам вже є з чого вибирати залежно від їхніх завдань та фінансових можливостей. Варто зазначити, що зараз на ринку практично немає вендорів, які б спеціалізувалися виключно на внутрішніх загрозах. Така ситуація склалася не лише через незрілість даного сегмента, але ще й завдяки агресивній та іноді хаотичній політиці злиття та поглинання, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені у присутності на цьому сегменті. Варто нагадати про компанію RSA Data Security, яка стала підрозділом EMC у 2006 році, покупку компанією NetApp стартапа Decru, що займався розробкою систем захисту серверних сховищ та резервних копій у 2005, покупку компанією Symantec DLP-вендора Vontu у 2007 році тощо.
Незважаючи на те, що велика кількість подібних угод говорить про хороші перспективи розвитку даного сегмента, вони не завжди користуються якістю продуктів, які переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники негаразд оперативно реагують на вимоги ринку порівняно з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють у мобільності та оперативності своїм меншим братам. З іншого боку, покращується якість сервісу та доступність продуктів для клієнтів у різних точках земної кулі завдяки розвиненості їхньої сервісної та збутової мережі.
Розглянемо основні технології, що застосовуються нині для нейтралізації внутрішніх загроз, їх переваги та недоліки.
Контроль документів
Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES та Oracle Information Rights Management.
Принцип роботи цих систем полягає у призначенні правил використання для кожного документа та контролю цих прав у додатках, що працюють із документами даних типів. Наприклад, можна створити документ Microsoft Word і встановити для нього правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Дані правила в термінах Windows RMS називаються ліцензією та зберігаються разом із файлом. Вміст файлу зашифровується для запобігання можливості його перегляду неавторизованим користувачем.
Якщо будь-який користувач намагається відкрити такий захищений файл, програма зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цього користувача дозволено, сервер передає додатку ключ для розшифрування даного файлу та інформацію про права даного користувача. Програма на основі цієї інформації робить доступними для користувача лише ті функції, для яких у нього є права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в програмі недоступна.
Виходить, що інформація в такому файлі є безпечною навіть у випадку, якщо файл потрапить за межі корпоративної мережі – вона зашифрована. Функції RMS вже вбудовані в Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS до програм інших розробників Microsoft пропонує спеціальний SDK.
Система контролю документів від Adobe побудована аналогічно, але орієнтована на документи у форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери як агента і інтегрується з додатками на етапі їх виконання.
Контроль документів – це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктуровані файли або бази даних, ця технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить найпростіший додаток, який зв'язуватиметься з RMS-сервером, отримувати звідти ключ шифрування і зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то ця система буде обійдена. Крім цього, слід враховувати складності при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів – завдання первісної класифікації документів та призначення прав їх використання може вимагати значних зусиль.
Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації – проблема комплексна, і вирішити її за допомогою лише одного засобу, як правило, не вдається.
Захист від витоків
Термін захист від витоків (data loss prevention, DLP) з'явився у лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати, без перебільшення, найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, що контролюють можливі канали витоку та блокують їх у разі спроби пересилання цими каналами будь-якої конфіденційної інформації. Крім цього, у функції подібних систем часто входить можливість архівування інформації, що проходить по них, для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.
Розрізняють два види DLP-систем: мережеві DLP та хостові DLP.
Мережеві DLPпрацюють за принципом мережевого шлюзу, який фільтрує всі дані, що проходять через нього. Очевидно, що з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- та ftp-трафік, служби миттєвих повідомлень і т. д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати файл, що передається. Також існують можливості щодо ручної обробки підозрілих файлів. Підозрювальні файли поміщаються в карантин, який періодично переглядає офіцер безпеки і дозволяє передачу файлу, або забороняє її. Щоправда, така обробка через особливості протоколу можлива лише для електронної пошти. Додаткові можливості з аудиту та розслідування інцидентів надає архівування всіх інформації, що проходить через шлюз, за умови, що цей архів періодично проглядається і його вміст аналізується з метою виявлення витоків.
Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто, момент прийняття рішення про те, чи є інформація конфіденційної та підстави, що враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту документів, що передаються, званий також контентним аналізом. Розглянемо основні підходи до детектування конфіденційної інформації.
- Мітки. Цей метод аналогічний системам контролю документів, розглянутим вище. У документи впроваджуються мітки, що описують рівень конфіденційності інформації, що можна робити з цим документом, і кому посилати. За результатами аналізу тегів система DLP приймає рішення, чи можна цей документ відправити назовні чи не можна. Деякі DLP системи спочатку роблять сумісними із системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
- Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких у тексті файлу, що передається, має говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велику кількість сигнатур можна організовувати у словнику.
- Метод Байєса. Даний метод, який застосовується при боротьбі зі спамом, може успішно застосовуватись і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів з ймовірностями того, що якщо слово зустрілося у файлі, файл із заданою ймовірністю належить або не належить до зазначеної категорії.
- Морфологічний аналізМетод морфологічного аналізу аналогічний сигнатурному, відмінність у тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
- Цифрові відбитки.Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде трохи змінено, хеш-функція залишиться такою ж, або теж зміниться незначно. Отже, процес детектування конфіденційних документів значно спрощується. Незважаючи на захоплені дифірамби цієї технології з боку багатьох вендорів та деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами вважають за краще залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіра до неї не збільшується.
- Регулярні вирази.Відомі всім, хто мав справу з програмуванням, регулярні висловлювання дозволяють легко знаходити у тексті шаблонні дані, наприклад, телефони, паспортні дані, номери банківських рахунків, номери соціального страхування тощо.
З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного чування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або привласнення конфіденційним документам.
Окрім цього, певну проблему у роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в файлах, що передаються, може бути дуже складною. Не варто забувати і про те, що деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудоване за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для контролю хостові DLP.
Проте, незважаючи на всі складнощі, при правильному налаштуванні та серйозному підході мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації та дати організації зручний засіб для внутрішнього контролю.
Хостові DLPвстановлюються на кожен хост в мережі (на клієнтські робочі станції і, при необхідності, на сервері) і можуть бути використані для контролю інтернет-трафіку. Однак у цій якості хостові DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроїв та принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, становить для інформаційної безпеки підприємства набагато більшу загрозу, ніж усі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі (endpoint security), хоча часто цей термін використовується ширше, наприклад, іноді називають антивірусні засоби.
Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, у більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що висувається з боку бізнес-процесів.
Через це виник певний попит на спеціальні засоби, за допомогою яких можна гнучкіше вирішити проблему використання зовнішніх пристроїв та принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів до різних видів пристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями та дозволяти з принтерами, а для іншої – дозволяти роботу з носіями в режимі лише читання. У разі необхідності запису інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія тіньового копіювання, яка забезпечує копіювання на сервер всієї інформації, що зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізована для аналізу дій користувачів. Дана технологія копіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Тим не менш, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій у мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим та покараним за свої дії. Це може виявитися для нього суттєвою перешкодою та вагомою причиною відмовитись від ворожих дій.
Варто ще згадати контроль використання принтерів – жорсткі копії документів теж можуть стати джерелом витоку. Хостові DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії документів, що роздруковуються, у графічному форматі для подальшого аналізу. Крім цього, певного поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.
Незважаючи на безперечні плюси хостових DLP, вони мають ряд недоліків, пов'язаних з необхідністю установки агентського ПЗ на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з погляду розгортання таких систем та управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це програмне забезпечення для здійснення будь-яких дій, не дозволених політикою безпеки.
Тим не менш, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а ці проблеми не відносяться до розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах тиску, що на них постійно посилюється, щодо забезпечення внутрішнього контролю та захисту від витоків.
Концепція IPC
У процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і з огляду на певні недоліки засобів, які розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Цей термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC у 2007 році.
Суть цієї концепції полягає у поєднанні методів DLP та шифрування. У цій концепції за допомогою DLP контролюється інформація, що залишає межі корпоративної мережі з технічних каналів, а шифрування використовується захисту носіїв даних, які фізично потрапляють чи можуть потрапити до рук сторонніх осіб.
Розглянемо найпоширеніші технології шифрування, які можна застосовувати у концепції IPC.
- Шифрування магнітних стрічок.Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіювання і для перенесення великих обсягів інформації, оскільки за питомою вартістю мегабайта, що зберігається, досі не має рівних. Відповідно, витоки, пов'язані з втратами магнітних стрічок, продовжують радувати редакторів стрічок новин, що поміщають інформацію про них на перші смуги, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, велика кількість людей може стати жертвами шахраїв.
- Шифрування серверних сховищ.Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати набагато нижче, ніж у магнітної стрічки, окремий жорсткий диск зі сховища може потрапити в руки зловмисників. Ремонт, утилізація, апгрейд – ці події виникають із достатньою регулярністю для того, щоб списувати цей ризик із рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є абсолютно неможливою подією.
Тут варто зробити невеликий відступ і згадати про поширену хибну думку про те, що якщо диск знаходиться у складі RAID-масиву, то, нібито, можна не турбуватися про те, що він потрапить у сторонні руки. Здавалося б, чергування даних, що записуються на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вид даних, які знаходяться на якомусь одному жорсткому вигляді. На жаль, це зовсім так. Чергування дійсно має місце, однак у більшості сучасних пристроїв воно виконується на рівні блоків 512 байт. Це означає, що, незважаючи на порушення структури та форматів файлів, конфіденційну інформацію витягти з такого жорсткого диска все одно можна. Тому якщо поставлено вимогу забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.
- Шифрування ноутбуків.Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
- Шифрування знімних носіїв.В даному випадку йдеться про портативні USB-пристрої і, іноді, про CD- і DVD-диски, що записуються, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, так само як і згадані вище системи шифрування жорстких дисків у ноутбуках, часто можуть виступати як компоненти хостових DLP-систем. У цьому випадку говорять про свого роду криптопериметр, який забезпечує автоматичне прозоре шифрування носіїв усередині, і неможливість розшифрувати дані за його межами.
Таким чином, шифрування може суттєво розширити можливості DLP-систем та знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не дуже широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки та внутрішнього контролю.
Висновки
Як видно з даного огляду, внутрішні загрози – це досить нова область в ІХ, яка активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP та IPC дозволяють побудувати досить надійну систему внутрішнього контролю та знизити ризик витоку до прийнятного рівня. Без сумніву, дана область ІБ продовжить розвиватися, пропонуватимуться новіші та досконаліші технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безтурботність у питаннях інформаційної безпеки може обійтися занадто дорого.
Олексій Раєвський
Генеральний директор компанії SecurIT
В області інформаційної безпеки найбільшу увагу організації приділяють, як правило, захисту від зовнішніх атак, тому майже всі засоби, що виділяються на безпеку, спрямовуються на захист вразливих точок периметра мережі підприємства. Ситуація, що склалася, знайшла відповідне відображення і на ринку рішень ІТ-безпеки - в останні роки пропонується широкий спектр різних засобів захисту від вірусів, черв'яків, троянців та інших загроз ззовні.
Проте поступово підприємства починають усвідомлювати нову небезпеку. Вона виходить немає від хакерів, немає спаму чи випадкових вірусів, як від своїх співробітників. Інсайдери знаходяться всередині самої організації і наділені цілком легальними повноваженнями, тому їм набагато простіше отримати доступ до інформації, що їх цікавить, ніж будь-якому зловмиснику з боку. Щоб краще розібратися в проблемі, звернемося до проведеного в 2006 році дослідження американської аналітичної компанії Aberdeen Group "The Insider Threat Benchmark Report - Strategies for Data Protection", під час якого було опитано 88 великих американських корпорацій.
Основні результати опитування великих корпорацій
Загроза з боку інсайдерів наростає. Сучасний бізнес не може ігнорувати цю небезпеку і посилено готується до протидії. Компанії, які воліють її не помічати або економлять на впровадженні нових систем безпеки, зазнають серйозних збитків. Багато компаній, згадані в дослідженні, серйозно постраждали від витоків даних і лише потім подбали про запобіжні заходи. Їхній приклад повинен послужити уроком для інших фірм.
Підприємствам, які бажають убезпечити себе від витоків конфіденційної інформації, слід з усією відповідальністю підійти до вирішення проблеми. Ірраціональна економія на засобах безпеки виллється у солідні збитки у найближчому майбутньому. Найкращим варіантом буде вдатися до допомоги професіоналів, що спеціалізуються на системах захисту від інсайдерів. Такі системи зможуть легко інтегруватися в існуючу інфраструктуру. До того ж, компанії-продавці не лише забезпечать працездатність рішення, а й гарантують його високу ефективність.
Як такого засобу проти інсайдерів немає. Надійно захистити інформацію допоможе лише застосування цілого комплексу заходів та рішень. Незважаючи на інерційність великих постачальників, на ринку є достатньо готових комплексів, що забезпечують захист від інсайдерів і витоків.
Однією з найважливіших сучасних технологій захисту є фільтрація мережевого трафіку (вже впроваджена у 53% респондентів). Ще 28% планують встановити подібні фільтри цього року. Крім того, дуже перспективною технологією є класифікація даних. Хоча сьогодні її використовують лише 42% корпорацій, цього року їхня кількість зросте на 44% (тобто до 86%). Однак серйозне занепокоєння викликає той факт, що невиправдано мала кількість респондентів використовує інші ефективні рішення для захисту від витоків та інсайдерів, наприклад, моніторинг дій службовців.
Для багатьох підприємств однією з головних перешкод (44%) на шляху впровадження додаткових засобів захисту від витоку інформації є обмеженість IT-ресурсів. У той самий час впровадження таких засобів захисту дозволяє як значно зменшити ризик втрати важливих даних, а й помітно (на 17,5%) знизити витрати на діяльність ІТ-підрозділів.
поточний стан
Немає нічого дивного в тому, що наслідки інсайдерських інцидентів часто виявляються набагато гіршими, ніж навіть атака хакерів, що вдалася. Причин тому є чимало. Однією лише легкістю доступу до різних інформаційних ресурсів все не пояснити. Справа в тому, що інформація, вкрадена інсайдерами, зазвичай є більш важливою, ніж та, яку здатні роздобути хакери. Одна з найважливіших причин зростання загрози з боку інсайдерів та легкості здійснення ними протиправних дій – це недбалість служб внутрішньої IT-безпеки (якщо такі взагалі існують). Організації виявляються не готовими протистояти інсайдерам, оскільки вони просто не мають відповідних інструментів. Навіть якщо загроза ідентифікована, працівники сфери без небезпеки ще не можуть належним чином протистояти їй, оскільки не напрацювали належного досвіду у цій сфері. Загалом, на ринку вже зараз можна знайти комплексні рішення для захисту конфіденційної інформації від інсайдерів. На жаль, найчастіше відповідальні керівники не розуміють всієї серйозності загрози. Вони за інерцією продовжують займатися нарощуванням зусиль захисту периметра своєї організації саме від зовнішньої небезпеки.
Тим часом новинні агенції та ЗМІ приділяють дедалі більше уваги саме проблемі інсайдерів. Фахівці говорять про зростання кількості витоків конфіденційної інформації та їх сумні наслідки: втрату часу, фінансові збитки та удар по репутації. Крім того, відзначається глобальна тенденція, що бізнес починає переключатися саме на проблему внутрішньої ІТ-безпеки.
В ході дослідження "The Insider Threat Benchmark Report - Strategies for Data Pro tection" аналітикам вдалося з'ясувати, що за останній рік багато постачальників і дисб'юторів ІТ-систем якісно змінили номенклатуру запропонованих рішень. При цьому збільшилася частка продуктів, призначених для боротьби з інсайдерами. Однак у той же час найбільші ІТ-постачальники продовжують розширювати свій традиційний асортимент, зберігаючи пропорції рішень на колишньому рівні. Це говорить або недооцінку потенціалу відповідної лінійки товарів, або малому поточному попиті. Проте 41% американських респондентів уже впровадив у свою ІТ-інфраструктуру засоби захисту, що тією чи іншою мірою вирішують проблему інсайдерів.
Зазначимо, що російські замовники можуть переконатися в тому, що інтерес до систем для боротьби з витоками та інсайдерами з боку постачальників і системних інтеграторів сильно зріс. Наприклад, "Лабораторія Касперського" виділила свій бізнес у сфері внутрішньої ІТ-безпеки в окрему компанію - InfoWatch, а практично всі російські системні інтегратори включили рішення цієї фірми у свою продуктову лінійку. За словами Дениса Зенкіна, директора з маркетингу компанії InfoWatch, за 2005 рік прибуток підприємства зріс на 120% і в 2006 році спостерігалася аналогічна картина. І це незважаючи на те, що російські компанії суттєво відстають від американських у використанні систем захисту від інсайдерів. Згідно з дослідженням «Внутрішні ІТ-загрози в Росії 2005», під час якого компанія InfoWatch опитала понад 300 вітчизняних організацій, лише 2% респондентів застосовують системи для боротьби з інсайдерами та витоками. Однак зростання прибутків постачальників однозначно вказує на те, що це положення поступово змінюється.
Крім того, до систем боротьби з інсайдерами зовсім недавно виявила інтерес ще одна велика антивірусна компанія - McAfee. У жовтні 2006 року вона купила ізраїльську фірму Onigma, чиє єдине рішення призначене саме для виявлення та запобігання витоку. Згідно з прес-релізом, McAfee інтегрує технології Onigma у власне рішення і, таким чином, почне експансію на ринку рішень внутрішньої ІТ-безпеки.
Не виключено, що найближчим часом на ринку продуктів для захисту від витоків з'явиться найбільша у сфері ІТ-безпеки компанія Symantec. Загалом можна сміливо стверджувати, що включення до свого асортименту продуктів для боротьби з інсайдерами є надзвичайно перспективним напрямком диверсифікації для всіх ланок ланцюга дистрибуції рішень ІТ-безпеки.
Погляд з іншого боку
Повернемося тепер до результатів дослідження "Insider Threat Benchmark Report - Strategies for Data Protection" та подивимося на системи захисту від інсайдерів та витоків очима замовника. Усі американські компанії можна умовно розділити на три нерівні за кількісним складом групи: відстаючі (30%), середнячки (50%) та лідери (20%). У відстаючих підприємств показники діяльності загалом нижчі, ніж середні в галузі, а в лідерів відповідно вищі. Виявляється, що всі успішні організації (100% респондентів) вважають захист конфіденційних даних найважливішим напрямком у справі боротьби з інсайдерами. Крім того, найкращі компанії значно ширше використовують політики ідентифікації та розмежування доступу (75%). Характеристики різних груп у сфері внутрішньої ІТ-безпеки представлені малюнку.
З діаграм видно, що лідируючі компанії вважають за краще розглядати проект застосування системи захисту від інсайдерів як повноцінне ділове завдання. У цьому особливе значення вони надають комплексу супровідних послуг. Це дозволяє побудувати максимально ефективну систему внутрішньої безпеки та не перекладати нетипові завдання на плечі своїх службовців. Крім того, найкращі у своїй галузі підприємства намагаються мінімізувати людський фактор за рахунок використання повністю автоматизованих процесів. Нарешті, лідери на чільне місце ставлять інтеграцію продуктів в єдину і керовану систему, тому цінують гнучкість впроваджуваного рішення для захисту від інсайдерів.
Спробуємо оцінити проблему внутрішньої безпеки щодо технологій (табл. 1). Після вивчення кількох галузей промисловості з'ясувалося, що основними технологіями є: паролі, системи ідентифікації, біометрія, сканування мережного трафіку та управління доступом користувачів до конфіденційної інформації.
Таблиця 1. Технології захисту безпеки: поточний стан та прогноз
|
Технології |
Частка респондентів, які використовують технологію вже зараз, % |
Частка респондентів, які планують впровадити технологію протягом найближчих 12 місяців, % |
|
Складні паролі |
||
|
Списки контролю доступу |
||
|
Фільтрування мережного трафіку |
||
|
Сканування периметра |
||
|
Автоматичний моніторинг доступу працівників |
||
|
Класифікація даних (за ступенем конфіденційності) |
||
|
Єдина точка входу |
||
|
Ідентифікація із запитом та підтвердженням |
||
|
Аутентифікація за допомогою зворотного виклику на мобільний телефон |
Рівно 50% з найкращих за галузями фірм використовує складні паролі, фільтрацію мережевого трафіку та списки контролю доступу. Більше того, компанії мають намір суттєво нарощувати застосування саме цих технологій. Так, частка складних паролів зросте на 26% і сягне 93%; популярність списків контролю доступу збільшиться на 24% і дістанеться позначки 90%, а частка фільтрації мережевого трафіку зросте з 53 до 81%. Тим часом використання ID-карт, незважаючи на поширеність їх в даний час, навряд можна вважати популярним напрямом. Лише 13% респондентів планують запровадити цю технологію цього року.
Цікаво, що найперспективнішими технологіями є автоматичний моніторинг доступу працівників до важливих даних (очікується зростання до 72%) та класифікація даних (з 42% у 2006 році до 86% у нинішньому). Тут результати дослідження збігаються з думкою вітчизняних спеціалістів у галузі захисту інформації. В аналітичному центрі InfoWatch вважають, що саме автоматичному моніторингу дій інсайдерів та класифікації даних компанії приділяли незаслужено мало уваги у минулі роки. Тим часом без цього побудувати надійну систему захисту просто неможливо.
Далі, згідно з опитуванням, ті ж самі 53%, які використовують фільтрацію трафіку, вважають, що тільки захист периметра недостатній для забезпечення внутрішньої безпеки. Необхідно також розвивати віртуальні приватні мережі, щоб не знижувати рівень безпеки при комунікаціях із зовнішніми партнерами.
Перераховані технології забезпечують багаторівневий підхід та дозволяють підвищити безпеку конфіденційних даних. Однак, крім технологічної сторони, не варто забувати і про банальну фізичну безпеку інформації. Можна назвати чимало прикладів того, як важливі документи потрапляли до рук зловмисників після злому офісу та крадіжки комп'ютерного обладнання. Більш того, резервні стрічки та мобільні носії з конфіденційним вмістом часто губляться під час транспортування або відрядження.
Захист від інсайдерів
В даний час відсутня єдина думка, що склалася, на те, як регламентувати доступ користувачів. Це змушує організації забезпечувати централізоване управління даними у розподіленому середовищі. Технології можуть уможливити керованість, підзвітність та безпеку даних, але для цього потрібно застосовувати їх належним чином. У свою чергу методи використання залежать від специфіки діяльності підприємства-замовника. Отже, потрібно провести глибокий та всебічний аналіз тієї ІТ-інфраструктури, на якій передбачається розгортати систему безпеки. Багато замовників абсолютно справедливо доручають справу оцінки та вибору технологій спеціально створеним групам, куди входять спеціалісти різного профілю.
Сучасні технології та методи протидії інсайдерам істотно розрізняються. Справа в тому, що постачальники не можуть запропонувати універсальний засіб від інсайдерів. Вони надають цілий комплекс рішень для визначення відхилень, класифікації даних щодо ступеня конфіденційності та обмеження доступу.
Незважаючи на те, що тільки 51% компаній з числа опитаних в ході дослідження вважають, що комплексні рішення для захисту від інсайдерів виключно важливі, 49%, що залишилися, не оцінюють їх роль так високо. Втім, значимість даного результату полягає в тому, що як мінімум половина респондентів віддає перевагу комплексним рішенням. Це говорить про те, що вони справді стурбовані цією проблемою та розуміють важливість спільних заходів.
Крім того, в деяких галузях учасники зобов'язані більшою мірою дотримуватися конфіденційності даних клієнтів. Постійне законодавство на федеральному і регіональному рівнях все більше уваги приділяє саме захисту персональної інформації (таким, як п.в.о., дата народження, домашня адреса, номери кредитних карток, медичного поліса та ін.).
Організації повинні усвідомити важливість законодавчих розпоряджень у сфері захисту особистості. На думку учасників опитування, щоб покращити керування, потрібно автоматизувати санкціонований доступ. Компанії, які не автоматизують списки контролю доступу, підготовку та класифікацію даних, можуть мати серйозні проблеми. Так, 78% респондентів вважають захист інформації найважливішою причиною побудови захисту від інсайдерів. Отже, підприємства лише починають усвідомлювати загрозу з боку інсайдерів і з різних причин намагаються применшувати значення внутрішніх інцидентів. Проте приховати тенденцію до зростання небезпеки з боку інсайдерів неможливо.
Проблеми на шляху впровадження захисту від інсайдерів
Розглянемо ще два цікаві результати дослідження. У табл. 2 наведено п'ять найсерйозніших, на думку респондентів, проблем, що виникають при впровадженні системи захисту від внутрішніх загроз, а також варіанти їх вирішення. Табл. 3 аналогічна табл. 2 за структурою, але складена з урахуванням відповідей респондентів, які входять у групу провідних підприємств. Порівнюючи отримані дані, легко помітити відмінності підходу до проблеми середнячків і найуспішніших представників бізнесу. Якщо для лідерів головною проблемою є накладання впроваджуваного рішення на технології, що вже використовуються (75%), то для всіх респондентів в цілому - це обмеженість ІТ-ресурсів (44%). У ході проведення дослідження з'ясувалося, що просунуті організації вже запровадили комплексний захист своєї ІТ-інфраструктури і таким чином прикрили власне мережу, а також убезпечили себе на рівні додатків. Наразі ці компанії шукають способи зміцнення налагодженої системи безпеки. Організації ж, для яких основною є проблема обмеженості ІТ-ресурсів, серйозно лімітовані у діях. Це викликає тривогу, оскільки економія на безпеці може призвести до значно більших втрат. Очевидно, що ІТ-служби, як і служби ІТ-безпеки повинні отримувати фінансування в повному обсязі. Адже вони готують базу, на якій успішно функціонуватимуть решта підрозділів.
Таблиця 2. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
та їхнє можливе рішення (на базі всіх респондентів)
|
Проблема |
Частка відповідей, % |
Рішення проблеми |
Частка відповідей, % |
|
Обмеженість ІТ-ресурсів для впровадження рішення та управління ним |
Визначити вимоги до впровадження |
||
|
Складність програмного рішення |
Визначити власників даних та процесів |
||
|
Накладання рішення на вже існуючі процеси |
Провести тренінги з використання нових процесів та процедур |
Аналізуючи таблиці, можна також відзначити наступний досить цікавий факт: персонал компаній-лідерів виявляє своє незадоволення нововведеннями набагато частіше, ніж службовці середніх підприємств (50 проти 38%). Втім, нічого дивного у цьому немає. У сфері ІТ-безпеки людський чинник становить щонайменше половину проблеми. Якщо, наприклад, будь-яка організація дозволяє контрактникам, партнерам чи постачальникам користуватися своєї мережею, але заодно не піклується про процедури регламентування доступу до інформації, можна сміливо стверджувати, що проблеми у цьому напрямі в неї виникнуть обов'язково.
Таблиця 3. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
та їхнє можливе рішення (на базі компаній-лідерів)
|
Проблема |
Частка відповідей, % |
Рішення проблеми |
Частка відповідей, % |
|
Накладання рішення на вже впроваджені технології |
Фокусуватися на коротких проектах із швидкою віддачею |
||
|
Опір працівників нововведенням |
Поступово згортати та неквапливо розповсюджувати серед користувачів нові рішення |
||
|
Відсутність коштів на здійснення заходів |
Впроваджувати "зверху вниз", починаючи від технічного та ІТ-департаменту і закінчуючи всіма іншими відділами |
||
|
Обмеженість IT-ресурсів для впровадження та управління рішенням |
Демонструвати можливості та особливості рішень начальникам підрозділів |
||
|
Слабке володіння інструментами для оцінки ризиків |
Проводити тренінги з використання нових процесів та процедур |
Загалом відстаючі компанії та середняки, на відміну від лідерів, меншою мірою використовують автоматизацію та інтеграцію рішень, а крім того, мають у штаті малодосвідчених працівників. Усе це позначається на ефективності аналізу процедур безпеки та тлумачення його результатів. Найчастіше лише впровадження автоматизованих процесів та підвищення кваліфікації працівників веде до подолання людського фактора. За результатами дослідження, близько 25% найкращих підприємств використовують повністю автоматизовані системи. У той самий час до промислової можна віднести лише 9% випадків автоматизації.
Інформаційна захищеність підвищується у міру використання нових технологій відповідно до вимог бізнесу. Безперервне вдосконалення систем захисту принесе безперечну користь. Згідно з дослідженням, організації, які впровадили системи захисту від інсайдерів, отримали в середньому такий ефект:
- скоротилися скарги та звернення до ІТ-підрозділів та службу підтримки - на 3,5%;
- скоротилася кількість інцидентів ІТ-безпеки – на 13%;
- скоротилися витрати на робочу силу у ІТ-підрозділах – на 17,5%.
Таким чином, аналітики приходять до висновку, що організації, які займаються лише зовнішнім захистом, приречені на невдачу. Дійсно, забезпечення безпеки по периметру організації допомагає відбити напад хакерів, тоді як компаніям, які впровадили системи захисту від витоків та інсайдерів, дійсно вдається зменшити кількість інцидентів і скоротити витрати на ІТ.
Висновок
Виходячи з результатів проведених досліджень та оцінки ситуації напрошуються такі висновки. По-перше, немає єдиної технології захисту від інсайдерів. Забезпечити безпеку належним чином може лише комплекс заходів. Розрізнені продукти, хоч би добрими вони були, напевно не вирішать проблем, що виникають при побудові всеосяжного захисту. Так, закрити один із напрямків можна, але складність полягає в тому, що існує величезна кількість різних загроз. Зловмисники діють різними методами, і якраз для того, щоб усунути всі можливі лазівки, потрібно створити багаторівневу систему.
По-друге, відповідальність за збереження конфіденційної інформації не можна покласти на одну людину або навіть на підрозділ. У цьому напрямку мають тісно взаємодіяти співробітники ІТ-служби та відділу забезпечення ІТ-безпеки. Ще ефективнішим способом є залучення фахівців із багатим досвідом саме у сфері захисту від витоків. Останні пропонують глибокий аналіз існуючої ситуації та надають замовнику конкретні рішення. Вибудовується надійна система, яку може обслуговувати вже персонал компанії за необхідної підтримки інтегратора.
По-третє, наявні в організації дані потрібно ретельно вивчити і структурувати за рівнем конфіденційності. Потім виходячи з цієї класифікації слід побудувати систему обмеження доступу. Користувачі не повинні мати доступу до тих даних, які не потрібні їм для виконання службових обов'язків. Крім того, необхідно періодично переглядати права доступу для підтримки системи розмежування у актуальному стані.
По-четверте, людський фактор є одним із критичних у системі захисту інформації. На жаль, саме люди стають найслабшою ланкою ланцюга. Найчастіше інсайдерами є співробітники, відповідальні якщо не за захист конфіденційних відомостей, то як мінімум за збереження конфіденційності інформації. За незнанням або розсіяністю, зі злим наміром або без нього, але саме вони можуть завдавати значної шкоди своїм роботодавцям. Набагато небезпечніша ситуація, коли інсайдером є людина з ІТ-підрозділу або служби ІТ-безпеки. Його повноваження, зрозуміло, набагато ширші, ніж у більшості інших співробітників, і він має достатні знання та можливості, щоб непомітно «злити» дані. Саме внаслідок зазначених причин успішного ведення справ потрібно використовувати професійні системи моніторингу за діями службовців. Вони повинні бути якомога більш автоматизованими, які не залежать від людини, щоб була можливість контролювати співробітника. Програмні рішення та комплекси є найбільш ефективним методом захисту від зростання загрози з боку інсайдерів. Звичайно, не варто забувати і про методи роботи зі співробітниками. Їм слід розповідати про необхідність дотримання норм безпеки та вимагати від них виконання існуючих директив щодо роботи з конфіденційною інформацією. Однак лише програмно-апаратні засоби можуть попередити можливі випадки внутрішнього розкрадання.
