≡× МЕНЮ

•  Билайн
• Билайн
• Вопросы
• Мегафон
• МТС

Методы борьбы с инсайдерами. Защита от инсайдеров и утечки информации

В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения.

Прежде всего, стоит определить, что угроза конфиденциальности данных является внутренней, если ее источником является сотрудник предприятия или какое-либо другое лицо, имеющее легальный доступ к этим данным. Таким образом, когда мы говорим о внутренних угрозах, мы говорим о каких-либо возможных действиях легальных пользователей, умышленных или случайных, которые могут привести к утечке конфиденциальной информации за пределы корпоративной сети предприятия. Для полноты картины стоит добавить, что таких пользователей часто называют инсайдерами, хотя этот термин имеет и другие значения.

Актуальность проблемы внутренних угроз подтверждается результатами последних исследований. В частности, в октябре 2008 года были оглашены результаты совместного исследования компании Compuware и Ponemon Institue, согласно которым инсайдеры являются самой распространенной причиной утечек данных (75% инцидентов в США), тогда как хакеры оказались всего лишь на пятом месте. В ежегодном исследовании Computer Security Institute (CSI) за 2008 год цифры, говорящие о количестве инцидентов, связанных с внутренними угрозами, выглядят следующим образом:

Количество инцидентов в процентах означает, что из общего числа опрошенных данный тип инцидента происходил в указанном проценте организаций. Как видно из данных цифр, риск пострадать от внутренних угроз есть практически у каждой организации. Для сравнения, в соответствии с тем же отчетом, вирусы поразили 50% опрошенных организаций, а с проникновением хакеров в локальную сеть столкнулось только 13%.

Таким образом, внутренние угрозы – это реальность сегодняшнего дня, а не придуманный аналитиками и вендорами миф. Так что тем, кто по старинке считает, что корпоративная ИБ – это межсетевой экран и антивирус, необходимо как можно скорее взглянуть на проблему шире.

Повышает градус напряженности и закон «О персональных данных», в соответствии с которым за ненадлежащее обращение с персональными данными организациям и должностным лицам придется отвечать не только перед своим руководством, а еще и перед своими клиентами и перед законом.

Модель нарушителя

Традиционно при рассмотрении угроз и средств защиты от них следует начинать с анализа модели нарушителя. Как уже упоминалось, мы будем говорить об инсайдерах – сотрудниках организации и других пользователях, имеющих легальный доступ к конфиденциальной информации. Как правило, при этих словах всем приходит на ум офисный сотрудник, работающий на компьютере в составе корпоративной сети, который в процессе работы не покидает пределов офиса организации. Однако, такое представление неполно. Необходимо его расширить за счет других видов лиц, имеющих легальный доступ к информации, которые могут покидать офис организации. Это могут быть командированные с ноутбуками, или работающие и в офисе и дома, курьеры, перевозящие носители с информацией, в первую очередь, магнитные ленты с резервной копией и т.д.

Такое расширенное рассмотрение модели нарушителя, во-первых, укладывается в концепцию, поскольку угрозы, исходящие от этих нарушителей также относятся к внутренним, а во-вторых, позволяет проанализировать проблему более широко, рассмотрев все возможные варианты борьбы с этими угрозами.

Можно выделить следующие основные типы внутренних нарушителей:

• Нелояльный/обиженный сотрудник. Нарушители, относящиеся к этой категории, могут действовать целенаправленно, например, меняя работу и желая прихватить конфиденциальную информацию для того, чтобы заинтересовать нового работодателя, или эмоционально, в случае, если они посчитали себя обиженными, желая таким образом отомстить. Они опасны тем, что наиболее мотивированы на причинение ущерба той организации, в которой в настоящее время работают. Как правило, количество инцидентов с участием нелояльных сотрудников невелико, но оно может увеличиваться в ситуации неблагоприятных экономических условий и массовых сокращений персонала.
• Внедренный, подкупаемый или манипулируемый сотрудник. В данном случае речь идет о каких-либо целенаправленных действиях, как правило, в целях промышленного шпионажа в условиях острой конкуренции. Для сбора конфиденциальной информации в компанию-конкурента либо внедряют своего человека с определенными целями, либо находят не самого лояльного сотрудника и подкупают его, либо лояльного, но небдительного сотрудника средствами социальной инженерии заставляют передать конфиденциальную информацию. Количество инцидентов такого рода обычно еще меньше, чем предыдущих, в связи с тем, что в большинстве сегментов экономики в РФ конкуренция не сильно развита или реализуется другими способами.
• Халатный сотрудник. Данный вид нарушителя представляет собой лояльного, но невнимательного или халатного сотрудника, который может нарушить политику внутренней безопасности предприятия из-за ее незнания или забывчивости. Такой сотрудник может по ошибке отправить письмо по электронной почте с приложенным секретным файлом не тому, для кого оно предназначено, или взять домой флешку с конфиденциальной информацией, чтобы поработать с ней на выходных, и потерять ее. К этому же типу относятся сотрудники, теряющие ноутбуки и магнитные ленты. По мнению многих экспертов, инсайдеры именно этого типа ответственны за большинство утечек конфиденциальной информации.

Таким образом, мотивы, а, следовательно, и образ действий потенциальных нарушителей может существенно отличаться. В зависимости от этого следует подходить к решению задачи обеспечения внутренней безопасности организации.

Технологии защиты от внутренних угроз

Несмотря на относительную молодость данного сегмента рынка, клиентам уже есть из чего выбирать в зависимости от их задач и финансовых возможностей. Стоит отметить, что сейчас на рынке практически нет вендоров, которые специализировались бы исключительно на внутренних угрозах. Такая ситуация сложилась не только из-за незрелости данного сегмента, но еще и благодаря агрессивной и иногда хаотичной политике слияний и поглощений, которую проводят производители традиционных средств защиты и другие вендоры, заинтересованные в присутствии на этом сегменте. Стоит напомнить о компании RSA Data Security, которая стала подразделением EMC в 2006 году, покупку компанией NetApp стартапа Decru, занимавшегося разработкой систем защиты серверных хранилищ и резервных копий в 2005, покупку компанией Symantec DLP-вендора Vontu в 2007 году и т. д.

Несмотря на то, что большое количество подобных сделок говорит о хороших перспективах развития данного сегмента, они не всегда идут на пользу качеству продуктов, которые переходят под крыло крупных корпораций. Продукты начинают медленней развиваться, а разработчики не так оперативно реагируют на требования рынка по сравнению с узкоспециализированной компанией. Это общеизвестная болезнь больших компаний, которые, как известно, проигрывают в мобильности и оперативности своим меньшим братьям. С другой стороны, улучшается качество сервиса и доступность продуктов для клиентов в разных точках земного шара благодаря развитости их сервисной и сбытовой сети.

Рассмотрим основные технологии, применяемые в настоящее время для нейтрализации внутренних угроз, их преимущества и недостатки.

Контроль документов

Технология контроля документов воплощается в современных продуктах класса rights management, таких как Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management.

Принцип работы данных систем заключается в назначении правил использования для каждого документа и контроля этих прав в приложениях, работающих с документами данных типов. Например, можно создать документ Microsoft Word и задать для него правила, кому можно его просматривать, кому редактировать и сохранять изменения, а кому печатать. Данные правила в терминах Windows RMS называются лицензией и хранятся вместе с файлом. Содержимое файла зашифровывается для предотвращения возможности его просмотра неавторизованным пользователем.

Теперь если любой пользователь пытается открыть такой защищенный файл, приложение связывается со специальным RMS-сервером, подтверждает полномочия пользователя, и, если доступ этому пользователю разрешен, сервер передает приложению ключ для расшифрования данного файла и информацию о правах данного пользователя. Приложение на основе этой информации делает доступными для пользователя только те функции, для выполнения которых у него есть права. Например, если пользователю запрещено печатать файл, функция печати в приложении будет недоступна.

Получается, что информация в таком файле безопасна даже в случае, если файл попадет за пределы корпоративной сети – она зашифрована. Функции RMS уже встроены в приложения Microsoft Office 2003 Professional Edition. Для встраивания функций RMS в приложения других разработчиков Microsoft предлагает специальный SDK.

Система контроля документов от Adobe построена аналогичным образом, но ориентирована на документы в формате PDF. Система Oracle IRM устанавливается на клиентские компьютеры в виде агента и интегрируется с приложениями на этапе их выполнения.

Контроль документов – это важная часть общей концепции защиты от внутренних угроз, однако необходимо учитывать естественные ограничения этой технологии. Во-первых, она рассчитана исключительно на контроль файлов-документов. Если речь идет о неструктурированных файлах или базах данных, данная технология не работает. Во-вторых, если злоумышленник, используя SDK этой системы, создаст простейшее приложение, которое будет связываться с RMS-сервером, получать оттуда ключ шифрования и сохранять документ в открытом виде и запустит это приложение от имени пользователя, имеющего минимальный уровень доступа к документу, то данная система будет обойдена. Кроме этого, следует учитывать сложности при внедрении системы контроля документов в случае, если в организации уже создано много документов – задача первоначальной классификации документов и назначения прав их использования может потребовать значительных усилий.

Это не значит, что системы контроля документов не выполняют поставленной задачи, просто надо помнить, что защита информации – проблема комплексная, и решить ее с помощью только какого-либо одного средства, как правило, не удается.

Защита от утечек

Термин защита от утечек (data loss prevention, DLP) появился в лексиконе специалистов по ИБ сравнительно недавно, и уже успел стать, без преувеличения, самой горячей темой последних лет. Как правило, аббревиатурой DLP обозначают системы, контролирующие возможные каналы утечки и блокирующие их в случае попытки пересылки по этим каналам какой-либо конфиденциальной информации. Кроме этого, в функции подобных систем часто входит возможность архивирования проходящей по ним информации для последующего аудита, расследования инцидентов и ретроспективного анализа потенциальных рисков.

Различают два вида DLP-систем: сетевые DLP и хостовые DLP.

Сетевые DLP работают по принципу сетевого шлюза, который фильтрует все проходящие через него данные. Очевидно, что исходя из задачи борьбы с внутренними угрозами, основной интерес такой фильтрации заключается в возможности контроля данных, передаваемых за пределы корпоративной сети в интернет. Сетевые DLP позволяют контролировать исходящую почту, http- и ftp-трафик, службы мгновенных сообщений и т. д. При обнаружении конфиденциальной информации сетевые DLP могут заблокировать передаваемый файл. Также существуют возможности по ручной обработке подозрительных файлов. Подозрительные файлы помещаются в карантин, который периодически просматривает офицер безопасности и либо разрешает передачу файла, либо запрещает ее. Правда, такая обработка в силу особенностей протокола возможна только для электронной почты. Дополнительные возможности по аудиту и расследованию инцидентов предоставляет архивирование всех проходящей через шлюз информации при условии, что этот архив периодически просматривается и его содержимое анализируется с целью выявления имевших место утечек.

Одной из основных проблем при реализации и внедрении DLP-систем является способ детектирования конфиденциальной информации, то есть, момент принятия решения о том, является ли передаваемая информация конфиденциальной и основания, которые учитываются при принятии такого решения. Как правило, для этого производится анализ содержимого передаваемых документов, называемый также контентным анализом. Рассмотрим основные подходы к детектированию конфиденциальной информации.

• Метки. Данный метод аналогичен системам контроля документов, рассмотренным выше. В документы внедряются метки, описывающие степень конфиденциальности информации, что можно делать с этим документом, и кому посылать. По результатам анализа меток система DLP принимает решение, можно ли данный документ отправить наружу или нельзя. Некоторые DLP системы изначально делают совместимыми с системами rights management для использования меток, которые устанавливают эти системы, другие системы используют свой формат меток.
• Сигнатуры. Данный метод заключается в задании одной или нескольких последовательностей символов, наличие которых в тексте передаваемого файла должно говорить DLP-системе о том, что этот файл содержит конфиденциальную информацию. Большое количество сигнатур можно организовывать в словари.
• Метод Байеса. Данный метод, применяемый при борьбе со спамом, может успешно применяться и в системах DLP. Для применения этого метода создается список категорий, и указываются список слов с вероятностями того, что если слово встретилось в файле, то файл с заданной вероятностью принадлежит или не принадлежит к указанной категории.
• Морфологический анализ. Метод морфологического анализа аналогичен сигнатурному, отличие заключается в том, что анализируется не 100% совпадение с сигнатурой, а учитываются также однокоренные слова.
• Цифровые отпечатки. Суть данного метода заключается в том, что для всех конфиденциальных документов вычисляется некоторая хэш-функция таким образом, что если документ будет незначительно изменен, хэш-функция останется такой же, или тоже изменится незначительно. Таким образом, процесс детектирования конфиденциальных документов значительно упрощается. Несмотря на восторженные дифирамбы этой технологии со стороны многих вендоров и некоторых аналитиков, ее надежность оставляет желать лучшего, а с учетом того, что вендоры под различными предлогами предпочитают оставлять в тени детали реализации алгоритма цифровых отпечатков, доверие к ней не увеличивается.
• Регулярные выражения. Известные всем, кто имел дело с программированием, регулярные выражения позволяют легко находить в тексте шаблонные данные, например, телефоны, паспортные данные, номера банковских счетов, номера социального страхования и т.д.

Из приведенного списка легко заметить, что методы детектирования либо не гарантируют 100% определения конфиденциальной информации, поскольку уровень ошибок как первого, так и второго рода в них достаточно высок, либо требуют постоянного бдения службы безопасности для обновления и поддержания в актуальном виде списка сигнатур или присваивания меток конфиденциальным документам.

Кроме этого, определенную проблему в работе сетевых DLP может создать шифрование трафика. Если по требованиям безопасности необходимо шифровать сообщения электронной почты или использовать протокол SSL при соединении с какими-либо веб-ресурсами, проблема определения наличия конфиденциальной информации в передаваемых файлах может быть весьма сложноразрешимой. Не стоит забывать и о том, что в некоторые сервисы мгновенных сообщений, например, в Skype, шифрование встроено по умолчанию. От использования таких сервисов придется отказываться или использовать для их контроля хостовые DLP.

Тем не менее, несмотря на все сложности, при правильной настройке и серьезном подходе сетевые DLP могут значительно снизить риск утечки конфиденциальной информации и дать организации удобное средство для внутреннего контроля.

Хостовые DLP устанавливаются на каждый хост в сети (на клиентские рабочие станции и, при необходимости, на сервера) и также могут быть использованы для контроля интернет-трафика. Однако в этом качестве хостовые DLP получили меньшее распространение, и используются в настоящее время в основном для контроля внешних устройств и принтеров. Как известно, сотрудник, принесший на работу с флешку или с MP3-плеер, представляет для информационной безопасности предприятия гораздо большую угрозу, чем все хакеры, вместе взятые. Еще эти системы называют средствами обеспечения безопасности конечных точек сети (endpoint security), хотя часто этот термин используется более широко, например, так иногда называют антивирусные средства.

Как известно, проблему использования внешних устройств можно решить без использования каких-либо средств, отключив порты либо физически, либо средствами операционной системы, или административно, запретив сотрудникам приносить в офис любые носители информации. Однако, в большинстве случаев подход «дешево и сердито» неприемлем, поскольку не обеспечивается должная гибкость информационных служб, предъявляемая со стороны бизнес-процессов.

Из-за этого возник определенный спрос на специальные средства, с помощью которых можно более гибко решить проблему использования внешних устройств и принтеров сотрудниками компаний. Такие средства позволяют настраивать права доступа для пользователей к различным видам устройств, например, для одной группы пользователей запрещать работу с носителями и разрешать с принтерами, а для другой – разрешать работу с носителями в режиме «только чтение». В случае необходимости записи информации на внешние устройства для отдельных пользователей может использоваться технология теневого копирования, которая обеспечивает копирование на сервер всей информации, которая сохраняется на внешнее устройство. Скопированная информация может быть впоследствии проанализирована с целью анализа действий пользователей. Данная технология копирует все подряд, и в настоящее время нет систем, которые позволяют проводить контентный анализ сохраняемых файлов для того, чтобы заблокировать операцию и предотвратить утечку, как это делают сетевые DLP. Тем не менее, архив теневых копий обеспечит расследование инцидентов и ретроспективный анализ событий в сети, и наличие такого архива означает для потенциального инсайдера возможность быть пойманным и наказанным за свои действия. Это может оказаться для него существенным препятствием и весомой причиной отказаться от враждебных действий.

Стоит еще упомянуть контроль использования принтеров – твердые копии документов тоже могут стать источником утечки. Хостовые DLP позволяют контролировать доступ пользователей к принтерам так же, как и к другим внешним устройствам, и сохранять копии распечатываемых документов в графическом формате для последующего анализа. Кроме этого, определенное распространение получила технология водяных знаков (watermarks), которая реализует печать на каждой странице документа уникального кода, по которому можно определить, кто именно, когда и где печатал этот документ.

Несмотря на несомненные плюсы хостовых DLP, у них есть ряд недостатков, связанных с необходимостью установки агентского ПО на каждом компьютере, который предполагается контролировать. Во-первых, это может вызвать определенные сложности с точки зрения развертывания таких систем и управления ими. Во-вторых, пользователь с правами администратора может попытаться отключить это ПО для совершения каких-либо действий, не разрешенных политикой безопасности.

Тем не менее, для надежного контроля внешних устройств без хостовых DLP не обойтись, а упомянутые проблемы не относятся к разряду неразрешимых. Таким образом, можно сделать вывод, что концепция DLP в настоящее время является полноправным средством в арсенале корпоративных служб безопасности в условиях постоянно усиливающегося на них давления по обеспечению внутреннего контроля и защите от утечек.

Концепция IPC

В процессе изобретения новых средств борьбы с внутренними угрозами научно-инженерная мысль современного общества не останавливается, и, учитывая определенные недостатки средств, которые рассматривались выше, рынок систем защиты от утечек информации пришел к концепции IPC (Information Protection and Control). Данный термин появился сравнительно недавно, считается, что впервые он был использован в обзоре аналитической компанией IDC в 2007 году.

Суть данной концепции заключается в объединении методов DLP и шифрования. В данной концепции с помощью DLP контролируется информация, покидающая пределы корпоративной сети по техническим каналам, а шифрование используется для защиты носителей данных, которые физически попадают или могут попасть в руки посторонних лиц.

Рассмотрим наиболее распространенные технологии шифрования, которые могут применяться в концепции IPC.

• Шифрование магнитных лент. Несмотря на архаичность этого типа носителя, он продолжает активно использоваться для резервного копирования и для переноса больших объемов информации, поскольку по удельной стоимости хранимого мегабайта до сих пор не имеет равных. Соответственно, утечки, связанные с утерями магнитных лент, продолжают радовать редакторов новостных лент, помещающих информацию о них на первые полосы, и расстраивать ИТ-директоров и службы безопасности предприятий, ставших героями подобных сообщений. Ситуация усугубляется тем, что такие ленты содержат очень большие объемы данных, и, следовательно, большое количество людей может стать жертвами мошенников.
• Шифрование серверных хранилищ. Несмотря на то, что серверные хранилища очень редко транспортируют, и риск их потери неизмеримо ниже, чем у магнитной ленты, отдельный жесткий диск из хранилища может попасть в руки злоумышленников. Ремонт, утилизация, апгрейд – эти события возникают с достаточной регулярностью для того, чтобы списывать этот риск со счетов. Да и ситуация проникновения в офис посторонних лиц не является совершенно невозможным событием.

Здесь стоит сделать небольшое отступление и упомянуть про распространенное заблуждение о том, что если диск находится в составе RAID-массива, то, якобы, можно не беспокоиться о том, что он попадет в посторонние руки. Казалось бы, чередование записываемых данных на несколько жестких дисков, которое выполняют контроллеры RAID, обеспечивает нечитаемый вид данным, которые находятся на каком-то одном жестком виде. К сожалению, это не совсем так. Чередование действительно имеет место, однако в большинстве современных устройств оно выполняется на уровне блоков по 512 байт. Это означает, что, несмотря на нарушение структуры и форматов файлов, конфиденциальную информацию извлечь из такого жесткого диска все равно можно. Поэтому если поставлено требование по обеспечению конфиденциальности информации при ее хранении в RAID-массиве, единственным надежным вариантом остается шифрование.

• Шифрование ноутбуков. Об этом говорилось уже бесчисленное количество раз, но все равно потери ноутбуков с конфиденциальной информацией уже который год не выходят из первой пятерки хит-парада инцидентов.
• Шифрование съемных носителей. В данном случае речь идет о портативных USB-устройствах и, иногда, о записываемых CD- и DVD-дисках, если они используются в бизнес-процессах предприятия. Такие системы, также как и упомянутые выше системы шифрования жестких дисков в ноутбуках, часто могут выступать в качестве компонент хостовых DLP-систем. В этом случае говорят о своего рода криптопериметре, который обеспечивает автоматическое прозрачное шифрование носителей внутри, и невозможность расшифровать данные за его пределами.

Таким образом, шифрование может существенно расширить возможности DLP-систем и снизить риски утечки конфиденциальных данных. Несмотря на то, что концепция IPC оформилась сравнительно недавно, и выбор комплексных IPC-решений на рынке не слишком широк, индустрия активно осваивает эту область и вполне возможно, что через некоторое время эта концепция станет стандартом де-факто для решения проблем внутренней безопасности и внутреннего контроля.

Выводы

Как видно из данного обзора, внутренние угрозы – это достаточно новая область в ИБ, которая, тем не менее, активно развивается и требует к себе повышенного внимания. Рассмотренные технологии контроля документов, DLP и IPC позволяют построить достаточно надежную систему внутреннего контроля и снизить риск утечки до приемлемого уровня. Без сомнения, данная область ИБ продолжит развиваться, будут предлагаться более новые и совершенные технологии, но уже сегодня многие организации делают выбор в пользу того или иного решения, поскольку беспечность в вопросах информационной безопасности может обойтись слишком дорого.

Алексей Раевский
Генеральный директор компании SecurIT

Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.

nahna

Маркетинговое подразделение компании Инфовотч, уже в течении продолжительного времени убеждает всех заинтересованных лиц - ИТ-специалистов, а также наиболее продвинутых в области ИТ руководителей, что большая часть ущерба от нарушения ИБ компании приходится на инсайдеров - сотрудников разглашающих коммерческую тайну. Цель понятна - надо создавать спрос на выпускаемый продукт. Да и доводы выглядят вполне солидно и убедительно.

Постановка задачи

Построить систему защиты информации от кражи персоналом в ЛВС на базе Active Directory Windows 2000/2003. Рабочие станции пользователей под управлением Windows XP. Управление предприятием и бухгалтерский учет на базе продуктов 1С.
Секретная информация хранится тремя способами:

1. БД 1С - доступ по сети через RDP (терминальный доступ);
2. расшаренные папки на файловых серверах - доступ по сети;
3. локально на ПК сотрудника;

Каналы утечки - интернет и сменные носители (флешки, телефоны, плееры и т.п.). Запрещать использование интернет и сменных носителей нельзя, так как они необходимы для исполнения служебных обязанностей.

Что есть на рынке

Рассматриваемые системы я разделил на три класса:

1. Системы на основе контекстных анализаторов - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет и т.п.
2. Системы на основе статической блокировки устройств - DeviceLock, ZLock, InfoWatch Net Monitor.
3. Системы на основе динамической блокировки устройств - SecrecyKeeper, Страж, Аккорд, SecretNet.

Системы на основе контекстных анализаторов

Принцип работы:
В передаваемой информации ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи.

Максимальными возможностями среди перечисленных продуктов, на мой взгляд, обладает InfoWatch Traffic Monitor (www.infowatch.ru). За основу взят неплохо себя зарекомендовавший движок Касперский Антиспам, наиболее полно учитывающий особенности русского языка. В отличии от остальных продуктов, InfoWatch Traffic Monitor, при анализе учитывает не только наличие определенных строк в проверяемых данных, но и заранее заданный вес каждой строки. Таким образом при принятии окончательного решения, учитывается не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются, что позволяет повысить гибкость анализатора. Остальные возможности стандартны для такого рода продуктов - анализ архивов, документов MS Office, возможность блокировки передачи файлов неизвестного формата или запароленных архивов.

Недостатки рассмотренных системы на основе контекстного анализа:

• Контролируются только два протокола - HTTP и SMTP (для InfoWatch Traffic Monitor, причем для HTTP трафика проверяются только данные передаваемые с помощью POST-запросов, что позволяет организовать канал утечки с помощью передачи данных методом GET);
• Не контролируются устройства переноса данных - дискеты, CD, DVD, USB-диски и т.п. (У Инфовотч на этот случай есть продукт InfoWatch Net Monitor).
• для обхода систем построенных на основе контентного анализа, достаточно применить простейшую кодировка текста (например: секрет -> с1е1к1р1е1т), либо стеганографию;
• следующая задача не решается методом контентного анализа - подходящего формального описания в голову не приходит, поэтому просто приведу пример: есть два екселевских файла - в первом розничные цены (публичная информация), во втором - оптовые для определенного клиента (закрытая информация), содержимое файлов различается только цифрами. С помощью контентного анализа эти файлы различить нельзя.

Вывод:
контекстный анализ годится только для создания архивов трафика и противодействия случайной утечки информации и поставленную задачу не решает.

Системы на основе статической блокировки устройств

Принцип работы:
пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам. В принципе практически такого же эффекта можно добиться используя штатные механизмы Windows.

Zlock (www.securit.ru) - продукт появился сравнительно недавно, поэтому имеет минимальный функционал (рюшечки я не считаю), да и отлаженностью он не отличается, например, консоль управления иногда падает при попытке сохранить настройки.

DeviceLock (www.smartline.ru) - продукт более интересный, на рынке достаточно давно, поэтому работает значительно стабильнее и функционал имеет более разнообразный. Например, позволяет выполнять теневое копирование передаваемой информации, что может помочь в расследовании инциндента, но не в его предотвращении. Кроме того, такое расследование скорее всего будет проводится тогда, когда об утечке станет известно, т.е. спустя значительный промежуток времени после того, как она произойдет.

InfoWatch Net Monitor (www.infowatch.ru) состоит из модулей - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor является аналогом Zlock, стандартный функционал, без изюма. FileMonitor - контроль обращения к файлам. OfficeMonitor и AdobeMonitor позволяют контролировать работу с файлами в соответствующих приложениях. Придумать полезное, а не игрушечное, применение для FileMonitor, OfficeMonitor и AdobeMonitor в настоящее время достаточно затруднительно, но в будующих версиях должна появится возможность контекстного анализа по обрабатываемым данным. Возможно тогда эти модули и раскроют свой потенциал. Хотя стоит заметить, что задача контекстного анализа файловых операций не является тривиальной, особенно если база контентной фильтрации будет таже, что и в Traffic Monitor, т.е. сетевой.

Отдельно необходимо сказать о защите агента от пользователя с правами локального администратора.
В ZLock и InfoWatch Net Monitor такая защита просто отсутствует. Т.е. пользователь может остановить агента, скопировать данные и снова запустить агента.

В DeviceLock такая защита присутствует, что является несомненным плюсом. Она основана на перехвате системных вызовов работы с реестром, файловой системой и управления процессами. Еще одним плюсом является то, что защита работает и в safe-mode. Но есть и минус - для отключения защиты достаточно восстановить Service Descriptor Table, что можно сделать загрузив простенький драйвер.

Недостатки рассмотренных систем на основе статической блокировки устройств:

• Не контролируется передача информации в сеть.
• -Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
• Отсутствует либо легко обходится защита от выгрузки агента.

Вывод:
внедрять подобные системы не целесообразно, т.к. поставленную задачу они не решают.

Системы на основе динамической блокировки устройств

Принцип работы:
доступ к каналам передачи блокируется в зависимости от уровня допуска пользователя и степени секретности информации с которой ведется работа. Для реализации этого принципа указанные продукты используют механизм полномочного разграничение доступа. Этот механизм встречается не очень часто, поэтому остановлюсь на нем подробнее.

Полномочный (принудительный) контроль доступа в отличие от дескриционного (реализованного в системе безопасности Windows NT и выше), заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь наделенный особыми полномочиями - офицер или администратор информационной безопасности.

Основной целью разработки продуктов типа Страж, Аккорд, SecretNet, DallasLock и еще некоторых, являлась возможность сертификации информационных систем в которых данные продукты будут установлены, на соответствие требованиям Гостехкоммисии (сейчас ФСТЕК). Такая сертификация обязательна для информационных систем в которых обрабатывается гос. тайна, что в основном и обеспечивало спрос на продукты со стороны гос предприятий.

Поэтому, набор функций реализованных в данных продуктах определялся требованиями соответствующих документов. Что в свою очередь повлекло тот факт, что большая часть реализованного в продуктах функционала, либо дублирует штатный функционал Windows (очистка объектов после удаления, очистка ОЗУ), либо его неявно использует (дескрицирнный контроль доступа). А разработчики DallasLock пошли еще дальше, реализовав мандатный контроль доступа своей системы, через механизм дескриционного контроля Windows.

Практическое применение подобных продуктов крайне не удобно, например DallasLock для установки требует переразбивки жесткого диска, которую к тому же надо выполнять с помощью стороннего ПО. Очень часто после прохождения сертификации эти системы удалялись или отключались.

SecrecyKeeper (www.secrecykeeper.com) еще один продукт, реализующий полномочный механизм контроля доступа. По словам разработчиков, разрабатывался SecrecyKeeper именно для решения конкретной задачи - предотвращение кражи информации в коммерческой организации. Поэтому, опять же со слов разработчиков, особое внимание при разработке уделялось простоте и удобству использования, как для администраторов системы так и для простых пользователей. Насколько это удалось - судить потребителю, т.е. нам. Кроме того в SecrecyKeeper реализован ряд механизмов, которые в остальных упомянутых системах отсутствуют - например возможность устанавливать уровень секретности для ресурсов с удаленным доступом и механизм защиты агента.
Контроль перемещения информации в SecrecyKeeper реализован на основе Уровня Секретности Информации, Уровней Допуска Пользователя и Уровня Безопасности Компьютера, которые могут принимать значения public, secret и top secret. Уровень Секретности Информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:

public - не секретная информация, при работе с ней никаких ограничений нет;

secret - секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя;

top secret - совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя.

Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.

Уровни Допуска Пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее Уровня Секретности. Существуют следующие Уровни Допуска Пользователя:

Уровень Допуска Пользователя - ограничивает максимальный Уровень Секретности Информации к которой, может получить доступ сотрудник;

Уровень Допуска к Сети - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;

Уровень Допуска к Сменным Носителям - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может копировать на внешние носители.

Уровень Допуска к Принтеру - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может распечатать.

Уровень Безопасности Компьютера - определяет максимальный Уровень Секретности Информации, которая может храниться и обрабатываться на компьютере.

Доступ к информации имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается.

Доступ к информации имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Пример: пусть сотрудник имеет Уровень Допуска равный top secret, Уровень Допуска к Сети равный secret, Уровень Допуска к Сменным Носителям равный public и Уровень Допуска к Принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию.

Для управления распространением информации на предприятие каждому компьютеру закрепленному за сотрудником, присваивается Уровень Безопасности Компьютера. Этот уровень ограничивает максимальный Уровень Секретности Информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Т.о. если сотрудник имеет Уровень Допуска равным top secret, а компьютер на котором он в данный момент работает имеет Уровень Безопасности равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.

Вооружившись теорией попробуем применить SecrecyKeeper для решения поставленной задачи. Упрощенно описать информацию, обрабатываемую в информационной системе рассматриваемого абстрактного предприятия (см. постановку задачи), можно с помощью следующей таблицы:

Сотрудников предприятия и область их должностных интересов описывается с помощью второй таблицы:

пусть на предприятии используются следующие сервера:
Сервер 1С
Файловый сервер с шарами:
SecretDocs - содержит секретные документы
PublicDocs - содержит общедоступные документы

Замечу, что для организации стандартного разграничения доступа используются штатные возможности операционной системы и прикладного ПО, т.е. для того, чтобы предотвратить доступ например менеджера к персональным данным сотрудников, дополнительных систем защиты вводить не надо. Речь идет именно о противодействии распространению информации, к которой сотрудник имеет законный доступ.

Переходим к непосредственной настройки SecrecyKeeper.
Процесс установки консоли управления и агентов описывать не буду, там все максимально просто - см. документацию к программе.
Настройка системы состоит из выполнения следующих действий.

Шаг 1. Установить агенты на все ПК кроме серверов - это сразу позволяет предотвратить попадание на них информации для которой установлен Уровень Секретности выше чем public.

Шаг 2. Присвоить сотрудникам Уровни Допуска в соответствии со следующей таблицей:

	Уровень Допуска Пользователя	Уровень Допуска к Сети	Уровень Допуска к Сменным Носителям	Уровень Допуска к Принтеру
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретарь	public	public	public	public

Шаг 3. Присвоить Уровни Безопасности Компьютера следующим образом:

Шаг 4. Настроить Уровни Секретности Информации на серверах:

Шаг 5. Настроить Уровни Секретности Информации на ПК сотрудников для локальных файлов. Это самая трудоемкая часть, так как необходимо четко представлять, кто из сотрудников с какой информацией работает и насколько эта информация является критичной. Если в организации был проведен аудит информационной безопасности, его результаты могут значительно облегчить задачу.

Шаг 6. При необходимости SecrecyKeeper позволяет ограничить список программ разрешенных к запуску пользователям. Этот механизм реализован независимо от Windows Software Restriction Policy и может использоваться если например надо наложить ограничения и на пользователей с правами администратора.

Таким образом с помощью SecrecyKeeper, возможно значительно снизить риск несанкционированного распространения секретной информации - как утечки, так и кражи.

Недостатки:
- трудность с первоначальной настройкой уровней секретности для локальных файлов;

Общий вывод:
максимальные возможности по защите информации от инсайдеров предоставляет ПО обладающее возможностью динамически регулировать доступ к каналам передачи информации, в зависимости от степени секретности информации с которой ведется работа и уровня допуска сотрудника.

Компания - это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат-партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе.

Думаю, для всех очевидно, что на фоне нынешнего кризиса происходит грандиозный передел собственности, особенно в финансовой сфере. Конкуренты не гнушаются никакими средствами. На войне как на войне - в ход идёт всё. Использование инсайдерской информации часто становится ключом к победе, а для кого-то источником поражения.

Речь уже идет не об ущербе репутации фирмы или о некоторых финансовых трудностях. Часто речь идет о банальном выживании предприятия.

Классическое определение инсайдера - член ограниченного круга людей, имеющих доступ к важной закрытой информации. С точки зрения финансовых структур, инсайдер — это злоумышленник, использующий свои знания об эмитентах ценных бумаг для игры на фондовой бирже или продающий эти сведения третьим лицам. Правоохранительные органы будут считать инсайдером оперативника, продающего сведения об операциях МВД организованному преступному сообществу.

Специалисты по информационной безопасности считают инсайдерами сотрудников компании, имеющих доступ к неким конфиденциальным данным, размещенным в локальной сети предприятия.

Разгласить эти сведения сотрудники могут вольно или невольно. Кроме откровенного хищения данных с целью их дальнейшей перепродажи или разглашения во вред предприятию, существует огромный пласт случаев, когда информация попала не в те руки по ошибке или по недоразумению. Это может быть и письмо с важными спецификациями, отправленное не туда «глупой» секретаршей, а может и недостаточно четкое указание начальства, в результате которого на сайт корпорации выкладываются «исходники» нового программного продукта.

Какие же данные чаще всего интересуют злоумышленников?

Как ни странно, по статистике, инсайдеров больше всего интересуют персональные данные. 68% респондентов исследования «Инсайдерские угрозы в России 2009» отметили, что именно этот тип информации становится объектом нездорового внимания сотрудников. И это несмотря на то, что такая информация не приносит такой коммерческой выгоды, как технические спецификации новых продуктов, финансовые отчеты или бизнес-планы… Эти сведения также привлекают внимание инсайдеров, но они традиционно лучше защищаются у нас в стране.

Хочется отметить, что защитить абсолютно всю информацию от утечек, нереально. По мнению специалистов нашей компании, имеет смысл сфокусироваться на защите двух основных категорий данных:

• Информации о клиентской базе - названия компаний, имена и контактные данные клиентов (телефонов, адресов, электронной почты).
• Информации, которая может вызвать панику у клиентов или срыв крупных сделок. Это может быть информация о массовых сокращениях персонала, замораживании вкладов, задержках выплат и т.п.

Следует отметить, что системы защиты от несанкционированного доступа (НСД) или распределения прав (DRM) в данном случае помогут весьма ограниченно. Это происходит оттого, что, именно люди, имеющие доступ и соответствующие права, как правило, становятся источником утечки информации. Зато весьма эффективными будут так называемые DLP-системы (Data Leakage Prevention) - системы предотвращения утечек.

Информацию о клиентах можно защитить с помощью формальных методов защиты баз данных. Это анализ формальных атрибутов файла или отслеживание файловых отпечатков (fingerprints). На данный момент эти методы защиты поддерживают большинство разработчиков DLP-систем.

Относительно утечек "панической" информации можно сказать, что отследить их реально только с помощью так называемой контентной фильтрации. Эта популярная технология, используемая антивирусами и спам-фильтрами. Суть ее состоит в сортировке и классификации всего потока информации в информационной инфраструктуре предприятия на основе их содержания (контента). Это весьма сложные и специфические продукты, которые должны настраиваться профессионалами.

Ключевой функцией для предотвращения инсайдерской утечки информации является блокирование перемещения информации из внутренней информационной системы наружу. Это, прежде всего - пересылка по электронной почте и по интернет-каналам (что есть не во всех системах). Многие предприятия останавливаются на обычном мониторинге информации с последующим ее анализом. Это представляется более простым методом, чем разбираться на лету с возможными ложными срабатываниями DLP-систем. Но стоит отметить, что предотвратить утечку действительно важной для существования предприятия информации значительно лучше, чем пост-фактум наказать виновных. Поэтому внедрение и обслуживание DLP-систем - лучшее вложение средств для защиты вашего бизнеса от инсайда.

Автоматизированные системы по предотвращению утечек информации на основе контентной фильтрации - далеко не единственное звено в цепи защиты. Эффективная защита конфиденциальных данных может быть создана только из комбинации технических, административных и организационных мер! Как неотъемлемая часть борьбы с инсайдом, на предприятии должны выполняться следующие мероприятия:

• Стандартизация программного обеспечения с четким выполнением требований специалистов по безопасности. Через различное, нестандартное ПО, установленное пользователями на своих компьютерах улетучивается весьма приличный процент информации.
• Неукоснительное соблюдение правил безопасности предприятия, в том числе организационных (ограничения доступа в помещения, ограничения использования переносных накопителей и т.п.)
• Юридически закрепленная ответственность персонала за разглашение конфиденциальной информации с четким определением, что именно входит в перечень такой информации.
• Централизованный и полностью контролируемой ИТ-службой и службой безопасности выход сотрудников любого ранга в сеть Интернет.
• Использование методов аутентификации пользователей при работе в информационной среде предприятия.
• Обучение сотрудников безопасной работе с информацией, компьютерами и сети Интернет.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации. И это не только внешние USB-носители или CD/DVD-диски. Копировать информацию можно и на mp3-плееры, сотовые телефоны, которые напрямую к компьютеру могут и не подключаться, на внешнее оборудование, которое может подключаться к локальной сети через Wi-Fi и иными способами. Кроме того - это и отправка по электронной почте, средствами программ для обмена мгновенными сообщениями, через форумы, блоги, чаты. Вариантов много, можно ли защититься от них?

Для защиты данных от инсайдеров применяют различные методы, в число которых входит и использование специальных программ, предназначенных для контроля за использованием периферийных устройств. В этой статье мы рассмотрим несколько программ, как зарубежных производителей, так и отечественных, и постараемся определить, где и когда их следует применять.

Программа предназначена для ограничения доступа к различным периферийным устройствам, с возможностью создания "белых" списков, ведению мониторинга работы пользователей, теневому копированию файлов, копируемых на или с контролируемых устройств. Имеется возможность как централизованной установки драйверов слежения, так и их локальной установки.

Установка программы может осуществляться как централизованно, так и локально, если доступ к защищаемому компьютеру через сеть ограничен или невозможен. В единый дистрибутив входит несколько модулей: серверный, устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных; клиентский, реализованный в виде драйвера слежения; администраторский и база данных, в качестве которой используется SQLite.

Драйвера слежения обеспечивают контроль различных портов, включая USB , CIM, LPT, WiFi, ИК и другие. В зависимости от типа порта можно запрещать доступ полностью, разрешать чтение или открывать полный доступ к устройству. Распределение доступа по времени отсутствует. Также замечено, что при разрешении доступа только на чтение к устройствам типа USB-флешек, возможность редактирования обычных текстовых файлов на этих устройствах с возможностью их сохранения на этом же носителе остается.

Показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. Реализовано теневое копирование файлов, которые читались или записывались на USB-устройства. Теневого копирования файлов, отправляемых на печать или иные устройства, нет, ведется лишь их журналирование.

Существует понятие "белого списка", в который заносятся USB-устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (например, USB-ключи). Этот список единый для всех компьютеров, индивидуальных списков для отдельных пользователей не имеется.

обеспечивает настройку доступа к различным внешним устройствам, но не выделяет при этом из общего списка USB-устройств принтеры, подключаемые к этим портам. В то же время она различает сменные носители и может устанавливать для них различные виды доступа. Сменные носители автоматически заносятся в базу устройств (программа занесет в базу все USB-носители, когда-либо подключавшиеся к конкретному компьютеру), что позволяет применять назначенные для них права доступа для любых защищаемых с помощью программы компьютеров.

В ней имеется возможность использовать централизованную установку клиентских частей с помощью групповой политики Active Directory. При этом сохраняется возможность их установки локально и через панель администратора программы. Разграничение прав доступа осуществляется на основе политик контроля доступа, однако, допускается создание нескольких политик, которые могут применяться индивидуально для различных компьютеров. Кроме функции контроля доступа, позволяет осуществлять протоколирование использования устройств на локальном компьютере.

Программа поддерживает функцию теневого копирования – возможность сохранять точную копию файлов, копируемых пользователем на внешние устройства хранения информации. Точные копии всех файлов сохраняются в специальном хранилище и позже могут быть проанализированы с помощью встроенной системы анализа. Теневое копирование может быть задано для отдельных пользователей и групп пользователей. При включении функции "вести только лог" при копировании файлов будет сохраняться только информация о них (без сохранения точной копии файла).

В программе отсутствует понятие "белого списка" устройств. Вместо него в общей политике можно указать съемный носитель и разрешить к нему доступ с любого компьютера. Заметим, что в ней нет возможности применить такие же настройки к отдельным CD/DVD-дискам.

Программа компании GFI существенно превосходит по своим возможностям и , и – в ней, например, гораздо больше контролируемых устройств, чем у предыдущих программ (медиаплееры iPod, Creative Zen, мобильные телефоны, цифровые камеры, средства архивирования на магнитных лентах и Zip-дисках, Web-камеры, сканеры).

В программе предусмотрены три типовые настройки прав доступа – для серверов, рабочих станций и переносных компьютеров. В дополнение к блокированию устройств , в программе есть возможность блокирования доступа к файлам в зависимости от их типа. Например, можно открыть доступ на чтение к файлам документов, но запретить доступ к исполняемым файлам. Также имеется возможность блокирования доступа к устройствам не только по их типу, но и по физическому порту, к которому подключаются внешние устройства. Еще одна настройка прав доступа ведется по уникальным идентификаторам устройств.

Администратор программы может вести два типа списков устройств – тех, доступ к которым разрешен по умолчанию ("белый список"), и тех, доступ к которым запрещен ("черный список"). ИТ-специалист может давать временные разрешения на доступ к устройствам или группам устройств на отдельно взятом компьютере (реализуется за счет генерации специального кода, который может передаваться пользователю даже в том случае, если его компьютер отключен от сети и агент программы не имеет возможности подключиться к серверу).

В программе реализована поддержка новой функции шифрования, применяемой в системе Windows 7, которая называется BitLocker To Go. Эта функция используется для защиты и шифрования данных на съемных устройства. GFI EndPointSecurity может распознавать такие устройства и обеспечивать доступ к сохраненным на них файлам в зависимости от их типов.

Предоставляет администратору мощную систему отчетов. Подсистема статистики (GFI EndPointSecurity ReportPack) показывает (в текстовом и графическом виде) ежедневную сводку использования устройств как для выбранных компьютеров, так и для всех компьютеров в целом. Также можно получить статистические данные по активности пользователей в разрезе дня, недели, месяца с разбивкой по использованным приложениям, устройствам, путям доступа к файлам.

Одна из наиболее распространенных сегодня в России программ защиты информации от инсайдеров. издается в России под маркой «1С:Дистрибьюция»

Программа обеспечивает контроль не только устройств, работающих под управлением Windows Mobile, но и устройств, работающих под операционными системами iPhone OS и Palm OS. При этом обеспечивается и теневое копирование всех переписываемых файлов и данных вне зависимости от того, по какому порту эти устройства подключаются к контролируемой сети. Теневое копирование можно настроить не только по устройствам, но и по типам файлов, при этом тип будет определяться не на основе расширений, а на основе их содержания.

Предусмотрена возможность установки доступа "только чтение" для сменных носителей, включая ленточные накопители. Как дополнительная опция – защита носителей от случайного или преднамеренного форматирования. Так же можно вести протокол всех действий пользователей как с устройствами, так и с файлами (не только копирование или чтение, но и удаление, переименование и так далее).

Для уменьшения нагрузки на сеть при передаче данных, получаемых от агентов, и файлов теневого копирования, может использоваться потоковое сжатие. Данные теневого копирования в больших сетях могут сохраняться на нескольких серверах. Программа автоматически выбирает оптимальный сервер, учитывая пропускную способность сети и загрузку серверов.

Во многих организациях для защиты данных используются диски, защищаемые специальными программами шифрования - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt и TrueCrypt. Для таких дисков программа может устанавливать специальные "политики шифрования", что позволяет разрешить запись только зашифрованных данных на съемные устройства. Поддерживается работа и с флеш-дисками Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающих аппаратное шифрование данных. В ближайшей версии будет поддержана и работа со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go.

Теневое копирование предназначено не только для сохранения копий файлов, но и для проведения анализа перемещенной информации. может осуществлять полнотекстовый поиск по содержимому файлов, автоматически распознавая и индексируя документы в различных форматах.

Уже объявлено о выходе новой версии программы, в которой кроме полноценного поиска будет реализована и контентная фильтрация файлов, копируемых на съемные устройства хранения любых типов, а также контроль содержимого объектов данных, передаваемых с компьютера через каналы сетевых коммуникаций, включая приложения электронной почты, интерактивные web-сервисы, социальные сети, форумы и конференции, наиболее популярные службы мгновенных сообщений (Instant Messengers), файловые обмены по протоколу FTP, а также Telnet-сессии

Уникальной в новой версии является технология фильтрации текстовых данных в канале сетевой и локальной печати документов для заданий в форматах PCL и PostScript, что позволяет блокировать или разрешать печать документов в зависимости от их информационного содержания.

Выводы

Удаленное управление клиентами
Управление через оснастку MMC
Централизованная установка политик, контроль и восстановление
Контроль внешних устройств	Только USB
Контроль WiFi адаптеров
Контроль устройств Palm OS. iPhone/iPod			Ограниченное	Ограниченное
Поддержка технологии "белых списков"
Поддержка технологии "белых списков" носителей данных
Поддержка внешних зашифрованных дисков
Блокировка кейлоггеров
Ограничение объемов копируемых данных
Контроль данных по типам
Централизованное ведение логов
Теневое копирование	Только для USB	Только для USB	Частично
Теневое копирование данных печати
Графические отчеты логов и теневого копирования
Полнотекстовый поиск в данных теневого копирования

Две первые из рассмотренных программ могут использоваться для защиты информации от хищений, но возможности их ограничены. Они в различной степени "закрывают" стандартные внешние устройства, но возможности их ограничены – и в части настроек, и в части проведения анализа работы пользователей. Эти программы можно рекомендовать "для пробы", для уяснения самого процесса защиты. Для крупных организаций, где используется разнообразное периферийное оборудование и требуется анализ деятельности пользователей, названные выше программы будут явно недостаточными.

Для них лучше обратить внимание на программы - и . Это профессиональные решения, которые могут применяться в компаниях как с малым, так и с большим количеством компьютеров. Обе программы обеспечивают контроль различных периферийных устройств и портов, имеют мощные системы анализа и формирования отчетов. Но и между ними есть существенные различия, поэтому программу компании GFI в этом случае можно принять за базовую. может контролировать не только устройства и работу с данными, но и использование программного обеспечения. Эта возможность "подтягивает" ее из ниши "Device Control" в сегмент "Content-Aware Endpoint DLP". Новые, заявленные возможности позволяют ей резко оторваться от своих конкурентов за счет появления возможности анализа контента на момент выполнения пользователем различных действий с данными, включая потоковые, а также за счет контроля ряда параметров контекста сетевых коммуникаций, включая адреса электронной почты, IP адреса, идентификаторы пользователей и ресурсов сетевых приложений и т.д. можно у партнеров "1Софт".

Михаил Абрамзон

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

В последнее время все издания, публикующие материалы по информационной безопасности просто наводнены сообщениями и аналитическими статьями о том, что самой страшной угрозой сегодня становятся ИНСАЙДЕРЫ. Эта тема обсуждается на конференциях по ИБ. Производители средств защиты начинают наперебой уверять, что их средство защиты практически разрабатывалось для борьбы именно с этой угрозой.

Отчасти, общая озабоченность этой проблемой вполне объяснима: по данным мировой статистики (например, отчеты ФБР «Computer Crime and Security Survey») максимальный ущерб компании несут именно от этой угрозы.

Однако, при внимательном анализе всех публикаций, выступлений и заявлений, замечаешь некоторые несуразности:

• Термин инсайдера везде дается без определения, как нечто само собой разумеющееся
• Понятие инсайдера и злоумышленника, находящегося внутри сети практически слились
• Рассказывают про угрозы инсайдеров, приводят примеры потерянных ноутбуков с информацией
• Говоря о инсайдерах сбиваются на тему обычных атак типа побора пароля, попытки воспользоваться чужим логином, взлом компьютера коллеги и т.п.

Обычно, наличие подобных несуразностей говорит либо о искреннем заблуждении/недопонимании авторами предмета и попытки скрыть это за красивым термином, или же сознательной манипуляции читателем.

Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.

Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.

Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?

Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно — понятия термина «Инсайдер».

Термин «инсайдер»

Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.

Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер - это член группы, обладающий информацией, имеющейся только у этой группы».

Следующее определение, которое дал Интернет (http://abc.informbureau.com/html/einaeaad.htm) звучало так: «ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»

Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».

Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на

• инсайдера, имеющего доступ к информации
• сотрудника, пытающегося такой доступ получить.

Немаловажно, что в обоих найденных нами определениях звучало понятие информации.

Понятие «информации»

Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.

Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что

Информация - это пояснение, научение, какое то сведение.

Предлагаю не смешивать понятие «информации» с понятием

Данные - это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.

Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:

Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.

Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо

Почему боятся инсайдеров

Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.

Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры

• выносят списки клиентов
• выносят документы
• выносят базы данных
• выносят информацию.

Все это, по их утверждениям, наносит компаниям значительный ущерб и неизбежно влекут потерю клиентов.

Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?

Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.

Вот только давайте попробуем разобраться. У нас есть 4 варианта:

	Данные	Информация
сотрудник	сотрудник пытается вынести данные	сотрудник пытается вынести информацию
инсайдер	инсайдер пытается вынести данные	инсайдер пытается вынести информацию

Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:

• Соответствие требованиям нормативных актов и стандартов
• Сохранность информации
• Сохранность данных
• Выявление каналов утечки
• Доказательство непричастности

Но все ли они легко могут быть реализованы? И какие технические средства могут нам помочь?

Борьба с инсайдерами техническими средствами и ее результаты

Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.

По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:

• Самоконтроля инсайдеров, дабы случайно не разгласить эту информацию
• Назначения на руководящие должности ответственных, проверенных, морально устойчивых людей
• Акцентирования внимания этих людей на том, что не вся информация предназначается для широкой публики.

К сожалению, эта проблема целиком лежит в области человеческого фактора. Печально, но с ней не всегда справляются даже самые лучшие спецслужбы.

С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:

• Человек может показать документ на мониторе/в распечатке коллеге, которому он не предназначен.
• Человек может забыть документ в принтере, в столовой, оставить без присмотра кабинет или кейс или сейф
• Человек может выписать с экрана на листочек
• Человек может зачитать по телефону или наговорить на диктофон
• Можно сфотографировать экран монитора на фотокамеру сотового телефона
• Человек в конце концов может просто запомнить содержания документа.

Кроме всего прочего, тот же ноутбук с данными может быть утерян или украден.А заодно и вместе со всеми ключами на тот случай, если данные там хранились в защищенном виде.

Решение проблем отслеживания каналов утечки — вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.

Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.

Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.

О чем не говорят борцы с инсайдерами

Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.

Теперь о результатах.

Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.

Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.

Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.

Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся

Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.

Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.

Так слежение или разграничение

Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.

Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.

Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.

Но и это еще не все.

Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:

• Хранить все данные в общей куче и пытаться найти того, кто ее отослал за пределы организации
• Разграничить доступ к данным так, чтобы они были доступны только тем кому они нужны.

Первый вариант – зрелищен, демонстративен. Все видят, что вот специалисты отдела безопасности ползают на карачках и заклеивают USB порты. А сегодня не работает почта – внедряют новую систему контроля.

Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.

Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.

Лукавая статистика инцидентов

Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.

Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:

• Потери ноутбуков, флешек и т.п. – это халатность.
• Кражи ноутбуков, компьютеров, винчестеров с резервными копиями – это что-то сродни взлома
• Утечка информации от действия вирусов
• Утечки информации при взломе сети, пусть даже сотрудником

К инсайдерской угрозе не относятся и такие случаи, как утечка базы клиентов вместе с директором по продажам.

Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?

Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.

Выводы

Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.

Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.

Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?