Программные средства защиты от инсайдеров pdf. Защита от инсайдеров и утечки информации

"Консультант", 2011, N 9

"Кто владеет информацией, тот владеет миром" - этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.

В этих условиях особое значение приобретает информационная безопасность организации.

Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.

Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.

Как показывает практика, основным каналом утечки информации являются инсайдеры.

Враг в тылу

Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.

Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, - конфиденциальность, целостность, доступность, - это определение можно расширить.

Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.

Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.

Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.

Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.

В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.

Модель угроз

Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.

Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.

Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.

Внутренний "хакер"

Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.

Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.

Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.

Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.

Безответственный и низкоквалифицированный сотрудник

Может обладать различными навыками и работать в любом подразделении предприятия.

Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании "методом проб и ошибок", ненамеренно уничтожать и искажать информацию.

Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.

Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.

Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.

Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).

Психологически неустойчивый человек

Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.

В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.

Степень опасности средняя, однако этот тип нарушителя встречается не так часто.

Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры - выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.

Оскорбленный, обиженный сотрудник

Самая широкая группа потенциальных нарушителей режима информационной безопасности.

Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.

Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.

Потенциально такой тип инсайдеров представляет очень высокую опасность - возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.

Для выявления деятельности нужны как административные, так и технические меры.

Нечистый на руку сотрудник

Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).

В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.

Опасность средняя, но такой тип встречается нередко.

Для выявления нужны в первую очередь административные меры.

Представитель конкурента

Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.

Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.

Для выявления деятельности нужны и административные, и технические мероприятия.

Что похищаем?

Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.

Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах - самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.

При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?

Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.

Два подхода

К сожалению, не существует готового ответа на вопрос: "Что защищать в первую очередь".

К решению этой задачи можно подойти с двух сторон.

Риск - это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.

Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.

Механизмы передачи

Механизмы передачи можно классифицировать следующим образом:

  • устная передача (личный разговор);
  • технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
  • переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).

Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.

Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.

Например , системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).

Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.

При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.

Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.

Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.

Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.

Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.

Минимизация рисков

Проверка

  1. Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
  2. Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров - системные администраторы и программисты.
  3. При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.

Право доступа

  1. Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
  2. Права доступа к ресурсам должны выделяться по принципу "минимальной достаточности". Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
  3. Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.

Стандарт общения

  1. Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям "руководитель - подчиненный".

У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.

Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.

Конфиденциальность

Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.

Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.

Контроль средств

Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.

Например , использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.

По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.

Внутренний распорядок

На предприятии должны соблюдаться правила внутреннего распорядка.

Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.

Также должен быть обеспечен контроль перемещения материальных ценностей.

Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.

Управляющий партнер

группы компаний Hosting Community

В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения.

Прежде всего, стоит определить, что угроза конфиденциальности данных является внутренней, если ее источником является сотрудник предприятия или какое-либо другое лицо, имеющее легальный доступ к этим данным. Таким образом, когда мы говорим о внутренних угрозах, мы говорим о каких-либо возможных действиях легальных пользователей, умышленных или случайных, которые могут привести к утечке конфиденциальной информации за пределы корпоративной сети предприятия. Для полноты картины стоит добавить, что таких пользователей часто называют инсайдерами, хотя этот термин имеет и другие значения.

Актуальность проблемы внутренних угроз подтверждается результатами последних исследований. В частности, в октябре 2008 года были оглашены результаты совместного исследования компании Compuware и Ponemon Institue, согласно которым инсайдеры являются самой распространенной причиной утечек данных (75% инцидентов в США), тогда как хакеры оказались всего лишь на пятом месте. В ежегодном исследовании Computer Security Institute (CSI) за 2008 год цифры, говорящие о количестве инцидентов, связанных с внутренними угрозами, выглядят следующим образом:

Количество инцидентов в процентах означает, что из общего числа опрошенных данный тип инцидента происходил в указанном проценте организаций. Как видно из данных цифр, риск пострадать от внутренних угроз есть практически у каждой организации. Для сравнения, в соответствии с тем же отчетом, вирусы поразили 50% опрошенных организаций, а с проникновением хакеров в локальную сеть столкнулось только 13%.

Таким образом, внутренние угрозы – это реальность сегодняшнего дня, а не придуманный аналитиками и вендорами миф. Так что тем, кто по старинке считает, что корпоративная ИБ – это межсетевой экран и антивирус, необходимо как можно скорее взглянуть на проблему шире.

Повышает градус напряженности и закон «О персональных данных», в соответствии с которым за ненадлежащее обращение с персональными данными организациям и должностным лицам придется отвечать не только перед своим руководством, а еще и перед своими клиентами и перед законом.

Модель нарушителя

Традиционно при рассмотрении угроз и средств защиты от них следует начинать с анализа модели нарушителя. Как уже упоминалось, мы будем говорить об инсайдерах – сотрудниках организации и других пользователях, имеющих легальный доступ к конфиденциальной информации. Как правило, при этих словах всем приходит на ум офисный сотрудник, работающий на компьютере в составе корпоративной сети, который в процессе работы не покидает пределов офиса организации. Однако, такое представление неполно. Необходимо его расширить за счет других видов лиц, имеющих легальный доступ к информации, которые могут покидать офис организации. Это могут быть командированные с ноутбуками, или работающие и в офисе и дома, курьеры, перевозящие носители с информацией, в первую очередь, магнитные ленты с резервной копией и т.д.

Такое расширенное рассмотрение модели нарушителя, во-первых, укладывается в концепцию, поскольку угрозы, исходящие от этих нарушителей также относятся к внутренним, а во-вторых, позволяет проанализировать проблему более широко, рассмотрев все возможные варианты борьбы с этими угрозами.

Можно выделить следующие основные типы внутренних нарушителей:

  • Нелояльный/обиженный сотрудник. Нарушители, относящиеся к этой категории, могут действовать целенаправленно, например, меняя работу и желая прихватить конфиденциальную информацию для того, чтобы заинтересовать нового работодателя, или эмоционально, в случае, если они посчитали себя обиженными, желая таким образом отомстить. Они опасны тем, что наиболее мотивированы на причинение ущерба той организации, в которой в настоящее время работают. Как правило, количество инцидентов с участием нелояльных сотрудников невелико, но оно может увеличиваться в ситуации неблагоприятных экономических условий и массовых сокращений персонала.
  • Внедренный, подкупаемый или манипулируемый сотрудник. В данном случае речь идет о каких-либо целенаправленных действиях, как правило, в целях промышленного шпионажа в условиях острой конкуренции. Для сбора конфиденциальной информации в компанию-конкурента либо внедряют своего человека с определенными целями, либо находят не самого лояльного сотрудника и подкупают его, либо лояльного, но небдительного сотрудника средствами социальной инженерии заставляют передать конфиденциальную информацию. Количество инцидентов такого рода обычно еще меньше, чем предыдущих, в связи с тем, что в большинстве сегментов экономики в РФ конкуренция не сильно развита или реализуется другими способами.
  • Халатный сотрудник. Данный вид нарушителя представляет собой лояльного, но невнимательного или халатного сотрудника, который может нарушить политику внутренней безопасности предприятия из-за ее незнания или забывчивости. Такой сотрудник может по ошибке отправить письмо по электронной почте с приложенным секретным файлом не тому, для кого оно предназначено, или взять домой флешку с конфиденциальной информацией, чтобы поработать с ней на выходных, и потерять ее. К этому же типу относятся сотрудники, теряющие ноутбуки и магнитные ленты. По мнению многих экспертов, инсайдеры именно этого типа ответственны за большинство утечек конфиденциальной информации.

Таким образом, мотивы, а, следовательно, и образ действий потенциальных нарушителей может существенно отличаться. В зависимости от этого следует подходить к решению задачи обеспечения внутренней безопасности организации.

Технологии защиты от внутренних угроз

Несмотря на относительную молодость данного сегмента рынка, клиентам уже есть из чего выбирать в зависимости от их задач и финансовых возможностей. Стоит отметить, что сейчас на рынке практически нет вендоров, которые специализировались бы исключительно на внутренних угрозах. Такая ситуация сложилась не только из-за незрелости данного сегмента, но еще и благодаря агрессивной и иногда хаотичной политике слияний и поглощений, которую проводят производители традиционных средств защиты и другие вендоры, заинтересованные в присутствии на этом сегменте. Стоит напомнить о компании RSA Data Security, которая стала подразделением EMC в 2006 году, покупку компанией NetApp стартапа Decru, занимавшегося разработкой систем защиты серверных хранилищ и резервных копий в 2005, покупку компанией Symantec DLP-вендора Vontu в 2007 году и т. д.

Несмотря на то, что большое количество подобных сделок говорит о хороших перспективах развития данного сегмента, они не всегда идут на пользу качеству продуктов, которые переходят под крыло крупных корпораций. Продукты начинают медленней развиваться, а разработчики не так оперативно реагируют на требования рынка по сравнению с узкоспециализированной компанией. Это общеизвестная болезнь больших компаний, которые, как известно, проигрывают в мобильности и оперативности своим меньшим братьям. С другой стороны, улучшается качество сервиса и доступность продуктов для клиентов в разных точках земного шара благодаря развитости их сервисной и сбытовой сети.

Рассмотрим основные технологии, применяемые в настоящее время для нейтрализации внутренних угроз, их преимущества и недостатки.

Контроль документов

Технология контроля документов воплощается в современных продуктах класса rights management, таких как Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management.

Принцип работы данных систем заключается в назначении правил использования для каждого документа и контроля этих прав в приложениях, работающих с документами данных типов. Например, можно создать документ Microsoft Word и задать для него правила, кому можно его просматривать, кому редактировать и сохранять изменения, а кому печатать. Данные правила в терминах Windows RMS называются лицензией и хранятся вместе с файлом. Содержимое файла зашифровывается для предотвращения возможности его просмотра неавторизованным пользователем.

Теперь если любой пользователь пытается открыть такой защищенный файл, приложение связывается со специальным RMS-сервером, подтверждает полномочия пользователя, и, если доступ этому пользователю разрешен, сервер передает приложению ключ для расшифрования данного файла и информацию о правах данного пользователя. Приложение на основе этой информации делает доступными для пользователя только те функции, для выполнения которых у него есть права. Например, если пользователю запрещено печатать файл, функция печати в приложении будет недоступна.

Получается, что информация в таком файле безопасна даже в случае, если файл попадет за пределы корпоративной сети – она зашифрована. Функции RMS уже встроены в приложения Microsoft Office 2003 Professional Edition. Для встраивания функций RMS в приложения других разработчиков Microsoft предлагает специальный SDK.

Система контроля документов от Adobe построена аналогичным образом, но ориентирована на документы в формате PDF. Система Oracle IRM устанавливается на клиентские компьютеры в виде агента и интегрируется с приложениями на этапе их выполнения.

Контроль документов – это важная часть общей концепции защиты от внутренних угроз, однако необходимо учитывать естественные ограничения этой технологии. Во-первых, она рассчитана исключительно на контроль файлов-документов. Если речь идет о неструктурированных файлах или базах данных, данная технология не работает. Во-вторых, если злоумышленник, используя SDK этой системы, создаст простейшее приложение, которое будет связываться с RMS-сервером, получать оттуда ключ шифрования и сохранять документ в открытом виде и запустит это приложение от имени пользователя, имеющего минимальный уровень доступа к документу, то данная система будет обойдена. Кроме этого, следует учитывать сложности при внедрении системы контроля документов в случае, если в организации уже создано много документов – задача первоначальной классификации документов и назначения прав их использования может потребовать значительных усилий.

Это не значит, что системы контроля документов не выполняют поставленной задачи, просто надо помнить, что защита информации – проблема комплексная, и решить ее с помощью только какого-либо одного средства, как правило, не удается.

Защита от утечек

Термин защита от утечек (data loss prevention, DLP) появился в лексиконе специалистов по ИБ сравнительно недавно, и уже успел стать, без преувеличения, самой горячей темой последних лет. Как правило, аббревиатурой DLP обозначают системы, контролирующие возможные каналы утечки и блокирующие их в случае попытки пересылки по этим каналам какой-либо конфиденциальной информации. Кроме этого, в функции подобных систем часто входит возможность архивирования проходящей по ним информации для последующего аудита, расследования инцидентов и ретроспективного анализа потенциальных рисков.

Различают два вида DLP-систем: сетевые DLP и хостовые DLP.

Сетевые DLP работают по принципу сетевого шлюза, который фильтрует все проходящие через него данные. Очевидно, что исходя из задачи борьбы с внутренними угрозами, основной интерес такой фильтрации заключается в возможности контроля данных, передаваемых за пределы корпоративной сети в интернет. Сетевые DLP позволяют контролировать исходящую почту, http- и ftp-трафик, службы мгновенных сообщений и т. д. При обнаружении конфиденциальной информации сетевые DLP могут заблокировать передаваемый файл. Также существуют возможности по ручной обработке подозрительных файлов. Подозрительные файлы помещаются в карантин, который периодически просматривает офицер безопасности и либо разрешает передачу файла, либо запрещает ее. Правда, такая обработка в силу особенностей протокола возможна только для электронной почты. Дополнительные возможности по аудиту и расследованию инцидентов предоставляет архивирование всех проходящей через шлюз информации при условии, что этот архив периодически просматривается и его содержимое анализируется с целью выявления имевших место утечек.

Одной из основных проблем при реализации и внедрении DLP-систем является способ детектирования конфиденциальной информации, то есть, момент принятия решения о том, является ли передаваемая информация конфиденциальной и основания, которые учитываются при принятии такого решения. Как правило, для этого производится анализ содержимого передаваемых документов, называемый также контентным анализом. Рассмотрим основные подходы к детектированию конфиденциальной информации.

  • Метки. Данный метод аналогичен системам контроля документов, рассмотренным выше. В документы внедряются метки, описывающие степень конфиденциальности информации, что можно делать с этим документом, и кому посылать. По результатам анализа меток система DLP принимает решение, можно ли данный документ отправить наружу или нельзя. Некоторые DLP системы изначально делают совместимыми с системами rights management для использования меток, которые устанавливают эти системы, другие системы используют свой формат меток.
  • Сигнатуры. Данный метод заключается в задании одной или нескольких последовательностей символов, наличие которых в тексте передаваемого файла должно говорить DLP-системе о том, что этот файл содержит конфиденциальную информацию. Большое количество сигнатур можно организовывать в словари.
  • Метод Байеса. Данный метод, применяемый при борьбе со спамом, может успешно применяться и в системах DLP. Для применения этого метода создается список категорий, и указываются список слов с вероятностями того, что если слово встретилось в файле, то файл с заданной вероятностью принадлежит или не принадлежит к указанной категории.
  • Морфологический анализ. Метод морфологического анализа аналогичен сигнатурному, отличие заключается в том, что анализируется не 100% совпадение с сигнатурой, а учитываются также однокоренные слова.
  • Цифровые отпечатки. Суть данного метода заключается в том, что для всех конфиденциальных документов вычисляется некоторая хэш-функция таким образом, что если документ будет незначительно изменен, хэш-функция останется такой же, или тоже изменится незначительно. Таким образом, процесс детектирования конфиденциальных документов значительно упрощается. Несмотря на восторженные дифирамбы этой технологии со стороны многих вендоров и некоторых аналитиков, ее надежность оставляет желать лучшего, а с учетом того, что вендоры под различными предлогами предпочитают оставлять в тени детали реализации алгоритма цифровых отпечатков, доверие к ней не увеличивается.
  • Регулярные выражения. Известные всем, кто имел дело с программированием, регулярные выражения позволяют легко находить в тексте шаблонные данные, например, телефоны, паспортные данные, номера банковских счетов, номера социального страхования и т.д.

Из приведенного списка легко заметить, что методы детектирования либо не гарантируют 100% определения конфиденциальной информации, поскольку уровень ошибок как первого, так и второго рода в них достаточно высок, либо требуют постоянного бдения службы безопасности для обновления и поддержания в актуальном виде списка сигнатур или присваивания меток конфиденциальным документам.

Кроме этого, определенную проблему в работе сетевых DLP может создать шифрование трафика. Если по требованиям безопасности необходимо шифровать сообщения электронной почты или использовать протокол SSL при соединении с какими-либо веб-ресурсами, проблема определения наличия конфиденциальной информации в передаваемых файлах может быть весьма сложноразрешимой. Не стоит забывать и о том, что в некоторые сервисы мгновенных сообщений, например, в Skype, шифрование встроено по умолчанию. От использования таких сервисов придется отказываться или использовать для их контроля хостовые DLP.

Тем не менее, несмотря на все сложности, при правильной настройке и серьезном подходе сетевые DLP могут значительно снизить риск утечки конфиденциальной информации и дать организации удобное средство для внутреннего контроля.

Хостовые DLP устанавливаются на каждый хост в сети (на клиентские рабочие станции и, при необходимости, на сервера) и также могут быть использованы для контроля интернет-трафика. Однако в этом качестве хостовые DLP получили меньшее распространение, и используются в настоящее время в основном для контроля внешних устройств и принтеров. Как известно, сотрудник, принесший на работу с флешку или с MP3-плеер, представляет для информационной безопасности предприятия гораздо большую угрозу, чем все хакеры, вместе взятые. Еще эти системы называют средствами обеспечения безопасности конечных точек сети (endpoint security), хотя часто этот термин используется более широко, например, так иногда называют антивирусные средства.

Как известно, проблему использования внешних устройств можно решить без использования каких-либо средств, отключив порты либо физически, либо средствами операционной системы, или административно, запретив сотрудникам приносить в офис любые носители информации. Однако, в большинстве случаев подход «дешево и сердито» неприемлем, поскольку не обеспечивается должная гибкость информационных служб, предъявляемая со стороны бизнес-процессов.

Из-за этого возник определенный спрос на специальные средства, с помощью которых можно более гибко решить проблему использования внешних устройств и принтеров сотрудниками компаний. Такие средства позволяют настраивать права доступа для пользователей к различным видам устройств, например, для одной группы пользователей запрещать работу с носителями и разрешать с принтерами, а для другой – разрешать работу с носителями в режиме «только чтение». В случае необходимости записи информации на внешние устройства для отдельных пользователей может использоваться технология теневого копирования, которая обеспечивает копирование на сервер всей информации, которая сохраняется на внешнее устройство. Скопированная информация может быть впоследствии проанализирована с целью анализа действий пользователей. Данная технология копирует все подряд, и в настоящее время нет систем, которые позволяют проводить контентный анализ сохраняемых файлов для того, чтобы заблокировать операцию и предотвратить утечку, как это делают сетевые DLP. Тем не менее, архив теневых копий обеспечит расследование инцидентов и ретроспективный анализ событий в сети, и наличие такого архива означает для потенциального инсайдера возможность быть пойманным и наказанным за свои действия. Это может оказаться для него существенным препятствием и весомой причиной отказаться от враждебных действий.

Стоит еще упомянуть контроль использования принтеров – твердые копии документов тоже могут стать источником утечки. Хостовые DLP позволяют контролировать доступ пользователей к принтерам так же, как и к другим внешним устройствам, и сохранять копии распечатываемых документов в графическом формате для последующего анализа. Кроме этого, определенное распространение получила технология водяных знаков (watermarks), которая реализует печать на каждой странице документа уникального кода, по которому можно определить, кто именно, когда и где печатал этот документ.

Несмотря на несомненные плюсы хостовых DLP, у них есть ряд недостатков, связанных с необходимостью установки агентского ПО на каждом компьютере, который предполагается контролировать. Во-первых, это может вызвать определенные сложности с точки зрения развертывания таких систем и управления ими. Во-вторых, пользователь с правами администратора может попытаться отключить это ПО для совершения каких-либо действий, не разрешенных политикой безопасности.

Тем не менее, для надежного контроля внешних устройств без хостовых DLP не обойтись, а упомянутые проблемы не относятся к разряду неразрешимых. Таким образом, можно сделать вывод, что концепция DLP в настоящее время является полноправным средством в арсенале корпоративных служб безопасности в условиях постоянно усиливающегося на них давления по обеспечению внутреннего контроля и защите от утечек.

Концепция IPC

В процессе изобретения новых средств борьбы с внутренними угрозами научно-инженерная мысль современного общества не останавливается, и, учитывая определенные недостатки средств, которые рассматривались выше, рынок систем защиты от утечек информации пришел к концепции IPC (Information Protection and Control). Данный термин появился сравнительно недавно, считается, что впервые он был использован в обзоре аналитической компанией IDC в 2007 году.

Суть данной концепции заключается в объединении методов DLP и шифрования. В данной концепции с помощью DLP контролируется информация, покидающая пределы корпоративной сети по техническим каналам, а шифрование используется для защиты носителей данных, которые физически попадают или могут попасть в руки посторонних лиц.

Рассмотрим наиболее распространенные технологии шифрования, которые могут применяться в концепции IPC.

  • Шифрование магнитных лент. Несмотря на архаичность этого типа носителя, он продолжает активно использоваться для резервного копирования и для переноса больших объемов информации, поскольку по удельной стоимости хранимого мегабайта до сих пор не имеет равных. Соответственно, утечки, связанные с утерями магнитных лент, продолжают радовать редакторов новостных лент, помещающих информацию о них на первые полосы, и расстраивать ИТ-директоров и службы безопасности предприятий, ставших героями подобных сообщений. Ситуация усугубляется тем, что такие ленты содержат очень большие объемы данных, и, следовательно, большое количество людей может стать жертвами мошенников.
  • Шифрование серверных хранилищ. Несмотря на то, что серверные хранилища очень редко транспортируют, и риск их потери неизмеримо ниже, чем у магнитной ленты, отдельный жесткий диск из хранилища может попасть в руки злоумышленников. Ремонт, утилизация, апгрейд – эти события возникают с достаточной регулярностью для того, чтобы списывать этот риск со счетов. Да и ситуация проникновения в офис посторонних лиц не является совершенно невозможным событием.

Здесь стоит сделать небольшое отступление и упомянуть про распространенное заблуждение о том, что если диск находится в составе RAID-массива, то, якобы, можно не беспокоиться о том, что он попадет в посторонние руки. Казалось бы, чередование записываемых данных на несколько жестких дисков, которое выполняют контроллеры RAID, обеспечивает нечитаемый вид данным, которые находятся на каком-то одном жестком виде. К сожалению, это не совсем так. Чередование действительно имеет место, однако в большинстве современных устройств оно выполняется на уровне блоков по 512 байт. Это означает, что, несмотря на нарушение структуры и форматов файлов, конфиденциальную информацию извлечь из такого жесткого диска все равно можно. Поэтому если поставлено требование по обеспечению конфиденциальности информации при ее хранении в RAID-массиве, единственным надежным вариантом остается шифрование.

  • Шифрование ноутбуков. Об этом говорилось уже бесчисленное количество раз, но все равно потери ноутбуков с конфиденциальной информацией уже который год не выходят из первой пятерки хит-парада инцидентов.
  • Шифрование съемных носителей. В данном случае речь идет о портативных USB-устройствах и, иногда, о записываемых CD- и DVD-дисках, если они используются в бизнес-процессах предприятия. Такие системы, также как и упомянутые выше системы шифрования жестких дисков в ноутбуках, часто могут выступать в качестве компонент хостовых DLP-систем. В этом случае говорят о своего рода криптопериметре, который обеспечивает автоматическое прозрачное шифрование носителей внутри, и невозможность расшифровать данные за его пределами.

Таким образом, шифрование может существенно расширить возможности DLP-систем и снизить риски утечки конфиденциальных данных. Несмотря на то, что концепция IPC оформилась сравнительно недавно, и выбор комплексных IPC-решений на рынке не слишком широк, индустрия активно осваивает эту область и вполне возможно, что через некоторое время эта концепция станет стандартом де-факто для решения проблем внутренней безопасности и внутреннего контроля.

Выводы

Как видно из данного обзора, внутренние угрозы – это достаточно новая область в ИБ, которая, тем не менее, активно развивается и требует к себе повышенного внимания. Рассмотренные технологии контроля документов, DLP и IPC позволяют построить достаточно надежную систему внутреннего контроля и снизить риск утечки до приемлемого уровня. Без сомнения, данная область ИБ продолжит развиваться, будут предлагаться более новые и совершенные технологии, но уже сегодня многие организации делают выбор в пользу того или иного решения, поскольку беспечность в вопросах информационной безопасности может обойтись слишком дорого.

Алексей Раевский
 Генеральный директор компании SecurIT

Думаю, для всех очевидно, что на фоне нынешнего кризиса происходит грандиозный передел собственности, особенно в финансовой сфере. Конкуренты не гнушаются никакими средствами. На войне как на войне - в ход идёт всё. Использование инсайдерской информации часто становится ключом к победе, а для кого-то источником поражения.

Речь уже идет не об ущербе репутации фирмы или о некоторых финансовых трудностях. Часто речь идет о банальном выживании предприятия.

Классическое определение инсайдера - член ограниченного круга людей, имеющих доступ к важной закрытой информации. С точки зрения финансовых структур, инсайдер — это злоумышленник, использующий свои знания об эмитентах ценных бумаг для игры на фондовой бирже или продающий эти сведения третьим лицам. Правоохранительные органы будут считать инсайдером оперативника, продающего сведения об операциях МВД организованному преступному сообществу.

Специалисты по информационной безопасности считают инсайдерами сотрудников компании, имеющих доступ к неким конфиденциальным данным, размещенным в локальной сети предприятия.

Разгласить эти сведения сотрудники могут вольно или невольно. Кроме откровенного хищения данных с целью их дальнейшей перепродажи или разглашения во вред предприятию, существует огромный пласт случаев, когда информация попала не в те руки по ошибке или по недоразумению. Это может быть и письмо с важными спецификациями, отправленное не туда «глупой» секретаршей, а может и недостаточно четкое указание начальства, в результате которого на сайт корпорации выкладываются «исходники» нового программного продукта.

Какие же данные чаще всего интересуют злоумышленников?

Как ни странно, по статистике, инсайдеров больше всего интересуют персональные данные. 68% респондентов исследования «Инсайдерские угрозы в России 2009» отметили, что именно этот тип информации становится объектом нездорового внимания сотрудников. И это несмотря на то, что такая информация не приносит такой коммерческой выгоды, как технические спецификации новых продуктов, финансовые отчеты или бизнес-планы… Эти сведения также привлекают внимание инсайдеров, но они традиционно лучше защищаются у нас в стране.

Хочется отметить, что защитить абсолютно всю информацию от утечек, нереально. По мнению специалистов нашей компании, имеет смысл сфокусироваться на защите двух основных категорий данных:

  • Информации о клиентской базе - названия компаний, имена и контактные данные клиентов (телефонов, адресов, электронной почты).
  • Информации, которая может вызвать панику у клиентов или срыв крупных сделок. Это может быть информация о массовых сокращениях персонала, замораживании вкладов, задержках выплат и т.п.

Следует отметить, что системы защиты от несанкционированного доступа (НСД) или распределения прав (DRM) в данном случае помогут весьма ограниченно. Это происходит оттого, что, именно люди, имеющие доступ и соответствующие права, как правило, становятся источником утечки информации. Зато весьма эффективными будут так называемые DLP-системы (Data Leakage Prevention) - системы предотвращения утечек.

Информацию о клиентах можно защитить с помощью формальных методов защиты баз данных. Это анализ формальных атрибутов файла или отслеживание файловых отпечатков (fingerprints). На данный момент эти методы защиты поддерживают большинство разработчиков DLP-систем.

Относительно утечек "панической" информации можно сказать, что отследить их реально только с помощью так называемой контентной фильтрации. Эта популярная технология, используемая антивирусами и спам-фильтрами. Суть ее состоит в сортировке и классификации всего потока информации в информационной инфраструктуре предприятия на основе их содержания (контента). Это весьма сложные и специфические продукты, которые должны настраиваться профессионалами.

Ключевой функцией для предотвращения инсайдерской утечки информации является блокирование перемещения информации из внутренней информационной системы наружу. Это, прежде всего - пересылка по электронной почте и по интернет-каналам (что есть не во всех системах). Многие предприятия останавливаются на обычном мониторинге информации с последующим ее анализом. Это представляется более простым методом, чем разбираться на лету с возможными ложными срабатываниями DLP-систем. Но стоит отметить, что предотвратить утечку действительно важной для существования предприятия информации значительно лучше, чем пост-фактум наказать виновных. Поэтому внедрение и обслуживание DLP-систем - лучшее вложение средств для защиты вашего бизнеса от инсайда.

Автоматизированные системы по предотвращению утечек информации на основе контентной фильтрации - далеко не единственное звено в цепи защиты. Эффективная защита конфиденциальных данных может быть создана только из комбинации технических, административных и организационных мер! Как неотъемлемая часть борьбы с инсайдом, на предприятии должны выполняться следующие мероприятия:

  • Стандартизация программного обеспечения с четким выполнением требований специалистов по безопасности. Через различное, нестандартное ПО, установленное пользователями на своих компьютерах улетучивается весьма приличный процент информации.
  • Неукоснительное соблюдение правил безопасности предприятия, в том числе организационных (ограничения доступа в помещения, ограничения использования переносных накопителей и т.п.)
  • Юридически закрепленная ответственность персонала за разглашение конфиденциальной информации с четким определением, что именно входит в перечень такой информации.
  • Централизованный и полностью контролируемой ИТ-службой и службой безопасности выход сотрудников любого ранга в сеть Интернет.
  • Использование методов аутентификации пользователей при работе в информационной среде предприятия.
  • Обучение сотрудников безопасной работе с информацией, компьютерами и сети Интернет.

Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами - от обычного офисного принтера до обычной флешки и фотокамеры мобильника.

Методы защиты от инсайдеров:

  • * аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарт-карты);
  • * аудит всех действий всех пользователей (включая администраторов) в сети;
  • * использование мощных программно-аппаратных средств защиты конфиденциальной информации от инсайдеров;
  • * обучение сотрудников, отвечающих за информационную безопасность;
  • * повышение личной ответственности сотрудников;
  • * постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению информационной безопасности и т.д.);
  • * соответствие уровня зарплаты уровню конфиденциальности информации (в разумных пределах!);
  • * шифрование конфиденциальных данных;
  • * Но самое главное, конечно, человеческий фактор: хотя человек - самое слабое звено в системе безопасности, но и самое важное! Борьба с инсайдерами не должна превращаться в тотальную слежку всех за всеми. В компании должен быть здоровый моральный климат, способствующий соблюдению корпоративного кодекса чести!

По итогам ежегодного опроса Института компьютерной безопасности (CSI, Computer Security Institute), в 2007 г. специалисты по безопасности выделили три основные проблемы, с которыми им пришлось сталкиваться в течение года: 59% признали угрозой № 1 инсайдеров, 52% - вирусы и 50% - потерю мобильного носителя (ноутбука, флэш-накопителя). Итак, проблема внутренних нарушителей в Америке впервые начала превалировать над проблемой вирусов. К сожалению, подобной информацией по России мы не располагаем, однако есть основания утверждать, что ситуация в нашей стране, как минимум, схожа. Так, в ходе круглого стола по проблеме утечки информации вследствие действий инсайдеров, проходившего в октябре на ежегодной конференции Aladdin, прозвучали результаты опроса системных администраторов государственных учреждений, как известно, имеющих невысокий уровень дохода. На вопрос, за какую сумму у них можно получить конфиденциальные данные, только 10% опрошенных ответили, что никогда не пойдут на такое должностное преступление, около половины опрошенных готовы рискнуть за большие деньги, а примерно 40% готовы пойти на это за любое вознаграждение. Как говорится, комментарии излишни. Основная сложность организации защиты от инсайдера заключается в том, что он законный пользователь системы и по долгу службы имеет доступ к конфиденциальной информации. То, как сотрудник распоряжается этим доступом в рамках служебных полномочий или за их пределами, отследить весьма сложно. Рассмотрим основные задачи борьбы с внутренними нарушителями (см. таблицу).

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI ComputerCrimeAndSecuritySurvey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них -- намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно -- банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО -- гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с ActiveDirectory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.