Внутренние угрозы: новый вызов корпоративным службам ИБ. Методы борьбы с инсайдерами

В последнее время все издания, публикующие материалы по информационной безопасности просто наводнены сообщениями и аналитическими статьями о том, что самой страшной угрозой сегодня становятся ИНСАЙДЕРЫ. Эта тема обсуждается на конференциях по ИБ. Производители средств защиты начинают наперебой уверять, что их средство защиты практически разрабатывалось для борьбы именно с этой угрозой.

Отчасти, общая озабоченность этой проблемой вполне объяснима: по данным мировой статистики (например, отчеты ФБР «Computer Crime and Security Survey») максимальный ущерб компании несут именно от этой угрозы.

Однако, при внимательном анализе всех публикаций, выступлений и заявлений, замечаешь некоторые несуразности:

Термин инсайдера везде дается без определения, как нечто само собой разумеющееся
Понятие инсайдера и злоумышленника, находящегося внутри сети практически слились
Рассказывают про угрозы инсайдеров, приводят примеры потерянных ноутбуков с информацией
Говоря о инсайдерах сбиваются на тему обычных атак типа побора пароля, попытки воспользоваться чужим логином, взлом компьютера коллеги и т.п.

Обычно, наличие подобных несуразностей говорит либо о искреннем заблуждении/недопонимании авторами предмета и попытки скрыть это за красивым термином, или же сознательной манипуляции читателем.

Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.

Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.

Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?

Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно понятия термина «Инсайдер».

Термин «инсайдер»

Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.

Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер - это член группы, обладающий информацией, имеющейся только у этой группы».

Следующее определение, которое дал Интернет (http://abc.informbureau.com/html/einaeaad.htm) звучало так: «ИНСАЙДЕР (англ, insider, от inside буквально внутри) лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»

Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».

Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на

инсайдера, имеющего доступ к информации
сотрудника, пытающегося такой доступ получить.

Немаловажно, что в обоих найденных нами определениях звучало понятие информации.

Понятие «информации»

Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.

Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что

Информация - это пояснение, научение, какое то сведение.

Предлагаю не смешивать понятие «информации» с понятием

Данные - это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.

Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:

Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.

Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо

Почему боятся инсайдеров

Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.

Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры

выносят списки клиентов
выносят документы
выносят базы данных
выносят информацию.

Все это, по их утверждениям, наносит компаниям значительный ущерб и неизбежно влекут потерю клиентов.

Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?

Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.

Вот только давайте попробуем разобраться. У нас есть 4 варианта:

	Данные	Информация
сотрудник	сотрудник пытается вынести данные	сотрудник пытается вынести информацию
инсайдер	инсайдер пытается вынести данные	инсайдер пытается вынести информацию

Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:

Соответствие требованиям нормативных актов и стандартов
Сохранность информации
Сохранность данных
Выявление каналов утечки
Доказательство непричастности

Но все ли они легко могут быть реализованы? И какие технические средства могут нам помочь?

Борьба с инсайдерами техническими средствами и ее результаты

Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.

По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:

Самоконтроля инсайдеров, дабы случайно не разгласить эту информацию
Назначения на руководящие должности ответственных, проверенных, морально устойчивых людей
Акцентирования внимания этих людей на том, что не вся информация предназначается для широкой публики.

К сожалению, эта проблема целиком лежит в области человеческого фактора. Печально, но с ней не всегда справляются даже самые лучшие спецслужбы.

С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:

Человек может показать документ на мониторе/в распечатке коллеге, которому он не предназначен.
Человек может забыть документ в принтере, в столовой, оставить без присмотра кабинет или кейс или сейф
Человек может выписать с экрана на листочек
Человек может зачитать по телефону или наговорить на диктофон
Можно сфотографировать экран монитора на фотокамеру сотового телефона
Человек в конце концов может просто запомнить содержания документа.

Кроме всего прочего, тот же ноутбук с данными может быть утерян или украден.А заодно и вместе со всеми ключами на тот случай, если данные там хранились в защищенном виде.

Решение проблем отслеживания каналов утечки вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.

Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.

Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.

О чем не говорят борцы с инсайдерами

Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.

Теперь о результатах.

Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.

Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.

Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.

Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся

Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.

Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.

Так слежение или разграничение

Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.

Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.

Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.

Но и это еще не все.

Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:

Хранить все данные в общей куче и пытаться найти того, кто ее отослал за пределы организации
Разграничить доступ к данным так, чтобы они были доступны только тем кому они нужны.

Первый вариант – зрелищен, демонстративен. Все видят, что вот специалисты отдела безопасности ползают на карачках и заклеивают USB порты. А сегодня не работает почта – внедряют новую систему контроля.

Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.

Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.

Лукавая статистика инцидентов

Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.

Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:

Потери ноутбуков, флешек и т.п. – это халатность.
Кражи ноутбуков, компьютеров, винчестеров с резервными копиями – это что-то сродни взлома
Утечка информации от действия вирусов
Утечки информации при взломе сети, пусть даже сотрудником

К инсайдерской угрозе не относятся и такие случаи, как утечка базы клиентов вместе с директором по продажам.

Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?

Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.

Выводы

Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.

Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.

Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?

Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами - от обычного офисного принтера до обычной флешки и фотокамеры мобильника.

Методы защиты от инсайдеров:

* аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарт-карты);
* аудит всех действий всех пользователей (включая администраторов) в сети;
* использование мощных программно-аппаратных средств защиты конфиденциальной информации от инсайдеров;
* обучение сотрудников, отвечающих за информационную безопасность;
* повышение личной ответственности сотрудников;
* постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению информационной безопасности и т.д.);
* соответствие уровня зарплаты уровню конфиденциальности информации (в разумных пределах!);
* шифрование конфиденциальных данных;
* Но самое главное, конечно, человеческий фактор: хотя человек - самое слабое звено в системе безопасности, но и самое важное! Борьба с инсайдерами не должна превращаться в тотальную слежку всех за всеми. В компании должен быть здоровый моральный климат, способствующий соблюдению корпоративного кодекса чести!

По итогам ежегодного опроса Института компьютерной безопасности (CSI, Computer Security Institute), в 2007 г. специалисты по безопасности выделили три основные проблемы, с которыми им пришлось сталкиваться в течение года: 59% признали угрозой № 1 инсайдеров, 52% - вирусы и 50% - потерю мобильного носителя (ноутбука, флэш-накопителя). Итак, проблема внутренних нарушителей в Америке впервые начала превалировать над проблемой вирусов. К сожалению, подобной информацией по России мы не располагаем, однако есть основания утверждать, что ситуация в нашей стране, как минимум, схожа. Так, в ходе круглого стола по проблеме утечки информации вследствие действий инсайдеров, проходившего в октябре на ежегодной конференции Aladdin, прозвучали результаты опроса системных администраторов государственных учреждений, как известно, имеющих невысокий уровень дохода. На вопрос, за какую сумму у них можно получить конфиденциальные данные, только 10% опрошенных ответили, что никогда не пойдут на такое должностное преступление, около половины опрошенных готовы рискнуть за большие деньги, а примерно 40% готовы пойти на это за любое вознаграждение. Как говорится, комментарии излишни. Основная сложность организации защиты от инсайдера заключается в том, что он законный пользователь системы и по долгу службы имеет доступ к конфиденциальной информации. То, как сотрудник распоряжается этим доступом в рамках служебных полномочий или за их пределами, отследить весьма сложно. Рассмотрим основные задачи борьбы с внутренними нарушителями (см. таблицу).

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB- накопителей. Именно их массовое распространение и привело к расцвету инсайдсрства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флешки, сотового телефона, трЗ-плссра, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто нс может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флеш- диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во- первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что нс только неудобно, но и увеличивает риски возникновения ошибок.

На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая «флешки», CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. д.). А поэтому, когда компания «созревает» на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.

Zlock: защита от утечек через съемные накопители

Программа Zlock появилась на рынке уже достаточно давно. И мы уже . В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.

В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.

Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.

Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.

Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.

Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. п.

Zgate: защита от утечек через интернет

Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера Microsoft Exchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP- и IM-трафика).

Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.

Консоль управления

Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и «внешним миром» (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).

Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).

Выбор режима работы Zgate

Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP- и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и «аську», публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об «аське». Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно «аськи» в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.

Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.

Настройка компонента Zgate Web

Способы обработки информации в Zgate и порядок фильтрации задает политикой, которая разрабатывается офицером по безопасности или другим ответственным сотрудником. Она представляет собой ряд условий, каждому из которых соответствует определенное действие. Все входящие сообщения «прогоняются» по ним последовательно друг за другом. И если какое-то из условий выполняется, то запускается ассоциированное с ним действие.

Система фильтрации

Всего в системе предусмотрено 8 типов условий, как говорится, «на все случаи жизни». Первое из них - тип файла вложения. С его помощью можно обнаружить попытки пересылки объектов того или иного формата. Стоит отметить, что анализ ведется не по расширению, а по внутренней структуре файла, причем можно задавать как конкретные типы объектов, так и их группы (например, все архивы, видеозаписи и пр.). Второй тип условий - проверка внешним приложением. В качестве приложения может выступать как обычная программа, запускаемая из командной строки, так и скрипт.

Условия в системе фильтрации

А вот на следующем условии стоит остановиться подробнее. Речь идет о контентном анализе передаваемой информации. В первую очередь необходимо отметить «всеядность» Zgate. Дело в том, что программа «понимает» большое количество различных форматов. А поэтому она может анализировать не только простой текст, но и практически любые вложения. Другой особенностью контентного анализа является его большие возможности. Он может заключаться как в простом поиске вхождения в текст сообщения или любое другое поле определенного слова, так и в полноценном анализе, в том числе и с учетом грамматических словоформ, стемминга и транслита. Но это еще не все. Отдельного упоминания заслуживает система анализа по шаблонам и регулярным выражениям. С ее помощью можно легко обнаружить в сообщениях наличие данных определенного формата, например, серия и номера паспорта, номер телефона, номер договора, номер банковского счета и пр. Это, помимо всего прочего, позволяет усилить защиту персональных данных, находящихся в обработке компании.

Шаблоны для выявления различной конфиденциальной информации

Четвертый тип условий - анализ адресов, указанных в письме. То есть поиск среди них определенные строк. Пятый - анализ зашифрованных файлов. При его выполнении проверяются атрибуты сообщения и/или вложенных объектов. Шестой тип условий заключается в проверке различных параметров писем. Седьмой - анализ по словарю. В ходе него система выявляет наличие в сообщении слов из заранее созданных словарей. Ну и, наконец, последний, восьмой тип условия - составной. Он представляет собой два или больше других условий, объединенных логическими операторами.

Кстати, о словарях, упомянутых нами в описании условий, нужно сказать отдельно. Они представляют собой группы слов, объединенных по одному признаку, и используются в различных методах фильтрации. Логичнее всего создавать словари, которые с большой долей вероятностью позволяют отнести сообщение к той или иной категории. Их содержимое можно вводить вручную или импортировать данные из уже существующих текстовых файлов. Существует и еще один вариант генерации словарей - автоматический. При его использовании администратору достаточно просто указать папку, в которой содержатся подходящие документы. Программа сама проанализирует их, выберет нужные слова и расставит их весовые характеристики. Для качественного составления словарей необходимо указывать не только конфиденциальные файлы, но и объекты, не содержащие закрытую информацию. В общем, процесс автоматической генерации больше всего похож на обучение антиспама на рекламных и обычных письмах. И это неудивительно, ибо и там, и там используются схожие технологии.

Пример словаря на финансовую тему

Говоря о словарях, нельзя также не упомянуть об еще одной технологии обнаружения конфиденциальных данных, реализованной в Zgate. Речь идет о цифровых отпечатках. Суть данного метода заключается в следующем. Администратор может указать системе папки, в которых содержатся конфиденциальные данные. Программа проанализирует все документы в них и создаст «цифровые отпечатки» - наборы данных, которые позволяют определить попытку передачи не только всего содержимого файла, но и отдельных его частей. Обратите внимание, что система автоматически отслеживает состояние указанных ей папок и самостоятельно создает «отпечатки» для всех вновь появившихся в них объектов.

Создание категории с цифровыми отпечатками файлов

Ну а теперь осталось только разобраться с действиями, реализованными в рассматриваемой системе защиты. Всего их реализовано в Zgate аж 14 штук. Впрочем, большая часть определяет те действия, которые совершаются с сообщением. К ним относится, в частности, удаление без отправки (то есть, фактически, блокировка передачи письма), помещение в архив, добавление или удаление вложений, изменения различных полей, вставка текста и пр. Среди них особо стоит отметить помещение письма в карантин. Данное действие позволяет «отложить» сообщение для ручной проверки офицером безопасности, который и будет принимать решение о его дальнейшей судьбе. Также весьма интересно действие, позволяющее заблокировать IM-соединение. Его можно использовать для моментальной блокировки канала, по которому было передано сообщение с конфиденциальной информацией.

Несколько особняком стоят два действия - обработка методом Байеса и обработка методом отпечатков. Оба они предназначены для проверки сообщений на предмет нахождения в них конфиденциальной информации. Только в первом используются словари и статистический анализ, а во втором - цифровые отпечатки. Эти действия могут выполняться при выполнении определенного условия, например, если адрес получателя находится не в корпоративном домене. Кроме того, их (впрочем, как и любые другие) можно выставить для безусловного применения ко всем исходящим сообщениям. В этом случае система будет анализировать письма и относить их к тем или иным категориям (если, конечно, это возможно). А вот по этим категориям уже можно делать условия с выполнением определенных действий.

Действия в системе Zgate

Ну и в завершение нашего сегодняшнего разговора о Zgate можно подвести небольшой итог. Данная система защиты основана в первую очередь на контентном анализе сообщений. Такой подход является наиболее распространенным для защиты от утечки конфиденциальной информации через Интернет. Естественно, контентный анализ не дает стопроцентной степени защиты и носит скорее вероятностный характер. Тем не менее, его использование позволяет предотвратить большую часть случаев несанкционированной передачи секретных данных. Применять ее компаниям или нет? Это каждый должен решить сам для себя, оценив затраты на внедрение и возможные проблемы в случае утечки информации. Стоит отметить, что Zgate отлично справляется с «отловом» регулярных выражений, что делает его весьма эффективным средством защиты персональных данных, находящихся в обработке у компании.

Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.

nahna

Маркетинговое подразделение компании Инфовотч, уже в течении продолжительного времени убеждает всех заинтересованных лиц - ИТ-специалистов, а также наиболее продвинутых в области ИТ руководителей, что большая часть ущерба от нарушения ИБ компании приходится на инсайдеров - сотрудников разглашающих коммерческую тайну. Цель понятна - надо создавать спрос на выпускаемый продукт. Да и доводы выглядят вполне солидно и убедительно.

Постановка задачи

Построить систему защиты информации от кражи персоналом в ЛВС на базе Active Directory Windows 2000/2003. Рабочие станции пользователей под управлением Windows XP. Управление предприятием и бухгалтерский учет на базе продуктов 1С.
Секретная информация хранится тремя способами:

БД 1С - доступ по сети через RDP (терминальный доступ);
расшаренные папки на файловых серверах - доступ по сети;
локально на ПК сотрудника;

Каналы утечки - интернет и сменные носители (флешки, телефоны, плееры и т.п.). Запрещать использование интернет и сменных носителей нельзя, так как они необходимы для исполнения служебных обязанностей.

Что есть на рынке

Рассматриваемые системы я разделил на три класса:

Системы на основе контекстных анализаторов - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет и т.п.
Системы на основе статической блокировки устройств - DeviceLock, ZLock, InfoWatch Net Monitor.
Системы на основе динамической блокировки устройств - SecrecyKeeper, Страж, Аккорд, SecretNet.

Системы на основе контекстных анализаторов

Принцип работы:
В передаваемой информации ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи.

Максимальными возможностями среди перечисленных продуктов, на мой взгляд, обладает InfoWatch Traffic Monitor (www.infowatch.ru). За основу взят неплохо себя зарекомендовавший движок Касперский Антиспам, наиболее полно учитывающий особенности русского языка. В отличии от остальных продуктов, InfoWatch Traffic Monitor, при анализе учитывает не только наличие определенных строк в проверяемых данных, но и заранее заданный вес каждой строки. Таким образом при принятии окончательного решения, учитывается не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются, что позволяет повысить гибкость анализатора. Остальные возможности стандартны для такого рода продуктов - анализ архивов, документов MS Office, возможность блокировки передачи файлов неизвестного формата или запароленных архивов.

Недостатки рассмотренных системы на основе контекстного анализа:

Контролируются только два протокола - HTTP и SMTP (для InfoWatch Traffic Monitor, причем для HTTP трафика проверяются только данные передаваемые с помощью POST-запросов, что позволяет организовать канал утечки с помощью передачи данных методом GET);
Не контролируются устройства переноса данных - дискеты, CD, DVD, USB-диски и т.п. (У Инфовотч на этот случай есть продукт InfoWatch Net Monitor).
для обхода систем построенных на основе контентного анализа, достаточно применить простейшую кодировка текста (например: секрет -> с1е1к1р1е1т), либо стеганографию;
следующая задача не решается методом контентного анализа - подходящего формального описания в голову не приходит, поэтому просто приведу пример: есть два екселевских файла - в первом розничные цены (публичная информация), во втором - оптовые для определенного клиента (закрытая информация), содержимое файлов различается только цифрами. С помощью контентного анализа эти файлы различить нельзя.

Вывод:
контекстный анализ годится только для создания архивов трафика и противодействия случайной утечки информации и поставленную задачу не решает.

Системы на основе статической блокировки устройств

Принцип работы:
пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам. В принципе практически такого же эффекта можно добиться используя штатные механизмы Windows.

Zlock (www.securit.ru) - продукт появился сравнительно недавно, поэтому имеет минимальный функционал (рюшечки я не считаю), да и отлаженностью он не отличается, например, консоль управления иногда падает при попытке сохранить настройки.

DeviceLock (www.smartline.ru) - продукт более интересный, на рынке достаточно давно, поэтому работает значительно стабильнее и функционал имеет более разнообразный. Например, позволяет выполнять теневое копирование передаваемой информации, что может помочь в расследовании инциндента, но не в его предотвращении. Кроме того, такое расследование скорее всего будет проводится тогда, когда об утечке станет известно, т.е. спустя значительный промежуток времени после того, как она произойдет.

InfoWatch Net Monitor (www.infowatch.ru) состоит из модулей - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor является аналогом Zlock, стандартный функционал, без изюма. FileMonitor - контроль обращения к файлам. OfficeMonitor и AdobeMonitor позволяют контролировать работу с файлами в соответствующих приложениях. Придумать полезное, а не игрушечное, применение для FileMonitor, OfficeMonitor и AdobeMonitor в настоящее время достаточно затруднительно, но в будующих версиях должна появится возможность контекстного анализа по обрабатываемым данным. Возможно тогда эти модули и раскроют свой потенциал. Хотя стоит заметить, что задача контекстного анализа файловых операций не является тривиальной, особенно если база контентной фильтрации будет таже, что и в Traffic Monitor, т.е. сетевой.

Отдельно необходимо сказать о защите агента от пользователя с правами локального администратора.
В ZLock и InfoWatch Net Monitor такая защита просто отсутствует. Т.е. пользователь может остановить агента, скопировать данные и снова запустить агента.

В DeviceLock такая защита присутствует, что является несомненным плюсом. Она основана на перехвате системных вызовов работы с реестром, файловой системой и управления процессами. Еще одним плюсом является то, что защита работает и в safe-mode. Но есть и минус - для отключения защиты достаточно восстановить Service Descriptor Table, что можно сделать загрузив простенький драйвер.

Недостатки рассмотренных систем на основе статической блокировки устройств:

Не контролируется передача информации в сеть.
-Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
Отсутствует либо легко обходится защита от выгрузки агента.

Вывод:
внедрять подобные системы не целесообразно, т.к. поставленную задачу они не решают.

Системы на основе динамической блокировки устройств

Принцип работы:
доступ к каналам передачи блокируется в зависимости от уровня допуска пользователя и степени секретности информации с которой ведется работа. Для реализации этого принципа указанные продукты используют механизм полномочного разграничение доступа. Этот механизм встречается не очень часто, поэтому остановлюсь на нем подробнее.

Полномочный (принудительный) контроль доступа в отличие от дескриционного (реализованного в системе безопасности Windows NT и выше), заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь наделенный особыми полномочиями - офицер или администратор информационной безопасности.

Основной целью разработки продуктов типа Страж, Аккорд, SecretNet, DallasLock и еще некоторых, являлась возможность сертификации информационных систем в которых данные продукты будут установлены, на соответствие требованиям Гостехкоммисии (сейчас ФСТЕК). Такая сертификация обязательна для информационных систем в которых обрабатывается гос. тайна, что в основном и обеспечивало спрос на продукты со стороны гос предприятий.

Поэтому, набор функций реализованных в данных продуктах определялся требованиями соответствующих документов. Что в свою очередь повлекло тот факт, что большая часть реализованного в продуктах функционала, либо дублирует штатный функционал Windows (очистка объектов после удаления, очистка ОЗУ), либо его неявно использует (дескрицирнный контроль доступа). А разработчики DallasLock пошли еще дальше, реализовав мандатный контроль доступа своей системы, через механизм дескриционного контроля Windows.

Практическое применение подобных продуктов крайне не удобно, например DallasLock для установки требует переразбивки жесткого диска, которую к тому же надо выполнять с помощью стороннего ПО. Очень часто после прохождения сертификации эти системы удалялись или отключались.

SecrecyKeeper (www.secrecykeeper.com) еще один продукт, реализующий полномочный механизм контроля доступа. По словам разработчиков, разрабатывался SecrecyKeeper именно для решения конкретной задачи - предотвращение кражи информации в коммерческой организации. Поэтому, опять же со слов разработчиков, особое внимание при разработке уделялось простоте и удобству использования, как для администраторов системы так и для простых пользователей. Насколько это удалось - судить потребителю, т.е. нам. Кроме того в SecrecyKeeper реализован ряд механизмов, которые в остальных упомянутых системах отсутствуют - например возможность устанавливать уровень секретности для ресурсов с удаленным доступом и механизм защиты агента.
Контроль перемещения информации в SecrecyKeeper реализован на основе Уровня Секретности Информации, Уровней Допуска Пользователя и Уровня Безопасности Компьютера, которые могут принимать значения public, secret и top secret. Уровень Секретности Информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:

public - не секретная информация, при работе с ней никаких ограничений нет;

secret - секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя;

top secret - совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя.

Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.

Уровни Допуска Пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее Уровня Секретности. Существуют следующие Уровни Допуска Пользователя:

Уровень Допуска Пользователя - ограничивает максимальный Уровень Секретности Информации к которой, может получить доступ сотрудник;

Уровень Допуска к Сети - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;

Уровень Допуска к Сменным Носителям - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может копировать на внешние носители.

Уровень Допуска к Принтеру - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может распечатать.

Уровень Безопасности Компьютера - определяет максимальный Уровень Секретности Информации, которая может храниться и обрабатываться на компьютере.

Доступ к информации имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается.

Доступ к информации имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Пример: пусть сотрудник имеет Уровень Допуска равный top secret, Уровень Допуска к Сети равный secret, Уровень Допуска к Сменным Носителям равный public и Уровень Допуска к Принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию.

Для управления распространением информации на предприятие каждому компьютеру закрепленному за сотрудником, присваивается Уровень Безопасности Компьютера. Этот уровень ограничивает максимальный Уровень Секретности Информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Т.о. если сотрудник имеет Уровень Допуска равным top secret, а компьютер на котором он в данный момент работает имеет Уровень Безопасности равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.

Вооружившись теорией попробуем применить SecrecyKeeper для решения поставленной задачи. Упрощенно описать информацию, обрабатываемую в информационной системе рассматриваемого абстрактного предприятия (см. постановку задачи), можно с помощью следующей таблицы:

Сотрудников предприятия и область их должностных интересов описывается с помощью второй таблицы:

пусть на предприятии используются следующие сервера:
Сервер 1С
Файловый сервер с шарами:
SecretDocs - содержит секретные документы
PublicDocs - содержит общедоступные документы

Замечу, что для организации стандартного разграничения доступа используются штатные возможности операционной системы и прикладного ПО, т.е. для того, чтобы предотвратить доступ например менеджера к персональным данным сотрудников, дополнительных систем защиты вводить не надо. Речь идет именно о противодействии распространению информации, к которой сотрудник имеет законный доступ.

Переходим к непосредственной настройки SecrecyKeeper.
Процесс установки консоли управления и агентов описывать не буду, там все максимально просто - см. документацию к программе.
Настройка системы состоит из выполнения следующих действий.

Шаг 1. Установить агенты на все ПК кроме серверов - это сразу позволяет предотвратить попадание на них информации для которой установлен Уровень Секретности выше чем public.

Шаг 2. Присвоить сотрудникам Уровни Допуска в соответствии со следующей таблицей:

	Уровень Допуска Пользователя	Уровень Допуска к Сети	Уровень Допуска к Сменным Носителям	Уровень Допуска к Принтеру
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретарь	public	public	public	public

Шаг 3. Присвоить Уровни Безопасности Компьютера следующим образом:

Шаг 4. Настроить Уровни Секретности Информации на серверах:

Шаг 5. Настроить Уровни Секретности Информации на ПК сотрудников для локальных файлов. Это самая трудоемкая часть, так как необходимо четко представлять, кто из сотрудников с какой информацией работает и насколько эта информация является критичной. Если в организации был проведен аудит информационной безопасности, его результаты могут значительно облегчить задачу.

Шаг 6. При необходимости SecrecyKeeper позволяет ограничить список программ разрешенных к запуску пользователям. Этот механизм реализован независимо от Windows Software Restriction Policy и может использоваться если например надо наложить ограничения и на пользователей с правами администратора.

Таким образом с помощью SecrecyKeeper, возможно значительно снизить риск несанкционированного распространения секретной информации - как утечки, так и кражи.

Недостатки:
- трудность с первоначальной настройкой уровней секретности для локальных файлов;

Общий вывод:
максимальные возможности по защите информации от инсайдеров предоставляет ПО обладающее возможностью динамически регулировать доступ к каналам передачи информации, в зависимости от степени секретности информации с которой ведется работа и уровня допуска сотрудника.

Компания - это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат-партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе.