Amenințări interne: o nouă provocare pentru serviciile corporative de securitate a informațiilor. Probleme de protecție împotriva persoanelor din interior

Studii recente de securitate a informațiilor, cum ar fi CSI/FBI ComputerCrimeAndSecuritySurvey anual, au arătat că pierderile financiare pentru companii din cauza majorității amenințărilor sunt în scădere de la an la an. Cu toate acestea, există mai multe riscuri de la care pierderile cresc. Una dintre ele este furtul deliberat de informații confidențiale sau încălcarea regulilor de manipulare a acestora de către acei angajați al căror acces la datele comerciale este necesar pentru îndeplinirea atribuțiilor lor oficiale. Se numesc persoane din interior.

În marea majoritate a cazurilor, furtul de informații confidențiale se realizează folosind medii mobile: CD-uri și DVD-uri, dispozitive ZIP și, cel mai important, tot felul de unități USB. Distribuția lor în masă a dus la înflorirea insiderismului în întreaga lume. Șefii majorității băncilor sunt bine conștienți de pericolele, de exemplu, ca o bază de date cu datele personale ale clienților lor sau, mai mult, tranzacțiile pe conturile lor să cadă în mâinile structurilor criminale. Și încearcă să combată eventualul furt de informații folosind metode organizatorice pe care le au la dispoziție.

Cu toate acestea, metodele organizatorice în acest caz sunt ineficiente. Astăzi puteți organiza transferul de informații între computere folosind o unitate flash în miniatură, un telefon mobil, un mp3 player, o cameră digitală... Desigur, puteți încerca să interziceți introducerea tuturor acestor dispozitive în birou, dar aceasta, în primul rând, va afecta negativ relațiile cu angajații și, în al doilea rând, este încă foarte dificil să se stabilească un control cu adevărat eficient asupra oamenilor - o bancă nu este o „cutie poștală”. Și chiar și dezactivarea tuturor dispozitivelor de pe computere care pot fi folosite pentru a scrie informații pe medii externe (discuri FDD și ZIP, unități CD și DVD etc.) și porturile USB nu va ajuta. La urma urmei, primele sunt necesare pentru lucru, iar cele din urmă sunt conectate la diverse periferice: imprimante, scanere etc. Și nimeni nu poate opri o persoană să închidă imprimanta pentru un minut, să introducă o unitate flash în portul liber și să copieze informații importante în acesta. Desigur, puteți găsi modalități originale de a vă proteja. De exemplu, o bancă a încercat această metodă de rezolvare a problemei: au umplut joncțiunea portului USB și a cablului cu rășină epoxidică, „legând” strâns pe acesta din urmă de computer. Dar, din fericire, astăzi există metode de control mai moderne, fiabile și flexibile.

Cel mai eficient mijloc de a minimiza riscurile asociate persoanelor din interior este software-ul special care gestionează în mod dinamic toate dispozitivele și porturile de computer care pot fi folosite pentru a copia informații. Principiul muncii lor este următorul. Permisiunile de utilizare a diferitelor porturi și dispozitive sunt setate pentru fiecare grup de utilizatori sau pentru fiecare utilizator în mod individual. Cel mai mare avantaj al unui astfel de software este flexibilitatea. Puteți introduce restricții pentru anumite tipuri de dispozitive, modelele acestora și instanțe individuale. Acest lucru vă permite să implementați politici foarte complexe de distribuire a drepturilor de acces.

De exemplu, este posibil să doriți să permiteți unor angajați să folosească orice imprimante sau scanere conectate la porturile USB. Cu toate acestea, toate celelalte dispozitive introduse în acest port vor rămâne inaccesibile. Dacă banca folosește un sistem de autentificare a utilizatorilor bazat pe jetoane, atunci în setări puteți specifica modelul de cheie utilizat. Atunci utilizatorii vor avea voie să folosească numai dispozitivele achiziționate de companie, iar toate celelalte vor fi inutile.

Pe baza principiului de funcționare a sistemelor de protecție descris mai sus, puteți înțelege ce puncte sunt importante atunci când alegeți programe care implementează blocarea dinamică a dispozitivelor de înregistrare și a porturilor de computer. În primul rând, este versatilitatea. Sistemul de protecție trebuie să acopere întreaga gamă de porturi și dispozitive de intrare/ieșire posibile. În caz contrar, riscul de furt de informații comerciale rămâne inacceptabil de mare. În al doilea rând, software-ul în cauză trebuie să fie flexibil și să vă permită să creați reguli folosind o cantitate mare de informații diverse despre dispozitive: tipurile acestora, producătorii de modele, numerele unice pe care le are fiecare instanță etc. Și în al treilea rând, sistemul de protecție a insiderului trebuie să se poată integra cu sistemul informațional al băncii, în special cu ActiveDirectory. În caz contrar, administratorul sau ofițerul de securitate va trebui să mențină două baze de date de utilizatori și computere, ceea ce nu numai că este incomod, dar crește și riscul de erori.

Studii recente în domeniul securității informațiilor, cum ar fi Sondajul anual CSI/FBI Computer Crime And Security Survey, au arătat că pierderile financiare pentru companii din cauza majorității amenințărilor sunt în scădere de la an la an. Cu toate acestea, există mai multe riscuri de la care pierderile cresc. Una dintre ele este furtul deliberat de informații confidențiale sau încălcarea regulilor de manipulare a acestora de către acei angajați al căror acces la datele comerciale este necesar pentru îndeplinirea atribuțiilor lor oficiale. Se numesc persoane din interior.

Cu toate acestea, metodele organizatorice în acest caz sunt ineficiente. Astăzi puteți organiza transferul de informații între computere folosind o unitate flash în miniatură, un telefon mobil, un TZ-plssr, o cameră digitală... Desigur, puteți încerca să interziceți aducerea tuturor acestor dispozitive în birou, dar acest lucru, în primul rând, va afecta negativ relațiile cu angajații și, în al doilea rând, este încă foarte dificil să se stabilească un control cu adevărat eficient asupra oamenilor - o bancă nu este o „căsuță poștală”. Și chiar și dezactivarea tuturor dispozitivelor de pe computere care pot fi folosite pentru a scrie informații pe medii externe (discuri FDD și ZIP, unități CD și DVD etc.) și porturile USB nu va ajuta. La urma urmei, primele sunt necesare pentru lucru, iar cele din urmă sunt conectate la diverse periferice: imprimante, scanere etc. Și nimeni nu poate opri o persoană să închidă imprimanta pentru un minut, să introducă o unitate flash în portul liber și să copieze informații importante în acesta. Desigur, puteți găsi modalități originale de a vă proteja. De exemplu, o bancă a încercat această metodă de rezolvare a problemei: au umplut joncțiunea portului USB și a cablului cu rășină epoxidică, „legând” strâns pe acesta din urmă de computer. Dar, din fericire, astăzi există metode de control mai moderne, fiabile și flexibile.

Pe baza principiului de funcționare a sistemelor de protecție descris mai sus, puteți înțelege ce puncte sunt importante atunci când alegeți programe care implementează blocarea dinamică a dispozitivelor de înregistrare și a porturilor de computer. În primul rând, este versatilitatea. Sistemul de protecție trebuie să acopere întreaga gamă de porturi și dispozitive de intrare/ieșire posibile. În caz contrar, riscul de furt de informații comerciale rămâne inacceptabil de mare. În al doilea rând, software-ul în cauză trebuie să fie flexibil și să vă permită să creați reguli folosind o cantitate mare de informații diverse despre dispozitive: tipurile acestora, producătorii de modele, numerele unice pe care le are fiecare instanță etc. Și în al treilea rând, sistemul de protecție a insiderului trebuie să se poată integra cu sistemul informațional al băncii, în special cu Active Directory. În caz contrar, administratorul sau ofițerul de securitate va trebui să mențină două baze de date de utilizatori și computere, ceea ce nu numai că este incomod, dar crește și riscul de erori.

Sper că articolul în sine și mai ales discuția acestuia vor ajuta la identificarea diferitelor nuanțe ale utilizării instrumentelor software și vor deveni un punct de plecare în dezvoltarea unei soluții la problema descrisă pentru specialiștii în securitatea informațiilor.

nahna

De mult timp, divizia de marketing a companiei Infowatch convinge toate părțile interesate - specialiști IT, precum și cei mai avansați manageri IT, că cea mai mare parte a prejudiciului cauzat de o încălcare a securității informaționale a companiei revine persoanelor din interior - angajații divulgând secretele comertului. Scopul este clar - trebuie să creăm cerere pentru produsul fabricat. Iar argumentele par destul de solide și convingătoare.

Formularea problemei

Construiți un sistem pentru protejarea informațiilor împotriva furtului de către personal pe o rețea LAN bazată pe Active Directory Windows 2000/2003. Stațiile de lucru ale utilizatorului care rulează Windows XP. Managementul întreprinderii și contabilitatea bazate pe produse 1C.
Informațiile secrete sunt stocate în trei moduri:

DB 1C - acces la rețea prin RDP (acces terminal);
foldere partajate pe serverele de fișiere - acces la rețea;
local pe computerul angajatului;

Canale de scurgere - Internet și medii amovibile (unități flash, telefoane, playere etc.). Utilizarea internetului și a suporturilor amovibile nu poate fi interzisă, deoarece acestea sunt necesare pentru îndeplinirea atribuțiilor oficiale.

Ce este pe piata

Am împărțit sistemele luate în considerare în trei clase:

Sisteme bazate pe analizoare de context - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet etc.
Sisteme bazate pe blocarea statică a dispozitivului - DeviceLock, ZLock, InfoWatch Net Monitor.
Sisteme bazate pe blocarea dinamică a dispozitivelor - SecrecyKeeper, Strazh, Accord, SecretNet.

Sisteme bazate pe analizoare de context

Principiul de funcționare:
Cuvintele cheie sunt căutate în informațiile transmise, iar pe baza rezultatelor căutării se ia o decizie cu privire la necesitatea blocării transmiterii.

În opinia mea, InfoWatch Traffic Monitor (www.infowatch.ru) are capabilitățile maxime dintre produsele enumerate. Baza este motorul Kaspersky Antispam bine dovedit, care ține cont cel mai pe deplin de particularitățile limbii ruse. Spre deosebire de alte produse, InfoWatch Traffic Monitor, la analiză, ține cont nu doar de prezența anumitor rânduri în datele verificate, ci și de greutatea predeterminată a fiecărui rând. Astfel, atunci când se ia o decizie finală, nu se ține cont doar de apariția anumitor cuvinte, ci și de combinațiile în care acestea apar, ceea ce permite creșterea flexibilității analizorului. Funcțiile rămase sunt standard pentru acest tip de produs - analiza arhivelor, documentelor MS Office, capacitatea de a bloca transferul fișierelor într-un format necunoscut sau arhive protejate cu parolă.

Dezavantaje ale sistemelor luate în considerare bazate pe analiza contextuală:

Sunt monitorizate doar două protocoale - HTTP și SMTP (pentru InfoWatch Traffic Monitor, iar pentru traficul HTTP sunt verificate doar datele transmise prin solicitări POST, ceea ce vă permite să organizați un canal de scurgere folosind transferul de date folosind metoda GET);
Dispozitivele de transfer de date nu sunt controlate - dischete, CD-uri, DVD-uri, unități USB etc. (InfoWatch are un produs pentru acest caz: InfoWatch Net Monitor).
pentru a ocoli sistemele construite pe baza analizei de conținut, este suficient să folosiți cea mai simplă codificare a textului (de exemplu: secret -> с1е1к1р1е1т), sau steganografia;
următoarea problemă nu poate fi rezolvată prin metoda analizei de conținut - nu îmi vine în minte o descriere formală adecvată, așa că voi da doar un exemplu: există două fișiere Excel - în primul sunt prețuri cu amănuntul (informații publice), în al doilea - prețurile cu ridicata pentru un anumit client (informații private), conținutul fișierelor diferă doar numere. Aceste fișiere nu pot fi distinse utilizând analiza de conținut.

Concluzie:
Analiza contextuală este potrivită doar pentru crearea arhivelor de trafic și contracararea scurgerilor accidentale de informații și nu rezolvă problema.

Sisteme bazate pe blocarea statică a dispozitivelor

Principiul de funcționare:
Utilizatorilor li se atribuie drepturi de acces la dispozitivele controlate, similare cu drepturile de acces la fișiere. În principiu, aproape același efect poate fi obținut folosind mecanismele standard Windows.

Zlock (www.securit.ru) - produsul a apărut relativ recent, deci are o funcționalitate minimă (nu număr bibelouri) și nu funcționează deosebit de bine, de exemplu, consola de management se blochează uneori când încearcă să salvezi setări.

DeviceLock (www.smartline.ru) este un produs mai interesant; este pe piață de destul de mult timp, așa că funcționează mult mai stabil și are funcționalități mai diverse. De exemplu, permite copierea umbră a informațiilor transmise, ceea ce poate ajuta la investigarea unui incident, dar nu la prevenirea acestuia. În plus, o astfel de investigație va fi efectuată cel mai probabil atunci când scurgerea devine cunoscută, adică. o perioadă semnificativă de timp după ce a apărut.

InfoWatch Net Monitor (www.infowatch.ru) constă din module - DeviceMonitor (analog cu Zlock), FileMonitor, OfficeMonitor, AdobeMonitor și PrintMonitor. DeviceMonitor este un analog al lui Zlock, funcționalitate standard, fără stafide. FileMonitor - controlul accesului la fișiere. OfficeMonitor și AdobeMonitor vă permit să controlați modul în care sunt gestionate fișierele în aplicațiile lor respective. În prezent, este destul de dificil să veniți cu o aplicație utilă, mai degrabă decât jucărie, pentru FileMonitor, OfficeMonitor și AdobeMonitor, dar în versiunile viitoare ar trebui să fie posibilă efectuarea unei analize contextuale a datelor procesate. Poate că atunci aceste module își vor dezvălui potențialul. Deși este de remarcat faptul că sarcina de analiză contextuală a operațiunilor cu fișiere nu este banală, mai ales dacă baza de filtrare a conținutului este aceeași ca în Monitorul traficului, adică. reţea.

Separat, este necesar să spunem despre protejarea agentului de un utilizator cu drepturi de administrator local.
ZLock și InfoWatch Net Monitor pur și simplu nu au o astfel de protecție. Acestea. utilizatorul poate opri agentul, poate copia datele și poate porni din nou agentul.

DeviceLock are o astfel de protecție, ceea ce este un plus sigur. Se bazează pe interceptarea apelurilor de sistem pentru lucrul cu registrul, sistemul de fișiere și managementul proceselor. Un alt avantaj este că protecția funcționează și în modul sigur. Dar există și un minus - pentru a dezactiva protecția, este suficient să restabiliți Tabelul de descrieri de servicii, care se poate face prin descărcarea unui driver simplu.

Dezavantaje ale sistemelor considerate bazate pe blocarea statică a dispozitivelor:

Transmiterea informațiilor către rețea nu este controlată.
-Nu știe să distingă informațiile clasificate de informațiile nesecrete. Funcționează pe principiul că fie totul este posibil, fie nimic nu este imposibil.
Protecția împotriva descărcării agentului este absentă sau ușor ocolită.

Concluzie:
Nu este indicat să se implementeze astfel de sisteme, deoarece nu rezolvă problema.

Sisteme bazate pe blocarea dinamică a dispozitivului

Principiul de funcționare:
accesul la canalele de transmisie este blocat în funcție de nivelul de acces al utilizatorului și de gradul de secretizare a informațiilor cu care se lucrează. Pentru a implementa acest principiu, aceste produse folosesc mecanismul de control al accesului autorizat. Acest mecanism nu apare foarte des, așa că mă voi opri mai detaliat asupra lui.

Controlul autoritar (forțat) al accesului, spre deosebire de cel discreționar (implementat în sistemul de securitate Windows NT și o versiune ulterioară), este că proprietarul unei resurse (de exemplu, un fișier) nu poate slăbi cerințele de acces la această resursă, dar poate întărește-le doar în limitele nivelului tău. Doar un utilizator cu puteri speciale - un ofițer de securitate a informațiilor sau un administrator - poate relaxa cerințele.

Scopul principal al dezvoltarii de produse precum Guardian, Accord, SecretNet, DallasLock si altele a fost posibilitatea de a certifica sistemele informatice in care vor fi instalate aceste produse pentru conformitatea cu cerintele Comisiei Tehnice de Stat (acum FSTEC). O astfel de certificare este obligatorie pentru sistemele informatice în care sunt prelucrate date guvernamentale. un secret, care asigura în principal cererea de produse de la întreprinderile de stat.

Prin urmare, setul de funcții implementate în aceste produse a fost determinat de cerințele documentelor relevante. Ceea ce, la rândul său, a condus la faptul că majoritatea funcționalității implementate în produse fie dublează funcționalitatea standard Windows (curățarea obiectelor după ștergere, curățarea memoriei RAM), fie o folosește implicit (controlul accesului discriminat). Și dezvoltatorii DallasLock au mers și mai departe prin implementarea controlului de acces obligatoriu pentru sistemul lor prin mecanismul de control discreționar Windows.

Utilizarea practică a unor astfel de produse este extrem de incomod; de exemplu, instalarea DallasLock necesită repartiționarea hard disk-ului, care trebuie făcută și folosind software terță parte. Foarte des, după certificare, aceste sisteme au fost eliminate sau dezactivate.

SecrecyKeeper (www.secrecykeeper.com) este un alt produs care implementează un mecanism de control al accesului autorizat. Potrivit dezvoltatorilor, SecrecyKeeper a fost dezvoltat special pentru a rezolva o problemă specifică - prevenirea furtului de informații într-o organizație comercială. Prin urmare, din nou potrivit dezvoltatorilor, o atenție deosebită în timpul dezvoltării a fost acordată simplității și ușurinței în utilizare, atât pentru administratorii de sistem, cât și pentru utilizatorii obișnuiți. Cât de reușit a avut acest lucru trebuie să judece consumatorul, adică. S.U.A. În plus, SecrecyKeeper implementează o serie de mecanisme care sunt absente în celelalte sisteme menționate - de exemplu, capacitatea de a seta nivelul de confidențialitate pentru resursele cu acces la distanță și un mecanism de protecție a agentului.
Controlul mișcării informațiilor în SecrecyKeeper este implementat pe baza nivelului de secretizare a informațiilor, nivelurilor de permisiuni ale utilizatorului și nivelului de securitate a computerului, care pot lua valorile public, secret și top secret. Nivelul de securitate a informațiilor vă permite să clasificați informațiile procesate în sistem în trei categorii:

informații publice - nu secrete, nu există restricții atunci când lucrați cu acestea;

secret - informații secrete, atunci când se lucrează cu aceasta, se introduc restricții în funcție de Nivelurile de Permisiune ale Utilizatorului;

top secret - informații extrem de secrete; atunci când lucrați cu acestea, sunt introduse restricții în funcție de Nivelurile de Permisiune ale Utilizatorului.

Nivelul de secret al informațiilor poate fi setat pentru un fișier, o unitate de rețea și un port de computer pe care rulează un serviciu.

Nivelurile de autorizare a utilizatorului vă permit să determinați modul în care un utilizator poate muta informațiile pe baza nivelului său de securitate. Există următoarele niveluri de permisiuni ale utilizatorului:

Nivel de Permisiune utilizator - limitează nivelul maxim de securitate al informațiilor la care poate accesa un angajat;

Nivelul de acces la rețea - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate transmite prin rețea;

Nivelul de acces la suporturi amovibile - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate copia pe medii externe.

Nivelul de acces la imprimantă - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate imprima.

Nivelul de securitate al computerului - determină nivelul maxim de securitate al informațiilor care pot fi stocate și procesate pe un computer.

Accesul la informații cu un nivel de securitate publică poate fi asigurat de un angajat cu orice autorizație de securitate. Astfel de informații pot fi transmise prin rețea și copiate pe medii externe fără restricții. Istoricul lucrului cu informații clasificate drept publice nu este urmărit.

Accesul la informații cu un nivel de securitate secret poate fi obținut numai de către angajații al căror nivel de autorizare este egal cu secret sau mai mare. Doar angajații al căror nivel de acces la rețea este secret sau mai mare pot transmite astfel de informații în rețea. Numai angajații al căror nivel de acces la mediile amovibile este secret sau mai mare pot copia astfel de informații pe medii externe. Doar angajații al căror nivel de acces la imprimantă este secret sau mai mare pot imprima astfel de informații. Istoricul lucrului cu informații cu nivel secret, de ex. sunt înregistrate încercările de a-l accesa, încercările de a-l transmite prin rețea, încercările de a-l copia pe un suport extern sau de a-l tipări.

Accesul la informații cu un nivel de secret strict poate fi obținut numai de către angajații al căror nivel de autorizare este egal cu cel de secret. Doar angajații al căror nivel de acces la rețea este egal cu cel mai secret pot transmite astfel de informații în rețea. Numai angajații al căror nivel de acces la mediile amovibile este egal cu cel mai secret pot copia astfel de informații pe medii externe. Doar angajații al căror nivel de acces la imprimantă este egal cu cel mai secret pot imprima astfel de informații. Istoricul lucrului cu informații cu un nivel superior secret, de ex. sunt înregistrate încercările de a-l accesa, încercările de a-l transmite prin rețea, încercările de a-l copia pe un suport extern sau de a-l tipări.

Exemplu: permiteți unui angajat să aibă un nivel de permisiune egal cu secret superior, un nivel de acces la rețea egal cu secret, un nivel de acces media amovibil egal cu public și un nivel de acces la imprimantă egal cu secret; în acest caz, un angajat poate obține acces la un document cu orice nivel de secret, angajatul poate transfera informații în rețea cu un nivel de secret nu mai mare decât secret, copia, de exemplu, pe dischete, angajatul poate doar informații cu nivelul secretului public, iar angajatul poate imprima orice informație pe o imprimantă.

Pentru a gestiona difuzarea informațiilor în întreaga întreprindere, fiecărui computer atribuit unui angajat i se atribuie un Nivel de Securitate Informatică. Acest nivel limitează nivelul maxim de securitate al informațiilor pe care orice angajat îl poate accesa de pe un anumit computer, indiferent de nivelurile de autorizare ale angajatului. Acea. Dacă un angajat are un Nivel de Permisiune egal cu secret, iar computerul pe care lucrează în prezent are un Nivel de securitate egal cu public, atunci angajatul nu va putea accesa informații cu un nivel de securitate mai mare decât public de pe această stație de lucru.

Înarmați cu teorie, să încercăm să folosim SecrecyKeeper pentru a rezolva problema. Informațiile procesate în sistemul informațional al întreprinderii abstracte luate în considerare (vezi enunțul problemei) pot fi descrise într-un mod simplificat folosind următorul tabel:

Angajații întreprinderii și domeniul lor de interese sunt descriși folosind cel de-al doilea tabel:

Lăsați următoarele servere să fie utilizate în întreprindere:
Server 1C
Server de fișiere cu bile:
SecretDocs - conține documente secrete
PublicDocs - conține documente disponibile public

Permiteți-mi să observ că pentru a organiza controlul standard al accesului, se folosesc capabilitățile standard ale sistemului de operare și ale software-ului aplicației, de exemplu. pentru a preveni, de exemplu, ca un manager să acceseze datele personale ale angajaților, nu este nevoie să se introducă sisteme suplimentare de protecție. Vorbim în special despre contracararea difuzării de informații la care angajatul are acces legal.

Să trecem la configurația reală a SecrecyKeeper.
Nu voi descrie procesul de instalare a consolei de management și a agenților, totul este cât se poate de simplu - consultați documentația programului.
Configurarea sistemului constă în efectuarea următorilor pași.

Pasul 1. Instalați agenți pe toate computerele, cu excepția serverelor - acest lucru îi împiedică imediat să obțină informații pentru care Nivelul de secretizare este setat mai mare decât public.

Pasul 2. Atribuiți niveluri de autorizare angajaților conform următorului tabel:

	Nivel de permisiune utilizator	Nivel de acces la rețea	Nivel de acces la mediile amovibile	Nivel de acces la imprimantă
director	secret	secret	secret	secret
administrator	secret	public	public	secret
ofițer personal	secret	public	public	secret
contabil	secret	public	secret	secret
secretar	public	public	public	public

Pasul 3. Atribuiți niveluri de securitate a computerului după cum urmează:

Pasul 4. Configurați nivelurile de securitate a informațiilor pe servere:

Pasul 5. Configurați nivelurile de securitate a informațiilor pe computerele angajaților pentru fișierele locale. Aceasta este partea care consumă cel mai mult timp, deoarece este necesar să înțelegeți clar care angajați lucrează cu ce informații și cât de critice sunt aceste informații. Dacă organizația dvs. a fost supusă unui audit de securitate a informațiilor, rezultatele acestuia pot face sarcina mult mai ușoară.

Pasul 6. Dacă este necesar, SecrecyKeeper vă permite să limitați lista de programe pe care utilizatorii au voie să le ruleze. Acest mecanism este implementat independent de Politica de restricții software Windows și poate fi utilizat dacă, de exemplu, este necesar să se impună restricții utilizatorilor cu drepturi de administrator.

Astfel, cu ajutorul SecrecyKeeper, este posibilă reducerea semnificativă a riscului de difuzare neautorizată a informațiilor clasificate - atât scurgeri, cât și furt.

Defecte:
- dificultate în stabilirea inițială a nivelurilor de confidențialitate pentru fișierele locale;

Concluzie generala:
Oportunitățile maxime de protejare a informațiilor împotriva persoanelor din interior sunt oferite de software-ul care are capacitatea de a regla dinamic accesul la canalele de transmitere a informațiilor, în funcție de gradul de secretizare a informațiilor cu care se lucrează și de nivelul de autorizare de securitate a angajatului.

Companie este un serviciu unic pentru cumpărători, dezvoltatori, dealeri și parteneri afiliați. În plus, acesta este unul dintre cele mai bune magazine online de software din Rusia, Ucraina și Kazahstan, care oferă clienților o gamă largă de produse, multe metode de plată, procesare promptă (adesea instantanee) a comenzii și urmărirea procesului de comandă într-o secțiune personală. .

„Consultant”, 2011, N 9

„Cine deține informațiile deține lumea” - acest celebru aforism al lui Winston Churchill este mai relevant ca niciodată în societatea modernă. Cunoștințele, ideile și tehnologia vin în prim-plan, iar conducerea pieței depinde de cât de bine își poate gestiona o companie capitalul intelectual.

În aceste condiții, securitatea informațională a unei organizații devine deosebit de importantă.

Orice scurgere de informații către concurenți sau publicarea de informații despre procesele interne afectează instantaneu pozițiile pe care compania le ocupă pe piață.

Un sistem de securitate a informațiilor trebuie să ofere protecție împotriva unei varietăți de amenințări: tehnice, organizaționale și cele cauzate de factorul uman.

După cum arată practica, principalul canal de scurgere de informații sunt cei din interior.

Inamic în spate

De obicei, un insider este un angajat al companiei care provoacă daune companiei prin dezvăluirea de informații confidențiale.

Totuși, dacă luăm în considerare cele trei condiții principale, a căror asigurare este scopul securității informațiilor - confidențialitate, integritate, disponibilitate - această definiție poate fi extinsă.

Un insider poate fi numit un angajat care are acces oficial legitim la informațiile confidențiale ale unei întreprinderi, ceea ce provoacă dezvăluirea, denaturarea, deteriorarea sau inaccesibilitatea informațiilor.

O astfel de generalizare este acceptabilă deoarece, în lumea modernă, încălcarea integrității și disponibilității informațiilor implică adesea consecințe mult mai grave pentru afaceri decât dezvăluirea informațiilor confidențiale.

Pentru multe întreprinderi, oprirea proceselor de afaceri, chiar și pentru o perioadă scurtă de timp, amenință pierderi financiare semnificative, iar întreruperea funcționării în câteva zile poate provoca o lovitură atât de puternică, încât consecințele sale pot fi fatale.

Diverse organizații care studiază riscul de afaceri publică în mod regulat rezultatele cercetării lor. Potrivit acestora, informațiile privilegiate s-au clasat în mod constant pe primul loc în lista de motive pentru încălcările securității informațiilor de mulți ani.

Datorită creșterii constante a numărului total de incidente, putem concluziona că relevanța problemei crește tot timpul.

Model de amenințare

Pentru a construi un sistem de securitate a informațiilor pe straturi fiabil, care să ajute la combaterea eficientă a problemei, este necesar în primul rând crearea unui model de amenințare.

Trebuie să înțelegeți cine sunt cei din interior și ce îi motivează, de ce iau anumite acțiuni.

Există diferite abordări pentru crearea unor astfel de modele, dar în scopuri practice puteți utiliza următoarea clasificare, care include toate tipurile principale de persoane din interior.

Hacker intern

Un astfel de angajat, de regulă, are calificări de inginerie peste medie și înțelege structura resurselor întreprinderii, arhitectura sistemelor și rețelelor informatice.

El efectuează acțiuni de hacking din curiozitate, interes sportiv, explorând limitele propriilor capacități.

De obicei, el este conștient de posibilul rău din acțiunile sale, așa că rareori cauzează daune tangibile.

Gradul de pericol este mediu, deoarece acțiunile sale pot determina oprirea temporară a unor procese care au loc în companie. Identificarea activităților este posibilă în primul rând prin mijloace tehnice.

Angajat iresponsabil și slab calificat

Poate avea o varietate de abilități și poate lucra în orice departament al întreprinderii.

Este periculos pentru că nu tinde să se gândească la consecințele acțiunilor sale, poate lucra cu resursele informaționale ale companiei „prin încercare și eroare” și poate distruge și distorsiona informațiile neintenționat.

De obicei, nu își amintește succesiunea acțiunilor sale și, atunci când descoperă consecințe negative, poate pur și simplu să tacă în legătură cu ele.

Poate dezvălui informații care constituie un secret comercial într-o conversație personală cu un prieten sau chiar atunci când comunici pe forumuri de internet și rețele sociale.

Gradul de pericol este foarte mare, mai ales având în vedere că acest tip de infractor este mai frecvent decât alții. Consecințele activităților sale pot fi mult mai grave decât cele ale unui atacator conștient.

Pentru a preveni consecințele acțiunilor sale, este necesar să se ia o întreagă gamă de măsuri diferite, atât tehnice (autorizare, împărțirea obligatorie a sesiunilor de lucru pe conturi), cât și organizatorice (control constant al managementului asupra procesului și rezultatului muncii). .

Persoană instabilă din punct de vedere psihologic

La fel ca un reprezentant de tipul anterior, el poate lucra în orice post și are calificări foarte diferite. Periculoasă din cauza tendinței la acțiuni slab motivate în condiții de disconfort psihologic: în situații extreme, presiune psihologică din partea altor angajați, sau pur și simplu iritare puternică.

Într-o stare afectivă, poate dezvălui informații confidențiale, poate deteriora datele și poate perturba cursul obișnuit al muncii altor persoane.

Gradul de pericol este mediu, dar acest tip de infractor nu este atât de comun.

Pentru a preveni consecințele negative ale acțiunilor sale, cel mai eficient este să folosiți măsuri administrative - pentru a identifica astfel de persoane în etapa interviului, a limita accesul la informații și a menține un climat psihologic confortabil în echipă.

Angajat insultat, jignit

Cel mai larg grup de potențiali încălcatori ai regimului de securitate a informațiilor.

Teoretic, marea majoritate a angajaților sunt capabili să comită acte neprietenoase companiei.

Acest lucru se poate întâmpla atunci când conducerea manifestă lipsă de respect față de personalitatea sau calitățile profesionale ale angajatului și când acest lucru afectează nivelul de salarizare.

Potențial, acest tip de persoane din interior reprezintă un pericol foarte mare - sunt posibile atât scurgerile, cât și deteriorarea informațiilor, iar prejudiciul cauzat de acestea va fi garantat a fi vizibil pentru afacere, deoarece angajatul îl provoacă în mod conștient și cunoaște bine toate vulnerabilitățile.

Sunt necesare atât măsuri administrative, cât și măsuri tehnice pentru detectarea activităților.

Angajat necurat

Un angajat care încearcă să-și suplimenteze averea personală în detrimentul proprietății companiei pentru care lucrează. Printre elementele alocate pot fi diverse medii de informații confidențiale (hard disk-uri, unități flash, laptop-uri corporative).

În acest caz, există riscul ca informațiile să ajungă la persoane cărora nu au fost destinate, cu publicarea ulterioară sau transferarea către concurenți.

Pericolul este mediu, dar acest tip nu este neobișnuit.

Pentru a identifica, sunt necesare mai întâi măsuri administrative.

Reprezentantul concurentului

De regulă, este înalt calificat și ocupă posturi care oferă ample oportunități de obținere a informațiilor, inclusiv a informațiilor confidențiale. Acesta este fie un angajat existent recrutat, cumpărat de concurenți (mai des), fie un insider special introdus în companie.

Gradul de pericol este foarte mare, deoarece prejudiciul este cauzat în mod conștient și cu o înțelegere profundă a valorii informațiilor, precum și a vulnerabilităților companiei.

Pentru identificarea activităților sunt necesare atât măsuri administrative, cât și măsuri tehnice.

Ce furăm?

Înțelegerea problemei informațiilor privilegiate este imposibilă fără a lua în considerare natura informațiilor furate.

Potrivit statisticilor, datele personale ale clienților, precum și informațiile despre companiile clienți și parteneri sunt cele mai solicitate, fiind furate în mai mult de jumătate din cazuri. Urmează detalii despre tranzacții, termenii contractelor și livrările. Rapoartele financiare sunt, de asemenea, de mare interes.

Atunci când formează un set de măsuri de protecție, fiecare companie se confruntă inevitabil cu întrebarea: ce informații specifice necesită măsuri speciale de protecție și ce nu are nevoie de ele?

Desigur, la baza unor astfel de decizii se află datele obținute în urma analizei de risc. Cu toate acestea, adesea o întreprindere are resurse financiare limitate care pot fi cheltuite pentru un sistem de securitate a informațiilor și este posibil să nu fie suficiente pentru a minimiza toate riscurile.

Două abordări

Din păcate, nu există un răspuns gata la întrebarea: „Ce să protejăm mai întâi”.

Această problemă poate fi abordată din două părți.

Riscul este un indicator complex care ia în considerare atât probabilitatea unei anumite amenințări, cât și posibilele daune cauzate de aceasta. În consecință, atunci când stabiliți prioritățile de securitate, vă puteți concentra pe unul dintre acești indicatori. Aceasta înseamnă că informația care este protejată mai întâi este cea care este cel mai ușor de furat (de exemplu, dacă un număr mare de angajați au acces la ea), iar informațiile a căror furt sau blocare ar duce la cele mai grave consecințe.

Un aspect important al problemei interne este canalul de transmitere a informațiilor. Cu cât există mai multe oportunități fizice pentru ca informațiile neautorizate să fie transferate în afara companiei, cu atât este mai probabil ca acest lucru să se întâmple.

Mecanisme de transmisie

Mecanismele de transmisie pot fi clasificate după cum urmează:

transmitere orală (conversație personală);
canale de transmitere a datelor tehnice (telefon, fax, e-mail, sisteme de mesagerie, diverse servicii sociale de internet etc.);
medii portabile și dispozitive mobile (telefoane mobile, hard disk-uri externe, laptopuri, unități flash etc.).

Conform cercetărilor din vremea noastră, cele mai comune canale de transmitere a datelor confidențiale sunt (în ordine descrescătoare): e-mailul, dispozitivele mobile (inclusiv laptop-uri), rețelele sociale și alte servicii de internet (cum ar fi sistemele de mesagerie instantanee) etc.

Pentru controlul canalelor tehnice se pot folosi diverse mijloace, o gamă largă de produse disponibile în prezent pe piața securității.

De exemplu, sisteme de filtrare a conținutului (sisteme de blocare dinamică), mijloace de restricționare a accesului la mediile de informare (CD, DVD, Bluetooth).

De asemenea, se aplică măsuri administrative: filtrarea traficului pe Internet, blocarea porturilor fizice ale stațiilor de lucru, asigurarea regimului administrativ și a securității fizice.

La alegerea mijloacelor tehnice de protejare a informațiilor confidențiale, este necesar să se aplice o abordare sistematică. Numai în acest fel se poate obține cea mai mare eficiență din implementarea lor.

De asemenea, trebuie să înțelegeți că provocările cu care se confruntă fiecare companie sunt unice și de multe ori este pur și simplu imposibil să utilizați soluții utilizate de alte organizații.

Lupta împotriva informațiilor privilegiate nu ar trebui să se desfășoare de la sine; este o componentă importantă a procesului general de afaceri care vizează asigurarea unui regim de securitate a informațiilor.

Acesta trebuie să fie realizat de profesioniști și să includă un ciclu complet de activități: elaborarea unei politici de securitate a informațiilor, definirea domeniului de aplicare, analiza riscurilor, selectarea contramăsurilor și implementarea acestora, precum și auditarea sistemului de securitate a informațiilor.

Dacă o întreprindere nu asigură securitatea informațiilor în întregul complex, atunci riscurile de pierderi financiare din scurgeri și deteriorarea informațiilor cresc brusc.

Minimizarea riscurilor

Examinare

Selectarea amănunțită a candidaților care aplică pentru orice posturi în companie. Este recomandat să colectați cât mai multe informații despre candidat, inclusiv conținutul paginilor sale de pe rețelele de socializare. De asemenea, poate fi de ajutor să ceri o referință de la un loc de muncă anterior.
Candidații pentru posturile de inginer IT ar trebui să fie supuși unei examinări deosebit de amănunțite. Practica arată că mai mult de jumătate din toți cei din interior sunt administratori de sistem și programatori.
La angajare trebuie efectuată cel puțin o verificare psihologică minimă a candidaților. Va ajuta la identificarea solicitanților cu sănătate mintală instabilă.

Drept de acces

Sistem de partajare a accesului la resursele corporative. Întreprinderea trebuie să creeze documentație de reglementare care clasifică informațiile în funcție de nivelul de confidențialitate și definește clar drepturile de acces la acestea. Accesul la orice resurse trebuie să fie personalizat.
Drepturile de acces la resurse ar trebui alocate conform principiului „suficienței minime”. Accesul la întreținerea echipamentelor tehnice, chiar și cu drepturi de administrator, nu ar trebui să fie întotdeauna însoțit de acces pentru vizualizarea informațiilor în sine.
Monitorizare cât mai profundă a acțiunilor utilizatorului, cu autorizare obligatorie și înregistrarea informațiilor despre operațiunile efectuate într-un jurnal. Cu cât jurnalele sunt păstrate cu mai multă grijă, cu atât managementul are mai mult control asupra situației din companie. Același lucru este valabil și pentru acțiunile angajatului atunci când utilizează accesul oficial la Internet.

Standard de comunicare

Organizația trebuie să adopte propriul standard de comunicare, care să excludă toate formele de comportament inadecvat al angajaților unul față de celălalt (agresiune, violență, familiaritate excesivă). În primul rând, acest lucru se aplică relației „manager-subordonat”.

În niciun caz un angajat nu trebuie să simtă că este tratat nedrept, că nu este suficient de apreciat, că este exploatat inutil sau că este înșelat.

Respectarea acestei reguli simple vă va permite să evitați marea majoritate a situațiilor care îi determină pe angajați să ofere informații privilegiate.

Confidențialitate

Un acord de nedezvăluire nu ar trebui să fie o simplă formalitate. Acesta trebuie semnat de toți angajații care au acces la resurse de informații importante ale companiei.

În plus, chiar și în etapa interviului, potențialilor angajați trebuie să li se explice modul în care compania controlează securitatea informațiilor.

Controlul fondurilor

Reprezintă controlul mijloacelor tehnice utilizate de un angajat în scopuri de muncă.

De exemplu, folosirea unui laptop personal este nedorită, deoarece atunci când un angajat pleacă, cel mai probabil nu va fi posibil să aflați ce informații sunt stocate pe acesta.

Din același motiv, nu este recomandabil să folosiți căsuțe de e-mail pe resurse externe.

Rutina internă

Întreprinderea trebuie să respecte reglementările interne.

Este necesar să aveți informații despre timpul petrecut de angajați la locul de muncă.

De asemenea, trebuie asigurat controlul mișcării bunurilor materiale.

Respectarea tuturor regulilor de mai sus va reduce riscul de deteriorare sau scurgere de informații prin intermediul informațiilor privilegiate și, prin urmare, va ajuta la prevenirea pierderilor financiare sau de reputație semnificative.

Partener de conducere

grup de companii Gazduire Comunitate

Recent, problema protecției împotriva amenințărilor interne a devenit o adevărată provocare pentru lumea inteligibilă și consacrată a securității informațiilor corporative. Presa vorbește despre persoane din interior, cercetătorii și analiștii avertizează asupra posibilelor pierderi și necazuri, iar fluxurile de știri sunt pline de rapoarte despre încă un incident care a dus la scurgerea a sute de mii de înregistrări ale clienților din cauza unei erori sau a neglijenței unui angajat. Să încercăm să ne dăm seama dacă această problemă este atât de gravă, dacă trebuie tratată și ce instrumente și tehnologii disponibile există pentru a o rezolva.

În primul rând, merită să se stabilească că o amenințare la adresa confidențialității datelor este internă dacă sursa acesteia este un angajat al întreprinderii sau o altă persoană care are acces legal la aceste date. Astfel, atunci când vorbim despre amenințări interne, vorbim despre orice posibile acțiuni ale utilizatorilor legitimi, intenționate sau accidentale, care ar putea duce la scurgerea de informații confidențiale în afara rețelei corporative a întreprinderii. Pentru a completa imaginea, merită adăugat că astfel de utilizatori sunt adesea numiți insideri, deși acest termen are alte semnificații.

Relevanța problemei amenințărilor interne este confirmată de rezultatele studiilor recente. În special, în octombrie 2008, au fost anunțate rezultatele unui studiu comun al Compuware și Ponemon Institue, potrivit căruia insiders sunt cea mai frecventă cauză a scurgerilor de date (75% dintre incidente din Statele Unite), în timp ce hackerii au fost doar pe locul cinci. loc. În studiul anual din 2008 al Computer Security Institute (CSI), cifrele pentru numărul de incidente de amenințări din interior sunt următoarele:

Numărul de incidente ca procent înseamnă că din numărul total de respondenți, acest tip de incident s-a produs în procentul specificat de organizații. După cum se poate observa din aceste cifre, aproape fiecare organizație are riscul de a suferi de amenințări interne. Spre comparație, conform aceluiași raport, virușii au afectat 50% dintre organizațiile chestionate și doar 13% au întâlnit hackeri care se infiltrează în rețeaua locală.

Astfel, amenințările interne sunt o realitate a zilelor noastre și nu un mit inventat de analiști și vânzători. Așa că cei care, în mod demodat, cred că securitatea informațiilor corporative este un firewall și un antivirus, trebuie să arunce o privire mai amplă asupra problemei cât mai curând posibil.

Legea „Cu privire la Datele cu Caracter Personal” crește și gradul de tensiune, conform căruia organizațiile și oficialii vor trebui să răspundă nu numai în fața managementului lor, ci și în fața clienților lor și a legii pentru manipularea necorespunzătoare a datelor cu caracter personal.

Modelul intrusului

În mod tradițional, atunci când luăm în considerare amenințările și apărările împotriva acestora, ar trebui să începem cu o analiză a modelului adversarului. După cum am menționat deja, vom vorbi despre persoane din interior - angajați ai organizației și alți utilizatori care au acces legal la informații confidențiale. De regulă, cu aceste cuvinte, toată lumea se gândește la un angajat de birou care lucrează pe un computer ca parte a unei rețele corporative, care nu părăsește biroul organizației în timp ce lucrează. Cu toate acestea, o astfel de reprezentare este incompletă. Este necesară extinderea acestuia pentru a include și alte tipuri de persoane cu acces legal la informații care pot părăsi biroul organizației. Aceștia ar putea fi călători de afaceri cu laptopuri, sau cei care lucrează atât la birou, cât și acasă, curieri care transportă media cu informații, în primul rând benzi magnetice cu copie de rezervă etc.

O astfel de considerație extinsă a modelului de intrus, în primul rând, se încadrează în concept, deoarece amenințările prezentate de acești intruși sunt și interne, iar în al doilea rând, ne permite să analizăm problema mai pe larg, luând în considerare toate opțiunile posibile pentru combaterea acestor amenințări.

Se pot distinge următoarele tipuri principale de infractori interni:

Angajat neloial/resentimentat.Încălcatorii din această categorie pot acționa intenționat, de exemplu, schimbând locul de muncă și dorind să obțină informații confidențiale pentru a interesa un nou angajator, sau emoțional, dacă s-au considerat ofensați, dorind astfel să se răzbune. Sunt periculoși pentru că sunt cei mai motivați să provoace daune organizației în care lucrează în prezent. De regulă, numărul incidentelor care implică angajați neloiali este mic, dar poate crește în situații de condiții economice nefavorabile și reduceri masive de personal.
Un angajat infiltrat, mituit sau manipulat.În acest caz, vorbim despre orice acțiuni vizate, de obicei în scopul spionajului industrial în condiții de concurență intensă. Pentru a colecta informații confidențiale, fie își introduc propria persoană într-o companie concurentă în anumite scopuri, fie găsesc un angajat mai puțin loial și îl mită, fie forțează un angajat loial, dar neglijent să predea informații confidențiale prin inginerie socială. Numărul de incidente de acest fel este de obicei chiar mai mic decât cele anterioare, datorită faptului că în majoritatea segmentelor economiei din Federația Rusă concurența nu este foarte dezvoltată sau este implementată în alte moduri.
Angajat neglijent.Acest tip de contravenient este un angajat loial, dar neatent sau neglijent, care poate încălca politica de securitate internă a întreprinderii din cauza ignoranței sau uitării. Un astfel de angajat ar putea să trimită din greșeală un e-mail cu un fișier sensibil atașat persoanei greșite sau să ia acasă o unitate flash cu informații confidențiale la care să lucreze în weekend și să o piardă. Acest tip include și angajații care pierd laptopuri și benzi magnetice. Potrivit multor experți, acest tip de insider este responsabil pentru majoritatea scurgerilor de informații confidențiale.

Astfel, motivele și, în consecință, cursul de acțiune al potențialilor contravenienți pot diferi semnificativ. În funcție de aceasta, ar trebui să abordați sarcina de a asigura securitatea internă a organizației.

Tehnologii de protecție împotriva amenințărilor interne

În ciuda tinereții relative a acestui segment de piață, clienții au deja multe dintre care să aleagă, în funcție de obiectivele și capacitățile lor financiare. Este de remarcat faptul că acum practic nu există pe piață vânzători specializați exclusiv în amenințări interne. Această situație a apărut nu doar din cauza imaturității acestui segment, ci și din cauza politicii agresive și uneori haotice de fuziuni și achiziții realizate de producătorii de produse tradiționale de securitate și alți vânzători interesați de o prezență pe acest segment. Merită să reamintim compania RSA Data Security, care a devenit o divizie a EMC în 2006, achiziția de către NetApp a startup-ului Decru, care a dezvoltat sisteme pentru protejarea stocării pe server și a copiilor de rezervă în 2005, achiziționarea de către Symantec a furnizorului de DLP Vontu în 2007 etc.

În ciuda faptului că un număr mare de astfel de tranzacții indică perspective bune pentru dezvoltarea acestui segment, ele nu beneficiază întotdeauna de calitatea produselor care intră sub aripa marilor corporații. Produsele încep să se dezvolte mai lent, iar dezvoltatorii nu răspund la fel de repede la cerințele pieței în comparație cu o companie foarte specializată. Aceasta este o boală binecunoscută a companiilor mari, care, după cum știm, pierd în mobilitate și eficiență în fața fraților mai mici. Pe de altă parte, calitatea serviciilor și disponibilitatea produselor pentru clienții din diferite părți ale lumii se îmbunătățesc datorită dezvoltării rețelei lor de servicii și vânzări.

Să luăm în considerare principalele tehnologii utilizate în prezent pentru neutralizarea amenințărilor interne, avantajele și dezavantajele acestora.

Controlul documentelor

Tehnologia de control al documentelor este încorporată în produsele moderne de gestionare a drepturilor, cum ar fi Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES și Oracle Information Rights Management.

Principiul de funcționare al acestor sisteme este de a atribui reguli de utilizare pentru fiecare document și de a controla aceste drepturi în aplicațiile care lucrează cu documente de acest tip. De exemplu, puteți crea un document Microsoft Word și puteți stabili reguli pentru cine îl poate vizualiza, cine poate edita și salva modificările și cine poate imprima. Aceste reguli sunt numite licență în termenii Windows RMS și sunt stocate împreună cu fișierul. Conținutul fișierului este criptat pentru a împiedica utilizatorii neautorizați să îl vizualizeze.

Acum, dacă orice utilizator încearcă să deschidă un astfel de fișier protejat, aplicația contactează un server RMS special, confirmă permisiunile utilizatorului și, dacă accesul la acest utilizator este permis, serverul transmite cheia aplicației pentru a decripta acest fișier și informații. despre drepturile acestui utilizator. Pe baza acestor informații, aplicația pune la dispoziția utilizatorului doar acele funcții pentru care acesta are drepturi. De exemplu, dacă unui utilizator nu i se permite să imprime un fișier, funcția de imprimare a aplicației nu va fi disponibilă.

Se pare că informațiile dintr-un astfel de fișier sunt sigure chiar dacă fișierul iese în afara rețelei corporative - este criptat. Funcționalitatea RMS este deja încorporată în aplicațiile Microsoft Office 2003 Professional Edition. Pentru a încorpora funcționalitatea RMS în aplicații de la alți dezvoltatori, Microsoft oferă un SDK special.

Sistemul de control al documentelor Adobe este construit într-un mod similar, dar se concentrează pe documente în format PDF. Oracle IRM este instalat pe computerele client ca agent și se integrează cu aplicațiile în timpul rulării.

Controlul documentelor este o parte importantă a conceptului general de protecție împotriva amenințărilor interne, dar trebuie luate în considerare limitările inerente ale acestei tehnologii. În primul rând, este conceput exclusiv pentru monitorizarea fișierelor documentelor. Dacă vorbim de fișiere sau baze de date nestructurate, această tehnologie nu funcționează. În al doilea rând, dacă un atacator, folosind SDK-ul acestui sistem, creează o aplicație simplă care va comunica cu serverul RMS, va primi o cheie de criptare de acolo și va salva documentul în text clar și lansează această aplicație în numele unui utilizator care are un nivel minim de acces la document, atunci acest sistem va fi ocolit. În plus, ar trebui să se țină cont de dificultățile la implementarea unui sistem de control al documentelor, dacă organizația a creat deja multe documente - sarcina de a clasifica inițial documentele și de a atribui drepturile de utilizare a acestora poate necesita un efort semnificativ.

Acest lucru nu înseamnă că sistemele de control al documentelor nu îndeplinesc sarcina, trebuie doar să ne amintim că securitatea informațiilor este o problemă complexă și, de regulă, nu este posibil să o rezolvăm cu ajutorul unui singur instrument.

Protecție împotriva scurgerilor

Termenul de prevenire a pierderii datelor (DLP) a apărut în vocabularul specialiștilor în securitatea informațiilor relativ recent și a devenit deja, fără exagerare, cel mai fierbinte subiect din ultimii ani. De regulă, abrevierea DLP se referă la sisteme care monitorizează posibilele canale de scurgere și le blochează dacă se încearcă trimiterea oricăror informații confidențiale prin aceste canale. În plus, funcțiile unor astfel de sisteme includ adesea capacitatea de a arhiva informațiile care trec prin ele pentru audituri ulterioare, investigații de incidente și analiza retrospectivă a riscurilor potențiale.

Există două tipuri de sisteme DLP: DLP de rețea și DLP gazdă.

DLP de rețea funcționează pe principiul unui gateway de rețea, care filtrează toate datele care trec prin acesta. Evident, pe baza sarcinii de combatere a amenințărilor interne, interesul principal al unei astfel de filtrări constă în capacitatea de a controla datele transmise în afara rețelei corporative către Internet. DLP-urile de rețea vă permit să monitorizați e-mailurile de ieșire, traficul http și ftp, serviciile de mesagerie instantanee etc. Dacă sunt detectate informații sensibile, DLP-urile de rețea pot bloca fișierul transmis. Există, de asemenea, opțiuni pentru procesarea manuală a fișierelor suspecte. Fișierele suspecte sunt plasate în carantină, care este revizuită periodic de un ofițer de securitate și fie permite sau interzice transferul de fișiere. Cu toate acestea, datorită naturii protocolului, o astfel de prelucrare este posibilă numai pentru e-mail. Oportunități suplimentare de auditare și investigare a incidentelor sunt oferite prin arhivarea tuturor informațiilor care trec prin gateway, cu condiția ca această arhivă să fie revizuită periodic și să fie analizat conținutul ei pentru a identifica scurgerile apărute.

Una dintre principalele probleme în implementarea și implementarea sistemelor DLP este metoda de detectare a informațiilor confidențiale, adică momentul luării unei decizii cu privire la confidențialitatea informațiilor transmise și motivele care sunt luate în considerare la luarea unei astfel de decizii. . De regulă, aceasta presupune analizarea conținutului documentelor transmise, numită și analiză de conținut. Să luăm în considerare principalele abordări pentru detectarea informațiilor confidențiale.

Etichete. Această metodă este similară cu sistemele de control al documentelor discutate mai sus. Etichetele sunt încorporate în documente care descriu gradul de confidențialitate al informațiilor, ce se poate face cu acest document și cui trebuie trimise. Pe baza rezultatelor analizei etichetelor, sistemul DLP decide dacă un anumit document poate fi trimis în exterior sau nu. Unele sisteme DLP sunt inițial compatibile cu sistemele de gestionare a drepturilor pentru a utiliza etichetele pe care aceste sisteme le instalează; alte sisteme folosesc propriul format de etichetă.
Semnături. Această metodă constă în specificarea uneia sau mai multor secvențe de caractere, a căror prezență în textul fișierului transferat ar trebui să spună sistemului DLP că acest fișier conține informații confidențiale. Un număr mare de semnături pot fi organizate în dicționare.
metoda Bayes. Această metodă, folosită pentru combaterea spam-ului, poate fi folosită cu succes și în sistemele DLP. Pentru a aplica această metodă, se creează o listă de categorii și se indică o listă de cuvinte cu probabilitățile ca dacă cuvântul apare într-un fișier, atunci fișierul cu o probabilitate dată să aparțină sau să nu aparțină categoriei specificate.
Analiza morfologică.Metoda de analiză morfologică este similară cu cea de semnătură, diferența este că nu se analizează potrivirea 100% cu semnătura, ci se iau în considerare și cuvintele rădăcină similare.
Printuri digitale.Esența acestei metode este că o funcție hash este calculată pentru toate documentele confidențiale în așa fel încât, dacă documentul este ușor modificat, funcția hash va rămâne aceeași sau, de asemenea, se va modifica ușor. Astfel, procesul de detectare a documentelor confidențiale este mult simplificat. În ciuda laudelor entuziaste ale acestei tehnologii de la mulți vânzători și unii analiști, fiabilitatea ei lasă de dorit, iar dat fiind faptul că vânzătorii, sub diverse pretexte, preferă să lase detaliile implementării algoritmului de amprentă digitală în umbră, încredere. în ea nu crește.
Expresii obisnuite.Cunoscute de oricine s-a ocupat de programare, expresiile regulate facilitează găsirea datelor șablon în text, de exemplu, numere de telefon, informații despre pașapoarte, numere de cont bancar, numere de securitate socială etc.

Din lista de mai sus este ușor de observat că metodele de detectare fie nu garantează identificarea 100% a informațiilor confidențiale, deoarece nivelul de erori atât al primului, cât și al celui de-al doilea tip în ele este destul de ridicat, fie necesită o vigilență constantă a serviciului de securitate pentru a actualizați și mențineți o listă actualizată de semnături sau etichete de atribuire pentru documentele confidențiale.

În plus, criptarea traficului poate crea o anumită problemă în funcționarea rețelei DLP. Dacă cerințele de securitate vă cer să criptați mesajele de e-mail sau să utilizați SSL atunci când vă conectați la orice resurse web, problema determinării prezenței informațiilor confidențiale în fișierele transferate poate fi foarte dificil de rezolvat. Nu uitați că unele servicii de mesagerie instantanee, cum ar fi Skype, au criptare încorporată în mod implicit. Va trebui să refuzați să utilizați astfel de servicii sau să utilizați DLP gazdă pentru a le controla.

Cu toate acestea, în ciuda tuturor complexităților, atunci când este configurat corespunzător și luat în serios, DLP-ul de rețea poate reduce semnificativ riscul scurgerii de informații confidențiale și poate oferi unei organizații un mijloc convenabil de control intern.

Gazdă DLP sunt instalate pe fiecare gazdă din rețea (pe stațiile de lucru client și, dacă este necesar, pe servere) și pot fi folosite și pentru a controla traficul pe Internet. Cu toate acestea, DLP-urile bazate pe gazdă au devenit mai puțin răspândite în această capacitate și sunt utilizate în prezent în principal pentru monitorizarea dispozitivelor și imprimantelor externe. După cum știți, un angajat care aduce la muncă o unitate flash sau un player MP3 reprezintă o amenințare mult mai mare la adresa securității informațiilor unei întreprinderi decât toți hackerii la un loc. Aceste sisteme sunt denumite și instrumente de securitate pentru punctele terminale, deși acest termen este adesea folosit mai larg, de exemplu, așa se numesc uneori instrumentele antivirus.

După cum știți, problema utilizării dispozitivelor externe poate fi rezolvată fără a folosi niciun mijloc prin dezactivarea porturilor fie fizic, fie folosind sistemul de operare, fie administrativ prin interzicerea angajaților să aducă orice suport de stocare în birou. Cu toate acestea, în majoritatea cazurilor, abordarea „ieftină și veselă” este inacceptabilă, deoarece flexibilitatea necesară a serviciilor de informare cerută de procesele de afaceri nu este furnizată.

Din acest motiv, a apărut o anumită cerere pentru instrumente speciale care pot fi folosite pentru a rezolva mai flexibil problema utilizării dispozitivelor și imprimantelor externe de către angajații companiei. Astfel de instrumente vă permit să configurați drepturi de acces pentru utilizatori la diferite tipuri de dispozitive, de exemplu, pentru un grup de utilizatori pentru a interzice lucrul cu medii și le permite să lucreze cu imprimante, iar pentru altul - pentru a permite lucrul cu medii în doar citire modul. Dacă este necesară înregistrarea informațiilor pe dispozitivele externe pentru utilizatorii individuali, se poate folosi tehnologia de copiere umbră, care asigură că toate informațiile care sunt salvate pe un dispozitiv extern sunt copiate pe server. Informațiile copiate pot fi analizate ulterior pentru a analiza acțiunile utilizatorului. Această tehnologie copiază totul, iar în prezent nu există sisteme care să permită analiza conținutului fișierelor stocate pentru a bloca funcționarea și a preveni scurgerile, așa cum fac DLP-urile de rețea. Cu toate acestea, o arhivă de copii umbră va oferi investigații de incident și analiză retrospectivă a evenimentelor din rețea, iar prezența unei astfel de arhive înseamnă că un potențial din interior poate fi prins și pedepsit pentru acțiunile lor. Acest lucru se poate dovedi a fi un obstacol semnificativ pentru el și un motiv semnificativ pentru a abandona acțiunile ostile.

De asemenea, merită menționat controlul asupra utilizării imprimantelor - copiile pe hârtie ale documentelor pot deveni și o sursă de scurgere. Hosted DLP vă permite să controlați accesul utilizatorilor la imprimante în același mod ca și alte dispozitive externe și să salvați copii ale documentelor tipărite într-un format grafic pentru analize ulterioare. În plus, tehnologia filigranelor a devenit oarecum răspândită, care tipărește un cod unic pe fiecare pagină a unui document, care poate fi folosit pentru a determina exact cine, când și unde a tipărit acest document.

În ciuda avantajelor neîndoielnice ale DLP-ului bazat pe gazdă, acestea au o serie de dezavantaje asociate cu necesitatea de a instala software agent pe fiecare computer care se presupune a fi monitorizat. În primul rând, acest lucru poate cauza anumite dificultăți în ceea ce privește implementarea și gestionarea unor astfel de sisteme. În al doilea rând, un utilizator cu drepturi de administrator poate încerca să dezactiveze acest software pentru a efectua orice acțiuni nepermise de politica de securitate.

Cu toate acestea, pentru controlul fiabil al dispozitivelor externe, DLP-ul bazat pe gazdă este indispensabil, iar problemele menționate nu sunt de nerezolvat. Astfel, putem concluziona că conceptul de DLP este acum un instrument cu drepturi depline în arsenalul serviciilor de securitate corporativă în fața presiunii din ce în ce mai mari asupra acestora pentru a asigura controlul intern și protecția împotriva scurgerilor.

Conceptul IPC

În procesul de inventare a unor noi mijloace de combatere a amenințărilor interne, gândirea științifică și inginerească a societății moderne nu se oprește și, ținând cont de anumite neajunsuri ale mijloacelor discutate mai sus, piața sistemelor de protecție a scurgerilor de informații a ajuns la conceptul de IPC (Protecția și Controlul Informației). Acest termen a apărut relativ recent; se crede că a fost folosit pentru prima dată într-o revizuire a companiei de analiză IDC în 2007.

Esența acestui concept este combinarea metodelor DLP și de criptare. În acest concept, cu ajutorul DLP, informațiile care părăsesc rețeaua corporativă prin canale tehnice sunt controlate, iar criptarea este folosită pentru a proteja mediile de date care cad fizic sau pot cădea în mâinile unor persoane neautorizate.

Să ne uităm la cele mai comune tehnologii de criptare care pot fi utilizate în conceptul IPC.

Criptarea benzilor magnetice.În ciuda naturii arhaice a acestui tip de suport, acesta continuă să fie utilizat în mod activ pentru backup și pentru transferul unor volume mari de informații, deoarece încă nu are egal în ceea ce privește costul unitar al unui megaoctet stocat. În consecință, scurgerile de bandă continuă să încânte editorii de știri care le-au pus pe prima pagină și să frustreze CIO și echipele de securitate ale întreprinderilor care devin eroii unor astfel de rapoarte. Situația este agravată de faptul că astfel de casete conțin cantități foarte mari de date și, prin urmare, un număr mare de oameni pot deveni victimele escrocilor.
Criptarea stocărilor pe server.În ciuda faptului că stocarea pe server este foarte rar transportată, iar riscul pierderii acestuia este nemăsurat mai mic decât cel al benzii magnetice, un hard disk separat de stocare poate cădea în mâinile atacatorilor. Reparație, eliminare, modernizare - aceste evenimente apar cu suficientă regularitate pentru a anula acest risc. Iar situația persoanelor neautorizate care intră în birou nu este un eveniment cu totul imposibil.

Aici merită să facem o mică digresiune și să menționăm ideea greșită comună că, dacă un disc face parte dintr-o matrice RAID, atunci, se presupune, nu trebuie să vă faceți griji că va cădea în mâinile greșite. S-ar părea că intercalarea datelor scrise pe mai multe hard disk-uri, care este făcută de controlerele RAID, oferă un aspect de necitit datelor care se află pe orice hard disk. Din păcate, acest lucru nu este în întregime adevărat. Intercalarea are loc, dar în majoritatea dispozitivelor moderne se face la nivel de bloc de 512 octeți. Aceasta înseamnă că, în ciuda încălcării structurii și formatelor fișierelor, informațiile confidențiale pot fi extrase în continuare de pe un astfel de hard disk. Prin urmare, dacă există o cerință de a asigura confidențialitatea informațiilor atunci când sunt stocate într-o matrice RAID, criptarea rămâne singura opțiune de încredere.

Criptarea laptopurilor.Acest lucru s-a spus deja de nenumărate ori, dar totuși, pierderea laptopurilor cu informații confidențiale nu s-a înscris de mulți ani în topul celor cinci succese ale incidentelor.
Criptarea suporturilor amovibile.În acest caz, vorbim despre dispozitive USB portabile și, uneori, CD-uri și DVD-uri înregistrabile dacă sunt folosite în procesele de afaceri ale întreprinderii. Astfel de sisteme, precum și sistemele de criptare a hard disk-ului laptopului menționate mai sus, pot acționa adesea ca componente ale sistemelor DLP gazdă. În acest caz, se vorbește despre un fel de perimetru criptografic, care asigură criptarea automată transparentă a media în interior și incapacitatea de a decripta datele în afara acestuia.

Astfel, criptarea poate extinde semnificativ capacitățile sistemelor DLP și poate reduce riscul scurgerii de date confidențiale. În ciuda faptului că conceptul de IPC a luat contur relativ recent, iar alegerea soluțiilor complexe IPC de pe piață nu este foarte largă, industria explorează activ acest domeniu și este foarte posibil ca după ceva timp acest concept să devină standard facto pentru rezolvarea problemelor de securitate internă şi securitate internă.control.

concluzii

După cum se poate observa din această analiză, amenințările interne reprezintă un domeniu destul de nou în securitatea informațiilor, care, totuși, se dezvoltă activ și necesită o atenție sporită. Tehnologiile considerate de control al documentelor, DLP și IPC fac posibilă construirea unui sistem de control intern destul de fiabil și reducerea riscului de scurgere la un nivel acceptabil. Fără îndoială, această zonă a securității informațiilor va continua să se dezvolte, vor fi oferite tehnologii mai noi și mai avansate, dar astăzi multe organizații optează pentru o soluție sau alta, deoarece neatenția în materie de securitate a informațiilor poate fi prea costisitoare.

Alexey Raevsky
CEO al SecurIT