Nedávne štúdie v oblasti informačnej bezpečnosti, ako napríklad každoročný prieskum CSI/FBI ComputerCrimeAndSecuritySurvey, ukázali, že finančné straty spoločností spôsobené väčšinou hrozieb z roka na rok klesajú. Existuje však niekoľko rizík, z ktorých straty narastajú. Jedným z nich je úmyselné odcudzenie dôverných informácií alebo porušenie pravidiel nakladania s nimi tými zamestnancami, ktorých prístup ku komerčným údajom je nevyhnutný pre výkon služobných povinností. Hovorí sa im insideri.
Krádež dôverných informácií sa vo veľkej väčšine prípadov uskutočňuje pomocou mobilných médií: CD a DVD, ZIP zariadení a predovšetkým všetkých druhov USB kľúčov. Práve ich masová distribúcia viedla k rozkvetu insider tradingu po celom svete. Lídri väčšiny bánk dobre vedia, čo hrozí, ak sa napríklad databáza s osobnými údajmi ich klientov alebo navyše transakcie na ich účtoch dostane do rúk zločineckých štruktúr. A proti možnej krádeži informácií sa snažia bojovať organizačnými metódami, ktoré majú k dispozícii.
Organizačné metódy sú však v tomto prípade neúčinné. Dnes je možné organizovať prenos informácií medzi počítačmi pomocou miniatúrneho flash disku, mobilného telefónu, mp3 prehrávača, digitálneho fotoaparátu... Samozrejme, môžete skúsiť zakázať nosenie všetkých týchto zariadení do kancelárie, ale to po prvé negatívne ovplyvní vzťahy so zamestnancami a po druhé, je stále veľmi ťažké vytvoriť skutočne účinnú kontrolu nad ľuďmi - banka nie je "schránka". A nepomôže ani vypnutie všetkých zariadení na počítačoch, ktoré sa dajú použiť na zapisovanie informácií na externé médiá (jednotky FDD a ZIP, jednotky CD a DVD atď.) a USB porty. Koniec koncov, prvé sú potrebné na prácu a k nim sú pripojené rôzne periférie: tlačiarne, skenery atď. A nikto nezabráni tomu, aby človek na minútu vypol tlačiareň, vložil flash disk do uvoľneného portu a skopíroval naň dôležité informácie. Môžete samozrejme nájsť originálne spôsoby ochrany. Napríklad v jednej banke vyskúšali tento spôsob riešenia problému: naplnili spoj USB portu a kábla epoxidovou živicou a pevne ich „priviazali“ k počítaču. Ale, našťastie, dnes existujú modernejšie, spoľahlivejšie a flexibilnejšie spôsoby ovládania.
Najúčinnejším prostriedkom na minimalizáciu rizík spojených s insidermi je špeciálny softvér, ktorý dynamicky spravuje všetky zariadenia a počítačové porty, ktoré možno použiť na kopírovanie informácií. Princíp ich práce je nasledovný. Povolenia na používanie rôznych portov a zariadení sú nastavené pre každú skupinu používateľov alebo pre každého používateľa individuálne. Najväčšou výhodou takéhoto softvéru je flexibilita. Môžete zadať obmedzenia pre konkrétne typy zariadení, ich modely a jednotlivé inštancie. To vám umožňuje implementovať veľmi zložité politiky pre distribúciu prístupových práv.
Niektorí zamestnanci môžu mať napríklad povolené používať akékoľvek tlačiarne a skenery pripojené k portom USB. Všetky ostatné zariadenia vložené do tohto portu zostanú nedostupné. Ak banka používa systém autentifikácie používateľov na základe tokenov, potom v nastaveniach môžete určiť použitý model kľúča. Potom budú môcť používatelia používať iba zariadenia zakúpené spoločnosťou a všetky ostatné budú zbytočné.
Na základe princípu fungovania ochranných systémov opísaných vyššie môžete pochopiť, aké body sú dôležité pri výbere programov, ktoré implementujú dynamické blokovanie záznamových zariadení a počítačových portov. Po prvé, je to všestrannosť. Ochranný systém by mal pokrývať celú škálu možných portov a informačných vstupno-výstupných zariadení. V opačnom prípade zostáva riziko krádeže komerčných informácií neprijateľne vysoké. Po druhé, príslušný softvér by mal byť flexibilný a mal by vám umožniť vytvárať pravidlá pomocou veľkého množstva rôznych informácií o zariadeniach: ich typy, výrobcovia modelov, jedinečné čísla, ktoré má každá inštancia atď. A po tretie, systém ochrany dôverných osôb by sa mal dať integrovať s informačným systémom banky, najmä s ActiveDirectory. V opačnom prípade bude musieť správca alebo bezpečnostný pracovník udržiavať dve databázy používateľov a počítačov, čo je nielen nepohodlné, ale zvyšuje sa aj riziko chýb.
Podľa rôznych analytických spoločností k úniku informácií veľmi často nedochádza v dôsledku ich krádeže zvonku, ale v dôsledku prenosu dôverných informácií vlastnými zamestnancami predstaviteľom konkurenčných organizácií. Dnes existuje veľa rôznych zariadení, do ktorých je možné skopírovať akékoľvek dokumenty uložené v lokálnej sieti organizácie.
Podľa rôznych analytických spoločností k úniku informácií veľmi často nedochádza v dôsledku ich krádeže zvonku, ale v dôsledku prenosu dôverných informácií vlastnými zamestnancami predstaviteľom konkurenčných organizácií. Dnes existuje veľa rôznych zariadení, do ktorých je možné skopírovať akékoľvek dokumenty uložené v lokálnej sieti organizácie. A nejde len o externé USB disky alebo CD/DVD mechaniky. Môžete tiež kopírovať informácie do mp3 prehrávačov, mobilných telefónov, ktoré sa môžu alebo nemusia pripojiť priamo k počítaču, do externých zariadení, ktoré sa môžu pripojiť k lokálnej sieti cez Wi-Fi a inými spôsobmi. Okrem toho ide o odosielanie e-mailom, prostredníctvom programov na odosielanie okamžitých správ, cez fóra, blogy a chaty. Možností je veľa, je možné sa pred nimi chrániť?
Pre ochrana údajov pred zasvätenými osobami používať rôzne metódy vrátane použitia špeciálnych programov určených na ovládanie používania periférnych zariadení. V tomto článku zvážime niekoľko programov, zahraničných aj domácich výrobcov, a pokúsime sa určiť, kde a kedy by sa mali aplikovať.
Program je určený pre obmedzenia prístupu na rôzne periférne zariadenia, s možnosťou vytvárať „biele“ zoznamy, monitorovať aktivitu používateľov, súbory tieňovej kópie skopírované do alebo z ovládaných zariadení. Je možné nainštalovať sledovacie ovládače centrálne aj lokálne.
Aplikáciu je možné nainštalovať centrálne aj lokálne, ak je prístup k chránenému počítaču cez sieť obmedzený alebo nemožný. Jedna distribučná súprava obsahuje niekoľko modulov: server, nainštalovaný na serveri kancelárskej lokálnej siete umožňuje / zakazuje určité akcie, ukladá informácie do databázy; klient, implementovaný ako sledovací ovládač; správcu a databázy, ktorá sa používa ako SQLite.
Sledovacie vodiče poskytujú ovládanie rôzne porty, vrátane USB, CIM, LPT, WiFi, IR a iné. V závislosti od typu portu môžete úplne zakázať prístup, povoliť čítanie alebo povoliť úplný prístup k zariadeniu. Neexistuje žiadne rozdelenie prístupu v čase. Poznamenalo sa tiež, že pri povolení prístupu iba na čítanie k zariadeniam, ako sú USB flash disky, zostáva možnosť upravovať bežné textové súbory na týchto zariadeniach s možnosťou ich uloženia na rovnaké médium.
Zobrazuje zariadenia USB pripojené k počítačom a uchováva denník akcií používateľov pomocou externých úložných jednotiek. V databáze sú uložené informácie o čase pripojenia/odpojenia zariadení a o tom, ktoré súbory a kedy boli čítané alebo zapisované. Implementované tieňové kopírovanie súborov, ktoré boli čítané alebo zapisované na USB zariadenia. Neexistuje žiadne tieňové kopírovanie súborov odoslaných na tlač alebo iné zariadenia, iba sa zaznamenávajú.
Existuje koncept „bieleho zoznamu“, ktorý zahŕňa USB zariadenia, ku ktorým musí byť prístup vždy otvorený na všetkých počítačoch (napríklad USB kľúče). Tento zoznam je rovnaký pre všetky počítače, neexistujú žiadne individuálne zoznamy pre jednotlivých používateľov.
poskytuje nastavenia pre prístup k rôznym externým zariadeniam, ale nerozlišuje tlačiarne pripojené k týmto portom od všeobecného zoznamu USB zariadení. Zároveň rozlišuje vymeniteľné médiá a vie im nastaviť rôzne typy prístupu. Vymeniteľné médiá sa automaticky pridávajú do databázy zariadenia (program pridá do databázy všetky USB disky, ktoré boli kedy pripojené ku konkrétnemu počítaču), čo umožňuje uplatniť im pridelené prístupové práva pre všetky počítače chránené programom.
Má schopnosť používať centralizovanú inštaláciu klientskych častí pomocou skupinovej politiky Active Directory. Zároveň ich môžete nainštalovať lokálne a cez panel správcu programu. Diferenciácia prístupových práv sa vykonáva na základe politík riadenia prístupu, je však možné vytvoriť niekoľko politík, ktoré je možné aplikovať individuálne pre rôzne počítače. Okrem funkcie kontroly prístupu umožňuje protokolovanie používania zariadení na lokálnom počítači.
Program podporuje funkciu tieňovej kópie - možnosť uložiť presnú kópiu súborov skopírovaných používateľom na externé úložné zariadenia. Presné kópie všetkých súborov sú uložené v špeciálnom úložisku a môžu byť neskôr analyzované pomocou vstavaného analytického systému. Pre jednotlivých používateľov a skupiny používateľov je možné nastaviť tieňové kopírovanie. Keď je povolená funkcia „uchovávať iba protokol“, pri kopírovaní súborov sa uložia iba informácie o nich (bez uloženia presnej kópie súboru).
Program nemá koncept „bieleho zoznamu“ zariadení. Namiesto toho môžete vo všeobecných zásadách určiť vymeniteľné médium a povoliť k nemu prístup z akéhokoľvek počítača. Upozorňujeme, že neexistuje spôsob, ako použiť rovnaké nastavenia na jednotlivé disky CD/DVD.
Firemný program GFI výrazne prevyšuje oboje a svojimi schopnosťami - napríklad má oveľa viac ovládaných zariadení ako predchádzajúce programy (prehrávače médií iPod, Creative Zen, mobilné telefóny, digitálne fotoaparáty, archivačné nástroje na magnetických páskach a Zip-diskoch, webové kamery, skenery) .
Program poskytuje tri typické nastavenia prístupových práv - pre servery, pracovné stanice a notebooky. Okrem tohoto blokovanie zariadenia, program má možnosť blokovanie prístupu súbory v závislosti od ich typu. Môžete napríklad povoliť prístup na čítanie k súborom dokumentov, ale zakázať prístup k spustiteľným súborom. Taktiež je možné blokovať prístup k zariadeniam nielen ich typom, ale aj fyzickým portom, na ktorý sú externé zariadenia pripojené. Ešte jeden nastavenie prístupových práv pomocou jedinečných identifikátorov zariadení.
Správca aplikácie môže udržiavať dva typy zoznamov zariadení – tie, ktoré sú štandardne povolené („biely zoznam“) a tie, ku ktorým je zakázaný prístup („čierna listina“). IT špecialista môže udeliť dočasné povolenia na prístup k zariadeniam alebo skupinám zariadení na jednom počítači (implementované vygenerovaním špeciálneho kódu, ktorý možno preniesť používateľovi, aj keď je jeho počítač odpojený od siete a aplikačný agent sa nemôže pripojiť k server).
Program obsahuje podporu pre novú funkciu šifrovania, ktorá sa nachádza v systéme Windows 7 s názvom BitLocker To Go. Táto funkcia sa používa na ochranu a šifrovanie údajov na vymeniteľných zariadeniach. GFI EndPointSecurity dokáže rozpoznať tieto zariadenia a poskytnúť prístup k súborom na nich uloženým v závislosti od ich typu.
Poskytuje správcovi výkonný systém podávania správ. Štatistický subsystém (GFI EndPointSecurity ReportPack) zobrazuje (v textovej a grafickej forme) denný prehľad o využití zariadení pre vybrané počítače a všeobecne pre všetky počítače. Môžete tiež získať štatistické údaje o aktivite používateľov podľa dňa, týždňa, mesiaca, rozdelené podľa aplikácií, zariadení, ciest prístupu k súborom.
Jeden z najbežnejších programov na ochranu informácií pred zasvätenými osobami v Rusku. vychádza v Rusku pod značkou „1C: Distribution“
Program poskytuje ovládanie nielen zariadenia so systémom Windows Mobile, ale aj zariadenia s operačným systémom iPhone OS a Palm OS. Zároveň je zabezpečené aj tieňové kopírovanie všetkých prepísaných súborov a údajov bez ohľadu na to, na ktorý port sú tieto zariadenia pripojené k monitorovanej sieti. Tieňové kopírovanie je možné konfigurovať nielen podľa zariadenia, ale aj podľa typu súboru, pričom typ nebude určený na základe prípon, ale na základe ich obsahu.
Môžete nastaviť prístup len na čítanie pre vymeniteľné médiá vrátane páskových jednotiek. Ako ďalšia možnosť - ochrana médií pred náhodným alebo úmyselným formátovaním. Môžete tiež viesť záznamy o všetkých používateľských akciách so zariadeniami a súbormi (nielen kopírovanie alebo čítanie, ale aj mazanie, premenovanie atď.).
Streamingová kompresia sa môže použiť na zníženie zaťaženia siete pri prenose údajov prijatých od agentov a tieňových kópií. Údaje tieňovej kópie vo veľkých sieťach môžu byť uložené na viacerých serveroch. Program automaticky vyberie optimálny server, berúc do úvahy šírku pásma siete a zaťaženie servera.
Mnoho organizácií používa na ochranu údajov disky chránené špeciálnymi šifrovacími programami – ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt a TrueCrypt. Pre takéto disky môže program nastaviť špeciálne „šifrovacie politiky“, ktoré umožňujú povoliť zápis iba zašifrovaných údajov na vymeniteľné zariadenia. Prácu podporujú aj flash disky Lexar JumpDrive SAFE S3000 a Lexar SAFE PSD, ktoré podporujú hardvérové šifrovanie dát. V ďalšej verzii bude podporovaná aj práca s nástrojom na šifrovanie údajov zabudovaným vo Windows 7 na vymeniteľných médiách BitLocker To Go.
Tieňové kopírovanie je určené nielen na ukladanie kópií súborov, ale aj na analýzu presunutých informácií. môže vykonávať fulltextové vyhľadávanie v obsahu súborov, automaticky rozpoznávať a indexovať dokumenty v rôznych formátoch.
Už je ohlásené vydanie novej verzie programu, ktorá okrem plnohodnotného vyhľadávania bude implementovať aj filtrovanie obsahu súborov skopírovaných na vymeniteľné úložné zariadenia akéhokoľvek typu, ako aj kontrolu obsahu dát objekty prenášané z počítača prostredníctvom sieťových komunikačných kanálov, vrátane e-mailových aplikácií, interaktívnych webových služieb, sociálnych sietí, fór a konferencií, najobľúbenejších služieb rýchleho zasielania správ (Instant Messengers), výmeny súborov cez FTP, ako aj Telnet relácií
Unikátna je v novej verzii technológia filtrovania textových dát v sieti a lokálny kanál tlače dokumentov pre úlohy vo formátoch PCL a PostScript, ktorý umožňuje blokovanie alebo povoľovanie tlače dokumentov v závislosti od ich informačného obsahu.
závery
|
Vzdialená správa klientov | ||||
|
Ovládanie cez MMC snap-in | ||||
|
Centralizované nastavenie politiky, kontrola a obnova | ||||
|
Ovládanie externých zariadení |
len USB | |||
|
Ovládanie WiFi adaptéra | ||||
|
Ovládanie zariadenia Palm OS. iPhone/iPod |
Obmedzené |
Obmedzené |
||
|
Podpora technológie whitelistingu | ||||
|
Podpora technológie whitelistingu médií | ||||
|
Podpora pre externé šifrované disky | ||||
|
Blokovanie keyloggerov | ||||
|
Obmedzenie množstva kopírovaných dát | ||||
|
Riadenie údajov podľa typu | ||||
|
Centralizované protokolovanie | ||||
|
Tieňová kópia |
len USB |
len USB |
Čiastočne | |
|
Tlačové údaje kopírovania tieňov | ||||
|
Grafické protokolovanie a tieňovanie správ | ||||
|
Fulltextové vyhľadávanie v údajoch tieňovej kópie |
Prvé dva z diskutovaných programov sa dajú použiť informačná bezpečnosť pred krádežou, no ich možnosti sú obmedzené. V rôznej miere „uzatvárajú“ štandardné externé zariadenia, no ich možnosti sú obmedzené – ako z hľadiska nastavenia, tak aj z hľadiska rozboru používateľskej práce. Tieto programy možno odporučiť „na testovanie“, aby ste pochopili samotný proces ochrany. Pre veľké organizácie, ktoré používajú rôzne periférne zariadenia a vyžadujú analýzu aktivity používateľov, budú vyššie uvedené programy jednoznačne nedostatočné.
Pre nich je lepšie venovať pozornosť programom - a. Ide o profesionálne riešenia, ktoré nájdu uplatnenie vo firmách s malým aj veľkým počtom počítačov. Oba programy poskytujú ovládanie rôznych periférnych zariadení a portov, majú výkonné analytické a reportovacie systémy. No sú medzi nimi značné rozdiely, teda program spoločnosti GFI v tomto prípade možno považovať za základ. dokáže ovládať nielen zariadenia a prácu s dátami, ale aj používanie softvéru. Táto funkcia ho „ťahá“ z výklenku „Ovládanie zariadenia“ do segmentu „Content-Aware Endpoint DLP“. Nové, ohlásené možnosti mu umožňujú výrazne sa oddeliť od svojich konkurentov vďaka objaveniu sa schopnosti analyzovať obsah v čase, keď používateľ vykonáva rôzne akcie s údajmi, vrátane streamovania, ako aj riadením množstva parametrov kontextu sieťovej komunikácie, vrátane e-mailových adries, IP adries, identifikátorov používateľov a zdrojov sieťových aplikácií atď. je to možné u partnerov "1Soft".
Michail Abramzon
Všetky práva vyhradené. Ak chcete získať informácie o používaní tohto článku, kontaktujte nás správcov stránok
Problém ochrany pred internými hrozbami sa v poslednom čase stal skutočnou výzvou pre jasný a zabehnutý svet podnikovej informačnej bezpečnosti. Tlač hovorí o zasvätených, výskumníci a analytici varujú pred možnými stratami a problémami a spravodajské kanály sú plné správ o ďalšom incidente, ktorý viedol k úniku stoviek tisíc záznamov o zákazníkoch v dôsledku chyby alebo nepozornosti zamestnanca. Pokúsme sa zistiť, či je tento problém taký vážny, či sa ním treba zaoberať a aké nástroje a technológie sú k dispozícii na jeho vyriešenie.
V prvom rade stojí za to určiť, že ohrozenie dôvernosti údajov je interné, ak je jeho zdrojom zamestnanec podniku alebo akákoľvek iná osoba, ktorá má legálny prístup k týmto údajom. Keď teda hovoríme o interných hrozbách, hovoríme o akomkoľvek možnom konaní legálnych používateľov, úmyselnom alebo náhodnom, ktoré môže viesť k úniku dôverných informácií mimo podnikovej siete podniku. Pre dokreslenie je vhodné dodať, že takíto používatelia sú často označovaní ako insideri, hoci tento pojem má aj iné významy.
Relevantnosť problému vnútorných hrozieb potvrdzujú výsledky nedávnych štúdií. Konkrétne v októbri 2008 boli oznámené výsledky spoločnej štúdie spoločností Compuware a Ponemon Institue, podľa ktorých sú insideri najčastejšou príčinou úniku dát (75 % incidentov v USA), kým hackeri boli až na piatom mieste. . Vo výročnom prieskume Inštitútu počítačovej bezpečnosti (CSI) za rok 2008 sú čísla o incidentoch s hrozbami zasvätených osôb nasledovné:
Percento incidentov znamená, že z celkového počtu respondentov sa tento typ incidentu vyskytol v uvedenom percente organizácií. Ako vidno z týchto čísel, takmer každá organizácia je vystavená riziku vnútorných hrozieb. Pre porovnanie, podľa rovnakej správy vírusy zasiahli 50 % opýtaných organizácií a len 13 % čelilo prieniku hackerov do lokálnej siete.
Vnútorné hrozby sú teda realitou dneška a nie mýtom, ktorý si vymysleli analytici a predajcovia. Takže tí, ktorí staromódnym spôsobom veria, že bezpečnosť podnikových informácií je firewall a antivírus, sa musíte na problém čo najskôr pozrieť zoširoka.
Mieru napätia zvyšuje aj zákon „O osobných údajoch“, podľa ktorého sa organizácie a úradníci budú musieť zodpovedať nielen svojmu vedeniu, ale aj svojim zákazníkom a pred zákonom za nesprávne nakladanie s osobnými údajmi.
Model votrelca
Tradične by sa pri zvažovaní hrozieb a prostriedkov ochrany pred nimi malo začať analýzou modelu narušiteľa. Ako už bolo spomenuté, budeme hovoriť o insideroch - zamestnancoch organizácie a iných používateľoch, ktorí majú legálny prístup k dôverným informáciám. Pri týchto slovách sa spravidla každému vybaví zamestnanec kancelárie pracujúci na počítači v podnikovej sieti, ktorý v procese práce neopúšťa kanceláriu organizácie. Toto znázornenie je však neúplné. Je potrebné ho rozšíriť o ďalšie typy ľudí s legálnym prístupom k informáciám, ktorí môžu opustiť kanceláriu organizácie. Môžu to byť obchodní cestujúci s notebookmi, alebo pracujúci v kancelárii aj doma, kuriéri nosiaci médiá s informáciami, predovšetkým magnetické pásky so zálohou atď.
Takáto rozšírená úvaha o modeli narušiteľa po prvé zapadá do konceptu, pretože hrozby, ktoré títo narušovatelia predstavujú, sú tiež interné, a po druhé, umožňuje nám analyzovať problém širšie, zvažujúc všetky možné možnosti boja proti týmto hrozbám.
Je možné rozlíšiť tieto hlavné typy vnútorných porušovateľov:
- Nelojálny / urazený zamestnanec.Porušovatelia v tejto kategórii môžu konať účelovo, napríklad tak, že zmenia zamestnanie a chcú ukradnúť dôverné informácie, aby zaujali nového zamestnávateľa, alebo emocionálne, ak sa cítili urazení, a tak sa chcú pomstiť. Sú nebezpeční, pretože sú najviac motivovaní spôsobiť škodu organizácii, v ktorej momentálne pracujú. Počet incidentov s nelojálnymi zamestnancami je spravidla malý, ale môže sa zvýšiť v situácii nepriaznivých ekonomických podmienok a masívneho znižovania počtu zamestnancov.
- Zabudovaný, podplatený alebo zmanipulovaný zamestnanec.V tomto prípade hovoríme o akýchkoľvek účelových akciách spravidla za účelom priemyselnej špionáže vo vysoko konkurenčnom prostredí. Na zhromažďovanie dôverných informácií v konkurenčnej spoločnosti buď predstavia svoju osobu na konkrétne účely, alebo nájdu zamestnanca, ktorý nie je najlojálnejší a podplatia ho, alebo je lojálny, ale nie ostražitý zamestnanec nútený odovzdávať dôverné informácie prostriedkami. sociálneho inžinierstva. Počet incidentov tohto druhu je zvyčajne ešte nižší ako tie predchádzajúce, a to z toho dôvodu, že vo väčšine segmentov hospodárstva v Ruskej federácii nie je hospodárska súťaž príliš rozvinutá alebo sa realizuje iným spôsobom.
- Nečestný zamestnanec.Tento typ porušovateľa je lojálny, ale nepozorný alebo nedbalý zamestnanec, ktorý môže porušiť vnútornú bezpečnostnú politiku podniku z dôvodu neznalosti alebo zabudnutia. Takýto zamestnanec môže omylom poslať e-mail s tajným súborom priloženým nesprávnej osobe alebo si vziať domov flash disk s dôvernými informáciami, s ktorým cez víkend pracovať, a stratiť ho. Rovnaký typ zahŕňa zamestnancov, ktorí stratia notebooky a magnetické pásky. Podľa mnohých odborníkov je tento typ insidera zodpovedný za väčšinu únikov dôverných informácií.
Motívy a následne aj postup potenciálnych porušovateľov sa teda môžu výrazne líšiť. V závislosti od toho by sa malo pristupovať k riešeniu problému zabezpečenia vnútornej bezpečnosti organizácie.
Insider Threat Defense Technologies
Napriek relatívnej mladosti tohto segmentu trhu si zákazníci už teraz majú z čoho vyberať v závislosti od svojich úloh a finančných možností. Treba si uvedomiť, že v súčasnosti na trhu prakticky neexistujú predajcovia, ktorí by sa špecializovali výlučne na interné hrozby. Táto situácia sa vyvinula nielen v dôsledku nezrelosti tohto segmentu, ale aj v dôsledku agresívnej a niekedy chaotickej M&A politike výrobcov tradičných ochranných prostriedkov a iných predajcov, ktorí majú záujem o zastúpenie v tomto segmente. Za pripomenutie stojí RSA Data Security, ktorá sa stala divíziou EMC v roku 2006, kúpu Decru spoločnosťou NetApp, startupu, ktorý vyvíjal serverové úložiská a systémy ochrany zálohovania, v roku 2005, kúpu dodávateľa DLP Vontu spoločnosťou Symantec v roku 2007 atď.
Napriek tomu, že veľké množstvo takýchto transakcií naznačuje dobré vyhliadky na rozvoj tohto segmentu, nie vždy prospievajú kvalite produktov, ktoré spadajú pod krídla veľkých korporácií. Produkty sa začínajú vyvíjať pomalšie a vývojári tak nereagujú na požiadavky trhu v porovnaní s vysoko špecializovanou spoločnosťou. Ide o známu chorobu veľkých spoločností, ktoré, ako viete, strácajú na mobilite a efektívnosti svojich menších bratov. Na druhej strane sa kvalita služieb a dostupnosť produktov pre zákazníkov v rôznych častiach sveta zlepšuje vďaka rozvoju ich servisnej a predajnej siete.
Zvážte hlavné technológie, ktoré sa v súčasnosti používajú na neutralizáciu vnútorných hrozieb, ich výhody a nevýhody.
Kontrola dokumentov
Technológia riadenia dokumentov je súčasťou moderných produktov správy práv, ako sú Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES a Oracle Information Rights Management.
Princípom fungovania týchto systémov je prideliť každému dokumentu pravidlá používania a kontrolovať tieto práva v aplikáciách, ktoré pracujú s dokumentmi tohto typu. Môžete napríklad vytvoriť dokument Microsoft Word a nastaviť preň pravidlá, kto ho môže zobraziť, kto môže upravovať a ukladať zmeny a kto môže tlačiť. Tieto pravidlá sa v podmienkach Windows RMS nazývajú licencia a sú uložené spolu so súborom. Obsah súboru je zašifrovaný, aby si ho nemohol pozrieť neoprávnený používateľ.
Ak sa teraz ktorýkoľvek používateľ pokúsi otvoriť takýto chránený súbor, aplikácia kontaktuje špeciálny RMS server, potvrdí oprávnenie používateľa a ak je povolený prístup tomuto používateľovi, server odovzdá aplikácii kľúč na dešifrovanie tohto súboru a informácie o práva tohto užívateľa. Na základe týchto informácií aplikácia sprístupňuje používateľovi len tie funkcie, na ktoré má práva. Ak napríklad používateľ nemá povolené vytlačiť súbor, funkcia tlače aplikácie nebude dostupná.
Ukazuje sa, že informácie v takomto súbore sú bezpečné aj v prípade, že sa súbor dostane mimo firemnú sieť – je zašifrovaný. Funkcie RMS sú už zabudované do aplikácií Microsoft Office 2003 Professional Edition. Na vloženie funkcií RMS do aplikácií tretích strán poskytuje spoločnosť Microsoft špeciálnu súpravu SDK.
Systém kontroly dokumentov Adobe je postavený podobným spôsobom, ale je zameraný na dokumenty PDF. Oracle IRM je nainštalovaný na klientskych počítačoch ako agent a integruje sa s aplikáciami za behu.
Kontrola dokumentov je dôležitou súčasťou celkovej koncepcie ochrany pred hrozbami zasvätených osôb, no treba brať do úvahy prirodzené obmedzenia tejto technológie. Po prvé, je určený výhradne na kontrolu súborov dokumentov. Pokiaľ ide o neštruktúrované súbory alebo databázy, táto technológia nefunguje. Po druhé, ak útočník pomocou SDK tohto systému vytvorí jednoduchú aplikáciu, ktorá bude komunikovať so serverom RMS, dostane odtiaľ šifrovací kľúč a uloží dokument ako čistý text a spustí túto aplikáciu v mene používateľa, ktorý má minimálna úroveň prístupu k dokumentu, potom bude tento systém obídený. Okrem toho je potrebné vziať do úvahy ťažkosti pri implementácii systému kontroly dokumentov, ak organizácia už vytvorila veľa dokumentov - úloha počiatočnej klasifikácie dokumentov a prideľovania práv na ich používanie si môže vyžadovať značné úsilie.
Neznamená to, že systémy na kontrolu dokumentov túto úlohu neplnia, len treba pamätať na to, že ochrana informácií je komplexný problém a spravidla ho nie je možné riešiť iba jedným nástrojom.
Ochrana proti úniku
Pojem prevencia straty údajov (DLP) sa v lexike špecialistov na informačnú bezpečnosť objavil pomerne nedávno a už sa stihol stať bez preháňania najhorúcejšou témou posledných rokov. Skratka DLP spravidla označuje systémy, ktoré monitorujú možné únikové kanály a blokujú ich v prípade pokusu o zaslanie dôverných informácií cez tieto kanály. Okrem toho funkcie takýchto systémov často zahŕňajú schopnosť archivovať informácie, ktoré cez ne prechádzajú, pre následné audity, vyšetrovanie incidentov a spätnú analýzu potenciálnych rizík.
Existujú dva typy systémov DLP: sieťové DLP a hostiteľské DLP.
Sieťové DLP fungujú na princípe sieťovej brány, ktorá filtruje všetky dáta, ktoré ňou prechádzajú. Je zrejmé, že na základe úlohy boja proti interným hrozbám spočíva hlavný záujem takéhoto filtrovania v schopnosti kontrolovať dáta prenášané mimo podnikovej siete na internet. Sieťové DLP vám umožňuje kontrolovať odchádzajúcu poštu, prenos http a ftp, služby okamžitých správ atď. Ak sa zistia citlivé informácie, sieťové DLP môže zablokovať prenášaný súbor. Existujú aj možnosti manuálneho spracovania podozrivých súborov. Podozrivé súbory sú umiestnené do karantény, ktorú pravidelne kontroluje bezpečnostný dôstojník a buď povolí prenos súboru, alebo ho zakáže. Je pravda, že takéto spracovanie je vzhľadom na osobitosti protokolu možné iba pre e-mail. Ďalšie možnosti auditu a vyšetrovania incidentov poskytuje archivácia všetkých informácií, ktoré prechádzajú bránou, za predpokladu, že tento archív je pravidelne kontrolovaný a jeho obsah analyzovaný s cieľom identifikovať úniky, ku ktorým došlo.
Jedným z hlavných problémov pri implementácii a implementácii systémov DLP je spôsob zisťovania dôverných informácií, teda moment rozhodovania, či sú prenášané informácie dôverné a dôvody, ktoré sa pri takomto rozhodovaní zohľadňujú. Spravidla sa to robí analýzou obsahu prenášaných dokumentov, nazývanou aj obsahová analýza. Pozrime sa na hlavné prístupy k zisťovaniu dôverných informácií.
- Tagy. Táto metóda je podobná vyššie uvedeným systémom kontroly dokumentov. Štítky sú vložené do dokumentov, ktoré popisujú stupeň dôvernosti informácií, čo možno s týmto dokumentom robiť a komu sa má zaslať. Systém DLP na základe výsledkov analýzy etikiet rozhodne, či daný dokument možno poslať von alebo nie. Niektoré systémy DLP sú pôvodne kompatibilné so systémami správy práv, aby mohli používať štítky, ktoré tieto systémy nastavujú, iné systémy používajú svoj vlastný formát štítkov.
- Podpisy. Táto metóda spočíva v špecifikovaní jednej alebo viacerých sekvencií znakov, ktorých prítomnosť v texte prenášaného súboru by mala systému DLP povedať, že tento súbor obsahuje dôverné informácie. Veľký počet podpisov možno usporiadať do slovníkov.
- Bayesova metóda. Táto metóda, využívaná v boji proti spamu, sa dá úspešne aplikovať v systémoch DLP. Ak chcete použiť túto metódu, vytvorí sa zoznam kategórií a špecifikuje sa zoznam slov s pravdepodobnosťou, že ak sa slovo vyskytne v súbore, potom súbor patrí alebo nepatrí do špecifikovanej kategórie s danou pravdepodobnosťou.
- Morfologická analýza.Metóda morfologickej analýzy je podobná metóde podpisu, rozdiel spočíva v tom, že sa analyzuje nie 100% zhoda s podpisom, ale zohľadňujú sa aj slová s jedným koreňom.
- Digitálne výtlačky.Podstatou tejto metódy je, že pre všetky dôverné dokumenty sa vypočíta nejaká hašovacia funkcia tak, že ak sa dokument mierne zmení, hašovacia funkcia zostane rovnaká, prípadne sa aj mierne zmení. Proces odhaľovania dôverných dokumentov je teda značne zjednodušený. Napriek nadšenej chvále tejto technológie od mnohých predajcov a niektorých analytikov jej spoľahlivosť zanecháva veľa želaní a vzhľadom na skutočnosť, že predajcovia pod rôznymi zámienkami uprednostňujú detaily implementácie algoritmu digitálnych odtlačkov prstov v tieni, jej dôveryhodnosť nezvyšuje.
- Regulárne výrazy.Regulárne výrazy, ktoré sú známe všetkým, ktorí sa zaoberali programovaním, uľahčujú vyhľadávanie údajov o vzoroch v texte, ako sú telefónne čísla, údaje o pasoch, čísla bankových účtov, čísla sociálneho poistenia atď.
Z vyššie uvedeného zoznamu je ľahké vidieť, že metódy detekcie buď nezaručujú 100% odhalenie dôverných informácií, pretože úroveň chýb prvého aj druhého druhu je v nich dosť vysoká, alebo si vyžadujú neustálu ostražitosť bezpečnostnej služby. aktualizovať a udržiavať aktuálny zoznam podpisov alebo úloh štítky pre dôverné dokumenty.
Okrem toho môže šifrovanie prevádzky spôsobiť určitý problém pri prevádzke sieťového DLP. Ak je z bezpečnostných dôvodov potrebné pri pripájaní k akýmkoľvek webovým zdrojom šifrovať e-mailové správy alebo použiť protokol SSL, môže byť problém zisťovania prítomnosti dôverných informácií v prenášaných súboroch veľmi ťažko riešiteľný. Nezabudnite, že niektoré služby okamžitých správ, ako napríklad Skype, majú štandardne zabudované šifrovanie. Budete musieť odmietnuť používanie takýchto služieb alebo používať hostiteľské DLP na ich ovládanie.
Napriek všetkým ťažkostiam, ak je sieťová DLP správne nakonfigurovaná a braná vážne, môže výrazne znížiť riziko úniku dôverných informácií a poskytnúť organizácii pohodlné prostriedky vnútornej kontroly.
Hostiteľ DLP sú nainštalované na každom hostiteľovi v sieti (na klientskych pracovných staniciach av prípade potreby aj na serveroch) a možno ich použiť aj na riadenie internetovej prevádzky. Hostiteľské DLP sa však v tejto kapacite stali menej rozšírenými a v súčasnosti sa používajú najmä na ovládanie externých zariadení a tlačiarní. Ako viete, zamestnanec, ktorý si prinesie do práce z flash disku alebo z MP3 prehrávača, predstavuje oveľa väčšiu hrozbu pre informačnú bezpečnosť podniku ako všetci hackeri dohromady. Tieto systémy sa tiež nazývajú nástroje zabezpečenia koncových bodov, hoci tento termín sa často používa širšie, napríklad sa to niekedy nazýva antivírusové nástroje.
Ako viete, problém používania externých zariadení sa dá vyriešiť bez použitia akýchkoľvek prostriedkov, a to fyzickým deaktivovaním portov, alebo pomocou operačného systému, alebo administratívne, zákazom nosenia akýchkoľvek médií zamestnancom do kancelárie. Vo väčšine prípadov je však „lacný a veselý“ prístup neprijateľný, keďže nie je zabezpečená náležitá flexibilita informačných služieb, ktorú si obchodné procesy vyžadujú.
Z tohto dôvodu vznikol určitý dopyt po špeciálnych nástrojoch, s ktorými môžete flexibilnejšie riešiť problém používania externých zariadení a tlačiarní zamestnancami spoločnosti. Takéto nástroje vám umožňujú konfigurovať prístupové práva pre používateľov k rôznym typom zariadení, napríklad pre jednu skupinu používateľov, zakázať prácu s médiami a povoliť tlačiarne a pre inú povoliť prácu s médiami v režime iba na čítanie. Ak je potrebné zaznamenávať informácie o externých zariadeniach pre jednotlivých používateľov, je možné použiť technológiu tieňovej kópie, ktorá zaisťuje, že všetky informácie, ktoré sú uložené na externom zariadení, sa skopírujú na server. Skopírované informácie je možné následne analyzovať a analyzovať akcie používateľov. Táto technológia kopíruje všetko av súčasnosti neexistujú žiadne systémy, ktoré by umožňovali analýzu obsahu uložených súborov s cieľom zablokovať operáciu a zabrániť úniku, ako to robí sieťové DLP. Archív tieňovej kópie však poskytne vyšetrovanie incidentov a retrospektívnu analýzu udalostí v sieti a mať takýto archív znamená, že potenciálny insider môže byť chytený a potrestaný za svoje činy. To sa môže pre neho ukázať ako významná prekážka a vážny dôvod na zanechanie nepriateľských akcií.
Za zmienku stojí aj kontrola používania tlačiarní – zdrojom úniku sa môžu stať aj papierové kópie dokumentov. Host DLP vám umožňuje riadiť prístup používateľov k tlačiarňam rovnakým spôsobom ako k iným externým zariadeniam a ukladať kópie vytlačených dokumentov v grafickom formáte na neskoršiu analýzu. Určitú distribúciu si navyše získala technológia vodoznakov (watermarks), ktorá implementuje tlač na každú stranu dokumentu unikátnym kódom, pomocou ktorého je možné presne určiť, kto, kedy a kde tento dokument vytlačil.
Napriek nepochybným výhodám hostiteľského DLP majú množstvo nevýhod spojených s potrebou inštalovať softvér agenta na každý počítač, ktorý sa má monitorovať. Po prvé, môže to spôsobiť určité ťažkosti, pokiaľ ide o nasadenie a správu takýchto systémov. Po druhé, používateľ s oprávneniami správcu sa môže pokúsiť zakázať tento softvér, aby vykonal akcie, ktoré nie sú povolené bezpečnostnou politikou.
Pre spoľahlivé ovládanie externých zariadení je však hostiteľská DLP nevyhnutná a spomínané problémy nie sú neriešiteľné. Môžeme teda skonštatovať, že koncept DLP je dnes plnohodnotným nástrojom v arzenáli firemných bezpečnostných služieb pri neustále sa zvyšujúcom tlaku na ne zabezpečenie vnútornej kontroly a ochrany pred únikmi.
Koncepcia IPC
V procese vynájdenia nových prostriedkov boja proti vnútorným hrozbám sa vedecké a inžinierske myslenie modernej spoločnosti nezastaví a vzhľadom na určité nedostatky prostriedkov diskutovaných vyššie sa trh systémov ochrany pred únikom informácií dostal ku konceptu IPC ( Ochrana a kontrola informácií). Tento výraz sa objavil relatívne nedávno, predpokladá sa, že bol prvýkrát použitý v recenzii analytickej spoločnosti IDC v roku 2007.
Podstatou tohto konceptu je spojenie metód DLP a šifrovania. V tomto koncepte DLP kontroluje informácie, ktoré opúšťajú podnikovú sieť prostredníctvom technických kanálov, a šifrovanie sa používa na ochranu dátových nosičov, ktoré sa fyzicky dostanú alebo môžu dostať do rúk neoprávnených osôb.
Zvážte najbežnejšie technológie šifrovania, ktoré možno použiť v koncepte IPC.
- Šifrovanie magnetických pások.Napriek archaizmu tohto typu médií sa naďalej aktívne používa na zálohovanie a prenos veľkého množstva informácií, pretože v jednotkových nákladoch na uložený megabajt sa stále nevyrovná. Preto úniky stratených pások naďalej potešujú redaktorov správ na titulnej strane a frustrujú riaditeľov IT a podnikových bezpečnostných pracovníkov, ktorí sú predmetom takýchto správ. Situáciu zhoršuje skutočnosť, že takéto pásky obsahujú veľmi veľké množstvo údajov, a preto sa veľké množstvo ľudí môže stať obeťami podvodníkov.
- Šifrovanie serverových úložísk.Napriek skutočnosti, že serverové úložisko sa prenáša len veľmi zriedka a riziko jeho straty je neporovnateľne nižšie ako pri magnetickej páske, samostatný pevný disk od úložiska sa môže dostať do nesprávnych rúk. Oprava, likvidácia, modernizácia - tieto udalosti sa vyskytujú s dostatočnou pravidelnosťou na odpísanie tohto rizika. A situácia prieniku do kancelárie nepovolaných osôb nie je úplne nemožná udalosť.
Tu stojí za to urobiť malú odbočku a spomenúť bežnú mylnú predstavu, že ak je disk súčasťou poľa RAID, potom sa údajne nemusíte obávať, že by sa dostal do neautorizovaných rúk. Mohlo by sa zdať, že prekladanie údajov zapísaných na viacero pevných diskov, ktoré vykonávajú radiče RAID, poskytuje údajom, ktoré sú na akomkoľvek pevnom disku, nečitateľný vzhľad. Žiaľ, nie je to celkom pravda. Prekladanie prebieha, ale vo väčšine moderných zariadení sa vykonáva na úrovni 512-bajtového bloku. To znamená, že aj napriek porušeniu štruktúry a formátov súborov je možné z takéhoto pevného disku získať dôverné informácie. Preto, ak existuje požiadavka na zabezpečenie dôvernosti informácií, keď sú uložené v poli RAID, šifrovanie zostáva jedinou spoľahlivou možnosťou.
- Šifrovanie notebookov.Bolo to povedané už nespočetnekrát, no napriek tomu je strata notebookov s dôvernými informáciami už mnoho rokov v prvej päťke hitparády incidentov.
- Šifrovanie vymeniteľných médií.V tomto prípade hovoríme o prenosných zariadeniach USB a niekedy aj o zapisovateľných diskoch CD a DVD, ak sa používajú v obchodných procesoch podniku. Takéto systémy, ako aj vyššie uvedené systémy šifrovania pevných diskov prenosných počítačov, môžu často fungovať ako súčasť hostiteľských systémov DLP. V tomto prípade sa hovorí o akomsi krypto-perimetri, ktorý zabezpečuje automatické transparentné šifrovanie médií vo vnútri a nemožnosť dešifrovať dáta mimo neho.
Šifrovanie teda môže výrazne zlepšiť možnosti systémov DLP a znížiť riziko úniku dôverných údajov. Napriek tomu, že koncept IPC sa formoval pomerne nedávno a výber integrovaných riešení IPC na trhu nie je príliš široký, priemysel túto oblasť aktívne rozvíja a je celkom možné, že po určitom čase sa tento koncept stane faktický štandard pre riešenie problémov vnútornej bezpečnosti a vnútornej kontroly.
závery
Ako vyplýva z tohto prehľadu, interné hrozby sú celkom novou oblasťou informačnej bezpečnosti, ktorá sa však aktívne rozvíja a vyžaduje si zvýšenú pozornosť. Uvažované technológie kontroly dokumentov, DLP a IPC umožňujú vybudovať pomerne spoľahlivý systém vnútornej kontroly a znížiť riziko úniku na prijateľnú úroveň. Bezpochyby sa táto oblasť informačnej bezpečnosti bude naďalej rozvíjať, budú ponúkané novšie a pokročilejšie technológie, ale dnes si mnohé organizácie vyberajú jedno alebo druhé riešenie, pretože nedbanlivosť v otázkach bezpečnosti informácií môže byť príliš drahá.
Alexej Raevskij
CEO spoločnosti SecurIT
Pre účinnú ochranu pred insidermi je v prvom rade potrebné zabezpečiť kontrolu nad všetkými komunikačnými kanálmi – od bežnej kancelárskej tlačiarne až po obyčajný flash disk a fotoaparát mobilného telefónu.
Metódy ochrany zasvätených osôb:
- * hardvérová autentifikácia zamestnancov (napríklad pomocou USB kľúča alebo čipovej karty);
- * audit všetkých akcií všetkých používateľov (vrátane správcov) v sieti;
- * používanie výkonného softvéru a hardvéru na ochranu dôverných informácií pred zasvätenými osobami;
- * školenie zamestnancov zodpovedných za informačnú bezpečnosť;
- * zvýšenie osobnej zodpovednosti zamestnancov;
- * neustála práca s personálom, ktorý má prístup k dôverným informáciám (inštruktáž, školenia, preverovanie znalostí pravidiel a povinností dodržiavať informačnú bezpečnosť a pod.);
- * Súlad úrovne platu s úrovňou dôvernosti informácií (v rozumných medziach!);
- * Šifrovanie dôverných údajov;
- * Najdôležitejší je však, samozrejme, ľudský faktor: človek je síce najslabším článkom bezpečnostného systému, no zároveň aj tým najdôležitejším! Boj proti insiderom by sa nemal zmeniť na úplný dohľad všetkých nad všetkými. Spoločnosť musí mať zdravú morálnu klímu, ktorá prispieva k dodržiavaniu firemného kódexu cti!
Vo výročnom prieskume Inštitútu počítačovej bezpečnosti (CSI) v roku 2007 odborníci v oblasti bezpečnosti identifikovali tri hlavné problémy, s ktorými sa museli v priebehu roka vysporiadať: 59 % považovalo insiderov za hrozbu č. 1, 52 % vírusy a 50 % - strata mobilného média (laptop, flash disk). Takže problém zasvätených v Amerike po prvýkrát začal prevládať nad problémom vírusov. Žiaľ, pre Rusko takéto informácie nemáme, ale existuje dôvod domnievať sa, že situácia u nás je minimálne podobná. Takže počas okrúhleho stola o probléme úniku informácií v dôsledku konania zasvätených osôb, ktorý sa konal v októbri na výročnej konferencii Aladdin, odzneli výsledky prieskumu medzi správcami systémov verejných inštitúcií, o ktorých je známe, že majú nízke príjmy. Na otázku, za koľko by mohli získať dôverné údaje, len 10 % opýtaných odpovedalo, že by sa takejto priestupku nikdy nedopustili, približne polovica opýtaných je pripravená riskovať za veľké peniaze a približne 40 % je pripravených to urobiť. za akúkoľvek odmenu. Ako sa hovorí, komentáre sú zbytočné. Hlavným problémom pri organizácii ochrany pred zasvätenými osobami je to, že ide o legitímneho používateľa systému a v službe má prístup k dôverným informáciám. Je veľmi ťažké sledovať, ako zamestnanec spravuje tento prístup v rámci úradnej moci alebo mimo nej. Zvážte hlavné úlohy boja proti insiderom (pozri tabuľku).
Čím väčšie úspechy ľudstvo dosahuje v boji proti vonkajším kybernetickým hrozbám, tým rozhodnejšie vystupujú do popredia vnútorné hrozby, s ktorými je podľa štatistík spojených viac ako 70 % všetkých bezpečnostných incidentov. Tento článok sumarizuje skúsenosti ruskej integrátorskej spoločnosti v oblasti vytvárania integrovaných systémov na zamedzenie úniku dôverných informácií. Takéto zložité systémy sú životne dôležité pre fungovanie mnohých moderných podnikov a organizácií. Spoločnosti využívajú celý arzenál spôsobov kontroly zamestnancov: prezerajú si e-maily, odpočúvajú telefonické rozhovory, inštalujú sledovacie kamery, monitorujú návštevnosť webových stránok na internete. Sú takéto kroky legálne? V súčasnosti sa dôverné informácie a osobné údaje spracúvajú v AS takmer každého podniku. Prirodzene, takéto informácie je potrebné chrániť. Ale tu je návod, ako ho chrániť, aký je rozdiel medzi prostriedkami ochrany domáceho počítača a počítačov v podnikových aplikáciách, aké úlohy ochrany informácií a ako by sa mali riešiť v komplexe, aby sa zabezpečila efektívna ochrana dôverných informácií? Nikto nie je imúnny voči sabotáži IT infraštruktúry. Ktorýkoľvek zamestnanec sa môže aj pri tej najnepodstatnejšej príležitosti uraziť na manažment alebo kolegov a potom spáchať skutočnú sabotáž: ničiť informácie, ktoré sú pre spoločnosť mimoriadne dôležité, posielať obscénne listy klientom spoločnosti atď. Je zrejmé, že škoda v tomto Prípad sa môže líšiť od pokazenej pracovnej klímy až po priame straty vo výške niekoľkých miliónov dolárov. Obavy podnikov o internú bezpečnosť IT a ochranu ich informačných aktív neustále potvrdzujú výskumy popredných organizácií. Podľa prieskumu FBI Computer Crime Survey z roku 2005, ktorý bol zverejnený v januári 2006, bolo 44 % amerických spoločností zasiahnutých v priebehu roka v dôsledku vážnych incidentov, ktoré sa vyskytli v internej IT bezpečnosti, zatiaľ čo zasvätení ukradli dôverné dokumenty zamestnávateľa a pokúsili sa skresliť informácie. za účelom finančného podvodu, vynášané z kancelárskeho vybavenia a pod. V súčasnosti existuje na trhu niekoľko hlavných základných detekčných technológií pre systémy určené na ochranu dôverných informácií pred únikmi (DLP), vrátane jazykovej a kontextovej analýzy, ako aj digitálnych odtlačkov prstov a štítkov. Mnohí zamestnanci komerčných organizácií poznajú taký prejav podnikovej kontroly, akým je odpočúvanie kancelárskych telefónov. Zvyčajne to robia bezpečnostní pracovníci veľkých a stredných organizácií v mene manažmentu a odpočúvanie môže byť otvorené aj skryté. Ako zistiť, ktorí zo zamestnancov organizácie a vstupujúcich do práce spôsobujú alebo môžu spôsobiť poškodenie jej záujmov? Ako identifikovať potenciálnych alkoholikov, ľudí náchylných ku krádežiam a tých, ktorí nikdy nebudú v práci produktívni? Všetci sa totiž môžu stať zamestnancami vašej firmy. Urobiť to správne nie je ľahká úloha. Tento článok hovorí o úlohe ľudského faktora pri zaisťovaní bezpečnosti organizácie, niektorých potenciálnych zdrojoch personálneho rizika a opatreniach na ochranu organizácie pred nimi. Ochrana podnikových informácií pred internými hrozbami v posledných rokoch prerástla z módneho trendu vybraných spoločností na úplne nezávislú oblasť informačnej bezpečnosti. Vrcholoví manažéri postupne začínajú prehodnocovať svoj postoj k financovaniu a ochranu dát pred internými hrozbami považujú nielen za zdroj výdavkov, ale aj za konkurenčnú výhodu firmy. Mnohé organizácie majú vyhradené tímy a oddelenia na ochranu obchodných tajomstiev, osobných údajov a iných citlivých informácií. Hodnotu informácií ako jednej zo zložiek každého podnikania nemožno preceňovať: podľa odborníkov strata len štvrtiny informácií klasifikovaných ako obchodné tajomstvo organizácie v priebehu niekoľkých mesiacov vedie k bankrotu polovice tej istej organizácie. organizácie, ktoré unikli takéto informácie. V informačných technológiách viac ako kdekoľvek inde je úspech firmy často úplne založený na dobrom know-how, technologickom ťahu, marketingovej stratégii alebo dokonca len na originálnom nápade. Navyše, najcennejšie informácie o týchto rozhodnutiach, krokoch a nápadoch existujú v mysliach zamestnancov spoločnosti. Nedá sa len súhlasiť s tým, že úložisko nie je ani zďaleka najspoľahlivejšie, pokiaľ ide o ochranu dôverných informácií pred neoprávneným alebo nechceným prístupom tretích osôb, alebo pred ich neférovým využívaním samotným zamestnancom, napríklad na vytvorenie vlastného konkurenčného rozvoja. Nižšie si povieme o tom, ako môže zamestnávateľ kontrolovať šírenie obchodne dôležitých informácií v rámci firmy aj mimo nej, ako možno rešpektovať práva zamestnanca a akú náhradu by mal dostať za známe obmedzenie týchto práv. A tiež ako je zamestnanec zodpovedný za zverejnenie tajných informácií svojho zamestnávateľa. "Nech odo mňa minie tento pohár!" Odháňame od seba tie najnepríjemnejšie myšlienky a vyslovujeme toto tajné kúzlo v rôznych chvíľach nášho života. Či už ide o výlet na vreckármi zamorený trh s oblečením alebo neskorý návrat domov. Necítime sa bezpečne, niekedy ani vo vlastnom byte. Policajné správy pripomínajú kroniku nepriateľských akcií. Podľa štatistík každých 3,5 minúty v Rusku dôjde k vlámaniu. Zvyčajne nie je možné odhaliť votrelcov. Dá sa však takejto nepríjemnosti predísť? Špecialisti spoločnosti Promet, popredného dodávateľa a výrobcu domácich trezorov a kovového nábytku, na túto otázku odpovedajú celkom jednoznačne: trezor sa stane spoľahlivou ochranou vašich úspor. Problém ochrany pred internými hrozbami sa v poslednom čase stal skutočnou výzvou pre jasný a zabehnutý svet podnikovej informačnej bezpečnosti. Tlač hovorí o zasvätených, výskumníci a analytici varujú pred možnými stratami a problémami a spravodajské kanály sú plné správ o ďalšom incidente, ktorý viedol k úniku stoviek tisíc záznamov o zákazníkoch v dôsledku chyby alebo nepozornosti zamestnanca. Pokúsme sa zistiť, či je tento problém taký vážny, či sa ním treba zaoberať a aké nástroje a technológie sú k dispozícii na jeho vyriešenie. Teraz čoraz viac organizácií používa riešenia triedy DLP (Data Loss Prevention) na ochranu podnikových informácií pred únikmi. Pred implementáciou DLP každá spoločnosť posúdi riziká a vytvorí model hrozieb, ktorý popisuje triedy chránených informácií, scenáre používania údajov a súvisiace hrozby. Vo väčšine prípadov sú externé disky, tlačiarne, firemná pošta a rôzne webové služby považované za potenciálne kanály úniku údajov a len málo ľudí myslí na ochranu údajov zaznamenaných na magnetických páskach alebo iných záložných médiách, ktoré sa v dôsledku toho ukladajú a prepravujú v nechránená forma. Pri skúmaní informačnej bezpečnosti podnikov a účinnosti opatrení na jej zabezpečenie, ktoré sa v súčasnosti implementujú v podnikových informačných systémoch (CIS) bánk, sa mimovoľne upozorňuje na prieskum uskutočnený v roku 2011 spoločnosťou Sailpoint Technologies v trochu odlišnom aspekte. definície „ochrany počítača pred neoprávneným prístupom“ a „neoprávneného prístupu k počítačovým informáciám“ (UAC) – analytici hodnotili lojalitu zamestnancov spoločnosti k firemnej etike z hľadiska práce s obmedzenými informáciami. V súčasnosti je hrozba zasvätených osôb naliehavým problémom pre bezpečnostné služby spoločností. Organizácie poskytujú svojim dočasným a stálym zamestnancom prístup ku kritickým informáciám, čo predstavuje vážnu hrozbu pre bezpečnosť organizácie. Pre zamestnancov spoločnosti je jednoduchšie ukradnúť alebo zneužiť existujúce informácie ako ktokoľvek iný, pretože majú priamy prístup k informačným aktívam organizácie. Podľa štúdie Trustwave je 80 % incidentov informačnej bezpečnosti výsledkom používania slabých hesiel. Zasvätené osoby boli hlavnou príčinou nedávnych incidentov na ministerstve zdravotníctva USA v Utahu a Južnej Karolíne. Používanie autentifikácie heslom v IS podnikov a organizácií sa stáva zastaraným. Pokračovaním v uplatňovaní tejto tradičnej techniky prístupu k vlastným informačným zdrojom spoločnosti v skutočnosti ohrozujú ziskovosť a možno aj samotnú existenciu podniku. Jedného dňa takmer všetky organizácie začnú chápať, že potrebujú spoľahlivú ochranu podnikových informácií. Jedným z najúčinnejších spôsobov ochrany údajov je inštalácia systému DLP vo vašej spoločnosti. Vo väčšine prípadov organizácia motivuje svoje rozhodnutie tým, že tieto systémy spoľahlivo chránia dôverné informácie a umožňujú im spĺňať požiadavky regulačných orgánov. Koľko kópií bolo rozbitých v diskusii o tom, či insideri predstavujú skutočnú hrozbu pre podnikanie alebo nie. Bankový sektor, ktorý je na špici moderných technológií, bol vždy jedným z prvých, ktorý testoval najnovšie inovácie vo svete IT a najmä v oblasti informačnej bezpečnosti. Dvojfaktorová autentifikácia, biometrické systémy a ďalšie. To všetko zarezonovalo tam, kde si praktickí ľudia radšej nechávajú svoje úspory. Ale naša slovanská mentalita je tak usporiadaná, že „kým hromy neprasknú“. A podľa toho vyvrátime hlavné mýty, ktoré sa v bankovom sektore stále vyskytujú. Operátori „veľkej trojky“ sa za posledných pár rokov už dvakrát poriadne strápnili SMS správami. Prvýkrát Yandex „pomohol“ a únik možno v zásade klasifikovať ako „nedbalý“ únik. Ale tentoraz... Federálna bezpečnostná služba oznámila, že bola odhalená skupina narušiteľov, ktorí dostali archívy SMS korešpondencie od troch vysokých moskovských úradníkov od zamestnancov MTS a VimpelCom, po ktorých VimpelCom potvrdil skutočnosť úniku informácií, a MTS, naopak, vyvrátil. Pátranie po páchateľoch nechajme na vyšetrovanie a venujme sa materiálom prípadu: neznámi pracovníci technických stredísk mobilných operátorov odovzdali dôverné informácie tretím osobám. Hovoriac v jazyku „ochrancov“, došlo k akciám zasvätených. Zabránenie úniku informácií, neoprávnenému prístupu je jednou z najdôležitejších úloh služby informačnej bezpečnosti každej organizácie. Ak existujú dôverné informácie (štát, obchodné tajomstvo, osobné údaje), potom je tu problém ich ochrany pred krádežou, vymazaním, úpravou, prezeraním. S rastom spoločnosti sa zvyšuje riziko krádeže informácií, a to aj zo strany zamestnancov, zvyšujú sa finančné a reputačné riziká, čo vedie k sprísňovaniu politík a kontrolných systémov. V dnešnej dobe majú informácie veľkú hodnotu. Jeho vlastníctvo poskytuje obrovské príležitosti v podnikaní, ekonomike, politike a iných oblastiach. Niet divu, že sa hovorí, kto vlastní informácie, ten vlastní svet, a kto vlastní informácie niekoho iného, je oveľa lepšie pripravený na súťaž ako jeho súperi. Existuje mnoho rôznych formátov súborov, ktoré ukladajú textové informácie, vrátane TXT, RTF, DOC, DOCX, HTML, PDF a ďalších. Avšak ani jedna spoločnosť, či už u nás alebo vo svete, neponúkla ochranu pre XML dokumentáciu. Pozrime sa bližšie na to, čo sú súbory XML, prečo je potrebné ich chrániť a ako bola ochrana pre tento formát prvýkrát vytvorená.
