Všetko o dizajne a opravách kuchyne. Strop. Farba. Dizajn. Techniky. Steny. Nábytok
Ste tu: » »

Metódy pre boj proti zasielania. Problémy s ochranou dôverných informácií

V poslednej dobe, všetky publikácie, ktoré zverejňujú informácie o bezpečnosti informácií, sa jednoducho zaplavujú správami a analytickými článkami, ktoré zasvätenia sa dnes stávajú hroznou hrozbou. Túto tému je diskutovaná na konferenciách IB. Výrobcovia ochranných prostriedkov sa začínajú obmedziť, že ich prostriedky ochrany sa prakticky vyvíjajú pre boj s touto hrozbou.

V tejto časti sa tento problém vysvetľuje celkom vysvetlený: podľa Svetovej štatistiky (napríklad správy o prieskume kriminality počítača a bezpečnosti), maximálne škody sa vykonáva z tejto hrozby.

Avšak, s dôkladnou analýzou všetkých publikácií, vystúpení a aplikácií, všimneme si niektoré neprijaté:

  • Termín Insider sa vykonáva všade bez definovania, ako niečo udelené
  • Koncepcia zasväteného a útočníka, ktorá sa nachádza vo vnútri siete prakticky zlúčená
  • Hovorte o hrozbách zasvätených, uveďte príklady stratených notebookov s informáciami
  • Keď už hovoríme o zasvätených, sú zaklopané na tému obvyklých útokov typu hesla, snaží sa používať cudzinec prihlásenie, hackovanie počítačového kolegu atď.

Zvyčajne prítomnosť takýchto absolútnych hovorí buď úprimné bludy / nedorozumenie autormi predmetu a pokusy o to skryť za krásny termín alebo vedomú manipuláciu čitateľom.

Vedúci insiderov je túžba riešiť s nimi so všetkými dostupnými prostriedkami.

Mimochodom, súčasná situácia pripomína trochu pripomína epickému boju proti spamu, ktorý sa aktívne uskutočnil pred dvoma rokmi. Nikto nepopiera, existuje problém spamu. Je však viac znepokojený poskytovateľmi, ktorí sú nútení ukladať výrazné objemy listov na svojich serveroch ako firemných užívateľov, ale mnohí takmer tento nápad.

Ako zistiť tému, pochopiť a vyhodnotiť riziká, ktoré zasvätenia prenášajú presne váš podnik a zvoliť skutočne primerané opatrenia na ochranu?

Navrhujem z najdôležitejšej veci, bez ktorého nemá zmysel pokračovať v ďalšom rozhovore - s definíciou tohto fenoménu, ktorý budeme diskutovať, konkrétne koncepcie termínu "zasvätená".

Termín "zasvätený"

Aby som nútiť čitateľa na Rummage v referenčných knihách a slovníkoch, snažil som sa hľadať tento termín na internete.

Koncepcia "Insider" sa tam určuje ako "člen ktorejkoľvek skupiny ľudí, ktorí majú prístup k informáciám neprístupným pre širokú verejnosť. Termín sa používa v kontexte spojenom s tajomstvom, skrytým alebo inými uzavretými informáciami alebo vedomosťami: Insider je členom skupiny s informáciami dostupnými z tejto skupiny. "

Nasledujúca definícia, ktorá poskytla internet (http://abc.informbuau.com/html/einaeaad.htm) takto znelo takto: "Insider (English, Insider, z vnútra - doslova vo vnútri) - osoba, ktorá má vďaka svojej službe alebo Rodinný stav prístup k dôverným informáciám o záležitostiach spoločnosti. Hovoríme o úradoch, riaditeľoch, kľúčových akcionároch korporácie so širokým držaním akcií a ich najbližších príbuzných. "

Opakujte znova: Kľúčové slová v oboch definíciách sú "prístup k informáciám". Tieto definície umožňujú preformulovať problém "insides".

Takže, to už nie je naliať všetko do jednej partii, ale je zrejmé, že existuje problém vnútorného útočníka. Zároveň je rozdelený do

  • insider s prístupom k informáciám
  • zamestnanec, ktorý sa snaží dosiahnuť takýto prístup.

Je dôležité, aby sa koncepcia informácií znelo v oboch definíciách našla.

Koncepcia "informácií"

Koncepcia "informácií" je vo svojej podstate veľmi debatovaný. V každej oblasti vedomostí sa rozumie vlastným spôsobom. To vedie k tomu, že samotný koncept začína byť vnímaný intuitívne.

Ale pre ďalšiu diskusiu budeme potrebovať jasné pochopenie tohto termínu. Takže navrhujem, aby som to zvážil

Informácie - Toto je vysvetlenie, učenie, určitý druh redukcie.

Navrhujem, aby som nezmiešil koncepciu "informácií" s konceptom

Dáta - Toto je reprezentácia faktov a myšlienok vo formálnej forme vhodnej na prenos a spracovanie v určitom informačnom procese.

Teraz, pre konštruktívne pokračovanie dialógu, poďme konečne prísť na to s týmito konceptmi. Je to najjednoduchšie urobiť to na príkladoch:

Dúfam, že sa mi podarilo demonštrovať rozdiel medzi týmito konceptmi.

Pochopiť tento rozdiel len potrebný aspoň s cieľom pochopiť, že budeme chrániť (údaje alebo informácie) a že je to potrebné

Prečo sa obávajú insideri

So. Podľa našich definícií možno zrejmé, že Insider je zvyčajne riaditeľom a vyšších manažérov, ako aj majiteľov spoločnosti.

Vytvorené dnes obraz zasväteného je spojený so skutočnosťou, že insiders

  • vykonávame zoznamy zákazníkov
  • dokončiť dokumenty
  • databázy vyberajú databázy
  • informácie o uvoľnení.

To všetko v súlade s ich vyhláseniami spôsobí spoločnosti značné škody a nevyhnutne znamenajú stratu zákazníkov.

Mimochodom, takmer nikde bliká hrozba zničenia alebo skreslenia úmyselného dát ... Nikto neplatí pozornosť tomuto alebo jednoduchým metódam ochrany proti týmto hrozbám?

Ale aj keď opakujete len najobľúbenejšie hrozby ako mantra, stane sa desivom. A obavy nie sú v skutočnosti nadarmo: Svetová štatistika incidentov hovoria, že škody a strata zákazníkov sú skutočné. Je však dôležité si uvedomiť, že teraz sme sa naučili zdieľať koncepciu zasväteného a obyčajného zamestnanca.

Pokúsme sa zistiť. Máme 4 možnosti:

Dáta Informácie
zamestnanec Zamestnanec sa snaží urobiť údaje Zamestnanec sa snaží poskytnúť informácie
Zasvätený Insider sa snaží robiť údaje Insider sa snaží poskytnúť informácie

Úlohy, ktoré môžeme dodať v boji proti insiders, jednoducho formulovali:

  • Dodržiavanie požiadaviek regulačných aktov a noriem
  • Uložené informácie
  • Uložiť dáta
  • Detekcia kanálov úniku
  • Dôkaz neziskového

Ale či sa dajú ľahko implementovať? A aké technické prostriedky nám môžu pomôcť?

Boj proti technickým prostriedkom s dôvernými silami a jeho výsledkami

Ak spoločnosť jednoducho chce splniť určité požiadavky, že štátne alebo profesionálne spoločenstvo robí, úlohou sa znižuje ani na akvizíciu a implementáciu akéhokoľvek prostriedku ochrany, ale na príslušnú dokumentáciu bezpečnostných procesov v organizácii.

Podľa samotnej definície informácií, ktoré sme dali, prestaňte unikajúce informácie - možno len spôsoby:

  • Sebakontrolu insiderov, aby tieto informácie nezverejnila
  • Vymenovanie na vrcholových pozíciách zodpovedných, osvedčených, morálne udržateľných ľudí
  • Zdôrazňujúc týchto ľudí o tom, že nie všetky informácie sú určené pre širokú verejnosť.

Bohužiaľ, tento problém leží výlučne v oblasti ľudského faktora. Bohužiaľ, ale aj tie najlepšie špeciálne služby sa s ním vždy vyrovnávajú.

Z hľadiska úniku problémov (súbory, databázy, tlačené kópie dokumentov atď.) Môžete bojovať. Ale môžete bojovať. Túto problém môžete tiež spochybniť, a to je dôvod. Ako keby sme neobmedzovali prístup ľudí k informáciám:

  • Osoba môže zobraziť dokument o monitore / v tlači kolegu, na ktorý nie je určený.
  • Osoba môže zabudnúť na dokument v tlačiarni, v jedálni, zanechať kanceláriu bez dozoru alebo prípad
  • Človek môže písať z obrazovky na letáku
  • Osoba môže čítať na telefóne alebo hovoriť s hlasovým záznamníkom
  • Obrazovku obrazovky monitora môžete vykonať na kameru mobilného telefónu
  • Muž na konci môže pamätať len na obsah dokumentu.

Okrem iného, \u200b\u200bten istý notebook s dátami sa môže stratiť alebo ukradnúť. A súčasne spolu so všetkými kľúčmi, ak boli údaje uložené v chránenej forme.

Riešenie problémov s problémami na sledovanie problémov úniku - tu na vyriešenie tohto problému, technické prostriedky môžu vytvoriť pôdu: zbierať úplné štatistiky odvolaní na zdroj, predvídať odvolanie, povedzte, povedzme, povedzme, že do súboru s odoslaním rovnakého súboru poštou atď. Jediné problémy - technické prostriedky môžu dať príliš veľa informácií, šek a analýzu, ktoré budú musieť byť, všetko rovnaké, je to ľudia. Tí. Opäť: Technické prostriedky nedávajú výsledky.

Ak hovoríme o doklade o nezapojení, schopnosť riešiť tento problém s technickými prostriedkami je tiež veľkou otázkou. Ale dôvodom je ešte viac politickejší ako technický. Predstavte si, že jeden deň vyjde o skutočnosti, že pravidelná databáza bola uniknutá v spoločnosti XXX. Novinári budú mať túto tému pre všetky pražce, zneli odborníkov z dôvodov, pamätajte na históriu netesností, hádajte o príčinách tohto, atď. Senciation ... Vaše vyhlásenia, že spoločnosť nie je zvyknutá, a informácie neodtiahli od vás - málo ľudí má záujem, a ak sú zverejnené, potom na druhý deň, keď záujem o tému prestane.

Okrem toho, aby sa 100% zaručilo, že únik sa vyskytol od vás - nikto nemôže. Môžete len ukázať, ako, vrátane technických prostriedkov, staráte sa o ich bezpečnosť.

Čo nehovorte zápasníkov s insides

Akékoľvek ochranné prostriedky vytvárajú nepríjemnosti je Axiom. Akákoľvek nedokonalá ochrana znamená jeden alebo iný, musí byť obsluhovaný - zákon života. Tí. Nainštalujte prostriedky na ochranu a nesledujte, aké výsledky je to hlúpe.

Teraz o výsledkoch.

Predstavte si, že máte sieť približne 1000 počítačov, na každom aspoň raz denne v USB portu Blokovať USB Flash Drive / Mobilný telefón / fotoaparát. Takže ste denne nútení analyzovať minimálne 1 000 udalostí súvisiacich s používaním týchto zariadení. Nemyslím si, že trpezlivosť je dosť viac ako 2 dni.

Rozhodnutie zakázať všetko nie je vždy vždy správne. O niekoľko minút neskôr sa šéf opýta, prečo jeho flash disk nečíta, a reklamný dôstojník sa bude pýtať, ako preniesť letáky usporiadania do tlačiarenského domu.

Môžete sa pokúsiť povedať, že ak kontrolujeme, povedzme, že všetky prístup k dátovému súboru je chránený. Aspoň budeme schopní nájsť extrémne, ktorý bol tento súbor vyhladený. Je to tak, ak sme ho chytili rukou, napríklad, keď sa pokúšame poslať mailový súbor. V opačnom prípade to vyzerá ako sebaklam.

Ak má prístup k súboru niekto, kto nie je príliš lenivý, potom pod podozrením bude najprv ako tí, ktorí to nepotrebujú. Neexistujú však žiadne záruky, a bez skúseného pôsobenia, nerozumieme

Ak bol prístup k súboru vymedzený, zistíte, že tí, ktorí môžu byť prijatí, aby boli prijaté ... Toto je cenné, ale ako povedať je k ničomu. Niektoré funkcie môžu byť odhalené: Napríklad, niekto oslovil súbor uprostred noci. Pravdepodobne je to nezvyčajné, ale nič iné neznamená, najmä ak držiteľ účtu nepopiera skutočnosť obehu.

Hovorí o kontrole, je potrebné pochopiť, že nebudeme chrániť zasvätenec a od zamestnanca by mal byť tento súbor zatvorený.

Takže sledovanie alebo rozlišovanie

Zlaté, a preto nesplnenie pravidla: zaviesť nástroje na ochranu v súlade s bezpečnostnými politikami.

Samozrejme, že nie je zlé, že zavedenie systému kontroly e-mailu urobil organizáciu, aby zistil, čo možno poslať, ku ktorému by sa informácie mali považovať za dôverné.

Ak však myšlienka toho, čo bolo možné a že bolo nemožné, aby sa vopred vytvorili, by spoločnosť mohla vybrať spokojnosť rozhodnutia, ak by sa vo všeobecnosti dohodol, že je to potrebné na to.

Ale to nie je všetko.

Je dôležité, aby ľudia pracovali v organizácii a zodpovedné za jeho bezpečnosť sa rozhodli pre seba a za všetko, čo potrebujú to jednoduchšie:

  • Uložte všetky údaje do spoločnej haldy a pokúste sa nájsť niekoho, kto ho poslal mimo organizácie
  • Distribúcia prístupu k údajom tak, aby boli k dispozícii len tým, ktorí ich potrebujú.

Prvou možnosťou je zábava, demonštračná. Každý zistí, že odborníci z bezpečnostného oddelenia plazí na karachách a dať USB porty. A dnes pošta nefunguje - zaviesť nový riadiaci systém.

Druhým spôsobom je starostlivá práca na analýze toho, čo potrebujete, náročné na pracovné nastavenia mechanizmov prístupu k prístupu atď.

Každý si vyberie svoju cestu sám, ale prvý sa podobá hľadaniu mincí pod LANTERN: Nehľadajú to, pretože tam stratili, ale preto, že tam je ľahší.

Rozpočtové štatistiky incidentov

Ak táto téma začína, aby boli vyvinuté profesionálmi pera, potom všetko začne spadnúť do partii.

Chcel by som si všimnúť, že v žiadnom prípade pod koncept "hrozby insiderov" nepatria, a preto technické prostriedky na kontrolu informácií nie sú zablokované:

  • Straty notebookov, flash diskov atď. - Toto je nedbanlivosť.
  • Krádež notebookov, počítače, tvrdé disky s zálohami - toto je niečo podobné hackingu
  • Návrh informácií z vírusov
  • Informácie úniky pri hackovaní siete, aj keď zamestnanec

Ohrozenie Insider nezahŕňa takéto prípady, ako napríklad zákaznícka základňa spolu s predajným riaditeľom.

Môžete si vybrať jeho telefónny zoznam na výstup, ale ako vybrať zavedený vzťah so zákazníkom, roky spoločnej štúdie v Inštitúte atď.?

Je dôležité, aby ste sa nedal nakresliť sa do riešenia problému, ktorý nie je, alebo ktorý nie je v zásade vyriešený.

závery

Urobiť určitý záver o probléme je nemožné. Pravdou života je, že existuje veľa problémov spojených s insiders. Niektorí špecialisti na bezpečnosť, ako nie je poľutovaniahodné, sú niekedy obmedzené na názory na to alebo tento problém presne na základe ich profesionality.

Príklad: Informácie pre nich sú súbory a databázy (prvá chyba - zmätok údajov a informačných konceptov). A začne bojovať proti týmto únikom, pretože to môže: opäť, odmietnutie odcudzených médií, riadenie pošty, kontrolu nad počtom tlačených dokumentov dokumentu a zaregistrovať ich, kontrola portfólií na výstupe budovy a tiež ... na V rovnakej dobe, táto zasvätená, ktorá sa vďaka cestu často informuje o týchto ovládacích prvkoch na odoslanie faxového dokumentu.

Takže možno pred hádzaním do vonkajšieho zápasu s problémom stojí za to hodnotiť tento problém, porovnať ho s ostatnými a urobiť informovanejší výber?

Nedávny výskum v oblasti informačnej bezpečnosti, ako je ročný prieskum počítačovej kriminality CSI / FBI a bezpečnosti, ukázal, že finančné straty spoločností z väčšiny hrozieb sa znižujú z roku. Existuje však niekoľko rizík, straty, z ktorých rastú. Jedným z nich je úmyselným krádeným dôverným informáciám alebo porušením pravidiel o zaobchádzaní s týmito zamestnancami, ktorých prístup k obchodným údajom je potrebné na splnenie úradných povinností. Nazývajú sa insiders.

V ohromnej väčšine prípadov sa krádež dôverných informácií vykonáva pomocou mobilných médií: CD a DVD, ZIP zariadení a čo je najdôležitejšie, všetky druhy USB diskov. Je to ich masová distribúcia, ktorá viedla k kvitnutiu insív sveta po celom svete. Vedúci predstavitelia väčšiny bánk dokonale pochopia, čo môžu ohroziť, napríklad databázu z osobných údajov od svojich zákazníkov alebo najmä elektroinštalácie na ich účtoch v rukách trestných konštrukcií. A snažia sa bojovať s pravdepodobnou krádežou informácií, ktoré im sú k dispozícii organizačnými metódami.

Organizačné metódy v tomto prípade sú však neúčinné. Dnes môžete organizovať prenos informácií medzi počítačmi pomocou miniatúrneho flash disk, mobilný telefón, Trz-PRsra, digitálny fotoaparát ... Samozrejme, môžete sa pokúsiť zakázať všetky tieto zariadenia na kancelárii, ale toto, prvé , bude negatívne ovplyvniť vzťah so zamestnancami a po druhé, aby sa zaviedli skutočne účinnú kontrolu nad ľuďmi, je stále veľmi ťažká - banka nie je "poštová schránka". A dokonca vypnutie na počítače všetky zariadenia, ktoré možno použiť na zaznamenávanie informácií o externých nosičoch (FDD a zips diskov, CD a DVD diskoch atď.) A porty USB nepomôže. Koniec koncov, prvá je potrebná pre prácu, a druhý je spojený rôznymi perifériami: tlačiarne, skenery atď. A nikto nie je možné zabrániť osobe, aby zakázala tlačiareň na minútu, vložte disk flash do uvoľňovaného portu a skopírujte dôležité informácie. Môžete, samozrejme, nájsť originálne spôsoby ochrany. Napríklad, v jednej banke, takýto spôsob riešenia problému sa snažil: USB portové pripojenia a kábel epoxidového živice sa nalial, pevne "zviazaný" posledný k počítaču. Ale našťastie, dnes existujú modernejšie, spoľahlivé a flexibilné metódy monitorovania.

Najúčinnejším prostriedkom na minimalizáciu rizík spojených s Insider je špeciálny softvér, ktorý vykonáva dynamické riadenie všetkých zariadení a portov počítača, ktoré možno použiť na kopírovanie informácií. Zásada ich práce je taká. Pre každú skupinu používateľov alebo pre každého používateľa sú povolenia nastavené na použitie rôznych portov a zariadení. Najväčšou výhodou tohto softvéru je flexibilná. Môžete zadať obmedzenia pre konkrétne typy zariadení, ich modely a jednotlivé inštancie. To vám umožní implementovať veľmi zložité politiky prístupu na prístup.

Niektorí zamestnanci môžu napríklad umožniť používať všetky tlačiarne a skenery pripojené k portom USB. Všetky zostávajúce zariadenia vložené do tohto portu zostanú neprístupné. Ak sa banka používa v banke, token-založený autentifikačný systém, potom v nastaveniach môžete zadať použité kľúče. Potom budú môcť užívatelia používať iba zariadenie nakúpené spoločnosťou a všetky ostatné budú zbytočné.

Na základe princípu prevádzky ochranných systémov opísaných vyššie možno pochopiť, ktoré momenty sú dôležité pri výbere programov, ktoré implementujú dynamické blokovanie záznamov a portov počítača. Po prvé, toto je všestrannosť. Systém ochrany by mal pokrývať celé spektrum možných portov a I / O zariadenia. V opačnom prípade zostáva riziko krádeže obchodných informácií neprijateľné vysoké. Po druhé, nasledovné by malo byť flexibilné a umožní nám vytvoriť pravidlá pomocou veľkého počtu rôznych informácií o zariadeniach: ich typy, výrobcov modelov, jedinečné čísla, ktoré majú každú inštanciu atď. No, po tretie, ochrana insiders 'by mal byť schopný integrovať s informačným systémom banky, najmä s Active Directory. V opačnom prípade bude správca alebo bezpečnostný dôstojník bude musieť vykonávať dve databázy užívateľov a počítačov, ktoré je NAVP, ale tiež zvyšuje riziko chýb.

V oblasti informačnej bezpečnosti je najväčšia pozornosť organizácie udelená spravidla ochrana pred vonkajšími útokmi, takže takmer všetky prostriedky vyčlenené na zabezpečenie bezpečnosti sú zaslané na ochranu zraniteľných miest obvodu podnikovej siete. Súčasná situácia zistila vhodnú reflexiu a na trhu IT bezpečnostných riešení - v posledných rokoch sa ponúka široká škála rôznych prostriedkov ochrany proti vírusom, červami, trójskym kone a ďalším hrozbám zvonku.
Postupne však podniky začínajú byť si vedomí nového nebezpečenstva. Nie je to z hackerov, nie z spamu alebo náhodných vírusov, ale od svojich zamestnancov. Insiders sa nachádzajú v samotnej organizácii a sú obdarené pomerne právnymi silami, takže je pre nich oveľa jednoduchšie prístup k informáciám, o ktoré máte záujem, ako akýkoľvek útočník zo strany. Na lepšie riešenie problému odkazujú na štúdium americkej analytickej spoločnosti Aberdeen Group "The Insider Threat Benchmark Report - Stratégie pre ochranu údajov", počas ktorej sa rozhovor 88 veľkých amerických korporácií.

Hlavné výsledky prieskumu veľkých korporácií

Hrozba desiderov sa zvyšuje. Moderné podnikanie už nemôže ignorovať toto nebezpečenstvo a je ťažké pôsobiť proti. Spoločnosti, ktoré uprednostňujú, aby ste si vzali alebo uložili na zavedenie nových bezpečnostných systémov, sme vážne straty. Mnohé spoločnosti uvedené v štúdii bolo vážne zranené z únikov údajov a až potom sa starali o preventívne opatrenia. Ich príklad by mal slúžiť ako lekcia pre iné firmy.

Podniky, ktoré chcú chrániť pred únikmi dôverných informácií, by mali byť s plnou zodpovednosťou riešiť problém. Iracionálne úspory na bezpečnostných zariadeniach sa v blízkej budúcnosti patria do solídnych strát. Najlepšia možnosť sa bude uchýliť o pomoc odborníkov špecializujúcich sa na systémy ochrany insiders. Takéto systémy sa môžu ľahko integrovať do už existujúcej infraštruktúry. Okrem toho, predajcovia nielen zabezpečia výkonnosť rozhodnutia, ale záruku aj jej vysokú efektívnosť.

Ako taký nie je žiadne prostriedky proti zasväteniam. Spoľahlivo pomôže len použitie celého komplexu opatrení a riešení. Napriek zotrvačnosti veľkých dodávateľov existuje dostatočné množstvo hotových komplexov, ktoré chránia pred zasvätenými a netesnosťami.

Jedným z najdôležitejších moderných technológií ochrany informácií je filtrovať sieťovú prevádzku (už implementovanú v 53% respondentov). Ďalší 28% plán na vytvorenie takýchto filtrov v bežnom roku. Okrem toho je klasifikácia údajov veľmi sľubná technológia. Hoci dnes používa len 42% korporácií, tento rok sa ich počet zvýši o 44% (to znamená až 86%). Avšak vážne znepokojenie je skutočnosť, že neprimerane malý počet respondentov používa iné účinné riešenia na ochranu pred únikmi a zasvätených činiteľov, ako sú napríklad monitorovaní zamestnancov.

Pre mnohé podniky je jednou z hlavných prekážok (44%) na spôsob vykonávania dodatočných prostriedkov ochrany pred únikmi informácií obmedzeniami IT zdrojov. Zároveň zavedenie takýchto ochranných prostriedkov umožňuje nielen výrazne znížiť riziko straty dôležitých údajov, ale aj výrazné (o 17,5%) na zníženie nákladov na IT jednotiek.

Aktuálna pozícia

Neexistuje nič prekvapujúce v tom, že následky incidentov zasvätených incidentov sa často ukazujú, že sú oveľa podrobnejšie ako úspešný útok hackerov. Existuje mnoho dôvodov. Jednoduché prístup k rôznym informačným prostriedkom na všetko, čo nevysvetlite. Faktom je, že informácie ukradnuté insiders je zvyčajne dôležitejšie, než sú hackeri schopní dostať sa. Jedným z najdôležitejších dôvodov rastu ohrozenia desiderov a jednoduchosť výkonu nelegálnych akcií je nedbanlivosť interných služieb IT bezpečnosti (ak existuje). Organizácie nie sú pripravené odolať zasväteným, pretože jednoducho nemajú žiadne vhodné nástroje. Aj keď je zistená hrozba, zamestnanci sféry bez nebezpečenstva nemôžu byť riadne proti tomu, pretože sa nezhromažďovali náležité skúsenosti v určenej sfére. Všeobecne platí, že na trhu teraz nájdete komplexné riešenia na ochranu dôverných informácií od zasvätených informácií. Bohužiaľ, často zodpovední manažéri nerozumejú závažnosti hrozby. Naďalej sa zapájajú do inerciálneho úsilia na ochranu obvodu ich organizácie mimo vonkajšieho nebezpečenstva.

Medzitým spravodajské agentúry a médiá venujú väčšiu pozornosť problému zasvätených. Špecialisti hovoria o zvýšení počtu únikov dôverných informácií a ich smutných dôsledkov: strata času, finančná strata a vplyv na povesť. Okrem toho existuje globálny trend v tom, že obchod začína prepnúť na problém vnútornej IT bezpečnosti.

V priebehu štúdie "referenčná správa Insider hrozby - stratégie pre tecovanie údajov", analytici sa podarilo zistiť, že v uplynulom roku mnohí dodávatelia a disd the holking zmenil kvalitatívne zmenil nomenklatúru navrhovaných riešení. Zvýšil sa súčasne podiel výrobkov určených na boj proti insiders. Avšak, súčasne najväčší IT dodávatelia naďalej rozširujú svoj tradičný rozsah, pri zachovaní pomerov riešení na rovnakej úrovni. To hovorí buď podcenenie potenciálu zodpovedajúcej produktovej rady alebo malého aktuálneho dopytu. 41% amerických respondentov však už realizovalo nástroje na ochranu v ich IT infraštruktúre, do určitej miery riešenie problému zasvätených.

Treba poznamenať, že ruskí zákazníci môžu čeliť osobe v tom, že záujem o systémy pre boj proti netesnosti a insiders od dodávateľov a systémových integrátorov sa pestuje. Napríklad Kaspersky Lab spenoval svoju činnosť v oblasti vnútornej IT bezpečnosti do samostatnej spoločnosti - Infowatch a takmer všetky ruské systémové integrátory zahŕňali rozhodnutia tejto spoločnosti na ich produktovú radu. Podľa Denis Zenkina, Infowatch marketingový riaditeľ pre rok 2005, zisk spoločnosti sa zvýšil o 120% av roku 2006 bol pozorovaný podobný obraz. A to aj napriek skutočnosti, že ruské spoločnosti výrazne zaostávajú za Američanom pri používaní systémov na ochranu pred zasvätenými. Podľa štúdie "Domáce IT hrozby v Rusku 2005", počas ktorého Infowatch sa vyskytol viac ako 300 domácich organizácií, len 2% respondentov používali systémy na boj proti insidesom a únikom. Zvýšenie ziskov dodávateľov však jednoznačne označuje, že situácia sa postupne mení.

Okrem toho sa nedávno ukázala ďalšia hlavná antivírusová spoločnosť - McAfee Systems na boj proti insidesom. V októbri 2006 kúpila izraelskú firmu ONIGMA, ktorej je určené len rozhodnutie, ktoré je určené na zistenie a prevenciu únikov. Podľa tlačovej správy McAfee integruje technológie ONIGMA na vlastné riešenie, a teda začne expanziu na trhu vnútorných IT riešení.

Je možné, že v blízkej budúcnosti sa trh o ochrane pred únikmi objaví najväčší v oblasti IT bezpečnostnej spoločnosti - Symantec. Vo všeobecnosti možno bezpečne tvrdiť, že zahrnutie do svojho sortimentu výrobkov na boj proti insiders je mimoriadne sľubným smerom diverzifikácie pre všetky väzby distribúcie riešení IT bezpečnosti.

Bok

Teraz sa vrátime k výsledkom štúdie "Report" Insider Threat Benchmark - Stratégie pre ochranu údajov "a pozrite sa na ochranné systémy od zasvätencov a netesností cez oči zákazníka. Všetky americké spoločnosti môžu byť rozdelené do troch nerovných skupín v kvantitatívnom zložení skupiny: zaostávajú (30%), strednými roľníkmi (50%) a vodcov (20%). V zaostávajúcich podnikoch sú ukazovatele výkonnosti vo všeobecnosti nižšie ako priemerný priemysel a lídri sú vyššie vyššie. Ukazuje sa, že absolútne všetky úspešné organizácie (100% respondentov) zvažujú ochranu dôverných údajov na najdôležitejší smer v boji proti zasväteniam. Okrem toho sú najlepšie spoločnosti oveľa viac využívané v politikách identifikácie a vymedzenia (75%). Charakteristiky rôznych skupín v oblasti vnútornej IT bezpečnosti sú uvedené na obrázku.

Z grafov je zrejmé, že popredné spoločnosti uprednostňujú vykonávanie projektu implementácie systému ochrany dôverných informácií ako plnohodnotnej obchodnej úlohy. V tomto prípade dávajú osobitný význam komplexu sprievodných služieb. To vám umožní vybudovať najúčinnejší systém vnútornej bezpečnosti a neprenášajú atypické úlohy na plecia vašich vlastných zamestnancov. Okrem toho sa najlepšie podniky v ich priemysle snažia minimalizovať ľudský faktor prostredníctvom plne automatizovaných procesov. A konečne, lídri v čele kapitoly vložili integráciu výrobkov do jedného a riadeného systému, čím ocenila flexibilitu implementovaného riešenia na ochranu pred zasvätenými.

Snažte sa zhodnotiť problém vnútornej bezpečnosti z hľadiska technológie (tabuľka 1). Po štúdiu niekoľkých odvetví sa ukázalo, že hlavné technológie sú: heslá, identifikačné systémy, biometria, skenovanie sieťovej prevádzky a kontrola prístupu k užívateľom na dôverné informácie.

Tabuľka 1. Technológie zabezpečenia: aktuálny stav a prognóza

Technológie

Podiel respondentov používajúcich technológiu je teraz%

Podiel respondentov plánuje zaviesť technológiu v nasledujúcich 12 mesiacoch,%

Sofistikované heslá

Zoznamy riadenia prístupu

Filtrovanie siete

Skenovanie obvodov

Automatické monitorovanie prístupu pracovníkov

Klasifikácia údajov (podľa súkromia)

Jednotný vstup

Identifikácia s požiadavkou a potvrdením

Autentifikácia prostredníctvom spätného volania na mobilný telefón

Presne 50% z najlepších spoločností používa komplexné heslá, filtrovanie sieťových dopravných a prístupových riadiacich zoznamov. Okrem toho spoločnosti majú v úmysle výrazne zvýšiť uplatňovanie týchto technológií. Podiel komplexných hesiel sa teda zvýši o 26% a dosiahne 93%; Popularita zoznamov riadenia prístupu sa zvýši o 24% a dostane sa na značku 90% a podiel sieťovej prevádzky filtrovania sa zvýši z 53 na 81%. Medzitým je použitie identifikačných kariet, napriek ich prevalencii, môže byť ťažko považovaný za populárny smer. Iba 13% respondentov plánuje tento rok realizovať túto technológiu.

Je zvedavý, že najsľubnejšie technológie sú automatické monitorovanie zamestnancov na dôležité údaje (očakáva sa, že 72%) a klasifikácia údajov (zo 42% v roku 2006 na 86% v aktuálnom). Výsledky štúdie sa zhodujú so stanoviskom domácich špecialistov v oblasti ochrany informácií. Analytické centrum Infowatch sa domnieva, že je to automatické monitorovanie činností zasvätených a klasifikácie týchto spoločností, bolo nezamestnane zamerané v minulých rokoch. Medzitým, bez toho je jednoducho nemožné vybudovať spoľahlivý systém ochrany.

Ďalej, podľa prieskumu, rovnaké 53%, ktoré používajú dopravné filtrovanie, sa domnieva, že jedna obvodová ochrana nie je dostatočná na zabezpečenie vnútornej bezpečnosti. Okrem iného je potrebné vyvinúť virtuálne súkromné \u200b\u200bsiete, aby nedošlo k zníženiu úrovne bezpečnosti počas komunikácie s externými partnermi.

Uvedené technológie poskytujú viacúrovňový prístup a umožňujú vám zlepšiť bezpečnosť dôverných údajov. Okrem technologickej strany však nezabudnite na banálnu fyzickú bezpečnosť informácií. Mnoho príkladov o tom, aké dôležité dokumenty spadli do rúk útočníkov po hackovaní kancelárie a krádeže počítačového vybavenia. Navyše, záložné stuhy a mobilné médiá s dôverným obsahom sa často stratia počas prepravy alebo na služobných cestách.

Ochrana proti insiders

V súčasnosti neexistuje jednotný bod pohľadu, ako regulovať prístup užívateľa. To núti organizáciu, aby poskytla centralizovanú správu údajov v distribuovanom prostredí. Technológie môžu vykonávať správu dát, zodpovednosť a bezpečnosť údajov, ale pre to musíte ich správne aplikovať. Na druhej strane, metódy používania závisia od špecifík podniku-zákazníka. Preto je potrebné vykonať hlbokú a komplexnú analýzu IT infraštruktúry, na ktorej je určený na zavedenie bezpečnostného systému. Mnohí zákazníci absolútne spravodlivo účtujú prípad posudzovania a výberu technológií špeciálne vytvorených skupín, ktoré zahŕňajú špecialistov rôznych profilov.

Moderné technológie a metódy boja proti insiders sa výrazne líšia. Faktom je, že dodávatelia nemôžu ponúkať univerzálne prostriedky od zasvätených. Poskytujú celú škálu riešení na určenie odchýlok, klasifikáciu údajov podľa stupňa súkromia a obmedzenia prístupu.

Napriek tomu, že len 51% spoločností z týchto opýtaných počas štúdie sa domnieva, že komplexné riešenia ochrany proti insiders sú mimoriadne dôležité, zvyšné 49% nedosiahne svoju úlohu tak vysokú. Význam tohto výsledku je však skutočnosť, že aspoň polovica respondentov uprednostňuje komplexné riešenia. To naznačuje, že sa skutočne týkajú tohto problému a chápu význam spoločných opatrení.

Okrem toho, v niektorých odvetviach, účastníci sú povinní väčšia dôvernosť údajov o zákazníkoch. Neustále sa meniace legislatíva na federálnej a regionálnej úrovni stále viac a viac pozornosti sa venuje ochrane osobných údajov (napríklad celé meno, dátum narodenia, domov adresa, čísla kreditných kariet, lekárske polis atď.).

Organizácie si musia byť vedomí dôležitosti legislatívnych príkazov v oblasti ochrany osobnosti. Podľa účastníkov prieskumu, na zlepšenie riadenia, musíte automatizovať autorizovaný prístup. Spoločnosti, ktoré nie sú automatizovať zoznamy riadenia prístupu, príprava a klasifikácia údajov, môžu čeliť vážnym problémom. Takže 78% respondentov považuje informácie na ochranu najdôležitejšieho dôvodu ochrany pred budovaním proti insiders. Takže podniky sa práve začínajú vedomí ohrozenia desiderov a na základe rôznych dôvodov sa snažia presne znamenať hodnotu vnútorných incidentov. Nie je však možné skryť trend rizika nebezpečenstva od insides.

Problémy na spôsobi vykonávania ochrany proti insiders

Zvážte ďalšie dva zaujímavejšie výsledky výskumu. V Tab. 2 znázorňuje päť najvážnejšie, podľa respondentov, problémy, ktoré vznikajú pri implementácii systému ochrany pred vnútornými hrozbami, ako aj ich riešeniami. Tabuľka. 3 simulovaný stôl. 2 v štruktúre, ale zostavené na základe respondentov, ktorí sú členmi skupiny popredných spoločností. Porovnanie získaných údajov je ľahké všimnúť si rozdiely v prístupe k tomuto problému strednodobé a najúspešnejších obchodných zástupcov. Ak pre vedúcich predstaviteľov je hlavným problémom uloženie zavedeného rozhodnutia o už použitých technológiách (75%), potom pre všetkých respondentov vo všeobecnosti, je to obmedzené IT zdroje (44%). Počas štúdie sa ukázalo, že pokročilé organizácie už implementovali integrovanú ochranu svojej IT infraštruktúry, a tak pokrývali samotnú sieť, a tiež sa zabezpečili na úrovni aplikácie. Teraz tieto spoločnosti hľadajú spôsoby, ako posilniť zavedený bezpečnostný systém. Organizácie, pre ktoré je hlavným problémom obmedzenia IT zdrojov, je vážne obmedzený v akciách. Toto je alarmujúce, pretože úspory bezpečnosti môžu viesť k oveľa väčším stratám. Je zrejmé, že IT služby, ako je to bezpečnostné služby, by mali dostať finančné prostriedky v plnej výške. Koniec koncov, pripravia základňu, na ktorom budú všetky ostatné jednotky úspešne fungovať.

Tabuľka 2. Najzávažnejšie problémy pri implementácii systémov ochrany insiders
A ich možné riešenie (na základe všetkých respondentov)

Problém

Zdieľanie odozvy,%

Riešenie problému

Zdieľanie odozvy,%

Obmedzili IT zdroje na implementáciu riešení a riadiť ich

Určiť požiadavky pred vykonaním

Úplnosť softvérového riešenia

Určiť vlastníkov a procesov údajov

Prekrytie riešení pre existujúce procesy

Vykonávať školenia o používaní nových procesov a postupov

Analýza tabuliek, môžete tiež poznamenať ďalšiu radšej zaujímavú skutočnosť: personál vedúcich spoločností vykazujú svoju nespokojnosť s inováciami oveľa častejšie ako zamestnanci stredných podnikov (50%). Avšak, nič prekvapujúce v ňom. V oblasti IT bezpečnosti je ľudský faktor aspoň polovicu problému. Ak napríklad každá organizácia umožňuje zmluvným vojakom, partnerom alebo dodávateľom používať svoju sieť, ale nestará sa o postupy na reguláciu prístupu k informáciám, môže sa bezpečne tvrdiť, že problémy v tomto smere budú mať nevyhnutne.

Tabuľka 3. Najzávažnejšie problémy pri implementácii systémov ochrany insiders
A ich možné riešenie (na základe spoločností LEADER)

Problém

Zdieľanie odozvy,%

Riešenie problému

Zdieľanie odozvy,%

Prekrytie riešení už implementovaných technológií

Zamerajte sa na krátke projekty s rýchlym návratom

Odolnosť voči pracovníkom v inováciách

Postupne roll a pomaly distribuovať nové riešenia medzi užívateľmi

Nedostatok finančných prostriedkov na udalosti

Zaviesť "zhora nadol", od technického a IT oddelenia a končiace so všetkými ostatnými oddeleniami

Obmedzenia IT zdrojov na implementáciu a riadenie riešenia

Preukázať schopnosti a vlastnosti riešení hlavy divízií

Slabé nástroje na hodnotenie rizika

Vykonávať školenia o používaní nových procesov a postupov

Všeobecne platí, že zaostávajúca spoločnosť a stredná roľníci na rozdiel od lídrom, v menšej miere využívajú automatizáciu a integráciu riešení, a navyše v stave značných pracovníkov. To všetko ovplyvňuje účinnosť analýzy bezpečnostných postupov a výklad jej výsledkov. Často, len zavedenie automatizovaných procesov a pokročilého vzdelávania zamestnancov vedie k prekonaniu ľudského faktora. Podľa výsledkov štúdie používa približne 25% najlepších podnikov plne automatizované systémy. Zároveň možno pristáť len 9% prípadov automatizácie.

Informačné zabezpečenie sa zvyšuje, pretože nové technológie sa používajú v súlade s požiadavkami podniku. Neustále zlepšovanie systémov ochrany prinesie nepochybné výhody. Podľa štúdie organizácie, ktoré zaviedli systémy ochrany insiders, dostali priemer z nasledujúceho účinku: \\ t

  • sťažnosti a odvolanie na oddelenia IT a podporné služby - o 3,5%;
  • počet incidentov IT bezpečnosti sa znížil o 13%;
  • náklady na pracovné oddelenia v IT sa znížili o 17,5%.

Analytici teda dospievajú k záveru, že organizácie, ktoré riešia len vonkajšiu ochranu, sú odsúdené na zlyhanie. Skutočne, zabezpečenie bezpečnosti prostredníctvom obvodu organizácie pomáha odrážať útok hackerov, zatiaľ čo spoločnosti, ktoré realizovali systémy ochrany proti únikom a insiders, sa môžu skutočne podarí znížiť počet incidentov a znížiť náklady na IT.

Záver

Na základe výsledkov výskumu a hodnotenia situácie sa navrhujú tieto závery. Po prvé, neexistuje jednotná technológia na ochranu pred zasvätenými. Zabezpečiť bezpečnosť môže byť zabezpečená len súborom opatrení. Rozptýlené produkty, aké dobré boli, určite neriešia problémy vyplývajúce z budovania komplexnej ochrany. Áno, jeden z pokynov môže, ale obtiažnosť spočíva v tom, že existuje obrovské množstvo rôznych hrozieb. Útočníci konajú rôzne metódy a len na to, aby ste museli odstrániť všetky možné medzery, musíte vytvoriť viacúrovňový systém.

Po druhé, zodpovednosť za bezpečnosť dôverných informácií by nemala byť zverená jednou osobou alebo dokonca na divíziu. V tomto smere by mali byť zamestnanci IT služieb a IT bezpečnostných oddelení úzko spolupracovať. Ešte efektívnejším spôsobom je prilákať špecialistov s bohatou skúsenosťou v oblasti ochrany pred únikmi. Ten ponúka hlbokú analýzu existujúcej situácie a poskytne riešenia špecifické pre zákazníkov. Spoľahlivý systém je vybudovaný, ktorý môže prevádzkovať zamestnancov spoločnosti potrebnú podporu pre integrátor.

Po tretie, údaje dostupné v organizácii sa vyžaduje, aby boli starostlivo študované a štruktúrované podľa stupňa súkromia. Potom na základe tejto klasifikácie vytvorte systém obmedzenia prístupu. Užívatelia by nemali mať prístup k údajom, ktoré nemusia plniť oficiálne povinnosti. Okrem toho je potrebné pravidelne preskúmať povolenia na udržanie separačného systému v súčasnom stave.

Po štvrté, ľudský faktor je jednou z kritických informácií v systéme ochrany informácií. Bohužiaľ, to je ľudia, ktorí sa stávajú najslabším odkazom. Často sú zasvätené zamestnancami zodpovednými, ak nie na ochranu dôverných informácií, aspoň na zachovanie dôvernosti informácií. Za nevedomosť alebo roztrúsenú, so zlým úmyslom alebo bez neho, ale môžu ich zamestnávateľovi priniesť významnú škodu. Situácia je oveľa nebezpečnejšie, keď je zasvätená osoba z IT jednotky alebo z bezpečnostnej služby IT. Jeho právomoci, samozrejme, oveľa širšie ako väčšina ostatných zamestnancov, a má dostatočné vedomosti a príležitosti na nepozorovateľné "zlúčenie" údajov. V dôsledku týchto dôvodov pre úspešnú prácu sú potrebné profesionálne monitorovacie systémy pre zamestnancov. Mali by byť ako automatizované, ako je to možné, nezávisle od človeka, takže existuje príležitosť na kontrolu zamestnanca. Softvérové \u200b\u200briešenia a komplexy sú najúčinnejším spôsobom ochrany pred zvýšenou hrozbou od insides. Samozrejme, nezabudnite na metódy práce so zamestnancami. Mali by byť povedané o potrebe dodržiavať bezpečnostné normy a vyžadujú im, aby spĺňali existujúce smernice na prácu s dôvernými informáciami. Avšak, iba softvér a hardvér sú schopné zabrániť možným prípadom vnútorného sprenevera.

Nedávno sa problém ochrany pred vnútornými hrozbami stal skutočnou výzvou pre zrozumiteľný a zavedený svet firemného IB. Tlač sa rozpráva o zasvätených, výskumných pracovníkov a analytikov varujúcich o možných stratách a ťažkostiach a novinky sú fascinované správ o ďalšom incidente, čo vedie k úniku stoviek tisíc zákazníckych záznamov z dôvodu chyby alebo nepozornosti zamestnanca. Pokúsme sa na to, či tento problém je vážny, je potrebné sa s ním zaoberať a aké dostupné prostriedky a technológie existujú na jeho vyriešenie.

Po prvé, stojí za to určiť, že hrozba dôvernosti údajov je interná, ak je jeho zdroj zamestnancom podniku alebo inej osoby s právnym prístupom k týmto údajom. Keď teda hovoríme o vnútorných hrozbách, hovoríme o všetkých prípadných činnostiach právnických užívateľov, úmyselných alebo náhodných, čo môže viesť k úniku dôverných informácií nad rámec firemnej siete podniku. Na úplnosť by sa mal obraz dodať, že títo používatelia sa často nazývajú insiders, hoci tento termín má iné významy.

Relevantnosť problému vnútorných hrozieb potvrdzuje výsledky najnovšieho výskumu. Najmä v októbri 2008 boli oznámené výsledky spoločnej štúdie Compury a Ponemon Inštitúcie, podľa ktorých zasvätenia sú najčastejšou príčinou únikov údajov (75% amerických incidentov), \u200b\u200bzatiaľ čo hackeri boli práve na piatom mieste. V ročnom štúdiu Inštitútu pre počítačovú bezpečnosť (CSI) na rok 2008, čísla rečníci o počte incidentov spojených s vnútornými hrozbami vyzerajú takto:

Počet incidentov v percentách znamená, že z celkového počtu respondentov, tento typ incidentu nastal v uvedenom percente organizácií. Ako možno vidieť z týchto čísel, riziko trpiaceho vnútorným hrozbám je takmer každá organizácia. Pre porovnanie, v súlade s rovnakou správou, vírusy zasiahli 50% skúmaných organizácií as prenikaním hackerov do miestnej siete, len 13% zrazilo do miestnej siete.

Vnútorné hrozby sú teda realita dnes a mýtus, ktorý nie je vynájdený analytici a dodávateľmi. Takže tí, ktorí sú v starom spôsobom myslieť, že firemná IB je firewall a antivírus, musíte sa na tento problém pozerať čo najskôr.

Zvyšuje stupeň napätia a zákon "o osobných údajoch", v súlade s ktorými pre nevhodné zaobchádzanie s osobnými údajmi, organizácie a úradníci budú musieť reagovať nielen na ich vedenie, a tiež pred svojimi zákazníkmi a pred zákonom.

Violator Model

Tradične, pri posudzovaní hrozieb a prostriedkov ochrany proti nim by sa malo začať s analýzou modelu votrelca. Ako už bolo spomenuté, budeme hovoriť o Insider - zamestnanci organizácie a iných používateľov, ktorí majú právny prístup k dôverným informáciám. Rovnako ako pravidlo, s týmito slovami, každý príde na myseľ kancelária zamestnanca pracujúci na počítači ako súčasť korporátnej siete, ktorá v priebehu práce nenecháva limity úradu organizácie. Takéto znázornenie je však neúplné. Je potrebné ju rozšíriť na úkor iných druhov osôb s právnym prístupom k informáciám, ktoré môžu opustiť kanceláriu organizácie. To môže byť komoda s notebookmi, alebo pracujúci a v kancelárii a domácich, kuriéri nosiacimi médiami s informáciami, predovšetkým magnetické pásky s záložnou kópiou atď.

Takéto predĺžené zváženie modelu votrelca, prvé, naskladané v koncepcii, pretože hrozby, ktoré vychádzajú z týchto porušovateľov patria aj na vnútorné, a po druhé, to umožňuje tento problém analyzovať, pričom sa považujú za všetky možné možnosti boja proti Tieto hrozby.

Nasledujúce hlavné typy vnútorných votrelcov možno rozlíšiť:

  • ENTERMULÁRNY ZABEZPEČENÝ. Porušovatelia súvisiace s touto kategóriou môžu konať cielene, napríklad meniť prácu a chcú chytiť dôverné informácie, aby sa zaoberali nový zamestnávateľ, alebo emocionálne, v prípade, že sa považovali za urazenú, chcú pomstiť. Sú nebezpečné v tom, že najviac motivovaní za spôsobenie poškodenia organizácie, v ktorej v súčasnosti pracujú. Spravidla je počet incidentov týkajúcich sa disloyálnych zamestnancov, je malý, ale môže sa zvýšiť v situácii nepriaznivých hospodárskych podmienok a masívnych znížení zamestnancov.
  • Implementovaný, vyplatený alebo manipulovaný zamestnanec. V tomto prípade hovoríme o akomkoľvek cielených opatreniach spravidla na účely priemyselnej špionáže v podmienkach akútnej súťaže. Zbierať dôverné informácie vo firme konkurentov, alebo predstaviť svoju vlastnú osobu s niektorými cieľmi, alebo sa nenachádzajú, aby neboli najvernejším zamestnancom a úplatkom, alebo lojálny, ale zmyslový dôstojník s nástrojmi sociálneho inžinierstva, ktorí nútia dôverné informácie. Počet incidentov tohto druhu je zvyčajne ešte menej ako tie predchádzajúce, vzhľadom na to, že vo väčšine segmentov hospodárstva v Ruskej federácii nie je hospodárska súťaž veľmi rozvinutá alebo implementovaná inými metódami.
  • Pásový zamestnanec. Tento typ votrelca je lojálny, ale nepozorný alebo nedbanlivý zamestnanec, ktorý môže porušovať politiky vnútornej bezpečnosti podniku z dôvodu jeho nevedomosti alebo zábudlivosti. Takýto zamestnanec môže nakoniec poslať e-mail na e-mail s pripojeným tajným súborom nie je pre koho je určený, alebo si vziať domov flash disk s dôvernými informáciami pracovať s ním cez víkend a stratiť ho. Rovnaký typ zahŕňa zamestnancov, ktorí stratia notebooky a magnetické pásky. Podľa mnohých odborníkov sú zasvätení tohto typu zodpovedné za väčšinu únikov dôverných informácií.

Motívy, a preto sa obraz činností potenciálnych votrelcov môže významne líšiť. V závislosti od toho by sa malo priblížiť k riešeniu úlohy zabezpečenia vnútornej bezpečnosti organizácie.

Interné technológie ochrany hrozieb

Napriek relatívnej mládeži tohto segmentu trhu už zákazníci už majú z toho, čo si vybrať v závislosti od ich úloh a finančných možností. Stojí za zmienku, že teraz sú na trhu prakticky žiadne dodávatelia, ktoré by sa špecializovali výlučne na vnútorných hrozbách. Táto situácia sa vyvinula nielen z dôvodu nezrelosti tohto segmentu, ale aj vďaka agresívnej a niekedy chaotickej politike fúzií a akvizícií, ktoré vykonávajú výrobcovia tradičných ochranných prostriedkov a iných dodávateľov, ktorí majú záujem o prítomnosť tohto segmentu. Stojí za to pripomenúť spoločnosť RSA Data Security, ktorá sa stala divíziou EMC v roku 2006, kúpa NetApp Startup of The Choru, ktorý sa zaoberal vývojom systémov ochrany serverov a zálohovania v roku 2005, nákup Symantec DLP-dodávateľa Vontu v roku 2005 2007 atď.

Napriek tomu, že veľký počet podobných transakcií hovorí o dobrých vyhliadkach na rozvoj tohto segmentu, nebudú vždy ísť do kvality výrobkov, ktoré sa pohybujú pod krídlom veľkých korporácií. Výrobky začínajú rozvíjať pomalšie a vývojári nereagujú čo najrýchlejšie na požiadavky trhu v porovnaní s úzkou špecializovanou spoločnosťou. Toto je dobre známe ochorenie veľkých spoločností, o ktorých je známe, že stratia v mobilite a efektívnosti pre svojich menších bratov. Na druhej strane sa zlepšuje kvalita služieb a dostupnosť výrobkov pre zákazníkov v rôznych bodoch sveta z dôvodu rozvoja ich služby a predajnej siete.

Zvážte hlavné technológie, ktoré sa v súčasnosti používajú na neutralizáciu vnútorných hrozieb, ich výhod a nevýhod.

Kontrola dokumentov

Technológia kontroly dokumentov je zakotvená v moderných produktov triedy riadenia práv, ako sú služby Microsoft Windows Práva Management Services, Adobe LiveCecle Rights Management ES a Riadenie informácií o informačných právach spoločnosti Oracle.

Princípom prevádzky týchto systémov je pridelenie pravidiel použitia pre každý dokument a kontrolovať tieto práva v aplikáciách pracujúcich s typovými dátovými dokumentmi. Môžete napríklad vytvoriť dokument programu Microsoft Word a nastaviť pravidlá pre to, ktorému si ho môžete zobraziť, komu upravíte a uložíte zmeny a ktoré písanie. Tieto pravidlá z hľadiska systému Windows RM sa nazývajú licencie a uložené so súborom. Obsah súboru je šifrovaný, aby sa zabránilo jeho zobrazeniu neoprávneným užívateľom.

Teraz, keď sa niektorý používateľ pokúsi otvoriť taký bezpečný súbor, aplikácia je spojená so špeciálnym RMS serverom, potvrdzuje autoritu používateľa, a ak je prístup k tomuto používateľovi povolený, server prenáša aplikáciu na aplikáciu na dešifrovanie tohto súboru a informácií o právach tohto používateľa. Aplikácia založená na týchto informáciách robí iba tie funkcie dostupné pre používateľa, pre ktoré má práva. Ak je napríklad užívateľ zakázaný vytlačiť súbor, funkcia tlače v aplikácii nebude k dispozícii.

Ukazuje sa, že informácie v takomto súbore sú bezpečné, aj keď súbor nespadá mimo firemnej siete - je šifrovaná. Funkcie RMS sú už postavené v Microsoft Office 2003 Professional Edition. Ak chcete vložiť funkcie RMS v aplikáciách iných vývojárov spoločnosti Microsoft ponúka špeciálny SDK.

Systém kontroly dokumentov z Adobe je postavený podobným spôsobom, ale je zameraný na dokumenty vo formáte PDF. Systém Oracle IRM je nainštalovaný na klientskych počítačoch vo forme agenta a integrovať sa s aplikáciami v štádiu vykonávania.

Kontrola dokumentov je dôležitou súčasťou celkového konceptu ochrany pred vnútornými hrozbami, ale je potrebné zohľadniť prirodzené obmedzenia tejto technológie. Po prvé, je určené výlučne na kontrolu súborov dokumentov. Ak hovoríme o neštruktúrovaných súboroch alebo databázach, táto technológia nefunguje. Po druhé, ak útočník, s použitím SDK tohto systému, vytvorí najjednoduchšiu aplikáciu, ktorá sa bude obrátiť na RMS server, ktorý dostane šifrovací kľúč a uloží otvorený dokument a spustí túto aplikáciu v mene používateľa, ktorý má minimálnu úroveň prístupu K dokumentu bude tento systém nahraný. Okrem toho by sa malo brať do úvahy ťažkosti pri vykonávaní systému kontroly dokumentov, ak mnoho dokumentov už bolo vytvorených v organizácii - úlohou počiatočnej klasifikácie dokumentov a účel ich používania môže vyžadovať značné úsilie.

To neznamená, že systémy kontroly dokumentov nespĺňajú úlohu, je jednoducho potrebné si uvedomiť, že ochrana informácií je zložitým problémom a vyriešiť ho len jedným nástrojom, spravidla, nemôže byť.

Ochrana proti únikom

Termín ochrana proti únikom (prevencia strát údajov, DLP) sa objavili v slovníka špecialistov IB relatívne nedávno a už sa podarilo stať sa, bez preháňania, najhorúcejšie tému posledných rokov. Spravidla DLP skratka označuje systémy, ktoré kontrolujú možné kanály úniku a blokujú ich v prípade pokusu o posielanie týchto kanálov akýchkoľvek dôverných informácií. Okrem toho funkcia takýchto systémov často zahŕňa možnosť archivácie informácií, ktoré prechádzajú na neho pre následný audit, vyšetrovanie incidentov a retrospektívnej analýzy potenciálnych rizík.

Existujú dva typy systémov DLP: sieť DLP a HOSPODUKTU DLP.

Siete DLP. Práca na princípe sieťovej brány, ktorá filtruje všetky údaje, ktoré prechádzajú. Je zrejmé, že na základe úlohy boja proti vnútorným hrozbám je hlavným záujmom takéhoto filtrovania schopnosť kontrolovať údaje prenášané mimo firemnej siete na internete. Sieť DLPS vám umožňujú ovládať odchádzajúci poštu, HTTP a FTP prevádzku, služby Instant Messaging Service, atď. Pri detekcii dôverných informácií môže sieť DLPS blokovať prenášaný súbor. Existujú aj možnosti manuálneho spracovania podozrivých súborov. Podozrivé súbory sú umiestnené v karanténe, ktorá pravidelne prehľadáva bezpečnostný dôstojník a buď povoľuje prenos spisu alebo ho zakazuje. TRUE, toto spracovanie vďaka funkciám protokolu je možné len pre e-mail. Dodatočné audítorské kapacity a vyšetrovacie incidenty poskytujú archiváciu všetkých prechádzajúcich prostredníctvom informačnej brány za predpokladu, že tento archív je pravidelne viditeľný a jeho obsah sa analyzuje s cieľom identifikovať únikové nádoby.

Jedným z hlavných problémov pri implementácii a implementácii systémov DLP je spôsob odhaľovania dôverných informácií, to znamená, že okamih rozhodnutia o tom, či sa informácie zasielajú k dôvernému a dôvodom, ktoré sa zohľadňujú pri vykonávaní takejto rozhodnutia. Analyzuje sa tak, že analyzuje obsah prenášaných dokumentov, tiež nazývaný obsah analýzy. Zvážiť hlavné prístupy k odhaľovaniu dôverných informácií.

  • Tagy. Táto metóda je podobná systémom kontroly dokumentov diskutovaných vyššie. Dokumenty sú zavedené štítkami opisujúcimi stupeň dôvernosti informácií, ktoré možno vykonať s týmto dokumentom a komu poslať. Podľa výsledkov analyzujúcich štítkov, systém DLP robí riešenie, je možné odoslať tento dokument alebo nie. Niektoré systémy DLP spočiatku spočiatku spĺňajú kompatibilné s systémami správy práv na používanie štítkov, ktoré nastavujú tieto systémy, iné systémy používajú svoj formát štítkov.
  • Podpis. Táto metóda leží v úlohe jednej alebo viacerých sekvencií znakov, ktorých prítomnosť v texte vysielaného súboru musí povedať systém DLP, ktorý tento súbor obsahuje dôverné informácie. Veľký počet podpisov je možné usporiadať do slovníkov.
  • Metóda Bayes. Táto metóda použitá pri boji proti spamu môže byť úspešne aplikovaná v systémoch DLP. Ak chcete použiť túto metódu, vytvorí sa zoznam kategórií, a zoznam slov s pravdepodobnosťmi sa uvádza, že ak sa Slovo splnené v súbore, súbor s danou pravdepodobnosťou patrí alebo nepatrí do zadanej kategórie.
  • Morfologická analýza. Spôsob morfologickej analýzy je podobný podpisu, rozdiel je, že sa analyzuje ne-100% náhoda s podpisom a zohľadňujú sa aj jednorazové slová.
  • Digitálne výtlačky. Podstatou tejto metódy je, že určitá funkcia hash sa vypočíta pre všetky dôverné dokumenty takým spôsobom, že ak sa dokument mierne zmení, funkcia hash zostane rovnaká, alebo sa bude mierne meniť. Proces detekcie dôverných dokumentov je teda výrazne zjednodušený. Napriek nadšeným difilmantom tejto technológie mnohými predajcami a niektorými analytikmi, jeho spoľahlivosť ponecháva, že je žiaduce, a berúc do úvahy skutočnosť, že predajcovia pod rôznymi predložkami radšej zanechávajú podrobnosti o implementácii digitálneho algoritmu odtlačkov prstov v tieni, Dôvera v IT sa nezvyšuje.
  • Pravidelné výrazy. Slávny pre každého, kto sa zaoberal programovaním, pravidelné výrazy uľahčujú vyhľadávanie údajov šablón v texte, ako sú telefóny, údaje o pase, čísla bankových účtov, čísla sociálneho poistenia atď.

Zo zoznamu sa dá ľahko poznamenať, že metódy detekcie buď nezaručujú 100% definície dôverných informácií, pretože úroveň chýb ako prvý aj druhý druh v nich sú pomerne vysoké, alebo vyžadujú trvalú hru bezpečnosti Služba aktualizovať a udržiavať aktuálny zoznam podpisov alebo zadania. Značky Dôverné dokumenty.

Okrem toho, určitý problém v prevádzke siete DLP môže vytvoriť šifrovanie dopravy. Ak bezpečnostné požiadavky musia šifrovať e-mailové správy alebo použiť protokol SSL pri pripojení k akýmkoľvek webovým zdrojom, problém určenia prítomnosti dôverných informácií v prenášaných súboroch môže byť veľmi zložitá. Nezabudnite, že v niektorých službách okamžitého zasielania správ, napríklad v Skype, šifrovanie je štandardne vybudované. Od používania takýchto služieb bude musieť odmietnuť alebo používať hostiteľa DLP na ich kontrolu.

Napriek všetkým ťažkostiam, s riadnou konfiguráciou a vážnym prístupom, siete DLPS však môžu výrazne znížiť riziko úniku dôverných informácií a poskytnúť organizácii vhodné prostriedky na vnútornú kontrolu.

Host DLP. Nainštalovaný na každom hostiteľovi v sieti (na klientskych pracovných staniciach av prípade potreby na serveri) a môže byť tiež použitý na kontrolu internetovej prevádzky. V tejto funkcii však hostiteľské DLPS dostali menej distribúcie a sú v súčasnosti používané hlavne na riadenie externých zariadení a tlačiarní. Ako viete, zamestnanec, ktorý priniesol do práce s flash diskom alebo s MP3 prehrávačom, predstavuje oveľa väčšiu hrozbu pre bezpečnosť informácií ako všetci hackeri v kombinácii. Dokonca aj tieto systémy sa nazývajú bezpečnostné nástroje pre koncové body siete (koncový bod), hoci často sa tento termín používa viac široko, to je niekedy nazývané antivírusové nástroje.

Ako viete, problém s použitím externých zariadení možno vyriešiť bez použitia akýchkoľvek prostriedkov, vypnutie portov alebo fyzicky alebo prostredníctvom operačného systému, alebo administratívne, zakázať zamestnancom, aby do kancelárie priniesli akékoľvek informácie o médiách. Vo väčšine prípadov je však prístup "lacný a nahnevaný" neprijateľný, pretože správna flexibilita informačných služieb nie je zabezpečená obchodnými procesmi.

Z tohto dôvodu, určitý dopyt po špeciálnych prostriedkoch vznikol, s ktorým môžete flexibilnejšie vyriešiť problém s použitím externých zariadení a tlačiarní zamestnancami spoločnosti. Takéto prostriedky vám umožňujú konfigurovať prístupové práva pre používateľov na rôzne typy zariadení, napríklad pre jednu skupinu používateľov, aby zakázala prácu s médiami a odhodlaním s tlačiarňami, a pre inú - umožňujú prácu s médiami v režime "Čítať iba". Ak potrebujete písať informácie o externých zariadeniach pre jednotlivých používateľov, môže byť použitá technológia tieňového kopírovania, ktorá poskytuje kopírovanie na server všetkých informácií, ktoré sa ukladajú do externého zariadenia. Informácie o kopírovaní sa môžu následne analyzovať, aby sa analyzovali používateľské akcie. Táto technológia skopíruje všetko v rade a v súčasnosti nie sú žiadne systémy, ktoré vám umožnia udržiavať obsahovú analýzu uložených súborov, aby ste mohli zablokovať operáciu a zabrániť úniku, ako to robí sieť DLP. Archív tieňových kópií však zabezpečí vyšetrovanie incidentov a retrospektívnej analýzy udalostí v sieti a prítomnosť takýchto archívnych prostriedkov pre potenciálny zasvätená možnosť byť ulovená a potrestaní za svoje činy. To môže byť nevyhnutnou prekážkou pre neho a významný dôvod na opustenie nepriateľských akcií.

Stále stojí za zmienku kontroly používania tlačiarní - pevné kópie dokumentov môže byť tiež zdrojom úniku. Hostitelia DLP vám umožňujú ovládať užívateľský prístup k tlačiarňam, ako aj ďalším externým zariadeniam a uložiť kópie tlačených dokumentov v grafickom formáte pre následnú analýzu. Okrem toho sa technológia vodoznaku (vodoznaky) dostali určitú distribúciu, ktorá implementuje tlač na každej strane jedinečného kódu dokumentu, ktorý je možné určiť, kto presne a kde sa tento dokument vytlačí.

Napriek nepochybným výhodám hostiteľa DLP majú rad nevýhod spojených s potrebou inštalovať softvér agentúry na každom počítači, ktorý má byť kontrolovaný. Po prvé, môže spôsobiť určité ťažkosti, pokiaľ ide o ich nasadenie systémov a riadenia. Po druhé, užívateľ s právami administrátora sa môže pokúsiť vypnúť tento softvér, aby sa akékoľvek kroky, ktoré nie sú povolené bezpečnostnými politikami.

Avšak, pre spoľahlivú kontrolu externých zariadení bez hostiteľa DLP, nie je nutné, a uvedené problémy nesúvisia s vypúšťaním nerozpustného. Dá sa teda dospieť k záveru, že koncepcia DLP je v súčasnosti plnohodnotnými prostriedkami v Arsenale firemných bezpečnostných služieb v podmienkach neustáleho rastúceho tlaku na ich zabezpečenie vnútornej kontroly a ochrany pred únikmi.

Koncepcia IPC

V priebehu vynálezu nových prostriedkov na boj proti vnútorným hrozbám sa vedecká a inžinierska myšlienka modernej spoločnosti nezastaví, a vzhľadom na určité nevýhody finančných prostriedkov, ktoré boli považované vyššie, trh ochrany systémov pred únikom informácií prišiel Koncepcia IPC (ochrana a kontrolu informácií). Tento termín sa v poslednej dobe objavil, že sa predpokladá, že prvýkrát bol použitý v revízii Analytickej spoločnosti IDC v roku 2007.

Podstatou tejto koncepcie je kombinovať metódy a šifrovanie DLP. V tejto koncepcii sa monitorujú informácie, ktoré opúšťajú firemnú sieť na technických kanáloch pomocou DLP a šifrovanie sa používa na ochranu nosičov dát, ktoré fyzicky pád alebo sa môžu dostať do rúk neoprávnených osôb.

Zvážte najbežnejšie šifrovacie technológie, ktoré možno aplikovať v koncepte IPC.

  • Šifrovanie magnetických pások. Napriek archake tohto typu dopravcu sa naďalej aktívne používa na zálohovanie a prenos veľkého množstva informácií, pretože v špecifickej hodnote uloženého megabytu ešte nebol rovnaký. V súlade s tým, netesnosti spojené so stratou magnetickej pásky naďalej potešia redaktori noviniek, ktoré o nich umiestnia informácie o nich na prvé pásy, a narušiť riaditelia a služby pre bezpečnosť podnikov, ktoré sa stali hrdinmi takýchto správ. Situácia je zhoršená skutočnosťou, že takéto pásky obsahujú veľmi veľké množstvá údajov, a preto sa môže stať sa veľkým počtom ľudí obetiam podvodov.
  • Skladovanie šifrovania servera. Napriek skutočnosti, že serverové zásoby sú veľmi zriedka prepravované, a riziko ich straty je nesmierne nižšia ako magnetická páska, samostatný pevný disk z uskladnenia sa môže dostať do rúk votrelcov. Oprava, likvidácia, upgrade - tieto udalosti vznikajú s dostatočnou pravidelnosťou s cieľom napísať toto riziko z účtov. Áno, a situácia prieniku do kancelárie neoprávnených osôb nie je úplne nemožná udalosť.

Stojí za to urobiť trochu ústupom a zmieniť sa o spoločnej mylnejší, že ak sa disk nachádza v RAID, potom údajne, nemôžete sa starať o to, čo padne do cudzích rúk. Zdá sa, že striedanie zaznamenaných dát do niekoľkých pevných diskov, ktoré spúšťajú RAID regulátory, poskytuje nečitateľný typ údajov, ktoré sú na určitej pevnej forme. Bohužiaľ, to nie je celkom. Alternation sa skutočne uskutočňuje, ale vo väčšine moderných zariadení sa vykonáva na úrovni blokov 512 bajtov. To znamená, že napriek porušeniu štruktúry a formátov súborov môžu byť dôverné informácie odstránené z takéhoto pevného disku. Preto, ak požiadavka na zabezpečenie dôvernosti informácií počas svojho ukladania v poli RAID, šifrovanie zostáva jedinou spoľahlivou možnosťou.

  • Šifrovacie notebooky. To bolo uvedené už nespočetné časy, ale stále strata notebookov s dôvernými informáciami nevychádzala z prvých piatich hitských prehliadok incidentov.
  • Šifrovanie vymeniteľných médií. V tomto prípade hovoríme o prenosných USB zariadeniach a niekedy o zapisovateľných CD a DVD, ak sa používajú v obchodných procesoch podniku. Takéto systémy, ako aj tie, ktoré sú uvedené vyššie, šifrovacie systémy pevných diskov v notebookoch môžu často pôsobiť ako súčasť hostiteľských systémov DLP. V tomto prípade hovoria o druhom kryptoperimetra, ktorý poskytuje automatické transparentné šifrovanie nosičov vo vnútri a neschopnosť dešifrovať dáta ďalej.

Šifrovanie teda môže výrazne rozšíriť možnosti DLP systémov a znížiť riziká úniku dôverných údajov. Napriek tomu, že koncepcia IPC bola realizovaná relatívne nedávno a výber integrovaných riešení IPC na trhu nie je príliš široké, priemysel aktívne zvládnutie tejto oblasti a je možné, že po chvíli sa tento koncept stane de facto štandardom vyriešiť problémy vnútornej bezpečnosti a vnútornej kontroly.

závery

Ako možno vidieť z tohto preskúmania, vnútorné hrozby sú pomerne novou oblasťou IB, ktorá sa však aktívne rozvíja a vyžaduje zvýšenú pozornosť. Uvažované technológie kontroly dokumentov, DLP a IPC vám umožňujú vybudovať pomerne spoľahlivý systém vnútornej kontroly a znížiť riziko úniku na prijateľnú úroveň. Táto oblasť IB bude bezpochyby naďalej rozvíjať, novšie a pokročilejšie technológie budú ponúkané, ale dnes mnohé organizácie rozhodujú v prospech tohto rozhodnutia, pretože neopatrnosť v oblasti bezpečnosti informácií môže byť príliš drahá.

Alexey Raevský
Generálny riaditeľ Secureta


K dnešnému dňu existujú dve hlavné kanály na únik dôverných informácií: Zariadenia pripojené k počítaču (všetky druhy vymeniteľných jednotiek, vrátane "flash diskov", CD / DVD, atď, tlačiarne) a internet (e-mail, ICQ, sociálne siete atď.).). A preto, keď spoločnosť "dozrieva" zaviesť systém ochrany od nich, je žiaduce pristupovať k riešeniu tohto komplexu. Problém spočíva v tom, že na prekrývanie rôznych kanálov sa používajú rôzne prístupy. V jednom prípade, najúčinnejší spôsob ochrany používania vymeniteľných pohonov a v druhej - rôzne možnosti pre filtrovanie obsahu, čo vám umožní zablokovať prenos dôverných údajov do externej siete. A preto spoločnosti pre ochranu proti insiders musia používať dva výrobky, ktoré sú v súlade s komplexným bezpečnostným systémom. Samozrejme, že je vhodnejšie používať jeden vývojársky nástroj. V tomto prípade je uľahčený proces ich implementácie, správy, ako aj výcvik zamestnancov. Ako príklad môžete priniesť produkty Secureit: Zlock a Zgate.

ZLOCK: Obrana proti únikom prostredníctvom vymeniteľných jednotiek

Program Zlock sa na trhu objavil na trhu. A už sme. V zásade neexistuje žiadny bod opakovania. Od okamihu uverejnenia článku sa však uverejnili dve nové verzie ZLOCK, v ktorých sa objavilo množstvo dôležitých funkcií. To je to, čo by ste mali povedať, aj keď je to veľmi stručné.

V prvom rade stojí za zmienku možnosti prideľovania viacerých politík počítača, ktoré sú nezávisle aplikované v závislosti od toho, či je počítač pripojený priamo k firemnej sieti priamo cez VPN alebo funguje autonómne. To umožňuje najmä automaticky blokovať USB porty a disky CD / DVD, keď je počítač odpojený od lokálnej siete. Vo všeobecnosti táto funkcia zvyšuje bezpečnosť informácií uverejnených na notebookoch, ktoré môžu zamestnanci vydržať z kancelárie alebo pracovať doma.

Druhou novou príležitosťou je poskytnúť dočasný prístup k uzamknutým zariadeniam alebo dokonca skupinám telefonicky. Zásada jej práce spočíva v výmene programu vytvorenej tajnými kódmi medzi užívateľom a zamestnancom zodpovedným za bezpečnosť informácií. Je pozoruhodné, že povolenie na používanie môže byť vydané nielen trvalé, ale aj dočasné (určité čas alebo pred ukončením relácie). Tento nástroj je možné zistiť určitú relaxáciu v systéme ochrany, ale umožňuje vám zvýšiť efektívnosť reakcie IT oddelenia na podnikové požiadavky.

Nasledujúce dôležité inovácie v nových verziách ZLOCK sú riadenie používania tlačiarní. Po konfigurácii bude ochranný systém zaznamenávať všetky manipulácie s používateľom na tlač. Ale to nie je všetko. Zallo sa objavil tieňové kopírovanie všetkých tlačených dokumentov. Sú zaznamenané vo formáte PDF a sú kompletnou kópiou tlačových stránok, bez ohľadu na to, ktorý súbor bol odoslaný do tlačiarne. To vám umožní zabrániť úniku dôverných informácií o papierových listoch, keď Insider vytlačí údaje s cieľom ich depozície z kancelárie. V systéme ochrany sa objavil aj tieňové kopírovanie informácií zaznamenaných na CD / DVD.

Dôležitou inováciou bol vzhľad serverového komponentu ZACKING ENTERPEKE RIADENSTVO SERVER. Poskytuje centralizované uskladnenie a distribúciu bezpečnostných politík a iných nastavení programu a výrazne uľahčuje podávanie zlock vo veľkých a distribuovaných informačných systémoch. Tiež nie je možné spomenúť vzhľad svojho vlastného autentifikačného systému, ktorý vám v prípade potreby umožňuje opustiť používanie doménových a miestnych používateľov systému Windows.

Okrem toho, v najnovšej verzii ZLOCK, Niekoľko nie tak pozoruhodných, ale aj dosť dôležitých funkcií: Kontrola integrity klientskeho modulu s možnosťou blokovania vstupu používateľa, keď sa zistia intervencie, rozšírená schopnosť implementovať systém ochrany, Podpora pre Oracle DBMS atď.

ZGATE: Ochrana pred únikmi cez internet

Tak, zgate. Ako sme povedali, tento produkt je ochranný systém pre dôverné informácie cez internet. Štruktúrne ZGATE pozostáva z troch častí. Hlavný je komponent servera, ktorý poskytuje všetky operácie spracovania údajov. To môže byť nainštalovaný na samostatnom počítači a už spustení v uzle firemných informačných systémov - Internetová brána, radič domény, poštová brána atď. Tento modul zase pozostáva z troch zložiek: na ovládanie prevádzky SMTP, kontrolu Interná pošta služby Microsoft Exchange Server 2007/2010, ako aj ZGATE WEB (je zodpovedný za kontrolu HTTP, FTP a IM-TRAFY).

Druhou časťou ochranného systému je žurnálovací server. Používa sa na zber informácií o udalostiach z jedného alebo viacerých zgate serverov, spracovania a skladovania. Tento modul je obzvlášť užitočný vo veľkých a geograficky distribuovaných firemných systémoch, pretože poskytuje centralizovaný prístup ku všetkým údajom. Tretia časť je riadiaca konzola. Používa štandardnú konzolu pre spoločnosť Security Products Company, a preto sa na nej podrobne nezastavíme. Len všimneme, že s týmto modulom môžete systém zvládnuť nielen lokálne, ale aj na diaľku.

Kontrola konzoly

Systém ZGATE môže pracovať v niekoľkých režimoch. Okrem toho ich dostupnosť závisí od spôsobu vykonávania výrobku. Prvé dva režimy naznačujú prácu ako post proxy server. Na ich implementáciu je systém nainštalovaný medzi firemným poštovým serverom a "externým svetom" (alebo medzi poštovým serverom a odosielajúcim serverom, ak je rozdelený). V tomto prípade môže byť ZGATE prefiltrovaný cez prevádzku (oneskorenie porušenia a pochybné správy) a iba prihlásenie (preskočiť všetky správy, ale uložte ich v archíve).

Druhý spôsob implementácie zahŕňa použitie ochranného systému v spojení s Microsoft Exchange 2007 alebo 2010. Na tento účel musíte nainštalovať ZGATE priamo na firemný poštový server. K dispozícii sú aj dva režimy: filtrovanie a protokolovanie. Okrem toho existuje ďalšie uskutočnenie. Hovoríme o protokolovaní správ v režime zrkadlenia. Prirodzene je potrebné pripustiť, že počítač, na ktorom je zgate nainštalovaný, táto veľmi zrkadlenie dopravy (zvyčajne sa vykonáva prostredníctvom sieťových zariadení).


Výber režimu ZGATE

Samostatný príbeh si zaslúži webovú zložku ZGATE. Je inštalovaný priamo na firemnú internetovú bránku. V tomto prípade je tento subsystém schopný kontrolovať http-, FTP- a IM prevádzku, to znamená, že ich spracováva, aby sa zistil pokusy o zasielanie dôverných informácií prostredníctvom poštových webových rozhraní a ICQ, publikovanie na fórach, FTP servery, sociálne sietí a pr. Mimochodom, o "ICQ". Funkcia blokovania im-poslov je v mnohých podobných výrobkoch. Je to však "ICQ" v nich. Len preto, že to bolo v rusko-hovoriacich krajinách, ktoré získala najväčšiu distribúciu.

Princíp fungovania webovej zložky ZGATE je pomerne jednoduchý. Ak pošlete informácie v ktoromkoľvek z kontrolovaných služieb, systém vygeneruje špeciálnu správu. Obsahuje samotné informácie a niektoré servisné údaje. Je to hlavný server ZGATE a spracovaný v súlade so špecifikovanými pravidlami. Samozrejme, zasielanie informácií v samotnej službe nie je zablokovaná. To znamená, že zgate web funguje len v režime žurnálovania. S tým nie je možné, aby sa zabránilo úniku jednotlivých údajov, ale môžete rýchlo zistiť a zastaviť činnosť voľného alebo nedobrovoľného útočníka.


Nastavenie webovej zložky ZGATE

Metódy spracovania informácií v ZGATE a Filtracting Constice stanovuje politiku, ktorá vyvíja dôstojník pre bezpečnosť alebo iný zodpovedný zamestnanec. Predstavuje niekoľko podmienok, z ktorých každý zodpovedá určitým opatreniam. Všetky prichádzajúce správy sú "poháňané" pre nich dôsledne po sebe. A ak sa vykonávajú niektoré z podmienok, potom sa spustí akcia spojená s ním.


Filtračný systém

Celkovo systém poskytuje 8 typov podmienok, ako sa hovorí, "pre všetky príležitosti." Prvým z nich je typ pripojenia. S tým môžete zistiť pokusy o odoslanie objektov formátu. Stojí za zmienku, že analýza nie je vykonaná expanziou, ale vnútornou štruktúrou súboru a môžete špecifikovať ako špecifické typy objektov a ich skupiny (napríklad všetky archívy, videozáznamy atď.). Druhý Typ Typ - overovanie externej aplikácie. Ako aplikácia môže fungovať ako pravidelný program, ktorý beží z príkazového riadku a skriptu.


Podmienky filtračného systému

Ale ďalšia podmienka stojí za to zastaviť podrobnejšie. Hovoríme o analýze obsahu prenášaných informácií. V prvom rade je potrebné poznamenať, že "OMNIVORE" ZGATE. Faktom je, že program "chápe" veľký počet rôznych formátov. A preto môže analyzovať nielen jednoduchý text, ale aj takmer akúkoľvek investíciu. Ďalšou vlastnosťou analýzy obsahu je jej veľké príležitosti. To môže byť uväznený v jednoduchom hľadaní zadania textu správy alebo akejkoľvek inej oblasti určitého slova a v plnej analýze, vrátane s prihliadnutím na gramatické slovo formuláre, stopovanie a translament. Ale to nie je všetko. Samostatná zmienka si zaslúži analytický systém pre šablóny a regulárne výrazy. S ním môžete ľahko zistiť dostupnosť správ konkrétneho formátu, ako sú série a čísla pasu, telefónne číslo, číslo zmluvy, číslo bankového účtu, atď. Okrem iného vám umožní posilniť ochranu osobných údajov pri spracovaní spoločnosti.


Šablóny na identifikáciu rôznych dôverných informácií

Typ štvrtého termínu - Analýza adries uvedených v liste. To znamená, že vyhľadávanie medzi nimi sú určité riadky. Piata - Analýza šifrovaných súborov. Po vykonaní sa skontroluje atribúty správ a / alebo vnorených objektov. Šiesty typ podmienok je overiť rôzne parametre písmen. Siedma je slovná analýza. V priebehu nej systém identifikuje prítomnosť slov z vopred vytvorených slovníkov. No, konečne, posledný, ôsmy typ stavu - kompozitný. Predstavuje dva alebo viac iných podmienok kombinovaných logických operátorov.

Mimochodom, o slovníkoch uvedených v popise podmienok sa musí uviesť samostatne. Sú to skupiny slov kombinovanej jednej vlastnosti a používajú sa v rôznych filtračných metódach. Zariadenie na vytváranie slovníkov, ktoré s množstvom pravdepodobnosti umožňujú pripísať správu na jednu kategóriu alebo inú. Ich obsah je možné zadať manuálne alebo importovať údaje z existujúcich textových súborov. Existuje ďalšia verzia generácie slovníkov - automatická. Pri použití ho správca jednoducho jednoducho zadá priečinok obsahujúci vhodné dokumenty. Samotný program ich analyzuje, vyberte si potrebné slová a položte ich váhové charakteristiky. Pre vysoko kvalitné slovníky, je potrebné špecifikovať nielen dôverné súbory, ale aj objekty, ktoré neobsahujú uzavreté informácie. Vo všeobecnosti je proces automatickej generácie najviac podobný tréningu antispamu na reklamu a bežné listy. A to nie je prekvapujúce, pretože existujú podobné technológie.


Príklad slovníka na finančnom téme

Keď už hovoríme o slovníkoch, nie je možné nehovoriac o inej technológii na zisťovanie dôverných údajov realizovaných v ZGATE. Hovoríme o digitálnych odtlačkoch prstov. Podstatou tejto metódy je nasledovná. Správca môže zadať systém priečinkov, v ktorom dôverné údaje obsahujú. Program bude analyzovať všetky dokumenty v nich a vytvárať "digitálne výtlačky" - súbory údajov, ktoré vám umožňujú definovať pokus o prenos nielen celého obsahu súboru, ale aj samostatných častí. Upozorňujeme, že systém automaticky sleduje stav priečinkov zadaných na ňu a nezávisle vytvára "výtlačky" pre všetky objekty, ktoré sa objavili v nich.


Vytvorenie kategórie s digitálnymi súbormi

No, teraz zostáva len zaoberať sa činnosťami realizovanými v posudzovanom systéme. Všetky z nich sú implementované v ZGATE až na 14 kusov. Väčšina opatrení, ktoré sa však vykonávajú so správou. Tieto zahŕňajú najmä odstránenie bez odoslania (to znamená, že blokuje prenos písmena), miestnosť v archíve, pridávaní alebo odstraňovaní príloh, zmien v rôznych oblastiach, vloženie textu atď. Medzi nimi, Zvlášť stojí za zmienku umiestnenia listov do karantény. Táto akcia vám umožňuje "odložiť" správu pre manuálny bezpečnostný dôstojník, ktorý rozhodne o jeho ďalšie osud. Je tiež veľmi zaujímavý akcia, ktorá vám umožní zablokovať pripojenie IM. Môže sa použiť na okamžité blokovanie kanálu, ktorý bol odoslaný správu s dôvernými informáciami.

Existuje niekoľko kaštieľ o dvoch akciách - spracovanie metódou baycov a spracovaním tlačou. Obaja sú určené na overenie správ pre ich dôverné informácie. Iba v prvých sú slovníky a štatistická analýza a v druhej digitálnej výtlačkoch. Tieto akcie sa môžu vykonávať pri vykonávaní určitého stavu, napríklad, ak adresa príjemcu nie je v korporátnej doméne. Okrem toho sú (Avšak, as akýmkoľvek iným) je možné nastaviť na všetky odchádzajúce správy. V tomto prípade systém analyzuje písmená a pripisuje ich jednej alebo inej kategórii (ak je to samozrejme možné). Ale pre tieto kategórie môžete uskutočniť podmienky s výkonom určitých akcií.


Akcie v systéme ZGATE

No, na konci nášho dnešnej konverzácie o Zgate, môžete zhrnúť malý výsledok. Tento systém ochrany je založený predovšetkým na analýze obsahu. Tento prístup je najbežnejší na ochranu pred únikom dôverných informácií prostredníctvom internetu. Analýza obsahu prirodzene neumožňuje sto percent stupeň ochrany a je skôr pravdepodobnostný. Jeho použitie vám však umožňuje zabrániť väčšine prípadov neoprávneného prenosu tajných údajov. Aplikujte svoje spoločnosti alebo nie? Ten sa musí rozhodnúť pre seba, posúdenie nákladov na vykonávanie a prípadné problémy v prípade úniku informácií. Stojí za zmienku, že ZGATE je dokonale zvláda s "lovu" regulárne výrazy, čo z neho robí veľmi účinný prostriedok na ochranu osobných údajov, ktoré sú spracúvané od spoločnosti.

TRUHY: Stien
zdieľam