Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI ComputerCrimeAndSecuritySurvey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисне крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.
У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв та, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдерства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним крадіжкою інформації доступними їм організаційними методами.
Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, mp3-плеєра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може завадити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звичайно, знайти оригінальні засоби захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.
Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.
Наприклад, деякі співробітники можуть дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система автентифікації користувачів, заснована на токенах, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.
Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису і портів комп'ютера. По-перше, це є універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ, що розглядається, має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема ActiveDirectory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, а й збільшує ризик виникнення помилок.
За даними різних аналітичних компаній виток інформації дуже часто відбувається не за рахунок її розкрадання ззовні, а за рахунок передачі конфіденційної інформації власними співробітникам представникам організацій-конкурентів. Сьогодні існує безліч різних пристроїв, на які можуть бути скопійовані будь-які документи, що зберігаються у локальній мережі.
За даними різних аналітичних компаній виток інформації дуже часто відбувається не за рахунок її розкрадання ззовні, а за рахунок передачі конфіденційної інформації власними співробітникам представникам організацій-конкурентів. Сьогодні існує безліч різних пристроїв, на які можуть бути скопійовані будь-які документи, що зберігаються у локальній мережі. І це не лише зовнішні USB-носія або CD/DVD-диски. Копіювати інформацію можна і на mp3-плеєри, стільникові телефони, які безпосередньо до комп'ютера можуть не підключатися, на зовнішнє обладнання, яке може підключатися до локальної мережі через Wi-Fi та іншими способами. Крім того - це і відправлення електронною поштою, засобами програм для обміну миттєвими повідомленнями, через форуми, блоги, чати. Варіантів багато, чи можна захиститись від них?
Для захисту даних від інсайдерівзастосовують різні методи, до яких входить і використання спеціальних програм, призначених для контролю за використанням периферійних пристроїв. У цій статті ми розглянемо кілька програм, як зарубіжних виробників, так і вітчизняних, і намагатимемося визначити, де і коли їх слід застосовувати.
Програма призначена для обмеження доступудо різних периферійних пристроїв, з можливістю створення "білих" списків, ведення моніторингу роботи користувачів, тіньового копіювання файлів, що копіюються або з контрольованих пристроїв. Є можливість як централізованої установки драйверів стеження, і їх локальної установки.
Встановлення програми може здійснюватися як централізовано, так і локально, якщо доступ до комп'ютера через мережу обмежений або неможливий. У єдиний дистрибутив входить кілька модулів: серверний, встановлюється на сервері офісної локальної мережі, дозволяє/забороняє ті чи інші дії, зберігає інформацію в базу даних; клієнтський, реалізований як драйвера стеження; адміністраторський та база даних, якою використовується SQLite.
Драйвера стеження забезпечують контрольрізних портів, включаючи USB, CIM, LPT, WiFi, ІЧ та інші. Залежно від типу порту можна забороняти доступ повністю, дозволити читати або відкрити повний доступ до пристрою. Розподіл доступу за часом відсутній. Також відмічено, що при дозволі доступу тільки на читання до пристроїв типу USB-флешок, можливість редагування звичайних текстових файлів на цих пристроях з можливістю їх збереження на цьому ж носителі залишається.
Показує USB-пристрої, підключені до комп'ютерів, та веде журнал дій користувачів із зовнішніми накопичувачами інформації. Інформація про час підключення/відключення пристроїв та про те, які файли та коли були прочитані або записані, зберігається в базі даних. Реалізовано тіньове копіювання файлів, що читалися або записувалися на USB-пристрої. Тіньового копіювання файлів, що надсилаються на друк або інші пристрої, немає, ведеться лише їхнє журналування.
Існує поняття "білого списку", до якого заносяться USB-пристрої, доступ до яких повинен бути відкритий завжди і на всіх комп'ютерах (наприклад, USB-ключі). Цей список єдиний для всіх комп'ютерів, індивідуальних списків для окремих користувачів немає.
забезпечує налаштування доступу до різних зовнішніх пристроїв, але не виділяє при цьому із загального списку USB-пристроїв принтери, що підключаються до цих портів. У той самий час вона розрізняє змінні носії і може встановлювати їм різні види доступу. Змінні носії автоматично заносяться в базу пристроїв (програма занесе в базу всі USB-носії, що коли-небудь підключалися до конкретного комп'ютера), що дозволяє застосовувати призначені для них права доступу для будь-яких комп'ютерів, що захищаються за допомогою програми.
У ній можна використовувати централізовану установку клієнтських елементів за допомогою групової політики Active Directory. При цьому зберігається можливість їх встановлення локально та через панель адміністратора програми. Розмежування прав доступу здійснюється на основі політик контролю доступу, однак допускається створення декількох політик, які можуть застосовуватися індивідуально для різних комп'ютерів. Крім функції контролю доступу, дозволяє здійснювати протоколювання використання пристроїв на локальному комп'ютері.
Програма підтримує функцію тіньового копіювання – можливість зберігати точну копію файлів, які копіюються користувачем на зовнішні пристрої зберігання інформації. Точні копії всіх файлів зберігаються у спеціальному сховищі та пізніше можуть бути проаналізовані за допомогою вбудованої системи аналізу. Тінне копіювання може бути задано для окремих користувачів та груп користувачів. При включенні функції "вести лише лог" при копіюванні файлів зберігатиметься лише інформація про них (без збереження точної копії файлу).
У програмі немає поняття "білого списку" пристроїв. Замість нього в загальній політиці можна вказати знімний носій і дозволити йому доступ з будь-якого комп'ютера. Зауважимо, що в ній немає можливості застосувати такі ж налаштування до окремих CD/DVD-дисків.
Програма компанії GFIістотно перевершує за своїми можливостями і, і – в ній, наприклад, набагато більше контрольованих пристроїв, ніж у попередніх програм (медіаплеєри iPod, Creative Zen, мобільні телефони, цифрові камери, засоби архівування на магнітних стрічках та Zip-дисках, Web-камери, сканери).
У програмі передбачено три типові налаштування прав доступу – для серверів, робочих станцій та переносних комп'ютерів. На додаток до блокування пристроїв, у програмі є можливість блокування доступудо файлів залежно від їхнього типу. Наприклад, можна відкрити доступ до файлів документів, але заборонити доступ до виконуваних файлів. Також є можливість блокування доступу до пристроїв не тільки за їхнім типом, але і фізичним портом, до якого підключаються зовнішні пристрої. Ще одна налаштування прав доступуведеться за унікальними ідентифікаторами пристроїв.
Адміністратор програми може вести два типи списків пристроїв - тих, доступ до яких дозволено за замовчуванням (білий список), і тих, доступ до яких заборонено (чорний список). ІТ-спеціаліст може давати тимчасові дозволи на доступ до пристроїв або груп пристроїв на окремому комп'ютері (реалізується за рахунок генерації спеціального коду, який може передаватися користувачеві навіть у тому випадку, якщо його комп'ютер відключений від мережі та агент програми не має можливості підключитися до сервера ).
У програмі реалізована підтримка нової функції шифрування, яка використовується в системі Windows 7, яка називається BitLocker To Go. Ця функція використовується для захисту та шифрування даних на знімних пристроях. GFI EndPointSecurity може розпізнавати такі пристрої та забезпечувати доступ до збережених на них файлів залежно від їх типів.
Надає адміністратору потужну систему звітів. Підсистема статистики (GFI EndPointSecurity ReportPack) показує (в текстовому та графічному вигляді) щоденне зведення використання пристроїв як для вибраних комп'ютерів, так і для всіх комп'ютерів загалом. Також можна отримати статистичні дані щодо активності користувачів у розрізі дня, тижня, місяця з розбивкою за використаними програмами, пристроями, шляхами доступу до файлів.
Одна з найпоширеніших сьогодні у Росії програм захисту від інсайдерів. видається в Росії під маркою «1С: Дистрибуція»
Програма забезпечує контрольне тільки пристроїв, що працюють під керуванням Windows Mobile, а й пристроїв, що працюють під операційними системами iPhone OS та Palm OS. При цьому забезпечується і тіньове копіювання всіх файлів і даних, що переписуються, незалежно від того, по якому порту ці пристрої підключаються до контрольованої мережі. Тінне копіювання можна налаштувати не тільки за пристроями, але й за типами файлів, при цьому тип визначатиметься не на основі розширень, а на основі їх змісту.
Передбачено можливість встановлення доступу "тільки для читання" для змінних носіїв, включаючи стрічкові накопичувачі. Як додаткова опція – захист носіїв від випадкового чи навмисного форматування. Також можна вести протокол всіх дій користувачів як з пристроями, так і з файлами (не тільки копіювання або читання, але видалення, перейменування і так далі).
Для зменшення навантаження на мережу при передачі даних, що одержуються від агентів, та файлів тіньового копіювання, може використовуватися потокове стиснення. Дані тіньового копіювання у великих мережах можуть зберігатися на кількох серверах. Програма автоматично вибирає оптимальний сервер, враховуючи пропускну спроможність мережі та завантаження серверів.
У багатьох організаціях захисту даних використовуються диски, що захищаються спеціальними програмами шифрування - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt і TrueCrypt. Для таких дисків програма може встановлювати спеціальні "політики шифрування", що дозволяє дозволити записування лише зашифрованих даних на знімні пристрої. Підтримується робота з флеш-дисками Lexar JumpDrive SAFE S3000 і Lexar SAFE PSD, що підтримують апаратне шифрування даних. У найближчій версії буде підтримана робота з вбудованим у Windows 7 засобом шифрування даних на знімних носіях BitLocker To Go.
Тінне копіювання призначене не тільки для збереження копій файлів, але і для аналізу переміщеної інформації. може здійснювати повнотекстовий пошук за вмістом файлів, автоматично розпізнаючи та індексуючи документи у різних форматах.
Вже оголошено про вихід нової версії програми, в якій крім повноцінного пошуку буде реалізована і контентна фільтрація файлів, що копіюються на знімні пристрої зберігання будь-яких типів, а також контроль вмісту об'єктів даних, що передаються з комп'ютера через канали мережевих комунікацій, включаючи додатки електронної пошти, інтерактивні web -сервіси, соціальні мережі, форуми та конференції, найпопулярніші служби миттєвих повідомлень (Instant Messengers), файлові обміни за протоколом FTP, а також Telnet-сесії
Унікальною у новій версії є технологія фільтрації текстових даних у каналі мережного та локального друку документів для завдань у форматах PCL та PostScript, що дозволяє блокувати або дозволяти друк документів залежно від їхнього інформаційного змісту.
Висновки
|
Дистанційне керування клієнтами | ||||
|
Управління через оснащення MMC | ||||
|
Централізована установка політик, контроль та відновлення | ||||
|
Контроль зовнішніх пристроїв |
Тільки USB | |||
|
Контроль WiFi адаптерів | ||||
|
Контролює пристрої Palm OS. iPhone/iPod |
Обмежене |
Обмежене |
||
|
Підтримка технології "білих списків" | ||||
|
Підтримка технології "білих списків" носіїв даних | ||||
|
Підтримка зовнішніх зашифрованих дисків | ||||
|
Блокування кейлоггерів | ||||
|
Обмеження обсягів копійованих даних | ||||
|
Контроль даних за типами | ||||
|
Централізоване ведення логів | ||||
|
Тіньове копіювання |
Тільки для USB |
Тільки для USB |
Частково | |
|
Тіньове копіювання даних друку | ||||
|
Графічні звіти логів та тіньового копіювання | ||||
|
Повнотекстовий пошук у даних тіньового копіювання |
Дві перші з розглянутих програм можуть використовуватись для захисту інформаціївід розкрадань, але можливості обмежені. Вони різною мірою "закривають" стандартні зовнішні пристрої, але можливості їх обмежені - і в частині налаштувань, і щодо проведення аналізу роботи користувачів. Ці програми можна рекомендувати "проби", для з'ясування самого процесу захисту. Для великих організацій, де використовується різноманітне периферійне обладнання та потрібен аналіз діяльності користувачів, ці програми будуть явно недостатніми.
Для них краще звернути увагу на програми - та . Це професійні рішення, які можуть застосовуватися в компаніях як з малою, так і з великою кількістю комп'ютерів. Обидві програми забезпечують контроль різних периферійних пристроїв та портів, мають потужні системи аналізу та формування звітів. Але й між ними є суттєві відмінності, тому програму компанії GFIу цьому випадку можна сприйняти за базову. може контролювати не тільки пристрої та роботу з даними, але й використання програмного забезпечення. Ця можливість "підтягує" її з ніші "Device Control" у сегмент "Content-Aware Endpoint DLP". Нові, заявлені можливості дозволяють їй різко відірватися від своїх конкурентів за рахунок появи можливості аналізу контенту на момент виконання користувачем різних дій з даними, включаючи потокові, а також за рахунок контролю низки параметрів контексту мережевих комунікацій, включаючи адреси електронної пошти, адреси IP, ідентифікатори користувачів та ресурсів мережевих додатків тощо. можна у партнерів "1Софт".
Михайло Абрамзон
Всі права захищені. З питань використання статті звертайтесь до адміністраторам сайту
Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого та усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку або неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення.
Насамперед, варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є працівник підприємства або будь-яка інша особа, яка має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі дії легальних користувачів, навмисних або випадкових, які можуть призвести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має інші значення.
Актуальність проблеми внутрішніх загроз підтверджується наслідками останніх досліджень. Зокрема, у жовтні 2008 року було оголошено результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів у США), тоді як хакери виявилися лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, що говорять про кількість інцидентів, пов'язаних із внутрішніми загрозами, виглядають так:
Кількість інцидентів у відсотках означає, що із загальної кількості опитаних цей тип інциденту відбувався у зазначеному відсотку організацій. Як видно з цих цифр, ризик постраждати від внутрішніх загроз має практично кожна організація. Для порівняння, відповідно до цього звіту, віруси вразили 50% опитаних організацій, а з проникненням хакерів у локальну мережу зіткнулося лише 13%.
Таким чином, внутрішні загрози – це реальність сьогодення, а не вигаданий аналітиками та вендорами міф. Так що тим, хто по-старому вважає, що корпоративна ІБ - це міжмережевий екран і антивірус, необхідно якнайшвидше поглянути на проблему ширше.
Підвищує градус напруженості та закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям та посадовим особам доведеться відповідати не лише перед своїм керівництвом, а ще й перед своїми клієнтами та перед законом.
Модель порушника
Традиційно при розгляді загроз та засобів захисту від них слід розпочинати з аналізу моделі порушника. Як уже згадувалося, ми говоритимемо про інсайдерів – співробітників організації та інших користувачів, які мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім спадає на думку офісний співробітник, що працює на комп'ютері у складі корпоративної мережі, який у процесі роботи не залишає меж офісу організації. Проте, така вистава неповна. Необхідно його розширити за рахунок інших видів осіб, які мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюють і в офісі та вдома, кур'єри, що перевозять носії з інформацією, насамперед магнітні стрічки з резервною копією тощо.
Такий розширений розгляд моделі порушника, по-перше, укладається в концепцію, оскільки загрози, що походять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему ширше, розглянувши всі можливі варіанти боротьби з цими загрозами.
Можна виділити такі основні типи внутрішніх порушників:
- Нелояльний/ображений співробітник.Порушники, що належать до цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, якщо вони вважають себе скривдженими, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій нині працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але може збільшуватися в ситуації несприятливих економічних умов і масових скорочень персоналу.
- Впроваджений, підкуповуваний або співробітник, що маніпулюється.У разі йдеться про будь-які цілеспрямовані дії, зазвичай, з метою промислового шпигунства за умов гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але непильного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість інцидентів такого роду зазвичай ще менше, ніж попередніх, у зв'язку з тим, що у більшості сегментів економіки РФ конкуренція не сильно розвинена або реалізується іншими способами.
- Недбалий співробітник.Даний вид порушника є лояльним, але неуважним або халатним співробітником, який може порушити політику внутрішньої безпеки підприємства через її незнання або забудькуватість. Такий співробітник може помилково надіслати листа електронною поштою з доданим секретним файлом не тому, для кого він призначений, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею на вихідні, і втратити її. До цього ж типу відносяться співробітники, що втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього відповідальні за більшість витоків конфіденційної інформації.
Отже, мотиви, отже, і спосіб дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.
Технології захисту від внутрішніх загроз
Незважаючи на відносну молодість даного сегменту ринку, клієнтам вже є з чого вибирати залежно від їхніх завдань та фінансових можливостей. Варто зазначити, що зараз на ринку практично немає вендорів, які б спеціалізувалися виключно на внутрішніх загрозах. Така ситуація склалася не лише через незрілість даного сегмента, але ще й завдяки агресивній та іноді хаотичній політиці злиття та поглинання, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені у присутності на цьому сегменті. Варто нагадати про компанію RSA Data Security, яка стала підрозділом EMC у 2006 році, покупку компанією NetApp стартапа Decru, що займався розробкою систем захисту серверних сховищ та резервних копій у 2005, покупку компанією Symantec DLP-вендора Vontu у 2007 році тощо.
Незважаючи на те, що велика кількість подібних угод говорить про хороші перспективи розвитку даного сегмента, вони не завжди користуються якістю продуктів, які переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники негаразд оперативно реагують на вимоги ринку порівняно з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють у мобільності та оперативності своїм меншим братам. З іншого боку, покращується якість сервісу та доступність продуктів для клієнтів у різних точках земної кулі завдяки розвиненості їхньої сервісної та збутової мережі.
Розглянемо основні технології, що застосовуються нині для нейтралізації внутрішніх загроз, їх переваги та недоліки.
Контроль документів
Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES та Oracle Information Rights Management.
Принцип роботи цих систем полягає у призначенні правил використання для кожного документа та контролю цих прав у додатках, що працюють із документами даних типів. Наприклад, можна створити документ Microsoft Word і встановити для нього правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Дані правила в термінах Windows RMS називаються ліцензією та зберігаються разом із файлом. Вміст файлу зашифровується для запобігання можливості його перегляду неавторизованим користувачем.
Якщо будь-який користувач намагається відкрити такий захищений файл, програма зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цього користувача дозволено, сервер передає додатку ключ для розшифрування даного файлу та інформацію про права даного користувача. Програма на основі цієї інформації робить доступними для користувача лише ті функції, для яких у нього є права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в програмі недоступна.
Виходить, що інформація в такому файлі є безпечною навіть у випадку, якщо файл потрапить за межі корпоративної мережі – вона зашифрована. Функції RMS вже вбудовані в Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS до програм інших розробників Microsoft пропонує спеціальний SDK.
Система контролю документів від Adobe побудована аналогічно, але орієнтована на документи у форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери як агента і інтегрується з додатками на етапі їх виконання.
Контроль документів – це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктуровані файли або бази даних, ця технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить найпростіший додаток, який зв'язуватиметься з RMS-сервером, отримувати звідти ключ шифрування і зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то ця система буде обійдена. Крім цього, слід враховувати складності при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів – завдання первісної класифікації документів та призначення прав їх використання може вимагати значних зусиль.
Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації – проблема комплексна, і вирішити її за допомогою лише одного засобу, як правило, не вдається.
Захист від витоків
Термін захист від витоків (data loss prevention, DLP) з'явився в лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати без перебільшення найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, що контролюють можливі канали витоку та блокують їх у разі спроби пересилання цими каналами будь-якої конфіденційної інформації. Крім цього, у функції подібних систем часто входить можливість архівування інформації, що проходить по них, для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.
Розрізняють два види DLP-систем: мережеві DLP та хостові DLP.
Мережеві DLPпрацюють за принципом мережевого шлюзу, який фільтрує всі дані, що проходять через нього. Очевидно, що з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- та ftp-трафік, служби миттєвих повідомлень і т. д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати файл, що передається. Також існують можливості щодо ручної обробки підозрілих файлів. Підозрювальні файли поміщаються в карантин, який періодично переглядає офіцер безпеки і дозволяє передачу файлу, або забороняє її. Щоправда, така обробка через особливості протоколу можлива лише для електронної пошти. Додаткові можливості з аудиту та розслідування інцидентів надає архівування всіх інформації, що проходить через шлюз, за умови, що цей архів періодично проглядається і його вміст аналізується з метою виявлення витоків.
Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто, момент прийняття рішення про те, чи є інформація конфіденційної та підстави, що враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту документів, що передаються, званий також контентним аналізом. Розглянемо основні підходи до детектування конфіденційної інформації.
- Мітки. Цей метод аналогічний системам контролю документів, розглянутим вище. У документи впроваджуються мітки, що описують рівень конфіденційності інформації, що можна робити з цим документом, і кому посилати. За результатами аналізу тегів система DLP приймає рішення, чи можна цей документ відправити назовні чи не можна. Деякі DLP системи спочатку роблять сумісними із системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
- Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких у тексті файлу, що передається, має говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велику кількість сигнатур можна організовувати у словнику.
- Метод Байєса. Даний метод, який застосовується при боротьбі зі спамом, може успішно застосовуватись і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів із ймовірностями того, що якщо слово зустрілося у файлі, файл із заданою ймовірністю належить або не належить до зазначеної категорії.
- Морфологічний аналізМетод морфологічного аналізу аналогічний сигнатурному, відмінність у тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
- Цифрові відбитки.Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде трохи змінено, хеш-функція залишиться такою ж, або теж зміниться незначно. Отже, процес детектування конфіденційних документів значно спрощується. Незважаючи на захоплені дифірамби цієї технології з боку багатьох вендорів та деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами вважають за краще залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіра до неї не збільшується.
- Регулярні вирази.Відомі всім, хто мав справу з програмуванням, регулярні висловлювання дають змогу легко знаходити в тексті шаблонні дані, наприклад, телефони, паспортні дані, номери банківських рахунків, номери соціального страхування тощо.
З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного чування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або привласнення конфіденційним документам.
Окрім цього, певну проблему у роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в файлах, що передаються, може бути дуже складною. Не варто забувати і про те, що деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудоване за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для контролю хостові DLP.
Проте, незважаючи на всі складнощі, при правильному налаштуванні та серйозному підході мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації та дати організації зручний засіб для внутрішнього контролю.
Хостові DLPвстановлюються на кожен хост в мережі (на клієнтські робочі станції і, при необхідності, на сервері) і можуть бути використані для контролю інтернет-трафіку. Однак у цій якості хостові DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроїв та принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, становить для інформаційної безпеки підприємства набагато більшу загрозу, ніж усі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі (endpoint security), хоча часто цей термін використовується ширше, наприклад, іноді називають антивірусні засоби.
Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, у більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що висувається з боку бізнес-процесів.
Через це виник певний попит на спеціальні засоби, за допомогою яких можна гнучкіше вирішити проблему використання зовнішніх пристроїв та принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів до різних видів пристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями та дозволяти з принтерами, а для іншої – дозволяти роботу з носіями в режимі лише читання. У разі необхідності запису інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія тіньового копіювання, яка забезпечує копіювання на сервер всієї інформації, що зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізована для аналізу дій користувачів. Дана технологія копіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Тим не менш, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій у мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим та покараним за свої дії. Це може виявитися для нього суттєвою перешкодою та вагомою причиною відмовитись від ворожих дій.
Варто ще згадати контроль використання принтерів – жорсткі копії документів теж можуть стати джерелом витоку. Хостові DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії документів, що роздруковуються, у графічному форматі для подальшого аналізу. Крім цього, певного поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.
Незважаючи на безперечні плюси хостових DLP, вони мають ряд недоліків, пов'язаних з необхідністю установки агентського ПЗ на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з погляду розгортання таких систем та управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це програмне забезпечення для здійснення будь-яких дій, не дозволених політикою безпеки.
Тим не менш, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а ці проблеми не відносяться до розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах тиску, що на них постійно посилюється, щодо забезпечення внутрішнього контролю та захисту від витоків.
Концепція IPC
У процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і з огляду на певні недоліки засобів, які розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Цей термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC у 2007 році.
Суть цієї концепції полягає у поєднанні методів DLP та шифрування. У цій концепції за допомогою DLP контролюється інформація, що залишає межі корпоративної мережі з технічних каналів, а шифрування використовується захисту носіїв даних, які фізично потрапляють чи можуть потрапити до рук сторонніх осіб.
Розглянемо найпоширеніші технології шифрування, які можна застосовувати у концепції IPC.
- Шифрування магнітних стрічок.Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіювання і для перенесення великих обсягів інформації, оскільки за питомою вартістю мегабайта, що зберігається, досі не має рівних. Відповідно, витоки, пов'язані з втратами магнітних стрічок, продовжують радувати редакторів стрічок новин, що поміщають інформацію про них на перші смуги, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, велика кількість людей може стати жертвами шахраїв.
- Шифрування серверних сховищ.Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати набагато нижче, ніж у магнітної стрічки, окремий жорсткий диск зі сховища може потрапити в руки зловмисників. Ремонт, утилізація, апгрейд – ці події виникають із достатньою регулярністю для того, щоб списувати цей ризик із рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є абсолютно неможливою подією.
Тут варто зробити невеликий відступ і згадати про поширену хибну думку про те, що якщо диск знаходиться у складі RAID-масиву, то, нібито, можна не турбуватися про те, що він потрапить у сторонні руки. Здавалося б, чергування даних, що записуються на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вид даних, які знаходяться на якомусь одному жорсткому вигляді. На жаль, це зовсім так. Чергування дійсно має місце, однак у більшості сучасних пристроїв воно виконується на рівні блоків 512 байт. Це означає, що, незважаючи на порушення структури та форматів файлів, конфіденційну інформацію витягти з такого жорсткого диска все одно можна. Тому якщо поставлено вимогу забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.
- Шифрування ноутбуків.Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
- Шифрування знімних носіїв.В даному випадку йдеться про портативні USB-пристрої і, іноді, про CD- і DVD-диски, що записуються, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, так само як і згадані вище системи шифрування жорстких дисків у ноутбуках, часто можуть виступати як компоненти хостових DLP-систем. У цьому випадку говорять про свого роду криптопериметр, який забезпечує автоматичне прозоре шифрування носіїв усередині, і неможливість розшифрувати дані за його межами.
Таким чином, шифрування може суттєво розширити можливості DLP-систем та знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не дуже широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки та внутрішнього контролю.
Висновки
Як видно з даного огляду, внутрішні загрози – це досить нова область в ІХ, яка активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP та IPC дозволяють побудувати досить надійну систему внутрішнього контролю та знизити ризик витоку до прийнятного рівня. Без сумніву, дана область ІБ продовжить розвиватися, пропонуватимуться новіші та досконаліші технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безтурботність у питаннях інформаційної безпеки може обійтися занадто дорого.
Олексій Раєвський
Генеральний директор компанії SecurIT
Для ефективного захисту від інсайдерів насамперед необхідно забезпечити контроль над усіма комунікаційними каналами – від звичайного офісного принтера до звичайної флешки та фотокамери мобільного телефону.
Методи захисту від інсайдерів:
- * Апаратна автентифікація співробітників (наприклад, за допомогою USB-ключа або смарт-карти);
- * аудит всіх дій всіх користувачів (включаючи адміністраторів) у мережі;
- * Використання потужних програмно-апаратних засобів захисту конфіденційної інформації від інсайдерів;
- * Навчання співробітників, відповідальних за інформаційну безпеку;
- * Підвищення особистої відповідальності співробітників;
- * постійна робота з персоналом, що має доступ до конфіденційної інформації (інструктаж, навчання, перевірка знань правил та обов'язків щодо дотримання інформаційної безпеки тощо);
- * відповідність рівня зарплати рівню конфіденційності інформації (у розумних межах!);
- * Шифрування конфіденційних даних;
- * Але найголовніше, звичайно, людський фактор: хоча людина – найслабша ланка в системі безпеки, але й найважливіше! Боротьба з інсайдерами не повинна перетворюватися на тотальне стеження за всіма. У компанії має бути здоровий моральний клімат, що сприяє дотриманню корпоративного кодексу честі!
За підсумками щорічного опитування Інституту комп'ютерної безпеки (CSI, Computer Security Institute), у 2007 р. фахівці з безпеки виділили три основні проблеми, з якими їм довелося стикатися протягом року: 59% визнали загрозою №1 інсайдерів, 52% – віруси та 50 % – втрату мобільного носія (ноутбука, флеш-накопичувача). Отже, проблема внутрішніх порушників в Америці вперше почала переважати проблему вірусів. На жаль, такої інформації по Росії ми не маємо, однак є підстави стверджувати, що ситуація в нашій країні, як мінімум, схожа. Так, у ході круглого столу з проблеми витоку інформації внаслідок дій інсайдерів, що проходив у жовтні на щорічній конференції Aladdin, прозвучали результати опитування системних адміністраторів державних установ, які, як відомо, мають невисокий рівень доходу. На запитання, за яку суму у них можна отримати конфіденційні дані, лише 10% опитаних відповіли, що ніколи не підуть на такий посадовий злочин, близько половини опитаних готові ризикнути за великі гроші, а приблизно 40% готові піти на це за будь-яку винагороду. Як кажуть, коментарі зайві. Основна складність організації захисту від інсайдера полягає в тому, що він є законним користувачем системи та за боргом служби має доступ до конфіденційної інформації. Те, як співробітник розпоряджається цим доступом у межах службових повноважень чи поза межами, відстежити дуже складно. Розглянемо основні завдання боротьби із внутрішніми порушниками (див. таблицю).
Чим більших успіхів досягає людство у боротьбі із зовнішніми кіберзагрозами, тим рішучішим на перший план виходять загрози внутрішні, з якими за статистикою пов'язано понад 70% всіх інцидентів безпеки. Ця стаття узагальнює досвід російської компанії – інтегратора у сфері створення комплексних систем запобігання витоку конфіденційної інформації. Подібні комплексні системи є життєво важливими для функціонування багатьох сучасних підприємств та організацій. Компанії використовують цілий арсенал методів контролю за працівниками: переглядають електронну листування, прослуховують телефонні розмови, встановлюють камери спостереження, стежать за відвідуваністю веб-сайтів в Інтернеті. Чи подібні дії законні? В даний час конфіденційна інформація та персональні дані обробляються в АС практично будь-якого підприємства. Природно, що така інформація потребує захисту. Але ось як її захищати, чим відрізняються засоби захисту домашнього комп'ютера та комп'ютерів у корпоративних додатках, які завдання захисту інформації та яким чином мають вирішуватись у комплексі для забезпечення ефективного захисту конфіденційної інформації? Ніхто не застрахований від саботажу ІТ-інфраструктури. Будь-який співробітник може навіть з найдрібнішого приводу образитися на керівництво або колег, а потім зробити справжню диверсію: знищити надзвичайно важливу для компанії інформацію, розіслати непристойні листи клієнтам фірми і т. п. Очевидно, що шкода в цьому випадку може варіюватися від зіпсованого робітника до прямих багатомільйонних втрат. Стурбованість бізнесу проблемами внутрішньої IT-безпеки та захисту своїх інформаційних активів постійно підтверджується дослідженнями провідних організацій. Згідно з опублікованим в січні 2006 року звітом 2005 FBI Computer Crime Survey, 44% американських компаній постраждали протягом року в результаті серйозних інцидентів, що відбувалися у внутрішній IT-безпеці, при цьому інсайдери крали конфіденційні документи роботодавця, намагалися спотворити інформацію. з офісу обладнання та ін. В даний час на ринку систем призначених для захисту конфіденційної інформації від витоків (DLP), існує кілька основних базових технологій виявлення, серед яких лінгвістичний та контекстний аналіз, а також цифрові відбитки та мітки. Багато працівників комерційних організацій знайомі з таким проявом корпоративного контролю, як прослуховування службових телефонів. Зазвичай цим займаються співробітники служб безпеки великих та середніх організацій за дорученням керівництва, причому прослуховування може мати як голосний, і негласний характер. Як визначити, хто зі співробітників організації та вступників на роботу завдає чи може завдати шкоди її інтересам? Як виявити потенційних алкоголіків, людей, схильних до крадіжки та тих, хто ніколи не продуктивно працюватиме? Адже вони можуть стати співробітниками Вашої компанії. Грамотно розібратися у цьому – завдання не з легких. Про роль людського фактора у забезпеченні безпеки організації, деяких потенційних джерелах кадрового ризику та заходах щодо захисту організації від них розповідає ця стаття. Захист корпоративної інформації від внутрішніх загроз останніми роками переріс із модного тренду для обраних компаній у цілком самостійний напрямок інформаційної безпеки. Топ-менеджери поступово починають переглядати своє ставлення до фінансування та розглядати захист даних від внутрішніх загроз не лише як джерело видатків, а й як конкурентну перевагу компанії. У багатьох організаціях сформовані спеціальні групи та відділи для захисту комерційної таємниці, персональних даних та іншої конфіденційної інформації. Цінність інформації як однієї зі складових будь-якого бізнесу важко переоцінити: на думку фахівців, втрата лише чверті інформації, яка належить до категорії комерційної таємниці організації, протягом кількох місяців призводить до банкрутства половини цих самих організацій, які допустили витік подібних відомостей. У сфері інформаційних технологій, як у жодній іншій області, успіх компанії нерідко цілком ґрунтується на вдалому ноу-хау, технологічному ході, маркетинговій стратегії чи навіть просто оригінальній ідеї. Причому найцінніша інформація про ці рішення, ходи та ідеї існує в головах співробітників компанії. Не можна не погодитися з тим, що сховище це далеко не найнадійніше з точки зору захисту конфіденційної інформації від неправомірного чи небажаного доступу третіх осіб, або від несумлінного використання її самим працівником, наприклад, для створення власної конкурентної розробки. Нижче йтиметься про те, як роботодавець може проконтролювати поширення комерційно важливої інформації всередині компанії та за її межами, як при цьому можуть бути дотримані права працівника та які компенсації він повинен отримати за відоме обмеження цих прав. А також, як відповідає працівник за розголошення секретних відомостей свого роботодавця. «Хай мине мене чаша ця!» Відганяючи від себе найнеприємніші думки, це потаємне заклинання ми вимовляємо в різні моменти нашого життя. Чи то похід на кишеньковий кишенькові злодії ринковий ринок або пізніше повернення додому. Відчуття безпеки не виникає у нас часом навіть у власній квартирі. Міліцейські зведення нагадують хроніку бойових дій. За статистикою, кожні 3,5 хвилини у Росії відбувається квартирна крадіжка. Виявити зловмисників, як правило, не вдається. Але чи можна подібну неприємність запобігти? Фахівці компанії «Промет», провідного постачальника та виробника вітчизняних сейфів та металевих меблів, на це питання відповідають цілком точно: надійним захистом ваших заощаджень стане сейф. Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого та усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку або неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення. Зараз дедалі більше організацій використовують рішення класу DLP (Data Loss Prevention) захисту корпоративної інформації від витоків. Кожна компанія перед впровадженням DLP оцінює ризики та будує модель загроз, в якій прописуються класи інформації, що захищається, сценарії використання даних та пов'язані з ними загрози. У більшості випадків потенційними каналами витоку даних визнаються зовнішні накопичувачі, принтери, корпоративна пошта та різні веб-сервіси, і мало хто замислюється про захист даних, що записуються на магнітні стрічки або інші резервні носії, які зберігаються і транспортуються в незахищеному вигляді. Вивчаючи інформаційну безпеку підприємств та ефективність заходів її забезпечення, що реалізуються в даний час у корпоративних інформаційних системах (КІС) банків, мимоволі звертає на себе увагу опитування, проведене в 2011 році фірмою Sailpoint Technologies, в аспекті, що дещо віддаляється від визначень «захист комп'ютера від несанкціонованого доступу» та «несанкціонований доступ до комп'ютерної інформації» (НСД) – аналітики оцінювали лояльність співробітників компаній корпоративної етики щодо роботи з інформацією обмеженого використання. Сьогодні загроза інсайдерства є актуальною проблемою для безпеки компанії. Організації надають своїм тимчасовим та постійним співробітникам доступ до критично важливої інформації, що становить серйозну загрозу безпеці організації. Персоналу компанії простіше вчинити крадіжку або зловживати наявною інформацією ніж будь-кому, оскільки вони мають прямий доступ до інформаційних активів організації. За даними дослідження компанії Trustwave, 80% інцидентів у сфері інформаційної безпеки трапляються через використання ненадійних паролів. Інсайдери стали основною причиною недавніх інцидентів у міністерстві охорони здоров'я штатів Юта та Південна Кароліна у США. Використання парольної автентифікації в ІС підприємств та організацій себе виживає. Продовжуючи застосовувати цю традиційну методику доступу щодо власних інформаційних ресурсів, компанії фактично ставлять під загрозу рентабельність та, ймовірно, саме існування підприємства. Одного разу практично всі організації починають розуміти, що потребують надійного захисту корпоративної інформації. Один із найефективніших способів захистити свої дані – це встановити у компанії систему DLP. Найчастіше організація мотивує своє рішення тим, що ці системи надійно захищають конфіденційну інформацію та дозволяють відповідати вимогам органів-регуляторов. Скільки копій було зламано в дебатах про те, чи інсайдери становлять реальну загрозу бізнесу чи ні. Банківська сфера, перебуваючи на передовій сучасних технологіях, завжди однією з першої апробувала новинки світу IT та сфери інформаційної безпеки зокрема. Двофакторна автентифікація, біометричні системи та багато іншого. Все це знайшло відгук там, де практичні люди вважають за краще тримати свої заощадження. Але вже так влаштований наш слов'янський менталітет, що «поки грім не вдарить». А тому, давайте розвіємо основні міфи, які досі ні-ні та й зустрічаються в банківському секторі. За останні пару років оператори "великої трійки" вже двічі крупно оскандалилися на SMS-повідомленнях. Вперше «допоміг» Яндекс і в принципі витік можна відносити до розряду витоків «необережно». Але цього разу… Федеральна служба безпеки повідомила про те, що було виявлено групу зловмисників, які отримали від співробітників МТС та «Вимпелкому» архіви SMS-листування трьох високопоставлених московських чиновників, після чого «Вимпелком» підтвердив факт витоку інформації, а МТС, навпаки, спростував. Залишимо пошук винних на долю слідства та звернемо увагу на матеріали справи: невстановлені співробітники технічних центрів мобільних операторів передавали конфіденційну інформацію третім особам. Говорячи мовою «безпеків», мало місце дії інсайдерів. Запобігання витоку інформації, несанкціонованого доступу, є одним з найважливіших завдань служби інформаційної безпеки будь-якої організації. Якщо є конфіденційна інформація (державна, комерційна таємниця, персональні дані), існує проблема її охорони від розкрадання, видалення, зміни, перегляду. Зі зростанням компанії збільшується небезпека розкрадання інформації, у тому числі співробітниками, зростають фінансові та репутаційні ризики, це призводить до посилення політик та систем контролю. Нині інформація є величезну цінність. Володіння нею надає колосальні можливості у бізнесі, економіці, політиці та інших сферах. Недарма кажуть, хто володіє інформацією, той володіє світом, а хто володіє чужою інформацією, той краще підготовлений до конкурентної боротьби, ніж його суперники. Існує безліч різних форматів файлів, у яких зберігається текстова інформація, серед яких TXT, RTF, DOC, DOCX, HTML, PDF та багато інших. ін. Проте жодна компанія як у нашій країні, так і в усьому світі не пропонувала захист XML-документації. Розглянемо докладно, що таке XML-файли, чому їх потрібно захищати, і як було вперше створено захист для такого формату.
