Все про дизайн та ремонті кухні. Стеля. Колір. Дизайн. Техніка. Стіни. меблі
Ви тут: » »

Методи боротьби з інсайдерами. Проблематика захисту від інсайдерів

Останнім часом все видання, що публікують матеріали з інформаційної безпеки просто переповнені повідомленнями і аналітичними статтями про те, що найстрашнішою загрозою сьогодні стають інсайдерами. Ця тема обговорюється на конференціях по ІБ. Виробники засобів захисту починають наперебій запевняти, що їх засіб захисту практично розроблялося для боротьби саме з цією загрозою.

Почасти, загальна заклопотаність цією проблемою цілком з'ясовна: за даними світової статистики (наприклад, звіти ФБР «Computer Crime and Security Survey») максимального збитку компанії несуть саме від цієї загрози.

Однак, при уважному аналізі всіх публікацій, виступів і заяв, помічаєш деякі недоладності:

  • Термін інсайдера всюди дається без визначення, як щось само собою зрозуміле
  • Поняття інсайдера і зловмисника, який би всередині мережі практично злилися
  • Розповідають про загрози інсайдерів, наводять приклади втрачених ноутбуків з інформацією
  • Говорячи про інсайдерів збиваються на тему звичайних атак типу побору пароля, спроби скористатися чужим логіном, злом комп'ютера колеги і т.п.

Зазвичай, наявність подібних недоречностей говорить або про щирому омані / нерозуміння авторами предмета і спроби приховати це за красивим терміном, або ж свідомої маніпуляції читачем.

Наріжним каменем теми інсайдерів ставитися бажання боротися з ними усіма доступними засобами.

До речі, ситуація, що склалася трохи нагадує епопею боротьби зі спамом, яка активно велася року два назад. Ніхто не заперечує, проблема спаму є. Але вона в більшій мірі стосується провайдерів, які змушені зберігати на своїх серверах значні обсяги листів, ніж корпоративних користувачів, проте багатьох майже змусили прийняти цю ідею.

Як розібратися в предметі, зрозуміти і оцінити ризики, які інсайдери несуть саме Вашому підприємству і вибрати дійсно адекватні заходи захисту?

Почати ж пропоную з самого головного, без чого немає сенсу продовжувати подальша розмова - з визначення того явища, яке ми будемо обговорювати, а саме поняття терміна «Інсайдер».

Термін «інсайдер»

Щоб не змушувати читача ритися в довідниках і словниках, я спробував пошукати визначення цього терміна в мережі Інтернет.

Поняття «інсайдер» визначається там як «член будь-якої групи людей, яка має доступ до інформації, недоступною широкому загалу. Термін використовується в контексті, пов'язаному з секретної, прихованої або будь-якої іншої закритою інформацією або знаннями: інсайдер - це член групи, що володіє інформацією, що є тільки у цієї групи ».

Наступне визначення, яке дав Інтернет (http://abc.informbureau.com/html/einaeaad.htm) звучало так: «ІНСАЙДЕР (англ, insider, від inside буквально всередині) особа, яка має в силу свого службового чи сімейного стану доступ до конфіденційної інформації про справи компанії. Йдеться про посадових осіб, директорів, головних акціонерів корпорації з широким володінням акціями і їх найближчих родичів. »

Повторимо ще раз: ключовими словами в обох визначеннях є «мають доступ до інформації». Уже ці визначення дозволяє переформулювати проблему «інсайдерів».

Отже, вже слід не валити все в одну купу, а зрозуміти, що є проблема внутрішнього зловмисника. При цьому вона ділиться на

  • інсайдера, що має доступ до інформації
  • співробітника, який намагається такий доступ отримати.

Важливо, що в обох знайдених нами визначеннях звучало поняття інформації.

Поняття «інформації»

Поняття «Інформація» за своєю суттю є вкрай дискусійним. У кожній області знання це розуміється по своєму. Це призводить до того, що самі поняття багатьма починає сприйматися інтуїтивно.

Але нам, для подальшого обговорення, буде потрібно чітке розуміння цього терміна. Отже, пропоную вважати що

інформація - це пояснення, научіння, яке то зведення.

Пропоную не змішувати поняття «інформації» з поняттям

дані - це представлення фактів і ідей в формалізованому вигляді, придатному для передачі та обробки в деякому інформаційному процесі.

Тепер, для конструктивного продовження діалогу, давайте остаточно розберемося з цими поняттями. Найлегше зробити це на прикладах:

Сподіваюся, що мені вдалося продемонструвати різницю між цими поняттями.

Розуміти цю різницю просто необхідно хоча б для того, щоб розуміти, що ми збираємося захищати (дані або інформацію) і що для цього необхідно

Чому бояться інсайдерів

Отже. За нашими визначень можна зрозуміти, що інсайдер - це, звичайно, є директори і старші менеджери, а також власники компанії.

Створений сьогодні образ інсайдера асоціюється з тим, що інсайдери

  • виносять списки клієнтів
  • виносять документи
  • виносять бази даних
  • виносять інформацію.

Все це, за їхніми твердженнями, завдає компаніям значної шкоди і неминуче тягнуть втрату клієнтів.

До речі, практично ніде не з'являється загроза знищення або навмисного спотворення даних ... На це ніхто не звертає уваги або просто методів для захисту від цих загроз поки немає?

Але навіть якщо повторювати тільки найпопулярніші загрози як мантру, стає страшно. І побоювання дійсно не марні: світова статистика інцидентів говорить що і збитки і втрата клієнтів - реальні. Але важливо пам'ятати, що тепер ми навчилися розділяти поняття інсайдера і звичайного співробітника.

Ось тільки давайте спробуємо розібратися. У нас є 4 варіанти:

дані інформація
співробітник співробітник намагається винести дані співробітник намагається винести інформацію
інсайдер інсайдер намагається винести дані інсайдер намагається винести інформацію

Завдання, які ми можемо поставити собі в боротьбі з інсайдерами - просто формулюються:

  • Відповідність вимогам нормативних актів і стандартів
  • збереження інформації
  • збереження даних
  • Виявлення каналів витоку
  • доказ непричетність

Але чи всі вони легко можуть бути реалізовані? І які технічні засоби можуть нам допомогти?

Боротьба з інсайдерами технічними засобами і її результати

Якщо компанія просто хоче відповідати певним вимогам, які до неї пред'являє держава або професійне співтовариство, то задача зводиться навіть не до придбання і впровадження будь-якого засобу захисту, а до грамотного документування процесів забезпечення безпеки в організації.

По самому визначенню інформації, яке ми дали, припинити витік інформації - можливо тільки шляхами:

  • Самоконтролю інсайдерів, щоб, бува, не розголосити цю інформацію
  • Призначення на керівні посади відповідальних, перевірених, морально стійких людей
  • Акцентування уваги цих людей на те, що не вся інформація призначається для широкої публіки.

На жаль, ця проблема цілком лежить в області людського фактора. Сумно, але з нею не завжди справляються навіть найкращі спецслужби.

З проблемної витоку даних (файлів, баз даних, друкованих копій документів і т.п.) боротися можна. Але можна саме боротися. Перемогти цю проблему теж не можна, і ось чому. Як би ми не обмежили доступ людей до інформації:

  • Людина може показати документ на моніторі / в роздруківці колезі, з яким він не призначений.
  • Людина може забути документ в принтері, в їдальні, залишити без нагляду кабінет або кейс або сейф
  • Людина може виписати з екрану на листочок
  • Людина може зачитати по телефону або наговорити на диктофон
  • Можна сфотографувати екран монітора на фотокамеру стільникового телефону
  • Людина врешті-решт може просто запам'ятати змісту документа.

Крім усього іншого, той же ноутбук з даними може бути втрачено або украден.А заодно і разом з усіма ключами на той випадок, якщо дані там зберігалися в захищеному вигляді.

Рішення проблем відстеження каналів витоку ось для вирішення цього завдання технічні засоби якраз можуть створити грунт: зібрати повну статистику звернень до ресурсу, скоррелировать факт звернення, скажімо, до файлу з відправленням цього ж файлу поштою і т.п. Єдина неприємність - технічні засоби можуть дати дуже багато інформації, перевіряти і аналізувати яку доведеться, все таки, саме людям. Тобто ще раз: технічні засоби не дадуть результату.

Якщо говорити про доведення непричетності, то можливість вирішити цю проблему технічними засобами - теж під великим питанням. Але причина цього навіть більше політична, ніж технічна. Уявіть: в один день виходить стаття про те, що в компанії ХХХ стався витік черговий бази даних. Журналісти на всі лади мусують цю тему, опитують експертів з безпеки про причини, згадують історію витоків, ворожать про причини цієї тощо Сенсація ... Ваші заяви про те, що компанія непричетна, і інформація витекла немає від Вас - мало кого цікавлять, а якщо їх і опублікують, то на наступний день, коли інтерес до теми вже вщухне.

Крім того, дати 100% гарантію, що витік стався не від вас - ніхто не зможе. Ви зможете тільки показати, як, в тому числі і технічними засобами, ви піклуєтеся про їх збереження.

Про що не говорять борці з інсайдерами

Будь-які засоби захисту створюють незручності - це аксіома. Будь-які впроваджуються засоби захисту так чи інакше треба обслуговувати - закон життя. Тобто встановити засіб захисту і не стежити за тим, які результати він видає - нерозумно.

Тепер про результати.

Уявіть собі, що у вас мережу близько 1000 комп'ютерів, на кожному з яких хоч раз в день в USB порт встромляють флешку / мобільник / фотоапарат. Значить Ви щодня змушені аналізувати мінімум 1000 подій, пов'язаних з використанням цих пристроїв. Не думаю, що терпіння вистачить більше ніж на 2 дні.

Рішення заборонити всі - теж не завжди найправильніше. Через кілька хвилин начальник запитає, чому не читається його флешка, а співробітник відділу реклами буде питати про те, як тепер йому передавати в друкарню макети листівок і т.п.

Можна намагатися говорити, що якщо ми контролюємо, скажімо, всі звернення до файлу з даними, то він захищений. Принаймні ми зможемо знайти крайнього, хто цей файл розголосив. Це так, якщо ми схопили його за руку, наприклад при спробі переслати файл по пошті. В іншому випадку - це схоже на самообман.

Якщо доступ до файлу мають всі кому не лінь, то під підозру в першу чергу потраплять ті, кому він не потрібен. Але ніяких гарантій тут немає, і без колишнього оперативника ми не розберемося

Якщо доступ до файлу був розмежований, ви дізнаєтеся, що інформацією користувалися ті, хто до неї допущений ... Це цінно, але, як би сказати, марно. Можна виявити деякі особливості: наприклад, хтось звернувся до файлу посеред ночі. Напевно це незвично, але ще нема про що не говорить, особливо якщо господар облікового запису користувача заперечує факту звернення.

Говорячи про контроль, треба розуміти, що від інсайдера ми не захистимося, а від співробітника цей файл повинен бути закритий.

Так стеження або розмежування

Золоте, і тому невиконуюча правило: впроваджувати засоби захисту треба відповідно до політиками безпеки.

Звичайно непогано, що впровадження системи контролю електронної пошти спонукало організацію до того, щоб розібратися, що ж кому можна пересилати, яку інформацію слід вважати конфіденційною.

Але якби уявлення про те, що можна а що не можна було сформовано заздалегідь, компанія могла б підібрати більш задовольняє її рішення, якщо взагалі погодилася б з тим, що їй це засіб необхідно.

Але і це ще не все.

Важливо, щоб люди, які працюють в організації і відповідають за її безпеку вирішили для себе раз і назавжди, що їм потрібніше і простіше:

  • Зберігати всі дані в загальній купі і намагатися знайти того, хто її відіслав за межі організації
  • Розмежувати доступ до даних так, щоб вони були доступні тільки тим кому вони потрібні.

Перший варіант - видовищний, демонстративний. Всі бачать, що ось фахівці відділу безпеки повзають рачки і заклеюють USB порти. А сьогодні не працює пошта - впроваджують нову систему контролю.

Другий шлях - це копітка робота з аналізу того, що кому потрібно, трудомісткі настройки механізмів розмежування доступу і т.п.

Кожен вибирає свій шлях сам, але перший - більше нагадує пошук монетки під ліхтарем: її там шукають не тому що там втратили, а тому що там світліше.

Лукава статистика інцидентів

Якщо вже яка тема починає розроблятися професіоналами пера, то в купу починає валитися все.

Хотілося б відзначити що ніяким чином під поняття «загрози інсайдерів» не підпадають, і отже технічними засобами контролю за інформацією не блокуються:

  • Втрати ноутбуків, флешок і т.п. - це халатність.
  • Крадіжки ноутбуків, комп'ютерів, вінчестерів з резервними копіями - це щось на кшталт злому
  • Витік інформації від дії вірусів
  • Витоку інформації при зломі мережі, нехай навіть співробітником

До інсайдерської загрозу не належать і такі випадки, як витік бази клієнтів разом з директором з продажу.

Можна відібрати у нього на виході його телефонну книжку, але як відібрати сформовані відносини з замовником, роки спільного навчання в інституті і т.п.?

Важливо не дозволяти себе втягнути у вирішення проблеми, якої немає, або яка не вирішується принципово.

висновки

Зробити якийсь конкретний висновок з проблеми не можна. Правда життя в тому, що проблем, пов'язаних з інсайдерами, дуже багато. Деякі фахівці з безпеки, як це не сумно, часом обмежені в поглядах на ту чи іншу проблему саме в силу свого професіоналізму.

Приклад: інформація для них - це файли і бази даних (перша помилка - плутанина понять даних і інформації). І він починає боротися з цими витоками як може: знову ж відмова від відчужуваних носіїв, контроль пошти, контроль за числом друкованих копій документа і постановка їх на облік, перевірка портфелів на виході з будівлі і ще і ще ... При цьому, справжній інсайдер, який , до слова, часто в курсі цих засобів контролю, скористається для відправки документа факсом.

Так може перш ніж кидатися у вир боротьби з проблемою, варто оцінити цю проблему, порівняти її з іншими і зробити більш обгрунтований вибір?

Останні дослідження в області інформаційної безпеки, наприклад щорічне CSI / FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік від року знижуються. Однак є кілька ризиків, збитки від яких ростуть. Одне з них - навмисне злодійство конфіденційної інформації або ж порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даними необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжки конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD і DVD-дисків, ZIP-пристроїв і, найголовніше, всіляких USB- накопичувачів. Саме їх масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків прекрасно розуміють, чим може загрожувати, наприклад, потрапляння бази даних з персональними даними їх клієнтів або, тим більше, проводками по їх рахунках в руки кримінальних структур. І вони намагаються боротися з імовірним крадіжкою інформації доступними їм організаційними методами.

Однак організаційні методи в даному випадку неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, ТРЗ-плссра, цифрового фотоапарата ... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах з співробітниками , а по-друге, налагодити реально діючий контроль над людьми все одно дуже складно - банк не «поштову скриньку». І навіть відключення на комп'ютерах усіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD і ZIP-диски, CD та DVD-приводи і т.п.), і USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери і т.п. І ніхто нс може перешкодити людині відключити на хвилину принтер, вставити в звільнився порт флеш-диск і скопіювати на нього важливу інформацію. Можна, звичайно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту і кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, яке здійснює динамічне управління всіма пристроями і портами комп'ютера, які можуть використовуватися для копіювання інформації. Принцип їх роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволу на використання різних портів і пристроїв. Найбільша перевага такого ПО - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей і окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-як принтери і сканери, підключені до USB-портів. Всі ж інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токенах, то в налаштуваннях можна вказати використовувану модель ключів. Тоді користувачам буде дозволено використовувати тільки придбані компанією пристрої, а всі інші виявляться марними.

Виходячи з описаного вище принципу роботи систем захисту, можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису і портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів і пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, розглядається ПО повинно бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного примірника тощо Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема з Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів і комп'ютерів, що нс тільки незручно, але й збільшує ризики виникнення помилок.

В області інформаційної безпеки найбільшу увагу організації приділяють, як правило, захист від зовнішніх атак, тому майже всі кошти, що виділяються на забезпечення безпеки, направляються на захист вразливих точок периметра мережі підприємства. Ситуація, що склалася знайшла відповідне відображення і на ринку рішень ІТ-безпеки - в останні роки пропонується широкий спектр різних засобів захисту від вірусів, хробаків, троянів і інших загроз ззовні.
Однак поступово підприємства починають усвідомлювати нову небезпеку. Вона виходить не від хакерів, які не від спаму або випадкових вірусів, а від власних співробітників. Інсайдери знаходяться всередині самої організації і наділені цілком легальними повноваженнями, тому їм набагато простіше отримати доступ до цікавить їх, ніж будь-якому зловмисникові з боку. Щоб краще розібратися в проблемі, звернемося до проведеного в 2006 році дослідження американської аналітичної компанії Aberdeen Group «The Insider Threat Benchmark Report - Strategies for Data Protection», в ході якого було опитано 88 великих американських корпорацій.

Основні результати опитування великих корпорацій

Загроза з боку інсайдерів все наростає. Сучасний бізнес вже не може ігнорувати цю небезпеку і посилено готується до протидії. Компанії, які вважають за краще її не помічати або економлять на впровадженні нових систем безпеки, несуть серь езние збитки. Багато компаній, згадані в дослідженні, серйозно постраждали від витоків даних і тільки потім подбали про запобіжні заходи. Їх приклад повинен послужити уроком для інших фірм.

Підприємствам, які бажають убезпечити себе від витоків конфіденційної інформації, слід з усією відповідальністю підійти до вирішення проблеми. Ірраціональна економія на засобах безпеки виллється в солідні збитки в найближчому майбутньому. Кращим варіантом буде вдатися до допомоги професіоналів, що спеціалізуються на системах захисту від інсайдерів. Такі системи зможуть легко інтегруватися в уже існуючу інфраструктуру. До того ж, компанії-продавці не тільки забезпечать працездатність рішення, але і гарантують його високу ефективність.

Як такого засобу проти інсайдерів не існує. Надійно захистити інформацію допоможе лише застосування цілого комплексу заходів і рішень. Незважаючи на інерційність великих постачальників, на ринку є достатня кількість готових комплексів, що забезпечують захист від інсайдерів і витоку.

Однією з найважливіших сучасних технологій захисту інформації є фільтрація мережевого трафіку (вже впроваджена у 53% респондентів). Ще 28% планують встановити подібні фільтри в поточному році. Крім того, досить перспективною технологією є класифікація даних. Хоча сьогодні її використовують тільки 42% корпорацій, в цьому році їх кількість зросте на 44% (тобто до 86%). Однак серйозне занепокоєння викликає той факт, що невиправдано мале число респондентів використовує інші ефективні рішення для захисту від витоків і інсайдерів, наприклад моніторинг дій службовців.

Для багатьох підприємств одним з головних перешкод (44%) на шляху впровадження додаткових засобів захисту від витоків інформації є обмеженість IT-ресурсів. У той же час впровадження таких засобів захисту дозволяє не тільки значно зменшити ризик втрати важливих даних, але і помітно (на 17,5%) знизити витрати на діяльність ІТ-підрозділів.

поточний стан

Немає нічого дивного в тому, що наслідки інсайдерських інцидентів найчастіше виявляються набагато більш плачевними, ніж навіть вдала атака хакерів. Причин тому чимало. Однією лише легкістю доступу до різних інформаційних ресурсів все не пояснити. Справа в тому, що інформація, вкрадена інсайдерами, як правило, є більш важливою, ніж та, яку здатні роздобути хакери. Одна з найважливіших причин зростання загрози з боку інсайдерів та легкості здійснення ними протиправних дій - це халатність служб внутрішньої IT-безпеки (якщо такі взагалі існують). Організації виявляються не готовими протистояти інсайдерам, оскільки у них просто немає відповідних інструментів. Навіть якщо загроза ідентифікована, працівники сфери без небезпеки ще не можуть належним чином протистояти їй, тому що не напрацювали належного досвіду в зазначеній сфері. Взагалі, на ринку вже зараз можна знайти комплексні рішення для захисту конфіденційної інформації від інсайдерів. На жаль, часто відповідальні керівники не розуміють всієї серйозності загрози. Вони за інерцією продовжують займатися нарощуванням зусиль щодо захисту периметра своєї організації саме від зовнішньої небезпеки.

Тим часом новинні агентства і ЗМІ приділяють все більше уваги саме проблему інсайдерів. Фахівці говорять про зростання числа витоків конфіденційної інформації і їх сумні наслідки: втрату часу, фінансові збитки і ударі по репутації. Крім того, відзначається глобальна тенденція, яка полягає в тому, що бізнес починає перемикатися саме на проблему внутрішньої ІТ-безпеки.

В ході дослідження «The Insider Threat Benchmark Report - Strategies for Data Pro tection» аналітикам вдалося з'ясувати, що за останній рік багато постачальників і дис трібьютори ІТ-систем якісно змінили номенклатуру пропонованих рішень. При цьому збільшилася частка продуктів, призначених саме для боротьби з інсайдерами. Однак в той же самий час найбільші ІТ-постачальники продовжують розширювати свій традиційний асортимент, зберігаючи пропорції рішень на колишньому рівні. Це свідчить або про недооцінку потенціалу відповідної лінійки продуктів, або про малий поточному попиті. Проте 41% американських респондентів вже впровадив в свою ІТ-інфраструктуру засоби захисту, в тій чи іншій мірі вирішують проблему інсайдерів.

Відзначимо, що російські замовники можуть на власні очі переконатися в тому, що інтерес до систем для боротьби з витоками і інсайдерами з боку постачальників і системних інтеграторів сильно зріс. Наприклад, «Лабораторія Касперського» виділила свій бізнес в сфері внутрішньої ІТ-безпеки в окрему компанію - InfoWatch, а практично всі російські системні інтегратори включили вирішення цієї фірми в свою продуктову лінійку. За словами Дениса Зенкина, директора з маркетингу компанії InfoWatch, за 2005 рік прибуток підприємства зріс на 120% і в 2006 році спостерігалася аналогічна картина. І це незважаючи на те, що російські компанії істотно відстають від американських в використанні систем для захисту від інсайдерів. Згідно з дослідженням «Внутрішні ІТ-загрози в Росії 2005», в ході якого компанія InfoWatch опитала понад 300 вітчизняних організацій, лише 2% респондентів застосовують системи для боротьби з інсайдерами та витоками. Однак зростання прибутків постачальників однозначно вказує на те, що положення це поступово змінюється.

Крім того, до систем для боротьби з інсайдерами зовсім недавно проявила інтерес ще одна велика антивірусна компанія - McAfee. У жовтні 2006 року вона купила ізраїльську фірму Onigma, чиє єдине рішення призначене саме для виявлення і запобігання витоків. Відповідно до прес-релізу, McAfee інтегрує технології Onigma в своє власне рішення і, таким чином, почне експансію на ринку рішень внутрішньої ІТ-безпеки.

Не виключено, що найближчим часом на ринку продуктів для захисту від витоків з'явиться найбільша в сфері ІТ-безпеки компанія - Symantec. В цілому можна сміливо стверджувати, що включення в свій асортимент продуктів для боротьби з інсайдерами є надзвичайно перспективним напрямком диверсифікації для всіх ланок ланцюга дистрибуції рішень ІТ-безпеки.

Погляд з іншого боку

Повернемося тепер до результатів дослідження «The Insider Threat Benchmark Report - Strategies for Data Protection» і подивимося на системи захисту від інсайдерів і витоку очима замовника. Всі американські компанії можна умовно розділити на три нерівні за кількісним складом групи: відстаючі (30%), середнячки (50%) і лідери (20%). У відстаючих підприємств показники діяльності в цілому нижче, ніж середні по галузі, а у лідерів відповідно вище. Виявляється, що абсолютно всі успішні організації (100% респондентів) вважають захист конфіденційних даних найважливішим напрямком у справі боротьби з інсайдерами. Крім того, кращі компанії значно ширше використовують політики ідентифікації та розмежування доступу (75%). Характеристики різних груп в сфері внутрішньої ІТ-безпеки представлені на малюнку.

З діаграм видно, що лідируючі компанії вважають за краще розглядати проект впровадження системи захисту від інсайдерів в якості повноцінної ділової завдання. При цьому особливого значення вони надають комплексу супровідних послуг. Це дозволяє побудувати максимально ефективну систему внутрішньої безпеки і не перекладати нетипові завдання на плечі своїх співробітників. Крім того, кращі в своїй галузі підприємства намагаються мінімізувати людський фактор за рахунок використання повністю автоматизованих процесів. Нарешті, лідери на перше місце ставлять інтеграцію продуктів в єдину і керовану систему, тому цінують гнучкість впроваджуваного рішення для захисту від інсайдерів.

Спробуємо оцінити проблему внутрішньої безпеки в плані технологій (табл. 1). Після вивчення декількох галузей промисловості з'ясувалося, що основними використовуваними технологіями є: паролі, системи ідентифікації, біометрія, сканування мережевого трафіку і управління доступом користувачів до конфіденційної інформації.

Таблиця 1. Технології захисту безпеки: поточний стан та прогноз

технології

Частка респондентів, що використовують технологію вже зараз,%

Частка респондентів, які планують впровадити технологію в найближчі 12 місяців,%

складні паролі

Списки контролю доступу

Фільтрація мережевого трафіку

сканування периметра

Автоматичний моніторинг доступу працівників

Класифікація даних (за ступенем конфіденційності)

Єдина точка входу

Ідентифікація із запитом і підтвердженням

Аутентифікація за допомогою зворотного виклику на мобільний телефон

Рівно 50% з кращих по галузях фірм використовує складні паролі, фільтрацію мережевого трафіку і списки контролю доступу. Більш того, компанії мають намір істотно нарощувати застосування саме цих технологій. Так, частка складних паролів зросте на 26% і досягне 93%; популярність списків контролю доступу збільшиться на 24% і добереться до позначки в 90%, а частка фільтрації мережевого трафіку зросте з 53 до 81%. Тим часом використання ID-карт, незважаючи на поширеність їх в даний час, навряд чи можна вважати популярним напрямком. Лише 13% респондентів планують впровадити цю технологію в цьому році.

Цікаво, що найбільш перспективними технологіями є автоматичний моніторинг доступу співробітників до важливих даних (очікується зростання до 72%) і класифікація даних (з 42% в 2006 році до 86% в нинішньому). Тут результати дослідження збігаються з думкою вітчизняних фахівців в області захисту інформації. В аналітичному центрі InfoWatch вважають, що саме автоматичному моніторингу дій інсайдерів і класифікації даних компанії приділяли незаслужено мало уваги в минулі роки. Тим часом, без цього побудувати надійну систему захисту просто неможливо.

Далі, згідно з опитуванням, ті ж самі 53%, які використовують фільтрацію трафіку, вважають, що одна тільки захист периметра недостатня для забезпечення внутрішньої безпеки. Необхідно, крім іншого, розвивати віртуальні приватні мережі, щоб не знижувати рівень безпеки при комунікаціях з зовнішніми партнерами.

Перераховані технології забезпечують багаторівневий підхід і дозволяють підвищити безпеку конфіденційних даних. Однак, крім технологічного боку, не варто забувати і про банальну фізичного збереження інформації. Можна назвати чимало прикладів того, як важливі документи потрапляли в руки зловмисників після злому офісу і крадіжки комп'ютерного обладнання. Більш того, резервні стрічки і мобільні носії з конфіденційною вмістом часто губляться під час транспортування або у відрядженнях.

Захист від інсайдерів

В даний час відсутня єдина склалася точка зору на те, як регламентувати доступ користувачів. Це змушує організації забезпечувати централізоване управління даними в розподіленому середовищі. Технології можуть зробити можливими керованість, підзвітність і безпеку даних, але для цього потрібно застосовувати їх належним чином. У свою чергу, методи використання залежать від специфіки діяльності підприємства-замовника. Отже, потрібно провести глибокий і всебічний аналіз тієї ІТ-інфраструктури, на якій передбачається розгортати систему безпеки. Багато замовників абсолютно справедливо доручають справу оцінки та вибору технологій спеціально створеним групам, куди входять фахівці різного профілю.

Сучасні технології та методи протидії інсайдерам істотно разли чаются. Справа в тому, що постачальники не можуть запропонувати універсального засобу від інсайдерів. Вони надають цілий комплекс рішень для визначення відхилень, класифікації даних за ступенем конфіденційності і обмеження доступу.

Незважаючи на те що тільки 51% компаній з числа опитаних в ході дослідження вважають, що комплексні рішення для захисту від інсайдерів виключно важливі, решта 49% не оцінюють їх роль так високо. Втім, значимість даного результату за лягає у тому, що як мінімум половина респондентів віддає перевагу комплексним рішенням. Це говорить про те, що вони дійсно стурбовані даною проблемою і розуміють важливість спільних заходів.

Крім того, в деяких галузях учасники зобов'язані більшою мірою дотримуватися конфіденційності даних клієнтів. Постійні зміни законодавства на федеральному і регіональному рівнях все більше уваги приділяє саме захист персональної інформації (таким, як прізвище та ініціали, дата народження, домашня адреса, номери кредитних карт, медичного полісу та ін.).

Організації повинні усвідомити важливість законодавчих розпоряджень в області захисту особистості. На думку учасників опитування, щоб поліпшити управління, потрібно автоматизувати санкціонований доступ. Компанії, що не автоматизують списки контролю доступу, підготовку і класифікацію даних, можуть зіткнутися з серйозними проблемами. Так, 78% респондентів вважають захист інформації найважливішою причиною для побудови захисту від інсайдерів. Отже, підприємства тільки починають усвідомлювати загрозу з боку інсайдерів і в силу різних причин намагаються применшувати значення внутрішніх інцидентів. Однак приховати тенденцію зростання небезпеки з боку інсайдерів неможливо.

Проблеми на шляху впровадження захисту від інсайдерів

Розглянемо ще два цікавих результату дослідження. У табл. 2 наведені п'ять найбільш серйозних, на думку респондентів, проблем, які виникають при впровадженні системи захисту від внутрішніх загроз, а також варіанти їх вирішення. Табл. 3 аналогічна табл. 2 за структурою, але складена на базі відповідей респондентів, які входять в групу лідируючих компаній. Порівнюючи отримані дані, легко помітити різниці підходу до даної проблеми середнячків і найбільш успішних представників бізнесу. Якщо для лідерів головною проблемою є накладення впроваджуваного рішення на вже використовувані технології (75%), то для всіх респондентів в цілому - це обмеженість ІТ-ресурсів (44%). В ході проведення дослідження з'ясувалося, що просунуті організації вже впровадили комплексну захист своєї ІТ-інфраструктури і таким чином прикрили власне мережу, а також убезпечили себе на рівні додатків. Тепер ці компанії шукають способи зміцнення налагодженої системи безпеки. Організації ж, для яких основною є проблема огра ніченний ІТ-ресурсів, серйозно лімітовані в діях. Це викликає тривогу, оскільки економія на безпеці може привести до набагато більших втрат. Очевидно, що ІТ-служби, як і служби ІТ-безпеки, повинні отримувати фінансування в повному обсязі. Адже вони готують базу, на якій будуть успішно функціонувати всі інші підрозділи.

Таблиця 2. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
і їх можливе рішення (на базі всіх респондентів)

проблема

Частка відповідей,%

Рішення проблеми

Частка відповідей,%

Обмеженість ІТ-ресурсів для впровадження рішення і управління ним

Визначити вимоги до впровадження

Складність програмного рішення

Визначити власників даних і процесів

Накладення рішення на вже існуючі процеси

Провести тренінги по використанню нових процесів і процедур

Аналізуючи таблиці, можна також відзначити наступний досить цікавий факт: персонал компаній-лідерів проявляє своє невдоволення нововведеннями набагато частіше, ніж службовці середніх підприємств (50 проти 38%). Втім, нічого дивного в цьому немає. У сфері ІТ-безпеки людський фактор становить не менше половини проблеми. Якщо, наприклад, будь-яка організація дозволяє контрактникам, партнерам або постачальникам користуватися своєю мережею, але при цьому не піклується про процедурах регламентування доступу до інформації, то можна сміливо стверджувати, що проблеми в цьому напрямку у неї виникнуть обов'язково.

Таблиця 3. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
і їх можливе рішення (на базі компаній-лідерів)

проблема

Частка відповідей,%

Рішення проблеми

Частка відповідей,%

Накладення рішення на вже впроваджені технології

Фокусуватися на коротких проектах зі швидкою віддачею

Опір працівників нововведень

Поступово згортати і неспішно поширювати серед користувачів нові рішення

Відсутність коштів на здійснення заходів

Впроваджувати "зверху вниз", починаючи від технічного та ІТ-департаменту і закінчуючи всіма іншими відділами

Обмеженість IT-ресурсів для впровадження та управління рішенням

Демонструвати можливості і особливості рішень начальникам підрозділів

Слабке володіння інструментами для оцінки ризиків

Проводити тренінги з використання нових процесів і процедур

В цілому відстаючі компанії і середняки, на відміну від лідерів, в меншій мірі використовують автоматизацію і інтеграцію рішень, а крім того, мають в штаті малодосвідчених працівників. Все це позначається на ефективності аналізу процедур безпеки і тлумачення його результатів. Найчастіше лише впровадження автоматизованих процесів і підвищення кваліфікації співробітників веде до подолання людського фактора. За результатами дослідження, близько 25% кращих підприємств використовують повністю автоматизовані системи. У той же час до промислової можна віднести всього 9% випадків автоматизації.

Інформаційна захищеність підвищується в міру використання нових технологій у відповідності до вимог бізнесу. Безперервне вдосконалення систем захисту принесе безсумнівну користь. Згідно з дослідженням, організації, що впровадили системи захисту від інсайдерів, отримали в середньому наступний ефект:

  • скоротилися скарги і звернення в ІТ-підрозділу і службу підтримки - на 3,5%;
  • скоротилася кількість інцидентів ІТ-безпеки - на 13%;
  • скоротилися витрати на робочу силу в ІТ-підрозділах - на 17,5%.

Таким чином, аналітики дійшли висновку, що організації, які займаються лише зовнішнім захистом, приречені на невдачу. Дійсно, забезпечення безпеки по периметру організації допомагає відбити напад хакерів, в той час як компаніям, який запровадив у себе системи захисту від витоків і інсайдерів, дійсно вдається зменшити кількість інцидентів і скоротити витрати на ІТ.

висновок

Виходячи з результатів проведених досліджень і оцінки ситуації напрошуються наступні висновки. По-перше, не існує єдиної технології захисту від інсайдерів. Забезпечити безпеку належним чином може лише комплекс заходів. Розрізнені продукти, як би хороші вони не були, напевно не вирішать проблем, що виникають при побудові всеосяжної захисту. Так, за крити один з напрямків можна, але складність полягає в тому, що існує величезна кількість різних загроз. Зловмисники діють різними методами, і як раз для того, щоб усунути всі можливі лазівки, потрібно створити багаторівневу систему.

По-друге, відповідальність за збереження конфіденційної інформації не можна покласти на одну людину або навіть на підрозділ. У цьому напрямку повинні тісно взаємодіяти співробітники ІТ-служби та відділу забезпечення ІТ-безпеки. Ще більш ефективним способом є залучення фахівців з багатим досвідом саме в сфері захисту від витоків. Останні пропонують глибокий аналіз існуючої ситуації та надають замовнику конкретні рішення. Вибудовується надійна система, яку може обслуговувати вже персонал компанії при необхідній підтримці інтегратора.

По-третє, наявні в організації дані потрібно ретельно вивчити і структурувати за ступенем конфіденційності. Потім на підставі цієї класифікації слід вибудувати систему обмеження доступу. Його користувачі не повинні мати доступ до тих даних, які не потрібні їм для виконання службових обов'язків. Крім того, необхідно періодично переглядати права доступу для підтримки системи розмежування в актуальному стані.

По-четверте, людський фактор є одним з критичних в системі захисту інформації. На жаль, саме люди стають найслабшою ланкою ланцюга. Найчастіше інсайдерами є співробітники, відповідальні якщо не за захист конфіденційних відомостей, то, як мінімум, за збереження конфіденційності інформації. Через незнання або неуважності, зі злим умислом або без нього, але саме вони можуть приносити значної шкоди своїм роботодавцям. Набагато небезпечніше ситуація, коли інсайдером є людина з ІТ-підрозділу або зі служби ІТ-безпеки. Його повноваження, зрозуміло, набагато ширше, ніж у більшості інших співробітників, і він володіє достатніми знаннями і можливостями, щоб непомітно «злити» дані. Саме внаслідок зазначених причин для успішного ведення справ потрібно використовувати професійні системи моніторингу за діями службовців. Вони повинні бути якомога більш автоматизованими, що не залежать від людини, щоб була можливість контролювати співробітника. Програмні рішення і комплекси є найбільш ефективним методом захисту від збільшену загрозу з боку інсайдерів. Звичайно, не варто забувати і про методи роботи з співробітниками. Їм слід розповідати про необхідність дотримання норм безпеки і вимагати від них виконання існуючих директив по роботі з конфіденційною інформацією. Однак тільки програмно-апаратні засоби в змозі попередити можливі випадки внутрішнього розкрадання.

Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілому і усталеній світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки і неприємності, а новинні стрічки рясніють повідомленнями про чергове інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилки або неуважності співробітника. Спробуємо розібратися, чи так серйозна ця проблема, чи треба їй займатися, і які доступні засоби і технології існують для її вирішення.

Перш за все, варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є співробітник підприємства або будь-яку іншу особу, що має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі дії легальних користувачів, умисних або випадкових, які можуть привести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має також інші значення.

Актуальність проблеми внутрішніх загроз підтверджується результатами останніх досліджень. Зокрема, в жовтні 2008 року були оголошені результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів в США), тоді як хакери виявилися всього лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, які говорять про кількість інцидентів, пов'язаних з внутрішніми загрозами, виглядають наступним чином:

Кількість інцидентів у відсотках означає, що із загального числа опитаних даний тип інциденту відбувався в зазначеному відсотку організацій. Як видно з даних цифр, ризик постраждати від внутрішніх загроз є практично у кожної організації. Для порівняння, відповідно до того ж звітом, віруси вразили 50% опитаних організацій, а з проникненням хакерів в локальну мережу зіткнулося тільки 13%.

Таким чином, внутрішні загрози - це реальність сьогоднішнього дня, а не придуманий аналітиками і вендорами міф. Так що тим, хто по-старому вважає, що корпоративна ІБ - це міжмережевий екран і антивірус, необхідно якомога швидше поглянути на проблему ширше.

Підвищує градус напруженості і закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям і посадовим особам доведеться відповідати не тільки перед своїм керівництвом, а ще й перед своїми клієнтами і перед законом.

модель порушника

Традиційно при розгляді загроз і засобів захисту від них слід починати з аналізу моделі порушника. Як уже згадувалося, ми будемо говорити про інсайдерів - співробітників організації і інших користувачів, що мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім приходить на розум офісний співробітник, що працює на комп'ютері в складі корпоративної мережі, який в процесі роботи не покидає меж офісу організації. Однак, таке уявлення неповно. Необхідно його розширити за рахунок інших видів осіб, що мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюючі і в офісі і вдома, кур'єри, що перевозять носії з інформацією, в першу чергу, магнітні стрічки з резервною копією і т.д.

Таке розширене розгляд моделі порушника, по-перше, укладається в концепцію, оскільки загрози, які виходять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему більш широко, розглянувши всі можливі варіанти боротьби з цими загрозами.

Можна виділити наступні основні типи внутрішніх порушників:

  • Нелояльний / ображений працівник. Порушники, які стосуються цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, в разі, якщо вони порахували себе ображеними, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій в даний час працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але воно може збільшуватися в ситуації несприятливих економічних умов і масових скорочень персоналу.
  • Впроваджений, підкуповує або маніпульований співробітник. В даному випадку мова йде про будь-яких цілеспрямованих діях, як правило, з метою промислового шпигунства в умовах гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але небдітельного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість інцидентів такого роду зазвичай ще менше, ніж попередніх, в зв'язку з тим, що в більшості сегментів економіки в РФ конкуренція не сильно розвинена або реалізується іншими способами.
  • Недбалий співробітник. Даний вид порушника є лояльного, але неуважного або недбалого співробітника, який може порушити політику внутрішньої безпеки підприємства через її незнання або забудькуватості. Такий співробітник може помилково відправити лист по електронній пошті з доданим секретним файлом не тому, для кого воно призначене, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею на вихідних, і втратити її. До цього ж типу відносяться співробітники, що втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього типу відповідальні за більшість витоків конфіденційної інформації.

Таким чином, мотиви, а, отже, і образ дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.

Технології захисту від внутрішніх загроз

Незважаючи на відносну молодість даного сегмента ринку, клієнтам вже є з чого вибирати в залежності від їх завдань і фінансових можливостей. Варто відзначити, що зараз на ринку практично немає вендорів, які спеціалізувалися б виключно на внутрішні загрози. Така ситуація склалася не тільки через незрілість даного сегмента, але ще і завдяки агресивній і іноді хаотичної політики злиттів і поглинань, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені в присутності на цьому сегменті. Варто нагадати про компанії RSA Data Security, яка стала підрозділом EMC в 2006 році, покупку компанією NetApp стартапу Decru, який займався розробкою систем захисту серверних сховищ і резервних копій в 2005, покупку компанією Symantec DLP-вендора Vontu в 2007 році і т. Д.

Незважаючи на те, що велика кількість подібних угод говорить про гарні перспективи розвитку даного сегмента, вони не завжди йдуть на користь якості продуктів, які переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники не так оперативно реагують на вимоги ринку в порівнянні з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють в мобільності і оперативності своїм меншим братам. З іншого боку, поліпшується якість сервісу і доступність продуктів для клієнтів в різних точках земної кулі завдяки розвиненості їх сервісної та збутової мережі.

Розглянемо основні технології, що застосовуються в даний час для нейтралізації внутрішніх загроз, їх переваги та недоліки.

контроль документів

Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES і Oracle Information Rights Management.

Принцип роботи даних систем полягає в призначенні правил використання для кожного документа і контролю цих прав в додатках, що працюють з документами даних типів. Наприклад, можна створити документ Microsoft Word і задати для нього правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Дані правила в термінах Windows RMS називаються ліцензією і зберігаються разом з файлом. Вміст файлу зашифрована для запобігання можливості його перегляду неавторизованих користувачем.

Тепер якщо будь-який користувач намагається відкрити такий захищений файл, додаток зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цьому користувачеві cookie, сервер передає додатком ключ для розшифрування даного файлу і інформацію про права даного користувача. Додаток на основі цієї інформації робить доступними для користувача тільки ті функції, для виконання яких у нього є права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в додатку буде недоступна.

Виходить, що інформація в такому файлі безпечна навіть у випадку, якщо файл потрапить за межі корпоративної мережі - вона зашифрована. Функції RMS вже вбудовані в додатки Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS в додатки інших розробників Microsoft пропонує спеціальний SDK.

Система контролю документів від Adobe побудована аналогічним чином, але орієнтована на документи в форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери у вигляді агента і інтегрується з додатками на етапі їх виконання.

Контроль документів - це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктурованих файлах або базах даних, дана технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить просте застосування, яке буде зв'язуватися з RMS-сервером, отримувати звідти ключ шифрування і зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то дана система буде обійдена. Крім цього, слід враховувати складності при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів - завдання початкової класифікації документів і призначення прав їх використання може зажадати значних зусиль.

Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації - проблема комплексна, і вирішити її за допомогою тільки якого-небудь одного засобу, як правило, не вдається.

Захист від витоків

Термін захист від витоків (data loss prevention, DLP) з'явився в лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати, без перебільшення, найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, які контролюють можливі канали витоку і блокують їх в разі спроби пересилання по цих каналах будь-якої конфіденційної інформації. Крім цього, в функції подібних систем часто входить можливість архівації проходить по ним інформації для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.

Розрізняють два види DLP-систем: мережеві DLP і хостової DLP.

Мережеві DLP працюють за принципом мережевого шлюзу, який фільтрує всі, хто проходить через нього дані. Очевидно, що виходячи з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- і ftp-трафік, служби миттєвих повідомлень і т. Д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати передається файл. Також існують можливості по ручній обробці підозрілих файлів. Підозрілі файли поміщаються в карантин, який періодично переглядає офіцер безпеки і або дозволяє передачу файлу, або забороняє її. Правда, така обробка в силу особливостей протоколу можлива тільки для електронної пошти. Додаткові можливості по аудиту і розслідування інцидентів надає архівування всіх проходить через шлюз інформації за умови, що цей архів періодично переглядається і його вміст аналізується з метою виявлення мали місце витоків.

Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто, момент прийняття рішення про те, чи є інформація, що передається конфіденційної і підстави, які враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту переданих документів, званий також контентним аналізом. Розглянемо основні підходи до детектування конфіденційної інформації.

  • Мітки. Даний метод аналогічний системам контролю документів, розглянутих вище. В документи впроваджуються мітки, що описують ступінь конфіденційності інформації, що можна робити з цим документом, і кому посилати. За результатами аналізу міток система DLP приймає рішення, чи можна даний документ відправити назовні або не можна. Деякі DLP системи спочатку роблять сумісними з системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
  • Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких в тексті переданого файлу повинна говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велика кількість сигнатур можна організовувати в словники.
  • Метод Байєса. Даний метод, застосовуваний при боротьбі зі спамом, може успішно застосовуватися і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів з вірогідністю того, що якщо слово зустрілося в файлі, то файл із заданою вірогідністю належить або не належить до зазначеної категорії.
  • Морфологічний аналіз. Метод морфологічного аналізу аналогічний сигнатурному, відмінність полягає в тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
  • Цифрові відбитки. Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде незначно змінений, хеш-функція залишиться такою ж, або теж зміниться незначно. Таким чином, процес детектування конфіденційних документів значно спрощується. Незважаючи на схвальні дифірамби цієї технології з боку багатьох вендорів і деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами воліють залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіру до неї не збільшується.
  • Регулярні вирази. Відомі всім, хто мав справу з програмуванням, регулярні вирази дозволяють легко знаходити в тексті шаблонні дані, наприклад, телефони, паспортні дані, номери банківських рахунків, номери соціального страхування і т.д.

З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного пильнування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або присвоювання міток конфіденційних документів.

Крім цього, певну проблему в роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в переданих файлах може бути вельми сложноразрешімой. Не варто забувати і про те, що в деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудовано за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для їх контролю хостової DLP.

Проте, не дивлячись на всі складнощі, при правильному налаштуванні і серйозному підході мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації і дати організації зручний засіб для внутрішнього контролю.

хостової DLP встановлюються на кожен хост в мережі (на клієнтські робочі станції і, при необхідності, на сервера) і також можуть бути використані для контролю інтернет-трафіку. Однак в цій якості хостової DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроїв і принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, представляє для інформаційної безпеки підприємства набагато більшу загрозу, ніж всі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі (endpoint security), хоча часто цей термін використовується більш широко, наприклад, так іноді називають антивірусні засоби.

Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично, або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, в більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що пред'являється з боку бізнес-процесів.

Через це виник певний попит на спеціальні засоби, за допомогою яких можна більш гнучко вирішити проблему використання зовнішніх пристроїв і принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів до різних видів пристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями і вирішувати з принтерами, а для іншого - вирішувати роботи з носіями в режимі "тільки читання". У разі необхідності запису інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія створення точних копій, яка забезпечує копіювання на сервер всієї інформації, яка зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізовано з метою аналізу дій користувачів. Дана технологія копіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Проте, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій в мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим і покараним за свої дії. Це може виявитися для нього істотною перешкодою і вагомою причиною відмовитися від ворожих дій.

Варто ще згадати контроль використання принтерів - тверді копії документів теж можуть стати джерелом витоку. Хостової DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії надрукованих документів в графічному форматі для подальшого аналізу. Крім цього, певне поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.

Незважаючи на безперечні плюси хостових DLP, у них є ряд недоліків, пов'язаних з необхідністю установки агентського ПО на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з точки зору розгортання таких систем і управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це ПО для здійснення будь-яких дій, заборонених політикою безпеки.

Проте, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а згадані проблеми не відносяться до розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах постійно посилюється на них тиску щодо забезпечення внутрішнього контролю та захисту від витоків.

концепція IPC

В процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і, з огляду на певні недоліки засобів, які розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Даний термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC в \u200b\u200b2007 році.

Суть даної концепції полягає в об'єднанні методів DLP і шифрування. У даній концепції за допомогою DLP контролюється інформація, що покидає межі корпоративної мережі з технічних каналам, а шифрування використовується для захисту носіїв даних, які фізично потрапляють або можуть потрапити в руки сторонніх осіб.

Розглянемо найбільш поширені технології шифрування, які можуть застосовуватися в концепції IPC.

  • Шифрування магнітних стрічок. Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіювання та для перенесення великих обсягів інформації, оскільки по питомої вартості закладеного мегабайта до сих пір не має рівних. Відповідно, витоку, пов'язані з втратою магнітних стрічок, продовжують радувати редакторів новинних стрічок, що поміщають інформацію про них на перші шпальти, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, велика кількість людей може стати жертвами шахраїв.
  • Шифрування серверних сховищ. Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати незмірно нижче, ніж у магнітної стрічки, окремий жорсткий диск зі сховища може потрапити в руки зловмисників. Ремонт, утилізація, апгрейд - ці події виникають з достатньою регулярністю для того, щоб списувати цей ризик з рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є абсолютно неможливою подією.

Тут варто зробити невеличкий відступ і згадати про поширена помилка про те, що якщо диск знаходиться в складі RAID-масиву, то, нібито, можна не турбуватися про те, що він потрапить в сторонні руки. Здавалося б, чергування записуваних даних на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вид даними, які знаходяться на якомусь одному жорсткому вигляді. На жаль, це не зовсім так. Чергування дійсно має місце, однак в більшості сучасних пристроїв воно виконується на рівні блоків по 512 байт. Це означає, що, незважаючи на порушення структури і форматів файлів, конфіденційну інформацію витягти з такого жорсткого диска все одно можна. Тому якщо поставлено вимогу щодо забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.

  • Шифрування ноутбуків. Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
  • Шифрування знімних носіїв. В даному випадку мова йде про портативних USB-пристроях і, іноді, про що записуються CD- і DVD-дисках, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, також як і згадані вище системи шифрування жорстких дисків в ноутбуках, часто можуть виступати в якості компонент хостових DLP-систем. У цьому випадку говорять про свого роду кріптоперіметре, який забезпечує автоматичне прозоре шифрування носіїв всередині, і неможливість розшифрувати дані за його межами.

Таким чином, шифрування може істотно розширити можливості DLP-систем і знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не дуже широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки і внутрішнього контролю.

висновки

Як видно з даного огляду, внутрішні загрози - це досить нова галузь в ІБ, яка, тим не менш, активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP і IPC дозволяють побудувати досить надійну систему внутрішнього контролю і знизити ризик витоку до прийнятного рівня. Без сумніву, ця сфера ІБ продовжить розвиватися, будуть пропонуватися більш нові та досконалі технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безпечність у питаннях інформаційної безпеки може обійтися надто дорого.

Олексій Раєвський
Генеральний директор компанії SecurIT


На сьогоднішній день існує два основних канали витоку конфіденційної інформації: пристрої, підключені до комп'ютера (всілякі знімні накопичувачі, включаючи «флешки», CD / DVD-диски та ін., Принтери) і інтернет (електронна пошта, ICQ, соціальні мережі і т. д.). А тому, коли компанія «дозріває» на впровадження системи захисту від них, бажано підійти до розв'язання цієї комплексно. Проблема полягає в тому, що для перекриття різних каналів використовуються різні підходи. В одному випадку найбільш ефективним способом захисту буде контроль над використанням знімних накопичувачів, а в другому - різні варіанти контентної фільтрації, що дозволяє заблокувати передачу конфіденційних даних у зовнішню мережу. А тому компаніям для захисту від інсайдерів доводиться використовувати два продукти, які в сумі утворюють комплексну систему безпеки. Природно, краще використовувати інструменти одного розробника. В цьому випадку полегшується процес їх впровадження, адміністрування, а також навчання співробітників. Як приклад можна привести продукти компанії SecurIT: Zlock і Zgate.

Zlock: захист від витоків через знімні накопичувачі

Програма Zlock з'явилася на ринку вже досить давно. І ми вже. В принципі, повторюватися немає сенсу. Однак з моменту публікації статті вийшла дві нових версії Zlock, в яких з'явився ряд важливих функцій. Ось про них варто розповісти, нехай навіть і дуже коротко.

В першу чергу варто відзначити можливість призначення комп'ютера декількох політик, які самостійно застосовуються в залежності від того, чи ваш комп'ютер підключено до корпоративної мережі безпосередньо, через VPN або ж працює автономно. Це дозволяє, зокрема, автоматично блокувати USB-порти і CD / DVD-приводи при відключенні ПК від локальної мережі. В цілому дана функція збільшує безпеку інформації, розміщеної на ноутбуках, які співробітники можуть виносити з офісу на виїзди або для роботи вдома.

Друга нова можливість - надання працівникам компанії тимчасового доступу до заблокованих пристроїв або навіть групам пристроїв по телефону. Принцип її роботи полягає в обміні генеруються програмою секретними кодами між користувачем і відповідальним за інформаційну безпеку співробітником. Примітно, що дозвіл на використання може видаватися не тільки постійне, але й тимчасове (на певний час або до завершення сеансу роботи). Даний інструмент можна вважати деяким послабленням в системі захисту, проте він дозволяє підвищити оперативність реагування ІТ-відділу на запити бізнесу.

Наступним важливим нововведенням в нових версіях Zlock є контроль над використанням принтерів. Після його налаштування система захисту буде записувати в спеціальний журнал все кількість звернень від користувачів до друкуючих пристроїв. Але і це ще не все. У Zlock з'явилося тіньове копіювання всіх надрукованих документів. Вони записуються в форматі PDF і є повною копією виводяться на друк сторінок незалежно від того, який файл був відправлений на принтер. Це дозволяє запобігти витоку конфіденційної інформації на паперових аркушах, коли інсайдер роздруковує дані з метою їх виносу з офісу. Також в системі захисту з'явилося тіньове копіювання інформації, що записується на CD / DVD-диски.

Важливим нововведенням стала поява серверного компонента Zlock Enterprise Management Server. Він забезпечує централізоване зберігання і поширення політик безпеки та інших параметрів програми та істотно полегшує адміністрування Zlock в великих і розподілених інформаційних системах. Також не можна не згадати появу власної системи аутентифікації, яка, при необхідності, дозволяє відмовитися від використання доменних і локальних користувачів Windows.

Крім цього, в останній версії Zlock з'явилося кілька не таких помітних, але теж досить важливих функцій: контроль цілісності клієнтського модуля з можливістю блокування входу користувача при виявленні втручань, розширені можливості по впровадженні системи захисту, підтримка СУБД Oracle і т. П.

Zgate: захист від витоків через інтернет

Отже, Zgate. Як ми вже говорили, цей продукт являє собою систему захисту від витоку конфіденційної інформації через інтернет. Структурно Zgate складається з трьох частин. Основний є серверний компонент, який і здійснює всі операції по обробці даних. Він може інсталюватися як на окремий комп'ютер, так і на вже працюють в корпоративній інформаційній системі вузли - інтернет-шлюз, контролер домену, поштовий шлюз і т. П. Даний модуль в свою чергу складається з трьох компонентів: для контролю SMTP-трафіку, контролю внутрішньої пошти сервера Microsoft Exchange 2007/2010, а також Zgate Web (він відповідає за контроль HTTP-, FTP- і IM-трафіку).

Друга частина системи захисту - сервер журналювання. Він використовується для збору інформації про події з одного або декількох серверів Zgate, її обробки і зберігання. Цей модуль особливо корисний у великих і територіально розподілених корпоративних системах, оскільки забезпечує централізований доступ до всіх даних. Третя частина - консоль управління. В її якості використовується стандартна для продуктів компанії SecurIT консоль, а тому детально зупинятися на ній ми не будемо. Відзначимо тільки, що за допомогою даного модуля можна керувати системою не лише локально, але і віддалено.

консоль управління

Система Zgate може працювати в декількох режимах. Причому їх доступність залежить від способу застосування препарату. Перші два режими припускають роботу в якості поштового проксі-сервера. Для їх реалізації система інсталюється між корпоративним поштовим сервером і «зовнішнім світом» (або між поштовим сервером і сервером відправки, якщо вони розділені). В цьому випадку Zgate може як фільтрувати трафік (затримувати порушують і сумнівні повідомлення), так і тільки журналіровать його (пропускати всі повідомлення, однак зберігати їх в архіві).

Другий спосіб впровадження передбачає використання системи захисту спільно з Microsoft Exchange 2007 або 2010. Для цього необхідно інсталювати Zgate безпосередньо на корпоративний поштовий сервер. При цьому також є два режими: фільтрація і журнал. Крім цього існує і ще один варіант впровадження. Йдеться про журнал повідомлень в режимі віддзеркалювати трафіку. Природно, для його використання необхідно забезпечити надходження на комп'ютер, на якому встановлений Zgate, цього самого віддзеркалювати трафіку (зазвичай це здійснюється засобами мережевого обладнання).


Вибір режиму роботи Zgate

Окремої розповіді заслуговує компонент Zgate Web. Він встановлюється безпосередньо на корпоративний інтернет-шлюз. При цьому дана підсистема отримує можливість контролювати HTTP-, FTP- і IM-трафік, тобто обробляти його з метою виявлення спроб відправки конфіденційної інформації через поштові веб-інтерфейси і «аську», публікації її на форумах, FTP-серверах, в соціальних мережах та ін. До речі, про «асьці». Блокування IM-месенджерів є в багатьох подібних продуктах. Однак саме «аськи» в них немає. Просто тому, що саме в російськомовних країнах вона набула найбільшого поширення.

Принцип роботи компонента Zgate Web досить простий. При кожній відправці інформації в будь-якому з контрольованих сервісів система буде генерувати спеціальне повідомлення. У ньому міститься сама інформація і деякі службові дані. Воно відправляється на основний сервер Zgate і обробляється відповідно до заданих правил. Природно, відправка інформації в самому сервісі не блокується. Тобто Zgate Web працює тільки в режимі журналювання. З його допомогою можна запобігти поодинокі витоку даних, але зате можна швидко їх виявити і припинити діяльність вільного або мимовільного зловмисника.


Налаштування компонента Zgate Web

Способи обробки інформації в Zgate і порядок фільтрації задає політикою, яка розробляється офіцером з безпеки або іншим відповідальним співробітником. Вона являє собою ряд умов, кожному з яких відповідає певна дія. Усі вхідні повідомлення «прогоняются» по ним послідовно один за одним. І якщо якийсь з умов виконується, то запускається асоційоване з ним дію.


система фільтрації

Всього в системі передбачено 8 типів умов, як то кажуть, «на всі випадки життя». Перше з них - тип файлу вкладення. З його допомогою можна виявити спроби переміщення об'єктів того чи іншого формату. Варто зазначити, що аналіз ведеться не по розширенню, а по внутрішній структурі файлу, причому можна задавати як конкретні типи об'єктів, так і їх групи (наприклад, всі архіви, відеозапису та ін.). Другий тип умов - перевірка зовнішнім додатком. Як додаток може виступати як звичайна програма, яка запускається з командного рядка, так і скрипт.


Умови в системі фільтрації

А ось на наступній умові варто зупинитися докладніше. Йдеться про контентному аналізі інформації, що передається. В першу чергу необхідно відзначити «всеїдність» Zgate. Справа в тому, що програма «розуміє» велику кількість різних форматів. А тому вона може аналізувати не тільки простий текст, а й практично будь-які вкладення. Іншою особливістю контентного аналізу є його великі можливості. Він може полягати як в простому пошуку входження в текст повідомлення або будь-яке інше поле певного слова, так і в повноцінному аналізі, в тому числі і з урахуванням граматичних словоформ, стемінг і трансліта. Але це ще не все. Окремої згадки заслуговує система аналізу по шаблонах і регулярними виразами. З її допомогою можна легко виявити в повідомленнях наявність даних певного формату, наприклад, серія та номера паспорта, номер телефону, номер договору, номер банківського рахунку та ін. Це, крім усього іншого, дозволяє посилити захист персональних даних, що знаходяться в обробці компанії.


Шаблони для виявлення різної конфіденційної інформації

Четвертий тип умов - аналіз адрес, вказаних в листі. Тобто пошук серед них певні рядків. П'ятий - аналіз зашифрованих файлів. При його виконанні перевіряються атрибути повідомлення і / або вкладених об'єктів. Шостий тип умов полягає в перевірці різних параметрів листів. Сьомий - аналіз за словником. В ході нього система виявляє наявність в повідомленні слів з заздалегідь створених словників. Ну і, нарешті, останній, восьмий тип умови - складовою. Він являє собою два або більше інших умов, об'єднаних логічними операторами.

До речі, про словники, згаданих нами в описі умов, потрібно сказати окремо. Вони являють собою групи слів, об'єднаних за однією ознакою, і використовуються в різних методах фільтрації. Логічно створювати словники, які з великою часткою ймовірністю дозволяють віднести повідомлення до тієї чи іншої категорії. Їх вміст можна вводити вручну або імпортувати дані з уже існуючих текстових файлів. Існує і ще один варіант генерації словників - автоматичний. При його використанні адміністратору досить просто вказати папку, в якій містяться відповідні документи. Програма сама проаналізує їх, вибере потрібні слова і розставить їх вагові характеристики. Для якісного складання словників необхідно вказувати не тільки конфіденційні файли, але і об'єкти, що не містять закриту інформацію. Загалом, процес автоматичної генерації найбільше схожий на навчання антиспаму на рекламних і звичайних листах. І це не дивно, бо і там, і там використовуються схожі технології.


Приклад словника на фінансову тему

Говорячи про словники, не можна також не згадати про ще одну технологію виявлення конфіденційних даних, реалізованої в Zgate. Йдеться про цифрові відбитки. Суть даного методу полягає в наступному. Адміністратор може вказати системі папки, в яких містяться конфіденційні дані. Програма проаналізує всі документи в них і створить «цифрові відбитки» - набори даних, які дозволяють визначити спробу передачі не тільки всього вмісту файлу, але і окремих його частин. Зверніть увагу, що система автоматично веде облік зазначених їй папок і самостійно створює «відбитки» для всіх новопосталих в них об'єктів.


Створення категорії з цифровими відбитками файлів

Ну а тепер залишилося тільки розібратися з діями, реалізованими в даній системі захисту. Всього їх реалізовано в Zgate аж 14 штук. Втім, велика частина визначає ті дії, які вчиняються з повідомленням. До них відноситься, зокрема, видалення без відправки (тобто, фактично, блокування передачі листа), приміщення в архів, щоб додати або вилучити вкладень, зміни різних полів, вставка тексту та ін. Серед них особливо варто відзначити приміщення листи в карантин. Дана дія дозволяє «відкласти» повідомлення для ручної перевірки офіцером безпеки, який і буде приймати рішення про його подальшу долю. Також дуже цікаво дію, що дозволяє заблокувати IM-з'єднання. Його можна використовувати для моментальної блокування каналу, по якому було передано повідомлення з конфіденційною інформацією.

Дещо осібно стоять дві дії - обробка методом Байеса і обробка методом відбитків. Обидва вони призначені для перевірки повідомлень на предмет знаходження в них конфіденційної інформації. Тільки в першому використовуються словники і статистичний аналіз, а в другому - цифрові відбитки. Ці дії можуть виконуватися при виконанні певної умови, наприклад, якщо адреса одержувача знаходиться не в корпоративному домені. Крім того, їх (втім, як і будь-які інші) можна виставити для безумовного застосування до всіх вихідних повідомлень. В цьому випадку система буде аналізувати листи і відносити їх до тих чи інших категорій (якщо, звичайно, це можливо). А ось за цими категоріями вже можна робити умови з виконанням певних дій.


Дії в системі Zgate

Ну і на завершення нашої сьогоднішньої розмови про Zgate можна підвести невеликий підсумок. Дана система захисту заснована в першу чергу на контентному аналізі повідомлень. Такий підхід є найбільш поширеним для захисту від витоку конфіденційної інформації через Інтернет. Природно, контентний аналіз не дає стовідсоткової ступеня захисту і носить скоріше імовірнісний характер. Проте, його використання дозволяє запобігти більшу частину випадків несанкціонованої передачі секретних даних. Застосовувати її компаніям чи ні? Це кожен повинен вирішити сам для себе, оцінивши витрати на впровадження і можливі проблеми в разі витоку інформації. Варто відзначити, що Zgate відмінно справляється з «виловом» регулярних виразів, що робить його досить ефективним засобом захисту персональних даних, що знаходяться в обробці у компанії.

Рубрика: стіни
Поділитися