Головна » Лікування горла » Захист від інсайдерів Як захиститися від інсайду

Захист від інсайдерів Як захиститися від інсайду

В галузі інформаційної безпеки найбільшу увагу організації приділяють, як правило, захисту від зовнішніх атак, тому майже всі засоби, що виділяються на безпеку, спрямовуються на захист вразливих точок периметра мережі підприємства. Ситуація, що склалася, знайшла відповідне відображення і на ринку рішень ІТ-безпеки - в останні роки пропонується широкий спектр різних засобів захисту від вірусів, черв'яків, троянців та інших загроз ззовні.
Однак поступово підприємства починають усвідомлювати нову небезпеку. Вона походить не від хакерів, не від спаму чи випадкових вірусів, а від своїх співробітників. Інсайдери знаходяться всередині самої організації і наділені цілком легальними повноваженнями, тому їм набагато простіше отримати доступ до інформації, що їх цікавить, ніж будь-якому зловмиснику з боку. Щоб краще розібратися в проблемі, звернемося до проведеного в 2006 році дослідження американської аналітичної компанії Aberdeen Group "Insider Threat Benchmark Report - Strategies for Data Protection", під час якого було опитано 88 великих американських корпорацій.

Основні результати опитування великих корпорацій

Загроза з боку інсайдерів наростає. Сучасний бізнес вже не може ігнорувати цю небезпеку та посилено готується до протидії. Компанії, які воліють її не помічати або економлять на впровадженні нових систем безпеки, зазнають серйозних збитків. Багато компаній, згадані в дослідженні, серйозно постраждали від витоків даних і лише потім подбали про запобіжні заходи. Їхній приклад повинен послужити уроком для інших фірм.

Підприємствам, які бажають убезпечити себе від витоку конфіденційної інформації, слід з усією відповідальністю підійти до вирішення проблеми. Ірраціональна економія на засобах безпеки виллється у солідні збитки у найближчому майбутньому. Найкращим варіантом буде вдатися до допомоги професіоналів, що спеціалізуються на системах захисту від інсайдерів. Такі системи зможуть легко інтегруватися в існуючу інфраструктуру. Крім того, компанії-продавці не тільки забезпечать працездатність рішення, а й гарантують його високу ефективність.

Як такого засобу проти інсайдерів немає. Надійно захистити інформацію допоможе лише застосування цілого комплексу заходів та рішень. Незважаючи на інерційність великих постачальників, на ринку є достатньо готових комплексів, що забезпечують захист від інсайдерів і витоків.

Однією з найважливіших сучасних технологій захисту є фільтрація мережевого трафіку (вже впроваджена у 53% респондентів). Ще 28% планують встановити подібні фільтри цього року. З іншого боку, дуже перспективною технологією є класифікація даних. Хоча сьогодні її використовують лише 42% корпорацій, цього року їхня кількість зросте на 44% (тобто до 86%). Однак серйозне занепокоєння викликає той факт, що невиправдано невелика кількість респондентів використовує інші ефективні рішення для захисту від витоків та інсайдерів, наприклад, моніторинг дій службовців.

Для багатьох підприємств однією з головних перешкод (44%) на шляху впровадження додаткових засобів захисту від витоку інформації є обмеженість IT-ресурсів. У той же час впровадження таких засобів захисту дозволяє не лише значно зменшити ризик втрати важливих даних, а й помітно знизити витрати на діяльність ІТ-підрозділів (на 17,5%).

поточний стан

Немає нічого дивного в тому, що наслідки інсайдерських інцидентів найчастіше виявляються набагато гіршими, ніж навіть вдала атака хакерів. Причин тому є чимало. Однією лише легкістю доступу до різних інформаційних ресурсів все не пояснити. Справа в тому, що інформація, вкрадена інсайдерами, як правило, є важливішою за ту, яку здатні роздобути хакери. Одна з найважливіших причин зростання загрози з боку інсайдерів та легкості здійснення ними протиправних дій – це недбалість служб внутрішньої IT-безпеки (якщо такі взагалі існують). Організації виявляються не готовими протистояти інсайдерам, оскільки вони просто не мають відповідних інструментів. Навіть якщо загроза ідентифікована, працівники сфери без небезпеки ще не можуть належним чином протистояти їй, оскільки не напрацювали належного досвіду у цій сфері. Загалом на ринку вже зараз можна знайти комплексні рішення для захисту конфіденційної інформації від інсайдерів. На жаль, найчастіше відповідальні керівники не розуміють всієї серйозності загрози. Вони за інерцією продовжують займатися нарощуванням зусиль захисту периметра своєї організації саме від зовнішньої небезпеки.

Тим часом новинні агенції та ЗМІ приділяють все більше уваги саме проблемі інсайдерів. Фахівці говорять про зростання кількості витоків конфіденційної інформації та їх сумні наслідки: втрату часу, фінансові збитки та удар по репутації. Крім того, відзначається глобальна тенденція, що бізнес починає переключатися саме на проблему внутрішньої ІТ-безпеки.

У ході дослідження "The Insider Threat Benchmark Report - Strategies for Data Pro tection" аналітикам вдалося з'ясувати, що за останній рік багато постачальників і дисб'юторів ІТ-систем якісно змінили номенклатуру запропонованих рішень. У цьому збільшилася частка продуктів, призначених саме боротьби з інсайдерами. Однак у той же час найбільші ІТ-постачальники продовжують розширювати свій традиційний асортимент, зберігаючи пропорції рішень на колишньому рівні. Це свідчить або недооцінці потенціалу відповідної лінійки товарів, або малому поточному попиті. Проте 41% американських респондентів уже впровадив у свою ІТ-інфраструктуру засоби захисту, що тією чи іншою мірою вирішують проблему інсайдерів.

Зазначимо, що російські замовники можуть переконатися в тому, що інтерес до систем для боротьби з витоками та інсайдерами з боку постачальників і системних інтеграторів сильно зріс. Наприклад, "Лабораторія Касперського" виділила свій бізнес у сфері внутрішньої ІТ-безпеки в окрему компанію - InfoWatch, а практично всі російські системні інтегратори включили рішення цієї фірми у свою продуктову лінійку. За словами Дениса Зенкіна, директора з маркетингу компанії InfoWatch, за 2005 рік прибуток підприємства зріс на 120% і в 2006 році спостерігалася аналогічна картина. І це незважаючи на те, що російські компанії суттєво відстають від американських у використанні систем захисту від інсайдерів. Згідно з дослідженням «Внутрішні ІТ-загрози в Росії 2005», під час якого компанія InfoWatch опитала понад 300 вітчизняних організацій, лише 2% респондентів застосовують системи для боротьби з інсайдерами та витоками. Однак зростання прибутків постачальників однозначно вказує на те, що це положення поступово змінюється.

Крім того, до систем боротьби з інсайдерами зовсім недавно виявила інтерес ще одна велика антивірусна компанія - McAfee. У жовтні 2006 року вона купила ізраїльську фірму Onigma, чиє єдине рішення призначене саме для виявлення та запобігання витоку. Згідно з прес-релізом, McAfee інтегрує технології Onigma у своє власне рішення і таким чином почне експансію на ринку рішень внутрішньої ІТ-безпеки.

Не виключено, що найближчим часом на ринку продуктів для захисту від витоків з'явиться найбільша у сфері ІТ-безпеки компанія Symantec. Загалом можна сміливо стверджувати, що включення до свого асортименту продуктів для боротьби з інсайдерами є надзвичайно перспективним напрямком диверсифікації для всіх ланок ланцюга дистрибуції рішень ІТ-безпеки.

Погляд з іншого боку

Повернемося тепер до результатів дослідження "Insider Threat Benchmark Report - Strategies for Data Protection" і подивимося на системи захисту від інсайдерів та витоків очима замовника. Усі американські компанії можна умовно розділити на три нерівні за кількісним складом групи: відстаючі (30%), середнячки (50%) та лідери (20%). У відстаючих підприємств показники діяльності загалом нижчі, ніж середні в галузі, а в лідерів відповідно вищі. Виявляється, що всі успішні організації (100% респондентів) вважають захист конфіденційних даних найважливішим напрямом у справі боротьби з інсайдерами. Крім того, найкращі компанії значно ширше використовують політики ідентифікації та розмежування доступу (75%). Характеристики різних груп у сфері внутрішньої ІТ-безпеки представлені малюнку.

З діаграм видно, що лідируючі компанії вважають за краще розглядати проект впровадження системи захисту від інсайдерів як повноцінне ділове завдання. При цьому особливого значення вони надають комплексу супровідних послуг. Це дозволяє побудувати максимально ефективну систему внутрішньої безпеки та не перекладати нетипові завдання на плечі своїх службовців. Крім того, найкращі у своїй галузі підприємства намагаються мінімізувати людський фактор за рахунок використання повністю автоматизованих процесів. Нарешті, лідери на чільне місце ставлять інтеграцію продуктів в єдину і керовану систему, тому цінують гнучкість впроваджуваного рішення для захисту від інсайдерів.

Спробуємо оцінити проблему внутрішньої безпеки щодо технологій (табл. 1). Після вивчення кількох галузей промисловості з'ясувалося, що основними технологіями є: паролі, системи ідентифікації, біометрія, сканування мережного трафіку і управління доступом користувачів до конфіденційної інформації.

Таблиця 1. Технології захисту безпеки: поточний стан та прогноз

Технології	Частка респондентів, які використовують технологію вже зараз, %	Частка респондентів, які планують впровадити технологію протягом найближчих 12 місяців, %
Складні паролі
Списки контролю доступу
Фільтрування мережного трафіку

Сканування периметра
Автоматичний моніторинг доступу працівників
Класифікація даних (за рівнем конфіденційності)
Єдина точка входу

Ідентифікація із запитом та підтвердженням
Аутентифікація за допомогою зворотного дзвінка на мобільний телефон

Рівно 50% із найкращих по галузях фірм використовує складні паролі, фільтрацію мережевого трафіку та списки контролю доступу. Більше того, компанії мають намір суттєво нарощувати застосування саме цих технологій. Так, частка складних паролів зросте на 26% і сягне 93%; популярність списків контролю доступу збільшиться на 24% і дістанеться позначки 90%, а частка фільтрації мережного трафіку зросте з 53 до 81%. Тим часом використання ID-карток, незважаючи на поширеність їх в даний час, навряд чи можна вважати популярним напрямом. Лише 13% респондентів планують запровадити цю технологію цього року.

Цікаво, що найперспективнішими технологіями є автоматичний моніторинг доступу співробітників до важливих даних (очікується зростання до 72%) та класифікація даних (з 42% у 2006 році до 86% у нинішньому). Тут результати дослідження збігаються з думкою вітчизняних фахівців у галузі захисту інформації. В аналітичному центрі InfoWatch вважають, що саме автоматичному моніторингу дій інсайдерів та класифікації даних компанії приділяли незаслужено мало уваги у минулі роки. Тим часом без цього побудувати надійну систему захисту просто неможливо.

Далі, згідно з опитуванням, ті самі 53%, які використовують фільтрацію трафіку, вважають, що тільки захист периметра недостатній для забезпечення внутрішньої безпеки. Необхідно також розвивати віртуальні приватні мережі, щоб не знижувати рівень безпеки при комунікаціях із зовнішніми партнерами.

Перелічені технології забезпечують багаторівневий підхід та дозволяють підвищити безпеку конфіденційних даних. Однак, крім технологічної сторони, не варто забувати і про банальну фізичну безпеку інформації. Можна назвати чимало прикладів того, як важливі документи потрапляли до рук зловмисників після злому офісу та крадіжки комп'ютерного обладнання. Більше того, резервні стрічки та мобільні носії з конфіденційним вмістом часто губляться під час транспортування або відрядження.

Захист від інсайдерів

В даний час відсутня єдина думка, що склалася на те, як регламентувати доступ користувачів. Це змушує організації забезпечувати централізоване управління даними у розподіленому середовищі. Технології можуть уможливити керованість, підзвітність та безпеку даних, але для цього потрібно застосовувати їх належним чином. У свою чергу методи використання залежать від специфіки діяльності підприємства-замовника. Отже, потрібно провести глибокий і всебічний аналіз ІТ-інфраструктури, на якій передбачається розгортати систему безпеки. Багато замовників абсолютно справедливо доручають справу оцінки та вибору технологій спеціально створеним групам, куди входять спеціалісти різного профілю.

Сучасні технології та методи протидії інсайдерам істотно розрізняються. Справа в тому, що постачальники не можуть запропонувати універсальний засіб від інсайдерів. Вони надають цілий комплекс рішень для визначення відхилень, класифікації даних щодо ступеня конфіденційності та обмеження доступу.

Незважаючи на те, що тільки 51% компаній з числа опитаних в ході дослідження вважають, що комплексні рішення для захисту від інсайдерів виключно важливі, 49%, що залишилися, не оцінюють їх роль так високо. Втім, значимість даного результату полягає в тому, що як мінімум половина респондентів віддає перевагу комплексним рішенням. Це говорить про те, що вони справді стурбовані цією проблемою та розуміють важливість спільних заходів.

Крім того, в деяких галузях учасники зобов'язані більшою мірою дотримуватися конфіденційності даних клієнтів. Законодавство, що постійно змінюється, на федеральному і регіональному рівнях все більше уваги приділяє саме захисту персональної інформації (таким, як П.І.Б., дата народження, домашня адреса, номери кредитних карток, медичного поліса та ін.).

Організації повинні усвідомити важливість законодавчих розпоряджень у сфері захисту особистості. На думку учасників опитування, щоб покращити керування, потрібно автоматизувати санкціонований доступ. Компанії, які не автоматизують списки контролю доступу, підготовку та класифікацію даних, можуть мати серйозні проблеми. Так, 78% респондентів вважають захист інформації найважливішою причиною побудови захисту від інсайдерів. Отже, підприємства лише починають усвідомлювати загрозу з боку інсайдерів і з різних причин намагаються применшувати значення внутрішніх інцидентів. Однак приховати тенденцію до зростання небезпеки з боку інсайдерів неможливо.

Проблеми на шляху впровадження захисту від інсайдерів

Розглянемо ще два цікаві результати дослідження. У табл. 2 наведено п'ять найбільш серйозних, на думку респондентів, проблем, що виникають при впровадженні системи захисту від внутрішніх загроз, а також варіанти їх вирішення. Табл. 3 аналогічна табл. 2 за структурою, але складена з урахуванням відповідей респондентів, які входять у групу провідних підприємств. Порівнюючи отримані дані, легко помітити відмінності підходу до проблеми середнячків і найуспішніших представників бізнесу. Якщо для лідерів головною проблемою є накладання впроваджуваного рішення на технології, що вже використовуються (75%), то для всіх респондентів в цілому - це обмеженість ІТ-ресурсів (44%). У ході проведення дослідження з'ясувалося, що нові організації вже впровадили комплексний захист своєї ІТ-інфраструктури і таким чином прикрили власне мережу, а також убезпечили себе на рівні додатків. Наразі ці компанії шукають способи зміцнення налагодженої системи безпеки. Організації ж, для яких основною є проблема обмеженості ІТ-ресурсів, серйозно лімітовані в діях. Це викликає тривогу, оскільки економія на безпеці може призвести до значно більших втрат. Очевидно, що ІТ-служби, як і служби ІТ-безпеки повинні отримувати фінансування в повному обсязі. Адже вони готують базу, на якій успішно функціонуватимуть усі інші підрозділи.

Таблиця 2. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
та їхнє можливе рішення (на базі всіх респондентів)

Проблема	Частка відповідей, %	Рішення проблеми	Частка відповідей, %
Обмеженість ІТ-ресурсів для впровадження рішення та управління ним		Визначити вимоги до впровадження
Складність програмного рішення		Визначити власників даних та процесів


Накладення рішення на вже існуючі процеси		Провести тренінги щодо використання нових процесів та процедур

Аналізуючи таблиці, можна також відзначити наступний досить цікавий факт: персонал компаній-лідерів виявляє своє невдоволення нововведеннями набагато частіше, ніж службовці середніх підприємств (50 проти 38%). Втім, нічого дивного у цьому немає. У сфері ІТ-безпеки людський чинник становить щонайменше половину проблеми. Якщо, наприклад, будь-яка організація дозволяє контрактникам, партнерам чи постачальникам користуватися своєї мережею, але заодно не піклується про процедури регламентування доступу до інформації, можна сміливо стверджувати, що у цьому напрямі у неї виникнуть обов'язково.

Таблиця 3. Найбільш серйозні проблеми при впровадженні систем захисту від інсайдерів
та їхнє можливе рішення (на базі компаній-лідерів)

Проблема	Частка відповідей, %	Рішення проблеми	Частка відповідей, %
Накладення рішення на вже впроваджені технології		Фокусуватися на коротких проектах із швидкою віддачею
Опір працівників нововведенням		Поступово згортати і поволі поширювати серед користувачів нові рішення
Відсутність коштів на здійснення заходів		Впроваджувати "зверху вниз", починаючи від технічного та ІТ-департаменту і закінчуючи рештою відділів
Обмеженість IT-ресурсів для впровадження та управління рішенням		Демонструвати можливості та особливості рішень начальникам підрозділів
Слабке володіння інструментами для оцінки ризиків		Проводити тренінги з використання нових процесів та процедур

Загалом відстаючі компанії та середняки, на відміну від лідерів, меншою мірою використовують автоматизацію та інтеграцію рішень, а крім того, мають у штаті малодосвідчених працівників. Все це позначається на ефективності аналізу процедур безпеки та тлумачення його результатів. Найчастіше лише впровадження автоматизованих процесів та підвищення кваліфікації співробітників веде до подолання людського чинника. За результатами дослідження, близько 25% найкращих підприємств використовують повністю автоматизовані системи. У той же час до промислової можна віднести лише 9% випадків автоматизації.

Інформаційна захищеність підвищується з використанням нових технологій відповідно до вимог бізнесу. Безперервне вдосконалення систем захисту принесе безперечну користь. Згідно з дослідженням, організації, які впровадили системи захисту від інсайдерів, отримали в середньому такий ефект:

скоротилися скарги та звернення до ІТ-підрозділу та службу підтримки – на 3,5%;
скоротилася кількість інцидентів ІТ-безпеки – на 13%;
скоротилися витрати на робочу силу у ІТ-підрозділах – на 17,5%.

Таким чином, аналітики приходять до висновку, що організації, які займаються лише зовнішнім захистом, приречені на невдачу. Дійсно, забезпечення безпеки по периметру організації допомагає відбити напад хакерів, тоді як компаніям, які впровадили системи захисту від витоків та інсайдерів, дійсно вдається зменшити кількість інцидентів і скоротити витрати на ІТ.

Висновок

Виходячи з результатів проведених досліджень та оцінки ситуації напрошуються такі висновки. По-перше, немає єдиної технології захисту від інсайдерів. Забезпечити безпеку належним чином може лише комплекс заходів. Розрізнені продукти, хоч би добрі вони були, напевно не вирішать проблем, що виникають при побудові всеосяжного захисту. Так, закрити один із напрямків можна, але складність полягає в тому, що існує величезна кількість різних загроз. Зловмисники діють різними методами, і саме для того, щоб усунути всі можливі лазівки, потрібно створити багаторівневу систему.

По-друге, відповідальність за збереження конфіденційної інформації не можна покласти на одну особу чи навіть на підрозділ. У цьому напрямку мають тісно взаємодіяти співробітники ІТ-служби та відділу забезпечення ІТ-безпеки. Ще ефективнішим способом є залучення фахівців із багатим досвідом саме у сфері захисту від витоків. Останні пропонують глибокий аналіз існуючої ситуації та надають замовнику конкретні рішення. Вибудовується надійна система, яку може обслуговувати вже персонал компанії за необхідної підтримки інтегратора.

По-третє, наявні в організації дані потрібно ретельно вивчити та структурувати за рівнем конфіденційності. Потім виходячи з цієї класифікації слід побудувати систему обмеження доступу. Користувачі не повинні мати доступу до тих даних, які не потрібні їм для виконання службових обов'язків. Крім того, необхідно періодично переглядати права доступу для підтримки системи розмежування у актуальному стані.

По-четверте, людський чинник є одним із критичних у системі захисту інформації. На жаль, саме люди стають найслабшою ланкою ланцюга. Найчастіше інсайдерами є співробітники, відповідальні якщо за захист конфіденційних відомостей, то, як мінімум, за збереження конфіденційності інформації. За незнанням або неуважністю, зі злим наміром або без нього, але саме вони можуть завдавати значної шкоди своїм роботодавцям. Набагато небезпечніша ситуація, коли інсайдером є людина з ІТ-підрозділу або служби ІТ-безпеки. Його повноваження, зрозуміло, набагато ширші, ніж у більшості інших співробітників, і він має достатні знання та можливості, щоб непомітно «злити» дані. Саме внаслідок зазначених причин успішного ведення справ потрібно використовувати професійні системи моніторингу за діями службовців. Вони повинні бути якомога більш автоматизованими, які не залежать від людини, щоб була можливість контролювати співробітника. Програмні рішення та комплекси є найбільш ефективним методом захисту від зростання загрози з боку інсайдерів. Звичайно, не варто забувати і про методи роботи із співробітниками. Їм слід розповідати про необхідність дотримання норм безпеки та вимагати від них виконання існуючих директив щодо роботи з конфіденційною інформацією. Однак лише програмно-апаратні засоби можуть попередити можливі випадки внутрішнього розкрадання.

Останнім часом проблема захисту від внутрішніх загроз стала справжнім викликом зрозумілого і усталеного світу корпоративної ІБ. Преса розповідає про інсайдерів, дослідники та аналітики попереджають про можливі збитки та неприємності, а стрічки новин рясніють повідомленнями про черговий інцидент, що призвів до витоку сотень тисяч записів про клієнтів через помилку чи неуважність співробітника. Спробуємо розібратися, чи така серйозна ця проблема, чи треба їй займатися, і які доступні засоби та технології існують для її вирішення.

Насамперед варто визначити, що загроза конфіденційності даних є внутрішньою, якщо її джерелом є співробітник підприємства або будь-яка інша особа, яка має легальний доступ до цих даних. Таким чином, коли ми говоримо про внутрішні загрози, ми говоримо про будь-які можливі дії легальних користувачів, навмисних або випадкових, які можуть призвести до витоку конфіденційної інформації за межі корпоративної мережі підприємства. Для повноти картини варто додати, що таких користувачів часто називають інсайдерами, хоча цей термін має інші значення.

Актуальність проблеми внутрішніх загроз підтверджується наслідками останніх досліджень. Зокрема, у жовтні 2008 року було оголошено результати спільного дослідження компанії Compuware і Ponemon Institue, згідно з якими інсайдери є найпоширенішою причиною витоків даних (75% інцидентів у США), тоді як хакери опинилися лише на п'ятому місці. У щорічному дослідженні Computer Security Institute (CSI) за 2008 рік цифри, які говорять про кількість інцидентів, пов'язаних із внутрішніми загрозами, виглядають так:

Кількість інцидентів у відсотках означає, що із загальної кількості опитаних цей тип інциденту відбувався у вказаному відсотку організацій. Як видно з цих цифр, ризик постраждати від внутрішніх загроз є практично в кожної організації. Для порівняння, відповідно до цього звіту, віруси вразили 50% опитаних організацій, а з проникненням хакерів у локальну мережу зіткнулося лише 13%.

Таким чином, внутрішні загрози – це реальність сьогодення, а не вигаданий аналітиками та вендорами міф. Тож тим, хто по-старому вважає, що корпоративна ІБ – це міжмережевий екран та антивірус, необхідно якнайшвидше поглянути на проблему ширше.

Підвищує градус напруженості і закон «Про персональні дані», відповідно до якого за неналежне поводження з персональними даними організаціям та посадовим особам доведеться відповідати не лише перед своїм керівництвом, а й перед своїми клієнтами та перед законом.

Модель порушника

Традиційно при розгляді загроз та засобів захисту від них слід розпочинати аналіз моделі порушника. Як уже згадувалося, ми говоритимемо про інсайдерів – співробітників організації та інших користувачів, які мають легальний доступ до конфіденційної інформації. Як правило, при цих словах всім спадає на думку офісний співробітник, який працює на комп'ютері у складі корпоративної мережі, який у процесі роботи не залишає меж офісу організації. Однак таке уявлення неповне. Необхідно розширити його за рахунок інших видів осіб, які мають легальний доступ до інформації, які можуть залишати офіс організації. Це можуть бути відряджені з ноутбуками, або працюють і в офісі та вдома, кур'єри, що перевозять носії з інформацією, насамперед магнітні стрічки з резервною копією тощо.

Такий розширений розгляд моделі порушника, по-перше, укладається в концепцію, оскільки погрози, які походять від цих порушників також відносяться до внутрішніх, а по-друге, дозволяє проаналізувати проблему ширше, розглянувши всі можливі варіанти боротьби з цими погрозами.

Можна виділити такі основні типи внутрішніх порушників:

Нелояльний/ображений співробітник.Порушники, що належать до цієї категорії, можуть діяти цілеспрямовано, наприклад, змінюючи роботу і бажаючи прихопити конфіденційну інформацію для того, щоб зацікавити нового роботодавця, або емоційно, якщо вони вважають себе скривдженими, бажаючи таким чином помститися. Вони небезпечні тим, що найбільш мотивовані на заподіяння шкоди тій організації, в якій зараз працюють. Як правило, кількість інцидентів за участю нелояльних співробітників невелика, але вона може збільшуватись у ситуації несприятливих економічних умов та масових скорочень персоналу.
Впроваджений співробітник, що підкуповується або маніпулюється.У разі йдеться про якісь цілеспрямовані дії, зазвичай, з метою промислового шпигунства за умов гострої конкуренції. Для збору конфіденційної інформації в компанію-конкурента або впроваджують свою людину з певними цілями, або знаходять не самого лояльного співробітника і підкуповують його, або лояльного, але непильного співробітника засобами соціальної інженерії змушують передати конфіденційну інформацію. Кількість таких інцидентів зазвичай ще менше, ніж попередніх, у зв'язку з тим, що в більшості сегментів економіки в конкуренція не сильно розвинена або реалізується іншими способами.
Недбалий співробітник.Даний вид порушника є лояльним, але неуважним або халатним співробітником, який може порушити політику внутрішньої безпеки підприємства через її незнання або забудькуватість. Такий співробітник може помилково надіслати листа електронною поштою з доданим секретним файлом не тому, для кого він призначений, або взяти додому флешку з конфіденційною інформацією, щоб попрацювати з нею у вихідні, і втратити її. До цього ж типу належать співробітники, які втрачають ноутбуки та магнітні стрічки. На думку багатьох експертів, інсайдери саме цього відповідальні за більшість витоків конфіденційної інформації.

Отже, мотиви, отже, і спосіб дій потенційних порушників може істотно відрізнятися. Залежно від цього слід підходити до вирішення завдання забезпечення внутрішньої безпеки організації.

Технології захисту від внутрішніх загроз

Незважаючи на відносну молодість даного сегменту ринку, клієнтам вже є з чого вибирати залежно від їхніх завдань та фінансових можливостей. Варто зазначити, що зараз на ринку практично немає вендорів, які б спеціалізувалися виключно на внутрішніх загрозах. Така ситуація склалася не тільки через незрілість даного сегменту, але ще й завдяки агресивній та іноді хаотичній політиці злиття та поглинання, яку проводять виробники традиційних засобів захисту та інші вендори, зацікавлені у присутності на цьому сегменті. Варто нагадати про компанію RSA Data Security, яка стала підрозділом EMC у 2006 році, купівлю компанією NetApp стартапу Decru, що займався розробкою систем захисту серверних сховищ та резервних копій у 2005, купівлю компанією Symantec DLP-вендора Vontu у 2007 році тощо.

Незважаючи на те, що велика кількість подібних угод говорить про добрі перспективи розвитку даного сегменту, вони не завжди йдуть на користь якості продуктів, що переходять під крило великих корпорацій. Продукти починають повільніше розвиватися, а розробники негаразд оперативно реагують на вимоги ринку порівняно з вузькоспеціалізованою компанією. Це загальновідома хвороба великих компаній, які, як відомо, програють у мобільності та оперативності своїм меншим братам. З іншого боку, покращується якість сервісу та доступність продуктів для клієнтів у різних точках земної кулі завдяки розвиненості їхньої сервісної та збутової мережі.

Розглянемо основні технології, що застосовуються нині для нейтралізації внутрішніх загроз, їх переваги та недоліки.

Контроль документів

Технологія контролю документів втілюється в сучасних продуктах класу rights management, таких як Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES та Oracle Information Rights Management.

Принцип роботи даних систем полягає у призначенні правил використання для кожного документа та контролю цих прав у додатках, що працюють із документами даних типів. Наприклад, можна створити документ Microsoft Word і встановити для нього правила, кому можна його переглядати, кому редагувати і зберігати зміни, а кому друкувати. Ці правила в термінах Windows RMS називаються ліцензією та зберігаються разом із файлом. Вміст файлу зашифровується для запобігання можливості його перегляду неавторизованим користувачем.

Тепер якщо будь-який користувач намагається відкрити такий захищений файл, програма зв'язується зі спеціальним RMS-сервером, підтверджує повноваження користувача, і, якщо доступ цього користувача дозволено, сервер передає додатку ключ для розшифрування даного файлу та інформацію про права цього користувача. Програма на основі цієї інформації робить доступними для користувача лише ті функції, для виконання яких він має права. Наприклад, якщо користувачеві заборонено друкувати файл, функція друку в програмі буде недоступною.

Виходить, що інформація в такому файлі є безпечною навіть у випадку, якщо файл потрапить за межі корпоративної мережі – вона зашифрована. Функції RMS вже вбудовані в Microsoft Office 2003 Professional Edition. Для вбудовування функцій RMS у додатки інших розробників Microsoft пропонує спеціальний SDK.

Система контролю документів від Adobe побудована аналогічно, але орієнтована на документи у форматі PDF. Система Oracle IRM встановлюється на клієнтські комп'ютери як агента і інтегрується з додатками на етапі їх виконання.

Контроль документів – це важлива частина загальної концепції захисту від внутрішніх загроз, проте необхідно враховувати природні обмеження цієї технології. По-перше, вона розрахована виключно на контроль файлів-документів. Якщо мова йде про неструктуровані файли або бази даних, ця технологія не працює. По-друге, якщо зловмисник, використовуючи SDK цієї системи, створить найпростіший додаток, який буде зв'язуватися з RMS-сервером, отримувати звідти ключ шифрування та зберігати документ у відкритому вигляді і запустить цю програму від імені користувача, що має мінімальний рівень доступу до документа, то ця система буде обійдена. Крім цього, слід враховувати складнощі при впровадженні системи контролю документів у разі, якщо в організації вже створено багато документів – завдання первісної класифікації документів та призначення прав їх використання може вимагати значних зусиль.

Це не означає, що системи контролю документів не виконують поставленого завдання, просто треба пам'ятати, що захист інформації – проблема комплексна, і вирішити її за допомогою лише одного засобу, як правило, не вдається.

Захист від витоків

Термін захист від витоків (data loss prevention, DLP) з'явився в лексиконі фахівців з ІБ порівняно недавно, і вже встиг стати без перебільшення найгарячішою темою останніх років. Як правило, абревіатурою DLP позначають системи, що контролюють можливі канали витоку та блокують їх у разі спроби пересилання цими каналами будь-якої конфіденційної інформації. Крім цього, у функції подібних систем часто входить можливість архівування інформації, що проходить по них, для подальшого аудиту, розслідування інцидентів і ретроспективного аналізу потенційних ризиків.

Розрізняють два види DLP-систем: мережеві DLP та хостові DLP.

Мережеві DLPпрацюють за принципом мережевого шлюзу, який фільтрує всі дані, що проходять через нього. Очевидно, що з завдання боротьби з внутрішніми загрозами, основний інтерес такої фільтрації полягає в можливості контролю даних, що передаються за межі корпоративної мережі в інтернет. Мережеві DLP дозволяють контролювати вихідну пошту, http- та ftp-трафік, служби миттєвих повідомлень і т. д. При виявленні конфіденційної інформації мережеві DLP можуть заблокувати файл, що передається. Також існують можливості щодо ручної обробки підозрілих файлів. Підозрювальні файли поміщаються в карантин, який періодично переглядає офіцер безпеки і дозволяє передачу файлу, або забороняє її. Щоправда, така обробка через особливості протоколу можлива лише для електронної пошти. Додаткові можливості з аудиту та розслідування інцидентів надає архівування всіх інформації, що проходить через шлюз, за умови, що цей архів періодично проглядається і його вміст аналізується з метою виявлення витоків.

Однією з основних проблем при реалізації та впровадженні DLP-систем є спосіб детектування конфіденційної інформації, тобто, момент прийняття рішення про те, чи є інформація, що передається, конфіденційною та підстави, які враховуються при прийнятті такого рішення. Як правило, для цього проводиться аналіз вмісту документів, що передаються, званий також контентним аналізом. Розглянемо основні підходи до детектування конфіденційної інформації.

Мітки. Цей метод аналогічний системам контролю документів, розглянутим вище. У документи впроваджуються мітки, що описують ступінь конфіденційності інформації, що можна робити з цим документом, та кому посилати. За результатами аналізу міток, система DLP приймає рішення, чи можна цей документ відправити назовні чи не можна. Деякі DLP системи спочатку роблять сумісними із системами rights management для використання міток, які встановлюють ці системи, інші системи використовують свій формат міток.
Сигнатури. Даний метод полягає в завданні однієї або декількох послідовностей символів, наявність яких у тексті файлу, що передається, повинна говорити DLP-системі про те, що цей файл містить конфіденційну інформацію. Велику кількість сигнатур можна організовувати у словнику.
Метод Байєса. Даний метод, який застосовується при боротьбі зі спамом, може успішно застосовуватись і в системах DLP. Для застосування цього методу створюється список категорій, і вказуються список слів із ймовірностями того, що якщо слово зустрілося у файлі, файл із заданою ймовірністю належить або не належить до зазначеної категорії.
Морфологічний аналізМетод морфологічного аналізу аналогічний сигнатурному, відмінність у тому, що аналізується не 100% збіг з сигнатурою, а враховуються також однокореневі слова.
Цифрові відбитки.Суть даного методу полягає в тому, що для всіх конфіденційних документів обчислюється деяка хеш-функція таким чином, що якщо документ буде трохи змінено, хеш-функція залишиться такою ж, або теж незначно зміниться. Таким чином, процес детектування конфіденційних документів значно спрощується. Незважаючи на захоплені дифірамби цієї технології з боку багатьох вендорів та деяких аналітиків, її надійність залишає бажати кращого, а з урахуванням того, що вендори під різними приводами вважають за краще залишати в тіні деталі реалізації алгоритму цифрових відбитків, довіра до неї не збільшується.
Регулярні вирази.Відомі всім, хто мав справу з програмуванням, регулярні вирази дозволяють легко знаходити в тексті шаблонні дані, наприклад телефони, паспортні дані, номери банківських рахунків, номери соціального страхування і т.д.

З наведеного списку легко помітити, що методи детектування або не гарантують 100% визначення конфіденційної інформації, оскільки рівень помилок як першого, так і другого роду в них досить високий, або вимагають постійного чування служби безпеки для оновлення та підтримки в актуальному вигляді списку сигнатур або присвоєння конфіденційним документам.

Крім цього, певну проблему у роботі мережевих DLP може створити шифрування трафіку. Якщо за вимогами безпеки необхідно шифрувати повідомлення електронної пошти або використовувати протокол SSL при з'єднанні з будь-якими веб-ресурсами, проблема визначення наявності конфіденційної інформації в файлах, що передаються, може бути дуже складною. Не варто забувати і про те, що деякі сервіси миттєвих повідомлень, наприклад, в Skype, шифрування вбудоване за замовчуванням. Від використання таких сервісів доведеться відмовлятися або використовувати для контролю хостові DLP.

Проте, незважаючи на всі складнощі, при правильному налаштуванні та серйозному підході мережеві DLP можуть значно знизити ризик витоку конфіденційної інформації та дати організації зручний засіб для внутрішнього контролю.

Хостові DLPвстановлюються за кожен хост у мережі (на клієнтські робочі станції і, за необхідності, на сервера) і можуть бути використані контролю інтернет-трафіку. Однак в цій якості хостові DLP набули меншого поширення, і використовуються в даний час в основному для контролю зовнішніх пристроїв та принтерів. Як відомо, співробітник, який приніс на роботу з флешку або з MP3-плеєр, становить для інформаційної безпеки підприємства набагато більшу загрозу, ніж усі хакери, разом узяті. Ще ці системи називають засобами забезпечення безпеки кінцевих точок мережі (endpoint security), хоча часто цей термін використовується ширше, наприклад, іноді називають антивірусні засоби.

Як відомо, проблему використання зовнішніх пристроїв можна вирішити без використання будь-яких засобів, відключивши порти або фізично або засобами операційної системи, або адміністративно, заборонивши співробітникам приносити в офіс будь-які носії інформації. Однак, у більшості випадків підхід «дешево і сердито» неприйнятний, оскільки не забезпечується належна гнучкість інформаційних служб, що з боку бізнес-процесів.

Через це виник певний попит на спеціальні засоби, за допомогою яких можна гнучкіше вирішити проблему використання зовнішніх пристроїв та принтерів співробітниками компаній. Такі засоби дозволяють налаштовувати права доступу для користувачів до різних видів пристроїв, наприклад, для однієї групи користувачів забороняти роботу з носіями та дозволяти з принтерами, а для іншої – дозволяти роботу з носіями в режимі лише читання. У разі потреби записування інформації на зовнішні пристрої для окремих користувачів може використовуватися технологія тіньового копіювання, яка забезпечує копіювання на сервер всієї інформації, що зберігається на зовнішній пристрій. Скопійована інформація може бути згодом проаналізована для аналізу дій користувачів. Дана технологія копіює все підряд, і в даний час немає систем, які дозволяють проводити контентний аналіз файлів, що зберігаються для того, щоб заблокувати операцію і запобігти витоку, як це роблять мережеві DLP. Тим не менш, архів тіньових копій забезпечить розслідування інцидентів та ретроспективний аналіз подій у мережі, і наявність такого архіву означає для потенційного інсайдера можливість бути спійманим та покараним за свої дії. Це може виявитися для нього суттєвою перешкодою та вагомою причиною відмовитись від ворожих дій.

Варто ще згадати контроль використання принтерів – тверді копії документів можуть стати джерелом витоку. Хостові DLP дозволяють контролювати доступ користувачів до принтерів так само, як і до інших зовнішніх пристроїв, і зберігати копії документів, що роздруковуються, у графічному форматі для подальшого аналізу. Крім цього, певного поширення набула технологія водяних знаків (watermarks), яка реалізує друк на кожній сторінці документа унікального коду, за яким можна визначити, хто саме, коли і де друкував цей документ.

Незважаючи на безперечні плюси хостових DLP, у них є ряд недоліків, пов'язаних із необхідністю встановлення агентського програмного забезпечення на кожному комп'ютері, який передбачається контролювати. По-перше, це може викликати певні складнощі з погляду розгортання таких систем та управління ними. По-друге, користувач з правами адміністратора може спробувати відключити це програмне забезпечення для здійснення будь-яких дій, не дозволених політикою безпеки.

Тим не менш, для надійного контролю зовнішніх пристроїв без хостових DLP не обійтися, а згадані проблеми не стосуються розряду нерозв'язних. Таким чином, можна зробити висновок, що концепція DLP в даний час є повноправним засобом в арсеналі корпоративних служб безпеки в умовах тиску, що постійно посилюється, щодо забезпечення внутрішнього контролю та захисту від витоків.

Концепція IPC

У процесі винаходу нових засобів боротьби з внутрішніми загрозами науково-інженерна думка сучасного суспільства не зупиняється, і з огляду на певні недоліки засобів, що розглядалися вище, ринок систем захисту від витоків інформації прийшов до концепції IPC (Information Protection and Control). Цей термін з'явився порівняно недавно, вважається, що вперше він був використаний в огляді аналітичною компанією IDC у 2007 році.

Суть цієї концепції полягає у поєднанні методів DLP та шифрування. У цій концепції за допомогою DLP контролюється інформація, що залишає межі корпоративної мережі з технічних каналів, а шифрування використовується захисту носіїв даних, які фізично потрапляють чи можуть потрапити до рук сторонніх осіб.

Розглянемо найпоширеніші технології шифрування, які можна застосовувати у концепції IPC.

Шифрування магнітних стрічок.Незважаючи на архаїчність цього типу носія, він продовжує активно використовуватися для резервного копіювання і для перенесення великих обсягів інформації, оскільки за питомою вартістю мегабайта, що зберігається, досі не має рівних. Відповідно, витоки, пов'язані з втратами магнітних стрічок, продовжують радувати редакторів стрічок новин, що поміщають інформацію про них на перші смуги, і засмучувати ІТ-директорів і служби безпеки підприємств, які стали героями подібних повідомлень. Ситуація ускладнюється тим, що такі стрічки містять дуже великі обсяги даних, і, отже, багато людей можуть стати жертвами шахраїв.
Шифрування серверних сховищ.Незважаючи на те, що серверні сховища дуже рідко транспортують, і ризик їх втрати набагато нижче, ніж у магнітної стрічки, окремий жорсткий диск зі сховища може потрапити в руки зловмисників. Ремонт, утилізація, апгрейд – ці події виникають із достатньою регулярністю для того, щоб списувати цей ризик із рахунків. Та й ситуація проникнення в офіс сторонніх осіб не є неможливою подією.

Тут варто зробити невеликий відступ і згадати про поширену оману про те, що якщо диск знаходиться у складі RAID-масиву, то нібито можна не турбуватися про те, що він потрапить у сторонні руки. Здавалося б, чергування даних, що записуються на кілька жорстких дисків, яке виконують контролери RAID, забезпечує нечитаний вид даних, які знаходяться на якомусь одному жорсткому вигляді. На жаль, це зовсім так. Чергування дійсно має місце, однак у більшості сучасних пристроїв воно виконується на рівні блоків 512 байт. Це означає, що, незважаючи на порушення структури та форматів файлів, конфіденційну інформацію витягти з такого жорсткого диска все одно можна. Тому якщо поставлена вимога щодо забезпечення конфіденційності інформації при її зберіганні в RAID-масиві, єдиним надійним варіантом залишається шифрування.

Шифрування ноутбуків.Про це йшлося вже незліченну кількість разів, але все одно втрати ноутбуків з конфіденційною інформацією вже котрий рік не виходять з першої п'ятірки хіт-параду інцидентів.
Шифрування знімних носіїв.У даному випадку йдеться про портативні USB-пристрої і, іноді, про CD- і DVD-диски, що записуються, якщо вони використовуються в бізнес-процесах підприємства. Такі системи, так само як і згадані вище системи шифрування жорстких дисків у ноутбуках, часто можуть виступати як компоненти хостових DLP-систем. У цьому випадку говорять про свого роду криптопериметр, який забезпечує автоматичне прозоре шифрування носіїв усередині, і неможливість розшифрувати дані за його межами.

Таким чином, шифрування може суттєво розширити можливості DLP-систем та знизити ризики витоку конфіденційних даних. Незважаючи на те, що концепція IPC оформилася порівняно недавно, і вибір комплексних IPC-рішень на ринку не надто широкий, індустрія активно освоює цю область і цілком можливо, що через деякий час ця концепція стане стандартом де-факто для вирішення проблем внутрішньої безпеки та внутрішнього контролю.

Висновки

Як видно з даного огляду, внутрішні загрози – це досить нова область в ІБ, яка активно розвивається і вимагає до себе підвищеної уваги. Розглянуті технології контролю документів, DLP та IPC дозволяють побудувати досить надійну систему внутрішнього контролю та знизити ризик витоку до прийнятного рівня. Без сумніву, дана область ІБ продовжить розвиватися, пропонуватимуться новіші та досконаліші технології, але вже сьогодні багато організацій роблять вибір на користь того чи іншого рішення, оскільки безтурботність у питаннях інформаційної безпеки може обійтися занадто дорого.

Олексій Раєвський
Генеральний директор компанії SecurIT

Останні дослідження в галузі інформаційної безпеки, наприклад, щорічне CSI/FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік у рік знижуються. Проте є кілька ризиків, збитки яких зростають. Одне з них - навмисне крадіжка конфіденційної інформації або порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даних необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжка конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD та DVD-дисків, ZIP-пристроїв і, найголовніше, різноманітних USB-накопичувачів. Саме їхнє масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків чудово розуміють, чим може загрожувати, наприклад, потрапляння бази даних із персональними даними їхніх клієнтів або, тим більше, проводками за їхніми рахунками до рук кримінальних структур. І вони намагаються боротися з ймовірним злодійством інформації доступними їм організаційними методами.

Проте організаційні методи у разі неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, трЗ-плссра, цифрового фотоапарата... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах із співробітниками , а по-друге, налагодити реально дієвий контроль над людьми все одно дуже складно – банк не «поштова скринька». І навіть відключення на комп'ютерах всіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD та ZIP-диски, CD та DVD-приводи тощо), USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери тощо. І ніхто не може перешкодити людині відключити на хвилину принтер, вставити в порт флеш-диск, що звільнився, і скопіювати на нього важливу інформацію. Можна, звісно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту та кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, що здійснює динамічне керування всіма пристроями та портами комп'ютера, які можуть використовуватись для копіювання інформації. Принцип їхньої роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволи на використання різних портів та пристроїв. Найбільша перевага такого ПЗ - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей та окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-які принтери та сканери, підключені до USB-портів. Проте інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токена, то в налаштуваннях можна вказати модель ключів, що використовується. Тоді користувачам буде дозволено використовувати лише придбані компанією пристрої, а решта виявиться марними.

Виходячи з описаного вище принципу роботи систем захисту можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису та портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів та пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, ПЗ має бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного екземпляра і т.п. Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів та комп'ютерів, що не тільки незручно, але і збільшує ризики виникнення помилок.

За даними різних аналітичних компаній, витік інформації дуже часто відбувається не за рахунок її розкрадання ззовні, а за рахунок передачі конфіденційної інформації власним співробітникам представникам організацій-конкурентів. Сьогодні існує безліч різних пристроїв, на які можуть бути скопійовані будь-які документи, що зберігаються у локальній мережі. І це не лише зовнішні USB-носія або CD/DVD-диски. Копіювати інформацію можна і на mp3-плеєри, стільникові телефони, які безпосередньо до комп'ютера можуть не підключатися, на зовнішнє обладнання, яке може підключатися до локальної мережі через Wi-Fi та іншими способами. Крім того - це і відправка електронною поштою, засобами програм для обміну миттєвими повідомленнями, через форуми, блоги, чати. Варіантів багато, чи можна захиститись від них?

Для захисту даних від інсайдерівзастосовують різні методи, до яких входить і використання спеціальних програм, призначених для контролю за використанням периферійних пристроїв. У цій статті ми розглянемо кілька програм, як зарубіжних виробників, так і вітчизняних, і намагатимемося визначити, де і коли їх слід застосовувати.

Програма призначена для обмеження доступудо різних периферійних пристроїв, з можливістю створення "білих" списків, ведення моніторингу роботи користувачів, тіньового копіювання файлів, що копіюються або з контрольованих пристроїв. Є можливість як централізованої установки драйверів стеження, і їх локальної установки.

Встановлення програми може здійснюватися як централізовано, так і локально, якщо доступ до комп'ютера, що захищається, через мережу обмежений або неможливий. У єдиний дистрибутив входить кілька модулів: серверний, встановлюється на сервері офісної локальної мережі, дозволяє/забороняє ті чи інші дії, зберігає інформацію в базу даних; клієнтський, реалізований як драйвера стеження; адміністраторський та база даних, в якості якої використовується SQLite.

Драйвера стеження забезпечують контрольрізних портів, включаючи USB, CIM, LPT, WiFi, ІЧ та інші. Залежно від типу порту можна повністю забороняти доступ, читати або відкривати повний доступ до пристрою. Розподіл доступу за часом відсутній. Також відмічено, що при дозволі доступу тільки на читання до пристроїв типу USB-флешок, можливість редагування звичайних текстових файлів на цих пристроях з можливістю їх збереження на цьому ж носії залишається.

Показує USB-пристрої, підключені до комп'ютерів, і веде журнал дій користувачів із зовнішніми накопичувачами інформації. Інформація про час підключення/відключення пристроїв і про те, які файли та коли були прочитані або записані, зберігається в базі даних. Реалізовано тіньове копіювання файлів, які читалися або записувалися на пристрої USB. Тіньового копіювання файлів, що надсилаються на друк чи інші пристрої, немає, ведеться лише їхнє журналування.

Існує поняття "білого списку", до якого заносяться USB-пристрої, доступ до яких повинен бути відкритий завжди на всіх комп'ютерах (наприклад, USB-ключі). Цей список єдиний для всіх комп'ютерів, індивідуальних списків для окремих користувачів немає.

забезпечує налаштування доступу до різних зовнішніх пристроїв, але не виділяє при цьому із загального списку USB-пристроїв принтери, що підключаються до цих портів. У той самий час вона розрізняє змінні носії і може встановлювати їм різні види доступу. Змінні носії автоматично заносяться в базу пристроїв (програма занесе в базу всі USB-носії, які будь-коли підключалися до конкретного комп'ютера), що дозволяє застосовувати призначені для них права доступу для будь-яких комп'ютерів, що захищаються за допомогою програми.

У ній можна використовувати централізовану установку клієнтських частин за допомогою групової політики Active Directory. При цьому зберігається можливість їх встановлення локально та через панель адміністратора програми. Розмежування прав доступу здійснюється на основі політик контролю доступу, однак допускається створення кількох політик, які можуть застосовуватися індивідуально для різних комп'ютерів. Крім функцій контролю доступу, дозволяє здійснювати протоколювання використання пристроїв на локальному комп'ютері.

Програма підтримує функцію тіньового копіювання – можливість зберігати точну копію файлів, які копіюються користувачем на зовнішні пристрої зберігання інформації. Точні копії всіх файлів зберігаються у спеціальному сховищі та пізніше можуть бути проаналізовані за допомогою вбудованої системи аналізу. Тінне копіювання може бути задано для окремих користувачів та груп користувачів. При включенні функції "вести тільки лог" при копіюванні файлів зберігатиметься лише інформація про них (без збереження точної копії файлу).

У програмі немає поняття "білого списку" пристроїв. Замість нього в загальній політиці можна вказати знімний носій і дозволити йому доступ з будь-якого комп'ютера. Зауважимо, що в ній немає можливості застосувати такі ж налаштування до окремих CD/DVD-дисків.

Програма компанії GFIістотно перевершує за своїми можливостями і, і – в ній, наприклад, набагато більше контрольованих пристроїв, ніж у попередніх програм (медіаплеєри iPod, Creative Zen, мобільні телефони, цифрові камери, засоби архівування на магнітних стрічках та Zip-дисках, Web-камери, сканери).

У програмі передбачено три типові параметри прав доступу – для серверів, робочих станцій та переносних комп'ютерів. На додаток до блокування пристроїв, у програмі є можливість блокування доступуфайлів залежно від їх типу. Наприклад, можна відкрити доступ до читання файлів документів, але заборонити доступ до виконуваних файлів. Також є можливість блокування доступу до пристроїв не тільки за їх типом, але й фізичним портом, до якого підключаються зовнішні пристрої. Ще одна налаштування прав доступуведеться за унікальними ідентифікаторами пристроїв.

Адміністратор програми може вести два типи списків пристроїв – тих, доступ до яких дозволено за замовчуванням (білий список), і тих, доступ до яких заборонено (чорний список). ІТ-спеціаліст може давати тимчасові дозволи на доступ до пристроїв або груп пристроїв на окремому комп'ютері (реалізується за рахунок генерації спеціального коду, який може передаватися користувачеві навіть у тому випадку, якщо його комп'ютер відключений від мережі та агент програми не має можливості підключитися до сервера ).

У програмі реалізована підтримка нової функції шифрування, яка використовується в системі Windows 7, яка називається BitLocker To Go. Ця функція використовується для захисту та шифрування даних на знімних пристроях. GFI EndPointSecurity може розпізнавати такі пристрої та забезпечувати доступ до збережених на них файлів залежно від їх типів.

Надає адміністратору потужну систему звітів. Підсистема статистики (GFI EndPointSecurity ReportPack) показує (в текстовому та графічному вигляді) щоденне зведення використання пристроїв як для вибраних комп'ютерів, так і для всіх комп'ютерів загалом. Також можна отримати статистичні дані щодо активності користувачів у розрізі дня, тижня, місяця з розбивкою за використаними програмами, пристроями, шляхами доступу до файлів.

Одна з найпоширеніших сьогодні у Росії програм захисту від інсайдерів. видається в Росії під маркою «1С: Дистрибуція»

Програма забезпечує контрольне тільки пристроїв, що працюють під керуванням Windows Mobile, а й пристроїв, що працюють під операційними системами iPhone OS та Palm OS. При цьому забезпечується і тіньове копіювання всіх файлів і даних, що переписуються, незалежно від того, по якому порту ці пристрої підключаються до контрольованої мережі. Тіньове копіювання можна налаштувати не лише за пристроями, а й за типами файлів, при цьому тип визначатиметься не на основі розширень, а на основі змісту.

Передбачена можливість встановлення доступу "тільки для читання" для змінних носіїв, включаючи стрічкові накопичувачі. Як додаткова опція – захист носіїв від випадкового чи навмисного форматування. Також можна вести протокол всіх дій користувачів як із пристроями, і з файлами (як копіювання чи читання, а й видалення, перейменування тощо).

Для зменшення навантаження на мережу при передачі даних, одержуваних від агентів, та файлів тіньового копіювання може використовуватися потоковий стиск. Дані тіньового копіювання у великих мережах можуть зберігатися на кількох серверах. Програма автоматично вибирає оптимальний сервер, враховуючи пропускну спроможність мережі та завантаження серверів.

У багатьох організаціях захисту даних використовуються диски, що захищаються спеціальними програмами шифрування - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt і TrueCrypt. Для таких дисків програма може встановлювати спеціальні "політики шифрування", що дозволяє дозволити записування лише зашифрованих даних на знімні пристрої. Підтримується робота з флеш-дисками Lexar JumpDrive SAFE S3000 і Lexar SAFE PSD, що підтримують апаратне шифрування даних. Найближчою версією буде підтримана і робота із вбудованим у Windows 7 засобом шифрування даних на знімних носіях BitLocker To Go.

Тінне копіювання призначене не тільки для збереження копій файлів, але і для аналізу переміщеної інформації. може здійснювати повнотекстовий пошук за вмістом файлів, автоматично розпізнаючи та індексуючи документи у різних форматах.

Вже оголошено про вихід нової версії програми, в якій крім повноцінного пошуку буде реалізовано і контентну фільтрацію файлів, що копіюються на знімні пристрої зберігання будь-яких типів, а також контроль вмісту об'єктів даних, що передаються з комп'ютера через канали мережевих комунікацій, включаючи додатки електронної пошти, інтерактивні web -сервіси, соціальні мережі, форуми та конференції, найбільш популярні служби миттєвих повідомлень (Instant Messengers), файлові обміни за протоколом FTP, а також Telnet-сесії

Унікальною в новій версії є технологія фільтрації текстових даних у каналі мережного та локального друку документів для завдань у форматах PCL та PostScript, що дозволяє блокувати або дозволяти друк документів залежно від їхнього інформаційного змісту.

Висновки


Віддалене керування клієнтами
Управління через оснащення MMC
Централізована установка політик, контроль та відновлення
Контроль зовнішніх пристроїв	Тільки USB
Контроль WiFi адаптерів
Контролює пристрої Palm OS. iPhone/iPod			Обмежене	Обмежене
Підтримка технології "білих списків"
Підтримка технології "білих списків" носіїв даних
Підтримка зовнішніх зашифрованих дисків
Блокування кейлоггерів
Обмеження обсягів копійованих даних
Контроль даних за типами
Централізоване ведення логів
Тіньове копіювання	Тільки для USB	Тільки для USB	Частково
Тіньове копіювання даних друку
Графічні звіти логів та тіньового копіювання
Повнотекстовий пошук у даних тіньового копіювання

Дві перші з розглянутих програм можуть використовуватись для захисту інформаціївід розкрадань, але можливості обмежені. Вони різною мірою "закривають" стандартні зовнішні пристрої, але можливості їх обмежені - і в налаштуваннях, і в частині проведення аналізу роботи користувачів. Ці програми можна рекомендувати для проби, для з'ясування самого процесу захисту. Для великих організацій, де використовується різноманітне периферійне обладнання та потрібен аналіз діяльності користувачів, ці програми будуть явно недостатніми.

Для них краще звернути увагу на програми-і. Це професійні рішення, які можуть застосовуватися в компаніях як з малою, так і з великою кількістю комп'ютерів. Обидві програми забезпечують контроль різних периферійних пристроїв та портів, мають потужні системи аналізу та формування звітів. Але й між ними є суттєві відмінності, тому програму компанії GFIу цьому випадку можна сприйняти за базову. може контролювати не тільки пристрої та роботу з даними, але й використання програмного забезпечення. Ця можливість "підтягує" її з ніші "Device Control" у сегмент "Content-Aware Endpoint DLP". Нові заявлені можливості дозволяють їй різко відірватися від своїх конкурентів за рахунок появи можливості аналізу контенту на момент виконання користувачем різних дій з даними, включаючи потокові, а також за рахунок контролю ряду параметрів контексту мережевих комунікацій, включаючи адреси електронної пошти, IP адреси, ідентифікатори користувачів та ресурсів мережевих додатків тощо. можна у партнерів "1Софт".

Михайло Абрамзон

Всі права захищені. З питань використання статті звертайтесь до адміністраторам сайту

Для ефективного захисту від інсайдерів насамперед необхідно забезпечити контроль над усіма комунікаційними каналами – від звичайного офісного принтера до звичайної флешки та фотокамери мобільного телефону.

Методи захисту від інсайдерів:

* Апаратна автентифікація співробітників (наприклад, за допомогою USB-ключа або смарт-карти);
* аудит всіх дій всіх користувачів (включаючи адміністраторів) у мережі;
* Використання потужних програмно-апаратних засобів захисту конфіденційної інформації від інсайдерів;
* Навчання співробітників, відповідальних за інформаційну безпеку;
* Підвищення особистої відповідальності співробітників;
* постійна робота з персоналом, які мають доступ до конфіденційної інформації (інструктаж, навчання, перевірка знань правил та обов'язків щодо дотримання інформаційної безпеки тощо);
* відповідність рівня зарплати рівню конфіденційності інформації (у розумних межах!);
* Шифрування конфіденційних даних;
* Але найголовніше, звичайно, людський фактор: хоча людина – найслабша ланка в системі безпеки, але й найважливіше! Боротьба з інсайдерами не повинна перетворюватися на тотальне стеження за всіма. У компанії має бути здоровий моральний клімат, що сприятиме дотриманню корпоративного кодексу честі!

За підсумками щорічного опитування Інституту комп'ютерної безпеки (CSI, Computer Security Institute), у 2007 р. фахівці з безпеки виділили три основні проблеми, з якими їм довелося стикатися протягом року: 59% визнали загрозою № 1 інсайдерів, 52% - віруси та 50 % – втрату мобільного носія (ноутбука, флеш-накопичувача). Отже, проблема внутрішніх порушників в Америці вперше почала переважати проблему вірусів. На жаль, такої інформації по Росії ми не маємо, проте є підстави стверджувати, що ситуація в нашій країні, як мінімум, схожа. Так, у ході круглого столу з проблеми витоку інформації внаслідок дій інсайдерів, що проходив у жовтні на щорічній конференції Aladdin, пролунали результати опитування системних адміністраторів державних установ, які, як відомо, мають невисокий рівень доходу. На запитання, за яку суму у них можна отримати конфіденційні дані, лише 10% опитаних відповіли, що ніколи не підуть на такий посадовий злочин, близько половини опитаних готові ризикнути за великі гроші, а приблизно 40% готові піти на це за будь-яку винагороду. Як кажуть, коментарі зайві. Основна складність організації захисту від інсайдера полягає в тому, що він є законним користувачем системи і за боргом служби має доступ до конфіденційної інформації. Те, як співробітник розпоряджається цим доступом у межах службових повноважень чи поза межами, відстежити дуже складно. Розглянемо основні завдання боротьби із внутрішніми порушниками (див. таблицю).