Защита от инсайдеров и утечки информации

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI ComputerCrimeAndSecuritySurvey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них -- намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно -- банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО -- гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с ActiveDirectory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.

Чем больших успехов достигает человечество в борьбе с внешними киберугрозами, тем решительнее на первый план выходят угрозы внутренние, с которыми по статистике связано более 70% процентов всех инцидентов безопасности. Данная статья обобщает опыт российской компании – интегратора в области создания комплексных систем предотвращения утечки конфиденциальной информации. Подобные комплексные системыявляются жизненно важными для функционирования многих современных предприятий и организаций. Компании применяют целый арсенал способов контроля за работниками: просматривают электронную переписку, прослушивают телефонные разговоры, устанавливают камеры наблюдения, следят за посещаемостью web-сайтов в Интернете. Законны ли подобные действия? В настоящее время конфиденциальная информация и персональные данные обрабатываются в АС практически любого предприятия. Естественно, что подобная информация нуждается в защите. Но вот как ее защищать, чем отличаются средства защиты домашнего компьютера и компьютеров в корпоративных приложениях, какие задачи защиты информации и каким образом должны решаться в комплексе для обеспечения эффективной защиты конфиденциальной информации? Никто не застрахован от саботажа IT-инфраструктуры. Любой сотрудник может даже по самому пустяковому поводу обидеться на руководство или коллег, а затем совершить настоящую диверсию: уничтожить чрезвычайно важную для компании информацию, разослать непристойные письма клиентам фирмы и т. п. Очевидно, что ущерб в этом случае может варьироваться от испорченного рабочего климата до прямых многомиллионных потерь. Озабоченность бизнеса проблемами внутренней IT-безопасности и защиты своих информационных активов постоянно подтверждается исследованиями ведущих организаций. Согласно опубликованному в январе 2006 года отчету 2005 FBI Computer Crime Survey, 44% американских компаний пострадали в течение года в результате серьезных инцидентов, происходивших во внутренней IT-безопасности, при этом инсайдеры крали конфиденциальные документы работодателя, пытались исказить информацию с целью финансового мошенничества, выносили из офиса оборудование и т. д. В настоящее время на рынке систем предназначенных для защиты конфиденциальной информации от утечек (DLP), существует несколько основных базовых технологий обнаружения, среди которых лингвистический и контекстный анализ, а также цифровые отпечатки и метки. Многие работники коммерческих организаций знакомы с таким проявлением корпоративного контроля, как прослушивание служебных телефонов. Обычно этим занимаются сотрудники служб безопасности крупных и средних организаций по поручению руководства, причем прослушивание может носить как гласный, так и негласный характер. Как определить, кто из сотрудников организации и поступающих на работу наносит или может нанести ущерб её интересам? Как выявить потенциальных алкоголиков, людей, склонных к воровству и тех, кто никогда не будут продуктивно работать? Ведь все они могут стать сотрудниками Вашей компании. Грамотно разобраться в этом - задача не из легких. О роли человеческого фактора в обеспечении безопасности организации, некоторых потенциальных источниках кадрового риска и мерах по защите организации от них рассказывает эта статья. Защита корпоративной информации от внутренних угроз в последние годы переросла из модного тренда для избранных компаний во вполне самостоятельное направление информационной безопасности. Топ-менеджеры постепенно начинают пересматривать своё отношение к финансированию и рассматривать защиту данных от внутренних угроз не только как источник расходов, но и как конкурентное преимущество компании. Во многих организациях сформированы специальные группы и отделы для защиты коммерческой тайны, персональных данных и другой конфиденциальной информации. Ценность информации как одной из составляющих любого бизнеса трудно переоценить: по мнению специалистов, потеря лишь четверти информации, относимой к категории коммерческой тайны организации, в течение нескольких месяцев приводит к банкротству половины этих самых организаций, допустивших утечку подобных сведений. В сфере информационных технологий, как ни в какой другой области, успех компании нередко целиком основывается на удачном ноу-хау, технологическом ходе, маркетинговой стратегии или даже просто оригинальной идее. Причем ценнейшая информация об этих решениях, ходах и идеях существует в головах сотрудников компании. Нельзя не согласиться с тем, что хранилище это далеко не самое надежное с точки зрения защиты конфиденциальной информации от неправомерного или нежелательного доступа третьих лиц, либо от недобросовестного использования ее самим работником, например для создания собственной конкурентной разработки. Ниже пойдет речь о том, как работодатель может проконтролировать распространение коммерчески важной информации внутри компании и за ее пределами, как при этом могут быть соблюдены права работника и какие компенсации он должен получить за известное ограничение этих прав. А также как отвечает работник за разглашение секретных сведений своего работодателя. «Да минует меня чаша сия!» Отгоняя от себя самые неприятные мысли, это сокровенное заклинание мы произносим в самые разные моменты нашей жизни. Будь то поход на кишащий карманниками вещевой рынок или позднее возвращение домой. Ощущения безопасности не возникает у нас, порой, даже в собственной квартире. Милицейские сводки напоминают хронику боевых действий. По статистике, каждые 3,5 минуты в России происходит квартирная кража. Обнаружить злоумышленников, как правило, не удаётся. Но можно ли подобную неприятность предотвратить? Специалисты компании «Промет», ведущего поставщика и производителя отечественных сейфов и металлической мебели, на этот вопрос отвечают вполне определённо: надёжной защитой ваших сбережений станет сейф. В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения. Сейчас всё больше организаций используют решения класса DLP (Data Loss Prevention) для защиты корпоративной информации от утечек. Каждая компания перед внедрением DLP оценивает риски и строит модель угроз, в которой прописываются классы защищаемой информации, сценарии использования данных и связанные с ними угрозы. В большинстве случаев потенциальными каналами утечки данных признаются внешние накопители, принтеры, корпоративная почта и различные веб-сервисы, и мало кто задумывается о защите данных, записываемых на магнитные ленты или другие резервные носители, которые, в итоге, хранятся и транспортируются в незащищенном виде. Изучая информационную безопасность предприятий и эффективность мер её обеспечения, реализуемых в настоящее время в корпоративных информационных системах (КИС) банков, поневоле обращает на себя внимание опрос, проведенный в 2011 году фирмой Sailpoint Technologies, в аспекте, несколько отстоящем от определений «защита компьютера от несанкционированного доступа» и «несанкционированный доступ к компьютерной информации» (НСД) – аналитики оценивали лояльность сотрудников компаний корпоративной этике в части работы с информацией ограниченного использования. Сегодня угроза инсайдерства является актуальной проблемой для служб безопасности компании. Организации предоставляют своим временным и постояным сотрудникам доступ к критически-важной информации, что представляет серьезную угрозу безопасности организации. Персоналу компании проще совершить кражу или злоупотребить имеющейся информацией чем кому-либо, так как они имеют прямой доступ к информационным активам организации. По данным исследования компании Trustwave, 80% инцидентов в сфере информационной безопасности происходят в следствии использования ненадежных паролей. Инсайдеры стали основной причиной недавних инцидентов в министерстве здравоохранения штатов Юта и Южная Каролина в США. Использование парольной аутентификации в ИС предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, вероятно, само существование предприятия. Однажды практически все организации начинают понимать, что нуждаются в надежной защите корпоративной информации. Один из самых эффективных способов защитить свои данные – это установить в компании систему DLP. В большинстве случаев организация мотивирует свое решение тем, что данные системы надежно защищают конфиденциальную информацию и позволяют соответствовать требованиям органов-регуляторов. Сколько копий было сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Банковская сфера, находясь на передовой современных технологий, всегда одной из первой апробировала новинки мира IT и сферы информационной безопасности в частности. Двухфакторная аутентификация, биометрические системы и многое другое. Всё это нашло отклик там, где практичные люди предпочитают держать свои сбережения. Но так уж устроен наш славянский менталитет, что «пока гром не грянет». А по сему, давайте развеем основные мифы, которые до сих пор нет-нет да и встречаются в банковском секторе. За последние пару лет операторы «большой тройки» уже дважды крупно оскандалились на SMS-сообщениях. В первый раз «помог» Яндекс и в принципе утечку можно относить к разряду утечек «по неосторожности». Но на этот раз… Федеральная служба безопасности сообщила о том, что была обнаружена группа злоумышленников, получивших от сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных московских чиновников, после чего «Вымпелком» подтвердил факт утечки информации, а МТС, напротив, опроверг. Оставим поиск виновных на долю следствия и обратим внимание на материалы дела: неустановленные сотрудники технических центров мобильных операторов передавали конфиденциальную информацию третьим лицам. Говоря языком «безопасников», имело место действия инсайдеров. Предотвращение утечек информации, несанкционированного доступа, является одной из важнейших задач службы информационной безопасности любой организации. Если есть конфиденциальная информация (государственная, коммерческая тайна, персональные данные), то существует и проблема ее охраны от хищения, удаления, изменения, просмотра. С ростом компании увеличивается опасность хищения информации, в том числе сотрудниками, возрастают финансовые и репутационные риски, это приводит к ужесточению политик и систем контроля. В наше время информация представляет собой огромную ценность. Обладание ею предоставляет колоссальные возможности в бизнесе, в экономике, в политике и других сферах. Недаром говорят, кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Существует множество различных форматов файлов, в которых хранится текстовая информация, среди которых TXT, RTF, DOC, DOCX, HTML, PDF и мн. др. Однако ни одна компания как в нашей стране, так и во всем мире не предлагала защиту XML-документации. Рассмотрим подробно, что такое XML-файлы, почему их нужно защищать, и как была впервые создана защита для такого формата.

На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая «флешки», CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. д.). А поэтому, когда компания «созревает» на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.

Zlock: защита от утечек через съемные накопители

Программа Zlock появилась на рынке уже достаточно давно. И мы уже . В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.

В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.

Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.

Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.

Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.

Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. п.

Zgate: защита от утечек через интернет

Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера Microsoft Exchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP- и IM-трафика).

Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.

Консоль управления

Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и «внешним миром» (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).

Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).

Выбор режима работы Zgate

Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP- и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и «аську», публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об «аське». Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно «аськи» в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.

Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.

Настройка компонента Zgate Web

Способы обработки информации в Zgate и порядок фильтрации задает политикой, которая разрабатывается офицером по безопасности или другим ответственным сотрудником. Она представляет собой ряд условий, каждому из которых соответствует определенное действие. Все входящие сообщения «прогоняются» по ним последовательно друг за другом. И если какое-то из условий выполняется, то запускается ассоциированное с ним действие.

Система фильтрации

Всего в системе предусмотрено 8 типов условий, как говорится, «на все случаи жизни». Первое из них - тип файла вложения. С его помощью можно обнаружить попытки пересылки объектов того или иного формата. Стоит отметить, что анализ ведется не по расширению, а по внутренней структуре файла, причем можно задавать как конкретные типы объектов, так и их группы (например, все архивы, видеозаписи и пр.). Второй тип условий - проверка внешним приложением. В качестве приложения может выступать как обычная программа, запускаемая из командной строки, так и скрипт.

Условия в системе фильтрации

А вот на следующем условии стоит остановиться подробнее. Речь идет о контентном анализе передаваемой информации. В первую очередь необходимо отметить «всеядность» Zgate. Дело в том, что программа «понимает» большое количество различных форматов. А поэтому она может анализировать не только простой текст, но и практически любые вложения. Другой особенностью контентного анализа является его большие возможности. Он может заключаться как в простом поиске вхождения в текст сообщения или любое другое поле определенного слова, так и в полноценном анализе, в том числе и с учетом грамматических словоформ, стемминга и транслита. Но это еще не все. Отдельного упоминания заслуживает система анализа по шаблонам и регулярным выражениям. С ее помощью можно легко обнаружить в сообщениях наличие данных определенного формата, например, серия и номера паспорта, номер телефона, номер договора, номер банковского счета и пр. Это, помимо всего прочего, позволяет усилить защиту персональных данных, находящихся в обработке компании.

Шаблоны для выявления различной конфиденциальной информации

Четвертый тип условий - анализ адресов, указанных в письме. То есть поиск среди них определенные строк. Пятый - анализ зашифрованных файлов. При его выполнении проверяются атрибуты сообщения и/или вложенных объектов. Шестой тип условий заключается в проверке различных параметров писем. Седьмой - анализ по словарю. В ходе него система выявляет наличие в сообщении слов из заранее созданных словарей. Ну и, наконец, последний, восьмой тип условия - составной. Он представляет собой два или больше других условий, объединенных логическими операторами.

Кстати, о словарях, упомянутых нами в описании условий, нужно сказать отдельно. Они представляют собой группы слов, объединенных по одному признаку, и используются в различных методах фильтрации. Логичнее всего создавать словари, которые с большой долей вероятностью позволяют отнести сообщение к той или иной категории. Их содержимое можно вводить вручную или импортировать данные из уже существующих текстовых файлов. Существует и еще один вариант генерации словарей - автоматический. При его использовании администратору достаточно просто указать папку, в которой содержатся подходящие документы. Программа сама проанализирует их, выберет нужные слова и расставит их весовые характеристики. Для качественного составления словарей необходимо указывать не только конфиденциальные файлы, но и объекты, не содержащие закрытую информацию. В общем, процесс автоматической генерации больше всего похож на обучение антиспама на рекламных и обычных письмах. И это неудивительно, ибо и там, и там используются схожие технологии.

Пример словаря на финансовую тему

Говоря о словарях, нельзя также не упомянуть об еще одной технологии обнаружения конфиденциальных данных, реализованной в Zgate. Речь идет о цифровых отпечатках. Суть данного метода заключается в следующем. Администратор может указать системе папки, в которых содержатся конфиденциальные данные. Программа проанализирует все документы в них и создаст «цифровые отпечатки» - наборы данных, которые позволяют определить попытку передачи не только всего содержимого файла, но и отдельных его частей. Обратите внимание, что система автоматически отслеживает состояние указанных ей папок и самостоятельно создает «отпечатки» для всех вновь появившихся в них объектов.

Создание категории с цифровыми отпечатками файлов

Ну а теперь осталось только разобраться с действиями, реализованными в рассматриваемой системе защиты. Всего их реализовано в Zgate аж 14 штук. Впрочем, большая часть определяет те действия, которые совершаются с сообщением. К ним относится, в частности, удаление без отправки (то есть, фактически, блокировка передачи письма), помещение в архив, добавление или удаление вложений, изменения различных полей, вставка текста и пр. Среди них особо стоит отметить помещение письма в карантин. Данное действие позволяет «отложить» сообщение для ручной проверки офицером безопасности, который и будет принимать решение о его дальнейшей судьбе. Также весьма интересно действие, позволяющее заблокировать IM-соединение. Его можно использовать для моментальной блокировки канала, по которому было передано сообщение с конфиденциальной информацией.

Несколько особняком стоят два действия - обработка методом Байеса и обработка методом отпечатков. Оба они предназначены для проверки сообщений на предмет нахождения в них конфиденциальной информации. Только в первом используются словари и статистический анализ, а во втором - цифровые отпечатки. Эти действия могут выполняться при выполнении определенного условия, например, если адрес получателя находится не в корпоративном домене. Кроме того, их (впрочем, как и любые другие) можно выставить для безусловного применения ко всем исходящим сообщениям. В этом случае система будет анализировать письма и относить их к тем или иным категориям (если, конечно, это возможно). А вот по этим категориям уже можно делать условия с выполнением определенных действий.

Действия в системе Zgate

Ну и в завершение нашего сегодняшнего разговора о Zgate можно подвести небольшой итог. Данная система защиты основана в первую очередь на контентном анализе сообщений. Такой подход является наиболее распространенным для защиты от утечки конфиденциальной информации через Интернет. Естественно, контентный анализ не дает стопроцентной степени защиты и носит скорее вероятностный характер. Тем не менее, его использование позволяет предотвратить большую часть случаев несанкционированной передачи секретных данных. Применять ее компаниям или нет? Это каждый должен решить сам для себя, оценив затраты на внедрение и возможные проблемы в случае утечки информации. Стоит отметить, что Zgate отлично справляется с «отловом» регулярных выражений, что делает его весьма эффективным средством защиты персональных данных, находящихся в обработке у компании.

В области информационной безопасности наибольшее внимание организации уделяют, как правило, защите от внешних атак, поэтому почти все средства, выделяемые на обеспечение безопасности, направляются на защиту уязвимых точек периметра сети предприятия. Сложившаяся ситуация нашла соответствующее отражение и на рынке решений ИТ-безопасности - в последние годы предлагается широкий спектр различных средств защиты от вирусов, червей, троянцев и прочих угроз извне.
Однако постепенно предприятия начинают осознавать новую опасность. Она исходит не от хакеров, не от спама или случайных вирусов, а от собственных сотрудников. Инсайдеры находятся внутри самой организации и наделены вполне легальными полномочиями, поэтому им гораздо проще получить доступ к интересующей их информации, чем любому злоумышленнику со стороны. Чтобы лучше разобраться в проблеме, обратимся к проведенному в 2006 году исследованию американской аналитической компании Aberdeen Group «The Insider Threat Benchmark Report - Strategies for Data Protection», в ходе которого были опрошены 88 крупных американских корпораций.

Основные результаты опроса крупных корпораций

Угроза со стороны инсайдеров все нарастает. Современный бизнес уже не может игнорировать эту опасность и усиленно готовится к противодействию. Компании, которые предпочитают ее не замечать или экономят на внедрении новых систем безопасности, несут серь езные убытки. Многие компании, упомянутые в исследовании, серьезно пострадали от утечек данных и только потом позаботились о мерах пресечения. Их пример должен послужить уроком для других фирм.

Предприятиям, желающим обезопасить себя от утечек конфиденциальной информации, следует со всей ответственностью подойти к решению проблемы. Иррациональная экономия на средствах безопасности выльется в солидные убытки в ближайшем будущем. Лучшим вариантом будет прибегнуть к помощи профессионалов, специализирующихся на системах защиты от инсайдеров. Такие системы смогут легко интегрироваться в уже существующую инфраструктуру. Вдобавок, компании-продавцы не только обеспечат работоспособность решения, но и гарантируют его высокую эффективность.

Как такового средства против инсайдеров не существует. Надежно защитить информацию поможет лишь применение целого комплекса мер и решений. Несмотря на инерционность крупных поставщиков, на рынке имеется достаточное количество готовых комплексов, обеспечивающих защиту от инсайдеров и утечек.

Одной из важнейших современных технологий защиты информации является фильтрация сетевого трафика (уже внедрена у 53% респондентов). Еще 28% планируют установить подобные фильтры в текущем году. Кроме того, весьма перспективной технологией является классификация данных. Хотя сегодня ее используют только 42% корпораций, в этом году их количество возрастет на 44% (то есть до 86%). Однако серьезное беспокойство вызывает тот факт, что неоправданно малое число респондентов использует другие эффективные решения для защиты от утечек и инсайдеров, например мониторинг действий служащих.

Для многих предприятий одним из главных препятствий (44%) на пути внедрения дополнительных средств защиты от утечек информации является ограниченность IT-ресурсов. В то же время внедрение таких средств защиты позволяет не только значительно уменьшить риск потери важных данных, но и заметно (на 17,5%) снизить затраты на деятельность ИТ-подразделений.

Текущее положение

Нет ничего удивительного в том, что последствия инсайдерских инцидентов зачастую оказываются гораздо более плачевными, чем даже удавшаяся атака хакеров. Причин тому немало. Одной лишь легкостью доступа к различным информационным ресурсам все не объяснить. Дело в том, что информация, украденная инсайдерами, как правило, является более важной, чем та, которую способны раздобыть хакеры. Одна из важнейших причин роста угрозы со стороны инсайдеров и легкости осуществления ими противоправных действий - это халатность служб внутренней IT-безопасности (если таковые вообще существуют). Организации оказываются не готовыми противостоять инсайдерам, поскольку у них попросту нет соответствующих инструментов. Даже если угроза идентифицирована, работники сферы без опасности еще не могут должным образом противостоять ей, так как не наработали должного опыта в указанной сфере. Вообще, на рынке уже сейчас можно найти комплексные решения для защиты конфиденциальной информации от инсайдеров. К сожалению, зачастую ответственные руководители не понимают всей серьезности угрозы. Они по инерции продолжают заниматься наращиванием усилий по защите периметра своей организации именно от внешней опасности.

Между тем новостные агентства и СМИ уделяют все больше внимания именно проблеме инсайдеров. Специалисты говорят о росте числа утечек конфиденциальной информации и их печальных последствиях: потере времени, финансовых убытках и ударе по репутации. Кроме того, отмечается глобальная тенденция, заключающаяся в том, что бизнес начинает переключаться именно на проблему внутренней ИТ-безопасности.

В ходе исследования «The Insider Threat Benchmark Report - Strategies for Data Pro tection» аналитикам удалось выяснить, что за последний год многие поставщики и дис трибьюторы ИТ-систем качественно изменили номенклатуру предлагаемых решений. При этом увеличилась доля продуктов, предназначенных именно для борьбы с инсайдерами. Однако в то же самое время наиболее крупные ИТ-поставщики продолжают расширять свой традиционный ассортимент, сохраняя пропорции решений на прежнем уровне. Это говорит либо о недооценке потенциала соответствующей линейки продуктов, либо о малом текущем спросе. Тем не менее 41% американских респондентов уже внедрил в свою ИТ-инфраструктуру средства защиты, в той или иной мере решающие проблему инсайдеров.

Отметим, что российские заказчики могут воочию убедиться в том, что интерес к системам для борьбы с утечками и инсайдерами со стороны поставщиков и системных интеграторов сильно возрос. Например, «Лаборатория Касперского» выделила свой бизнес в сфере внутренней ИТ-безопасности в отдельную компанию - InfoWatch, а практически все российские системные интеграторы включили решения этой фирмы в свою продуктовую линейку. По словам Дениса Зенкина, директора по маркетингу компании InfoWatch, за 2005 год прибыль предприятия возросла на 120% и в 2006 году наблюдалась аналогичная картина. И это несмотря на то, что российские компании существенно отстают от американских в использовании систем для защиты от инсайдеров. Согласно исследованию «Внутренние ИТ-угрозы в России 2005», в ходе которого компания InfoWatch опросила более 300 отечественных организаций, лишь 2% респондентов применяют системы для борьбы с инсайдерами и утечками. Однако рост прибылей поставщиков однозначно указывает на то, что положение это постепенно меняется.

Кроме того, к системам для борьбы с инсайдерами совсем недавно проявила интерес еще одна крупная антивирусная компания - McAfee. В октябре 2006 года она купила израильскую фирму Onigma, чье единственное решение предназначено как раз для выявления и предотвращения утечек. Согласно пресс-релизу, McAfee интегрирует технологии Onigma в свое собственное решение и, таким образом, начнет экспансию на рынке решений внутренней ИТ-безопасности.

Не исключено, что в ближайшее время на рынке продуктов для защиты от утечек появится самая крупная в сфере ИТ-безопасности компания - Symantec. В целом можно смело утверждать, что включение в свой ассортимент продуктов для борьбы с инсайдерами является чрезвычайно перспективным направлением диверсификации для всех звеньев цепи дистрибьюции решений ИТ-безопасности.

Взгляд с другой стороны

Вернемся теперь к результатам исследования «The Insider Threat Benchmark Report - Strategies for Data Protection» и посмотрим на системы защиты от инсайдеров и утечек глазами заказчика. Все американские компании можно условно разделить на три неравные по количественному составу группы: отстающие (30%), середнячки (50%) и лидеры (20%). У отстающих предприятий показатели деятельности в целом ниже, чем средние по отрасли, а у лидеров соответственно выше. Оказывается, что абсолютно все успешные организации (100% респондентов) считают защиту конфиденциальных данных важнейшим направлением в деле борьбы с инсайдерами. Кроме того, лучшие компании значительно шире используют политики идентификации и разграничения доступа (75%). Характеристики различных групп в сфере внутренней ИТ-безопасности представлены на рисунке.

Из диаграмм видно, что лидирующие компании предпочитают рассматривать проект внедрения системы защиты от инсайдеров в качестве полноценной деловой задачи. При этом особое значение они придают комплексу сопроводительных услуг. Это позволяет построить максимально эффективную систему внутренней безопасности и не перекладывать нетипичные задачи на плечи собственных служащих. Кроме того, лучшие в своей отрасли предприятия стараются минимизировать человеческий фактор за счет использования полностью автоматизированных процессов. Наконец, лидеры во главу угла ставят интеграцию продуктов в единую и управляемую систему, поэтому ценят гибкость внедряемого решения для защиты от инсайдеров.

Попробуем оценить проблему внутренней безопасности в плане технологий (табл. 1). После изучения нескольких отраслей промышленности выяснилось, что основными используемыми технологиями являются: пароли, системы идентификации, биометрия, сканирование сетевого трафика и управление доступом пользователей к конфиденциальной информации.

Таблица 1. Технологии защиты безопасности: текущее состояние и прогноз

Ровно 50% из лучших по отраслям фирм использует сложные пароли, фильтрацию сетевого трафика и списки контроля доступа. Более того, компании намерены существенно наращивать применение именно этих технологий. Так, доля сложных паролей возрастет на 26% и достигнет 93%; популярность списков контроля доступа увеличится на 24% и доберется до отметки в 90%, а доля фильтрации сетевого трафика возрастет с 53 до 81%. Между тем использование ID-карт, несмотря на распространенность их в настоящее время, вряд ли можно считать популярным направлением. Лишь 13% респондентов планируют внедрить данную технологию в этом году.

Любопытно, что наиболее перспективными технологиями являются автоматический мониторинг доступа сотрудников к важным данным (ожидается рост до 72%) и классификация данных (с 42% в 2006 году до 86% в нынешнем). Здесь результаты исследования совпадают с мнением отечественных специалистов в области защиты информации. В аналитическом центре InfoWatch считают, что именно автоматическому мониторингу действий инсайдеров и классификации данных компании уделяли незаслуженно мало внимания в прошедшие годы. Между тем, без этого построить надежную систему защиты просто невозможно.

Далее, согласно опросу, те же самые 53%, которые используют фильтрацию трафика, считают, что одна только защита периметра недостаточна для обеспечения внутренней безопасности. Необходимо, помимо прочего, развивать виртуальные частные сети, чтобы не снижать уровень безопасности при коммуникациях с внешними партнерами.

Перечисленные технологии обеспечивают многоуровневый подход и позволяют повысить безопасность конфиденциальных данных. Однако, помимо технологической стороны, не стоит забывать и о банальной физической сохранности информации. Можно назвать немало примеров того, как важные документы попадали в руки злоумышленников после взлома офиса и кражи компьютерного оборудования. Более того, резервные ленты и мобильные носители с конфиденциальным содержимым зачастую теряются во время транспортировки или в командировках.

Защита от инсайдеров

В настоящее время отсутствует единая сложившаяся точка зрения на то, как регламентировать доступ пользователей. Это вынуждает организации обеспечивать централизованное управление данными в распределенной среде. Технологии могут сделать возможными управляемость, подотчетность и безопасность данных, но для этого требуется применять их должным образом. В свою очередь, методы использования зависят от специфики деятельности предприятия-заказчика. Следовательно, требуется провести глубокий и всесторонний анализ той ИТ-инфраструктуры, на которой предполагается разворачивать систему безопасности. Многие заказчики абсолютно справедливо поручают дело оценки и выбора технологий специально созданным группам, куда входят специалисты различного профиля.

Современные технологии и методы противодействия инсайдерам существенно разли чаются. Дело в том, что поставщики не могут предложить универсального средства от инсайдеров. Они предоставляют целый комплекс решений для определения отклонений, классификации данных по степени конфиденциальности и ограничению доступа.

Несмотря на то что только 51% компаний из числа опрошенных в ходе исследования считают, что комплексные решения для защиты от инсайдеров исключительно важны, оставшиеся 49% не оценивают их роль так высоко. Впрочем, значимость данного результата за ключается в том, что как минимум половина респондентов отдает предпочтение комплексным решениям. Это говорит о том, что они действительно озабочены данной проблемой и понимают важность совместных мер.

Кроме того, в некоторых отраслях участники обязаны в большей степени соблюдать конфиденциальность данных клиентов. Постоянно меняющееся законодательство на федеральном и региональном уровнях все больше внимания уделяет именно защите персональной информации (таким, как ф.и.о., дата рождения, домашний адрес, номера кредитных карт, медицинского полиса и др.).

Организации должны осознать важность законодательных распоряжений в области защиты личности. По мнению участников опроса, чтобы улучшить управление, требуется автоматизировать санкционированный доступ. Компании, не автоматизирующие списки контроля доступа, подготовку и классификацию данных, могут столкнуться с серьезными проблемами. Так, 78% респондентов считают защиту информации важнейшей причиной для построения защиты от инсайдеров. Итак, предприятия только начинают осознавать угрозу со стороны инсайдеров и в силу различных причин стараются преуменьшать значение внутренних инцидентов. Однако скрыть тенденцию роста опасности со стороны инсайдеров невозможно.

Проблемы на пути внедрения защиты от инсайдеров

Рассмотрим еще два интересных результата исследования. В табл. 2 приведены пять наиболее серьезных, по мнению респондентов, проблем, которые возникают при внедрении системы защиты от внутренних угроз, а также варианты их решения. Табл. 3 аналогична табл. 2 по структуре, но составлена на базе ответов респондентов, входящих в группу лидирующих компаний. Сравнивая полученные данные, легко заметить различия подхода к данной проблеме середнячков и наиболее успешных представителей бизнеса. Если для лидеров главной проблемой является наложение внедряемого решения на уже используемые технологии (75%), то для всех респондентов в целом - это ограниченность ИТ-ресурсов (44%). В ходе проведения исследования выяснилось, что продвинутые организации уже внедрили комплексную защиту своей ИТ-инфраструктуры и таким образом прикрыли собственно сеть, а также обезопасили себя на уровне приложений. Теперь эти компании ищут способы укрепления налаженной системы безопасности. Организации же, для которых основной является проблема огра ниченности ИТ-ресурсов, серьезно лимитированы в действиях. Это вызывает тревогу, поскольку экономия на безопасности может привести к гораздо большим потерям. Очевидно, что ИТ-службы, как и службы ИТ-безопасности, должны получать финансирование в полном объеме. Ведь они готовят базу, на которой будут успешно функционировать все остальные подразделения.

Таблица 2. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе всех респондентов)

Анализируя таблицы, можно также отметить следующий довольно интересный факт: персонал компаний-лидеров проявляет свое недовольство нововведениями намного чаще, чем служащие средних предприятий (50 против 38%). Впрочем, ничего удивительного в этом нет. В сфере ИТ-безопасности человеческий фактор составляет не менее половины проблемы. Если, к примеру, какая-либо организация позволяет контрактникам, партнерам или поставщикам пользоваться своей сетью, но при этом не заботится о процедурах регламентирования доступа к информации, то можно смело утверждать, что проблемы в этом направлении у нее возникнут обязательно.

Таблица 3. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе компаний-лидеров)

В целом отстающие компании и середняки, в отличие от лидеров, в меньшей степени используют автоматизацию и интеграцию решений, а кроме того, имеют в штате малоопытных работников. Все это сказывается на эффективности анализа процедур безопасности и толкования его результатов. Зачастую лишь внедрение автоматизированных процессов и повышение квалификации сотрудников ведет к преодолению человеческого фактора. По результатам исследования, около 25% лучших предприятий используют полностью автоматизированные системы. В то же время к промышленной можно отнести всего 9% случаев автоматизации.

Информационная защищенность повышается по мере использования новых технологий в соответствии с требованиями бизнеса. Непрерывное совершенствование систем защиты принесет несомненную пользу. Согласно исследованию, организации, внедрившие системы защиты от инсайдеров, получили в среднем следующий эффект:

• сократились жалобы и обращения в ИТ-подразделения и службу поддержки - на 3,5%;
• сократилось количество инцидентов ИТ-безопасности - на 13%;
• сократились затраты на рабочую силу в ИТ-подразделениях - на 17,5%.

Таким образом, аналитики приходят к выводу, что организации, которые занимаются лишь внешней защитой, обречены на неудачу. Действительно, обеспечение безопасности по периметру организации помогает отразить нападение хакеров, в то время как компаниям, внедрившим у себя системы защиты от утечек и инсайдеров, действительно удается уменьшить количество инцидентов и сократить расходы на ИТ.

Заключение

Исходя из результатов проведенных исследований и оценки ситуации напрашиваются следующие выводы. Во-первых, не существует единой технологии защиты от инсайдеров. Обеспечить безопасность должным образом может лишь комплекс мер. Разрозненные продукты, сколь бы хороши они ни были, наверняка не решат проблем, возникающих при построении всеобъемлющей защиты. Да, за крыть одно из направлений можно, но сложность заключается в том, что существует огромное количество различных угроз. Злоумышленники действуют различными методами, и как раз для того, чтобы устранить все возможные лазейки, требуется создать многоуровневую систему.

Во-вторых, ответственность за сохранность конфиденциальной информации нельзя возложить на одного человека или даже на подразделение. В этом направлении должны тесно взаимодействовать сотрудники ИТ-службы и отдела обеспечения ИТ-безопасности. Еще более эффективным способом является привлечение специалистов с богатым опытом именно в сфере защиты от утечек. Последние предлагают глубокий анализ существующей ситуации и предоставляют заказчику конкретные решения. Выстраивается надежная система, которую может обслуживать уже персонал компании при необходимой поддержке интегратора.

В-третьих, имеющиеся в организации данные требуется тщательно изучить и структурировать по степени конфиденциальности. Затем на основании этой классификации следует выстроить систему ограничения доступа. Пользователи не должны иметь доступ к тем данным, которые не нужны им для выполнения служебных обязанностей. Кроме того, необходимо периодически пересматривать права доступа для поддержания системы разграничения в актуальном состоянии.

В-четвертых, человеческий фактор является одним из критических в системе защиты информации. К сожалению, именно люди становятся самым слабым звеном цепи. Зачастую инсайдерами являются сотрудники, ответственные если не за защиту конфиденциальных сведений, то, как минимум, за сохранение конфиденциальности информации. По незнанию или рассеянности, со злым умыслом или без него, но именно они могут приносить значительный вред своим работодателям. Намного опаснее ситуация, когда инсайдером является человек из ИТ-подразделения или из службы ИТ-безопасности. Его полномочия, разумеется, гораздо шире, чем у большинства прочих сотрудников, и он обладает достаточными знаниями и возможностями, чтобы незаметно «слить» данные. Именно вследствие указанных причин для успешного ведения дел требуется использовать профессиональные системы мониторинга за действиями служащих. Они должны быть как можно более автоматизированными, не зависящими от человека, чтобы была возможность контролировать сотрудника. Программные решения и комплексы являются наиболее эффективным методом защиты от возросшей угрозы со стороны инсайдеров. Конечно, не стоит забывать и о методах работы с сотрудниками. Им следует рассказывать о необходимости соблюдения норм безопасности и требовать от них исполнения существующих директив по работе с конфиденциальной информацией. Однако только программно-аппаратные средства в состоянии предупредить возможные случаи внутреннего хищения.