Защита от инсайдеров Современные
информационные угрозы сильно отличаются друг от друга: некоторые из них
могут нанести компании лишь незначительный ущерб, другие же, наоборот,
становятся причиной огромных убытков. Особенно опасны в этом плане
инсайдеры. Речь идет о сотрудниках, которые намеренно, по
неосторожности или незнанию становятся причиной утечки конфиденциальной
информации, к которой они имеют доступ для выполнения служебных
обязанностей. Причем наибольший ущерб наносят те из них, кто продает
данные конкурентами компании. Такие действия могут нанести огромные
убытки. Именно поэтому защита от инсайдеров очень важна. Но можно ли
предоставить человеку доступ к информации и, одновременно, защитить
данные от кражи? Оказывается, можно! Инсайдеры... Реальная опасность или очередной миф? В
подавляющем большинстве случаев корпоративная система информационной
безопасности состоит из подсистем антивирусной защиты, защиты периметра
и защиты канала связи, если компания использует интернет для связи
между офисами. То есть она охраняет от ненаправленных атак вредоносного
ПО и от достаточно дорогих целевых воздействий, направленных на кражу
информации, например, от взлома периметра и перехвата трафика. Однако
нельзя забывать, что затраты инсайдера на организацию хищения данных
равны нулю. Поэтому сотрудники, имеющие доступ к конфиденциальной
информации, могут красть ее как целенаправленно для продажи, так и
просто на всякий случай – вдруг когда-нибудь да пригодится. Так что
инсайдеры – очень серьезная угроза, которую, к сожалению,
недооценивается многими руководителями. Это подтверждается
различными исследованиями. Так, например, недавно были опубликованы
результаты ежегодного опроса, проводимого CSI (Computer Security
Institute - Институтом Компьютерной безопасности). В нем приняли
участие почти 500 специалистов, занимающихся обеспечением
информационной безопасности в коммерческих компаниях и государственных
учреждениях. Согласно полученным данным, в этом году американские
компании впервые назвали инсайдерство самой распространенной
информационной угрозой. С ней столкнулось 59% респондентов. О
проблеме инсайдеров известно уже давно. И, несмотря на это, убытки от
их деятельности постоянно растут. Причем при оценке этих убытков
необходимо учитывать тот факт, что о многих случаях воровства
конфиденциальной информации ее владелец даже не узнает. Сорвавшаяся
сделка, ушедший к конкурентам партнер, резкий отток клиентов... Все
это, конечно, очень неприятно, но бизнес есть бизнес. Между тем очень
вероятно, что истинной причиной возникновения любой из этих ситуаций
была утечка коммерческой информации. Одной из основных причин
распространения угрозы, является то, что для хищения данных
злоумышленнику не нужны ни специальные знания, ни программное
обеспечение. Ведь доступ к данным ему уже предоставлен, а контроль за
тем, что он делает с информацией чаще всего отсутствует. Сегодня
часто можно услышать такое мнение: «Если человек захочет украсть
информации, к которой у него есть доступ, то он это сделает». Возможно,
это и так, но почему бы максимально не осложнить ему эту задачу? На
сегодняшний день можно выделить три принципиально различных подхода к
защите информации от воровства. Для того, чтобы сделать выбор, давайте
рассмотрим основные достоинства и недостатки каждого типа. Контекстные анализаторы Принцип
работы контекстных анализаторов следует из названия этого типа
программ. Речь идет об анализе передаваемой по каким-либо каналам связи
информации и выявлении попыток отправки конфиденциальных данных.
Реализуется он следующим образом. В процессе настройки задается список
ключевых слов, определяющих конфиденциальную информацию. Далее при
работе система осуществляет их поиск в анализируемых данных и по его
результатам делает вывод о том, разрешить или запретить их передачу. Одним
из наиболее интересных представителей семейства контекстных
анализаторов является InfoWatch Traffic Monitor. Эта система
разрабатывалась на основе движка продукта "Касперский Антиспам".
Благодаря этому в ней учитываются многие нюансы русского языка.
Характерной особенностью данного продукта является система весовых
коэффициентов ключевых слов, которая придает защите дополнительную
гибкость и эффективность. А теперь давайте разберем некоторые
особенности контекстных анализаторов, применительно к поставленной
задаче. Во-первых, не контролируются съемные носители: CD и DVD-диски,
всевозможные USB-накопители и т.п. Наверное не надо говорить о том
насколько это серьезный недостаток. Правда, стоит отметить, что у
компании InfoWatch, в отличие от большинства других разработчиков, для
решения данной проблемы существует отдельный продукт под названием Net
Monitor. Во-вторых, большинство контекстных анализаторов осуществляют
мониторинг только протоколов SMTP (отправка почта) и HTTP (просмотр
сайтов). Причем в случае с InfoWatch Traffic Monitor (как впрочем, и с
большинством других подобных продуктов), контролируется только
исходящий веб-трафик, генерируемый POST-запросами. При этом остается
возможность создать канал утечки с помощью метода GET. Кроме того,
часто доступны и другие протоколы: FTP (передача файлов), ICQ и т.п.
Так что всегда есть риск того, что опытный пользователь сможет найти
способ обойти защиту. Не говоря уже о том случае, когда атака, в
которой инсайдер будет лишь исполнителем, спланирована и организована
извне. Другим серьезным недостатком контекстных организаторов
является нетривиальность задачи подбора ключевых слов и фраз. И
действительно, найти такие ключевые слова, которые с одной стороны
однозначно определяют конфиденциальную информацию, а с другой не
препятствуют передаче публичных данных очень непросто. А поэтому для ее
решения необходим специально обученный специалист – лингвист. Но и это
еще не все. В некоторых случаях найти приемлемый набор слов
просто-напросто невозможно. Например, в торговых организациях есть
несколько типов прайсов (для розничных покупателей, для оптовых,
закупочные цены и т.п.), отличающихся только цифрами. Некоторые из них
являются публичной информацией, а другие - закрытой. Однако с точки
зрения контекстного анализатора все они одинаковы. Еще один минус
контекстных анализаторов - это возможность их обмана. И действительно,
для обхода защиты достаточно представить исходную информацию в таком
виде, чтобы она не могла быть проанализирована. Для защит от этого
InfoWatch Traffic Monitor "умеет" заглядывать в архивы, может работать
с большинством наиболее распространенных форматов (текстовые файлы,
документы Microsoft Office и т.п.) и т.д. Кроме того, при его настройке
можно запретить отправку файлов неизвестного формата и архивов с
установленным паролем. Однако даже в этом случае злоумышленник может
найти выход. Например, он может представить и переслать документ в виде
картинки (просто сделать скриншот экрана и сохранить его). Получатель
же легко преобразует изображение в исходный текст с помощью система
распознания. Кроме того, нельзя забывать и про стеганографические
утилиты, которые позволяют "прятать" файлы в картинках, причем так, что
свойства "файла-контейнера" не меняются. Таким образом,
получается, что контекстные анализаторы могут использоваться только для
уменьшения риска случайной утечки информации через Интернет. Еще один
вариант использования – это создание архивов передаваемой информации с
возможностью поиска по ним, что может помочь в расследовании
произошедшего инцидента. Системы статической блокировки устройств Принцип
работы систем статической блокировки устройств заключается в разделении
прав доступа на использование любого подключаемого к компьютеру
оборудования. Одним из продуктов этого класса является программа
DeviceLock. Это одна из самых старых и известных на российском рынке
систем статической блокировки устройств. Подобные системы позволяют
настроить права доступа пользователей к различным устройствам: CD и
DVD-приводам, дисководам, различным контроллерам, инфракрасным портам,
оборудованию, подключаемому через порты USB и т.п. При этом
используется очень большое количество различных параметров: тип
устройств, производитель, модель и т.п. Все это позволяет определить
доступ достаточно гибко. Например, какому-то сотруднику (например,
бухгалтеру) можно разрешить копировать только на один конкретный
USB-диск, выданный ему в компании. Такой функционал выглядит очень внушительно и на первый взгляд поставленную задачу решает. Но
если присмотреться внимательнее, то можно выявить достаточно серьезные
недостатки. Во-первых, системы статической блокировки никак не отличают
конфиденциальную информацию от публичной. То есть все данные и файлы
для них одинаковы. И если, например, у бухгалтера есть право
пользоваться персональным USB-диском, то он может скопировать на него
все, что угодно. То есть на самом деле задача по защите от воровства
конфиденциальной информации решается не полностью. Кроме того, даже у
тех сотрудников, кому запрещено обращаться к мобильным носителям,
иногда возникает необходимость что-то скопировать (например, документы
для клиента и т.п.). Чтобы решить эту проблему, разработчики дали
администратору возможность выдавать одноразовые коды доступа. Однако
это рождает новую проблему - администратор не может проконтролировать,
что именно копируется на мобильный носитель. Более того, в случае
частых обращений администратор может вообще открыть некоторым
сотрудникам доступ, например, к приводу DVD-ROM вопреки действующей
политики безопасности. Для решения же этой проблемы создается механизм
теневого копирования. Он создает копии всех файлов, которые
записываются на любые сменные носители. Однако этот механизм не может
предотвратить утечку данных. Он может только помочь в расследовании
произошедшего инцидента. Второй недостаток систем рассматриваемого
класса является то, что они не контролируют передачу информации по
сети. Из-за этого возможны утечки данных, например, через Интернет.
Т.е. дополнительно требуется применение контекстного анализатора. Если
же доступ в глобальную сеть контролируется с помощью контекстного
анализатора, для кражи данных может использоваться личный или служебный
ноутбук. Третьим серьезным минусом многих представленных сегодня на
российском рынке систем статической блокировки устройств является
фактическое отсутствие защиты от локального администратора. В некоторых
продуктах рассматриваемого класса ее нет в принципе. То есть любой
пользователь, обладающий правами локального администратора, может
отключить программу-агент и спокойно копировать информацию. Конечно, у
большинства работников такого уровня прав нет. Однако сотрудники
IT-отдела всегда являются локальными администраторами. И они тоже могут
стать инсайдерами. Системы динамической блокировки устройств В
системах динамической блокировки доступ на передачу информации по
каким-либо каналам изменяется в зависимости от уровней допуска
конкретного пользователя и степени секретности данных, с которыми он
работает. Чуть ли не единственным реально работающим продуктом данного
класса на российском рынке является SecrecyKeeper от компании Smart
Protection Labs. Дело в том, что другие присутствующие на российском
рынке системы реализующие похожие механизмы разрабатывались под
требования сертифицирующих органов, еще во времена DOS, когда в
операционных системах не было вообще никаких механизмов защиты. С
появлением Windows 2000 большая часть их функционала оказалась
реализованной штатными средствами ОС. Однако разработчики этих систем
не торопятся изменять продукт в соответствие с новыми условиями. Ну а
SecrecyKeeper изначально создавался как продукт для защиты от
инсайдеров именно в коммерческих компаниях. Принцип работы системы
SecrecyKeeper таков. Вся информация разделяется на группы по степени
секретности. По умолчанию таких групп три: публичная, секретная и
совершенно секретная. Каждому компьютеру, подключенному к корпоративной
сети, присваивается свой уровень безопасности (уровни безопасности
соответствуют группам данных). После этого на компьютерах можно будет
работать только с той информацией, уровень секретности которой равен
или меньше уровня безопасности. То есть, например, системный
администратор не сможет открыть важные документы на своем компьютере
даже в том случае, если он смог войти в сеть от имени директора. Это
вполне логично, поскольку степень защищенности разных ПК различна.
Кроме того, такой подход позволяет ограничить количество компьютеров,
на которые может попасть критически важная информация. Для контроля
возможностей пользователя по распространению информации используется
несколько параметров. Первый из них - уровень допуска пользователя. С
помощью этого параметра можно ограничить доступ любого сотрудника к
информации, в том числе и для сотрудников ИТ-отдела, ограничить которых
с помощью стандартных средств Windows практически нереально. Другие
параметры - уровень допуска к сети, уровень допуска к сменным носителям
и уровень допуска к принтерам. С их помощью можно гибко контролировать
все каналы передачи информации. Например, некоторым сотрудникам можно
предоставить возможность читать информацию с грифом "секретно", но
запретить передавать ее в сеть, копировать на сменные носители и
распечатывать. Такой подход не позволит человеку вынести данные за
пределы информационной системы предприятия, но и не будет
препятствовать ему выполнять свои служебные обязанности. Еще одним
уровнем защиты является то, что пользователи, в том числе и хозяева
документов, не могут самостоятельно понизить степень секретности
информации, возможность сделать это есть только у офицеров
безопасности. Более того, все изменяемые пользователем файлы
автоматически получают текущий уровень секретности. Благодаря этому
исключается возможность кражи конфиденциальной информации путем ее
копирования в другие файлы, сохранения скриншотов, использования
стеганографии и т.д. Основным преимуществом систем динамической
блокировки устройств является высокое качество решения поставленной
задачи. С их помощью можно надежно защитить конфиденциальную информацию
от инсайдеров и реально снизить риск ее утечки и кражи. При этом можно
отметить простоту настройки и интуитивную понятность принципов
использования. Недостаток же у систем динамической блокировки
устройств только один. Это относительно высокая сложность
первоначальной настройки продукта в соответствии с действующей в
компании политикой безопасности. Дело в том, что для начала необходимо
провести инвентаризацию и категоризацию обрабатываемой информации.
Хотя, с другой стороны, эти работы обязательны для выполнения
рекомендаций и требований стандарта ISO 17799, на основе которого
строятся все современные системы ИБ. Защита от инсайдеров. Что выбрать? Подведем небольшой итог. Ниже приведена таблица, в которой представлены возможности различных систем защиты. Контекстные анализаторы Системы статической блокировки устройств Системы динамической блокировки устройств Несанкционированный доступ к информации сотрудниками ИТ-отдела - - + Утечка информации через Интернет + - + Утечка информации через съемные носители - ± + Несанкционированная распечатка информации - ± + Утечка информации через ЛВС - - +
Из
этой таблицы наглядно видно текущее положение дел. Системы контекстного
анализа могут предотвратить утечки информации только через Интернет,
чего в современных условиях явно недостаточно. Системы статической
блокировки устройств также не могут обеспечить полноту защиты. Они
предотвращают только попытки пользователей скопировать конфиденциальную
информацию на съемные носители, в основном дублируя функционал
операционной системы. Главный недостаток подхода в неумении отличать
конфиденциальную информацию от публичной. Увеличить гибкость можно
только за счет привлечения администратора, что вносит влияние
человеческого фактора и соответственно снижает надежность. Системы
динамической блокировки устройств на сегодняшний день являются наиболее
оптимальным решением для защиты от инсайдеров. Возможность
контролировать все возможные каналы утечки конфиденциальной информации
позволяет говорить о наиболее полном решении поставленной задачи. Однако
необходимо понимать, что стопроцентную гарантию от воровства информации
не может дать ни один продукт. Именно поэтому борьба с инсайдерами
должна быть комплексной и включать в себя не только чисто техническую
защиту, но и различные организационные мероприятия.
