Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Арсенал: Как выбрать программную защиту от утечек

Арсенал: Как выбрать программную защиту от утечекПрограммные решения для выявления и предотвращения утечек конфиденциальной информации различаются по методам работы, спектру покрываемых каналов утечки, наличию сопроводительных услуг и т.д. Ввиду многообразия технических параметров, заказчики довольно часто испытывают затруднения с выбором конкретного решения.

Прежде чем перейти к обзору основных продуктов для борьбы с утечками, следует рассмотреть основные параметры, по которым эти решения можно оценить. Наиболее важным параметром, который заказчики часто упускают из виду, является комплексность решения. То есть, спектр покрываемых каналов утечки. Очевидно, что если организация обеспечит всесторонний контроль над электронной почтой и интернетом, но оставит открытыми порты рабочих станций, то все секреты утекут через USB-флэшки. В то же самое время крупной корпорации вряд ли стоит использовать точечные продукты, полностью блокирующие порты ПК, если сетевые каналы останутся без защиты.

По результатам исследования «Внутренние ИТ-угрозы в России 2005», в ходе которого было опрошено более 300 российских организаций, особый интерес представляет анализ путей утечки конфиденциальной информации. Так, наиболее популярным способом кражи данных, по мнению российских компаний, являются мобильные носители (91%), электронная почта (86%), интернет-пейджеры (85%) и глобальная Паутина (веб-почта, чаты, форумы и т.д. — 80%). Сравнив эти показатели с аналогичными за предыдущий год, можно увидеть, что мобильные накопители обогнали электронную почту. Судя по всему, служащие осознали, что копирование информации на мобильный накопитель оставляет меньше следов, чем отправка писем через корпоративную почтовую систему (ведущую журнал событий). Кроме того, использование USB-флэшки не связано с аномальной активностью, которая часто привлекает внимание администратора при пересылке больших объемов данных по сети.

Как чаще всего крадут информацию?

Как чаще всего крадут информацию?

Источник: InfoWatch, 2006

Ввиду разнородности каналов утечки, только комплексная защита способна эффективно обезопасить информационные активы. Ведь ничто не помешает инсайдеру переключиться на сетевые каналы передачи данных, если компания возьмет под контроль порты и приводы рабочей станции. Именно принцип комплексности взят за основу рассмотрения решений для борьбы с утечками.

Authentica ARM Platform

Североамериканская компания Authentica поставляет комплексное решение для всестороннего контроля над оборотом классифицированных сведений в корпоративной сети. Однако в отличие от большинства своих конкурентов фирма остановилась не на технологиях выявления и предотвращения утечек, а на управлении цифровыми правами в рамках предприятия (ERM — Enterprise Rights Management). Именно на примере основного продукта компании — Authentica Active Rights Management (ARM) Platform — будут рассмотрены достоинства и недостатки такого подхода. Полученные в результате анализа результаты также применимы для всех остальных решений, призванных решить проблему утечек посредством ERM-технологий. В частности для продуктов компаний Adobe, Workshare, Liquid Machines, SealedMedia, DigitalContainers и Microsoft. Также необходимо отметить, что решение Authentica ARM Platform имеет очень много общего с Microsoft Rights Management Services (RMS).

В основе решения Authentica лежит запатентованная технология ARM (название которой входит в название самого продукта). С помощью ARM решение контролирует электронные документы, почтовые сообщения и вообще любые файлы. Дополнительные модули интегрируются с настольными приложениями (Microsoft Office и Outlook, Lotus Notes, Adobe Acrobat, Microsoft Explorer и Netscape) и внешними средствами аутентификации (LDAP, Windows Single Sign-on, X.509, RSA SecurID).

Схема работы Authentica ARM Platform

Схема работы Authentica ARM Platform

Функциональность «Active Rights Protection» подразумевает аутентификацию пользователей и их авторизацию для просмотра информации, контроль над печатью документов, а также стандартными операциями (копирование, редактирование, чтение), возможность работы с документами в режиме offline. В дополнение к этому вся чувствительная информация постоянно находится в зашифрованном виде и расшифровывается только на момент работы с ней. Шифрованию также подлежит обмен информацией между сервером политик ARM и клиентскими компонентами. Таким образом, конфиденциальные данные всегда защищены от несанкционированного доступа — даже при передаче по коммуникационным каналам. В то же время сама архитектура продукта приспособлена именно для защиты от несанкционированного доступа, а не от утечки. Другими словами, инсайдер, у которого есть права на доступ к конфиденциальному документу, может обмануть защиту. Для этого достаточно создать новый документ и переместить в него конфиденциальную информацию. Например, если инсайдером является сотрудник, в задачи которого входит подготовка отчета о прибыли, то он будет создавать этот высокочувствительный документ «с нуля», а, следовательно, файл не будет зашифрован, так как для него еще не создана специальная политика. Таким образом, утечка становится вполне реальной. Если еще учесть, что весь почтовый трафик шифруется, то у инсайдера фактически есть готовый защищенный канал для пересылки конфиденциальных данных. При этом никакой фильтр не сможет проверить зашифрованный текст.

Тем не менее, решение Authentica ARM Platform представляется эффективным продуктом для защиты от несанкционированного доступа, так как ни один нелегальный пользователь действительно не сможет получить доступ к данным, пока не отыщет ключ шифрования.

Дополнительным недостатком продукта является отсутствие возможности хранить архивы корпоративной корреспонденции, что значительно усложняет процесс расследования инцидентов безопасности и не позволяет вычислить инсайдера без лишнего шума.

В заключение необходимо отметить широкий комплекс сопроводительных услуг, которые Authentica оказывает заказчику: аудит и анализ ИТ-инфраструктуры с учетом бизнес-профиля компании, техническая поддержка и сопровождение, внедрение и развертывание решений «с нуля», корпоративные тренинги для персонала, разработка политики безопасности.

InfoWatch Enterprise Solution

Комплексное решение InfoWatch Enterprise Solution позволяет обеспечить контроль над почтовым каналом и веб-трафиком, а также коммуникационными ресурсами рабочих станций. Продукт позволяет архивировать корпоративную корреспонденцию и абсолютно все пересылаемые по сети данные.

Архитектуру комплексного решения InfoWatch можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на рабочих станциях и ноутбуках и отслеживают операции на уровне операционной системы. Кроме того, следует выделить специальный модуль *Storage, который представляет собой хранилище всех входящих и исходящих сообщений, а также всего сетевого трафика.

Схема работы InfoWatch Enterprise Solution.

Схема работы InfoWatch Enterprise Solution

Отметим, что сетевые мониторы также могут быть реализованы в виде аппаратного устройства — InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и web-трафика.

К мониторам уровня рабочей станции относится InfoWatch Net Monitor, в состав которого также входит InfoWatch Device Monitor. Модуль Net Monitor отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat (открытие, редактирование, сохранение под другим именем, операции с буфером обмена, печать и т.д.), а также тщательно протоколирует все действия с конфиденциальными документами. Кроме того, модуль Device Monitor, интегрированный в Net Monitor, контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т.д. Все эти компоненты могут работать на ноутбуках, при этом администратор безопасности в состоянии задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав InfoWatch Enterprise Solution, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты.

Важной особенностью комплексного решения InfoWatch является возможность архивировать и хранить корпоративную корреспонденцию и сетевой трафик. Для этого предусмотрен отдельный программный модуль InfoWatch *Storage, который перехватывает все сообщения и весь трафик, а потом складывает их в хранилище с возможностью проводить ретроспективный анализ. Другими словами, компании могут эффективно расследовать инциденты ИТ-безопасности. Для этого не надо арестовывать рабочие станции служащих и вручную перебирать письма в почтовом клиенте. Такие действия подрывают рабочий климат в коллективе, унижают самого сотрудника и часто не позволяют добыть никаких доказательств его вины. Напротив, автоматизированная выборка сообщений из корпоративного архива приносит намного больше пользы, так как позволяет отследить динамику изменения активности пользователя.

Делая ставку на всесторонность своего решения, компания InfoWatch предлагает клиентам целый ряд сопроводительных и консалтинговых услуг. Среди них можно выделить: предпроектное обследование, помощь в формализации целей и средств ИТ-безопасности, создание эффективной политики безопасности, адаптация решения под нужды клиента, сопровождение и техническая поддержка, включающая персонального менеджера каждому заказчику.

«Дозор-Джет»

Российская компания «Инфосистемы Джет» поставляет систему мониторинга и архивирования электронной почты «Дозор-Джет». Этот продукт позволяет фильтровать спам и вирусы, собирать информацию о проходящих письмах, анализировать ее, а по результатам анализа совершать определенные действия с письмами и, в случае необходимости, помещать письма в архив сообщений.

Решение имеет модульную архитектуру. Три основных компонента составляют ядро системы, а дополнительные модули позволяют расширить функциональность системы. Основными компонентами являются: модуль фильтрации сообщений (подсистема разбора сообщений, подсистема мониторинга, подсистема реагирования), модуль хранения (архив сообщений, включая карантинную зону, база данных правил) и модуль управления системой (подсистема администрирования и подсистема управления архивом сообщений).

Структура продукта «Дозор-Джет»

Структура продукта «Дозор-Джет»

Модуль фильтрации выполняет основную функцию системы «Дозор-Джет» - фильтрацию сообщений электронной почты. Все письма, предназначенные для фильтрации, проходят обработку в данном модуле. Письма разбираются на составные части, содержимое этих частей анализируется (т.е. проверяется на соответствие условиям, заданным администратором в правилах фильтрации), по результатам анализа применяются действия, соответствующие выполненным или невыполненным условиям правил фильтрации. Наиболее распространенные действия: передать письмо почтовому серверу для доставки адресату, поместить письмо в почтовый архив, отправить уведомление администратору и/или адресату сообщения. В модуль фильтрации входят три подсистемы, которые отвечают соответственно за разбор почтового сообщения (подсистема разбора), его анализ (подсистема мониторинга) и реагирование системы по результатам анализа (подсистема реагирования). Основой для функционирования подсистемы мониторинга является фильтр - программа, которая содержит алгоритм обработки почтовых сообщений и способы воздействия на почтовые сообщения, соответствующие тем или иным критериям фильтрации (условиям). Фильтр формируется администратором системы при помощи "мастера" создания правил через web-интерфейс. Маршрутизация почтового трафика системой не выполняется. Обработанные системой сообщения отправляются на почтовый сервер.

Отметим, что «Дозор-Джет» является почтовым архивом, написанным на языке СУБД. Назначение продукта состоит в том, чтобы разбирать и упаковывать почту в базу данных, а также анализировать ее с помощью инструментов СУБД. Такая схема работы очень хорошо подходит для малых и средних компаний, но имеет некоторые ограничения при использовании в крупных сетях. Дело в том, что у СУБД в данном контексте есть два больших недостатка. Во-первых, возможность работы только с сигнатурами (шаблонами слов). То есть для осуществления эффективной фильтрации необходимо хранить все синтаксические формы ключевого слова (падежи, роды, спряжения, число и их сочетания) во всех русских кодировках. Во-вторых, основной приоритет СУБД — это точность выполнения запроса, а не быстродействие. При увеличении базы фильтрации, требования к ресурсам растут квадратично, так как с математической точки зрения сравнение двух баз данных — это перемножение матриц. В результате продукту практически невозможно справиться с обработкой сообщений в компании, где число почтовых клиентов превышает 500. Между тем, это и не требуется, так как компания-поставщик позиционирует свое решение именно как продукт для малых и средних организаций. В результате удается существенно сэкономить на аппаратной базе продукта.

Кроме того, «Дозор-Джет» очень хорошо подходит для создания архива корпоративной корреспонденции. Однако использовать продукт для блокирования исходящих писем с конфиденциальными данными в режиме реального времени можно только на небольших объемах почты и при отсутствии требований к максимальному времени задержки письма. Так, например, в «Вымпелкоме» требование к системе фильтрации почты — задержка письма не более чем на одну секунду, а средний объем почтового трафика в сутки составляет 20 Гб. Именно поэтому «Дозор-Джет» в режиме блокирования корреспонденции не используется более чем на 500 почтовых ящиках.

Onigma Platform

Израильская компания Onigma (поглощена McAfee в 2006 году) специализируется на выявлении и предотвращении утечек конфиденциальной информации посредством мониторинга действий пользователей на уровне рабочих станций и фильтрации сетевого трафика. Любопытно отметить, что руководящие должности в отделе исследований и разработок фирмы занимают в основном бывшие сотрудники Министерства Обороны Израиля.

Компания предоставляет очень мало информации об архитектуре своего решения Onigma Platform и реализованных в нем технологиях. Тем не менее, имеющейся информации о реализованном функционале вполне достаточно, чтобы утверждать, что Onigma Platform — это программный продукт, покрывающий следующие каналы утечки данных: электронная почта, интернет-пейджеры, веб-трафик, физические устройства (USB-порты и принтеры). Данная функциональность реализована с помощь специальных агентов, которые устанавливаются на рабочих станциях и ноутбуках заказчика. Они следят за выполнением правил и соблюдением политики ИТ-безопасности, поддерживают централизованное управление через специальную консоль.

Одним из основных своих преимуществ компания Onigma считает тот факт, что ее решение быстро и легко развертывается и интегрируется в имеющуюся ИТ-инфраструктуру. Таким образом, по мнению поставщика, заказчик может существенно сэкономить на переобучении персонала, внедренческих и сопроводительных услугах. Недостатком Onigma Platform является невозможность создавать архивы корпоративной корреспонденции, что значительно осложняет расследование инцидентов, утечек, финансового мошенничества и подозрительной активности инсайдеров. Вдобавок, хранение деловой документации, к которой относятся электронные сообщения, является обязательным требованием целого ряда законов и нормативных актов, регулирующих бизнес во многих странах.

Дополнительной слабостью продукта является неглубокий контроль над операциями пользователей на рабочих станциях (в том числе мобильных). Решение Onigma Platform не позволяет осуществлять мониторинг действий служащих в офисных средах, на уровне файлов, а также работу с буфером обмена.

PC Acme

Продукт PC Activity Monitor (Acme) производится и продается компанией Raytown Corp. Он позволяет осуществлять всесторонний и максимально глубокий мониторинг операций пользователя на уровне рабочей станции. Следует сразу же отметить, что из всех представленных в обзоре программных решений только продукт PC Acme не удовлетворяет принципу комплексности и не покрывает одновременно сетевые каналы и ресурсы рабочих станций. Тем не менее, эта программа заслуживает рассмотрения, так как у заказчиков часто возникает проблема сравнения ее функциональности с возможностями других рассмотренных продуктов. Заметим, что трудности заказчиков связаны с не совсем точным позиционированием PC Acme, в результате которого может показаться, что продукт обладает активными (а не пассивными) функциями и некоторым аналогом комплексности. Чтобы прояснить ситуацию, необходимо рассмотреть возможности PC Acme Professional — максимально функциональной редакции продукта.

Программа PC Acme фактически состоит из двух частей: средства централизованного управления и развертывания и многочисленные агенты, внедряемые в рабочие станции по всей организации. Как легко догадаться, с помощью первой компоненты продукты можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими.

Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системе, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш, движение мышки, передачу фокуса ввода, буфер обмена и т.д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видео-наблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет, как раз, и собирать запротоколированные данные на один единственный компьютер и анализировать их там. Вот тут-то и проявляются два основных недостатка программы.

Во-первых, абсолютно непонятно, как в огромном множестве событий офицер безопасности сможет выделить те, которые являются нарушением политики, привели к утечке и т.п. Другими словами, продукт PC Acme не работает с политиками вообще. Его задача сводится лишь к томму, чтобы составить максимально подробный протокол и скрытно передать его на центральный компьютер. Заметим, что в течение дня одна рабочая станция может сгенерировать десятки тысяч протоколируемых событий, а в корпоративной сети таких станций может быть несколько тысяч и даже больше. Очевидно, что проанализировать все это собственными руками невозможно. Между тем, встроенные фильтры событий позволяют осуществлять лишь самые примитивные операции, например, отделить события, связанные с конкретным приложением (скажем, Microsoft Word).

Во-вторых, даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Ведь агент PC Acme зафиксировал совершенное в прошлом действие, и конфиденциальная информация уже давно дошла до получателя. Конечно, можно предъявить претензии самому инсайдеру, но блокировать утечку таким способом невозможно.

Таким образом, программа PC Acme не только не обладает комплексностью, но и не препятствует утечке в принципе. Более того, журналы событий, которые ведутся каждым представленным в обзоре продуктом, всегда достаточно подробны, чтобы вычислить инсайдера постфактум и служить доказательством при обвинении инсайдера. При этом в этих журналов, в отличие от протокола PC Acme, зафиксированы действия лишь с конфиденциальными данными, а не все системные события подряд.

Можно было бы предположить, что продукт PC Acme подойдет для маленьких компаний, где за действиями, например, десяти пользователей вполне реально проследить, периодически проверяя журнал событий. Однако выделение функций ИТ-безопасности в отдельную должность офицера для малого бизнеса — это нонсенс.

Verdasys Digital Guardian

Американская компания Verdasys поставляет комплексное решение Digital Guardian, предназначенное для выявления и предотвращения утечек прямо на уровне рабочих станций. При этом продукт невозможно упрекнуть в отсутствии комплексности, так как Digital Guardian покрывает все каналы утечки, просто это делает это в тех местах, где информация используется.

Реализацией такого подхода являются программные агенты, устанавливаемые на персональные компьютеры и ноутбуки в организации. Агенты поддерживают работу в операционной системе Windows, а также в среде Citrix Metaframe и Microsoft Terminal Server. Агенты отвечают за ведение подробных журналов; контроль над приложениями, коммуникациями и данными; выявление нарушений политики; фильтрацию событий, записанных в журнал, перед отправкой на сервер Digital Guardian.

Точно так же, как в случае PC Acme, агент Digital Guardian является невидимым для пользователя, может быть внедрен удаленно и централизованно. Однако, в отличие от PC Acme, в составе Digital Guardian появляется сервер, на который агенты отсылают протоколы событий. Третьим компонентов продукта является консоль управления, к которой можно получить доступ по сети. Консоль позволяет составлять отчеты, собирать и анализировать информацию, контролировать инсталляцию агентов, управлять политиками и т.д.

Архитектура Digital Guardian

Архитектура Digital Guardian

Продукты Verdasys отличаются широким спектром сопроводительных услуг. Так, поставщик оказывает консалтинговые услуги еще до внедрения проекта, разрабатывает и внедряет предварительные проекты (например, создается экспериментальная группа рабочих станций, осуществляется мониторинг действий пользователей этих станций и анализируются результаты), глубокое участие поставщика во внедрении продукта и тренинги персонала.

Тем не менее, Digital Guardian обладает двумя недостатками. Во-первых, он не позволяет архивировать электронную корреспонденцию, что затрудняет расследование инцидентов ИТ-безопасности, усложняет процесс поиска инсайдера и не позволяет обеспечить соответствие с различными законам и нормативными актами. Во-вторых, Digital Guardian не производит контентную фильтрацию, отправляемого по сети трафика. Это вытекает из того, что фильтрация, вынесенная на уровне рабочей станции, требует огромного количества аппаратных ресурсов. К такому выводу пришли эксперты IDC (см. «Information Leakage Detection and Prevention — Turning Security Inside-Out»). К тому же, это вполне логично: фильтрацию, с использованием лингвистического анализа, другие поставщики осуществляют на выделенных серверах. Следовательно, агенты Digital Guardian в состоянии отличить чувствительные документы от не конфиденциальных только с помощью заранее заданного списка защищаемых объектов (или помеченных цифровыми водяными знаками, что не суть важно). Отсюда, если пользователь создаст новый документ и наполнит его чувствительными сведениями, например, в рамках подготовки отчета (ведь работу с буфером обмена контролируется агентами), то этот документ будет оставаться уязвимым до тех пор, пока не будет внесен в список защищаемых объектов. Именно чтобы исключить такую брешь, разработчики решений в сфере выявления и предотвращения утечек применяют контентную фильтрацию.

*

Как уже отмечалось,  при выборе решения необходимо учитывать параметр комплексности — покрывает ли продукт все возможные каналы утечки. В противном случае данные утекут через оставленную открытой «дверь». Следующим немаловажным моментом является возможность создавать и хранить архивы корпоративной корреспонденции. Такая функциональность позволяет провести служебное расследование, не беспокоя сотрудников и не привлекая внимания. Вдобавок к тому, что хранить электронные сообщения в течение нескольких лет требуют многие нормативные акты и законы, создание централизованного почтового архива позволяет избавиться от порочной практики ареста рабочих станций служащих. Наконец, последним важным параметром является возможность выбора между программной и аппаратной реализацией модулей, отвечающих за фильтрацию сетевого трафика.

Функционал программных решений по защите от утечек информации

  Authentica ARM Platform InfoWatch Enterprise Solution Onigma Platform PC
Acme
Verdasys Digital Guardian
Контроль над почтовым трафиком Да Да Да Нет Да
Контроль над веб-трафиком Да Да Да Нет Да
Контроль над рабочими станциями Да Да Да Да Да
Комплексность
(на основании предыдущих трех параметров)
Да Да Да Нет Да
Создание архива корпоративной корреспонденции Нет Да Нет Нет Нет
Выбор между программной и аппаратной реализацией некоторых модулей Нет Да Нет Нет Нет
Наличие широкого спектра сопроводительных и консалтинговых услуг Да Да Нет Нет Да

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS