Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Пример решения: «Инсайдер» против инсайдеров

В современных организациях огромное внимание уделяется вопросам информационной безопасности. Для повышения уровня ИТ-защищенности внедряются стандарты по обеспечению информационной безопасности (ISO 27001, ISO 17799), а также политики информационной безопасности, которые являются неотъемлемой частью стандартов. Большинство политик ИБ связаны с предотвращением утечки информации в результате злонамеренной деятельности легитимных пользователей — инсайдеров. Как контролировать потоки информации внутри организации, что противопоставить инсайдеру?

Проанализировав основные каналы утечки информации и построив типичную модель поведения инсайдера, компания «Праймтек» разработала программное решение «Инсайдер», призванное контролировать действия пользователей на рабочем месте и автоматически реагировать на возникающие нарушения политик безопасности.

Архитектура программного комплекса «Инсайдер»

Программный комплекс «Инсайдер» состоит из четырех взаимодействующих составляющих, а именно:

     
  • Технологического хранилища данных — базы данных, в которую помещены для долгосрочного хранения все зарегистрированные события от сенсоров системы. Благодаря накоплению информации и ее долговременному хранению у администратора появляется возможность формировать комплексные отчеты по нарушениям политик информационной безопасности за длительные периоды времени, а в случае возникновения возможных инцидентов — строить косвенную доказательную базу.
  • Сенсор — программный продукт, устанавливаемый на компьютере пользователя и позволяющий собирать информацию о его активности. В случае нарушения политики безопасности сенсор может автоматически формировать реакции, определенные администратором информационной безопасности. Следует отметить, что в сенсоре имеется механизм защиты его программных компонентов от модификации и удаления, что исключает возможность принудительного нарушения работы ПО системы пользователем.
  • Служба управления сенсорами — компонент, осуществляющий управление сенсорами системы, контролирующий их целостность, а также предварительную обработку потока информации с сенсоров и последующую ее передачу в технологическое хранилище данных.
  • Графическая консоль администратора — инструмент управления, который служит для централизованной настройки модулей системы и для формирования отчетов на основе информации, находящейся в технологическом хранилище данных.

Для обеспечения конфиденциальности информации, передаваемой по каналам связи, соединения между сенсором и службой управления сенсорами шифруются с использованием алгоритма AES. Успешная работа систем обнаружения внутреннего нарушителя во многом зависит от той информации, которую сенсор способен собирать с компьютера пользователя, а также от дополнительных особенностей архитектуры, таких как скорость обнаружения и реакции на событие, возможность применения реакций, функции обновления и самозащиты и т.д.

Основные функции сенсора в программном комплексе «Инсайдер»:

  • Сбор информации с контролируемых узлов.
  • Реагирование на события — при соответствующей настройке сенсор способен автоматически реагировать на события, которые возникают при работе пользователя.
  • Буферизация данных — в случае отключения сети, выхода из строя маршрутизатора и т.п. сенсор сохраняет информацию о действиях пользователя локально. При последующем восстановлении соединения со службой управления сенсорами вся зарегистрированная информация передается в технологическое хранилище данных. Следует также отметить полную автономность сенсора после установки правил: единожды настроенный, сенсор продолжает функционировать независимо от изменений информационной среды.
  • Маскировка — сенсор полностью скрывает свое присутствие от стандартных утилит, входящих в состав операционной системы. Таким образом, сводится к минимуму возможность обнаружения средств наблюдения пользователем.
  • Функции самозащиты — в случае обнаружения сенсора пользователь никоим образом не сможет его удалить. Защита осуществляется на уровне файловой системы, причем даже пользователь с привилегиями администратора не сможет нарушить работу системы.

Объекты наблюдения сенсора

На основании построенной «модели нарушителя» и возможных угроз безопасности организации в программный комплекс «Инсайдер» было встроено слежение за такими объектами, как:

  • Файловая система (все операции, связанные с файлами, отслеживаются и фиксируются);
  • Процессы;
  • Локальная/удаленная регистрация в системе и выход из системы пользователей;
  • Операции с реестром (удаление/создание ключей или значений);
  • Операции с локальными принтерами;
  • События безопасности Windows;
  • Сетевые службы;
  • Конфигурация оборудования;
  • Возможность передачи снимков экрана пользователя либо видеоизображения на графическую консоль администратора.

Отличительной особенностью программного комплекса «Инсайдер» является прямой сбор информации. Это означает, что сенсор не обращается к системным журналам за получением какой-либо информации (за исключением событий аудита), а работает на уровне драйверов. Таким образом, сначала сенсор узнает о событии, а уже потом принимает решение о дальнейшем его разрешении или запрещении.

Возможные реакции сенсора

  • Скрытие файла/папки для определенного пользователя (включая администратора);
  • Остановка или запуск процесса в системе;
  • Принудительный выход, блокирование системы для текущего пользователя, выключение компьютера;
  • Вывод предупреждающего сообщения пользователю;
  • Снимок экрана пользователя.

Таким образом, сенсор способен автоматически противостоять возможным нарушениям работы системы (вирусам, сетевым червям, злоумышленникам).
Принципиальным отличием программного комплекса является наличие сенсоров для различных операционных систем (Solaris, Linux, Windows), что позволяет контролировать работу не только пользователей, но и серверов баз данных, файл-серверов, работающих под разными операционными системами. При этом графическая консоль администратора независима от операционной системы.

Преимущества программного комплекса «Инсайдер»

  • Универсальность комплекса. Внедрение «Инсайдера» в существующие информационные системы происходит без внесения существенных изменений в их архитектуру. Ключевым параметром при разработке комплекса являлась универсальность компонентов — заказчик имеет возможность использовать для развертывания «Инсайдера имеющееся у него оборудование для выполнения внутренних задач;
  • Масштабируемость комплекса. Служба управления сенсорами поддерживает до 250 соединений с сенсорами, количество различных служб управления сенсорами не ограничено, поэтому возможности по расширению и масштабированию комплекса также практически не ограничены;
  • Гибкость. «Инсайдер» позволяет модифицировать и добавлять компоненты системы с учетом области применения и потребностей заказчика. Например, возможна разработка дополнительных модулей интеграции с существующими системами контроля и управления доступом, системами видеонаблюдения и т.п.
  • Наглядность результатов. Вся информация по действиям пользователя отображается в виде отчетов. С графической консолью администратора в комплекте идет порядка 50 отчетов, наглядно представляющих статистическую информацию по событиям системы. Имеется возможность создания дополнительных отчетов и механизмов реакций.

Павел Сотников, Александр Ковалев

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS