Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

5 классов средств защиты от инсайдерских угроз

5 классов средств защиты от инсайдерских угрозРынок средств защиты от внутренних угроз только начинает формироваться. Разработчики спешат удовлетворить все возрастающий спрос бизнеса и госструктур, предлагая 5 различных классов решений: системы предотвращения утечек, средства пресечения нецелевого использования ИT-ресурсов, механизмы внутреннего контроля, системы сильной аутентификации и средства архивирования корпоративной корреспонденции.

Сегодня налицо существование большого спроса на решения для защиты от инсайдерских угроз. Этот рынок достаточно четко сегментирован. Всего можно выделить 5 классов решений: защита от утечек (Anti-Leakage Software), средства внутреннего контроля (Internal Controls), системы сильной аутентификации (3А: аутентификация, авторизация, администрирование), предотвращение нецелевого использования почтовых ресурсов и интернета, архивирование корпоративной корреспонденции;

Системы выявления и предотвращения утечек

usergate

Пожалуй, наибольший спрос бизнеса и госструктур сегодня направлен на комплексные решения, которые позволяют выявлять и предотвращать утечку конфиденциальной информации через наиболее опасные каналы (электронную почту, интернет, мобильные носители, средства тиражирования документов). В мировой практике существуют два термина для определения этого сегмента рынка: Anti-Leakage Software, введенный компанией InfoWatch и ILD&P (Information Leakage Detection and Prevention) — с подачи компании IDC.

Оба термина имеют примерно одинаковое распространение и довольно часто встречаются в прессе. Главные отличия этого сегмента от других классов решений ИТ-безопасности — это, прежде всего, четкий фокус на защите от утечки информации и сочетание со смежными областями.

Структура рынка ИТ-безопасности

Структура рынка ИТ-безопасности

Ключевыми элементами решений для борьбы с утечками являются: -контентный анализ почтового и веб-трафика, контроль операций с документами на уровне рабочих станций, система централизованной установки и управления.

Обычно заказчики могут выбирать из нескольких вариантов реализации структуры внутренней ИТ-безопасности. Например, сканирование электронной корреспонденции может осуществляться как на выделенном специализированном сервере (в сочетании с антивирусной и антиспамовой проверкой трафика) так и непосредственно на почтовом шлюзе. Аналогично, фильтрация веб-трафика может быть реализована как на уровне proxy-сервера, так и на уровне корпоративного межсетевого экрана. Последний, в свою очередь, может также выполнять функции полномасштабной проверки всего внешнего потока данных организации.

Очень важно отметить основное отличие решений класса Anti-Leakage Software от смежных продуктов контентной фильтрации. В отличие от них системы выявления и предотвращения утечек  поставляется с готовой базой фильтрации, содержащей ключевые слова и фразы, являющиеся конфиденциальными в специфических условиях каждой конкретной организации. Это предполагает тесную работу между специалистами заказчика и разработчика и проведение комплекса работ по установке, наладке и поддержке системы. Вместе с тем, не исключено появление и коробочных версий решений для защиты средних и малых предприятий. Однако это дело будущего.

Контроль над операциями с документами на уровне рабочих станций является уникальным элементом Anti-Leakage Software. Эта функция позволяет предотвращать утечку, искажение или уничтожение конфиденциальной информации, находящейся на компьютерах пользователей. Например, копирование данных на мобильные носители (компакт-диски, дискеты, USB-накопители), печать, открытие, редактирование документов и т.д. В случае обнаружения неправомерных действий сотрудников офицеру ИТ-безопасности будет немедленно отправлено предупреждение об инциденте для принятия соответствующих мер.

Помимо разграничения прав обработки данных, решения класса Anti-Leakage Software также способны конспектировать операции с документами в пределах компетенции должностных лиц. Таким образом, при расследовании случаев утечки информации можно будет проводить комплексный ретроспективный анализ на основе архивов операций. Отметим, что в этой связи средства защиты от утечек часто интегрируют с системами архивирования корпоративной корреспонденции. Это позволяет проводить ретроспективный анализ почтовых сообщений, эффективно расследовать инциденты безопасности, а также вовремя выявлять изменение поведения пользователя. Например, детектировать подозрительную активность, необычные сообщения и т.д.

Система централизованного администрирования Anti-Leakage Software позволяет офицеру ИТ-безопасности устанавливать комплекс и управлять им с единой удаленной консоли. Это дает возможность экономить ресурсы заказчика и делает процесс обновления и контроля максимально быстрым и эффективным. Одним из необходимых элементов таких продуктов является интеграция в другие корпоративные системы управления, такие как OpenView, Tivoli и UniCenter. Это обеспечивает максимальную совместимость Anti-Leakage Software с существующей ИТ-инфраструктурой организации.

Наконец, эффективное внедрение средств защиты конфиденциальной информации невозможно без проведения мероприятий организационного характера. В частности, организации-заказчику необходимо создать ряд документов, описывающих политику обращения с электронной конфиденциальной информацией, и проводить регулярные тренинги персонала. Политика должна описывать виды информации, хранящейся и обрабатываемой в информационной системе заказчика, присваивать каждому виду информации категорию ее конфиденциальности и определять правила работы с ней. В результате этих действий создается нормативная база комплекса защиты от внутренних угроз, которая приводит его в соответствии с действующим законодательством.

Средства внутреннего контроля

Термин «Internal Controls» стал особенно популярным благодаря американскому закону SOX (Sarbanes-Oxley Act), который возлагает ряд довольно жестких требований на все публичные компании, представленные на фондовых биржах США. Секция 404 закона SOX требует, чтобы каждая такая фирма создала систему внутреннего контроля и регулярно проходила внешний независимый аудит на предмет ее адекватности и эффективности. Более того, ответственность за функционирование механизмов внутреннего контроля возложена на первых лиц компании: исполнительных и финансовых директоров. В то же время, те руководители, которые нарушают требования закона SOX, подвергаются серьезному наказанию: штрафам в размере до 25 млн долларов и лишению свободы на срок до 20 лет.

На первый взгляд может показаться, что внутренний контроль — это бремя лишь американского бизнеса. Однако более детальный анализ позволяет найти аналогичные положения во многих других нормативных актах: принципы корпоративного управления ОЭСР, принципы корпоративного управления Euroshareholders (Евросоюз),  объединенный кодекс корпоративного управления (Британия), немецкий кодекс корпоративного управления (Германия), кодекс корпоративного управления ФСФР (Россия).

Представителей российского бизнеса в первую очередь должен волновать Кодекс Федеральной Службы по Финансовым Рынкам (ФСФР). По сравнению с американским законом SOX и британским Объединенным Кодексом, российский Кодекс ФСФР является полностью добровольным. При этом рекомендательный характер Кодекса продиктован тем, что на момент принятия в 2002 году, в стране еще не сформировалась необходимая корпоративная культура, чтобы сделать такой документ обязательным. Тем не менее, уже сегодня готовится новая редакция Кодекса ФСФР, которая ориентировочно будет принята до конца 2006 года. Об этом в начале мая сообщил Владимир Гусаков, замглавы ФСФР, на конференции «Три года развития корпоративного управления в России: практические результаты». По его словам, «директора стали понимать эффективность и выгодность публичной деятельности», поэтому ФСФР считает необходимым сделать часть требований Кодекса обязательными для исполнения. Особое внимание при этом будет уделено принципам внутреннего контроля и аудита, которые уже к концу года вполне могут стать обязательными для всех публичных компаний в России. Другими словами, предприятиям, чьи акции котируются на отечественных биржах, придется создать эффективную систему внутреннего контроля точно так же, как это сейчас делают американские и некоторые британские компании.

Традиционно считается, что система внутреннего контроля (internal controls) должна в первую очередь гарантировать целостность, точность и адекватность финансовой отчетности. Однако на практике значение механизмов внутреннего контроля несоизмеримо шире. Так, Стандарт Аудита №2 («An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements») регламентирует требования к системе внутреннего контроля в законе SOX. Согласно этому стандарту, одной из основных функций такой системы является предоставление «разумных гарантий предотвращения или своевременного выявления неавторизованного приобретения, использования или перемещения корпоративных активов», если это может повлиять на материальное благосостояние компании. Следует обратить внимание, что в понятие «корпоративные активы» также входят цифровые активы компании: интеллектуальная собственность, коммерческие или технологические секреты, а также целый ряд конфиденциальных сведений. Очевидно, что кража или утечка этой информации отрицательно скажется на бизнесе фирмы и ее финансовых показателях. Следовательно, система внутреннего контроля должна обеспечить защиту не только самих финансовых транзакций и отчетов, но еще и информационных активов фирмы.

Таким образом, можно говорить о классе решений ИТ-безопасности, которые позволяют создать те или иные механизмы внутреннего контроля. Конечно, для полного соответствия требованиям нормативных актов одних ИТ-решений недостаточно, необходим еще целый ряд организационных мер. Кроме того, сегодня не существует такого комплексного решения, внедрение которого позволило бы заказчику создать эффективную систему внутреннего контроля, удовлетворяющую всем положениям законов и стандартов. Поэтому на практике организации часто «собирают» целостную систему из различных компонентов, в том числе, решений ИТ-безопасности. В качестве последних набольшим спросом пользуются системы выявления и предотвращения утечек, средства сильной аутентификации (3A), решения для создания централизованных архивов корпоративной корреспонденции. Главенствующая роль систем для борьбы с утечками в этом списке обусловлена тем, что такие продукты позволяет тщательно протоколировать абсолютно все операции, которые пользователи осуществляют с конфиденциальной, финансовой, бухгалтерской и др. информацией. В результате, если в компании произойдет мошенничество, система выявления утечек поможет определить кто, когда и как исказил корпоративную отчетность.

Системы сильной аутентификации (3А)

Решения класса 3А (аутентификация, авторизация, безопасное администрирование) служат в основном для защиты от несанкционированного доступа к данным. В их основе лежит двух или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN, а также предъявить определенный персональный идентификатор (электронный ключ или смарт-карту). Во втором случае пользователь предъявляет еще один — третий — тип идентификационных данных, например, биометрику.

Как легко заметить, использование средств многофакторной аутентификации существенно снижает роль паролей, сводя их фактически на нет. В этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как сегодня пользователям требуется помнить, по некоторым оценкам, около 15 различных паролей для доступа к учетным записям. Вследствие такой информационной перегруженности служащие либо записывают свои пароли на бумагу, либо время от времени забывают некоторые из них. Первый вариант чреват значительным снижением уровня безопасности из-за компрометации пароля, в то время как второй вариант наносит фирме серьезный финансовый ущерб. Действительно, исследование Burton Group (см. «Enterprise Single Sign-On — Access Gateway to Applications») показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долларов, а от 35% до 50% всех обращений приходится именно на сотрудников, забывших свой пароль. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только минимизировать риски ИТ-безопасности, но и оптимизировать внутренние процессы компании, снизив прямые финансовые потери. Среди типов персональных средств аутентификации следует выделить: USB-токены, смарт-карты, USB-токены со встроенным чипом, OTP-токены, гибридные токены, а также программные токены.

В России наибольшей популярностью пользуются USB-токены со встроенным чипом. От смарт-карт они отличаются только форм-фактором. Другими словами, USB-токены со встроенным чипом наследуют все преимущества смарт-карт, связанные с безопасным хранением чувствительных сведений и осуществлением криптографических операций прямо внутри токена, но избавлены от основного недостатка смарт-карт — т. е. не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения — от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть, до построения на основе токенов систем юридически значимого электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

Отметим, что для заказчика большое значение имеет комплексность системы 3А. Современные решения позволяют существенно повысить эффективность и сферу применения строгой аутентификации. Например, продукты лидеров рынка позволяют организовать управление идентичностью, политиками безопасности, корпоративными данными и приложениями. Как уже было отмечено выше, устройства, оснащенные чипом смарт-карты, оптимальны для использования в информационно-вычислительных сетях, где уже развёрнута инфраструктура PKI, или в сетях, где планируется её внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегрировать процессы логической и физической аутентификации.

Комплексное применение решений 3A

Комплексное применение решений 3A

Еще одной потребностью может стать необходимость использования цифровой подписи и совершения безопасных транзакций. Для выполнения этой и многих других задач очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИТ-безопасности, что в значительной мере зависит от конкретного поставщика системы 3А. Хотя не все игроки рынка способны обеспечить поддержку своих персональных идентификаторов в большом числе приложений, крупные разработчики предлагают своим клиентам достаточно широкий круг программного обеспечения для удовлетворения практически всех насущных потребностей. Например, лидер российского рынка поставляет USB-токены со встроенным чипом, которые могут взаимодействовать с более чем 150 приложениями.

Предотвращение нецелевого использования ИТ-ресурсов

Системы предотвращения нецелевого использования сетевых ресурсов (net abuse) позволяют не допустить персонал компании до развлекательных сайтов и web-почты, запретить скачивание музыки и видео на рабочем месте, пересылку писем с ненормативной, оскорбительной, грубой лексикой и др. Обычно такие решения представляют собой два раздельных модуля, объединенных средством централизованного управления.

Первый компонент продукта фильтрует трафик, передаваемый по протоколам HTTP и FTP, проверяет запрашиваемые web-страницы по базе URL, авторизует пользователей при доступе к сети и протоколирует все их действия. Часто этот web-фильтр может интегрироваться с антивирусными программами, чтобы обеспечить удаление вредоносного кода из HTTP- и FTP-потоков. Второй компонент продукта фильтрует почтовый трафик и отсеивает запрещенные исходящие сообщения. В некоторых случаях этот модуль интегрируется со средством фильтрации спама и антивирусом, а также реализует функциональность централизованного архива корпоративной корреспонденции. Таким образом, системы предотвращения нецелевого использования сетевых ресурсов зачастую представляют собой целый комбайн различных функций, начиная от защиты от вирусов и спама и заканчивая фильтрацией исходящего почтового потока и URL-адресов.

С точки зрения технологий, в основе решений данного класса лежит контентная фильтрация, которая производится с использованием базы сигнатур. Это верно для анализа сообщений как на предмет вирусов и спама, так и на предмет запрещенного к пересылке контента. Однако такой подход не позволяет предотвратить утечку конфиденциальной информации через почтовые каналы или web-трафик, так как сигнатурное сканирование, применяемое и в этом случае, обладает целым рядом ограничений. Например, фильтр позволяет выявить пересылку документов, в которых есть слово «конфиденциально». Однако для отыскания инсайдерских сигнатур, содержащих русскоязычный текст, такой фильтр не подходит. Суть проблемы в следующем.

Представленные сегодня на рынке решения неплохо продается в странах, где распространен английский или испанский язык. Дело в том, что английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т.д. Между тем, когда продукту приходится работать с более сложными языками, то в базу фильтрации должны входить все возможные формы слов, а в славянских языках — еще и разные кодировки.

Так, в русском языке около миллиона словоформ и всего 10 тысяч корневых морфем. Если в английском языке администратору достаточно указать, чтобы фильтр блокировал все сообщения, в которых есть сложно «secret», то в русском языке ему придется добавлять «секрет», «секретный», «секретная», «секретно» и т.д. А ведь для эффективной фильтрации следует учитывать еще и контекст. Более того, архитектура «все в одном» (целый комбайн функций) при увеличении базы фильтрации автоматически приводит к снижению производительности всей системы. Именно по этим причинам в специализированных решениях для борьбы с утечками используются лингвистические технологии для выявления конфиденциального контента.

Архивирование корпоративной корреспонденции

Вследствие постоянного обмена сообщениями личные ящики сотрудников очень быстро «разбухают», а программа для работы с корреспонденцией начинает «тормозить». В результате служащие просто подчищают свои папки, например, удаляя все сообщения полугодовой давности. Между тем, многие международные нормативные акты требуют, чтобы ИТ-инфраструктура организации обязательно включала централизованный архив корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента.

Отметим, что сегодня в России, в отличие от многих западных стран, включая США и ЕС, никто не заставляет компании организовывать централизованные архивы корпоративной корреспонденции. Тем не менее, отечественные предприятия могут извлечь из этого целый ряд преимуществ. Во-первых, многие рекомендательные нормативные акты требуют от компаний создавать и хранить почтовые архивы. Во-вторых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. В-третьих, централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В-четвертых, в случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита, аутентичные письма из корпоративного архива могут служить доказательством в суде. Наконец, в-пятых, возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж, общего менеджмента и т.д. Все эти стимулы будут подробнее рассмотрены в отдельных статьях соответствующей главы. Пока же рассмотрим схему работы типового решения.

Прежде всего, централизованные архивы очень часто объединяются со средствами мониторинга и/или фильтрации почтового трафика. Это особенно касается систем, предназначенных для борьбы с утечками. Поэтому на первом этапе электронные сообщения проходят фильтр. Для входящей почты — на предмет наличия вирусов и спама, для исходящей — на предмет наличия конфиденциальной информации. Далее сообщения укладываются архив, который представляет собой базу данных. Такие специфические модули, как система реагирования на выявленные запрещенные сообщения, зависят от конкретных продуктов.

Отметим, что некоторые поставщики используют несколько иную архитектуру, то есть, представляют собой ничто иное, как почтовый архив, написанный на СУБД. В этом случае почта упаковывается в базу данных, а лишь потом анализируется с помощью инструментов СУБД. Такая схема работы хорошо подходит для малых и средних компаний, но совсем не годится для крупных сетей. Дело в том, что у СУБД в данном контексте есть два больших недостатка. Во-первых, возможность работы только с сигнатурами (шаблонами слов). То есть, для осуществления эффективной фильтрации необходимо хранить все синтаксические формы ключевого слова (падежи, роды, спряжения, число и их сочетания) во всех русских кодировках. Во-вторых, основной приоритет СУБД — это точность выполнения запроса, а не быстродействие. При увеличении базы фильтрации, требования к ресурсам растут квадратично, так как с математической точки зрения сравнение двух баз данных — это перемножение матриц. В результате продукту практически невозможно справиться с обработкой сообщений в компании, где число почтовых клиентов превышает 500. Между тем, наибольшую потребность в средствах архивирования корпоративной корреспонденции испытывают крупные компании с числом почтовых клиентов около 10 тыс. и почтовым трафиком несколько десятков гигабайт в день.

Выбор с умом

Каждый описанный тип продуктов служит для решения своей собственной задачи. Довольно часто заказчики прибегают к помощи комплексных решений, которые позволяют выявлять и предотвращать утечки, архивировать корпоративную корреспонденцию и обеспечивать внутренний контроль. Между тем, системы сильной аутентификации (3А) и защиты от нецелевого использования сети стоят особняком. Попытка использовать эти продукты не по назначению всегда приводит к плачевным результатам. Например, системы 3А служат для защиты от несанкционированного доступа. Они не позволяет предотвратить утечку со стороны служащих, имеющих санкционированный доступ к данным, то есть, беззащитны против абсолютно всех инсайдеров.

В свою очередь средства защиты от нецелевого использования ИТ-ресурсов прекрасно справляются с сотрудниками, которые в рабочее время занимаются не делом, а развлечениями. Однако если попытаться использовать их как средство предотвращения утечек, то ничего не получится: сигнатурный фильтр не в состоянии остановить утечку конфиденциальных документов на русском языке в силу его специфики. Для этого требуется лингвистический фильтр, а подобные технологии реализованы только в специализированных решениях для борьбы с утечками.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS