Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 796 |
Глава 19
Средства защиты Системы выявления и предотвращения утечек Средства внутреннего контроля Системы сильной аутентификации (ЗА) Предотвращение нецелевого использования ИТ-ресурсов Архивирование корпоративной корреспонденции Итоги Сегодня рынок средств защиты от внутренних угроз только начинает формироваться. Разработчики спешат удовлетворить всевозрастающий спрос бизнеса и госструктур, предлагая различные классы решений: системы предотвращения утечек, средства пресечения нецелевого использования ИТ-ресурсов, механизмы внутреннего контроля, системы сильной аутентификации и средства архивирования корпоративной корреспонденции. О каждом из этих сегментов и пойдет речь далее. Сегодня налицо существование большого спроса на решения для защиты от инсайдерских угроз. Вместе с тем рынок средств внутренней безопасности сегментирован. Всего можно выделить пять классов решений: системы выявления и предотвращения утечек (Anti-Leakage Software); средства внутреннего контроля (Internal Controls); системы сильной аутентификации (ЗА); предотвращение нецелевого использования почтовых ресурсов и Интернета; архивирование корпоративной корреспонденции. Рассмотрим каждый из этих классов подробнее.
Системы выявления и предотвращения утечек Пожалуй, наибольший спрос бизнеса и госструктур сегодня направлен на комплексные решения, которые позволяют выявлять и предотвращать утечку конфиденциальной информации через наиболее опасные каналы(электронную почту, Интернет, мобильные носители, средства тиражирования документов). В мировой практике существуют три термина для определения этого сегмента рынка: Anti-Leakage Software — по инициативе компании InfoWatch; Anti Data Leakage (ADL) — по инициативе The 451 Group; ILD&P (Information Leakage Detection and Prevention) — по инициативе компании IDC. Все три термина имеют примерно одинаковое распространение и довольно часто встречаются в прессе. Кроме того, для обозначения сегментов внутри рынка решений для выявления и предотвращения утечек используются следующие термины: Content Monitoring and Filtering (Gartner); Content Monitoring Solutions (Forrester); Outbound Content Security (IDC). Однако следует заметить, что все три термина обозначают только один класс решений, а именно — продукты, предназначенные для фильтрации исходящего трафика. Оставляя в стороне проблему терминологии, выделим главные отличим :>того сегмента от других классов решений И1>. ,')то прежде всего фокусирование па защите от утечки информации и сочетание со смежными областями (рис, 11), 1),
IT Security
IT Security Services IT Security
IT Security Hardware
Consulting I I I Encryption XT
Anti-leakage software Intrusion detection Appliances XT
implementation
Firewall/VPN
Secure content management Biometrics
TT
X
Managed Services
ЗА
Token & smart cards
Education
Detection
Administration Authorisation
Prevention
infowatch.ru Рис. 19.1. Классификация решений ИБ Ключевыми элементами решений для борьбы с утечками являются: контентный анализ почтового и веб-трафика, контроль операций с документами на уровне рабочих станций, система централизованной установки и управления. Обычно заказчики могут выбирать из нескольких вариантов реализации структуры внутренней И Б. Например, сканирование электронной корреспонденции может осуществляться как на выделенном специализированном сервере (в сочетании с антивирусной и антиспамовой проверкой трафика), так и непосредственно на почтовом шлюзе. Аналогично фильтрация веб-трафика реализуется как на уровне прокси-сервера, так и на уровне корпоративного межсетевого экрана. Последний может, кроме того, выполнять функции полномасштабной проверки всего внешнего потока данных организации. Важно отметить основное отличие решений класса Anti-Leakage Software от смежных продуктов контентной фильтрации. Оно заключается в том, что системы выявления и предотвращения утечек поставляются с готовой базой фильтрации, содержащей ключевые слова и фразы, являющиеся конфиденциальными в специфических условиях каждой конкретной организации. Это предполагает тесную работу между специалистами заказчика и разработчика и проведение комплекса работ по установке, наладке и поддержке системы. Вместе с тем не исключено появление и коробочных версий решений для защиты средних и малых предприятий. Однако это дело будущего. Контроль за операциями с документами на уровне рабочих станций является уникальным элементом Anti-Leakage Software. Эта функция позволяет предотвращать утечку, искажение или уничтожение конфиденциальной информации, находящейся на компьютерах пользователей. Например, копирование данных на мобильные носители (компакт-диски, дискеты, USB-накопители), печать, открытие, редактирование документов и т. д. В случае обнаружения неправомерных действий сотрудников офицеру И Б будет немедленно отправлено предупреждение об инциденте для принятия соответствующих мер. Помимо разграничения прав обработки данных, решения класса Anti-Leakage Software также способны конспектировать операции с документами в пределах компетенции должностных лиц. Таким образом, при расследовании случаев утечки информации можно будет проводить комплексный ретроспективный анализ на основе архивов операций. Отметим, что в этой связи средства защиты от утечек часто интегрируют с системами архивирования корпоративной корреспонденции. Это позволяет проводить ретроспективный анализ почтовых сообщений, эффективно расследовать инциденты ИБ, а также вовремя выявлять изменение поведения пользователя, например детектировать подозрительную активность, необычные сообщения и т. д. Система централизованного администрирования Anti-Leakage Software позволяет офицеру ИБ устанавливать комплексную систему внутренней ИБ и управлять ею с единой удаленной консоли. Это дает возможность экономить ресурсы заказчика и делает процесс обновления и контроля максимально быстрым и эффективным. Одним из необходимых элементов таких продуктов является интеграция в другие корпоративные системы управления, например в Open View, Tivoli и UniCenter. Это обеспечивает максимальную совместимость Anti-Leakage Software с существующей ИТ-инфраструктурой организации. Наконец, эффективное внедрение средств защиты конфиденциальной информации невозможно без проведения мероприятий организационного характера. В частности, организации-заказчику необходимо создать ряд документов, описывающих политику обращения с электронной конфиденциальной информацией, и проводить регулярные тренинги персонала. Политика должна описывать виды информации, хранящейся и обрабатываемой в информационной системе заказчика, присваивать каждому виду информации категорию ее конфиденциальности и определять правила работы с ней. В результате этих действий создается нормативная база комплекса защиты от внутренних угроз, которая приводит его в соответствие с действующим законодательством.
Средства внутреннего контроля Термин Internal Controls стал особенно популярным благодаря американскому закону SOX (Sarbanes-Oxley Act), который возлагает ряд довольно жестких требований на все публичные компании, представленные на фондовых биржах СЛИЛ, Секция 404 закона SOX требует, чтобы каждая такая фирма создала систему внутреннего контроля и регулярно проходила внешний независимый аудит на предмет ее адекватности и эффективности. Более того, ответственность за фупкциони|)оішііие механизмов внутреннего контроля возложена па высших исполнительных лиц компании: исполнительных и финансовых директоров. В то же время те руководители, которые нарушают требования закона SOX, подвергаются серьезному наказанию: штрафам в размере до $25 млн и лишению свободы на срок до 20 лет. На первый взгляд может показаться, что внутренний контроль — это бремя лишь американского бизнеса. Однако более детальный анализ позволяет найти аналогичные положения во многих других нормативных актах: «Принципы корпоративного управления ОЭСР»; «Принципы корпоративного управления Euroshareholders» (Евросоюз); «Объединенный кодекс корпоративного управления» (Британия); «Германский кодекс корпоративного управления» (Германия); «Кодекс корпоративного поведения ФСФР (Россия). Представителей российского бизнеса в первую очередь должен волновать Кодекс Федеральной службы по финансовым рынкам (ФСФР). По сравнению с американским законом SOX и британским «объединенным кодексом», российский Кодекс ФСФР является полностью добровольным. При этом рекомендательный характер Кодекса ФСФР продиктован тем, что на момент принятия в 2002 г. в стране еще не сформировалась необходимая корпоративная культура, чтобы сделать такой документ обязательным. Тем не менее уже сегодня готовится новая редакция Кодекса ФСФР, которая ориентировочно будет принята до конца 2007 г. Об этом в начале мая 2006 г. сообщил Владимир Гусаков, замглавы ФСФР, на конференции «Три года развития корпоративного управления в России: практические результаты». По его словам, «директора стали понимать эффективность и выгодность публичной деятельности», поэтому ФСФР считает необходимым сделать часть требований Кодекса обязательными для исполнения. Особое внимание при этом будет уделено принципам внутреннего контроля и аудита, которые уже к концу 2007 г. вполне могут стать обязательными для всех публичных компаний в России. Другими словами, предприятиям, чьи акции котируются на отечественных биржах, придется создать эффективную систему внутреннего контроля точно так же, как это сейчас делают американские и некоторые британские компании. Традиционно считается, что система внутреннего контроля (Internal Controls) должна в первую очередь гарантировать целостность, точность и адекватность финансовой отчетности. Однако на практике значение механизмов внутреннего контроля несоизмеримо шире. Так, стандарт аудита № 2 (An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements) регламентирует требования к системе внутреннего контроля в законе SOX. Согласно этому стандарту, одной из основных функций такой системы является предоставление «разумных гарантий предотвращения или своевременного выявления неавторизованного приобретения, использования или перемещения корпоративных активов», если это может повлиять на материальное благосостояние компании. Следует обратить внимание на то, что в понятие «корпоративные активы» также входят цифровые активы компании: интеллектуальная собственность, коммерческие или технологические секреты, а также целый ряд конфиденциальных сведений. Очевидно, что кража или утечка этой информации отрицательно скажется на бизнесе фирмы и ее финансовых показателях. Следовательно, система внутреннего контроля должна обеспечить защиту не только самих финансовых транзакций и отчетов, но еще и информационных активов фирмы. Таким образом, можно говорить о классе решений ИБ, которые позволяют создать те или иные механизмы внутреннего контроля. Конечно, для полного соответствия требованиям нормативных актов одних ИТ-решений недостаточно, необходим еще целый ряд организационных мер. Кроме того, сегодня не существует такого комплексного решения, внедрение которого позволило бы заказчику создать эффективную систему внутреннего контроля, удовлетворяющую всем положениям законов и стандартов. Поэтому на практике организации часто «собирают» целостную систему из различных компонентов, в том числе решений ИБ. В качестве последних наибольшим спросом пользуются системы выявления и предотвращения утечек, средства сильной аутентификации (ЗА), решения для создания централизованных архивов корпоративной корреспонденции. Главенствующая роль систем для борьбы с утечками в этом списке обусловлена тем, что такие продукты позволяют тщательно протоколировать абсолютно все операции, которые пользователи осуществляют с конфиденциальной, финансовой, бухгалтерской и другой информацией. В результате, если в компании произойдет мошенничество, система выявления утечек поможет определить, кто, когда и как исказил корпоративную отчетность.
Системы сильной аутентификации (ЗА) Решения класса ЗА (аутентификация, авторизация, безопасное администрирование) служат в основном для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN-код, а также предъявить определенный персональный идентификатор (электронный ключ или смарт-карту). Во втором случае пользователь предъявляет еще и третий тип идентификационных данных, например биометрику. Легко заметить, что использование средств многофакторной аутентификации существенно снижает роль паролей, сводя их фактически на нет. В этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как сегодня пользователям требуется помнить, по некоторым оценкам, около 15 различных паролей для доступа к учетным записям. Вследствие такой информационной перегруженности служащие либо записывают свои пароли на бумагу, либо время от времени забывают некоторые из них. Первый вариант чреват значительным снижением уровня безопасности из-за компрометации пароля, в то время как второй вариант наносит фирме серьезный финансовый ущерб. Действительно, исследование Burton Group (см. Enterprise Single Sign-On: Access Gateway to Applications) показало, что каждый звонок в компьютерную службу помощи обходится компании в $25-50, а от 35 до 50 \% всех обращений приходится именно па сотрудником, забывших свой пароль. Таким образом, использование усиленной или днухфактор иой аутентификации позволяет не только минимизировать риски ИТ безонае пости, но и оптимизировать внутренние процессы компании, снизив прямые фи пансовые потери. Среди типом персональных средств аутентификации следует выделить: USB-токены, в том числе со встроенным чипом; смарт-карты; гибридные, программные и ОТР-токены. Сегодня в России наибольшей популярностью пользуются USB-токены со встроенным чипом. От смарт-карт они отличаются только форм-фактором. Другими словами, USB-токены со встроенным чипом наследуют все преимущества смарт-карт, связанные с безопасным хранением чувствительных сведений и осуществлением криптографических операций прямо внутри токена, но избавлены от основного недостатка смарт-карт, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения — от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически значимого электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др. Отметим, что для заказчика большое значение имеет комплексность системы ЗА (рис. 19.2). Современные решения позволяют существенно повысить эффективность и сферу применения строгой аутентификации. Например, продукты лидеров рынка позволяют организовать управление идентичностью, политиками безопасности, корпоративными данными и приложениями.
Управление идентификацией
Политики безопасности Корпоративные данные
Корпоративные приложения
Как мы уже отмечали, устройства, оснащенные чипом смарт-карты, оптимальны для использования в информационно-вычислительных сетях, где уже развернута инфраструктура РКІ, или в сетях, где планируется ее внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегрировать процессы логической и физической аутентификации. Еще одной потребностью может стать необходимость использования цифровой подписи и совершения безопасных транзакций. Для выполнения этой и многих других задач очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИБ, что в значительной мере зависит от конкретного поставщика системы ЗА. Хотя не все игроки рынка способны обеспечить поддержку своих персональных идентификаторов в большом числе приложений, крупные разработчики предлагают своим клиентам достаточно широкий круг программного обеспечения для удовлетворения практически всех насущных потребностей. Например, лидер российского рынка поставляет USB-токены со встроенным чипом, которые могут взаимодействовать с более чем 150 приложениями.
Предотвращение нецелевого использования ИТ-ресурсов Системы предотвращения нецелевого использования сетевых ресурсов (Net Abuse) позволяют не допустить персонал компании до развлекательных сайтов и веб-почты, запретить скачивание музыки и видео на рабочем месте, пересылку писем с ненормативной, оскорбительной, грубой и другой лексикой. Обычно такие решения представляют собой два раздельных модуля, объединенных средством централизованного управления. Первый компонент продукта фильтрует трафик, передаваемый по протоколам HTTP и FTP, проверяет запрашиваемые веб-страницы по базе URL, авторизует пользователей при доступе к сети и протоколирует все их действия. Часто этот веб-фильтр может интегрироваться с антивирусными программами, чтобы обеспечить удаление вредоносного кода из HTTP- и FTP-потоков. Второй компонент продукта фильтрует почтовый трафик и отсеивает запрещенные исходящие сообщения. В некоторых случаях этот модуль интегрируется со средством фильтрации спама и антивирусом, а также реализует функциональность централизованного архива корпоративной корреспонденции. Таким образом, системы предотвращения нецелевого использования сетевых ресурсов зачастую представляют собой целый комбайн различных функций: начиная от защиты от вирусов и спама и заканчивая фильтрацией исходящего почтового потока и URL-адресов. С точки зрения технологий, в основе решений данного класса лежит контентная фильтрация, которая производится с использованием базы сигнатур. Это верно для анализа как сообщений на предмет вирусов и спама, так и на предмет запрещенного к пересылке контента. Однако такой подход не позволяет предотвратить утечку конфиденциальной информации через почтовые каналы или веб-трафик, так как сигнатурное сканирование, применяемое и в этом случае, обладает целым рядом ограничений. Например, фильтр позволяет выявить пересылку документов, в которых есть слово «конфиденциально». Однако для отыскания инсайдерских сигнатур, содержащих русскоязычный текст, такой фильтр не подходит. Суть проблемы в следующем. Представленные сегодня на рынке решения неплохо продаются в странах, в которых распространен английский или испанский язык. Дело в том, что английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т. д. Между тем, когда продукту приходится работать с более сложными языками, в базу фильтрации должны входить нее возможные формы слов, а в славянских языках — еще и разные кодировки. Дли сравнения, в русском языке около миллиона елоиоформ и всего 10 тыс. корневых морфем. ,г)то означает, что если в английском языке администратору достаточно укшшть, чтобы фильтр блокировал все сообщения, в которых есть слово secret, то и русском языке ему придется добавлять: «секрет», «секретный», «секретная», «секретно» и т. д. А ведь для эффективной фильтрации следует учитывать еще и контекст. Более того, архитектура «все в одном» (целый комбайн функций) при увеличении базы фильтрации автоматически приводит к снижению производительности всей системы. Именно по этим причинам в специализированных решениях для борьбы с утечками используют лингвистические технологии для выявления конфиденциального контента.
Архивирование корпоративной корреспонденции Вследствие постоянного обмена сообщениями личные ящики сотрудников очень быстро «разбухают», а программа для работы с корреспонденцией начинает «тормозить». В результате служащие просто подчищают свои папки, например удаляя все сообщения полугодовой давности. Между тем многие международные нормативные акты требуют, чтобы ИТ-инфраструктура организации обязательно включала централизованный архив корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента. Отметим, что сегодня в России, в отличие от многих западных стран и США, никто не заставляет компании организовывать централизованные архивы корпоративной корреспонденции. Тем не менее отечественные предприятия могут извлечь из этого целый ряд преимуществ. Во-первых, многие рекомендательные нормативные акты требуют от компаний создавать и хранить почтовые архивы. Во-вторых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИБ и финансового мошенничества. В-третьих, централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В-четвертых, в случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита аутентичные письма из корпоративного архива могут служить доказательством в суде. Наконец, в-пятых, возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж, общего менеджмента и т. д. Все эти стимулы будут подробнее рассмотрены в отдельных статьях соответствующей главы. Пока же рассмотрим схему работы типового решения. Прежде всего, централизованные архивы очень часто объединяются со средствами мониторинга и/или фильтрации почтового трафика (это особенно касается систем, предназначенных для борьбы с утечками). Поэтому на первом этапе электронные сообщения проходят фильтр: для входящей почты — на наличие вирусов и спама, для исходящей — на наличие конфиденциальной информации. Далее, сообщения укладываются в архив, который представляет собой базу данных. Такие специфические модули, как система реагирования на выявленные запрещенные сообщения, зависят от конкретных продуктов. Отметим, что некоторые поставщики используют несколько иную архитектуру, то есть представляют собой не что иное, как почтовый архив, написанный па языке СУБД. В этом случае почта упаковывается в базу данных, а лишь потом анализируется с помощью инструментов СУБД. Такая схема работы хорошо подходит для малых и средних компаний, но совсем не годится для крупных сетей. Между тем наибольшую потребность в средствах архивирования корпоративной корреспонденции испытывают крупные компании с количеством почтовых клиентов около 10 тыс. и почтовым трафиком несколько десятков гигабайт в день.
Итоги Каждый описанный тип продукта служит для решения своей собственной задачи. Довольно часто заказчики прибегают к помощи комплексных решений, которые позволяют выявлять и предотвращать утечки, архивировать корпоративную корреспонденцию и обеспечивать внутренний контроль. Между тем системы сильной аутентификации (ЗА) и защиты от нецелевого использования сети стоят отдельно. Попытка использовать эти продукты не по назначению всегда приводит к плачевным результатам. Например, системы ЗА служат для защиты от несанкционированного доступа. Они не позволяют предотвратить утечку со стороны служащих, имеющих санкционированный доступ к данным, то есть беззащитны против абсолютно всех инсайдеров. В свою очередь, средства защиты от нецелевого использования ИТ-ресурсов прекрасно выявляют сотрудников, которые в рабочее время не делом занимаются, а развлекаются. Однако если попытаться использовать их как средство предотвращения утечек, то ничего не получится: сигнатурный фильтр не в состоянии остановить утечку конфиденциальных документов на русском языке в силу его специфики. Для этого требуется лингвистический фильтр, а подобные технологии реализованы только в специализированных решениях для борьбы с утечками. Все эти нюансы и конкретные особенности продуктов различных классов рассмотрены в следующих главах. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения