Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 796


Глава 19

 

Средства защиты

Системы выявления и предотвращения утечек

Средства внутреннего контроля

Системы сильной аутентификации (ЗА)

Предотвращение нецелевого использования ИТ-ресурсов

Архивирование корпоративной корреспонденции

Итоги

Сегодня рынок средств защиты от внутренних угроз только начинает формиро­ваться. Разработчики спешат удовлетворить всевозрастающий спрос бизнеса и гос­структур, предлагая различные классы решений: системы предотвращения утечек, средства пресечения нецелевого использования ИТ-ресурсов, механизмы внутреннего контроля, системы сильной аутентификации и средства архивирования корпора­тивной корреспонденции. О каждом из этих сегментов и пойдет речь далее.

Сегодня налицо существование большого спроса на решения для защиты от ин­сайдерских угроз. Вместе с тем рынок средств внутренней безопасности сегменти­рован. Всего можно выделить пять классов решений:

системы выявления и предотвращения утечек (Anti-Leakage Software);

средства внутреннего контроля (Internal Controls);

системы сильной аутентификации (ЗА);

предотвращение нецелевого использования почтовых ресурсов и Интернета;

архивирование корпоративной корреспонденции.

Рассмотрим каждый из этих классов подробнее.

 

Системы выявления и предотвращения утечек

Пожалуй, наибольший спрос бизнеса и госструктур сегодня направлен на комп­лексные решения, которые позволяют выявлять и предотвращать утечку конфи­денциальной информации через наиболее опасные каналы(электронную почту, Интернет, мобильные носители, средства тиражирования документов). В мировой практике существуют три термина для определения этого сегмента рынка:

Anti-Leakage Software — по инициативе компании InfoWatch;

Anti Data Leakage (ADL) — по инициативе The 451 Group;

ILD&P (Information Leakage Detection and Prevention) — по инициативе ком­пании IDC.

Все три термина имеют примерно одинаковое распространение и довольно часто встречаются в прессе. Кроме того, для обозначения сегментов внутри рынка реше­ний для выявления и предотвращения утечек используются следующие термины:

Content Monitoring and Filtering (Gartner);

Content Monitoring Solutions (Forrester);

Outbound Content Security (IDC).

Однако следует заметить, что все три термина обозначают только один класс решений, а именно — продукты, предназначенные для фильтрации исходящего трафика. Оставляя в стороне проблему терминологии, выделим главные отличим :>того сегмента от других классов решений И1>. ,')то прежде всего фокусирование па защите от утечки информации и сочетание со смежными областями (рис, 11), 1),

 

IT Security

 

IT Security Services

IT Security

IT Security Hardware

 

 

 

Consulting

I I I

Encryption

XT

Anti-leakage software

Intrusion detection

Appliances

XT

 

implementation

Firewall/VPN

Secure content management

Biometrics

 

TT

X

 

Managed Services

ЗА

Token & smart cards

 

 

 

Education

Detection

 

 

 

Подпись:

Administration

Authorisation

Prevention

 

infowatch.ru

Рис. 19.1. Классификация решений ИБ

Ключевыми элементами решений для борьбы с утечками являются: контентный анализ почтового и веб-трафика, контроль операций с документами на уровне ра­бочих станций, система централизованной установки и управления.

Обычно заказчики могут выбирать из нескольких вариантов реализации структу­ры внутренней И Б. Например, сканирование электронной корреспонденции мо­жет осуществляться как на выделенном специализированном сервере (в сочета­нии с антивирусной и антиспамовой проверкой трафика), так и непосредственно на почтовом шлюзе. Аналогично фильтрация веб-трафика реализуется как на уровне прокси-сервера, так и на уровне корпоративного межсетевого экрана. По­следний может, кроме того, выполнять функции полномасштабной проверки все­го внешнего потока данных организации.

Важно отметить основное отличие решений класса Anti-Leakage Software от смеж­ных продуктов контентной фильтрации. Оно заключается в том, что системы выявления и предотвращения утечек поставляются с готовой базой фильтрации, содержащей ключевые слова и фразы, являющиеся конфиденциальными в специ­фических условиях каждой конкретной организации. Это предполагает тесную работу между специалистами заказчика и разработчика и проведение комплекса работ по установке, наладке и поддержке системы. Вместе с тем не исключено по­явление и коробочных версий решений для защиты средних и малых предприя­тий. Однако это дело будущего.

Контроль за операциями с документами на уровне рабочих станций является уни­кальным элементом Anti-Leakage Software. Эта функция позволяет предотвращать утечку, искажение или уничтожение конфиденциальной информации, находя­щейся на компьютерах пользователей. Например, копирование данных на мобиль­ные носители (компакт-диски, дискеты, USB-накопители), печать, открытие, ре­дактирование документов и т. д. В случае обнаружения неправомерных действий сотрудников офицеру И Б будет немедленно отправлено предупреждение об ин­циденте для принятия соответствующих мер.

Помимо разграничения прав обработки данных, решения класса Anti-Leakage Software также способны конспектировать операции с документами в пределах ком­петенции должностных лиц. Таким образом, при расследовании случаев утечки ин­формации можно будет проводить комплексный ретроспективный анализ на основе архивов операций. Отметим, что в этой связи средства защиты от утечек часто интег­рируют с системами архивирования корпоративной корреспонденции. Это позволя­ет проводить ретроспективный анализ почтовых сообщений, эффективно расследо­вать инциденты ИБ, а также вовремя выявлять изменение поведения пользователя, например детектировать подозрительную активность, необычные сообщения и т. д.

Система централизованного администрирования Anti-Leakage Software позволяет офицеру ИБ устанавливать комплексную систему внутренней ИБ и управлять ею с единой удаленной консоли. Это дает возможность экономить ресурсы заказчика и делает процесс обновления и контроля максимально быстрым и эффективным. Одним из необходимых элементов таких продуктов является интеграция в другие корпоративные системы управления, например в Open View, Tivoli и UniCenter. Это обеспечивает максимальную совместимость Anti-Leakage Software с существующей ИТ-инфраструктурой организации.

Наконец, эффективное внедрение средств защиты конфиденциальной информации невозможно без проведения мероприятий организационного характера. В частности, организации-заказчику необходимо создать ряд документов, описывающих полити­ку обращения с электронной конфиденциальной информацией, и проводить регу­лярные тренинги персонала. Политика должна описывать виды информации, хра­нящейся и обрабатываемой в информационной системе заказчика, присваивать каждому виду информации категорию ее конфиденциальности и определять прави­ла работы с ней. В результате этих действий создается нормативная база комплекса защиты от внутренних угроз, которая приводит его в соответствие с действующим законодательством.

 

Средства внутреннего контроля

Термин Internal Controls стал особенно популярным благодаря американскому закону SOX (Sarbanes-Oxley Act), который возлагает ряд довольно жестких тре­бований на все публичные компании, представленные на фондовых биржах СЛИЛ, Секция 404 закона SOX требует, чтобы каждая такая фирма создала систему внут­реннего контроля и регулярно проходила внешний независимый аудит на предмет ее адекватности и эффективности. Более того, ответственность за фупкциони|)оішііие механизмов внутреннего контроля возложена па высших исполнительных лиц ком­пании: исполнительных и финансовых директоров. В то же время те руководители, которые нарушают требования закона SOX, подвергаются серьезному наказанию: штрафам в размере до $25 млн и лишению свободы на срок до 20 лет.

На первый взгляд может показаться, что внутренний контроль — это бремя лишь американского бизнеса. Однако более детальный анализ позволяет найти анало­гичные положения во многих других нормативных актах:

«Принципы корпоративного управления ОЭСР»;

«Принципы корпоративного управления Euroshareholders» (Евросоюз);

«Объединенный кодекс корпоративного управления» (Британия);

«Германский кодекс корпоративного управления» (Германия);

«Кодекс корпоративного поведения ФСФР (Россия).

Представителей российского бизнеса в первую очередь должен волновать Кодекс Федеральной службы по финансовым рынкам (ФСФР). По сравнению с амери­канским законом SOX и британским «объединенным кодексом», российский Ко­декс ФСФР является полностью добровольным. При этом рекомендательный харак­тер Кодекса ФСФР продиктован тем, что на момент принятия в 2002 г. в стране еще не сформировалась необходимая корпоративная культура, чтобы сделать та­кой документ обязательным. Тем не менее уже сегодня готовится новая редакция Кодекса ФСФР, которая ориентировочно будет принята до конца 2007 г. Об этом в начале мая 2006 г. сообщил Владимир Гусаков, замглавы ФСФР, на конферен­ции «Три года развития корпоративного управления в России: практические резуль­таты». По его словам, «директора стали понимать эффективность и выгодность публичной деятельности», поэтому ФСФР считает необходимым сделать часть требований Кодекса обязательными для исполнения. Особое внимание при этом будет уделено принципам внутреннего контроля и аудита, которые уже к концу 2007 г. вполне могут стать обязательными для всех публичных компаний в Рос­сии. Другими словами, предприятиям, чьи акции котируются на отечественных биржах, придется создать эффективную систему внутреннего контроля точно так же, как это сейчас делают американские и некоторые британские компании.

Традиционно считается, что система внутреннего контроля (Internal Controls) дол­жна в первую очередь гарантировать целостность, точность и адекватность финан­совой отчетности. Однако на практике значение механизмов внутреннего контроля несоизмеримо шире. Так, стандарт аудита № 2 (An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements) регламентирует требования к системе внутреннего контроля в законе SOX. Соглас­но этому стандарту, одной из основных функций такой системы является предостав­ление «разумных гарантий предотвращения или своевременного выявления неав­торизованного приобретения, использования или перемещения корпоративных активов», если это может повлиять на материальное благосостояние компании. Сле­дует обратить внимание на то, что в понятие «корпоративные активы» также входят цифровые активы компании: интеллектуальная собственность, коммерческие или технологические секреты, а также целый ряд конфиденциальных сведений. Очевид­но, что кража или утечка этой информации отрицательно скажется на бизнесе фир­мы и ее финансовых показателях. Следовательно, система внутреннего контроля должна обеспечить защиту не только самих финансовых транзакций и отчетов, но еще и информационных активов фирмы.

Таким образом, можно говорить о классе решений ИБ, которые позволяют создать те или иные механизмы внутреннего контроля. Конечно, для полного соответствия требованиям нормативных актов одних ИТ-решений недостаточно, необходим еще целый ряд организационных мер. Кроме того, сегодня не существует такого комп­лексного решения, внедрение которого позволило бы заказчику создать эффектив­ную систему внутреннего контроля, удовлетворяющую всем положениям законов и стандартов. Поэтому на практике организации часто «собирают» целостную сис­тему из различных компонентов, в том числе решений ИБ. В качестве последних наибольшим спросом пользуются системы выявления и предотвращения утечек, средства сильной аутентификации (ЗА), решения для создания централизованных архивов корпоративной корреспонденции. Главенствующая роль систем для борь­бы с утечками в этом списке обусловлена тем, что такие продукты позволяют тща­тельно протоколировать абсолютно все операции, которые пользователи осуществ­ляют с конфиденциальной, финансовой, бухгалтерской и другой информацией. В результате, если в компании произойдет мошенничество, система выявления уте­чек поможет определить, кто, когда и как исказил корпоративную отчетность.

 

Системы сильной аутентификации (ЗА)

Решения класса ЗА (аутентификация, авторизация, безопасное администрирова­ние) служат в основном для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресур­сам. В первом случае служащий должен доказать, что он знает пароль или PIN-код, а также предъявить определенный персональный идентификатор (электронный ключ или смарт-карту). Во втором случае пользователь предъявляет еще и третий тип идентификационных данных, например биометрику.

Легко заметить, что использование средств многофакторной аутентификации су­щественно снижает роль паролей, сводя их фактически на нет. В этом проявляет­ся еще одно преимущество строгой аппаратной аутентификации, так как сегодня пользователям требуется помнить, по некоторым оценкам, около 15 различных паролей для доступа к учетным записям. Вследствие такой информационной пе­регруженности служащие либо записывают свои пароли на бумагу, либо время от времени забывают некоторые из них. Первый вариант чреват значительным сни­жением уровня безопасности из-за компрометации пароля, в то время как второй вариант наносит фирме серьезный финансовый ущерб. Действительно, исследова­ние Burton Group (см. Enterprise Single Sign-On: Access Gateway to Applications) по­казало, что каждый звонок в компьютерную службу помощи обходится компа­нии в $25-50, а от 35 до 50 \% всех обращений приходится именно па сотрудником, забывших свой пароль. Таким образом, использование усиленной или днухфактор иой аутентификации позволяет не только минимизировать риски ИТ безонае пости, но и оптимизировать внутренние процессы компании, снизив прямые фи пансовые потери. Среди типом персональных средств аутентификации следует выделить: USB-токены, в том числе со встроенным чипом; смарт-карты; гибрид­ные, программные и ОТР-токены.

Сегодня в России наибольшей популярностью пользуются USB-токены со встроен­ным чипом. От смарт-карт они отличаются только форм-фактором. Другими слова­ми, USB-токены со встроенным чипом наследуют все преимущества смарт-карт, связанные с безопасным хранением чувствительных сведений и осуществлени­ем криптографических операций прямо внутри токена, но избавлены от основного недостатка смарт-карт, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их примене­ния — от строгой аутентификации и организации безопасного локального или уда­ленного входа в вычислительную сеть до построения на основе токенов систем юри­дически значимого электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безо­пасных транзакций и др.

Отметим, что для заказчика большое значение имеет комплексность системы ЗА (рис. 19.2). Современные решения позволяют существенно повысить эффектив­ность и сферу применения строгой аутентификации. Например, продукты лиде­ров рынка позволяют организовать управление идентичностью, политиками безо­пасности, корпоративными данными и приложениями.

 

Управление идентификацией

 

Политики безопасности

Корпоративные данные

 

Корпоративные приложения

 

Как мы уже отмечали, устройства, оснащенные чипом смарт-карты, оптимальны для использования в информационно-вычислительных сетях, где уже развернута инфраструктура РКІ, или в сетях, где планируется ее внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегри­ровать процессы логической и физической аутентификации.

Еще одной потребностью может стать необходимость использования цифровой под­писи и совершения безопасных транзакций. Для выполнения этой и многих других задач очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИБ, что в значительной мере зависит от конкретного поставщика сис­темы ЗА. Хотя не все игроки рынка способны обеспечить поддержку своих персо­нальных идентификаторов в большом числе приложений, крупные разработчики предлагают своим клиентам достаточно широкий круг программного обеспечения для удовлетворения практически всех насущных потребностей. Например, лидер российского рынка поставляет USB-токены со встроенным чипом, которые могут взаимодействовать с более чем 150 приложениями.

 

Предотвращение нецелевого использования ИТ-ресурсов

Системы предотвращения нецелевого использования сетевых ресурсов (Net Abuse) позволяют не допустить персонал компании до развлекательных сайтов и веб-по­чты, запретить скачивание музыки и видео на рабочем месте, пересылку писем с не­нормативной, оскорбительной, грубой и другой лексикой. Обычно такие решения представляют собой два раздельных модуля, объединенных средством централизо­ванного управления.

Первый компонент продукта фильтрует трафик, передаваемый по протоколам HTTP и FTP, проверяет запрашиваемые веб-страницы по базе URL, авторизует пользовате­лей при доступе к сети и протоколирует все их действия. Часто этот веб-фильтр мо­жет интегрироваться с антивирусными программами, чтобы обеспечить удаление вре­доносного кода из HTTP- и FTP-потоков. Второй компонент продукта фильтрует почтовый трафик и отсеивает запрещенные исходящие сообщения. В некоторых слу­чаях этот модуль интегрируется со средством фильтрации спама и антивирусом, а также реализует функциональность централизованного архива корпоративной кор­респонденции. Таким образом, системы предотвращения нецелевого использования сетевых ресурсов зачастую представляют собой целый комбайн различных функций: начиная от защиты от вирусов и спама и заканчивая фильтрацией исходящего почто­вого потока и URL-адресов.

С точки зрения технологий, в основе решений данного класса лежит контентная фильтрация, которая производится с использованием базы сигнатур. Это верно для анализа как сообщений на предмет вирусов и спама, так и на предмет запре­щенного к пересылке контента. Однако такой подход не позволяет предотвратить утечку конфиденциальной информации через почтовые каналы или веб-трафик, так как сигнатурное сканирование, применяемое и в этом случае, обладает целым рядом ограничений. Например, фильтр позволяет выявить пересылку документов, в которых есть слово «конфиденциально». Однако для отыскания инсайдерских сигнатур, содержащих русскоязычный текст, такой фильтр не подходит. Суть про­блемы в следующем.

Представленные сегодня на рынке решения неплохо продаются в странах, в которых распространен английский или испанский язык. Дело в том, что английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т. д. Между тем, когда продукту приходится рабо­тать с более сложными языками, в базу фильтрации должны входить нее возмож­ные формы слов, а в славянских языках — еще и разные кодировки. Дли сравне­ния, в русском языке около миллиона елоиоформ и всего 10 тыс. корневых морфем.

,г)то означает, что если в английском языке администратору достаточно укшшть, чтобы фильтр блокировал все сообщения, в которых есть слово secret, то и русском языке ему придется добавлять: «секрет», «секретный», «секретная», «секретно» и т. д. А ведь для эффективной фильтрации следует учитывать еще и контекст. Более того, архитектура «все в одном» (целый комбайн функций) при увеличении базы фильтрации автоматически приводит к снижению производительности всей сис­темы. Именно по этим причинам в специализированных решениях для борьбы с утечками используют лингвистические технологии для выявления конфиденци­ального контента.

 

Архивирование корпоративной корреспонденции

Вследствие постоянного обмена сообщениями личные ящики сотрудников очень быстро «разбухают», а программа для работы с корреспонденцией начинает «тормо­зить». В результате служащие просто подчищают свои папки, например удаляя все сообщения полугодовой давности. Между тем многие международные нормативные акты требуют, чтобы ИТ-инфраструктура организации обязательно включала цент­рализованный архив корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента.

Отметим, что сегодня в России, в отличие от многих западных стран и США, никто не заставляет компании организовывать централизованные архивы корпоративной корреспонденции. Тем не менее отечественные предприятия могут извлечь из этого целый ряд преимуществ. Во-первых, многие рекомендательные нормативные акты требуют от компаний создавать и хранить почтовые архивы. Во-вторых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИБ и финансового мошенни­чества. В-третьих, централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотруд­ник должен решать самостоятельно. В-четвертых, в случае возникновения юриди­ческих претензий к компании и после проведения внешнего независимого аудита аутентичные письма из корпоративного архива могут служить доказательством в суде. Наконец, в-пятых, возможность делать специфические выборки из хранили­ща корреспонденции позволяет решать многие деловые задачи в области маркетин­га, продаж, общего менеджмента и т. д. Все эти стимулы будут подробнее рассмот­рены в отдельных статьях соответствующей главы. Пока же рассмотрим схему работы типового решения.

Прежде всего, централизованные архивы очень часто объединяются со средства­ми мониторинга и/или фильтрации почтового трафика (это особенно касается систем, предназначенных для борьбы с утечками). Поэтому на первом этапе элек­тронные сообщения проходят фильтр: для входящей почты — на наличие вирусов и спама, для исходящей — на наличие конфиденциальной информации. Далее, сообщения укладываются в архив, который представляет собой базу данных. Такие специфические модули, как система реагирования на выявленные запре­щенные сообщения, зависят от конкретных продуктов.

Отметим, что некоторые поставщики используют несколько иную архитектуру, то есть представляют собой не что иное, как почтовый архив, написанный па язы­ке СУБД. В этом случае почта упаковывается в базу данных, а лишь потом анали­зируется с помощью инструментов СУБД. Такая схема работы хорошо подходит для малых и средних компаний, но совсем не годится для крупных сетей. Меж­ду тем наибольшую потребность в средствах архивирования корпоративной кор­респонденции испытывают крупные компании с количеством почтовых клиентов около 10 тыс. и почтовым трафиком несколько десятков гигабайт в день.

 

Итоги

Каждый описанный тип продукта служит для решения своей собственной задачи. Довольно часто заказчики прибегают к помощи комплексных решений, которые позволяют выявлять и предотвращать утечки, архивировать корпоративную коррес­понденцию и обеспечивать внутренний контроль. Между тем системы сильной аутентификации (ЗА) и защиты от нецелевого использования сети стоят отдельно. Попытка использовать эти продукты не по назначению всегда приводит к плачев­ным результатам. Например, системы ЗА служат для защиты от несанкционирован­ного доступа. Они не позволяют предотвратить утечку со стороны служащих, име­ющих санкционированный доступ к данным, то есть беззащитны против абсолютно всех инсайдеров. В свою очередь, средства защиты от нецелевого использования ИТ-ресурсов прекрасно выявляют сотрудников, которые в рабочее время не делом занимаются, а развлекаются. Однако если попытаться использовать их как средство предотвращения утечек, то ничего не получится: сигнатурный фильтр не в состоя­нии остановить утечку конфиденциальных документов на русском языке в силу его специфики. Для этого требуется лингвистический фильтр, а подобные технологии реализованы только в специализированных решениях для борьбы с утечками. Все эти нюансы и конкретные особенности продуктов различных классов рассмотрены в следующих главах.


Оцените книгу: 1 2 3 4 5