Технології захисту від внутрішніх порушників
Захист від просочувань інформації. У сучасному бізнесі ключовою перевагою є володіння необхідною інформацією. Багато керівників звикли враховувати тільки матеріальні активи, забуваючи про нематеріальних, невідчутних. Той, хто зможе добре проаналізувати і скористатися інформацією швидше за інших, матиме незаперечну конкурентну перевагу. Проте дану перевагу можна легко втратити, втративши саму важливу інформацію. Як показує практика, в більшості випадків найбільш простий канал її отримання – це легальний користувач, внутрішній порушник. Заходи, необхідні для нейтралізації такої загрози, діляться на технічних і організаційно-правових. Технічні меринарушитель, що має легальний доступ до корпоративної мережі, може винести інформацію за межі периметра багатьма способами, наприклад такими как:• Копіювання на знімний носій(flash-память, DVD і т. п.) • Пересилка по електронній пошті • Передача файлу через сторонній ресурс (файлообменник, форум в Інтернеті і т. д.) • Відправка текстового фрагмента за допомогою IM• Друк на папері і винесення за межі організації (контрольованої зони) • Візуальне знімання інформації (в т.ч. з використанням технічних засобів) В кожному випадку порушник має легальний (обумовлений його службовими обов'язками) доступ до інформації. Заборонити цей доступ неможливо, сам факт доступу також не є порушенням. Тому перед службою інформаційній безпеці встає проблема інтерпретації і аналізу дій користувача. І тут на допомогу може прийти система запобігання витоку даних (data loss prevention – DLP). У найпростішому випадку критична інформація є просто набором файлів. Тоді для збереження її конфіденційності можна використовувати практично будь-яке з наявних рішень DLP – практично всі ці рішення перехоплюють всі можливі способи розкрадання інформації. Єдиною перешкодою може послужити використання екзотичних форматів файлів (для аналізу вмісту файлу продукт повинен «знати» його формат). Існує два основні різновиди DLP рішень за способом роботи: • Агентські рішення (коли на робочі станції співробітників встановлюється спеціальний агент);• Рішення, що працюють на вузлі обміну інформацією (наприклад, шлюзі доступу в інтернет). Переваги агентських рішень полягають в тому, що перекриваються всі шляхи розкрадання інформації, включаючи переносні носії і ті програми-коммуникатори, які використовують шифрування трафіку (наприклад, skype). Разом з тим, такий спосіб не позбавлений недоліків – на машині користувача необхідно формувати довірене середовище (інакше агент буде просто вивантажений зловмисником). Крім того, агенти існують майже виключно під операційні системи Microsoft, що підходить не всім. У DLP рішень, що працюють на вузлі обміну інформацією є інші недоліки, – неможливо «на льоту» розбирати зашифрований трафік і (наприклад, трафік skype можливо контролювати тільки агентськими DLP) доведеться або приймати цей ризик, або застосовувати інші заходи (у тому числі і чисто організаційні) до заборони таких повідомлень. Також таке DLP- рішення очевидно не в змозі контролювати використання flash-дисков і подібних носіїв інформації. У разі використання агентського рішення DLP, службі ІБ необхідно скласти перелік конфіденційної інформації і місць її зберігання і встановити відповідне ПО на робочі станції співробітників. У випадку якщо типи файлів, що все використовуються, підтримуються продуктом, вони будуть проїндексировани і всі дії з копіювання (у тому числі і через буфер обміну) контролюватимуться. Після цього «простими» діями як-небудь викрасти інформацію не вдасться. Проте можна сформулювати достатню кількість сценаріїв, які застосовуватиме внутрішній порушник для обходу агентського рішення DLP, напрімер:• Масове копіювання важливих файлів на робочу станцію з подальшою архівацією;• Компіляція файлу, що містить важливу інформацію з багатьох інших джерел. Пошук подібних сценаріїв можна продовжити, але головна причина витоку полягає в тому, що користувач має легальний доступ до конфіденційної інформації і заборонити цей доступ неможливо. Заховання вживаних методів захисту (і використовуваних рішень зокрема) не можна визнати хорошою практикою, тому можна вважати, що порушник знає можливості і недоліки засобів захисту інформації. Таким чином, для якісного запобігання просочуванням інформації необхідно застосовувати і інші заходи. Проте DLP рішення незамінні при проведенні розслідувань – вони дозволяють контролювати дії користувачів і виявляти підозрілу активність (наприклад, копіювання великих фрагментів файлів через буфер обміну). Як інші технічні мери можна застосовувати системи записів користувача (аж до запису що всього відбувається на екрані), програми тіньового копіювання (коли реєструються всі дані, передані через переносні носії) і інші способи фіксації дій (аж до записів системи відеоспостереження). Правда, треба відмітити, що деякі DLP-решения можуть даний функціонал підключати у вигляді додаткових модулів. Адміністратор безпеки, маючи зібрану такими засобами інформацію, може відновити точну послідовність дій передбачуваного порушника і довести або спростувати факт крадіжки інформації. Застосування ж перерахованих мерів окремо швидше за все результату не дасть, оскільки крізний аналіз будь-якої системи реєстрації украй трудомісткий. Конкретизувати часовий відрізок і підозрюваного користувача можна за допомогою DLP-системы. Разом з тим, застосування одній лише такої системи також серйозно ускладнює життя потенційному порушникові (особливо якщо він не є професіоналом у сфері ІТ). Також DLP допомагає запобігти просочуванням інформації по необережності – користувач отримає додаткове попередження про те, що передавана ним інформація носить конфіденційний характер і йому доведеться підтвердити необхідність передачі. Сам факт того, що дії користувача контролюються, є сильним стримуючим чинником для більшості потенційних порушників. Організаційні і правові меривообразім собі ситуацію, коли факт крадіжки конфіденційної інформації став відомим і винуватець вуличний. Виникає питання – яким чином можливо його покарати? У випадку якщо викрадена інформація є конфіденційній в термінах законодавства РФ (наприклад, є персональними даними або комерційною таємницею), винуватця можна притягати до відповідальності по нормах Закону. Проте велика частина критичної для бізнесу інформації законом не охороняється, і керівництву організації доводиться придумувати заходи дії в рамках організації. У випадку якщо формальних посадових інструкцій в частині забезпечення ІБ, політик безпеки і тому подібне в організації не оформлено, виявляється, що порушника покарати фактично дуже проблематично. Зрозуміло, велика частина викритих в такому порушенні людей вважатиме за краще добровільно покинути фірму, проте у разі великої організації така ситуація неприйнятна. Загальноприйнятим вирішенням проблеми правового захисту критичної інформації є написання внутрішніх нормативних документів, що визначають процеси забезпечення ІБ в організациі:• Політика безпеки (що визначає як загальний підхід до захисту інформації, так і конкретні важливі напрями);• Посадові обов'язки працівників, що мають доступ до критичної інформації (тоді розголошування такої інформації буде посадовим порушенням і з'явиться можливість покарати порушника, залишаючись в рамках законодавства);• Доповнення до посадових інструкцій представника вищого керівництва компанії, що займається питаннями ІБ (практика показує, що таким куратором має бути співробітник не нижче за першого заступника керівника організації). У разі наявності повного комплекту внутрішніх регламентів, за наслідками службового розслідування порушник понесе покарання, а працедавець, зі свого боку, не ризикує порушити трудове законодавство. Проте необхідно пам'ятати, що деякі дії співробітників підрозділу інформаційної безпеки можуть виходити не тільки за рамки трудового законодавства. Саме тому як при впровадженні систем запобігання витокам і розробці керівних документів, так і при розслідуванні інцидентів необхідна серйозна допомога юристів компанії. Заключенієпроблема захисту від внутрішніх порушників украй складна в дозволі. У складних ситуаціях (наприклад, якщо на організацію проводитися спланована атака конкурентів) знадобиться напруга всіх сил як служб ІБ організації, так і юридичної служби і вищого керівництва компанії. Організація при цьому проходить перевірку на міцність як в частині технічної інфраструктури, так і (навіть більшою мірою) в частині морального клімату усередині колективу. Мало кому сподобатися бути об'єктом розслідування і піддаватися розпитуванням служби безпеці. Зусилля служб ІБ мають бути направлені в рівній мірі, як на виявлення фактів витоку, так і на збір доказів причетності співробітників до цих витоків. Ситуація коли і винен у витоку не знайдений, і робота організації порушена нервозністю в колективі більш чим реальна. Грамотне застосування технічних засобів боротьби з внутрішніми порушниками укупі з правовими способами захисту інформації багато разів підвищать ефективність роботи в кризовій ситуації і дозволять вийти з неї з мінімально можливими втратами.
партнер компанії Pointlaneкорольов Олексій, що Управляє,
Примітки:
DLP-системы
Захист від просочувань інформації