РАЗДЕЛ III
МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ. СИСТЕМЫ АВТОМАТИЗАЦИИ ПРОЕКТИРОВАНИЯ
УДК 004.45: 004.492.3
ТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А.Е. Сулавко
Аннотация. Выявлены недостатки существующих средств защиты от внутренних угроз информационной безопасности. Описаны используемые в современных системах защиты подходы к распознаванию конфиденциальной информации в информационном потоке и их эффективность, а также основные требования таким системам. Обозначены возможные направления будущих исследований с целью повышения эффективности средств борьбы с внутренними угрозами.
Ключевые слова: информационная безопасность, внутренние угрозы, контентный анализ, контекстная фильтрация, защита от утечки конфиденциальной информации.
Введение. На сегодняшний день наибольшую угрозу информационной безопасности (далее ИБ) представляют внутренние злоумышленники. С каждым годом данная угроза все возрастает. Времена, когда руководители предприятий боялись атак хакеров и вирусов теперь в прошлом. Конечно, данный класс угроз по сей день несет в себе большую опасность, но более всего компании обеспокоены именно из-за потери, утечки корпоративной информации и персональных данных. Об этом говорят результаты практически любых исследований в области информационной безопасности, проводимых в рамках различных проектов (рисунки 1, 2). По результатам исследования «ИНСАЙДЕРСКИЕ УГРОЗЫ В РОССИИ ’09» (рисунок 1), проведенного аналитическим центром российской компании Peri-metrix видно, что угрозы, исходящие изнутри компании, в сумме дают больший рейтинг опасности, чем угрозы, исходящие извне.
Такая ситуация наблюдается не только в России. По данным технических отчетов INFORMATION SECURITY BREACHES SURVEY 2006 и 2008, представленных компанией
PriceWaterhouseCoopers, внутренние инциденты также превалируют над внешними. За последние годы существенно увеличилось опасение внутренних инцидентов представителями малого и среднего бизнеса (рисунок 2). Утечки терпят не только представители бизнеса, но и государственные учреждения по всему миру. Об этом свидетельствуют результаты глобального ис-
следования InfoWatch (рисунок 3). Из представленных материалов видно, что сегодня вопрос о борьбе с внутренними угрозами стоит более остро, чем вопрос о борьбе с внешними. Следует отметить, что наиболее опасной угрозой на сегодня является утечка конфиденциальных данных (рисунок 1).
Средства и методы борьбы с внутренними угрозами. Чтобы эффективно бороться с внутренними угрозами, необходимо выявить недостатки существующих средств защиты в этой области. Можно выделить несколько типов систем обеспечения внутренней безопасности.
Системы мониторинга и аудита являются хорошим средством при расследовании инцидентов. Современные системы аудита позволяют регистрировать практически любые действия пользователей. Недостатком этих систем является отсутствие возможности предотвращения утечки, т.к. для этого нужна система реагирования на события и принятия решений, распознающая какая последовательность действий несет угрозу, а какая нет. Ведь если ответной реакции на нарушение не последует сразу, последствий инцидента не избежать.
Системы сильной аутентификации служат для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам.
Рис. 1. Наиболее опасные угрозы ИБ по мнению респондентов
15В5 2008- крупные фирмы
15В5 2006- крупные фирмы
13ВЗ 2008 - в целом (любые фирмы)
1вВЗ 2006 - в целом (любые фирмы)
1
43% 57%
1 1—, 1 1
43% 52%
. . . .
i
38% 52 %
1 . 1 1
68 % 32%
1 1 1 1
и Внешние угрозы и Внутренние угрозы
20
40
60
80
100
Рис. 2. Соотношение опасности внутренних и внешних инцидентов ИБ
Рис. 3. Распределение инцидентов по типу организации
Рис. 4. Самые популярные средства ИБ
Таблица 1 - Основные функции систем защиты от внутренних угроз
Вендор и название продукта Подход к контентной фильтрации Подход к контекстной фильтрации (подразумевается контейнерный анализ) Подход к категоризации данных Шифрование данных Критерии (много-канальность, унифицированный менеджмент, активная защита, содержание + контент)
InfoWatch Traffic Monitor + CryptoStorage сигнатуры, морфология защищаемые файлы- контейнеры ++++
Perimetrix SafeSpace морфология цифровые отпечатки метки онтологии крипто- контейнеры ++++
McAfee Host DLP цифровые отпечатки метки - ++++
Symantec Data Loss Prevention сигнатуры, цифровые отпечатки интегриро- ванное шифрование ++++
Trend Micro LeakProof сигнатуры, цифровые отпечатки интегриро- ванное шифрование ++++
Websense Data Security Suite сигнатуры, цифровые отпечатки интегриро- ванное шифрование ++++
Инфосистемы Джет СМАП и СКВТ Дозор Джет сигнатуры, регулярные выражения --++
SmartLine DeviceLock - - - -
SecurIT Zlock - - - - + + + -
Smart Protection Labs Software SecrecyKeeper метки + + + -
Такие средства могут защитить информацию от “непосвященного” сотрудника, но не от инсайдера, который и так имеет доступ к охраняемой информации. Средства шифрования носителей. Данный класс программ защитит от утечки информации при потере носителя или ноутбука. Но, если инсайдер передаст носитель вместе с ключом, на котором зашифрована информация другой стороне, то такой метод защиты будет бесполезен.
Системы выявления и предотвращения утечек (Data Leakage Prevention, DLPJ. Дан-
ные системы также называют системами защиты конфиденциальных данных от внутренних угроз (далее, системы защиты от утечек). Эти системы контролируют каналы утечки данных в реальном времени. Существуют комплексные (покрывающие много каналов утечки) и точечные (покрывающие определенный канал утечки) решения. Данные системы используют проактивные технологии, благодаря чему, не только регистрируют факт нарушения ИБ, но и предотвращают саму утечку информации. Конечно, качество такого контроля напрямую зависит от способностей
системы отличать конфиденциальную информацию от не конфиденциальной, т.е. от используемых алгоритмов контентной или контекстной фильтрации. Большинство современных систем защиты от утечек имеют функции шифрования носителей и файлов (такие системы также называют Information Protection and Control (IPC)). Они могут использовать защищенные хранилища данных, в частности криптоконтейнеры, которые при доступе к файлу учитывают не только ключ шифрования, но и различные факторы, такие как уровень доступа пользователя и т.д. Также они могут производить поведенческий анализ пользователя (правда данная технология пока не дает высоких результатов) и иметь различные прикладные функции.
Существуют программно-аппаратные средства защиты, которые нельзя непосредственно отнести к перечисленным выше категориям, например средства блокировки внешних носителей и д.р., но данные средства, как правило, не отличают конфиденциальную информацию от не конфиденциальной и являются реализацией отдельных функций современных систем защиты от внутренних угроз. На сегодняшний день системы защиты от внутренних угроз - это единственное решение, позволяющее предотвратить утечки в реальном времени, контролируя действия пользователей и процессов производимые с файлами и способное распознавать конфиденциальную информацию в информационном потоке. Чтобы определить уязвимое место в защите, предоставляемой такой системой, необходимо более детально рассмотреть их основные функции и возможности, а также методы, используемые этими системами для осуществления контентной/контекстной фильтрации.
Производители систем защиты от утечек используют различные технологии для распознавания конфиденциальной информации. Каждый производитель утверждает, что используемые в его продукте методы выгодно отличаются от методов программ аналогов. Но все эти методы в совокупности основаны на синтезе нескольких принципиально различных подходов.
Поиск сигнатур. Наиболее простой метод контентной фильтрации — поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-словом». Техника работает только на точные срабатывания и легко обходится простой заменой символов в анализируемом тексте.
Поиск регулярных выражений (метод масок). С помощью некоторого языка регулярных выражений определяется «маска», структура данных, которые относятся к конфиденциальным. Чаще всего данный метод используется для определения персональных данных (ИНН, номера счетов, документов и т.д.). Недостаток метода в наличие большого количества ложных срабатываний, также метод совершенно не применим к анализу неструктурированной информации.
Метод цифровых отпечатков. С эталонной информации снимается «отпечаток» при помощи хеш-функции. Далее отпечаток сравнивается с фрагментами анализируемой информации. Недостаток в том, что при использовании хеш-функции технология работает только на точные совпадения. Существуют алгоритмы, позволяющие незначительные изменения анализируемой информации по сравнению с эталонной (не более 20%-30%). Данные алгоритмы закрыты разработчиками систем защиты от утечек.
Лингвистический и морфологический анализ. Техника основана на методах контентного анализа текстов. Существует количественный (подсчет частоты встречаемости и весовых коэффициентов слов) и качественный анализ (поиск упоминания в тексте заданных тем). Морфологический анализ дает возможность работы со словоформами, лингвистический позволяет рассматривать предложения и искать связи в словах. Предполагается анализ информации с помощью заранее заданных словарей или ключевых фраз. Основное достоинство метода в том, что он способен выявить конфиденциальную информацию, передаваемую в неформализованном виде. Метод полностью нечувствителен к количеству документов, т.е. база контентной фильтрации не меняется в размере от появления новых документов или процессов в компании. Также метод малочувствителен к изменению отдельных слов, их перестановке. К сожалению, применение таких методов пока дает большое количество ошибок первого и второго рода. Также метод зависим от используемого языка.
Контейнерный анализ (или контекстная фильтрация) основан, в отличие от описанных выше методов, не на анализе содержимого (контента), а на анализе свойств или атрибутов контейнера с информацией (контекста), т.е. не производят анализ его информационного наполнения. Могут анализироваться тип приложения, отправитель, адресат, также свойства файла или другого контейнера, в
котором находится информация. Примерами такого подхода являются решения, основанные на метках, которыми помечается конфиденциальная информация. Каждый контейнер содержит такую метку, которая однозначно определяет тип содержащегося внутри контейнера контента. Данные методы требуют мало вычислительных ресурсов. Их минус в том, что система заботится только о помеченной информации: если метка не поставлена, контент не защищен. Такой подход часто подразумевает предварительную категоризацию данных с целью присвоения атрибутов (меток) и степеней конфиденциальности файлам. Еще одним недостатком этого подхода является чрезвычайная сложность выполнения категоризации файлов вручную (практическая невозможность при больших массивах информации), отсюда вытекает необходимость автоматизации процесса категоризации. Для этого существует достаточно много методов: статистический (подсчет частот ключевых слов), вероятностный (на основе теоремы Байеса), лингвистический, алгоритмы с использованием нейросетей, векторный (представление текста, как вектора признаков), категоризация на основе онтологий (формальных описаний предметных областей с помощью понятий и их взаимоотношений).
Нужно отметить, что все перечисленные методы не позволяют детектировать конфиденциальную информацию, скрытую при помощи стеганографии. Существующие методы способны выявлять случайную утечку, но не могут бороться с высококвалифицированным инсайдером.
Помимо технологий, применяемых для выявления конфиденциальной информации, системы защиты от внутренних угроз характеризуются соответствием ряду дополнительных требований (критериев принадлежности к системам защиты от утечек). Основные требования к этому классу систем защиты были выдвинуты исследовательским агентством Forrester Research:
и многоканальность (способность осуществления мониторинга нескольких каналов утечки данных);
и унифицированный менеджмент
(наличие унифицированных средств управления политикой ИБ, возможность анализа событий по всем каналам мониторинга с созданием подробных отчетов);
и активная защита (система должна не только обнаруживать, но и предотвращать нарушение ИБ);
сочетание контентного и контекстного анализа (в данном случае к контекстному анализу помимо меток следует относить анализ активности пользователя и приложений).
Как видно, в представленные требования не входит проверка того, кто именно в определенный момент работает под текущей учетной записью.
На сегодняшний день существует достаточно много систем защиты от утечек и продуктов, близких по функциональности к ним. Основные характеристики и функции некоторых решений (было решено взять 10 наиболее популярных) представлены в таблице 1. По результатам исследований, проведенных аналитическим порталом Anti-Malware.ru лидером на рынке систем защиты от утечек в 2008 и 2009 году являлась компания In-foWatch с объемами продаж 7.2 млн. $ в 2008 году и 5 млн. $ в 2009 году, что, по мнению Anti-Malware.ru, составляло 50.9% и 32.7% от рынка систем защиты от утечек в России соответственно. За InfoWatch идут Инфосисте-мы Джет (2008 год - 3.5 млн., 2009 год - 4.5 млн.) и SecurIT (2008 год - 2.1 млн., 2009 год -2.9 млн.). Как можно видеть InfoWatch теряет свое лидерство.
У систем защиты от утечек, представленных на рынке, отсутствует возможность идентификации пользователя по “типовому портрету работы в системе”. В существующих решениях анализ активности пользователя ведется с целью выявления противоправных действий и не позволяет установить, кто на самом деле находится за компьютером. Для этого необходимо прибегать к видеонаблюдению, что не всегда возможно на практике.
С течением времени технологии, применяемые в системах защиты от утечек, совершенствовались, но так или иначе все используемые методы распознавания конфиденциальной информации и их комбинации основываются на перечисленных выше контентных и контекстных методах. Эволюцию систем защиты от утечек можно условно разделить на три этапа. Первые системы защиты от утечек в основном использовали методы контентной фильтрации. Но их эффективность оказалась низкой, т.к. на практике такие методы дают достаточно большой процент ошибок первого и второго рода. По данным компании Gartner, в отчете Hype Cycle of Information Security за 2007 год, предельная надежность любых существующих методов контентной фильтрации составляет 80%, а за последние годы существенных изменений в сторону увеличения
эффективности таких алгоритмов не произошло. Таким образом, максимальная вероятность правильного распознавания конфиденциальной информации с помощью алгоритмов контентной фильтрации в информационном потоке (документе, файле, трафике и т.д.) на сегодняшний день не превышает 0.8. И эта вероятность может быть достигнута при использовании всех перечисленных подходов к анализу контента (регулярные выражения, сигнатуры, лингвистические методы и т.д.). Такой показатель является низким (гораздо ниже, чем заявляемые разработчиком характеристики) и не удовлетворяет требованиям информационной безопасности.
Системы защиты от утечек второго поколения используют контейнерный анализ. Этот подход подразумевает однозначное определение конфиденциальной информации в потоке по атрибуту файла (метке). Но, не смотря на кажущийся детерминизм, такая система будет принимать правильное решение при условии верной категоризации данных, произведенной ею предварительно при помощи существующих методов. Но все существующие методы категоризации (вероятностные, лингвистические и т.д.) также основаны на методах контентной фильтрации (контентного анализа), которые, как было упомянуто выше, далеки от совершенства. Необходимо предусматривать и разрабатывать процедуры расстановки меток на новые и входящие документы, а также систему противодействия переносу информации из помеченного контейнера в непомеченный и расстановки меток при создании файлов “с нуля”. Все это является очень сложной задачей, к тому же зависимой от задачи анализа контента. Как видно, концепция детерминистской фильтрации не может применяться отдельно от контентной, и от методов фильтрации контента не избавиться даже теоретически. В идеализированном случае, при вероятности правильного распознавания документа 0.99 и выше, можно отказаться от детерминистского подхода (контейнерного анализа). Но существующие алгоритмы не позволяют этого сделать (минимальная сумма ошибок первого и второго рода > 0.2). Возможно, с развитием генетических алгоритмов и технологий искусственного интеллекта ситуация может измениться.
Новое поколение систем защиты от утечек (ИАС РСКД, информационно-аналитические системы режима секретности конфиденциальных данных) обещает избавиться от недостатков контентных и контекстных методов, используя каждый из них в том случае, где он
наиболее эффективен. Но сочетание двух несовершенных и зависимых технологий не может произвести существенного улучшения.
В целом, на данный момент рынок систем защиты от внутренних угроз еще не может дать полноценного решения для защиты информации от утечек конфиденциальной информации. Это подтверждается итогами второй всероссийской конференции по защите конфиденциальной информации от утечек “DLP-Russia 2009”. По мнению аналитика компании Forrester Билла Найджела: DLP-рынок находится в самом начале своего развития, компании понимают, что с утечками данных необходимо бороться, однако не вполне представляют себе, как именно.
Заключение. Резюмируя приведенную выше информацию, можно заключить, что несмотря на большое количество имеющихся алгоритмов выявления конфиденциальной информации, все они не эффективны. Актуализация проблемы внутренних угроз вызвана незащищенностью от них организаций и отсутствием эффективного решения по борьбе с ними. Практически на всех предприятиях используются программные и/или аппаратные средства защиты, которые предназначены для борьбы с внешними угрозами (антивирусы, брандмауэры, IDS и т.д.) и достаточно эффективно с ними борются. Что касается средств защиты от внутренних угроз (системы защиты от утечек), то только очень незначительная часть компаний их использует (рисунок 4), хотя необходимость в этих средствах объективно существует. Рынок информационной безопасности еще не может предложить полноценного решения для эффективной защиты корпоративной информации, и существующие решения не дают достаточного уровня защиты, при этом их стоимость высока (приблизительно 100 - 500 тыс. $ стоит лицензия на 1000 компьютеров).
Необходимо совершенствовать технологии контентной фильтрации, разрабатывая новые методы выявления конфиденциальной информации, концептуально меняя подходы к ее распознаванию. Кроме того, нужно разрабатывать методы выявления информации, скрытой при помощи стеганографии. Также, целесообразно распознавать не только смысловое содержание текста, но и его авторство. Благодаря идентификации автора текста (при пересечении этим текстом периметра организации), набранного пользователем и содержащего конфиденциальную информацию, становится возможным выявить злоумышленника. Данный подход может быть реализован
при использовании методов контентного анализа совместно с биометрическими методами идентификации пользователя по клавиатурному почерку. Учитывая не только статические характеристики текста (смысл), но и динамику ввода текста, становится возможным идентификация автора текста с высокой вероятностью.
Technologies of protection against internal threats of informational security
A.E. Sulavko
Disadvantages of existing protection systems against internal threats of informational security
are revealed. Approaches, used in modern data leakage prevention systems, to recognition of the confidential information in an informational stream and efficiency of the given methods, and also the main requirements to data leakage prevention systems are described. Possible directions of the future researches for the purpose of data leak prevention systems improvement are designated.
Сулавко Алексей Евгеньевич - аспирант кафедры «Информационная безопасность» Сибирской государственной автомобильно-дорожной академии. Основное направление научных исследований - системный анализ, информационная безопасность. Имеет 8 опубликованных работ.
УДК 629.113.012.8
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ ВИБРОЗАЩИТНОГО УСТРОЙСТВА С ЭЛЕКТРОМАГНИТНЫМ КОМПЕНСАТОРОМ ЖЕСТКОСТИ
В.С. Щербаков, Н.Л. Левченко
Аннотация. В статье представлена математическая модель виброзащитного устройства транспортного средства, содержащего два яруса подвешивания на базе резинокордных оболочек и электромагнитный компенсатор жесткости.
Ключевые слова: математическая модель, виброзащитное устройство, резинокордная оболочка, электромагнитный компенсатор жесткости.
Составление математических моделей виброзащитных устройств, в конструкцию которых наряду с механической частью входит электромагнитный элемент, имеет ряд особенностей.
Механические и электромагнитные процессы, протекающие в данных системах, существенным образом связаны друг с другом. Для составления математических моделей электромеханических систем используют уравнения Лагранжа - Максвелла, являющиеся следствием уравнения Лагранжа 2-го рода для механических систем с кинетическим потенциалом [1]
Адк-дк + АГ = Q , (1 = 1, 2, ..., п), (1)
dt 5^ £ ас £ ас £ 1
где Ь - кинетический потенциал электромеханической системы (Лагранжиан); Г - диссипативная функция электромеханической системы; Qí - сторонние э.д.с. при 1 = 1, 2, ..., т и обоб-
щенные механические силы при 1 = т+1, ..., п, действующие на электромеханическую систему; С8 = is - ток в S-ом контуре при S = 1, 2,
..., т; t - время протекания процесса.
Лагранжиан электромеханической системы равен
Ь = Т + Wm - (П + Wt), (2)
где Т - кинетическая энергии механической части системы; П - потенциальная энергии механической части системы; "т - энергия магнитного поля системы; "г - энергия электрического поля системы.
Исследуемое виброзащитное устройство состоит из двух ярусов подвешивания и электромагнитного устройства во втором (верхнем) ярусе подвешивания. Каждый ярус подвешивания механической части системы содержит резинокордные упругие элементы, которым присущи как упругие, так и диссипативные свойства. Электромагнитная часть виброзащитной системы содержит два конту-