CC BY
85
ЗАЩИТА ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УГРОЗ А.Д. Жуков, П.И. Иванов Научный руководитель - И.А. Березовский
Проект представляет комплексное исследование в области 1Т-безопасности. Целью работы являлось выявление набора административных и программных средств борьбы с утечками конфиденциальных данных, а также оценка затрат, связанных с разверткой таких решений для компании.
Введение
Практически каждый день на ресурсах посвященных защите информации появляются новые сообщения о так называемых «инсайдерах». Инсайдер - базовое понятие в области защиты информации. Различными словарями дается примерно следующее определение: инсайдеры - это сотрудники компании, которые в соответствии со своими служебными обязанностями имеют доступ к конфиденциальной информации и жизненно важным ресурсам работодателя. Сегодня именно инсайдеры все чаще оказываются виновными в утечках секретных сведений, краже интеллектуальной собственности, финансовом мошенничестве, саботаже ИТ-инфраструктуры и т.д.
Вопреки традиционному мнению, на сегодняшний день российские компании и организации озабочены проблемами внутренних угроз ИТ-безопасности намного больше, чем внешними атаками (43,5 % против 56,5 %), см. рис. 1.
Очевидно, что обиженный или недовольный сотрудник компании, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий корпоративную сеть через Интернет.
0 10 £0 3d 4С 50 Рис. 1. Препятствия для внедрения защиты от утечки
К сожалению, сегодня несовершенство законодательства обходится отрасли информационных технологий ежегодно более чем в 280 млн. долларов, что составляет примерно 7 % от оборота отрасли в России. Базы данных телефонных компаний, крупнейших и, что более плачевно, государственных предприятий в наше время может купить почти каждый. Достаточно заглянуть на какой-нибудь известный портал по ин-форм-безопаснсти (например, securitylab.ru или infowatch.ru), и мы увидим всю полноту этой проблемы в отражении ежедневных security-сводок.
Вот некоторые из наиболее громких дел:
Hewlett-Packard
Осенью 2006 года в компании Hewlett-Packard разгорелся скандал, который привел к отставке неисполнительного председателя совета директоров. Причиной явилась утечка информации из совета директоров в СМИ.
Citibank
Серьезная утечка конфиденциальной информации произошла из сингапурского отделения Citibank. Руководитель местного отделения Private Banking (обслуживающего самых богатых клиентов) перешел на работу к банку-конкуренту UBS. Вместе с собой он прихватил конфиденциальные данные всех этих состоятельных клиентов.
Юридическая сторона проблемы
В нашей стране законы пока еще далеки от совершенства, но выход ищется. В качестве примера можно привести законопроект «О персональных данных». Он гласит, что все юридические и физические лица, на попечении которых находятся персональные данные других граждан, обязаны в полной мере обеспечивать конфиденциальность этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы.
Именно из-за несовершенства законов корпорации вынуждены сами изобретать юридические меры борьбы с нерадивыми сотрудниками. Одна из таких мер - обязательство о неразглашении коммерческой тайны, которое обязан подписать каждый работник при приеме на работу, независимо от должности или ранга. В него должны входить перечень информации, составляющей коммерческую тайну, а также права и обязанности администратора безопасности.
Нарушение сотрудниками компании данного положения может повлечь уголовную, административную, гражданско-правовую, дисциплинарную и иную ответственность в соответствии с законодательством Российской Федерации.
Таким образом, любой сотрудник, подписавший данное положение, становится ответственным за доверенную ему информацию и, в случае утечки корпоративной информации по его вине, несет уголовную ответственность, а компания обеспечивает себе стабильное существование и возмещение всех убытков в случае утечки информации. Каждая компания, имеющая сколь угодно важную корпоративную информацию, просто обязана иметь таковое положение.
Административные действия по предотвращению утечки информации
Из всех существующих методов обеспечения защиты информации от внутренних угроз самым простым и логичным является административный. Не важно, какой замок висит на двери сейфа, если его никогда не закрывают. Поэтому прежде, чем использовать те или иные программные средства, имеет смысл прибегнуть к пересмотру административных политик информационной безопасности.
На сегодняшний день существует достаточно много вариантов, в ход пустить можно все, что не противоречит букве закона и соответствует вашим этическим соображениям и финансовым возможностям. Мы разделили средства на препятствующие появлению и выявляющие инсайдера.
Конечно же, самое лучшее - предупредить возможный IT-инцидент, выявив инсайдера «на корню». Необходимо найти способ разрядить напряженную ситуацию и восстановить здоровую рабочую атмосферу, чему способствует повышение заработной платы, проведение корпоративных культурных мероприятий.
Несмотря на то, что выявить инсайдера по какому-либо внешнему признаку не представляется возможным, имеет смысл попытаться отличить угрозу еще на стадии приема на работу. Прежде всего, по мнению специалистов, необходимо уделять повышенное внимание тем сотрудникам, которые недавно столкнулись с неприятными ин-
цидентами в своей работе.
Сильной головной болью для кампании может обернуться утеря мобильных носителей информации (флеш-карт, ноутбуков и т.д.). Но в наше время особой сложности не представляет приобретение устройств, идентифицирующих хозяина, скажем, по отпечатку пальца. Для исключения возможности нежелательного копирования вводится запрет на внос/вынос запоминающих устройств.
С целью выявления инсайдера и доказательства его вины используются такие средства, как прослушивание телефонов, видеонаблюдение за сотрудниками. Ходил слух (данные неподтвержденные), что в ходе внутренних расследований по выявлению источника утечек информации в организацию под видом младших клерков и уборщиков были внедрены детективы.
Программные средства
Программные средства были рассмотрены нами в соответствии с наиболее распространенными каналами утечки.
В данном обзоре представлены программные решения для малого и среднего бизнеса. Представленные программы вполне доступны по цене среднестатистической компании, а также обладают достаточной функциональностью.
Мы разделили все исследуемые программы на 2 категории: мониторинг активности конкретного PC и ограничение доступа.
Средства ограничения доступа
К таким средствам можно отнести WinLockProfessional, WatchMan, IMLocker, а также Security Administrator.
Последний продукт - замечательная утилита в помощь системному администратору. Позволяет ограничивать доступ к ресурсам Windows (например, выполнять отключение командной строки, панели управления, редактора реестра), сетевым ресурсам, принтерам, съемным и жестким дискам. Позволяет устанавливать временные квоты для пользователей, запрещать установку, удаление или запуск приложений (как всех так и конкретных). В комплекте с нею поставляются следующие утилиты:
ScreenLocker - позволяет блокировать экран при отсутствии в течение определенного времени пользователем каких-либо действий;
SafeWebBrowser - простейший просмотрщик веб-страниц, имеющий минимальный набор функций.
К плюсам продукта можно отнести приятный интерфейс и легкость в настройке. Минусов не выявлено.
Средства мониторинга
В качестве таких средств выделяются Give Me Too, NewSpy (Real Spy Monitor), Actual Spy. Продукт Actual Spy, на наш взгляд, - лучшее из всех исследуемых нами средств мониторинга активности пользователя. Ведется учет если не всех, то практически всех событий, нужных администратору (логируются нажатые клавиши, изменения файлов, включение\выключение компьютера, печатаемые на принтере документы, буфер обмена; программа делает снимки экрана через каждый заданный промежуток времени). Главный плюс - возможность отсылки лог-файлов на электронный ящик, на ftp-сервер, и, что самое удобное - в локальной сети на лог-сервер. Система настроек и графический интерфейс очень функциональны и понятны. Сформулируем еще раз преимущества этого продукта: возможность отсылки логов на лог-сервер; удобочитаемый вид лог-файла (в html или txt виде, в зависимости от желания пользователя); мощный функционал. Минусов не выявлено
Дорогостоящие программные средства
Для крупных компаний с большим бюджетом, способных вкладывать немалые деньги в защиту своей корпоративной информации, имеется другой набор продуктов. Рассмотреть программные комплексы для такого масштаба фирм и поработать с соответствующими программами нам, по понятным причинам, не удалось, поэтому анализ делался по ознакомительным брошюрам производителей. Итак, комплекс программ от компании InfoWatch:
InfoWatch Mail Monitor - выявляет в исходящем потоке электронной почты (SMTP) сообщений, которые могут представлять угрозу утечки конфиденциальной информации;
InfoWatch Web Monitor - выявляет на исходящем HTTP-потоке данных, которые могут представлять угрозу утечки конфиденциальной информации. Фильтрует данные, нарушающие политику безопасности (интернет-форумы, чаты, веб-почта);
InfoWatch Device Monitor - контролирует использование мобильных устройств хранения информации (FDD, CD/DVD, Wi-Fi, HDD, COM, LPT, USB, Bluetooth), устройств передачи информации и коммуникационных портов;
InfoWatch Net Monitor - выявляет нежелательную активность пользователей по отношению к файлам и документам, которая может представлять угрозу утечки конфиденциальной информации. Ведет мониторинг на уровне файловых операций и приложений;
InfoWatch Enterprise Solution - интегрированное решение, обеспечивающее конфиденциальность, с возможностью централизованного управления и оповещения об инцедентах в режиме реального времени. Объединяет в себе все вышеперечисленные продукты.
Заключение
Наше исследование выявило ряд очень важных тенденций и проблем. Мы рассмотрели программные и административные средства. Конечно, ситуация еще далека от идеала, но, к примеру, Россия уже успешно преодолела первый, чрезвычайно важный этап осознания актуальности проблемы.
Литература
1. Чирилло Дж. Обнаружение хакерских атак. СПб: Питер, 2003.
2. Поляк-Брагинский А.В. Локальные сети. Модернизация и поиск неисправностей. СПб: БВХ-Петербург, 2006.
3. Мониторинг рабочих станций. // IT-спец. 2007.
4. http://securitylab.ru
5. http://infowatch.ru
6. http://security.nnov.ru
7. http://citforum.ru
8. http://safe.cnews.ru
