Эффективность бизнеса в большинстве случаев определяется сохранностью целостности и доступности информации, а также ее конфиденциальности. На сегодня самой актуальной угрозой в области информационной безопасности (ИБ) является утечка закрытых данных от запрещенных действий пользователей. Это обуславливается тем, что традиционные средства, такие как антивирусы, системы аутентификации, уже не обеспечивают эффективную защиту от инсайдеров (внутренних нарушителей).
Нарушитель: кто он?
Анализ средств защиты стоит начинать с рассмотрения модели инсайдера. Внутренние нарушители – сотрудники или другие пользователи, которые имеют легальный доступ к закрытой информации. К таковым относятся не только люди, работающие на ПК в составе корпоративной сети в офисе. Это могут быть командированные с офисными ноутбуками, удаленные сотрудники, курьеры, которые перевозят носители информации.
Инсайдеров можно разделить на 3 типа:
- Обиженный сотрудник. Такой нарушитель осознанно, уходя из организации, копирует конфиденциальную информацию, чтобы воспользоваться ею в другой организации и тем самым отомстить компании, которая, по его мнению, несправедливо с ним поступила. Такие инциденты часто возникают в условиях массового сокращения персонала.
- Внедренный (подкупаемый) сотрудник. В данном случае речь идет о промышленном шпионаже. Для сбора закрытой информации в компанию-конкурента внедряют своего человека или подкупают нелояльного сотрудника. Такая ситуация не является слишком распространенной.
- Невнимательный сотрудник. Такой работник нарушает политику внутренней безопасности, пусть и не специально. Халатный сотрудник может по ошибке отправить электронное письмо с секретной информацией не тому адресату или взять с собой домой электронный носитель с конфиденциальными данными и потерять флешку. Как показывает практика, инсайдеры этого типа ответственны за большую часть утечек.
Образ действий, как и мотивы потенциальных нарушителей могут отличаться. Таким образом, и технологии защиты от внутренних угроз бывают различными.
DLP: что это такое?
Это технологии, которые позволяют предотвратить утечку закрытой информации. Термин «DLP» (data loss prevention) появился в лексиконе специалистов по ИБ не так давно. Этой аббревиатурой обозначают системы, которые как контролируют возможные каналы утечки, так и блокируют их в случае попытки пересылки по этим каналам секретных данных. Различают два вида таких систем: хостовые и сетевые.
Хостовые DLP
Устанавливают на каждый хост в сети, могут быть использоваться для контроля интернет-трафика. Работник, который принес в офис MP3-плеер или портативный цифровой носитель, представляет большую угрозу ИБ, чем самые изощренные хакеры. Хостовые DLP призваны контролировать внешние устройства, а также принтеры. Такие средства позволяют настраивать права доступа для пользователей. Например, одной группе сотрудников запрещена работа с внешними носителями, а другим – разрешена в режиме «только чтение».
Что касается контроля принтеров, то хостовые DLP позволяют сохранять копии распечатываемых документов в графическом формате, благодаря чему можно позже провести их анализ.
К недостаткам такой системы безопасности можно отнести тот факт, что пользователь с правами администратора может отключить данное ПО с целью совершения несанкционированных действий.
Сетевые DLP
По принципу сетевого шлюза фильтруют всю проходящую информацию. Сетевые DLP позволяют держать на контроле службы мгновенных сообщений, исходящую почту и т.д. Если обнаружена закрытая информация, они блокируют такой файл. Есть возможность и ручной обработки подозрительных документов. Такие файлы помещаются в карантин, регулярно просматриваемый сотрудниками внутренней безопасности, которые и разрешают или запрещают передачу.
Главная проблема внедрения таких систем – способ детектирования секретных данных. Для упрощения контентного анализа разработаны такие методы обнаружения:
- Метки. Внедряются в документы с целью описания степени конфиденциальности информации, что можно делать с этим файлом, и кому его отправлять.
- Сигнатуры. Задается одна или несколько последовательностей символов, наличие которых в тексте передаваемого документа сообщает DLP-системе о том, что файл содержит закрытую информацию.
- Морфологический анализ. Аналогичный с предыдущим методом, только анализируется не абсолютное совпадение с сигнатурой, а учитываются однокоренные слова.
- Цифровые отпечатки. Для всех секретных документов вычисляется хэш-функция, которая при любых изменениях в файле остается такой же или изменяется незначительно.
- Регулярные выражения. Дают возможность находить в тексте шаблонную информацию: банковские счета, паспортные данные и т.д.
Из приведенного перечня видно, что такие методы не обеспечивают 100% определение секретной информации, потому что не исключены разного рода ошибки. Некоторые проблемы в работе сетевых DLP часто создает и шифрование трафика. Однако, несмотря на все трудности, при правильной настройке применение данной системы значительно снижает риск утечки.
Концепция IPC
IPC является логическим продолжением технологии DLP. Она защищает не только от утечки данных по техническим каналам, но и от несанкционированного доступа пользователей к сети, приложениям, секретной информации. Таким образом, IPC позволяет избежать передачи секретной информации в тех случаях, когда инсайдер получает непосредственных доступ к носителю закрытых данных. Например, даже изъяв из корпоративного ПК жесткий диск, злоумышленник не сможет просмотреть содержащиеся на нем файлы.
Главная задача IPC-системы – предотвращение передачи конфиденциальной информации за пределы корпоративной сети. Утечка может быть как умышленной, так и ненамеренной. Однако более чем 75% попыток передачи секретной информации происходят по невнимательности или небрежности сотрудников компании, в таких случаях IPC – отличное решение проблемы. Если речь идет о промышленном шпионаже или конкурентной разведке, то злонамеренные нарушители стараются обмануть анализаторы IPC и другие системы.
Из всего вышесказанного напрашивается вывод, что рассмотренные технологии контроля DLP и IPC позволяют построить достаточно надежную систему внутреннего контроля и значительно снизить риск утечки. Однако они имеют и свои недостатки, поэтому 100% защиту обеспечить могут не всегда. При этом данная область ИБ продолжает развиваться, а значит будут предлагаться более совершенные технологии. На сегодняшний день уже многие компании сделали выбор в пользу DLP и IPC, понимая, что беспечность в вопросах информационной безопасности может обойтись слишком дорого.
