Глава 2. Методы обнаружения нарушителей
2.1 Модель разграничения доступа
Для обеспечения безопасности ИС рекомендуется использовать иерархический доступ пользователей к информации. Такой доступ к информации можно реализовать с помощью системы мандатного разграничения доступа к информации для систем управления с древовидной структурой субъектов и объектов защиты информации различной степени конфиденциальности [8, 9]. Эта система не позволяет пользователю получить доступ к информации с более высоким уровнем конфиденциальности. При попытке различных типов несанкционированного доступа к информационным ресурсам система реагирует на неавторизованных пользователей, на нарушения основных правил доступа и условий контроля доступа.
Основные правила доступа:
субъекту не разрешается получать или записывать информацию от субъекта или объекта с более высоким уровнем защиты;
субъекту не разрешается получать информацию от объекта при отсутствии права допуска на реализации текущего запроса.
Математическая модель [8] EG = {S, O, L, A, M, B, R},
где S − множество субъектов;
О − множество объектов;
L − множество уровней защиты;
А − множество видов доступа и управления;
М − матрица прав доступа;
В − список текущего доступа;
R − список запросов.
Множество [8] S = {sj, j = 1,m} — конечное, упорядоченное множество субъектов защиты, наделенное структурой дерева. Каждому субъекту соответствует список субъектов, непосредственно следующих за ним, т.е. ∀sj, ∃H(sj) = {sj, i = 1, … , е} — множество «сыновей» субъекта. Если субъект sj ∈ S отличен от корня дерева sk, ему соответствует единственный субъект F(sj), непосредственно предшествующий этому субъекту sj: ∀sj, j ≠ k, ∃sk = F(sj) — «отец» субъекта sj [8]. Каждому субъекту sj приписывается определенный уровень защиты J(sj),j ∈ J, остающийся неизменным во время функционирования системы и сохранения статуса субъекта, где J = {ji, i = 1,L} — множество уровней защиты. Каждый элемент множества sj ∈ S представляется парой {λj, µi} [8],
где λj — конечное множество классификаций статуса субъектов,
µi — конечное множество категорий допуска.
Множество S рассматривается как объединение двух подмножеств
S(2): S = S(1) ∪ S(2) [8],
где S(1)— подмножество субъектов (владельцы объектов), имеющих право подписи документов, право переписки, право на разрешение доступа к объектам и право ликвидации доступа;
S(2) — подмножество субъектов, не имеющих вышеперечисленных прав, но имеющих право редактирования и чтения документов.
Владелец объекта — это субъект, который его создал. Объекта связан с владельцем, и только владелец может разрешать или запрещать доступ к объекту другим субъектам. Также владелец не может передавать контроль другому субъекту, но может разрешить или запретить доступ объекту другим субъектам. Данная политика управления доступом отвечает требованиям многоуровневого контроля доступа [7] и проводится в жизнь администратором безопасности системы.
Множество О = оj, j = 1,n [8] — конечное множество объектов защиты, также наделенное структурой дерева и сгруппированное по типам C(оj) = {cq, q = 1,Q},
где Q — количество типов объектов защиты.
Каждому объекту оj ∈ О присваивается уровень защиты объекта J(oj), который соответствует уровню секретности информации ln ∈ L, хранящейся в объекте оj (файл) или к которой обращается объект оn (программа). Под уровнем секретности понимается иерархический атрибут в соответствии с градациями: «особой важности», «совершенно секретно», «секретно», «ДСП», «конфиденциально», «персональные данные», «для общего пользования» и т.д. Этот атрибут ассоциирован с сущностью компьютерной системы для обозначения степени ее критичности:
{Iw, w = 1,Ω : l1 > l2 > ⋯ > l }. Множество L изоморфно множеству категорий допуска, т.е. {li} → {μi} [8]. Каждый объект оl ∈ О определяется парой {sj*, li*}
где {sj∗} — множество субъектов-владельцев объектов оl;
{li∗} — множество степеней секретности.
Множество видов доступа субъектов к объектам защиты и управления правами доступа А = {ak, k = 1,K} представлено в виде:
A = A(1) ∪ A(2).
Подмножество A(1) = {CR, U, LU, P, PV, I, PR, CP, KL, Y} включает следующие элементы [8]:
RD — чтение;
G — перезапись информации из объекта в объект;
D — добавление информации в объект, без предварительного чтения;
W — запись после предварительного чтения;
E — исполнение команды;
OT — отказ в выполнении запроса.
Подмножество A(2) = {CR, И, LU, P, PV, I, PR, CP, KL, Y} состоит из элементов [8]:
CR — создание объекта,
U — уничтожение объекта,
LU — лишения прав на доступ,
P — право передачи прав между субъектами, PV — наделение правом владения объектом, I — изменение уровня защиты,
PR — право порождения объекта,
CP — копирование,
KL — право классификации объектов,
Y — разрешение на реализацию запроса.
Матрица прав доступа [1, 8] М = mij, i = 1,n*, j = 1,n* содержит список видов доступа субъекта si ∈ S к объекту oj ∈ O, на которые он может претендовать и которые ему в данный момент разрешены. Каждый элемент mij матрицы прав доступа M представляет особый кортеж (sv, a1, a2, … , an),
где sv ∈ S(1) — шифр субъекта, разрешившего субъекту sv доступы
a1, a2, … , an к объекту оj.
Список текущего доступа [8] В = {Ьt, t = 1,T} описывает разрешенный в данный момент доступ субъектов к объектам Ьt = (sj, оj, ak), ak ∈ А, t =1,T и это разрешение к настоящему моменту не отменено, т.е. разрешено право «реализация запроса»; T — количество разрешенных доступов к информационным ресурсам AИС в текущий момент времени. Разрешение действует до тех пор, пока субъект не обратится с запросом об отказе доступа.
Список запросов [8] R = {rn, n = 1,N}, R ⊆A, содержит запросы всех видов доступа в множестве видов доступа: виды доступа субъектов к объектам, создания и уничтожения объектов, передачи и лишения прав доступа, а также отказ от доступа. Разрешение запроса вызывает изменение состояния вычислительной системы только в том случае, если при обращении к объекту оj с уровнем защиты J(оj) субъект оj не только имеет классификацию не ниже, чем объект защиты J(sj) ≥ J(oj), и соответствующую категорию допуска μj, но имеет право на реализации своего запроса.
Чтобы администратор безопасности смог задать права доступа субъектов к объектам защиты, зафиксировав их в матрице прав доступа, необходимо заполнить формы спецификаций на основе результатов предварительного обследования предметной области пользователей и требований безопасности, зафиксированных в политике безопасности [8]. Выделенные объекты и субъекты защиты определяются параметрами, характеризующими выбранную систему разграничения доступа. В спецификацию субъекта защиты входят параметры, идентифицирующие субъект и определяющие его категорию допуска, классификацию статуса субъектов (куратор, руководитель, исполнитель, гость и пр.), право владения объектами защиты, право порождения субъектов и объектов («отец», «сын»), правила выбора и защиты идентификатора субъекта. В спецификацию объекта защиты входят параметры, идентифицирующие объект и определяющие его тип группы (файлы, директории, процедуры); степень секретности информации; идентификатор субъекта-владельца; место и способы хранения информации; статус объекта (первичный, вторичный, порожденный).
Процесс обращения к матрице прав доступа как ядру многоуровневой системы защиты c мандатным контролем доступа связан с выполнением таких процедур, как [8]:
задание условий и видов доступа к данным различной степени секретности;
задание правил управления правами доступа;
анализ заполнения матрицы доступа с учетом выполнения основного правила доступа;
реализация права владения и права порождения с учетом иерархии субъектов и объектов защиты;
контроль выполнения текущего запроса с учетом выполнения основного правила доступа;
защита матрицы доступа от попыток несанкционированной модификации.
Утвержденные спецификации на обработку данных пользователями в соответствии с их функциональными обязанностями формируются на этапе определения требований защиты к ИС. Затем проверяется полнота описания характеристик выделенных объектов и субъектов защиты. Если спецификации на пару «субъект — объект» неполные, заполнение матрицы прекращается до полного описания характеристик пары. При задании полного списка разрешенных запросов к паре «субъект — объект» обязательно указывается право реализации по каждому запросу (разрешено, не разрешено).
Первоначальное заполнение матрицы прав доступа начинается с тех субъектов, чья классификация имеет наибольший статус, например
«руководитель проекта». Затем вносятся требования субъектов, чей статус ниже, например «ответственный исполнитель». Если имела место последовательность передачи прав доступа: λv > λj1 > λj2 > ⋯ > λjk, то
первой компонентой кортежа будет шифр первого субъекта последовательности, а именно субъекта sv ∈ S(1), разрешившего субъекту sj доступы (a1, a2, … , an) к объекту oj [ 8 ] .
На основании утвержденных списков запросов-действий над данными субъекта защиты, администратор безопасности вносит заявленные виды доступа с использованием классификаторов, в которых представлены типовые группы и статус информации, виды степеней секретности и т.д. [8] При этом проверяется условие, не позволяющее субъекту запрашивать любые виды доступа к субъекту или объекту с более высоким уровнем защиты. Если субъект защиты является «владельцем» объекта защиты, то ему разрешены запросы по модификации содержимого объекта. Если условия не выполняются, то заявленный вид доступа не записывается в матрицу, пока не будут изменены характеристики пары «субъект — объект»: понизить степень секретности объекта или повысить категорию допуска субъекта.
Если характеристики пары «субъект — объект» не согласованы, то выполнение спорной операции обработки данных исключается из обязанностей субъекта [8]. При первоначальном внесении списков запросов-действий заявленные виды доступа считаются безусловно разрешенными к реализации. В дальнейшем некоторые из разрешенных видов доступа пары «субъект — объект» могут быть временно приостановлены или запрещены к реализации. Матрица считается незаполненной, если поле «право реализации» пусто.
2.2 Мониторинг системы
Мониторинг системы является один из элементов комплексной системы обнаружения внутреннего нарушителя [6]. Основная цель в информационной безопасности мониторинга системы — обнаружение неавторизованных действий, отклонения от требований политики контроля доступа и регистрации событий. Администратор безопасности может предоставить записи событий мониторинга системы в качестве доказательства на случай выявления инцидентов нарушения информационной безопасности.
Регистрация событий.
Необходимо вести журналы с записями инцидентов нарушения информационной безопасности и других связанных с безопасностью событий. Журналы следует хранить в течение определенного периода времени с целью содействия в проведении будущих расследований и мониторинге управления доступом. Необходимо, чтобы записи журнала включали [4, 6, 7]:
ID и имена пользователей;
даты и время входа и выхода;
идентификатор терминала или его местоположение, если возможно;
записи успешных и отклоненных попыток доступа к системе, с указанием времени и даты;
записи успешных и отклоненных попыток доступа к данным, с указанием времени и даты,
корреспонденция пользователей,
записи доступа к интернет ресурсам, с указанием времени и
даты,
записи доступа к локальным сетевым ресурсам,
протоколирование работы сетевых сервисов;
выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости;
отчеты о безопасности пользовательских ресурсов, включающие наличие повторяющихся пользовательских имен и идентификаторов, неправильных форматов регистрационных записей, пользователей без пароля, неправильной установки домашних каталогов пользователей и уязвимостей пользовательских окружений;
проверку содержимого файлов конфигурации на соответствие списку для проверки;
обнаружение изменений системных файлов со времени проведения последней проверки (контроль целостности системных файлов);
проверку прав доступа и других атрибутов системных файлов
(команд, утилит и таблиц);
проверку правильности настройки механизмов аутентификации и авторизации сетевых сервисов;
проверку корректности конфигурации системных и активных сетевых устройств (мостов, маршрутизаторов, концентраторов и сетевых экранов).
Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе и расследованиях инцидентов нарушения информационной безопасности, а также в интересах других целей.
Мониторинг использования систем.
Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга системы использования средств обработки информации. Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на [4, 6, 7, 9]:
авторизованный доступ, включая следующие детали:
пользовательский ID;
даты и время основных событий;
типы событий;
файлы, к которым был осуществлен доступ;
используемые программы/утилиты;
все привилегированные действия, такие как:
использование учетной записи из служебной группы;
запуск и останов системы;
подсоединение/отсоединение устройства ввода/вывода;
попытки неавторизованного доступа, такие как:
неудавшиеся попытки;
нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;
предупреждения от собственных систем обнаружения вторжения;
предупреждения или отказы системы, такие как:
консольные (терминальные) предупреждения или сообщения;
исключения, записанные в системные журналы регистрации;
предупредительные сигналы, связанные с управлением сетью.
Анализ журналов.
Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают [6]:
критичность процессов, которые поддерживаются бизнес- приложениями;
стоимость, важность или критичность информации;
анализ предшествующих случаев проникновения и неправильного использования системы;
степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.
Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности. Для облегчения идентификации существенных событий при мониторинге безопасности есть необходимость автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства аудита для подготовки к анализу данных.
При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим (и) анализ, и теми, чьи действия подвергаются мониторингу.
Если сотрудник, входящий в группу администраторов информационной безопасности, подозревает или получил сообщение о том, что система подвергается атаке или уже была скомпрометирована, то он должен установить [9]:
факт попытки несанкционированного доступа (далее — НСД);
продолжается ли НСД в настоящий момент;
кто является источником НСД;
что является объектом НСД;
когда происходила попытка НСД;
как и при каких обстоятельствах была предпринята попытка НСД;
точка входа нарушителя в систему;
была ли попытка НСД успешной;
определить системные ресурсы, безопасность которых была нарушена;
какова мотивация попытки НСД.
Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности. Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая [7]:
отключение средств регистрации;
изменение типов зарегистрированных сообщений;
редактирование или удаление файлов, содержащихся в журналах аудита;
регистрацию случаев полного заполнения носителей журнальных файлов, а также случаев невозможности записей событий вследствие сбоев либо случаев перезаписи новых данных поверх старых.
Синхронизация часов [6].
Правильная установка часов (таймера) АИС важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита могут затруднять такие расследования, а также приводить к сомнению в достоверности собранных доказательств.
Там, где АИС или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местному стандартному времени. Так как некоторые часы, как известно, «уходят вперед» или «отстают», должна существовать процедура, которая проверяет и исправляет любое отклонение или его значимое изменение.
2.4 Система предотвращения потери данных
Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек КИ из ИС вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек [16].
DLP – системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
Используются также следующие термины, обозначающие приблизительно то же самое [16]:
Information Protection and Control (IPC),
Content Monitoring and Filtering (CMF),
ILD&P (Information Leakage Detection & Prevention) – выявление и предотвращение утечек информации”, термин предложен исследовательско-аналической компанией IDC в 2007 году,
ILP (Information Leakage Protection/Prevention) – защита от/предотвращение утечек информации, термин предложен исследовательско-аналитической компанией Forre ster в 2006 году,
DLP (Data Leak/Loss Prevention/Data Leakage Protection)
предотвращение утечки/потери данных,
ALS (Anti-Leakage Software) – программное обеспечение против утечки, термин предложен международной консалтинговой группой компаний Ernst&Young,
EPS (Extrusion Preventi on System) – системы предотвращения внутренних нарушений, по аналогии с • Intrusion Prevention system,
ADL (Anti Data Leakage) – против утечки данных, термин предложен The 451 Group,
OCC (Outb ound Content Compliance) – соответствие исходящего контента,
ITP (Insider Threat Prevention) – предотвращение внутренних угроз.
Из этой группы пока не выделился один термин, который можно было бы назвать основным или самым распространённым.
Сетевые DLP [9] системы позволяют предотвращать утечки конфиденциальной информации по сетевым каналам. Путём анализа всех данных, передаваемых сотрудниками за пределы информационной сети организации. В сетевых системах используются современные технологии автоматического детектирования, которые безошибочно определяют уровень конфиденциальности передаваемой информации с учетом особенностей бизнеса и требований раз личных отраслевых стандартов.
Система позволяет контролировать [9, 16]:
Переписку в корпоративной электронной почте.
Письма, отсылаемые через сервисы веб-почты.
Сообщения интернет- мессенджеров, например, ICQ.
Общение в социальных сетях, на форумах и блогах.
Файлы, передаваемые по FTP.
Для проведения внутренних расследований и профилактики утечек информации в системе сетевой DLP существует возможность архивирования пересылаемых данных. Удобная система отчетов системы позволяет наглядно анализировать различные аспекты деятельности сотрудников и вовремя обнаруживать любую подозрительную активность. Управление системой обычно осуществляется через единую для всех агентов систему, которая поддерживает гибкое разделение ролей между офицерами без опасности и администраторами.
Ключевые технологии:
Сигнатурный анализ [9]. Самый простой метод контроля — поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп- выражением», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например, определенной меткой. Если система настроена только на одно слово, то результат ее работы — определение 100%-го совпадения. Однако чаще поиск определенной последовательности символов все же применяют при анализе текста. В подавляющем большинстве случаев сигнатурные системы настроены на поиск нескольких слов и частоту встречаемости терминов, а также анализ формальных признаков сообщений (отправитель, получатель, размер, тип, время, направление трафика и т. д.).
Цифровые отпечатки (Digital Fingerprints или DG) [16]. Различного типа хеш-функции образцов конфиденциальных документов позиционируются западными разработчиками DLP-систем как новое слово на рынке защиты от утечек, хотя сама технология существует с 70-х годов. Суть всех методов одна и та же, хотя конкретные алгоритмы у каждого производителя могут отличаться. DLP/IPC-системе передается некий стандартный документ-шаблон, из него создается «цифровой отпечаток» и записывается в базу данных DF. Далее в правилах контентной фильтрации настраивается процентное соответствие шаблону из базы. К достоинствам технологии «цифровых отпечатков» (Digital Fingerprints) можно отнести простоту добавления новых шаблонов, довольно высокую степень детектирования и прозрачность алгоритма технологии для сотрудниковподразделений по защите информации. Специалистам информационной безопасности не надо думать о «стоп-выражениях» и прочей лингвистике, тратить много времени на анализ потенциально опасных словоформ и вбивать их в базу, тратить ресурсы на внедрение и поддержку лингвистической базы. Основным недостатком, который на первый взгляд неочевиден и скрыт за «патентованными технологиями», является то, что, несмотря на всю простоту и фактическое отсутствие лингвистических методов, необходимо постоянно обновлять базу данных «цифровых отпечатков». И если в случае с «сигнатурами», такой метод не требует постоянного обновления базы словами, то он требует обновления базы «цифровых отпечатков». В дополнение к этому цифровые отпечатки занимают примерно 10—15 % от размера конфиденциальных документов, и база постоянно разрастается, что требует дополнительных инвестиций в увеличение систем хранения информации и производительность DLP- серверов. Кроме того, низкоуровневые хеш-функции (в том числе и DG) неустойчивы к примитивному кодированию, которое рассматривалось применительно к «сигнатурам».
Метки [9]. Суть этого метода заключается в расстановке специальных «меток» внутри файлов, содержащих конфиденциальную информацию. С одной стороны, такой метод дает стабильные и максимально точные сведения для DLP-системы, с другой стороны требуется много довольно сильных изменений в инфраструктуре сети. У лидеров DLP- и IPC-рынка реализация данного метода не встречается. Можно лишь заметить, что, несмотря на явное достоинство «меток» — качество детектирования, есть множество существенных недостатков: от необходимости значительной перестройки инфраструктуры внутри сети до введения множества новых правил и форматов файлов для пользователей. Фактически внедрение такой технологии превращается во внедрение упрощенной системы документооборота.
Регулярные выражения [9]. Поиск по регулярным выражениям («маскам) является также давно известным способом детектирования необходимого содержимого, однако в DLP стал применяться относительно недавно. Регулярные выражения позволяют находить совпадения по форме данных, в нем нельзя точно указать точное значение данных, в отличие от «сигнатур». Такой метод детектирования эффективен для поиска:
ИНН,
КПП,
номеров счетов,
номеров кредитных карт,
номеров телефонов,
номеров паспортов,
клиентских номеров.
К достоинствам технологии регулярных выражений в первую очередь стоит отнести то, что они позволяют детектировать специфичный для каждой организации тип контента, начиная от кредитных карт и заканчивая названиям схем оборудования, специфичных для каждой компании. К недостаткам регулярных выражений можно отнести их ограниченную сферу применения в рамках DLP- и IPC-систем, так как найти с помощью них можно только конфиденциальную информацию лишь определенной формы.
Лингвистические методы (морфология, стемминг) [16]. Есть технологии, использующие лишь «стоп-выражения», вводящиеся только на уровне корней, а сама система уже составляет полный словарь; есть базирующиеся на расставлении весов встречающихся в тексте терминов. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты. Разбор всех тонкостей лингвистического анализа не входит в рамки этой статьи, однако необходимо заметить ширину возможностей данной технологии в рамках IPC-систем. К достоинствам лингвистических методов в DLP можно отнести то, что в морфологии и других лингвистических методах высокая степень эффективности, сравнимая с сигнатурами, при намного меньших трудозатратах на внедрение и поддержку (снижение трудозатрат на 95 % по отношению к «сигнатурам»). Недостатки — зависимость от языка — если организация представлена в нескольких странах, базы конфиденциальных слов и выражений придется создавать отдельно для каждого языка и страны, учитывая всю специфику. При этом обычная эффективность такого метода составит в среднем 85 %. Если привлекать профессиональных лингвистов, то эффективность может возрасти до 95 % — больше может обеспечить лишь ручная проверка или «сигнатуры», однако по отношению эффективности и трудозатрат равных лингвистическим методам пока не нашли.
Ручное детектирование (Карантин) [16]. Любая информация, которая попадает под правила ручной проверки, например, в ней встречается слово «ключ», попадает в консоль специалиста информационной безопасности. Специалист по очереди вручную просматривает такую информацию и принимает решение о пропуске, блокировке или задержке данных. Несомненным достоинством такого метода можно считать наибольшую эффективность. Однако, такой метод в реальном ИС применим лишь для ограниченного объема данных, так как требуется большого количества человеческих ресурсов, так как для качественного анализа всей информации, выходящий за пределы компании, количество сотрудников информационной безопасности должно примерно совпадать с количеством остальных офисных сотрудников. А это невозможно даже в силовых и военных структурах. Реальное применение для такого метода — анализ данных выбранных сотрудников, где требуется более тонкая работа, чем автоматический поиск по шаблонам, «цифровых отпечатков» или совпадений со словами из базы.
Аппаратные DLP. Важнейшей проблемой, стоящей перед руководством и службой без опасности предприятия, является проблема лояльности сотрудников или, иными словами, проблема внутренних угроз информационной безопасности.
Очевидно, что обиженный или недовольный сотрудник компании, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий корпоративную сеть через Интернет [9].
Так, по различным оценкам, от 50% до 80% атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети).
Особенную актуальность проблема внутренних угроз получила в связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых че ре з USB-порты: flash-диски, винчестеры с USB-интерфейсом и т.д.
Если службой безопасности не предпринимаются специальные меры по блокировке USB-портов, нелояльно настроенный сотрудник компании может практически незаметно пронести на территорию предприятия компактный носитель большого объема, после чего, используя свой легальный корпоративный доступ к информации, скопировать на этот носитель всю интересующую его информацию.
Основное назначение системы аппаратной DLP — ограничение и контроль доступа пользователей к внешним устройствам, например, к USB-flash дискам и внешним накопителям.
Для каждого типа устройств система предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо запретить доступ [9].
Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-flash дисков, но при это м разрешить использование USB-ключей для аутентификации пользователей.
Таблица 2.1 — Сравнение основных DLP систем
| Разработчик
/ показатель |
InfoWatch | McAfee | SymantecVontu | Trend Micro | Websense |
| основная технология фильтрации | лингвистика
/ морфология |
метки |
цифровые отпечатки | цифровые отпечатки | цифровые отпечатки |
| дополнитель ная технология
фильтрации |
лингвистика / морфологи
я |
лингвистика / морфологи
я |
лингвистика
/ морфология |
лингвистика
/ морфология |
|
| основной подход к
фильтрации |
шлюзовой подход | агентный подход | шлюзовой подход | агентный подход | шлюзовой подход |
| дополнитель ный
подход к фильтрации |
агентный подход с ограничения
ми |
агентный подход |
агентный подход |
||
| интегрирова нное
шифрование |
нет |
нет |
да |
да |
Websense |
2.5 InfoWatch Traffic Monitor Enterprise
Система InfoWatch Traffic Monitor Enterprise разработана компанией InfoWatch (http.y/www.infowatch.ru) и предназначена для контроля доступа пользователей к конфиденциальной информации. ITME состоит из нескольких модулей, которые можно комбинировать в зависимости от потребностей [15]:
Модуль для мониторинга и фильтрации трафика — InfoWatch Traffic Monitor
Модуль для защиты рабочих станций — InfoWatch Device Monitor
Модуль централизованного архивирования и управления — InfoWatch Forensic Storage
Мониторинг и фильтрация трафика [15]. Модуль работает на уровне шлюза и осуществляет мониторинг и фильтрацию трафика, отправляемого по протоколам SMTP (корпоративная почта), HTTP (Web), HTTPS (защищенный Web-канал — в интеграции с решениями партнеров) и протоколам систем обмена мгновенными сообщениями (например, ICQ) и включает в себя несколько подмодулей.
InfoWatch Traffic Monitor for Web для контроля данных, передаваемых с помощью web-почты, блогов, форумов и др.
InfoWatch Traffic Monitor for HTTPS для контроля данных, передаваемых с помощью зашифрованного Интернет-протокола
InfoWatch Traffic Monitor for Mail для контроля информации, проходящей через корпоративную почтовую систему
InfoWatch Traffic Monitor for IM для контроля данных, отправляемых с помощью систем обмена мгновенными сообщениями, работающими по протоколу OSCAR (например, ICQ, Miranda и др.), включая перехват файлов, пересылаемых с помощью таких систем и информации, отправляемой с помощью функции SMS-over-ICQ
Модуль для защиты рабочих станций [15]. Модуль для защиты рабочих станций централизованно устанавливается на компьютеры сотрудников и помогает предотвратить утечку данных через локальную или сетевую печать, съемные устройства и порты (USB, LPT, COM и др.). Во время копирования данных на съемные устройства или их печать, модуль снимает с этих данных теневые копии и отправляет их для анализа на сервер InfoWatch Traffic Monitor Enterprise. Модуль позволяет осуществлять извлечение текстовой информации из графических файлов с помощью технологий распознавания символов.
Модуль централизованного архивирования и управления [15] сохраняет всю перехваченную и проанализированную информация для дальнейшего проведения расследований инцидентов информационной безопасности и составления статистических отчетов. Управление продуктом осуществляется с помощью Консоли управления (Management Console).
InfoWatch Traffic Monitor Enterprise [15] изначально анализирует перехваченные данные (объекты) по формальным атрибутам (тип монитора, отправитель/получатель, дата и время отправки, имя/тип/размер файла и др.). Затем происходит извлечение и контентный анализ содержимого перехваченного объекта с помощью нескольких технологий. По результатам анализа автоматически на основании правил и политик безопасности принимается решение – разрешить передачу или заблокировать.
В случае нарушения политики безопасности InfoWatch Traffic Monitor Enterprise [15] информирует офицера безопасности, предоставляя ему подробную информацию о перехваченном объекте, но без прямого доступа к содержимому. Благодаря этому не нарушается требование законодательства о защите прав сотрудников на тайну перепИС. Офицер безопасности может подтвердить или опровергнуть автоматически принятое решение.
Хранение и ретроспективный анализ данных позволяет полностью проследить историю всех операций сотрудников с конфиденциальными данными, отслеживать текущие активности пользователей (оперативные запросы) и составлять подробные статистические отчеты.
Все перехваченные данные вместе с результатами их анализа сохраняются в централизованном архиве InfoWatch Forensic Storage [15] для более удобного проведения расследований.
Поиск по хранилищу необходимых данных возможен по широкому спектру критериев, в частности по:
формальным атрибутам перехваченного объекта (тип монитора, получатель / отправитель, дата / время отправки и др.);
атрибутам, добавленным в процессе контентного анализа объекта; Содержимому перехваченного объекта (полнотекстовый поиск).