Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные - исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute ; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey . Таблица 1 иллюстрирует одно из таких исследований.

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Кража ноутбуков
Утечка информации
Отказ в обслуживании
Финансовое мошенничество
Злоупотребление сетью или почтовыми инсайдерами
Телеком-мошенничество
Зомби-сети в организации
Взлом системы извне
Фишинг (от лица организации)
Злоупотребление беспроводной сетью
Злоупотребление интернет-пейджерами инсайдерами
Злоупотребление публичными веб-приложениями
Саботаж данных и сетей

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя :

· совокупность компьютеров, связанных между собой в сеть;

· каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;

· обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями

· интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия

· жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети

· независимость логической структуры сети от типов каналов передачи информации.

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

· сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;

· попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);

· другие нарушения правил и процедур внутренней безопасности сети.

Существует несколько путей утечки конфиденциальной информации:

o почтовый сервер (электронная почта);

o веб-сервер (открытые почтовые системы);

o принтер (печать документов);

o FDD, CD, USB drive (копирование на носители).

Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж -- лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.

Корпоративный саботаж -- это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.

Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.

Табл. 2 События, предшествующие саботажу

Источник СЕRT

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.

Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.

Табл. 3 Портрет типичного саботажника

Источник СЕRT

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.

«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования... Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», -- Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», -- Бен.

Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% -- коллеги, 21% -- друзья, 14% -- члены семьи, а еще 14% --сообщники.

В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% -- конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% -- offline, 22% -- обоих сразу.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети.

14.03.2008 Владимир Безмалый

Сегодня во всем мире ущерб, причиняемый атаками внутренних злоумышленников (инсайдеров), уже давно превышает ущерб от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. Именно этой проблеме и посвящена данная статья.

Для начала приведем несколько фактов.

В США зарегистрирована одна из самых крупных утечек персональных данных. Один из инцидентов, с участием печально известной фирмы ACS, просто поражает масштабами: его жертвами стали почти 3 млн. человек. В аналитическом центре InfoWatch подсчитали, что ACS могла уже многократно окупить систему защиты от утечек. Но компания упорно не желает принимать меры даже после нового инцидента (http://www.infowatch.ru/threats?chapter=147151398&id=207732805 .)

Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации из-за внутренних угроз: саботажа, хищения данных, неосторожных действий сотрудников («Защита конфиденциальности и целостности информации - ключ к эффективному развитию бизнеса» (http :// infowatch . ru / )).

243 тыс. детей, их родителей и опекунов Лос-Анджелеса находятся под угрозой кражи персональной информации. Виной тому - пропавший из Службы социальной помощи детям Los Angeles County Child Support Services ноутбук (http://www.infowatch.ru/about?chapter=150661442&id=207732792 ).

О подобных фактах мы узнаем практически ежедневно. Поэтому защита от внутренних угроз выходит на первое место. Для возможного анализа проблемы внутренних угроз, прежде всего, необходимо ответить на ряд базовых вопросов:

Почему вы хотите защищаться от внутренних угроз?

Как выглядит потенциальный нарушитель?

Какие ресурсы вы готовы потратить на защиту от внутренних угроз?

Ответ на вопрос «зачем внедрять систему защиты от внутренних угроз?» вовсе не так очевиден, как может показаться на первый взгляд. Рассмотрим возможные варианты ответов на этот вопрос, см. Таблицу 1.

Таблица 1. Цели и методы внедрения системы защиты от внутренних угроз

Цель	Внедрение
Соответствие требованиям нормативов и стандартов	Внедрение мер, которые обеспечат соответствие и проверяются при аудите
Сохранность информации	Открытое внедрение в сочетании с кадровой работой
Выявление канала утечки	Открытое внедрение в сочетании с оперативными мероприятиями
Подтверждение непричастности	Архивация движения данных и сетевых операций для доказательства того, что причина утечки - не внутри фирмы

Соответствие требованиям нормативных стандартов

Во многих странах в банковской сфере, биржах, финансовых институтах существуют очень жесткие законодательные требования, невыполнение которых может повлечь за собой отзыв лицензии. В основе большинства требований лежат принципы стандартов ISO, Базельских соглашений.

Для компаний, которые хотят торговать своими акциями на международных биржах, стоит учитывать дополнительные требования. Так, например, Нью-Йоркская фондовая биржа попадает под действие акта Сарбаниса-Оксли 2002 года, регламентирующего управление информационной системой компаний, выставляющих свои ценные бумаги на торги.

В России в последнее время особое значение приобрел Закон "О защите персональных данных", который требует принятия мер по неразглашению конфиденциальной частной информации граждан. Аналогичный закон готовится к принятию на Украине.

В разных странах за последнее время был принят целый ряд законодательных мер:

European Union Data Protection Directive - директива Евросоюза о защите данных;

Insurance Portability and Accountability Act (HIPAA) - закон о преемственности страхования и отчетности в области здравоохранения;

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли;

US Patriot Act ;

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей;

California SB 1386 - закон штата Калифорния SB 1386;

Basel II - Базельское соглашение по капиталу в странах OECD (Organization for Economic Co-operation and Development - организация экономического сотрудничества и развития).

Законодательные акты зарубежных стран в области внутренней безопасности

European Union Data Protection Directive

DPD (Data Protection Directive) - директива о защите данных, принятая в Евросоюзе в 1995 году. Данная директива предназначена для защиты персональной идентифицирующей информации Personal Identifiable Information (PII). Директива обязывает каждое государство, которое входит в Евросоюз, принять собственный закон о защите персональных данных, совместимый с рекомендациями Организации экономического сотрудничества и развития (OECD) от 1980 года (в состав OECD входит 30 стран: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Япония, Корея, Люксембург, Мексика, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Словакия, Испания, Швеция, Швейцария, Турция, Великобритания, США; Украина и Россия не входят). Кроме того, данная директива вводит классификацию личных данных (медицинские, финансовые и т.д.). Каждая категория данных требует дополнительных мер безопасности.

Среди рекомендаций OECD необходимо отдельно отметить Security Safeguards Principle 11 (Принцип гарантированной безопасности №11), требующий, чтобы персональные данные были защищены разумными средствами безопасности от таких угроз, как утрата или неавторизованный доступ, разрушение, использование, модификация или разглашение.

Data Protection Directive значительно жестче соответствующих законодательных актов США. Например, данная директива требует защиты персональной идентифицирующей информации как клиентов компании, так и сотрудников, что не требуется в рамках законодательства США.

Нарушение этой директивы может привести к наступлению как гражданской, так и уголовной ответственности, включая большие штрафы, а в некоторых странах даже лишение свободы.

Basel II Accord

Базельское соглашение по капиталу Basel II Capital Accord вступило в силу с конца 2006 года в большинстве стран, входящих в состав OECD. Данное соглашение требует от финансовых институтов считать кредитные, производственные и рыночные риски для того, чтобы быть уверенным, что имеющихся сбережений хватит для покрытия этих рисков. Риски Basel II Accord включают и риски ИТ-безопасности.

Sarbanes-Oxley Act of 2002

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли. Этот акт принят в США в 2002 году в связи с корпоративными скандалами, которые имели место в таких компаниях как Enron и WorldCom. Акт возлагает ответственность на генеральных, исполнительных и финансовых директоров, CEO и CFO, которые обязаны провести сертификацию своих компаний на предмет полноты финансовой отчетности. Несовместимость с Актом может стоить до 5 млн. долларов для физических лиц и до 25 млн. - для юридических. Уголовная ответственность за несовместимость с этим актом в США - до 20 лет лишения свободы.

Широкое толкование этим актом термина «активы» включает и цифровые активы, то есть исходные коды, торговые соглашения, записи пациентов и любую другую информацию, разглашение которой может нанести ущерб стоимости акций компании. А, следовательно, оценка рисков является неотъемлемой частью акта Сарбаниса-Оксли.

HIPAA

Health Insurance Portability and Accountability Act, HIPAA - закон США о преемственности страхования и отчетности в области здравоохранения был принят в 1996 году. Данный закон преследует две основные цели:

Упростить осуществление транзакций в сфере здравоохранения путем использования стандартной кодовой классификации и уникальных медицинских идентификаторов (unique health identifiers);

Защитить конфиденциальность информации о здоровье пациента.

Раздел данного закона, относящийся к приватности HIPAA Privacy Rule, определяет административные, физические и технические меры, которые включают стандарты для сохранения приватности защищенной электронной медицинской информации, Electronic Protected Health Information (EPHI).

Положения HIPAA, касающиеся приватности, вступили в силу в апреле 2003 года. Крупные организации обязаны были обеспечить совместимость с ними до апреля 2005, а небольшие компании - до апреля 2006 года.

Понятно, что обеспечить выполнение всех требований закона без учета предотвращения утечек по каналам связи и на уровне рабочих мест практически невозможно.

Gramm-Leach Bliley Act

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей предназначен для защиты информации заказчика, полученной или используемой финансовыми организациями США, от кражи, неавторизованного доступа или злоупотребления.

Положения данного закона требуют от финансовых компаний разработать, внедрить и применять всестороннюю письменную политику ИТ-безопасности, которая подразумевает использование административных, технических и физических мер защиты непубличной информации. Таким образом, сюда относятся номера счетов, детали финансовых операций, номера кредитных карт и т.д.

Несовместимость с GLBA Safeguard Rule карается штрафами и лишением свободы на срок до 5 лет.

Другие

Другие регулятивные акты США (SEC 17A-4, US Patriot Act, Check 21, Government Paperwork Elimination Act) также во многих случаях требуют использования продуктов для предотвращения утечек и других средств обеспечения ИТ-безопасности, хотя и не так явно, как рассмотренные выше.

Исходя из сказанного выше, можно отметить, что модель защиты от внутренних ИТ-угроз уже заложена в международные стандарты и внедрять ее нужно таким образом, чтобы она могла пройти аудит на соответствие международным стандартам. В этом случае при разрешении конфликтной ситуации между эффективностью и соответствием стандартам выбор делается в пользу соответствия стандартам, в ущерб эффективности. Хотя на Украине ситуация пока обратная.

Вместе с тем стоит отметить, что ни один регулирующий документ не рекомендует не только конкретные продукты, а даже тип продуктов, обеспечивающих защиту. Кроме того, часть угроз допускается устранять не техническими, а организационными мерами.

Сохранение информации

Данная цель возникает чаще всего после случая утечки конфиденциальных данных. В данной ситуации руководство компании не связано определенными стандартами, а хочет построить защиту информационной системы, исходя из собственного понимания и имеющихся средств. В этом случае внедрение технических средств для усиления эффективности сопровождается организационными мероприятиями, направленными на работу с персоналом.

В таком случае в набор организационных мероприятий входят инструктажи и тренинги, адаптация к новым условиям, подписание трудовых соглашений, должностных инструкций и прочих документов, регламентирующих использование ресурсов информационной системы.

Стоит учесть, что в этом случае на защиту информации работает и психологический фактор. Ведь зная о контроле со стороны руководства, многие потенциальные внутренние нарушители политики безопасности откажутся от своих намерений.

Следовательно, внедрение подобной системы должно сопровождаться гласными мероприятиями, а реализация политики внутренней безопасности должна быть введена приказом за подписью первого лица в организации.

Вместе с тем стоит понимать, что конкретные технологические решения по защите информации лучше не афишировать, чтобы не спровоцировать атаки, направленные на противодействие конкретным решениям.

Выявление источников и каналов утечки информации

Данная цель становится приоритетной для руководства организации, если оно осведомлено о регулярных утечках конфиденциальной информации из системы. Если основной целью организации становится выявление источников и каналов утечки, то задачи будут совсем другими.

В данном случае внедрение необходимо проводить, используя противоположный предыдущему поход, то есть не открытый, с акцентом на сборе доказательств. Как правило, при этом установка программного обеспечения маскируется под обновление антивируса или другой системы безопасности.

Важной частью такого внедрения является сбор доказательств. Ведь выявить источник утечек - это только малая часть работы. Нужно собрать доказательства, чтобы иметь возможность наказать злоумышленника в рамках действующего законодательства. В каждой стране юридическая база процесса сбора доказательств своя. Однако общим является то, что сбор цифровых доказательств (журналы логов, копии писем и т.д.) строго регламентирован законом. Однако стоит понимать, что даже собрав доказательства, вы сможете доказать вину не конкретного человека, а его «цифровой копии» (почтовый ящик, IP-адрес, учетная запись). Доказать, что эти конкретные цифровые идентификаторы использовались в данный момент времени конкретным человеком - весьма сложно. Учитывая презумпцию невиновности, доказательство вины конкретного человека должен предоставить работодатель. Доказать вину человека и однозначно связать его с цифровой «копией» могут системы видеонаблюдения, биометрические системы аутентификации или системы строгой аутентификации на базе аппаратных ключей или смарт-карт.

Создание конкурентного преимущества

Чаще всего эта цель ставится предприятиями, которые получают информацию третьих компаний - аудиторскими компаниями, консультационными компаниями, call-центрами, компаниями, которые оказывают услуги перевода и т.д.

В данном случае внедрение производится открыто, однако средства контроля внедряются таким образом, чтобы в любой момент компания могла предоставить клиенту информацию обо всех действиях с его данными.

Комплекс технических средств и правил

После выбора цели проекта компания должна описать весь комплекс технических средств и правил, которые применяются в компании.

Права пользователей

Часто в компании, которая поставила цель создать технологическую инфраструктуру защиты от внутренних ИТ-угроз, отсутствует политика стандартизации процессов, которые происходят на рабочих местах пользователей. Кроме того, часть пользователей обладает правами локальных администраторов. Как правило, это пользователи операционных систем Windows 9x и владельцы ноутбуков. Это также означает, что на рабочих местах хранятся копии документов, содержащих конфиденциальную информацию.

Помимо этого, на рабочих местах может быть установлено потенциально опасное программное обеспечение, например программы синхронизации с мобильными устройствами, программы шифрования, файловые менеджеры, которые могут проводить операции с временными файлами Windows и т.д.

Квалификация пользователей

Стоит отметить, что с каждым годом пользователи становятся все более высококвалифицированными. Ведь имея дома компьютер с доступом в Internet, а то и локальную сеть, они могут приобрести потенциально опасные для информационной сети навыки. Как правило, сегодня обычный пользователь может инсталлировать программы, выходить в Internet по мобильному телефону, передавать информацию в зашифрованном виде, пользоваться мобильными устройствами хранения информации и т.д.

Средства защиты

Сегодня к мерам по защите информации от внутренних угроз компании относят использование технических средств контроля доступа к ресурсам (Internet, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо неопытным, либо неосторожным пользователям.

Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов, либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко заметить что слова «секретно» и «ce кpe тно » читаются одинаково, в то время как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.

Вместе с тем следует понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.

То есть нужно учесть, что, с одной стороны, компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой - во внедрении более эффективной системы защиты от внутренних угроз.

Положение о конфиденциальной информации в электронном виде

После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, важно понять, что именно мы собираемся защищать.

Таким образом, в компании необходимо принять документ (например, «Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.

Контентное категорирование

В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор документов, который запрещено отправлять по электронной почте.

При этом нужно учесть, что существует набор информации, которую одно подразделение может отправлять, а другое - нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов - бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.

В Положении необходимо предусмотреть регламент использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.

Кроме того, следует предусмотреть ведение «журнала» работы с подобными документами, в котором требуется отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.

В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.

Классификация информации по уровню конфиденциальности

Конфиденциальную информацию можно разнести по следующим категориям (пример):

«СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решением руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

«КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ущерба его клиентам, корреспондентам, партнерам или сотрудникам);

«ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Иногда в компании вводят больше уровней конфиденциальности. Однако следует понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.

Однако надо учесть, что, так как в организации каждый день создается множество документов, без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.

Метки документов

Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции - публикацию в Internet, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате программ Microsoft Office, то в качестве метки может использоваться запись "конфиденциально" в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток - именование файлов по специальной маске. Например, первые 10 символов - тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и восьмизначная дата в формате YYYYMMDD.

Следует обратить внимание на то, что процесс внедрения процедуры именования файлов - не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что, кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования руководством и инструктаж новых сотрудников), надо привлечь и технические средства. Самый простой технический способ внедрения этой процедуры - разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в корпоративной сети только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и корпоративную сеть, будут называться правильно.

После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантиии. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

Хранение информации

После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных порталах, хранилищах документов, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попыток сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.

Способы хранения конфиденциальной информации

Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:

Сводная информация;

Конфиденциальные документы;

Интеллектуальная собственность.

Сводная информация

Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. В качестве примера можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. Вместе с тем, сюда же можно отнести и персональную информацию, которую компания обязана защищать по закону. В случае хищения подобного типа информации злоумышленнику важно сохранить ее полноту, достоверность и структуру. В противном случае ее цена упадет. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.

Интеллектуальная собственность

К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.

Неструктурированная информация

Хищение документов, содержащих неструктурированную информацию, также может привести к различным потерям. Защита от утечек подобной информации крайне затруднена.

Одним из вероятных путей утечки информации, с использованием санкционированного доступа, являются клиентские приложения. Большинство используемых рабочих станций - компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Таких угроз практически нет при использовании тонких клиентов.

Локальные копии

Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе конфиденциальных. Следует помнить, что закрытие всех портов ввода-вывода на ноутбуках осуществить достаточно сложно технически, а кроме того это затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.

Основные направления защиты

Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

Защита документов

Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, применение специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.

Защита каналов утечки

На сегодня самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако носители информации делаются все меньше, флэш-память встраивается в часы и плееры, так что такой контроль становится все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

Мониторинг (аудит) действий пользователей

Для защиты от внутренних утечек информации крайне важно не только, кто получил доступ к файлу, но и что именно он делал с документом, ведь разные люди будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это:

Перемещение документа, как единого целого;

Копирование информации из документа;

Изменение документа с целью обмана следящих систем.

К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Internet, печать.

Ко второй - копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.

К третьей группе - переименование файла или изменение его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.

Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать в службу безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только сотруднику службы информационной безопасности.

Классификация внутренних нарушителей

Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:

Злоумышленники;

Проявляющие халатность;

Действующие по заказу;

Действующие в собственных интересах;

Охотники за конкретной информацией;

Ворующие все, что можно.

Для составления прогноза действий конкретного нарушителя его поведение нужно правильно классифицировать.

Внутренних нарушителей можно разделить на следующие категории (см. Таблицу 2):

Неосторожные;

Подвергшиеся манипуляции;

Саботажники;

Нелояльные;

Мотивируемые извне.

Таблица 2. Мотивы внутренних нарушителей

	Умысел	Корысть	Постановка задачи	Действия при невозможности
Халатный				Сообщение
Подвергшиеся манипуляции				Сообщение
Обиженный
Нелояльный				Имитация
Подрабатывающий			Сам Извне	Отказ Имитация Взлом
Внедренный			Сам Извне

Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.

Незлонамеренные нарушители

В свою очередь незлонамеренные нарушители подразделяются на:

жертв манипуляции;

неосторожных.

Неосторожные (проявляющие халатность)

Такие пользователи нарушают правила из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.

Жертвы манипуляции

Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.

Другим примером манипуляции может служить сотрудник, начальник которого - злоумышленник, отдавший этому сотруднику преступный приказ.

Злонамеренные сотрудники

Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам действий их можно разделить на:

Саботажников;

Нелояльных;

Мотивируемых извне;

Саботажники (обиженные сотрудники)

Саботажники чаще всего стремятся нанести вред компании в силу личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанесение вреда, а не похищение информации. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.

Нелояльне сотрудники

Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.

Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.

Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда и жизнь напрямую зависят от полноты и актуальности похищенной информации.

Нарушители, мотивированные извне

Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.

Другие типы нарушителей

В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций компании. В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока. Пресечь утечку такой информации техническими средствами невозможно.

Нетехнические меры защиты от внутренних угроз

Психологические меры

Если основная цель внедрения - выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.

Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми регламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.

Организационные меры

Права локальных пользователей

Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить задачу взломщика. В первую очередь - лишить пользователей прав локальных администраторов на их рабочих местах. Однако эта простая мера до сих пор не реализована в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов, и размещение их в отдельной подсети.

Однако необходимо понимать, что это временное решение и постепенно нужно отбирать у сотрудников права локальных администраторов.

Стандартизация программного обеспечения

Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое программное обеспечение из этого списка может быть использовано для противоправных действий.

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов автоматизированных систем

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств имеющихся рабочих мест должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ПК".

Эта инструкция призвана регламентировать функции и взаимодействие подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов автоматизированной системы (АС)") должны производиться только на основании заявок руководителей структурных подразделений организации либо заявок начальника ИТ, согласованных с начальником службы защиты информации.

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

В отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела ИТ;

В отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы защиты информации;

В отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела ИТ (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено - запрещено" в этом случае должен соблюдаться неукоснительно. Это избавит компанию от проблем с утечками через злонамеренных нарушителей в будущем.

Специфические решения

К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты - невозможно.

Работа с кадрами

Необходимо постоянно работать с пользователями. Обучение сотрудников, инструктаж новичков и временных пользователей поможет предотвратить утечки. Любое копирование информации на сменный носитель должно вызывать вопросы коллег - ведь лояльные сотрудники пострадают вместе с компанией.

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified - приблизительно его можно перевести как "слишком квалифицированный". Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся?

Выявление "специалистов-любителей" возможно во время традиционной аттестации. Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести разъяснительную работу с теми, кто начнет ответ со слов: "Нажать одновременно клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства пользователей - "Вызвать системного администратора" (если, конечно, пользователь и администратор находятся недалеко друг от друга).

Хранение физических носителей

В настоящее время еще одним каналом утечки информации является вынос носителей с резервными копиями с территории предприятия.

Сегодня используется несколько способов устранения этого канала утечки.

Первый из них - анонимизация носителей, т.е. сотрудники, имеющие физический доступ к носителям, не знают, какая информация на нем записана. Те же сотрудники, которые знают, какая информация записана, не имеют доступа к хранилищу носителей.

Второй способ - шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей - замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Уровни контроля информационных потоков

Системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:

Режим архива;

Режим сигнализации;

Режим активной защиты.

Режим архива

В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности, либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и управление временем сотрудника службы информационной безопасности. Сотрудник отдела информационной безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.

Недостатком этого режима является невозможность предотвращения утечки.

Режим сигнализации

Фактически мы имеем расширенный режим архива. В этом режиме перед сохранением информации в архив действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, сотрудник отдела информационной безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики информационной безопасности, сотрудник отдела информационной безопасности принимает решение реагировать немедленно, либо отложить принятие мер.

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для сотрудника службы ИБ - необходимость постоянно находиться в режиме on-line.

Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.

Режим активной защиты

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения сотрудником отдела информационной безопасности.

Преимуществом данного режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.

Недостатком этого режима является необходимость постоянного присутствия сотрудника службы информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодня максимальная достоверность используемых технологий не превышает 90%, поэтому в режиме активной защиты на сотрудника службы ИБ ложится ответственность за оперативное решение спорных вопросов. Кроме того, недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Internet.

Заключение

По состоянию на сегодня внутренние нарушители представляют едва ли не большую опасность, чем внешние, ведь злоумышленником может быть любой сотрудник компании, от обычного пользователя до руководителя высшего ранга. И решение задачи защиты информации от несанкционированного воздействия внутренних пользователей невозможно только организационными, или только техническими методами защиты. Лишь комплексное применение этих методов способно принести результат.

Литература

Законодательные акты Европы и США в сфере ИТ-безопасности http://www.infowatch.ru/threats?chapter=150685169&id=170278262 .

СУЛАВКО А. Е., аспирант

Сибирская государственная автомобильно-дорожная академия,

ТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *

Аннотация. Выявлены недостатки существующих средств защиты от внутренних угроз информационной безопасности . Описаны используемые в современных системах защиты подходы к распознаванию конфиденциальной информации в информационном потоке и их эффективность, а также основные требования таким системам. Обозначены возможные направления будущих исследований с целью повышения эффективности средств борьбы с внутренними угрозами.

Ключевые слова: информационная безопасность, внутренние угрозы, контентный анализ, контекстная фильтрация, защита от утечки конфиденциальной информации.

Введение. На сегодняшний день наибольшую угрозу информационной безопасности (далее ИБ) представляют внутренние злоумышленники. С каждым годом данная угроза все возрастает. Времена, когда руководители предприятий боялись атак хакеров и вирусов теперь в прошлом. Конечно, данный класс угроз по сей день несет в себе большую опасность, но более всего компании обеспокоены именно из-за потери, утечки корпоративной информации и персональных данных. Об этом говорят результаты практически любых исследований в области информационной безопасности, проводимых в рамках различных проектов (рисунки 1, 2).

Рисунок 1. Наиболее опасные угрозы ИБ по мнению респондентов

* Работа выполнена в рамках реализации программы «Научные и научно-педагогические кадры инновационной России на годы», контракт № П215 от 22.07.09г.

По результатам исследования «ИНСАЙДЕРСКИЕ УГРОЗЫ В РОССИИ ’09» (рисунок 1), проведенного аналитическим центром российской компании Perimetrix видно, что угрозы, исходящие изнутри компании, в сумме дают больший рейтинг опасности, чем угрозы, исходящие извне.

Рисунок 2. Соотношение опасности внутренних и внешних инцидентов ИБ

Такая ситуация наблюдается не только в России. По данным технических отчетов INFORMATION SECURITY BREACHES SURVEY 2006 и 2008, внутренние инциденты также превалируют над внешними. За последние годы существенно увеличилось опасение внутренних инцидентов представителями малого и среднего бизнеса (рисунок 2). Утечки терпят не только представители бизнеса, но и государственные учреждения по всему миру. Об этом свидетельствуют результаты глобального исследования InfoWatch (рисунок 3).

Рисунок 3. Распределение инцидентов по типу организации

Из представленных материалов видно, что сегодня вопрос о борьбе с внутренними угрозами стоит более остро, чем вопрос о борьбе с внешними. Следует отметить, что наиболее опасной угрозой на сегодня является утечка конфиденциальных данных (рисунок 1).

Средства и методы борьбы с внутренними угрозами. Чтобы эффективно бороться с внутренними угрозами, необходимо выявить недостатки существующих средств защиты в этой области. Можно выделить несколько типов систем обеспечения внутренней безопасности.

Системы мониторинга и аудита являются хорошим средством при расследовании инцидентов. Современные системы аудита позволяют регистрировать практически любые действия пользователей. Недостатком этих систем является отсутствие возможности предотвращения утечки, т. к. для этого нужна система реагирования на события и принятия решений, распознающая какая последовательность действий несет угрозу, а какая нет. Ведь если ответной реакции на нарушение не последует сразу, последствий инцидента не избежать.

Системы сильной аутентификации служат для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. Такие средства могут защитить информацию от “непосвященного” сотрудника, но не от инсайдера , который и так имеет доступ к охраняемой информации.

Средства шифрования носителей. Данный класс программ защитит от утечки информации при потере носителя или ноутбука. Но, если инсайдер передаст носитель вместе с ключом, на котором зашифрована информация другой стороне, то такой метод защиты будет бесполезен.

Системы выявления и предотвращения утечек (Data Leakage Prevention , DLP). Данные системы также называют системами защиты конфиденциальных данных от внутренних угроз (далее, системы защиты от утечек). Эти системы контролируют каналы утечки данных в реальном времени. Существуют комплексные (покрывающие много каналов утечки) и точечные (покрывающие определенный канал утечки) решения. Данные системы используют проактивные технологии, благодаря чему, не только регистрируют факт нарушения ИБ, но и предотвращают саму утечку информации. Конечно, качество такого контроля напрямую зависит от способностей системы отличать конфиденциальную информацию от не конфиденциальной, т. е. от используемых алгоритмов контентной или контекстной фильтрации. Большинство современных систем защиты от утечек имеют функции шифрования носителей и файлов (такие системы также называют Information Protection and Control (IPC)). Они могут использовать защищенные хранилища данных, в частности криптоконтейнеры, которые при доступе к файлу учитывают не только ключ шифрования, но и различные факторы, такие как уровень доступа пользователя и т. д.

На сегодняшний день системы защиты от внутренних угроз - это единственное решение, позволяющее предотвратить утечки в реальном времени, контролируя действия пользователей и процессов производимые с файлами и способное распознавать конфиденциальную информацию в информационном потоке. Чтобы определить уязвимое место в защите, предоставляемой такой системой, необходимо более детально рассмотреть их основные функции и возможности, а также методы, используемые этими системами для осуществления контентной/контекстной фильтрации.

Все существующие методы распознавания конфиденциальной информации в совокупности основаны на синтезе нескольких принципиально различных подходов.

Поиск сигнатур. Наиболее простой метод контентной фильтрации - поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-словом». Техника работает только на точные срабатывания и легко обходится простой заменой символов в анализируемом тексте.

Поиск регулярных выражений (метод масок). С помощью некоторого языка регулярных выражений определяется «маска», структура данных, которые относятся к конфиденциальным. Чаще всего данный метод используется для определения персональных данных (ИНН, номера счетов, документов и т. д.). Недостаток метода в наличие большого количества ложных срабатываний, также метод совершенно не применим к анализу неструктурированной информации.

Метод цифровых отпечатков. С эталонной информации снимается «отпечаток» при помощи хеш-функции. Далее отпечаток сравнивается с фрагментами анализируемой информации. Недостаток в том, что при использовании хеш-функции технология работает только на точные совпадения. Существуют алгоритмы, позволяющие незначительные изменения анализируемой информации по сравнению с эталонной (не более 20%-30%). Данные алгоритмы закрыты разработчиками систем защиты от утечек.

Системы защиты от внутренних угроз также характеризуются соответствием ряду дополнительных требований (критериев принадлежности к системам защиты от утечек). Основные требования к этому классу систем защиты были выдвинуты исследовательским агентством Forrester Research:

 многоканальность (способность осуществления мониторинга нескольких каналов утечки данных);

 унифицированный менеджмент (наличие унифицированных средств управления политикой ИБ, возможность анализа событий по всем каналам мониторинга с созданием подробных отчетов);

 активная защита (система должна не только обнаруживать, но и предотвращать нарушение ИБ);

 сочетание контентного и контекстного анализа (в данном случае к контекстному анализу помимо меток следует относить анализ активности пользователя и приложений).

Как видно, в представленные требования не входит проверка того, кто именно в определенный момент работает под текущей учетной записью.

На сегодняшний день существует достаточно много систем защиты от утечек и продуктов, близких по функциональности к ним. Основные характеристики и функции некоторых решений (было решено взять 10 наиболее популярных) представлены в таблице 1.

У систем защиты от утечек, представленных на рынке, отсутствует возможность идентификации пользователя по “типовому портрету работы в системе”. В существующие решения не позволяют установить, кто на самом деле находится за компьютером. Для этого необходимо прибегать к видеонаблюдению, что не всегда возможно на практике.

Первые системы защиты от утечек в основном использовали методы контентной фильтрации. Но их эффективность оказалась низкой, т. к. на практике такие методы дают достаточно большой процент ошибок первого и второго рода. По данным компании Gartner, в отчете Hype Cycle of Information Security за 2007 год, предельная надежность любых существующих методов контентной фильтрации составляет 80%, а за последние годы существенных изменений в сторону увеличения эффективности таких алгоритмов не произошло. Таким образом, максимальная вероятность правильного распознавания конфиденциальной информации с помощью алгоритмов контентной фильтрации в информационном потоке (документе, файле, трафике и т. д.) на сегодняшний день не превышает 0.8 . И эта вероятность может быть достигнута при использовании всех перечисленных подходов к анализу контента (регулярные выражения, сигнатуры, лингвистические методы и т. д.). Такой показатель является низким (гораздо ниже, чем заявляемые разработчиком характеристики) и не удовлетворяет требованиям информационной безопасности.

Таблица 1 – Основные функции систем защиты от внутренних угроз

название продукта	контентной фильтрации	контекстной фильтрации (подразуме- контейнер- ный анализ)		Шифрование	Критерии канальность, унифици- рованный менеджмент, активная защита,
Traffic Monitor +	сигнатуры, морфология			защищаемые контейнеры
	морфология, цифровые отпечатки		онтологии	контейнеры
	цифровые отпечатки
	сигнатуры, цифровые отпечатки			интегриро- шифрование
	сигнатуры, цифровые отпечатки			интегриро- шифрование
	сигнатуры, цифровые отпечатки			интегриро- шифрование
Инфосистемы СМАП и СКВТ Дозор Джет	сигнатуры, регулярные выражения

Системы защиты от утечек второго поколения используют контейнерный анализ. Этот подход подразумевает однозначное определение конфиденциальной информации в потоке по атрибуту файла (метке). Но, не смотря на кажущийся детерминизм , такая система будет принимать правильное решение при условии верной категоризации данных, произведенной ею предварительно при помощи существующих методов. Но все существующие методы категоризации (вероятностные, лингвистические и т. д.) также основаны на методах контентной фильтрации (контентного анализа), которые, как было упомянуто выше, далеки от совершенства. Необходимо предусматривать и разрабатывать процедуры расстановки меток на новые и входящие документы, а также систему противодействия переносу информации из помеченного контейнера в непомеченный и расстановки меток при создании файлов “с нуля”. Все это является очень сложной задачей, к тому же зависимой от задачи анализа контента. Как видно, концепция детерминистской фильтрации не может применяться отдельно от контентной, и от методов фильтрации контента не избавиться даже теоретически.

Новое поколение систем защиты от утечек (ИАС РСКД, информационно-аналитические системы режима секретности конфиденциальных данных) обещает избавиться от недостатков контентных и контекстных методов, используя каждый из них в том случае, где он наиболее эффективен. Но сочетание двух несовершенных и зависимых технологий не может произвести существенного улучшения.

Заключение. Резюмируя приведенную выше информацию, можно заключить, что, несмотря на большое количество имеющихся алгоритмов выявления конфиденциальной информации, все они не эффективны. Актуализация проблемы внутренних угроз вызвана незащищенностью от них организаций и отсутствием эффективного решения по борьбе с ними. Практически на всех предприятиях используются программные и/или аппаратные средства защиты, которые предназначены для борьбы с внешними угрозами (антивирусы, брандмауэры, IDS и т. д.) и достаточно эффективно с ними борются. Что касается средств защиты от внутренних угроз (системы защиты от утечек), то только очень незначительная часть компаний их использует (рисунок 4), хотя необходимость в этих средствах объективно существует. Рынок информационной безопасности еще не может предложить полноценного решения для эффективной защиты корпоративной информации, и существующие решения не дают достаточного уровня защиты, при этом их стоимость высока (приблизительно 100 – 500 тыс. $ стоит лицензия на 1000 компьютеров).

Рисунок 4. Самые популярные средства ИБ

Необходимо совершенствовать технологии контентной фильтрации, разрабатывая новые методы выявления конфиденциальной информации, концептуально меняя подходы к ее распознаванию. Целесообразно распознавать не только смысловое содержание текста, но и его авторство . Благодаря идентификации автора текста (при пересечении этим текстом периметра организации), набранного пользователем и содержащего конфиденциальную информацию, становится возможным выявить злоумышленника. Данный подход может быть реализован при использовании методов контентного анализа совместно с биометрическими методами идентификации пользователя по клавиатурному почерку. Учитывая не только статические характеристики текста (смысл), но и динамику ввода текста, становится возможным идентификация автора текста с высокой вероятностью.

Безопасность локальных сетей

Е.Грязнов, С. Панасенко

Крайне важно понять, что безопасность — это не продукт, который можно купить в магазине и быть уверенным в собственной защищенности. «Безопасность» — особая комбинация как технических, так и административных мер. Административные меры также включают в себя не только бумаги, рекомендации, инструкции, но и людей. Невозможно считать свою сеть «безопасной», если вы не доверяете людям, работающим с этой сетью.

Идеальная безопасность — недостижимый миф, который могут реализовать, в лучшем случае, только несколько профессионалов. Есть один фактор, который невозможно преодолеть на пути к идеальной безопасности — это человек.

Часть 1. Основные цели сетевой безопасности

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три:

• Целостность данных.
• Конфиденциальность данных.
• Доступность данных.
• Рассмотрим более подробно каждую из них.

Целостность данных

Одна из основных целей сетевой безопасности — гарантированность того, чтобы данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.

Конфиденциальность данных

Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные:

• Личная информация пользователей.
• Учетные записи (имена и пароли).
• Данные о кредитных картах.
• Данные о разработках и различные внутренние документы.
• Бухгалтерская информация.

Доступность данных

Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот приблизительный список ресурсов, которые обычно должны быть «доступны» в локальной сети:

• Принтеры.
• Серверы.
• Рабочие станции.
• Данные пользователей.
• Любые критические данные, необходимые для работы.
• Рассмотрим угрозы и препятствия, стоящие на пути к безопасности сети. Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.

Технические угрозы:

• Ошибки в программном обеспечении.
• Различные DoS- и DDoS-атаки.
• Компьютерные вирусы, черви, троянские кони.
• Анализаторы протоколов и прослушивающие программы («снифферы»).
• Технические средства съема информации.

Ошибки в программном обеcпечении

Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS- и DDoS-атаки

Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы, троянские кони

Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Человеческий фактор:

• Уволенные или недовольные сотрудники.
• Промышленный шпионаж.
• Халатность.
• Низкая квалификация.

Уволенные и недовольные сотрудники

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачаcтую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

Промышленный шпионаж

Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети — не самый простой вариант. Очень может статься, что уборщица «тетя Глаша», моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

Халатность

Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, — в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

Низкая квалификация

Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один -обучение пользователей, создание соответствующих документов и повышение квалификации.

Часть 2. Методы защиты

Согласно статистике потерь, которые несут организации от различных компьютерных преступлений, львиную долю занимают потери от преступлений, совершаемых собственными нечистоплотными сотрудниками. Однако в последнее время наблюдается явная тенденция к увеличению потерь от внешних злоумышленников. В любом случае необходимо обеспечить защиту как от нелояльного персонала, так и от способных проникнуть в вашу сеть хакеров. Только комплексный подход к защите информации может внушить уверенность в ее безопасности.

Однако в связи с ограниченным объемом данной статьи рассмотрим только основные из технических методов защиты сетей и циркулирующей по ним информации, а именно — криптографические алгоритмы и их применение в данной сфере.

Защита данных от внутренних угроз

Для защиты циркулирующей в локальной сети информации можно применить следующие криптографические методы:

• шифрование информации;
• электронную цифровую подпись (ЭЦП).

Шифрование

Шифрование информации помогает защитить ее конфиденциальность, т.е. обеспечивает невозможность несанкционированного ознакомления с ней. Шифрование — это процесс преобразования открытой информации в закрытую, зашифрованную (что называется «зашифрование») и наоборот («расшифрование»). Это преобразование выполняется по строгим математическим алгоритмам; помимо собственно данных в преобразовании также участвует дополнительный элемент — «ключ». В ГОСТ 28147-89 дается следующее определение ключа: «Конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований». Иными словами, ключ представляет собой уникальный элемент, позволяющий зашифровать информацию так, что получить открытую информацию из зашифрованной можно только определенному пользователю или группе пользователей.

Шифрование можно выразить следующими формулами:

C=Ek 1 (M) — зашифрование,

M " =Dk 2 (C) — расшифрование.

Функция Е выполняет зашифрование информации, функция D – расшифрование. В том случае, если ключ k 2 соответствует ключу k 1 , примененному при зашифровании, удается получить открытую информацию, т.е. получить соответствие М " = М.

При отсутствии же правильного ключа k 2 получить исходное сообщение практически невозможно.

По виду соответствия ключей k 1 и k 2 алгоритмы шифрования разделяются на две категории:

1) Симметричное шифрование: k 1 = k 2 . Для зашифрования и расшифрования информации используется один и тот же ключ. Это означает, что пользователи, обменивающиеся зашифрованной информацией, должны иметь один и тот же ключ. Более безопасный вариант — существует уникальный ключ шифрования для каждой пары пользователей, который неизвестен остальным. Ключ симметричного шифрования должен храниться в секрете: его компрометация (утеря или хищение) повлечет за собой раскрытие всей зашифрованной данным ключом информации.

2) Асимметричное шифрование. Ключ k 1 - в данном случае называется «открытым», а ключ k 2 — «секретным». Открытый ключ вычисляется из секретного различными способами (зависит от конкретного алгоритма шифрования). Обратное же вычисление k 2 из k 1 является практически невозможным. Смысл асимметричного шифрования состоит в том, что ключ k 2 хранится в секрете у его владельца и не должен быть известен никому; ключ k 1 , наоборот, распространяется всем пользователям, желающим отправлять зашифрованные сообщения владельцу ключа k 2 ; любой из них может зашифровать информацию на ключе k 1 , расшифровать же ее может только обладатель секретного ключа k 2 .

Оба ключа: ключ симметричного и секретный ключ асимметричного шифрования должны быть абсолютно случайными — в противном случае злоумышленник теоретически имеет возможность спрогнозировать значение определенного ключа. Поэтому для генерации ключей обычно используют датчики случайных чисел (ДСЧ), лучше всего — аппаратные.

Стоит сказать, что все государственные организации РФ и ряд коммерческих обязаны для защиты данных использовать отечественный алгоритм симметричного шифрования ГОСТ 28147-89. Это сильный криптографический алгоритм, в котором пока еще не найдено недостатков за более чем 12 лет применения.

ЭЦП позволяет гарантировать целостность и авторство информации (схема 2). Как видно из схемы, ЭЦП также использует криптографические ключи: секретный и открытый. Открытый ключ вычисляется из секретного по достаточно легкой формуле, например: у=а х mod p (где х — секретный ключ, у — открытый ключ, а и р- параметры алгоритма ЭЦП), обратное же вычисление весьма трудоемко и считается неосуществимым за приемлемое время при современных вычислительных мощностях.

Схема 2. Схема применения ЭЦП

Схема распространения ключей ЭЦП аналогична схеме асимметричного шифрования: секретный ключ должен оставаться у его владельца, открытый же распространяется всем пользователям, желающим проверять ЭЦП владельца секретного ключа. Необходимо обеспечивать недоступность своего секретного ключа, ибо злоумышленник легко может подделать ЭЦП любого пользователя, получив доступ к его секретному ключу.

Электронной подписью можно подписать любую информацию. Предварительно информацию обрабатывают функцией хэширования, цель которой — выработка последовательности определенной длины, однозначно отражающей содержимое подписываемой информации. Данная последовательность называется «хэш», основное свойство хэша таково, что исключительно сложно модифицировать информацию так, чтобы ее хэш остался неизменным. Отечественный стандарт хэш-функций ГОСТ Р 34.11-94 предусматривает хэш размером 256 бит.

На основе хэша информации и секретного ключа пользователя вычисляется ЭЦП. Как правило, ЭЦП отправляется вместе с подписанной информацией (ЭЦП файла чаще всего просто помещают в конец файла перед его отправкой куда-либо по сети). Сама ЭЦП, как и хэш, является бинарной последовательностью фиксированного размера. Однако, помимо ЭЦП, к информации обычно добавляется также ряд служебных полей, прежде всего, идентификационная информация о пользователе, поставившем ЭЦП; причем, данные поля участвуют в расчете хэша. При проверке ЭЦП файла в интерактивном режиме результат может выглядеть так:

«Подпись файла „Document.doc“ верна: Иванов А.А. 25.02.2003».

Естественно, в случае неверной ЭЦП выводится соответствующая информация, содержащая причину признания ЭЦП неверной. При проверке ЭЦП также вычисляется хэш информации; если он не совпадает с полученным при вычислении ЭЦП (что может означать попытку модификации информации злоумышленником), ЭЦП будет неверна.

Наряду с ГОСТ 28147-89 существует отечественный алгоритм ЭЦП: ГОСТ Р 34.10-94 и его более новый вариант ГОСТ Р 34.10-2001. Государственные организации РФ и ряд коммерческих обязаны использовать один из этих алгоритмов ЭЦП в паре с алгоритмом хэширования ГОСТ Р 34.11 -94.

Существует и более простой способ обеспечения целостности информации — вычисление имитоприставки. Имитоприставка — это криптографическая контрольная сумма информации, вычисляемая с использованием ключа шифрования. Для вычисления имитоприставки используется, в частности, один из режимов работы алгоритма ГОСТ 28147-89, позволяющий получить в качестве имитоприставки 32-битную последовательность из информации любого размера. Аналогично хэшу информации имитоприставку чрезвычайно сложно подделать. Использование имитоприставок более удобно, чем применение ЭЦП: во-первых, 4 байта информации намного проще добавить, например, к пересылаемому по сети IP-пакету, чем большую структуру ЭЦП, во-вторых, вычисление имитоприставки существенно менее ресурсоемкая операция, чем формирование ЭЦП, поскольку в последнем случае используются такие сложные операции, как возведение 512-битного числа в степень, показателем которой является 256-битное число, что требует достаточно много вычислений. Имитоприставку нельзя использовать для контроля авторства сообщения, но этого во многих случаях и не требуется.

Комплексное применение криптографических алгоритмов

Для безопасной передачи по сети каких-либо файлов, их достаточно подписать и зашифровать. На схеме 3 представлена технология специализированного архивирования, обеспечивающая комплексную защиту файлов перед отправкой по сети.

Схема 3. Технология специализированного архивирования

Прежде всего, файлы подписываются секретным ключом отправителя, затем сжимаются для более быстрой передачи. Подписанные и сжатые файлы шифруются на случайном ключе сессии, который нужен только для зашифрования этой порции файлов -ключ берется с датчика случайных чисел, который обязан присутствовать в любом шифраторе. После этого к сформированному таким образом спецархиву добавляется заголовок, содержащий служебную информацию.

Заголовок позволяет расшифровать данные при получении. Для этого он содержит ключ сессии в зашифрованном виде. После зашифрования данных и записи их в архив, ключ сессии, в свою очередь, зашифровывается на ключе парной связи (DH-ключ), который вычисляется динамически из секретного ключа отправителя файлов и открытого ключа получателя по алгоритму Диффи-Хеллмана. Ключи парной связи различны для каждой пары «отправитель-получатель». Тот же самый ключ парной связи может быть вычислен только тем получателем, открытый ключ которого участвовал в вычислении ключа парной связи на стороне отправителя. Получатель для вычисления ключа парной связи использует свой секретный ключ и открытый ключ отправителя. Алгоритм Диффи-Хеллмана позволяет при этом получить тот же ключ, который сформировал отправитель из своего секретного ключа и открытого ключа получателя.

Таким образом, заголовок содержит копии ключа сессии (по количеству получателей), каждая их которых зашифрована на ключе парной связи отправителя для определенного получателя.

После получения архива получатель вычисляет ключ парной связи, затем расшифровывает ключ сессии, и наконец, расшифровывает собственно архив. После расшифрования информация автоматически разжимается. В последнюю очередь проверяется ЭЦП каждого файла.

Защита от внешних угроз

Методов защиты от внешних угроз придумано немало — найдено противодействие практически против всех опасностей, перечисленных в первой части данной статьи. Единственная проблема, которой пока не найдено адекватного решения, — DDoS-атаки. Рассмотрим технологию виртуальных частных сетей (VPN — Virtual Private Network), позволяющую с помощью криптографических методов как защитить информацию, передаваемую через Internet, так и пресечь несанкционированный доступ в локальную сеть снаружи.

Виртуальные частные сети

На наш взгляд, технология VPN является весьма эффективной защитой, ее повсеместное внедрение — только вопрос времени. Доказательством этого является хотя бы внедрение поддержки VPN в последние операционные системы фирмы Microsoft — начиная с Windows 2000.

Суть VPN состоит в следующем (см. схему 4):

На все компьютеры, имеющие выход в Internet (вместо Internet может быть и любая другая сеть общего пользования), ставится средство, реализующее VPN. Такое средство обычно называют VPN-агентом. VPN-агенты обязательно должны быть установлены на все выходы в глобальную сеть.

VPN-агенты автоматически зашифровывают всю информацию, передаваемую через них в Internet, а также контролируют целостность информации с помощью имитоприставок.

Схема 4. Технология VPN

Как известно, передаваемая в Internet информация представляет собой множество пакетов протокола IP, на которые она разбивается перед отправкой и может многократно переразбиваться по дороге. VPN-агенты обрабатывают именно IP-пакеты, ниже описана технология их работы.

1. Перед отправкой IP-пакета VPN-агент выполняет следующее:

• Анализируется IP-адрес получателя пакета. В зависимости от адреса и другой информации (см. ниже) выбираются алгоритмы защиты данного пакета (VPN-агенты могут, поддерживать одновременно несколько алгоритмов шифрования и контроля целостности) и криптографические ключи. Пакет может и вовсе быть отброшен, если в настройках VPN-агента такой получатель не значится.
• Вычисляется и добавляется в пакет его имитоприставка.
• Пакет шифруется (целиком, включая заголовок IP-пакета, содержащий служебную информацию). Формируется новый заголовок пакета, где вместо адреса получателя указывается адрес его VPN-агента. Это называется инкапсуляцией пакета. При использовании инкапсуляции обмен данными между двумя локальными сетями снаружи представляется как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для внешней атаки информация, например, внутренние IP-адреса сети, в этом случае недоступна.

2. При получении IP-пакета выполняются обратные действия:

• Из заголовка пакета получается информация о VPN-агенте отправителя пакета. Если такой отправитель не входит в число разрешенных в настройках, то пакет отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
• Согласно настройкам выбираются криптографические алгоритмы и ключи.
• Пакет расшифровывается, затем проверяется его целостность. Пакеты с нарушенной целостностью также отбрасываются.
• В завершение обработки пакет в его исходном виде отправляется настоящему адресату по локальной сети.

Все перечисленные операции выполняются автоматически, работа VPN-агентов является незаметной для пользователей. Сложной является только настройка VPN-агентов, которая может быть выполнена только очень опытным пользователем. VPN-агент может находиться непосредственно на защищаемом компьютере (что особенно полезно для мобильных пользователей). В этом случае он защищает обмен данными только одного компьютера — на котором установлен.

VPN-агенты создают виртуальные каналы между защищаемыми локальными сетями или компьютерами (к таким каналам обычно применяется термин «туннель», а технология их создания называется «туннелировани-ем»). Вся информация идет по туннелю только в зашифрованном виде. Кстати, пользователи VPN при обращении к компьютерам из удаленных локальных сетей могут и не знать, что эти компьютеры реально находятся, может быть, в другом городе, — разница между удаленными и локальными компьютерами в данном случае состоит только в скорости передачи данных.

Как видно из описания действий VPN-агентов, часть IP-пакетов ими отбрасывается. Действительно, VPN-агенты фильтруют пакеты согласно своим настройкам (совокупность настроек VPN-агента называется «Политикой безопасности»). То есть VPN-агент выполняет два основных действия: создание туннелей и фильтрация пакетов (см.схему 5).

Схема 5. Туннелирование и фильтрация

IP-пакет отбрасывается или направляется в конкретный туннель в зависимости от значений следующих его характеристик:

• IP-адрес источника (для исходящего пакета — адрес конкретного компьютера защищаемой сети).
• IP-адрес назначения.
• Протокол более верхнего уровня, которому принадлежит данный пакет (например, TCP или UDP для транспортного уровня).
• Номер порта, с которого или на который отправлен пакет (например, 1080).

Более подробно технология VPN описана в специальной литературе.

Е. С. Грязнов, системный аналитик фирмы АНКАД
С. П. Панасенко, нач. отдела разработки программного обеспечения фирмы АНКАД

Ни для кого не секрет, что в среднем 82 % угроз информационным ресурсам компаний исходят от действий собственных сотрудников, совершаемых ими либо по неосторожности, либо предумышленно. По прогнозам экспертов, опасность внутренних угроз имеет тенденцию к росту и является по-прежнему одной из самых злободневных проблем. В условиях жесткой конкурентной обстановки особенно актуальной является задача по сохранению конфиденциальности данных. Ошибочно отправленное электронное письмо, сообщение ICQ или выводимые на печать документы могут содержать конфиденциальные сведения, не предназначенные для посторонних лиц. Коммерческая или служебная тайна, персональные данные клиентов, партнеров или сотрудников, а также иные виды защищаемой информации могут попасть в руки к третьим лицам и нанести бизнесу непоправимый ущерб. Необходимо своевременно принять меры для предотвращения рисков, связанных с утечкой конфиденциальной информации.

Вашему бизнесу могут угрожать различные риски, в том числе:

• Финансовые риски
  Результатом утечки конфиденциальных данных может быть ситуация, когда коммерческая тайна становится известной третьим лицам. В случае попадания такой информации в руки конкурентов существует высокая вероятность финансовых потерь, нередко приводящих к банкротству компании.
• Правовые риски
  Бесконтрольный выход конфиденциального документа за пределы корпоративной сети может стать предметом пристального внимания со стороны регулирующих органов. Судебные иски и штрафные санкции за нарушение норм законодательства, регулирующих защиту персональных данных и иных видов конфиденциальной информации, не является редким явлением.
• Репутационные риски
  Утечка конфиденциальных данных может получить широкую огласку в СМИ и привести к разрушению имиджа компании в глазах ее клиентов и партнеров, став причиной серьезного финансового ущерба.

Для обеспечения защиты от утечек конфиденциальной информации в любой компании должна быть предусмотрена DLP-система.

DLP-системы (от англ. Data Loss Prevention) — программные или программно-аппаратные средства, предназначенные для защиты от утечек по сетевым и локальным каналам. Передаваемые данные анализируются на предмет их конфиденциальности и распределяются по определенным категориям (общедоступная информация, персональные данные, коммерческая тайна, интеллектуальная собственность и др.). Если в информационном потоке детектируются данные конфиденциального характера, DLP-система выполняет одно из следующих действий: разрешает их передачу, блокирует или отправляет на дополнительную проверку специалисту по безопасности в неоднозначных случаях. DLP-системы охватывают широкий комплекс коммуникационных каналов, позволяя отслеживать электронную почту, службы мгновенных сообщений и иной интернет-трафик, принтеры, Bluetooth-устройства, USB-устройства и другие внешние носители.

Существующие DLP-системы различаются набором функциональных возможностей. Во-первых, DLP-системы могут быть активными (обнаруживают и блокируют утечку данных) и пассивными (обнаруживают утечку данных и высылают оповещение об инциденте). В настоящее время акцентируется внимание на активных DLP-системах, основная задача которых — предотвращение утечки данных в режиме реального времени, а не выявление ее постфактум. Для таких DLP-систем можно при желании настроить режим мониторинга, позволяющий не вмешиваться в бизнес-процессы и направлять сообщение об инциденте специалисту по безопасности. Во-вторых, DLP-системы могут решать ряд дополнительных задач, связанных с контролем действий сотрудников, их рабочего времени и использования корпоративных ресурсов.

Весомый плюс DLP-систем заключается в том, что они позволяют сохранять непрерывность бизнес-процессов, практически не влияя на работу конечных пользователей. Благодаря всем вышеперечисленным возможностям DLP-системы в настоящий момент — одно из самых востребованных решений для обеспечения информационной безопасности бизнеса.

Правильное внедрение и настройка DLP-системы — отдельный сложный вопрос. Здесь невозможно обойтись без грамотного консалтинга. Высококвалифицированные специалисты компании «Инфозащита» помогут с выбором решения, соответствующего специфике Вашего предприятия.

Современный рынок DLP — один из самых быстрорастущих, что ярко демонстрирует высокий спрос на подобные системы защиты. Разработчики DLP-решений постоянно развивают и совершенствуют новые эффективные технологии для борьбы с утечками данных.

Компания «Инфозащита» готова предложить Вам широкий выбор передовых решений ведущих разработчиков для защиты от внутренних угроз.