Методы борьбы с инсайдерами. Внутренние угрозы: новый вызов корпоративным службам ИБ
С повсеместным распространением всевозможных съемных накопителей проблема инсайдерства, и до того бывшая достаточно актуальной, приобрела поистине глобальный масштаб. И в этом нет абсолютно ничего удивительного. Сегодня любой сотрудник, имеющий доступ к конфиденциальной информации, может без проблем и, самое главное, незаметно скопировать ее к себе и использовать в будущем в различных целях. И хорошо еще, если за этим стоит желание просто поработать с договорами дома. Хотя, такое действие, вне зависимости от намерений нарушителя, все равно резко увеличивает риск компрометации данных (домашние компьютеры обычно слабее защищены, за них могут садиться разные люди, да и накопитель может быть утерян). Но ведь сотрудник может копировать информацию с целью ее передачи конкурентам или же использования в своих личных целях. Самым простым и явным примером этого является копирование базы клиентов (или договоров с ними) перед увольнением с целью их переманивания в другую компанию.
Главная проблема заключается в том, что стандартными, то есть встроенными в операционные системы средствами, защититься от такого способа воровства информации невозможно. Взять, хотя бы, USB-флешки. Они миниатюрны, дешевы и весьма емки. С их помощью сотрудники могут незаметно "выносить" из корпоративной информационной системы гигабайты информации. Однако просто отключить USB-порты на рабочих станциях нельзя - сегодня они необходимы для подключения многих устройств: принтеров, клавиатур, мышек, ключей для работы ПО и пр. Кроме того, нельзя забывать и про другие варианты воровства информации, например, про использование CD/DVD-дисков, мобильных телефонов и пр. Даже обычный принтер может стать угрозой. Ведь у сотрудника есть возможность распечатать конфиденциальную информацию и унести распечатки домой. Однако и их отключить не получится, потому что обычно все эти устройства необходимы для выполнения работниками своих служебных обязанностей.
Единственным способом обезопасить компанию от воровства конфиденциальной информации через различные съемные накопители является внедрение системы ограничения и контроля над их использованием. Реализуется она с помощью специального программного обеспечения. Почему-то во многих компаниях уверены, что такие продукты весьма сложны, а для их внедрения и обслуживания нужна какая-то специальная квалификация. Однако это совершенно не так. Система разграничения прав доступа к внешним и внутренним устройствам компьютера настолько проста, что справиться с ней может не только квалифицированный администратор, но даже и просто опытный пользователь ПК. И в подтверждение этих слов сегодня мы рассмотрим пример внедрения в корпоративную ИС продукта Zlock от компании SecurIT. Стоит отметить, что он не может защитить от утечки конфиденциальной информации через Интернет (например, по электронной почте через "аську" и пр.), для этого нужны другие продукты с совершенно иным принципом действия (например, Zgate от того же разработчика). А вот с задачей контроля всевозможных съемных накопителей и принтеров Zlock справляется успешно.
Структура Zlock
Перед тем, как начинать разговор о процедуре установки рассматриваемой системы, необходимо разобраться с ее структурой. Zlock состоит из пяти частей.
· Консоль управления . Программа, которая позволяет администратору осуществлять полное управление системой, включая ее установку на рабочие станции, изменение политик доступа, работу с серверами журналов и конфигураций и пр.
· Клиентский модуль . Утилита, инсталлирующаяся на рабочие станции. Именно она и осуществляет контроль и блокировку доступа в соответствии с заданными политиками. Кроме того, клиентский модуль взаимодействует с сервером журналов, проверяет целостность Zlock и пр.
· Сервер журналов . Система получения, хранения и обработки информации о событиях, которые передают клиентские модули. Обеспечивает удобный доступ администратора ко всем данным.
· Сервер конфигураций . Система централизованного управления конфигурациями Zlock.
· Модуль настройки Zlock через групповые политики . Модуль для установки и обновления системы через групповые политики.
В первую очередь необходимо разобраться, куда какие модули инсталлируются. Понятно, что консоль управления должна быть установлена на компьютер администратора или сотрудника, ответственного за информационную безопасность компании. Этот процесс ничем не отличается от инсталлирования любого другого ПО, а поэтому подробно останавливаться на нем мы не будем.
Сервер журналов и сервер конфигураций, в принципе, не обязательны для работы системы. Zlock может успешно справляться с возложенными на нее задачами и без них. Однако сервер журналов очень удобен для просмотра событий сразу же по всем рабочим станциям. Ну а сервер конфигураций незаменим в крупных корпоративных сетях. С его помощью можно легко управлять настройками клиентских модулей на большом количестве рабочих станций. Они опять же устанавливаются, как обычное программное обеспечение. Эта процедура выполняется локально с дистрибутива, входящего в комплект поставки Zlock.
Заключительный этап установки рассматриваемой системы - инсталляция клиентских модулей на все компьютеры, которые нуждаются в мониторинге. Сделать это можно двумя способами (вариант с ручной установкой мы по понятным причинам не рассматриваем). Первый из них предполагает использование консоли управления. После ее запуска в левой панели главного окна расположено несколько групп. Нужно найти среди них и открыть дерево "Компьютеры и приложения", после чего раскрыть ветку "Без приложений". В ней будет приведен полный список компьютеров, входящих в локальную сеть, на которые не установлена система Zlock.
Для запуска процедуры инсталляции клиентских частей администратору необходимо выбрать компьютер или компьютеры (в том числе можно указать целый домен) назначения и нажать на кнопку "Установить или обновить Zlock…", размещенную на панели инструментов. В открывшемся окне следует указать папку с дистрибутивом программы (оптимальным вариантом будет сетевая папка, к которой есть доступ у всех пользователей), а также выбрать вариант установки. Всего их три: с ручной или принудительной перезагрузкой компьютеров, а также без перезагрузки. Стоит отметить, что последний, наиболее удобный вариант нельзя применять для обновления установленных ранее клиентских частей. В заключение останется только выбрать ПК, на которые будет осуществляться установка (возможно, вы не хотите устанавливать Zlock на все компьютеры сети), а также указать пользователя, обладающего правами локального администратора. Причем программа в случае нехватки полномочий может запросить ввод данных другого пользователя.
Другой вариант развертывания системы защиты на корпоративные рабочие станции - использование групповых политик. Для этого в комплект поставки Zlock входит специальный инсталляционный пакет. Сама процедура установки знакома практически всем системным администраторам. В первую очередь нужно создать сетевую папку, скопировать в нее файлы Zlock30. msi и Zlockmsi. ini и предоставить к ней доступ всем пользователям домена. Если у вас уже есть конфигурационный файл, то его можно поместить в эту же директорию. В этом случае он будет автоматически применен ко всем установленным клиентским модулям. Если такого файла нет, система применит политику по умолчанию, которую необходимо будет настроить в будущем.
После этого в свойствах корпоративного домена (доступ к ним осуществляется через консоль Active Directory) нужно перейти на вкладку "Групповая политика" и создать новую политику. В окне этой политики необходимо раскрыть дерево "Конфигурация компьютера", выбрать пункт "Установка программ" и создать новый пакет, в свойствах которого указать сетевой путь к файлу Zlock30. msi. В результате инсталляция системы Zlock осуществляется стандартными средствами ОС.
Настройка политик доступа
Самой, пожалуй, важной операцией в процессе внедрения системы защиты Zlock является настройка политик доступа. Именно они определяют возможность всех пользователей работать с теми или иными устройствами. Каждая политика состоит из трех частей. Первая представляет собой список устройств или их групп, для каждого из которых прописаны права доступа к ним разных пользователей. Вторая часть политики - настройки теневого копирования файлов, копируемых на различные накопители. Ну а третья часть определяет настройки теневого копирования распечатываемых на принтерах документах. Кроме того, у каждой политики есть целый ряд дополнительных свойств, которые мы рассмотрим ниже.
Принцип работы политик следующий. На каждой рабочей станции находится одна или несколько политик, назначенных администратором. При наступлении любого события, контролируемого системой защиты (подключение устройства, попытка копирования файла на съемный накопитель, распечатка документа и пр.), клиентский модуль проверяет его на соответствие всем политикам по очереди (очередность устанавливается системой приоритетов) и применяет первую из тех, которой оно соответствует. То есть в Zlock нет привычной всем системы исключений. Если вам, к примеру, нужно запретить все USB-флешки, кроме одной определенной, нужно использовать две политики. Первая с низким приоритетом запрещает использование съемных накопителей. А вторая, с более высоким, разрешает применение конкретного экземпляра. Кроме созданных администратором, существует еще политика по умолчанию. Она определяет права доступа к тем устройствам, которые не описаны в других политиках.
Ну а теперь давайте разберем процедуру создания политики. Для ее запуска нужно выбрать в дереве консоли управления нужную рабочую станцию и установить к ней подключение. После этого необходимо выбрать в меню "Политика" пункт "Добавить". Открывшееся при этом окно состоит из пяти вкладок. Первая из них называется "Доступ". На ней задается наименование создаваемой политики, ее приоритет и права доступа к устройствам. Здесь доступны четыре варианта: полный доступ для всех пользователей, доступ к устройствам только на чтение для всех пользователей, запрет доступа к устройствам для всех пользователей и индивидуальная настройка прав доступа к устройствам для пользователей и групп. Назначения первых трех понятны из их названий. А вот последний вариант стоит отметить отдельно. С его помощью можно задать разные права для отдельных пользователей, что весьма удобно, поскольку часто за одним компьютером могут работать различные сотрудники. Для ввода прав доступа необходимо нажать на кнопку "Редактировать" и добавить в открывшемся окне необходимые учетные записи (локального компьютера или домена), определив для каждой из них полномочия.
После ввода основных параметров необходимо задать перечень устройств и групп, на которые будет распространяться действие политики. Для этого используется вкладка "Устройства". Для ввода оборудования в Zlock предусмотрено четыре способа.
· Типовые устройства. Данный вариант предполагает выбор всех устройств определенного типа, например, все съемные накопители, CD/DVD-приводы, жесткие диски и пр.
· USB-устройство с заданными характеристиками. Позволяет задавать USB-устройства по типу, производителю, названию продукта, серийному номеру устройства и пр.
· Принтеры. Используется для ввода определенных локальных или сетевых принтеров.
С помощью этих способов можно создать весьма точный и гибкий список устройств. Примечательно, что выбирать можно не только ту аппаратуру, которая подключена к ПК в данный момент, но и ту, которая когда-то на нем использовалась (весьма актуально для съемных накопителей). Кроме того, администратор может создать так называемый каталог устройств. Это файл, в котором перечислены все устройства, подключенные к компьютерам корпоративной сети. Он может создаваться как вручную, так и автоматически путем сканирования всех рабочих станций.
В принципе, после этого мы уже имеем вполне работоспособную политику. Однако в Zlock предусмотрен ряд дополнительных настроек, расширяющих функциональные возможности системы защиты. Так, например, если создается политика, которая должна действовать не постоянно, то необходимо задать расписание ее работы. Делается это на одноименной вкладке. На ней можно определить интервалы, во время которых действует политика. Администратор может ввести срок действия политики, время, дни недели или числа месяца, в которые она будет активна.
Если компьютер, для которого создается политика, может отключаться от корпоративной сети и/или подключаться к ней через Интернет, то можно определить для него особые параметры. Для этого необходимо перейти на вкладку "Правила применения". На ней перечислены три пункта возможного состояния ПК относительно корпоративного домена: домен доступен локально, домен доступен через VPN, домен недоступен. Для того, чтобы отключить действие политики для любого из них достаточно просто деактивировать соответствующий чекбокс. Например, если вы хотите, чтобы с компьютера, отключенного от корпоративной сети, невозможно было что-то распечатать, достаточно создать политику, запрещающую использование принтеров и в правилах применения активировать пункты "Домен недоступен" и "Домен доступен через VPN".
После создания одной или нескольких политик на одном из компьютеров, можно быстро распространить их и на другие ПК. Для этого в консоли управления требуется установить соединение со всеми нужными станциями и выбрать в меню "Сервис" пункт "Распространить конфигурацию". В открывшемся окне отметьте "галочками" нужные политики и компьютеры, активируйте чекбокс "Фоновое распространение политики" и выберите действие, которое должна выполнить программа при обнаружении политик с совпадающими именами (спрашивать, перезаписывать или не перезаписывать). После этого нажмите на кнопку "ОК" и дождитесь завершения процесса.
В будущем любую политику можно изменить. Для этого достаточно подключиться к компьютеру, на котором она была изначально создана, найти ее в "дереве" и дважды кликнуть по ней мышкой. При этом будет открыто уже знакомое по процедуре создания политики окно, в котором можно изменить те или иные параметры. Обратите внимание, что если политика, которую вы отредактировали, была в свое время распространена на другие компьютеры, то перед ее изменением предварительно нужно установить соединение со всеми этими ПК. В этом случае при сохранении изменений программа Zlock сама предложить синхронизировать устаревшие политики с новой. Точно так же выполняется и удаление политик.
Настройка журналирования и теневого копирования
В системе Zlock предусмотрена система журналирования. Благодаря ней администратор или другое ответственное за информационную безопасность лицо может просматривать и анализировать все отслеживаемые события. Для ее включения необходимо выбрать в меню "Сервис" пункт "Настройки" и перейти в открывшемся окне на вкладку "Журналирование". На ней перечислены все возможные события (запрет записи на устройство, изменение доступа к сети, изменение конфигурации, применение политик доступа и пр.), а также их состояние в плане ведения логов.
Для включения журналирования по одному или нескольким событиям необходимо нажать на "плюсик" и выбрать вариант ведения лога: запись в файл (системный Event Log или произвольный файл формата TXT или XML), в базу данных на SQL-сервере или сервере журналов, отправка письма по электронной почте.
После этого в открывшемся окне нужно настроить параметры лога (они зависят от выбранного варианта: имя файла, параметры доступа к базе данных и пр.), отметить нужные события и нажать на кнопку "ОК".
Отдельно настраивается журналирование файловых операций. Под ними подразумеваются такие действия, как создание, изменение и редактирование файлов, создание и удаление каталогов и пр. Понятно, что подобные логи имеет смысл вести только при использовании съемных накопителей. А поэтому данный вид журналирования привязывается к политикам доступа. Для его настройки необходимо в консоли управления выбрать в меню "Сервис" пункт "Файловые операции". В открывшемся окне в первую очередь нужно отметить политики, для которых будет осуществляться журналирование. Имеет смысл выбрать те из них, которые контролируют использование съемных накопителей: USB-устройств, CD/DVD-приводов и пр. После этого нужно ввести действия, которые будет выполнять система при обнаружении файловых операций. Для добавления каждого из них необходимо нажать на "плюсик" и выбрать нужный вариант. Три действия относятся к ведению логов - это запись информации о событии в файл, в базу данных или отправка сообщения по электронной почте. Последний же вариант заключается в запуске указанной программы или скрипта.
Далее можно переходить к настройке теневого копирования. Это весьма важная функция системы Zlock, которой не стоит пренебрегать. Она обеспечивает незаметное для пользователя дублирование копируемых или распечатываемых файлов в специальное хранилище. Теневое копирование необходимо тогда, когда использование принтеров или съемных накопителей сотрудникам нужно для выполнения своих профессиональных обязанностей. В таких случаях предотвратить утечку информации техническими средствами практически невозможно. Но теневое копирование позволит быстро среагировать на нее и пресечь будущие инциденты.
Для установки параметров теневого копирования необходимо в меню "Сервис" выбрать одноименный пункт. В первую очередь можно настроить локальное хранилище. Для этого необходимо указать папку, в которой будут сохраняться файлы, ввести доступный объем (в мегабайтах или процентах от свободного места на жестком диске), а также выбрать действие при переполнении (перезаписывать файлы в хранилище, запретить или разрешить копирование и печать).
При необходимости можно настроить теневое копирование в сетевое хранилище. Для этого нужно перейти на вкладку "Копирование на сервер" и активировать чекбокс "Передавать информацию о теневом копировании и файлы на сервер". Если передача должна осуществляться немедленно, то стоит выбрать пункт "Передавать файлы как можно раньше". Возможен и другой вариант - система будет копировать файлы с заданной периодичностью. После этого нужно выбрать сетевую папку, в которую и будут записываться файлы. Обратите внимание, что имеет смысл выбрать такой каталог, доступ к которому есть только у администратора. В противном случае сотрудник сможет зайти в него и удалить или хотя бы просмотреть сохраненные файлы. При выборе такой папки необходимо ввести логин и пароль пользователя, у которого есть полномочия на запись в нее информации.
Ну и в завершение настройки остается перейти на вкладку "Политики" и указать те политики, при действии которых теневое копирование будет работать.
Система временных разрешений
В принципе, процесс внедрения Zlock мы с вами, уважаемые читатели, уже разобрали. После его завершения система защиты от инсайдеров будет работать, помогая компании избежать утечки коммерческой и персональной информации. Однако в Zlock есть еще одна весьма интересная возможность, которая позволяет заметно облегчить жизнь администратору. Речь идет о системе выдачи временных разрешений на использование тех или иных устройств.
Почему хочется заострить внимание именно на этом моменте? Все очень просто. Практика показывает, что достаточно часто возникают ситуации, когда кому-то из сотрудников нужно использование обычно запрещенного для них устройства. Причем такая необходимость может возникнуть срочно. В результате возникает паника, срочно ищется администратор, который должен изменить политику доступа и, самое главное, не забыть потом вернуть ее обратно. Конечно же, это весьма неудобно. Гораздо лучше использовать систему выдачи временных разрешений.
Для ее применения сначала необходимо сгенерировать сертификат администратора. Для этого нужно в меню "Сервис" выбрать пункт "Сертификат…", а в открывшемся окне нажать на кнопку "Изменить сертификат". После этого в мастере необходимо выбрать переключатель "Создать новый сертификат" и ввести его имя. Далее остается только подключиться к удаленным компьютерам, выбрать в меню "Сервис" пункт "Настройки", перейти в открывшемся окне на вкладку "Общие" и нажать на кнопку "Установить".
В Zlock временные разрешения можно использовать двумя способами - с помощью электронной почты и по телефону. В первом случае создание запроса выполняется следующим образом. Пользователь должен кликнуть правой кнопкой мыши на значке Zlock в системном трее и выбрать в выпадающем меню пункт "Создать запрос". В открывшемся окне ему необходимо выбрать нужное устройство и права доступа (только для чтения или полный доступ), ввести адрес администратора и, при необходимости, краткий комментарий. При этом в почтовом клиенте, установленном в системе по умолчанию, будет сгенерировано письмо с прикрепленным к нему файлом-запросом. Получив его, администратор должен дважды кликнуть по нему мышкой. При этом будет открыто окно с информацией о запросе. Если администратор согласен его обработать, то ему необходимо нажать на кнопку "Далее". При этом будет открыто окно создания новой политики, в котором уже введено требуемое устройство. Администратору остается только установить расписание работы этой политики. Она может быть как постоянной, так и одноразовой. Во втором случае политика будет действовать только до завершения пользователем сессии Windows или до извлечения устройства (зависит от выбора администратора). Эта политика может быть передана на компьютер сотрудника обычным способом или же с помощью специального файла по электронной почте (он будет защищен с помощью сертификата администратора). При его получении пользователю необходимо просто запустить его, после чего он получит доступ к нужному устройству.
Система выдачи разрешений по телефону работает схожим образом. Сначала пользователь должен создать запрос. Эта процедура практически идентична рассмотренной нами выше. Только на последнем этапе формируется не электронное письмо, а специальный код, состоящий из пяти блоков цифр и букв. Сотрудник должен позвонить администратору и продиктовать ему этот набор символов. От администратора требуется ввести этот код в специальное окно (оно вызывается с помощью пункта "Обработать запрос" меню "Политика"). При этом на экране появится подробная информация о запросе. Далее администратор может создать политику уже знакомым нам образом. Единственное отличие - на последнем этапе система сформирует еще один код. Его администратор дожжен продиктовать сотруднику, который, введя его в специальное поле, может активировать доступ к устройству.
Подводим итоги
Итак, как мы видим, процедура внедрения в эксплуатацию системы защиты от инсайдеров, в принципе, не сложна. Для ее выполнения не нужно обладать какими-то особыми умениями. Справиться с ней может любой системный администратор, обладающий базовыми знаниями сетевых технологий. Впрочем, стоит отметить, что эффективность работы защиты целиком и полностью зависит от того, насколько грамотно и полно составлены политики доступа. Именно к этому моменту стоит подходить с максимальной серьезностью и выполнять эту работу должен ответственный сотрудник.
Zlock: контролируйте доступ к USB-устройствам
Тестируем Zlock
Главными предполагаемыми преимуществами системы, наряду с основными функциональными характеристиками, должны быть простота внедрения и интуитивная понятность действий по ее настройке и конфигурированию.
Рисунок 1. Политика доступа по умолчанию
После необходимо продумать политики доступа к самой службе Zlock, которая также распространится при установке на клиентские места. Отредактируйте политику доступа к настройкам клиентской части программы, разрешив или запретив пользователям видеть значок и получать предупреждения об изменении политики доступа. С одной стороны - данные предупреждения являются удобными, так как, отправив администратору заявку на получение доступа, пользователь будет оповещен, если измененная политика будет применена к его рабочей станции. С другой стороны - часто системные администраторы предпочитают не предоставлять пользователям лишние визуальные подтверждения работающих на рабочей станции защитных служб.
Затем созданная политика (в данном случае она пока остается локальной для консольной рабочей станции) сохраняется в виде файла с именем default. zcfg в папку с дистрибутивом клиентской части.
Все. На этом глобальная подготовка системы к массовой установке закончена. В продукте импонирует простота создания политик, связанная с применением стандартного принципа создания прав пользователей типа ACL.
Для установки на все компьютеры пользователям было отправлено pop-up-сообщение с просьбой включить все рабочие станции сети, находящиеся рядом, но не используемые в данный момент. Выбрав из списка компьютеров для подключения все рабочие станции сети (вернее, выбрав все и затем исключив серверы), я запустил процесс подключения для дальнейшей установки клиентской части. Подключение к такому количеству компьютеров (150), конечно, заняло относительно продолжительное время, так как осуществляется последовательно, а если компьютер выключен - то происходит ожидание тайм-аута по подключению. Однако процедуру придется выполнить только при первоначальной установке, дальше политики будут контролироваться на основе персональных потребностей пользователей. При попытке "разом" установить клиентскую часть на все 150 компьютеров локальной сети я столкнулся с незначительными проблемами на нескольких рабочих станциях, однако на большинство компьютеров система установилась автоматически. Проблема в установке, собственно была одна - несовместимость Zlock с устаревшими версиями драйвера защиты CD-дисков - StarForce. Для корректного взаимодействия необходимо обновить драйвер StarForce, скачав его с сайта производителя. Это было также сделано удаленно, при помощи службы удаленной установки. Объяснение причины этой несовместимости, на мой взгляд, имеет право на жизнь - ведь Zlock взаимодействует с подсистемой ввода-вывода на более низком уровне, нежели прикладные функции ОС, - так же, как защита от копирования CD.
После выбора рабочих станций вам предложат указать, откуда необходимо запускать дистрибутив установщика. Именно эта функция и дает возможность таким образом устанавливать и другие программы, не сходя с рабочего места. Будьте внимательны при выборе варианта установки - "С перезагрузкой" или "Требуется перезагрузка". В случае если вы выберете "С перезагрузкой" - после завершения установки клиентские рабочие станции перезагрузятся автоматически, не спрашивая подтверждения пользователя.
На этом первоначальная установка закончена, и после перезагрузки клиентская часть Zlock начнет исполнять предписанную политику безопасности. При этом в трее появляется значок службы Zlock, предоставляющий пользователям возможность создавать запросы на предоставление доступа, а также самостоятельно редактировать политики, если, конечно, это было им разрешено созданной нами политикой по умолчанию.
Стремясь к полной конфиденциальности…
После этого, собственно говоря, и начинается тонкая настройка системы Zlock. Если в вашей компании сотрудникам часто необходимо что-то сохранять на съемных носителях, а политику безопасности хотелось бы поддерживать на самом строгом уровне, то скоординируйте свой рабочий график так, чтобы иметь возможность в следующую за установкой неделю как можно чаще присутствовать на рабочем месте. Для поддержания максимальной строгости политики доступа рекомендуется создавать правила для конкретных съемных устройств, так как Zlock позволяет предоставлять доступ к устройствам даже на основе его полных характеристик, таких, как марка, модель, серийный номер и т.п. Сложнее обстоит дело в IT-фирмах, так как сотрудникам постоянно приходится записывать всевозможную информацию на диски CD/DVD-R/RW. В данном случае можно порекомендовать использовать выделенные рабочие станции с записывающими приводами, на которых системными политиками безопасности будут созданы правила, не позволяющие получить с этих компьютеров доступ в сеть. Однако такие тонкости выходят за рамки статьи, посвященной Zlock.
Как это работает на практике?
Теперь посмотрим, как это все выглядит в работе. Напоминаю, что созданная мной политика доступа позволяет пользователям производить чтение со всех съемных устройств и запрещает запись на них. Сотрудник отдела обслуживания приходит в офис для того, чтобы сдать отчеты и записать задания на диск. При подключении съемного устройства система ограничивает доступ и выдает соответствующее предупреждение (см. рис.2).
Рисунок 2. Предупреждение об ограничении доступа
Сотрудник считывает с него принесенную информацию, после чего безуспешно пытается записать полученные от руководителя задания. При необходимости получить доступ он либо связывается с администратором по телефону, либо формирует автоматический запрос при помощи Zlock Tray Applet с указанием устройства, к которому он хотел бы получить доступ, называет свою учетную запись и мотивирует необходимость такого доступа.
Администратор, получив такой запрос, принимает решение о предоставлении/не предоставлении такого доступа и при положительном решении изменяет политику для данной рабочей станции. При этом созданный запрос содержит всю информацию об устройстве, включая производителя, модель, серийный номер и т.д., а система Zlock позволяет создавать любые политики на основании этих данных. Таким образом мы получаем возможность предоставить право записи конкретному пользователю на указанное устройство, при необходимости ведя журнал всех файловых операций (см. рис. 3).
Рисунок 3. Создание политики на основании запроса пользователя
Таким образом процесс создания дополнительных разрешающих политик облегчен для администратора до предела и сводится к принципу Check&Click, что, несомненно, радует.
Проблемы
Неудается открыть порты в файрволе для удаленного администрирования Zlock?
Для удаленного администрирования Zlock в межсетевом экране достаточно открыть один порт. По умолчанию это порт 1246, но он может быть изменен, если этот номер по каким-либо причинам не подходит. Этим, кстати, наш продукт выгодно отличается от некоторых аналогов, которые используют для администрирования службу удаленного вызова процедур (Remote Procedure Calls - RPC), которая по умолчанию требует открытия множества портов и довольно уязвима к внешним атакам. Как известно, большинство современных вирусов использовали как раз уязвимости в RPC для внедрения в компьютер и получения в нем администраторских привилегий.
2) Проблема
У нас возникла следующая ситуация. В одном отделе на одном компьютере работают два сотрудника. У каждого есть флешка. Стоит задача сделать так что бы флешка первого сотрудника читалась, а флешка второго нет. Главная проблема в том что у этих флешек одинаковые номера (VID_058F&PID_6387), Флешки фирмы Transcend 256Mb и 1Gb. Подскажите пожалуйста как поступить в данной ситуации? Большое спасибо.
Номера, о которых Вы говорите, - это идентификаторы продукта (Product ID) и производителя (Vendor ID). Для разграничения доступа устройств с одинаковыми идентификаторами продукта и производителя в политиках Zlock необходимо указать их серийный номер. Стоит заметить, что не все производители USB-накопителей присваивают своим продуктам уникальные серийные номера, обычно отсутствием серийных номеров грешат noname-производители.
II. Обзор SecurITZgate
В данном обзоре мы начинаем подробный рассказ о SecurIT Zgate, корпоративном решении, предназначенном для анализа интернет-трафика на уровне шлюза с целью обнаружения и блокирования попыток утечки конфиденциальных данных или иных несанкционированных действий сотрудников.
Введение
Согласно концепции комплексной защиты от внутренних угроз, продвигаемой компаний SecurIT, шлюзовой продукт SecurIT Zgate важной частью IPC-системы. Концепция IPC включает в себя DLP (Data Loss Prevention) и решения для защиты данных при хранении. Впервые совмещение различных на первый взгляд технологий было предложено аналитиком IDC Брайаном Бюрком в отчете Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.
В системах IPC контролируется стандартный для DLP-систем список каналов: электронная почта, Web-ресурсы (Web-почта, социальные сети, блоги), ICQ, USB-устройства и принтеры. В IPC к этим возможностям добавляется шифрование данных на серверах, магнитных лентах и в конечных точках сети - на ПК, ноутбуках и мобильных накопителях. Кроме перечня контролируемых каналов и шифруемых носителей информации, IPC существенно различаются набором методов детектирования конфиденциальных данных.
Таким образом, система SecurIT Zgate позволяющая предотвращать утечки конфиденциальной информации по сетевым каналам, является важной, если не сказать ключевой, частью единой IPC системы. SecurIT Zgate анализирует все данные, передаваемые сотрудниками за пределы информационной сети организации. В SecurIT Zgate используются современные технологии автоматического детектирования, которые безошибочно определяют уровень конфиденциальности передаваемой информации с учетом особенностей бизнеса и требований различных отраслевых стандартов.
1. Системные требования
Минимальные системные требования для решения SecurIT Zgate представлены в таблице ниже.
2. Основные возможности SecurIT Zgate:
Фильтрация входящего, исходящего и внутреннего трафика.
Контентный анализ передаваемых сообщений и файлов с помощью любой комбинации методов автоматической категоризации.
Совместимость с любой почтовой системой (MTA), работающей по протоколу SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix и др.
Работа в пассивном режиме мониторинга со снятием копии передаваемых данных или в активном режиме блокирования инцидентов в режиме реально времени.
Гибкие политики проверки, блокировки и архивирования данных с возможностью настройки до 30 параметров.
Применение политик в зависимости от времени передачи, направления трафика и местоположения пользователей.
Удобные инструменты для управления словарями, описывающими различные категории документов.
Возможность ручной проверки подозрительных сообщений и файлов.
Модификация сообщений и возможность уведомления пользователей о результатах фильтрации.
Интеграция со сторонними приложениями для дополнительной обработки антивирусами и системами борьбы со спамом.
Возможность ведения полного архива передаваемых данных, включая файлы-вложения, в Microsoft SQL Server или Oracle Database.
Масштабируемость и модульная архитектура, позволяющая учесть самые жесткие требования к производительности.
Установка и управление через единую консоль для всех продуктов SECURIT.
Широкие возможности для разделения ролей администраторов.
Поддержка импорта статистической информации в различные конструкторы отчётов, например, Crystal Reports или FastReport.
3. Установка SecurIT Zgate
Важно! Если планируется использовать средства SecurIT Zgate по обработке почты внутри Microsoft Exchange 2007/2010, серверная часть SecurIT Zgate должна устанавливаться на тот же компьютер, где установлен Microsoft Exchange.
SecurIT Zgate для установки использует стандартный InstallShield. Примечательно то, что вся установка проста и сложностей не вызывает.
Рисунок 1: Начало установки SecurIT Zgate
Обратите внимание на рисунок 2, сервер журналов по умолчанию не устанавливается. Его можно развернуть на другом компьютере. Журнал событий можно хранить в XML-файле, использовать отдельный сервер журналов или использовать базу данных (MSSQL Server или Oracle Database).
Рисунок 2: Выбор модулей для установки SecurIT Zgate
Работа с SecurIT Zgate ведётся через консоль управления. Для связи с сервером SecurIT Zgate консоль управления использует протокол TCP/IP и порт 1246. Не забудьте открыть этот порт в фаерволле. В дальнейшем можно при необходимости изменить этот порт.
Если хотите использовать SecurIT Zgate в режимах сниффера, то необходимо установить драйвер WinPcap на компьютер с уже установленным сервером SecurIT Zgate. Драйвер WinPcap идёт в комплекте вместе с дистрибутивом SecurIT Zgate.
Консоль управления можно установить на том же компьютере, где уже установлен SecurIT Zgate, или на отдельный.
Итак, начинаем работу с Zgate SecurIT.
4. Начало работы и первоначальная настройка SecurIT Zgate
Рисунок 3: Общий вид консоли управления SecurIT Zgate
Для начала работы необходимо установить соединение с компьютером, на котором расположена серверная часть системы. Список компьютеров находится в левой части консоли управления в элементе дерева "Без приложений". В нашем примере мы устанавливали сервер SecurIT Zgate на компьютер VM-2003TEST, его мы и выберем.
После того, как мы выбрали нужный нам компьютер, и соединение с ним прошло успешно, он переносится из раздела "Без приложений" в узлы тех приложений, которые на нем установлены (в нашем случае это SecurIT Zgate) и открывается древовидный список настроек и возможностей (рисунок 4).
Рисунок 4: Соединение с компьютером прошло успешно - доступны новые возможности
Следует отметить, что список компьютеров в домене определяется либо через NetBIOS, либо загружается из Active Directory. Если у Вас большое количество компьютеров в сети, Вы можете воспользоваться опцией поиска.
Если же компьютер отсутствует в списке "Без приложений", соединение можно установить вручную. Для этого необходимо в консоли управления раскрыть меню "Соединение" и выбрать пункт "Создать соединение". В открывшемся окне вводите имя компьютера, IP-адрес, порт (по умолчанию 1246) и данные о пользователе (рисунок 5). По умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям системы.
Рисунок 5: Создание соединения вручную
Итак, давайте поочереди рассмотрим настройки сервера SecurIT Zgate.
Общие . В этом разделе (рисунок 6) задаются настройки внутреннего почтового сервера, порт внутреннего почтового сервера, режим работы сервера, каталог для временного хранения обрабатываемых сообщений и указывается максимальный объём этого каталога.
Рисунок 6: Общие настройки сервера для почтового сервера в SecurIT Zgate
Как видно из рисунка, режимы работы "Фильтрация почты внутри Microsoft Exchange 2007/2010" и "Журналирование почты внутри Microsoft Exchange 2007/2010" недоступны, поскольку у нас нет в данный момент установленного и настроенного Microsoft Exchange. Режим зеркалирования (анализ копии передаваемого трафика) доступен, потому что драйвер WinPcap установлен.
Зеркалирование сообщений, передаваемых при помощи шифрованного трафика SMTP (созданного с помощью протокола TLS командой STARTTTLS) и с помощью расширения XEXCH50 протокола Exchange ESMTP не поддерживается.
Приём . В этом разделе ведётся настройка приема почты для работы в различных режимах работы сервера (рисунок 7).
Рисунок 7: Настройка приема почты для работы в режиме прокси (журналирования)
При настройке фильтрации или журналирования в режиме прокси, задаются сетевой интерфейс и номер порта (по умолчанию 25) для приема почты снаружи системой SecurIT Zgate; сетевой интерфейс и номер порта, который используется для приема почты от внутреннего почтового сервера; каталог для входящих сообщений и его максимальный объем. В каталоге для входящих сообщений хранятся письма, поступившие в SecurIT Zgate, до их обработки или пересылки.
В этой же вкладке настраивается защита от атак типа "Отказ в обслуживании". Как видно из рисунка 7, защита от атак в обслуживании состоит из ряда условий, при несоблюдении которых сообщение не принимается. Эти условия можно включать или отключать в зависимости от надобности или ненадобности той или иной проверки.
Если же сервер SecurIT Zgate работает в режиме анализа зеркалированного трафика (включается на вкладке настроек Общие ), то вкладка Приём имеет следующий вид (рисунок 8).
Рисунок 8: Настройка приема почты в режиме анализа зеркалированного трафика
В настойках этого режима работы задаётся сетевой интерфейс, на который осуществляется приём зеркалированного трафика, IP-адрес зеркалируемого почтового сервера, порты, которые зеркалируемый сервер использует для получения и отправки почты, а также каталог для хранения входящих сообщений и его объём.
Важно! Для работы SecurIT Zgate в режиме зеркалирования необходимо, чтобы сетевой коммутатор, к которому подключен компьютер с SecurIT Zgate, поддерживал функцию зеркалирования. Зеркальное копирование портов (Port Mirroring) позволяет копировать трафик на контрольный порт, чтобы можно было его анализировать, не вмешиваясь в поток.
Но, наличие коммутатора с возможностью Port Mirroring не является обязательным в том случае, если SecurIT Zgate установлен на прокси-сервере организации или если SecurIT Zgate установлен на том компьютере, трафик с которого отслеживается.
При выборе на вкладке Общие режимов работы сервера Фильтрация почты внутри Microsoft Exchange 2007/2010 либо Журналирование почты внутри Microsoft Exchange 2007/2010, вкладки Прием и Передача заменяются вкладкойMicrosoft Exchange .
На вкладке Microsoft Exchange настраиваются каталога входящих и исходящих сообщений и их максимальный объем (каталоги предназначены для организации очереди сообщений, отправляемых на обработку или на почтовый сервер адресата). Также на этой вкладке можно выбрать опцию "Контролировать внутреннюю почту". В этом режиме будут проверяться и внутренние письма между клиентами контролируемого почтового сервера. Данная возможность является очень важной, поскольку становится возможным контролировать и внутреннюю переписку сотрудников.
В нижней части вкладки отображается информация об ошибках или предупреждениях.
Передача . Настройки передачи почты не зависят от режима работы сервера и одинаковы как для фильтрации и журналирования в режиме прокси, так и для зеркалирования (рисунок 9).
Рисунок 9: Настройки параметров передачи почты в SecurIT Zgate
Здесь настраиваются следующие параметры: максимальное количество одновременных исходящих соединений; схемы попыток соединения; список почтовых доменов, которые обслуживает внутренний почтовый сервер; сервер доставки, на который передается почта, отправляемая наружу (если сервер доставки не задан и домен адресата не внутренний, то почту доставляет сам SecurIT Zgate, соединяясь напрямую с почтовым сервером адресата); смарт-хост, на который пересылаются письма для адресатов из обслуживаемых доменов, но отсутствующие в списках лицензирования; каталог для исходящих сообщений и его максимальный объем. Также, на смарт-хост пересылаются письма, для которых SecurIT Zgate не смог определить адрес почтового сервера через DNS, или почтовый сервер сообщил, что получатель не существует.
Схема соединения с почтовым сервером адресата состоит из серий. Серия состоит из определенного количества попыток соединений с сервером получателя сообщения и интервала в минутах между попытками. Если не удалось установить соединение согласно схеме, то письмо удаляется, и в журнал выводится соответствующее сообщение. При этом отправителю посылается письмо с сообщением об ошибке.
Вкладка Zgate Web предназначена для предотвращения утечек информации через Интернет, например, в случае, когда сотрудники умышленно или случайно отправляют конфиденциальные данные через свою веб-почту, публикует на форуме или блоге, или отправляет по ICQ.
Работа Zgate Web обеспечивается зеркалированием портов на коммутаторе или перехватом сетевого трафика на компьютере, на котором установлен SecurIT Zgate. Для использования Zgate Web на компьютер, на котором устанавливается сервер SecurIT Zgate, должен быть установлен драйвер WinPcap.
В текущей версии Zgate Web осуществляет перехват трафика, передаваемого с использованием следующих протоколов и ресурсов:
протокол службы мгновенных сообщений AOL ICQ;
протокол передачи файлов FTP;
протокол передачи данных HTTP;
почтовые сервисы: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;
службы отправки сообщений SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;
форумы, реализованные на базе ПО PhpBb, IpBoard, Vbulletin.
Как видим, возможности контроля трафика впечатляют.
Для каждого сообщения модуль перехвата Zgate Web генерирует письмо, содержащее информацию о сообщении и набор дополнительных параметров, связанных с используемой службой. Это письмо помещается во входящие сообщения и обрабатывается системой SecurIT Zgate так же, как обычное письмо, пришедшее по протоколу SMTP.
Настройки Zgate Web отображены на рисунке 10.
Рисунок 10: Настройки Zgate Web
На этой вкладке можно включить или отключить Zgate Web, а также указать сетевой интерфейс, с которого осуществляется копирование трафика, просмотреть и отредактировать список диапазонов адресов анализируемых пакетов (есть возможность добавлять свои диапазоны), выбрать каталог для хранения временных файлов и его объём, а также выбрать необходимые для работы модули анализа.
Для того чтобы добавить свой диапазон адресов анализируемых пакетов нужно нажать на кнопку "+", которая находится справа от списка анализируемых пакетов, откроется такое окно (рисунок 11).
Рисунок 11: Добавление диапазона адресов анализируемых пакетов вSecurIT Zgate
После указания нужных нам адресов и портов, а также выбора действия (анализировать или исключить из анализа), нажимаем кнопку ОК. Новый диапазон готов к работе.
Архив . Архив предназначен для централизованного хранения копий писем, их просмотра и пересылки. Кроме того, в архиве хранятся письма, помещенные в карантин. Архив в виде базы данных может быть организован средствами Oracle или Microsoft SQL Server (рисунок 12). Часть настроек, относящихся к параметрам настройки архива, находится на вкладке Дополнительно (пункт Настройки в меню Сервис).
Рисунок 12: Выбор базы данных и настройка параметров архива в SecurIT Zgate
Для того чтобы использовать архив, нам необходимо установить и настроить MSSQL Express или Oracle (указано в минимальных системных требованиях).
После того как мы указали необходимые настройки и пользователя для доступа к базе данных, можно проверить соединение с самой базой данных. Для этого предназначена кнопка "Проверить соединение" (рисунок 13). Также можно указать возможность сжатия данных. Выберете "золотую середину" между скоростью работы и объёмом данных.
Рисунок 13: Всё готово к работе с базой данных - соединение установлено
Лицензия . Предназначение вкладки ясно из самого названия. Здесь отображается количество лицензированных адресов электронной почты, срок действия лицензии, список лицензированных модулей SecurIT Zgate - Контроль электронной почты (Zgate Mail) и Контроль Web-трафика (Zgate Web). Лицензированные модули отмечены галочкой зеленого цвета (рисунок 14).
Рисунок 14: Просмотр и управление лицензиями в SecurIT Zgate
Статистика . С этой вкладкой тоже всё понятно. Здесь отображается статистика работы сервера SecurIT Zgate (рисунок 15).
Рисунок 15: Статистика работы сервера SecurIT Zgate
Дополнительно . На этой вкладке отображены дополнительные настройки системы (рисунок 16). Подробное описание каждого из параметров находится в документации к продукту.
Рисунок 16: Настройки дополнительных параметров работы SecurIT Zgate
Доступ . Система SecurIT Zgate предоставляет возможность разграничивать права доступа по управлению и работе с архивом сообщений между несколькими пользователями. На этой вкладке осуществляется настройка доступа к системе (рисунок 17).
Рисунок 17: Управление доступом к системе SecurIT Zgate
Как мы уже говорили, по умолчанию права доступа для конфигурирования SecurIT Zgate настроены таким образом, что пользователи, входящие в группу локальных администраторов, имеют полный доступ ко всем функциям.
Для добавления пользователя либо группы пользователей в список доступа нажмите кнопку "+" и выберите нужную учетную запись либо группу. Затем, в нижней части окна укажите права, которыми необходимо наделить указанную учетную запись. Значок "V" означает, что пользователь получает право на эту операцию, "Х" значит, что пользователю запрещается доступ к этой функции. Права пользователя и группы, в которую он входят, суммируются аналогично принятой системе контроля доступа в Windows.
В качестве примера мы выбрали пользователя Guest и дали ему право на просмотр параметров и статистики (рисунок 18).
Рисунок 18: Выбор пользователя и назначение ему соответствующих прав
Журналирование . Система SecurIT Zgate позволяет реализовывать дополнительную обработку выполняемых ей операций посредством механизма обработки событий. Одним из вариантов такой обработки является журналирование работы SecurIT Zgate в системный журнал Windows, в файл или на Microsoft SQL Server.
По умолчанию журналирование событий отключено (рисунок 19). Вы можете самостоятельно включить журналирование того или иного события и выбрать как именно будет осуществляться ведение журнала событий.
Рисунок 19: Список событий, за которыми будет вестись наблюдение вSecurIT Zgate
Включение журналирования для какого-либо события осуществляется очень просто. Для этого необходимо выбрать нужное нам событие и щёлкнуть кнопку "+" справа от списка событий, после чего выбрать нужный вариант журналирования. Давайте, в качестве примера, выберем вариант "журналирование" (рисунок 20).
Рисунок 20: Настройка параметров журналирования события в файл или в системный журнал
Видно, что в этом случае можно выбрать вариант журналирования в системный журнал, причём можно выбрать любой компьютер локальной сети для хранения этого журнала или же выбрать вариант журналирования в файл. Причём доступны три варианта для формата файла: текстовый ANSI, текстовый Unicode и XML. Отличие записи журнала в формат XML в отличие от записи в текстовый файл заключается в том, что файл журнала в формате XML можно анализировать средствами системы SecurIT Zgate. Для текстовых файлов такая возможность исключена.
Также можно выбрать место расположения файла журнала и права пользователя, от имени которого будет вестись журналирование.
Рисунок 21: Выбор событий для журналирования в SecurIT Zgate
После выбора необходимых событий остаётся только нажать кнопку "Готово". Результат виден на рисунке 22. Возле журналируемых событий появились соответствующие значки с указанием параметров журналирования и места, куда журнал будет записываться.
Рисунок 22: Видно три события, которые журналируются в XML-файл
Также можно вести журналирование на сервер журналов и на Microsoft SQL Server. Прижурналирование на SQL-сервер, запись информации о событии производится модулем обработки в базу данных, организованную средствами Microsoft SQL Server.
При выборе журналирования на Microsoft SQL Server необходимо будет выбрать сам сервер с MSSQL, указать параметры пользователя и проверить соединение с базой данных. Если всё будет верно, то при проверке соединения будет предложено создать новую базу данных, имя указано системой SecurIT Zgate (рисунок 23).
Рисунок 23: Выбор сервера базы данных и указание параметров соединения с ним
Рисунок 24: Подтверждение создания внутренней структуры базы данных для хранения журнала
Рисунок 25: Указываем события, которые будем журналировать
Рисунок 26: Видим события, которые будут журналироваться на указанный SQL сервер
Скрипты . Еще одним видом дополнительной обработки операций, выполняемых SecurIT Zgate, может быть выполнение сценариев (скриптов) и запуск исполняемых файлов.
При происхождении выбранного события будет запущено указанное приложение или выполнен казанный сценарий. Список событий аналогичен списку событий для журналирования.
Данная опция может быть использована, к примеру, для отправки СМС о событии или блокировки рабочей станции до прибытия офицера безопасности.
Рисунок 27: Выбор исполняемого файла
В этом же окне можно указать путь к файлу сценария, указать пользователя, от имени которого будет исполняться файл или сценарий. Следует учесть, что по умолчанию приложения запускаются из-под учетной записи SYSTEM.
Рисунок 28: Список событий, при происхождении которых будет запущено приложение
На этом мы заканчиваем этап предварительной настройки системы SecurIT и переходим к настройке подсистем фильтрации.
Настройка анализа содержимого и фильтрации
Теперь рассмотрим возможности настройки системы анализа содержимого.
Словари . Под словарями в Zgate понимаются группы слов, объединенные по какому-либо признаку (категории). Как правило, наличие в письме слов из конкретного словаря с большой долей вероятности позволяет отнести письмо к категории, характеризуемой этим словарем. Словари в системе Zgate используются при фильтрации в методах "Анализ по словарю" и "Обработка методом Байеса".
Рисунок 29: Окно управления словарями в SecurIT Zgate
Так как SecurIT Zgate использует одни и те же словари, как при анализе почтового сообщения, так и при его обработке методом Байеса, то при создании словарей, слову всегда приписывается два параметра: вес в категории и вес в антикатегории. По умолчанию оба параметра имеют значение 50.
Для добавления словаря нужно нажать в окне управления словарями кнопку "+", а для того, чтобы добавить слова в словарь, нужно выделить необходимый словарь и нажать кнопку с "карандашом" (рисунок 30, 31).
Рисунок 30: Добавление словаря вSecurIT Zgate
Рисунок 31: Добавление слова в словарь в SecurIT Zgate
При вводе слов можно использовать спецсимволы:
любое количество любых букв или цифр;
Один любой символ (буква или цифра);
^ - один символ-разделитель (пробел, табуляция, перевод строки);
Один символ-разделитель или знак пунктуации;
# - один символ-цифра;
@ - один символ-буква.
Корректными символами для словаря считаются символы (,), <, >, {, }, - , _, спецсимволы и спецсимволы в качестве простых символов (любой спецсимвол можно сделать обычным символом путем добавления обратного слеша). Например, тест* означает, что в словаре находится слово тест*. А тест* означает, что в словаре находятся все слова, начинающиеся на тест - тест, тесты, тестируем и т.д.
Кроме создания и заполнения словаря вручную, можно создать словарь, импортировав слова из заранее подготовленного файла, а также есть возможность автоматической генерации словаря.
При импорте слов из файла каждому импортированному слову будет приписан вес в категории и антикатегории по умолчанию. Некорректные для словаря символы по умолчанию при импорте заменяются разделителем (пробелом).
Автоматическая генерация словаря из файла возможна с использованием специально подготовленного текстового файла с соответствующим набором слов, а также реальных документов, которые относятся, или не относятся к той или иной категории.
Кроме лингвистических методов анализа можно использовать популярный для такого класса продуктов метод "цифровых отпечатков" - это метод поиска копий контролируемых документов или частей документов в почтовом сообщении. При этом искомый текст может быть видоизменен или в письме может присутствовать только какая-то его часть.
Метод отпечатков заключается в том, что для всех конфиденциальных документов создаются их "цифровые отпечатки". Полученные отпечатки хранятся в обновляемой (в автоматическом режиме) и пополняемой базе данных. В случае необходимости проверки любого документа для него вычисляется "цифровой отпечаток", затем производится поиск похожего отпечатка среди отпечатков конфиденциальных документов, хранящихся в базе данных. Если отпечаток проверяемого файла похож на отпечаток, хранящийся в базе, то выдается соответствующее предупреждение (оповещение).
Для того чтобы начать работы с базой отпечатков, необходимо зайти в меню "Сервис" и выполнить команду "Отпечатки".
Рисунок 32: Управление базой цифровых отпечатков в SecurIT Zgate
Чтобы добавить новую категорию документов для снятия отпечатков, необходимо нажать
кнопку "+". Для редактирования нажать кнопку "карандаш" и кнопку "Х" - для удаления категории.
Рисунок 33: Создание категориидокументов в SecurIT Zgate
Также при создании категории указывается время обновления базы отпечатков, задаются параметры пользователя, от имени которого будет осуществляться доступ к файлам и добавляются файлы, которые содержат общеупотребительные слова, исключаемые из проверки.
Для создания отпечатков можно использовать файлы следующих форматов:. txt,. doc,. docx,. xls,. xlsx,. ppt,. pptx,. pdf,.html,. rtf,. odt,. ods,. odp,. dbf,. wps,. xml* (формат. xml анализируется как обычный текстовый документ).
Созданную категорию можно подвергнуть тестовой проверке. Тестовая проверка файла методом отпечатков предназначена для определения правильности настроек цифровых отпечатков и корректности описания категорий. В ходе проверки определяется, является ли цифровой отпечаток проверяемого файла (документа) похожим на цифровой отпечаток документа, хранящегося в созданной ранее базе определенной категории. Поиск похожих документов выполняется с учетом того, что часть или все русские символы в проверяемом документе могли быть заменены на сходные по написанию английские символы, и наоборот.
Для того чтобы провести проверку, необходимо нажать кнопку "Проверить" снизу в окне управления базой отпечатков и выбрать проверяемый файл, указав процент вероятности сходства.
Столь развитая система категоризации позволяет создавать отдельные категории для различного содержимого сообщений. В свою очередь это даёт возможность грамотно категоризировать уведомления об инцидентах в журнале и позволит офицеру безопасности выставить приоритеты и оперативно отреагировать на события.
Рисунок 35: Задание параметров проверки трафика в SecurIT Zgate
Рисунок 36: Результат проверки
Защита от инсайдеров при помощи связки из Zgate и Zlock
На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая "флешки", CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. ?д.). А поэтому, когда компания "созревает" на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.
Zlock: защита от утечек через съемные накопители
Программа Zlock появилась на рынке уже достаточно давно. И мы уже описывали ее основные возможности. В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.
В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.
Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.
Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.
Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.
Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. ?п.
Zgate: защита от утечек через интернет
Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. ?п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера MicrosoftExchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP - и IM-трафика).
Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.
Консоль управления
Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и "внешним миром" (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).
Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).
Выбор режима работы Zgate
Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP - и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и "аську", публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об "аське". Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно "аськи" в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.
Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.
Последние исследования в области информационной безопасности, например ежегодное CSI/FBI ComputerCrimeAndSecuritySurvey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них -- намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.
В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.
Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно -- банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.
Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО -- гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.
Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.
Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с ActiveDirectory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.
"Консультант", 2011, N 9
"Кто владеет информацией, тот владеет миром" - этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.
В этих условиях особое значение приобретает информационная безопасность организации.
Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.
Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.
Как показывает практика, основным каналом утечки информации являются инсайдеры.
Враг в тылу
Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.
Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, - конфиденциальность, целостность, доступность, - это определение можно расширить.
Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.
Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.
Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.
Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.
В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.
Модель угроз
Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.
Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.
Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.
Внутренний "хакер"
Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.
Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.
Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.
Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.
Безответственный и низкоквалифицированный сотрудник
Может обладать различными навыками и работать в любом подразделении предприятия.
Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании "методом проб и ошибок", ненамеренно уничтожать и искажать информацию.
Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.
Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.
Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.
Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).
Психологически неустойчивый человек
Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.
В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.
Степень опасности средняя, однако этот тип нарушителя встречается не так часто.
Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры - выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.
Оскорбленный, обиженный сотрудник
Самая широкая группа потенциальных нарушителей режима информационной безопасности.
Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.
Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.
Потенциально такой тип инсайдеров представляет очень высокую опасность - возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.
Для выявления деятельности нужны как административные, так и технические меры.
Нечистый на руку сотрудник
Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).
В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.
Опасность средняя, но такой тип встречается нередко.
Для выявления нужны в первую очередь административные меры.
Представитель конкурента
Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.
Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.
Для выявления деятельности нужны и административные, и технические мероприятия.
Что похищаем?
Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.
Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах - самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.
При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?
Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.
Два подхода
К сожалению, не существует готового ответа на вопрос: "Что защищать в первую очередь".
К решению этой задачи можно подойти с двух сторон.
Риск - это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.
Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.
Механизмы передачи
Механизмы передачи можно классифицировать следующим образом:
- устная передача (личный разговор);
- технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
- переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).
Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.
Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.
Например , системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).
Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.
При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.
Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.
Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.
Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.
Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.
Минимизация рисков
Проверка
- Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
- Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров - системные администраторы и программисты.
- При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.
Право доступа
- Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
- Права доступа к ресурсам должны выделяться по принципу "минимальной достаточности". Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
- Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.
Стандарт общения
- Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям "руководитель - подчиненный".
У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.
Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.
Конфиденциальность
Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.
Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.
Контроль средств
Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.
Например , использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.
По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.
Внутренний распорядок
На предприятии должны соблюдаться правила внутреннего распорядка.
Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.
Также должен быть обеспечен контроль перемещения материальных ценностей.
Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.
Управляющий партнер
группы компаний Hosting Community
Чем больших успехов достигает человечество в борьбе с внешними киберугрозами, тем решительнее на первый план выходят угрозы внутренние, с которыми по статистике связано более 70% процентов всех инцидентов безопасности. Данная статья обобщает опыт российской компании – интегратора в области создания комплексных систем предотвращения утечки конфиденциальной информации. Подобные комплексные системыявляются жизненно важными для функционирования многих современных предприятий и организаций. Компании применяют целый арсенал способов контроля за работниками: просматривают электронную переписку, прослушивают телефонные разговоры, устанавливают камеры наблюдения, следят за посещаемостью web-сайтов в Интернете. Законны ли подобные действия? В настоящее время конфиденциальная информация и персональные данные обрабатываются в АС практически любого предприятия. Естественно, что подобная информация нуждается в защите. Но вот как ее защищать, чем отличаются средства защиты домашнего компьютера и компьютеров в корпоративных приложениях, какие задачи защиты информации и каким образом должны решаться в комплексе для обеспечения эффективной защиты конфиденциальной информации? Никто не застрахован от саботажа IT-инфраструктуры. Любой сотрудник может даже по самому пустяковому поводу обидеться на руководство или коллег, а затем совершить настоящую диверсию: уничтожить чрезвычайно важную для компании информацию, разослать непристойные письма клиентам фирмы и т. п. Очевидно, что ущерб в этом случае может варьироваться от испорченного рабочего климата до прямых многомиллионных потерь. Озабоченность бизнеса проблемами внутренней IT-безопасности и защиты своих информационных активов постоянно подтверждается исследованиями ведущих организаций. Согласно опубликованному в январе 2006 года отчету 2005 FBI Computer Crime Survey, 44% американских компаний пострадали в течение года в результате серьезных инцидентов, происходивших во внутренней IT-безопасности, при этом инсайдеры крали конфиденциальные документы работодателя, пытались исказить информацию с целью финансового мошенничества, выносили из офиса оборудование и т. д. В настоящее время на рынке систем предназначенных для защиты конфиденциальной информации от утечек (DLP), существует несколько основных базовых технологий обнаружения, среди которых лингвистический и контекстный анализ, а также цифровые отпечатки и метки. Многие работники коммерческих организаций знакомы с таким проявлением корпоративного контроля, как прослушивание служебных телефонов. Обычно этим занимаются сотрудники служб безопасности крупных и средних организаций по поручению руководства, причем прослушивание может носить как гласный, так и негласный характер. Как определить, кто из сотрудников организации и поступающих на работу наносит или может нанести ущерб её интересам? Как выявить потенциальных алкоголиков, людей, склонных к воровству и тех, кто никогда не будут продуктивно работать? Ведь все они могут стать сотрудниками Вашей компании. Грамотно разобраться в этом - задача не из легких. О роли человеческого фактора в обеспечении безопасности организации, некоторых потенциальных источниках кадрового риска и мерах по защите организации от них рассказывает эта статья. Защита корпоративной информации от внутренних угроз в последние годы переросла из модного тренда для избранных компаний во вполне самостоятельное направление информационной безопасности. Топ-менеджеры постепенно начинают пересматривать своё отношение к финансированию и рассматривать защиту данных от внутренних угроз не только как источник расходов, но и как конкурентное преимущество компании. Во многих организациях сформированы специальные группы и отделы для защиты коммерческой тайны, персональных данных и другой конфиденциальной информации. Ценность информации как одной из составляющих любого бизнеса трудно переоценить: по мнению специалистов, потеря лишь четверти информации, относимой к категории коммерческой тайны организации, в течение нескольких месяцев приводит к банкротству половины этих самых организаций, допустивших утечку подобных сведений. В сфере информационных технологий, как ни в какой другой области, успех компании нередко целиком основывается на удачном ноу-хау, технологическом ходе, маркетинговой стратегии или даже просто оригинальной идее. Причем ценнейшая информация об этих решениях, ходах и идеях существует в головах сотрудников компании. Нельзя не согласиться с тем, что хранилище это далеко не самое надежное с точки зрения защиты конфиденциальной информации от неправомерного или нежелательного доступа третьих лиц, либо от недобросовестного использования ее самим работником, например для создания собственной конкурентной разработки. Ниже пойдет речь о том, как работодатель может проконтролировать распространение коммерчески важной информации внутри компании и за ее пределами, как при этом могут быть соблюдены права работника и какие компенсации он должен получить за известное ограничение этих прав. А также как отвечает работник за разглашение секретных сведений своего работодателя. «Да минует меня чаша сия!» Отгоняя от себя самые неприятные мысли, это сокровенное заклинание мы произносим в самые разные моменты нашей жизни. Будь то поход на кишащий карманниками вещевой рынок или позднее возвращение домой. Ощущения безопасности не возникает у нас, порой, даже в собственной квартире. Милицейские сводки напоминают хронику боевых действий. По статистике, каждые 3,5 минуты в России происходит квартирная кража. Обнаружить злоумышленников, как правило, не удаётся. Но можно ли подобную неприятность предотвратить? Специалисты компании «Промет», ведущего поставщика и производителя отечественных сейфов и металлической мебели, на этот вопрос отвечают вполне определённо: надёжной защитой ваших сбережений станет сейф. В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения. Сейчас всё больше организаций используют решения класса DLP (Data Loss Prevention) для защиты корпоративной информации от утечек. Каждая компания перед внедрением DLP оценивает риски и строит модель угроз, в которой прописываются классы защищаемой информации, сценарии использования данных и связанные с ними угрозы. В большинстве случаев потенциальными каналами утечки данных признаются внешние накопители, принтеры, корпоративная почта и различные веб-сервисы, и мало кто задумывается о защите данных, записываемых на магнитные ленты или другие резервные носители, которые, в итоге, хранятся и транспортируются в незащищенном виде. Изучая информационную безопасность предприятий и эффективность мер её обеспечения, реализуемых в настоящее время в корпоративных информационных системах (КИС) банков, поневоле обращает на себя внимание опрос, проведенный в 2011 году фирмой Sailpoint Technologies, в аспекте, несколько отстоящем от определений «защита компьютера от несанкционированного доступа» и «несанкционированный доступ к компьютерной информации» (НСД) – аналитики оценивали лояльность сотрудников компаний корпоративной этике в части работы с информацией ограниченного использования. Сегодня угроза инсайдерства является актуальной проблемой для служб безопасности компании. Организации предоставляют своим временным и постояным сотрудникам доступ к критически-важной информации, что представляет серьезную угрозу безопасности организации. Персоналу компании проще совершить кражу или злоупотребить имеющейся информацией чем кому-либо, так как они имеют прямой доступ к информационным активам организации. По данным исследования компании Trustwave, 80% инцидентов в сфере информационной безопасности происходят в следствии использования ненадежных паролей. Инсайдеры стали основной причиной недавних инцидентов в министерстве здравоохранения штатов Юта и Южная Каролина в США. Использование парольной аутентификации в ИС предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, вероятно, само существование предприятия. Однажды практически все организации начинают понимать, что нуждаются в надежной защите корпоративной информации. Один из самых эффективных способов защитить свои данные – это установить в компании систему DLP. В большинстве случаев организация мотивирует свое решение тем, что данные системы надежно защищают конфиденциальную информацию и позволяют соответствовать требованиям органов-регуляторов. Сколько копий было сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Банковская сфера, находясь на передовой современных технологий, всегда одной из первой апробировала новинки мира IT и сферы информационной безопасности в частности. Двухфакторная аутентификация, биометрические системы и многое другое. Всё это нашло отклик там, где практичные люди предпочитают держать свои сбережения. Но так уж устроен наш славянский менталитет, что «пока гром не грянет». А по сему, давайте развеем основные мифы, которые до сих пор нет-нет да и встречаются в банковском секторе. За последние пару лет операторы «большой тройки» уже дважды крупно оскандалились на SMS-сообщениях. В первый раз «помог» Яндекс и в принципе утечку можно относить к разряду утечек «по неосторожности». Но на этот раз… Федеральная служба безопасности сообщила о том, что была обнаружена группа злоумышленников, получивших от сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных московских чиновников, после чего «Вымпелком» подтвердил факт утечки информации, а МТС, напротив, опроверг. Оставим поиск виновных на долю следствия и обратим внимание на материалы дела: неустановленные сотрудники технических центров мобильных операторов передавали конфиденциальную информацию третьим лицам. Говоря языком «безопасников», имело место действия инсайдеров. Предотвращение утечек информации, несанкционированного доступа, является одной из важнейших задач службы информационной безопасности любой организации. Если есть конфиденциальная информация (государственная, коммерческая тайна, персональные данные), то существует и проблема ее охраны от хищения, удаления, изменения, просмотра. С ростом компании увеличивается опасность хищения информации, в том числе сотрудниками, возрастают финансовые и репутационные риски, это приводит к ужесточению политик и систем контроля. В наше время информация представляет собой огромную ценность. Обладание ею предоставляет колоссальные возможности в бизнесе, в экономике, в политике и других сферах. Недаром говорят, кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Существует множество различных форматов файлов, в которых хранится текстовая информация, среди которых TXT, RTF, DOC, DOCX, HTML, PDF и мн. др. Однако ни одна компания как в нашей стране, так и во всем мире не предлагала защиту XML-документации. Рассмотрим подробно, что такое XML-файлы, почему их нужно защищать, и как была впервые создана защита для такого формата.
Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.
В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB- накопителей. Именно их массовое распространение и привело к расцвету инсайдсрства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.
Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флешки, сотового телефона, трЗ-плссра, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто нс может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флеш- диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.
Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.
Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.
Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во- первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что нс только неудобно, но и увеличивает риски возникновения ошибок.
