Поделиться
Как обуздать инсайдеров? Планы разработчиков
Проблема противостояния инсайдерам продолжает держать в напряжении практически любой бизнес. Справиться с "кражами" позволит комплексная система, которая обязана защищать информацию на всех этапах: при перемещении, использовании и хранении. Современные решения в этой области обсуждались в рамках круглого стола "Защита от инсайдеров", организованного CNews Conference."Инсайдер" предназначен для контроля соблюдения политики безопасности информационной системы путем выявления несанкционированных действий легитимных пользователей (намеренных или ошибочных), способных нанести ущерб организации. В процессе функционирования решаются задачи не только выявления нарушений политики безопасности, но и контроля производительности ПК, эффективности использования пользователями технических ресурсов компьютеров, на которых они работают. В связи с тем, что большинство задач обрабатывается на ПК, существенным требованием является контроль за неизменностью конфигураций вычислительных систем.
Кроме всех перечисленных достоинств, по словам представителей "Праймтек", их заказчиков привлекает скрытность механизмов контроля ресурсов и наличие механизмов самозащиты системы.
Что представляет собой комплексная система IDLP?
"Комплексная система защиты от утечек обязана защищать информацию на всех этапах ее жизненного цикла: при ее перемещении, использовании и хранении" - говорит Алексей Доля, директор по развитию бизнеса Perimetrix.
Структура комплексной системы защиты от утечек
Увеличить
Perimetrix, 2008
Разработки Perimetrix базируются на технологии Secret Documents Lifecycle - это уже третье поколение в эволюции подходов для защиты от утечки. Задача решается "от и до": с момента создания документа и до его официального уничтожения. "Мы не изобретали колеса. Мы обратили внимание на то, как с секретными документами работали режимные организации еще до того, как практически все документы стали электронными" - говорит г-н Доля.
Вениамин Левцов, директор по развитию направления "информационная безопасность" LETA IT-company, сконцентрировался на технологиях, которые помогают "поймать" документы, которые не должны покинуть компанию.
По его словам, активно используются "контентный анализ", специальные метки и технология "цифрового отпечатка". В первом случае создается база ключевых слов, на основе которой производится сканирование всех документов. Однако подобные системы анализа требуют длительного внедрения и тонкой настройки с целью минимизации ложных срабатываний.
Во втором случае при создании документа ему присваивается некий гриф секретности, который сопровождает этот файл до момента уничтожения. Метод гораздо эффективнее первого, но требует значительных трудозатрат при наличии у бизнеса большого документооборота.
Третий использует снятие с файла некого "цифрового отпечатка", с помощью которого даже при изменении исходного файла есть возможность его идентифицировать. Но, подготовка таких отпечатков требует в среднем 5-10%, а иногда до 20% от объема защищаемых данных. Кроме того, пока есть сложности с графическими файлами.
В итоге Вениамин Левцов заметил: "Звучит банально, но …типового решения для всех нет. Необходимо определить ключевые потребности конкретного бизнеса и вырабатывать именно для него подход к решению именно его задач".
Внедрение "по частям"
Но если комплексную систему внедрить проблематично или такая задача не стоит, есть возможности "закрыть" отдельные направления утечек.
Алексей Раевский, генеральный директор SecurIT, в своей презентации подробно остановился на таком элементе внутренней безопасности, как "защита при хранении". Компания, которую он возглавляет, предлагает на рынке такие продукты, как Zserver для защиты информации на жестких диска, дисковых массивах и хранилищах SAN и Zbackup, обеспечивающий недоступность данных с украденных магнитных лент и CD/DVD.
Оба этих продукта интегрированы в единое решение Zserver Suite 5.0, в котором используются стойкие алгоритмы шифрования с длиной ключа от 128 бит, а также технологии хранение ключей в памяти смарт-карт или USB-ключей.
Для борьбы с утечками через USB-порты и другие мобильные устройства предлагается продукт Zlock 2.0. Это ПО и его более ранние версии достаточно хорошо известны на рынке. Последним крупным проектом стал контракт на поставку 500 лицензий для нужд "Южного таможенного управления".
Механике "мобильных" утечек был посвящен доклад Алексея Лесных, представляющего компанию "СмартЛайн Инк". По его словам, обычно сначала происходит неавторизованная передача данных с корпоративного сервера или ПК на мобильное устройство, а затем бесконтрольный экспорт данных с устройства наружу.
В связи с этим должны существовать и два уровня защиты: во-первых, это - фильтрация данных при их передаче на мобильные устройства во всех коммуникационных каналах с помощью IDLP-компонентов на серверах, ПК и выделенных аппаратных комплексах.
А, во-вторых, средства защиты информации, резидентно работающие и предотвращающие утечку данных с мобильных устройств. При этом резидентная защита в виде криптографии – единственный, по мнению представителя "СмартЛайн Ине", действительно эффективный механизм защиты от утечек данных с мобильных устройств.
Однако криптография – не панацея, от всего она не защитит. Нужен комплексный подход. Свою первоочередную задачу компания видит в разработке IDLP решения для каналов локальной синхронизации, при этом известное решение DeviceLock должно стать базисной платформой контроля Local Sync.
Об аудите доступа к базам данных и его роли в обеспечении безопасности баз данных, а так же методах реализации рассказал собравшимся Владимир Дудченко, представляющий компанию SoftBCom.
Одной из главных задач проведения такого аудита была названа необходимость обеспечения регистрации подозрительной активности пользователей. Для практической реализации компанией предлагается решение от Embarcadero DSAuditor. Это программно–аппаратное устройство использует метод перехвата SQL-пакетов на сетевом уровне, без влияния на сервер баз данных. Перехват запросов привилегированных пользователей, осуществляющих несетевой доступ, выполняется с помощью специальных коллекторов на сервере БД. Соответствующая информация также направляется на DSAuditor.
Перехваченные SQL-запросы, во-первых, подвергаются онлайновому анализу с графическим выводом результатов и автоматическими нотификациями. Во-вторых, они накапливаются в репозитории в реляционном формате для выдачи статистических отчетов и выполнения ad hoc запросов.
Как избежать ошибок при внедрении IDLP?
Рустэм Хайретдинов, заместитель генерального директора InfoWatch, посвятил свою презентацию тому, как избежать ошибок при внедрении решений класса IDLP.
Было выделено пять групп типичных ошибок, связанных с не пониманием специфики внутренней ИБ. Чаще всего компании неправильно определяют объект защиты – защитить все невозможно, требуется четкая классификация данных и определение сроков ее жизненного цикла. Затем, по мнению InfoWatch, заказчики путают причинно–следственную связь: необходимо ориентироваться на бизнес-задачу, а не на "брендованный" продукт. В-третьих, не один подобный проект сгубила самонадеянность и переоценка собственных ресурсов заказчиков. А иногда происходит неоправданное давление на бизнес – это четвертая причина. И, наконец, неправильно расставлены акценты и не выработаны критерии успешности проекта. Только при наличии ответов на все эти пять вопросов IDLP-проект может стать удачным.
Дмитрий Антимонов / CNews
Презентации участников круглого стола
Поделиться
Короткая ссылка
