Борьба с инсайдерами: подбираем амуницию
Информационная безопасность, как известно, имеет дело с двумя категориями угроз: внешними и внутренними. Именно к последнему типу относятся инсайдеры. Их деятельность в большинстве случаев неумышленна, и именно поэтому ее трудно предугадать и обезвредить. Для этого надо задействовать весь арсенал доступных средств ИБ.Чтобы выявлять и останавливать инсайдеров-шпионов, необходимо действовать против них их же испытанным оружием, которым пользуются все спецслужбы: вести за ними постоянное наблюдения и подробно регистрировать все их действия (жучок в кармане пиджака, слежка, видео-наблюдение, скрытая камера и другие формы наблюдения). На рабочих местах и ноутбуках должно быть установлено специализированное шпионское программное обеспечение, перехватывающее не только все формы электронных взаимодействий, но и клавиатурный набор, а также образы экрана. Это программное обеспечение должно обладать возможностями идентификации подозрительной активности пользователя (в том числе такой, которая может предшествовать "сливу" сведений) и предоставлять аналитику набор отчетов, содержащих различные срезы информации, касающейся действий над конфиденциальными базами и файлами. Скрытая слежка и непрерывный анализ всех действий потенциального злоумышленника является наиболее действенным и бескомпромиссным способом его обнаружения и нейтрализации. Рано или поздно шпион себя проявит и вот тут надо документировать улики и юридически грамотно провести расследование.
Одним из средств контроля доступа к информации является использование USB-ключей
Поскольку затраты на безопасность должны быть адекватны величине риска, в корпоративной среде полный комплекс оперативно-розыскных мероприятий конечно редко будет применяться, а вот использование специализированного шпионского ПО себя вполне оправдывает, хотя, также как и все остальное, не является панацеей.
Специализированное шпионское программное обеспечение хостового уровня использует программные агенты, скрытно устанавливаемые на компьютерах пользователей, за которыми ведется наблюдение, и осуществляющие подробное протоколирование всех их действий. Это ПО поставляется на рынок такими компаниями, как Verdasys, Orchestria, Onigma, SpectorSoft и др. Программные агенты таких систем могут также блокировать определенные действия пользователей, например, передачу файлов, запись определенной информации на внешние носители и доступ к определенным категориям веб-сайтов.
К примеру, программный продукт Spector 360, разработанный американской компанией SpectorSoft, непрерывно протоколирует все действия пользователей и связанную с ними информацию, включая сообщения электронной почты, службы мгновенных сообщений, посещаемые веб сайты, вводимые с клавиатуры символы, передаваемые и распечатываемые файлы, используемые поисковые фразы и образы экрана. Агенты Spector 360 могут функционировать в стелс-режиме незаметно для пользователя и антивирусных программ. При этом они не отображаются диспетчером задач, их сложно обнаружить стандартными средствами операционной системы и деинсталлировать.
Наибольшего эффекта позволяют добиться комбинированные ILD&P системы, сочетающие в себе возможности как сетевых, так и хостовых систем. В частности, по пути разработки комбинированных систем пошла российская компания InfoWatch, разрабатывающая комплекс программных средств под названием InfoWatch Enterprise Solution, в состав которого входят как средства сетевого уровня (Web Monitor), так и средства хостового уровня (Net Monitor), объединенные общим интерфейсом управления и использующие общее программное ядро анализа контента.
Этическая сторона вопроса
Противодействие внутренней угрозе требует от организации применения целого комплекса мер. Организационные и юридические меры, направленные на предотвращение, реагирование и восстановление после инцидента и способствующие повышению лояльности сотрудников, как правило, воспринимаются позитивно, создавая у людей положительную мотивацию. Меры же технического характера, направленные на обнаружение нарушений безопасности путем мониторинга действий пользователей, воспринимаются крайне негативно и не способствуют развитию доверительных отношений между руководством организации и ее сотрудниками. Кому приятно сознавать, что за ним постоянно ведется скрытое наблюдение, и все его действия протоколируются?
Мониторинг действий пользователей при помощи особого класса шпионского программного обеспечения действительно является мощным оружием, особенно в борьбе с инсайдерами, тунеядцами и недобросовестными сотрудниками. Однако это оружие требует крайне осторожного обращения.
Политика безопасности организации должна четко определять, что вся информация, хранимая, обрабатываемая и передаваемая по каналам связи в корпоративной сети является собственностью этой организации. Должны быть категорически и открыто запрещены несанкционированный доступ, раскрытие, дублирование, изменение, удаление и ненадлежащее использование сведений. Служебная информация должна использоваться только в производственных целях. Границы допустимого использования этих данных должно определять руководство организации.
Пользователи информационных систем должны быть предупреждены, что все программно-аппаратное обеспечение находится под наблюдением, и в случае необходимости вся последовательность действий может быть восстановлена. Это является совершенно нормальным. Нас же не смущает наличие видеокамер при входе в помещения банка, на охраняемый объект или даже в столичное метро, потому что мы прекрасно понимаем, для чего это делается. Такое же понимание, наряду с крайне бережным отношением к коммерческой тайне, надо формировать и у сотрудников. Им нет никакой необходимости (да и возможности) знать, каким образом и с какой степенью подробности осуществляется мониторинг их действий. Достаточно осознавать всю серьезность угрозы утечки и то, что организация обязана защищать свою коммерческую тайну для выживания в конкурентной борьбе.
В то же время службе безопасности, осуществляющей мониторинг действий пользователей, должно быть запрещено изучение личной и служебной переписки сотрудников в отсутствии признаков угрозы и вне рамок проведения служебных расследований. Для подробного рассмотрения потоков информации в автоматическом режиме должны использоваться специализированные анализаторы контента, использующие ключевые слова и другие способы идентификации конфиденциальных документов.
Выслеживание и привлечение к ответственности шпионов - дело вполне законное, если соответствующие действия грамотно юридически оформлены.
1 Эдуард Гордеев, Александр Астахов, "Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации"
2 Майкл А. Лектер, "Защити свой главный актив", "Попурри", 2004
3 Дэн Яхин, "InfoWatch: Многоуровневый подход к обнаружению и предотвращению утечек информации", whitepaper, 2005
4"Защита информации от инсайдеров с помощью программных средств", SecurityLab.ru, 2007