Обозрение подготовлено

версия для печати
Идентификация угроз и каналов утечек должна проходить в рамках построения СУИБ

Идентификация угроз и каналов утечек должна проходить в рамках построения СУИБ

Ни для кого не секрет, что до 70-80% угроз информационной безопасности реализуются внутренними злоумышленниками. Поэтому все больше руководителей ИТ и ИБ подразделений обращают внимание на рынок систем защиты конфиденциальной информации от утечек (ILDP — Information Leakage Detection and Prevention). Чтобы понять, какие технологии наиболее применимы и эффективны в компании, необходимо идентифицировать угрозы и каналы утечки. Такая идентификация не должна ограничиваться только определением возможности физического подключения устройства или выхода в интернет, а должна проходить в рамках работ по построению СУИБ и основываться на методологии анализа и оценки рисков угроз ИБ.

Рынок систем защиты конфиденциальной информации от утечек (ILDP — Information Leakage Detection and Prevention) стремительно развивается. Объем всего мирового рынка ILDP, по различным оценкам, в 2006 году составил 1,5 млрд долларов. По оценкам компании LETA, объем российского рынка средств внутренней ИТ-безопасности в 2007 составит около 26 млн долларов и в дальнейшем будет только расти.

Причем интерес к рынку ILDP в России и за рубежом имеет различную аргументацию. Так, отечественные компании покупают инструменты для защиты от действий инсайдеров лишь потому, что им нужно защищать конфиденциальную информацию. Кроме того, эти компании хотят опробовать новое решение с большим потенциалом. В Европе и США ситуация совсем другая: бизнес просто вынужден внедрять такие продукты, так как этого требуют законы и стандарты. Более того, компании отвечают за утечки собственным капиталом.

Каналы утечки конфиденциальной информации

Чтобы понять, какие технологии и системы защиты от внутренних угроз применимы и наиболее эффективны в компании, необходимо идентифицировать данные угрозы и каналы утечки конфиденциальной информации. Причем такая идентификация не должна ограничиваться только определением возможности физического подключения устройства или выхода в глобальную сеть (интернет), а должна проходить в рамках работ по построению СУИБ и основываться на методологии анализа и оценки рисков угроз ИБ.

Тем не менее, при развитой ИТ-инфраструктуре компании наиболее вероятны следующие угрозы и каналы утечки конфиденциальной информации.

Во-первых, это — корпоративная электронная почта. Как правило, через канал электронной почты в теле письма или во вложении утекает конфиденциальная информация в текстовом виде, имеющая небольшой объем (до 5-10 МБ): договора, прайс-листы, планы развития и т.д.

Затем — корпоративный интернет. Утечка конфиденциальной информации происходит через web-трафик, а именно, web-почту (mail.ru, yandex.ru и др.), форумы, чаты и IM-службы. Так же как и в случае с корпоративной электронной почтой, утекает текстовая информация, имеющая небольшой объем.

В-третьих, внешние устройства. Это наиболее опасный канал, так как через него возможна утечка крупных объемов конфиденциальной информации, и проследить за ее перемещением очень сложно. В тоже время технологии мобильных накопителей интенсивно развиваются, стоимость их постоянно снижается, и уже сложно встретить человека, работающего в современных реалиях и не имеющего как минимум USB «флешки», не говоря уже о карманных компьютерах и смартфонах. Статистика показывает, что через данный канал осуществляется до 70% всех утечек.

И, наконец — физическая печать. Данный канал утечки не так критичен, так как человек, распечатывающий большой объем информации, с большой вероятностью вызовет подозрение. Тем не менее, утечки через печать имеют место, и рынку ILDP есть, чем ответить на данную угрозу.

Подходы к защите от внутренних угроз

В области технических мер по защите конфиденциальной информации от утечек можно выделить два подхода: это комплексный подход и так называемый «лоскутный».

При комплексном подходе применяются комплексные («корневые») системы контроля утечек конфиденциальной информации, которые перекрывают основные каналы утечки, такие как, корпоративная электронная почта, WEB-трафик, внешние носители и печать документов. Данные системы имеют централизованное управление и единую базу инцидентов ИБ для ретроспективного анализа. В виду полного охвата основных каналов утечки, такие системы еще можно назвать периметральными.

При лоскутном подходе применяются отдельные средства защиты на каждый канал утечки. Среди них можно выделить следующие:

Средства защиты корпоративной электронной почты. Данные средства защищают от утечки по каналам корпоративной электронной почты, но, как правило, непосредственно для защиты от внутренних угроз они не предназначены, а представляют собой комплекс технических мер по защите почты, в том числе защита от вирусов и нежелательной почты (спама).

Системы разграничения доступа к устройствам ввода/вывода. Контролируют канал утечки конфиденциальной информации через внешние устройства, чаще всего это мобильные накопители. В данных системах в отличие от предыдущих контроль идет не по контенту, а по устройствам, что не очень эффективно. Не смотря на это, они имеют право на применение, так как значительно дешевле комплексных систем и перекрывают самый критичный канал утечки конфиденциальной информации. Также они могут применяться в информационных инфраструктурах, где доступ к интернет и электронной почте весьма ограничен, например государственные органы.

Системы разграничения доступа на ресурс. Редко применяются, так как операционные системы, как правило, уже имеют встроенные средства разграничения доступа, например в Windows это Active Directory. Чаще всего данные системы предназначены для защиты государственного информационного ресурса (государственная тайна и ДСП), так как требования по разграничению доступа к такой информации намного жестче и необходима сертификация таких систем. Также серьезным их недостатком в части защиты от утечек конфиденциальной информации является то, что они не перекрывают каналы, а только лишь разграничивают доступ к информации.

В последнее время все больше споров возникает на тему, какой из представленных выше подходов является наиболее оптимальным. Несмотря на то, что это сравнение в некой степени перекликается со сравнением многовендорного и моновендорного подхода к антивирусной защите, оно имеет свои особенности. Ведь одной из основных задач систем ILDP является централизованный сбор информации по инцидентам ИБ и возможность ретроспективного анализа. За рубежом требования к наличию такой возможности жестко определены законодательными актами. Также немаловажно централизованное управление системой и оперативное реагирование офицера информационной безопасности на инцидент. В связи с этим стоит подробно остановиться на комплексных системах контроля утечек конфиденциальной информации.

Комплексные системы защиты от утечек конфиденциальной информации

Как отмечалось выше, комплексные («корневые») системы защиты от утечек конфиденциальной информации отличает полный охват основных каналов утечки, единое и централизованное управление, единая база по инцидентам ИБ.

Проанализировав лидирующие на рынке ILDP комплексные системы как отечественных, так и зарубежных производителей можно сделать вывод, что в состав комплексных систем от зарубежных производителей входят следующие три логических компонента:

Первый — компонент защиты так называемой «передаваемой» информации, который контролирует от утечки конфиденциальной информации протоколы SMTP, HTTP, FTP и т.п., одним словом протоколы, по которым информация передается во внешнюю среду. Общепринятая в мире терминология такой информации «Data in motion»

Второй — компонент защиты «используемой» информации, а точнее обрабатываемой на рабочих станциях и ноутбуках. Данная компонента защищает от утечки конфиденциальной информации через внешние устройства. Общепринятые термины — «Data in use», «Data at the endpoint»

И третий  — компонента обнаружения хранимой конфиденциальной информации. Предназначена для поиска конфиденциальной информации на серверах и рабочих станциях на основе заданных критериев. По сути не является компонентом защиты, а позволяет автоматизировать сбор конфиденциальной информации.

Комплексные системы контроля утечек конфиденциальной информации от отечественного производителя ограничиваются лишь первыми двумя компонентами.

В первую очередь это обусловлено тем, что вопросы защиты информации от внутренних угроз за рубежом жестко регулируются со стороны государства и наличие компоненты обнаружения конфиденциальной информации на рабочих станциях и серверах является необходимым требованием.

В принципе такое логическое разбиение позволяет выделить особенности  технических мер и технологий для каждого из каналов утечки. Но, несмотря на это, все представленные логические компоненты объединяют применяемые технологии анализа информации на конфиденциальность. Данные технологии играют очень важную роль в данных системах, так как от них напрямую зависит «утечет» конфиденциальная информация или нет.

Технологии анализа информации на конфиденциальность

Технологии анализа информации на конфиденциальность за период своего существования проделали некоторый путь развития и на сегодняшний момент их можно разбить на 2 поколения.

Два поколения технологий анализа информации на конфиденциальность

Два поколения технологий анализа информации на конфиденциальность

Источник: Leta IT-company, 2007

К технологиям 1-го поколения можно отнести сигнатурный анализ. Данная технология представляет собой анализ «контента» по ключевым словам, предварительно записанным в специальную базу (база ключевых слов или база контентной фильтрации). Как правило, к данным ключевым словам относятся специфические термины, присутствующие в конфиденциальных документах, такие как «конфиденциально», «для служебного пользования» и т.п. Главный недостаток сигнатурного анализа в том, что он ищет полное соответствие ключевых слов из базы и слов из анализируемого документа. Вследствие этого технология сигнатурного анализа не очень эффективна для русского языка, так как в нем присутствует большое количество падежей и склонений, и все их внести в базу ключевых слов не представляется возможным.

Но сигнатурный анализ нашел свое развитие в морфологическом, который по уровню является технологией 2-го поколения. Данная технология основана на сравнение уже не ключевых слов целиком, а только их корней. В связи с этим достаточно внести в базу только одно ключевое слово, без представления в различных падежах и склонениях.

Еще одна технология анализа информации на конфиденциальность, которую можно отнести ко 2-му поколению — это метод анализа документа по его «отпечаткам» (дословный перевод с английского «отпечаткам пальцев»). Данная технология развивалась параллельно контентному анализу и в последнее время является одной из самых перспективных. Основана на снятии с конфиденциального документа некого отпечатка, который вносится в базу. При прохождении документа, он сравнивается с отпечатками, представленными в базе, на основании чего делается вывод конфиденциальный документ или нет. Причем если документ модифицирован или представлен частями (не весь) технология анализа по «отпечаткам» позволяет с определенной точностью его «отловить». Основное преимущество данной технологии по сравнению с технологиями контентного анализа — это независимость от языка, представленного в документе. Такое преимущество достигается применением математических методов обработки цифровой информации.

Подводя итог, можно сказать, что наиболее эффективной и отработанной технологией в России на сегодняшний день является технология морфологического анализа, которая реализована в продуктах компании InfoWatch. Но осенью 2007 года на российский рынок ILDP вышло решение компании Websense, основанное на технологии анализа по отпечаткам. Изначально этот продукт разрабатывался и поставлялся компанией Port Authority, но после ее приобретения компанией Websense, продукт появился на рынке как Websense Content Protection Suite.

Несмотря на лидирующие позиции (согласно исследованиям Gartner) Websense CPS (ранее Port Authority) на зарубежном рынке ILDP, на данный момент сложно оценить, насколько данное решение сможет конкурировать с российскими разработками. Не стоит также сбрасывать со счетов системы разграничения доступа к устройствам ввода/вывода, например Zlock от компании SecurIT, так как данные системы «закрывают» наиболее уязвимый канал утечки конфиденциальной информации, их стоимость в разы меньше стоимости комплексных систем.

Олег Губка

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS