Съемные носители как угроза информационной безопасности

12 июля 2009 16:00

О том, как защитить информационную систему от копирования данных на съемные носители, рассказывает Алексей Лесных, менеджер по развитию бизнеса ЗАО «Смарт Лайн Инк».

29-летний аналитик крупной компьютерной фирмы Дениэл Харрингтон (Daniel Harrington) вряд ли мог предположить, что станет причиной скандала государственного масштаба. В конце октября 2008 г. принадлежавший Харрингтону съемный носитель был найден на общедоступной автомобильной парковке около паба. И все бы ничего, да только на этом носителе были записаны секретные пароли доступа к глобальной базе данных английского электронного правительства Government Gateway.

Этот случай отражает общее положение с информационной безопасностью в последнее время. С развитием информационных технологий секретная и ценная информация стала летучей как никогда, а съемные носители стали настоящей головной болью офицеров безопасности и специалистов по управлению рисками.

Проблема

Институт Ларри Понемона (Ponemon Institute) давно пытается оценить масштаб потерь от утечек информации в стоимостном эквиваленте. По данным отчетов за 2008 г., больше всего достается американским компаниям — они теряют от каждой утечки в среднем 6,6 млн долл. Английским и немецким организациям пока полегче — средний ущерб от одного инцидента в этих странах составил 1,73 млн ф. ст. и 2,41 млн евро соответственно.

Естественно, борьба с утечками стала одним из главнейших приоритетов корпоративных служб информационной безопасности. На практике проблема заключается в том, что организации неправильно проводят декомпозицию угроз — и защищаются от тех каналов утечки, которые на деле являются не слишком вероятными.

Пожалуй, самым простой пример — всеобщая ориентация рынка на защиту от так называемых внешних угроз — вредоносного ПО, спама или хакерских вторжений. Конечно, эти угрозы никуда не делись, однако по данным Ponemon Institute (для США) на них приходится не более 7% всех инцидентов. Оставшиеся 93% утечек на совести инсайдеров — сотрудников с санкционированным доступом к конфиденциальной информации.

В этом смысле различные мобильные носители являются едва ли не идеальным каналом утечки. Они далеко не всегда контролируются службой безопасности (в отличие, например, от электронной почты) и обладают достаточной емкостью, чтобы вместить в себя все интересующие злоумышленников данные.

Варианты решения

Прежде чем думать о вариантах защиты информации на съемных носителях, организация должна понять — а стоит ли их использовать в принципе? Превышают ли коммерческие выгоды от использования флешек (flash memory sticks), синхронизации смартфонов и подключений прочих мобильных устройств те риски утечек, которые при этом возникают?

Средства разграничения доступа

На следующей ступеньке эволюции средств защиты находятся системы контроля доступа пользователей к портам компьютера, принтерам, а также локальным подключениям смартфонов и КПК. В отличие от физических мер, полностью блокирующих доступ, они позволяют более тонко разграничивать доступ, причем делать это централизованно: с помощью интегрированной консоли управления офицер безопасности определяет, каким пользователям предоставить доступ к тем или иным локальным портам, на каких компьютерах и на какое время. Кроме того, такие системы могут поддерживать workflow-механизмы, позволяющие предоставить доступ пользователю к той или иной операции по его запросу.

Если система контроля запрещает пользователю доступ к тому или иному порту, интерфейсу или принтеру в конкретный момент времени — угроза утечки информации отсутствует. В противном случае утечка возможна, однако ее последствия можно минимизировать с помощью механизмов теневого копирования. Данный функционал (который, кстати, реализован далеко не во всех представленных на рынке продуктах) позволяет сохранить копию всей передающейся информации в централизованной базе данных. Таким образом, офицер безопасности всегда может проверить, какая информация покинула корпоративную информационную систему по каждому из возможных локальных каналов передачи данных.

В ряде современных систем контроля доступа к локальным портам и подключениям реализована полезная возможность определения политик, зависящих от типа передаваемых данных. Эта функция предполагает, что можно разрешить передавать на съемные носители, например, файлы Microsoft Word, но запретить данную операцию для файлов PDF. Таким образом, система не только отслеживает операцию передачи, но и фильтрует типы передаваемых по локальным каналам данных.

DLP-системы

Именно эта особенность роднит системы контроля доступа со следующим классом систем защиты данных — решениями сегмента DLP (Data Leak Prevention). По определению ведущего отраслевого эксперта в этой области Рича Могулла (Rich Mogull), именно глубокий анализ информационного содержимого исходящих данных является главной характеристикой DLP-систем. Эти решения определяют легитимность той или иной операции на базе технологий контентной фильтрации.

Возможности DLP-систем многообещающие, и именно поэтому практически все ведущие игроки рынка информационной безопасности активно инвестируют в развитие этого направления. Другое дело, что качество их современной реализации не позволяет говорить о всеобъемлющем контроле информации, передающейся по локальным портам на мобильные носители. Тому есть несколько причин.

Во-первых, необходимо отметить, что современный уровень технологии контентной фильтрации не позволяет полностью избежать ошибок ложного распознавания содержимого данных, так называемых ложноположительных (false positive) и ложноотрицательных (false negative) срабатываний. В итоге уровень точности систем контентной фильтрации редко поднимается выше 80–85%.

Во-вторых, глубокий контентный анализ — весьма ресурсоемкий процесс. Когда вы отправляете письмо по электронной почте, DLP-система перехватывает его в сети и анализирует на уровне SMTP-сервера с достаточной для этой задачи производительностью. Если же информация копируется локально, такой подход неприменим, поскольку информация в принципе не попадает в сеть. В результате создателям DLP-систем приходится идти на компромиссы: либо пересылать теневые копии информации на сервер и потом получать по ней вердикт, либо анализировать информацию локально. В первом случае появляется значительная нагрузка на сеть и длительные задержки, а во втором страдает качество анализа, поскольку персональному компьютеру не хватает мощности для данного вида обработки, либо он работает по более простым и менее надежным алгоритмам.

Еще одна причина, ограничивающая применимость DLP-систем для контроля локальных портов, тесно связана с первой. Дело в том, что из-за требований к контентной фильтрации DLP-системы изначально проектировали как шлюзовые решения, и потому их агентские компоненты пока еще не достигли достаточного уровня зрелости. Фильтровать данные они умеют, однако контроль всего разнообразия различных портов и каналов потенциальной утечки данных, а также гибкость локальных политик DLP-систем на endpoint-компьютерах находятся пока на более низком уровне, чем в случае хорошо развитых шлюзовых систем контроля контента сетевых коммуникаций.

IRM-системы

Кроме систем разграничения доступа и DLP-систем существует еще один способ защиты, о котором почему-то часто забывают. Речь идет о системах класса IRM (Information Rights Management), которые никак не ограничивают использование съемных носителей, однако существенно снижают вероятность утечек.

Работа типичной IRM-системы строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый с помощью IRM файл помещается в шифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Суть IRM состоит в том, что даже если данный контейнер попадет за пределы сети, то без прав доступа к документу он будет совершенно бесполезен.

С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема практически эквивалентна принудительному шифрованию экспортируемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам. Решения класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить компанию от случайных утечек, но редко — от утечек спланированных. Добавим, что эффективность IRM-систем критически зависит от количества «помеченных» файлов и интенсивности их модификаций пользователями. На практике данное требование эквивалентно классификации всех корпоративных данных, что является достаточно трудоемкой задачей.

Заключение

Любой способ защиты от угроз съемных носителей представляет собой компромисс между удобством пользователей, требованиями службы безопасности и стоимостью решения. DLP-системы контентной фильтрации пока не могут полностью решить проблему локальных утечек данных с компьютеров сотрудников организаций и потому де-факто остаются нишевыми решениями.

На современной стадии развития средств защиты от инсайдерских утечек эффективнее использовать простые, но при этом гораздо более дешевые и надежные средства разграничения доступа, обладающие всеобъемлющими возможностями контекстного контроля в сочетании с некоторым базовым функционалом фильтрации контента.

Одним из наиболее популярных продуктов такого класса является программный комплекс DeviceLock производства российской компании «Смарт Лайн Инк». DeviceLock — это программный комплекс централизованного контроля доступа пользователей к периферийным устройствам и портам ввода-вывода персональных компьютеров и серверов под управлением ОС Microsoft Windows. DeviceLock позволяет контролировать все типы локальных каналов утечки на компьютерах пользователей в корпоративной ИС и полный спектр портов и внешних устройств.

В новой версии DeviceLock 6.4 принципиально повышена гранулированность контроля привилегий пользователей за счет поддержки функции детектирования и фильтрации типов файлов для любых операций файловой системы. Обеспечиваются перехват, экстракция, детектирование типа и блокирование файловых объектов во всех локальных каналах утечки данных защищаемого компьютера, при этом администраторы безопасности могут дополнительно задавать гибкие правила событийного протоколирования операций и теневого копирования данных с точностью до типов файлов.

Вторая важнейшая функция DeviceLock 6.4 реализована на базе интеграции с программным продуктом ViPNet SafeDisk 4 производства компании «Инфотекс», предназначенным для шифрования данных, хранимых на внутренних дисках и внешних носителях ПК. Комплекс DeviceLock и SafeDisk — это интегрированное решение по контролю шифрования съемных устройств памяти любых типов, которое использует российские криптоалгоритмы и позволяет администраторам ИБ предотвратить несанкционированный экспорт данных на внешние носители в нешифрованном виде, не запрещая при этом сотрудникам сохранять их зашифрованными для использования в служебных целях.

Существенное улучшение управляемости DeviceLock 6.4 достигнуто за счет поддержки полнофункциональных политик доступа, протоколирования и теневого копирования в режиме офлайн, когда защищаемый компьютер находится вне корпоративной сети или серверы управления DeviceLock недоступны. Этот режим реализован дополнительно к управлению агентами DeviceLock в режиме онлайн, причем переключение между режимами осуществляется автоматически.

© “Финанс Медиа”


© 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
Первое издание на российском рынке, посвященное информационным технологиям для банков.
Москва, Проспект Мира, д.3, корп. 1
+7 (495) 120-81-42
info@int-bank.ru

Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
При использовании материалов необходимо давать ссылку на www.banktech.ru.