Дырявое решето. Как обнаружить канал утечки информации

Дырявое решето. Как обнаружить канал утечки информацииСегодня вирусные атаки и нападения хакеров не так страшны предприятиям и фирмам, как это было раньше. С этими угрозами так или иначе справляться научились. Тем не менее важная для конкурентов информация продолжает незаконным образом просачиваться в Интернет либо в виде баз данных продаваться на рынках. Все это наносит ущерб владельцам и руководителям бизнеса.

Нужна стратегия

И виноваты в этом так называемые инсайдеры. В большинстве случаев именно они, сотрудники самой же компании, сознательно осуществляют утечку определенной информации – для своей выгоды и во вред предприятию, в котором работают.

Результаты опроса среди европейских IT-директоров, проведенного американской компанией Secure Computing, выявили интересную вещь: 80% директоров полагают, что проблемы с инсайдерами являются самыми важными для них, и только 17% респондентов посчитали угрозу от хакеров приоритетной. В России инсайдерская тема пока не столь сильно тревожит умы руководителей компаний. В результате ценные данные уходят к конкурентам. Размеры потерь для бизнеса в таких ситуациях, безусловно, разные: от недостачи нескольких процентов месячной прибыли вплоть до угрозы закрытия бизнеса. Но в любом случае ущерб ощутим.

Каналов пересылки данных для злоумышленников огромное множество. Это и электронная почта, и программы для мгновенного обмена сообщениями (ICQ, MSN Messenger, QIP, Jabber), и социальные сети, и голосовые или текстовые сообщения, отправленные через Skype. Зачастую недобросовестные сотрудники, пытаясь обмануть службу безопасности (СБ), передают информацию в графическом виде или, например, в зашифрованном архиве. Не стоит также забывать более простые, но не менее эффективные варианты: запись ценной информации на съемный носитель или обыкновенная распечатка базы данных на корпоративном принтере.

Большинство компаний отслеживает и записывает случаи нарушения безопасности, что является необходимым условием для качественного анализа и правильного планирования мероприятий по борьбе с ними. Однако, по данным ряда опросов, примерно десятая часть предприятий вообще не ведет журналы инцидентов, чуть больше хранят разборки подобных случаев год и меньше того. Что ж, при подобном подходе возможно разбирать прецеденты лишь «по горячим следам».

Не имея на руках подробной статистики, солидной базы событий, нельзя разработать верную стратегию борьбы с нарушениями. Вовремя отреагировать на возникающую угрозу можно, лишь правильно определив тенденции инсайдерских противоправных действий.

Каналов пересылки данных для злоумышленников огромное множество. Это и электронная почта, и программы для мгновенного обмена сообщениями (ICQ, MSN Messenger, QIP, Jabber), и социальные сети, и голосовые или текстовые сообщения, отправленные через Skype

Кого надо проверять

Каким же образом следует бороться со своими сотрудниками – продавцами информации, требуя при этом от них достижения поставленных рабочих целей?

По мнению независимого эксперта Евгения Вараксы, оптимальным решением видится разработка грамотной методики безопасности под каждую конкретную компанию. При этом реализация комплексной политики информационной безопасности невозможна при наличии хотя бы одного неконтролируемого СБ фирмы канала потенциальных информационных утечек.

Прежде всего в качестве профилактических мер, играя на опережение, служба безопасности должна отслеживать настроения в коллективе. Мнения сотрудников о компании и руководстве часто отражаются в их общении в ICQ и Skype, на форумах, в блогах, социальных сетях, и все это крайне информативно для СБ.

В группу риска имеет смысл включать сотрудников, которые ранее были замечены в нарушении политики информационной безопасности, тех, кто использует различные трюки (переименованные файлы, запароленные архивы и т. д.), а также недовольных чем-либо работников. Под особый контроль, безусловно, необходимо брать и тех сотрудников, которые по каким-то причинам резко снизили эффективность своей работы.

Раз в месяц в профилактических целях полезно проводить ретроспективный мониторинг активности 1–2% персонала организации. В случае выявления каких-либо инцидентов, связанных с нарушением политики информационной безопасности, сотрудник должен быть добавлен в список активного мониторинга, то есть в группу риска.

Если все же информация «ушла», для служебного расследования сотрудники СБ фирмы должны иметь архив перехваченной информации, а также возможность получить «срез по активности» сотрудника по всем каналам передачи информации.

В некоторых случаях именно подготовленность и быстрота реакции могут помочь минимизировать последствия информационной утечки.

В группу риска имеет смысл включать сотрудников, которые ранее были замечены в нарушении политики информационной безопасности, тех, кто использует различные трюки (переименованные файлы, запароленные архивы и т. д.). Под особый контроль, безусловно, необходимо брать и тех сотрудников, которые по каким-то причинам резко снизили эффективность своей работы

Наши национальные особенности

Как и в других сферах, развитие технологий информационной безопасности, противостоящих инсайдерам, в России имеет свои особенности. «Отличия между западными и российскими инсайдерами обусловлены в первую очередь различиями в подходах к обеспечению информационной безопасности в компаниях, а также в менталитете работников», – считает Сергей Ожегов, коммерческий директор компании SearchInform, ведущего российского разработчика средств информационной безопасности.

На Западе законы в целом работают лучше, чем в России, где чаще ищут, как их обойти, а не как соблюсти. Законодательство в сфере информационной безопасности в этом плане не является исключением. Также в нашей стране недостаточную роль играет «зарплатный фактор»: в западных странах работодатель «покупает» сотрудника большой заработной платой, за которую тот держится, а у нас многие вынужденно ищут незаконные способы приработка.

В западных странах принято внедрить DLP-систему и рассказать об этом всем сотрудникам, чтобы отбить охоту заниматься на рабочем месте чем-либо, кроме непосредственных служебных обязанностей. Напомним, что DLP (англ. Data Loss Prevention) – это система для предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные). DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

DLP-системы на Западе при этом ориентированы не столько на решение реальных задач, сколько на соответствие всевозможным законам и требованиям, то есть являются, по сути, страховкой от проверок организаций-регуляторов и контролеров, которые ведут надзор в области защиты коммерческой тайны, персональных данных и других конфиденциальных сведений.

В России DLP стоят дорого, но они работают именно против инсайдеров. Однако при этом контроль над ними должен быть максимально полным и комплексным, потому что без этого он попросту теряет смысл. «Представьте, что вы закрыли кошку в комнате, кроме того, придвинули к двери шкаф, повесили решетку на вентиляцию, чтобы она не вышла, но при этом оставили открытой форточку. Вот именно так выглядит система безопасности, когда не контролируется хотя бы один из каналов передачи информации», – говорит Сергей Ожегов.

В России недостаточную роль играет «зарплатный фактор»: в западных странах работодатель «покупает» сотрудника большой заработной платой, за которую тот держится, а у нас многие вынужденно ищут незаконные способы приработка

Заглушка на суперклее

А теперь подробнее о способах защиты конкретных источников, с которых могут получить информацию инсайдеры.

К примеру, на задней стенке типичного офисного компьютера находится много чего интересного. Это в первую очередь Ethernet-порт. Кабель можно вытащить и вставить, например, в ноутбук (или карманный компьютер), получив возможность «сливать» на свой диск любую конфиденциальную информацию, к которой только мы имеем доступ, причем с очень высокой скоростью – вплоть до 1 Гигабита в секунду. Развернув принцип на 180 градусов, мы втыкаем шнурок от ноутбука в офисный компьютер, забрасывая туда вредоносные программы, позволяющие шпионить за сетью и повышать уровень локальных привилегий до администратора.

Здесь же, на задней стенке, находятся USB-порты, позволяющие подключать различные устройства, приводящие к утечкам данных: карты FLASH-памяти, беспроводные адаптеры (типа Голубого Зуба или Wi-Fi).

Для передачи небольшого объема данных подойдут и низкоскоростные и COM/LPT-порты (кстати говоря, некоторые модели современных материнских плат уже выпускаются без них). А вот цифровой звуковой выход и цифровой видеовыход – это пока что экзотика, однако уже существуют хакерские программы и законченные устройства, использующие их для передачи данных, естественно, при условии, что хакерское программное обеспечение уже установлено на офисном компьютере.

Еще один источник утечки – USB. USB-порты, перекочевавшие на лицевые панели ПК (и даже на корпуса USB-клавиатур), значительно упростили обмен файлами между компьютерами.

Существует огромное количество USB-устройств: от FLASH-карт до PDA и ноутбуков. Правда, ноутбуки в силу своих габаритов менее популярны среди инсайдеров, но все-таки их нельзя сбрасывать со счетов.

Так как же защититься от кражи? Самое простое (но и самое радикальное) – отключить USB-разъемы от материнской платы, опечатав корпус, или воткнуть в них заглушки, обильно смазанные суперклеем. Смешно? Скорее грустно, поскольку к таким мерам администраторы прибегают достаточно часто. Офисный компьютер может работать и без USB. Ему не нужны никакие периферийные устройства, к нему не надо подключать принтер (для этого есть локальная сеть). Поэтому такое решение вполне жизнеспособно, вот только. в некоторых случаях без USB приходится очень туго.

Что ж, можно устанавить на компьютер систему защиты типа ZLock или любую другую. Их много, но принцип один. Специальный драйвер перехватывает запросы на запись к USB и в зависимости от политики доступа либо разрешает запись, либо выдает сообщение об ошибке. USB с полностью закрытым доступом равносилен USB с заглушкой, только заглушка стоит гораздо дешевле и, кстати говоря, совершенно необязательно сажать ее на клей. Достаточно закрыть разъемы специальным щитком с замком, который изготовит любой слесарь или даже сам администратор при минимальных навыках работы с металлом.

У СБ – новый помощник

Не так давно компания SecurIT объявила о выпуске новой версии продукта Zlock 2.0, возможности которой значительно расширены. В новой версии установка и управление системой возможны не только из собственной консоли управления, но и с помощью групповых политик Active Directory. Через групповые политики можно выполнять установку и удаление Zlock, а также распространение политик доступа и настроек системы, что упрощает внедрение и использование системы в крупных корпоративных сетях. Кроме того, расширяются возможности администрирования Zlock в компаниях с разделенными службами IT и безопасности – теперь сотруднику СБ необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку управление осуществляется средствами домена. Через групповые политики Active Directory можно также задавать временные политики доступа, которые при обновлении групповых политик у пользователя будут автоматически удалены. Это позволяет настраивать для пользователей временное разрешение или запрет использования определенных устройств средствами домена. Кроме того, реализована более тесная интеграция с Active Directory, которая заключается в возможности загрузки доменной структуры и списка компьютеров в систему Zlock. При установке клиентских частей на компьютеры пользователей не требуется перезагрузка системы, что также упрощает и ускоряет внедрение.

Еще одно новшество в Zlock 2.0 – автоматическое «теневое копирование» (shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор информационной безопасности будет точно знать, что именно на них записывается. В режиме «теневого копирования» вся информация, записываемая на внешнее устройство, незаметно для пользователя копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Это расширяет возможности аудита, позволяя проводить расследование инцидентов.

При этом можно отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это значительно повышает избирательность применения функции «теневого копирования», например, можно копировать в хранилище только ту информацию, которая была записана на подозрительные или неизвестные системе Zlock USBустройства.

В новой версии расширен и спектр контролируемых устройств.

Теперь есть возможность контролировать использование любых (а не только USB) сетевых адаптеров, в том числе Wi-Fi и Bluetooth, а также контроллеров IrDA. Поддержка ОС Windows Vista позволит организациям, которые уже перешли на эту ОС, реализовывать политики доступа к внешним устройствам и портам на всех рабочих станциях корпоративной сети в полном объеме.

Таким образом, благодаря новым возможностям Zlock 2.0 IT-департаменты и службы безопасности компаний любых масштабов смогут разрабатывать и проводить в жизнь более гибкие политики безопасности, учитывающие большинство реалий современного информационно-ориентированного бизнеса.

Текст: Александр Губанов