Система управления информационной безопасностью — новый класс ПО
В наши дни одной из доминирующих угроз информационной безопасности предприятия безусловно признаются инсайдеры — впрочем, об этом мы уже не единожды писали. Именно "на их совести" большинство громких краж данных, зафиксированных по всему миру в последние годы. К числу инсайдеров обычно относят:
— просто недобросовестных сотрудников;
— сотрудников, имеющих контакты с криминальными структурами;
— сотрудников, сознательно работающих на компании-конкуренты (нанятых или засланных ими);
— сотрудников, обиженных на начальство и потому скрытно вредящих компании без выгоды для себя.
Ну, а на втором месте по числу утечек… нет, не трояны или другое вредоносное ПО. И даже не хакерские атаки. На втором месте расположились сотрудники, которые просто теряют конфиденциальные данные из-за свой халатности, невнимательности или незнания элементарных правил безопасности. Получается, что в обоих случаях мы имеем дело с пресловутым "человеческим фактором", перед которым, как известно, любые антивирусы и файрволлы бессильны. "От человеческой глупости нет патча", — это еще Кевин Митник говорил.
На фоне всего вышесказанного неудивительно, что в последние годы очень быстрыми темпами растет рынок программных средств, позволяющих контролировать именно "человеческий фактор" в информбезопасности. Такое ПО позволяет отслеживать утечки конфиденциальной информации через е- mail, ICQ, внешние устройства (USB/CD), документы, отправляемые на печать, а также отслеживать несанкционированное появление конфиденциальной информации на компьютерах пользователей в корпоративной сети. То есть учитывается тот принципиально важный момент, что каналы утечки данных вовсе не ограничиваются одним только сетевым трафиком. В компьютерной сети компании есть еще рабочие станции, принтеры, базы данных, файловые серверы и т.д. Соответственно, существуют и программные продукты, которые контролируют все эти ресурсы. По квалификации исследовательской компании IDC весь этот рынок получил название ILDP (Information Leakage Detection and Prevention), что является синонимом определения рынка внутренней информбезопасности. На этом рынке также представлены средства для контроля над рабочими станциями, серверами, принтерами и т.д. Объем общемирового рынка ILDP-решений в 2006 году составил $1,5 млрд, а в 2007-м — уже $3,2 млрд. Прогноз на 2008 год в таких условиях уже даже как-то страшно делать… На постсоветском пространстве рынок подобного ПО также активно развивается в последнее время. Правда, здесь чаще употребляется аббревиатура СУИБ — "Система управления информационной безопасностью". Под СУИБ подразумевается многокомпонентное решение, состоящее из отдельных модулей, интегрируемых в единую систему. Одно из наиболее известных решений такого рода — разработка российской компании "СофтИнформ" под названием "Контур информационной безопасности". Это корпоративное СУИБ-решение компонуется из нескольких модулей, причем пользователь может по своему выбору установить только часть из них.
Вот эти модули:
— MailSniffer, который перехватывает весь входящий и исходящий e-mail-трафик компании. Все перехваченные сообщения и прикрепленные файлы помещаются в хранилище, где информация доступна для полнотекстового поиска.
— IMSniffer предназначен для перехвата сообщений различных популярных IM-клиентов. Программа сохраняет всю переписку в базу данных, по которой впоследствии можно производить поиск, используя поисковые возможности программы SearchInform (морфология, поиск похожих и т.д). Поиск может быть ограничен различными критериями — например, перепиской двух конкретных сотрудников за определенный период времени.
— DeviceSniffer перехватывает всю информацию, записываемую на устройства через порты USB (например, USB-флэшки) или, например, на CD/DVD-диски. После этого информация помещается в хранилище.
— PrintSniffer контролирует содержимое документов, отправленных пользователем на печать. Все данные перехватываются, содержимое файлов индексируется и отправляется в специальное хранилище.
— Коннекторы индексации рабочих станций позволяют в режиме реального времени отслеживать создание, изменение, копирование, перемещение и удаление файлов на пользовательских компьютерах. Вся информация, находящаяся в корпоративной локальной сети, индексируется и помещается в хранилище.
— Alert Center — это, так сказать, "мозговой центр" всего "Контура информационной безопасности". Это самостоятельное приложение, которое можно подключить к любому индексу, созданному с помощью перечисленных выше программ, и с заданной периодичностью проверять поисковый индекс на наличие определенных пользователем ключевых слов. При этом также можно наладить отправку оповещений о найденных в индексе ключевых словах человеку, ответственному за информационную безопасность предприятия.
Как читатель, наверное, уже понял, вся перехваченная информация сохраняется и становится доступна для полнотекстового поиска. При этом специальные программы предупреждают сотрудников, отвечающих за информационную безопасность, о нарушениях корпоративной политики безопасности. Отслеживаются все информационные потоки как на компьютере каждого отдельно взятого пользователя, так и в локальной сети, и все данные, уходящие в интернет (равно как и поступающие из интернета). Каждый из компонентов контура информационной безопасности предприятия согласует свои действия с единой системой разграничения прав доступа. Система защиты информации имеет ряд гибких настроек, которые позволяют выстроить иерархию доступа к конфиденциальной информации любым образом. Сегодня на многих предприятиях (чаще всего в банках, но отнюдь не только там) информационные потоки просто блокируются. То есть пользователи не могут, скажем, пользоваться флэш-накопителями, записывать CD/DVD-диски; не имеют доступа в интернет вообще или права пользоваться электронной почтой и/или интернет-пейджерами. Эти меры, конечно, дают свой эффект, но попутно заметно снижают эффективность работы. И вообще: зачем тратиться на компьютеризацию, чтобы потом ограничивать использование тех же ПК? Другие комплексные системы безопасности просто перехватывают информацию, но не дают возможности качественно проанализировать ее без участия человека. Дело в том, что полноценный анализ информации включает в себя множество составляющих — таких, как сбор полной статистики, прослеживание тенденций, поиск ключевых слов в перехваченных данных и т.п. Именно чтобы решить эту проблему контур по защите информации от "СофтИнформ" оснащен мощным поисковым модулем. Собственный полнотекстовый поиск реализован с функциями искусственного интеллекта. В частности, возможен поиск по фразам с учетом расстояний между нужными словами, поиск документов, где есть похожие на заданный абзацы или фрагменты текста (при этом им не обязательно быть идентичными по тексту — достаточно схожести по смыслу). Такой подход позволяет гораздо более эффективно выявлять утечки конфиденциальной информации по открытым каналам. Отмечу: именно выявлять, но не блокировать и не предотвращать. Это уже входит в компетенцию лиц, персонально ответственных за информбезопасность.
Точно известно, что в России, Казахстане и Беларуси "Контур информационной безопасности" применяется в ряде крупных структур — таких, как Совет безопасности России, "Лукойл", "Газпром", МТТ, "Промсвязьбанк", "Альфабанк", "Воркута-уголь", ряд коммерческих банков масштабом поменьше, в страховых компаниях и т.д. Вообще установка подобной СУИБ имеет смысл прежде всего на предприятиях, имеющих от сотни и до нескольких тысяч рабочих станций, объединенных в единую локальную сеть. Можно привести несколько конкретных примеров использования "Контура информационной безопасности". Так, после внедрения программы MailSniffer, предоставляющей контроль над электронной перепиской всего предприятия, в одном из российских банков сотрудники службы экономической безопасности получили возможность быстро получать доступ ко всей переписке сотрудников и проводить ее анализ. В результате тут же был выявлен ряд сотрудников, занимающихся рассылкой резюме в конкурирующие компании. Самое интересное — что уровень доступа к конфиденциальной коммерческой информации у всех этих сотрудников был очень высоким. Руководство банка приняло меры, и в результате некоторые сотрудники были уволены, а оставшаяся часть была резко ограничена в доступе к важной информации.
А в одной из компаний, работающих в нефтегазодобывающей сфере, тот же MailSniffer помог решить другую проблему. После установки программы у службы безопасности появился инструмент, позволяющий анализировать как содержимое SMTP-трафика, так и его объемы. И как только количество писем, отсылаемых с одного компьютера, начинает превышать заданное количество в день, служба информационной безопасности сразу же получает об этом уведомление. Так внедрение MailSniffer позволило быстро решить проблему, связанную с заражением компьютера вирусом, занимающимся самостоятельной рассылкой спам- сообщений. Проморгали этот вирус айтишники, не установив обновление для антивируса своевременно, но отдел информационной безопасности сработал четко. Информация об угрозе была передана в отдел автоматизации, и вирус был удален, не успев сильно навредить или отослать что-то важное.
Денис Лавникевич
— просто недобросовестных сотрудников;
— сотрудников, имеющих контакты с криминальными структурами;
— сотрудников, сознательно работающих на компании-конкуренты (нанятых или засланных ими);
— сотрудников, обиженных на начальство и потому скрытно вредящих компании без выгоды для себя.
Ну, а на втором месте по числу утечек… нет, не трояны или другое вредоносное ПО. И даже не хакерские атаки. На втором месте расположились сотрудники, которые просто теряют конфиденциальные данные из-за свой халатности, невнимательности или незнания элементарных правил безопасности. Получается, что в обоих случаях мы имеем дело с пресловутым "человеческим фактором", перед которым, как известно, любые антивирусы и файрволлы бессильны. "От человеческой глупости нет патча", — это еще Кевин Митник говорил.
На фоне всего вышесказанного неудивительно, что в последние годы очень быстрыми темпами растет рынок программных средств, позволяющих контролировать именно "человеческий фактор" в информбезопасности. Такое ПО позволяет отслеживать утечки конфиденциальной информации через е- mail, ICQ, внешние устройства (USB/CD), документы, отправляемые на печать, а также отслеживать несанкционированное появление конфиденциальной информации на компьютерах пользователей в корпоративной сети. То есть учитывается тот принципиально важный момент, что каналы утечки данных вовсе не ограничиваются одним только сетевым трафиком. В компьютерной сети компании есть еще рабочие станции, принтеры, базы данных, файловые серверы и т.д. Соответственно, существуют и программные продукты, которые контролируют все эти ресурсы. По квалификации исследовательской компании IDC весь этот рынок получил название ILDP (Information Leakage Detection and Prevention), что является синонимом определения рынка внутренней информбезопасности. На этом рынке также представлены средства для контроля над рабочими станциями, серверами, принтерами и т.д. Объем общемирового рынка ILDP-решений в 2006 году составил $1,5 млрд, а в 2007-м — уже $3,2 млрд. Прогноз на 2008 год в таких условиях уже даже как-то страшно делать… На постсоветском пространстве рынок подобного ПО также активно развивается в последнее время. Правда, здесь чаще употребляется аббревиатура СУИБ — "Система управления информационной безопасностью". Под СУИБ подразумевается многокомпонентное решение, состоящее из отдельных модулей, интегрируемых в единую систему. Одно из наиболее известных решений такого рода — разработка российской компании "СофтИнформ" под названием "Контур информационной безопасности". Это корпоративное СУИБ-решение компонуется из нескольких модулей, причем пользователь может по своему выбору установить только часть из них.
Вот эти модули:
— MailSniffer, который перехватывает весь входящий и исходящий e-mail-трафик компании. Все перехваченные сообщения и прикрепленные файлы помещаются в хранилище, где информация доступна для полнотекстового поиска.
— IMSniffer предназначен для перехвата сообщений различных популярных IM-клиентов. Программа сохраняет всю переписку в базу данных, по которой впоследствии можно производить поиск, используя поисковые возможности программы SearchInform (морфология, поиск похожих и т.д). Поиск может быть ограничен различными критериями — например, перепиской двух конкретных сотрудников за определенный период времени.
— DeviceSniffer перехватывает всю информацию, записываемую на устройства через порты USB (например, USB-флэшки) или, например, на CD/DVD-диски. После этого информация помещается в хранилище.
— PrintSniffer контролирует содержимое документов, отправленных пользователем на печать. Все данные перехватываются, содержимое файлов индексируется и отправляется в специальное хранилище.
— Коннекторы индексации рабочих станций позволяют в режиме реального времени отслеживать создание, изменение, копирование, перемещение и удаление файлов на пользовательских компьютерах. Вся информация, находящаяся в корпоративной локальной сети, индексируется и помещается в хранилище.
— Alert Center — это, так сказать, "мозговой центр" всего "Контура информационной безопасности". Это самостоятельное приложение, которое можно подключить к любому индексу, созданному с помощью перечисленных выше программ, и с заданной периодичностью проверять поисковый индекс на наличие определенных пользователем ключевых слов. При этом также можно наладить отправку оповещений о найденных в индексе ключевых словах человеку, ответственному за информационную безопасность предприятия.
Как читатель, наверное, уже понял, вся перехваченная информация сохраняется и становится доступна для полнотекстового поиска. При этом специальные программы предупреждают сотрудников, отвечающих за информационную безопасность, о нарушениях корпоративной политики безопасности. Отслеживаются все информационные потоки как на компьютере каждого отдельно взятого пользователя, так и в локальной сети, и все данные, уходящие в интернет (равно как и поступающие из интернета). Каждый из компонентов контура информационной безопасности предприятия согласует свои действия с единой системой разграничения прав доступа. Система защиты информации имеет ряд гибких настроек, которые позволяют выстроить иерархию доступа к конфиденциальной информации любым образом. Сегодня на многих предприятиях (чаще всего в банках, но отнюдь не только там) информационные потоки просто блокируются. То есть пользователи не могут, скажем, пользоваться флэш-накопителями, записывать CD/DVD-диски; не имеют доступа в интернет вообще или права пользоваться электронной почтой и/или интернет-пейджерами. Эти меры, конечно, дают свой эффект, но попутно заметно снижают эффективность работы. И вообще: зачем тратиться на компьютеризацию, чтобы потом ограничивать использование тех же ПК? Другие комплексные системы безопасности просто перехватывают информацию, но не дают возможности качественно проанализировать ее без участия человека. Дело в том, что полноценный анализ информации включает в себя множество составляющих — таких, как сбор полной статистики, прослеживание тенденций, поиск ключевых слов в перехваченных данных и т.п. Именно чтобы решить эту проблему контур по защите информации от "СофтИнформ" оснащен мощным поисковым модулем. Собственный полнотекстовый поиск реализован с функциями искусственного интеллекта. В частности, возможен поиск по фразам с учетом расстояний между нужными словами, поиск документов, где есть похожие на заданный абзацы или фрагменты текста (при этом им не обязательно быть идентичными по тексту — достаточно схожести по смыслу). Такой подход позволяет гораздо более эффективно выявлять утечки конфиденциальной информации по открытым каналам. Отмечу: именно выявлять, но не блокировать и не предотвращать. Это уже входит в компетенцию лиц, персонально ответственных за информбезопасность.
Точно известно, что в России, Казахстане и Беларуси "Контур информационной безопасности" применяется в ряде крупных структур — таких, как Совет безопасности России, "Лукойл", "Газпром", МТТ, "Промсвязьбанк", "Альфабанк", "Воркута-уголь", ряд коммерческих банков масштабом поменьше, в страховых компаниях и т.д. Вообще установка подобной СУИБ имеет смысл прежде всего на предприятиях, имеющих от сотни и до нескольких тысяч рабочих станций, объединенных в единую локальную сеть. Можно привести несколько конкретных примеров использования "Контура информационной безопасности". Так, после внедрения программы MailSniffer, предоставляющей контроль над электронной перепиской всего предприятия, в одном из российских банков сотрудники службы экономической безопасности получили возможность быстро получать доступ ко всей переписке сотрудников и проводить ее анализ. В результате тут же был выявлен ряд сотрудников, занимающихся рассылкой резюме в конкурирующие компании. Самое интересное — что уровень доступа к конфиденциальной коммерческой информации у всех этих сотрудников был очень высоким. Руководство банка приняло меры, и в результате некоторые сотрудники были уволены, а оставшаяся часть была резко ограничена в доступе к важной информации.
А в одной из компаний, работающих в нефтегазодобывающей сфере, тот же MailSniffer помог решить другую проблему. После установки программы у службы безопасности появился инструмент, позволяющий анализировать как содержимое SMTP-трафика, так и его объемы. И как только количество писем, отсылаемых с одного компьютера, начинает превышать заданное количество в день, служба информационной безопасности сразу же получает об этом уведомление. Так внедрение MailSniffer позволило быстро решить проблему, связанную с заражением компьютера вирусом, занимающимся самостоятельной рассылкой спам- сообщений. Проморгали этот вирус айтишники, не установив обновление для антивируса своевременно, но отдел информационной безопасности сработал четко. Информация об угрозе была передана в отдел автоматизации, и вирус был удален, не успев сильно навредить или отослать что-то важное.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 24 за 2008 год в рубрике безопасность