Защита от инсайдера
Средства защиты информации, такие, как антивирусное ПО или системы контроля доступа, появились практически одновременно с широким распространением вычислительной техники. Однако о серьезности угрозы утечек или утраты информации в результате действий инсайдеров специалисты стали всерьез задумываться несколько лет назад. А в последнее время чуть ли не ежемесячно становится известно о появлении в пиратской продаже баз данных с конфиденциальными данными о гражданах и компаниях, "утекших" из госучреждений и банков.
Необходимое во зло
Традиционным подходом к борьбе с утечками являются организационные меры и запретительные политики: отключение на компьютерах сотрудников коммуникационных портов, доступа к определенным сайтам; запрет на пользование открытыми почтовыми службами и программами мгновенного обмена сообщениями. Нередки ситуации, когда с компьютеров служащих банка вообще нет доступа во "внешний мир", за исключением корпоративной электронной почты.
Как показывает практика, такие меры не всегда работают. Во-первых, глобальные запреты могут серьезно влиять на производительность: сотрудники из-за ограничений просто не могут получить доступ к нужной им информации или он затруднен. Во-вторых, принцип "все запретить" обычно не может защитить от действий злонамеренных инсайдеров, допускающих утечку данных не по ошибке, а сознательно. Компания, полагаясь на политику общего запрета, не контролирует действия с информацией внутри охраняемого периметра, а в политике запретов всегда есть послабления, вызванные производственной необходимостью.
"Если запретить все опасное и разрешить только самое необходимое (почта, интернет), но не обеспечивать контроль и аудит, например архивирование всего почтового и веб-трафика для ретроспективного анализа инцидентов, подготовки доказательства вины и соответствия требованиям нормативных актов, то данные все равно будут утекать",— говорит Денис Зенкин, директор по маркетингу компании InfoWatch.
Полностью предотвратить утечки невозможно никакими техническими и организационными мерами — благодаря распространению персональных цифровых устройств любые документы, к которым имеет доступ широкий круг лиц, могут покинуть пределы компании, вопреки желанию ее руководителей. Сейчас трудно встретить мобильный телефон без встроенной цифровой камеры, и, в конце концов, нелояльный сотрудник может просто сфотографировать открытый на экране ПК или лежащий на столе документ.
Однако наибольший финансовый и репутационный урон наносят компаниям утечки больших объемов данных, например баз данных клиентов с информацией о банковских картах (которые затем могут быть использованы для кражи денег с банковских счетов) или сведений о заемщиках банка, включая их персональные данные.
Совсем недавно для специалистов по ИТ-безопасности стала очевидной потребность в специализированных решениях проблемы защиты критически важных данных от инсайдеров.
Защита от непреднамеренного или умышленного распространения конфиденциальных данных за пределы организации требует комплексного подхода: определения защищаемых данных, разработки политики ИТ-безопасности, обучения сотрудников, учета всех возможных каналов утечек. При создании полномасштабной системы информационной безопасности следует учитывать не только все возможные способы совершения внутренних атак и пути утечки информации.
Технически утечка может произойти по множеству каналов: через корпоративный почтовый сервер с помощью электронной почты, через интернет-канал при использовании бесплатных почтовых систем или веб-служб для размещения файлов, посредством беспроводных подключений (Wi-Fi, Bluetooth) через принтер — при физической печати документов, а также через мобильные носители: дискеты, оптические диски или мобильные накопители.
Корневые системы
Программные и аппаратные средства, предназначенные для борьбы с этими утечками, аналитики IDC нарекли ILD&P-системами (Information Leakage Detection and Prevention).
ILD&P-решения — молодой рынок. Его развитие началось несколько лет назад с небольших компаний-стартапов, получивших венчурные инвестиции. Поэтому стандарты архитектуры специализированных решений защиты от утечек и злонамеренных действий инсайдеров пока не сформировались, и каждый производитель доказывает оптимальность именно своего подхода. Многие системы, представленные на рынке, развивались из специализированного ПО — например, софта для управления коммуникационными портами ПК или систем контроля доступного в корпоративной сети веб-содержимого.
За последние несколько лет крупнейшие производители антивирусов дополнили список своих продуктов не только файрволлами и решениями для борьбы со спамом, но и продуктами ILD&P. Например, компания McAfee в конце 2006 года приобрела израильский стартап Onigma и включила разработанную им систему предотвращения утечек данных в состав своих корпоративных решений.
Другой крупнейший производитель ПО в области информационной безопасности, Symantec, самостоятельно разрабатывает Symantec Database Security, контролирующий доступ пользователей к базам данных, содержащих критически важную информацию. А компания Websense, специализирующаяся на продуктах для контроля доступа к веб-содержимому, приобрела разработчика ПО PortAuthority, получив возможность предлагать клиентам комплексное решение по защите доступа к данным. Российский производитель InfoWatch, являясь дочерней компанией производителя антивирусов "Лаборатория Касперского", интегрирует свои продукты с корпоративными решениями AVK.
Целый ряд компаний предлагает ILD&P-системы, основой которых являются специальные программные агенты, устанавливаемые на компьютеры пользователей корпоративной сети. Например, продукт Sanctuary Device Control компании SecureWave позволяет системно контролировать доступ пользователей к интерфейсам USB, LPT, FireWire, Bluetooth, Wi-Fi, IrDA, PCMCIA, COM, IDE, SATA, поддерживая централизованное управление разрешениями и ведение журналов.
Программные агенты PC Activity Monitor (Acme) компании Raytown Corp. устанавливаются на все компьютеры корпоративной сети и внедряются в операционную систему на уровне ядра, что не позволяет пользователю отключить или обойти их (следует отметить, то Microsoft заблокировала возможность модификации ядра в ОС Windows Vista). Все действия пользователя по печати, копированию, изменению защищаемых данных сохраняются в журнале, с которым можно работать централизованно. Однако передача информации по сети не контролируется.
Американская компания Verdasys реализовала с помощью агентов для ПК комплексное решение по защите: устанавливаемые на ПК и ноутбуки агенты контроля Digital Guardian предотвращают все каналы утечек непосредственно на компьютерах пользователей. При этом сервер управления используется для централизованного развертывания, настройки политик контроля и сбора журнала событий.
Еще один класс решений — системы, контролирующие информацию при передаче по сети. Обычно эти приложения используются для мониторинга почтового или сетевого трафика.
Продукты "Дозор-Джет", разработанные российской компанией "Инфосистемы Джет", предназначены прежде всего для контроля веб-трафика, фильтрации и архивирования электронной почты. Предотвращение потенциальных утечек обеспечивается за счет блокирования подозрительных соединений и писем (помещение в карантин). Кроме того, реализована важная функция накопления архива почтовых сообщений.
Некоторые системы, такие, как Onigma Platform (приобретенная в прошлом году McAfee), совмещают в себе функции пользовательских агентов и контроля трафика. При этом системы обеспечивают, как минимум, функции централизованного управления и развертывания, а также ведения журналов.
У систем, использующих фрагментарный подход, есть несколько существенных минусов. Например, ПО, контролирующее десктопы пользователей, обычно не обеспечивает архивирование электронной почты, тогда как наличие архива переписки обычно очень важно для расследования инцидентов безопасности и сбора доказательств. Кроме того, большинство из них не имеют возможности предотвратить (блокировать) утечку данных, инцидент безопасности может быть выявлен только постфактум, при анализе журналов.
Эволюцией решений, защищающих локальные участки, стали комплексные системы, контролирующие все возможные направления утечки данных.
Комплексные решения стремятся контролировать операции с данными на всех стадиях их хранения (серверы, базы данных), использования (рабочие станции пользователей, операции копирования изменения, печати и т. п.) и передачи по внутренним и внешним каналам (в сети, по электронной почте, на веб-узлы и т. п.).
Непременным условием является хранение архива переданной информации (например, электронной почты) и действий по использованию защищаемых данных. Например, в решении российского производителя InfoWatch архивируются все сообщения электронной почты за семь лет и ведутся журналы отчетов от модулей контроля в универсальном архиве. Все это сопровождается функциями выявления инцидентов и создания отчетов по использованию данных.
Важной особенностью корпоративного решения InfoWatch является разделение прав операторов ("офицеров информационной безопасности") для разделения ответственности. Это позволяет контролировать важную угрозу — похищение данных ИТ-персоналом или сотрудниками службы безопасности, имеющими доступ к данным (по мнению экспертов, ряд последних утечек из госорганов и банковских структур произошел при посредничестве обиженных работодателями ИТ-специалистов).
Для определения конфиденциальной информации, требующей защиты, в системах ILD&P в основном применяются вероятностные методы распознавания защищаемых данных — морфологический и сигнатурный анализ, а также технология "водяных знаков" (digital fingerprints). При применении сигнатур (наборов ключевых слов) (используется, например, в MIMEsweeper и Symantec Gateway Security) в базе фильтрации необходимо хранить все синтаксические формы ключевого слова (падежи, роды, спряжения, число и их сочетания). Для русского языка задача осложняется тем, что все словоформы должны храниться во всех кодировках.
В решении InfoWatch используется комбинированный подход: пересылаемые данные сканируются на предмет наличия предопределенных ключевых слов и фраз. Лингвистический анализ позволяет учесть контекст, в котором используются ключевые слова и фразы. Кроме того, предаваемые данные сравниваются с постоянно обновляемыми "шаблонами" конфиденциальных сообщений, специфичных для каждого конкретного заказчика. При любом из этих методов требуется существенная настройка на информационную среду заказчика.
Охраняемый периметр
Но пока продукты ILD&P нацелены на крупных корпоративных заказчиков. В мелких и средних фирмах такой уровень защиты данных от утечек зачастую не нужен, а ИТ-бюджет не предусматривает серьезных трат на этот аспект информационной безопасности.
Например, 55% всех внедрений программных продуктов "Дозор-Джет" осуществлены в крупных организациях (от 1 тыс. до 15 тыс. сотрудников), 28% — в средних (от 300 до 1 тыс. сотрудников) и лишь 17% — в организациях малого бизнеса (до 300 сотрудников). По данным компании InfoWatch, стоимость системы, включая затраты на внедрение, может составить $300-400 на одно рабочее место.
То есть пока ILD&P-системы не являются "коробочным" продуктом и требуют комплексного внедрения, подразумевающего стадии консалтинга (оценка существующей ИТ-инфраструктуры, коррекция или разработка политики защиты данных, установка и настройка ПО, обучение специалистов, отвечающих в компании за ИТ-безопасность).
Вендоры ПО защиты от внутренних утечек разрабатывают методологии внедрения, помогающие системным интеграторам и заказчикам интегрировать систему защиты от утечек в существующую ИТ-инфраструктуру и перекрыть все возможные каналы утечки данных. Кроме того, обычно решение требует значительной кастомизации в соответствии с требованиями заказчика и настройки под конкретные типы защищаемых данных.
Интенсивное развитие продуктов этого класса в ближайшие несколько лет приведет к стандартизации подходов, используемых для защиты данных внутри "охраняемого периметра". По мнению Дениса Зенкина из InfoWatch, продукты станут более "коробочными" и вендоры, окончательно поделившие рынок крупных клиентов, ринутся в сегмент небольших компаний.
Впрочем, уже сейчас очевидно, что обнаружение утечки после того, как она произошла, не может устраивать пользователей подобных систем. Функции интеллектуального предотвращения инцидентов являются основным полем для конкуренции и развития продуктов. Разработка ведется в направлении проактивных методов защиты, когда утечка распознается и блокируется на ранней стадии благодаря сопоставлениям действий пользователя с шаблонами подозрительной активности, а также выявлениям нетипичных операций.
Часть функций систем защиты от утечек может быть возложена на выделенные аппаратные компоненты. Модули системы, которым необходимо обслуживать большой объем операций (например, средства фильтрации данных, передаваемых по интернет-протоколам, или обращения к серверу баз данных), могут предлагаться заказчику в виде специализированного устройства (заменяющего выделенный сервер, на который устанавливается аналогичный программный компонент). В некоторых ситуациях это позволяет сократить затраты на оборудование и упростить развертывание решения в филиалах компании.
Тем не менее даже при использовании самых совершенных систем защиты от утечек требуется комплекс организационных мер — таких, как лишение пользователей прав администратора на ПК и стандартизация ПО. Такие меры способны затруднить использование средств, например шифрования и стеганографии, затрудняющих работу механизмов контентной фильтрации.
Будущее ПО обеспечения информационной безопасности — интеграция функций защиты от различных типов угроз, внутренних и внешних, в единые системы комплексной защиты.
"Дефицит квалифицированных управленцев"
BUSINESS GUIDE: Как вы оцениваете уровень развития рынка информационной безопасности в России?
РОБЕРТ ЭЙДЖИ: Скажем так, до совершенства еще далеко. Россия перестала изобретать велосипед, начала интегрировать, лицензировать и адаптировать международный опыт в области информационной безопасности в свою практику.
BG: Российский бизнес, на ваш взгляд, готов перенимать западный опыт в области информационной безопасности?
Р. Э.: Информационная безопасность и в США тема открытая, ею занимаются многие, но даже там впервые задумались о том, как просчитать окупаемость вложений в IT только два-три года назад. А до того, чтобы оценить возврат инвестиций в информационную безопасность, дело еще даже там не дошло.
BG: В ближайшие годы ситуация изменится?
Р. Э.: Как сегодня решаются проблемы безопасности? Наверняка где-то на периметре установлен FireWall и антивирус, как максимум — VPN. Редко дело доходит до более сложных систем. Поэтому в данных условиях, я думаю, в России все будет протекать весьма медленно и спокойно. Думаю, ничего революционного не произойдет. Все, что так или иначе востребовано рынком, уже изобретено, запатентовано, и в настоящее время компании пытаются все это изобилие превратить в нечто удобное, простое в управлении и для интеграции. В свое время по рынку долго ходил анекдот: "Чем отличается Windows 95 от Windows 98? Тем, что в первой не используется 95% ее возможностей, а во второй — 98%". Это утрированная ситуация, но не лишенная смысла.
BG: А в чем тогда проблема — в недостаточной квалификации ИТ-специалистов?
Р. Э.: В России действительно наблюдается острый дефицит квалифицированных управленцев. Отделы безопасности, как правило, возглавляют выросшие системные администраторы, программисты и математики, прекрасно владеющие технической стороной вопроса, но далекие от бизнеса — они попросту не умеют объясниться с руководителем на языке бизнеса, а не специфической терминологии. Второй вариант — директора по информационной безопасности старой закалки, которым, как правило, существенно за 50, а следовательно, и безопасность для них ассоциируется с противодействием на электромагнитных импульсах и наводках, шифровании и режимном документообороте. Что старомодно.
Но главная причина в другом. Российский топ-менеджмент еще не осознал, что информационная безопасность не технологическая проблема, а такой же бизнес-процесс, как, например, биллинг. Это часть корпоративной ответственности, за что отвечает и IT-директор, и CEO компании, и HR-отдел. Каждый сотрудник компании, все должны быть вовлечены в обеспечение безопасности.
BG: Зачем при этом вовлекать всех сотрудников?
Р. Э.: Человеческий фактор в информационной безопасности играет огромную роль. Утечки информации часто имеют место не потому, что FireWall пропустил атаку, а антивирус упустил свежего интернет-червя. Сотрудники теряют информацию, потому что не знают, как ее уберечь, или, что страшнее, делают это сознательно.
BG: Бывает и обратная ситуация. Системный администратор урезает права сотрудника так, что не открывается даже календарь! И к этому в итоге сводится обеспечение безопасности компании...
Р. Э.: Компьютер, за которым работает сотрудник, ему не принадлежит, поэтому то, какие программы должны быть на нем установлены, решает сама компания. Сотрудник, выполняя свои служебные обязанности, должен получать доступ только к той информации, на которую имеет право. Однако все это совершенно не означает, что надо впадать в крайность. Проблема России в известном максимализме: зачастую сотрудники привязаны к офису, а их рабочие места настроены так, что для качественного выполнения своих обязанностей им попросту не хватает инструментов. Такое положение вещей к информационной безопасности не имеет никакого отношения.
Крупнейшие утечки информации в России
В 1992 году в Москве впервые появились компакт-диски с информацией о физических лицах--абонентах МГТС. Источник утечки не найден.
В 1996 году в продаже появилась информация об абонентах сотового оператора "Вымпелком". Компания позднее заявила, что нашла и наказала виновных.
В ноябре 2002 года в Москве появились диски с данными об абонентах сети МТС, в январе 2003 года вышел второй — с информацией о 5,5 млн абонентов. Источник утечки не найден.
20 мая 2003 года в Санкт-Петербурге появились диски с данными о 4,5 млн клиентов сотовых компаний "МегаФон", "Телеком XXI", "Северо-Западный телеком" и "Петерстар". По одной из версий, утечка была через правоохранителей.
В июле 2004 года "Вымпелком" сообщил о сайте sherlok.ru, предлагавшем информацию об абонентах "Билайна", "МегаФона" и МТС в Москве и Санкт-Петербурге. 26 ноября задержаны семеро подозреваемых, в числе которых трое сотрудников "Вымпелкома". В марте 2005 года суд приговорил их к штрафам.
В феврале 2005 года в Москве появилась база данных о банковских операциях Центробанка в 2003-2004 годах, 20 мая вышло дополненное издание. 25 октября заместитель главы управления безопасности и защиты информации МУ ЦБ Владимир Бабкин заявил, что канал утечки перекрыт.
В ноябре 2005 года появились в продаже данные о доходах за 2004 год 9,9 млн жителей Москвы и области. 16 ноября 2005 года ФСБ объявила о задержании лиц, причастных к хищению баз данных Центробанка РФ и ФНС. Их имена и судьба неизвестны.
15 августа 2006 года ряд бюро кредитных историй и банков получили предложение купить базу данных заемщиков, бравших потребительские кредиты. База содержала 700 тыс. записей. 7 сентября гендиректор Национального бюро кредитных историй Александр Викулин заявил, что утечка была из нескольких банков.
В октябре 2006 года Генпрокуратура РФ возбудила уголовное дело в отношении чиновников из аппарата правительства РФ, передавших представителю компании ТНК-BP "копии документов с конфиденциальной информацией". В сообщении Генпрокуратуры подчеркивалось, что материалы могли быть использованы в целях, противоречащих "интересам государства в области энергетики".
За месяц до выхода нового романа Виктора Пелевина "Empire V", назначенного на начало ноября 2006 года, его текст появился в сети. Роман был украден из компьютерной системы издательства. По словам главы издательства "Эксмо", где готовили к печати рукопись, Леонида Шкуровича, удалось вычислить личность похитителя, но не удалось собрать против него конкретных улик. Подозреваемый не был штатным сотрудником "Эксмо".