Інтернет-видання про високі технології
Наскільки пригнічений інтерес до боротьби з витоками?
Сьогодні багато говорять про інсайдерські загрози, витоки інформації та ринок засобів контролю і захисту від цих загроз, що народжується. Наскільки це все обґрунтовано? Це справді серйозна проблема чи лише модна пошесть, інтерес до якої нагнітають виробники?
Проблема витоків даних не така нова, як про неї пишуть. Витік був і рік, і два, і п'ять, і двадцять п'ять років тому. Вони почалися тоді, коли з'явилася інформація (нехай і не в електронній формі). І не припиняться ніколи, як ніколи не зникне наша потреба у тих чи інших даних.
Однак, крім власне контролю витоків, розвитком даного сегменту рухають і інші фактори. Найсильніший драйвер - це зусилля регуляторів, що випускають все нові і нові вимоги, які можна задовольнити в тому числі і за допомогою систем захисту від витоків. Одним із останніх можна назвати Федеральний Закон України «Про персональні дані». Другим за значущістю факторів є протидія конкурентам, які все частіше вдаються до промислового шпигунства. І, нарешті, свою роль грають замовники ІТ-систем, які не задоволені тим, як поводяться з їхніми даними. Щоправда, в Україні цей драйвер поки не такий сильний, як на Заході.
Схема взаємодії драйверів ринку захисту від витоків
Джерело: Cisco, 2008
Як видно зі схеми, кожен із цих драйверів рідко діє ізольовано. Найчастіше ми маємо справу з комплексним впливом. Відповідно, і підхід до вирішення проблеми має бути комплексним.
Скільки каналів витоків потрібно контролювати?
Як інформація циркулює на підприємстві та як вона може покинути його межі? Знаючи це, можна визначити канали витоку.Основних із них три. Це, по-перше, інтернет та інші зовнішні комунікації, включаючи WAN канали, ТФОП тощо. По-друге, через порти персональних комп'ютерів, лептопів, КПК та інші кінцеві пристрої. І, нарешті, не останню роль відіграє локальна мережна інфраструктура, включаючи мережі зберігання даних (SAN).
Однак це не означає, що інших каналів немає. Наприклад, закон «Про персональні дані» зобов'язує блокувати витік за так званими технічними каналами – за допомогою побічного електромагнітного випромінювання та наведень, віброакустичних каналів тощо. Не сказати, що це просте завдання, але контроль цих каналів також має бути передбачений у стратегії інформаційної безпеки на підприємстві. Щоправда, до класичних DLP-рішень цей клас захисних засобів (генератори шуму тощо) відносити не зовсім коректно.
Деталізований список каналів витоку інформації
Джерело: Cisco, 2008
Якщо треба будувати комплексне DLP рішення, всі ці канали з метою запобігання витоку цінної інформації необхідно контролювати.
Усі дані мають бути класифіковані
Також було звернено увагу на два інтуїтивно зрозумілі правила безпеки.
Друге правило полягає в тому, що немає запису вниз. Суб'єкт немає права писати (виконувати, копіювати тощо.) інформацію на об'єкт із рівнем секретності нижче, ніж рівень суб'єкта. Іншими словами, записати документ із грифом «для службового користування» на некласифіковану флешку неможливо.
Для вирішення цієї проблеми розробники запропонували два підходи – захист від завантаження від сторонніх носіїв та технології управління цифровими правами. Перший підхід, який полягає у впровадженні в слот материнської плати «електронного замку», який і блокував завантаження збудь-якого стороннього носія.
В результаті він, швидше, усував недоліки СЗІ від НСД, аніж боровся з витоками. Та й використовувати його можна було не скрізь, наприклад, у лептопах чи КПК він не працює. Прикладами таких рішень можна назвати деякі продукти українських компаній «Інформзахист», ОКБ САПР, Конфідент та ін. Але, на жаль, проблему з витоками це досі не вирішило. Прикладами таких рішень можна назвати продукцію компаній Intel, AMD та інших.
Другий підхід цікавіший, і зараз деякі виробники та користувачі звертають на нього найпильнішу увагу. Йдеться про технологію DRM (Digital Rights Management), яка дозволяє прив'язати права доступу до файлу, а не комп'ютера, на якому він зберігається (як у СЗІ від НСД). Навіть у разі витоку корпоративних даних зловмисник не зможе отримати доступ до них.
Ця технологія, що активно просувається компанією Microsoft, стала відома широкому колу споживачів зовсім недавно, але потреба в ній назріла давним-давно. Всередині мережі або на власному комп'ютері ми можемо розмежувати права доступу до будь-якого файлу або документа. Але що робити, коли документ залишає межі території, що охороняється?
Пошта стає не єдиним «головним» каналом витоків
Почавшись з аналізу електронної пошти, технології контролю контенту з метою виявлення витоків плавно поширилися і інші поширені протоколи передачі – FTP і HTTP. Але це ще не кінець. Застосування програмного забезпечення Instant Messaging (наприклад, ICQ, AOL Instant Messenger, QIP, Miranda тощо) у корпоративному середовищі вплинуло і на гравців ринку аналізу вмісту (Orchestria,PortAuthority, Fidelis, Vericept і т.д.).
Вони почали пропонувати рішення для контролю витоку інформації та інших порушень політики безпеки в інтернет-пейджерах. Не за горами момент, коли аналогічні рішення почнуть застосовуватися і для інших протоколів, які поки не набули широкого поширення. Особливо враховуючи наявність такої вимоги у рекомендаціях ФСТЕК із захисту персональних даних.
Про що мовчать виробники засобів захисту?
ЗМІ рясніють розповідями про витікання конфіденційної інформації, що відбувається через її традиційні канали – електронну пошту, модеми та Web. Але є й інша небезпека, яку зазвичай мовчать виробники засобів захисту, нездатні убезпечити від неї своїх клієнтів.
На жаль, ця небезпека властива абсолютно будь-якому сучасному комп'ютеру - серверу, робочої станції або лептопу. Йдеться про так звані зовнішні накопичувачі, які розширюють можливості, притаманні базовій комплектації ПК. До них можна віднести CD (в т.ч. і пишучі), Zip, Ziv (та інші зовнішні жорсткі диски, що підключаються через USB або FireWire) і, звичайно, популярні Flash-диски.
Але лише накопичувачами небезпека не обмежується. Адже існують MP3-плеєри, цифрові камери та фотоапарати з картками пам'яті SecureDigital (SD), MultiMedia Card (MMC) тощо. І, нарешті, не варто скидати з рахунків такий анахронізм, як звичайні дискети, які досі використовуються у низці організацій.
Все це призвело до того, що Gartner визнала портативні пристрої однією з найнебезпечніших на сьогодні загроз. Можна звичайно спробувати відключити зовнішні накопичувачі через BIOS, але справа ця клопітна і абсолютно масштабована.
Вихід операційної системи Windows Vista з механізмом Plug and Play Extensions частково вирішуєце завдання і дає можливість адміністраторам контролювати різні мобільні та портативні пристрої, що підключаються через USB, FireWire тощо. Але доки не всі перейшли на Vista, треба шукати інші рішення. Та й з Unix, та іншими ОС треба щось робити.
Рішенням може стати установка на всі вузли спеціального ПЗ, що захищаються, і контролюватиме доступ до периферійних носіїв. До них можна віднести DeviceLock, DeviceWall, SecureWave, Infowatch, Cisco Security Agent і т.д. Серед інших гравців можна назвати імена деяких невеликих компаній – RedCannon Security (http://www.redcannon.com/), Migo (http://www.pwhtgroup.com/) та M-Systems' Xkey (http://www .m-sys.com/), які поки що в Україні невідомі.
Якщо флешки контролювати не вдається, то можна спробувати вирішити завдання по-іншому - шифрувати все, що на них зберігається. Це завдання вирішується подвійно - або використанням USB-носіїв з вбудованою системою шифрування (наприклад, Kingston USB DataTraveler), або примусовим шифруванням даних, що записуються на периферійний носій. Останнього вимагає від нас і закону «Про персональні дані».
Якщо поглянути не на прикладний, а на нижній, інфраструктурний рівень, то де зазвичай зберігаються дані? На серверах, доступ до яких організується у відповідність до однієї з технологій зберігання даних – NAS, DAS, SAN. І цілком закономірно не ускладнювати собі життя абонентським шифруванням (хоча від нього відмовлятися ніхто не збирається), а зробити процес приховування даних прозорим, тобто. здійснювати шифрування "на льоту".
Особливо актуальним є цей підхід у тому випадку, якщо ми зберігаємо дані в неструктурованому вигляді і не можемо використовувати шифрування на рівні СУБД. Ось тут до нас на допомогу і приходять методи шифрування, реалізовані нанайнижчому рівні (часто апаратно). Такі рішення є вже зараз - їх пропонують компанії Decru (http://www.decru.com/), NeoScale (http://www.neoscale.com/), Cisco і т.п., але їх активне застосування, очікуванням експертів, настане у проміжку від 2-х до 5-ти років.
Як не помилитись у виборі?
Але, незважаючи на таку різноманітність різних засобів захисту та методів їх роботи, для них можна виділити ряд загальних критеріїв, за якими можна щось вибирати і оцінювати.
Наприклад, за якістю виявлення витоку, що досягається лінгвістичними, статистичними методами, базою ключових слів тощо. При цьому контроль повинен здійснюватися в реальному часі, що відносно легко здійснити для кінцевих пристроїв і не просто для пристроїв, встановлених на шлюзі або периметрі і змушених працювати на гігабітних швидкостях. Цей критерій застосовний до систем, контролюючим не контент, а контекст, тобто. блокуючі USB, що використовують мандатне розмежування доступу або механізми DRM.
Потрібно врахувати місце зберігання корпоративних даних. Залежно від централізованої (на серверах у ЦОД) чи децентралізованої (на комп'ютерах користувачів) моделі можуть бути обрані засоби контролю відповідного класу.
Багато хто цінує простоту впровадження. У корпоративному середовищі це один із найважливіших критеріїв оцінки. У рішеннях для ПК дуже важливою є можливість швидкої установки без участі власників комп'ютерів. Для периметрових рішень бажано наявність апаратної версії, яку набагато простіше впроваджувати, експлуатувати та оновлювати; не кажучи вже про більшу пропускну здатність.
Варто звернути увагу до набір варіантів реагування. Крім виявлення витоку інформації, хороша система повинна також блокувати такі факти,а також здійснювати інші варіанти реагування – повідомлення зацікавлених осіб, архівування повідомлень, приміщення в карантин тощо.
До інших цікавих функцій можна віднести інтеграцію з іншими рішеннями щодо контролю витоків, а також з іншими системами захисту, встановленими в компанії, механізми збирання доказів несанкціонованої активності та багато іншого.
Насамкінець, хотілося б відзначити те, що не минає тижня, щоб в інтернеті не з'явилася новина про витік з якоїсь організації. Це все наслідок недооцінки проблеми збереження даних. Фахівці з інформаційної безпеки, концентруючись на захисті периметра мережі від атак «відмова в обслуговуванні», мережевих черв'яків, троянців та інших шкідливих програм, забувають про необхідність комплексного підходу до вирішення поставленого компанією завдання.
Цілісною ж картина буде лише тоді, коли до класичного мережного рівня додається ще й рівень, на якому дані та обробляються. А для захисту цього рівня вже не допоможуть ні міжмережеві екрани, ні традиційні системи виявлення атак та сканери безпеки, ні антивіруси – потрібні спеціалізовані системи, орієнтовані на контроль витоків та захист даних. І хоча на даний момент ринок цих рішень оцінюється як дуже незначний (до 100 мільйонів доларів по всьому світу), він має дуже серйозні перспективи зростання, які не можна недооцінювати.