Знімні носії як загроза інформаційній безпеці, Комп’ютерПрес
Насправді цей випадок — не лише результат недбалості окремого співробітника, він відображає загальну тенденцію інформаційної безпеки останніх років. З розвитком інформаційних технологій секретна та цінна інформація стала плинною, як ніколи, а знімні носії є справжнім головним болем офіцерів безпеки та фахівців з управління ризиками.
Сьогодні можна впевнено стверджувати, що найважливішим активом будь-якої сучасної компанії є інформація. Як і будь-який критично важливий актив, інформація потребує захисту, а у разі її витоку компанія зазнає досить серйозних збитків.
Інститут Ларрі Понемона давно намагається оцінити масштаб цих втрат у чисельному еквіваленті. За даними звітів за 2008 рік, середні збитки в результаті лише одного інциденту вимірюються мільйонами доларів. Найбільше дістається американським компаніям — вони втрачають від витоку в середньому 6,6 млн дол. Англійським і німецьким організаціям поки що не так важко: середні збитки від інциденту в цих країнах склали 1,73 млн фунтів стерлінгів і 2,41 млн євро відповідно.
Очевидно, що для переважної більшості організацій ці суми дуже суттєві. Вони автоматично роблять проблему витоку однієї з найбільш пріоритетних для корпоративних служб інформаційної безпеки. Проблема полягає в тому, що організації неправильно проводять декомпозицію загроз — вони захищаються від тих каналів витоку, які насправді не надто критичні.
Мабуть, найпростішим прикладом є загальна орієнтація ринку на захист від про зовнішніх загроз — шкідливого ПЗ, спаму або хакерських вторгнень. Звичайно, ці погрози нікуди не зникають, проте, за даними PonemonInstitute (для США), на них припадає не більше 7% усіх інцидентів. 93% витоків, що залишилися, викликані діями інсайдерів — співробітників із санкціонованим доступом до конфіденційної інформації.
У цьому сенсі різні мобільні носії є чи не ідеальним каналом витоку. Вони далеко не завжди контролюються службою безпеки (на відміну, наприклад, від електронної пошти) і мають достатню ємність, щоб вмістити всі дані, що цікавлять.
Варіанти розв'язання
Зважаючи на все, більшість компаній не хочуть позбавляти співробітників такого зручного засобу підтримки та прискорення бізнес-процесів. Їх цілком можна зрозуміти – адже без використання флешок не завжди можна провести презентацію чи попрацювати вдома. Як наслідок, такі радикальні варіанти, як відсутність фізичних портів або спеціальні апаратні заглушки на них, сьогодні застосовуються порівняно рідко і в основному не організацією в цілому, а лише окремими підрозділами, що мають справу з найбільш комерційно цінною або конфіденційною інформацією. Сучасні підприємства вважають за краще використовувати більш ефективні та зручні програмні засоби захисту інформації.
Засоби розмежування доступу
Якщо система контролю забороняє користувачеві доступ до того чи іншого порту, інтерфейсу або принтера в конкретний момент часу, відсутня загроза витоку інформації. В іншому випадку витік можливий, проте його наслідки можна мінімізувати за допомогою механізмів тіньового копіювання. Даний функціонал (до речі, він реалізований далеко не у всіх представлених на ринку продуктах) дозволяє зберегти копію всієї інформації в централізованій базі даних. Таким чином, офіцер безпеки завжди може перевірити, яка інформація залишила корпоративнуінформаційну систему та по кожному з можливих локальних каналів передачі даних.
У ряді сучасних систем контролю доступу до локальних портів і підключень реалізована корисна можливість визначення політик, що залежать від типу даних, що передаються. Ця функція передбачає, наприклад, що можна дозволити передавати на знімні носії файли Microsoft Word, але заборонити цю операцію для PDF-файлів. Тобто система не тільки відстежує операцію передачі, а й фільтрує типи даних, що передаються по локальних каналах.
DLP-системи
Зазначена вище особливість ріднить системи контролю доступу з наступним класом систем захисту даних - рішеннями сегмента DLP (Data Leak Prevention). За визначенням провідного галузевого експерта у цій галузі Річа Могулла (Rich Mogull) саме глибокий аналіз інформаційного вмісту вихідних даних є головною характеристикою DLP-систем. Такі рішення визначають легітимність тієї чи іншої операції з урахуванням технологій контентної фільтрації.
Перспективи DLP-систем дуже перспективні, саме тому практично всі провідні гравці ринку інформаційної безпеки активно інвестують у розвиток цього напряму. Інша річ, що рівень якості їх сучасної реалізації поки що не дозволяє говорити про всеосяжний контроль інформації, що передається локальними портами на мобільні носії. І тому є кілька причин.
По-перше, необхідно відзначити, що сучасний рівень технології контентної фільтрації не дозволяє повністю уникнути помилок хибного розпізнавання вмісту даних - так званих хибнопозитивних (false positive) і хибнонегативних (false negative) спрацьовувань. Через війну рівень точності систем контентної фільтрації рідко перевищує 80-85%.
По-друге,глибокий контентний аналіз - дуже ресурсомісткий процес. Коли ви надсилаєте лист електронною поштою, DLP-система перехоплює його в мережі та аналізує на рівні SMTP-сервера з достатньою для цього завдання продуктивністю. Якщо ж інформація копіюється локально, такий підхід не застосовується, оскільки інформація в принципі не потрапляє до мережі.
В результаті творцям DLP-систем доводиться йти на компроміс: або пересилати тіньові копії інформації на сервер і потім отримувати вердикт, або аналізувати інформацію локально. У першому випадку виявляється значне навантаження на мережу і виникають тривалі затримки (уявіть, що буде, якщо ви копіюєте на знімний носій фільм у форматі High Definition), а в другому - страждає на якість аналізу, оскільки персональному комп'ютеру не вистачає потужності для даного виду обробки або він працює за більш простими і менш надійними алгоритмами.
Третя причина, що обмежує застосування DLP-систем контролю локальних портів, тісно пов'язані з першої. Справа в тому, що через вимоги до контентної фільтрації DLP-системи спочатку були спроектовані як шлюзові рішення, а тому їх агентські компоненти ще не досягли достатнього рівня зрілості. Так, вони вміють фільтрувати дані, проте контроль всього розмаїття різних портів і каналів потенційного витоку даних, а також гнучкість локальних політик DLP-систем на endpoint-комп'ютерах знаходяться на нижчому рівні, ніж у випадку добре розвинених шлюзових систем контролю контенту мережевих комунікацій.
IRM-системи
Окрім систем розмежування доступу та DLP-систем існує ще один спосіб захисту, про який фахівці чомусь часто забувають. Йдеться про системи класу IRM (Information Rights Management), які необмежують використання знімних носіїв, проте суттєво знижують ймовірність витоків.
Робота типової IRM-системи будується на основі двох механізмів: міток конфіденційності та шифрування. Кожен файл, що захищається за допомогою IRM, поміщається в шифрований контейнер разом зі спеціальною міткою, що визначає права доступу до нього. Суть IRM полягає в тому, що навіть якщо такий контейнер потрапить за межі мережі, без прав доступу до документа він буде абсолютно марним.
З точки зору контролю інформації, що переміщується на знімних носіях, дана схема практично еквівалентна примусовому шифруванню даних, що експортуються на знімні носії, яке часто зустрічається в системах контролю доступу до портів і периферійних пристроїв. Рішення класу IRM дозволяють експорт конфіденційної інформації лише у зашифрованому вигляді, що дозволяє завжди захистити компанію від випадкових витоків, але рідко від спланованих витоків. Додамо, що ефективність IRM-систем істотно залежить від кількості «помічених» файлів та інтенсивності їх модифікацій користувачем. На практиці ця вимога еквівалентна класифікації всіх корпоративних даних, що є досить трудомістким завданням.
Висновок
На сучасній стадії розвитку засобів захисту від інсайдерських витоків ефективніше використання простих, але при цьому набагато дешевших і надійніших засобів розмежування доступу, які мають всеосяжні можливості контекстного контролю у поєднанні з деяким базовим функціоналом фільтрації контенту. Вони вирішують більшість проблем, пов'язаних з мобільними носіями, і повністю задовольняють потреби переважної більшості організацій.
У новій версії DeviceLock 6.4 принципово підвищена гранульованість контролюпривілеїв користувачів за рахунок підтримки функції детектування та фільтрації типів файлів для будь-яких операцій файлової системи. Забезпечуються перехоплення, екстракція, детектування типу та блокування файлових об'єктів у всіх локальних каналах витоку даних комп'ютера, що захищається, при цьому адміністратори безпеки можуть додатково задавати гнучкі правила подійного протоколювання операцій і тіньового копіювання даних з точністю до типів файлів.
Друга функція DeviceLock 6.4 реалізована на базі інтеграції з програмним продуктом ViPNet SafeDisk 4 виробництва компанії «Інфотекс», призначеним для шифрування даних, які зберігаються на внутрішніх дисках і зовнішніх носіях ПК. Комплекс DeviceLock і SafeDisk — це перше на українському ринку інтегроване рішення щодо контролю шифрування знімних пристроїв пам'яті будь-яких типів, яке використовує українські криптоалгоритми і дозволяє адміністраторам ІБ запобігти несанкціонованому експорту даних на зовнішні носії в нешифрованому вигляді, не забороняючи при цьому співробітник у службових цілях.
Суттєве поліпшення керованості DeviceLock 6.4 досягнуто за рахунок підтримки повнофункціональних політик доступу, протоколювання та тіньового копіювання в режимі офлайн, коли комп'ютер, що захищається, знаходиться поза корпоративною мережею або сервери управління DeviceLock недоступні. Цей режим реалізовано додатково до керування агентами DeviceLock в режимі он-лайн, причому перемикання між режимами здійснюється автоматично.