Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиКонкурсИнсайдеры: теория противодействия (3-е место)
© non3x 01.02.2008

0x00 Интро
0x01 Сценарии утечки
0x02 Средства противодействия
0x03 Немного об ILD&P
0x04 Организационная сторона проблемы
0x05 Заключение

Интро

Современный мир бизнеса, как известно, очень сильно связан с информационными технологиями, а следовательно, индустрия ИБ, обороты которой составляeт не один миллиард долларов, имеет ключевое значение в успешном развитии и процветании отдельных участников того или иного рынка, а следовательно экономики страны в целом. Наиболее опасной внутренней угрозой для компании являются инсайдеры. Утечку информации через инсайдеров трудно предугадать и предотвратить, а значит для борьбы с ними службе безопасности необходимо задействовать весь арсенал доступных комплексных мер и средств. Умышленная или нет, деятельность инсайдеров в большинстве случаев приводит к убыткам и потере прибыли. Время от времени в новостях всплывают заголовки с сообщениями о том, что у кого-то были похищены те или иные конфиденциальные данные - помимо материального ущерба зачастую это наносит непоправимый урон репутации компании. Наибольшую опасность феномен инсайдерства представляет для крупного бизнеса, ибо чем больше сфера влияний той или иной корпорации тем важнее для её работы и успеха информационные активы. В этой статье мне хотелось бы изложить некоторые свои мысли о том как все это можно реализовать прежде всего на техническом и организационном уровне, поэтому юридическая сторона вопроса освещена не будет.

Сценарии утечки информации

Итак, чтобы лучше продумать меры противодействия, необходимо знать с чем бороться. Рассмотрим несколько возможных схем, по которым потенциальный инсайдер может действовать.

Первая и самая банальная на мой взгляд - использование мобильных устройств. Тут все просто: некий Вася, подкупленный фирмой-конкурентом, приносит с собой в офис один из возможных портативных носителей информации, будь то mp3-плеер, цифровая камера, USB носитель или просто жесткий диск. Затем, под видом бурной рабочей активности, сливает, предположительно ничем низащищенную, информацию на свой носитель и также спокойно выносит, после чего передает её в руки заказчика.

Вторая схема - интернет пейджеры или email. Всё тоже относительно не сложно: изображая переписку с клиентами, все тот же инсайдер Вася передает в руки конкуренции конфиденциальную информацию с помощью одного из IM пейджеров / email клиентов с поддержкой шифрованных сообщений.

Схема номер три - Вася открывает веб-браузер, и, используя шифрованное соединение (SSL, к примеру), заходит на специально подготовленный сайт, после чего просто копирует нужные данные в специальную форму и жмет кнопку ?отправить?.

Схема номер четыре - кража оборудования. Улучив удобный момент, Вася уносит с собой из офиса ноутбук с конфиденциальной информацией, после чего перепоручает сей артефакт в руки все той же фирме.

Все это - примеры так называемого ?умышленного? инсайдерства, т.е специально внедренные или подкупленные люди крадут информацию.

Существует также другой тип - инсайдерство ?неумышленное?. К нему можно отнести прежде всего халатных сотрудников, которые к примеру берут с собой для работы некие данные а потом их теряют, а также жертв социальной инженерии, т.е всех тех, кто посодействовал сливу информации благодаря хитрому фрауду или просто не знал что информация конфиденциальна.

Средства противодействия

Попробуем проанализировать вышеприведенные схемы утечек и методы противодействия им. Начнем по порядку.

1. Мобильные устройства:

Как было описано выше, информация в данном случае утекает с использованием различных девайсов, способных эту самую информацию тем или иным способом запоминать. Варианты противодействия на техническом уровне следовательно могут быть следующие:
а) физическое отключение всех интерфейсов (usb порты, cdrom?ы, floppy, etc)
б) программное блокирование интерфейсов (например DeviceLock?ом или чем-то подобным)
в) использование специализированного терминального ПО, которое будет работать с данными исключительно на сервере.
г) подавление сигналов или создание высокочастотных помех

Если с первыми двумя все более-менее ясно, то последнее думаю нуждается в некоторых пояснениях. Представьте себе такую схему: имеется терминальный сервер, который как и положено предоставляет нам свои ресурсы. Для него имеется клиентская программа, которая просто не имеет функций сохранения на локальные девайсы или отправки по сети за пределы локальной структуры. Также одним из возможных вариантов может быть суровый контроль буфера обмена, что предотвратит сохранение информации методом copy&paste в какой-нибудь из документов, на которые у злоумышленника есть легальные права записи/копирования/распечатки. Благодаря такой нехитрой схеме имеем почти 100% уверенность что данные не будут слиты через какой-нибудь usb flash drive. Тут конечно всплывает вопрос о возможности локального взлома подобной программы, на что можно в свою очередь предложить использование бездисковых рабочих станций. Последнее на мой взгляд предпочтительнее первых двух вариантов, ибо бездисковая станция (в зависимости от конфигурации, разумеется) почти эквивалентна десктопу без всех девайсов, т.е первому варианту, а в случае с использованием программной блокировки интерфейсов есть определенная доля риска что все эти девайс-локеры могут быть выгружены.

Тем не менее, предположим что инсайдер пронес с собой не просто носитель, а допустим цифровую камеру. Это само по себе перечеркивает все меры принятые выше - появится возможность записать все нужные данные и "дело в шляпе". Поэтому на одних технологиях далеко не уедешь - необходимы также организационные меры. Например запретить в регламенте вносить с собой в офис подобные девайсы, но это повлечет за собой дополнительные затраты на организацию ?контрольного пункта?, чтобы пресечь все попытки этот запрет нарушить. Одна из опций - установка металлодетектора. Отдельным пунктом следует выделить сотовые телефоны. Если диктофон/камеру можно оправданно запретить, то запрет на мобильный телефон, который в наши дни всё это может легко заменить, вполне способен повлечь за собой негодование сотрудников.

Бороться с таким можно при помощи различных девайсов, подавляющих сигналы а также генераторов высокочастотных помех. Искажение сигнала благодаря таким помехам предотвращает утечку информации при помощи проводных микрофонов, радиомикрофонов, электронных стетоскопов, портативных видеокамер и малогабаритных передатчиков.

2. Интернет Пейджеры / Email:

В этом случае ситуация осложняется возможностью использования клиентов с поддержкой шифрования. Это означает, что предотвратить слив возможно только 2-мя способами:
а) блокировка всего исходящего IM траффика на шлюзе (если таковой имеется)
б) запрет на использование средств IM как таковых

Способы, разумеется, имеют свои слабые стороны и зачастую просто не приемлимы - к примеру, когда общение с клиентами/партнерами происходит в режиме реального времени с использованием, примеру, ICQ/Jabber/Msn etc. Единственное что останется сделать в таком случае с организационной точки зрения - это снизить количество персонала, который имеет доступ к IM (назовем их IM-группа), тем самым сузив круг подозреваемых в случае утечки. Также весьма полезным окажется централизованное архивирование как всего IM, так и почтового траффика. В этом случае, даже если используются средства шифрования, допустим с помощью PGP ключей, выявить через архивы когда и к кому утекли данные будет сложно, но выполнимо - но это будет уже поиск виновных, данные это не вернет.

Рассмотрим такую схему: все контакты клиентов или партнеров хранятся в базе на сервере. После того как инцидент был зафиксирован, из узкого круга людей, имеющих доступ к IM выявляются наиболее подозрительные кандидаты, после чего к сотрудничеству привлекаются фирмы, с которыми они вели переписку, запрашивается их приватный pgp ключ и проводится анализ всех исходящих сообщений. Такая схема подразумевает, что каждый член IM-группы имеет фиксированное количество фирм, с которыми он контактирует. Вся IM-группа имеет один общий pgp ключ, в то время как каждая фирма/клиент/партнер имеет свой отдельный pgp ключ. Таким образом, если в архиве вдруг обнаружится не зашифрованное сообщение или же сообщение зашифрованное не известным ключем - с владельца почтового адреса можно будет серьезно спросить. Если же шифрование при работе с клиентами не используется, то все значительно проще - будет достаточно выборочно проанализировать входящие/исходящие сообщения. Для повышения эффективности данной схемы можно ввести также разграничение по типу информации, которой оперируют различные члены IM-группы.

3. Использование WEB-технологий:

Схожая с предыдущей схема, однако ситуация еще более осложнена тем, что доступ к WWW для работы может понадобится большему количеству персонала. Предложения как всегда радикальны:
а) Блокировка всех сайтов, кроме необходимых для работы
б) Мониторинг HTTP трафика

С первым вариантом все более-менее ясно - на шлюзе устанавливается специальное ПО, которое по спискам доступа (или даже без них) разрешает тем или иным пользователям доступ к определенным сайтам. Допустим выше упомянутой IM-группе будет открыт доступ только на определенные ресурсы, в то время как начальство может вопреки политике безопасности выставить себе доступ к сайтам развлечений. Вариант второй подразумевает использование программных комплексов ILD&P, которому посвящена отдельная глава. Предпочтительнее использовать оба варианта вместе. Также не повредит архивирование всего трафика - мотивировано это тем, что доверенный сайт может быть взломан, а переданная информация будет завуалирована или спрятана одним из методов стеганографии, так что есть определенный риск неэффективности принятых контрмер. В этом случае возможно будет хотябы найти виновного, сузив круг подозреваемых.

4. Кража оборудования:

Хищение оргтехники (например ноутбуков), на мой взгляд, является проблемой больше организационного характера, которая должна ложиться непосредственно на охрану, а не на технических специалистов инфобеза. Вариантов тут несколько:
а) учет всех вносимых/выносимых предметов;
б) использование камер наблюдения.

Но снова возникают проблемы. Во-первых - вынести краденый жесткий диск или ноутбук из любого здания, если только это не бункер с одной дверью, можно в обход контрольного пункта, а во-вторых камеры наблюдения если и спасут, то вполне возможно будет уже поздно и информация попадет в руки конкурентов. Поэтому очевидно, что для усложнения жизни похитителям необходимо использовать шифрование дисков/разделов с конфиденциальной информацией. Бытует мнение, что некоторые шифры можно сломать. Возможно, но не факт что у специалистов фирмы конкурента хватит квалификации и ресурсов чтобы с этим справиться. Для этого существует множество программных решений, поэтому затруднений не должно возникнуть.

Немного об ILD&P

ILD&P - Information Leakage Detection and Prevention, чаще всего представляет собой комплекс программных решений для мониторинга потоков информации и предотвращения утечек. Традиционно выделяются три класса подобных решений:
а) мониторинг и фильтрация почтового/im/веб-трафика;
б) слежка за действиями пользователя, в том числе и над определенными типами документов;
в) решения, предусматривающие более глобальный подход к проблеме, в которых реализован моиниторинг всех возможных каналов передачи, хранения и обработки данных, а также централизованное управление для начальника безопасности.

Таким образом, использование подобных средств в некоторых случаях может не только помочь в расследовании, но и предотвратить утечку. Допустим, инсайдер неосторожно вел переписку со своим заказчиком, и благодаря эвристическим анализам (к примеру морфологический анализ текста) почтового трафика наша система контроля насторожилась, и следовательно отправила отчет компетентному лицу, что ставит злоумышленника под подозрение, т.е дает возможность привлечь его к ответственности.

Другой вариант контроля - распознавание SSL траффика, или же списки доступа - таким образом если инсайдер задумает отправить на неизвестный адрес письмо, зашифрованное PGP, наша система поднимет тревогу, ибо он не был в списках доступа. Не стану вдаваться в подробности таких систем, потому что по этой теме можно написать не одну такую статью, а цель данной работы лишь показать общие схемы и концепты.

Организационная сторона проблемы

Итак, как и было сказано выше, технические решения не всегда эффективны в борьбе с инсайдерством, поэтому необходимо также использовать организационные меры. Приведем несколько конкретных вариантов:
а) четко продуманная политика безопасности компании;
б) постоянное, по возможности, повышение квалификации сотрудников безопасности;
в) регулярные брифинги для персонала;
г) многоуровневый доступ к информации;
д) аккуратность при приеме на работу новых кадров.

В политике безопасности, с которой каждый сотрудник в обязательном порядке должен ознакомиться, ясно и доходчиво должно быть изложено что можно, а что нельзя, что практически вся информация не подлежит разглашению. Можно проинформировать сотрудников о последствиях утечки информации. С этой же целью можно использовать и регулярные брифинги, на которых до сотрудников будут донесены все изменения, если таковые были внесены, политик безопасности. Но главной целью подобных мероприятий, на мой взгляд, должно являться повышение сознательности и ответственности персонала.

Многоуровневый доступ к информации подразумевает, что вся информация, необходимая фирме в её работе, должна быть разбита на категории, которым в свою очередь должен быть присвоен определенный приоритет. На основе этого приоритета и должен осуществляться доступ, т.е к примеру рядовой секретарь не узнает то, к чему имеет доступ группа программистов. И так далее по аналогии.

Последний пункт я считаю достоин особого внимания. Очевидно, что профилактика подобных инсайдерству инцидентов намного лучше чем восстановление работоспособности и репутации. Поэтому совершенно необходимо очень внимательно присматриваться к новоприбывшим сотрудникам. Для этого можно содержать штат специально обученных людей, а можно обратиться к аутсорсинг-методам. Это означает, что все кандидаты для принятия на работу будут как-бы процеживаться через этот фильтр специальных техник так называемого кадрового контроля, который включает в себя, помимо всех психологических тестов, проверку на детекторе лжи.

Неплохой идеей, как мне кажется, также является регулярное проведение таких проверок, так как это еще больше повысит общую безопасность всей системы в целом.

Заключение

Подводя итоги, можно сказать, что о целесообразности всех вышеприведенных методов судить должны те, кто их решит применить в жизни. Безопасность напрямую связана с теми, кто должен соблюдать её политики. Поэтому, на мой взгляд, в процессе разработки регламента не стоит забывать о психологическом факторе, ибо работать с ним придеться ?конечным пользователям?. Однако, чрезмерный акцент на нем может выйти боком, поэтому необходимо уделять внимание всем аспектам.

non3x, Пятница, 04 Январь 2008




© non3x 01.02.2008

e-Commerce Partners Network
Альберт Нефедов написал:

А вы не подскажете, как обойти DLP-систему Searchinform? Она стоит у нас в офисе, вообще никакой жизни с ней не стало.

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
22.07.2017 20:22:28 ArlenePat написал:
Революционное обновление "XRumer 16.0 + XEvil 3.0": автораспознавание бесплатно и быстро...
Новая статья
22.07.2017 18:50:02 ArlenePat написал:
Нейросетевое обновление "XRumer 16.0 + XEvil 3.0": взлом бесплатно и быстро...
Сайт снова работает!
22.07.2017 17:21:42 ArlenePat написал:
Принципиально новое обновление "XRumer 16.0 + XEvil": автораспознавание бесплатно и быстро...
Релиз
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100