Решения для борьбы с утечками конфиденциальных данных

Алексей Доля

Решения для борьбы с утечками данных

   Fidelis Security Systems DataSafe

   InfoWatch Enterprise Solution

   ioLogics ioSentry Suite

   Vericept Intelligence Platform

   Vidius PortAuthority Platform

   Vontu

Комплексный подход

 

Во что компаниям обходятся утечки конфиденциальных данных

 

Сегодня все фирмы сталкиваются с проблемой защиты своих информационных активов от внутренних угроз. Наиболее остро вопрос стоит в крупных и средних компаниях с большим числом сотрудников и (или) филиалов, а также на тех предприятиях, где практически любые корпоративные данные являются конфиденциальными (например, в кредитно-финансовом секторе). При этом обеспечить эффективную внутреннюю ИТ-безопасность на практике намного сложнее, чем защититься от вредоносных кодов, спама, хакеров и т.д. Причиной тому — человеческий фактор, который в плане инсайдерских угроз выходит на первое место.

В первых числах января этого года случайная ошибка (Описание инцидента на русском языке: http://www.infowatch.ru/threats?chapter=147151398&id= 177904842) служащих самого крупного банка в мире, Tokyo-Mitsubishi UFJ, привела к электронной рассылке корпоративных счетов 3,4 тыс. клиентов банка по неверным адресам. Вследствие этого инцидента компании пришлось приостановить все свои операции до выяснения причин случившегося, что вылилось в серьезные финансовые убытки и нанесло удар по ее деловой репутации.

Однако далеко не всегда вредоносные действия персонала носят непреднамеренный характер — зачастую инсайдерами руководит именно злой умысел. Например, по некоторым данным (По сведениям газеты «Ведомости»: http://www.vedomosti.ru/newspaper/article.shtml?2005/11/17/99601), чиновники, продавшие базу данных налоговой инспекции в конце прошлого года, получили за свои услуги 2,5 млн. долл.

     

Во что компаниям обходятся утечки конфиденциальных данных

Согласно совместному исследованию ФБР и Института компьютерной безопасности (см. «CSI/FBI Computer Crime Security Survey 2005»), в котором приняли участие 700 представителей американского бизнеса, средний ущерб каждой компании, зарегистрировавшей кражу конфиденциальных данных в 2005 году, составил 355,5 тыс. долл. Однако нередки случаи, когда утечка приводит к банкротству или многомиллионным убыткам. Приведем лишь некоторые примеры подобных случаев за прошлый год:

  • в конце февраля компания ChoicePoint, специализирующаяся на обработке данных, сообщила об утечке личных данных о 145 тыс. граждан США. По итогам 2-го финансового квартала эта утечка уже обошлась ChoicePoint в 11,4 млн. долл. По компетентной оценке CSO Magazine, к концу года ущерб от утечки составил 20-25 млн. долл.;
  • в конце мая сеть обувных магазинов DSW Shoe Warehouse сообщила об утечке данных о кредитных картах и платежных чеках. По итогам 2-го финансового квартала вследствие этой утечки компания DSW потеряла 6,5 млн. долл., что составило почти 70% ее прибыли. Более того, пострадавшая фирма подверглась судебным преследованиям, вследствие чего ее расходы возросли до 9,5 млн. долл.;
  • в июне компания CardSystems Solutions, занимающаяся обработкой транзакций по кредитным картам, сообщила об утечке 40 млн. номеров кредитных карт всех мировых брендов. В августе Visa и American Express разорвали контракты с CardSystems, а MasterCard приостановила сотрудничество, потребовав провести тщательный аудит и сертификацию. В результате CardSystems обанкротилась;
  • в ноябре сеть ресторанов быстрого питания Chipotle подала заявку в Комиссию по ценным бумагам и биржам США о намерении первичного размещения своих акции (IPO) на фондовой бирже Нью-Йорка. Среди прочего в заявке было указано, что утечка конфиденциальных данных из вычислительной сети Chipotle в августе 2004 года обошлась компании в 5,6 млн. долл., что составило 91% прибыли фирмы за целый год.
 

Проблема приобретает еще большую актуальность из-за государственного и отраслевого регулирования некоторых аспектов ИТ-безопасности. Так, стандарт Центробанка требует от финансовых компаний заботиться в том числе и о внутренних угрозах, а соглашение «Базель II» (Международная конвергенция измерения капитала и стандартов капитала: новые подходы), к которому Россия намерена присоединиться к 2009 году, предписывает банкам введение комплексной системы управления рисками, в том числе риском утечки конфиденциальной информации. Наконец, слушающийся в Госдуме законопроект «О персональных данных» ставит вопросы защиты приватных сведений граждан перед огромным количеством компаний, собирающих личные записи населения.

Итак, современные компании нуждаются в средствах защиты как от мотивированных, так и от случайных вредоносных действий персонала по отношению к цифровым активам работодателя. В нашей статье будут рассмотрены решения, позволяющие обезопасить любые конфиденциальные и приватные данные в корпоративной среде.

Ниже мы расскажем о том, какие решения предлагаются сегодня на рынке аппаратного и программного обеспечения для предотвращения утечки конфиденциальных данных.

Решения для борьбы с утечками данных

Fidelis Security Systems DataSafe

Американская компания Fidelis Security Systems, базирующаяся в Мэриленде, поставляет решение DataSafe для выявления и предотвращения утечек по сетевым каналам — это HTTP, FTP, пейджинговые и почтовые сообщения, а также веб-почта.

Для распознавания конфиденциальной информации DataSafe использует несколько алгоритмов: прямое совпадение, статистический анализ и распознавание шаблонов. Одной из особенностей продукта является возможность принудительного шифрования отсылаемых данных, а также детектирование случаев неавторизованного шифрования (с целью создания защищенного канала утечки данных).

Развертывание продукта подразумевает установку сенсоров-фильтров в тех точках, где информация покидает корпоративную сеть, и консоли централизованного управления — CommandPost. Фильтры-сенсоры представляют собой программные модули, работающие на базе Linux-сервера, а консоль — это приложение, позволяющее получить безопасный доступ к оповещениям о нарушениях и управлять сенсорами.

Алгоритм работы фильтра-сенсора состоит из четырех этапов: наблюдение за всеми TCP-пакетами, покидающими сеть; повторное установление TCP-сессии; декодирование данных; контентный анализ. Эти шаги показаны на рис. 1.

 

Рис. 1. Алгоритм работы сенсоров DataSafe

Рис. 1. Алгоритм работы сенсоров DataSafe

Продукт может работать в двух режимах: пассивном и активном. В пассивном режиме сетевой трафик проходит через фильтры-сенсоры DataSafe практически мгновенно (анализ происходит в реальном масштабе времени). Все сообщения о событиях и инцидентах поступают в консоль управления, но пересылка запрещенного контента не блокируется.

В активном режиме используется блокировка подозрительных сообщений, что требует определенных временных затрат. Так, модуль извлекает отдельные наборы пакетов, содержащие конфиденциальную информацию. Еще одно отличие от пассивного режима заключается в том, что фильтры-сенсоры могут быть перенастроены в реальном масштабе времени без перезагрузки.

Слабым местом решения является отсутствие контроля над рабочими станциями, через ресурсы которых инсайдеры легко могут выносить конфиденциальные сведения за пределы корпоративной сети.

InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch. Данный комплексный продукт позволяет предотвратить утечку конфиденциальной информации через ресурсы электронной почты, Интернет (веб-почту, форумы, чаты) и ресурсы рабочих станций (принтеры, CD-ROM, USB-, IrDA-порты, Bluetooth и т.д.), обеспечить контроль над обращением конфиденциальной информации на рабочих станциях и файловых серверах, а также создать архив электронной корреспонденции с возможностью дальнейшего анализа.

Решение в масштабе реального времени отслеживает все операции с конфиденциальной информацией (пересылка по сети, чтение, изменение, печать, копирование в буфер обмена и т.д.) и сообщает сотруднику службы безопасности о тех из них, которые не соответствуют принятой политике ИТ-безопасности. Продукт ведет подробное протоколирование всех действий с конфиденциальными данными и немедленно сообщает сотруднику службы ИТ-безопасности о случаях нарушения. Точно так же в масштабе реального времени IES получает копии электронных писем, помещает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки данных.

Архитектура комплексного решения IES носит распределенный характер и включает перечисленные ниже программные компоненты, также доступные в качестве автономных продуктов:

  • InfoWatch Web Monitor (IWM) — служит для предотвращения утечки конфиденциальной информации через Интернет, в том числе через веб-почту, форумы и чаты. IWM в режиме реального времени сканирует исходящий Интернет-трафик (перехватывает POST-запросы) и блокирует пересылку пакетов, которые содержат или могут содержать конфиденциальные данные. Система ведет подробный отчет о произведенных операциях и сообщает сотруднику службы ИТ-безопасности о нарушении политики внутренней безопасности;
  • InfoWatch Mail Monitor (IMM) — осуществляет контроль над корпоративной почтовой системой. IMM в режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Система ведет подробный учет пересылаемых сообщений и оповещает сотрудника службы ИТ-безопасности о нарушении политики внутренней безопасности;
  • InfoWatch Net Monitor (INM) — осуществляет контроль над обращением конфиденциальной информации на рабочих станциях и файловых серверах. INM в масштабе реального времени отслеживает операции с файлами (чтение, изменение, копирование, копирование в буфер обмена, печать и пр.) и сообщает сотруднику службы ИТ-безопасности о тех из них, которые не соответствуют принятой политике информационной безопасности. Модуль ведет подробное протоколирование всех действий с файлами и сообщает ответственным лицам о случаях нарушения;
  • InfoWatch Device Monitor (IDM) — позволяет обеспечить контроль над доступом пользователей к коммуникационным портам и устройствам ввода-вывода рабочей станции (CD, floppy, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, FireWire, Wi-Fi). Система в режиме реального времени отслеживает доступ к коммуникационным портам и блокирует те операции, которые не соответствуют принятой политике внутренней ИТ-безопасности;
  • InfoWatch Mail Storage (IMS) — служит для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. IMS в режиме реального времени накапливает копии электронных писем, помещает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

Централизованная консоль управления, входящая в состав IES, позволяет сотруднику службы ИТ-безопасности контролировать работу всех компонентов решения, осуществлять мониторинг действий пользователей, настраивать политику ИТ-безопасности и создавать статистические отчеты. Таким образом, комплексное решение IES объединяет в себе функциональность всех указанных пяти компонентов. Схема работы продукта представлена на рис. 2.

 

Рис. 2. Схема работы InfoWatch Enterprise Solution

Рис. 2. Схема работы InfoWatch Enterprise Solution

Следует отметить, что компания InfoWatch также предлагает своим клиентам аппаратную реализацию IWM и IMM — InfoWatch Security Appliance (IWSA), позволяющую обеспечить эффективный контроль над почтовым трафиком и каналом связи с Интернетом (рис. 3).

 

Рис. 3. InfoWatch Security Appliance

Рис. 3. InfoWatch Security Appliance

Преимущество такого подхода наиболее полно могут оценить заказчики, обладающие обширной сетью филиалов или сложной в плане топологии вычислительной средой. В этом случае можно настроить и протестировать аппаратные компоненты в штаб-квартире, а потом быстро внедрить их в территориальных офисах. В отличие от программных модулей, аппаратные устройства могут быть легко развернуты и не требуют серьезного сопровождения (следовательно, филиалу необязательно иметь для этих целей специалистов по ИТ-безопасности). Помимо всего прочего, аппаратное решение обладает и более высокой производительностью.

ioLogics ioSentry Suite

Решение ioLogics ioSentry Suite поставляется американской компанией ioLogics из Техаса. Данный комплексный продукт осуществляет контроль над следующими каналами утечки конфиденциальной информации: электронная почта, Интернет (в том числе веб-почта), средства мгновенного обмена сообщениями (Instant Messenger, IM). Кроме того, решение позволяет организовывать архивы как почтовых, так и пейджинговых сообщений, что облегчает расследование инцидентов в области ИТ-безопасности.

Схема работы ioSentry Suite представлена на рис. 4. Основными компонентами продукта являются модули IACC (Information Asset Control Center) и IFOS (Information Fail-Over Server).

 

Рис. 4. Схема работы ioLogics ioSentry Suite

Рис. 4. Схема работы ioLogics ioSentry Suite

Первый из них отвечает за централизованное управление и создание отчетов, а второй предназначен для хранения данных и их восстановления в случае утраты. В рамках компонентов этих модулей приводится в действие политика ИТ-безопасности, которая регламентирует права пользователей по доступу к той или иной информации. Таким образом, весь трафик (веб, почтовый и пейджинговый) проходит проверку на наличие конфиденциальных данных, а вся корпоративная корреспонденция и мгновенные сообщения архивируются. Решение также содержит центральную консоль управления и позволяет отсылать уведомления об инцидентах сотруднику службы ИТ-безопасности в режиме реального времени.

Компания-разработчик не уточняет, каким именно образом происходит проверка наличия конфиденциальной информации в потоке трафика, однако наличие в списке сопроводительных услуг таких сервисов, как обследование ИТ-инфраструктуры заказчика, помощь по внедрению и настройке решения, а также по формированию политики ИТ-безопасности и других нормативных документов, указывает на то, что в основе алгоритма проверки лежит лингвистический анализ с использованием базы контентной фильтрации, куда входит корпоративная конфиденциальная информация.

Все компоненты ioSentry Suite являются программными, и для их работы требуется многопроцессорное серверное оборудование, а это соответствующим образом отражается на совокупной стоимости владения продуктом. Между тем отсутствие аппаратных модулей в составе решения заставляет задуматься о целесообразности реализованного ioLogics подхода.

Необходимо отметить, что решение содержит только сетевые фильтры, осуществляющие контроль лишь над почтовым, Интернет- и пейджинговым трафиком. При этом коммуникационные возможности рабочих станций (принтеры, CD\DVD-RW, USB-, LPT-, IrDA-порты, Bluetooth и т.д.) остаются незащищенными. Отсюда следует, что ioLogics ioSentry Suite не обеспечивает комплексной защиты всех каналов утечки данных и что заказчики должны самостоятельно позаботиться о защите конфиденциальных данных на уровне персональных компьютеров. Тем не менее достоинством данного продукта является обеспечение полноценного контроля над пейджинговым трафиком с возможностью его архивации и хранения.

Vericept Intelligence Platform

Американская компания Vericept, находящаяся в Колорадо, поставляет комплексное решение Vericept Intelligence Platform, предотвращающее утечку конфиденциальной информации через пейджинговые, почтовые и Интернет-каналы.

Функциональность решения основывается на технологиях контентной фильтрации с использованием стандартного набора лингвистических алгоритмов: поиск ключевых фраз и лексических сигнатур, частотный анализ, учет контекста и т.д. Продукт производит фильтрацию содержимого, распределяя его по 50 предопределенным категориям. При этом могут использоваться параметры фильтрации, задаваемые пользователем.

Следует отметить, что решение компании Vericept позволяет хранить лишь ту информацию, которая описывает переданные по сети данные, но при этом архив отправленной и полученной корреспонденции не создается. Другими словами, у заказчика нет возможности провести полный ретроспективный анализ в случае возникновения инцидента. Общая характеристика Vericept Intelligence Platform представлена на рис. 5.

 

Рис. 5. Общая характеристика Vericept Intelligence Platform

Рис. 5. Общая характеристика Vericept Intelligence Platform

Еще одним слабым местом Vericept Intelligence Platform является отсутствие контроля над обращением конфиденциальной информации на уровне рабочих станций, то есть такие каналы, как принтеры, порты (USB, LPT и т.д.), беспроводные возможности и т.п., остаются незащищенными. Вследствие этого конфиденциальные данные по-прежнему могут легко покинуть корпоративный периметр.

Vidius PortAuthority Platform

Американская компания Vidius из Калифорнии поставляет комплексное решение Vidius PortAuthority Platform, предназначенное для предотвращения утечек конфиденциальных данных в корпоративной среде. Продукт осуществляет мониторинг передаваемой по сетевым каналам информации в режиме реального времени. Область покрытия включает следующие виды трафика: HTTP, SMTP, внутренние протоколы Microsoft Exchange и Lotus Domino, принтеры и факсы. Такие возможности позволяют PortAuthority функционировать без использования клиентских модулей, устанавливаемых на рабочие станции.

Анализ передаваемой информации происходит с помощью технологий, основанных на цифровых отпечатках пальцев. Компания-поставщик утверждает, что подобный подход позволяет предотвратить утечку не только конфиденциального документа в целом, но и его отдельных частей. В дополнение к этой технологии используется простейший анализ передаваемых данных по следующим параметрам: тип файла и ключевые фразы. Методы контекстного, частотного и другого анализа не используются.

Помимо указанной фильтрующей функциональности, Vidius PortAuthority позволяет архивировать и шифровать почтовую корреспонденцию, что значительно облегчает расследование инцидентов в сфере ИТ-безопасности.

Упрощенная схема работы комплексного решения с применением технологии анализа цифровых отпечатков пальцев представлена на рис. 6.

 

Рис. 6. Схема работы Vidius PortAuthority

Рис. 6. Схема работы Vidius PortAuthority

Слабым местом решения является незащищенность конфиденциальной информации на рабочих станциях. Хотя такие каналы, как принтеры и факсы, все-таки находятся под контролем продукта, целый ряд других возможностей (CD\DVD-RW, USB-, IrDA-порты, Wi-Fi и т.д.) остается полностью открытыми. Все это позволяет рекомендовать Vidius PortAuthority для использования только в тех случаях, когда необходимо защитить исключительно каналы электронной почты и Интернета.

Vontu

Калифорнийская компания Vontu поставляет одноименный продукт для выявления и предотвращения утечек конфиденциальной информации в корпоративной среде. В состав последней, 5-й версии решения входят несколько компонентов:

  • Vontu Monitor и Vontu Discover — отвечают за анализ Интернета, почтового и пейджингового трафика в реальном масштабе времени. Полный список покрываемых протоколов включает SMTP, IM (AOL, MSN, Yahoo), HTTP, FTP, NNTP, Telnet, POP, IMAP и IRC. Компания-разработчик не указывает четких различий между Monitor и Discover: каждый из них осуществляет анализ трафика. Фильтрация данных осуществляется с помощью технологий лингвистического анализа, основой которых является база конфиденциального контента. В модуль Vontu Monitor закладываются некоторые политики ИТ-безопасности, определяющие возможности персонала при работе с конфиденциальными данными. В случае возникновения инцидента продукт оповещает сотрудника службы безопасности;
  • Vontu Prevent — предотвращает утечку данных. Так, если Monitor в результате фильтрации выявит контент, запрещенный к пересылке, блокировать передачу этих данных будет именно модуль Vontu Prevent. Если говорить о передаче почтовых сообщений, то, в зависимости от настроек, подозрительные письма могут быть отправлены в карантин, перенаправлены определенному адресату и т.д. Кроме того, данный модуль отвечает за шифрование трафика в соответствии с принятыми политиками;
  • Vontu Enforce — осуществляет централизованное управление компонентами Monitor, Prevent и Discover, а также позволяет задавать общие корпоративные политики ИТ-безопасности.

Схема работы решения показана на рис. 7.

 

Рис. 7. Схема работы Vontu 5.0

Рис. 7. Схема работы Vontu 5.0

Сильной стороной продукта является возможность органично шифровать трафик в рамках предотвращения утечек информации по сетевым каналам. Хотя многие поставщики позволяют незаметно для пользователей подключать разработанные партнерами модули, отвечающие за шифрование, но только в Vontu эта функциональность предусмотрена по умолчанию.

Однако решение Vontu не является комплексным, поскольку вообще не обеспечивает защиту ресурсов рабочих станций. Другими словами, злоумышленник легко может переписать конфиденциальные документы на портативный носитель или передать их за периметр корпоративной сети посредством беспроводных технологий. К тому же полностью открытым остается такой канал утечки информации, как принтеры. С учетом широкого распространения компактных мобильных накопителей и средств печати отсутствие данной функциональности в решении компании Vontu следует признать серьезным недостатком.

В начало В начало

Комплексный подход

В приведенной итоговой таблице представлены основные характеристики рассмотренных решений. При выборе продуктов заказчику следует обращать внимание прежде всего на диапазон защищаемых ими каналов утечки конфиденциальной информации. Для обеспечения комплексной защиты от внутренних угроз необходима как можно более широкая защита коммуникационных возможностей ИТ-инфраструктуры: электронной почты, Интернета и ресурсов рабочих станций.

 

Основные характеристики продуктов

Основные характеристики продуктов

Оптимальным вариантом решения для выявления и предотвращения утечек является сочетание аппаратной и программной реализаций сетевых фильтров. «Железные» устройства позволяют значительно облегчить развертывание продукта в разветвленной сети филиалов, снизить расходы на эксплуатацию и обеспечить высокопроизводительную фильтрацию данных, а программные компоненты обладают несколько большей гибкостью и могут быть модифицированы в соответствии со специфическими требованиями конкретного заказчика.

Сегодня на рынке представлены комплексные решения для борьбы с утечками конфиденциальных данных. Некоторые коммерческие и государственные структуры уже внедрили тот или иной продукт в свою ИТ-инфраструктуру. Остальным организациям только предстоит сделать свой выбор.

КомпьютерПресс 3'2006


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует