Защита от утечек через рабочие станции
Рабочие станции предоставляют инсайдерам целый ряд каналов утечки информации: принтеры, портативные устройства, беспроводные сети, съемные носители и т.д. Существует целый ряд продуктов, представленных на российском рынке и позволяющих так или иначе решить проблему утечки через рабочие станции. Обзору таких продуктов и посвящена данная статья.
Сегодня уже ни у кого не остается сомнений, что наиболее опасной угрозой ИТ-безопасности является утечка корпоративных секретов. Об этом однозначно свидетельствуют и результаты последних опросов российских компаний. Например, согласно исследованию компании InfoWatch , в ходе которого в конце 2005 года были анкетированы более 300 государственных и коммерческих организаций России, именно кража конфиденциальной информации волнует отечественные предприятия больше всего. В пользу такой точки зрения высказались 64% респондентов, в то время как на вредоносные коды и хакерские атаки указали лишь 49 и 48% соответственно (рис. 1).
Рис. 1. Наиболее опасные угрозы ИТ-безопасности (источник: InfoWatch, 2006)
Информационная инфраструктура современной компании изобилует различными коммуникационными каналами, которые могут использоваться не только для решения задач бизнеса, но и для «слива» конфиденциальной информации. Так, в распоряжении инсайдеров практически повсеместно оказываются почтовые ресурсы, выход в Интернет (веб-почта, чаты, форумы), принтеры, обычные порты рабочих станций, беспроводные сети и т.д. Однако наиболее опасным каналом утечки представители российских организаций считают коммуникационные возможности рабочих станций, то есть стандартные порты (COM, LPT, USB), различные типы приводов (CD/DVD-RW, ZIP, Floppy), беспроводные сети (Wi-Fi, Bluetooth, IrDA) и любые другие средства снятия данных с персонального компьютера без использования корпоративной почты и Интернета. Обеспокоенность руководителей именно этими каналами утечки продиктована прежде всего возросшей популярностью мобильных накопителей (рис. 2), которые в течение последнего года подешевели и получили более широкое распространение.
Рис. 2. Наиболее популярные каналы утечки данных (источник: InfoWatch, 2006)
Следует отметить, что чувствительные сведения часто оказываются за пределами сетевого периметра не вследствие преднамеренных действий нечистых на руку служащих, а из-за простой безалаберности персонала. Так, некоторые сотрудники предпочитают брать работу на дом или переписывают классифицированные документы на портативный накопитель, чтобы изучить их на своем ноутбуке в командировке. Другими словами, благие побуждения служащих на практике могут привести к компрометации торговых или промышленных секретов работодателя.
Таким образом, проблема предотвращения утечек на уровне рабочих станций является сегодня одной из самых злободневных. Минимизировать эти риски можно либо в рамках комплексного подхода, предполагающего покрытие всех возможных каналов утечки, либо путем внедрения автономного продукта, позволяющего закрыть лишь один из каналов утечки. Оба типа таких решений будут рассмотрены далее.
3ami MAS
Продукт MAS (Monitoring & Audit System) выпускается компанией 3ami. Купить его или скачать пробную версию можно в Интернете (http://www.3ami.com/). Основная задача MAS — обеспечивать глубокий пассивный мониторинг всех действий пользователей и вести расширенный журнал всех операций для аудита в будущем.
Решение MAS позволяет выявить и зафиксировать любые изменения в программной и аппаратной конфигурации корпоративных рабочих станций, перехватить и отразить в журнале событий все произведенные служащим операции на ПК, а также сохранить все исходящие и входящие почтовые сообщения вместе с вложениями.
Разработчик ориентирует свой продукт на корпоративный и государственный сектор. Главной особенностью MAS является возможность быстро просмотреть статистику (отчет с графиками), отражающую активность конкретной рабочей станции или заданного пользователя, а также ситуацию в организации в целом (рис. 3). Учет изменений в аппаратной и программной конфигурации позволяет сделать ИТ-инфраструктуру компании совместимой с некоторыми законодательными и отраслевыми нормами. Вдобавок, действия служащих на персональных компьютерах можно исследовать постфактум и в точности повторить их, как по видеосъемке.
Рис. 3. Программа MAS отображает активность пользователей
Решение фирмы 3ami легко устанавливается и настраивается, при этом оно невидимо для пользователя удаленной рабочей станции. Администратор может получать сведения об активности служащих почти в режиме реального времени (задержка составляет всего несколько секунд) и проверять записи как прошлых месяцев, так и прошлых лет. Продукт доступен для расширения и может обеспечивать контроль над несколькими тысячами персональных компьютеров.
Компания 3ami указывает, что отчеты MAS позволяют взглянуть на информационную активность организации с высоты птичьего полета и определить узкие места во взаимодействии пользователей с ИТ-инфраструктурой. Например, можно выявить тех пользователей, которые слишком много времени проводят в чатах, форумах и т.д. Таким образом, руководство будет знать, куда следует приложить усилия, чтобы повысить производительность труда.
К недостаткам MAS можно отнести пассивный характер мониторинга. Так, если служащий подключит к своей рабочей станции портативный USB-накопитель и «сольет» на него все корпоративные секреты, то обнаружить это будет можно только в ходе проверки журналов событий самим администратором. Даже если такая ревизия будет осуществляться ежедневно, что практически невозможно в крупной организации, заметить утечку удастся лишь в конце рабочего дня, когда чувствительные данные уже попадут в руки конкурентов или мошенников. При этом обязательно надо иметь в виду, что анализ всех операций пользователя необходимо осуществлять вручную, то есть для этих целей нужен отдельный сотрудник. Причем эффективность такого анализа легко может быть поставлена под сомнение, так как отыскать запрещенные действия среди сотен и тысяч операций очень сложно.
Таким образом, продукт MAS подходит для организаций, которые устраивает пассивный характер мониторинга активности пользователей. Чаще всего такая ситуация может возникнуть, когда фирме необходимо обеспечить совместимость с определенными нормативами (например, с законом SOX, с соглашением Basel II и т.д.). В таком контексте действительно имеет смысл согласиться с отсутствием возможности блокировать утечку заблаговременно, но получить все выгоды от использования решения из низкой ценовой категории.
InfoWatch Net Monitor
Продукт Net Monitor разрабатывается и поставляется российской компанией InfoWatch. Он доступен заказчикам в составе InfoWatch Enterprise Solution — комплексного решения для выявления и предотвращения утечек в корпоративной среде, а также в виде отдельного продукта. Комплексное решение InfoWatch позволяет предотвратить утечку по почтовым и веб-каналам, обеспечить всесторонний контроль над оборотом конфиденциальных данных на уровне рабочих станций, а также организовать архив абсолютно всех данных, пересылаемых по протоколам SMTP и HTTP, с возможностью ретроспективного анализа.
Далее будет рассмотрена интегрированная версия InfoWatch Net Monitor с функциональностью Device Monitor. Этот продукт позволяет решить следующие четыре проблемы, которые сегодня создают основные трудности для организаций. Во-первых, операции, производимые с конфиденциальными документами, хранящимися в электронном виде, не протоколируются. Это приводит к повышению рисков утечки чувствительной информации, а в случае возникновения такого инцидента не позволяет установить источник утечки. Во-вторых, печать конфиденциальных документов не контролируется, что оставляет инсайдерам полностью отрытый канал утечки классифицированных данных. Между тем, как показало исследование «Внутренние ИТ-угрозы в России 2005», одна треть представителей бизнеса обеспокоена использованием именно печатающих устройств в целях кражи информации (см. рис. 2). В-третьих, не контролируется копирование конфиденциальных документов или их частей на сменные носители или на внешние устройства, подключаемые через разнообразные порты (USB, COM, IrDA и др.) и беспроводные сети (Bluetooth, Wi-Fi). Другими словами, у инсайдеров есть удобный и высокоскоростной канал утечки. В-четвертых, отсутствует контроль над конфиденциальными документами, выносимыми за пределы компании с помощью ноутбуков. По сути, эта проблема делает невозможным безопасное применение мобильных компьютеров в корпоративной среде, так как нельзя проследить за активностью пользователей вне офиса.
Продукт InfoWatch Net Monitor решает все четыре проблемы (на долю Device Monitor приходится как раз контроль над сменными носителями и внешними устройствами — проблема № 3). На рис. 4 представлена схема работы Net Monitor.
Рис. 4. Схема работы InfoWatch Net Monitor
Ключевое место в распределенной архитектуре решения занимают программные мониторы, осуществляющие активный контроль над обращением конфиденциальной информации на уровне рабочих станций. Всего в решении задействовано пять мониторов: Adobe Monitor, File System Monitor, Office Monitor, Print Monitor и Device Monitor. Рассмотрим их функциональность.
Adobe Monitor позволяет контролировать работу пользователей в приложении Adobe Acrobat и отслеживает выполнение следующих операций: открытие и закрытие документа, сохранение документа с указанным именем и под другим именем (Save As), изменение документа и отправка его в очередь на печать.
File System Monitor позволяет контролировать работу пользователей с файлами и отслеживает выполнение следующих операций: создание, удаление, изменение, чтение и переименование файла. При определении правил работы данного монитора указывается не только контролируемая информация (имя или маска файла), но и процесс, выполняющий действие над контролируемой информацией.
Office Monitor позволяет перехватывать действия, выполняемые пользователем в среде Microsoft Office, то есть контролирует работу с документами Word, Excel и PowerPoint. При этом монитор отслеживает следующие операции: открытие и закрытие документа, открытие документа путем вставки в текущий (Insert), печать документа, сохранение документа с указанным именем и под другим именем (Save As), копирование информации в буфер обмена, просмотр и изменение информации в свойствах документа, отправка документа (Send to…).
Print Monitor позволяет контролировать работу пользователей с принтерами и отслеживает выполнение операции «Добавление в очередь», то есть помещение документа в очередь на печать процессом с именем, удовлетворяющим заданному условию.
Device Monitor позволяет перехватывать обращения пользователей к сменным носителям и внешним устройствам: CD/DVD-накопителям, включая пишущие устройства; дискетам и съемным накопителям информации, в том числе внешним жестким дискам, ZIP-накопителям и т.д.; USB-, COM-, LPT- и IrDA-портам; Bluetooth и Wi-Fi, а также FireWire.
Продукт доступен для расширения, поэтому его можно использовать как в малых или средних вычислительных сетях, так и в организациях, где применяются десятки тысяч рабочих станций. Развертывание, администрирование и управление в реальном времени осуществляется через специальную центральную консоль.
Основной особенностью InfoWatch Net Monitor является возможность блокирования утечки именно конфиденциальной информации, а не всех сведений подряд. Хотя администратор действительно может свести функциональность решения к стандартным сценариям «разрешить только чтение» и «использовать белые/черные списки устройств», на практике намного удобнее определить политики, запрещающие съем только чувствительных документов. В этом случае будет заблокирована только та операция, в результате которой под угрозу могут попасть классифицированные данные. Если Net Monitor зафиксирует запрещенную операцию, то заблокирует ее в режиме реального времени, оповестит пользователя о недопустимости такого действия, сообщит офицеру ИТ-безопасности об инциденте и сохранит весь контекст события в специальный журнал.
Интеллектуальный алгоритм распознавания конфиденциальной информации включает уникальную базу контентной фильтрации, специфичную для каждого заказчика. В этом контексте существенно возрастает роль сопроводительных и консалтинговых услуг, оказываемых поставщиком. Среди них стоит выделить анализ ИТ-инфраструктуры и профиля деятельности клиента, помощь в формализации целей и средств ИТ-безопасности, создание политики безопасности и соответствующей нормативной базы, а также подстройку решения под специфические требования заказчика.
В заключение отметим, что архитектура InfoWatch Net Monitor предусматривает работу программных мониторов не только на стационарных рабочих станциях, но и на ноутбуках. В последнем случае клиентская часть продукта получает соответствующие политики в то время, когда мобильный компьютер находится в пределах корпоративной сети. Когда работа совершается удаленно (за периметром), мониторы по-прежнему анализируют активность пользователя и верифицируют совершаемые операции согласно требованиям политики. Дополнительно ведется протокол всех действий пользователя, который автоматически анализируется сразу после того, как ноутбук снова оказался в корпоративной сети. Если в период автономной работы были совершены запрещенные операции, соответствующее сообщение тут же отсылается офицеру безопасности. В результате удается реализовать выполнение политики ИТ-безопасности и защитить конфиденциальную информацию даже в условиях удаленной работы пользователей на ноутбуках.
SecurIT Zlock
Продукт Zlock поставляется российской компанией SecurIT. Он позволяет решить проблему несанкционированного использования в корпоративной сети периферийных устройств. Основное назначение системы Zlock — разграничение прав доступа пользователей к портативным устройствам, например к USB-памяти и внешним накопителям. Для каждого типа периферии программа предполагает возможность настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо вообще запретить доступ.
Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это дает возможность назначать разные права доступа к устройствам одного класса, например запретить использование USB-памяти, но при этом разрешить применение USB-ключей для аутентификации пользователей.
Таким образом, продукт позволяет контролировать внешние устройства, подключаемые к USB-порту, а также жесткие диски, дисководы, приводы компакт-дисков, порты FireWire, COM, LPT и PCMCIA, контроллеры IrDA, Bluetooth и Wi-Fi. Вдобавок, можно обеспечить контроль над любым физическим или логическим устройством, имеющим символическое имя.
Среди назначаемых прав доступа предусмотрены следующие возможности: запрет доступа для всех пользователей, разрешение полного доступа для всех пользователей, доступ только на чтение для всех пользователей, индивидуальное назначение прав доступа для конкретных пользователей или групп аналогично с доступом к папке или к файлу в Windows. Существует также специальный вид политики — политика по умолчанию, в которой задается, что делать с устройствами, не описанными в других политиках.
Администратор может создавать любое количество политик для управления доступом к устройствам для различных пользователей. Каждой политике назначается приоритет, который используется для разрешения конфликта, если одно и то же устройство соответствует больше чем одной политике. Все политики могут быть сохранены в файл и восстановлены из файла.
Управление системой Zlock осуществляется централизованно, с использованием единой системы администрирования Zconsole (рис. 5). С ее помощью можно устанавливать и удалять Zlock на выбранных компьютерах сети прямо с рабочего места администратора, а также централизованно управлять правами доступа к устройствам.
Рис. 5. Централизованная консоль управления продуктом Zlock
Стоит обратить внимание и на такую полезную функцию, как ведение журнала. Информация обо всех попытках подключения устройств, в том числе неудачных, записывается в журнал, в качестве которого может использоваться, например, текстовый файл.
Следует отметить, что программа Zlock не умеет отличать чувствительные сведения от публичных документов, поэтому в некоторых ситуациях будет явно затруднять работу служащих. Например, сотрудники отдела маркетинга просто не смогут переписать свою презентацию на USB-память, а если разрешить им доступ к USB-портам, то вместе с рекламными документами на внешний носитель может попасть конфиденциальная база данных клиентов. Кроме того, неумение Zlock отличить секретный документ от обычного файла приводит к невозможности использовать продукт на ноутбуках. Как известно, одно из основных преимуществ мобильных компьютеров состоит именно в богатых коммуникационных возможностях, например по использованию беспроводных сетей для доступа к Интернету вне офиса. Очевидно, что если Zlock оставит открытым хоть один сетевой порт ноутбука, то инсайдер сможет «слить» абсолютно все конфиденциальные файлы. Однако если запретить отсылать данные на эти порты, то вся функциональность Wi-Fi, Bluetooth и т.д. окажется заблокированной. В результате мобильный компьютер станет просто бесполезен.
В заключение заметим, что Zlock является точечным решением. Компания SecurIT не поставляет никаких других решений для защиты от внутренних угроз, так что все остальные каналы утечки (принтеры, веб, почта и т.д.) заказчику придется контролировать своими силами. Между тем, ИТ-безопасность должна быть комплексной.
Вместо заключения
Характеристики всех рассмотренных продуктов представлены в таблице.
Характеристики рассмотренных продуктов для защиты от утечек
При выборе конкретного продукта следует прежде всего исходить из целей организации и специфических параметров заданной вычислительной сети. Например, если в компании не используются ноутбуки, то такой параметр, как эффективная защита мобильных компьютеров, можно проигнорировать. То же самое относится и к созданию комплексной системы предотвращения утечек конфиденциальной информации. В ней заинтересованы преимущественно крупные и средние организации, в то время как малый бизнес часто может обеспечить контроль над инсайдерами организационными мерами. Особое внимание необходимо при анализе сценариев использования чувствительных данных и рабочих станций служащими. Если персоналу требуется время от времени переписывать на USB-память несекретные файлы, то решения для полного блокирования USB-портов могут принести больше вреда, чем пользы.
Таким образом, в настоящее время на российском рынке предлагаются различные решения, позволяющие обеспечить контроль над рабочими станциями в корпоративной среде.