Защита от инсайдеров: от поставщиков к заказчикам
Основные результаты опроса крупных корпораций
Проблемы на пути внедрения защиты от инсайдеров
В области информационной безопасности наибольшее внимание организации уделяют, как правило, защите от внешних атак, поэтому почти все средства, выделяемые на обеспечение безопасности, направляются на защиту уязвимых точек периметра сети предприятия. Сложившаяся ситуация нашла соответствующее отражение и на рынке решений ИТ-безопасности — в последние годы предлагается широкий спектр различных средств защиты от вирусов, червей, троянцев и прочих угроз извне.
Однако постепенно предприятия начинают осознавать новую опасность. Она исходит не от хакеров, не от спама или случайных вирусов, а от собственных сотрудников. Инсайдеры находятся внутри самой организации и наделены вполне легальными полномочиями, поэтому им гораздо проще получить доступ к интересующей их информации, чем любому злоумышленнику со стороны. Чтобы лучше разобраться в проблеме, обратимся к проведенному в 2006 году исследованию американской аналитической компании Aberdeen Group «The Insider Threat Benchmark Report — Strategies for Data Protection», в ходе которого были опрошены 88 крупных американских корпораций.
Основные результаты опроса крупных корпораций
Угроза со стороны инсайдеров все нарастает. Современный бизнес уже не может игнорировать эту опасность и усиленно готовится к противодействию. Компании, которые предпочитают ее не замечать или экономят на внедрении новых систем безопасности, несут серь езные убытки. Многие компании, упомянутые в исследовании, серьезно пострадали от утечек данных и только потом позаботились о мерах пресечения. Их пример должен послужить уроком для других фирм.
Предприятиям, желающим обезопасить себя от утечек конфиденциальной информации, следует со всей ответственностью подойти к решению проблемы. Иррациональная экономия на средствах безопасности выльется в солидные убытки в ближайшем будущем. Лучшим вариантом будет прибегнуть к помощи профессионалов, специализирующихся на системах защиты от инсайдеров. Такие системы смогут легко интегрироваться в уже существующую инфраструктуру. Вдобавок, компании-продавцы не только обеспечат работоспособность решения, но и гарантируют его высокую эффективность.
Как такового средства против инсайдеров не существует. Надежно защитить информацию поможет лишь применение целого комплекса мер и решений. Несмотря на инерционность крупных поставщиков, на рынке имеется достаточное количество готовых комплексов, обеспечивающих защиту от инсайдеров и утечек.
Одной из важнейших современных технологий защиты информации является фильтрация сетевого трафика (уже внедрена у 53% респондентов). Еще 28% планируют установить подобные фильтры в текущем году. Кроме того, весьма перспективной технологией является классификация данных. Хотя сегодня ее используют только 42% корпораций, в этом году их количество возрастет на 44% (то есть до 86%). Однако серьезное беспокойство вызывает тот факт, что неоправданно малое число респондентов использует другие эффективные решения для защиты от утечек и инсайдеров, например мониторинг действий служащих.
Для многих предприятий одним из главных препятствий (44%) на пути внедрения дополнительных средств защиты от утечек информации является ограниченность IT-ресурсов. В то же время внедрение таких средств защиты позволяет не только значительно уменьшить риск потери важных данных, но и заметно (на 17,5%) снизить затраты на деятельность ИТ-подразделений.
Текущее положение
Нет ничего удивительного в том, что последствия инсайдерских инцидентов зачастую оказываются гораздо более плачевными, чем даже удавшаяся атака хакеров. Причин тому немало. Одной лишь легкостью доступа к различным информационным ресурсам все не объяснить. Дело в том, что информация, украденная инсайдерами, как правило, является более важной, чем та, которую способны раздобыть хакеры. Одна из важнейших причин роста угрозы со стороны инсайдеров и легкости осуществления ими противоправных действий — это халатность служб внутренней IT-безопасности (если таковые вообще существуют). Организации оказываются не готовыми противостоять инсайдерам, поскольку у них попросту нет соответствующих инструментов. Даже если угроза идентифицирована, работники сферы без опасности еще не могут должным образом противостоять ей, так как не наработали должного опыта в указанной сфере. Вообще, на рынке уже сейчас можно найти комплексные решения для защиты конфиденциальной информации от инсайдеров. К сожалению, зачастую ответственные руководители не понимают всей серьезности угрозы. Они по инерции продолжают заниматься наращиванием усилий по защите периметра своей организации именно от внешней опасности.
Между тем новостные агентства и СМИ уделяют все больше внимания именно проблеме инсайдеров. Специалисты говорят о росте числа утечек конфиденциальной информации и их печальных последствиях: потере времени, финансовых убытках и ударе по репутации. Кроме того, отмечается глобальная тенденция, заключающаяся в том, что бизнес начинает переключаться именно на проблему внутренней ИТ-безопасности.
Сравнительные диаграммы предприятий по различным категориям
В ходе исследования «The Insider Threat Benchmark Report — Strategies for Data Pro tection» аналитикам удалось выяснить, что за последний год многие поставщики и дис трибьюторы ИТ-систем качественно изменили номенклатуру предлагаемых решений. При этом увеличилась доля продуктов, предназначенных именно для борьбы с инсайдерами. Однако в то же самое время наиболее крупные ИТ-поставщики продолжают расширять свой традиционный ассортимент, сохраняя пропорции решений на прежнем уровне. Это говорит либо о недооценке потенциала соответствующей линейки продуктов, либо о малом текущем спросе. Тем не менее 41% американских респондентов уже внедрил в свою ИТ-инфраструктуру средства защиты, в той или иной мере решающие проблему инсайдеров.
Отметим, что российские заказчики могут воочию убедиться в том, что интерес к системам для борьбы с утечками и инсайдерами со стороны поставщиков и системных интеграторов сильно возрос. Например, «Лаборатория Касперского» выделила свой бизнес в сфере внутренней ИТ-безопасности в отдельную компанию — InfoWatch, а практически все российские системные интеграторы включили решения этой фирмы в свою продуктовую линейку. По словам Дениса Зенкина, директора по маркетингу компании InfoWatch, за 2005 год прибыль предприятия возросла на 120% и в 2006 году наблюдалась аналогичная картина. И это несмотря на то, что российские компании существенно отстают от американских в использовании систем для защиты от инсайдеров. Согласно исследованию «Внутренние ИТ-угрозы в России 2005», в ходе которого компания InfoWatch опросила более 300 отечественных организаций, лишь 2% респондентов применяют системы для борьбы с инсайдерами и утечками. Однако рост прибылей поставщиков однозначно указывает на то, что положение это постепенно меняется.
Кроме того, к системам для борьбы с инсайдерами совсем недавно проявила интерес еще одна крупная антивирусная компания — McAfee. В октябре 2006 года она купила израильскую фирму Onigma, чье единственное решение предназначено как раз для выявления и предотвращения утечек. Согласно пресс-релизу, McAfee интегрирует технологии Onigma в свое собственное решение и, таким образом, начнет экспансию на рынке решений внутренней ИТ-безопасности.
Не исключено, что в ближайшее время на рынке продуктов для защиты от утечек появится самая крупная в сфере ИТ-безопасности компания — Symantec. В целом можно смело утверждать, что включение в свой ассортимент продуктов для борьбы с инсайдерами является чрезвычайно перспективным направлением диверсификации для всех звеньев цепи дистрибьюции решений ИТ-безопасности.
Взгляд с другой стороны
Вернемся теперь к результатам исследования «The Insider Threat Benchmark Report — Strategies for Data Protection» и посмотрим на системы защиты от инсайдеров и утечек глазами заказчика. Все американские компании можно условно разделить на три неравные по количественному составу группы: отстающие (30%), середнячки (50%) и лидеры (20%). У отстающих предприятий показатели деятельности в целом ниже, чем средние по отрасли, а у лидеров соответственно выше. Оказывается, что абсолютно все успешные организации (100% респондентов) считают защиту конфиденциальных данных важнейшим направлением в деле борьбы с инсайдерами. Кроме того, лучшие компании значительно шире используют политики идентификации и разграничения доступа (75%). Характеристики различных групп в сфере внутренней ИТ-безопасности представлены на рисунке.
Из диаграмм видно, что лидирующие компании предпочитают рассматривать проект внедрения системы защиты от инсайдеров в качестве полноценной деловой задачи. При этом особое значение они придают комплексу сопроводительных услуг. Это позволяет построить максимально эффективную систему внутренней безопасности и не перекладывать нетипичные задачи на плечи собственных служащих. Кроме того, лучшие в своей отрасли предприятия стараются минимизировать человеческий фактор за счет использования полностью автоматизированных процессов. Наконец, лидеры во главу угла ставят интеграцию продуктов в единую и управляемую систему, поэтому ценят гибкость внедряемого решения для защиты от инсайдеров.
Попробуем оценить проблему внутренней безопасности в плане технологий (табл. 1). После изучения нескольких отраслей промышленности выяснилось, что основными используемыми технологиями являются: пароли, системы идентификации, биометрия, сканирование сетевого трафика и управление доступом пользователей к конфиденциальной информации.
Таблица 1. Технологии защиты безопасности: текущее состояние и прогноз
Технологии |
Доля респондентов, использующих технологию уже сейчас, % |
Доля респондентов, планирующих внедрить технологию в ближайшие 12 месяцев, % |
Сложные пароли |
67 |
26 |
Списки контроля доступа |
66 |
24 |
Фильтрация сетевого трафика |
53 |
28 |
ID-карты |
49 |
13 |
Сканирование периметра |
45 |
23 |
Автоматический мониторинг доступа работников |
42 |
30 |
Классификация данных (по степени конфиденциальности) |
42 |
44 |
Единая точка входа |
38 |
33 |
Токены |
29 |
19 |
Идентификация с запросом и подтверждением |
28 |
29 |
Аутентификация посредством обратного вызова на мобильный телефон |
24 |
21 |
Ровно 50% из лучших по отраслям фирм использует сложные пароли, фильтрацию сетевого трафика и списки контроля доступа. Более того, компании намерены существенно наращивать применение именно этих технологий. Так, доля сложных паролей возрастет на 26% и достигнет 93%; популярность списков контроля доступа увеличится на 24% и доберется до отметки в 90%, а доля фильтрации сетевого трафика возрастет с 53 до 81%. Между тем использование ID-карт, несмотря на распространенность их в настоящее время, вряд ли можно считать популярным направлением. Лишь 13% респондентов планируют внедрить данную технологию в этом году.
Любопытно, что наиболее перспективными технологиями являются автоматический мониторинг доступа сотрудников к важным данным (ожидается рост до 72%) и классификация данных (с 42% в 2006 году до 86% в нынешнем). Здесь результаты исследования совпадают с мнением отечественных специалистов в области защиты информации. В аналитическом центре InfoWatch считают, что именно автоматическому мониторингу действий инсайдеров и классификации данных компании уделяли незаслуженно мало внимания в прошедшие годы. Между тем, без этого построить надежную систему защиты просто невозможно.
Далее, согласно опросу, те же самые 53%, которые используют фильтрацию трафика, считают, что одна только защита периметра недостаточна для обеспечения внутренней безопасности. Необходимо, помимо прочего, развивать виртуальные частные сети, чтобы не снижать уровень безопасности при коммуникациях с внешними партнерами.
Перечисленные технологии обеспечивают многоуровневый подход и позволяют повысить безопасность конфиденциальных данных. Однако, помимо технологической стороны, не стоит забывать и о банальной физической сохранности информации. Можно назвать немало примеров того, как важные документы попадали в руки злоумышленников после взлома офиса и кражи компьютерного оборудования. Более того, резервные ленты и мобильные носители с конфиденциальным содержимым зачастую теряются во время транспортировки или в командировках.
Защита от инсайдеров
В настоящее время отсутствует единая сложившаяся точка зрения на то, как регламентировать доступ пользователей. Это вынуждает организации обеспечивать централизованное управление данными в распределенной среде. Технологии могут сделать возможными управляемость, подотчетность и безопасность данных, но для этого требуется применять их должным образом. В свою очередь, методы использования зависят от специфики деятельности предприятия-заказчика. Следовательно, требуется провести глубокий и всесторонний анализ той ИТ-инфраструктуры, на которой предполагается разворачивать систему безопасности. Многие заказчики абсолютно справедливо поручают дело оценки и выбора технологий специально созданным группам, куда входят специалисты различного профиля.
Современные технологии и методы противодействия инсайдерам существенно разли чаются. Дело в том, что поставщики не могут предложить универсального средства от инсайдеров. Они предоставляют целый комплекс решений для определения отклонений, классификации данных по степени конфиденциальности и ограничению доступа.
Несмотря на то что только 51% компаний из числа опрошенных в ходе исследования считают, что комплексные решения для защиты от инсайдеров исключительно важны, оставшиеся 49% не оценивают их роль так высоко. Впрочем, значимость данного результата за ключается в том, что как минимум половина респондентов отдает предпочтение комплексным решениям. Это говорит о том, что они действительно озабочены данной проблемой и понимают важность совместных мер.
Кроме того, в некоторых отраслях участники обязаны в большей степени соблюдать конфиденциальность данных клиентов. Постоянно меняющееся законодательство на федеральном и региональном уровнях все больше внимания уделяет именно защите персональной информации (таким, как ф.и.о., дата рождения, домашний адрес, номера кредитных карт, медицинского полиса и др.).
Организации должны осознать важность законодательных распоряжений в области защиты личности. По мнению участников опроса, чтобы улучшить управление, требуется автоматизировать санкционированный доступ. Компании, не автоматизирующие списки контроля доступа, подготовку и классификацию данных, могут столкнуться с серьезными проблемами. Так, 78% респондентов считают защиту информации важнейшей причиной для построения защиты от инсайдеров. Итак, предприятия только начинают осознавать угрозу со стороны инсайдеров и в силу различных причин стараются преуменьшать значение внутренних инцидентов. Однако скрыть тенденцию роста опасности со стороны инсайдеров невозможно.
Проблемы на пути внедрения защиты от инсайдеров
Рассмотрим еще два интересных результата исследования. В табл. 2 приведены пять наиболее серьезных, по мнению респондентов, проблем, которые возникают при внедрении системы защиты от внутренних угроз, а также варианты их решения. Табл. 3 аналогична табл. 2 по структуре, но составлена на базе ответов респондентов, входящих в группу лидирующих компаний. Сравнивая полученные данные, легко заметить различия подхода к данной проблеме середнячков и наиболее успешных представителей бизнеса. Если для лидеров главной проблемой является наложение внедряемого решения на уже используемые технологии (75%), то для всех респондентов в целом — это ограниченность ИТ-ресурсов (44%). В ходе проведения исследования выяснилось, что продвинутые организации уже внедрили комплексную защиту своей ИТ-инфраструктуры и таким образом прикрыли собственно сеть, а также обезопасили себя на уровне приложений. Теперь эти компании ищут способы укрепления налаженной системы безопасности. Организации же, для которых основной является проблема огра ниченности ИТ-ресурсов, серьезно лимитированы в действиях. Это вызывает тревогу, поскольку экономия на безопасности может привести к гораздо большим потерям. Очевидно, что ИТ-службы, как и службы ИТ-безопасности, должны получать финансирование в полном объеме. Ведь они готовят базу, на которой будут успешно функционировать все остальные подразделения.
Таблица 2. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе всех респондентов)
Проблема |
Доля ответов, % |
Решение проблемы |
Доля ответов, % |
Ограниченность ИТ-ресурсов для внедрения решения и управления им |
44 |
Определить требования до внедрения |
57 |
Сложность программного решения |
40 |
Определить владельцев данных и процессов |
49 |
Наложение решения на уже внедренные технологии |
38 |
Внедрять “сверху вниз”, начиная от технического и ИТ-департамента и заканчивая всеми остальными отделами |
45 |
Сопротивление работников нововведениям |
38 |
Фокусироваться на коротких проектах с быстрой отдачей |
36 |
Наложение решения на уже существующие процессы |
32 |
Провести тренинги по использованию новых процессов и процедур |
36 |
Анализируя таблицы, можно также отметить следующий довольно интересный факт: персонал компаний-лидеров проявляет свое недовольство нововведениями намного чаще, чем служащие средних предприятий (50 против 38%). Впрочем, ничего удивительного в этом нет. В сфере ИТ-безопасности человеческий фактор составляет не менее половины проблемы. Если, к примеру, какая-либо организация позволяет контрактникам, партнерам или поставщикам пользоваться своей сетью, но при этом не заботится о процедурах регламентирования доступа к информации, то можно смело утверждать, что проблемы в этом направлении у нее возникнут обязательно.
Таблица 3. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе компаний-лидеров)
Проблема |
Доля ответов, % |
Решение проблемы |
Доля ответов, % |
Наложение решения на уже внедренные технологии |
75 |
Фокусироваться на коротких проектах с быстрой отдачей |
50 |
Сопротивление работников нововведениям |
50 |
Постепенно свертывать и неспешно распространять среди пользователей новые решения |
50 |
Отсутствие средств на осуществление мероприятий |
50 |
Внедрять “сверху вниз”, начиная от технического и ИТ-департамента и заканчивая всеми остальными отделами |
50 |
Ограниченность IT-ресурсов для внедрения и управления решением |
50 |
Демонстрировать возможности и особенности решений начальникам подразделений |
25 |
Слабое владение инструментами для оценки рисков |
25 |
Проводить тренинги по использованию новых процессов и процедур |
25 |
В целом отстающие компании и середняки, в отличие от лидеров, в меньшей степени используют автоматизацию и интеграцию решений, а кроме того, имеют в штате малоопытных работников. Все это сказывается на эффективности анализа процедур безопасности и толкования его результатов. Зачастую лишь внедрение автоматизированных процессов и повышение квалификации сотрудников ведет к преодолению человеческого фактора. По результатам исследования, около 25% лучших предприятий используют полностью автоматизированные системы. В то же время к промышленной можно отнести всего 9% случаев автоматизации.
Информационная защищенность повышается по мере использования новых технологий в соответствии с требованиями бизнеса. Непрерывное совершенствование систем защиты принесет несомненную пользу. Согласно исследованию, организации, внедрившие системы защиты от инсайдеров, получили в среднем следующий эффект:
- сократились жалобы и обращения в ИТ-подразделения и службу поддержки — на 3,5%;
- сократилось количество инцидентов ИТ-безопасности — на 13%;
- сократились затраты на рабочую силу в ИТ-подразделениях — на 17,5%.
Таким образом, аналитики приходят к выводу, что организации, которые занимаются лишь внешней защитой, обречены на неудачу. Действительно, обеспечение безопасности по периметру организации помогает отразить нападение хакеров, в то время как компаниям, внедрившим у себя системы защиты от утечек и инсайдеров, действительно удается уменьшить количество инцидентов и сократить расходы на ИТ.
Заключение
Исходя из результатов проведенных исследований и оценки ситуации напрашиваются следующие выводы. Во-первых, не существует единой технологии защиты от инсайдеров. Обеспечить безопасность должным образом может лишь комплекс мер. Разрозненные продукты, сколь бы хороши они ни были, наверняка не решат проблем, возникающих при построении всеобъемлющей защиты. Да, за крыть одно из направлений можно, но сложность заключается в том, что существует огромное количество различных угроз. Злоумышленники действуют различными методами, и как раз для того, чтобы устранить все возможные лазейки, требуется создать многоуровневую систему.
Во-вторых, ответственность за сохранность конфиденциальной информации нельзя возложить на одного человека или даже на подразделение. В этом направлении должны тесно взаимодействовать сотрудники ИТ-службы и отдела обеспечения ИТ-безопасности. Еще более эффективным способом является привлечение специалистов с богатым опытом именно в сфере защиты от утечек. Последние предлагают глубокий анализ существующей ситуации и предоставляют заказчику конкретные решения. Выстраивается надежная система, которую может обслуживать уже персонал компании при необходимой поддержке интегратора.
В-третьих, имеющиеся в организации данные требуется тщательно изучить и структурировать по степени конфиденциальности. Затем на основании этой классификации следует выстроить систему ограничения доступа. Пользователи не должны иметь доступ к тем данным, которые не нужны им для выполнения служебных обязанностей. Кроме того, необходимо периодически пересматривать права доступа для поддержания системы разграничения в актуальном состоянии.
В-четвертых, человеческий фактор является одним из критических в системе защиты информации. К сожалению, именно люди становятся самым слабым звеном цепи. Зачастую инсайдерами являются сотрудники, ответственные если не за защиту конфиденциальных сведений, то, как минимум, за сохранение конфиденциальности информации. По незнанию или рассеянности, со злым умыслом или без него, но именно они могут приносить значительный вред своим работодателям. Намного опаснее ситуация, когда инсайдером является человек из ИТ-подразделения или из службы ИТ-безопасности. Его полномочия, разумеется, гораздо шире, чем у большинства прочих сотрудников, и он обладает достаточными знаниями и возможностями, чтобы незаметно «слить» данные. Именно вследствие указанных причин для успешного ведения дел требуется использовать профессиональные системы мониторинга за действиями служащих. Они должны быть как можно более автоматизированными, не зависящими от человека, чтобы была возможность контролировать сотрудника. Программные решения и комплексы являются наиболее эффективным методом защиты от возросшей угрозы со стороны инсайдеров. Конечно, не стоит забывать и о методах работы с сотрудниками. Им следует рассказывать о необходимости соблюдения норм безопасности и требовать от них исполнения существующих директив по работе с конфиденциальной информацией. Однако только программно-аппаратные средства в состоянии предупредить возможные случаи внутреннего хищения.