Съемные носители как угроза информационной безопасности
Средства разграничения доступа
29-летний аналитик крупной компьютерной фирмы Дэниел Харрингтон (Daniel Harrington) вряд ли мог предположить, что станет причиной скандала государственной важности. В конце октября прошлого года съемный носитель, принадлежавший Харрингтону, был найден на общественной автомобильной парковке около паба в английском городе Кэннок, графство Стаффордшир. И все бы ничего, да только на этом носителе были размещены секретные пароли доступа к глобальной базе данных английского электронного правительства Government Gateway.
На самом деле этот случай — не только результат халатности отдельного сотрудника, он отражает общую тенденцию информационной безопасности последних лет. С развитием информационных технологий секретная и ценная информация стала текучей, как никогда, а съемные носители являются настоящей головной болью офицеров безопасности и специалистов по управлению рисками.
Проблема
Сегодня можно с уверенностью утверждать, что важнейшим активом любой современной компании является информация. Как и всякий критически важный актив, информация нуждается в защите, а в случае ее утечки компания несет довольно серьезные убытки.
Институт Ларри Понемона давно пытается оценить масштаб этих потерь в численном эквиваленте. По данным отчетов за 2008 год, средние убытки в результате всего лишь одного инцидента измеряются миллионами долларов. Больше всего достается американским компаниям — они теряют от утечки в среднем 6,6 млн долл. Английским и немецким организациям пока приходится не так тяжело: средний ущерб от инцидента в этих странах составил 1,73 млн фунтов стерлингов и 2,41 млн евро соответственно.
Очевидно, что для подавляющего большинства организаций данные суммы весьма существенны. Они автоматически делают проблему утечек одной из наиболее приоритетных для корпоративных служб информационной безопасности. Проблема заключается в том, что организации неправильно проводят декомпозицию угроз — они защищаются от тех каналов утечки, которые на деле являются не слишком критичными.
Пожалуй, самым простым примером является всеобщая ориентация рынка на защиту от так называемых внешних угроз — вредоносного ПО, спама или хакерских вторжений. Конечно, эти угрозы никуда не исчезают, однако, по данным Ponemon Institute (для США) , на них приходится не более 7% всех инцидентов. Оставшиеся 93% утечек вызваны действиями инсайдеров — сотрудников с санкционированным доступом к конфиденциальной информации.
В этом смысле различные мобильные носители являются едва ли не идеальным каналом утечки. Они далеко не всегда контролируются службой безопасности (в отличие, например, от электронной почты) и обладают достаточной емкостью, чтобы вместить все интересующие данные.
Варианты решения
Прежде чем думать о вариантах защиты информации на съемных носителях, организация должна решить, стоит ли их вообще применять. Превышает ли коммерческая выгода от использования флэшек (flash memory sticks), смартфонов и прочих мобильных устройств те риски утечек, которые при этом возникают?
Судя по всему, большинство компаний не хотят лишать сотрудников такого удобного средства поддержки и ускорения бизнес-процессов. Их вполне можно понять — ведь без использования флэшек не всегда можно провести презентацию или поработать дома. Как следствие, такие радикальные варианты, как отсутствие физических портов или специальные аппаратные заглушки на них, сегодня применяются сравнительно редко и в основном не организацией в целом, а только ее отдельными подразделениями, имеющими дело с наиболее коммерчески ценной или конфиденциальной информацией. Современные предприятия предпочитают использовать более эффективные и удобные программные средства защиты информации.
Средства разграничения доступа
На следующей ступени эволюции средств защиты находятся системы контроля доступа пользователей к портам компьютера, принтерам, а также к локальным подключениям смартфонов и КПК. В отличие от физических мер, полностью блокирующих доступ, они позволяют более тонко разграничивать доступ, причем делать это централизованно: с помощью интегрированной консоли управления офицер безопасности определяет, каким пользователям предоставить доступ к тем или иным локальным портам, на каких компьютерах и на какое время. Кроме того, такие системы могут поддерживать workflow-механизмы, предоставляющие пользователю доступ к той или иной операции по его запросу.
Если система контроля запрещает пользователю доступ к тому или иному порту, интерфейсу или принтеру в конкретный момент времени — угроза утечки информации отсутствует. В противном случае утечка возможна, однако ее последствия можно минимизировать с помощью механизмов теневого копирования. Данный функционал (кстати, он реализован далеко не во всех представленных на рынке продуктах) позволяет сохранить копию всей передаваемой информации в централизованной базе данных. Таким образом, офицер безопасности всегда может проверить, какая информация покинула корпоративную информационную систему и по каждому из возможных локальных каналов передачи данных.
В ряде современных систем контроля доступа к локальным портам и подключениям реализована полезная возможность определения политик, зависящих от типа передаваемых данных. Данная функция предполагает, например, что можно разрешить передавать на съемные носители файлы Microsoft Word, но запретить данную операцию для файлов PDF. То есть система не только отслеживает операцию передачи, но и фильтрует типы передаваемых по локальным каналам данных.
DLP-системы
Отмеченная выше особенность роднит системы контроля доступа со следующим классом систем защиты данных—– решениями сегмента DLP (Data Leak Prevention). По определению ведущего отраслевого эксперта в этой области Рича Могулла (Rich Mogull) , именно глубокий анализ информационного содержимого исходящих данных является главной характеристикой DLP-систем. Подобные решения определяют легитимность той или иной операции на базе технологий контентной фильтрации.
Перспективы DLP-систем весьма многообещающи, именно поэтому практически все ведущие игроки рынка информационной безопасности активно инвестируют в развитие этого направления. Другое дело, что уровень качества их современной реализации пока не позволяет говорить о всеобъемлющем контроле информации, передающейся по локальным портам на мобильные носители. И тому есть несколько причин.
Во-первых, необходимо отметить, что современный уровень технологии контентной фильтрации не позволяет полностью избежать ошибок ложного распознавания содержимого данных — так называемых ложноположительных (false positive) и ложноотрицательных (false negative) срабатываний. В итоге уровень точности систем контентной фильтрации редко превышает 80-85%.
Во-вторых, глубокий контентный анализ — весьма ресурсоемкий процесс. Когда вы отправляете письмо по электронной почте, DLP-система перехватывает его в сети и анализирует на уровне SMTP-сервера с достаточной для этой задачи производительностью. Если же информация копируется локально, такой подход неприменим, поскольку информация в принципе не попадает в сеть.
В результате создателям DLP-систем приходится идти на компромисс: либо пересылать теневые копии информации на сервер и потом получать по ней вердикт, либо анализировать информацию локально. В первом случае оказывается значительная нагрузка на сеть и возникают длительные задержки (представьте, что будет, если вы копируете на съемный носитель фильм в формате High Definition), а во втором — страдает качество анализа, поскольку персональному компьютеру не хватает мощности для данного вида обработки либо он работает по более простым и менее надежным алгоритмам.
Третья причина, ограничивающая применение DLP-систем для контроля локальных портов, тесно связана с первой. Дело в том, что из-за требований к контентной фильтрации DLP-системы изначально были спроектированы как шлюзовые решения, а потому их агентские компоненты еще не достигли достаточного уровня зрелости. Да, они умеют фильтровать данные, однако контроль всего разнообразия различных портов и каналов потенциальной утечки данных, а также гибкость локальных политик DLP-систем на endpoint-компьютерах находятся пока на более низком уровне, чем в случае хорошо развитых шлюзовых систем контроля контента сетевых коммуникаций.
IRM-системы
Кроме систем разграничения доступа и DLP-систем существует еще один способ защиты, о котором специалисты почему-то часто забывают. Речь идет о системах класса IRM (Information Rights Management), которые никак не ограничивают использование съемных носителей, однако существенно снижают вероятность утечек.
Работа типичной IRM-системы строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый с помощью IRM файл помещается в шифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Суть IRM состоит в том, что даже если такой контейнер попадет за пределы сети, то без прав доступа к документу он будет совершенно бесполезен.
С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема практически эквивалентна принудительному шифрованию экспортируемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам. Решения класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить компанию от случайных утечек, но редко — от утечек спланированных. Добавим, что эффективность IRM-систем существенно зависит от количества «помеченных» файлов и интенсивности их модификаций пользователем. На практике данное требование эквивалентно классификации всех корпоративных данных, что является достаточно трудоемкой задачей.
Заключение
До идеального мира, в котором на мобильные носители копируются только персональные данные или публичные презентации, к сожалению, пока еще далеко. Любой способ защиты от угроз съемных носителей представляет собой компромисс между удобством пользователей, требованиями службы безопасности и стоимостью решения. Широко разрекламированные DLP-системы контентной фильтрации пока не могут полностью решить проблему локальных утечек данных с компьютеров сотрудников организаций и потому де-факто остаются нишевыми решениями.
На современной стадии развития средств защиты от инсайдерских утечек более эффективно использование простых, но при этом гораздо более дешевых и надежных средств разграничения доступа, обладающих всеобъемлющими возможностями контекстного контроля в сочетании с некоторым базовым функционалом фильтрации контента. Они решают большую часть проблем, связанных с мобильными носителями, и полностью удовлетворяют потребностям подавляющего большинства организаций.
Наиболее эффективным и популярным продуктом такого класса является программный комплекс DeviceLock производства российской копании «Смарт Лайн Инк». DeviceLock — это система централизованного контроля доступа пользователей к периферийным устройствам и портам ввода-вывода персональных компьютеров и серверов под управлением ОС Microsoft Windows. DeviceLock позволяет контролировать все типы локальных каналов утечки на компьютерах пользователей в корпоративной ИС и полный спектр портов и внешних устройств.
В новой версии DeviceLock 6.4 принципиально повышена гранулированность контроля привилегий пользователей за счет поддержки функции детектирования и фильтрации типов файлов для любых операций файловой системы. Обеспечиваются перехват, экстракция, детектирование типа и блокирование файловых объектов во всех локальных каналах утечки данных защищаемого компьютера, при этом администраторы безопасности могут дополнительно задавать гибкие правила событийного протоколирования операций и теневого копирования данных с точностью до типов файлов.
Вторая важнейшая функция DeviceLock 6.4 реализована на базе интеграции с программным продуктом ViPNet SafeDisk 4 производства компании «Инфотекс», предназначенным для шифрования данных, которые хранятся на внутренних дисках и внешних носителях ПК. Комплекс DeviceLock и SafeDisk — это первое на российском рынке интегрированное решение по контролю шифрования съемных устройств памяти любых типов, которое использует российские криптоалгоритмы и позволяет администраторам ИБ предотвратить несанкционированный экспорт данных на внешние носители в нешифрованном виде, не запрещая при этом сотрудникам сохранять их зашифрованными для использования в служебных целях.
Существенное улучшение управляемости DeviceLock 6.4 достигнуто за счет поддержки полнофункциональных политик доступа, протоколирования и теневого копирования в режиме офлайн, когда защищаемый компьютер находится вне корпоративной сети или серверы управления DeviceLock недоступны. Этот режим реализован дополнительно к управлению агентами DeviceLock в режиме онлайн, причем переключение между режимами осуществляется автоматически.
В планах компании «Смарт Лайн Инк» — дальнейшее развитие решений и услуг по информационной защите endpoint-компьютеров на базе DeviceLock.