Алексей Доля
adolya@gmail.com

Задача обеспечения безопасности своих информационных активов сегодня стоит перед любой компанией. Конфиденциальные документы, приватные записи персонала и клиентов фирмы, торговые и промышленные секреты - все эти виды чувствительных сведений нуждаются в защите от самых разных угроз.

Последние данные однозначно свидетельствуют о том, что наиболее опасная угроза - утечка конфиденциальной информации. Так, согласно совместному исследованию ФБР и Института компьютерной безопасности (CSI/FBI Computer Crime Security Survey 2005), в котором приняли участие 700 представителей американского бизнеса, средний ущерб каждой компании, зарегистрировавшей кражу чувствительных сведений в 2005 г., составил 355,5 тыс. долл. Кроме того, эксперты отмечают, что число многомиллионных потерь вследствие утечки классифицированных данных постоянно растет (к примеру, компания ChoicePoint лишилась 11,5 млн долл., DSW Shoe Warehouse - 6,5 млн долл., Chipotle - 5,6 млн долл., а CardSystems Solutions просто обанкротилась).

Российские предприятия точно так же обеспокоены проблемой защиты своих информационных активов. Согласно исследованию компании InfoWatch ("Внутренние ИТ-угрозы в России 2005"), в ходе которого в конце 2005 г. было опрошено более 400 российских предприятий, именно кражу конфиденциальной информации считают самой опасной угрозой ИТ-безопасности. Эту точку зрения поддержали 64% респондентов, в то время как вредоносные коды и хакерские атаки назвали 49% и 48% соответственно.

Каналы утечки

Классифицированные данные могут выйти за пределы внутренней корпоративной сети самыми разными путями. В распоряжении инсайдеров находятся как почтовые ресурсы компании, так и выход в Интернет (Web-почта, чаты, форумы и т. д.). Однако наиболее опасным каналом утечки представители российского бизнеса назвали коммуникационные возможности рабочих станций, к которым следует отнести целый ряд портов (USB, LPT, COM, IrDA), различные типы приводов (CD/DVD-RW, ZIP, флоппи-дисководы), беспроводные сети (Bluetooth, Wi-Fi). Обеспокоенность руководителей именно этим каналом утечки продиктована прежде всего возросшей популярностью мобильных накопителей (рис. 1).

Fig.1 Рис. 1. Каналы утечки данных. Источник: исследование "Внутренние ИТ-угрозы в России 2005".

Следует отметить, что чувствительные сведения часто оказываются за пределами сетевого периметра не вследствие преднамеренных действий нечистых на руку служащих, а в результате простой безалаберности персонала. Действительно, сотрудники иногда берут работу на дом или переписывают классифицированные документы на портативный накопитель, чтобы просмотреть их на своем ноутбуке в командировке. Другими словами, служащими могут двигать благие побуждения, которые на практике часто приводят к компрометации торговых или промышленных секретов работодателя.

Средства защиты

Итак, бизнес регулярно сталкивается с проблемой выявления и предотвращения утечек конфиденциальной информации через ресурсы рабочих станций. Чтобы минимизировать эти риски, требуется либо комплексный подход, охватывающий все возможные каналы утечки, либо автономный проект, позволяющий обеспечить контроль над оборотом чувствительных сведений только на уровне рабочих станций.

Существует довольно много продуктов, позволяющих эффективно решить поставленную задачу. Наиболее полнофункциональным из них считается решение InfoWatch Net Monitor компании InfoWatch, которое мы подробно рассмотрим ниже. Помимо него, на рынке есть еще несколько продуктов сходной функциональности, но они не поддерживают мониторинг операций в средах Microsoft Office и Adobe Acrobat, на уровне файловой системы и с буфером обмена. Среди альтернативных решений стоит отметить предложения российских компаний SecurIT и SmartLine, а также иностранных поставщиков - Advanced Systems International S.A.C., Safend и SecureWave.

Продукт SecurIT Zlock (http://www.securit.ru) позволяет контролировать подключение внешних устройств через разнообразные порты (USB, LPT, COM, IrDA), беспроводные сети (Bluetooth и Wi-Fi), а также использование дисководов и приводов CD/DVD. Приложение поддерживает централизованное администрирование и ведение журнала.

Продукт SmartLine DeviceLock (http://www.protect-me.com) призван обеспечить контроль над доступом пользователей к внешним устройствам (USB, FireWire, COM, LPT, CD-ROM) и беспроводным сетям (Bluetooth, Wi-Fi), а также защитить жесткий диск рабочей станции от случайного или преднамеренного форматирования. Приложение поддерживает централизованное администрирование и ведение журнала.

Продукт Advanced Systems USB Lock Remote Protect (http://www.advansysperu.com) позволяет управлять доступом к USB-порту, дисководу и приводу CD-ROM (но не контролирует другие порты, устройства и накопители). Приложение поддерживает централизованное администрирование и ведение журналов событий.

Продукты Safend Auditor и Protector (http://www.safend.com) предназначены для пассивного и активного контроля над доступом к внешним устройствам и сменным накопителям соответственно. Приложения охватывают порты USB, FireWire, IrDA, PCMCIA, COM, LPT; беспроводные сети Wi-Fi и Bluetooth; приводы CD/DVD, ZIP, флоппи-дисководы. Поддерживается централизованное администрирование и ведение журнала.

Продукт SecureWave Sanctuary Device Control (http://www.securewave.com) контролирует интерфейсы USB, LPT, FireWire, Bluetooth, Wi-Fi, IrDA, PCMCIA, COM, IDE, SATA, а также поддерживает централизованное администрирование и ведение журналов.

В данной статье мы подробно рассмотрим возможности системы InfoWatch Net Monitor.

Возможности InfoWatch Net Monitor

Продукт InfoWatch Net Monitor (INM) разрабатывается и поставляется российской компанией InfoWatch (http://www.infowatch.ru). Он доступен заказчикам в составе InfoWatch Enterprise Solution (IES), комплексного решения для выявления и предотвращения утечек в корпоративной среде, либо как автономный продукт. Наряду с INM в комплексное решение входят модули InfoWatch Web Monitor (IWM) и InfoWatch Mail Monitor (IMM), предназначенные для контроля над Web и почтовым трафиком соответственно, а также модуль InfoWatch Mail Storage (IMS), позволяющий создавать архивы корпоративной корреспонденции с возможностью ретроспективного анализа. Архитектура IES представлена на рис. 2.

Fig.2 Рис. 2. Архитектура InfoWatch Enterprise Solution.

Последней новинкой в составе комплексного решения IES стал модуль InfoWatch Device Monitor (IDM), который также доступен в виде автономного продукта. Функциональность IDM органично дополняет и расширяет возможности INM, поэтому разработчики реализовали интегрированную версию этих двух продуктов, которую мы и будем рассматривать ниже. Таким образом, под аббревиатурой INM далее понимается именно InfoWatch Net Monitor с возможностями InfoWatch Device Monitor.

Продукт INM позволяет решить ряд проблем, с которыми сегодня сталкиваются организации, а именно:

  • операции с конфиденциальными документами, хранящимися в электронном виде, не протоколируются. Это увеличивает риск утечки чувствительной информации, а при возникновении такого инцидента не позволяет установить источник утечки;
  • печать конфиденциальных документов не контролируется, что оставляет инсайдерам полностью открытый канал утечки классифицированных данных;
  • не контролируется копирование конфиденциальных документов или их частей на сменные носители или внешние устройства, подключаемые через порты USB, IrDA и т. д. или беспроводные сети (Bluetooth, Wi-Fi);
  • отсутствует контроль над конфиденциальными документами, выносимыми за пределы компании с помощью ноутбуков, что фактически делает невозможным безопасное применение мобильных компьютеров в корпоративной среде.

Программный продукт INM позволяет решить все четыре названные проблемы (роль IDM как раз состоит в контроле над сменными носителями и внешними устройствами) с помощью специальных мониторов, централизованно устанавливаемых на рабочие станции и ведущих активный мониторинг действий пользователя.

Архитектура

Работу INM схематично иллюстрирует рис. 3. Ключевое место в распределенной архитектуре решения занимают программные мониторы, отвечающие за всесторонний контроль над обращением конфиденциальной информации на уровне рабочих станций.

Fig.3 Рис. 3. Схема работы InfoWatch Net Monitor.

Adobe Monitor контролирует работу пользователей в приложении Adobe Acrobat и отслеживает выполнение следующих операций: открытие и закрытие документа, сохранение документа с тем же именем и под другим именем (Save As), изменение документа и отправка его в очередь на печать.

File System Monitor контролирует работу пользователей с файлами, отслеживая выполнение следующих операций: создание, удаление, изменение, чтение и переименование файла. При определении правил работы данного монитора указывается не только контролируемая информация (имя или маска файла), но и процесс, выполняющий действие над контролируемой информацией.

Office Monitor позволяет перехватывать действия, выполняемые пользователем в среде Microsoft Office, контролировать работу с документами Word, Excel и PowerPoint и отслеживать выполнение следующих операций: открытие и закрытие документа, открытие документа путем вставки в текущий (Insert), отправка документа в очередь на печать, сохранение документа с указанным именем и под другим именем (Save As), копирование информации в буфер обмена, просмотр и изменение информации в свойствах документа, отправка документа (Send to…).

Print Monitor контролирует работу пользователей с принтерами и отслеживает выполнение операции "Добавление в очередь", т. е. помещение документа в очередь на печать процессом с именем, удовлетворяющим заданному условию.

Device Monitor позволяет перехватывать обращения пользователей к сменным носителям и внешним устройствам: CD/DVD-накопителям, включая пишущие устройства; дискетам и съемным накопителям информации, включая внешние жесткие диски, ZIP-накопители и т. д.; портам USB, COM, LPT и IrDA; средствам Bluetooth и Wi-Fi, а также FireWire.

Определение политик безопасности

Следует отметить, что продукт INM подходит как малым или средним предприятиям, вычислительная сеть которых состоит из десятков или сотен ПК, так и крупным компаниям, эксплуатирующим тысячи и десятки тысяч рабочих станций. Чтобы обеспечить такую расширяемость решения, разработчики реализовали функции централизованного управления программными мониторами, расположенными на настольных системах. Рассмотрим процесс конфигурирования решения, который происходит через специальную консоль - менеджер категорий (см. рис. 3) и предусматривает роль администратора безопасности.

Прежде всего пользователи, действия которых должны контролироваться, распределяются по зонам сети. Внутри каждой зоны определяются правила безопасности, регламентирующие работу пользователей с классифицированной информацией. Сама процедура проходит в три этапа. Вначале администратор безопасности формирует список пользователей для каждой из зон сети. Для этого он может импортировать учетные записи пользователей из корпоративной ADS (в ходе эксплуатации продукта доступна синхронизация списка учетных записей INM с ADS) или создать их вручную. Затем он распределяет пользователей своей зоны по группам и назначает для каждой группы соответствующие политики безопасности. Наконец, на заключительном этапе администратор настраивает для каждой политики перечень контролируемых действий (перечень операций, перехватываемых мониторами).

Особое внимание стоит уделить правилам, которые администратор безопасности задает для доступа к внешним устройствам и сменным накопителям. Здесь в его распоряжении оказываются стандартные возможности: запретить/разрешить доступ (без каких-либо дополнительных условий) и разрешить только чтение. Вдобавок каждая из этих операций может сопровождаться записью информации о событии в специальный журнал. Дополнительную гибкость предоставляют "белые списки" устройств, позволяющие сделать некоторые исключения. Эта возможность особенно удобна в тех случаях, когда электронные брелоки используются в целях двухфакторной аутентификации или доступа к зашифрованным данным.

Заметим, что один и тот же пользователь корпоративной сети может быть определен в нескольких зонах. При этом в разных зонах сети он может быть включен в разные группы пользователей; соответственно в процессе работы на контролируемых объектах разных зон сети для него в общем случае могут выполняться разные политики безопасности. Не зарегистрированные в системе пользователи автоматически распределяются в "Группу по умолчанию" и попадают под действие политики "Политика по умолчанию". Таким образом, продукт INM позволяет централизованно задавать права доступа к контролируемой информации.

Мониторинг действий пользователей

Из приведенного выше описания функциональных обязанностей администратора безопасности видно, что он отвечает лишь за корректное определение политик, но не участвует в интерактивном мониторинге действий пользователей. Последняя роль также предусмотрена архитектурой INM и отводится офицеру безопасности, в задачи которого входит обработка событий, связанных с контролируемой информацией на рабочих станциях, а также подготовка отчетов об активности пользователей корпоративной сети. Другими словами, в обязанности офицера входит постоянный мониторинг действий пользователей с помощью специальной консоли - рабочего места офицера безопасности (см. рис. 3).

Привлечение специального сотрудника для выполнения функций, предусмотренных ролью офицера безопасности, особенно актуально для крупных компаний, так как позволяет реализовать действительно интеллектуальный мониторинг действий пользователя. При этом от самого офицера не требуется верифицировать каждую операцию на удаленной рабочей станции. Для этих целей вполне достаточно мониторов и принятой политики, но если пользователь будет пытаться злостно нарушить установленные правила, обмануть программные мониторы или вывести их из строя, офицер безопасности получит оперативное оповещение об инциденте и сможет принять меры.

Помимо активного мониторинга действий пользователя, происходящего в реальном масштабе времени, в продукте INM реализована не менее важная функциональность пассивного мониторинга, что позволяет проводить ретроспективный анализ, собирать и обрабатывать статистику, составлять отчеты. В этой связи необходимо отметить лог-сервер (см. рис. 3), куда стекается информация обо всех действиях пользователей с конфиденциальными документами.

Мониторы, установленные на рабочих станциях, подробно протоколируют события. В протокол могут входить следующие атрибуты: тип выполняемой пользователем операции, реакция монитора на детектированную операцию, сведения о конфиденциальном документе (над которым выполнялась операция), имя учетной записи пользователя, имя компьютера, время (когда имела место операция) и имя процесса (с указанием полного пути исполняемого файла), выполнившего перехваченное действие.

Информация обо всех событиях пересылается на лог-сервер, где в соответствии с настройками архивируется и хранится. Такой подход позволяет снять лишнюю нагрузку с ресурсов рабочей станции, перенося ее на выделенный модуль, что приводит к действительно прозрачному для пользователей функционированию продукта.

Собранную в протоколах информацию о событиях можно использовать для статистического анализа, а также для создания, экспорта и печати отчетов. Результаты ретроспективного исследования могут помочь оптимизировать принятые политики, предотвратить планомерные злоумышленные действия, выявить тенденции в использовании конфиденциальных документов сотрудниками и т. п.

Накопленная на сервере информация позволяет не только расследовать инциденты ИТ-безопасности и выявлять источник утечки, если она произойдет, но и выполнить формальные требования ряда международных, иностранных и российских нормативных актов. Среди них можно назвать Акт Сарбейнса - Оксли (Sarbanes-Oxley Act), соглашение Basel II, Директивы Евросоюза о приватности и защите данных, стандарты Центробанка и т. д.

В заключение отметим, что архитектура INM предусматривает работу программных мониторов не только на стационарных рабочих станциях, но и на ноутбуках. В последнем случае клиентская часть продукта получает соответствующие политики в то время, когда мобильный компьютер находится в пределах корпоративной сети. Когда работа выполняется удаленно (за периметром сети), мониторы по-прежнему анализируют активность пользователя и верифицируют совершаемые операции согласно требованиям политики. Дополнительно ведется протокол всех действий пользователя, который пересылается на лог-сервер сразу после того, как ноутбук снова оказался в корпоративной сети. Вдобавок, если в период автономной работы были совершены запрещенные операции, офицеру безопасности тут же отсылается соответствующее сообщение. В результате удается реализовать политику ИТ-безопасности и защитить конфиденциальную информацию даже в условиях удаленной работы пользователей на ноутбуках.

Таким образом, продукт INM позволяет организовать контроль над конфиденциальными документами, минимизировать риски утечки конфиденциальной информации за пределы корпоративной сети и несанкционированной модификации классифицированных документов внутри сети, а также определить источник утечки в том случае, если предотвратить ее не удалось.

"Цифровые игрушки" могут быть опасными

По мере широкого распространения "цифровых игрушек", например, мультимедиа-плееров iPod, сотрудники многих компаний стали подключать чрезвычайно емкие мобильные устройства (а емкость iPod может достигать 60 Гбайт) к корпоративной сети, объясняя это желанием переписать любимые музыкальные композиции на свой рабочий компьютер или, наоборот, на плеер. Не подготовленные к такому компании практически ничего с этим не могли поделать, ведь за каждым служащим не уследишь, а соответствующие технические решения еще не внедрены. Более того, в случае малейшего подозрения на утечку конфиденциальных сведений эти мобильные устройства приходилось изымать и исследовать, так как по идее ничто не мешает инсайдеру вынести целую базу данных в миниатюрном плеере.

Однако даже использование сотрудниками "стандартных" устройств подвергает информационные активы работодателя риску. Согласно исследованию журнала SC Magazine (Mobile Usage Survey 2005), почти 80% пользователей не шифруют данные на карманных компьютерах и смартфонах, хотя точно знают, что на этих мобильных устройствах хранится критическая информация: чувствительные приватные записи и ценные сведения компании. Так, 81% респондентов хранит на портативных устройствах имена и адреса, 45% используют мобильные устройства, чтобы получать и просматривать электронную почту, и 27% хранят на них важную для компании информацию. Около двух третей пользователей ведут деловые дневники с помощью карманных компьютеров и смартфонов, а 14% хранят на них приватные данные клиентов компании.

Исследование выявило и тот факт, что в течение года возросло число случаев потери или кражи мобильных устройств. Например, в предыдущем году лишь 16% респондентов утратили свой карманный компьютер или смартфон, а в 2005-м - уже 22%. При этом в 81% случаев, когда портативное устройство было потеряно или украдено, оно не было защищено шифрованием.