защита от инсайдеров - помогите с выбором

[dot_sent 140]

а вот насчет легкости поиска закладок - это вы погорячились. очень это трудоемкая и не дешевая работа. дешевле свой аналог написать. одна надежда на широкую общественность smile.gif

Исходники драйвера ТруКрипта занимают порядка 10 тысяч строк кода С++ (без учета кода алгоритмов шифрования). Не так и много для проверки. Другой вопрос, что лично у меня были претензии к формату контейнера, скажем... Впрочем, это уже оффтоп.

[andrey golubev 15]

Исходники драйвера ТруКрипта занимают порядка 10 тысяч строк кода С++ (без учета кода алгоритмов шифрования). Не так и много для проверки. Другой вопрос, что лично у меня были претензии к формату контейнера, скажем... Впрочем, это уже оффтоп.

для профессионального програмера, специализирующегося на фильтрах файловой системы и криптографии может и не много.

но Вы же не будете утверждать, что в любой СБ есть сотрудник способный выполнять такую работу ? скорее можно сказать, что таких единицы, или я сильно отстал от жизни

[Рустэм Хайретдинов 30]

1. это большое количество пользователей умеющих программировать, т.е. любой вариант с кодированием информации может быть реализован, а после этого и слов не будет и хеши изменяться

Правильно ли я понимаю, что у квалифицированных программистов есть возможность редактировать все что угодно (иначе не заменишь слова и символы)?

Т.е. стоит задача, не ограничивая доступ к документам с правами редактирования с компьютеров с возможность локального хранения информации, оснащенных открытыми каналами коммуникации, защитить информацию неопределенного заранее содержания и структуры? И, возможно, пользователи могут устанавливать и запускать все, что угодно (например, системы шифрования). Может быть они даже имеют права локального администратора?.

Круто, боюсь, в этих условиях задача не имеет технического решения, тем более малобюджетного. Закрытие каналов после доступа к конфиденциальной информации проблему не решит, мы делали такой продукт под названием Ambit, потом бросили. Все приходит к тому, что в течение очень короткого времени все компьютеры, документы и процессы становятся секретными и работа останавливается. Приходится сбрасывать все метки проводить аудит и метить все сначала. Опять же - что делать с черновиками, новыми документами и входящими? Что-то вроде этого есть у Symantec Vontu, (контейнеры, агенты, которые не дают копировать из документа и сохранять его в другом месте и т.д.), но и там при доступе на редактирование с полными правами есть вопросы. Цены на Vontu вас тоже не порадуют.

В идеале нужно централизовать корпоративную почту, запретить посты в web, разделить сети на коммуникационную (внешнюю) и секретную (внутреннюю), во внутренней ввести терминальный доступ, оставить USB-порты и принтеры только начальникам отделов с персональной ответственностью за информацию, им доверенную. Ноутбуки командированных подключать только через NAC, который будет принудительно осуществлять терминальный доступ. Любителям Интернет сделать Интернет-кафе. Для защиты статической информации - использование DRM-технологий, обчно ставят Adobe или RMS. И т.д. - есть методики, которые с успехом лет двадцать применяются в госструктурах и банках. Правда, там на этом не сильно экономят.

[andrey golubev 15]

Правильно ли я понимаю, что у квалифицированных программистов есть возможность редактировать все что угодно (иначе не заменишь слова и символы)?

по моему вполне естественно, что программисты могут редактировать исходники , так же как и любой файл сохраненный на свем компьютере

ведь обычно все что можно прочитать, можно скопировать на свой комп, а там уже делать что хочешь

а потом совсем необязательно редактировать сам документ, достаточно иметь возможность редактировать файл в котором документ хранится, не разбираясь с его форматом

Т.е. стоит задача, не ограничивая доступ к документам с правами редактирования с компьютеров с возможность локального хранения информации, оснащенных открытыми каналами коммуникации, защитить информацию неопределенного заранее содержания и структуры? И, возможно, пользователи могут устанавливать и запускать все, что угодно (например, системы шифрования). Может быть они даже имеют права локального администратора?.

в общем случае да, кроме последнего. админские права поотнимали почти у всех кроме ит-шников, но их тоже надо контролировать

Круто, боюсь, в этих условиях задача не имеет технического решения, тем более малобюджетного.

сто процентной защиты не бывает - задача снизить риск, и создать инсайдеру по больше проблем

и орг меры в качестве дополнения никто не запрещал

Закрытие каналов после доступа к конфиденциальной информации проблему не решит, мы делали такой продукт под названием Ambit, потом бросили. Все приходит к тому, что в течение очень короткого времени все компьютеры, документы и процессы становятся секретными и работа останавливается. Приходится сбрасывать все метки проводить аудит и метить все сначала.

а вот это как раз и зависит от конкретной реализации продукта и совместимости его с используемыми прикладными приложениями и возможности подстройки

Опять же - что делать с черновиками, новыми документами и входящими? Что-то вроде этого есть у Symantec Vontu, (контейнеры, агенты, которые не дают копировать из документа и сохранять его в другом месте и т.д.), но и там при доступе на редактирование с полными правами есть вопросы. Цены на Vontu вас тоже не порадуют.

да немало такого есть - SafeUse, SecrecyKeeper, Security Studio и т.п. - вопрос в конкретной реализации.

[Рустэм Хайретдинов 30]

Андрей, нет ни одной компании, которая бы пользовались этими продуктами на числе компьютеров больше, чем десять (пользовались, а не купили лицензий ). Не из-за реализации, замечу, продукты не при чем, а из-за невозможности встроить политики их использования в реальный бизнес без угрозы остановить его.

SafeUse это и есть Ambit со встроенным шифрованием, поэтому я знаю о чем говорю. Бессмысленно говорить с продавцами, они лица заинтересованные, нужно говорить с пользователями, а они на форум точно писать не будут. Если вы не хотите наступить на грабли, на которые уже наступали ваши коллеги, могу вас познакомить с парой CISO из крупных компаний, которые уже прошли этот путь и теперь используют такие продукты для защиты небольших закрытых сегментов - отдела кадров, Первого отдела, конструкторского бюро и т.д.

Удачи,

Рустэм

[andrey golubev 15]

Андрей, нет ни одной компании, которая бы пользовались этими продуктами на числе компьютеров больше, чем десять (пользовались, а не купили лицензий ).

Рустэм, извините, но это лишь ваше предположение.

SafeUse это и есть Ambit со встроенным шифрованием, поэтому я знаю о чем говорю. Бессмысленно говорить с продавцами, они лица заинтересованные, нужно говорить с пользователями, а они на форум точно писать не будут. Если вы не хотите наступить на грабли, на которые уже наступали ваши коллеги, могу вас познакомить с парой CISO из крупных компаний, которые уже прошли этот путь и теперь используют такие продукты для защиты небольших закрытых сегментов - отдела кадров, Первого отдела, конструкторского бюро и т.д.

спасибо, но мне придется самому пройтись по граблям. т.к. я должен предоставить собственный отчет о возможности или не возможности построения решения, чужой опыт в зачет не идет.

пока тестируем SecrecyKeeper, Perimetrix что-то тянет (вернее инегратор), Security Studio отпала на этапе чтения документации и общения с тех сапортом - модефицирует схему AD, плюс там крайне не удобная концепция пользовательских сессий

[Александр Шабанов 120]

Perimetrix что-то тянет (вернее инегратор)

Не поэтому ли случаем - http://www.anti-malware.ru/forum/index.php?showtopic=4248

Релиз вроде бы только осенью обещали...

[Рустэм Хайретдинов 30]

Рустэм, извините, но это лишь ваше предположение.

спасибо, но мне придется самому пройтись по граблям. т.к. я должен предоставить собственный отчет о возможности или не возможности построения решения, чужой опыт в зачет не идет.

Я не настаиваю, Андрей, Вы в любом случае делаете полезное не только для вашей компании дело. Мой опыт - не предположение, а знание, конечно же, неполное. Я плотно изучал этот вопрос в ноябре-декабре прошлого года, чтобы понять - инвестировать в Ambit или нет, интервьюировал десятки якобы пользователей, отсюда и опыт.

Если у вас получится реализовать проект, вы станете очень востребованным экспертом. Не хотите выступить на конференции 6 ноября с докладом на эту тему?

[Mona Sax 50]

по личному опыту - бОльшая часть изначально поставленных задач решается грамотным персоналом, администрирующим данную сеть. если админсостав неадекватен в 2/3 поставленных задач - то надо менять. не экономя на профессиональных администраторах, кстати.

[skif 0]

по личному опыту - бОльшая часть изначально поставленных задач решается грамотным персоналом, администрирующим данную сеть. если админсостав неадекватен в 2/3 поставленных задач - то надо менять. не экономя на профессиональных администраторах, кстати.

слово "неадекватен" видимо надо читать как "не компетентен"

не могли бы вы привести пример, из вашего опыта, как грамотным персоналом и штатными средствами можно решить задачи

1. архивирования трафика для обеспечения возможности проведения расследований, с учетом того что в организации разрешено использовать почтовые сервисы с веб-интерфейсом.

2. предотвращение утечки или кражи конфиденциальной информации с рабочих станций, с учетом того, что полностью запрещать применение съемных носителей нельзя, и запрещать пользоваться интернетом тоже нельзя, и еще куча условий описанных в первом посте темы

[Рустэм Хайретдинов 30]

пока тестируем SecrecyKeeper,

Андрей, как продвигается тестирование, есть ли какие-то результаты? Смотрели ли какие-то другие продукты? Очень интересен ваш опыт.

[andrey golubev 15]

Андрей, как продвигается тестирование, есть ли какие-то результаты? Смотрели ли какие-то другие продукты? Очень интересен ваш опыт.

тестирование закончили, результаты нас устроили, используя штатные средства и SecrecyKeeper задачи по предотвращению утечки решили на устраивающем нас уровне, осталось обеспечить возможность расследования (архивирование трафика и поиск по архиву), тут смотрели инфовотч и фортигейт. инфовотч конечно очень интересен, но стоит дорого.

предложение на периметрикс нам в конце концов прислали, но пилот с секресикипером был уже в работе, продукт нас в принципе устраивал и стоит он в разы дешевле, поэтому периметрикс уже не тестировали.

не много позже я выложу описание того, что мы сделали, какие задачи и как порешали, интересно почитать обсуждение.

[Рустэм Хайретдинов 30]

тестирование закончили, результаты нас устроили, используя штатные средства и SecrecyKeeper задачи по предотвращению утечки решили на устраивающем нас уровне, осталось обеспечить возможность расследования (архивирование трафика и поиск по архиву).

Если вам нужно только архивировать и искать - посмотрите продукты Софтинформа, они существенно дешевле. Читал про почтовый архив, который делает SecurIT, говорят, берут его охотно.

Ждем отчета - редко встретишь реальный кейс на такую тему.

[andrey golubev 15]

Вводная.

ЛВС компании состоит из ~200 рабочих станций и серверов под управлением Windows XP/2003. Управление сетью - MS AD.

Реализована политика ограничения использования программ на основе MS SRP. АВ защита на основе антивируса Касперского.

Корпуса компьютеров опечатаны. Сеть на свичах с настроенной блокировкой по MAC-адресам.

Выход в интернет через шлюз FreeBSD + squid, почта внешний почтовый сервер MDaemon.

Контролируемые отделы (условные названия) и технологии обработки информации:

Финансовый - 1С, Word, Excel, Outlook, IE, icq, флэшки;

Бухгалтерия - 1С, Word, Excel, Outlook, icq;

Кадры - 1С, Word, Excel, Outlook, icq;

Бизнес-технологии - Word, Excel, Outlook, IE, icq, флэшки;

Остальные отделы - у них секретной информации нет и быть не должно, частично эта задачи решается назначением прав доступа.

Задачи:

1. Контроль перемещения информации с целью как случайного (халатность), так и преднамеренного (кража) ее несанкционированного распространения

(любая передача данных по сети, копирование на съемные носители, печать).

2. Хранение всей финансовой и бухгалтерской информации централизованно в зашифрованном виде и гарантированное отсутствие ее на рабочих

станциях.

3. Запрет съемных носителей везде где они не нужны.

Описание понятий и терминологии используемых в документации продукта.

SecrecyKeeper реализует полномочный контроль доступа, в котором в отличии от дескриционного хозяин документа не может менять свои полномочия

по работе с информацией хранящейся в документе. Управление полномочиями осуществляет офицер безопасности. Под полномочиями имеется в виду

возможность передачи информации из грифованного документа по различным каналам связи (сеть локальная и глобальная, съемные носители, печать).

Информации хранящейся как в локальных файлах так и на серверах можно присваивать грифы - общедоступно, конфиденциально, секретно. Гриф

ставится либо на локальный файл, либо на сетевой ресурс (шара, сетевой порт).

уровень допуска пользователя

к данным - информацию с каким грифом можно прочитать;

к сети - информацию с каким грифом можно передать в сеть на не безопасный компьютер;

к съемным носителям - информацию с каким грифом можно копировать на съемный носитель;

к печати - информацию с каким грифом можно печатать.

уровень безопасности компьютера

на доступ - максимальный гриф информации, к которой можно получить доступ с данного ПК;

на хранение - максимальный гриф информации, которую можно сохранить на данном ПК;

служебный - для описания доверенных служб (например LDAP - 389 порт контроллера домена), это доверенные ресурсы, доступ к ним не блокируется.

Мы использовали только два грифа - общедоступно и секретно.

Агент ставится на все рабочие станции (на сервера ставить нельзя). Настройки по умолчанию: уровни допуска пользователей и уровни безопасности

рабочих станций имеют значения общедоступно. Это сразу гарантирует не возможность сохранения секретной информации на ПК тех, кто не должен

иметь к ней допуск. Также, по умолчанию блокируется доступ к съемным носителям.

Для пользователей имеющих право на работу с секретами ставим уровень безопасности ПК на доступ в значение секретно. Т.к. все секретные ресурсы

сетевые, то доступ получить можно, а локально сохранить нельзя. Кому нужно открываем доступ к съемным носителям. Доступ к компьютерным портам

можно регулировать статически, т.е. без учета грифа информации, с которой ведется работа.

Для пользователей имеющих право на работу с секретами ставим уровни допуска к данным и печати - секретно, к сети и сменным носителям оставляем

по умолчанию - общедоступно. При таких настройках, сохранить информацию на ноутбук не возможно.

На файловом сервере для каждого пользователя из бухгалтерии и фин отдела создана шареная папка, для которой установлен уровень секретно, в

этой папке обрабатываются секретные данные, которые необходимо хранить в файлах MS Office - в нашем случае различные выборки из 1С. на

рабочих станциях эти данные не сохраняются.

На ПК пользователей не имеющих доступ к грифованной информации агенты можно устанавливать сразу. На остальные по очереди, так как агент после

доступа к грифованным данным может частично или полностью заблокировать ПК и необходимо произвести тонкую настройку системы.

Сетевые ресурсы настроены следующим образом:

1С:1562,1564 - уровень секретно

1C:1541(сервер лицензий 1С), 1C:1540(сервер лицензий 1С) - служебные ресурсы уровень доверия секретно

\\FS\username - уровень секретно (для всех сотрудников фин отдела и бухгалтереи)

FS:135(rpc endpoint) - уровень доверия секретно

FS:445(smb via tcp) - уровень доверия секретно

DC:53, DC:123(ntp), DC:389(ldap), 475 - уровень доверия секретно

DC - контроллер домена

FS - файловый сервер финансовой службы

1C - сервер 1С

Как это работает.

При подключении клиента 1С к серверу, SecrecyKeeper отмечает, что программа клиента получила доступ к секретным данным (соединилась на 1С:1562

или 1564). После этого для этого процесса включаются все блокировки определенные для секретной информации. Например, попытка скопировать

данные в буфер обмена и сохранить их в файл на локальном ПК или на не безопасном расшаренном диске будет заблокирована. А сохранить эти данные

в файл на шаре \\FS\username можно, т.к. шара секретная. Таким образом секретная информация остается всегда на сервере, не считая трафика,

который при желании можно зашифровать штатными средствами.

То же самое происходит при открытии файла на секретной шаре. Работать с документом можно, но локально (или на сменный носитель) сохранить его

нельзя. Так же нельзя и передать его на не безопасный сетевой ресурс (почта, веб, аська).

Примерно так. Если есть вопросы - постараюсь ответить.

[Рустэм Хайретдинов 30]

Если есть вопросы - постараюсь ответить.

Андрей, спасибо за отчет. Можно ли узнать следующие характеристики проекта?

1. Кто принял решение, что такой проект вообще нужен (генеральный директор, начальник безопасности, ИТ-директор, кто-то еще)?

2. Каков бюджет проекта (хотя бы порядок и процентное отношение работы/лицензии/продукты третьих сторон)?

3. Правильно ли я понял, что проект длился три месяца от выбора решения до начала использования?

4. Чьими силами (своими, вендор, интегратор, какие-то комбинации из всего этого) выполнялся проект?

5. Чьими силами выполняется поддержка и администрирование и сколько времени это занимает?

Если какие-то данные непубличные - пишите в личную почту. Мы планируем в следуюшем году выпустить решение для среднего бизнеса (100-300 станций). Поэтому очень интересно узнать на вашем примере, какие силы движут рынок, и сколько времени и денег готовы тратить на сохранение конфиденциальности информации компании такого размера.

[andrey golubev 15]

Андрей, спасибо за отчет. Можно ли узнать следующие характеристики проекта?

Если какие-то данные непубличные - пишите в личную почту. Мы планируем в следуюшем году выпустить решение для среднего бизнеса (100-300 станций). Поэтому очень интересно узнать на вашем примере, какие силы движут рынок, и сколько времени и денег готовы тратить на сохранение конфиденциальности информации компании такого размера.

Если вам не нужны пароли и явки, то можно тут

1. Кто принял решение, что такой проект вообще нужен (генеральный директор, начальник безопасности, ИТ-директор, кто-то еще)?

Директор департамента внутреннего контроля, в состав которого входит СБ.

В нашей компании директор ДВК починяется только акционерам, т.е. работает на одном уровне с ген диром и советом директоров.

2. Каков бюджет проекта (хотя бы порядок и процентное отношение работы/лицензии/продукты третьих сторон)?

~1 000 000 - 1 500 000 на все распределение по статьям на усмотрение ответственного

3. Правильно ли я понял, что проект длился три месяца от выбора решения до начала использования?

примерно так

4. Чьими силами (своими, вендор, интегратор, какие-то комбинации из всего этого) выполнялся проект?

своими + консультации вендора, выезд их спецов на площадку не потребовался.

5. Чьими силами выполняется поддержка и администрирование и сколько времени это занимает?

администрируем естественно сами

честно говоря не понимаю, как можно отдать на аутсорс администрирование системы защиты

по времени - основная работа смотреть логи и переназначать допуски сотрудников, второе делается крайне редко (в основном когда приняли/уволили). единственный глюк, который не отловили на стенде - система не грузится если нет usb портов, но это только на совсем старых машинах, у нас такая одна нашлась или на виртуалках. и поддержка нам сразу про это сказала.

в остальном отладили конфигурацию на стенде и в сети уже вопросов не было.

посмотрел по Вашему совету (спасибо) на Софтинформ, интересно, но немного смущает, то что это снифер (производительность), хотя с другой стороны тестировать легко. пилот пока не запускали.

[Ashot 110]

осмотрел по Вашему совету (спасибо) на Софтинформ, интересно, но немного смущает, то что это снифер (производительность),

Вот какраз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

[Рустэм Хайретдинов 30]

~1 000 000 - 1 500 000 на все распределение по статьям на усмотрение ответственного

Спасибо, исчерпывающе. 500-750 рублей на узел за лицензии - очень экономно при таком функционале. Другие решения, которые вы называли, обошлись бы в разы дороже - от 40 USD за узел.

Вот как раз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

Так и родом продукт из корпоративного поиска, со всеми плюсами и минусами такого подхода. Говорят, неплохо продается. Половине клиентов блокировка и не требуется (по нашей и Дозоровской статистике). ИБ-руководителям в этом случае нужна не защита от утечек, а осуществление "принципа неотвратимости наказания". Хотя, как наказать человека по закону с использованием почтового архива - большой вопрос :-).

[Ashot 110]

Хотя, как наказать человека по закону с использованием почтового архива - большой вопрос :-).

хороший вопрос и не только почтового, но и файлового архива...

[andrey golubev 15]

Вот какраз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

я имел в виду потерю пакетов при захвате. была такая проблема году в 2003 у сурфконтрола, или проблема была не в этом, но валили ее на это

но если ни кто на это не жалуется, то видимо и проблемы нет

[Ashot 110]

имел в виду потерю пакетов при захвате

А! Ясно, но это если имело место, то просто баг.

[BDV 10]

кстати, нашел еще один продукт для мониторинга FortiNet называется, на нашем рынке недавно, продвигаются Информзащитой (вернее их дочкой). работает как прозрачный прокси, может захватывать веб, почту и аську. там еще АВ, IPS, веб-фильтрация. стоит вполне приемлимо. кто-нибудь в работе это чудо видел ? впечатления ?

Fortinet это устройство типа все-в-одном (часто классифицируют как UTM), такое же как Cisco ASA или IBM Proventia Multi Function Security.

Про захват протоколов верно - часто у IPS есть фильтры типа аудит, которые ловят всевозможные протоколы уровня приложений, разбирают их и собирают нужную информацию в журнал, вплоть до текста сообщений и паролей (той же ICQ или MSN). Тенденция к DLP прослеживает у многих вендоров, например, у IBM IPS есть свой модуль защиты от утечек (ibm.com/ru/services/iss/pdf/proventiacontentanalyzer_datasheet.pdf)

Вообще я бы в вашей ситуации IPS или UTM не выбирал как решение DLP. Если уж брать сетевое DLP, то специализированное, например, Fidelis (fidelissecurity.com)

В DLP важно не только какой продукт выбрать, а каким людям доверить его настройку и установку. В рамках хостового DLP мне нравится Verdasys(verdasys.com) - очень хороший функционал - думаю что он покрывает ваши требования с лихвой... плюс он поддерживает русский язык.

[andrey golubev 15]

Вообще я бы в вашей ситуации IPS или UTM не выбирал как решение DLP. Если уж брать сетевое DLP, то специализированное, например, Fidelis (fidelissecurity.com)

В DLP важно не только какой продукт выбрать, а каким людям доверить его настройку и установку. В рамках хостового DLP мне нравится Verdasys(verdasys.com) - очень хороший функционал - думаю что он покрывает ваши требования с лихвой... плюс он поддерживает русский язык.

Мы не рассматриваем системы архивирующие трафик, как средство защиты от утечек. Для нас это способ обеспечить возможность расследования инцидентов. А защита от утечки - как раз на уровне хоста, для этой задачи остановились на SecrecyKeeper.