В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения.
Прежде всего, стоит определить, что угроза конфиденциальности данных является внутренней, если ее источником является сотрудник предприятия или какое-либо другое лицо, имеющее легальный доступ к этим данным. Таким образом, когда мы говорим о внутренних угрозах, мы говорим о каких-либо возможных действиях легальных пользователей, умышленных или случайных, которые могут привести к утечке конфиденциальной информации за пределы корпоративной сети предприятия. Для полноты картины стоит добавить, что таких пользователей часто называют инсайдерами, хотя этот термин имеет и другие значения.
Актуальность проблемы внутренних угроз подтверждается результатами последних исследований. В частности, в октябре 2008 года были оглашены результаты совместного исследования компании Compuware и Ponemon Institue, согласно которым инсайдеры являются самой распространенной причиной утечек данных (75% инцидентов в США), тогда как хакеры оказались всего лишь на пятом месте. В ежегодном исследовании Computer Security Institute (CSI) за 2008 год цифры, говорящие о количестве инцидентов, связанных с внутренними угрозами, выглядят следующим образом:
Вид инцидента | Количество инцидентов |
Злоупотребления инсайдеров | 44% |
Кража ноутбуков | 42% |
Кража/утеря данных с использованием переносных накопителей | 12% |
Злоупотребление службами мгновенных сообщений | 21% |
Количество инцидентов в процентах означает, что из общего числа опрошенных данный тип инцидента происходил в указанном проценте организаций. Как видно из данных цифр, риск пострадать от внутренних угроз есть практически у каждой организации. Для сравнения, в соответствии с тем же отчетом, вирусы поразили 50% опрошенных организаций, а с проникновением хакеров в локальную сеть столкнулось только 13%.
Таким образом, внутренние угрозы – это реальность сегодняшнего дня, а не придуманный аналитиками и вендорами миф. Так что тем, кто по старинке считает, что корпоративная ИБ – это межсетевой экран и антивирус, необходимо как можно скорее взглянуть на проблему шире.
Повышает градус напряженности и закон «О персональных данных», в соответствии с которым за ненадлежащее обращение с персональными данными организациям и должностным лицам придется отвечать не только перед своим руководством, а еще и перед своими клиентами и перед законом.
Модель нарушителя
Традиционно при рассмотрении угроз и средств защиты от них следует начинать с анализа модели нарушителя. Как уже упоминалось, мы будем говорить об инсайдерах – сотрудниках организации и других пользователях, имеющих легальный доступ к конфиденциальной информации. Как правило, при этих словах всем приходит на ум офисный сотрудник, работающий на компьютере в составе корпоративной сети, который в процессе работы не покидает пределов офиса организации. Однако, такое представление неполно. Необходимо его расширить за счет других видов лиц, имеющих легальный доступ к информации, которые могут покидать офис организации. Это могут быть командированные с ноутбуками, или работающие и в офисе и дома, курьеры, перевозящие носители с информацией, в первую очередь, магнитные ленты с резервной копией и т.д.
Такое расширенное рассмотрение модели нарушителя, во-первых, укладывается в концепцию, поскольку угрозы, исходящие от этих нарушителей также относятся к внутренним, а во-вторых, позволяет проанализировать проблему более широко, рассмотрев все возможные варианты борьбы с этими угрозами.
Можно выделить следующие основные типы внутренних нарушителей:
- Нелояльный/обиженный сотрудник. Нарушители, относящиеся к этой категории, могут действовать целенаправленно, например, меняя работу и желая прихватить конфиденциальную информацию для того, чтобы заинтересовать нового работодателя, или эмоционально, в случае, если они посчитали себя обиженными, желая таким образом отомстить. Они опасны тем, что наиболее мотивированы на причинение ущерба той организации, в которой в настоящее время работают. Как правило, количество инцидентов с участием нелояльных сотрудников невелико, но оно может увеличиваться в ситуации неблагоприятных экономических условий и массовых сокращений персонала.
- Внедренный, подкупаемый или манипулируемый сотрудник. В данном случае речь идет о каких-либо целенаправленных действиях, как правило, в целях промышленного шпионажа в условиях острой конкуренции. Для сбора конфиденциальной информации в компанию-конкурента либо внедряют своего человека с определенными целями, либо находят не самого лояльного сотрудника и подкупают его, либо лояльного, но небдительного сотрудника средствами социальной инженерии заставляют передать конфиденциальную информацию. Количество инцидентов такого рода обычно еще меньше, чем предыдущих, в связи с тем, что в большинстве сегментов экономики в РФ конкуренция не сильно развита или реализуется другими способами.
- Халатный сотрудник. Данный вид нарушителя представляет собой лояльного, но невнимательного или халатного сотрудника, который может нарушить политику внутренней безопасности предприятия из-за ее незнания или забывчивости. Такой сотрудник может по ошибке отправить письмо по электронной почте с приложенным секретным файлом не тому, для кого оно предназначено, или взять домой флешку с конфиденциальной информацией, чтобы поработать с ней на выходных, и потерять ее. К этому же типу относятся сотрудники, теряющие ноутбуки и магнитные ленты. По мнению многих экспертов, инсайдеры именно этого типа ответственны за большинство утечек конфиденциальной информации.
Таким образом, мотивы, а, следовательно, и образ действий потенциальных нарушителей может существенно отличаться. В зависимости от этого следует подходить к решению задачи обеспечения внутренней безопасности организации.
Технологии защиты от внутренних угроз
Несмотря на относительную молодость данного сегмента рынка, клиентам уже есть из чего выбирать в зависимости от их задач и финансовых возможностей. Стоит отметить, что сейчас на рынке практически нет вендоров, которые специализировались бы исключительно на внутренних угрозах. Такая ситуация сложилась не только из-за незрелости данного сегмента, но еще и благодаря агрессивной и иногда хаотичной политике слияний и поглощений, которую проводят производители традиционных средств защиты и другие вендоры, заинтересованные в присутствии на этом сегменте. Стоит напомнить о компании RSA Data Security, которая стала подразделением EMC в 2006 году, покупку компанией NetApp стартапа Decru, занимавшегося разработкой систем защиты серверных хранилищ и резервных копий в 2005, покупку компанией Symantec DLP-вендора Vontu в 2007 году и т. д.
Несмотря на то, что большое количество подобных сделок говорит о хороших перспективах развития данного сегмента, они не всегда идут на пользу качеству продуктов, которые переходят под крыло крупных корпораций. Продукты начинают медленней развиваться, а разработчики не так оперативно реагируют на требования рынка по сравнению с узкоспециализированной компанией. Это общеизвестная болезнь больших компаний, которые, как известно, проигрывают в мобильности и оперативности своим меньшим братьям. С другой стороны, улучшается качество сервиса и доступность продуктов для клиентов в разных точках земного шара благодаря развитости их сервисной и сбытовой сети.
Рассмотрим основные технологии, применяемые в настоящее время для нейтрализации внутренних угроз, их преимущества и недостатки.
Контроль документов
Технология контроля документов воплощается в современных продуктах класса rights management, таких как Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management.
Принцип работы данных систем заключается в назначении правил использования для каждого документа и контроля этих прав в приложениях, работающих с документами данных типов. Например, можно создать документ Microsoft Word и задать для него правила, кому можно его просматривать, кому редактировать и сохранять изменения, а кому печатать. Данные правила в терминах Windows RMS называются лицензией и хранятся вместе с файлом. Содержимое файла зашифровывается для предотвращения возможности его просмотра неавторизованным пользователем.
Теперь если любой пользователь пытается открыть такой защищенный файл, приложение связывается со специальным RMS-сервером, подтверждает полномочия пользователя, и, если доступ этому пользователю разрешен, сервер передает приложению ключ для расшифрования данного файла и информацию о правах данного пользователя. Приложение на основе этой информации делает доступными для пользователя только те функции, для выполнения которых у него есть права. Например, если пользователю запрещено печатать файл, функция печати в приложении будет недоступна.
Получается, что информация в таком файле безопасна даже в случае, если файл попадет за пределы корпоративной сети – она зашифрована. Функции RMS уже встроены в приложения Microsoft Office 2003 Professional Edition. Для встраивания функций RMS в приложения других разработчиков Microsoft предлагает специальный SDK.
Система контроля документов от Adobe построена аналогичным образом, но ориентирована на документы в формате PDF. Система Oracle IRM устанавливается на клиентские компьютеры в виде агента и интегрируется с приложениями на этапе их выполнения.
Контроль документов – это важная часть общей концепции защиты от внутренних угроз, однако необходимо учитывать естественные ограничения этой технологии. Во-первых, она рассчитана исключительно на контроль файлов-документов. Если речь идет о неструктурированных файлах или базах данных, данная технология не работает. Во-вторых, если злоумышленник, используя SDK этой системы, создаст простейшее приложение, которое будет связываться с RMS-сервером, получать оттуда ключ шифрования и сохранять документ в открытом виде и запустит это приложение от имени пользователя, имеющего минимальный уровень доступа к документу, то данная система будет обойдена. Кроме этого, следует учитывать сложности при внедрении системы контроля документов в случае, если в организации уже создано много документов – задача первоначальной классификации документов и назначения прав их использования может потребовать значительных усилий.
Это не значит, что системы контроля документов не выполняют поставленной задачи, просто надо помнить, что защита информации – проблема комплексная, и решить ее с помощью только какого-либо одного средства, как правило, не удается.
Защита от утечек
Термин защита от утечек (data loss prevention, DLP) появился в лексиконе специалистов по ИБ сравнительно недавно, и уже успел стать, без преувеличения, самой горячей темой последних лет. Как правило, аббревиатурой DLP обозначают системы, контролирующие возможные каналы утечки и блокирующие их в случае попытки пересылки по этим каналам какой-либо конфиденциальной информации. Кроме этого, в функции подобных систем часто входит возможность архивирования проходящей по ним информации для последующего аудита, расследования инцидентов и ретроспективного анализа потенциальных рисков.
Различают два вида DLP-систем: сетевые DLP и хостовые DLP.
Сетевые DLP работают по принципу сетевого шлюза, который фильтрует все проходящие через него данные. Очевидно, что исходя из задачи борьбы с внутренними угрозами, основной интерес такой фильтрации заключается в возможности контроля данных, передаваемых за пределы корпоративной сети в интернет. Сетевые DLP позволяют контролировать исходящую почту, http- и ftp-трафик, службы мгновенных сообщений и т. д. При обнаружении конфиденциальной информации сетевые DLP могут заблокировать передаваемый файл. Также существуют возможности по ручной обработке подозрительных файлов. Подозрительные файлы помещаются в карантин, который периодически просматривает офицер безопасности и либо разрешает передачу файла, либо запрещает ее. Правда, такая обработка в силу особенностей протокола возможна только для электронной почты. Дополнительные возможности по аудиту и расследованию инцидентов предоставляет архивирование всех проходящей через шлюз информации при условии, что этот архив периодически просматривается и его содержимое анализируется с целью выявления имевших место утечек.
Одной из основных проблем при реализации и внедрении DLP-систем является способ детектирования конфиденциальной информации, то есть, момент принятия решения о том, является ли передаваемая информация конфиденциальной и основания, которые учитываются при принятии такого решения. Как правило, для этого производится анализ содержимого передаваемых документов, называемый также контентным анализом. Рассмотрим основные подходы к детектированию конфиденциальной информации.
- Метки. Данный метод аналогичен системам контроля документов, рассмотренным выше. В документы внедряются метки, описывающие степень конфиденциальности информации, что можно делать с этим документом, и кому посылать. По результатам анализа меток система DLP принимает решение, можно ли данный документ отправить наружу или нельзя. Некоторые DLP системы изначально делают совместимыми с системами rights management для использования меток, которые устанавливают эти системы, другие системы используют свой формат меток.
- Сигнатуры. Данный метод заключается в задании одной или нескольких последовательностей символов, наличие которых в тексте передаваемого файла должно говорить DLP-системе о том, что этот файл содержит конфиденциальную информацию. Большое количество сигнатур можно организовывать в словари.
- Метод Байеса. Данный метод, применяемый при борьбе со спамом, может успешно применяться и в системах DLP. Для применения этого метода создается список категорий, и указываются список слов с вероятностями того, что если слово встретилось в файле, то файл с заданной вероятностью принадлежит или не принадлежит к указанной категории.
- Морфологический анализ. Метод морфологического анализа аналогичен сигнатурному, отличие заключается в том, что анализируется не 100% совпадение с сигнатурой, а учитываются также однокоренные слова.
- Цифровые отпечатки. Суть данного метода заключается в том, что для всех конфиденциальных документов вычисляется некоторая хэш-функция таким образом, что если документ будет незначительно изменен, хэш-функция останется такой же, или тоже изменится незначительно. Таким образом, процесс детектирования конфиденциальных документов значительно упрощается. Несмотря на восторженные дифирамбы этой технологии со стороны многих вендоров и некоторых аналитиков, ее надежность оставляет желать лучшего, а с учетом того, что вендоры под различными предлогами предпочитают оставлять в тени детали реализации алгоритма цифровых отпечатков, доверие к ней не увеличивается.
- Регулярные выражения. Известные всем, кто имел дело с программированием, регулярные выражения позволяют легко находить в тексте шаблонные данные, например, телефоны, паспортные данные, номера банковских счетов, номера социального страхования и т.д.
Из приведенного списка легко заметить, что методы детектирования либо не гарантируют 100% определения конфиденциальной информации, поскольку уровень ошибок как первого, так и второго рода в них достаточно высок, либо требуют постоянного бдения службы безопасности для обновления и поддержания в актуальном виде списка сигнатур или присваивания меток конфиденциальным документам.
Кроме этого, определенную проблему в работе сетевых DLP может создать шифрование трафика. Если по требованиям безопасности необходимо шифровать сообщения электронной почты или использовать протокол SSL при соединении с какими-либо веб-ресурсами, проблема определения наличия конфиденциальной информации в передаваемых файлах может быть весьма сложноразрешимой. Не стоит забывать и о том, что в некоторые сервисы мгновенных сообщений, например, в Skype, шифрование встроено по умолчанию. От использования таких сервисов придется отказываться или использовать для их контроля хостовые DLP.
Тем не менее, несмотря на все сложности, при правильной настройке и серьезном подходе сетевые DLP могут значительно снизить риск утечки конфиденциальной информации и дать организации удобное средство для внутреннего контроля.
Хостовые DLP устанавливаются на каждый хост в сети (на клиентские рабочие станции и, при необходимости, на сервера) и также могут быть использованы для контроля интернет-трафика. Однако в этом качестве хостовые DLP получили меньшее распространение, и используются в настоящее время в основном для контроля внешних устройств и принтеров. Как известно, сотрудник, принесший на работу с флешку или с MP3-плеер, представляет для информационной безопасности предприятия гораздо большую угрозу, чем все хакеры, вместе взятые. Еще эти системы называют средствами обеспечения безопасности конечных точек сети (endpoint security), хотя часто этот термин используется более широко, например, так иногда называют антивирусные средства.
Как известно, проблему использования внешних устройств можно решить без использования каких-либо средств, отключив порты либо физически, либо средствами операционной системы, или административно, запретив сотрудникам приносить в офис любые носители информации. Однако, в большинстве случаев подход «дешево и сердито» неприемлем, поскольку не обеспечивается должная гибкость информационных служб, предъявляемая со стороны бизнес-процессов.
Из-за этого возник определенный спрос на специальные средства, с помощью которых можно более гибко решить проблему использования внешних устройств и принтеров сотрудниками компаний. Такие средства позволяют настраивать права доступа для пользователей к различным видам устройств, например, для одной группы пользователей запрещать работу с носителями и разрешать с принтерами, а для другой – разрешать работу с носителями в режиме «только чтение». В случае необходимости записи информации на внешние устройства для отдельных пользователей может использоваться технология теневого копирования, которая обеспечивает копирование на сервер всей информации, которая сохраняется на внешнее устройство. Скопированная информация может быть впоследствии проанализирована с целью анализа действий пользователей. Данная технология копирует все подряд, и в настоящее время нет систем, которые позволяют проводить контентный анализ сохраняемых файлов для того, чтобы заблокировать операцию и предотвратить утечку, как это делают сетевые DLP. Тем не менее, архив теневых копий обеспечит расследование инцидентов и ретроспективный анализ событий в сети, и наличие такого архива означает для потенциального инсайдера возможность быть пойманным и наказанным за свои действия. Это может оказаться для него существенным препятствием и весомой причиной отказаться от враждебных действий.
Стоит еще упомянуть контроль использования принтеров – твердые копии документов тоже могут стать источником утечки. Хостовые DLP позволяют контролировать доступ пользователей к принтерам так же, как и к другим внешним устройствам, и сохранять копии распечатываемых документов в графическом формате для последующего анализа. Кроме этого, определенное распространение получила технология водяных знаков (watermarks), которая реализует печать на каждой странице документа уникального кода, по которому можно определить, кто именно, когда и где печатал этот документ.
Несмотря на несомненные плюсы хостовых DLP, у них есть ряд недостатков, связанных с необходимостью установки агентского ПО на каждом компьютере, который предполагается контролировать. Во-первых, это может вызвать определенные сложности с точки зрения развертывания таких систем и управления ими. Во-вторых, пользователь с правами администратора может попытаться отключить это ПО для совершения каких-либо действий, не разрешенных политикой безопасности.
Тем не менее, для надежного контроля внешних устройств без хостовых DLP не обойтись, а упомянутые проблемы не относятся к разряду неразрешимых. Таким образом, можно сделать вывод, что концепция DLP в настоящее время является полноправным средством в арсенале корпоративных служб безопасности в условиях постоянно усиливающегося на них давления по обеспечению внутреннего контроля и защите от утечек.
Концепция IPC
В процессе изобретения новых средств борьбы с внутренними угрозами научно-инженерная мысль современного общества не останавливается, и, учитывая определенные недостатки средств, которые рассматривались выше, рынок систем защиты от утечек информации пришел к концепции IPC (Information Protection and Control). Данный термин появился сравнительно недавно, считается, что впервые он был использован в обзоре аналитической компанией IDC в 2007 году.
Суть данной концепции заключается в объединении методов DLP и шифрования. В данной концепции с помощью DLP контролируется информация, покидающая пределы корпоративной сети по техническим каналам, а шифрование используется для защиты носителей данных, которые физически попадают или могут попасть в руки посторонних лиц.
Рассмотрим наиболее распространенные технологии шифрования, которые могут применяться в концепции IPC.
- Шифрование магнитных лент. Несмотря на архаичность этого типа носителя, он продолжает активно использоваться для резервного копирования и для переноса больших объемов информации, поскольку по удельной стоимости хранимого мегабайта до сих пор не имеет равных. Соответственно, утечки, связанные с утерями магнитных лент, продолжают радовать редакторов новостных лент, помещающих информацию о них на первые полосы, и расстраивать ИТ-директоров и службы безопасности предприятий, ставших героями подобных сообщений. Ситуация усугубляется тем, что такие ленты содержат очень большие объемы данных, и, следовательно, большое количество людей может стать жертвами мошенников.
- Шифрование серверных хранилищ. Несмотря на то, что серверные хранилища очень редко транспортируют, и риск их потери неизмеримо ниже, чем у магнитной ленты, отдельный жесткий диск из хранилища может попасть в руки злоумышленников. Ремонт, утилизация, апгрейд – эти события возникают с достаточной регулярностью для того, чтобы списывать этот риск со счетов. Да и ситуация проникновения в офис посторонних лиц не является совершенно невозможным событием.
Здесь стоит сделать небольшое отступление и упомянуть про распространенное заблуждение о том, что если диск находится в составе RAID-массива, то, якобы, можно не беспокоиться о том, что он попадет в посторонние руки. Казалось бы, чередование записываемых данных на несколько жестких дисков, которое выполняют контроллеры RAID, обеспечивает нечитаемый вид данным, которые находятся на каком-то одном жестком виде. К сожалению, это не совсем так. Чередование действительно имеет место, однако в большинстве современных устройств оно выполняется на уровне блоков по 512 байт. Это означает, что, несмотря на нарушение структуры и форматов файлов, конфиденциальную информацию извлечь из такого жесткого диска все равно можно. Поэтому если поставлено требование по обеспечению конфиденциальности информации при ее хранении в RAID-массиве, единственным надежным вариантом остается шифрование.
- Шифрование ноутбуков. Об этом говорилось уже бесчисленное количество раз, но все равно потери ноутбуков с конфиденциальной информацией уже который год не выходят из первой пятерки хит-парада инцидентов.
- Шифрование съемных носителей. В данном случае речь идет о портативных USB-устройствах и, иногда, о записываемых CD- и DVD-дисках, если они используются в бизнес-процессах предприятия. Такие системы, также как и упомянутые выше системы шифрования жестких дисков в ноутбуках, часто могут выступать в качестве компонент хостовых DLP-систем. В этом случае говорят о своего рода криптопериметре, который обеспечивает автоматическое прозрачное шифрование носителей внутри, и невозможность расшифровать данные за его пределами.
Таким образом, шифрование может существенно расширить возможности DLP-систем и снизить риски утечки конфиденциальных данных. Несмотря на то, что концепция IPC оформилась сравнительно недавно, и выбор комплексных IPC-решений на рынке не слишком широк, индустрия активно осваивает эту область и вполне возможно, что через некоторое время эта концепция станет стандартом де-факто для решения проблем внутренней безопасности и внутреннего контроля.
Выводы
Как видно из данного обзора, внутренние угрозы – это достаточно новая область в ИБ, которая, тем не менее, активно развивается и требует к себе повышенного внимания. Рассмотренные технологии контроля документов, DLP и IPC позволяют построить достаточно надежную систему внутреннего контроля и снизить риск утечки до приемлемого уровня. Без сомнения, данная область ИБ продолжит развиваться, будут предлагаться более новые и совершенные технологии, но уже сегодня многие организации делают выбор в пользу того или иного решения, поскольку беспечность в вопросах информационной безопасности может обойтись слишком дорого.
Алексей Раевский
Генеральный директор компании SecurIT