|
|
Обозрение подготовлено
Исследования аналитиков показывают, что более 98% инцидентов происходит не по злому умыслу сотрудников, а в процессе выполнения ими легитимных бизнес-процессов. Стандартные бизнес-процессы организации часто вступают в противоречие с требованиями политики информационной безопасности, а в отсутствие инструментальных средств контроля утечек формальные запреты не дают ожидаемого эффекта. Корпоративная политика ИБ на практике не ограничивает сотрудников в их стремлении поделиться внутренней информацией — как со своими коллегами, так и с сотрудниками других организаций.
Бизнес современных организаций неотделим от обработки электронных данных, значительная часть которых содержит конфиденциальную информацию — это данные о клиентах, финансовые отчеты, планы развития, проектная документация, интеллектуальная собственность и т.д.
Доступ к конфиденциальной информации предоставляется авторизованным сотрудникам в рамках утвержденных полномочий. Однако доступ к информации не дает сотрудникам права на ее распространение внутри организации или за ее пределами среди неавторизованных получателей. Несанкционированное распространение сотрудниками конфиденциальной информации представляет серьезную угрозу для бизнеса, так как может привести к негативным юридическим и финансовым последствиям, а также нанести ущерб деловой репутации компании.
Традиционным подходом к предотвращению утечек конфиденциальной информации является разграничение прав доступа на уровне сетевых файловых хранилищ, СУБД и других систем хранения информации. Кроме того, в трудовые договоры могут вноситься пункты о неразглашении информации, являющейся конфиденциальной. Тем не менее, утечки корпоративных данных происходят постоянно. Исследования аналитиков показывают, что более 98% инцидентов происходит не по злому умыслу сотрудников, а в процессе выполнения ими легитимных бизнес-процессов. Стандартные бизнес-процессы организации часто вступают в противоречие с требованиями политики информационной безопасности, а в отсутствие инструментальных средств контроля утечек формальные запреты не дают ожидаемого эффекта. Корпоративная политика ИБ на практике не ограничивает сотрудников в их стремлении поделиться внутренней информацией — как со своими коллегами, так и с сотрудниками других организаций.
По мере развития компьютерных технологий и услуг связи растет число возможных каналов утечки информации. В настоящее время основными каналами утечки являются: веб (веб-почта, форумы, блоги, ftp), электронная почта, сетевая печать, средства мгновенного обмена сообщениями (ICQ, Skype, MSN Messenger и т.п.), файлообменные сети, а также рабочие места. С рабочих мест данные могут передаваться за пределы организации с помощью сменных носителей: флэш-дисков, карт памяти, USB-накопителей, CD/DVD, а также через интерфейсы Bluetooth, Wi-Fi и инфракрасный порт.
Сложность технического контроля утечек конфиденциальной информации обусловлена не только множеством каналов, но и разнообразием источников и способов преобразования данных в процессе ежедневной работы. Важные корпоративные данные хранятся в виде записей СУБД, текстовых и графических файлов, конструкторской документации САПР, прайс-листов, схем, исходного программного кода, файловых архивов различных форматов и т.д. Кроме того, содержимое файлов может изменяться, фрагменты текста могут копироваться из одного места в другое, исходный текст может видоизменяться.
Необходимость установления контроля за перемещением данных диктуется не только корпоративной политикой ИБ, но и нормами законодательства, действующими на уровне экономики в целом либо на уровне отдельных отраслей, например, в финансовом секторе и в здравоохранении. К ним относятся такие акты, как Sarbanes-Oxley Act (SOX), Gramm-Leach-Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA) и ряд других. Соблюдение ряда регулятивных норм требуется и от российских компаний, осуществляющих первичное размещение акций (IPO) на мировых фондовых рынках.
Для эффективного обнаружения и предотвращения утечек конфиденциальной информации организациям требуется внедрение специализированных программных решений класса Information Leakage Prevention (ILP).
Большинство систем класса ILP, представленных на рынке, применяет лингвистические методы обнаружения и предотвращения утечек с использованием словарей ключевых слов и шаблонов регулярных выражений. Дополнительно на рабочих местах традиционно применяются методы полной блокировки сменных носителей — USB-дисков, карт памяти, а также последовательных и параллельных портов. Вышеуказанные методы имеют ряд недостатков, не позволяющих обеспечить точное и эффективное обнаружение и предотвращение утечек конфиденциальной информации.
Реализация лингвистических методов контроля представляет собой сложную задачу: требуется проанализировать огромный объем данных организации и составить эффективные словари ключевых слов и шаблонов, по которым в дальнейшем фильтры будут выявлять данные, содержащие конфиденциальную информацию. Словари необходимо проверять в работе и постоянно адаптировать под изменяющиеся данные в организации, чтобы снизить вероятность ложных срабатываний на разрешенные документы и не перегружать штат сотрудников службы информационной безопасности большим количеством ошибочных инцидентов. Внедрение решений класса ILP, основанных на применении лингвистических методов, является длительным (в больших организациях может занимать до года), трудоемким, и дорогим процессом и, что самое главное, оказывается в результате недостаточно эффективным — процент ложных срабатываний после окончания внедрения может составлять более 25%! Кроме того, с помощью лингвистических методов в принципе невозможно эффективно обнаруживать и предотвращать утечки конфиденциальной информации из баз данных, а также документов, не имеющих смыслового лингвистического содержания (проектная документация, схемы, изображения, исходный программный код и т.д.).
Блокирование сменных носителей также может не принести необходимого эффекта. Во-первых, закрывая доступ к сменным носителям, организация теряет гибкость в бизнес-процессах, так как часто сотрудникам требуются сменные носители для копирования информации, не являющейся конфиденциальной (например, презентации, открытые отчеты и т.д.). Во-вторых, сотрудники, которым предоставляется доступ к конфиденциальной информации, часто являются членами привилегированной группы, которой, как правило, разрешено использование сменных носителей. При этом рядовые сотрудники, на компьютерах которых заблокированы сменные носители, могут вообще не иметь доступа к конфиденциальной информации.
Основа любого решения по предотвращению утечек — технология идентификации данных.
Решение Websense Content Protection Suite (CPS) использует инновационную технологию PreciseID™ для точной идентификации защищаемой информации с помощью снятия цифровых «отпечатков» данных. В дополнение в составе CPS поставляется более 140 готовых политик для обнаружения утечек характерной отраслевой информации, например, номеров кредитных карт, банковских реквизитов, исходного кода, историй болезни и т.п. Разумеется, поддерживаются и традиционные методы идентификации на основе ключевых слов и шаблонов строк.
Технология PreciseID, изначально разработанная PortAuthority Technologies для военного ведомства Израиля, отлично зарекомендовала себя в более чем 100 реализованных коммерческих проектах. Самый крупный проект в настоящий момент насчитывает более 60 тыс. рабочих мест (Standard Bank). В 2007 году компания PortAuthority Technologies была куплена компанией Websense Inc., после чего согласно отчету Gartner «Magic Quadrant for Content Monitoring and Filtering and Data Loss Prevention, 2Q07» компания Websense стала абсолютным лидером на рынке решений для контентного мониторинга и фильтрации и предотвращения утечек данных.
Технология снятия «отпечатков» данных PreciseID
Цифровой «отпечаток» данных — это математическое представление набора символов, слов и предложений документа, сообщения или содержимого полей базы данных. В отличие от простых хэш-функций и методов точного или частичного совпадения алгоритмы PreciseID точно идентифицируют ключевые данные и связанные метаданные. Никаких предварительных изменений содержимого и его маркировки не требуется. Технология оптимизирована для использования в реальном времени и имеет защиту от операций удаления-вставки, внедрения файлов в файлы других типов и других манипуляций.
Технология PreciseID полностью лишена недостатков, присущих лингвистическим методам обнаружения утечек. PreciseID опирается на глубокий анализ данных, подлежащих контролю, и обеспечивает крайне высокую точность идентификации попыток несанкционированной передачи данных с минимальным количеством ложных срабатываний. Технология PreciseID обеспечивает точное определение и классификацию контента в документах более 400 различных типов и форматов — от исходного кода программ до документов САПР, даже если контент перенесен и конвертирован из одного формата в другой. Технология PreciseID проверяет схожесть передаваемых данных с защищаемыми конфиденциальными данными и позволяет максимально точно обнаруживать фрагменты информации, заимствованные из конфиденциальных источников. Технология устойчива к операциям вставки-копирования и частичного изменения содержимого документа и обеспечивает менее 1% ложных срабатываний, что подтверждено независимыми тестами Percept Technology Labs. PreciseID не зависит от языка документа и поддерживает все русскоязычные кодировки.
Другие методы обнаружения, используемые технологией PreciseID:
Предотвращение утечек с помощью PreciseID
PreciseID позволяет защищать данные, хранящиеся в виде файлов или записей баз данных.
Предотвращение утечек информации, хранящейся в базах данных.
Правила защиты от утечек из баз данных настраиваются в два шага:
В данном примере, если пользователь попытается отправить, например, по электронной почте, более десяти фамилий клиентов, либо несколько номеров их паспортов вместе с фамилиями, то будет сгенерирован инцидент для службы ИБ, и система может заблокировать попытку передачи.
Предотвращение утечек информации, хранящейся в документах.
Правила для предотвращения утечек информации из документов настраиваются следующим образом:
При попытке передать любым способом файл, с которого были сняты «отпечатки», его измененный вариант или даже фрагмент решение Websense CPS обнаружит и заблокирует передачу, сгенерировав инцидент для службы ИБ. Важной особенностью PreciseID при контроле электронной почты (как для документов, так и для баз данных) является то, что для системы не имеет значения, в каких именно полях сообщений передается информация — в теме, в теле текстового или HTML-сообщения или во вложенном документе (в том числе в архиве) — все данные консолидируются и рассматриваются как единое сообщение.
Контролируемые каналы передачи информации
Решение Websense CPS контролирует все основные каналы передачи данных:
Контроль утечек на рабочих местах через сменные носители реализуется посредством интеграции Websense CPS с решением компании Safend, являющейся одним из лидеров в области контроля интерфейсов и сменных носителей на рабочих местах и одновременно технологическим партнером Websense. Решение Safend Protector обеспечивает управление следующими каналами передачи данных:
Safend Protector передает данные, которые пользователь копирует с рабочей станции на сменный носитель, на сервер Websense CPS для контентного анализа, где выявляются утечки конфиденциальной информации и в случае их обнаружения генерируются инциденты. С помощью Safend Protector возможно применение политик по гибкой блокировке использования съемных накопителей, портов и интерфейсов.
Обнаружение конфиденциальной информации в сети
Специальная функция Websense CPS Discovery позволяет автоматически сканировать сеть и находить на компьютерах пользователей и в сетевых хранилищах файлы, содержащие конфиденциальную информацию. Это позволяет службе ИБ превентивно реагировать и предотвращать потенциальные утечки.
Функция Discovery реализует две задачи: поиск доступных сетевых папок и обнаружение в них конфиденциальных данных. Для поиска конфиденциальных данных используются все доступные политики на основе «отпечатков» PreciseID, ключевых слов и шаблонов. С помощью функции Discovery можно обнаруживать:
По каждому факту обнаружения конфиденциальных данных в системе генерируется инцидент, поступающий в обработку службы ИБ.
Политики и управление инцидентами
Решение Websense CPS позволяет задавать гибкие политики для обнаружения и предотвращения утечек, учитывающие реальные бизнес-процессы организации.
На основе анализа типов конфиденциальных данных и функциональных обязанностей сотрудников в системе определяются группы пользователей с различными правами на распространение конфиденциальной информации внутри организации и за ее пределы. Например, бухгалтеру, ответственному за взаимодействие с аудиторами, может быть предоставлено право обмениваться конфиденциальной информацией, но только через канал корпоративной электронной почты с выделенными адресатами аудиторов.
Каждый факт нарушения политики безопасности приводит к генерации инцидента. Сотрудник службы ИБ, расследующий инцидент, получает все необходимые улики, например, копию сообщения e-mail со всеми вложениями.
Реакция системы на нарушение политики зависит от канала утечки и может быть полностью автоматической либо требовать вмешательства авторизованного сотрудника. Websense CPS поддерживает следующие реакции:
Вот несколько возможных сценариев для электронной почты:
Возможности интеграции
Websense CPS интегрируется с основными элементами сети заказчика:
Websense CPS 6.0 поддерживает интеграцию с решением веб-фильтрации и веб-безопасности Websense Web Security Suite, позволяя гибко применять политики контроля утечек через веб-ресурсы Интернета, в зависимости от тематической категории сайтов и прав пользователя, передающего информацию. Таким образом, на базе решений Websense может быть реализовано решение для полного контроля использования Интернета в организации.
Интеграция с системами стойкой криптографической защиты позволяет исключить перехват конфиденциальной информации в процесс ее пересылки через Интернет. Решение Websense CPS может автоматически направлять почтовые сообщения, содержащие конфиденциальную информацию, на криптографические шлюзы сторонних производителей (например, PGP Universal) для их автоматической отправки получателю в зашифрованном виде. Интеграция дает уникальную возможность определять параметры конфиденциальности на уровне Websense CPS, а правила и методы шифрования настраивать в продуктах сторонних фирм.
Инспектирование содержимого, передаваемого с рабочих мест на съемные носители, реализуется посредством интеграции с решением SafeEnd Protector.
Websense CPS поставляется в двух функциональных вариантах: Content Auditor и Content Enforcer.
Content Auditor предназначен для выявления и мониторинга утечек конфиденциальной информации и решает следующие задачи:
Content Enforcer поддерживает все функции Content Auditor и в дополнение может блокировать попытки передачи конфиденциальной информации.
Сравнительная таблица возможностей Content Auditor и Content Enforcer
Возможность | Auditor | Enforcer |
Интеллектуальный поиск конфиденциальной информации в сети, мониторинг хранимых, обрабатываемых и передаваемых данных | + | + |
Работа в реальном времени с базами данных, системами управления документами и хранилищами данных | + | + |
Идентификация содержимого средствами технологии PreciseID с уровнем ложных срабатываний менее 1% | + | + |
Комплексные методы обнаружения и анализа данных для их точной идентификации. Полный контроль структурированных и неструктурированных данных вместе с метаданными, не ограниченный точными копиями или версиями документов и записей баз данных | + | + |
Идентификация содержимого с помощью ключевых слов и шаблонов строк | + | + |
Поддержка более 400 форматов файлов, в том числе текстовых, графических и файлов САПР | + | + |
Мониторинг сетевых протоколов: внешняя и внутренняя электронная почта, HTTP и веб-почта, FTP, мгновенный обмен сообщениями, сетевая печать | + | + |
Архивирование сообщений электронной почты, нарушающих политику безопасности | + | + |
Интегрированный почтовый транспортный агент (MTA, Message Transfer Agent) | + | + |
Интеграция с решением веб-фильтрации Websense Enterprise и Web Security Suite для применения гранулированной политики передачи данных через веб | + | + |
Интеграция с решениями Microsoft ISA, Microsoft Exchange, Lotus Domino | + | + |
Интеграция с решениями SafeEnd для контроля утечек через съемные носители информации на рабочих местах | + | + |
Интеграция с прокси-серверами сторонних производителей через ICAP | + | + |
Более 140 предустановленных политик обнаружения утечек: контроль номеров кредитных карт, персональных данных, контроль исходного кода программ, соблюдение актов GLBA, SOX, HIPAA и других | + | + |
Универсальный веб-интерфейс для управления инцидентами и работы с оповещениями в реальном времени | + | + |
Применение политик для предотвращения утечек конфиденциальной информации за пределы организации и внутри нее | + | |
Адаптивная и настраиваемая реакция системы, позволяющая пропускать, блокировать, изолировать в карантине, отслеживать, шифровать и архивировать передаваемые данные | + |
Компоненты Websense CPS
Решение Websense CPS строится на базе сервера управления Content Manager и сенсоров Content Protector, анализирующих трафик.
Сервер Content Manager — это высокопроизводительная программно-аппаратная система на базе ОС Microsoft Windows, выполняющая задачи анализа данных и управления. На базе Content Manager также возможно полностью реализовать контроль электронной почты, так как система включает почтовый транспортный агент.
Сенсор Content Protector реализует две функции: перехвата проходящего сетевого трафика для контроля утечек конфиденциальной информации по сетевым протоколам и функцию Discovery для активного поиска в сетевых файловых системах и на рабочих станциях конфиденциальных данных, содержащих конфиденциальную информацию. Content Protector является программно-аппаратным комплексом под управлением специальной ОС Linux, не требующей администрирования. При вводе компонента в эксплуатацию сенсор Content Protector устанавливает связь с сервером Content Manager через защищенный канал связи с помощью одноразового пароля, и дальнейшая настройка сенсоров осуществляется через системный интерфейс Content Manager.
Сервер управления Safend Protector управляет собственными агентами для контроля съемных носителей и интерфейсов и работает в интеграции с сервером Websense Content Manager. Агенты Safend распространяются на компьютеры пользователей, получают настройки с сервера и хранят их копии. Сервер Safend не является точкой отказа решения — агенты способны работать автономно неограниченное время и за пределами корпоративной сети. При обнаружении сервера агенты отправляют ему накопленные события и получают актуальные настройки.
Программно-аппаратные комплексы Content Manager и Content Protector собираются на базе оборудования, сертифицированного Websense (Content Manager — на базе HP Proliant DL-380 G5 или IBM, Content Protector — на базе HP ProLiant DL-140 G3 или IBM System x3550). Для работы в Inline-режиме требуется установка специализированных отказоустойчивых сетевых адаптеров с поддержкой Bypass-режима (предлагаются модели с 2-мя и 4-мя портами), обеспечивающих неразрывность канала связи при сбое питания или отказе сенсора Content Protector.
На схеме 1 проиллюстрировано сетевое окружение, защищенное Websense CPS, и отображены потоки данных.
Схема 1
Сервер Content Manager снимает «отпечатки» с файловых документов и записей баз данных (1), имеющих статус конфиденциальных. «Отпечатки» данных хранятся в собственной базе данных Websense CPS и регулярно обновляются (например, по расписанию). Когда сотрудник, имеющий доступ к документам и базам данных (2), пытается передать данные по электронной почте или через веб-протоколы (3) Content Protector перехватывает их и отправляет на сервер Content Manager для анализа на предмет наличия конфиденциальной информации. Если будет обнаружена попытка передачи конфиденциальных данных, то она будет зафиксирована и может быть заблокирована. Safend Protector управляет доступом к сменным носителям и интерфейсам и осуществляет мониторинг утечек на уровне рабочих станций (4).
Типовые схемы развертывания решения Websense CPS.
Независимое развертывание для контроля электронной почты, отправляемой за пределы организации
В этом случае используется сервер Content Manager со встроенным почтовым шлюзом исходящего потока (схема 2). Корпоративный почтовый сервер направляет данные на шлюз Websense CPS, где происходит обнаружение и предотвращение утечек конфиденциальной информации. Этот режим предназначен для предотвращения утечек через электронную почту за пределы организации.
Схема 2
Интеграция с MS Exchange / Lotus Domino для контроля электронной почты, отправляемой внутри организации и за ее пределы
На корпоративный сервер Microsoft Exchange или Lotus Domino устанавливается агент Websense CPS, контролирующий почту под управлением сервера Content Manager (схема 3). Данный режим предназначен для обнаружения и предотвращения утечек через электронную почту внутри организации (передача данных неавторизованным сотрудникам), так и за ее пределы.
Схема 3
Развертывание с использованием сенсоров для контроля интернет-трафика и электронной почты
Для контроля интернет-трафика (HTTP/FTP, веб-почта, мгновенный обмен сообщениями) требуется развертывание сенсоров Websense Content Protector (данный режим обеспечивает и контроль электронной почты). Поддерживаются 2 режима работы:
Схема 4
Схема 5
Процедура внедрения решения Websense CPS
Внедрение решения Websense CPS состоит из следующих логических этапов: