|
|
|
Как защитить компанию от сотрудниковИнформационная безопасность не ограничивается закрытием программных уязвимостей и установкой технических средств защиты. Одним из наиболее опасных с точки зрения ИБ элементов являются сотрудники компании. С одной стороны, они имеют легитимный доступ к информации, а с другой, в отличие, например, от сервера, они могут умышленно или случайно нарушить информационную безопасность. Однако, как известно, на каждое действие всегда найдется противодействие. В информационной безопасности, как и в любом другом направлении, существуют свои модные тенденции, которые не менее изменчивы и непредсказуемы, чем, скажем, касающиеся одежды. В числе таких тенденций прошедших лет следует отметить «модность» сканеров безопасности, подарившую сообществу множество различных программных продуктов, в том числе Nessus, Retina, LAN Guard, XSpider. Далее следовало увлечение веб-уязвимостями, именно ему мы обязаны такими продуктами, как nikto, Watchfire Appscan, N-stealth, Acunetix WVS и другими. Но мода не стоит на месте, и появилось новое направление, названное красивым словосочетанием - "борьба с инсайдерами". Если раньше сообщество информационной безопасности боролось против врага внешнего, то теперь (то ли одержав полную и безоговорочную победу, то ли решив сделать небольшую передышку) все больше сил направлено на борьбу с внутренним злоумышленником - обычным пользователем корпоративной сети. Но в отличие от борьбы с внешним врагом, где основным орудием были программные и аппаратные средства защиты, в борьбе с внутренним беспределом чаще используют организационные меры. И вот те, кто когда-то писал правила межсетевых экранов и описывал политики доступа, теперь занялись описанием правил использования информационных ресурсов компании. Действительно, организационные меры часто помогают бороться с неправильными действиями пользователей, однако, эту проблему лучше решать с использованием грамотного объединения организационных и программно-аппаратных средств. Попробуем понять, что же можно сделать с данной проблемой программно-аппаратными средствами. Начнем с описания одной из наиболее часто обсуждаемой инсайдерской угрозы, а именно о "неправомочном разглашении" информации. Поклонники организационных мер часто говорят о том, что защититься от этой угрозы можно посредством написания грамотных документов, регулярного обучения пользователей тому, что обращение с конфиденциальной информацией требует особой осторожности и так далее. Это частично решает проблему, однако, также можно использовать в этих целях и программно-аппаратные средства. Способы хищения и методы защиты от них Самым простым видится скопировать информацию на внешний носитель – компакт-диск, флеш-карту, телефон. Очевидным решением является лишить пользователя возможности подключать к своему рабочему компьютеру какие-либо внешние устройства. Так, отсутствие привода для записи компакт-дисков делает копирование секретной информации диск невозможной, а отсутствие USB и прочих средств исключает возможность подключения внешних устройств чтения, записи и хранения данных. В случае же если в связи со спецификой деятельности пользователю необходимо время от времени подключать внешние устройства, существует целый комплекс разнообразных программных средств, позволяющих разграничивать права доступа. Таким образом, пользователю может быть разрешено только чтение данных с внешнего накопителя, или подключение внешних устройств только определенного типа - сканеров, принтеров. Итак, вынести информацию посредством копирования ее на внешний носитель не удалось. Теперь переместим нашего пользователя из пространства физического в виртуальное. Какие же возможности предоставляет виртуальное пространство для потенциального злоумышленника? В первую очередь массу различных средств коммуникации, в том числе, icq, jabber, msn. Здесь сначала необходимо понять, что требуется для работы сотрудникам компании - корпоративный мессенджер для быстрого обмена короткими сообщениями или средство общения с клиентами. Если необходимо обеспечить обмен короткими текстовыми сообщениями внутри компании, можно установить выделенный корпоративный сервер, который не будет каким-либо образом взаимодействовать с публичными сетями. В случае установки такого сервера можно настраивать различные фильтры в зависимости от содержимого передаваемых сообщений, их размера и вести учет того, кто, когда и кому отправил то или иное сообщение. Если же все-таки необходимо обеспечить пользователей "общением с миром", возможно несколько вариантов. С одной стороны, можно использовать все тот же корпоративный сервер обмена сообщениями с фильтрацией содержимого сообщений и расширением для подключения к сервисам icq, msn и другим. Или можно использовать публичные серверы, но просматривать передаваемые данные посредством различных сетевых мониторов и блокировать сетевые пакеты, потенциально содержащие данные, которые не должны быть разглашены. Следует более подробно остановиться на системах анализа сетевого трафика, так как они позволяют если не предотвратить, то заметить попытки несанкционированной передачи данных. Подобные системы могут быть как отдельным решением, установленным на горле сети, просматривающие весь входящий и исходящий трафик и блокирующие передачу "нежелательных" или "странных" пакетов, так и расширением для существующих сервисов. Подобный подход позволяет бороться с проблемой передачи данных, передаваемых как посредством штатных средств, так и с использованием скрытых каналов – например, инкапсуляция данных в неиспользуемые части передаваемого сетевого пакета. Удобство работы – залог успеха Существует отдельный класс угроз, исходящих от инсайдеров, связанный с неумышленными действиями пользователя. Именно от этих угроз, по мнению некоторых специалистов, помогает только повышение осведомленности пользователей в области информационной безопасности. Лекция о правильном использовании паролей действительно поможет пользователям выбирать наиболее качественные и легкие для запоминания пароли, но, с другой стороны, существует масса программно-аппаратных средств, которые упрощают процедуру аутентификации для пользователя. Зачастую ему достаточно подключить некоторое внешнее устройство, хранящее ключевую информацию, используемую при аутентификации. Существует также ряд решений, основанных на использовании биометрических показателей для аутентификации. Кроме того, нельзя забывать о возможности ошибочного копирования информации, забывания ключа и подобных проблемах. Часто такие проблемы связаны с неправильной технической организацией работы пользователя. Так, отсутствие возможности передать данные соседу штатными (предусмотренными) средствами вынуждает пользователя выкладывать их на общие ресурсы, отправлять через публичные серверы, доступ к которым не контролируется. В заключении хотелось бы отметить, что информационная безопасность в первую очередь не должна мешать пользователям осуществлять их производственную деятельность. Пользователь не должен каждые 10-15 минут думать о том, как бы никто не подсмотрел его пароль, не остались ли в памяти какие-либо секретные данные и не надо ли отключить питание у компьютера, дабы обесточить оперативную память и таким образом очистить ее. Кроме того, необходимо понимать, что панацеи от нападающего - внутреннего или внешнего - нет. И чем изощреннее становятся системы защиты, тем изощреннее будут действовать агрессоры. Сергей Миронов |