|
|
|
Алексей Доля: Три «К» внутренней ИБ: кто, когда и какО рынке внутренней безопасности и существующих подходах к защите от утечки конфиденциальной информации в интервью CNews рассказывает Алексей Доля, руководитель аналитического центра InfoWatch. CNews: Какие сегодня используются подходы к обеспечению защиты от утечки? Алексей Доля: Существует три типа классификации современных решений для выявления и предотвращения утечки информации. Первый тип классификации широко распространен в США с подачи местных аналитических компаний (Gartner, Forrester, IDC). Он подразумевает группировку продуктов в соответствии с типами контролируемых узлов и сетевых уровней. Функциональная классификация группирует продукты по типам защищаемых каналов утечки. Точеные решения (например, Smartline DeviceLock, Clearswift MIMESweeper) позволяют контролировать только один или несколько каналов. Комплексные решения позволяют контролировать достаточный список каналов, чтобы обеспечить безопасную и продуктивную работу заказчика (как минимум: копирование, печать, пересылка по Третий тип классификации подразумевает разделение продуктов по архитектурному подходу к контролю над конфиденциальными данными. «Канальная» защита отталкивается от примата канала передачи данных как объекта комплексной защиты от всех типов угроз. Для «периметральной» защиты первичен объект контроля (конфиденциальные данные), в то время как канал передачи данных — лишь одна из реализации угрозы. Исходя из этого постулата, защита строится по всему периметру корпоративной сети с централизованным управлением, архивацией и делегированием полномочий выделенному CNews: С помощью, каких технологий можно определить, какая информация является конфиденциальной, а какая нет? Алексей Доля: Существуют три базовых технологии: цифровые отпечатки пальцев (Digital Fingerprints), морфологический анализ и сигнатурный анализ. Прежде всего, один из самых распространенных подходов — Digital Fingerprints. В этом случае с каждого защищаемого документа снимается один или несколько «отпечатков» Далее следует морфологический анализ — метод контентного анализа, при котором система распознает смысл текста при помощи различных лингвистических технологий. Достаточно эффективная технология распознавания конфиденциальной информации, особенно для синтетических языков (славянские языки или немецкий). Также позволяет бороться с лингвистическими трюками (например, замена символов на похожие) и элементами стеганографии. Наконец, сигнатурный анализ — самый простой метод распознавания конфиденциальной информации, основанный на сравнении с ключевыми фразами. Вместе с тем, и самый ненадежный: простейшее изменение данных приводит к невозможности «засечь» утечку. В целом, ключевая функция решения состоит в обнаружении и предотвращении утечки данных. Для достижения этой цели системе необходимо знать, что защищать, и уметь это защищать. Для решения первой задачи корпоративные данные и действия сотрудников должны подвергнуться категоризации. Этот процесс позволяет выделить конфиденциальные данные (их характерные признаки — ключевые слова, Digital Fingerprints, метки) и определить спектр операций с ними для каждого пользователя или группы пользователей («три К» — кто, когда, как). Вторая задача состоит в распознавании категоризированных данных (фильтрация), предотвращении несанкционированных действий и одновременном журналировании всех операций для соответствия требованиям нормативных актов и расследований инцидентов постфактум. Сегодня существует три подхода к фильтрации данных: вероятностный, детерминистский и комбинированный. Вероятностный подход заключается в вероятностном анализе потоков данных и выявлении конфиденциальной информации по ее косвенным признакам (ключевые слова, фразы, Детерминистский подход позволяет идентифицировать защищаемые объекты с помощью специальных меток, полученных ими при категоризации. В общем случае метки содержат информацию об уровне конфиденциальности объекта, правах доступа и надежно защищены от изменения и подделок. Таким образом, система не угадывает присутствие конфиденциальных данных, а знает их точно. Кроме того, метки имеют свойство «заражать» новые документы, если при их создании были использованы категоризированные данные. Комбинированный подход сохраняет за собой все преимущества детерминистского, но, благодаря вероятностному анализу, также эффективен в выявлении конфиденциальной информации в абсолютно новых документах. CNews: В чем состоит особенность подхода InfoWatch? Алексей Доля: Решения InfoWatch покрывают весь периметр и абсолютно все каналы утечки. Кроме того, для выявления конфиденциальной информации в продуктах InfoWatch используется морфологический анализ, а также элементы сигнатур. Это позволяет добиться высокой эффективности и минимизировать число ложных срабатываний. Вдобавок продукты InfoWatch могут легко масштабироваться и обрабатывать даже самые интенсивные потоки трафика. Это подтверждается практикой использования решений в самых крупных российских организациях: «ВымпелКом», ФТС России, «Транснефть» и др. Однако ключевой точкой отличия решений InfoWatch является то, что продукт не только выявляет и предотвращает утечку важных сведений, но еще и складывает абсолютно все данные, покидающие корпоративную сеть, в специальное централизованное хранилище. Вне зависимости от того, каким путем и по какому каналу служащий скопировал или выслал файлы за пределы сети, они будут перехвачены, классифицированы и отправлены в хранилище. Это касается, как всего сетевого трафика, так и всех файлов, которые были отправлены на принтер, а также скопированы на мобильные устройства или портативные носители. Таким образом, аналитик или офицер CNews: Какое из последних внедрений InfoWatch вы бы отметили? Алексей Доля: Думаю, «Банк Москвы». Это один из крупнейших российских банков с филиалами по всей стране и в Германии, а также дочками во многих странах СНГ и Балтии. «Банк Москвы» остановил выбор на продуктах InfoWatch, чтобы построить эффективную систему внутренней безопасности и обеспечить соответствие нормативным актам (ФЗ «О персональных данных», Стандарт Банка России, соглашение CNews: Спасибо. |