Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Боритесь с хищением данных

Джордан Винс

Разработка средств информационной безопасности последнего поколения направлена на предотвращение хищения данных в любом месте сети, но в реальной жизни без вашего участия это зло не побороть.

Наиболее важные данные вашей компании — под угрозой: на тропу войны вступила организованная киберпреступность, воры охотятся за оставленными без присмотра ноутбуками, сетевые взломщики используют веб-приложения, способные выкачивать целые БД, внутренние злоумышленники (инсайдеры) ищут способы тайком вынести из компании ценную информацию. Одним словом, «скверных парней», нацелившихся на ваши данные, полным полно.

Само собой разумеется, что вы соблюдаете требования всех относящихся к сфере вашей деятельно-сти законодательных актов, касающихся защиты данных, — и это разумно. Согласно оценке организации IT Policy Compliance Group, ущерб от хищения данных в среднем десятикратно превышает затраты на соблюдение законодательных актов по защите информации.

Выполнять требования законодательства и снижать благодаря этому степень риска очень хорошо, но недостаточно. Нельзя, слепо следуя закону, проводить аудит и принимать меры безопасности просто потому, что они предписаны тем или иным стандартом. Чтобы по максимуму сэкономить и снизить степень риска, вы обязаны активно защищать данные вашей компании с помощью мероприятий, направленных против угроз, которые характерны именно для вашей среды.

Сейчас нет недостатка в инструментах, помогающих выстраивать необходимую оборону. Практически все, что имеется в области информационной безопасности, в конечном итоге направлено на защиту данных. Это особенно верно, когда речь идет о таких традиционных мерах, как контроль доступа, шифрование и мониторинг сетей. Мы решили сосредоточить ваше внимание исключительно на самых последних образцах продуктов, ориентированных на противодействие угрозе хищения данных.

Вы откуда и куда?

Проблему предотвращения хищения данных можно формулировать по-разному: предотвращение вторжений, фильтрация контента, предотвращение утечки информации и др. Главными задачами при этом остаются выявление уязвимых данных, мониторинг маршрутов их движения, проверка полномочий всех, кто имеет к ним доступ, и ограничение такового в тех местах, где он может возникнуть в вашей сети — включая ПК и мобильные устройства конечных пользователей, БД, сетевые шлюзы и хранилища файлов. Имеется большой выбор продуктов, которые предназначены для решения всех этих задач в каждом из перечисленных элементов сети. Но при всем богатстве выбора с чего же следует начинать?

Как и все долгосрочные проекты, данный проект должен начинаться с анализа собственных потребностей. Вам надо определить свои требования и приоритеты в отношении информационной безопасности. Каких правил обращения требуют ваши данные, как они классифицируются? Есть ли в вашей системе медицинские данные, финансовая информация, данные, составляющие коммерческую тайну, и другие чувствительные к раскрытию данные? Большинство организаций имеют дело с конфиденциальными данными разного типа, которые необходимо классифицировать, прежде чем выбрать технические средства контроля, затем решить, какой контроль применить к защите данных каждого класса.

Один из шагов процесса идентификации и классификации данных — исключить возможные неожиданности. Например, в прошлом году у одного из служащих Совета по делам ветеранов был украден ноутбук и диск с миллионами ветеранских досье. По горячим следам человека обвинили в том, что он взял все это домой без разрешения, но потом выяснилось, что разрешение у него все-таки было. Здравая политика, запрещающая вынос из офиса чувствительных к раскрытию данных незашифрованными, доведенная до сведения всех служащих и понятая ими, могла бы предотвратить описанный выше инцидент.

При анализе различных технологий обеспечения информационной безопасности важно помнить, что меры по защите данных от угроз одного характера часто не пригодны и даже идут во вред, если применять их для защиты от других угроз. Рассмотрим весьма вероятный сценарий утраты ключей для восстановления зашифрованной информации на накопителях. Такого типа угроза требует совсем иных способов защиты (передача ключа на «ответственное хранение», создание резервной копии) по сравнению с механизмами, которые защищают тот же самый накопитель при использовании его за пределами сети предприятия (администрирование с учетом местоположения устройства или наложение условия о возвращении данных в зашифрованный вид по истечении заданного временного интервала — тайм-аута).

На это надо обратить особое внимание при сравнении средств предотвращения утраты данных (Data Loss Prevention — DLP), которые контролируют деятельность в сети с целью идентифицировать и блокировать их передачу, с продуктами, работающими локально — на оконечных системах. Сетевые решения, в принципе, являются более уязвимыми в отношении инсайдерских угроз. Инсайдер может украсть данные через сеть, пользуясь шифрацией или стеганографией (прием, при котором одни данные внедряются в другие, представленные в ином формате, например, текст прячут в графический или звуковой файл). он также может подключить к своему ПК USB-устройство, снабженное шифровальным механизмом, скопировать на него файлы и выйти с ними из офиса. С помощью сетевого DLP-продукта зафиксировать такое нарушение практически невозможно. DLP-продукты, работающие на оконечных системах, напротив, имеют больше шансов блокировать подобную деятельность. Однако не обладающие большими знаниями, но осторожные инсайдеры могут просто сфотографировать данные с экрана монитора на свой сотовый телефон или цифровую камеру. И никакой DLP-продукт не спасет вас от этого.

Честные поставщики готовы признать, что DLP-продукты не в состоянии остановить упрямого и высококвалифицированного инсайдера, если он вознамерился выкрасть информацию. Реальная польза этих продуктов состоит в возможности выявить тех служащих, которые допускают случайную утечку данных, либо идут на опасные нарушения с целью быстрее справиться со своей работой. Конечно, в этом случае можно выявить и инсайдеров-злоумышленников, но только тех, кто недостаточно осторожен или имеет слабую компьютерную подготовку.

Интересный факт, казалось бы противоречащий обыденной логике: при правильном применении простой мониторинг без функции блокирования может быть более эффективным, чем решения, предусматривающие активные меры противодействия. Данный парадокс объясняется тем, что в решениях, предусматривающих блокирование, последнее часто принимает форму полного прекращения работы пользователя. Ведь, в конце концов, если DLP-продукт заблокировал утечку данных, значит, он выполнил свое предназначение, не правда ли? Да, это так, но на этом дело не кончается. С этого момента начинается процесс расследования — надо же выяснить, что отправлено из системы, кому и кто сделал это. Были ли данные отправлены на законных основаниях в интересах бизнеса, но кем-то из сотрудников, кто не следовал установленной процедуре? Или тот, кто сделал это, нарушил политику безопасности компании по незнанию? А может, этим нарушителем был кто-то, питающий злые намерения относительно вашей компании? Блокировка позволяет защитить данные, но не дает ответа на все эти вопросы. Используя данные мониторинга, у вас, по крайней мере, появится возможность провести расследование каждого инцидента.

DLP-продукт не может полностью автоматизировать решение трудной задачи локализации и классификации всех ваших данных, не может он выполнить и самую сложную часть задачи по защите данных — разработать безопасные процедуры, которые помогали бы ИТ-персоналу делать свое дело, и обучить им пользователей. Конечная цель должна состоять не в блокировании всякого рода перемещения данных по сети, а в безопасном перемещении уязвимых данных.

Новый подход к шифрованию

Основной технологией защиты данных является шифрование. Существует множество разнообразных традиционных подходов к шифрованию. Однако сегодня появился новый подход, получивший название «администрирование цифровых прав в организации» (Enreprise Digital Rights Management — EDRM), который представляет собой попытку решить проблему «непрактичности» чистого шифрования, сохранив при этом высокий уровень защиты данных. Цель метода EDRM состоит в сохранении обычного документооборота в организации и в обеспечении при этом безопасности данных. Например, отдел маркетинга составляет рекламное объявление относительно какого-то нового продукта компании, технический отдел просматривает текст и вносит исправления с точки зрения точности технического описания (мы ведь с вами можем немного помечтать, не правда ли?), затем отдел маркетинга перефразирует отредактированный текст с целью его лучшего восприятия. После этого текст, возможно, передадут в юридический или финансовый отдел, где его окончательно про-смотрят перед распространением. В случае традиционного шифрования документ должен быть дешифрован перед каждым новым просмотром и снова зашифрован после него. Технология EDRM автоматизирует этот процесс: операции шифрования-дешифрования осуществляются программами-агентами или ПО редактирования документов на машинах пользователей, причем делается это незаметно для последних. При этом документ загружается с некоторым набором разрешающих признаков, которые определяют права доступа к нему различных лиц, и каждому из них могут назначаться индивидуальные полномочия. Эти признаки остаются в силе на всем маршруте движения файла по системе документооборота.

А неприятностей все больше...

Усовершенствование DLP-продуктов не должно отставать от развития приобретающих все большую популярность новых каналов обмена информацией. Рассмотрим блоги и вики: согласно недавно проведенному опросу, организация MarketIQ выявила, что всего 5% из 600 респондентов выразили заинтересованность в применении мер защиты контента к блогам и вики. Частично это может быть связано с их не таким широким распространением, как, например, электронной почты, но считать это единственной причиной недостаточного интереса к проблеме было бы неправильно. Более вероятно, что такое отношение связано с еще неполным осознанием организацией, какой большой объем уязвимого контента содержится в этих источниках, а также с тем, что имеющиеся технические решения плохо подходят для их защиты. Хорошая иллюстрация последнего — продукт CI-750 Content Inspection Appliance компании Code Green Networks: сканирование вики потребовало написания специального программного модуля для наполнения и ведения базы сигнатур.

Еще одной неприятной реальностью, отрицательно влияющей на результат внедрения DLP, является проблема ложных срабатываний. Она в той или иной мере характерна для многих технологий безопасности — большинство продуктов перенасыщены возможностями распознавания определенных типов структурированных данных — например, номеров социального страхования (SSN) и кредитных карт. К сожалению, номера SSN обычно выглядят как случайные числа. А любая случайная последовательность из 9 цифр в 75% случаев распознается как SSN, поскольку в отличие от номеров кредитных карт номера SSN не сопровождаются контрольными суммами. Кроме того, чем «настойчивее» технология будет пытаться выявить фрагменты подлежащего защите контента, тем вероятнее ложное срабатывание на том контенте, который на самом деле защите не подлежит.

При мониторинге сетей на предмет обнаружения вторжений ставятся две разные задачи. Первая из них состоит в формировании четких предупреждений, которые идентифицируют проблему по горячим следам и призваны будить вас в любое время дня и ночи. Вторая задача предполагает, что проблема возникает на конкретном рабочем месте, и ее цель — собрать об инциденте как можно больше информации для последующего расследования.

Первая задача требует очень низкой частоты ложных срабатываний (в случае активных DLP-продуктов это эквивалентно снижению указанной частоты до уровня, при котором не происходит ошибочной блокировки легальных каналов связи), а вторая — очень низкой частоты несрабатываний. Чтобы проиллюстрировать важность второй задачи, обратимся к делу некоего Гарри Мина, который был недавно осужден за кражу коммерческих секретов из компании DuPont, в которой работал. Это дело — прекрасный пример того, насколько эффективными могут быть собранная криминалистическая информация и хороший аудит. Стандартные процедуры выхода из системы пользователей, имеющих право доступа к уязвимым данным, должны предусматривать возможность контроля за тем, к каким именно документам эти пользователи обращались. В данном конкретном случае тот факт, что г-н Мин слишком активно работал с документами, был настолько очевидным, что это побудило менеджеров компании DuPont позвонить в ФБР.

При внедрении DLP-продуктов преследуются две цели. Первая —предупреждение, а вторая — выявление преступных действий, при этом для достижения каждой из них ставятся различные задачи. Неважно используете ли вы один DLP-продукт или несколько, вы должны добиваться решения всех задач..

  
9 '2008
СОДЕРЖАНИЕ

инфраструктура

• Динамичный рынок монтажных конструктивов

• Энергосбережение в ЦОДах

• Городские сети Wi-Fi: многочисленные провалы и редкие успехи

информационные системы

• Управление производительностью распределенных приложений

• SOA и виртуализация — идеальная пара

• Знакомство с (*)

сети связи

• FTTx: где оптимальное место для «x»

• Мобильность — одно из главных преимуществ IP-телефонии

• Радиоинтерфейс LTE в деталях

кабельные системы

• Кабельные трассы на объектах со свободной планировкой

• Оптимальные приемы инсталляции экранированной кабельной системы

защита данных

• Боритесь с хищением данных


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх