К мониторам уровня рабочей станции относятся Info-Watch Net Monitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat и тщательно протоколирует все действия с конфиденциальными документами.
Вся эта функциональность логично дополнена возможностями модуля IDM, который контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д.
Вдобавок, компоненты INM и IDM в состоянии работать на ноутбуках, при этом администратор безопасности имеет возможность задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.
Все мониторы, входящие в состав IES, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты. Таким образом, комплексное решение IES адресует все аспекты защиты конфиденциальной информации от инсайдеров.
Продукты компании Lumigent Entegra и Log Explorer служат для пассивной защиты информации, хранящейся в базах данных. Они позволяют осуществлять аудит баз данных и восстанавливать информацию в них.
Продукт Entegra следит за действиями пользователей при работе с базами данных и осуществляет аудит самих баз. Он позволяет определить, кто, когда и как просматривал или изменял записи в базе данных, а также изменял, структуру или права пользователей для доступа к ней. Стоит заметить, что продукт не в состоянии предотвратить какое-либо вредоносное воздействие, он лишь может отправить информацию об этой операции для записи в журнал. Log Explorer ведет избыточный журнал всех произведенных с базой данных транзакций, что позволяет в случае каких-либо проблем произвести анализ и аудит совершенных операций и восстановить потерянные или измененные записи без использования резервной копии. Однако речь о восстановлении на самом деле не идет, Log Explorer позволяет осуществлять откат транзакций. Таким образом, этот модуль не в состоянии предотвратить утечку, но может снизить риски искажения записей.
Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.
Аппаратное решение компании Proofpoint позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации в электронных письмах. Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Если в передаваемом сообщении находится конфиденциальная информация, то продукт способен заблокировать утечку. Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных – электронной почты. Такой продукт может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек — всего лишь приятное дополнение. [12]
Пример победы над инсайдерами продемонстрировала в середине февраля 2006 г. российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности, фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor.
Таким образом, в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России. Уже можно отметить положительные тенденции. Число организаций, защитивших себя от утечек, непрерывно растет и еще будет увеличиваться.
Организации начинают хорошо осознавать опасность роста угроз, связанных с собственным персоналом, хотя мало предпринимают необходимых мер для защиты. В списки своих приоритетных задач не все включили обучение и повышение квалификации сотрудников в сфере ИБ, регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. Лишь немногие рассматривают сегодня ИБ как одну из приоритетных задач руководства.
По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. Компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.
Недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.
Многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, телекоммуникационные компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.
Ряд крупных компаний подпадают под требования различных нормативных актов, которые обязывают защищать приватные сведения. В целом ожидается, что спрос на решения по защите от инсайдеров и утечек будет стабильно расти как минимум в течение ближайших пяти лет.
1. InfoWatch. Новости. Как непросто определить утечку – Корбина телеком. 2007 г.
2. Сбиба В.Ю, Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб: Питер, 2008.
3. “КНС ИНФОТЕКС” http://home.tula.net/insider/001b.htm.
4. Зенкин, Д. Инсайдеры в 75 раз опаснее хакеров. С-News. Аналитика. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.
5. Доля, А. CitCity. Инсайдеры наступают. http://citcity.ru/14874/
6. InfoWatch: Внутренние угрозы: перед лицом общей опасности. http://www.infowatch.ru/threats?chapter=147151398&id=153017335
7. Доля, А. Саботаж в корпоративной среде. http://www.directum-journal.ru/card.aspx?ContentID=1717301.
8. Базовый уровень информационной безопасности операторов связи. [В Интернете] http://www.ccin.ru/treb_baz_u.doc.
9. Доля А. Безопасность телекомов. http://citcity.ru/15562
10. Доля А.В. Внутренние угрозы ИБ в телекоммуникациях. 2007 г. http://www.iks-navigator.ru/vision/456848.html.
11. Костров, Д.В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008 г.
http://www.iks-navigator.ru/vision/2390062.html.
12. Вестник связи: Защита от инсайдеров в телекоммуникационных компаниях.
http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.
13. Чужой среди своих: протокол заседания круглого стола. Вестник связи. - №7. 2006 r. http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.