Третье поколение систем предотвращения утечек информации
16 декабря 2009
Рубрика: Статьи, присланные на конкурс.
Автор: Дамир Равилов.

uchastnik «Кто владеет информацией, тот владеет миром». Сейчас, в нашу эпоху всеобщей информатизации как нельзя актуально это выражение. Информация сейчас цениться как никогда, и как никогда остро встал вопрос предотвращения её утечек. Данный вопрос не обошёл стороной и Узбекистан. Как и многие динамично развивающиеся страны, наша Республика активно развивает информационные технологии во всех сферах.

Данные нововведения значительно упростили работу с информацией, её стало проще обрабатывать, хранить, а самое главное передавать. Она может быть передана как коллеге по работе, так и злоумышленникам, которые могут с её помощью нанести значительный ущерб организации. Всё это заставило задуматься о целесообразности применяемых ранее мер по борьбе с подобного рода цифровыми инцидентами.

До недавнего времени имеющиеся на рынке решения по предотвращению утечек информации не могли обеспечить 100 % защиту компании. Суть данной проблемы заключается в том, что задача контроля утечки информации не соизмерима задаче предотвращения данных инцидентов. Вы всегда будете знать, где и когда хранилась конфиденциальная информация, но при этом она не сможет быть защищена.

Несостоятельность данных решений объясняется тем, что помимо каналов утечки существует ещё и характеристики инцидента, его причина, противодействие которым не представляется возможным путём контентных и детерминистских методов. Системы на основе этих методов не могут защитить данные при потере носителя информации, такого как USB-накопитель, ноутбук, сервер и т.д. Единственный способ защиты от утечки информации в подобных случаях это тотальное шифрование всех имеющихся носителей.

Сегодня проблема кражи носителей информации стоит достаточно остро. По данным Ponemon Institute, на нее приходятся почти половина (49%) всех современных утечек. Все имеющиеся до этого системы предотвращения утечек не решали поставленной перед ними задачи, даже в теории, они не могли противодействовать почти половине происходивших инцидентов.

Данная проблема и послужила причиной появления нового поколения систем предотвращения утечек информации — ИАС РСКД (информационно-аналитическая система режима секретности конфиденциальных данных). В данных системах объединены лучшие тенденции разработанных ранее методов фильтрации с криптографическим функционалом. Функционал данных системы, обладает следующими параметрами.

• Фильтрация большинства документов происходит на основе детерминистских (грифовых) технологий. Поэтому, в начале внедрения системы происходит классификация конфиденциальных сведений.
• Маркированные документы определенной степени секретности храниться в защищенных криптоконтейнерах, доступ к которым будет невозможен даже в случае кражи носителя. Система поддерживает технологию автоматической разметки на основе заранее заданных правил и политик, а также технологию переноса меток.
• Производит контентную фильтрацию документов только в том случае, если на этих документах отсутствуют метки (грифы)
• Система по результатам проведённого анализа собираемых сведений выстраивает цепочки событий, маршруты перемещения конфиденциальных данных, анализируя действия пользователей, и в автоматическом режиме определяет их аномальное поведение.

В теории системы класса ИАС РСКД способны совместить в себе точность детерминистских методов с гибкостью контентной фильтрации и криптографической защищенностью. По предварительным оценкам, фильтрация на основе комбинации методов способна обеспечить 100% защиту для классифицированных документов и 99% защиту в целом. Данные показатели превышают 80% рубеж, который может дать контентная фильтрация при самых благоприятных условиях.

Использование детерминистских методов позволяет зашифровать почти все конфиденциальные документы, не прибегая при этом к тотальному шифрованию носителей. А интеграция процессов шифрования и расстановки меток поддерживает «зашифрованность» во времени.

Следовательно, первым этапом является категоризация и классификация всей информации. После того как будет установлена степень конфиденциальности той или иной информации осуществляется маркировка всей документации согласно уровню доступа и классу секретности.

Для этого используется специальная технология, позволяющая внедрить метку в документ так, чтобы её не мог видеть пользователь, а также внести какие-либо изменения. Данная метка содержит как служебную информацию, так и сведения о классе конфиденциальности документа, правах доступа, а так же информацию о владельце данного документа.

Новая технология обладает тремя уровнями защиты данных (рис.1) и опирается на пять основных принципов Информационной Безопасности: классификация, контроль, мониторинг, нотификация и аудит. Данная технология позволяет обеспечить уровень безопасности более 99%, защитить данные при хранении, использовании, а также перемещении. Главным преимуществом данной технологии является тот факт, что она решает проблему комплексно.

Данная технология позволит избежать утечки информации как при краже ноутбука, или рабочей станции, так и при попытке несанкционированного копирования секретной информации на USB-носитель. Применение данной технологии позволит всецело устранить проблему утечки конфиденциальной информации. Она так же позволяет создать безопасное пространство для хранения, использования и передвижения информации.

tr_16_12_2009

Рис.1 Три уровня защиты технологии ИАС РСКД

Защита в местах хранения.

После того как все документы пройдут классифицирование, они будут помещены в специальное хранилище, где будут храниться только в зашифрованном виде. С точки зрения реализации, данное хранилище может быть, как централизованным, так и распределенным. В последнем случае документы будут, как и раньше, располагаться на рабочих станциях пользователей, но уже в зашифрованном виде и с инкапсулированными метками. В результате чего реализуется то самое защищенное хранилище, которое поможет надёжно защитить секретные документы от утечки и разглашения при краже вычислительной техники, потери ноутбука и любой другой атаке несанкционированного доступа. Явным преимуществом является то, что для защищенного хранилища не имеет значение в каком виде и формате хранятся данные. Там могут храниться как текстовые документы, так и таблицы, рисунки, мультимедиа и даже базы данных. В случае базы данных, сама база не помещается хранилище, но пользователи работают только с безопасным хранилищем, а данные из базы перед тем, как попасть к пользователю, проходят хранилище.

Защита при использовании.

После того, как все документы классифицированы и помещены в хранилище, начинается рабочий процесс. При этом все операции с секретными документами контролируются Системой контроля использования информации. Необходимо учесть тот факт, что в процессе работы служащие используют не только уже классифицированные документы, но и создают новые документы. Это должно было выявить все недостатки детерминистских методов, рассмотренные ранее, однако разработчики нашли оригинальное решение: при создании новых документов с использованием информации из уже существующих файлов происходит «заражение» нового документа метками конфиденциальности тех документов, которые использовались для его наполнения. В результате чего, все новые документы классифицируются автоматически (за исключением тех, которые создаются с нуля, без использования каких-либо существующих документов).

Как показали исследование компании Perimetrix, служащие очень редко создают и наполняют новые документы без использования каких-либо уже существующих документов. В зависимости от специфики работы сотрудника число таких создаваемых с нуля документов (и без использования предопределенных шаблонов) обычно не превышает 0,5% от общей массы создаваемых документов. Только в некоторых исключительных случаях (например, работа художников, дизайнеров и т.д.) это значение достигает в среднем 3%.Из всего этого следует, что автоматической классификации не подвергается лишь малая часть вновь создаваемых в компании документов.

При попытке украсть классифицированный и помеченный документ злоумышленник наталкивается на 100% эффективность защиты, характерную для детерминистских методов. Система точно знает о том, что данный документ является секретным, и не позволяет ему просочиться наружу, если у сотрудника нет соответствующих прав.

При этом если злоумышленник попытается выкрасть неклассифицированный доку-мент (то есть недавно созданный и наполненный информацией из головы служащего) наталкивается на определённый Фильтр, в основе которого лежат сразу три вероятностных метода защиты: цифровые отпечатки, лингвистический (эвристический) и сигнатурный анализ. Это позволяет существенно увеличить эффективность защиты относительно уровня защиты классического подхода, описанного выше. Это связанно с тем, что число неклассифицированных файлов в любой момент времени не превышает 0,5% от общего числа документов. Таким образом, доля ложных срабатываний или пропущенных секретных документов по теории вероятности составляет 0,005 х 0,8 = 0,004. другими словами, эффективность технологии равна 99,6%, что вполне подходит для оценки рисков и моделирования угроз.

При этом обеспечивается защита неклассифицированных документов, даже если они покидают сеть не через сетевой шлюз (почта, Интернет, принтер), а через порты рабочей станции. К примеру, если файлы копируются на USB-носитель. В этом случае файл все равно отправляется на сервер фильтрации для классификации в режиме реального времени. Что позволяет избежать дополнительной нагрузки на рабочую станцию и сеть организации, так как число таких неклассифицированных документов крайне низко.

Неклассифицированные документы хранящиеся и накапливающиеся на рабочих станциях пользователей, которые не высылают за пределы сети, проходят автоматическую классификацию документов. В этом случае концепция ИАС РСКД предполагает, что по определенному расписанию (ночью раз в сутки или на выходных еженедельно – в зависимости от размера организации) система сама будет производить инвентаризацию документов. Все новые документы будут автоматически классифицированы и помещены в хранилище.

Защита при перемещении.

Необходимо обратить внимание на тот факт, что все секретные документы являются зашифрованными. Поэтому при их передаче передается документ, защищенный криптографией, что означает защиту данных в движении в дополнение к той защите, которая была обеспечена при хранении и использовании (см. рис. 1). кроме того, если секретный документ покидает корпоративную сеть и направляется, например, к партнеру, то шифрование исходящего трафика может производиться автоматически и абсолютно прозрачно.

Технология ИАС РСКД предполагает и такую процедуру, как понижение уровня конфиденциальности документа. Очевидно, что, копируя данные из секретного документа, служащий может создать публичный файл, предназначенный для дальнейшего исполь-зования или пересылки за пределы организации. В этом случае сотрудник может инициировать процедуру понижения уровня секретности, что потребуется участия еще одного или двух других сотрудников, в зависимости от действующей политики безопасности. К примеру, офицера безопасности, непосредственного руководителя или уполномоченного лица. Для пользователей, которые часто создают публичные документы, предусмотрены определенные шаблоны документов, которые позволяют сразу же создавать несекретные файлы. Однако во время этого процесса служащие не смогут работать с конфиденциальной информацией в других документах, что вполне логично.

Аудит на всех Этапах Жизненного цикла

Аудит конфиденциальности и целостности конфиденциальных документов на всех этапах жизненного цикла – столь же важная составляющая часть технологии ИАС РСКД, сколь и сам по себе защита от утечки.

Эта концепция предполагает ведение центральной Базы данных, в которую складываются как все события (кто, когда, какую операцию произвел и с каким документом), так и сами документы (циркулирующие внутри сети, покидающие ее пределы). Таким образом, создается мощная основа для аудита целостности, ретроспективного анализа и расследования инцидентов.

При использовании этой базы данных, офицеры безопасности могут собирать и анализировать статистику, строить графики и отчеты. Используя эти сведений можно определить, насколько эффективно эксплуатируются информационные ресурсы организации, сбалансировать и оптимизировать потоки данных и внутренние коммуникационные процессы.

Одним из достоинств данного метода является то, что он содержит встроенную единую систему идентификации пользователей. При помощи центральной базы всегда можно точно выяснить личность служащего, совершившего те или иные действия. Что позволяет обойти ключевое ограничение лоскутных систем защиты от утечек, которые состоят из нескольких не интегрированных компонентов. Такие лоскутные системы позволяют отслеживать действия с каналом интернета, идентифицируя пользователей только в виде обезличенных IP-адресов (которые могут быть динамическими), с email – по почтовым адресам (которые легко фальсифицируются), со съемными носителями – по именам учетных записей.

Проводя анализ центральной базы, и расследуя уже случившийся инцидент, можно отследить череду действий, которая предшествовала попытке утечки или другим нарушениям. По мере накопления такой информации становится возможной проактивная защита от внутренних угроз информационной безопасности, которая позволяет применить защитные меры еще до того, как нарушитель успеет подготовиться к реальным действиям.

Аудит целостности секретных документов

Проведение аудита целостности секретных документов является ключевым требованием целого ряда нормативных актов, стандартов и директив. Аудиту целостности финансовых документов особое внимание уделяет закон SOX (Sarbanes-Oxley) , ставший стандартом де-факто в сфере корпоративного управления. Более того, аудит целостности секретных документов является основой любого стандарта по информационной безопасности, управлению рисками и т.д.

Проведение аудита целостности предполагает, что каждый чувствительный документ должен быть защищен от искажения (вплоть до полного уничтожения). Для реализации подобного рода защиты создаются средства внутреннего контроля, которые в общем виде не могут помешать модификации важных документов теми служащими, у которых есть на это соответствующие права. Средства внутреннего контроля позволяют выявить кто, какие изменения и в какой документ внес, а также восстановить важные файлы в оригинальном виде (даже после уничтожения).

Технология ИАС РСКД в полной мере реализует задачу аудита целостности и защиты от искажения и уничтожения документов. Центральный архив, описанный в предыдущем разделе, содержит в себе все необходимые для аудита сведения: различные версии документов, а также указания, кто, когда, как и что изменил. При возникновении необходимости можно легко поднять историю любого документа и последить весь его жизненный цикл. Отследить тот момент, когда внутренний нарушитель исказил отчет. Определить, когда и как он это сделал, а потом откатить изменения и восстановить оригинальную версию документа.

ВЫВОДЫ

Основным отличием от стандартных и уже устаревших подходов с использованием детерминистских и вероятностных методов, новая технология позволяет обеспечить крайне высокий уровень безопасности (с эффективностью более 99%), обеспечить сохранность данных при хранении, использовании и в движении. Комплексный подход в решении данной проблемы обеспечивает новой концепции существенное преимущество. Данная технология позволяет избежать утечки как при потере служащим организации ноутбука с секретными документами, так и при попытке скопировать конфиденциальную информацию на USB-носитель. Реализация нового метода в организации позволяет полностью исключить утечку конфиденциальной информации.

Как и бумажный документооборот, концепция ИАС РСКД предоставляет возможность реализации безопасного пространства, в котором документы хранятся, используются, передвигаются, в конечном счете, живут и умирают.

Использованы материалы:

1)В статье были использованы материалы компании Perimetrix (http://perimetrix.ru)
SECRET DOCUMENTS LIFECYCLE™-новое поколение технологий для защиты
корпоративных секретов.

2)В статье были использованы материалы сайта (http://www.itsec.ru)
Онтологии в DLP-системах третьего поколения

3) В статье были использованы материалы сайта http://www.aladdin.ru
Борьба на «невидимом фронте», или еще раз о борьбе с инсайдерами.
Алексей Сабанов

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте