Раздел: Компьютерная документация -> Безопасность -> Защита информации

Аппаратные решения для выявления и предотвращения утечек конфиденциальной информации

Сегодня защита конфиденциальных данных - одна из главных задач любого бизнеса. Почти каждая компания располагает торговыми или промышленными секретами, приватными сведениями своих сотрудников, клиентов и партнеров, а в некоторых случаях интеллектуальной собственностью и другими цифровыми активами. Чтобы защитить всю эту информацию от несанкционированного доступа, предприятия берут на вооружение брандмауэры, системы обнаружения и предотвращения вторжений, средства двухфакторной аутентификации, а также другие продукты и технологии. Однако от инсайдеров - обширной категории служащих компании, имеющих легальный доступ к конфиденциальной информации в силу своих должностных обязанностей, - данные, не подлежащие разглашению, чаще всего остаются беззащитными. Тому, как обеспечить внутреннюю IT-безопасность, зафиксировать и предотвратить утечку или нецелевое использование информационных активов, посвящена эта статья.

Сейчас утечка конфиденциальной информации представляет самую опасную угрозу IT-безопасности. Так, по данным CXO Media и PricewaterhouseCoopers (см. "Global State of Information Security 2005"), на долю инсайдеров приходится 60% всех инцидентов IT-безопасности. В то же самое время по сведениям компании InfoWatch (см. "Внутренние IT-угрозы России 2005"), опросившей более 300 представителей российского бизнеса в конце 2005 года, 64% респондентов считают кражу данных главной угрозой IT-безопасности, при этом на втором месте со значительным отставанием оказалась угроза вредоносных кодов (49%).

В уже начавшемся 2006 году проблема защиты чувствительных данных только усилится. Это связано, прежде всего, с ужесточением законодательных требований, как по всему миру, так и в России. Например, в США бурно обсуждается законопроект об утечках классифицированных сведений, и все указывает на то, что соответствующий федеральный закон будет вскоре принят . В России сегодня пристальное внимание приковано к законопроекту "О персональных данных", который потребует от операторов (компаний, хранящих и использующих приватные записи граждан) обеспечить безопасность персональной информации. Как только проект закона превратится в федеральный акт, то компаниям, предоставляющим услуги физическим лицам в национальном масштабе (например, операторам сотовой связи), придется согласовать свою деятельность с новыми нормативными требованиями, что, конечно же, потребует серьезных капиталовложений.

Комплексный подход к выявлению и предотвращению утечек

Сегодня на рынке существует довольно много решений, позволяющих детектировать и предотвращать утечку конфиденциальной информации по тем или иным каналам. Однако комплексных решений, покрывающих все существующие каналы, значительно меньше. Некоторые разработчики предоставляют продукты лишь для контроля над почтовым трафиком или коммуникационными портами рабочей станции. Такой подход обладает всего одним преимуществом: заказчик покупает автономный продукт, который требует минимум усилий при внедрении и сопровождении. Тем не менее слабых сторон намного больше: компания должна сама позаботиться об оставшихся непокрытыми каналах передачи информации (что нередко просто невозможно), а также самостоятельно провести комплекс организационных мероприятий (для чего штатным специалистам часто не хватает опыта и знаний). Другими словами, при выборе конкретного решения заказчик должен обратить самое пристальное внимание на диапазон покрываемых каналов утечки и наличие важных сопроводительных услуг.

Еще один важный параметр, который необходимо учитывать, - наличие или отсутствие аппаратных модулей в комплексном решении либо в автономном продукте. Самые продвинутые поставщики сегодня предлагают на выбор программные и аппаратные компоненты для контроля над теми коммуникационными каналами, где это возможно. Так, ни один разработчик не предложит сегодня аппаратных модулей для предотвращения утечек через ресурсы рабочих станций (порты, принтеры, приводы и т. д.), поскольку эффективность подобной технологии сомнительна. Однако обеспечить контроль над почтовым или веб-трафиком с помощью отдельного устройства, а не выделенного сервера вполне логично. Дополнительным преимуществом такого подхода является возможность более эффективной защиты информационных активов крупной компании, имеющей обширную сеть филиалов. В этом случае можно настроить и протестировать аппаратные компоненты в штаб-квартире, а потом быстро внедрить их в филиалах. В отличие от программных модулей автономные устройства могут быть легко развернуты и не требуют серьезного сопровождения (следовательно, филиалу не обязательно иметь специалистов по IT-безопасности). К тому же в большинстве случаев аппаратное решение обладает более высокой производительностью. Хотя программные компоненты, работающие на выделенных серверах, в некоторых случаях обладают большей гибкостью и возможностями более тонкой настройки. Вдобавок программные модули чаще всего обходятся значительно дешевле аппаратных.

В данной статье рассмотрены аппаратные решения для выявления и предотвращения утечек, а сравнительный анализ программных компонентов будет представлен в следующем номере.

Компания InfoWatch

Архитектура комплексного решения IES носит распределенный характер и включает следующие программные компоненты, также доступные в качестве автономных продуктов:

• InfoWatch Web Monitor (IWM) - программный продукт для предотвращения утечки конфиденциальной информации через Интернет, в том числе веб-почту, форумы и чаты. IWM в масштабе реального времени сканирует исходящий интернет-трафик (перехватывает POST-запросы) и блокирует пересылку пакетов, которые содержат или могут содержать конфиденциальные данные. Система ведет подробный отчет о произведенных операциях и сообщает сотруднику IT-безопасности о нарушении политики внутренней безопасности.
• InfoWatch Mail Monitor (IMM) - программный продукт для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. IMM в режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Система ведет подробный учет пересылаемых сообщений и оповещает сотруднику IT-безопасности о нарушении политики внутренней безопасности.
• InfoWatch Net Monitor (INM) - программный продукт для контроля над обращением конфиденциальной информации на рабочих станциях и файловых серверах. INM в масштабе реального времени отслеживает операции с файлами (чтение, изменение, копирование, копирование в буфер обмена, печать и др.) и сообщает сотруднику IT-безопасности о тех из них, которые не соответствуют принятой политике информационной безопасности. Продукт ведет подробное протоколирование всех действий с файлами и сообщает ответственным лицам о нарушениях.
• InfoWatch Mail Storage (IMS) - программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. IMS в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.
• InfoWatch Device Monitor (IDM) - программный продукт для контроля над доступом пользователей к коммуникационным портам и устройствам ввода-вывода рабочей станции (CD, floppy, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, FireWire, Wi-Fi). Система в режиме реального времени отслеживает доступ к коммуникационным портам и блокирует операции, не соответствующие принятой политике внутренней IT-безопасности.

Cхема 1.Архитектура InfoWatch Enterprise Solution

Все эти компоненты являются программными, поэтому они не будут рассмотрены подробно, однако компания InfoWatch предлагает заказчикам выбор: модули Web и Mail Monitor доступны в аппаратном исполнении - устройстве InfoWatch Security Appliance (IWSA). Данный продукт создан совместными усилиями компаний InfoWatch и "ГЕЛИОС КОМПЬЮТЕР".

Продукт IWSA в масштабе реального времени фильтрует трафик, передаваемый по протоколам SMTP и HTTP, предотвращает неавторизованную пересылку документов через корпоративный почтовый шлюз, веб-почту, форумы, чаты и другие сервисы в Интернете. В случае обнаружения фактов несоблюдения корпоративной политики конфиденциальности система оперативно сообщает об инциденте сотруднику IT-безопасности, блокирует действия нарушителя и помещает подозрительные объекты в область карантина.

Устройство IWSA легко интегрируется в существующую IT-инфраструктуру: система устанавливается в качестве дополнительного relay-сервера корпоративной сети, принимает перенаправленные потоки SMTP и HTTP, а после фильтрации возвращает данные отправителю. В составе комплексного решения IES или при использовании IWSA отдельно доступно средство централизованного управления, позволяющее осуществить настройку и контроль над работой устройства, как из офиса, так и удаленно, через защищенный канал с консоли сотрудника IT-безопасности головного офиса.

IWSA может похвастаться не только быстрым развертыванием, но и высокой производительностью благодаря аппаратному форм-фактору. Устройство использует 64-разрядный сервер HELiOS Fortice IFS на базе процессора Intel Xeon с тактовой частотой до 3,60 ГГц, поддержкой технологии Hyper-Threading и Intel Extended Memory 64 Technology, кэш-памятью второго уровня объемом 2 Мбайт, 800-МГц системной шиной, 12 Гбайт ОЗУ, массивом до 10 жестких дисков SCSI. Подобные характеристики позволяют системе в рабочем режиме обрабатывать до 50 тыс. писем или 10 Гбайт трафика в день.

Технологии обнаружения конфиденциальных данных, реализованные в IWSA, основаны на сканировании пересылаемых данных для выявления определенных ключевых слов и фраз. При этом фильтр умеет обрабатывать такие форматы данных, как Plain Text, HTML, Word, Excel, PowerPoint, PDF, RTF, различные архивы (ZIP, RAR ARJ). Дальнейший лингвистический анализ позволяет учесть контекст, в котором используются ключевые слова и фразы, и тем самым существенно повысить точность анализа. На соответствие политике безопасности проверяются и атрибуты сообщения, например, размер письма, адрес DNS-сервера отправителя, соответствие черным и белым спискам, наличие шифрования или неопознанных форматов вложенных файлов. Вдобавок используется распознавание шаблонов, что позволяет детектировать неразрешенную пересылку структурированных данных. Наконец, процесс фильтрации включает сравнение каждого исходящего сообщения с его атрибутами и образцов, представленных в базе данных, содержащей постоянно обновляемые "прототипы" конфиденциальных сообщений, специфичных для каждого конкретного заказчика. Таким образом, IWSA позволяет выявлять чувствительные сведения почти при полном отсутствии ложных срабатываний.

В зависимости от выбранной аппаратной конфигурации ориентировочная стоимость решения в расчете на 100 пользователей составляет $10-15 тыс. Кроме этого, заказчику предлагается воспользоваться услугами по созданию специализированной фильтрационной базы данных, учитывающей специфику деловой терминологии организации, и технической поддержкой.

Пользователям комплексного решения IES компания InfoWatch предлагает такие возможности, как тренинг персонала, модификация отдельных модулей под специфические требования заказчика, анализ и аудит ITинфраструктуры, создание политики IT-безопасности, разрешение юридических вопросов и модификация трудовых договоров.

Компания Tizor

В основе выявления утечек лежит запатентованная технология Behavioral Fingerprinting. Разработчик утверждает, что с помощью данной технологии продукт в состоянии предотвратить хищение конфиденциальной информации, не осуществляя контентной фильтрации. Суть подхода состоит в построении шаблонов, описывающих активность пользователей. Каждый такой шаблон - своего рода цифровой отпечаток пальцев соответствующего пользователя, однако определение аномалий в рамках совершаемых людьми действий в любом случае носит вероятностный и статистический характер. Другими словами, в основе продукта компании Tizor лежит эвристический анализатор. Каждый раз, когда пользователь обращается к одному из защищенных серверов, TZX 1000 анализирует запрос и принимает решение на основе заданных политик. В сам продукт уже заложены некоторые политики для удовлетворения требований законодательных актов США, но для выполнения положений корпоративной политики IT-безопасности требуется специальная настройка.

Cхема 2.Tizor: активный аудит онлайн

Впрочем, у продукта есть и слабая сторона - это отсутствие комплексности. В частности, в состав решения не входят программные компоненты, которые могли бы предотвратить утечку через коммуникационные порты рабочей станции, принтеры, приводы и т. д. То есть, если конфиденциальная информация покидает сервер и достигает персонального компьютера, она становится полностью беззащитной.

Несмотря на то что продукт компании Tizor ориентирован на рынок США, автономность аппаратного исполнения TZX 1000 разрешает использовать его в любых компаниях, вне зависимости от их географического положения, но лишь в тех случаях, когда все информационные активы предприятия сосредоточены в базах данных или файловых серверах.

Начальная цена Tizor TZX 1000 составляет $25 тыс. Среди сопроводительных услуг Tizor предоставляет только консультации на этапе внедрения и техническую поддержку.

Компания Proofpoint

Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Так, вся передаваемая информация заранее распределена по нескольким тематическим категориям. Фильтр способен проанализировать более 300 типов вложений, включая популярные форматы Microsoft Word, Adobe PDF, ZIP и другие.

Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных, - электронной почты. Такой подход, конечно же, не создает комплексной защиты, однако может быть использован в тех случаях, когда основным предназначением становится фильтрация спама и выявление вирусов, а предотвращение утечек - всего лишь приятное дополнение.

Начальная стоимость Proofpoint Messaging Security составляет $10 тыс., а ежегодное обновление лицензии на 1 тыс. пользователей - $18 тыс.

Компания Tablus

Cхема 3.Tablus Content Alarm NW

Многомодульный продукт Content Alarm NW предназначен для выявления утечек по сетевым каналам. В его состав входят средства управления политикой и классификации данных, сенсоры пассивного мониторинга, почтовый фильтр для предотвращения утечек по каналам электронной почты, фильтры пересылаемых данных и графический клиент для централизованного управления.

Процесс выявления утечки основан на контентной фильтрации, в ходе которой производится лингвистический анализ, поиск чувствительных данных по сигнатурам, анализ ключевых слов и фраз, поиск по шаблонам, анализ атрибутов пересылаемых данных. В целом в решении Tablus реализован стандартный многоступенчатый механизм контентной фильтрации, применяемый сегодня в большинстве фильтров нежелательной корреспонденции.

В составе комплексного решения предусмотрен и аппаратный модуль Content Alarm DT, контролирующий операции на рабочих станциях с помощью программных агентов, которые внедряются в операционную систему, следят за действиями пользователя и проверяют их на соответствие политики. Аппаратная же часть продукта необходима для того, чтобы осуществлять через нее централизованное управление.

Агенты, размещенные на рабочих станциях, помогают контролировать следующие операции пользователей: запись данных на CD, копирование файлов на USB-устройства, вывод информации на принтер, работу с буфером обмена (операции копировать и вставить), создание снимка с экрана, отправку сообщений электронной почты за пределы корпоративной сети, присоединение файлов к средствам обмена мгновенными сообщениями (IM).

Таким образом, к сильным сторонам решения Tablus можно отнести некоторую комплексность, выражающуюся в защите как сетевых каналов, так и рабочих станций. Однако у продукта есть и слабые стороны: неполный контроль над рабочей станцией (совершенно не покрыты беспроводные возможности - IrDA, Bluetooth, Wi-Fi, также выпали из поля зрения все остальные порты, помимо USB) и негибкое использование аппаратных компонентов даже для контроля над рабочими станциями. Между тем для эффективного мониторинга операций пользователя на уровне персонального компьютера вполне достаточно программных агентов, применение же аппаратных модулей значительно повышает стоимость решения. В отличие от своих конкурентов решение Tablus действительно намного дороже (цены начинаются с $25 тыс.).

Компания Hackstrike

На последнем модуле следует остановиться подробнее, так как он имеет прямое отношение к предотвращению утечек. В основе подобной функциональности - система SDAS (Secure Digital Asset System), разработанная компанией Hackstrike. В потоке пересылаемых данных продукт может отыскать конфиденциальные документы благодаря этой технологии. Метод поиска сочетает анализ цифровых водяных знаков и сигнатурное сравнение. Расстановка же цифровых водяных знаков и взятие сигнатур происходит с помощью специального дополнительного модуля, который подключается к Microsoft Office и позволяет нажатием одной кнопки на панели инструментов пометить документ как конфиденциальный. Дополнительно технология SDAS позволяет осуществлять поиск по заданным ключевым словам, например, можно запретить пересылку всех документов, содержащих конкретную фразу.

Безусловно, решение Hackstrike нельзя сравнивать с конкурентными продуктами по комплексности в выявлении и предотвращении утечек. Так, ресурсы рабочих станций остаются вообще бесконтрольными, а любой пользователь может легко обойти цифровые водяные знаки и сигнатуры, просто скопировав данные через буфер обмена в новый документ и преобразовав его в другой формат (например, Adobe PDF). Тем не менее именно аппаратный продукт Hackstrike может подойти малому бизнесу, который помимо простейшей функциональности по предотвращению утечек получит в свое распоряжение маршрутизатор, брандмауэр, антивирус и многое другое.

Компания Oakley Networks

Комплексное решение SureView состоит из трех компонентов: агенты (размещаются на рабочих станциях), аппаратное ядро (выполняет основные функции фильтрации) и выделенный сервер (используется в целях централизованного управления политиками).

Для выявления утечек в продукте Oakley Networks предусмотрено несколько технологий и алгоритмов, основанных на вероятностных и статистических методах. Другими словами, продукт анализирует поведение пользователя с учетом чувствительности обрабатываемых документов, однако не производит контентной фильтрации как таковой.

Широкий спектр сопроводительных услуг включает внедрение и настройку решения, обучение персонала, модификацию продукта по желанию заказчика. Однако все эти возможности доступны только для американских клиентов компании, так как компания Oakley Networks не представлена в Евросоюзе и России.

Еще одним слабым местом решения является не полное покрытие коммуникационных ресурсов рабочей станции. По крайне мере, инсайдеры имеют возможность переписать данные на мобильные устройства посредством беспроводных интерфейсов (IrDA, Wi-Fi, Bluetooth).

Таблица 1.Сравнение решений

Автор: Алексей Доля
Источник: www.electronica.finestreet.ru