Хардуерни решения за откриване и предотвратяване на течове на поверителна информация
21 март 2006 г
Изтичането на поверителна информация вече е най-опасната заплаха за ИТ сигурността. По този начин, според CXO Media и PricewaterhouseCoopers (вижте "Глобално състояние на информационната сигурност 2005"), вътрешните лица представляват 60% от всички инциденти със сигурността на ИТ. В същото време според InfoWatch (виж "Вътрешни ИТ заплахи в България 2005"), анкетирала повече от 300 представители на българския бизнес в края на 2005 г., 64% от анкетираните смятат кражбата на данни за основна заплаха за ИТ сигурността, докато заплахата от злонамерени кодове е на второ място със значително изоставане (49%).
През 2006 г., която вече започна, проблемът със защитата на чувствителните данни само ще се задълбочи. Това се дължи преди всичко на затягането на законодателните изисквания, както по света, така и в България. Например в Съединените щати се обсъжда разгорещено законопроект за изтичане на класифицирана информация и всички сочат, че скоро ще бъде приет съответен федерален закон. В България сега вниманието е насочено към проектозакона „За личните данни“, който ще задължи операторите (компаниите, които съхраняват и използват частни записи на граждани) да гарантират сигурността на личната информация. След като законопроектът стане федерален акт, компаниите, които предоставят услуги на физически лица в национален мащаб (например мобилни оператори), ще трябва да приведат дейността си в съответствие с новите регулаторни изисквания, което, разбира се, ще изисква значителни капиталови инвестиции.
Комплексен подход за откриване и предотвратяване на течове
Днес на пазара има доста решения, които ви позволяват да откриете и предотвратите изтичането на поверителна информация по различни канали. Въпреки това комплексните решения обхващат всичкисъществуващите канали са много по-малки. Някои доставчици предоставят само продукти за контрол на пощенския трафик или комуникационни портове на работни станции. Този подход има само едно предимство: клиентът купува самостоятелен продукт, който изисква минимални усилия по време на внедряване и поддръжка. Въпреки това има много повече слабости: самата компания трябва да се погрижи за останалите непокрити канали за предаване на информация (което често е просто невъзможно), както и самостоятелно да извърши набор от организационни мерки (за които специалистите на пълен работен ден често нямат опит и знания). С други думи, когато избира конкретно решение, клиентът трябва да обърне голямо внимание на обхвата на покритите канали за течове и наличието на важни съпътстващи услуги.
Друг важен параметър, който трябва да се има предвид, е наличието или отсъствието на хардуерни модули в комплексно решение или в самостоятелен продукт. Най-напредналите доставчици днес предлагат избор от софтуерни и хардуерни компоненти за контролиране на тези комуникационни канали, където е възможно. Така че никой разработчик днес няма да предложи хардуерни модули за предотвратяване на течове през ресурсите на работните станции (портове, принтери, устройства и т.н.), тъй като ефективността на такава технология е съмнителна. Въпреки това е съвсем логично да се осигури контрол върху пощата или уеб трафика с помощта на отделно устройство, а не специален сървър. Допълнително предимство на този подход е възможността за по-ефективна защита на информационните активи на голяма компания с широка мрежа от клонове. В този случай можете да настроите и тествате хардуерни компоненти в централата и след това бързо да ги внедрите в клоновете. За разлика от софтуерните модули, самостоятелниустройствата могат лесно да се внедряват и не изискват сериозна поддръжка (следователно клонът не се нуждае от специалисти по ИТ сигурност). Освен това в повечето случаи хардуерното решение има по-висока производителност. Въпреки че софтуерните компоненти, работещи на специализирани сървъри, в някои случаи имат повече гъвкавост и повече възможности за фина настройка. Освен това софтуерните модули често са много по-евтини от хардуерните.
Тази статия обсъжда хардуерни решения за откриване и предотвратяване на течове, а сравнителен анализ на софтуерните компоненти ще бъде представен в следващия брой.
Компания InfoWatch
Всички тези компоненти са софтуерни, така че няма да бъдат обсъждани подробно, но InfoWatch предлага на клиентите избор: модулите Web и Mail Monitor са налични в хардуер - InfoWatch Security Appliance (IWSA). Този продукт е създаден съвместно от InfoWatch и HELIOS COMPUTER.
Устройството IWSA се интегрира лесно в съществуващата IT инфраструктура: системата се инсталира като допълнителен сървър за предаване на корпоративна мрежа, получава пренасочени SMTP и HTTP потоци и след филтриране връща данните на подателя. Като част от цялостно IES решение или при използване на IWSA, централизиран инструмент за управление е наличен отделно, който ви позволява да конфигурирате и контролирате работата на устройството, както от офиса, така и от разстояние, чрез защитен канал от конзолата на служителя по ИТ сигурността на главния офис.
IWSA може да се похвали не само с бързо внедряване, но и с висока производителност поради своя хардуерен форм фактор. Устройството използва 64-битов процесор HELiOS Fortice IFS сървърIntel Xeon до 3,60 GHz, технология Hyper-Threading и Intel Extended Memory 64, 2 MB L2 кеш, 800 MHz системна шина, 12 GB RAM, до 10 SCSI твърди диска. Такива характеристики позволяват на системата да обработва до 50 хиляди писма или 10 GB трафик на ден в работен режим.
В зависимост от избраната хардуерна конфигурация, прогнозната цена на решението на 100 потребители е $10-15 хил. Освен това на клиента се предлага да използва услугите за създаване на специализирана филтрираща база данни, която отчита спецификата на бизнес терминологията на организацията и техническа поддръжка.
InfoWatch предлага на потребителите на интегрираното IES решение такива възможности като обучение на персонала, модифициране на отделни модули за специфични изисквания на клиента, анализ и одит на ИТ инфраструктурата, създаване на политика за ИТ сигурност, разрешаване на правни проблеми и промяна на трудовите договори.
Фирма Тизор
Откриването на течове се основава на патентованата технология Behavioral Fingerprinting. Разработчикът твърди, че с помощта на тази технология продуктът е в състояние да предотврати кражбата на поверителна информация, без да извършва филтриране на съдържанието. Същността на подхода е да се изградят шаблони, които описват дейността на потребителите. Всеки такъв модел е вид цифров пръстов отпечатък на съответния потребител, но дефинирането на аномалии в рамките на действията, извършвани от хората, във всеки случай е вероятностно и статистическо по природа. С други думи, продуктът на Tizor е базиран на евристичен анализатор. Всеки път, когато потребител има достъп до един от защитените сървъри, TZX 1000 анализира заявката ивзема решение въз основа на дадените политики. Самият продукт вече има някои вградени политики, за да отговаря на разпоредбите на САЩ, но е необходимо персонализиране, за да отговаря на корпоративните политики за ИТ сигурност.
Продуктът обаче има и слаба страна – това е липсата на сложност. По-специално, решението не включва софтуерни компоненти, които биха могли да предотвратят изтичане през комуникационните портове на работната станция, принтери, устройства и т.н. Тоест, ако поверителна информация напусне сървъра и достигне персоналния компютър, той става напълно беззащитен.
Въпреки факта, че продуктът Tizor е фокусиран върху американския пазар, автономността на хардуерния дизайн на TZX 1000 позволява да се използва във всяка компания, независимо от географското им местоположение, но само в случаите, когато всички информационни активи на предприятието са концентрирани в бази данни или файлови сървъри.
Първоначалната цена на Tizor TZX 1000 е $25 000. Сред съпътстващите услуги Tizor предоставя само консултации на етапа на внедряване и техническа поддръжка.
Фирма Proofpoint
Решението на Proofpoint е класически пример за продукт, предназначен да защитава един специфичен канал за предаване на данни - имейл. Този подход, разбира се, не създава цялостна защита, но може да се използва в случаите, когато филтрирането на нежелана поща и откриването на вируси се превръщат в основна цел, а предотвратяването на течове е просто приятно допълнение.
Първоначалната цена на Proofpoint Messaging Security е $10 000, а годишното подновяване на лиценза за 1000 потребители е $18 000.
Фирма Таблус
Многомодулен продукт Content Alarm NWпредназначени за откриване на течове през мрежови канали. Той включва инструменти за правила и класификация на данни, сензори за пасивно наблюдение, филтър за поща за предотвратяване на изтичане на имейли, филтри за препращане и графичен клиент за централизирано управление.
Процесът на откриване на течове се основава на филтриране на съдържание, по време на което се извършва лингвистичен анализ, търсене на чувствителни данни по сигнатури, анализ на ключови думи и фрази, търсене по шаблони, анализ на атрибутите на предадените данни. Като цяло решението Tablus прилага стандартния многоетапен механизъм за филтриране на съдържание, използван днес в повечето филтри за спам.
Комплексното решение включва и хардуерен модул Content Alarm DT, който контролира операциите на работните станции с помощта на софтуерни агенти, които са вградени в операционната система, следи действията на потребителите и ги проверява за съответствие с правилата. Хардуерната част на продукта е необходима, за да се осъществява централизирано управление чрез него.
По този начин силните страни на решението Tablus включват известна сложност, изразяваща се в защита както на мрежовите канали, така и на работните станции. Продуктът обаче има и слабости: непълен контрол върху работната станция (безжичните възможности изобщо не са обхванати - IrDA, Bluetooth, Wi-Fi, всички останали портове освен USB също изпаднаха от полезрението) и негъвкаво използване на хардуерни компоненти дори за управление на работни станции. Междувременно, за ефективно наблюдение на потребителските операции на ниво персонален компютър, софтуерните агенти са напълно достатъчни, докато използването на хардуерни модули значително увеличава цената на решението.За разлика от своите конкуренти, решението Tablus наистина е много по-скъпо (цените започват от $25 000).
Компания Hackstrike
Последният модул трябва да бъде обсъден по-подробно, тъй като е пряко свързан с предотвратяването на течове. Тази функционалност е базирана на SDAS (Secure Digital Asset System), разработена от Hackstrike. В потока от предавани данни продуктът може да намери поверителни документи благодарение на тази технология. Методът за търсене съчетава анализ на цифров воден знак и сравнение на подписи. Поставянето на цифрови водни знаци и вземането на подписи става с помощта на специален допълнителен модул, който се свързва с Microsoft Office и ви позволява да маркирате документ като поверителен с натискане на един бутон от лентата с инструменти. Освен това технологията SDAS ви позволява да търсите по определени ключови думи, например можете да забраните прехвърлянето на всички документи, съдържащи конкретна фраза.
Разбира се, решението Hackstrike не може да се сравни с конкурентните продукти по отношение на сложността на откриването и предотвратяването на течове. По този начин ресурсите на работните станции остават напълно неконтролирани и всеки потребител може лесно да заобиколи цифровите водни знаци и подписи, като просто копира данни през клипборда в нов документ и ги конвертира в друг формат (например Adobe PDF). Хардуерният продукт на Hackstrike обаче може да е подходящ за малки фирми, които освен простата функционалност за предотвратяване на течове ще имат на разположение рутер, защитна стена, антивирусна програма и много други.
Oakley Networks
Цялостното решение SureView се състои от три компонента: агенти (хоствани на работни станции), хардуерно ядро (изпълнява основни функции за филтриране) испециален сървър (използван за централизирано управление на политиките).
Продуктът на Oakley Networks предоставя няколко технологии и алгоритми, базирани на вероятностни и статистически методи за откриване на течове. С други думи, продуктът анализира поведението на потребителя, като взема предвид чувствителността на обработваните документи, но не извършва филтриране на съдържание като такова.
Широка гама от съпътстващи услуги включва внедряване и конфигуриране на решението, обучение на персонала, модификация на продукта по желание на клиента. Всички тези функции обаче са достъпни само за американските клиенти на компанията, тъй като Oakley Networks не е представена в Европейския съюз и България.
Друго слабо място на решението е непълното покритие на комуникационните ресурси на работната станция. Поне вътрешните имат възможността да прехвърлят данни към мобилни устройства чрез безжични интерфейси (IrDA, Wi-Fi, Bluetooth).