Сменяемите носители като заплаха за информационната сигурност, ComputerPress
Всъщност този случай не е резултат само от небрежност на отделен служител, той отразява общата тенденция в информационната сигурност през последните години. С развитието на информационните технологии чувствителната и ценна информация стана по-флуидна от всякога, а сменяемите носители са истинско главоболие за служителите по сигурността и мениджърите на риска.
Днес със сигурност може да се каже, че най-важният актив на всяка съвременна компания е информацията. Като всеки критичен актив, информацията трябва да бъде защитена и в случай на нейното изтичане компанията търпи доста сериозни загуби.
Институтът Лари Понемон отдавна се опитва да определи количествено мащаба на тези загуби. Според доклади от 2008 г. средната загуба само от един инцидент се измерва в милиони долари. Американските компании страдат най-много - те губят средно $6,6 млн. От изтичането на информация Британските и германските организации засега не са толкова тежки: средните щети от инцидента в тези страни възлизат съответно на 1,73 млн. паунда и 2,41 млн. евро.
Очевидно за по-голямата част от организациите тези суми са много значителни. Те автоматично превръщат проблема с течовете в един от най-приоритетните за услугите за корпоративна информационна сигурност. Проблемът е, че организациите не разлагат правилно заплахите - те се защитават от онези канали за изтичане, които всъщност не са критични.
Може би най-простият пример е цялостният фокус на пазара върху защита срещу така наречените външни заплахи – зловреден софтуер, спам или хакерски прониквания. Разбира се, тези заплахи обаче не изчезват, според Ponemonинститут (за САЩ), те представляват не повече от 7% от всички инциденти. Останалите 93% от течовете са причинени от действията на вътрешни лица - служители с разрешен достъп до поверителна информация.
В този смисъл различните мобилни медии са почти идеален канал за изтичане на информация. Те не винаги се контролират от службата за сигурност (за разлика например от електронната поща) и имат достатъчен капацитет, за да поберат всички данни, представляващи интерес.
Решения
Явно повечето компании не искат да лишават служителите си от толкова удобен инструмент за поддръжка и ускоряване на бизнес процесите. Те са съвсем разбираеми - в края на краищата, без използването на флаш памети, не винаги е възможно да се проведе презентация или да се работи у дома. В резултат на това такива радикални опции като липсата на физически портове или специални хардуерни щепсели за тях днес се използват сравнително рядко и главно не от организацията като цяло, а само от нейните отделни подразделения, работещи с най-ценната от търговска гледна точка или поверителна информация. Съвременните предприятия предпочитат да използват по-ефективен и удобен софтуер за информационна сигурност.
Инструменти за контрол на достъпа
Ако системата за управление забранява на потребителя достъп до определен порт, интерфейс или принтер в определен момент от време, няма заплаха от изтичане на информация. В противен случай е възможно изтичане, но последствията от него могат да бъдат сведени до минимум с помощта на механизми за скрито копиране. Тази функционалност (между другото, тя не е внедрена във всички продукти на пазара) ви позволява да запазите копие на цялата предадена информация в централизирана база данни. По този начин служителят по сигурността винаги може да провери каква информация е напуснала компаниятаинформационна система и за всеки от възможните локални канали за предаване на данни.
Редица съвременни системи за контрол на достъпа за локални портове и връзки имат полезната възможност да дефинират политики, които зависят от типа на прехвърляните данни. Тази функция предполага например, че можете да разрешите прехвърляне на файлове на Microsoft Word на преносим носител, но да забраните тази операция за PDF файлове. Тоест системата не само следи операцията по прехвърляне, но и филтрира типовете данни, предавани по локални канали.
DLP системи
Посоченото по-горе свойство прави системите за контрол на достъп свързани със следващия клас системи за защита на данните – решения от сегмента DLP (Data Leak Prevention). Според водещия експерт в индустрията в тази област Рич Могул (Rich Mogull), именно задълбоченият анализ на информационното съдържание на изходящите данни е основната характеристика на DLP системите. Такива решения определят легитимността на конкретна операция въз основа на технологии за филтриране на съдържание.
Перспективите за DLP системите са много обещаващи, поради което почти всички водещи играчи на пазара за информационна сигурност инвестират активно в развитието на тази област. Друго нещо е, че нивото на качество на съвременното им изпълнение все още не ни позволява да говорим за цялостен контрол на информацията, предавана през локални портове към мобилни медии. И има няколко причини за това.
Първо, трябва да се отбележи, че сегашното ниво на технологията за филтриране на съдържание не избягва напълно грешките на фалшивото разпознаване на съдържанието на данните - така наречените фалшиви положителни (фалшиво положителни) и фалшиво отрицателни (фалшиво отрицателни) положителни резултати. В резултат на това нивото на точност на системите за филтриране на съдържание рядко надвишава 80-85%.
второ,дълбокият анализ на съдържанието е много ресурсоемък процес. Когато изпратите имейл, DLP системата го прихваща в мрежата и го анализира на ниво SMTP сървър с достатъчна производителност за тази задача. Ако информацията се копира локално, този подход не е приложим, тъй като информацията по принцип не влиза в мрежата.
В резултат на това създателите на DLP системи трябва да направят компромис: или да изпратят скрити копия на информация на сървъра и след това да получат присъда за него, или да анализират информацията локално. В първия случай има значително натоварване на мрежата и възникват големи забавяния (представете си какво се случва, ако копирате филм с висока разделителна способност на преносим носител), а във втория случай качеството на анализа страда, тъй като персоналният компютър няма достатъчно мощност за този тип обработка или работи с по-прости и по-малко надеждни алгоритми.
Третата причина, която ограничава използването на DLP системи за наблюдение на локални портове, е тясно свързана с първата. Факт е, че поради изискванията за филтриране на съдържание, DLP системите първоначално са проектирани като шлюзови решения и следователно техните агентни компоненти все още не са достигнали достатъчно ниво на зрялост. Да, те могат да филтрират данни, но контролът на цялото разнообразие от различни портове и канали за потенциално изтичане на данни, както и гъвкавостта на локалните политики на DLP системи на крайни компютри, все още са на по-ниско ниво, отколкото в случая на добре развити шлюзови системи за контрол на съдържанието на мрежовите комуникации.
IRM системи
В допълнение към системите за контрол на достъпа и DLP системите, има и друг начин за защита, който по някаква причина експертите често забравят. Говорим за системи от клас IRM (Information Rights Management), които по никакъв начинограничават използването на сменяеми носители, но значително намаляват вероятността от течове.
Работата на типична IRM система се основава на два механизма: етикети за чувствителност и криптиране. Всеки файл, защитен с IRM, се поставя в криптиран контейнер заедно със специален етикет, който определя правата за достъп до него. Същността на IRM е, че дори ако такъв контейнер излезе извън мрежата, тогава без права за достъп до документа той ще бъде напълно безполезен.
От гледна точка на контролиране на информацията, движеща се на сменяем носител, тази схема е почти еквивалентна на принудително криптиране на данни, експортирани на сменяем носител, което често се среща в системите за контрол на достъпа за портове и периферни устройства. Решенията от клас IRM позволяват експорт на поверителна информация само в криптирана форма, което ви позволява винаги да защитавате компанията от случайни течове, но рядко от планирани течове. Нека добавим, че ефективността на IRM-системите значително зависи от броя на "маркираните" файлове и интензивността на техните модификации от потребителя. На практика това изискване е еквивалентно на класифицирането на всички корпоративни данни, което е доста трудоемка задача.
Заключение
На настоящия етап на развитие на защитата от изтичане на вътрешна информация е по-ефективно да се използват прости, но в същото време много по-евтини и по-надеждни инструменти за контрол на достъпа, които имат изчерпателни възможности за контекстуален контрол, съчетани с някои основни функции за филтриране на съдържание. Те решават повечето от проблемите, свързани с мобилните медии, и напълно отговарят на нуждите на по-голямата част от организациите.
Новата версия на DeviceLock 6.4 фундаментално увеличава детайлността на контролапотребителски привилегии, като поддържа функцията за откриване и филтриране на типове файлове за всякакви операции на файловата система. Осигурени са прихващане, извличане, откриване на типове и блокиране на файлови обекти във всички локални канали за изтичане на данни на защитения компютър, докато администраторите по сигурността могат допълнително да задават гъвкави правила за регистриране на събития на операции и копиране в сянка на данни с точност до типове файлове.
Втората най-важна функция на DeviceLock 6.4 е реализирана на базата на интеграция със софтуерния продукт ViPNet SafeDisk 4, произведен от Infotex, предназначен за криптиране на данни, съхранявани на вътрешни устройства и външни носители на компютър. Комплексът DeviceLock и SafeDisk е първото интегрирано решение на българския пазар за контрол на криптирането на устройства с преносима памет от всякакъв тип, което използва български криптографски алгоритми и позволява на администраторите по информационна сигурност да предотвратят неоторизиран експорт на данни към външни носители в некриптиран вид, без да забраняват на служителите да ги записват криптирани за служебно ползване.
Значително подобрение в управляемостта на DeviceLock 6.4 е постигнато чрез поддържане на пълнофункционален офлайн достъп, регистриране и политики за скрито копиране, когато защитеният компютър е извън корпоративната мрежа или сървърите за управление на DeviceLock са недостъпни. Този режим се прилага в допълнение към управлението на DeviceLock агенти онлайн и превключването между режимите се извършва автоматично.