В России персональные данные пользователей пока ценятся не так высоко, как за рубежом, но корпоративная конфиденциальная информация легко находит покупателя. Нарушение конфиденциальности — необратимое явление. Искаженную информацию зачастую можно восстановить благодаря резервной копии, но если данные появились, например, в Internet, вернуть им секретность уже не удастся.
Чем крупнее компания, тем сложнее отслеживать соблюдение требований к информационной безопасности. Множество сотрудников, ведущих разнообразную деятельность через Internet, разнородность сетей и прав доступа — все это облегчает задачу злоумышленников. «Свои» люди оказываются в информационном обмене самым слабым звеном. Чтобы обеспечить целостность и непрерывность бизнеса, закрыть каналы возможной утечки информации, сохранив при этом производительность труда сотрудников на прежнем уровне, необходимо в фоновом режиме контролировать действия пользователей при обмене информацией.
Иллюстрацией к сказанному может послужить пример, приведенный Александром Синельниковым, экспертом Центра информационной безопасности компании «Инфосистемы Джет». По его словам, один из последних выполненных проектов фирмы заключался во внедрении средств контентной фильтрации в одном из крупных банков. В течение первого же месяца работы системы благодаря средствам мониторинга и архивирования корпоративной электронной почты, Web-почты и переписки на сайте «Одноклассники.ru» удалось выявить сговор менеджеров среднего звена, в результате которого банк терпел значительные финансовые убытки.
Бороться нужно не только со злым умыслом, но и с халатностью сотрудников. По статистике, 85% утечек информации приходятся именно на неумышленные действия и только 15% — на целенаправленные подготовленные атаки.
Современные угрозы ИБ невозможно устранить без применения технологии контентной фильтрации. Она состоит в разборе объектов информационного обмена на компоненты, анализе их содержимого и определении соответствия их параметров принятой в компании политике безопасности. Первые средства контентной фильтрации вобрали в себя механизмы антиспамовых технологий. Это был естественный шаг, поскольку те и другие анализируют качество пересылаемой информации (в отличие от антивирусов, предмет анализа которых — программный код). В дополнение к антивирусу, который защищает данные от деструктивных изменений, и спам-фильтру, который отфильтровывает ненужные сообщения в почтовом трафике, средства контентной фильтрации призваны не допустить утечек важной информации.
Николай Зенин, руководитель направления защиты от утечек конфиденциальной информации компании LETA IT, подчеркнул, что ни одна система фильтрации контента не заменяет антивирусы и антиспамы; она может использоваться только совместно со средствами защиты от «внешних» нарушителей. «Есть системы фильтрации, один и тот же механизм которых можно обратить и внутрь корпоративной сети, и наружу, но эффективность применения таких средств весьма сомнительна, — считает Зенин. — Другое дело — комплексные решения, сочетающие в себе разные механизмы предотвращения внутренних и внешних угроз».
В последнее время в деятельности крупнейших мировых игроков рынка ИБ-средств (McAfee, Symantec, EMC/RSA Security, Trend Micro, Websense) наметилась очевидная тенденция расширения продуктового арсенала за счет систем защиты от утечки конфиденциальной информации. Такая тенденция, по мнению Зенина, вполне оправданна, поскольку любой организации удобнее иметь набор первоклассных инструментов защиты от вирусов, спама, инсайдерской деятельности, выпускаемых одним производителем. Это значительно упрощает интеграцию и администрирование.
Что они умеют?
Программные средства контроля над использованием Internet-ресурсов и электронной почты бывают клиентскими и серверными. Клиентское ПО устанавливается на каждой рабочей станции, требующей контроля. В корпоративной среде применение клиентских средств признано неэффективным, так как конфигурация и настройки фильтра могут быть изменены опытным пользователем или внедренным вредоносным кодом (трояном). Кроме того, такой подход требует отдельных настройки и сопровождения программы, установленной на каждой рабочей станции. Поэтому в дальнейшем мы будем говорить о серверных системах фильтрации.
Идеальное средство фильтрации контента должно выполнять целый ряд основных функций. В первую очередь, это проверка Web-адресов на соответствие определенному рейтингу благонадежности источника. Глобальная сеть используется как канал связи, через который осуществляются атаки на корпоративные сети, отдельные серверы и компьютеры. Многие Internet-ресурсы включают в себя различные программные коды (JavaScript, Flash, ActiveX и др.), которые могут служить для организации атак. Фильтрация по URL позволяет запретить доступ сотрудников ко всему сайту, домену, его части или отдельной странице. Лучше всего выбирать средства фильтрации, способные обеспечить блокировку доступа и в том случае, когда пользователь вместо полного URL указывает только IP-адрес сервера.
В технологии фильтрации по URL применяются базы данных сайтов, предоставляемые Internet-провайдерами или компаниями, которые выпускают средства контроля над использованием Web-ресурсов. База данных URL должна постоянно обновляться и пополняться. Важно также наличие функции категоризации. Николай Васильев, начальник отдела беспроводных технологий Plus Communications, пояснил: «От применения обычных BlackList данный подход отличается расширенным списком параметров, по которым оценивается репутация URL».
Множество параметров (присутствие в «черных» и «белых» списках антивирусных и антиспамовых компаний, наличие загружаемого кода на сайте, история и возраст URL, информация о собственнике, IP-адресе и регистраторе домена) может учитываться при составлении репутационной базы сайтов. Категоризация репутаций URL вместо грубого деления на «плохой-хороший» позволяет настраивать гибкие политики безопасности, зависящие от благонадежности ресурса.
Недостаток метода проверки URL заключается в том, что обновления баз данных не успевают за огромной скоростью расширения Глобальной сети. Владимир Бычек, руководитель направления контент-безопасности компании Aladdin, рассказал, что в ее решениях применяются две технологии фильтрации Web-трафика. Это традиционная (по URL) технология, ограничивающая доступ к сайтам с вредоносным содержимым, и патентованная технология, которая позволяет на 100% фильтровать пользовательский трафик при доступе к сайтам с любой репутацией.
Вторая важная функция контент-фильтров — анализ эффективности использования Internet-ресурсов компании. По данным IDC, сотрудники различных организаций проводят около трети рабочего времени в Сети, занимаясь поиском информации личного характера. Решать эту проблему можно как радикальным путем (с рабочего места разрешается доступ лишь к строго определенным сайтам), так и более демократичным (сотрудники пользуются ресурсами всей Сети, но их действия находятся под контролем). Для гибкого контроля служат средства контентной фильтрации, которые определяют соответствие информационного обмена политике безопасности. Администратор может сформировать для пользователя (или группы) отдельную политику безопасности, определить правила, применимые ко всем потребителям.
Средства контентной фильтрации должны поддерживать механизмы ограничения объемов загружаемых данных или полосы пропускания, выделяемой каждому пользователю. Не секрет, что многие сотрудники смотрят на рабочем месте видео, прослушивают аудиозаписи, играют в онлайновые игры, что создает значительную нагрузку на внешние каналы доступа к Internet.
Однако ключевая задача контентных фильтров — предотвращать утечку конфиденциальной информации. Серьезную угрозу корпоративной безопасности представляет использование большинством сотрудников (порядка 80%) бесплатных почтовых сервисов. Контроль Web-трафика на наличие запрещенного содержимого в текстах, отправляемых с публичных ящиков, основан на обнаружении ключевых слов и выражений. Анализу подлежат и содержимое страниц сайтов, и вся пересылаемая пользователями информация. Особенно эффективны системы, применяющие лингвистический анализ текста. Довольно действенна методика, в рамках которой разным словам и выражениям присваиваются весовые категории в соответствии с их совпадением с ключевыми выражениями, собранными в специальных словарях. Это обеспечивает более гибкую, а значит, и более качественную фильтрацию.
Конфиденциальная информация должна быть обнаружена (по возможности, с извлечением текста из файлов разных форматов), а инциденты расследованы. С этой целью весь исходящий трафик сохраняется для последующего анализа. Естественно, средство контентной фильтрации, предназначенное для российского рынка, должно поддерживать разные кодировки кириллицы.
Попутно средства фильтрации контента помогают защититься от вирусов, вредоносных кодов, спама. Следует отметить, что на рынке предлагаются комплексные решения, обеспечивающие одновременно контроль над использованием Web-ресурсов и электронной почты, защиту от вирусов и спама. В продуктах, ориентированных на контроль над электронной почтой, начинают уделять особое внимание функциям защиты от фишинга и фарминга. Новые области применения контентной фильтрации — контроль над передачей мгновенных сообщений в IM-службах и над соединениями peer-to-peer. Разрабатываются продукты для фильтрации VoIP-трафика.
В большинстве средств контроля над использованием Internet-ресурсов предусмотрены возможности формирования статистических отчетов и интерактивного наблюдения за доступом к внешним ресурсам. В систему генерации отчетов записывается вся информация о событиях, и администратор получает наглядную картину трафика и действий пользователей.
Непреложным качеством системы контроля должна быть масштабируемость, то есть возможность расширения пропускной способности по мере роста предприятия, численности сотрудников и объема трафика. Масштабирование системы может заключаться и в перераспределении выполняемых задач по нескольким серверам (кластеризация). Кроме того, поддержка размещения ПО на нескольких серверах необходима для эффективной балансировки нагрузки и обеспечения безотказной работы контентных фильтров.
Какие они бывают?
Средства контентной фильтрации различаются по методам фильтрации — наборам параметров, по которым проверяется информационный обмен. Сергей Пожарненков, технический директор InfoWatch, пояснил, что в качестве параметров фильтрации могут использоваться сигнатуры файлов, формальные признаки (списки получателей и отправителей, объемы и типы пересылаемой информации и т.п.), сам контент. Продвинутые средства сочетают в себе несколько взаимодополняющих способов фильтрации. В таких системах проверки равноценны по значимости, а состав инструментария определяется задачами системы контроля.
Важно определить место размещения системы в инфраструктуре сети и способ ее воздействия на трафик. Фильтры могут работать как прокси-серверы (по технологии pass-through) и как анализаторы пакетов (по технологии pass-by), перехватывающие пакеты нужных протоколов и проверяющие их на наличие запрещенного содержимого. Применение метода pass-by гарантирует прозрачность работы фильтров для пользователя, возможности их установки и модернизации без перенастройки рабочих станций. Но анализаторы пакетов не всегда справляются с большими потоками передаваемых данных.
Системы фильтрации могут быть автономными и встраиваемыми (в виде модулей) в прокси-серверы или межсетевые экраны. Автономные решения, функционирующие независимо от других подсистем, предпочтительны с точки зрения качества фильтрации. Возможность ошибок в их работе снижена до минимума за счет полного контроля над передаваемыми данными.
Как выбирать?
Компания «Инфосистемы Джет» выяснила при проведении фокус-групп, на что обращают внимание клиенты при выборе средств обеспечения внутренней безопасности. В первую очередь, это функционал и соответствие технических возможностей поставленным задачам. Затем следуют стоимость продукта, наличие и качество технической поддержки (желательно — от разработчика). Важны также репутация разработчика и рекомендации других пользователей.
Чтобы определиться с необходимой функциональностью системы, нужно понять, для каких целей приобретается средство фильтрации. Павел Волков, начальник отдела информационной безопасности компании «Открытые технологии», говорит: «Конкретизация целей позволяет существенно снизить требования к продукту и, как следствие, расширить спектр допустимых решений». К примеру, если средство фильтрации контента приобретается, главным образом, для защиты данных от утечек, то приходится существенно сужать часть информационного потока, подлежащую контролю, поскольку признаки защищаемой информации быстро устаревают. В этом случае требования к производительности и масштабируемости системы являются второстепенными.
Эксперты единодушны в том, что приобретаемые продукты должны быть прозрачными для пользователя, не отвлекать его от работы всплывающими окнами. Необходимо, чтобы решение было очень быстрым, способным «на лету» проверять трафик на наличие запрещенных сведений. И, разумеется, стоит обратить внимание на надежность и масштабируемость, удобство установки и администрирования, цену и совокупную стоимость владения.
Сергей Пожарненков уверен, что небольшим компаниям подойдут решения класса «все в одном». Они позволят сэкономить средства заказчика (как первоначальные вложения, так и затраты на владение). Крупным и быстро развивающимся предприятиям стоит обратить внимание на возможности масштабирования, которые помогут сохранить инвестиции в будущем. А средним фирмам нужно искать баланс между начальными вложениями и стоимостью владения, с одной стороны, и возможностью будущего плавного перехода на более производительное решение, с другой.
Отсутствие стандартов и психологические проблемы
Средства контентной фильтрации, предназначенные для борьбы с внутренними угрозами, являются необходимыми составляющими комплекса ИБ компании. Но, по словам представителей «Инфосистем Джет», доля средств контентной фильтрации на рынке ИБ-продуктов составляет лишь 14,8%. Несмотря на стремительный рост этого сегмента, поставщикам и заказчикам все еще сложно находить общий язык, так как у них отсутствует единое понимание стандартов внутренней ИТ-безопасности. Запросы фирм значительно отличаются друг от друга. Многие разработчики, реагируя на активное развитие рынка, позиционируют как средства контентной фильтрации любые свои решения. В результате характеристики продуктов сильно различаются, и заказчику сложно сделать правильный выбор. По мнению специалистов, такое положение дел сохранится еще пару лет, а затем на рынке останутся только сильнейшие игроки.
Результаты исследования «Внутренние ИТ-угрозы в России 2006», в ходе которого InfoWatch опросила 1450 российских государственных и коммерческих организаций, подтвердили, что самые опасные угрозы корпоративной ИБ исходят изнутри компании (56,5%). В перечне опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (70,1%), а затем следует опасность искажения данных (38,4%). Другими словами, риск утечки ценной информации волнует респондентов вдвое больше любой другой внутренней угрозы.
Среди наиболее распространенных средств ИБ в 2006 году по-прежнему лидировали антивирусы (98,6%). Кроме того, в рейтинг популярности российских пользователей попали программы защиты от спама (30,5%), системы обнаружения и предотвращения вторжений (23%) и системы предотвращения информационных утечек (10,5%), к которым специалисты частично относят и средства контентной фильтрации. Всего за один год процент использования средств защиты от утечек увеличился более чем в пять раз. Однако и сейчас этот уровень остается низким по сравнению с угрозой, которую представляют собой инсайдеры.
В 2006 году самым сложным препятствием на пути внедрения защиты от утечек была психологическая неготовность пользователей (25,4%), за которой следовали бюджетные ограничения (20,6%), нехватка квалифицированного персонала (17,5%) и отсутствие индустриальных стандартов (12,2%). Наибольшее внимание респондентов InfoWatch привлекают к себе комплексные решения для фильтрации трафика (32,8%), средства контроля над использованием Web-трафика (23,9%) и проверки рабочих станций (18,6%). Замыкают список востребованных продуктов средства фильтрации электронной почты (14,6%). Относительно низкий спрос на такие решения можно объяснить тем, что часть организаций уже использует фильтры исходящих сообщений.
Комплексные решения позволяют контролировать все каналы передачи данных, поэтому наиболее эффективны. Такие продукты включают в себя единое хранилище сообщений, распространяемых по всем доступным видам каналов. Их дополнительные достоинства — возможность централизованного управления и простота масштабирования. Установив комплексное решение, служба ИБ предприятия способна сконцентрироваться на определении того, какая информация не должна покидать периметр защиты. Можно предположить, что наибольший потенциал развития рынка продуктов, обеспечивающих внутреннюю безопасность предприятий, кроется именно в развитии комплексных систем фильтрации контента.