Данные не всегда адекватно защищены от инсайдеров отчасти потому, что пока не выработан единый подход к предотвращению утечек. «Универсального решения не существует, поскольку конфиденциальная информация имеет разные форматы представления, и к ней могут применяться различные технологии защиты. Например, одни решения опираются на поиск ключевых слов и выражений, другие — на контроль над утечками в виде графических изображений, звуковых файлов, записей баз данных, — отметил Сергей Романовский, директор департамента информационной безопасности «АМТ-Груп». — Также очевидно, что технологии защиты сведений в электронной почте, на файл-сервере или в Web-приложении должны существенно различаться».
Обсудим актуальные подходы к защите конфиденциальной информации.
Технологии
В зависимости от того, кто реализовал утечку данных, все инциденты делятся на инсайдерские атаки или внешние вторжения через Сеть. По словам Валерия Андреева, заместителя директора по науке и развитию компании ИВК, для борьбы с внутренним нарушителем нужно использовать системы разграничения доступа к информации — от систем контроля над управлением доступом (СКУД) до систем контроля над несанкционированными действиями пользователей (НСД). Если речь идет о внешних нарушителях, то указанные средства необходимо дополнять защитой периметра, организацией безопасных каналов связи и другими средствами.
Угроз для конфиденциальной информации — великое множество. Можно украсть данные во время их хранения, передачи или обработки, воспользоваться троянской программой (например, внедренной на компьютер генерального директора), скачать информацию из корпоративной сети или унести ее резервную копию, получить с помощью подслушивающих устройств или перехвата побочного электромагнитного излучения компьютеров (ПЭМИ). «Естественно, внутренние и внешние угрозы (в основном, связанные с Web-сервисами) могут дополнять друг друга, ведь не только специалисты по ИБ признают эффективность комплексного подхода», — поясняет Андрей Новиков, технический эксперт направления контент-безопасности Aladdin. Понятно, что перекрыть все каналы утечки с помощью одного продукта или технологии невозможно.
Директор по развитию бизнеса компании «Информзащита» Михаил Емельянников предлагает целый перечень решений для защиты конфиденциальных данных. Внешние атаки блокируются средствами защиты периметра корпоративной сети — межсетевого экранирования, обнаружения и предупреждения вторжений. За предотвращение проникновения в сеть червей отвечают технологии антивирусной защиты. Надежная криптография обеспечивает защиту информации от перехвата в канале связи. Противодействовать инсайдерам невозможно без эффективного управления идентификацией и доступом, правильного распределения ролей пользователей и применения систем управления электронными правами на документы. Дополнительно можно использовать контентный анализ электронной почты и Web-трафика, контроль над устройствами ввода-вывода.
Подчеркнем: сами технологии должны быть лишь элементами организационных мер и процедур защиты конфиденциальной информации.
Система мер
«Меры защиты от утечек разделяются на технические, физические и организационные, — говорит Александр Сидоров, ведущий системный аналитик отдела «Дозор-Джет» компании «Инфосистемы Джет». — По отдельности они лишь ненамного снижают уровень риска, но при их использовании в едином комплексе общий результат значительно превосходит сумму слагаемых».
При этом совсем не обязательно применять для защиты конфиденциальной информации много решений. Можно задействовать и механизмы контроля, встроенные в уже используемые программные продукты. Вот что предлагает Валерий Андреев: «Для аутентификации можно задействовать встроенные средства сетевой ОС, которые иногда дополняют брелоками или биометрическими устройствами. За защиту структурированных данных отвечают встроенные средства СУБД, доступ к неструктурированной информации контролируют файловые системы или системы управления документами. Но интеграция этих средств — сложнейшая задача, особенно в территориально-распределенной вычислительной среде».
Кроме того, предприятию нужно проделать большую организационную работу. Михаил Емельянников советует документально определить перечень коммерческих секретов, отрегулировать отношения с работниками в трудовых договорах, а с контрагентами — в гражданско-правовых, организовать учет доступа к конфиденциальной информации и всех ее носителей, в том числе электронных. Необходимо ограничить доступ в помещения и хранилища документов, обеспечить контроль над незаконным проникновением в них. «В последнее время все очень увлекаются защитой компьютерной информацией, забывая, что секреты существуют и в виде бумажных документов, и как черновики, иногда бездумно выбрасываемые в мусорные корзины», — справедливо отмечает он.
Технологии DLP
Наибольшей результативности снижения рисков утечки информации удается достичь с помощью специализированных систем DLP, считает Николай Зенин, руководитель направления защиты коммерческих тайн LETA IT-Company. По его словам, такие системы позволяют контролировать информацию, покидающую компанию по каналам связи (электронная почта, Web) или с использованием аппаратных средств ввода-вывода (USB-флэш, принтер).
Сам термин DLP расшифровывают как Data Loss Protection («защита от потери данных») или как Data Leakage Prevention («предотвращение утечки данных»), поэтому компании называют свои продукты по-разному. По сути же эти продукты контролируют процессы создания, хранения и передачи данных, выделяя в них конфиденциальную информацию.
Производители используют самые разные способы определения уровня секретности документов. Можно выделить три наиболее популярных подхода — лингвистический, идентификации конфиденциальной информации по отпечаткам и на основе меток конфиденциальности.
Лингвистический подход состоит в определении набора слов и выражений, наличие которых в документе (скажем, в определенном количестве) позволяет считать его конфиденциальным. Этот метод аналогичен спам-фильтру, который также базируется на поиске «запрещенных» слов. Наибольшая сложность при использовании данной технологии — создание словаря «конфиденциальных» слов. Компания InfoWatch, которая применяет этот метод в своих продуктах, сейчас разрабатывает программу, которая будет автоматически составлять словари по спискам конфиденциальных документов. Однако нельзя исключить, что такие словари будут содержать слишком много лишнего и их придется редактировать вручную. Кроме того, зачастую «конфиденциальны» не отдельные слова, а их сочетания. Например, фраза «Оборот InfoWatch равен 1 млрд руб.» представляет интерес только в целом, без разбивки по словам.
Если признаками конфиденциальности являются целые фразы, то лучше применять метод идентификации конфиденциальной информации по отпечаткам. Пользователь указывает в явном виде все конфиденциальные документы, с которых при помощи специального алгоритма снимаются и помещаются в специальную базу отпечатки. При определении степени конфиденциальности документа генерируется его отпечаток, который сравнивается со слепками из базы. Такие методы идентификации конфиденциальной информации используются в продуктах Symantec, WebSense, SoftInform и Trend Micro. Однако перекодировка файла или неверное определение типа документа может дезориентировать механизм определения конфиденциальной информации; те же проблемы свойственны лингвистическому методу.
Подход на основе применения меток конфиденциальности подразумевает, что пользователь должен поставить на каждый документ специальную метку конфиденциальности. При каждой операции с данными система обнаруживает метку конфиденциальности и в соответствии с нею разрешает или запрещает операцию. При подготовке и обработке информации соблюдается правило «заразности» метки: если приложение работает с несколькими файлами, то устанавливается максимальный уровень секретности всех документов. Этот метод защиты используется в системах мандатного управления правами доступа. «Системы DLP являются средствами контроля над обработкой и передачей информации пользователем, которой имеет право обрабатывать эти данные. По идее, лучшим решением является последовательная реализация мандатного доступа, но, к сожалению, в современных системах такой контроль может быть реализован лишь фрагментарно. Необходимо его воплощение не третьими фирмами, а производителем ОС и прикладных систем в рамках единого подхода,» — считает Михаил Кондрашин, руководитель центра компетенции и дистрибуции Trend Micro.
Указанные методы проверки применяются преимущественно для контроля над каналами передачи данных. Для каждого передаваемого наружу документа определяется уровень конфиденциальности, а соответственно, принимается решение, выпускать ли его за пределы корпоративной сети. «Наибольшую угрозу для бизнеса представляют собой каналы утечек на основе неконтролируемого использования коммуникационных возможностей Internet, — отмечает Андрей Новиков. — При этом большая часть всех известных утечек связана с халатными или неумышленными действиями персонала».
Помимо проверки трафика Internet некоторые инструменты DLP позволяют сканировать рабочие места и серверы самого предприятия для определения неконтролируемых мест хранения конфиденциальной информации. Такие функции можно применять для диагностики утечек по другим каналам и выявления неблагонадежных пользователей. «DLP-система должна анализировать трафик, который проходит по каналам, и громко сигналить администратору, если этот трафик оказывается секретным. Это — ключевая позиция, отличающая функционал DLP-систем и большинства других решений информационной защиты», — отмечает Денис Зенкин, директор по маркетингу Perimetrix.
Еще раз подчеркнем, что ни один из методов не обеспечивает абсолютно точного определения уровня конфиденциальности данных, поэтому в последнее время разработчики DLP-продуктов стараются комбинировать разные методы. В частности, речь идет о решениях Websense DSS, Symantec DLP, InfoWatch Traffic Monitor, Perimetrix и McAfee DLP.
Сейчас, когда рынок DLP-решений постепенно формируется, соответствующие продукты развиваются преимущественно в сторону увеличения числа контролируемых каналов. Если начальные версии отслеживали только передачу данных по протоколам HTTP, FTP и по электронной почте, то нынешние системы умеют работать с протоколами мгновенных сообщений, процессами печати и записи на внешние накопители.
Тем не менее даже сейчас технология DLP не гарантирует устранения всех возможных утечек. «Разговоры о панацее в виде DLP-решения имеют скорее маркетинговый и спекулятивный характер, — считает Михаил Емельянников, — поскольку сама идея тотального контроля над всеми транзакциями трудно осуществима с технической точки зрения и создает новые проблемы. Одна из них, например, заключается в возможности администратора контролировать действия руководителей компании, их почту и посещение сайтов, что зачастую абсолютно неприемлемо». Кроме того, неточность механизмов определения конфиденциальности, «догадывающихся» о содержании документов, обуславливает появление дыр в периметре защиты.
Сопутствующие решения
Дополнительным инструментом защиты от утечек является контроль над доступом к внешним устройствам, например обеспечиваемый DeviceLock компании SmartLine или Zlock от SecurIT. Эти системы управляют хранением данных на съемных накопителях, распечаткой на принтере и передачей файлов по беспроводным каналам, играя роль специализированных средств управления доступом пользователей к внешним каналам связи. Впрочем, функциональность таких решений все чаще начинает появляться и в классических DLP. Можно ожидать, что разработчики продуктов для управления доступом к внешним устройствам тоже вскоре выпустят свои варианты DLP.
Еще один класс продуктов, обеспечивающих защиту данных от непреднамеренных утечек, — системы шифрования информации (отдельных файлов или дисков в целом). Такие продукты есть у компаний Aladdin (SecretDisk), InfoWatch (CryptoStorage), SecurIT (Zdisk), «Физтех Софт» (StrongDisk) и др. Правда, при их использовании возникает конфликт с DLP-системами: у зашифрованного файла невозможно определить степень конфиденциальности информации. Однако эксперты полагают, что в будущем продукты этого типа могут стать частью более общей концепции Information Protection and Control (IPC).
Несмотря на популярность технологии DLP, в ней обнаружились принципиальные проблемы. В частности, она не позволяет защитить от воровства легитимных носителей и мобильных компьютеров, не обеспечивает авторизацию доступа пользователей к конфиденциальным сведениям. Концептуально IPC объединяет в себе три технологии — DLP, шифрования носителей и аутентификации пользователей. Они хорошо дополняют друг друга, работая в одной системе. Недавно SecurIT объявила, что набор ее продуктов в целом составляет законченное IPC-решение.
Наконец, класс продуктов Enterprise Rights Management System (RMS), управляющих правами доступа к информации, «вырос» из технологий защиты цифрового контента в Internet. Суть метода состоит в том, что все документы шифруются, а ключи шифрования хранятся на центральном сервере. Для получения доступа к информации пользователь должен пройти аутентификацию на сервере и только потом получить ключ для дешифровки защищенного файла. Контролируя доступ к ключам, система способна контролировать и доступ к документам, которые находятся за пределами организации.
Таким образом, концепции IPC и RMS могут обеспечить более общее решение проблемы защиты от утечек, чем DLP, но в них должен быть интегрирован обширный инструментарий DLP для автоматического определения статуса секретности документов.
Таблица 1. Методы защиты конфиденциальной информации