Обзор Защита информации и бизнеса от инсайдеров подготовлен

Олег Слепов: Не стоит придавать проблеме инсайдеров исключительную важность — это лишь одна из многих проблем ИБ

На вопросы CNews ответил Олег Слепов, менеджер по продвижению продуктов информационной безопасности «Инфосистемы Джет».

CNews: Достаточно ли разнообразен, по вашему мнению, представленный сегодня на рынке арсенал средств борьбы с внутренними угрозами?

Олег Слепов: Считаю, что на данный момент рынок информационной безопасности предлагает достаточное количество разнообразных средств, предназначенных для борьбы с внутренними угрозами. Поэтому подробно остановлюсь только на общих тенденциях динамично развивающегося рынка средств контентной фильтрации.

Одна из общих тенденций развития продуктов информационной безопасности —  реализация различных функций в одном устройстве или программном решении. Многие решения совмещают в себе, например, функции контентной фильтрации и антивирусной защиты, межсетевого экранирования или обнаружения и предотвращения вторжений.

К этому же направлению можно отнести продукты, разработанные в соответствии с концепцией Unified Threat Management. Они обеспечивают унифицированный подход к предотвращению угроз независимо от того, какой из протоколов или какие данные обрабатываются. Благодаря этому можно избежать дублирования функций защиты, а также обеспечить актуальность данных с описанием угроз для всех контролируемых ресурсов.

Уже достаточно популярные средства контентной фильтрации, такие как системы контроля электронной почты и веб-трафика, также подвергаются значительной модернизации. В продуктах для контроля почтового обмена на первый план выходит функция защиты от фишинга и фарминга. В продуктах для контроля веб-трафика происходит смещение от использования заранее подготовленных баз адресов к категоризации по содержимому загружаемых данных, что, например, является очень актуальной задачей при работе с разнообразными портальными решениями.

Появляются и новые области применения контентной фильтрации – продукты для контроля за передачей мгновенных сообщений (instant messaging) и peer-to-peer (p2p) соединений. В настоящее время также активно ведутся разработки в области контроля за VoIP-трафиком.

CNews: Многие компании считают инсайдеров главной угрозой, хотя на практике значительно чаще сталкиваются со спамом и вирусами. Не преувеличена ли эта проблема, на ваш взгляд?

Олег Слепов: Да, такое мнение не лишено основания. Наряду с проблемой инсайдеров, спама и вирусов существует много других угроз информационной безопасности, которым необходимо уделять равноценное внимание. Однако некоторые производители программного обеспечения темой борьбы с инсайдерами немного злоупотребляют, придавая этой угрозе исключительность. Но это и понятно. Ведь им нужно продать свои продукты. Хотя скажу откровенно, сколько бы мы ни тратили сил и времени на решение проблемы инсайдеров, мало все равно не будет, поскольку вред от действий таких сотрудников двойной: это может быть и материальный и непоправимый ущерб репутации компании.

Но не будем забывать, что это всего лишь одна из широкого круга задач по обеспечению информационной безопасности, причем вовсе не новая. Она возникла не внезапно год назад с появлением упомянутых производителей на рынке, а задолго до того, как они решили заняться этим вопросом.

Мне кажется, своим рвением они вводят в заблуждение заказчиков. Ведь проблему внутренних угроз только техническими средствами, которые они предлагают, решить невозможно, какими бы хорошими эти продукты ни были, и как бы много их одновременно не применялось. Защита от внутренних угроз — многогранная задача, требующая комплексного подхода.

Кстати, о комплексности. Эти же производители пытаются подменить значение термина «комплексность» в своих интересах, представив это как решение задачи с помощью набора программно-технических средств. По-моему, это заведомо неверная позиция.

CNews: Какие еще внутренние угрозы требуют повышенного внимания, хотя, возможно, и не столь активно освещаются в СМИ?

Олег Слепов: Когда мы говорим о внутренних угрозах, то предполагаем, что проблема заключается в использовании сотрудниками электронных средств коммуникации вообще. Например, серьезной внутренней угрозой является наличие (или разрешение) в компании средств коммуникации, потенциально опасных. К ним относятся, например, интернет-пейджеры и бесплатные почтовые сервисы (mail.ru, rambler.ru и т.п.), peer-to-peer приложения. Кроме того, электронная почта и Интернет, если их использование не регламентируется соответствующими политиками и не контролируется специальными средствами, способны нанести непоправимый ущерб не только корпоративным сетям, но и бизнесу в целом.

В последнее время специалисты в области информационной безопасности проявляют серьезную тревогу по поводу применения программ, относящихся к классу «riskware» или «greyware» («потенциально опасные программы»). С одной стороны, они легитимны и созданы во благо, с другой – в руках злоумышленников могут причинить значительный вред информационной системе. Сюда входят: программы дозвона (dialers), программы-загрузчики (для скачивания файлов из интернета), IRC-клиенты, FTP-серверы, серверы-посредники (proxy), telnet-серверы, web-серверы, программы мониторинга, PSW-утилиты, утилиты удаленного администрирования и им подобные.

В некотором роде атаки на сеть с использованием социальной инженерии (например, фишинг и фарминг) тоже приводят к неправомерным действиям внутренних пользователей. И что самое главное, человек в этом информационном обмене является наиболее слабым звеном. Так вот, чтобы обеспечить целостность бизнеса, защитить его от вредных последствий, закрыть каналы утечки информации, обеспечить производительность труда сотрудников и сэкономить средства на содержание корпоративных интернет-ресурсов, необходимо контролировать действия пользователей по обмену информацией.

Практика показала, что наиболее эффективным способом в этом случае является контроль содержимого информационного обмена между пользователями информационных ресурсов. Только содержимое обмена дает реальную картину действительных намерений сотрудника.

Такой подход предполагает введение в организации специального режима, который, в свою очередь, предусматривает организационные меры, то есть политику использования интернет-ресурсов и внедрение программно-технических средств, призванных данную политику реализовывать на практике.

Очень важно отметить, что политика первична по отношению к средствам ее реализации. С другой стороны, без программно-технических средств такая политика становится бесполезной. Психология человека такова, что если его не контролируют, он начинает допускать нарушения.

Естественно, что обеспечить безопасность использования интернет-ресурсов возможно лишь с помощью гибкой политики, поэтому средства ее реализации должны иметь соответствующую функциональность. Они, как минимум, должны гарантированно разбирать все объекты информационного обмена. Ведь если объект не разобран, то его невозможно проанализировать. Анализ должен проводиться по всем компонентам, независимо от сложности объекта. Действия над объектами не должны сводиться только к блокировке трафика и разрешению доставки его до адресата, необходима возможность модернизации объекта, обработки его с помощью других программ, архивирования всего объекта или служебной информации о нем и т.п.

CNews: Как соотносятся, по вашим оценкам, ущерб от инсайдеров  и от сотрудников, нанесших неумышленный урон?

Олег Слепов: Мы на рынке информационной безопасности работаем давно и постоянно ведем статистику. Так вот, согласно этой статистике, 85% -- это как раз неумышленные утечки, а только 15% -- целенаправленные и подготовленные действия злоумышленников. Приблизительно такое же соотношение существует между ущербом от инсайдеров и неумышленными действиями пользователей.

CNews: Позволяются ли технические средства защиты эффективно бороться с теми, кто хочет вынести информацию из компании? Или же это, в первую очередь, инструмент борьбы с непредумышленной утечкой или с теми, кто не очень хорошо разбираются в ИТ?

Олег Слепов: Говоря только об инсайдерах, мы сужаем проблему. Инсайдер – это злоумышленник, который целенаправленно действует, чтобы украсть, изменить или уничтожить информацию. Я хотел бы напомнить о том, что большинство проблем информационной безопасности связано как раз с пользователями, которые действуют не целенаправленно, а нарушают информационную безопасность случайно, по неопытности, незнанию.

 К великому сожалению, от инсайдера сегодня не спасет даже «железный занавес». Давайте все-таки честно скажем себе, что против человека, который целенаправленно подготавливает акцию по краже данных, защиты практически нет. Ведь он, прежде чем украсть, тщательно изучает все возможности, чтобы добиться своей цели и не быть при этом замеченным. А значит, он будет использовать только те пути, о которых заранее известно, что они не контролируются. Признаюсь, что даже при четко выстроенной системе физической и информационной безопасности стопроцентную защиту обеспечить невозможно. Мы в состоянии лишь максимальным образом ограничить возможность неправомерных действий пользователей, как преднамеренных, так и неумышленных.

А вот здесь применяется целый комплекс мер, не ограничивающийся только внедрением технических средств защиты. Вот, например, как этот комплекс определяется в новом международном стандарте в области информационной безопасности BS ISO/IEC 27001:2005: обследование существующих мер и средств защиты информации, которые имеются в организации, проведение анализа рисков, связанных с использованием интернет-ресурсов, выработка контрмер, направленных на снижение или избежание выявленных рисков, введение выбранных контрмер, которые предусматривают введение политики использования интернет-ресурсов, процедур, физическую безопасность, и наконец, только потом внедрение разнообразных технических средств контроля внешнего информационного обмена. При этом данные технические средства должны включать межсетевые экраны, системы строгой аутентификации, средства создания VPN, средства обнаружения атак и реагирования на нарушения политики безопасности, средства централизованной обработки событий, а также средства контентой фильтрации, обеспечивающие контроль конкретных протоколов и приложений, по которым осуществляется внешний информационный обмен, а также специальные программно-технические средства контроля за копированием информации на внешние носители.

Так вот, заострю внимание на данном факте: внутренние угрозы – это проблема, возникшая не сегодня. Она существует давно. И в ее решении достигнуто уже многое. Господа, давайте обратимся к опыту, который уже накоплен. Есть апробированная практика, о которой все почему-то умалчивают. Современные стандарты в области информационной безопасности предусматривают весь комплекс мер по защите от всех существующих в настоящее время угроз, в том числе и внутренних.

CNews: Какие технические меры необходимы для защиты баз данных от кражи информации изнутри компании?

Олег Слепов: Современные системы управления базами данных имеют в своем арсенале все необходимые средства для защиты информации, содержащейся в базе данных. Начиная с разграничения доступа и аутентификации пользователей, заканчивая описанием нарушителя правил доступа, созданием модели его действий и принятием соответствующих мер по защите информации.

К примеру, вот какие меры для защиты информации предпринимаются в СУБД Oracle, которая используется в одном из наших продуктов контентной фильтрации – системе мониторинга и архивирования почтовых сообщений «Дозор-Джет».

Безопасность данных в СУБД Oracle может быть существенно усилена за счет использования опции Database Vault – средства, позволяющего ограничить возможности привилегированных пользователей (DBA) по доступу к информации приложений, усиливающей правила идентификации пользователя и контролирующей перечень доступных команд по управлению БД.

Исключить возможность доступа к данным приложений после кражи страховой копии базы позволяет использование специального средства резервного копирования баз данных — Oracle Secure Backup. Все данные страховых копий надежно шифруются, и доступ к информации (дешифрование) невозможен без ключа, которым они были зашифрованы.

Исключить возможность несанкционированного доступа к данным защищаемых приложений при краже физических носителей информации позволяет использование опции Transparent Data Encryption (TDE). Опцией TDE предусматривается шифрование данных в колонках таблиц БД. Данные выбранных колонок будут автоматически (прозрачно для пользователя и приложений) шифроваться при записи (редактировании) на физический носитель и расшифровываться при чтении. Шифрование производится с использованием ключа шифрования, отсутствие которого у нарушителя не позволит ему получить доступ к информации зашифрованных колонок таблиц даже при наличии у него физических носителей информации.  Это в полной мере относится и к данным страховых копий, т.к. даже после восстановления БД из страховой копии нарушитель не сможет прочитать содержимое зашифрованных колонок без ключа шифрования.

CNews: Есть ли у вас планы по разработке специализированных продуктов для предотвращения тех или иных внутренних угроз?

Олег Слепов: Да, наша компания является разработчиком различных средств безопасности, в том числе продуктов, которые призваны защищать от внутренних угроз. К ним относятся межсетевой экран Z-2, имеющий в своем составе необходимые модули контентной фильтрации, система контроля веб-трафика «Дозор-Джет», предназначенная для контроля использования сотрудниками компании интернет-ресурсов, система мониторинга и архивирования почтовых сообщений «Дозор-Джет», призванная обеспечить защиту системы электронной почты, а также средство создания VPN «Тропа-Джет», обеспечивающее целостность и конфиденциальность информации, передаваемой по отрытым каналам связи.

Кроме того, в настоящее время мы приступили к разработке продуктов, предназначенных для контроля за передачей мгновенных сообщений (instant messaging) и peer-to-peer (p2p) соединений, а также продукта, осуществляющего фильтрацию VoIP-трафика. По нашему мнению, на российском рынке сегодня нет продуктов, способных обеспечить эффективный контроль этих видов электронных коммуникаций, поэтому данное направление является сейчас для нас наиболее перспективным.

Массовое внедрение стандарта Web 2.0 (стандарт XHTML 2.0) с применением технологии AJAX (Asynchronous JavaScript + XML) сильно усложнило контентную фильтрацию веб-трафика. Разработчики нашей компании также большое внимание уделяют и этой проблеме. Основной упор при этом делается на комплексный анализ передаваемых данных, который позволяет определять передачу дополнительной информации и учитывать данные, собранные на предыдущих этапах фильтрации.

CNews: Спасибо.