Практика выбора IPC для защиты от внутренних угроз

Топ-менеджеры постепенно начинают пересматривать своё отношение к финансированию и рассматривать защиту данных от внутренних угроз не только как источник расходов, но и как конкурентное преимущество компании. Во многих организациях сформированы специальные группы и отделы для защиты коммерческой тайны, персональных данных и другой конфиденциальной информации.

К защите информации от утечек подталкивают существующие нормативно-правовые акты и отраслевые стандарты. В России основным документом, регламентирующим защиту информацию от внутренних угроз, является 152-ФЗ «О защите персональных данных». В законе говорится, что необходимо защищать персональные данные от неправомерного доступа и распространения, а в уточняющем 781-м поставнолении Правительства — о необходимости использовать средства защиты от «утечки информации по техническим каналам». В стандарте по информационной безопасности Банка России, Кодексе корпоративного поведения ФСФР, стандарте безопасности платёжных систем PCI DSS предъявляются требования к организации системы внутреннего контроля, в частности информационных активов. Соблюдение требований внутреннего контроля закона Sarbanes-Oxley Act (SOX) является обязательным и для всех компаний, акции которых котируются на фондовых биржах США. За несоблюдение требований SOX топ-менеджеры компаний несут серьезную ответственность: до 20 лет лишения свободы или штраф до 25 млн долларов.

СМИ в свою очередь постоянно публикуют информацию об утечках корпоративной информации и персональных данных из различных организаций. По информации независимой ассоциации Open Security Foundation только за первое полугодие 2009 года в мире произошло 250 утечек. В общей сложности были потеряны или украдены 6 500 000 записей, в том числе номера счетов, банковских карт, адреса, истории болезней и другие персональные данные. По прогнозам аналитиков рынок защиты от внутренних угроз в России даже с учетом кризиса к 2012 году вырастет в два с половиной раза.

Ключевые аспекты выбора IPC

Продукты класса Information Protection and Control (IPC) позволяют контролировать технические каналы, архивировать передаваемую через них информацию, шифровать данные при хранении и контролировать доступ к информационным ресурсам организации. Существующие решения класса IPC довольно сильно различаются по возможностям и архитектуре. У некоторых конкурирующих продуктов пересечение функционала может достигать лишь 30—50 %, что фактически вынуждает использовать не комплексное решение, а несколько систем от различных производителей. Например, у западных IPC есть функционал контроля технических каналов, однако отсутствует возможность архивирования передаваемой через них информации. Это делает такие решения неприменимыми для ретроспективного анализа произошедших инцидентов.

Важный вопрос, на который необходимо ответить перед выбором решения для защиты от внутренних угроз, — какое количество финансовых и трудовых ресурсов организация готова потратить. Примерная стоимость IPC на 1000 рабочих станций составит от 10 до 15 млн рублей, а вместе услугами и прочими издержкам сумма может вырасти в полтора-два раза. Сумма ощутимая, однако построение аналогичной IPC системы внутреннего контроля из точечных решений различных производителей будет существенно дороже. Вопрос с трудовыми ресурсами также играет важную роль, ведь для использования, например, всех функций контроля технических каналов и анализа архива может потребоваться выделение от одного до нескольких сотрудников. Альтернативой этому является использование сторонних специалистов интегратора и разработчика, но такие услуги будут недешевы. Только после решения этих принципиальных вопросов стоит всерьез подходить к вопросу выбора IPC-решений.

Все существующие продукты можно условно разделить на три класса по целевой аудитории: Enterprise, SMB, Government. К первой категории относятся решения с хорошо развитой системой управления, масштабируемыми и отказоустойчивыми компонентами, возможностью гибкой настройки под существующую инфраструктуру сети. Они обладают максимально широким функционалом, серьезными требованиями к аппаратным и программным ресурсам сети, могут практически неограниченно масштабироваться. При этом они требуют значительных ресурсов на внедрение и эксплуатацию, так как простыми такие решения назвать трудно. К категории SMB относятся решения, изначально ориентированные на работу в сетях с не более чем 500 рабочими станциями и 50 серверами. Они могут иметь более простую архитектуру, упрощенную систему управления, сниженные требования к аппаратным ресурсам. Для малого и среднего бизнеса это, безусловно, является плюсом, однако при расширении бизнеса такие решения в силу своей архитектуры и функциональности будут почти неприменимы. К третьему классу относятся решения, которые можно применять на государственных предприятиях. Основное отличие от первых двух классов — наличие сертификата. На текущий момент ни одно коммерческое IPC-решение не имеет сертификата на все свои компоненты. Хотя стоит заметить, что процесс постепенно сдвигается с мертвой точки — многие разработчики уже подали или планируют в ближайшее время подать во ФСТЭК и ФСБ все необходимые документы.

IPC-решения состоят из модулей, которые устанавливаются в различные точки сети. Типичная архитектура включает в себя центральный сервер для хранения данных системы и архива данных, шлюз для контроля трафика, хостовое решение для защиты рабочих станций и серверов, консоль управления. В целом архитектура большинства решений одинакова, внимание стоит уделить лишь нескольким моментам. Один из основных моментов — это то, в какой точке сети контролируется внешний трафик. Обычно для этого используется специальный шлюз, однако некоторые IPC построены по другому принципу. Весь трафик контролируется на уровне агентов, что не только существенно увеличивает нагрузку на конечные точки сети, но и ощутимо увеличивает внутренний трафик. Такая архитектура создаёт дополнительные трудности при внедрении и менеджменте IPC. Некоторые решения имеют жесткую привязку к железу либо вовсе являются appliance-решениями, что также может накладывать ограничения на масштабируемость и управляемость системы, требуя на поддержку дополнительные ресурсы.

Возможности IPC

При выборе IPC-решения особое внимание стоит обратить на заявленные возможности и реализацию ключевых функций. Важная характеристика IPC — перечень контролируемых и архивируемых каналов передачи информации. Контроль сетевых каналов, таких как HTTP, SMTP и IM, является стандартным для большинства решений, в то время как контроль HTTPS и ESMTP возможен лишь в некоторых из них. Защиты от утечек через периферийные устройства и принтеры в IPC обычно осуществляется на уровне агентов и включает в себя контроль USB и CD/DVD-дисководов, всех портов и внутренних устройств, локальных и сетевых принтеров. Различия находятся в деталях, например, под поддержкой IM западные разработчики подразумевают AOL AIM, Yahoo! Messenger, а российские — ICQ. Очевидно, что для России поддержка ICQ актуальнее всех остальных IM вместе взятых, но она навряд ли в ближайшем будущем появится в зарубежных решениях, так как доля ICQ в мире крайне мала. Похожая ситуация и функциями на конечных точках сети. С одной стороны у всех IPC заявлен контроль периферийных устройств, а с другой — вместо гибкого персонализированного разграничения доступа к конкретному устройству или группе есть возможность простого разграничения по типам. Под контролем печати часто подразумевается лишь USB-принтеры, оставляя бреши в виде сетевых принтеров.

Возможность полноценного архивирования всех входящих и исходящих данных является отличительной особенностью российских IPC-решений. Архив позволяет более эффективно расследовать произошедшие и предотвращать возможные в будущем утечки. Необходимость ведения архива пересылаемых данных также регламентируется различными стандартами и законами, в том числе Стандартом Банка России СТО БР ИББС-1.0-2008, SOX, Basel II и EU Data Retention Directive.

Шифрование данных при хранении является важным компонентом IPC и позволяет защитить данные в случае утери или кражи носителей. IPC-решения дают возможность в «прозрачном» для операционной системы и приложений режиме шифровать данные в серверных хранилищах, на резервных носителях, персональных компьютерах и ноутбуках. Для шифрования данных при хранении сейчас в основном используются алгоритмы RC5 и AES, а также специально разработанный для этой задачи режим шифрования XTS. В некоторых российских IPC есть возможность подключения криптопровайдеров, реализующих ГОСТ 28147-89, однако стоит заметить, что их скорость существенно ниже тех же RC5 и AES. Дополнительно в IPC могут быть реализованы широкие возможности по созданию, хранению и управлению ключами шифрования.

Система менеджмента и отчетности для IPC-решений является не менее важной, чем различные разрекламированные технологии детектирования конфиденциальной информации. Стоит ли говорить, что от удобства интерфейса и наглядности отчетов напрямую зависит эффективность внутреннего контроля. Все IPC имеют достаточно наглядную отчетность, многие также позволяют использовать сторонние приложения для генерации отчетов, например, Crystal Reports. Принципиальное различие кроется в системе менеджмента, который может осуществляться как через собственную консоль, реализованную в виде отдельного модуля, так и через оснастку для MMC или web-интерфейс. У каждого из вариантов есть свои плюсы, но в целом собственная консоль удобнее и быстрее, чем MMC и, тем более, web-интерфейс.

Отдельно стоит обратить внимание на непосредственные возможности консоли управления. На рынке все еще остались решения, для полноценного менеджмента которыми необходимо знать не только основы Microsoft Windows, Sun Solaris, Linux, Oracle и пр., но и языки программирования. Например, в одном из IPC-решений нельзя управлять политиками безопасности через консоль — этот базовый функционал реализуется лишь с помощью скриптовых языков, хотя разработчик декларирует удобный интерфейс и простоту управления. В действительности оказывается, что для создания даже самой простой политики с блокировкой по ключевым словам в тексте письма необходимо самостоятельно написать скрипт. Решения с подобными недостатками в консоли управления часто предлагаются для бесплатного тестирования, причём разработчик дополнительно присылает внедренца, который самостоятельно настраивает базовые политики. На этапе пилотного тестирования все идет гладко, однако как только начинается реальное внедрение и работа, ожидания от решений часто не оправдываются. И все же большинство IPC-решений имеют удобные и понятные интерфейсы, хотя из-за обширного функционала и они по определению не могут называться простыми.

Технологии детектирования утечек

Для эффективной защиты от внутренних угроз IPC-решения должны уметь искать и при необходимости блокировать конфиденциальную информацию. Практически все IPC умеют блокировать данные по формальным признакам, например, типу документа и отправителю. Различия начинаются, когда необходимо заблокировать отправку документов только определенного содержания. В современных решениях существует несколько технологий детектирования утечек, далее будут рассмотрены семь основных.

Метод сигнатур позволяет искать прямые совпадения со словом или фразой. Сигнатуры являются базовой технологией детектирования конфиденциальной информации для всех IPC-решений. Из-за отсутствия возможности морфологического поиска внедрение требует кропотливую работу не только по составлению списка «стоп-слов», но и словоформ для каждого из них.

Регулярные выражения позволяют эффективно искать конфиденциальную информацию с заранее определенной структурой, например, номера кредитных карт или паспортные данные. Во многих IPC-решениях существуют предустановленные шаблоны для различных типов данных. Тем не менее, из-за ограниченной сферы применения регулярные выражения можно рассматривать лишь как дополнение к другим методам детектирования.

«Цифровые отпечатки» — новый и активно продвигаемый западными разработчиками метод. Алгоритм работы заключается в том, что для всех конфиденциальных документов заранее создаются «цифровые отпечатки». При анализе пересылаемых данных происходит сверка с полученной базой данных, за счет чего процесс детектирования существенно упрощается. Однако данный метод требует и постоянного обновления базы «цифровых отпечатков». Основными недостатками являются большой размер базы, невысокая устойчивость к изменению документов и неэффективное детектирование небольших объемов текста.

Технология меток достаточно давно эффективно применяется в системах класса rights management. Суть технологии состоит во внедрении в конфиденциальные документы определенных меток, которые впоследствии используются для определения категории документа. В IPC данная технология используется крайне редко, так как имеет ряд существенных недостатков, основной из которых — необходимость сильной интеграции в существующую систему документооборота. Также в продуктах, использующих метки, существует сильная зависимость от клиентской части, так как в случае отключения защиты в системе внутреннего контроля образуется брешь, через которую смогу пройти любые новые файлы, даже со сверхсекретной информацией.

Лингвистика позволяет искать слова или выражения с использованием морфологии и стемминга, что существенно упрощает процедуру создания и обновления политик безопасности. Большинство реализаций лингвистического анализа позволяет также производить поиск с учетом расстояния между словами и «веса» слов в общем объеме документа. Основной недостаток лингвистики — ощутимые трудозатраты при внедрении — компенсируется эффективность при поиске необходимой информации в постоянно меняющемся массиве данных.

Метод Байеса хорошо зарекомендовал себя в системах для борьбы со спамом и позволяет анализировать пересылаемые документы на предмет соответствия определенным категориям. Суть данного метода состоит в том, что создается список категорий и слов, принадлежащих этим категориям. Если одно из слов встречается в анализируемом документе, тот с определенной вероятностью причисляется к категории. В системах защиты от спама эффективность метода составляет до 97 %, однако в IPC данная технология пока почти не используется.

Взаимодействие с подрядчиками

Не секрет, что выбор ИТ-решений корпоративного уровня включает в себя не только сравнение по заявленным возможностям, но и целый комплекс мероприятий. Обычно при выборе IPC организация проходит стадии консалтинга, написания политик внутреннего контроля, выбора продукта, «пилота», боевого внедрения и последующего сопровождения. Как правило, большинство этапов проводит при непосредственном участии специалистов интегратора и разработчика. Стоит ли говорить, что именно от компетенций специалистов подрядчика в немалой степени зависит конечный результат внедрения системы внутреннего контроля. Рассмотрим несколько наиболее важных аспектов.

Консалтинг и написание политик безопасности довольно распространенная практика перед непосредственным выбором конечного решения. Такие услуги оказывают как интеграторы, так и некоторые разработчики IPC. Важность консалтинга на начальном этапе заключается в том, что именно он помогает определить критерии, по которым впоследствии будут выбираться продукты. На этапе консалтинга необходимо правильно определить цель внедрения IPC, которая может быть как желанием руководства организации снизить риски, связанные с возможными утечками, так необходимостью соответствия нормативно-правовым актам. Уже исходя из цели, необходимо точно описать приоритетные и второстепенные задачи, так как это позволит сократить время выбора из множества различных IPC и заранее исключить неподходящие по ключевым параметрам продукты. Например, если необходима поддержка ГОСТ 28147-89 для шифрования серверов и магнитных лент, то можно сразу же отсечь западных разработчиков.

Следующим этапом после консалтинга и выбора продуктов идет пилотный проект, который помогает убедиться или усомниться в первичного правильности выбора. Стоит ли подчеркивать важность проведения этого этапа, ведь именно при пилотной эксплуатации на небольшом сегменте сети могут быть обнаружены различные баги и несовпадения реального функционала с рекламной листовкой. На текущий момент на рынке отсутствует свободное распространение демо-версий IPC, а нормальной практикой на этапе тестирования считается привлечение специалистов разработчика или интегратора.

Процессы «боевого» внедрения и сопровождения IPC описать полностью можно лишь в рамках отдельной статьи, однако необходимо заострить внимание на одном важном моменте. Внедрение и эксплуатация комплексных ИТ-систем должно осуществляться только обученными специалистами, которыми могут быть как инженеры разработчика или интегратора, так и собственные сертифицированные сотрудники. Ущерб от ошибок необученных сотрудников может на порядок превысить стоимость сертификации, ведь одно неверно настроенное правило может временно парализовать работу всей компании. Очевидно, что подобная экономия при выборе IPC может стоить слишком дорого.

Резюме

Выбор системы внутреннего контроля — задача, требующая времени и значительных ресурсов. Выбор осложняется и тем, что, несмотря на многообразие на IPC-рынке DLP-систем и продуктов для шифрования, комплексные решения класса IPC представлены пока у ограниченного круга производителей. Более того, как уже было замечено, существующие продукты пока могут перекрывать лишь 30—50 % функционала друг-друга. Это делает выбор еще сложнее, ведь для полноценной защиты от утечек порой приходится применять несколько DLP-решений одновременно, дополняя их продуктами для шифрования и контроля доступа.

На текущий момент на рынке существует тенденция дополнения DLP-продуктов модулями для шифрования данных при хранении, которая активно поддерживается как российскими, так и зарубежными разработчиками. Cогласно отчету LETA IT-сompany «Рынок информационной безопасности: Эпоха кризиса.» рынок DLP, а значит и IPC, вырастет к 2012 году более чем в два раза и составит 78 млн долларов США. IDC в своём отчете Russia Security Software 2009-2013 Forecast and 2008 Vendor Shares прогнозирует 16 %-й рост рынка ПО для информационной безопасности в России. Такие прогнозы не могут не радовать, ведь с ростом рынка будут развиваться технологии, и на рынок придут новые игроки.

Источник: www.cio-world.ru