Na área de segurança da informação Como regra, as organizações prestam mais atenção à proteção contra ataques externos, portanto, quase todos os fundos alocados para segurança são direcionados para a proteção de pontos vulneráveis do perímetro da rede corporativa. A situação atual se reflete no mercado de soluções de segurança de TI - nos últimos anos, foi oferecida uma ampla gama de diferentes meios de proteção contra vírus, worms, Trojans e outras ameaças externas.
No entanto, as empresas estão gradualmente se conscientizando de um novo perigo. Não vem de hackers, spam ou vírus aleatórios, mas de seus próprios funcionários. Os insiders estão dentro da própria organização e são dotados de poderes totalmente legais, portanto, é muito mais fácil para eles obter acesso às informações nas quais estão interessados do que para qualquer intruso externo. Para entender melhor o problema, voltemos ao estudo de 2006 da empresa analítica americana Aberdeen Group "The Insider Threat Benchmark Report - Strategies for Data Protection", durante o qual foram entrevistadas 88 grandes corporações americanas.
Principais conclusões de uma pesquisa com grandes corporações
A ameaça de pessoas internas está crescendo. As empresas modernas não podem mais ignorar esse perigo e estão se preparando intensamente para combatê-lo. As empresas que preferem não perceber ou economizar na introdução de novos sistemas de segurança incorrem em sérios prejuízos. Muitas das empresas mencionadas no estudo foram seriamente afetadas por violações de dados e só então tomaram as medidas preventivas. Seu exemplo deve servir de lição para outras empresas.
As empresas que desejam se proteger contra o vazamento de informações confidenciais devem adotar uma abordagem responsável para resolver o problema. Economias irracionais de segurança se traduzirão em perdas substanciais no futuro próximo. A melhor opção buscará a ajuda de profissionais especializados em sistemas de proteção interna. Esses sistemas podem ser facilmente integrados à infraestrutura existente. Além disso, as empresas de vendas não só garantirão que a solução seja operacional, mas também garantirão sua alta eficiência.
Como tal, não existe uma ferramenta anti-insider. Somente o uso de uma ampla gama de medidas e soluções ajudará a proteger as informações de forma confiável. Apesar da inércia dos grandes fornecedores, existe um número suficiente de complexos prontos no mercado que oferecem proteção contra intrusos e vazamentos.
Uma das tecnologias modernas de segurança da informação mais importantes é a filtragem de tráfego de rede (já implementada por 53% dos entrevistados). Outros 28% planejam instalar esses filtros este ano. Além disso, a classificação de dados é uma tecnologia muito promissora. Embora apenas 42% das empresas usem hoje, esse número aumentará 44% (ou seja, para 86%) este ano. No entanto, é muito preocupante que um número excessivamente pequeno de entrevistados esteja usando outras soluções eficazes para se proteger contra vazamentos e informações internas, como o monitoramento das atividades dos funcionários.
Para muitas empresas, um dos principais obstáculos (44%) à introdução de proteção adicional contra vazamento de informações são os recursos de TI limitados. Ao mesmo tempo, a introdução de tais meios de proteção permite não só reduzir significativamente o risco de perda de dados importantes, mas também significativamente (em 17,5%) reduzir os custos dos departamentos de TI.
posição atual
Não é surpreendente que as consequências de incidentes internos sejam frequentemente muito mais terríveis do que até mesmo um ataque de hacker bem-sucedido. Há muitas razões para isto. A facilidade de acesso a vários recursos de informação por si só não pode explicar tudo. A questão é que as informações roubadas por usuários internos geralmente são mais importantes do que aquelas que os hackers podem obter. Um dos motivos mais importantes para a crescente ameaça de insiders e a facilidade com que realizam ações ilegais é a negligência dos serviços internos de segurança de TI (se houver). As organizações não estão prontas para confrontar os internos porque simplesmente não possuem as ferramentas adequadas. Mesmo que a ameaça tenha sido identificada, os trabalhadores da área segura ainda não podem enfrentá-la adequadamente, uma vez que não possuem a experiência adequada nesta área. Em geral, já no mercado você pode encontrar soluções complexas para proteger informações confidenciais de pessoas internas. Infelizmente, muitas vezes os líderes responsáveis não entendem a seriedade da ameaça. Por inércia, eles continuam a desenvolver esforços para proteger o perímetro de sua organização precisamente de ameaças externas.
Enquanto isso, as agências de notícias e a mídia estão prestando cada vez mais atenção ao problema dos insiders. Especialistas falam sobre um aumento no número de vazamentos de informações confidenciais e suas tristes consequências: perda de tempo, perdas financeiras e danos à reputação. Além disso, há uma tendência global de que as empresas estão começando a mudar especificamente para a questão da segurança interna de TI.
No decorrer do estudo “The Insider Threat Benchmark Report - Strategies for Data Protection”, os analistas puderam descobrir que, no último ano, muitos fornecedores e distribuidores de sistemas de TI mudaram qualitativamente a gama de soluções propostas. Ao mesmo tempo, a participação de produtos desenvolvidos especificamente para combater pessoas internas aumentou. Porém, ao mesmo tempo, os maiores fornecedores de TI continuam expandindo seu portfólio tradicional, mantendo as proporções de soluções no mesmo nível. Isso indica uma subestimação do potencial da linha de produtos correspondente ou uma baixa demanda atual. No entanto, 41% dos entrevistados americanos já implementaram medidas de segurança em sua infraestrutura de TI, em um grau ou outro. resolvendo o problema insiders.
Observe que os clientes russos podem ver com seus próprios olhos que o interesse em sistemas de combate a vazamentos e insiders por parte de fornecedores e integradores de sistemas aumentou muito. Por exemplo, a Kaspersky Lab separou seus negócios na área de segurança interna de TI em uma empresa separada - InfoWatch, quase toda russa integradores de sistema incluiu as soluções desta empresa em sua linha de produtos. De acordo com Denis Zenkin, Diretor de Marketing da InfoWatch, em 2005 o lucro da empresa aumentou 120% e em 2006 foi observado um quadro semelhante. Isso apesar do fato de as empresas russas ficarem significativamente atrás das americanas no uso de sistemas de proteção contra pessoas internas. De acordo com o estudo "Ameaças internas de TI na Rússia 2005", durante o qual o InfoWatch entrevistou mais de 300 organizações nacionais, apenas 2% dos entrevistados usam sistemas para combater informações internas e vazamentos. No entanto, o crescimento dos lucros dos fornecedores indica claramente que essa situação está mudando gradativamente.
Além disso, outro grande empresa de antivírus- McAfee. Em outubro de 2006, comprou a israelense Onigma, cuja única solução é justamente identificar e prevenir vazamentos. De acordo com o comunicado à imprensa, a McAfee integrará as tecnologias Onigma em sua própria solução e, assim, iniciará uma expansão no mercado de soluções internas de segurança de TI.
É possível que a maior empresa de segurança de TI, a Symantec, apareça no mercado de proteção contra vazamentos em um futuro próximo. De maneira geral, pode-se afirmar com segurança que a inclusão de produtos para lidar com insiders em seu portfólio é uma direção de diversificação extremamente promissora para todos os elos da cadeia de distribuição de soluções de segurança de TI.
Um olhar do outro lado
Vamos voltar agora aos resultados do estudo "The Insider Threat Benchmark Report - Strategies for Data Protection" e olhar para os sistemas de proteção contra insiders e vazamentos através dos olhos do cliente. Todas as empresas americanas podem ser divididas em três grupos desiguais em termos de composição quantitativa: retardatárias (30%), camponeses médios (50%) e líderes (20%). Os indicadores de desempenho das empresas atrasadas são geralmente mais baixos do que a média da indústria, enquanto os líderes têm indicadores de desempenho correspondentemente mais altos. Acontece que absolutamente todas as organizações de sucesso (100% dos entrevistados) consideram a proteção de dados confidenciais a direção mais importante na luta contra insiders. Além do mais, as melhores empresas usam políticas de identificação e controle de acesso muito mais amplamente (75%). As características dos vários grupos no domínio da segurança informática interna são apresentadas na figura.
Os diagramas mostram que as empresas líderes preferem ver o projeto de introdução de um sistema de proteção interna como uma tarefa empresarial completa. Ao mesmo tempo, eles atribuem especial importância a uma gama de serviços de acompanhamento. Isso permite que você crie o sistema de segurança interna mais eficaz e não transfira tarefas atípicas para os ombros de seus próprios funcionários. Além disso, as melhores empresas do setor buscam minimizar o fator humano por meio do uso de processos totalmente automatizados. Por fim, os líderes priorizam a integração do produto em um sistema unificado e gerenciável e, portanto, valorizam a flexibilidade de sua solução para proteção contra usuários internos.
Vamos tentar avaliar o problema de segurança interna em termos de tecnologia (Tabela 1). Depois de estudar vários setores, descobriu-se que as principais tecnologias utilizadas são: senhas, sistemas de identificação, biometria, digitalização de tráfego de rede e gerenciamento de acesso de usuários a informações confidenciais.
Tabela 1. Tecnologias de proteção de segurança: estado atual e previsão
|
Tecnologias |
Parcela de entrevistados que já usam a tecnologia,% |
Parcela de entrevistados que planejam implementar a tecnologia nos próximos 12 meses,% |
|
Senhas complexas |
||
|
Listas de controle de acesso |
||
|
Filtrando o tráfego da rede |
||
|
Varredura de perímetro |
||
|
Monitoramento automático de acesso de funcionários |
||
|
Classificação dos dados (de acordo com o grau de confidencialidade) |
||
|
Ponto único de entrada |
||
|
Identificação com pedido e confirmação |
||
|
Autenticação por chamada de retorno de telefone celular |
Exatamente 50% das melhores empresas do setor usam senhas fortes, filtragem de tráfego de rede e ACLs. Além disso, as empresas pretendem aumentar significativamente o uso dessas tecnologias. Assim, a participação de senhas complexas aumentará em 26% e chegará a 93%; a popularidade das ACLs aumentará em 24% e alcançará 90%, e a participação da filtragem de tráfego de rede aumentará de 53 para 81%. Enquanto isso, o uso de carteiras de identidade, apesar de sua prevalência na atualidade, dificilmente pode ser considerado uma direção popular. Apenas 13% dos entrevistados planejam implementar essa tecnologia este ano.
Curiosamente, as tecnologias mais promissoras são o monitoramento automático do acesso dos funcionários a dados importantes (deve crescer até 72%) e a classificação dos dados (de 42% em 2006 para 86% neste ano). Aqui, os resultados do estudo coincidem com a opinião de especialistas nacionais na área de segurança da informação. O think tank InfoWatch acredita que é ao monitoramento automático de ações internas e classificação de dados que as empresas têm prestado injustamente pouca atenção nos últimos anos. Enquanto isso, sem isso, é simplesmente impossível construir um sistema de proteção confiável.
Além disso, de acordo com a pesquisa, os mesmos 53% que usam filtragem de tráfego acreditam que a proteção de perímetro por si só é insuficiente para a segurança interna. É necessário, entre outras coisas, desenvolver redes privadas virtuais para não reduzir o nível de segurança na comunicação com parceiros externos.
Essas tecnologias fornecem uma abordagem em camadas e melhoram a segurança dos dados confidenciais. Porém, além do lado tecnológico, não se deve esquecer a banal segurança física das informações. Existem muitos exemplos de como documentos importantes caíram nas mãos de cibercriminosos depois de invadir um escritório e roubar equipamentos de informática. Além disso, fitas de backup e mídia móvel contendo conteúdo confidencial são freqüentemente perdidas durante o transporte ou em viagens de negócios.
Proteção interna
Atualmente, não há uma opinião unificada sobre como regular o acesso do usuário. Isso força as organizações a fornecer gerenciamento de dados centralizado em um ambiente distribuído. A tecnologia pode tornar os dados gerenciáveis, responsáveis e seguros, mas requer aplicá-los de forma adequada. Por sua vez, os métodos de uso dependem das especificidades da atividade da empresa cliente. Consequentemente, é necessário realizar uma análise profunda e abrangente da infraestrutura de TI na qual o sistema de segurança deve ser implantado. Muitos clientes, com toda a razão, confiam o processo de avaliação e seleção de tecnologias a equipes especialmente criadas, que incluem especialistas em diversas áreas.
As tecnologias e métodos modernos de combate aos insiders diferem significativamente. A questão é que os fornecedores não podem oferecer soluções internas padronizadas. Eles fornecem uma gama de soluções para detectar variações, classificar os dados por confidencialidade e restringir o acesso.
Apesar do fato de que apenas 51% das empresas pesquisadas no decorrer do estudo acreditam que soluções abrangentes para proteção contra insiders são extremamente importantes, os 49% restantes não avaliam sua função tão altamente. No entanto, o significado desse resultado reside no fato de que pelo menos metade dos respondentes prefere soluções complexas. Isso sugere que eles estão realmente preocupados com este problema e entendem a importância de medidas conjuntas.
Além disso, em alguns setores, os participantes devem ser mais sensíveis aos dados do cliente. A legislação em constante mudança nos níveis federal e regional dá cada vez mais atenção à proteção de informações pessoais (como nome completo, data de nascimento, endereço residencial, números de cartão de crédito, política médica, etc.).
As organizações devem compreender a importância da legislação de proteção pessoal. Segundo os participantes da pesquisa, para melhorar a governança, é necessário automatizar os acessos autorizados. As empresas que não automatizam ACLs, preparação de dados e classificação podem enfrentar desafios significativos. Assim, 78% dos entrevistados consideram a proteção de informações a razão mais importante para a proteção de pessoas internas. Portanto, as empresas estão apenas começando a entender a ameaça de pessoas internas e, por vários motivos, estão tentando minimizar a importância dos incidentes internos. No entanto, é impossível esconder a tendência de perigo crescente dos insiders.
Desafios para introduzir a proteção interna
Considere duas descobertas de pesquisas mais interessantes. Mesa A Tabela 2 relaciona os cinco problemas mais graves, na opinião dos respondentes, que surgem ao introduzir um sistema de proteção contra ameaças internas, bem como as opções para a sua solução. Aba. 3 é semelhante à tabela. 2 na estrutura, mas compilado com base nas respostas dos entrevistados do grupo de empresas líderes. Comparando os dados obtidos, é fácil perceber as diferenças na abordagem deste problema entre a média e os representantes empresariais mais bem-sucedidos. Se para os líderes o principal problema é a imposição da solução implementada sobre as tecnologias já em uso (75%), então para todos os respondentes em geral são os recursos de TI limitados (44%). No decorrer do estudo, descobriu-se que as organizações avançadas já implementaram proteção abrangente de sua infraestrutura de TI e, portanto, cobriram a própria rede, bem como se protegeram no nível do aplicativo. Agora, essas empresas estão procurando maneiras de fortalecer seus sistemas de segurança. As organizações, para as quais o principal problema são os recursos de TI limitados, estão seriamente limitadas em suas ações. Isso é alarmante, pois a economia em segurança pode levar a perdas muito maiores. Obviamente, a TI, assim como a segurança de TI, precisa ser totalmente financiada. Afinal, eles estão preparando uma base na qual todas as outras divisões funcionarão com sucesso.
Tabela 2. Os problemas mais graves na implementação de sistemas de proteção de insiders
e sua possível solução (com base em todos os entrevistados)
|
Problema |
Compartilhamento de respostas,% |
Solução |
Compartilhamento de respostas,% |
|
Recursos de TI limitados para implementar e gerenciar a solução |
Defina os requisitos antes da implementação |
||
|
Complexidade da solução de software |
Definir proprietários de dados e processos |
||
|
Sobrepondo a solução em processos existentes |
Realizar treinamentos sobre o uso de novos processos e procedimentos |
Analisando as tabelas, também se pode notar o seguinte, em vez fato interessante: funcionários de empresas líderes mostram sua insatisfação com as inovações com muito mais frequência do que funcionários de empresas de médio porte (50 contra 38%). No entanto, não há nada de surpreendente nisso. No campo da segurança de TI, o fator humano é responsável por pelo menos metade do problema. Se, por exemplo, uma organização permite que empreiteiros, parceiros ou fornecedores utilizem sua rede, mas não se preocupa com os procedimentos de regulação do acesso à informação, então podemos dizer com segurança que certamente terá problemas nesse sentido.
Tabela 3. Os problemas mais graves na implementação de sistemas de proteção de insiders
e sua possível solução (com base em empresas líderes)
|
Problema |
Compartilhamento de respostas,% |
Solução |
Compartilhamento de respostas,% |
|
Sobrepondo a solução em tecnologias já implementadas |
Concentre-se em projetos curtos e de impacto rápido |
||
|
Resistência dos trabalhadores à inovação |
Gradualmente, implemente e distribua lentamente novas soluções para os usuários |
||
|
Falta de recursos para a implementação das atividades |
Implementar "de cima para baixo" do departamento técnico e de TI para todos os outros departamentos |
||
|
Recursos de TI limitados para implementar e gerenciar a solução |
Demonstrar as capacidades e características das soluções para chefes de departamentos |
||
|
Fraco conhecimento das ferramentas de avaliação de risco |
Realizar treinamentos sobre o uso de novos processos e procedimentos |
Em geral, as empresas atrasadas e os camponeses médios, ao contrário dos líderes, usam menos automação e integração de soluções e, além disso, têm trabalhadores inexperientes em seu quadro de funcionários. Tudo isso afeta a eficácia da análise dos procedimentos de segurança e a interpretação de seus resultados. Muitas vezes, apenas a introdução de processos automatizados e treinamento avançado de funcionários leva à superação do fator humano. De acordo com a pesquisa, cerca de 25% das melhores empresas usam sistemas totalmente automatizados. Ao mesmo tempo, apenas 9% dos casos de automação podem ser classificados como industriais.
A segurança da informação aumenta à medida que novas tecnologias são usadas de acordo com os requisitos de negócios. A melhoria contínua dos sistemas de proteção trará benefícios indiscutíveis. De acordo com o estudo, as organizações que implementaram sistemas de proteção interna obtiveram, em média, os seguintes efeitos:
- diminuiu reclamações e recursos para departamentos de TI e serviços de suporte - em 3,5%;
- o número de incidentes de segurança de TI diminuiu - em 13%;
- custos de mão de obra reduzidos em departamentos de TI - em 17,5%.
Assim, os analistas concluem que as organizações que lidam apenas com proteção externa estão fadadas ao fracasso. De fato, proteger o perímetro de uma organização ajuda a evitar ataques de hackers, enquanto as empresas que implantaram sistemas de proteção contra vazamentos e internos conseguem reduzir incidentes e custos de TI.
Conclusão
Com base nos resultados da pesquisa e avaliação da situação, as seguintes conclusões sugerem-se. Em primeiro lugar, não existe uma tecnologia única para proteção contra usuários internos. Apenas um conjunto de medidas pode garantir a segurança de forma adequada. Produtos desagregados, por melhores que sejam, muito provavelmente não resolverão os problemas que surgem ao construir uma proteção abrangente. Sim, é possível fechar uma das direções, mas a dificuldade reside no fato de haver um grande número de ameaças diferentes. Os invasores usam vários métodos e, apenas para eliminar todas as lacunas possíveis, é necessário criar um sistema de várias camadas.
Em segundo lugar, a responsabilidade pela segurança das informações confidenciais não pode ser atribuída a uma pessoa ou mesmo a uma unidade. Nesse sentido, os funcionários do serviço de TI e o departamento de segurança de TI devem interagir intimamente. Uma forma ainda mais eficaz é contratar especialistas com vasta experiência na área de proteção contra vazamentos. Estes últimos oferecem uma análise aprofundada da situação atual e fornecem soluções específicas ao cliente. Está sendo construído um sistema confiável que pode ser atendido pelo pessoal da empresa com o apoio necessário do integrador.
Em terceiro lugar, os dados disponíveis na organização precisam ser cuidadosamente estudados e estruturados de acordo com o grau de confidencialidade. Então, com base nessa classificação, um sistema de restrição de acesso deve ser construído. Os usuários não devem ter acesso aos dados de que não precisam para o desempenho de suas funções oficiais. Além disso, é necessário revisar periodicamente os direitos de acesso para manter o sistema de delimitação atualizado.
Em quarto lugar, o fator humano é um dos críticos no sistema de segurança da informação. Infelizmente, são as pessoas que se tornam o elo mais fraco da cadeia. Freqüentemente, insiders são funcionários responsáveis, se não por proteger as informações confidenciais, pelo menos por manter a confidencialidade das informações. Por ignorância ou distração, com ou sem malícia, mas podem causar danos significativos a seus empregadores. Muito mais perigosa é a situação em que o insider é uma pessoa do departamento de TI ou do departamento de segurança de TI. Seu mandato, é claro, é muito mais amplo do que o da maioria dos outros funcionários, e ele tem o conhecimento e a capacidade de vazar dados silenciosamente. É por essas razões que, para o sucesso da condução dos negócios, é necessário usar sistemas profissionais monitorar as ações dos colaboradores. Eles devem ser o mais automatizados possível, independentes do controle humano, para serem capazes de controlar o funcionário. Soluções de software e os complexos são os mais método eficaz proteção contra o aumento da ameaça de insiders. Claro, você não deve se esquecer dos métodos de trabalho com os funcionários. Eles devem ser educados sobre a necessidade de cumprir os padrões de segurança e exigir que cumpram as diretivas existentes para lidar com informações confidenciais. No entanto, apenas software e hardware são capazes de prevenir possíveis casos de furto interno.
Para uma proteção eficaz contra usuários internos, em primeiro lugar, é necessário garantir o controle sobre todos os canais de comunicação - de uma impressora de escritório comum a uma unidade flash comum e uma câmera móvel.
Métodos de proteção interna:
- * autenticação de hardware de funcionários (por exemplo, usando uma chave USB ou cartão inteligente);
- * auditoria de todas as ações de todos os usuários (incluindo administradores) na rede;
- * uso de ferramentas poderosas de software e hardware para proteger informações confidenciais de pessoas internas;
- * treinamento dos funcionários responsáveis pela segurança da informação;
- * aumentar a responsabilidade pessoal dos funcionários;
- * trabalho constante com o pessoal que tem acesso à informação confidencial (briefing, treinamento, verificação do conhecimento das normas e responsabilidades pelo cumprimento da segurança da informação, etc.);
- * conformidade do nível salarial com o nível de confidencialidade da informação (dentro de limites razoáveis!);
- * criptografia de dados confidenciais;
- * Mas o mais importante, claro, é o fator humano: embora uma pessoa seja o elo mais fraco do sistema de segurança, ela também é o mais importante! A luta contra os iniciados não deve se transformar em vigilância total de todos. A empresa deve ter um clima moral saudável que conduza à observância do código de honra corporativo!
De acordo com os resultados da pesquisa anual do Computer Security Institute (CSI), em 2007 os especialistas em segurança identificaram três problemas principais que tiveram de enfrentar durante o ano: 59% reconheceram a ameaça número 1 vinda de dentro, 52% - vírus e 50 % - perda de mídia móvel (laptop, unidade flash). Então, pela primeira vez, o problema dos insiders na América começou a prevalecer sobre o problema dos vírus. Infelizmente, não temos essas informações sobre a Rússia, mas há razões para afirmar que a situação em nosso país é pelo menos semelhante. Assim, durante a mesa redonda sobre o problema do vazamento de informações por ações de insiders, realizada em outubro na conferência anual Aladdin, foram ouvidos os resultados de uma pesquisa com administradores de sistemas. agências governamentais são conhecidos por terem baixo nível de renda. Quando questionados sobre quanto eles podem obter dados confidenciais, apenas 10% dos entrevistados responderam que nunca cometeriam tal crime oficial, cerca de metade dos entrevistados estão dispostos a correr o risco por muito dinheiro e cerca de 40% estão pronto para recebê-lo por qualquer recompensa. Como se costuma dizer, os comentários são supérfluos. A principal dificuldade em organizar a proteção de um insider é que ele é um usuário legítimo do sistema e por dever tem acesso a informações confidenciais. É muito difícil rastrear como um funcionário gerencia esse acesso, dentro ou fora do escritório. Vamos considerar as principais tarefas de lidar com violadores internos (ver tabela).
Pesquisas recentes no campo da segurança da informação, como o CSI / FBI ComputerCrimeAndSecuritySurvey anual, mostraram que as perdas financeiras das empresas com a maioria das ameaças estão diminuindo ano após ano. No entanto, existem vários riscos, cujas perdas estão crescendo. Um deles é o roubo deliberado de informação confidencial ou a violação das regras de tratamento por parte dos colaboradores cujo acesso aos dados comerciais é necessário para o desempenho das suas funções oficiais. Eles são chamados de insiders.
Na grande maioria dos casos, o roubo de informações confidenciais é realizado por meio de mídia móvel: CDs e DVDs, dispositivos ZIP e, o mais importante, todos os tipos de unidades USB. Foi sua distribuição em massa que levou ao florescimento do conhecimento interno em todo o mundo. Os dirigentes da maioria dos bancos estão bem cientes do que pode estar ameaçado, por exemplo, a obtenção da base de dados com os dados pessoais dos seus clientes ou, mais ainda, as transacções das suas contas nas mãos de estruturas criminosas. E estão tentando lidar com o possível roubo de informações com os métodos organizacionais de que dispõem.
No entanto, os métodos organizacionais são ineficazes neste caso. Hoje, você pode organizar a transferência de informações entre computadores usando um pen drive miniatura, telefone celular, mp3 player, câmera digital ... Claro, você pode tentar proibir todos esses dispositivos de serem trazidos para o escritório, mas isso, em primeiro lugar , afetará negativamente as relações com os funcionários e, em segundo lugar, ainda é muito difícil estabelecer um controle realmente eficaz sobre as pessoas - um banco não é uma "caixa de correio". E mesmo desabilitar todos os dispositivos em computadores que podem ser usados para gravar informações em mídia externa (discos FDD e ZIP, unidades de CD e DVD, etc.) e portas USB não ajudará. Afinal, os primeiros são necessários para o trabalho, enquanto os segundos estão conectados a vários periféricos: impressoras, scanners, etc. E ninguém pode impedir que uma pessoa desligue a impressora por um minuto, insira uma unidade flash na porta desocupada e copie para ela informação importante... Você pode, é claro, encontrar maneiras originais proteção. Por exemplo, em um banco eles tentaram este método para resolver o problema: eles preencheram a junção da porta USB e o cabo com resina epóxi, "amarrando" firmemente este último ao computador. Mas, felizmente, hoje existem métodos de controle mais modernos, confiáveis e flexíveis.
O meio mais eficaz de minimizar os riscos associados a insiders é um software especial que gerencia dinamicamente todos os dispositivos e portas de um computador que podem ser usados para copiar informações. O princípio de seu trabalho é o seguinte. Para cada grupo de usuários ou para cada usuário individualmente, as permissões são definidas para usar diferentes portas e dispositivos. A maior vantagem desse tipo de software é sua flexibilidade. Você pode impor restrições para tipos específicos de dispositivos, seus modelos e instâncias individuais. Isso permite que políticas de distribuição de direitos de acesso muito complexas sejam implementadas.
Por exemplo, alguns funcionários podem ter permissão para usar qualquer impressora e scanner conectado a portas USB. Todos os outros dispositivos inseridos nesta porta permanecerão inacessíveis. Se o banco usa um sistema de autenticação de usuário baseado em token, então nas configurações você pode especificar o modelo de chave usado. Assim, os usuários terão permissão para usar apenas os dispositivos adquiridos pela empresa, e todos os outros serão inúteis.
Com base no princípio dos sistemas de proteção descritos acima, você pode entender quais pontos são importantes na escolha de programas que implementam o bloqueio dinâmico de dispositivos de gravação e portas de computador. Primeiro, é versatilidade. O sistema de proteção deve abranger toda a gama de portas e dispositivos de entrada-saída possíveis. Caso contrário, o risco de roubo de informações comerciais permanece inaceitavelmente alto. Em segundo lugar, o software em questão deve ser flexível e permitir a criação de regras utilizando uma grande quantidade de informações diversas sobre os dispositivos: seus tipos, fabricantes de modelos, números únicos que cada instância possui, etc. E em terceiro lugar, o sistema de proteção interna deve ser capaz de se integrar com sistema de informação jar, em particular com ActiveDirectory. Caso contrário, o administrador ou oficial de segurança terá que manter dois bancos de dados de usuários e computadores, o que não só é inconveniente, mas também aumenta o risco de erros.
De acordo com várias empresas analíticas, o vazamento de informações muitas vezes não ocorre devido a roubo de fora, mas devido à transferência de informações confidenciais por seus próprios funcionários para representantes de organizações concorrentes. Existem muitos vários dispositivos, para o qual quaisquer documentos armazenados em rede local organizações.
De acordo com várias empresas analíticas, o vazamento de informações muitas vezes não ocorre devido a roubo de fora, mas devido à transferência de informações confidenciais por seus próprios funcionários para representantes de organizações concorrentes. Hoje, existem muitos dispositivos diferentes para os quais qualquer documento armazenado na rede local de uma organização pode ser copiado. E não se trata apenas de unidades USB externas ou unidades de CD / DVD. Você também pode copiar informações para mp3-players, Celulares, que não pode ser conectado diretamente a um computador, a equipamentos externos que podem se conectar a uma rede local via Wi-Fi e de outras maneiras. Além disso, também é enviado por e-mail, por meio de programas de mensagens instantâneas, por meio de fóruns, blogs, chats. Existem muitas opções, você pode se proteger delas?
Para proteção de dados de iniciados aplicar vários métodos, incluindo o uso de programas especiais projetados para controlar o uso dispositivos periféricos... Neste artigo, consideraremos vários programas, tanto estrangeiros quanto nacionais, e tentaremos determinar onde e quando eles devem ser usados.
O programa é projetado para restrições de acesso para vários dispositivos periféricos, com a capacidade de criar listas "brancas", monitorar o trabalho do usuário, cópia de sombra de arquivos copiados de ou para dispositivos controlados. Existe a possibilidade de instalação centralizada de drivers de rastreamento e sua instalação local.
A instalação do aplicativo pode ser realizada tanto centralmente quanto localmente, se o acesso ao computador protegido através da rede for restrito ou impossível. Um único kit de distribuição inclui vários módulos: servidor, instalado no servidor da rede local do escritório, permite / proíbe determinadas ações, guarda informação na base de dados; cliente, implementado como um driver de rastreamento; administrador e banco de dados, que é usado como SQLite.
Os motoristas de rastreamento fornecem ao controle várias portas incluindo USB, CIM, LPT, WiFi, IR e outros. Dependendo do tipo de porta, você pode negar o acesso completamente, permitir a leitura ou abrir o acesso total ao dispositivo. Não há distribuição de acesso ao longo do tempo. Também foi notado que se você permitir o acesso somente leitura a dispositivos como unidades flash USB, a capacidade de editar arquivos de texto comuns nesses dispositivos com a capacidade de salvá-los na mesma mídia permanecerá.
Mostra os dispositivos USB conectados a computadores e mantém um registro da atividade do usuário com armazenamento externo em formação. As informações sobre o tempo de conexão / desconexão de dispositivos e quais arquivos e quando foram lidos ou gravados são salvas no banco de dados. Implementada cópia de sombra de arquivos que foram lidos ou gravados em dispositivos USB. Não há cópia de sombra dos arquivos enviados para impressão ou outros dispositivos, apenas seu registro no diário é executado.
Existe um conceito de "lista branca", na qual são inseridos dispositivos USB, cujo acesso deve estar sempre aberto em todos os computadores (por exemplo, chaves USB). Esta lista é a mesma para todos os computadores; não há listas individuais para usuários individuais.
fornece configuração de acesso a vários dispositivos externos, mas não distingue as impressoras conectadas a essas portas da lista geral de dispositivos USB. Ao mesmo tempo, ele distingue entre mídias removíveis e pode definir diferentes tipos de acesso para elas. As mídias removíveis são inseridas automaticamente no banco de dados do dispositivo (o programa irá inserir no banco de dados todas as unidades USB que já foram conectadas a um computador específico), o que permite que você aplique os direitos de acesso atribuídos a eles a quaisquer computadores protegidos pelo programa.
Ele tem a capacidade de usar uma instalação centralizada de peças do cliente usando política de grupo Active Directory. Ao mesmo tempo, é possível instalá-los localmente e por meio do painel do administrador do programa. A diferenciação dos direitos de acesso é baseada em políticas de controle de acesso, no entanto, é permitido criar várias políticas que podem ser aplicadas individualmente para diferentes computadores. Além da função de controle de acesso, permite registrar o uso dos dispositivos no computador local.
O programa suporta a função de cópia de sombra - a capacidade de salvar uma cópia exata dos arquivos copiados pelo usuário em dispositivos de armazenamento externos. Cópias precisas de todos os arquivos são armazenadas em um armazenamento dedicado e podem ser posteriormente analisadas usando o sistema de análise embutido. A cópia de sombra pode ser configurada para usuários individuais e grupos de usuários. Quando a função "manter apenas o registro" está habilitada, ao copiar os arquivos, apenas as informações sobre eles serão salvas (sem salvar uma cópia exata do arquivo).
O programa não inclui o conceito de "lista branca" de dispositivos. Em vez disso, na política geral, você pode especificar a mídia removível e permitir o acesso a ela de qualquer computador. Observe que não há como aplicar as mesmas configurações a CDs / DVDs individuais.
Programa da empresa GFI significativamente superior em suas capacidades e, e - nele, por exemplo, há muito mais dispositivos controlados do que em programas anteriores (reprodutores de mídia iPod, Creative Zen, telefones celulares, câmeras digitais, ferramentas de arquivamento em fitas magnéticas e discos Zip, câmeras da Web, scanners).
O programa oferece três configurações típicas direitos de acesso - para servidores, estações de trabalho e laptops. Além de dispositivos de bloqueio, o programa tem a capacidade bloqueando o acesso a arquivos dependendo de seu tipo. Por exemplo, você pode abrir o acesso de leitura a arquivos de documentos, mas negar acesso a arquivos executáveis. Também é possível bloquear o acesso aos dispositivos não apenas pelo tipo, mas também pela porta física à qual os dispositivos externos estão conectados. Outro definindo direitos de acesso mantido por identificadores de dispositivo exclusivos.
O administrador do programa pode manter dois tipos de listas de dispositivos - aqueles aos quais o acesso é permitido por padrão ("lista branca") e aqueles aos quais o acesso é negado ("lista negra"). Um especialista em TI pode conceder permissões temporárias para acessar dispositivos ou grupos de dispositivos em um único computador (implementado por meio da geração de um código especial que pode ser transmitido ao usuário mesmo se seu computador estiver desconectado da rede e o agente do programa não puder se conectar a o servidor).
O programa oferece suporte nova função criptografia usada em Sistema Windows 7, que é chamado de BitLocker To Go. Este recurso é usado para proteger e criptografar dados em dispositivos removíveis. GFI EndPointSecurity pode reconhecer tais dispositivos e fornecer acesso aos arquivos armazenados neles, dependendo de seus tipos.
Fornece ao administrador um poderoso sistema de relatórios. O Subsistema de estatísticas (GFI EndPointSecurity ReportPack) mostra (em texto e gráfico) um resumo diário do uso do dispositivo para os computadores selecionados e todos os computadores em geral. Você também pode obter estatísticas sobre a atividade do usuário por dia, semana, mês, discriminadas por aplicativos usados, dispositivos e caminhos de acesso a arquivos.
Um dos programas mais comuns de proteção de informações de pessoas internas na Rússia atualmente. publicado na Rússia sob a marca "1C: Distribuição"
O programa oferece ao controle não apenas dispositivos operando sob Controle do Windows Dispositivos móveis, mas também em funcionamento sistemas iPhone OS e Palm OS. Ao mesmo tempo, a cópia de sombra de todos os arquivos e dados sobrescritos também é fornecida, independentemente de qual porta esses dispositivos estão conectados à rede monitorada. A cópia de sombra pode ser configurada não apenas por dispositivo, mas também por tipo de arquivo, e o tipo será determinado não com base em extensões, mas com base em seu conteúdo.
É possível definir o acesso somente leitura para mídia removível, incluindo unidades de fita. Como opção adicional - proteção da mídia contra formatação acidental ou intencional. Você também pode manter um registro de todas as ações do usuário com dispositivos e arquivos (não apenas copiar ou ler, mas também excluir, renomear e assim por diante).
A compactação de streaming pode ser usada para reduzir a carga na rede ao transferir dados recebidos de agentes e arquivos shadow. Dados da cópia sombra em grandes redes pode ser armazenado em vários servidores. O programa seleciona automaticamente o servidor ideal, levando em consideração Taxa de transferência rede e carga do servidor.
Muitas organizações usam discos protegidos por programas especiais criptografia - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt e TrueCrypt. Para essas unidades, o programa pode definir "políticas de criptografia" especiais que permitem a gravação apenas de dados criptografados em dispositivos removíveis. Ele também funciona com as unidades flash Lexar JumpDrive SAFE S3000 e Lexar SAFE PSD que oferecem suporte à criptografia de dados por hardware. Na próxima versão, trabalhe com a ferramenta interna do Windows 7 para criptografar dados em mídia removível BitLocker To Go também terá suporte.
A cópia de sombra destina-se não apenas a salvar cópias de arquivos, mas também a analisar as informações transferidas. pode realizar pesquisa de texto completo no conteúdo dos arquivos, reconhecendo e indexando automaticamente os documentos em vários formatos.
Lançamento já anunciado nova versão um programa que, além da pesquisa completa, também implementará a filtragem de conteúdo de arquivos copiados para dispositivos de armazenamento removíveis de qualquer tipo, bem como controlará o conteúdo de objetos de dados transmitidos de um computador por meio de canais de comunicação de rede, incluindo e-mail aplicativos, serviços da web interativos, redes sociais, fóruns e conferências, os serviços mais populares mensagem instantânea(Instant Messengers), trocas de arquivos FTP e sessões Telnet
Única na nova versão é a tecnologia de filtragem de dados de texto no canal de rede e impressão local de documentos para trabalhos nos formatos PCL e PostScript, que permite bloquear ou permitir a impressão de documentos, dependendo do seu conteúdo informativo.
conclusões
|
Controle remoto clientes | ||||
|
Gerenciamento de snap-in MMC | ||||
|
Instalação, controle e recuperação de políticas centralizadas | ||||
|
Controle de dispositivos externos |
Apenas USB | |||
|
Controle de adaptadores WiFi | ||||
|
Controle de dispositivos Palm OS. iPhone / iPod |
Limitado |
Limitado |
||
|
Suporte para tecnologia de lista de permissões | ||||
|
Suporte para listas de suporte de dados | ||||
|
Suporta drives criptografados externos | ||||
|
Bloqueando keyloggers | ||||
|
Limitando a quantidade de dados copiados | ||||
|
Verificando dados por tipo | ||||
|
Registro centralizado | ||||
|
Cópia de sombra |
Apenas USB |
Apenas USB |
Parcialmente | |
|
Cópia de sombra de dados de impressão | ||||
|
Relatórios gráficos de registros e cópias de sombra | ||||
|
Pesquisa de texto completo em dados de cópia de sombra |
Os dois primeiros dos programas considerados podem ser usados para proteção de informação de roubo, mas suas possibilidades são limitadas. Eles "cobrem" dispositivos externos padrão em vários graus, mas seus recursos são limitados - tanto em termos de configurações quanto em termos de análise do trabalho do usuário. Esses programas podem ser recomendados "para teste", para compreender o próprio processo de proteção. Para grandes organizações que usam uma variedade de equipamento periférico e uma análise da atividade do usuário é necessária, os programas acima serão claramente insuficientes.
Para eles, é melhor prestar atenção aos programas - e. Estas são soluções profissionais que podem ser aplicadas em empresas com pequenas e grandes grande quantia computadores. Ambos os programas fornecem controle de vários periféricos e portas e têm sistemas poderosos de análise e relatório. Mas existem diferenças significativas entre eles, então o programa da empresa GFI neste caso, pode ser considerado básico. pode controlar não apenas dispositivos e trabalhar com dados, mas também o uso Programas... Este recurso o "puxa" do nicho "Controle de dispositivo" para o segmento "DLP de ponto de extremidade sensível ao conteúdo". Os novos recursos anunciados permitem que ela se distancie de forma abrupta de seus concorrentes devido ao surgimento da capacidade de analisar conteúdo no momento em que o usuário realiza várias ações com dados, incluindo streaming, bem como devido ao controle de uma série de parâmetros do contexto das comunicações de rede, incluindo endereços de e-mail, endereços IP, identificadores de usuário e recursos de aplicativo de rede, etc. é possível a partir de parceiros "1Soft".
Mikhail Abramzon
Todos os direitos reservados. Para perguntas sobre como usar o artigo, entre em contato administradores de site
Desenvolvimento rápido tecnologias de informação e os modernos meios de comunicação tornaram muito mais difícil controlar os fluxos de dados. É simplesmente impossível imaginar o funcionamento normal de uma empresa sem e-mail, pagers de Internet, dispositivos móveis e outros meios de transferência rápida de informações. Documentos contábeis, relatórios financeiros, bancos de dados, contratos com clientes, planos de desenvolvimento e outras informações confidenciais são armazenados e processados eletronicamente, o que significa que podem ser parcial ou totalmente copiados e transferidos para hackers.
Identificação de risco
De acordo com o centro analítico InfoWatch, em 2007 foram registrados mais de 500 incidentes com informações privilegiadas no mundo, cujos prejuízos totalizaram cerca de US $ 58 bilhões, o que é 30% a mais do que em 2006. É claro que pode haver muitas vezes mais casos não detectados de vazamento de informações. Se falamos sobre a situação na Rússia, a escala do problema é evidenciada, por exemplo, pela quantidade de software ilegal com todos os tipos de bancos de dados a preços acessíveis.
A identificação dos riscos da informação pode ser iniciada esclarecendo a questão de que tipo de dados e por meio de quais canais vazam com mais frequência Empresas russas... No decorrer do estudo "Ameaças internas 2008", conduzido pelo centro analítico Perimetrix, foram entrevistados representantes de mais de 470 empresas nacionais. De acordo com os entrevistados, na maioria das vezes os dados pessoais são roubados de empresas, incluindo informações de clientes (57%), bem como detalhes de transações específicas (47%) e demonstrações financeiras (38%), seguido por propriedade intelectual(25%) e planos de negócios (19%) (fig. 1)
Fonte: Perimetrix Study Insider Threats 2008
O canal mais comum para vazamento de dados confidenciais no mesmo estudo foi encontrado em dispositivos móveis de armazenamento de alta capacidade (por exemplo, baseados em memória flash ou pratos magnéticos) (Fig. 2). Outro estudo de incidentes internos de segurança da informação, conduzido pelo think tank InfoWatch, também mostrou que em 2007 o maior número de vazamentos de informações ocorreu por meio de dispositivos móveis(laptops, PDAs, pen drives, CDs e DVDs, etc.).
O segundo método mais popular de transmissão de informações classificadas era o e-mail corporativo, ao qual quase todos os funcionários de escritório têm acesso hoje. O fato é que nem todas as empresas filtram o tráfego de e-mail para dados confidenciais e, além disso, os métodos de filtragem de conteúdo podem ter baixa eficiência. Cerca de metade da freqüência de um trabalhador o email, usuários internos usam webmail (mail.ru, yandex.ru, etc.) e mensageiros instantâneos. Isso pode ser devido a restrições de acesso à Internet que existem em muitas organizações.
Fonte: Pesquisa de Ameaças Internas Perimetrix 2008
No entanto, os mercenários internos são apenas uma das categorias de funcionários inescrupulosos que representam uma ameaça à segurança da informação interna da empresa. Estudos mostram que um número significativamente maior de vazamentos ocorre devido à falha de funcionários imprudentes que negligenciam as ferramentas básicas de segurança da informação (CCleaner) ou violam descrições de emprego sobre como trabalhar com dados confidenciais. Os exemplos incluem a perda de drives USB ou laptops com dados não criptografados, ou situações em que os funcionários, sem sua própria intenção egoísta, acabam sendo fornecedores de informações valiosas para enganar cibercriminosos.
Assim, os resultados da pesquisa nos permitem identificar várias áreas problemáticas, que estão associadas às principais ameaças à segurança da informação interna para a maioria das empresas russas:
- falta de controle sobre a cópia de documentos confidenciais em mídias removíveis ou dispositivos externos conectados por meio de várias portas e redes sem fio;
- falta de registro de transações com documentos confidenciais armazenados em meio eletrônico;
- falta de controle sobre a impressão de documentos confidenciais;
- falta de controle sobre documentos confidenciais retirados da empresa nos laptops dos funcionários.
É claro que é praticamente impossível minimizar os riscos nessas áreas com a ajuda dos sistemas de segurança da informação que são usados atualmente na maioria das empresas russas. Antivírus, firewalls, os sistemas de controle de acesso e detecção / prevenção de intrusão (IDS / IPS), que constituem a base da segurança da informação de muitas empresas nacionais, estão focados principalmente na proteção contra ameaças externas e são de pouca utilidade para combater os internos.
Para evitar o vazamento de informações confidenciais relacionadas às ações dos próprios funcionários, são necessárias medidas abrangentes para a construção de um sistema interno de gestão da segurança da informação e a introdução do regime de segredo comercial.
Fornecimento de segurança da informação interna
A implementação de um sistema interno de segurança da informação em uma empresa é um processo longo e muito caro, portanto, recomenda-se dividi-lo em várias etapas implementadas sucessivamente. Em primeiro lugar, é necessário classificar todas as informações internas com divisão em categorias de acordo com o nível de confidencialidade. Os dados com que os colaboradores trabalham podem ser divididos em públicos (sem restrições de acesso), sensíveis (acesso limitado), pessoais e confidenciais (autorização especial de utilização).
Na próxima etapa, é necessário determinar onde as informações das diversas categorias de acesso são armazenadas e como são processadas, bem como quem é o responsável por sua segurança. Para cada categoria de informação, você precisará prescrever procedimentos para manuseá-la: como copiar, armazenar, transferir e destruir. Para tanto, é feito um inventário dos recursos utilizados no trabalho com a informação. Alguns especialistas sugerem alocar informações, software e recursos físicos durante essa auditoria. Os recursos de informação que contêm informações confidenciais podem incluir arquivos, bancos de dados, documentação manual, etc. Os recursos de software que lidam com informações confidenciais incluem programas de aplicação, SGBD (MS SQL, Oracle), ferramentas de gerenciamento de documentos, bem como sistemas de correio e servidores proxy através dos quais as informações passam e são armazenadas em cache. Os recursos físicos que processam informações confidenciais incluem servidores, estações de trabalho, mídia removível, laptops, equipamentos de comunicação, etc. Inventário de amostra recursos de informação apresentado na tabela. 1
Tabela 1. Um exemplo de um inventário de recursos de informação
Tipo de informação |
Localização |
||
Produção |
Planos de produção, propriedade intelectual, descrição de tecnologia, desenvolvimentos internos |
Servidores de arquivos, DBMS |
Confidencial |
A infraestrutura |
Cartões de infraestrutura de TI, sistemas de TI, logins |
Localmente |
Confidencial |
Financeiro |
Informações contábeis, planos financeiros, relatórios, balanços |
Base 1C ou outro ambiente para o departamento financeiro |
Confidencial |
Pessoal |
Cartões de pessoal |
Localmente, servidor de arquivos |
Confidencial |
Arquivos e documentos para intercâmbio interno |
Pessoal |
||
Intracorporado |
Relatórios de reuniões, pedidos, pedidos, artigos |
Servidor de arquivos |
Público |
Divertido |
Fotos, vídeos, filmes, audiolivros |
Pastas estendidas ou servidor de arquivos dedicado |
RecomendadoCaracterísticas de conexão de um adaptador iso para um gravador de rádio Conector Iso para um gravador de rádioNão pensamos realmente no dispositivo do reprodutor automóvel até ao momento em que este desempenha regularmente as suas funções funcionais, ou seja ...
|
