Тематичний архів статей

Проблематика захист від інсайдерів


Загальна стурбованість громадськості цією проблемою почасти можна пояснити: за даними світової статистики (наприклад, за звітами ФБР Computer Crime and Security Survey), компанії зазнають максимальні збитки в результаті реалізацій саме цієї загрози.

У той же час уважний аналіз публікацій, виступів і заяв дозволяє виявити деякі недоладності:

* Термін «інсайдер» повсюдно вживається без визначення. Мається на увазі, що значення цього слова очевидно.
* Практично «злилися» поняття «інсайдер» та «зловмисник, що знаходиться усередині мережі».
* Багато експертів, розповідаючи про погрози інсайдерів, наводять як приклад втрату ноутбуків з конфіденційною інформацією.
* Часто опис інсайдерських погроз збивається на перерахування звичайних атак на зразок підбору пароля, спроби скористатися чужим логіном, злому комп'ютера колеги і т.п.

Що ж змушує численних експертів з питань захисту від інсайдерів допускати подібні недоладності в статтях та інших виступах? Щире оману? Автори розуміють цей предмет? Намагаються приховати свою некомпетентність?

Прагнуть скористатися гарними словесами або маніпулювати читачем?

У центр оглядів з проблеми інсайдерів ставлять боротьбу з ними усіма доступними засобами.

До речі, ситуація, що склалася трохи нагадує епопею про боротьбу зі спамом, яка розгорнулася перед читачами приблизно два роки тому. Ніхто не заперечує, що проблема спаму існує. Проте вона стосується здебільшого не корпоративних користувачів, а провайдерів, які змушені зберігати на серверах значні обсяги листів. Втім, багатьох практично примусили прийняти за чисту монету розмови про катастрофу, яку спам ось-ось принесе будь-якому користувачеві.

Як розібратися в предметі, зрозуміти і оцінити ризики, які інсайдери несуть саме вашому підприємству? Як вибрати дійсно адекватні заходи захисту?

Пропоную почати з головного, без чого немає сенсу продовжувати подальшу розмову, - з визначення того явища, яке ми будемо обговорювати, а саме - поняття «інсайдер».
Термін «інсайдер»

Щоб не змушувати читача занурюватися в довідники та словники, я спробував пошукати визначення цього терміна в мережі Інтернет.

Перша ж знайдена посилання (http://ru.wikipedia.org/wiki/Инсайдер) Порадувала вичерпним визначенням.

Поняття «інсайдер» розкривається як «член якої-небудь групи людей, яка має доступ до інформації, закритої для широкої публіки. Контекст вживання терміна - співвіднесеність з секретною, прихованою або який-небудь інший закритою інформацією або знаннями: інсайдер - це член групи, який володіє інформацією, наявною тільки в цієї групи.

Наступне визначення, яке надав нам Інтернет (http://abc.informbureau.com/html/einaeaad.htm), Звучало так: «Інсайдер (англ, insider, від inside - буквально 'всередині') - особа, яка, в силу свого службового чи сімейного стану, доступ до конфіденційної інформації про справи компанії . Мова йде про посадових осіб, директорів, основних акціонерів корпорації з широким володінням акціями і їх найближчих родичів ».

Повторимо ще раз: ключовими словами в двох розглянутих визначеннях є «мають доступ до інформації». Навіть це спостереження дає підстави для того, щоб переглянути проблему «інсайдерів».

Отже, ми приходимо до наступних висновків.

* Не слід поспішати з узагальненнями й стратегічними висновками, перш ніж проблема «внутрішнього злоумишенніка» не буде визначена більш чітко.
* Інсайдерів слід «розсортувати» на 1) мають доступ до інформації, та 2) співробітників даної компанії, які прагнуть отримати доступ до такої інформації.

Будемо вважати, що термін «інсайдер» ми привели до коректного значенням.

Важливо, що в двох виявлених визначеннях згадувалося поняття інформації.
Поняття «інформація»

Поняття інформація за своєю суттю є вкрай дискусійним. У кожній області знання цей термін використовується по-різному. Отже, багато людей вживають його і оперують їм грунтуючись на інтуїтивних та суб'єктивних відчуттях, вкладаючи в нього самі різні значення.

Для подальшого обговорення нам потрібно чітке розуміння цього терміна. Отже, пропоную вважати, що:

* Інформація - це пояснення, научіння, будь-яке зведення.

Пропоную не змішувати поняття «інформації» з поняттям

* Дані - це представлення фактів та ідей у формалізованому вигляді, придатному для передачі та обробки в деякому інформаційному процесі.

Тепер для конструктивного продовження діалогу розберемося остаточно з визначеннями понять. Легше всього зробити це на наступних прикладах.
Факт Дані Інформація
Компанія готується випустити новий продукт Технічна документація, рекламні матеріали, дистрибутив, вихідний код продукту Продукт ще не готовий/не оттестирован, терміни виходу будуть зірвані/витримані
Компанія прагне підняти вартість своїх акцій План заходів, спрямованих на підвищення даного показника, прогнози за вартістю акцій і т.п. Компанію просто готують до продажу
Компанія набирає нових співробітників Оголошення на серверах для шукачів Компанія готується випустити нову послугу/незабаром відкриває нову філію

Сподіваюся, що мені вдалося продемонструвати різницю між цими поняттями.

Усвідомлювати ці відмінності просто необхідно хоча б для того, щоб визначити об'єкт захисту (дані або інформація?) І необхідні в зв'язку з цим засоби/заходи.
Чому інсайдерів бояться

Отже, якщо виходити з наших визначень, інсайдерами, як правило, є директори та старші менеджери, а також власники компанії.

Сформований за останній час образ інсайдера включає в себе набір того, що піддається виносу на загальний огляд:

* Списки клієнтів;
* Документи;
* Бази даних;
* Інформацію.

Все це, за твердженнями деяких експертів, завдає значної шкоди компаніям і неминуче тягне за собою втрату клієнтів.

До речі, практично ніде не згадується загроза знищення або навмисного спотворення даних ... Ніхто не звертає уваги на це? Ще не розроблені методи для захисту від цих загроз?

Якщо повторювати, як мантру, слова про найпоширеніші загрози, стає страшно. Проте побоювання дійсно не марними: світова статистика інцидентів свідчить про реальний збиток бізнесу і про втрати клієнтів у результаті дій інсайдерів. Не забудемо, що тепер ми розділяємо поняття інсайдера та звичайного працівника.

Розберемо це питання докладніше. Є чотири варіанти:
дані інформація
співробітник співробітник намагається винести дані співробітник намагається винести інформацію
інсайдер інсайдер намагається винести дані інсайдер намагається винести інформацію

Завдання, які ми можемо поставити собі в боротьбі з інсайдерами - просто формулюються:

* Відповідність вимогам нормативних актів і стандартів;
* Збереження інформації;
* Збереження даних;
* Виявлення каналів витоку;
* Доказ непричетності.

Але чи всі вони можуть бути реалізовані легко? ТА які технічні засоби можуть нам допомогти?
Боротьба з інсайдерами за допомогою технічних засобів і її результати

Якщо компанія просто хоче відповідати певним вимогам, які до неї пред'являє держава або професійне співтовариство, то завдання зводиться навіть не до придбання і впровадження будь-якого засобу захисту, а до грамотного документування процесів забезпечення безпеки в організації.

Далі ми підходимо до найбільш цікавою фазі - до боротьби з витоками інформації.

Власне з визначення інформації, яке ми дали, припинити витік інформації можливе тільки шляхами:

* Самоконтролю інсайдерів (для того щоб запобігти випадкове розголошення інформації);
* Акцентування уваги керівництва на те, що не вся інформація призначається для широкої публіки.

На жаль, ця проблема цілком у владі людського фактора. Сумно, але з нею не завжди справляються навіть самі передові спецслужби.

З проблемної витоку даних (файлів, баз даних, друкованих копій документів тощо) боротися можна. Але тільки й саме боротися. Перемогти цю проблему неможливо: як би ми не обмежували доступ до інформації ...

* Можна показати документ на моніторі/в роздруківці колезі, якому дана інформація не повинна бути доступна.
* Співробітник може забути документ на принтері, в їдальні, залишити без нагляду кабінет/кейс/сейф.
* Можна зробити запис вручну з екрана монітора.
* Можна зачитати по телефону або наговорити на диктофон певний фрагмент конфіденційних даних.
* Можна сфотографувати екран монітора на фотокамеру мобільного телефону.
* Зміст документа можна передати кому-небудь по пам'яті.

Крім того, навіть ноутбук з конфіденційними даними може бути втрачений або викрадений - разом з усіма ключами (наприклад, небезпека підстереже нас, якщо дані на ноутбуці зберігалися в захищеному вигляді).

Технічні засоби допоможуть вирішити лише одну проблему - відстеження каналів витоку: зібрати повну статистику звернень до ресурсу, скоррелировать факт звернення, скажімо, до файлу з відрядженням цього ж файлу поштою і т.п.

Єдина неприємність - в тому, що технічні засоби можуть дати надто багато інформації, перевіряти і аналізувати яку доведеться все-таки і знову ж таки людям. І знову ми приходимо до висновку про те, що технічні засоби не дозволять домогтися гарних результатів.

Чи можливо довести за допомогою технічних засобів непричетність певного співробітника до інциденту? Навряд чи.

Причому більше з політичних причин, ніж по технічним. Уявіть: одного разу виходить стаття про те, що в компанії ХХХ сталася чергова витік бази даних. Журналісти мусують цю тему, опитують експертів з безпеки про причини, згадують історію витоків, міркують про причини цієї тощо Сенсація ... Ваші заяви про те, що компанія непричетна та інформація витекла не від вас, мало кого цікавлять, а якщо їх і опублікують, то «пізніше», коли інтерес до теми вже поулегся.

До того ж ніхто не зможе довести на 100% того, що джерелом витоку стала не ваша організація. Ви зможете тільки показати, як (у тому числі технічними засобами) ви піклуєтеся про їх збереження.
Про що не говорять борці з інсайдерами

«Будь-які засоби захисту створюють незручності». Це аксіома. «Будь-які впроваджуються засоби захисту потрібно обслуговувати». Це закон життя. Нерозумно встановлювати засіб захисту і не стежити за тим, які результати воно видає.

Тепер про результати.

Припустимо, що необхідно утримувати мережу близько 1 000 комп'ютерів, на кожному з яких хоча б раз на день в USB-порт підключають флешку/мобільний телефон/фотоапарат. Отже, щодня потрібно аналізувати мінімум 1 000 подій, пов'язаних з використанням цих пристроїв. Не думаю, що терпіння обслуговуючого персоналу вистачить більш ніж на два дні.

Рішення заборонити все - теж не завжди найправильніше. Через кілька хвилин начальник запитає, чому не читається його флешка, а співробітник відділу реклами буде запитувати про те, як тепер йому передавати в друкарню макети листівок і т.п.

Якщо доступ до файлу мають усі без винятку, то у випадку інциденту під підозру в першу чергу потраплять ті, кому він не потрібен. Однак жодних гарантій по вірному визначенню злочинця тут немає, і без бувалого оперативника ми не розберемося.

Якщо доступ до файлу був розмежований, ви дізнаєтеся, що інформацією користувалися ті, хто допущений до неї. Це цінно, але ... марно. Можна виявити деякі особливості: наприклад, хтось звернувся до файлу посеред ночі. Незвично, але ні про що не говорить, особливо якщо господар облікового запису не заперечує факту звернення.

Говорячи про контроль, будемо пам'ятати, що від інсайдера ми не захистимося, а для співробітника цей файл повинен бути закритий.
Так стеження або розмежування?

Золоте і тому невиполняемое правило: необхідно впроваджувати засоби захисту відповідно до політиків безпеки.

Звичайно, непогано, що впровадження системи контролю електронної пошти змусило організацію розібратися, що можливо пересилати певним особам і що є конфіденційною інформацією.

Якщо б уявлення про те, що можна, а що не можна, було сформовано заздалегідь, компанія підібрала б більш вигідне рішення, погодившись з потребою в даному засобі.

Але і це ще не все.

Відповідальні за безпеку в організації! Раз і назавжди вирішите самі для себе, що ефективніше і простіше:

* Зберігати всі дані без розмежування доступу і намагатися знайти того, хто відіслав її за межі організації;
* Розмежувати доступ до даних так, щоб вони були доступні тільки тим, кому вони потрібні для виконання роботи.

Перший варіант видовище і демонстративний. Усі спостерігають за тим, як фахівці відділу безпеки повзають навпочіпки перед системними блоками комп'ютерів і заклеюють USB-порти. «А що це пошта сьогодні так і не запрацювала?» - «А це, колега, впроваджують нову систему контролю».

Другий варіант передбачає копітку роботу з аналізу потреб різних співробітників, трудомісткі настроювання механізмів розмежування доступу і т.п.

Кожен вибирає свій шлях сам. Додам лише те, що перший нагадує пошук монетки під ліхтарем: її шукають поруч з ліхтарем не тому що втратили саме там, а тому що там світло.
Лукава статистика інцидентів

Коли розкривати тему боротьби з інсайдерами взялися професіонали пера, явище інсайда піддалося згубному узагальнення. Змішали все.

Хотілося б відзначити, що ніяким чином під поняття «загрози інсайдерів» не потрапляють такі явища і, отже, вони не є технічними засобами контролю інформації:

* Втрати ноутбуків, флешок і т.п. (Це халатність!);
* Крадіжки ноутбуків, комп'ютерів, вінчестерів з резервними копіями (пропоную вважати це явище родичем злому);
* Витік інформації в результаті дії вірусів;
* Витоку інформації при зломі мережі (навіть якщо здійснено співробітником постраждалої організації).

До інсайдерської загрозу не відносяться і такі випадки, як витік бази клієнтів разом з директором з продажу.

Звільняючи директора з продажу, забирайте його телефонну книжку. Але як відібрати сформовані відносини з замовником, роки навчання в інституті з важливими клієнтами і т.п.?

Важливо не дозволяти втягнути себе у вирішення проблеми, якої немає або яка не вирішується принципово.
Висновки

Зробити конкретний висновок з проблеми про способи її рішення не можна. Правда життя полягає в численності проблем, пов'язаних з інсайдерами. Деякі фахівці з безпеки, як це не сумно, деколи обмежені в поглядах на ту чи іншу проблему саме в силу свого професіоналізму.

Наприклад, інформація для них - це файли і бази даних. (Перша помилка - плутанина понять «дані» та «інформація».) З витоками цих об'єктів професіонал починає боротися відомими йому засобами: банальна відмова від відчужуваних носіїв, контроль пошти, контроль за числом друкованих копій документа і постановка їх на облік, перевірка портфелів на виході з будівлі і ще, і ще ... При цьому справжні інсайдери, часто добре обізнані про ці засоби контролю, скористаються для відправки документа факсом.

Так може, перш ніж кидатися у вир боротьби з проблемою, варто оцінити цю проблему, порівняти її з іншими і зробити більш обгрунтований вибір?


  Схожі новини: {related-news}