Защищаясь от «внутренних врагов», следует различать тех, кто наносит своему предприятию вред целенаправленно, и тех, кто делает это по неосторожности
Алексей Волчков: «Лучше всего, если предприятия выберут подходящий им стандарт на систему безопасности и на его основе разработают собственные требования»

Справляться с внешними угрозами многие предприятия научились уже довольно неплохо, внешнему врагу порой весьма непросто проникнуть в корпоративную информационную систему. Ситуация коренным образом меняется, если у злоумышленника есть союзник внутри предприятия. Поэтому столь велик интерес к средствам защиты от «пятой колонны»; это хорошо было заметно по содержанию конференции «Информационная безопасность», которая прошла в рамках выставки SofТool 2006.

Целесообразно различать нужно два типа «внутренних врагов»: тех, кто наносит своему предприятию вред целенаправленно, и тех, кто делает это по неосторожности. Соответственно и методы защиты от их действий существенно разнятся.

Шпионы

«Внедренные» в компанию недоброжелатели, как правило, хорошо знакомы с используемыми защитными механизмами и стремятся легальным путем получить все необходимые права доступа и ключи дешифрации. В таких условиях предотвратить утечку технологическими средствами невозможно, тем не менее ее необходимо точно зафиксировать, чтобы расследовать в дальнейшем уже иными методами и на ином уровне. Для защиты от этого вида угроз традиционно используется служба физической безопасности. Как правило, «шпионы» могут нанести значительно больший ущерб, чем «добросовестные сотрудники», но, к счастью, встречаются они реже.

Для обеспечения надежного мониторинга нужно выстроить правильную политику обеспечения доступа пользователей, предоставляя им ровно столько полномочий, сколько нужно. Изменение прав доступа должно выполняться автоматически с помощью средств управления идентификационной информацией. Такие решения есть у Oracle, CA, Check Point и ряда других компаний.

Желательно не ограничивать процедуру аутентификации простой проверкой пароля, но использовать более сложную систему опознавания пользователей. А поскольку каждое приложение требует собственной процедуры аутентификации, то стоит внедрить механизм так называемой «однократной регистрации» (Single Sign-On, SSO). Пользователь должен пройти процедуру аутентификации в системе SSO, а всю дальнейшую работу по авторизации она берет на себя. Первоначальная же аутентификация может быть сделана с использованием дополнительных устройств с одноразовыми паролями или с помощью криптографических сертификатов. В этом случае шпиону будет затруднительно выдать себя за другого пользователя.

Кроме того, система мониторинга должна собирать информацию о доступе пользователей к файлам и критическим данным. Эти данные должны накапливаться и анализироваться, а результаты передаваться в службу физической безопасности для дальнейшего анализа и принятия соответствующих решений. В качестве инструмента для поиска признаков шпионской деятельности используются системы корреляционного анализа, которые есть в арсенале CA, Cisco и некоторых других компаний. Впрочем, все эти средства не могут обеспечить защиту от действий легальных пользователей, но должны их фиксировать.

На предприятии должны быть средства контроля за соблюдением политики доступа, отслеживания неудачных попыток аутентификации или использования уязвимостей, переконфигурирования средств защиты и других внутренних инцидентов, которые могут привести к нарушению политики доступа. При этом желательно не просто фиксировать все события, но и выполнять их корреляцию, пытаясь выяснить первопричину инцидента. Для этого можно использовать как традиционные системы IDS/IPS (Intrusion Detection System/Intrusion Prevention System), так и средства контроля за соблюдением политик безопасности, системы корреляции событий и некоторые другие технологии.

Следует отметить, что средства контроля доступа к сменным накопителям, пропагандируемые как защита от внутренних угроз, плохо ограждают от шпионов. Дело в том, что человек, стремящийся украсть конфиденциальные данные, будет стремиться любым способом получить легальные права доступа к ним или же попытается выдать себя за легального пользователя. И в том и в другом случае средства контроля доступа к сменным накопителям будут вынуждены разрешить доступ. Однако важно, чтобы они при этом не забыли сообщить о факте легального с их точки зрения доступа в систему механизму корреляции событий или предотвращения событий.

Сотрудники

Защититься от «шпионов» достаточно сложно, однако это явление довольно редкое. Большинство же инцидентов происходит по вине тех пользователей, которые, имея доступ к конфиденциальной информации, не заботятся о ее защите. В этом случае шифрование и контроль сменных накопителей могут уменьшить вероятность случайной утечки. Впрочем, такие инструменты имеют еще и воспитательный аспект, поскольку с их помощью компания может продемонстрировать, что заботится о сохранении своих секретов и может даже за это наказать.

Средства прозрачного шифрования обеспечивают защиту данных от непреднамеренного разглашения и не позволяют шпионам заглядывать в данные других пользователей. При этом ключи шифрования хранятся в учетных записях, поэтому для легальных владельцев информации ее дешифрация происходит незаметно. Таких решений на рынке несколько; их предлагают, в частности, компании «ЛАНКрипто», SecurIT, Aladdin, Microsoft. Решение Microsoft интегрировано в операционную систему в виде криптографической файловой системы EFS.

Однако если сотрудник, который имеет права доступа к зашифрованным данным, случайно пошлет их по электронной почте или перенесет на незашифрованный носитель, то защита будет нарушена. Чтобы исключить риск таких случайных утечек, компания может контролировать передачу данных по протоколам электронной почты и Web (для защиты пересылки по Web-почте). Соответствующие решения предлагают InfoWatch, Jet Infosystems и ряд других компаний. Правда, от скрытой пересылки данных, которую могут придумать «шпионы», подобные системы, скорее всего, не предохранят. В частности, ни одна защита не сможет вскрыть правильно зашифрованный файл, а стало быть не сможет проверить его содержание.

Впрочем, для отечественных компаний наиболее интересными являются услуги по разработке комплексной системы защиты, которая подразумевает в том числе и создание механизмов для предотвращения внутренних угроз. Внедрение комплексных систем становится популярной темой, поскольку появилось несколько стандартов на построение подобных решений. Обзор соответствующих инициатив провел на конференции президент ассоциации «Рускрипто» Алексей Волчков. Практически все стандарты предписывают построение системы защиты от утечек конфиденциальной информации и предотвращения внутренних нападений, однако до недавнего времени этим проблемам практически не уделялось должного внимания.