Программные решения для выявления и предотвращения утечек конфиденциальных данных

Не менее остро проблема стоит в России, что подтверждаетсярезультатами исследования Внутренние IT-угрозы в России 2005,проведенного компанией InfoWatch среди 315 представителей отечественного бизнеса. По результатам опроса, опубликованным в конце января 2006 года, 64% респондентов считают кражу информации самой опасной угрозой IT-безопасности. Сравнивая этот показатель с прошлогодним, можно с уверенностью утверждать, что проблема защиты конфиденциальных данных не только сохранила актуальность, но и приобрела гораздо большее значение, нежели такие распространенные угрозы, как вирусные и хакерские атаки.

Следует обратить внимание, что утечка чувствительных сведений, какугроза IT-безопасности, не всегда является результатом злого умысла.История хранит немало примеров, когда конфиденциальные данные утекали по нелепой случайности или банальной человеческой ошибке. Так, в марте2005 года информация о 4,5 тыс. больных СПИДом пациентов медицинского учреждения в Палм-Бич, штат Флорида, и еще о 2 тыс. людей, тест на наличие ВИЧ у которых оказался положительным, была разослана не по тем адресам электронной почты. Как оказалось, сотрудник, обрабатывающий статистику в министерстве здравоохранения округа, настолько заработался, что отправил конфиденциальные файлы нескольким сотням получателей, не имевших права доступа к подобной информации. Таким образом, при оценке актуальности внутренних угроз следует учитывать нетолько формальную кражу чувствительных документов, но и халатность сотрудников, озабоченность которой высказали, согласно исследованию InfoWatch, 44% респондентов.


Для дальнейшего обзора решений в сфере выявления и предотвращенияутечек очень важен еще один результат, отмеченный в исследовании Внутренние IT-угрозы в России 2005, а именно анализ путей утечки. В этой связи наиболее популярным способом кражи данных,по мнению российских компаний, являются мобильные носители (91%),электронная почта (86%), интернет-пейджеры (85%) и Всемирная паутина(веб-почта, чаты, форумы и т. д. – 80%). Сравнивая эти показатели с аналогичными за прошлый год, можно заметить, что мобильные накопители теперь опережают электронную почту. Судя по всему, популярность портативных устройств, предназначенных для хранения данных, возросла запрошедший год. В результате служащие осознали, что копирование информации на мобильный накопитель оставляет меньше следов, чем отправка писем через корпоративную почтовую систему (ведущую журнал событий), и не связано с аномальной активностью, которая часто привлекает внимание администратора при пересылке больших объемов данныхпо сети.

Несмотря на несколько разнородный индекс популярности различных каналов утечки, только комплексная защита, покрывающая все виды коммуникации, способна эффективно обезопасить информационные активы.Ведь ничто не помешает инсайдеру переключиться на сетевые каналы передачи данных, если компания возьмет под контроль порты и приводы рабочей станции. Именно принцип комплексности взят за основу прирассмотрении решений для борьбы с утечками.

Authentica ARM Platform

Североамериканская компания Authentica поставляет комплексноерешение для всестороннего контроля над оборотом классифицированныхсведений в корпоративной сети. Однако, в отличие от большинства своихконкурентов, фирма остановилась не на технологиях выявления ипредотвращения утечек, а на управлении цифровыми правами в рамкахпредприятия (ERM – Enterprise Rights Management). Именно на примереосновного продукта компании – Authentica Active Rights Management (ARM)Platform – будут рассмотрены достоинства и недостатки такого подхода.Полученные в результате анализа результаты применимы для всех остальныхрешений, призванных устранить проблему утечек посредствомERM-технологий. В частности, для продуктов компаний Adobe, Workshare,Liquid Machines, SealedMedia, DigitalContainers и Microsoft. Такженеобходимо отметить, что решение Authentica ARM Platform имеет оченьмного общего с Microsoft Rights Management Services (RMS).

В основе решения Authentica лежит запатентованная технологияARM (название которой входит в название самого продукта). С помощью ARMрешение контролирует электронные документы, почтовые сообщения и вообщелюбые файлы. Дополнительные модули интегрируются с настольнымиприложениями (Microsoft Office и Outlook, Lotus Notes, Adobe Acrobat,Microsoft Explorer и Netscape) и внешними средствами аутентификации(LDAP, Windows Single Sign-on, X.509, RSA SecurID).


Функциональность Active Rights Protection подразумеваетаутентификацию пользователей и их авторизацию для просмотра информации,контроль над печатью документов и стандартными операциями (копирование,редактирование, чтение), а также возможность работы с документами врежиме offline. В дополнение к этому вся чувствительная информацияпостоянно находится в зашифрованном виде и расшифровывается только намомент работы с ней. Шифрованию также подлежит обмен информацией междусервером политик ARM и клиентскими компонентами. Таким образом,конфиденциальные данные всегда защищены от несанкционированного доступа- даже при передаче по коммуникационным каналам. Следует помнить, что исама архитектура продукта тоже приспособлена именно для защиты отнесанкционированного доступа, а не от утечки. Другими словами,инсайдер, обладающий правами доступа к конфиденциальному документу,может обмануть защиту. Для этого достаточно создать новый документ ипереместить в него конфиденциальную информацию. Например, еслиинсайдером является сотрудник, в задачи которого входит подготовкаотчета о прибыли, он будет создавать этот высокочувствительный документс нуля, а, следовательно, файл не будет зашифрован, так как для негоеще не создана специальная политика. Соответственно, утечка становитсявполне реальной. Если еще учесть, что весь почтовый трафик шифруется,то у инсайдера фактически есть готовый защищенный канал для пересылкиконфиденциальных данных. При этом никакой фильтр не сможет проверитьзашифрованный текст.

Тем не менее, решение Authentica ARM Platform представляетсяэффективным продуктом для защиты от несанкционированного доступа,поскольку ни один нелегальный пользователь действительно не сможетполучить доступ к данным, пока не отыщет ключ шифрования.

Дополнительным недостатком продукта является отсутствиевозможности хранить архивы корпоративной корреспонденции, чтозначительно усложняет процесс расследования инцидентов IT-безопасностии не позволяет вычислить инсайдера без лишнего шума.

В заключение необходимо отметить широкий комплекссопроводительных услуг, которые Authentica оказывает заказчику: аудит ианализ IT-инфраструктуры с учетом бизнес-профиля компании, техническаяподдержка и сопровождение, внедрение и развертывание решений с нуля,корпоративные тренинги для персонала, разработка политикиIT-безопасности.

InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российскойкомпанией InfoWatch, разработчиком систем защиты от инсайдеров. Онопозволяет обеспечить контроль над почтовым каналом и веб-трафиком, атакже коммуникационными ресурсами рабочих станций. На сегодняшний деньIES уже используется правительственными (Минэкономразвития, Таможеннаяслужба), телекоммуникационными (ВымпелКом), финансовыми(Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК,Транснефть).

Архитектуру IES можно разделить на две части: мониторы,контролирующие сетевой трафик, и мониторы, контролирующие операциипользователя на уровне рабочих станций. Первые устанавливаются вкорпоративной сети в качестве шлюзов и фильтруют электронные сообщенияи веб-трафик, а вторые развертываются на персональных компьютерах иноутбуках и отслеживают операции на уровне операционной системы.Принцип работы IES представлен на схеме 2.

Сетевые мониторы IWM и IMM также могут быть реализованы в видеаппаратного устройства – InfoWatch Security Appliance. Таким образом,заказчику предлагается на выбор либо программное, либо аппаратноеисполнение фильтров почты и веб-трафика. О преимуществах данногоподхода более подробно написано в предыдущей статье, посвященной борьбес утечками только железными средствами. На схеме 3представлено комплексное решение IES, в состав которого входятаппаратные модули IWSA, в IT-инфраструктуре крупной компании, имеющейфилиалы.

К мониторам уровня рабочей станции относятся InfoWatch NetMonitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживаетоперации с файлами (чтение, изменение, копирование, печать и др.),контролирует работу пользователя в Microsoft Office и Adobe Acrobat(открытие, редактирование, сохранение под другим именем, операции сбуфером обмена, печать и т. д.), а также тщательно протоколирует вседействия с конфиденциальными документами. Вся эта функциональностьлогично дополнена возможностями модуля IDM, который контролируетобращение к сменным накопителям, приводам, портам (COM, LPT, USB,FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д. Вдобавоккомпоненты INM и IDM в состоянии работать на ноутбуках, а администраторбезопасности может задать специальные политики, действующие на периодавтономной работы сотрудника. Во время следующего подключения ккорпоративной сети мониторы сразу же уведомят специалиста отделабезопасности, если пользователь попытался нарушить установленныеправила во время удаленной работы.

Все мониторы, входящие в состав IES, способны блокироватьутечку в режиме реального времени и сразу же оповещать об инцидентесотрудника отдела безопасности. Управление решением осуществляетсячерез центральную консоль, позволяющую настраивать корпоративныеполитики. Предусмотрено также автоматизированное рабочее местосотрудника безопасности, с помощью которого специальный служащий можетбыстро и адекватно реагировать на инциденты.

Важной особенность комплексного решения IES являетсявозможность архивировать и хранить корпоративную корреспонденцию. Дляэтого предусмотрен отдельный программный модуль InfoWatch Mail Storage(IMS), который перехватывает все сообщения и складывает их в хранилищес возможностью проводить ретроспективный анализ. Другими словами,компании могут покончить с порочной практикой ареста рабочих станцийслужащих и ручного перебора папки Входящие в почтовом клиенте. Такиедействия подрывают рабочий климат в коллективе, унижают самогосотрудника и часто не позволяют найти никаких доказательств виныслужащего. Напротив, автоматизированная выборка сообщений изкорпоративного архива приносит намного больше пользы, так как позволяетотследить динамику изменения активности пользователя.

Делая ставку на всесторонность своего решения, компанияInfoWatch предлагает клиентам целый ряд сопроводительных иконсалтинговых услуг. Среди них можно выделить: предпроектноеобследование, помощь в формализации целей и средств IT-безопасности,создание ее эффективной политики, адаптацию решения под нужды клиента,сопровождение и техническую поддержку, включающую персональногоменеджера каждому заказчику.

Таким образом, комплексное решение IES сочетает все аспекты защиты конфиденциальной информации от инсайдеров.

Onigma Platform

Израильская компания Onigma специализируется на выявлении ипредотвращении утечек конфиденциальной информации посредствоммониторинга действий пользователей на уровне рабочих станций ифильтрации сетевого трафика. Любопытно отметить, что руководящиедолжности в отделе исследований и разработок фирмы занимают в основномбывшие сотрудники министерства обороны Израиля.

Компания предоставляет очень мало информации об архитектуресвоего решения Onigma Platform и реализованных в нем технологиях. Темне менее, сведений о реализованном функционале вполне достаточно дляутверждения, что Onigma Platform – это программный продукт, покрывающийследующие каналы утечки данных: электронная почта, интернет-пейджеры,веб-трафик, физические устройства (USB-порты и принтеры). Последняяфункциональность реализована с помощь специальных агентов,установленных на рабочих станциях и ноутбуках заказчика. Они следят завыполнением правил и соблюдением политики IT-безопасности, поддерживаютцентрализованное управление через специальную консоль.

Одним из основных своих преимуществ компания Onigma считает тотфакт, что ее решение быстро и легко развертывается и интегрируется вимеющуюся IT-инфраструктуру. Таким образом, по мнению поставщика,заказчик может существенно сэкономить на переобучении персонала,внедренческих и сопроводительных услугах.

Недостатком Onigma Platform является невозможность создаватьархивы корпоративной корреспонденции, что значительно осложняетрасследование инцидентов IT-безопасности, утечек, финансовогомошенничества и подозрительной активности инсайдеров. К тому жехранение деловой документации, к которой относятся электронныесообщения, – это обязательное требование целого ряда законов инормативных актов, регулирующих бизнес во многих странах.

Дополнительный недочет продукта – неглубокий контроль надоперациями пользователей на рабочих станциях (в том числе мобильных).Решение Onigma Platform не позволяет осуществлять мониторинг действийслужащих в офисных средах, на уровне файлов, а также работу с буферомобмена.

PC Acme

Продукт PC Activity Monitor (Acme) производится и продаетсякомпанией Raytown Corp. Он позволяет осуществлять всесторонний имаксимально глубокий мониторинг операций пользователя на уровне рабочейстанции. Следует сразу же отметить, что из всех представленных в обзорепрограммных решений только продукт PC Acme не удовлетворяет принципукомплексности и не покрывает одновременно сетевые каналы и ресурсырабочих станций. Однако эта программа все равно заслуживаетрассмотрения, так как у заказчиков часто возникает проблема сравненияее функциональности с возможностями других продуктов, рассмотренных встатье. Заметим, что трудности заказчиков связаны с не совсем точнымпозиционированием PC Acme, в результате чего может показаться, будтопродукт обладает активными (а не пассивными) функциями и некоторыманалогом комплексности. Чтобы прояснить ситуацию, необходимо оценитьвозможности PC Acme Professional – максимально функциональной редакциипродукта.

Программа PC Acme фактически состоит из двух частей: средствацентрализованного управления и развертывания и многочисленные агенты,внедряемые в рабочие станции по всей организации. Как легко догадаться,с помощью первой компоненты можно централизованно распределить агентыпо всей корпоративной сети, а потом управлять ими.

Агенты представляют собой программные модули, которые оченьглубоко внедряются в Windows 2000 или Windows XP. Разработчикисообщают, что агенты располагаются в ядре операционной системе ипользователю практически нереально нелегально удалить их оттуда илиотключить. Сами агенты тщательно протоколируют все действияпользователей: запуск приложений, нажатие клавиш, движение мышки,передачу фокуса ввода, буфер обмена и т. д. Можно сказать, что журналсобытий, получающийся на выходе, по степени своей детализациинапоминает результаты неусыпного видеонаблюдения за экраном компьютера.Однако получаемый журнал, естественно, представлен в текстовом виде.

Центральная консоль управления и позволяет собиратьзапротоколированные данные на один-единственный компьютер ианализировать их там. Вот тут-то и проявляются два основных недостаткапрограммы.

Во-первых, абсолютно непонятно, как в огромном множествесобытий сотрудник безопасности сможет выделить те, которые являютсянарушением политики IT-безопасности, привели к утечке и т. п. Другимисловами, продукт PC Acme не работает с политиками вообще. Его задачалишь в том, чтобы составить максимально подробный протокол и скрытнопередать его на центральный компьютер. Заметим, что в течение дня однарабочая станция может сгенерировать десятки тысяч протоколируемыхсобытий, а в корпоративной сети таких станций может быть несколькотысяч и даже больше. Очевидно, что проанализировать все этособственными руками невозможно. Между тем встроенные фильтры событийпозволяют осуществлять лишь самые примитивные операции, например,отделить события, связанные с конкретным приложением (скажем, MicrosoftWord).

Во-вторых, даже если сотруднику безопасности удастся обнаружитьутечку, он все равно уже не сможет ее предотвратить. Ведь агент PC Acmeзафиксировал совершенное в прошлом действие, и конфиденциальнаяинформация уже давно дошла до получателя. Конечно, можно предъявитьпретензии самому инсайдеру, но блокировать утечку таким способомневозможно.

Итак, программа PC Acme не только не обладает комплексностью,но и не препятствует утечке в принципе. Более того, журналы событий,которые ведутся каждым представленным в обзоре продуктом, всегдадостаточно подробны, чтобы вычислить инсайдера постфактум и служитьдоказательством при его обвинении. Причем в этих журналах, в отличие отпротокола PC Acme, зафиксированы действия лишь с конфиденциальнымиданными, а не все системные события подряд.

Можно было бы предположить, что продукт PC Acme подойдет длямаленьких компаний, где за действиями, например десяти пользователей,вполне реально проследить, периодически проверяя журнал событий. Однаковыделение функций IT-безопасности в отдельную должность офицера длямалого бизнеса – это нонсенс.

Verdasys Digital Guardian

Американская компания Verdasys поставляет комплексное решениеDigital Guardian, предназначенное для выявления и предотвращения утечекпрямо на уровне рабочих станций. Кстати, продукт невозможно упрекнуть вотсутствии комплексности, поскольку Digital Guardian покрывает всеканалы утечки, делая это в тех местах, где информация используется.

Реализацией такого подхода являются программные агенты,устанавливаемые на персональные компьютеры и ноутбуки в организации.Агенты поддерживают работу в операционной системе Windows, а также всреде Citrix Metaframe и Microsoft Terminal Server. Агенты отвечают заведение подробных журналов; за контроль над приложениями,коммуникациями и данными; выявление нарушений политики; за фильтрациюсобытий, записанных в журнал, перед отправкой на сервер DigitalGuardian.

Точно так же, как в случае PC Acme, агент Digital Guardianневидим для пользователя, поэтому может быть внедрен удаленно ицентрализованно. Однако в отличие от PC Acme в составе Digital Guardianпоявляется сервер, куда агенты отсылают протоколы событий. Третьимкомпонентом продукта является консоль управления, к которой можнополучить доступ по сети. Консоль позволяет составлять отчеты, собиратьи анализировать информацию, контролировать инсталляцию агентов,управлять политиками и т. д.

 


Продукты Verdasys отличаются широким спектром сопроводительныхуслуг. Так, поставщик оказывает консалтинговые услуги еще до внедренияпроекта, разрабатывает и внедряет предварительные проекты (например,создается экспериментальная группа рабочих станций, осуществляетсямониторинг действий пользователей этих станций и анализируютсярезультаты), активно участвует во внедрении продукта и тренингахперсонала.

Тем не менее, Digital Guardian обладает двумя недостатками.Во-первых, он не развешает архивировать электронную корреспонденцию,что затрудняет расследование инцидентов IT-безопасности, усложняетпроцесс поиска инсайдера и не позволяет обеспечить соответствие сразличными законам и нормативными актами. Во-вторых, Digital Guardianне производит контентную фильтрацию отправляемого по сети трафика,поскольку фильтрация, вынесенная на уровне рабочей станции, требуетогромного количества аппаратных ресурсов. К такому вполне логичномувыводу пришли эксперты IDC (см. Information Leakage Detection andPrevention: Turning Security Inside-Out): фильтрацию, с использованиемлингвистического анализа, другие поставщики осуществляют на выделенныхсерверах. Следовательно, агенты Digital Guardian в состоянии отличитьчувствительные документы от не конфиденциальных только с помощьюзаранее заданного списка защищаемых объектов (или помеченных цифровымиводяными знаками, что не суть важно). Отсюда, если пользователь создастновый документ и наполнит его чувствительными сведениями, например, врамках подготовки отчета (ведь работу с буфером обмена контролируетсяагентами), такой документ останется уязвимым до тех пор, пока не будетвнесен в список защищаемых объектов. Именно для того чтобы исключитьподобную брешь, разработчики решений в сфере выявления и предотвращенияутечек применяют контентную фильтрацию.

Итоги

Далее приводится таблица, обобщающая основные характеристикирассмотренных продуктов. В качестве основных параметров взяты наиболеекритические характеристики решений, однако для разумного выборарекомендуется обязательно ознакомиться с описанием продукта в текстестатьи.

  Authentica ARM Platform InfoWatch Enterprise Solution Onigma Platform PC Acme Verdasys Digital Guardian
Контроль над почтовым трафиком Да Да Да Нет Да
Контроль над веб-трафиком Да Да Да Нет Да
Контроль над рабочими станциями Да Да Да Да Да
Комплексность(на основании предыдущих трех параметров) Да Да Да Нет Да
Создание архива корпоративной корреспонденции Нет Да Нет Нет Нет
Выбор между программной и аппаратной реализацией некоторых модулей Нет Да Нет Нет Нет
Наличие широкого спектра сопроводительных и консалтинговых услуг Да Да Нет Нет Да
Особенности решения Встроенный модуль шифрования Подстройка решения под нужды заказчика; каждый заказчик получает персонального менеджера технической поддержки Нет особен-
ностей
Крайне низкая цена Нет особен-
ностей

Как уже отмечалось в начале статьи, при выборе решения необходимоучитывать параметр комплексности – покрывает ли продукт все возможныеканалы утечки. В противном случае данные утекут через оставленнуюоткрытой дверь. Следующим немаловажным моментом является возможностьсоздавать и хранить архивы корпоративной корреспонденции. Такаяфункциональность позволяет провести служебное расследование, небеспокоя сотрудников и не привлекая внимания. Вдобавок к тому, чтохранить электронные сообщения в течение нескольких лет требуют многиенормативные акты и законы, создание централизованного почтового архиваизбавляет от порочной практики ареста рабочих станций служащих.Наконец, последним важным параметром является возможность выбора междупрограммной и аппаратной реализацией модулей, отвечающих за фильтрациюсетевого трафика. Преимущества такого подхода подробно рассматривалисьв статье об аппаратных решениях для борьбы с утечками.