1. Ризики внутрішньої інформаційної безпеки
2. Рішення для захисту останнього ешелону
3. Внутрішня інформаційна безпека - «як є»
4. Внутрішня інформаційна безпека - «як повинно бути»
5. підсумки

Дмитро Скомаровський

Ризики внутрішньої інформаційної безпеки

Рішення для захисту останнього ешелону

Внутрішня інформаційна безпека - «як є»

Внутрішня інформаційна безпека - «як повинно бути»

підсумки

Проблема витоку конфіденційної інформації актуальна сьогодні як ніколи. Хоча основною технологічною завданням все ще є безпека периметра, багато експертів вже зараз ставлять проблему інсайдерів на перше місце серед інших загроз безпеці. Проте відкритим залишається питання: як забезпечити збереження важливої ​​інформації в компанії за умови, що ізолювати користувачів від неї не можна?

Проблема інформаційної безпеки (ІБ) не нова. Багато компаній давно стурбовані забезпеченням належного рівня своєї захищеності, а тому витрачають колосальні кошти на придбання і впровадження рішень, що дозволяють мінімізувати зовнішні загрози ІБ. Безумовно, антивірусні рішення, мережеві екрани і VPN-засоби в сукупності забезпечують хорошу і стабільну захист периметра. Однак інформаційні ресурси, що знаходяться на внутрішніх серверах, залишаються незахищеними від крадіжки власними співробітниками. Проблема ускладнюється ще й тим, що критична для бізнесу інформація пересилається між окремими сегментами мереж в незахищеному вигляді.

Сьогодні багато компаній вже навчилися вирішувати завдання безпеки периметра і вміло захищають зовнішні стіни своєї інформаційної системи від атак хакерів, вірусних епідемій, шкідливих і небажаних розсилок. При цьому всі питання внутрішньої інформаційної безпеки вони відносять до компетенції відділу кадрів, корпоративній культурі і довірі до співробітників. Однак слід чітко розуміти, що в умовах конкуренції головне джерело небезпеки для цінної інформації виходить аж ніяк не з зовнішнього світу - все ці загрози вже давно відомі і захист від них добре відпрацьована, а зсередини компанії. Це самі співробітники, які, згідно з дослідженнями Gartner, здійснюють близько 70% несанкціонованого доступу до інформаційних ресурсів і тим або іншим чином беруть участь в 95% атак з метою крадіжки інформації, а також її подальшого використання за межами компанії. Сухі факти підтвердимо фінансовими результатами: згідно з дослідженням «2006 Annual Study - Cost of a Data Breach» (Ponemon Institute LLC), один витік в середньому обходиться компанії в 4,8 млн дол. Досить згадати середній збиток від успішної вірусної атаки, який, по даними ФБР, становить всього 60 тис. дол.

Ризики внутрішньої інформаційної безпеки

Чи не станемо приховувати, що найбільш очевидним ризиком внутрішньої інформаційної безпеки є людський фактор. Кадрові співробітники, в службові обов'язки яких входить робота з важливими документами, повинні мати ці дані за замовчуванням. Щоб запобігти зловживанням або кричущу халатність з боку цих користувачів, необхідно використовувати захист останнього ешелону, причому робити це треба по можливості непомітно для трудового процесу. Тим часом практика показує, що управляти доступом до важливих документів для довірених співробітників вкрай складно - простіше закрити всі дані на великий замок, і нікого до них не допускати.

Розглянемо відомий приклад точкової вірусної атаки. Великий досвід боротьби багатьох компаній з промисловим шпигунством свідчить: для того щоб вкрасти всі необхідні конфіденційні відомості, досить створити вірус точкового спрямованої дії і заразити їм хоча б один комп'ютер в мережі. Далі заражений комп'ютер підготує і проведе атаку на внутрішні ресурси. Причому для цього від виконавця не потрібні якісь спеціальні комп'ютерні навички. Іншими словами, в більшості випадків зловмисники використовують інсайдерів «втемну» - користувач, як правило, навіть не підозрює про те, що встановив у себе шкідливу програму (спрямованої дії), яка може нашкодити різними способами. Розглянемо найбільш характерні з них.

По-перше, отримання прав користувача або адміністратора. У першому випадку програма зможе просто видавати себе в мережі за легітимного користувача і красти документи в межах його повноважень, а в другому - це справжнісінький rootkit, який може глибоко впроваджуватися в систему, ховатися від антивірусів і робити все, на що його запрограмували. По-друге, збір конфіденційних відомостей з робочих місць співробітників для промислового шпигунства або в інших цілях. І по-третє, зміна або знищення важливої ​​інформації для нанесення фінансового збитку компанії. Таким чином, навіть настільки небезпечне точкове зараження шкідливим кодом засноване саме на використанні інсайдерів.

Крім того, загрози внутрішній безпеці безпосередньо пов'язані з операційними ризиками бізнесу. Через витік даних компанія може сильно постраждати - наприклад викрадення клієнтської бази даних зіпсує її репутацію, в результаті чого фірма втратить своїх клієнтів. Якщо в руки конкурентів потраплять технологічні секрети, то компанія може стати неконкурентоспроможною. Нарешті, витік означає невідповідність вимогам держави і різних органів, які наказують захищати персональні дані користувачів. Отже, жодна успішна організація не захоче ризикувати своїм благополуччям через витік конфіденційної або персональної інформації.

Рішення для захисту останнього ешелону

Виходячи з усіх негативних наслідків витоку стає ясно, що від цієї загрози необхідно захищатися. Вище вже згадувалося про захист останнього ешелону, а тепер поговоримо про це докладніше.

Під безпекою останнього ешелону і мається на увазі захист від загроз, що виходять зсередини компанії. На думку аналітичного центру InfoWatch, вона вимагає глибоких превентивних заходів на декількох рівнях. По-перше, повинні бути встановлені політики інформаційної безпеки, які не в останню чергу будуть враховувати питання внутрішньої інформаційної безпеки. По-друге, користувачі, що працюють з важливими даними, повинні пройти аутентифікацію і авторизацію в інформаційній системі. По-третє, весь вихідний трафік (SMTP, HTTP, Instant Messaging і т.д.) слід перевіряти на предмет витоку даних. По-четверте, на робочих станціях потрібно захистити все конфіденційні документи, а крім того, встановити політики роботи з периферійними і мобільними пристроями, на які можна записати конфіденційний документ з метою його викрадення. По-п'яте, повинен перевірятися потік надсилаються на друк документів. По-шосте, всі запити до баз даних слід перевіряти на наявність в них небезпечних запитів, які отримають секретні відомості. По-сьоме, критичну інформацію на блокових пристроях і на ноутбуках потрібно шифрувати. По-восьме, транспорт всередині мережі, де поширюються чутливі дані, повинен бути зашифрований. При цьому слід зазначити, що, якщо хоча б одна з цих вимог не буде виконано, важлива інформація в мережі буде піддаватися серйозним ризикам.

Внутрішня інформаційна безпека - «як є»

Подивимося тепер, як сьогодні побудовано управління внутрішньої інформаційною безпекою в великих російських компаніях. В принципі, система внутрішньої інформаційної безпеки повільно, але вірно стає невід'ємною частиною управління операційними ризиками, область дії яких поширюється на людські ресурси і фізичну безпеку. Вже зараз на великих підприємствах, які відчули необхідність захисту від інсайдерів, вводяться такі дисципліни, як режими конфіденційності, аутентифікації і авторизації користувачів при роботі в критичних додатках. Велика увага приділяється шифрування трафіку на різних рівнях комунікаційної мережі. Все це стає частиною політики корпоративної безпеки.

На рис. 1 представлена ​​найбільш загальна архітектура інформаційного оточення в компанії, що включає інфраструктуру і бізнес-додатки, такі як ERP-, CRM- і SCM-системи.

Мал. 1. Загальна архітектура інформаційного оточення

Згідно концепції «все в одному», багато ERP-системи використовують вбудовані можливості безпеки (наприклад, Oracle Vault в Oracle e-Business Suite, підсистема SNC і SSF в SAP R / 3), але жодна з них не володіє всіма засобами захисту від інсайдерів. На стадії впровадження компанії стикаються з кількома проблемами. По-перше, впровадження складних систем безпеки вимагає трудомісткого і дорогого реінжинірингу бізнес-процесів та розширення апаратної частини мережевої інфраструктури, яку саму по собі теж потрібно захищати. По-друге, вбудовані засоби шифрування і аутентифікації в бізнес-додатках вимагають модифікації коду для кожної програми. Звичайно, для великих компаній це цілком під силу, але на даний момент подібні заходи все одно не вирішують вищеописаних проблем захисту від витоків.

Внутрішня інформаційна безпека - «як повинно бути»

Новий підхід до управління внутрішньою безпекою, про який піде мова далі, має всі шанси подолати обмеження, що накладаються мережевою інфраструктурою, засобами захисту периметра і вбудованими засобами ERP-систем. Концепція передбачає введення додаткового шару ПО в корпоративній мережі. Його основна мета полягає в управлінні безпекою на проміжному рівні (Managed Security Middleware, MSM), розташованому між ІТ-інфраструктурою підприємства і поточними бізнес-процесами в компанії (рис. 2).

Мал. 2. Концепція проміжного шару

Цей «прозорий» шар забезпечує невидимий режим функціонування внутрішньої безпеки на робочих місцях користувачів. Це дозволяє їм, з одного боку, вільно працювати на своїх комп'ютерах, а з іншого - кожен користувач, образно кажучи, перебуває під ковпаком і повинен виконувати ряд правил по роботі з конфіденційними документами. Цей невидимий ковпак охороняє цінні дані компанії.

Експерти InfoWatch відзначають, що дана концепція абсолютно не залежить від інструментів безпеки бізнес-додатків - вона з ними просто не перетинається, оскільки це різні шари. Тепер вся внутрішня безпека винесена в окремий шар, а отже, складність системи залежить від швидкості взаємодії між шарами і від управління безпекою в цілому.

Звернемо увагу ще на один момент. При необхідності розширення галузі інформаційної та внутрішньої безпеки безпосередньо на робочих місцях користувачів в компанії виникає серйозна проблема навчання рядових співробітників елементарних питань комп'ютерної безпеки. У зв'язку з цим істотно зростає завантаження сервісних служб (helpdesk). Запропонований підхід проміжного шару відчутно скорочує витрати і при цьому не вимагає серйозної зміни інфраструктури або заміни додатків. Плюс до всього централізоване управління дозволяє уникнути трудомісткої підтримки цього «монстра». За оцінками аналітичного центру InfoWatch, концепція виглядає дуже привабливо в плані повернення інвестицій в безпеку. Поряд із захистом додатків, використання цього додаткового шару допомагає впровадити недорогі за вартістю, але ефективні контрзаходи для поліпшення управління операційними ризиками. У порівнянні з традиційним підходом до безпеки периметра концепція проміжного шару значно знижує сукупну вартість володіння ПЗ і сприяє поверненню інвестицій.

підсумки

Останні незалежні дослідження (наприклад, «2006 Annual Study - Cost of a Data Breach») показують, що в середньому збитки компанії внаслідок всього однієї витоку обчислюються декількома мільйонами доларів. Однак практика використання рішень для захисту від витоків Свідоцтво, що службовці неуважність або через злі наміри щомісяця допускають як мінімум одну витік конфіденційної інформації. Отже, набагато вигідніше запобігати такого роду інциденти, ніж потім нести збитки.

На практиці компанії стикаються з серйозними труднощами при захисті конфіденційної інформації тому, що намагаються використовувати ті кошти, які впроваджуються в існуючі апаратні і програмні системи, технічні та бізнес-процеси. Проте вихід з цієї ситуації є. Досить з самого початку поставити собі за мету побудувати ефективний проміжний шар, який буде стежити за витоками. Відзначимо, що необхідні рішення для цього на ринку вже існують, - тепер справа за бізнесом.

КомпьютерПресс 4'2007