Инсайдеры. Часть третья. Меры защиты.

insiders_3

(см. начало в статье Инсайдеры. Часть первая. Модель нарушителя.)

Прежде всего – мониторинг. Это пятый элемент всей информационной безопасности. Необходимо отслеживать действия ваших сотрудников с информационными ресурсами компании. Где, чем и что мониторить?

Прежде всего ответим на вопрос «где». Можно разделить все «места» на четыре категории: источники, места обработки, места промежуточного хранения, каналы передачи данных. Источники: это базы данных, системы ERP, CRM, внутреннего электронного документооборота и т.п. Места обработки – это, как правило, рабочие станции ваших сотрудников. Места промежуточного хранения – это файл серверы, серверы коллективной работы, например, Sharepoint. Каналы передачи данных – это электронная почта, флэшки, принтеры, веб-ресурсы, позволяющие загрузить на них информацию («облачные хранилища» вроде onedrive, iCloud, яндекс.диск и т.п.), а еще это ручка и бумажка или смартфон, на который можно переснять экран.

Самым верным местом является рабочая станция сотрудника. На ней все сходится. Вот сюда и удобно засунуть мониторинг. Это особенно удобно в небольших компаниях, где количество рабочих станций, которые нужно мониторить не больше двух-трех сотен. Здесь можно использовать специальную программку, которая «скрытым образом» снимает скриншот с экрана, через заданные промежутки времени и отсылает его на специальный сервер, ну, еще сохраняет историю посещения сайтов, запуска программ, переписки в чатах и много чего полезного. Очень хороша в этом отношении Activity Monitor от SoftActivity. И стоит это удовольствие не дороже антивируса. На мой взгляд, это самое эффективное и самое дешевое средство мониторинга. Недостаток в том, что здесь нет средств автоматического анализа собранных данных мониторинга и выявления «подозрительного поведения». Весь анализ должен выполнять человек собственными глазами. Один человек вполне может справиться с анализом данных по двум-трем сотням рабочих станций. Это не сложно. Очень быстро глаз «затачивается» на выявление необычного поведения.

Источники и места промежуточного хранения. Здесь есть два класса средств мониторинга: DAM (Database Access Monitor) для баз данных и UAM (Unstructured data Access Monitor) для всяких файл-серверов и порталов. Цена вопроса выше на порядок. Но и системы эти много чего могут, кроме мониторинга. Например, анализировать конфигурации серверов баз данных на наличие уязвимостей к известным способам атаки, даже проверять стойкость паролей пользователей. Еще могут разыскивать конфиденциальную или защищаемую законом информацию. Это полезно, например, чтобы определять не расползаются ли документы с конфиденциальными данными по файловым хранилищам. Кроме того, они умеют обнаруживать признаки хакерских атак и блокировать их. Автоматически составляют профили «обычного поведения» пользователей и сами уведомляют администратора об отклонении от профиля. Такие системы полезны и оправданы в крупных компаниях, а иногда они необходимы для соответствия требованиям регуляторов. Например, не имея систем класса DAM, очень будет затруднительно получить сертификат соответствия PCI DSS (это специальный стандарт для обработчиков пластиковых карт). Но, чтобы работать с этими штуками нужна довольно хорошая квалификация. Для небольших компаний это скорее роскошь. Надо много думать, действительно ли такие штуки будут полезны в конкретной компании. Утешительно то, что на рынке есть решения вполне приемлемые по цене даже для малого бизнеса. Например, DAM FortiDB-400C тысяч за 15 баксов купить можно, может и дешевле, а он способен накрыть десяток баз данных.

Каналы передачи данных. Здесь нам в помощь системы DLP (Data Loose Prevention, предотвращение утечки данных). Их много разных. Есть российского производства, есть импортные. Следует, однако, помнить, что эти системы не предназначены для ловли «умышленной утечки». Они изначально придуманы для того, чтобы предотвращать случайную утечку, например, ошибочную отправку письма по электронной почте не тому адресату. Но, поскольку, их сразу стали применять «не по назначению», то производители стали добавлять средства противодействия умышленным утечкам. Например, злодей может просто зашифровать письмо перед отправкой стандартными средствами Outlook, и DLP не найдет в нем никаких шаблонных признаков конфиденциальных данных. Но, поскольку сам факт отправки «шифровки» вызывает подозрение, можно сделать правило, которое будет ловить такие письма и стучать администратору системы. А это уже противодействие умышленной утечке. И, конечно, все системы DLP умеют сохранять «теневую копию» всей передаваемой на каналы утечки информации, для последующего человеческого анализа.

Кроме мониторинга следует конечно использовать разграничение доступа к данным. Средства разграничения доступа и ведения журналов доступа к данным (а это вещь строго обязательная) есть в любой коммерческой системе. Однако с внутренними разработками беда. К сожалению, подавляющее большинство программистов — великие мастера Java или C++, но абсолютно безграмотны в деле написания бизнес-приложений. И, если им еще приходит в голову озаботиться проблемой разграничения доступа, аутентификации и авторизации пользователей, то о необходимости вести журнал доступа они забывают почти всегда. Это делает их усилия практически бесполезными. Любые средства защиты, которые нельзя проконтролировать, бесполезны. Поэтому нужно быть очень внимательным, когда для доступа к данным используются программы «внутренней разработки».

И, конечно, не следует забывать о такой важной мере защиты от инсайдеров, как разделение обязанностей (Segregation of Duty). Это очень важно в системах, где речь идет об операциях с деньгами. Суть дела в том, что в важных бизнес-процессах права участников должны быть настроены так, чтобы любая транзакция (цепочка операций, необходимых для выполнения действия от начала и до конца) не могла быть выполнена одним человеком.  Это сильно помогает против умышленных вредоносных действий, поскольку требует сговора по меньшей мере двух человек.

Но самое главное – это мониторинг. Никакие замки не помогут, если нет мониторинга.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s