Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Контроль над съемными носителями

Утечки конфиденциальной информации через съемные носители — одна из наиболее актуальных угроз ИТ-безопасности. Однако, несмотря на то, что существует целый ряд продуктов, представленных на российском рынке и позволяющих, так или иначе, решить проблему утечки через коммуникационные каналы рабочих станций, большая часть компаний все еще пренебрегает их использованием.

Наиболее опасной угрозой ИТ-безопасности сегодня является утечка корпоративных секретов. Об этом однозначно свидетельствует исследование компании InfoWatch, в ходе которого в конце 2005 года были опрошены более 300 российских предприятий. Именно кража конфиденциальной информации волнует отечественные предприятия больше всего. В пользу такой точки зрения высказались 64 % респондентов, в то время как на вредоносные коды и хакерские атаки указали лишь 49 % и 48 % соответственно.

Наиболее опасные угрозы ИТ-безопасности

Источник: InfoWatch, 2006

Для того чтобы похитить конфиденциальную информацию, в распоряжении инсайдеров есть целый ряд каналов передачи данных: почтовые ресурсы фирмы, выход в интернет (веб-почта, чаты, форумы), обычные порты рабочих станций (USB, COM, LPT), беспроводные сети (Wi-Fi, Bluetooth, IrDA). Однако наиболее опасным каналом утечки представители российского бизнеса считают коммуникационные возможности рабочих станций, к которым следует отнести стандартные порты (COM, LPT, USB), различные типы приводов (CD/DVD-RW, ZIP, Floppy), беспроводные сети и любые другие средства снятия данных с персонального компьютера без использования корпоративной почты и канала интернета. Обеспокоенность руководителей именно этими каналами утечки продиктована, прежде всего, возросшей популярностью мобильных накопителей, которые в течение последнего года стали дешевле и более распространены.

Наиболее популярные каналы утечки данных

Источник: InfoWatch, 2006

Следует отметить, что чувствительные сведения часто оказываются за пределами сетевого периметра не вследствие преднамеренных действий нечистых на руку служащих, а в просто результате безалаберности персонала. Так, некоторые сотрудники предпочитают брать работу на дом или переписывают классифицированные документы на портативный накопитель, чтобы изучить их на своем ноутбуке в командировке. Другими словами, служащими могут двигать благие побуждения, которые на практике могут привести к компрометации торговых или промышленных секретов работодателя.

Ниже рассмотрены основные решения, представленные сегодня на российском рынке и позволяющие организовать контроль над съемными носителями в корпоративной среде: InfoWatch Net, SecurIT Zlock и SmartLine DeviceLock.

InfoWatch Net Monitor

Продукт Net Monitor (разработчик InfoWatch) доступен заказчикам в составе InfoWatch Enterprise Solution — комплексного решения для выявления и предотвращения утечек в корпоративной среде, а также в виде автономного продукта. Само комплексное решение позволяет предотвратить утечку по почтовым и веб каналам, обеспечить всесторонний контроль над оборотом конфиденциальных данных на уровне рабочих станций, а также организовать архив абсолютно всех данных, пересылаемых по протоколам SMTP и HTTP, с возможностью ретроспективного анализа.

Интегрированная версия InfoWatch Net Monitor с функциональностью Device Monitor позволяет решить следующие проблемы, с которыми сегодня сталкиваются организации. Во-первых, протоколируются операции, производимые с конфиденциальными документами, хранящимися в электронном виде, что позволяет, в случае возникновения инцидента, установить источник утечки. Во-вторых, контролируется печать конфиденциальных документов. Как показало исследование «Внутренние ИТ-угрозы в России 2005», одна треть представителей бизнеса обеспокоена использованием печатающих устройств в целях кражи информации. В-третьих, контролируется копирование конфиденциальных документов или их частей на сменные носителей или внешние устройства, подключаемые через разнообразные порты (USB, COM, IrDA и т.д.) и беспроводные сети (Bluetooth, Wi-Fi). В-четвертых, реализован контроль над конфиденциальными документами, выносимыми за пределы компании с помощью ноутбуков.

Схема работы InfoWatch Net Monitor.

Ключевое место в распределенной архитектуре решения занимают программные мониторы, осуществляющие активный контроль над обращением конфиденциальной информации на уровне рабочих станций. InfoWatch Net Monitor является «наборным» решением, и в его состав, по желанию заказчика, могут входить один или несколько мониторов.

Adobe Monitor позволяет контролировать работу пользователей в приложении Adobe Acrobat и отслеживает выполнение следующих операций: открытие и закрытее документа, сохранение документа с указанным именем и под другим именем (Save As), изменение документа и отправку его в очередь на печать.

File System Monitor позволяет контролировать работу пользователей с файлами и отслеживает выполнение следующих операций: создание, удаление, изменение, чтение и переименование файла. При определении правил работы данного монитора указывается не только контролируемая информация (имя или маска файла), но и процесс, выполняющий действие над контролируемой информацией.

Office Monitor позволяет перехватывать действия, выполняемые пользователем в среде Microsoft Office, контролировать работу с документами Word, Excel и PowerPoint и отслеживать выполнение следующих операций: открытие и закрытие документа, открытие документа путем вставки в текущий (Insert), отправка документа в очередь на печать, сохранение документа с указанным именем и под другим именем (Save As), копирование информации в буфер обмена, просмотр и изменение информации в свойствах документа, отправка документа (Send to…).

Print Monitor контролирует работу пользователей с принтерами и отслеживает выполнение операции «Добавление в очередь», то есть помещение документа в очередь на печать процессом с именем, удовлетворяющим заданному условию.

Device Monitor отвечает за перехват обращений пользователей к сменным носителям и внешним устройствам: CD/DVD-накопителям, включая пишущие устройства; дискеты и съемные накопители информации, включая внешние жесткие диски, ZIP-накопители и т.д.; USB-, COM-, LPT- и IrDA-порты; Bluetooth и Wi-Fi, а также FireWire.

Продукт достаточно расширяем, чтобы использоваться как в малых или средних вычислительных сетях, так и в организациях, использующих десятки тысяч рабочих станций. Развертывание, администрирование и управление в реальном масштабе времени осуществляется через специальную центральную консоль.

Основной особенностью InfoWatch Net Monitor является возможность блокировать утечку именно конфиденциальной информации, а не всех сведений подряд. Хотя администратор, действительно, может свести функционал решения к стандартным сценариям «разрешить только чтение» и «использовать белые/черные списки устройств», на практике намного удобнее определить политики, запрещающие съем только чувствительных документов. В этом случае будет заблокирована только та операция, в результате которой под угрозу могут попасть классифицированные данные. Если Net Monitor зафиксирует запрещенную операцию, то он заблокирует ее в режиме реального времени, оповестит самого пользователя о недопустимости такого действия, сообщит офицеру ИТ-безопасности об инциденте и сохранит весь контекст события в специальный журнал.

Сам же интеллектуальный алгоритм распознавания конфиденциальной информации включает использование уникальной базы контентной фильтрации, специфичной для каждого заказчика. В этом контексте существенно возрастает роль сопроводительных и консалтинговых услуг, оказываемых поставщиком. Среди них стоит выделить анализ ИТ-инфраструктуры и профиля деятельности клиента, помощь в формализации целей и средств ИТ-безопасности, создание политики безопасности и соответствующей нормативной базы, а также подстройку решения под специфические требования заказчика.

Архитектура InfoWatch Net Monitor предусматривает работу программных мониторов не только на стационарных рабочих станциях, но и на ноутбуках. В последнем случае клиентская часть продукта получает соответствующие политики в то время, когда мобильный компьютер находится в пределах корпоративной сети. Когда работа совершается удаленно (за периметром), мониторы по-прежнему анализируют активность пользователя и верифицируют совершаемые операции согласно требованиям политики. Дополнительно ведется протокол всех действий пользователя, который автоматически анализируется сразу после того, как ноутбук снова оказался в корпоративной сети. Если в период автономной работы были совершенны запрещенные операции, соответствующее сообщение тут же отсылается офицеру безопасности. В результате удается реализовать выполнение политики ИТ-безопасности и защитить конфиденциальную информацию даже в условиях удаленной работы пользователей на ноутбуках.

SecurIT Zlock

Продукт Zlock поставляется российской компанией SecurITи позволяет решить проблему несанкционированного использования в корпоративной сети периферийных устройств. Основное назначение системы Zlock — разграничение прав доступа пользователей к портативным устройствам, например, к USB-памяти и внешним накопителям. Для каждого типа периферии программа предполагает возможность настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо вообще запретить доступ.

Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-памяти, но при этом разрешить использование USB-ключей для аутентификации пользователей.

Таким образом, продукт позволяет контролировать внешние устройства, подключаемые к USB-порту, а также жесткие диски, дисководы, приводы компакт-дисков, порты FireWire, COM, LPT, PCMCIA, контроллеры IrDA, Bluetooth, Wi-Fi. Вдобавок, можно обеспечить контроль над любым физическим или логическим устройством, имеющим символическое имя.

Среди назначаемых прав доступа предусмотрены следующие возможности: запрет доступа для всех пользователей; разрешение полного доступа для всех пользователей; доступ только на чтение для всех пользователей; индивидуальное назначение прав доступа для конкретных пользователей или групп аналогично с доступом к папке или файлу в Windows. Существует также специальный вид политики — политика по умолчанию, в которой задается, что делать с устройствами, не описанными в других политиках.

Администратор может создавать любое количество политик для управления доступом к устройствам для различных пользователей. Каждой политике назначается приоритет, который используется для разрешения конфликта, если одно и тоже устройство соответствует больше чем одной политике. Все политики могут быть сохранены в файл и восстановлены из файла.

Управление системой Zlock осуществляется централизованно, с использованием единой системы администрирования Zconsole. С ее помощью можно устанавливать и удалять Zlock на выбранных компьютерах сети прямо с рабочего места администратора, а также централизованно управлять правами доступа к устройствам.

Централизованная консоль управления продуктом Zlock

Наконец, стоит отметить такую полезную функцию, как ведение журнала. В частности, информация обо всех попытках подключения устройств, в том числе неудачных, записывается в системный журнал, в качестве которого может использоваться, например, текстовый файл.

Следует отметить, что программа Zlock не умеет отличать чувствительные сведения от публичных документов, поэтому в некоторых ситуациях будет определенно затруднять работу служащих. Например, сотрудники отдела маркетинга просто не смогут переписать свою презентацию на USB-память, а если разрешить им доступ к USB-портам, то вместе с рекламными документами на внешний носитель обязательно попадет конфиденциальная база данных клиентов. Кроме того, неумение Zlock отличить секретный документ от обычного файла приводит к невозможности использования продукта на ноутбуках. Как известно, одно из основных преимуществ мобильных компьютеров состоит именно в богатых коммуникационных возможностях, например, по использованию беспроводных сетей для доступа к интернету вне офиса. Очевидно, что если Zlock оставит открытым хоть один сетевой порт ноутбука, то инсайдер сможет «слить» абсолютно все конфиденциальные файлы. Однако если запретить отсылать данные на эти порты, то вся функциональность Wi-Fi или Bluetooth окажется заблокированной. В результате мобильный компьютер станет просто бесполезен.

В заключение заметим, что Zlock является точечным решением и все остальные каналы утечки (принтеры, веб, почта и т.д.) заказчику придется контролировать своими силами.

SmartLine DeviceLock

Продукт DeviceLock поставляется российской компанией SmartLine. Купить его или скачать пробную версию можно в интернете. Лицензия на одну рабочую станцию стоит 1,3 тыс. рублей, на 200 компьютеров — 94 тыс. рублей, на 2 тыс. ПК — 280 тыс. рублей.

Компания-поставщик указывает, что встроенные механизмы распределения прав доступа и задания политик ИТ-безопасности в операционных системах Windows NT/2000/XP/2003 не позволяют контролировать доступ к USB-портам и внешним устройствам. Именно этот недостаток исправляет механизм аутентификации USB-устройств, встроенный в DeviceLock

Функциональность SmartLine DeviceLock

Кроме доступа к USB-портам, продукт позволяет контролировать дисководы, приводы компакт-дисков, порты IrDA, FireWire, LPT, COM и беспроводные сети Wi-Fi и Bluetooth. Кроме того, программа DeviceLock позволяет назначать права доступа для пользователей и групп пользователей с помощью системы удаленного управления, позволяющей обеспечивать централизованный доступ ко всем агентам, которые развернуты на рабочих станциях.

Решение обладает рядом отличительных особенностей, среди которых: возможность контролировать доступ в зависимости от времени и дня недели; режим «только чтение» для работы со сменными носителями, жесткими дисками и CD; возможность полностью заблокировать доступ к USB-порту за исключением заранее авторизованных устройств; средства защиты дисков от случайного или преднамеренного форматирования; управление доступом через групповые политики в домене Active Directory и протоколирование обращения пользователей к устройствам. Стоит отдельно отметить, что различные версии DeviceLock умеют работать на рабочих станциях под управлением, как Windows NT/2000/XP/2003, так и Windows 9x/ME.

Таким образом, продукт действительно позволяет предотвратить утечку конфиденциальной информации через коммуникационные каналы рабочей станции. Для этого подходит, например, режим «только чтение». Однако при этом пользователь будет не в состоянии переписать на внешний носитель не только чувствительные данные, но и любые другие сведения (несекретные файлы: презентации, маркетинговые и рекламные документы и т.д.). Другими словами, обесценивается часть положительного функционала персонального компьютера.

Еще одним недостатком DeviceLock является невозможность эффективного контроля над ноутбуками. Поскольку продукт DeviceLock не умеет отличать конфиденциальные данные от публичных материалов, его использование на ноутбуках может привести к изоляции мобильной рабочей станции, которой для связи с ИТ-инфраструктурой останется лишь Ethernet-соединение.

Решение не позволяет взять под контроль другие каналы утечки, кроме портов рабочей станции. Другими словами, пользователь компьютера, защищенного DeviceLock, может просто получить доступ к веб-почте и через интернет «слить» все корпоративные секреты.

Основные параметры решений

При выборе конкретного продукта следует, прежде всего, исходить из целей организации и специфичных параметров заданной вычислительной сети. Так, если в компании не используются ноутбуки, то такой параметр, как эффективная защита мобильных компьютеров, можно проигнорировать. То же самое относится и к созданию комплексной системы предотвращения утечек конфиденциальной информации. В ней заинтересованы преимущественно крупные и средние и организации, в то время как малый бизнес часто может обеспечить контроль над инсайдерами организационными мерами. Особое внимание необходимо при анализе сценариев использования чувствительных данных и рабочих станций служащими. Если персоналу требуется время от времени переписывать на USB-память несекретные файлы, то решения для полного блокирования USB-портов могут принести больше вреда, чем пользы. Таким образом, сегодня на российском рынке присутствуют самые разные поставщики и решения, позволяющие обеспечить контроль над съемными носителями в корпоративной среде.

Денис Зенкин