Несанкционированное копирование секретной информации с жесткого диска
На сегодняшний день автоматизированные системы (АС) являются основой обеспечения практически любых бизнес-процессов, как в коммерческих, так и в государственных организациях. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Так, по данным Министерства Внутренних Дел РФ количество компьютерных преступлений, связанных с несанкционированным доступом к конфиденциальной информации увеличилось с шестиста в 2000-м году до семи тысяч в 2003-м [1].
При этом, как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри АС конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемлённые в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Всё это заставляет более пристально рассмотреть как возможные каналы утечки конфиденциальной информации, так и дать возможность читателю ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных.
Каналы утечки конфиденциальной информации
Модель нарушителя, которая используется в этой статье, предполагает, что в качестве потенциальных злоумышленников могут выступать сотрудники компании, которые для выполнения своих функциональных обязанностей имеют легальный доступ к конфиденциальной информации. Целью такого рода нарушителей является передача информации за пределы АС с целью её последующего несанкционированного использования – продажи, опубликования её в открытом доступе и т.д. В этом случае можно выделить следующие возможные каналы утечки конфиденциальной информации (рис. 1):
несанкционированное копирование конфиденциальной информации на внешние носители и вынос её за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;
вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;
хищение носителей, содержащих конфиденциальную информацию – жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.
Рис. 1. Каналы утечки конфиденциальной информации
Считается, что в основе любой системы защиты от атак, связанных с утечкой конфиденциальной информации, должны лежать организационные меры обеспечения безопасности. В рамках этих мер на предприятии должны быть разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, возможные угрозы, которые с ними связаны, а также перечень тех мероприятий, которые должны быть реализованы для противодействия указанным угрозам. Примерами таких организационных документов могут являться концепция и политика информационной безопасности, должностные инструкции сотрудников компании и др. В дополнении к организационным средствам защиты должны применяться и технические решения, предназначенные для блокирования перечисленных выше каналов утечки конфиденциальной информации. Ниже приводится описание различных способов защиты информации с учётом их преимуществ и недостатков.
Изолированная автоматизированная система для работы с конфиденциальной информацией
Сущность одного из первых способов, который начал применяться для защиты от утечки конфиденциальной информации, состоит в создании выделенной автономной АС, состоящей из средств вычислительной техники, необходимых для работы с конфиденциальной информацией (рис. 2). При этом такая АС полностью изолируется от любых внешних систем, что даёт возможность исключить возможную утечку информации по сети.
Рис. 2. Выделенная изолированная АС, предназначенная
для обработки конфиденциальной информации
АС этого типа оснащаются системами контроля доступа, а также системами видеонаблюдения. Доступ в помещения, в которых находится АС, осуществляется по специальным пропускам, при этом обычно производится личный досмотр сотрудников с целью контроля электронных и бумажных носителей информации. Для блокирования возможности утечки информации путём её копирования на внешние носители, из компьютеров АС, как правило, удаляются все устройства, при помощи которых можно записать информацию на такие носители. Кроме того, опечатываются все системные блоки и порты компьютеров для исключения возможности несанкционированного подключения новых устройств. При необходимости передать информацию за пределы выделенного помещения данная процедура проводится одним или несколькими сотрудниками по строго оговоренному регламенту при помощи соответствующего оборудования. В этом случае для работы с открытой информацией, а также для доступа к Интернет-ресурсам используется отдельная система, которая физически никак не связана с АС, обрабатывающей конфиденциальную информацию.
Как правило, описанный подход применяется в государственных структурах для защиты секретной информации. Он позволяет обеспечить защиту от всех вышеперечисленных каналов утечки конфиденциальной информации. Однако на практике во многих коммерческих организациях большинство сотрудников должно одновременно иметь доступ к конфиденциальной и открытой информации, а также работать с Интернет-ресурсами. В такой ситуации создание изолированной среды обработки конфиденциальной информации потребовало бы создание двух эквивалентных АС, одна из которых предназначалась только для обработки конфиденциальной информации, а другая – для работы с открытыми данными и ресурсами Интернет. Такой подход, как правило, невозможно реализовать из-за его очевидной избыточности и высокой стоимости.
Системы активного мониторинга рабочих станций пользователей
Системы активного мониторинга [4] представляют собой специализированные программные комплексы, предназначенные для выявления несанкционированных действий пользователей, связанных, в частности, с попыткой передачи конфиденциальной информации за пределы контролируемой территории предприятия. Системы мониторинга состоят из следующих компонентов (рис. 3):
модули-датчики, устанавливаемые на рабочие станции пользователей и обеспечивающие сбор информации о событиях, регистрируемых на этих станциях;
модуль анализа данных, собранных датчиками, с целью выявления несанкционированных действий пользователей, связанных с утечкой конфиденциальной информации;
Датчики систем мониторинга устанавливаются на те рабочие станции, на которых пользователи работают с конфиденциальной информацией. На основе настроек, заданных администратором безопасности, датчики системы позволяют контролировать доступ приложений пользователей к конфиденциальной информации, а также накладывать ограничения на те действия, которые пользователь может выполнить с этой информацией. Так, например, системы активного мониторинга позволяют запретить запись конфиденциальной информации на внешние носители, заблокировать передачу информации на внешние сетевые адреса, а также вывод данных на печать.
Рис. 3. Типовая архитектура систем активного мониторинга рабочих станций пользователей
Преимуществом использования систем мониторинга является возможность создания виртуальной изолированной среды обработки конфиденциальной информации без физического выделения отдельной АС для работы с данными ограниченного доступа. Кроме того, системы этого типа позволяют программно ограничить вывод информации на внешние носители, что избавляет от необходимости физического удаления из компьютеров устройств записи информации, а также опечатывания портов и системных блоков. Однако, применение систем активного мониторинга влечёт за собой установку дополнительного ПО на каждую рабочую станцию, что потенциально может привести к увеличению сложности администрирования АС, а также к возможным конфликтам в работе программ системы.
Выделенный сегмент терминального доступа к конфиденциальной информации
Ещё один способ защиты от утечки конфиденциальной информации заключается в организации доступа к конфиденциальной информации АС через промежуточные терминальные серверы. При такой схеме доступа пользователь сначала подключается к терминальному серверу, на котором установлены все приложения, необходимые для работы с конфиденциальной информацией. После этого пользователь в терминальной сессии запускает эти приложения и начинает работать с ними так, как будто они установлены на его рабочей станции (рис. 4).
Рис. 4. Схема установки терминального сервера доступа к конфиденциальным данным
Практическое использование технического решения на основе терминального сервера позволяет обеспечить защиту от несанкционированного копирования конфиденциальной информации на внешние носители за счёт того, что вся информация хранится не на рабочих станциях, а на терминальном сервере. Аналогичным образом обеспечивается защита и от несанкционированного вывода документов на печать. Распечатать документ пользователь может только при помощи принтера, установленного в сегменте терминального доступа. При этом все документы, выводимые на этот принтер, могут регистрироваться в установленном порядке.
Использование терминального сервера позволяет также обеспечить защиту от несанкционированной передачи конфиденциальной информации по сети на внешние серверы вне пределов контролируемой территории предприятия. Достигается это путём фильтрации всех пакетов данных, направленных вовне сегмента терминального доступа, за исключением тех пакетов, которые обеспечивают передачу графического изображения рабочей области экрана на станции пользователей. Такая фильтрация может быть реализована при помощи межсетевого экрана, установленного в точке сопряжения сегмента терминального доступа с остальной частью АС. В этом случае все попытки установить соединения с терминального сервера на узлы сети Интернет будут заблокированы. При этом сама рабочая станция может иметь беспрепятственный доступ к Интернет-ресурсам. Для обмена информацией между пользователями, работающими в терминальных сессиях, может использоваться выделенный файловый сервер, расположенный в терминальном сегменте доступа.
Средства контентного анализа исходящих пакетов данных
Рис. 5. Схема установки средств контентного анализа в АС
Средства криптографической защиты конфиденциальной информации
Для защиты от утечки информации могут использоваться и криптографические средства, обеспечивающие шифрование конфиденциальных данных, хранящихся на жёстких дисках или других носителях. При этом ключ, необходимый для декодирования зашифрованной информации, должен храниться отдельно от данных. Как правило, он располагается на внешнем отчуждаемом носителе, таком как дискета, ключ Touch Memory или USB-носитель. В случае, если нарушителю и удастся украсть носитель с конфиденциальной информацией, он не сможет её расшифровать, не имея соответствующего ключа.
Рассмотренный вариант криптографической защиты не позволяет заблокировать другие каналы утечки конфиденциальной информации, особенно если они совершаются пользователем после того, как он получил доступ к данным. С учётом этого недостатка компанией Microsoft была разработана технология управления правами доступа RMS (Windows Rights Management Services) [2] на основе операционной системы Windows Server 2003. Согласно этой технологии вся конфиденциальная информация хранится и передаётся в зашифрованном виде, а её дешифрование возможно только на тех компьютерах и теми пользователями, которые имеют на это права. Вместе с конфиденциальными данными также передаётся специальный XML-файл, содержащий категории пользователей, которым разрешён доступ к информации, а также список тех действий, которые эти пользователи могут выполнять. Так, например, при помощи такого XML-файла, можно запретить пользователю копировать конфиденциальную информацию на внешние носители или выводить её на печать. В этом случае, даже если пользователь скопирует информацию на внешний носитель, она останется в зашифрованном виде и он не сможет получить к ней доступ на другом компьютере. Кроме того, собственник информации может определить временной период, в течение которого пользователь сможет иметь доступ к информации. По истечении этого периода доступ пользователя автоматически блокируется. Управление криптографическими ключами, при помощи которых возможна расшифровка конфиденциальных данных, осуществляется RMS-серверами, установленными в АС.
Необходимо отметить, что для использования технологии RMS на рабочих станциях АС должно быть установлено клиентское ПО с интегрированной поддержкой этой технологии. Так, например, компания Microsoft встроила функции RMS в собственные клиентские программные продукты – Microsoft Office 2003 и Internet Explorer. Технология RMS является открытой и может быть интегрирована в любые программные продукты на основе набора инструментальных средств разработки RMS SDK.
Ниже приводится обобщённый алгоритм использования технология RMS для формирования конфиденциальной информации пользователем «А» и последующего получения к ней доступа пользователем «Б» (рис. 6):
На первом этапе пользователь «А» загружает с RMS-сервера открытый ключ, который в последствии будет использоваться для шифрования конфиденциальной информации.
Далее пользователь «А» формирует документ с конфиденциальной информацией при помощи одного из приложений, поддерживающих функции RMS (например, при помощи Microsoft Word 2003). После этого пользователь составляет список субъектов, имеющих права доступа к документу, а также операции, которые они могут выполнять. Эта служебная информация записывается приложением в XML-файл, составленный на основе расширенного языка разметки прав доступа – eXtensible rights Markup Language (XrML).
На третьем этапе приложение пользователя «А» зашифровывает документ с конфиденциальной информацией при помощи случайным образом сгенерированного симметричного сеансового ключа, который в свою очередь зашифровывается на основе открытого ключа RMS-сервера. С учётом свойств асимметричной криптографии расшифровать этот документ сможет только RMS-сервер, поскольку только он располагает соответствующим секретным ключом. Зашифрованный сеансовый ключ также добавляется к XML-файлу, связанному с документом.
Пользователь отправляет получателю «Б» зашифрованный документ вместе с XML-файлом, содержащим служебную информацию.
Поскольку адресат «Б» не обладает ключом, необходимым для его расшифровки, приложение отправляет запрос к RMS-серверу, в который включается XML-файл и сертификат открытого ключа пользователя «Б».
Получив запрос, RMS-сервер проверяет права доступа пользователя «Б» к документу в соответствии с информацией, содержащейся в XML-файле. Если пользователю доступ разрешён, то тогда RMS-сервер извлекает из XML-файла зашифрованный сеансовый ключ, дешифрует его на основе своего секретного ключа и заново зашифровывает ключ на основе открытого ключа пользователя «Б». Использование открытого ключа пользователя позволяет гарантировать, что только он сможет расшифровать ключ.
На восьмом этапе RMS-сервер отправляет пользователю «Б» новый XML-файл, содержащий зашифрованный сеансовый ключ, полученный на предыдущем шаге.
На последнем этапе приложение пользователя «Б» расшифровывает сеансовый ключ на основе своего закрытого ключа и использует его для открытия документа с конфиденциальной информацией. При этом приложение ограничивает возможные действия пользователя только теми операциями, которые перечислены в XML-файле, сформированном пользователем «А».
Рис. 6. Схема взаимодействия узлов на основе технологии RMS
В настоящее время технология RMS является одним из наиболее перспективных способов защиты конфиденциальной информации. В качестве недостатка этой технологии необходимо отметить тот факт, что она может быть реализована лишь в рамках платформы Microsoft Windows и только на основе тех приложений, в которых используются функции RMS SDK.
Заключение
В настоящее время одной из наиболее актуальных проблем в области информационной безопасности является проблема защиты от утечки конфиденциальной информации. Технические варианты решения данной проблемы, рассмотренные в статье, могут быть сгруппированы в два типа. Первый тип предполагает изменение топологии защищаемой АС путём создания изолированной системы обработки конфиденциальной информации, либо выделения в составе АС сегмента терминального доступа к конфиденциальным данным. Второй вариант технических решений заключается в применении различных средств защиты АС, включая средства активного мониторинга, контентного анализа, а также средства криптографической защиты информации. Результаты анализа этих двух типов технических решений показали, что каждое из них характеризуется своими недостатками и преимуществами. Выбор конкретного средства защиты зависит от множества факторов, включая особенности топологии защищаемой АС, тип прикладного и общесистемного ПО, установленного в системе, количество пользователей, работающих с конфиденциальной информацией и многих других. При этом необходимо подчеркнуть, что наибольшая эффективность может быть получена при комплексном подходе, предусматривающим применение как организационных, так и технических мер защиты информационных ресурсов от утечки.
Список литературы
IRM-системы
Кроме систем разграничения доступа и DLP-систем существует еще один способ защиты, о котором специалисты почему-то часто забывают. Речь идет о системах класса IRM (Information Rights Management), которые никак не ограничивают использование съемных носителей, однако существенно снижают вероятность утечек.
Работа типичной IRM-системы строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый с помощью IRM файл помещается в шифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Суть IRM состоит в том, что даже если такой контейнер попадет за пределы сети, то без прав доступа к документу он будет совершенно бесполезен.
С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема практически эквивалентна принудительному шифрованию экспортируемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам. Решения класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить компанию от случайных утечек, но редко — от утечек спланированных. Добавим, что эффективность IRM-систем существенно зависит от количества «помеченных» файлов и интенсивности их модификаций пользователем. На практике данное требование эквивалентно классификации всех корпоративных данных, что является достаточно трудоемкой задачей.
Чего не может маркировка?
Маркировка – не панацея в борьбе с утечками данных и защите копий документов. Внедряя её на своём предприятии, важно понимать три ключевых ограничения:
Маркировка не запрещает копирование и фотографирование экземпляров документа. Но если сканы или фото документов «всплывут», она поможет в поиске нарушителя. По сути, защита копий носит превентивный характер. Сотрудники знают, что по фотографиям и копиям документов их гарантированно смогут определить и наказать, и либо ищут другие (более трудоемкие) пути «слива», либо вовсе отказываются от него.
Маркировка определяет, чья копия утекла, а не того, кто её слил. Пример из жизни – документ утёк. Маркировка показала, что утек экземпляр Ивана Неудачникова (имя и фамилия изменены). Служба безопасности начинает расследование и выясняется, что Иван оставил документ на столе в своём кабинете, где его сфотографировал злоумышленник. Ивану – выговор, службе безопасности – квест по поиску виновных среди людей, посещавших кабинет Неудачникова. Такой квест нетривиален, но более прост, чем поиск среди людей, посещавших кабинеты всех получателей документа.
Принцип защиты документов
С помощью SafeCopy для каждого получателя изготавливается уникальная копия документа, в которую с помощью аффинных преобразований вносится скрытая маркировка. При этом могут немного изменяться интервалы между строками и символами текста, наклон символов и т.д. Главный плюс такой маркировки – её нельзя убрать без изменения содержимого документа. Водяные знаки смываются обычным Paint, с аффинными преобразованиями такой фокус не пройдёт.
Копии выдаются получателям в печатном виде или в электронном pdf формате. В случае утечки копии можно гарантированно определить его получателя по уникальной совокупности искажений, вносимых в каждую копию. Поскольку маркируется весь текст, для этого достаточно буквально нескольких абзацев. Остальная страница может отсутствовать / быть помята / закрыта ладонью / залита кофе (нужное подчеркнуть). Чего мы только не видели.
Заключение
До идеального мира, в котором на мобильные носители копируются только персональные данные или публичные презентации, к сожалению, пока еще далеко. Любой способ защиты от угроз съемных носителей представляет собой компромисс между удобством пользователей, требованиями службы безопасности и стоимостью решения. Широко разрекламированные DLP-системы контентной фильтрации пока не могут полностью решить проблему локальных утечек данных с компьютеров сотрудников организаций и потому де-факто остаются нишевыми решениями.
На современной стадии развития средств защиты от инсайдерских утечек более эффективно использование простых, но при этом гораздо более дешевых и надежных средств разграничения доступа, обладающих всеобъемлющими возможностями контекстного контроля в сочетании с некоторым базовым функционалом фильтрации контента. Они решают большую часть проблем, связанных с мобильными носителями, и полностью удовлетворяют потребностям подавляющего большинства организаций.
Наиболее эффективным и популярным продуктом такого класса является программный комплекс DeviceLock производства российской копании «Смарт Лайн Инк». DeviceLock — это система централизованного контроля доступа пользователей к периферийным устройствам и портам ввода-вывода персональных компьютеров и серверов под управлением ОС Microsoft Windows. DeviceLock позволяет контролировать все типы локальных каналов утечки на компьютерах пользователей в корпоративной ИС и полный спектр портов и внешних устройств.
В новой версии DeviceLock 6.4 принципиально повышена гранулированность контроля привилегий пользователей за счет поддержки функции детектирования и фильтрации типов файлов для любых операций файловой системы. Обеспечиваются перехват, экстракция, детектирование типа и блокирование файловых объектов во всех локальных каналах утечки данных защищаемого компьютера, при этом администраторы безопасности могут дополнительно задавать гибкие правила событийного протоколирования операций и теневого копирования данных с точностью до типов файлов.
Вторая важнейшая функция DeviceLock 6.4 реализована на базе интеграции с программным продуктом ViPNet SafeDisk 4 производства компании «Инфотекс», предназначенным для шифрования данных, которые хранятся на внутренних дисках и внешних носителях ПК. Комплекс DeviceLock и SafeDisk — это первое на российском рынке интегрированное решение по контролю шифрования съемных устройств памяти любых типов, которое использует российские криптоалгоритмы и позволяет администраторам ИБ предотвратить несанкционированный экспорт данных на внешние носители в нешифрованном виде, не запрещая при этом сотрудникам сохранять их зашифрованными для использования в служебных целях.
Существенное улучшение управляемости DeviceLock 6.4 достигнуто за счет поддержки полнофункциональных политик доступа, протоколирования и теневого копирования в режиме офлайн, когда защищаемый компьютер находится вне корпоративной сети или серверы управления DeviceLock недоступны. Этот режим реализован дополнительно к управлению агентами DeviceLock в режиме онлайн, причем переключение между режимами осуществляется автоматически.
В планах компании «Смарт Лайн Инк» — дальнейшее развитие решений и услуг по информационной защите endpoint-компьютеров на базе DeviceLock.
Смешивать, но не взбалтывать
Если не интегрировать систему маркировки с другими корпоративными системами, то сфера её применения, скорее всего, будет ограничена только бумажным документооборотом, которого с годами становится всё меньше. Да и в этом случае использование маркировки вряд ли можно будет назвать удобным – придётся вручную загружать каждый документ и изготавливать для него копии.
Зато если сделать систему маркировки частью общего ИТ и ИБ ландшафта, становится заметным синергетический эффект. Наиболее полезны следующие интеграции:
Интеграция с СЭД. В СЭД выделяется подмножество документов, которые требуют маркировки. Каждый раз, когда новый пользователь запрашивает такой документ из СЭД, он получает его маркированную копию.
Интеграция с системами управления печатью. Системы управления печатью работают как прокси между ПК пользователей и принтерами в организации. Они могут определить, что отправленный на печать документ требует маркировки, например, по наличию метки конфиденциальности в атрибутах файла или по наличию файла в корпоративном хранилище конфиденциальных документов. В этом случае пользователь, отправивший документ на печать, получит из лотка принтера его маркированную копию. В более простом сценарии можно сделать отдельный виртуальный принтер, отправляя документы на который, из лотка будут выходить маркированные копии.
Интеграция с электронной почтой. Во многих организациях нельзя использовать электронную почту для рассылки конфиденциальных документов, но эти запреты часто нарушаются. Где-то из-за безалаберности, где-то из-за сжатых сроков или прямого указания руководства. Чтобы ИБ не была палкой в колесе прогресса и приносила компании деньги, мы предлагаем реализовать следующий сценарий, позволяющий безопасно рассылать по внутренней электронной почте и экономить на отправке документов с нарочным.
При отправке документа пользователь добавляет признак необходимости маркировки. В нашем случае – служебный адрес электронной почты. Почтовый сервер, получая письмо с таким признаком, изготавливает для каждого получателя копии всех вложений и рассылает их вместо оригинальных вложений. Для этого на почтовый сервер устанавливается компонент системы маркировки. В случае с Microsoft Exchange он исполняет роль т.н. транспортного агента. Работе почтового сервера этот компонент не мешает.
Защита от несанкционированного копирования — система мер, направленных на противодействие несанкционированному копированию информации , как правило, представленной в электронном виде (данных или собственнического программного обеспечения ). При защите от копирования используются различные меры: организационные, юридические, программные и программно-аппаратные.
Преимуществом Windows Genuine Advantage: было зафиксировано множество ложных срабатываний как в одну, так и в другую сторону). Поэтому технические средства защиты авторских прав зачастую запрещают любое копирование, создавая неудобства пользователям, за что подвергаются критике со стороны правозащитников.
Средства разграничения доступа
На следующей ступени эволюции средств защиты находятся системы контроля доступа пользователей к портам компьютера, принтерам, а также к локальным подключениям смартфонов и КПК. В отличие от физических мер, полностью блокирующих доступ, они позволяют более тонко разграничивать доступ, причем делать это централизованно: с помощью интегрированной консоли управления офицер безопасности определяет, каким пользователям предоставить доступ к тем или иным локальным портам, на каких компьютерах и на какое время. Кроме того, такие системы могут поддерживать workflow-механизмы, предоставляющие пользователю доступ к той или иной операции по его запросу.
Если система контроля запрещает пользователю доступ к тому или иному порту, интерфейсу или принтеру в конкретный момент времени — угроза утечки информации отсутствует. В противном случае утечка возможна, однако ее последствия можно минимизировать с помощью механизмов теневого копирования. Данный функционал (кстати, он реализован далеко не во всех представленных на рынке продуктах) позволяет сохранить копию всей передаваемой информации в централизованной базе данных. Таким образом, офицер безопасности всегда может проверить, какая информация покинула корпоративную информационную систему и по каждому из возможных локальных каналов передачи данных.
В ряде современных систем контроля доступа к локальным портам и подключениям реализована полезная возможность определения политик, зависящих от типа передаваемых данных. Данная функция предполагает, например, что можно разрешить передавать на съемные носители файлы Microsoft Word, но запретить данную операцию для файлов PDF. То есть система не только отслеживает операцию передачи, но и фильтрует типы передаваемых по локальным каналам данных.
Устаревшие методы защиты программного обеспечения [ ]
В прошлом применялись и другие методы защиты ПО от копирования.
- Некоторые старые программы для кластер (не менее 512 байт), и в оставшиеся 511 байт можно записать некоторую информацию. Сейчас эта практика не используется, так как она чревата потерями данных.
- Привязка к руководству пользователя. Например, программа выводит: «Введите 5-е слово на 12-й сверху строке 26-й страницы». Более изощрённый способ защиты — в руководстве находится важная информация, без которой невозможно пройти игру, этим известна серия Space Quest . Распространение ZX Spectrum , надо было, посмотрев на картинку через систему Внешний модуль против [ ]
Некоторые защиты пристыковывают к программе защитный модуль (как это делают вирусы). Преимущество этой защиты в том, что её можно «надеть» на любую программу. Недостаток в том, что защита, как правило, легко отключается.
Более прочные защиты имеют свой API, с помощью которого можно сделать весьма сложную логику защиты. Весь защитный код оказывается «размазанным» по программе, и взлом оказывается трудным или невозможным.
Содержание
Организационные меры защиты [ ]
Основная идея организационных мер защиты заключается в том, что полноценное использование программного продукта невозможно без соответствующей поддержки со стороны производителя: подробной пользовательской документации, «горячей линии», системы обучения пользователей, обновления версий со скидкой и т. п.
Организационные меры защиты применяются, как правило, крупными разработчиками к достаточно большим и сложным программным продуктам.
Варианты решения
Прежде чем думать о вариантах защиты информации на съемных носителях, организация должна решить, стоит ли их вообще применять. Превышает ли коммерческая выгода от использования флэшек (flash memory sticks), смартфонов и прочих мобильных устройств те риски утечек, которые при этом возникают?
Судя по всему, большинство компаний не хотят лишать сотрудников такого удобного средства поддержки и ускорения бизнес-процессов. Их вполне можно понять — ведь без использования флэшек не всегда можно провести презентацию или поработать дома. Как следствие, такие радикальные варианты, как отсутствие физических портов или специальные аппаратные заглушки на них, сегодня применяются сравнительно редко и в основном не организацией в целом, а только ее отдельными подразделениями, имеющими дело с наиболее коммерчески ценной или конфиденциальной информацией. Современные предприятия предпочитают использовать более эффективные и удобные программные средства защиты информации.
Защита аудио [ ]
Для взлома защищённого программного обеспечения применяются такие методы:
- Копирование защищённого диска специальными программами.
- шифрование кода, исключающее работу хакера с толку; проверка целостности файла, не дающая накладывать Проблема «лучше, чем легальное» [ ]
Это одна из фундаментальных проблем защиты от копирования. Заключается она в том, что система защиты от копирования неизбежно создаёт пользователю неудобства, и поэтому, с точки зрения пользователя, взломанная программа в каком-то смысле лучше, чем оригинальная. Например:
- С винчестера программа загружается быстрее, чем с компакт-диска. Кроме того, не нужно искать компакт-диск и всё время его вставлять, отчего он изнашивается.
- Если не использовать компакт-дисков, время работы sable с программами серии « 1С:Предприятие »).
Защита при помощи ключевой [ ]
Как правило, этот способ защиты применяется для защиты программ, записанных на этом же компакт-диске, являющимся одновременно ключевым. Для защиты от копирования используется:
- запись информации в неиспользуемых секторах;
- проверка расположения и содержимого «сбойных» секторов;
- проверка скорости чтения отдельных секторов.
Юридические меры защиты [ ]
Технические меры защиты [ ]
Защита программ, установленных на [ ]
Для программ, установленных на жёстком диске, могут применяться такие меры защиты:
- Программа может требовать вставленную дискету или компакт-диск. В частности, это широко применяется в Электронный ключ (донгл), вставленный в один из HASP.
- Привязка к серийным номерам компонентов компьютера. Её достоинство в том, что не требуется никакого специфического сети . Это исключает одновременный запуск двух программ с одним регистрационным ключом на двух компьютерах в пределах одной локальной сети. Локальный PvPGN -серверов, которые также не проверяют регистрационные номера.
Программистский фольклор о защите ПО [ ]
«Существует три способа распространения программного обеспечения: воровство, грабёж и обмен краденым.»
29-летний аналитик крупной компьютерной фирмы Дэниел Харрингтон (Daniel Harrington) вряд ли мог предположить, что станет причиной скандала государственной важности. В конце октября прошлого года съемный носитель, принадлежавший Харрингтону, был найден на общественной автомобильной парковке около паба в английском городе Кэннок, графство Стаффордшир. И все бы ничего, да только на этом носителе были размещены секретные пароли доступа к глобальной базе данных английского электронного правительства Government Gateway.
На самом деле этот случай — не только результат халатности отдельного сотрудника, он отражает общую тенденцию информационной безопасности последних лет. С развитием информационных технологий секретная и ценная информация стала текучей, как никогда, а съемные носители являются настоящей головной болью офицеров безопасности и специалистов по управлению рисками.
Проблема
Сегодня можно с уверенностью утверждать, что важнейшим активом любой современной компании является информация. Как и всякий критически важный актив, информация нуждается в защите, а в случае ее утечки компания несет довольно серьезные убытки.
Институт Ларри Понемона давно пытается оценить масштаб этих потерь в численном эквиваленте. По данным отчетов за 2008 год, средние убытки в результате всего лишь одного инцидента измеряются миллионами долларов. Больше всего достается американским компаниям — они теряют от утечки в среднем 6,6 млн долл. Английским и немецким организациям пока приходится не так тяжело: средний ущерб от инцидента в этих странах составил 1,73 млн фунтов стерлингов и 2,41 млн евро соответственно.
Очевидно, что для подавляющего большинства организаций данные суммы весьма существенны. Они автоматически делают проблему утечек одной из наиболее приоритетных для корпоративных служб информационной безопасности. Проблема заключается в том, что организации неправильно проводят декомпозицию угроз — они защищаются от тех каналов утечки, которые на деле являются не слишком критичными.
Пожалуй, самым простым примером является всеобщая ориентация рынка на защиту от так называемых внешних угроз — вредоносного ПО, спама или хакерских вторжений. Конечно, эти угрозы никуда не исчезают, однако, по данным Ponemon Institute (для США) , на них приходится не более 7% всех инцидентов. Оставшиеся 93% утечек вызваны действиями инсайдеров — сотрудников с санкционированным доступом к конфиденциальной информации.
В этом смысле различные мобильные носители являются едва ли не идеальным каналом утечки. Они далеко не всегда контролируются службой безопасности (в отличие, например, от электронной почты) и обладают достаточной емкостью, чтобы вместить все интересующие данные.
Для чего пригодится маркировка?
Защита конфиденциальных документов. Сценарий описан выше. Кратко так: промаркировали копии, выдали их получателям и бдим. Как только копия документа «объявилась в неразрешенных местах», сравнили ее со всеми промаркированными копиями и оперативно определили владельца «объявившейся копии».
Чтобы определить шпиёна, поочередно накладываем «объявившуюся копию» на копию каждого получателя документа. У кого процент совпадения пикселей больше, тот и шпиён. Но лучше один раз увидеть на рисунке.
Наложение «объявившейся копии» на все промаркированные производится не вручную, а автоматически. Промаркированные копии в системе не хранятся, чтобы не проедать гигабайты диска впустую. Система хранит только набор уникальных признаков маркировки для каждого получателя и генерит копии мгновенно.
Проверка подлинности документов. Про методы изготовления защищённой полиграфической продукции можно почитать у Вики. По сути, они сводятся к изготовлению бланков с разного рода маркировкой – водяными знаками, специальными чернилами и т.д. Примеры такой продукции – банкноты, страховые полисы, водительские удостоверения, паспорта и т.д. Такую продукцию нельзя изготовить на обычном принтере. Зато на нём можно распечатать документ с аффинными преобразованиями текста. Что это даёт?
Распечатав бланк с незаметной маркировкой текста, можно проверять его подлинность просто по наличию маркировки. При этом уникальность маркировки позволяет не только проверить подлинность, но и установить конкретное физическое или юридическое лицо, которому был передан бланк. Если маркировки нет или она указывает на другого получателя, значит бланк фальшивый.
Такая маркировка может быть использована как самостоятельно, например, для бланков строгой отчётности, так и совместно с другими способами защиты, например, для защиты паспортов.
Привлечение нарушителей к ответственности. Крупные утечки стоят компаниям больших денег. Чтобы наказание нарушителя не ограничилось выговором, необходимо привлечь его к ответственности в суде. Мы запатентовали свой способ защиты документов, чтобы в суде результаты SafeCopy принимались в качестве доказательств.
Защита от утечки информации – решение ЗАО «ДиалогНаука»
Цель данной статьи — показать, как правильно выполнить резервное копирование зашифрованных папок — так, чтобы файлы в них остались зашифрованными.
Введение
Представим, что у нас есть типичное предприятие (рис. 1). Как и во многих подобных организациях, в нашей организации используется всем известная 1С: Предприятие, база данных которой хранится на сервере, изображенном на иллюстрации.
Рис. 1. Схема вымышленного предприятия
- Как организовать прозрачное шифрование сетевой папки с базой данных 1С.
- Как правильно выполнить резервное копирование зашифрованных данных средствами Acronis Backup & Recovery, чтобы они остались зашифрованными в резервной копии.
- Почему для решения нашей задачи невозможно использовать EFS.
Буква закона
- Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21.
Резервное копирование осуществляется средствами программного комплекса Acronis Backup & Recovery 11 Advanced Server, имеющего сертификат ФСТЭК № 2677 от 16.07.2012.
Защита от несанкционированного доступа реализуется посредством применения программы CyberSafe Top Secret, которая вместе с использованием сертифицированного криптопровайдера КриптоПро CSP и алгоритма ГОСТ для шифрования данных, также считается сертифицированным средством.
Кстати, чтобы ни говорили поклонники TrueCrypt, а использовать ее для защиты персональных данных все равно нельзя, поскольку она не является сертифицированным средством шифрования. Сертификата ФСТЭК у нее нет и никогда не будет. Что же касается, EFS, то она считается сертифицированной только в специальной версии Windows, у которой есть сертификат ФСТЭК.
Если выйти «за рамки» TrueCrypt, то для решения нашей задачи не подойдет не только эта программа, но и любая другая, использующая криптодиски. Даже если эта программа сертифицирована. Ранее мы писали об уязвимостях криптодисков и если поставленную задачу решать посредством криптодисков, то криптодиск нужно защищать средствами операционной системы (сетевой авторизацией), которая не сертифицирована (или у вас сертифицированная версия Windows?). Кроме того, данные с криптодиска по сети передаются в незашифрованном виде. Для шифрования данных, передаваемых, между клиентом и сервером, на котором «расшарен» криптодиск, нужно настраивать VPN (разумеется, нужно использовать сертифицированное решение). Следовательно, схема, построенная на использовании криптодисков, обойдется на порядок дороже, чем приведенная в этой статье.
Настройка прозрачного шифрования сетевой папки
Для большей однозначности назовем наш сервер, на котором хранится база данных 1С, коротко и понятно: SERVER. На логическом диске H: есть папка 1С (H:\1C), в которой и хранится база данных 1С. К папке предоставлен общий доступ, сетевой путь выглядит так: \\SERVER\1C. Эту папку нам и нужно зашифровать.
Программа CyberSafe должна быть установлена на всех компьютерах, которые должны работать с зашифрованной папкой, то есть на компьютере администратора и на компьютере всех пользователей, которые работают с 1C.
Запускаем программу CyberSafe Top Secret и переходим в раздел Прозрачное шифрование, нажимаем кнопку Доб. папку и добавляем нашу сетевую папку (рис. 2).
Рис. 2. Программа CyberSafe Top Secret
Рис. 3. Выбор сертификата
После нажатия кнопки Применить вы увидите предложение добавить ключ администратора, нажмите кнопку Да. Все, папка защищена.
Примечание. В программу CyberSafe Top Secret можно добавить, как пустую папку, так и папку с файлами. Разницы нет. Вы можете зашифровать пустую папку и позже добавить в нее файлы.
Работа с зашифрованной папкой
Чтобы зашифрованная папка стала доступной, нужно запустить программу CyberSafe Top Secret, выделить папку и нажать кнопку Включить. После чего появится окно ввода пароля. Нужно ввести пароль вашего сертификата (если он, конечно, был указан при шифровании папки). По окончанию работы с папкой ее нужно выключить, нажав кнопку Выключить.
Если кто-то попытается открыть файлы, находящиеся в зашифрованной сетевой папке, с другого компьютера (или с компьютера, на котором хранится сама зашифрованная папка), то он обнаружит, что эти файлы зашифрованы.
Настройка средства резервного копирования
Итак, папка зашифрована. Программа 1С: Предприятие может работать с ней как с самой обычной папкой, если не считать незначительной потери производительности. В качестве средства резервного копирования используется программа Acronis Backup & Recovery, которая установлена на нашем сервере.
Данная программа выбрана не случайно, поскольку Acronis при резервном копировании сохраняет файловые потоки, в которых в них хранится информация о ключах, которыми была зашифрована папка с базой данных 1C. Кроме того, при использовании Acronis даже не нужно завершать процесс 1С, чего требуют некоторые другие средства резервного копирования.
Сама настройка Acronis проста — нужно указать, что копируем (рис. 4) и куда копируем (рис. 5).
Рис. 4. Что копируем
Рис. 5. Куда копируем
Обратите внимание, куда именно осуществляется резервное копирование: резервная копия сохраняется на сетевое хранилище D-Link.
Если вы не используете Acronis, а другое средство резервного копирования, убедитесь, что оно поддерживает сохранение файловых потоков. Даже некоторые архиваторы (если не используете ПО для резервного копирования, а создаете резервную копию вручную) поддерживают файловые потоки. Например, в WinRAR при создании архива на вкладке Дополнительно (рис. 6) нужно включить переключатель Сохранять файловые потоки.
Рис. 6. Создание архива
После этого архив с зашифрованной папкой можно распаковать на другом компьютере или на другом жестком диске. При желании такой архив можно передать адресату. Для расшифровки нужно, чтобы сертификат адресата был указан при шифровании папки.
Почему нельзя использовать EFS?
Зачем нужны все эти танцы с бубном и с использованием программы CyberSafe Top Secret? Ведь можно зашифровать с помощью EFS папку H:\1C на сервере и наша база данных тоже будет зашифрована.
А теперь самое главное: все правильно, если выполнить прозрачное шифрование папки с базой данных, база данных будет зашифрована, а вот резервные копии — нет. Ведь при использовании EFS все программы на сервере, в том числе и Acronis, будут видеть все файлы зашифрованной с помощью EFS папки расшифрованными. При использовании CyberSafe другие программы, в том числе и Acronis, видят файлы базы данных изначально зашифрованными. Это очень важно. Думаю, не нужно говорить, что произойдет, если резервная копия попадет в чужие руки. Файлы в резервной копии не будут зашифрованы, следовательно, их сможет прочитать любой желающий.
Существует 1000 и один способ защиты электронных документов от несанкционированного копирования. Но как только документ переходит в аналоговое состояние (согласно ГОСТ Р 52292–2004 «Информационная технология. Электронный обмен информацией. Термины и определения», понятие «аналоговый документ» включает в себя все традиционные формы представления документов на аналоговых носителях: бумаге, фото-и кинопленке и т. п. Аналоговая форма представления может быть преобразована в дискретную (электронную) форму с помощью различных методов оцифровки), количество способов его защиты от копирования резко сокращается, а стоимость их практической реализации также стремительно возрастает. Например, как это может выглядеть в «правильной» компании:
- Ограничить количество мест и применяемых технологий преобразования электронного документа в аналоговый.
- Ограничить количество мест и круг лиц, допущенных для ознакомления с содержимым аналоговых документов.
- Оборудовать места ознакомления с содержимым аналогового документа средствами видеофиксации, визуального контроля
- и т. п.
Компромиссом может стать применение нашего продукта SafeCopy.
DLP-системы
Отмеченная выше особенность роднит системы контроля доступа со следующим классом систем защиты данных—– решениями сегмента DLP (Data Leak Prevention). По определению ведущего отраслевого эксперта в этой области Рича Могулла (Rich Mogull) , именно глубокий анализ информационного содержимого исходящих данных является главной характеристикой DLP-систем. Подобные решения определяют легитимность той или иной операции на базе технологий контентной фильтрации.
Перспективы DLP-систем весьма многообещающи, именно поэтому практически все ведущие игроки рынка информационной безопасности активно инвестируют в развитие этого направления. Другое дело, что уровень качества их современной реализации пока не позволяет говорить о всеобъемлющем контроле информации, передающейся по локальным портам на мобильные носители. И тому есть несколько причин.
Во-первых, необходимо отметить, что современный уровень технологии контентной фильтрации не позволяет полностью избежать ошибок ложного распознавания содержимого данных — так называемых ложноположительных (false positive) и ложноотрицательных (false negative) срабатываний. В итоге уровень точности систем контентной фильтрации редко превышает 80-85%.
Во-вторых, глубокий контентный анализ — весьма ресурсоемкий процесс. Когда вы отправляете письмо по электронной почте, DLP-система перехватывает его в сети и анализирует на уровне SMTP-сервера с достаточной для этой задачи производительностью. Если же информация копируется локально, такой подход неприменим, поскольку информация в принципе не попадает в сеть.
В результате создателям DLP-систем приходится идти на компромисс: либо пересылать теневые копии информации на сервер и потом получать по ней вердикт, либо анализировать информацию локально. В первом случае оказывается значительная нагрузка на сеть и возникают длительные задержки (представьте, что будет, если вы копируете на съемный носитель фильм в формате High Definition), а во втором — страдает качество анализа, поскольку персональному компьютеру не хватает мощности для данного вида обработки либо он работает по более простым и менее надежным алгоритмам.
Третья причина, ограничивающая применение DLP-систем для контроля локальных портов, тесно связана с первой. Дело в том, что из-за требований к контентной фильтрации DLP-системы изначально были спроектированы как шлюзовые решения, а потому их агентские компоненты еще не достигли достаточного уровня зрелости. Да, они умеют фильтровать данные, однако контроль всего разнообразия различных портов и каналов потенциальной утечки данных, а также гибкость локальных политик DLP-систем на endpoint-компьютерах находятся пока на более низком уровне, чем в случае хорошо развитых шлюзовых систем контроля контента сетевых коммуникаций.
Читайте также: