Сравнительный анализ и выбор средств оповещения об инцидентах информационной безопасности



Рис 1.6 - Алгоритм выявления и реагирования на инциденты ИБ

В рамках реагирования на инцидент ИБ существенным фактором является документирование и анализ информации о нём в соответствующей базе инцидентов ИБ. Это необходимо для сбора и объединения материалов расследования, а также может использоваться для извлечения уроков из произошедших инцидентов. Документированию подлежат все факты и доказательства по инциденту ИБ и действия, выполняемые специалистом по ИБ при реагировании на данный инцидент, что позволяет оптимизировать деятельность при выявлении подобных инцидентов в будущем.

В рамках применения превентивных мер можно выделить такие, которые проводятся в ходе реагирования на инцидент ИБ с целью уменьшения негативных последствий (блокировка портов и устройств ввода-вывода информации, отключение от сети интернет, от компьютерной сети и т.п.). А также меры, применяемые после закрытия инцидента с целью недопущения подобных впредь (изменение политик безопасности, блокирование нежелательных ресурсов сети интернет и т.п.).

Проведение профилактических мероприятий в основном направлено на работу с персоналом и может включать следующие формы:

- наложение дисциплинарных взысканий на нарушителя;

- создание негативного имиджа нарушителя;

- проведение дополнительных инструктажей и обучения пользователей;

- осуществление рассылок о необходимости соблюдения требований по ИБ;

- внесение изменений в политику ИБ банка и т.п.

В целом, эффективность и оперативность процесса управления инцидентами ИБ зависит от следующих факторов:

- координации и согласованности действий всех вовлечённых в него лиц;

- имеющихся возможностей получения и анализа информации, связанной с инцидентом;

- оперативности и корректности полученных результатов.

К сожалению, далеко не во всех организациях финансовой сферы процесс выявления и реагирования на инциденты ИБ (особенно на незначительные) в полной мере реализован и качественно выполняется. Не всегда нарушитель получает по заслугам, производится анализ и извлечение уроков из произошедших инцидентов ИБ, своевременно принимаются превентивные меры и проводятся профилактические мероприятия.

Зачастую, как только последствия инцидента устранены, и работоспособность информационных систем восстановлена, дальнейшие действия по расследованию инцидента и осуществлению корректирующих и превентивных мер не выполняются, что снижает эффективность реагирования на них и СМИИБ в целом.

Внедрение и системное использование СМИИБ позволяет уменьшить негативное воздействие инцидентов ИБ на бизнес, усилить акцент на их предупреждение, улучшить качество результатов оценки и управления рисками ИБ, что в итоге позволяет повысить общий уровень ИБ компании.

Таким образом, сущность управления инцидентами информационной безопасности заключается в целенаправленной деятельности руководства организации, должностных лиц и службы защиты информации, направленной на анализ возникающих инцидентов информационной безопасности и адекватное реагирование на угрозы, возникающие в результате инцидентов. Своевременно выявить инцидент, оперативно отреагировать на его появление, устранить последствия, извлечь уроки и принять эффективные меры по дальнейшему недопущению инцидентов -- вот основные моменты, на которые делают упор многие стандарты ИБ [2].

2. Основные принципы и методики противодействия инцидентам информационной безопасности

В предыдущем разделе мы подробно рассмотрели большинство важнейших деталей, а именно всё что связано с обнаружением и управлением инцидентами информационной безопасности. Данные знания существенно помогают в построении квалифицированной защиты компании и обеспечивают её надёжность и долгосрочное существование. Сотрудники безопасности предприятий обязаны знать рассмотренную выше информацию т.к. без фактического понимания инцидентов ИБ невозможно понять принцип их работы, а соответственно нет возможности и оказать какое-либо сопротивление. В результате данного вопроса защита фирмы полностью придёт в негодность, из-за чего компания подвергнется серьёзным угрозам, которые будут нести огромные последствия на активность предприятия, вследствие чего фирма будет вынуждена закрыться по причине неконкурентоспособности.

Конечно, знание теории значительно помогает в осознании возможных решений против возникающих угроз, но в то же время становится понятно, что данных методов недостаточно, и что одной лишь теорией не обойтись. Необходимо практическое решение проблемы, а именно специализированные технические средства, которые сочетают в себе целый комплекс решений, основанных на теоретических знаниях об инцидентах ИБ. Преимущество технических средств перед стандартными политиками безопасности компании, разработанными совместно со специалистами информационной безопасности, заключено в их работе в реальном времени. Иными словами, можно сказать, что благодаря специализированным техническим средствам, процесс избавления компании от возникающих угроз для сотрудников ИБ становиться более упрощённым, т.к. огромный пласт работы выполняет именно ТС, а специалист служит лишь источником контроля и проверки достоверности полученных данных. Поэтому предприятия, работающие в области IT-технологий, обязаны иметь в своём распоряжении технические средства для обеспечения высокого уровня защиты, а также соответствующего уровня надёжности позволяющего уменьшить количество возникающих ошибок со стороны сотрудников информационной безопасности компании.

Но для полноты картины необходимо подробно рассмотреть основные технические средства, дабы на личном опыте удостовериться в их действенности и актуальности на сегодняшний момент.

2.1 Современные технические средства выявления инцидентов информационной безопасности

Перейдём к подробному изучению данного материала. Основными техническими средствами, позволяющими обнаруживать и управлять инциденты информационной безопасности, являются SIEM-технологии и DLP-системы. Данные ТС наиболее сильно приближены к достижению целей по поводу избавления компаний от возникающих инцидентов, поэтому их применение значительно увеличивает шансы на успех в избавлении от угроз, в отличие от тех фирм, которые используют базовые программные решения. Дополнительным преимуществом является и тот факт, что сами по себе выбранные технические средства способны выполнять большой список задач, т.к. их функционал не ограничивается одними лишь возможностями борьбы с инцидентами ИБ, а содержит целый комплекс мер противодействия угрозам со стороны злоумышленников.

Основными задачами, решаемыми с помощью технических средств и систем выявления инцидентов ИБ, являются:

- осуществление централизованного сбора, обработки и анализа событий из множества распределённых гетерогенных источников событий;

- обнаружение в режиме реального времени атак, вторжений, нарушений политик безопасности;

- контроль за портами и устройствами ввода/вывода информации;

- мониторинг действий пользователей;

- предоставление инструментария для проведения расследований инцидентов ИБ, формирования доказательной базы по инциденту ИБ.

Анализ собранных данных включает в себя исследование журналов работы различных систем, сообщений о событиях, просмотр состояния портов, свидетельств работы операционных систем, приложений, протоколов конфигурационных файлов, сообщений электронной почты и прикреплённых файлов, инсталлированных приложений и т.д., в результате чего подтверждается или опровергается факт возникновения инцидента ИБ.

В процессе анализа осуществляется структуризация и расстановка приоритетов инцидентов ИБ на основе определения степени критичности рассматриваемого ресурса и степени критичности воздействия на него, -- так называемый эффект инцидента. Собранные данные подвергаются корреляции и выводятся на консоль сотрудника подразделения ИБ.

На основании событий проводятся корректирующие действия, оценка текущей защищённости системы, эффективности функционирования систем управления информационной безопасности. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о состоянии системы ИБ. Важно, чтобы ни один инцидент ИБ не остался незамеченным, было проведено расследование, выявлены виновные и, самое главное, выполнены корректирующие и превентивные действия.

2.2 Анализ SIEM-технологий

SIEM-системы появились в результате эволюционного развития и последующего слияния систем SEM и SIM.

SEM (Security Event Management) -- системы, действующие в режиме приближённом к реальному времени. Для этого им требуется: автоматический мониторинг событий, их сбор, корреляция и генерация предупреждающих сообщений.

SIM (Security Information Management) -- системы, которые в свою очередь, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения» и т.д.

В итоге объединение данных систем и привело к созданию SIEM-технологий являющихся улучшенной версией систем мониторинга со встроенным анализатором информации. Основным функционалом SIEM-технологий являются элементы, представленные на рис. 2.1:

Рис. 2.1 -- Основные функции SIEM-систем

Агрегация данных: управление журналами данных; данные собираются из такого множества источников как: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.

Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management.

Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз (Global System for Mobile Communications -- глобальный стандарт цифровой мобильной сотовой связи) и т. п.

Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.

Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчётности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.

Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения.

Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.

К сожалению, из-за того, что основным направлением SIEM-технологий является сбор информации и его дальнейший анализ, разрешение проблем касательно инцидентов информационной безопасности отходит на второй план. К тому же основную информацию, касающуюся инцидентов ИБ, SIEM-системы получают от программных средств, непосредственно сталкивающихся с данной проблемой, когда в свою очередь SIEM-технологии производят сбор данных только той информации, которую они могут собирать напрямую. Например, журналы событий серверов или приложений, с которыми производятся взаимодействия. Поэтому если для компании является приоритетом обнаружение и дальнейшее разрешение проблем с инцидентами информационной безопасности, то лучшим решением будет DLP-системы.

2.3 Подробный анализ DLP-систем

Итак, мы подошли к подробному рассмотрению систем предотвращения вторжений. Как уже было изложено DLP-системы обладают рядом преимуществ позволяющих им успешно противостоять возникающим инцидентам ИБ, что естественно даёт преимущество перед остальными техническими средствами в данной области защиты. Согласно рис 2.2 можно увидеть, как реагирует система на действия со стороны пользователя.

Рис 2.2 - Принцип функционирования DLP-систем

Как можно заметить из представленной выше схемы одним из немаловажных аспектов DLP-систем является осуществление контроля корпоративной сети от возможных утечек конфиденциальной информации. Естественно для достижения данной цели необходимо производить мониторинг выполняемых действий среди сотрудников предприятия, дабы не позволить возможным проблемам вылиться в серьёзный инцидент, а устранить их в момент зарождения, тем самым не позволяя воздействовать на деятельность компании и уберегая их активы от посягательств злоумышленников. Поэтому сбор информации о деятельности своих сотрудников обязателен с точки зрения установки защитного комплекса, благодаря которому стабильность и надёжность компании будет на высоком уровне.

С технической точки зрения существует несколько основных возможностей получения информации об активности работников. К ним относятся:

- системы идентификации и аутентификации;

- логирование (журналирование);

- перехват, мониторинг и анализ трафика.

Системы идентификации и аутентификации позволяют с высокой вероятностью определить подлинность пользователя либо удалённого узла. В общем случае они предназначены для однозначного определения субъекта доступа и его полномочий по отношению к конкретному ресурсу. Для описания соответствующих процедур используются понятия идентификации, аутентификации и авторизации.

Идентификация -- это процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет системе свой идентификатор, и она проверяет его наличие в своей базе данных. Субъекты с известными системе идентификаторами считаются легальными (законными), остальные - нелегальными.

Аутентификация пользователей -- процедура проверки подлинности субъекта, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует. Для этого он должен подтвердить факт обладания некоторой информацией, которая может быть доступна только ему одному (пароль, ключ и т.п.).

Авторизация -- процедура предоставления субъекту определённых прав доступа к ресурсам системы после прохождения им процедуры аутентификации. Для каждого субъекта в системе определяется набор прав, которые он может использовать при обращении к её ресурсам.

На данный момент существуют следующие основные системы аутентификации пользователей:

1.парольные системы (самый простой и распространённый способ);

2.криптографические системы с открытым ключом/ инфраструктура открытых ключей/ криптографические сертификаты (системы PKI -- public key infrastructure);

3.системы одноразовых паролей;

4.биометрические системы.

Наиболее распространёнными механизмами аутентификации пользователей является использование паролей и/или ответов на «секретный вопрос». Однако в силу сравнительно низкой криптостойкости и тех, и других соответствующие системы являются наиболее уязвимыми.

В простейшем случае системы идентификации и аутентификации позволяют осуществлять учёт доступа работника как на ту или иную территорию, так и к определённым ресурсам. Примерами использования данного подхода являются смарт-карты, биометрические сканеры, пароли для учётных записей и другие подобные средства, являющиеся основой для построения так называемых систем контроля и управления доступом (СКУД). Информация в СКУД позволяет восстановить последовательность действий, которые совершал тот или иной работник. Недостаток подобных систем очевиден - они позволяют судить о характере деятельности человека лишь по косвенным критериям, не давая при этом полного представления о том, что делал человек непосредственно на своём рабочем месте.

Логирование (журналирование). Файл регистрации, протокол, журнал или лог (англ. log) -- файл с записями о событиях в хронологическом порядке. Анализ различных логов позволяет получить более полную картину поведения работника. К примеру, анализ логов прокси-сервера покажет, какие ресурсы посещал сотрудник. На анализе логов и строят свою деятельность SIEM-системы, решающие задачи консолидации и хранения журналов событий от различных источников в сочетании с предоставлением инструментов для анализа событий и разбора инцидентов на основе их корреляции и обработки по правилам. SIEM-системы позволяют выявлять аномальное поведение и аномальную активность работников. К примеру, такая система может среагировать, если человек, который раньше работал исключительно с понедельника по пятницу, вдруг выйдет на работу в субботу или в воскресенье. Тем не менее, у анализа логов тот же недостаток: сами по себе записи в логах являются лишь косвенным подтверждением предполагаемой активности работника. Понять его намерения, опираясь на содержимое журналов, вряд ли получится.

Перехват, мониторинг и анализ трафика осуществляется при помощи т.н. снифферов. Сниффер (от англ. to sniff -- нюхать) -- сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, направляемого на другие узлы. Поскольку первоначально при использовании снифферов анализ трафика осуществлялся вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока (transmission control protocol -- протокол управления передачей)), это делало возможным анализ лишь небольших его объёмов. Сегодня снифферы, как правило, включаются в состав более сложных систем, обладающих развитыми аналитическими функциями. Именно к таким и относятся рассматриваемые DLP-системы. Перехват трафика позволяет максимально полно контролировать работника, так как помимо анализа косвенных признаков (посещаемые ресурсы, действия с файлами и т.д.) появляется и прямая информация о действиях человека: содержание переписки по электронной почте, переписки при помощи систем обмена мгновенными сообщениями (Instant messaging, далее -- IM), снимки рабочего стола и др. сведения.

Виды перехвата информации.

В настоящее время чаще всего используются следующие способы перехвата информации:

- перехват в разрыв;

- сетевой перехват;

- перехват путем интеграции со сторонними продуктами;

- агентский перехват.

Перехват в разрыв. В этом случае весь трафик компании пропускается через специальное физическое устройство. На сегодняшний день такой вид перехвата не пользуется большой популярностью у производителей DLP-систем, так как при его применении слишком велики угрозы бизнесу. В случае отказа/«падения» подобного устройства в компании автоматически останавливаются практически все информационные потоки.

Сетевой перехват. Данный подход основан на том, что большое число существующих управляемых сетевых коммутаторов позволяют дублировать трафик от одного или нескольких портов на отдельно взятый порт. В основном эта функция применяется для мониторинга трафика в целях безопасности, либо оценки производительности/загрузки сетевого оборудования с применением аппаратных средств, но также может быть использована и для работы DLP-системы. В этом случае весь сетевой трафик направляется на коммутатор с поддержкой функции «зеркалирования» (mirroring) портов, который, снимает с трафика копию, которая, в свою очередь, затем анализируется.

Плюсы сетевого перехвата:

- независимость от операционной системы на машине работника;

- отсутствие дополнительной нагрузки на сеть;

- незаметность для работников и антивирусного программного обеспечения.

Минусы сетевого перехвата:

- проблемы с перехватом шифрованного трафика;

- малое количество контролируемых каналов.

Перехват путем интеграции со сторонними продуктами. Этот вид перехвата ориентирован на работу с почтовыми и прокси-серверами. Отличий от сетевого перехвата не так уж и много. Главное из них заключается в том, что вместо адреса сетевого адаптера, с которого будет «сниматься» трафик, указываются сервер и порт подключения к нему. Применительно к интеграции, например с почтовым сервером, схема работы выглядит так:

- на почтовом сервере настраивается ящик, в который сервер складывает абсолютно всю почту (и входящую, и исходящую);

- DLP-система периодически опрашивает этот ящик и забирает оттуда письма. Период опроса, как правило, может произвольно настраиваться;

- после «выемки» почты осуществляется очистка ящика, чтобы там не накапливались письма.

Главный плюс перехвата путем интеграции с почтовыми серверами заключается в возможности перехвата почтовых сообщений, передаваемых по шифрованному каналу. Главный минус -- ещё меньшее количество контролируемых каналов в сравнении с сетевым перехватом.

Агентский перехват. В общем случае агенты представляют собой сервисы/программы, устанавливаемые непосредственно на компьютер или планшет пользователя и предназначенные для перехвата информации, а также её дальнейшей отсылки на сервер для анализа.

Этот вид перехвата на сегодняшний день пользуется наибольшим вниманием производителей DLP-систем и обладает рядом несомненных достоинств.

Плюсы агентского перехвата:

- позволяет контролировать все каналы информации;

- позволяет осуществлять перехват шифрованного трафика;

- позволяет в случае необходимости блокировать передачу информации.

Минусы агентского перехвата:

- создаёт дополнительную (сравнительно небольшую) нагрузку на сеть;

- реализация связана с необходимостью присутствия агента непосредственно на компьютере работника;

- потребность в отдельных агентах для каждой операционной системы.

Представленный список преимуществ и способностей DLP-систем хорошо раскрывает огромный потенциал данных технологий как средств борьбы с внутренними угрозами. Дополнительным фактором, склоняющим чашу весом в пользу DLP-систем, является факт их многофункциональности, позволяющий организовать комплексную защиту даже в компаниях, ограниченных в своих активах [1].

2.4 Рынок DLP-систем

Рынок DLP-систем представляет технические решения от различных производителей. Все они отличаются по архитектуре, возможностям масштабирования, полноте функционала, спектру решаемых прикладных ИБ-задач. Основное направление обнаружить и/или блокировать несанкционированную передачу конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия. На данный момент каждый производитель старается дополнить функционал DLP-систем вспомогательными функциями, такими как выделение ключевых слов и поиск похожих документов, специализированной системой хранения данных, кодированием оповещений для администратора и т.д.

Основные лидеры DLP-систем отображены в отчете международного аналитического агентства Gartner и представлены на рисунке 2.3. Для анализа «способности реализации» аналитики Gartner принимают во внимание семь критериев, связанных с опытом клиента при использовании продукта или сервиса. Эта оценка включает простоту установки, использования, администрирования и масштабирования, стабильность работы и последующую сервисную поддержку. По шкале «полнота видения» оценивается способность организации понимать потребности клиента и воплощать это в своих продуктах и сервисах. Для сбора информации аналитики проводят интервью с потребителями услуг поставщиков, а также собирают отзывы клиентов Gartner, которые пользовались DLP-системами.

Рис. 2.3 -- Магический квадрант Gartner по DLP-системам за 2016 год

Несмотря на то, что российский рынок DLP-систем не до конца сформирован и ещё далёк от насыщения, он способен предложить довольно приличное количество продуктов, которые не сильно уступают зарубежным аналогам, а в некоторых аспектах даже опережают. А если учесть мировую обстановку, то возможность обратиться к российским продуктам позволяет не допустить возможности подрывной деятельности т.к. установка зарубежных комплексов в компаниях серьезного уровня подвергает её риску проникновений программ-шпионов. Вследствие чего успешное продолжение деятельности фирмы будет под угрозой в результате компрометации конфиденциальных документов, грозящая огромным убыткам. Поэтому развитие российских DLP-систем очень важно для развития бизнес-деятельности и конкурентоспособности среди других предприятий.

2.5 Сравнительный анализ российских и зарубежных DLP-систем

Перейдём к основному вопросу данной дипломной работы и произведём сравнительный анализ DLP-систем российского и зарубежного происхождения. Для анализа был выбран следующий список программных решений:

- InfoWatch Traffic Monitor 6.5;

- АПК «Гарда Предприятие» 3.8;

- Zecurion Zgate 6.0;

- Symantec Data Loss Prevention 14.5;

- «КИБ СёрчИнформ»;

- GTB Enterprise-Class DLP Suite.

Выбор средств определялся согласно функциональности, известности компаний разработчиков, а также благодаря умению заинтересовать клиентов своим предложением.

Прежде чем переходить к сравнительному анализу кратко рассмотрит преимущества представленных продуктов.

2.5.1 Анализ DLP-системы InfoWatch Traffic Monitor 6.5

InfoWatch Traffic Monitor 6.5 позволяет создавать ролевую модель поведения сотрудников при работе в бизнес-системах и контролировать извлечение данных из них:

- запрет копирования данных через буфер обмена;

- запрет на снятие снимков экрана;

- запрет печати.

Эти правила работают, даже если сотрудник работает в приложении через терминальную сессию.

Задачи которые решает данная система:

- разграничение ролей при работе в киосках данных;

- запрет извлечения данных из особо критичных приложений (Customer Relationship Management -- cистема управления взаимоотношениями с клиентами, Enterprise Resource Planning -- планирование ресурсов предприятия, 1C);

- контроль операций в самописном программном обеспечении.

InfoWatch Traffic Monitor 6.5 позволяет отслеживать перемещение конфиденциальной информации по наиболее уязвимым и критичным маршрутам, исключая операции, предусмотренные производственной деятельностью. Офицер безопасности будет оповещён только в том случае, когда операция с буфером обмена представляет угрозу утечки, например, при копировании данных из бизнес-системы в программу мгновенного обмена сообщениями.

InfoWatch Traffic Monitor 6.5 блокирует передачу данных с компьютера сотрудника при обнаружении в них защищаемых данных. Это позволяет офицеру безопасности предотвращать внутренние угрозы в момент их реализации.

Каналы блокировки:

- корпоративная почта (Simple Mail Transfer Protocol -- простой протокол передачи почты, Messaging Application Programming Interface -- интерфейс программирования приложений по обмену сообщениями);

- FTP(File Transfer Protocol -- протокол передачи файлов);

- съёмные устройства;

- веб-почта (Gmail, Yandex, Mail.ru, Yahoo, Rambler, outlook.com);

- социальные сети (Facebook, Вконтакте, Одноклассники);

- протокол HTTP /HTTPS ( HyperText Transfer Protocol -- «протокол передачи гипертекста», HyperText Transfer Protocol Secure -- защищённый протокол передачи гипертекста).

Для анализа данных при попытке отправки их с компьютера сотрудника применяются следующие технологии:

- лингвистический анализ;

- детектор текстовых объектов;

- технология комбинированных объектов защиты;

- сигнатурный анализ файла.

Рис. 2.4 -- Принцип лингвистического анализа

Это позволяет предотвратить утечку данных со сложной структурой, исключает ложные срабатывания и не нарушает работу бизнес-процессов компании.

Интеграция мобильных устройств в корпоративную жизнь размывает периметр корпоративной сети и усложняет контроль за чувствительной информацией. Для решения этой задачи был разработан модуль InfoWatch Device Monitor Mobile.

Модуль позволяет контролировать работу сотрудников с электронной почтой, веб-ресурсами, фотографиями и сервисами обмена сообщениями на мобильных устройствах под управлением iOS и Android. Решение даёт возможность полноценно пользоваться смартфонами и планшетами, не ограничивая продуктивность сотрудников, при этом снижая риск утечки конфиденциальных данных через мобильный канал.

- изображения, снятые на фотокамеру;

- сообщения и мессенджеры (включая Skype для Android-устройств);

- корпоративная и веб-почта;

- публикации на веб-ресурсах;

- запуск приложений;

- контроль облачных хранилищ (Яндекс. Диск, Google Drive, DropBox);

InfoWatch Traffic Monitor 6.5 усовершенствовал функционал работы со снимками экрана:

- фильтрация снимков по конкретному сотруднику или рабочей станции;

- фильтрация по активному приложению;

- снимки экрана как инструмент расследования инцидентов.

При работе с событиями офицер безопасности может выбрать инцидент и посмотреть снимки, сделанные до и после совершения инцидента, что позволит быстро восстановить картину событий и провести расследование.

InfoWatch Traffic Monitor защищает секретные данные компании:

- базы данных клиентов, выгрузки баз из корпоративных систем;

- персональные данные клиентов, сотрудников, контрагентов;

- коммерческая тайна, ноу-хау, производственные секреты;

- медицинская тайна и т.д.

При перехвате данных InfoWatch Traffic Monitor:

- фиксирует факт передачи данных;

- уведомляет офицера информационной безопасности;

- создаёт теневую копию в базе данных для дальнейшего расследования инцидента;

- разрешает передачу данных (работа в режиме копии) либо приостанавливает передачу данных до вынесения вердикта специалистом службы информационной безопасности (работа в режиме блокировки).

Контролируемые каналы:

- корпоративная и веб-почта, интернет-ресурсы, средства общего доступа к файлам (MAPI, Internet Message Access Protocol -- «Протокол доступа к электронной почте Интернета» , Post Office Protocol Version 3 -- протокол почтового отделения , SMTP, Lotus Domino (Notes Remote Procedure Call -- примечания удаленного вызова процедур), HTTP, HTTPS, FTP);

- контроль систем обмена сообщениями (ICQ, Skype, Mail.ru Агент, GTalk, Lync и другие);

- контроль голосового трафика (Skype);

- контроль использования внешних носителей и портов на рабочих станциях;

- контроль сетевых соединений на рабочих станциях;

- контроль печати на локальных и сетевых принтерах;

- буфер обмена, снимки экранов;

- контроль камеры и микрофона рабочего стола;

- SMS (Short Message Service -- «служба коротких сообщений»), почта, веб-трафик, камера мобильных устройств (iOS, Android).

Технологии InfoWatch позволяют распознавать документы и понимать их смысл даже при анализе небольших фрагментов текста, которые могут быть вставлены в любой документ и отправлены в неформальной переписке или через систему мгновенного обмена сообщениями.

Принципиально новый подход к защите данных -- это комбинированные объекты защиты. Они позволяют соединять различные методы и технологии анализа для детектирования конфиденциальной информации, отвечающей одновременно нескольким условиям (например, документ содержит печать и определённые категории и термины).

Объекты защиты обеспечивают:

- точное детектирование конфиденциальных данных в потоке трафика;

- минимизацию ложноположительных срабатываний.

Интеллектуальная платформа InfoWatch Traffic Monitor позволяет организовать мониторинг и перехват всех электронных коммуникаций на рабочих станциях, ноутбуках и мобильных устройствах сотрудников. Система выявляет подозрительную активность сотрудников компании: факты воровства, мошенничества, коррупции, сговоров и саботажа, идентифицирует злоумышленников и всех причастных лиц, участвующих в незаконной деятельности.

Мониторинг сотрудников в «группе риска». InfoWatch Traffic Monitor содержит инструменты, позволяющие взаимодействовать с HR-службой (Human Resource -- человеческие ресурсы): продукт позволяет настраивать и применять особые целевые политики контроля персонала, входящего в «группы риска» с созданием специальных отчётов по активности подобных сотрудников.

К примеру, HR-специалист включает в «группу риска» сотрудников, находящихся на испытательном сроке или на увольнении, и к ним автоматически будет применяться более строгая политика безопасности.

Нарушители -- «как на ладони». InfoWatch Traffic Monitor идентифицирует нарушителей и круг причастных лиц, ведёт статистику нарушений, что позволяет предупредить наиболее опасные угрозы, включая комбинированные (внутренние и внешние нарушители, действующие в сговоре).

InfoWatch Traffic Monitor представляет информацию о нарушениях в разрезе:

- выбранного периода времени;

- уровня нарушения: низкий, средний, высокий;

- типов нарушенных правил: передачи, хранения и копирования;

- точечный контроль сотрудников и быстрое локальное расследование инцидентов.

InfoWatch Person Monitor -- это компонента InfoWatch Traffic Monitor для индивидуального наблюдения за сотрудниками и расследования инцидентов «по горячим следам». InfoWatch Person Monitor предназначен для контроля небольших групп пользователей (проектных групп, отделов) либо индивидуального мониторинга конкретных персон компании «под подозрением».

Решаемые задачи:

- выявление инсайдеров-мошенников, нелояльного персонала, сотрудников, находящихся в поиске работы;

- поиск возможностей для оптимизации ресурсов организации (неэффективное исполнение рабочих обязанностей);

- раннее обнаружение рисков, в том числе связанных с социально-опасным поведением персонала (терроризм, торговля оружием, наркотиками и т.д.);

- внутреннее локальное расследование нарушений и инцидентов.

Решение даёт возможность полноценно пользоваться смартфонами и планшетами, не ограничивая продуктивность сотрудников, при этом снижает риск утечки конфиденциальных данных через мобильный канал.

InfoWatch Traffic Monitor осуществляет:

- контроль рабочей активности сотрудников через мобильные устройства под управлением iOS, Android и т. д.;

- мониторинг информации на ноутбуках в периметре и за пределами компании: агентская часть продукта продолжает работать, даже когда рабочие ноутбуки вынесены за пределы компании, и передаёт полученную информацию в подсистему анализа при их возращении в корпоративную сеть;

- благодаря технологии контроля сетевых соединений, ноутбуки, находящиеся за периметром компании, могут выходить в Интернет только через шлюз корпоративной сети, что гарантирует контроль всего сетевого трафика.

Все перехваченные данные хранятся в централизованном архиве, который представляет собой надёжную доказательную базу для глубокого анализа и расследования инцидентов.

Система отчётности InfoWatch Traffic Monitor помогает сотруднику безопасности и другим заинтересованным лицам получать наглядную оперативную сводку по выявленным угрозам, нарушителям и связям между ними, каналам передачи информации, объектам защиты и многим другим параметрам. С помощью графического конструктора и системы виджетов можно создать любое удобное представление данных и включить в отчёт именно ту информацию, которая требуется в данный момент [10].

2.5.2 Анализ аппаратно-программного комплекса «Гарда Предприятие» 3.8

Функции «Гарды Предприятие» условно делятся на возможности, связанные с анализом, и возможностями, реализуемыемыми с помощью агента рабочих мест. В части анализа решение обеспечивает поддержку следующих сетевых протоколов:

- HTTP, HTTPS;

- электронная почта и доски объявлений -- SMTP, POP3, IMAP4, NNTP(Network News Transfer Protocol -- сетевой протокол распространения, запрашивания, размещения и получения групп);

- сервисы веб-почты -- mail.ru, mail.yandex.ru, mail.rambler.ru, qip.ru/pochta.ru, hotmail.com, mail.yahoo.com, gmail.com;

- службы обмена мгновенными сообщениями -- ICQ, MSN Messenger, Windows Live Messenger, Lync, AIM, Yahoo! Messenger, Jabber, Mail.Ru Агент, IRC, Skype;

- нешифрованные туннельные протоколы L2TP (Layer 2 Tunneling Protocol -- протокол туннелирования второго уровня) и IP-in-IP(Internet Protocol -- интернет протокол); передача файлов -- FTP, SMB, P2P(Server Message Block -- сетевой протокол прикладного уровня, peer-to-peer -- равный к равному).

В составе «Гарды Предприятие» присутствует собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данных, благодаря чему обеспечивается разбор и анализ зашифрованных протоколов, например HTTPS.

Поддерживается анализ содержимого в файлах следующих форматов:

- Microsoft Office -- Word, Excel, Access, PowerPoint;

- PDF (Portable Document Format -- межплатформенный формат электронных документов);

- простые текстовые файлы (Plain Text);

- архивы -- RAR, ZIP, ARJ, GZIP, TAR.

Кроме того, в системе анализа и поиска информации реализован механизм защиты от преобразования данных, то есть внедрения одного формата в другой. Например, если сотрудник попытается переименовать Word-файл в формат изображения, «Гарда Предприятие» обнаружит этот факт.

В решении заложены разнообразные технологии анализа для повышения точности выявления нарушений:

Лингвистический анализ -- поиск текстовой информации с учётом морфологии русского и английского языков.

Поддержка шаблонных данных -- обнаружение в потоке текста элементов, соответствующих шаблонам, заданным с помощью регулярных выражений, например паспортных данных или номеров кредитных карт.

Сохранение метаинформации и критериальный поиск -- анализатор «Гарды Предприятие» сохраняет всю метаинформацию по передаче данных, что позволяет осуществлять поиск информации на основе сигнатурных и других нетекстовых критериев -- тип данных (форматы файлов, виды информации), объём данных, протокол передачи, учетные записи пользователей и так далее.

Поиск похожих документов -- возможность поиска по фрагментам документов и отслеживание фактов передачи информации, разбитой по частям.

Распознавание изображений -- поиск данных в отсканированных документах и документах, сохраненных как изображение. Поддерживаются форматы JPEG, BMP, PNG, TIFF и PDF (Bitmap Picture -- формат хранения растровых изображений, Portable Network Graphics -- растровый формат хранения графической информации, Tagged Image File Format -- формат хранения растровых графических изображений).

Возможность синхронизации базы сотрудников с учётными записями из LDAP-каталога (Lightweight Directory Access Protocol -- «облегчённый протокол доступа к каталогам»), например из Active Directory.

Агент рабочих мест обладает дополнительными функциями, их настраивают централизованно. С помощью агента можно контролировать приложения, работающие на компьютерах сотрудников -- получать данные о запущенных процессах и времени их работы, а также обеспечить разграничение доступа к периферийному оборудованию -- разрешить или запретить отдельные устройства и обеспечить теневое копирование выводимой информации для последующего анализа.

Устанавливать, удалять и диагностировать агентов можно в режиме реального времени из единого интерфейса, без использования каких-либо дополнительных консолей. С помощью имеющихся в системе шаблонов они настраиваются как на отдельные рабочие места, так и на группы мест (и даже отделы или департаменты). Для дополнительного обеспечения безопасности шифруются соединения между агентами и серверной частью «Гарды Предприятие» [8].

На рис. 2.5 изображена схема внедрения DLP-системы в офисы компании. Благодаря данным схемам можно понять принцип работы системы, а также определить основные уязвимые места, которые необходимо блокировать.

Рис. 2.5 -- Схема внедрения DLP-системы АПК «Гарда Предприятие» 3.8

Анализ DLP-системы Zecurion Zgate 6.0.

В Zgate версии использованы инновационные технологии распознавания данных, существенно расширившие его функционал:

Метод опорных векторов SVM (Support Vector Machine), позволяющий максимально точно определить категорию анализируемых данных;

Zecurion ImagePrints, впервые используемая в DLP-системе, позволяет определять документы, содержащие конфиденциальные изображения, например, печати организации.

Обновлён сервер поиска. При сканировании перехваченных сообщений возможен поиск текста с учетом звучания, а при сравнении слов с базой отпечатков возможен учёт синонимов русского языка.

Главным инфраструктурным нововведением Zecurion Zgate стала возможность использовать собственный прокси-сервер (Zproxy) для перехвата и анализа большинства протоколов, включая HTTP/HTTPS и SOCKS. Zproxy обеспечивает выполнение и кеширование запросов к интернет-ресурсам по указанным запросам и ведёт их журналирование. С помощью консоли управления можно задавать правила доступа к интернет-ресурсам с различных компьютеров по конкретным критериям, например, по типу контента, адресам web-сайта и пр.

В новой версии расширена поддержка онлайн-сервисов: теперь Zgate контролирует популярные Dropbox, Google Drive, «Облако Mail.Ru», Яндекс.Диск и другие.

В арсенал Zecurion Zgate также была добавлена возможность создавать цифровые отпечатки информации из различных ИТ-систем и баз данных, в т. ч. SAP, 1C, SharePoint, Oracle Database и Microsoft SQL Server. Дополнительно в версии 5.0 была улучшена защита от попыток обмануть систему. Теперь Zecurion Zgate успешно определяет замаскированные файлы, например, Word-документ, «склееный» с PDF, и успешно анализирует тексты, в которые случайно или намеренно внесено много орфографических ошибок и опечаток.

Zecurion Zgate Agent позволяет перехватывать и анализировать информацию, которую удалённые сотрудники получают и отправляют через корпоративную и личную электронную почту, социальные сети, Dropbox, FTP или ICQ и другие мессенджеры. Для анализа информации используются все встроенные в Zecurion Zgate технологии от проверки по словарям до метода опорных векторов SVM. При обнаружении нарушений агент Zgate может запретить передачу, пропустить данные, сохранить их копию в специальном архиве незаметно для пользователей, а также уведомить офицера безопасности.

В Zgate версии 6.0 расширено создание цифровых отпечатков методом шинглов:

Отпечатки на основе слов или предложений. При анализе перехваченных сообщений возможен поиск текста с учётом звучания слов, что позволит более эффективно анализировать тексты со случайными ошибками или даже с намеренными искажениями;

Отпечатки текстов, содержащихся в базах данных. При сравнении текста с базой цифровых отпечатков возможен учет синонимов русского языка.

Список отчётности пополнился массой готовых шаблонов для различных отраслей. Кроме того, существенно расширились возможности разграничения доступа к конкретным отчётам:

- добавлена автогенерация отчетов по расписанию и их отправка по почте;

- добавлена настройка прав доступа к отчетам.

OCR-сервер (Optical Character Recognition) -- механический или электронный перевод изображений рукописного, машинописного или печатного текста в текстовые данные.

Веб-сервер получает графические файлы от других компонентов Zecurion Zgate и возвращает извлечённый из этих файлов текст. Данная функция позволяет существенно ускорить процесс распознавания текста в файлах с изображениями [13].

Основной принцип работы иллюстрирован на рис. 2.6:



Рис. 2.6 -- Схема работы DLP-системы Zecurion Zgate

Анализ DLP-системы Symantec Data Loss Prevention 14.5

Основные возможности:

Symantec расширяет действие решения по предотвращению утечки данных на облачные среды и все уязвимые каналы передачи информации, обеспечивая более полный и эффективный поиск, мониторинг и защиту информации:

- обнаружение данных в облаке, на мобильных устройствах и в локальных средах;

- отслеживание использования данных независимо от того, подключены ли сотрудники к корпоративной сети;

- защита данных от утечки или кражи -- независимо от их расположения или способа использования.

Новые функции:

Symantec Data Loss Prevention 14.5 предлагает новый набор функций защиты информации, основанных на применении лучшей в отрасли технологии предотвращения утечки данных, для более наглядного представления конфиденциальных данных и контроля над ними.

Продукт DLP 14.5 позволяет решить следующие задачи:

- защита форм, содержащих конфиденциальные данные. DLP Form Recognition, новый продукт для обнаружения содержимого на основе интеллектуальных методов обработки изображений, определяет и блокирует конфиденциальные данные в отсканированных или сфотографированных формах;

- защита конфиденциальных данных в облаке. Улучшенные компоненты, такие как Symantec DLP Endpoint Agent for Windows, DLP Cloud Storage и DLP Cloud Service for Email, обеспечивают безопасную работу с различными облачными приложениями, включая Box, Gmail и Microsoft Office 365, в корпоративной среде;

- удобное управление политиками в разных средах. Благодаря новой функции импорта и экспорта политик можно без труда переносить политики между экземплярами DLP Enforce Server;

- защита фрагментов документов в конечных точках. Поиск по индексированным документам в конечных точках -- это высокоэффективное средство обнаружения конфиденциальной информации, как в оригинальных, так и в модифицированных версиях документов на основе идентификационного кода данных;

- реализация более безопасных правил использования данных на компьютерах Mac и PC. Обновлённый компонент DLP Endpoint Agent обеспечивает расширенную поддержку новых операционных систем, типов файлов и наиболее популярных приложений для обмена конфиденциальной информацией в организациях, в том числе Mac OS 10.11, Microsoft Office 2016, Chrome и Box Sync;

- улучшенный контроль над данными, передаваемыми через Интернет. Доступны улучшенные функции мониторинга и блокирования веб-сайтов на основе протоколов HTTPS, HTTP и FTP благодаря новым средствам интеграции DLP Network Prevent for Web и прокси-серверов A10 и Zscaler;

- более детальное представление о данных, передаваемых по зашифрованным каналам. Улучшенные функции мониторинга информации, передаваемой по SSL-соединениям (Secure Sockets Layer -- уровень защищённых cокетов), для веб-сайтов, электронной почты, FTP и мгновенных сообщений благодаря новым средствам интеграции DLP Network Monitor и продуктов для расшифровки данных SSL от Blue Coat и Palo Alto.

Ключевые преимущества:

Максимально упрощена процедура защиты конфиденциальной корпоративной информации и обеспечения соответствия требованиям. Комплексный подход Symantec к защите информации учитывает расплывчатые границы современных систем безопасности, растущее число направленных атак, а также изменения в привычках и требованиях пользователей.

- расширяет область действия функций предотвращения утечки данных на облачные среды и мобильные устройства;

- расширяет границы применения политик обеспечения безопасности и соблюдения требований за пределы собственной сети;

- предоставляет проверенные методики развёртывания, интуитивно понятные инструменты управления инцидентами и политиками, а также обширную поддержку каналов с высокой степенью риска при минимальной общей стоимости владения [12].

Анализ «Комплекса информационной безопасности СёрчИнформ»

Согласно рис. 2.7 можно понять всё многообразие комплекса информационной безопасности СёрчИнформ. Благодаря компонентам анализа различного трафика начиная от анализатора вводимых символов с клавиатуры и заканчивая анализатором программ можно сделать вывод, что данная DLP-система имеет огромный вес при выборе продукта компаниями среди остальных конкурентов.



Рис. 2.7 -- Компоненты «КИБ Сёрчинформ»

Полная интеграция с доменной структурой Windows:

«КИБ СёрчИнформ» однозначно определяет, под учётной записью какого пользователя и с какого компьютера отправляется информация по email, ICQ или Skype, независимо от используемого почтового ящика, номера ICQ или аккаунта.

Неограниченные возможности расследования инцидентов:

DLP-система сохраняет в архив всю перехваченную информацию и, в случае необходимости, позволяет расследовать обнаруженный инцидент в соответствии с абсолютно новыми политиками безопасности.

Прозрачность связей внутри компании и за пределами:

Продукт анализирует связи сотрудников между собой и с внешними адресатами. Подобная карта взаимодействий позволяет быстро и эффективно проводить внутренние расследования.

Контроль разговоров сотрудников:

КИБ может записывать голоса с помощью любого обнаруженного микрофона (в гарнитурах, ноутбуке, веб-камере и т.д.) в офисе и за его пределами. Перехваченные записи сохраняются, к ним можно применять атрибутный поиск. Возможно и прослушивание разговоров в реальном времени с помощью функции «LiveSound».

Перехват содержимого экранов компьютеров:

DLP-система «СёрчИнформ» показывает, кто и какую информацию просматривает на экране монитора в рабочее время. КИБ сохраняет видеозаписи происходящего на экранах или отдельные снимки, а также позволяет подключиться к компьютеру для наблюдения в реальном времени (функция «LiveView»).

Контроль действий системного администратора:

Контроль событий журналов Active Directory позволяет выявлять подозрительные действия, которые могут совершаться сисадмином компании: создание/удаление пользователей, повышение/понижение привилегий и т.д.

Функция «поиск похожих»:

КИБ позволяет быстро и гибко настроить систему оповещения, не привлекая для этого сторонних специалистов. Требует минимальных трудозатрат на анализ информационных потоков.

Контроль ноутбуков:

DLP-система «СёрчИнформ» выявляет утечки информации через ноутбуки, используемые сотрудниками даже вне корпоративной сети (например, дома или в командировках).

Контроль содержимого компьютеров и общедоступных сетевых ресурсов:

С «КИБ СёрчИнформ» сотрудники безопасности могут отслеживать появление конфиденциальной информации в местах, для этого не предназначенных.

Отчеты по программному обеспечению и оборудованию:

Система контролирует ПО рабочих станций, а также оборудование, и сообщает об изменениях. Отчёты упрощают процесс инвентаризации и облегчают мониторинг ПО, что оптимизирует работу IT-отдела и страхует компанию от лишних расходов [11].

Анализ DLP-системы GTB Enterprise-Class DLP Suite

Анализ полученных данных:

Все полученные данные тщательно анализируются для принятия решения на основе заданных политик. Анализ информации идёт по различным атрибутам, применяются технологии контентного анализа и лингвистического анализа, сравнение с эталонными образцами.

Создание цифровых отпечатков, шаблонов и словарей защищаемой информации:

Для задания критериев конфиденциальной информации и загрузки их в общую базу данных GTB Inspector используется программа GTB Security Manager. Она позволяет создавать цифровые отпечатки с любого места сети (папки, сетевые папки, отдельные файлы).

Интеграция со сторонними решениями. Поддерживается интеграция со следующими системами:

- LDAP;

- Microsoft Active Directory;

- Прокси-серверами по протоколу ICAP;

- SIEM;

- поддержка шлюзов шифрования электронной почты Voltage, Zix, Secureworks, Secure Computing, PostX, Tumbleweed, Symantec, Frontbridge, Exchange, Postini Perimeter;

- системами облачного хранения данных DropBox, Evernote, Salesforce, Skydrive, Google Drive;

Система построения отчётности:

Для удобства, наглядности и обеспечения комфорта работникам службы безопасности, в GTB Enterprise-Class DLP Suite включена мощная и удобная система формирования отчётов, благодаря которой всегда можно отобразить наглядную картину действий сотрудников при работе с данными. Ведётся накопление инцидентов в архив для ретроспективного анализа событий, накопление статистических данных с возможностью [9].

...