Инсайдеры. Свежий взгляд на известную проблему
11 июня 2008 ИБИнформационная безопасность
#4, июнь 2008 г.
Владислав Ершов, ведущий системный аналитик, Открытые Технологии.
Немного о рынке...
Только ленивый не писал на тему инсайдерства. Однако даже не скажешь, что эта тема раздута. Проблема действительно существует, и примеров тому множество. Но оставим статистику более сведущим в ней коллегам.
Что же происходит с рынком защиты от утечек информации? Наверное, он созрел. Эту мысль подтверждают на Западе своими финансовыми вложениями в засветившиеся стартапы крупные игроки, такие как Symantec с Vontu, RSA Security с Tablus, Websense с Surfcontrol и другие, которые образовали счастливые пары и планируют долгую и богатую совместную жизнь... Думаю, что эти компании не относятся к тем, кто сорит деньгами.
В России ситуация иная, я бы сказал, что даже прямо противоположная. Здесь крупные ИТ-игроки выделяют отдельные компании для разработки продуктов класса DLP. Кто прав - покажет время.
Но оставим тему бизнеса в стороне. Взросление рынка, как и взросление живых организмов, сопровождается определенными качественными переменами. На них-то и стоит остановиться.
Развитие методологии: от темы утечек к теме злоупотреблений
Тема противодействия утечкам развивается: появляется осознание того, что важно не только обнаружить факт утечки в его завершающей стадии, а важно осуществлять контроль с момента доступа к информации. Не секрет, что разграничение доступа не является панацеей. Как бы гранулярно ни разграничивался доступ, всегда существует вероятность того, что сотрудник будет использовать свои легальные права для осуществления нелегальных действий в рамках деятельности компании. И речь может идти не только об утечках. Несанкционированная модификация информации в прикладной бизнес-системе может приводить к большему ущербу. А если говорить об утечках, то пользователю иногда достаточно записать нужную информацию на бумагу или, например, сфотографировать экран компьютера. В этом случае средства контроля принте-ров/почты/Web-трафика и т.п. будут бессильны.
Таким образом, защита информации от утечек уступает место обнаружению злоупотреблений пользователей. При этом расширился и спектр сценариев злоупотреблений, из которого можно выявить ряд общих этапов. Сначала осуществляется доступ к информации, затем манипуляция с ней (распечатка, пересылка или модификация) и в конечном счете -использование информации (или результата ее модификации) за пределами организации.
Технические решения
С новым пониманием проблемы появились и новые технические средства ее решения, направленные на мониторинг взаимодействия пользователей с прикладными системами. В некоторых случаях подобные средства позволяют блокировать подозрительную активность, но, в общем, это не является основной их целью.
При выполнении мониторинга действий пользователей решаются следующие задачи:
- своевременное выявление подозрительных действий в рамках прикладной системы (онлайн-режим);
- накопление информации для расследования инцидентов (оффлайн-режим).
При этом существенное значение имеет возможность корреляции данных из различных источников. Например, оператор контакт-центра обращается к CRM-системе, но при этом в системе регистрации звонков отсутствует факт обращения клиента.
Слово "корреляция" не должно здесь вводить в заблуждение. Безусловно, оно ассоциируется со средствами управления событиями ИБ (так называемые SIM). Но данный класс продуктов в первую очередь позволяет более эффективно и удобно обрабатывать события от первичных источников (средства защиты, сетевое оборудование, операционные системы и т.п.), а не обнаруживать нелегальные действия пользователей.
В случае контроля злоупотреблений пользователей внимание обращается на ту информацию, с которой непосредственно работал пользователь, - конкретные номера счетов, суммы транзакций, наименования клиентов и т.п.
Технические средства, которые позволяют решить поставленную задачу, можно разделить на следующие категории:
- средства контроля трафика к БД;
- средства контроля доступа к Web-приложениям;
- универсальные анализаторы трафика, имеющие возможность расширения (путем разработки коннекторов для интересующих протоколов);
- средства анализа данных, обнаружения злоупотреблений и расследования инцидентов.
В конкретном случае один продукт может сочетать в себе широкий набор функциональных возможностей. Как правило, в подобные средства заложены возможности масштабирования для территориально распределенных архитектур, наращивания производительности и обеспечения отказоустойчивой работы. Необходимо отметить еще одну особенность данного класса продуктов - возможность пассивного мониторинга без внесения изменений в программное обеспечение клиентских рабочих мест или серверов. Это, в свою очередь, дает инструмент в руки специалистов отделов ИБ и внутреннего контроля, который практически не зависит от ИТ-подразделения и не мешает его работе.
Из вышесказанного можно сделать вывод о том, что происходит смена парадигмы обеспечения информационной безопасности, появляются новые технические средства, а также реальная возможность решить задачи, с которыми традиционные средства обеспечения ИБ не способны справиться. Пришло ли время сделать шаг вперед?
Предыдущая новость:
От поставочных проектов к реальной интеграции
Следующая новость:
Суперкомпьютеры в России