Злоупотребления легальных пользователей. Новое в защите

10 июня 2007 ИБ
Информационная безопасность
#6, июнь 2006 г.
Павел Волков, начальник отдела ИБ, Открытые Технологии

Первым и основным рубежом защиты от злоупотреблений легальных пользователей должна стать система анализа информационного взаимодействия пользователей с автоматизированными системами, обрабатывающими защищаемую информацию. Ловить ненаивного субъекта имеет смысл, прежде всего, при доступе к информации. Но как? Ведь он легальный пользователь и должен иметь доступ к этим информационным объектам! К объектам - да, но к конкретной информации - нет.


Уж сколько раз твердили миру...

Наверное, я не открою тайны, если скажу, что сейчас только ленивый не говорит о проблемах, связанных с инсайдерами, внутренними злоумышленниками и т.п. Причем практически всегда рассматриваются исключительно аспекты либо предотвращения утечки информации из автоматизированной системы, либо вопросы мотивации сотрудников организации, чтобы они эту информацию сами не раскрывали. С другой стороны, практически все производители операционных систем и прикладного ПО твердят о наличии в их системах средств разграничения доступа, поддержки технологий Identity&Access Management, аудита, усиленной/многофакторной аутентификации и т.п. Однако если мы настолько хорошо понимаем проблему и имеем все необходимые технические и организационные инструменты ее решения, то почему же она еще не решена?


Смена парадигм

Вы, конечно, можете сказать: "У нас в бюджете уже заложены средства на системы контентной фильтрации, USB-порты уже заблокированы, и в будущем году все станет хорошо!" Пожалуй, я соглашусь с двумя важными частями этого высказывания - во-первых, эти системы действительно необходимо внедрить, а вовторых, после их внедрения все действительно станет совсем по-другому.

Но станет ли лучше? Сначала - да, но по мере распространения внутри компании информации о наличии таких систем - станет существенно хуже. Ведь как говорят психологи, наивный субъект тем и хорош, что предсказуем! А человек, включившийся в "увлекательную" игру по преодолению защитной системы, куда как менее предсказуем. Да и не отличаются любые современные системы контентной фильтрации высокой эффективностью. Поймать вордовый файл в приложении к письму они могут, а что-то более сложное - уже не факт.

Сейчас мы имеем возможность наблюдать очередной процесс смены парадигм. Меняется одна из основных идей, лежащих в основе современных методов обеспечения ИБ. Вдобавок к идее управления субъектно-объектными отношениями (управления доступом человека или процесса к информационному объекту - записи в БД/файлу и т.п.) появляется идея управления субъектно-информационными отношениями. Причем информация перестает рассматриваться внеконтекстно - как некий объект автоматизированной системы, и принципиально важным становится не то, в каком файле или в какой ячейке памяти лежит информация, а ее содержание.

К огромному сожалению, практика создания больших автоматизированных систем показала, что, используя только парадигму управления субъектно-объектных отношений, практически невозможно однозначно разграничить полномочия доступа к информации, не остановив работу всей системы. Увы, но процессы обработки информации в современных автоматизированных системах требуют предоставления пользователю существенно больших полномочий, чем нам бы хотелось.

Именно тут появляется новая идея. Ведь если гранулярность управления на уровне объектов автоматизированной системы недостаточна, то необходимо смотреть внутрь объекта и различать сведения, содержащиеся там.

Собственно говоря, одними из первых систем, в которых используется идея управления субъектно-информационными отношениями, стали именно системы контентной фильтрации. Ведь доступ к Web, электронной почте и т.п. просто иначе и не проконтролируешь!

Но, как показывает практика, это только полумера. Поздно ловить ненаивного субъекта в почте, Web или при записи им информации на USB-диск. На этих стадиях информация может быть уже неузнаваема.




Предыдущая новость:
Олег Гизатуллин об информатизации органов власти
Следующая новость:
Стратегия реализации эффективных проектов в энергетике