Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.
В этой статье я хочу поделиться своим опытом по решению задачи защиты информации от кражи персоналом. Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.
Постановка задачи
Построить систему защиты информации от кражи персоналом в ЛВС на базе Active Directory Windows 2000/2003. Рабочие станции пользователей под управлением Windows XP. Управление предприятием и бухгалтерский учет на базе продуктов 1С.Секретная информация хранится тремя способами:
- БД 1С - доступ по сети через RDP (терминальный доступ);
- расшаренные папки на файловых серверах - доступ по сети;
- локально на ПК сотрудника;
Что есть на рынке
Рассматриваемые системы я разделил на три класса:- Системы на основе контекстных анализаторов - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет и т.п.
- Системы на основе статической блокировки устройств - DeviceLock, ZLock, InfoWatch Net Monitor.
- Системы на основе динамической блокировки устройств - SecrecyKeeper, Страж, Аккорд, SecretNet.
Системы на основе контекстных анализаторов
Принцип работы:В передаваемой информации ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи.
Максимальными возможностями среди перечисленных продуктов, на мой взгляд, обладает InfoWatch Traffic Monitor (www.infowatch.ru). За основу взят неплохо себя зарекомендовавший движок Касперский Антиспам, наиболее полно учитывающий особенности русского языка. В отличии от остальных продуктов, InfoWatch Traffic Monitor, при анализе учитывает не только наличие определенных строк в проверяемых данных, но и заранее заданный вес каждой строки. Таким образом при принятии окончательного решения, учитывается не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются, что позволяет повысить гибкость анализатора. Остальные возможности стандартны для такого рода продуктов - анализ архивов, документов MS Office, возможность блокировки передачи файлов неизвестного формата или запароленных архивов.
Недостатки рассмотренных системы на основе контекстного анализа:
- Контролируются только два протокола - HTTP и SMTP (для InfoWatch Traffic Monitor, причем для HTTP трафика проверяются только данные передаваемые с помощью POST-запросов, что позволяет организовать канал утечки с помощью передачи данных методом GET);
- Не контролируются устройства переноса данных - дискеты, CD, DVD, USB-диски и т.п. (У Инфовотч на этот случай есть продукт InfoWatch Net Monitor).
- для обхода систем построенных на основе контентного анализа, достаточно применить простейшую кодировка текста (например: секрет -> с1е1к1р1е1т), либо стеганографию;
- следующая задача не решается методом контентного анализа - подходящего формального описания в голову не приходит, поэтому просто приведу пример: есть два екселевских файла - в первом розничные цены (публичная информация), во втором - оптовые для определенного клиента (закрытая информация), содержимое файлов различается только цифрами. С помощью контентного анализа эти файлы различить нельзя.
контекстный анализ годится только для создания архивов трафика и противодействия случайной утечки информации и поставленную задачу не решает.
Системы на основе статической блокировки устройств
Принцип работы:пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам. В принципе практически такого же эффекта можно добиться используя штатные механизмы Windows.
Zlock (www.securit.ru) - продукт появился сравнительно недавно, поэтому имеет минимальный функционал (рюшечки я не считаю), да и отлаженностью он не отличается, например, консоль управления иногда падает при попытке сохранить настройки.
DeviceLock (www.smartline.ru) - продукт более интересный, на рынке достаточно давно, поэтому работает значительно стабильнее и функционал имеет более разнообразный. Например, позволяет выполнять теневое копирование передаваемой информации, что может помочь в расследовании инциндента, но не в его предотвращении. Кроме того, такое расследование скорее всего будет проводится тогда, когда об утечке станет известно, т.е. спустя значительный промежуток времени после того, как она произойдет.
InfoWatch Net Monitor (www.infowatch.ru) состоит из модулей - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor является аналогом Zlock, стандартный функционал, без изюма. FileMonitor - контроль обращения к файлам. OfficeMonitor и AdobeMonitor позволяют контролировать работу с файлами в соответствующих приложениях. Придумать полезное, а не игрушечное, применение для FileMonitor, OfficeMonitor и AdobeMonitor в настоящее время достаточно затруднительно, но в будующих версиях должна появится возможность контекстного анализа по обрабатываемым данным. Возможно тогда эти модули и раскроют свой потенциал. Хотя стоит заметить, что задача контекстного анализа файловых операций не является тривиальной, особенно если база контентной фильтрации будет таже, что и в Traffic Monitor, т.е. сетевой.
Отдельно необходимо сказать о защите агента от пользователя с правами локального администратора.
В ZLock и InfoWatch Net Monitor такая защита просто отсутствует. Т.е. пользователь может остановить агента, скопировать данные и снова запустить агента.
В DeviceLock такая защита присутствует, что является несомненным плюсом. Она основана на перехвате системных вызовов работы с реестром, файловой системой и управления процессами. Еще одним плюсом является то, что защита работает и в safe-mode. Но есть и минус - для отключения защиты достаточно восстановить Service Descriptor Table, что можно сделать загрузив простенький драйвер.
Недостатки рассмотренных систем на основе статической блокировки устройств:
- Не контролируется передача информации в сеть.
- -Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
- Отсутствует либо легко обходится защита от выгрузки агента.
Вывод:
внедрять подобные системы не целесообразно, т.к. поставленную задачу они не решают.
Системы на основе динамической блокировки устройств
Принцип работы:доступ к каналам передачи блокируется в зависимости от уровня допуска пользователя и степени секретности информации с которой ведется работа. Для реализации этого принципа указанные продукты используют механизм полномочного разграничение доступа. Этот механизм встречается не очень часто, поэтому остановлюсь на нем подробнее.
Полномочный (принудительный) контроль доступа в отличие от дескриционного (реализованного в системе безопасности Windows NT и выше), заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь наделенный особыми полномочиями - офицер или администратор информационной безопасности.
Основной целью разработки продуктов типа Страж, Аккорд, SecretNet, DallasLock и еще некоторых, являлась возможность сертификации информационных систем в которых данные продукты будут установлены, на соответствие требованиям Гостехкоммисии (сейчас ФСТЕК). Такая сертификация обязательна для информационных систем в которых обрабатывается гос. тайна, что в основном и обеспечивало спрос на продукты со стороны гос предприятий.
Поэтому, набор функций реализованных в данных продуктах определялся требованиями соответствующих документов. Что в свою очередь повлекло тот факт, что большая часть реализованного в продуктах функционала, либо дублирует штатный функционал Windows (очистка объектов после удаления, очистка ОЗУ), либо его неявно использует (дескрицирнный контроль доступа). А разработчики DallasLock пошли еще дальше, реализовав мандатный контроль доступа своей системы, через механизм дескриционного контроля Windows.
Практическое применение подобных продуктов крайне не удобно, например DallasLock для установки требует переразбивки жесткого диска, которую к тому же надо выполнять с помощью стороннего ПО. Очень часто после прохождения сертификации эти системы удалялись или отключались.
SecrecyKeeper (www.secrecykeeper.com) еще один продукт, реализующий полномочный механизм контроля доступа. По словам разработчиков, разрабатывался SecrecyKeeper именно для решения конкретной задачи - предотвращение кражи информации в коммерческой организации. Поэтому, опять же со слов разработчиков, особое внимание при разработке уделялось простоте и удобству использования, как для администраторов системы так и для простых пользователей. Насколько это удалось - судить потребителю, т.е. нам. Кроме того в SecrecyKeeper реализован ряд механизмов, которые в остальных упомянутых системах отсутствуют - например возможность устанавливать уровень секретности для ресурсов с удаленным доступом и механизм защиты агента.
Контроль перемещения информации в SecrecyKeeper реализован на основе Уровня Секретности Информации, Уровней Допуска Пользователя и Уровня Безопасности Компьютера, которые могут принимать значения public, secret и top secret. Уровень Секретности Информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:
public - не секретная информация, при работе с ней никаких ограничений нет;
secret - секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя;
top secret - совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя.
Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.
Уровни Допуска Пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее Уровня Секретности. Существуют следующие Уровни Допуска Пользователя:
Уровень Допуска Пользователя - ограничивает максимальный Уровень Секретности Информации к которой, может получить доступ сотрудник;
Уровень Допуска к Сети - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;
Уровень Допуска к Сменным Носителям - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может копировать на внешние носители.
Уровень Допуска к Принтеру - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может распечатать.
Уровень Безопасности Компьютера - определяет максимальный Уровень Секретности Информации, которая может храниться и обрабатываться на компьютере.
Доступ к информации имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается.
Доступ к информации имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.
Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.
Пример: пусть сотрудник имеет Уровень Допуска равный top secret, Уровень Допуска к Сети равный secret, Уровень Допуска к Сменным Носителям равный public и Уровень Допуска к Принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию.
Для управления распространением информации на предприятие каждому компьютеру закрепленному за сотрудником, присваивается Уровень Безопасности Компьютера. Этот уровень ограничивает максимальный Уровень Секретности Информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Т.о. если сотрудник имеет Уровень Допуска равным top secret, а компьютер на котором он в данный момент работает имеет Уровень Безопасности равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.
Вооружившись теорией попробуем применить SecrecyKeeper для решения поставленной задачи. Упрощенно описать информацию, обрабатываемую в информационной системе рассматриваемого абстрактного предприятия (см. постановку задачи), можно с помощью следующей таблицы:
| Виды информации | Содержание | Место хранения | Уровень секретности |
| Бухгалтерская | бухгалтерия | база 1С | секретная |
| Производственная | планы, аналитика, отчеты и т.п. | сетевые диски и локально | секретная |
| Кадровая | персональные данные | база 1С | секретная |
| Общая | приказы, распоряжения и т.п. | сетевые диски и локально | общедоступная |
Сотрудников предприятия и область их должностных интересов описывается с помощью второй таблицы:
| Сотрудники | Право на доступ | Право на распространение |
| директор | к любой информации | есть |
| менеджер | кроме бухгалтрской и кадровой | нет |
| кадровик | только к кадровой | нет |
| бухгалтер | сетевые диски и локально | можно копировать на флешку |
| секретарь | только к общей | нет |
пусть на предприятии используются следующие сервера:
Сервер 1С
Файловый сервер с шарами:
SecretDocs - содержит секретные документы
PublicDocs - содержит общедоступные документы
Замечу, что для организации стандартного разграничения доступа используются штатные возможности операционной системы и прикладного ПО, т.е. для того, чтобы предотвратить доступ например менеджера к персональным данным сотрудников, дополнительных систем защиты вводить не надо. Речь идет именно о противодействии распространению информации, к которой сотрудник имеет законный доступ.
Переходим к непосредственной настройки SecrecyKeeper.
Процесс установки консоли управления и агентов описывать не буду, там все максимально просто - см. документацию к программе.
Настройка системы состоит из выполнения следующих действий.
Шаг 1. Установить агенты на все ПК кроме серверов - это сразу позволяет предотвратить попадание на них информации для которой установлен Уровень Секретности выше чем public.
Шаг 2. Присвоить сотрудникам Уровни Допуска в соответствии со следующей таблицей:
| Уровень Допуска Пользователя | Уровень Допуска к Сети | Уровень Допуска к Сменным Носителям | Уровень Допуска к Принтеру | |
| директор | secret | secret | secret | secret |
| менеджер | secret | public | public | secret |
| кадровик | secret | public | public | secret |
| бухгалтер | secret | public | secret | secret |
| секретарь | public | public | public | public |
Шаг 3. Присвоить Уровни Безопасности Компьютера следующим образом:
| Компбютер сотрудника | Уровень Безопасности Компьютера |
| директор | secret |
| менеджер | secret |
| кадровик | secret |
| бухгалтер | secret |
| Секретарь | public |
Шаг 4. Настроить Уровни Секретности Информации на серверах:
| Сервер | Ресурс | Уровень Секретности Информации предоставляемой ресурсом |
| Сервер 1С | порт 3389 | secret |
| Файловый сервер | шара SecretDocs | secret |
| Файловый сервер | шара PublicDocs | public |
Шаг 5. Настроить Уровни Секретности Информации на ПК сотрудников для локальных файлов. Это самая трудоемкая часть, так как необходимо четко представлять, кто из сотрудников с какой информацией работает и насколько эта информация является критичной. Если в организации был проведен аудит информационной безопасности, его результаты могут значительно облегчить задачу.
Шаг 6. При необходимости SecrecyKeeper позволяет ограничить список программ разрешенных к запуску пользователям. Этот механизм реализован независимо от Windows Software Restriction Policy и может использоваться если например надо наложить ограничения и на пользователей с правами администратора.
Таким образом с помощью SecrecyKeeper, возможно значительно снизить риск несанкционированного распространения секретной информации - как утечки, так и кражи.
Недостатки:
- трудность с первоначальной настройкой уровней секретности для локальных файлов;
Общий вывод:
максимальные возможности по защите информации от инсайдеров предоставляет ПО обладающее возможностью динамически регулировать доступ к каналам передачи информации, в зависимости от степени секретности информации с которой ведется работа и уровня допуска сотрудника.