Техническая защита коммерческой тайны
Коммерческая тайна и проблема её защиты - очень распространённая тема дискуссий в современном бурно развивающемся IT-сообществе. Как показывает статистика по данным на 2013 год, 20% сотрудников коммерческих структур сами признаются в желании продать родную компанию, а дела по разглашению КТ раскрываются лишь на 7%, тогда как грамотность IT-директоров России отнюдь не назовёшь приемлемой. Одновременно, ценность информации, составляющей коммерческую тайну, всё растёт и растёт.
В предыдущей статье Защита информации от утечек или снова о коммерческой тайне и бизнесе мы рассмотрели организационные вопросы защиты ценной коммерческой или просто подлежащей защите информации (ПДн, банковская тайна и т.д.) от утечек. В текущей статье рассмотрим технические аспекты, которые могут ощутимо помочь практически любой современной IT-компании, которой, что называется, есть, что скрывать.
Речь пойдёт о таких технических и интеллектуальных новшествах для защиты информационных ценностей, как DLP, SIEM, IPS / IDS - системы, а также их эффективность и аспекты применимости.
Про инсайдинг (утечки информации через инсайдеров) особенно активно начали говорить только в последние годы, но представители многих ИБ-фирм (и СИБ, и Код безопасности, и Softline, и StoneSoft) говорят всем голосом одно: скорее, не инсайдеров или утечек стало больше, а просто компании лучше увидели реальную картину – прозрели. А почему прозрели и кто? Вот как раз те, кто начал потихоньку внедрять системы класса DLP / IPS / SIEM, позволяющие выявить то, что уходит из фирмы. Даже не бороться – просто посмотреть. В режиме не защиты от утечек, а в режиме анализа, дабы потом смотреть – кто, что и куда отправляет. Внедрить можно куда угодно. Интересно было бы куда-нибудь в бухгалтерию: реальная статистика показывает, что практически все (а некоторые безопасники говорят, что абсолютно) бухгалтерии отправляют информацию за границу периметра. Что б она оттуда не утекала – это просто феномен, а не фирма. А бухгалтерия - это вещь, которая конкурентам и не только более, чем интересна.
Далее. Все рассуждения о защите коммерческой тайны начались с того, что в современном информационном (относительно) обществе специфика такова, что человек, работающий по должности с коммерческой тайной, практически всегда имеет доступ в Интернет, часто - и в демилитаризованные зоны сети, где особых мер защиты уже нет (логика инсайдера в таком случае в объяснениях не нуждается). Что происходит в итоге. Ограничивать доступ на сетевом уровне через файерволы нельзя, ибо не сможет работать (а говоря про Интернет, так вообще труба: закрыть HTTP, значит, закрыть интернет, а закрыть интернет…). Даже говоря о сетевом уровне, следует учитывать, что стандартные пути защиты через файерволы и ограничения на прокси уже не выдерживают никакой критики: есть анонимайзеры, дающие доступ ко всем мессенджерам, да ещё и через SSL, а можно и просто VPN-подключение создать (если есть права, правда) и таким образом просто открыть VPN-доступ к внутренней сети кому угодно (совсем "здорово"). В итоге, информация может абсолютно свободно утекать. Любые DLP в стандартном режиме работы свободно обходятся, способов можно привести много: фото экрана компьютера, скриншоты на внутреннем терминальном сервере с отправкой по почте, архивирование с AES-ым шифрованием и много-много другого.
Традиционные методы защиты от утечек никакой реальной безопасности не дают и дать не могут. Именно поэтому на рынок ИБ постепенно приходят (да что там постепенно – уже почти 10 лет маршируют твёрдым шагом) файерволы не сетевого уровня, а прикладного. Защищать в современном мире мощного информационного обмена надо не периметр, а данные. Защищать информацию. Смотреть и блокировать надо не только траффик между недоверенными зонами, а траффик, исходя из его содержательного анализа. И конечно, поведенческого анализа: есть традиционные модели поведения того же бухгалтера – использует сетевые соединения в ERP-системе, которая обменивается данными с каким-нибудь ЦОДом, внутрикорпоративными ресурсами, ещё пару таких вещей, иногда пусть ходит на почту mail.ru, смотрит письма и погоду на gismeteo, а тут вдруг у неё появилась почта на yandex и ходит туда она с завидным постоянством, или начала зачем-то использовать ftp-протокол (о_О). Это и есть поведение. Про контентный анализ понятно. Вообще, системы класса SIEM, IPS / IDS, да и DLP – всё это весьма обширные тенденции современного рынка IT. Почти все средства ИБ начинают переходить на защиту именно данных, на прикладной уровень: даже антивирусы, если раньше сканировали файлы по чётким сигнатурам, то уже давненько помимо сигнатур используются поведенческие модели (полуопределённые шаблоны), эвристические модели полиморфных сигнатур и т.д. и т.п. Вирусы стали полиморфными, инсайдеры стали разумными, а вот простые сотрудники в вопросах ИБ не сильно-то продвинулись и даже об элементарных мерах часто не знают.
Касательно применимости DLP-систем и вопросов 24-й статьи Конституции о вреде бессовестного чтения почты сотрудников представителями службы ИБ и/или руководства компании, отвечу следующее: да, проблема существует, читать нельзя, НО: DLP-система - это просто робот, который работает автоматически без участия человека в процессе анализа, и доступ админов к обрабатываемому траффику она не подразумевает, потому стандартные режимы работы противоречий тут никаких и ни с чем не вызывают. DLP-система как таковая не очень эффективна, говоря о стандартных режимах работы, ибо любая DLP-система легко обходится, - DLP-система эффективна в режиме скрытой работы (скрытого мониторинга). Когда сотрудник не подозревает о её существовании. Если мы оповестим всех о наличии такой системы, то фактически сообщим инсайдеру, что дескать вот эти пути мы тебе закрыли, ищи новые методы (коих очень много). Далее, при выявлении системой подозрения на утечку, безопасник подходит к потенциальному инсайдеру и говорит: «а покажи-ка, что у тебя в том-то письме, не утащил ли ты там конфу», - и человек становится в логическую вилку: либо он показывает (добровольно, т.е. мы не нарушаем Конституцию) и себя раскрывает, либо же не показывает, признавая по факту свою вину и его увольняют, ничего не читая (вопрос причины - это уже вопрос чисто техники, который легко и кем угодно решается (в таком случае обычная "в силу утраты доверия" при работе с конфой пойдёт).
A.S.
