 |
|
 |
|
Угрозы предприятию "изнутри" и как с ними бороться
М. Боталичев
Угрозы предприятию "изнутри" и как с ними бороться
Когда встает вопрос о защите информации, то возникает встречный вопрос
- от кого ее следует защищать? Если обратиться к статистике, то ее
цифры таковы: до 70-80% всех компьютерных преступлений связаны с внутренними
нарушениями, т.е. осуществляются сотрудниками компании. Нынешними или
уволенными.
"Наиболее опасным для организации является доступ к информации через
внутреннюю сеть", - считает Николай Ионов, руководитель центра технической
поддержки фирмы "Антивирусный центр". По его мнению, руководители многих
организаций самым опасным считают взлом через Интернет и предпринимают
какие-то меры защиты, а вот в отношении внутренней сети проявляют порой
недопустимую халатность. "Во многих фирмах я наблюдал такую картину: в качестве
паролей доступа к машине используется цифра 1. А более сложные пароли сотрудники
пишут на бумажке и приклеивают к монитору компьютера! О какой безопасности здесь
может идти речь?" - отмечает Николай Ионов.
Эксперт по информационной
безопасности, системный администратор ООО "Промопост" Денис Волков: "Один из
самых распространенных видов информационного шпионажа - похищение редких
клиентских баз. И проще всего украсть базу через внутреннюю сеть. Обычно для
этого на должность, скажем, торгового менеджера в фирму устраивается специалист
по информационным технологиям. Недавно меня приглашали для проверки
информационной безопасности в одну из московских фирм, и там был смоделирован
именно такой вариант". Получив в распоряжение возможности, которые фирма
предоставляет каждому рядовому сотруднику, "засланный казачок" за два дня смог
украсть клиентскую базу, которую потерпевшая организация оценивает в несколько
сотен тысяч долларов.
Злоумышленник, использующий уязвимости в системе защиты и проникший в сеть
извне, скорее всего, будет находиться в растерянности, не зная, какая именно из
открытой перед ним информации является ценной, а какая - бесполезным хламом.
"Свой" сотрудник, проникший в корпоративную сеть, особенно опасен. Он знает, что
к чему. Он может реально оценить стоимость той или иной информации. И зачастую
он обладает привилегиями, которые не являются необходимыми для него.
Причин, по которым сотрудник может воспользоваться не предназначенной для
него информацией, множество. Однако наиболее распространенным следует считать
неудовлетворенность своим положением, статусом или зарплатой, затаенная обида и
т.д. Можно привести массу случаев, когда сотрудник, полагая, что его на работе
не ценят, совершал компьютерное преступление, приводящее к многомиллионным
убыткам.
Другой пример - сотрудник при увольнении затаил обиду на весь свет и хочет
отомстить своим обидчикам, т.е. компании или ее руководству. Если в своей работе
он имел достаточно широкие права, то, используя их, он может существенно
навредить и после своего ухода. Ведь обычно увольнение сотрудника сопровождается
изъятием у него пропуска и все. Во всех компьютерных базах запись о нем, как
правило, остается, и он по-прежнему может использовать вычислительные ресурсы
компании в своих целях. В "лучшем" случае особого вреда не нанесет. Например,
известен случай, когда после увольнения бывший сотрудник отдела автоматизации
одной компании еще в течение года пользовался доступом в Интернет,
зарегистрированным на данную компанию. При увольнении этого сотрудника никто не
удосужился сменить пароли, к которым он имел доступ в рамках своих служебных
обязанностей. На самом деле никто так и не заметил, что бывший сотрудник
пользуется доступом в Интернет, и он мог продолжать наносить ущерб своей бывшей
компании. Этот случай достаточно показательный, т.к. иллюстрирует очень
распространенную практику увольнения в российских компаниях.
Однако, самая большая беда может исходить не от уволенных или обиженных
обычных сотрудников, а от тех, кто облечен очень большими полномочиями и имеет
доступ к широкому спектру самой различной информации. Обычно это сотрудники
отделов автоматизации, информатизации и телекоммуникаций, которые знают пароли
ко всем системам, используемым в организации. Их квалификация, знания и опыт,
используемые во вред, могут привести к очень большим проблемам. Кроме того,
таких специалистов очень трудно обнаружить, поскольку они обладают достаточными
знаниями о системе защиты.
Злоупотребление сотрудников корпоративным доступом в Интернет - пожалуй, одна
из самых злободневных проблем. По статистике, на личную переписку с рабочего
места, а также на чтение различных развлекательных рассылок, люди ежедневно
тратят до одного часа рабочего времени, причем грешит этим подавляющее
большинство.
Средства защиты
Способы защиты информации можно подразделить на
организационные и программно-технические.
Организационные меры
Специалист фирмы "ЭЛВИС ПЛЮС" Роман
Кобцев использовал интересное сравнение: "Разница между западным подходом к
защите информации и российским в том, что у них система напоминает ежика, где
каждая иголка - доступ к определенному участку информации. Если такая иголочка
была использована не по назначению, ее выдергивают, то есть закрывают доступ.
Российская же система больше напоминала яблоко, в которое втыкают спички.
Сначала она абсолютно гладкая, то есть закрытая. Нужен какой-то доступ -
рассмотрим вопрос, и, может быть, воткнем в яблоко иголку. И там, где до сих пор
действуют советскими методами, уровень безопасности выше". Расшифровка образа
яблока выглядит так: изначально сотрудник получает опломбированный компьютер без
выхода в Интернет, без доступа к внутренней сети, без дисковода и без CD-ROM. В
этом случае возможность украсть что-либо приближается к нулю.
Программные методы защиты
Для защиты от описанных выше
посягательств на информацию недостаточно применять организационные меры, обычные
антивирусные системы, средства обнаружения атак или межсетевые экраны.
Нужны
другие средства, к которым можно отнести системы контроля содержимого (content
filtering).
Системы контроля содержимого могут быть разделены на две главных
категории:
· системы, просматривающие сообщения электронной почты,
· системы, анализирующие Web-трафик.
При этом спектр возможностей
обеих категорий, который существенно меняется от производителя к производителю,
достаточно широк:
· Анализ ключевых слов и фраз в сообщениях
электронной почты, Web-трафике и запрашиваемых HTML-страницах. Данная
возможность позволяет обнаружить и своевременно предотвратить утечку
конфиденциальной информации, посылку сотрудниками резюме и спама, а также
передачу других материалов, запрещенных политикой безопасности. Очень интересной
является возможность анализа запрашиваемых HTML-страниц, реализованная в системе
WEBsweeper. С ее помощью можно отказаться от механизма блокировки URL,
используемого многими межсетевыми экранами и другими системами контроля
содержимого, и независимо от адреса, запрашиваемой страницы (в т.ч. и
динамически создаваемой) анализировать ее содержание.
· Контроль
отправителей и получателей сообщений e-mail, а также адресов, к которым (и от
которых) идет обращение к Web-серверам и иным ресурсам Интернет. Данная
возможность позволяет выполнять фильтрацию почтового или Web-трафика, тем самым,
реализуя некоторые функции межсетевого экрана.
· Обнаружение
подмены адресов сообщений электронной почты, которое очень часто
используется спамерами и другими нарушителями.
· Антивирусная
проверка содержимого электронной почты и Web-трафика, которая позволяет
обнаружить, вылечить или удалить вирусы, троянские кони и Интернет-черви.
· Контроль размера сообщений, не позволяющий передавать
сообщения большого размера или позволяющий временно откладывать их передачу до
того момента, когда канал доступа в Интернет будет менее всего загружен
(например, в нерабочее время).
· Контроль числа и типа вложений в
сообщения электронной почты, а также контроль файлов, передаваемых в рамках
Web-трафика. Это одна из самых интересных возможностей, которая позволяет
анализировать не просто текст сообщения, но и текст, содержащийся в том или ином
файле, например, в документе Word или архиве ZIP. Помимо указанных форматов
некоторые системы могут также распознавать и анализировать видео- и аудио-файлы,
графические изображения, PDF-файлы, исполняемые файлы и даже зашифрованные
сообщения. Система PORNsweeper компании Baltimore Technologies позволяет
распознавать в большом числе графических форматов порнографические картинки.
Вывод о присутствии порнографии в файле делается на основании сложных
математических вычислений и запатентованных алгоритмов.
· Контроль
и блокирование cookies, а также мобильного кода Java, ActiveX, JavaScript,
VBScript и т.д.
· Реализации различных вариантов реагирования
- удаление или временное блокирование сообщения, вырезание запрещенного
вложения, лечение зараженного файла, копирование сообщения администратору
безопасности или начальнику нарушителя с уведомлением как администратора
безопасности, так и отправителя/получателя сообщения, нарушающего политику
безопасности.
Если информационная система очень большая, то у отдела технической защиты
информации не хватает времени на то, чтобы контролировать все действия всех
сотрудников. Поэтому необходимо сосредоточить внимание только на особо важной,
конфиденциальной информации компании, распространение которой недопустимо. В
этих целях, как правило, реализуется так называемое полномочное управление
доступом, суть которого состоит в следующем: для каждого пользователя
устанавливается некоторый уровень допуска к конфиденциальной информации.
Каталогам или файлам назначается категория конфиденциальности, например,
"конфиденциальная информация", "строго конфиденциальная информация". При этом
доступ к файлу пользователь получит только в том случае, если его уровень
допуска не ниже, чем уровень конфиденциальности файла.
Однако, полномочное
управление доступом кроме разграничения доступа имеет еще ряд полезных и
интересных функций, которые позволяют контролировать действия пользователя с
конфиденциальным ресурсом:
· Контролируется перемещение документа.
Используется контроль потоков, при котором, например, "конфиденциальный"
документ нельзя переместить в "неконфиденциальную" директорию.
· Контролируется буфер обмена операционной системы, т.е. невозможно,
используя буфер обмена, сделать копию всего документа или его части.
· Регистрируется печать конфиденциального документа. При этом в журнале
регистрации фиксируется - кто выполнял печать, сколько распечатано копий, когда
и с какого компьютера.
Данных функций достаточно, чтобы выявить несанкционированное копирование
конфиденциальной информации или ее распечатку, а также выявить, права каких
пользователей превышают ограничения, установленные политикой безопасности,
принятой в компании.
|
вернуться назад
