Con la diffusa distribuzione di tutti i tipi di unità rimovibili, il problema dell'insider trading, che in precedenza era abbastanza rilevante, ha acquisito una scala davvero globale. E questo non è assolutamente sorprendente. Oggi, qualsiasi dipendente che ha accesso a informazioni riservate può facilmente e, soprattutto, impercettibilmente copiarlo a se stesso e utilizzarlo in futuro per vari scopi. Ed è positivo se questo è solo il desiderio di lavorare solo con i contratti di casa. Sebbene questa azione, indipendentemente dalle intenzioni dell'intruso, aumenti drasticamente il rischio di compromissione dei dati (i computer di casa sono generalmente meno sicuri, diverse persone possono sedersi su di essi e l'unità potrebbe andare persa). Ma un dipendente può copiare informazioni per trasmetterle ai concorrenti o utilizzarle per i loro scopi personali. L'esempio più semplice e ovvio di ciò è copiare la base di clienti (o contratti con loro) prima di essere licenziati allo scopo di attirarli in un'altra società.
Il problema principale è che è impossibile difendersi da questo metodo di furto di informazioni utilizzando strumenti standard, ovvero integrati nei sistemi operativi. Prendi, ad esempio, un'unità flash USB. Sono piccoli, economici ed estremamente capienti. Con il loro aiuto, i dipendenti possono "trasferire" discretamente gigabyte di informazioni dal sistema informativo aziendale. Tuttavia, è impossibile scollegare semplicemente le porte USB sulle workstation: oggi sono necessarie per collegare molti dispositivi: stampanti, tastiere, mouse, chiavi per il funzionamento del software, ecc. Inoltre, non dobbiamo dimenticare altre opzioni per il furto di informazioni, ad esempio sull'utilizzo di CD / DVD, telefoni cellulari, ecc. Anche una normale stampante può essere una minaccia. Dopotutto, il dipendente ha l'opportunità di stampare informazioni riservate e portare le stampe a casa. Tuttavia, non possono neanche essere spenti, poiché di solito tutti questi dispositivi sono necessari per consentire ai dipendenti di svolgere le proprie funzioni ufficiali.
L'unico modo per proteggere l'azienda dal furto di informazioni riservate attraverso varie unità rimovibili è introdurre un sistema di restrizione e controllo sul loro utilizzo. È implementato utilizzando un software speciale. Per qualche ragione, molte aziende sono fiduciose che tali prodotti siano molto complessi e per la loro implementazione e manutenzione sono necessarie alcune qualifiche speciali. Tuttavia, questo è completamente sbagliato. Il sistema di differenziazione dei diritti di accesso ai dispositivi esterni e interni di un computer è così semplice che non solo un amministratore qualificato può farcela, ma anche solo un utente esperto di PC. E a conferma di queste parole, oggi prenderemo in considerazione un esempio dell'introduzione del prodotto Zlock di SecurIT in un IP aziendale. Vale la pena notare che non può proteggere dalla perdita di informazioni riservate via Internet (ad esempio via e-mail via ICQ, ecc.), Per questo abbiamo bisogno di altri prodotti con un principio operativo completamente diverso (ad esempio, Zgate dallo stesso sviluppatore). Ma con il compito di controllare tutti i tipi di unità e stampanti rimovibili, Zlock fa fronte con successo.
Struttura Zlock
Prima di iniziare una conversazione sulla procedura di installazione del sistema in questione, è necessario comprenderne la struttura. Zlock è composto da cinque parti.
· Console di gestione. Un programma che consente all'amministratore di controllare completamente il sistema, incluso installarlo su workstation, modificare i criteri di accesso, lavorare con i log e i server di configurazione, ecc.
· Modulo client. Un'utilità che si installa su workstation. È lei che esercita il controllo e il blocco dell'accesso in conformità con le politiche specificate. Inoltre, il modulo client interagisce con il log server, controlla l'integrità di Zlock, ecc.
· Log server. Un sistema per la ricezione, l'archiviazione e l'elaborazione delle informazioni sugli eventi che vengono trasmessi dai moduli client. Fornisce un comodo accesso come amministratore a tutti i dati.
· Server di configurazione. Sistema di gestione della configurazione centralizzata Zlock.
· Modulo di configurazione di Zlock tramite criteri di gruppo. Un modulo per l'installazione e l'aggiornamento del sistema tramite criteri di gruppo.
Prima di tutto, devi capire dove sono installati i moduli. È chiaro che la console di gestione deve essere installata sul computer dell'amministratore o del dipendente responsabile della sicurezza delle informazioni dell'azienda. Questo processo non è diverso dall'installazione di qualsiasi altro software e quindi non ci soffermeremo su di esso in dettaglio.
Il log server e il server di configurazione, in linea di principio, non sono necessari per il funzionamento del sistema. Zlock può far fronte con successo alle attività assegnate ad esso e senza di esse. Tuttavia, il server di registro è molto comodo per visualizzare gli eventi immediatamente su tutte le workstation. Bene, il server di configurazione è indispensabile nelle grandi reti aziendali. Con esso, puoi facilmente gestire le impostazioni dei moduli client su un gran numero di stazioni di lavoro. Vengono nuovamente installati come un normale software. Questa procedura viene eseguita localmente dal kit di distribuzione incluso con Zlock.
La fase finale dell'installazione del sistema in questione è l'installazione dei moduli client su tutti i computer che necessitano di monitoraggio. Esistono due modi per farlo (non consideriamo l'opzione con installazione manuale per ovvie ragioni). Il primo di questi prevede l'uso di una console di gestione. Dopo il suo lancio, diversi gruppi si trovano nel riquadro sinistro della finestra principale. Devi trovarli tra loro e aprire l'albero "Computer e applicazioni", quindi aprire il ramo "Senza applicazioni". Fornirà un elenco completo di computer nella rete locale su cui non è installato il sistema Zlock.
Per avviare l'installazione delle parti client, l'amministratore deve selezionare il computer o i computer (incluso l'intero dominio) della destinazione e fare clic sul pulsante "Installa o aggiorna Zlock ..." situato sulla barra degli strumenti. Nella finestra che si apre, specifica la cartella con il pacchetto di distribuzione del programma (l'opzione migliore sarebbe una cartella di rete a cui tutti gli utenti hanno accesso) e seleziona anche l'opzione di installazione. Ce ne sono tre: con riavvio manuale o forzato dei computer, nonché senza riavvio. Vale la pena notare che l'ultima, la più conveniente opzione non può essere utilizzata per aggiornare parti client precedentemente installate. In conclusione, resta solo da selezionare i PC su cui verrà eseguita l'installazione (forse non si desidera installare Zlock su tutti i computer in rete), oltre a specificare un utente con diritti di amministratore locale. Inoltre, il programma in caso di mancanza di autorità può richiedere l'ingresso di un altro utente.
Un'altra opzione per implementare la sicurezza nelle workstation aziendali è utilizzare i criteri di gruppo. Per fare ciò, un pacchetto di installazione speciale è incluso nel pacchetto di consegna Zlock. La stessa procedura di installazione è familiare a quasi tutti gli amministratori di sistema. Prima di tutto, devi creare una cartella di rete, copiare i file Zlock30 su di essa. msi e Zlockmsi. ini e fornire accesso ad esso per tutti gli utenti del dominio. Se hai già un file di configurazione, puoi inserirlo nella stessa directory. In questo caso, verrà automaticamente applicato a tutti i moduli client installati. Se non esiste tale file, il sistema applicherà la politica predefinita, che dovrà essere configurata in futuro.
Successivamente, nelle proprietà del dominio aziendale (l'accesso ad essi avviene tramite la console di Active Directory), vai alla scheda "Criteri di gruppo" e crea un nuovo criterio. Nella finestra di questo criterio, è necessario aprire l'albero "Configurazione computer", selezionare "Installa programmi" e creare un nuovo pacchetto, nelle cui proprietà specificare il percorso di rete al file Zlock30. msi. Di conseguenza, il sistema Zlock viene installato utilizzando strumenti OS standard.
Configurare i criteri di accesso
Forse l'operazione più importante nel processo di implementazione del sistema di sicurezza Zlock è l'impostazione delle politiche di accesso. Determinano la capacità di tutti gli utenti di lavorare con determinati dispositivi. Ogni politica ha tre parti. Il primo è un elenco di dispositivi o dei loro gruppi, per ognuno dei quali sono registrati i diritti di accesso ad essi per diversi utenti. La seconda parte del criterio sono le impostazioni della copia shadow per i file copiati su varie unità. Bene, la terza parte definisce le impostazioni per la copia shadow dei documenti stampati sulle stampanti. Inoltre, ogni politica ha una serie di proprietà aggiuntive, che considereremo di seguito.
Il principio delle politiche è il seguente. Ogni workstation ha uno o più criteri assegnati dall'amministratore. Al verificarsi di qualsiasi evento controllato dal sistema di sicurezza (connessione del dispositivo, tentativo di copiare un file su un'unità rimovibile, stampa di un documento, ecc.), Il modulo client verifica la conformità con tutti i criteri a sua volta (la priorità è impostata dal sistema di priorità) e applica il primo a cui esso partite. Cioè, in Zlock non esiste un sistema di eccezioni familiare a tutti. Se, ad esempio, è necessario vietare tutte le unità flash USB, ad eccezione di una specifica, è necessario utilizzare due criteri. La prima priorità bassa proibisce l'uso di unità rimovibili. E il secondo, con uno superiore, consente l'uso di un'istanza specifica. Oltre a quelli creati dall'amministratore, esiste una politica predefinita. Definisce i diritti di accesso ai dispositivi che non sono descritti in altri criteri.
Bene, ora diamo un'occhiata alla procedura per la creazione di una politica. Per avviarlo, è necessario selezionare la workstation desiderata nella struttura della console di gestione e stabilire una connessione ad essa. Successivamente, seleziona la voce "Aggiungi" nel menu "Politica". La finestra che si apre in questo caso è composta da cinque schede. Il primo si chiama "Accesso". Imposta il nome della politica creata, la sua priorità e i diritti di accesso ai dispositivi. Qui sono disponibili quattro opzioni: accesso completo per tutti gli utenti, accesso ai dispositivi di sola lettura per tutti gli utenti, divieto di accesso ai dispositivi per tutti gli utenti e impostazione individuale dei diritti di accesso ai dispositivi per utenti e gruppi. I compiti dei primi tre sono chiari dai loro nomi. Ma l'ultima opzione vale la pena notare separatamente. Con esso, puoi impostare diritti diversi per i singoli utenti, il che è molto conveniente, perché spesso dipendenti diversi possono lavorare sullo stesso computer. Per inserire i diritti di accesso, è necessario fare clic sul pulsante "Modifica" e aggiungere gli account necessari (computer locale o dominio) nella finestra che si apre, definendo le autorizzazioni per ciascuno di essi.
Dopo aver inserito i parametri di base, è necessario specificare un elenco di dispositivi e gruppi a cui verrà applicato il criterio. Per fare ciò, utilizzare la scheda "Dispositivi". Esistono quattro modi per accedere all'apparecchiatura in Zlock.
· Dispositivi tipici. Questa opzione prevede la selezione di tutti i dispositivi di un determinato tipo, ad esempio tutte le unità rimovibili, unità CD / DVD, dischi rigidi, ecc.
· Dispositivo USB con caratteristiche specificate. Consente di impostare i dispositivi USB per tipo, produttore, nome del prodotto, numero di serie del dispositivo, ecc.
· Stampanti. Utilizzato per immettere stampanti locali o di rete specifiche.
Utilizzando questi metodi, è possibile creare un elenco di dispositivi molto accurato e flessibile. È interessante notare che è possibile scegliere non solo l'apparecchiatura attualmente collegata al PC, ma anche quella che una volta era utilizzata su di essa (molto importante per le unità rimovibili). Inoltre, l'amministratore può creare una cosiddetta directory dei dispositivi. Questo è un file che elenca tutti i dispositivi collegati ai computer della rete aziendale. Può essere creato manualmente o automaticamente mediante la scansione di tutte le workstation.
In linea di principio, dopo di che abbiamo già una politica pienamente funzionale. Tuttavia, Zlock ha una serie di impostazioni aggiuntive che espandono la funzionalità del sistema di protezione. Quindi, ad esempio, se viene creata una politica che non deve essere continua, è necessario impostare una pianificazione per il suo funzionamento. Questo viene fatto nella scheda con lo stesso nome. Su di esso, è possibile determinare gli intervalli durante i quali opera la politica. L'amministratore può inserire il termine della politica, l'ora, i giorni della settimana o il giorno del mese in cui sarà attivo.
Se il computer per il quale viene creato il criterio può disconnettersi dalla rete aziendale e / o connettersi ad esso tramite Internet, è possibile definire parametri speciali per esso. Per fare ciò, vai alla scheda "Regole dell'applicazione". Elenca tre punti del possibile stato del PC rispetto al dominio aziendale: il dominio è disponibile localmente, il dominio è accessibile tramite VPN, il dominio non è disponibile. Per disabilitare l'azione politica per uno di essi, è sufficiente disattivare la casella di controllo corrispondente. Ad esempio, se si desidera non essere in grado di stampare qualcosa da un computer disconnesso dalla rete aziendale, è sufficiente creare una politica che vieti l'uso delle stampanti e attivare le regole di utilizzo "Dominio non disponibile" e "Dominio accessibile tramite VPN".
Dopo aver creato uno o più criteri su uno dei computer, è possibile distribuirli rapidamente ad altri PC. Per fare ciò, nella console di gestione, è necessario stabilire una connessione con tutte le stazioni necessarie e selezionare la voce "Distribuisci configurazione" nel menu "Strumenti". Nella finestra che si apre, seleziona i criteri e i computer necessari con segni di spunta, attiva la casella di controllo "Distribuzione dei criteri in background" e seleziona l'azione che il programma dovrebbe intraprendere quando rileva criteri con nomi corrispondenti (chiedi, sovrascrivi o non sovrascrivi). Successivamente, fai clic sul pulsante "OK" e attendi il completamento del processo.
In futuro, qualsiasi politica può essere modificata. Per fare ciò, basta collegarsi al computer su cui è stato originariamente creato, trovarlo nella "struttura" e fare doppio clic su di esso con il mouse. Questo aprirà una finestra che è già familiare dalla procedura per la creazione di un criterio, in cui è possibile modificare determinati parametri. Si noti che se il criterio modificato è stato distribuito una volta su altri computer, quindi prima di modificarlo, è necessario innanzitutto stabilire una connessione con tutti questi PC. In questo caso, quando si salvano le modifiche, lo stesso programma Zlock suggerisce di sincronizzare politiche obsolete con quella nuova. Anche i criteri vengono eliminati allo stesso modo.
Configura journaling e copia shadow
Il sistema Zlock ha un sistema di registrazione. Grazie ad esso, l'amministratore o altra persona responsabile della sicurezza delle informazioni può visualizzare e analizzare tutti gli eventi monitorati. Per abilitarlo, seleziona la voce "Impostazioni" nel menu "Strumenti" e vai alla scheda "Registrazione" nella finestra che si apre. Elenca tutti i possibili eventi (divieto di scrivere sul dispositivo, modificare l'accesso alla rete, modificare la configurazione, applicare criteri di accesso, ecc.), Nonché il loro stato in termini di registrazione.
Per abilitare la registrazione per uno o più eventi, è necessario fare clic sul segno più e selezionare l'opzione di registrazione: scrivere su un file (registro eventi di sistema o un file TXT o XML arbitrario), su un database su un server SQL o server di registro, inviare un'e-mail a e-mail.
Successivamente, nella finestra visualizzata, è necessario configurare i parametri di registro (che dipendono dall'opzione selezionata: nome file, parametri di accesso al database, ecc.), Contrassegnare gli eventi necessari e fare clic sul pulsante "OK".
Operazioni sui file di registrazione configurate separatamente. Significano azioni come la creazione, la modifica e la modifica di file, la creazione e l'eliminazione di directory, ecc. È chiaro che ha senso registrare tali registri solo quando si utilizzano unità rimovibili. Pertanto, questo tipo di registrazione è legato ai criteri di accesso. Per configurarlo, è necessario selezionare "Operazioni sui file" nel menu "Strumenti" nella console di controllo. Nella finestra che si apre, prima di tutto, è necessario annotare le politiche per le quali verrà effettuato il journaling. Ha senso scegliere quelli che controllano l'uso di unità rimovibili: dispositivi USB, unità CD / DVD, ecc. Successivamente, è necessario immettere le azioni che il sistema eseguirà quando vengono rilevate le operazioni sui file. Per aggiungerli ciascuno, fai clic sul segno più e seleziona l'opzione desiderata. Tre azioni sono legate alla registrazione: questa è la registrazione delle informazioni sull'evento in un file, nel database o nell'invio di messaggi via e-mail. L'ultima opzione è eseguire il programma o lo script specificato.
Quindi è possibile procedere alla configurazione della copia shadow. Questa è una caratteristica molto importante del sistema Zlock, che non deve essere trascurata. Fornisce impercettibile per l'utente la duplicazione di file copiati o stampati in una memoria speciale. La copia shadow è necessaria quando i dipendenti devono utilizzare stampanti o unità rimovibili per svolgere le proprie mansioni professionali. In tali casi, è praticamente impossibile prevenire la perdita di informazioni con mezzi tecnici. Ma la copia shadow ti consentirà di rispondere rapidamente e prevenire incidenti futuri.
Per impostare i parametri della copia shadow, è necessario selezionare la voce con lo stesso nome nel menu "Strumenti". Prima di tutto, puoi configurare l'archiviazione locale. Per fare ciò, è necessario specificare la cartella in cui verranno archiviati i file, immettere il volume disponibile (in megabyte o percentuale di spazio libero sul disco rigido) e selezionare anche l'azione per overflow (sovrascrivere i file nella memoria, vietare o consentire la copia e la stampa).
Se necessario, è possibile configurare la copia shadow nella memoria di rete. Per fare ciò, vai alla scheda "Copia sul server" e attiva la casella di controllo "Trasferisci informazioni e file della copia shadow sul server". Se il trasferimento deve essere eseguito immediatamente, selezionare l'opzione "Trasferisci file il prima possibile". È anche possibile un'altra opzione: il sistema copia i file a una frequenza specificata. Successivamente, è necessario selezionare la cartella di rete in cui verranno scritti i file. Si noti che ha senso scegliere una directory a cui solo l'amministratore ha accesso. Altrimenti, il dipendente sarà in grado di accedervi ed eliminare, o almeno visualizzare i file salvati. Quando si sceglie una tale cartella, è necessario inserire il nome utente e la password di un utente che ha l'autorità di scrivere informazioni su di essa.
Bene, alla fine della configurazione, resta da passare alla scheda "Politiche" e specificare i criteri in base ai quali funzionerà la copia shadow.
Sistema di permesso di tempo
In linea di principio, il processo di implementazione di Zlock, cari lettori, abbiamo già smontato. Una volta completato, un sistema di protezione degli addetti ai lavori funzionerà per aiutare l'azienda a evitare la perdita di informazioni commerciali e personali. Tuttavia, in Zlock c'è un'altra caratteristica molto interessante che può semplificare significativamente la vita dell'amministratore. Stiamo parlando di un sistema per il rilascio di autorizzazioni temporanee per l'uso di determinati dispositivi.
Perché vuoi concentrarti su questo momento particolare? È tutto molto semplice. La pratica dimostra che abbastanza spesso ci sono situazioni in cui uno dei dipendenti deve utilizzare un dispositivo che è solitamente proibito per loro. Inoltre, tale necessità può sorgere con urgenza. Di conseguenza, si verifica il panico, si cerca urgentemente un amministratore, che deve modificare la politica di accesso e, soprattutto, non dimenticare di restituirla in seguito. Certo, questo è molto scomodo. È molto meglio utilizzare un sistema per il rilascio di autorizzazioni temporanee.
Per usarlo, devi prima generare un certificato di amministratore. Per fare ciò, seleziona la voce "Certificato ..." nel menu "Strumenti" e fai clic sul pulsante "Cambia certificato" nella finestra che si apre. Successivamente, nella procedura guidata, selezionare l'opzione "Crea un nuovo certificato" e immetterne il nome. Quindi rimane solo per connettersi a computer remoti, selezionare la voce "Impostazioni" nel menu "Strumenti", andare alla scheda "Generale" nella finestra che si apre e fare clic sul pulsante "Installa".
In Zlock, le autorizzazioni temporanee possono essere utilizzate in due modi: tramite e-mail e telefono. Nel primo caso, la creazione della query viene eseguita come segue. L'utente deve fare clic con il tasto destro sull'icona di Zlock nella barra delle applicazioni e selezionare "Crea richiesta" dal menu a discesa. Nella finestra che si apre, deve selezionare il dispositivo desiderato e i diritti di accesso (sola lettura o accesso completo), inserire l'indirizzo dell'amministratore e, se necessario, un breve commento. In questo caso, per impostazione predefinita verrà generata un'e-mail con un file di richiesta allegato al client di posta installato nel sistema. Dopo averlo ricevuto, l'amministratore deve fare doppio clic su di esso con il mouse. Questo aprirà una finestra con le informazioni sulla richiesta. Se l'amministratore accetta di elaborarlo, deve fare clic sul pulsante "Avanti". Questo aprirà una finestra per la creazione di un nuovo criterio, in cui il dispositivo richiesto è già stato inserito. L'amministratore può solo impostare la pianificazione per questo criterio. Può essere permanente o monouso. Nel secondo caso, il criterio sarà valido solo fino a quando l'utente non completa la sessione di Windows o finché il dispositivo non viene rimosso (dipende dalla scelta dell'amministratore). Questa politica può essere trasferita sul computer del dipendente nel solito modo o con l'aiuto di un file speciale via e-mail (sarà protetta con l'aiuto di un certificato di amministratore). Dopo averlo ricevuto, l'utente deve solo avviarlo, dopo di che otterrà l'accesso al dispositivo desiderato.
Il sistema di autorizzazioni telefoniche funziona in modo simile. L'utente deve prima creare una richiesta. Questa procedura è quasi identica a quella considerata sopra. Solo nell'ultima fase, non si forma una lettera elettronica, ma un codice speciale composto da cinque blocchi di numeri e lettere. Il dipendente deve chiamare l'amministratore e dettare questo set di caratteri a lui. L'amministratore è tenuto a inserire questo codice in una finestra speciale (viene richiamato utilizzando la voce "Richiesta processo" nel menu "Politica"). Allo stesso tempo, sullo schermo verranno visualizzate informazioni dettagliate sulla richiesta. Inoltre, l'amministratore può creare la politica in un modo a noi familiare. L'unica differenza è che nell'ultima fase, il sistema genererà un altro codice. Il suo amministratore deve imporre a un dipendente che, inserendolo in un campo speciale, può attivare l'accesso al dispositivo.
Riassumendo
Quindi, come vediamo, la procedura per mettere in atto un sistema di protezione dagli addetti ai lavori non è, in linea di principio, complicata. Per la sua implementazione, non è necessario possedere competenze speciali. Qualsiasi amministratore di sistema con conoscenze di base sulle tecnologie di rete può farcela. Tuttavia, vale la pena notare che l'efficacia della protezione dipende interamente da come le politiche di accesso composte con competenza e completezza. È a questo punto che vale la pena avvicinarsi con la massima serietà e un dipendente responsabile dovrebbe svolgere questo lavoro.
Zlock: controlla l'accesso ai dispositivi USB
Test di Zlock
I principali presunti vantaggi del sistema, insieme alle principali caratteristiche funzionali, dovrebbero essere la facilità di implementazione e la comprensibilità intuitiva dei passaggi per configurarlo e configurarlo.
Figura 1. Politica di accesso predefinita
Successivamente, è necessario riflettere sulle politiche di accesso per il servizio Zlock stesso, che verrà anche distribuito durante l'installazione sui siti client. Modifica la politica di accesso alle impostazioni della parte client del programma, indipendentemente dal fatto che gli utenti possano vedere l'icona e ricevere avvisi sulla modifica della politica di accesso. Da un lato, questi avvisi sono utili, poiché inviando una domanda di accesso all'amministratore, l'utente verrà avvisato se il criterio modificato viene applicato alla sua workstation. D'altro canto, spesso gli amministratori di sistema preferiscono non fornire agli utenti una conferma visiva non necessaria dei servizi di sicurezza che funzionano sulla workstation.
Quindi, la politica creata (in questo caso, per il momento rimane locale per la workstation console) viene salvata come file con il nome predefinito. zcfg nella cartella con la distribuzione del lato client.
Tutto qui. Questo completa la preparazione globale del sistema per l'installazione di massa. Il prodotto colpisce per la semplicità di creazione di politiche associate all'applicazione del principio standard di creazione dei diritti utente come gli ACL.
Per l'installazione su tutti i computer, è stato inviato agli utenti un messaggio pop-up che chiedeva loro di accendere tutte le workstation di rete situate nelle vicinanze ma non attualmente in uso. Dopo aver selezionato tutte le workstation di rete dall'elenco dei computer da connettere (o meglio, aver selezionato tutto e quindi escludendo i server), ho avviato il processo di connessione per un'ulteriore installazione della parte client. La connessione a un numero di computer (150), ovviamente, ha richiesto un tempo relativamente lungo, poiché viene eseguita in sequenza e se il computer è spento, attenderà un timeout della connessione. Tuttavia, la procedura dovrà essere eseguita solo durante l'installazione iniziale, quindi le politiche saranno controllate in base alle esigenze personali degli utenti. Quando ho provato a "installare" la parte client su tutti i 150 computer della rete locale, ho riscontrato problemi minori su diverse workstation, ma il sistema è stato installato automaticamente sulla maggior parte dei computer. C'è stato un problema nell'installazione, in effetti uno: l'incompatibilità di Zlock con le versioni obsolete del driver di protezione del CD: StarForce. Per una corretta interazione, è necessario aggiornare il driver StarForce scaricandolo dal sito Web del produttore. Questo è stato fatto anche in remoto utilizzando il servizio di installazione remota. Spiegare il motivo di questa incompatibilità, secondo me, ha il diritto alla vita - dopotutto, Zlock interagisce con il sottosistema I / O a un livello inferiore rispetto alle funzioni dell'applicazione del sistema operativo, proprio come la protezione dalla copia di CD.
Dopo aver scelto le stazioni di lavoro, ti verrà chiesto di indicare dove vuoi eseguire la distribuzione del programma di installazione. È questa funzione che consente di installare altri programmi in questo modo senza uscire dal posto di lavoro. Fai attenzione quando scegli l'opzione di installazione - "Con un riavvio" o "Richiede un riavvio". Se si seleziona "Con riavvio" - al termine dell'installazione, le workstation client verranno riavviate automaticamente senza richiedere la conferma dell'utente.
Questo completa l'installazione iniziale e dopo un riavvio, il client Zlock inizierà a eseguire la politica di sicurezza prescritta. Allo stesso tempo, l'icona del servizio Zlock appare nella barra delle applicazioni, offrendo agli utenti la possibilità di creare richieste di accesso e anche di modificare le politiche stesse, a meno che, ovviamente, non fossero consentite dalla politica predefinita che abbiamo creato.
Impegnarsi per la massima riservatezza ...
Successivamente, in effetti, inizia la messa a punto del sistema Zlock. Se la tua azienda richiede spesso ai dipendenti di salvare qualcosa su supporti rimovibili e desidera mantenere una politica di sicurezza al livello più rigoroso, allora coordina il tuo programma di lavoro in modo da poter essere presente sul posto di lavoro il più spesso possibile la prossima settimana dopo l'installazione. Per mantenere il massimo rigore della politica di accesso, si consiglia di creare regole per specifici dispositivi rimovibili, poiché Zlock consente di fornire accesso ai dispositivi anche sulla base delle sue caratteristiche complete, come marchio, modello, numero di serie, ecc. La situazione è più complicata nelle aziende IT, poiché i dipendenti devono costantemente scrivere tutti i tipi di informazioni su CD / DVD-R / RW. In questo caso, possiamo consigliare di utilizzare workstation dedicate con unità di registrazione su cui i criteri di sicurezza del sistema creeranno regole che non consentono l'accesso alla rete da questi computer. Tuttavia, tali sottigliezze vanno oltre lo scopo dell'articolo di Zlock.
Come funziona in pratica?
Ora vediamo come funziona tutto. Ti ricordo che la politica di accesso che ho creato consente agli utenti di leggere da tutti i dispositivi rimovibili e proibisce di scriverli. Un addetto all'assistenza viene in ufficio per inviare report e scrivere attività sul disco. Quando è collegato un dispositivo rimovibile, il sistema limita l'accesso ed emette un avviso appropriato (vedere Fig. 2).
Figura 2. Avviso di restrizione dell'accesso
Il dipendente legge le informazioni fornite da lui, dopo di che tenta senza successo di registrare le attività ricevute dal manager. Se è necessario ottenere l'accesso, contatta l'amministratore per telefono o forma una richiesta automatica utilizzando l'applet Vassoio Zlock che indica il dispositivo a cui desidera accedere, chiama il suo account e motiva la necessità di tale accesso.
L'amministratore, dopo aver ricevuto tale richiesta, prende una decisione sulla concessione / non fornitura di tale accesso e, se la decisione è positiva, modifica la politica per questa workstation. Allo stesso tempo, la richiesta creata contiene tutte le informazioni sul dispositivo, inclusi produttore, modello, numero di serie, ecc. E il sistema Zlock consente di creare criteri basati su questi dati. Pertanto, abbiamo l'opportunità di concedere l'accesso in scrittura a un utente specifico per il dispositivo specificato, se necessario, mantenendo un registro di tutte le operazioni sui file (vedere Fig. 3).
Figura 3. Creazione di una politica basata su una richiesta dell'utente
Pertanto, il processo di creazione di ulteriori politiche permissive è semplificato per l'amministratore al limite e si riduce al principio Check & Click, che indubbiamente piace.
I problemi
Impossibile aprire le porte nel firewall per l'amministrazione remota di Zlock?
Per l'amministrazione remota di Zlock nel firewall, basta aprire una porta. Per impostazione predefinita, questa è la porta 1246, ma può essere modificata se questo numero non è adatto per qualsiasi motivo. Questo, a proposito, il nostro prodotto si confronta favorevolmente con alcuni analoghi che usano il servizio RPC (Remote Procedure Calls) per l'amministrazione, che per impostazione predefinita richiede l'apertura di molte porte ed è piuttosto vulnerabile agli attacchi esterni. Come sapete, la maggior parte dei virus moderni ha utilizzato solo vulnerabilità in RPC per infiltrarsi in un computer e ottenere i privilegi di amministratore in esso.
2) Problema
Abbiamo la seguente situazione. Due dipendenti lavorano in un reparto su un computer. Ognuno ha un'unità flash. Il compito è di leggere l'unità flash del primo dipendente, ma non quella dell'unità flash del secondo. Il problema principale è che queste unità flash hanno gli stessi numeri (VID_058F e PID_6387), Transcend 256 Mb e 1 GB di unità flash. Per favore, dimmi cosa devo fare in questa situazione? Grazie mille
I numeri di cui stai parlando sono gli identificativi del prodotto (ID prodotto) e il produttore (ID fornitore). Per differenziare l'accesso dei dispositivi con gli stessi identificatori del prodotto e del produttore nei criteri di Zlock, è necessario specificare il loro numero seriale. Vale la pena notare che non tutti i produttori di unità USB assegnano numeri di serie univoci ai propri prodotti, di solito i produttori non di nome sono colpevoli dell'assenza di numeri di serie.
II. Recensione SecurITZgate
In questa recensione, iniziamo una storia dettagliata su SecurIT Zgate, una soluzione aziendale progettata per analizzare il traffico Internet a livello di gateway al fine di rilevare e bloccare i tentativi di fuga di dati riservati o altre azioni non autorizzate dei dipendenti.
introduzione
Secondo il concetto di protezione completa contro le minacce interne promosso da SecurIT, il prodotto gateway SecurIT Zgate è una parte importante del sistema IPC. Il concetto di IPC include DLP (Data Loss Prevention) e soluzioni di protezione dello storage. Per la prima volta, l'analista IDC Brian Burke ha proposto una combinazione di tecnologie apparentemente diverse nel rapporto Sondaggio sulla protezione e il controllo delle informazioni: prevenzione della perdita di dati e tendenze della crittografia.
I sistemi IPC controllano l'elenco standard dei canali per i sistemi DLP: e-mail, risorse Web (Web mail, social network, blog), ICQ, dispositivi USB e stampanti. In IPC, la crittografia dei dati viene aggiunta a queste funzionalità su server, nastri e agli endpoint di rete - su PC, laptop e unità mobili. Oltre all'elenco dei canali monitorati e dei supporti di archiviazione crittografati, gli IPC differiscono significativamente nella serie di metodi per il rilevamento di dati sensibili.
Pertanto, il sistema SecurIT Zgate, che impedisce la perdita di informazioni riservate attraverso i canali di rete, è una parte importante, se non chiave, di un singolo sistema IPC. SecurIT Zgate analizza tutti i dati trasmessi dai dipendenti al di fuori della rete di informazioni dell'organizzazione. SecurIT Zgate utilizza moderne tecnologie di rilevamento automatico che determinano con precisione il livello di riservatezza delle informazioni trasmesse, tenendo conto delle caratteristiche del business e dei requisiti dei vari standard del settore.
1. Requisiti di sistema
I requisiti minimi di sistema per la soluzione SecurIT Zgate sono presentati nella tabella seguente.
2. Caratteristiche principali di SecurIT Zgate:
Filtraggio del traffico in entrata, in uscita e interno.
Analisi del contenuto di messaggi e file trasmessi utilizzando qualsiasi combinazione di metodi di categorizzazione automatica.
Compatibile con qualsiasi sistema di posta SMTP (MTA): Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, ecc.
Lavora in modalità di monitoraggio passivo con una copia dei dati trasmessi o in modalità attiva per bloccare gli incidenti in tempo reale.
Politiche flessibili per il controllo, il blocco e l'archiviazione dei dati con la possibilità di configurare fino a 30 parametri.
I criteri vengono applicati in base al tempo di trasmissione, alla direzione del traffico e alla posizione dell'utente.
Strumenti utili per la gestione di dizionari che descrivono varie categorie di documenti.
Possibilità di verificare manualmente la presenza di messaggi e file sospetti.
Modifica dei messaggi e possibilità di comunicare agli utenti i risultati del filtro.
Integrazione con applicazioni di terze parti per l'elaborazione aggiuntiva da parte di sistemi antivirus e antispam.
La capacità di mantenere un archivio completo dei dati trasferiti, inclusi gli allegati di file, in Microsoft SQL Server o Oracle Database.
Scalabilità e architettura modulare per soddisfare i requisiti di prestazioni più esigenti.
Installazione e gestione tramite un'unica console per tutti i prodotti SECURIT.
Ampie opportunità di separazione dei ruoli degli amministratori.
Supporto per l'importazione di informazioni statistiche in vari progettisti di report, ad esempio Crystal Reports o FastReport.
3. Installazione di SecurIT Zgate
! importanteSe si prevede di utilizzare gli strumenti di elaborazione della posta SecurIT Zgate in Microsoft Exchange 2007/2010, la parte server di SecurIT Zgate deve essere installata sullo stesso computer su cui è installato Microsoft Exchange.
SecurIT Zgate utilizza InstallShield standard per l'installazione. È interessante notare che l'intera installazione è semplice e non causa difficoltà.
Figura 1: avvio dell'installazione di SecurIT Zgate
Nota Figura 2, il server di registro non è installato per impostazione predefinita. Può essere distribuito su un altro computer. Il registro eventi può essere archiviato in un file XML, utilizzare un server di registro separato o utilizzare un database (MSSQL Server o Oracle Database).
Figura 2: scelta dei moduli per l'installazione di SecurIT Zgate
Il lavoro con SecurIT Zgate viene eseguito tramite la console di gestione. La console di gestione utilizza il protocollo TCP / IP e la porta 1246 per comunicare con il server SecurIT Zgate. Ricordarsi di aprire questa porta nel firewall. In futuro, è possibile modificare questa porta se necessario.
Se si desidera utilizzare SecurIT Zgate in modalità sniffer, è necessario installare il driver WinPcap su un computer con il server SecurIT Zgate già installato. Il driver WinPcap viene fornito in bundle con la distribuzione SecurIT Zgate.
La console di gestione può essere installata sullo stesso computer su cui è già installato SecurIT Zgate o su uno separato.
Quindi, iniziamo con Zgate SecurIT.
4. Guida introduttiva e configurazione iniziale di SecurIT Zgate
Figura 3: vista generale della SecurIT Zgate Management Console
Per iniziare, è necessario stabilire una connessione con il computer su cui si trova la parte server del sistema. L'elenco dei computer si trova sul lato sinistro della console di gestione nella struttura ad albero Nessuna applicazione. Nel nostro esempio, abbiamo installato il server SecurIT Zgate sul computer VM-2003TEST e lo sceglieremo.
Dopo aver selezionato il computer di cui abbiamo bisogno e la connessione con successo, viene trasferito dalla sezione "Senza applicazioni" ai nodi delle applicazioni installate su di esso (nel nostro caso, è SecurIT Zgate) e si apre un elenco ad albero di impostazioni e funzionalità ( figura 4).
Figura 4: connessione al computer riuscita: sono disponibili nuove funzionalità
Va notato che l'elenco dei computer nel dominio è definito tramite NetBIOS o scaricato da Active Directory. Se hai un gran numero di computer in rete, puoi usare l'opzione di ricerca.
Se il computer non è nell'elenco "Senza applicazioni", è possibile stabilire manualmente la connessione. Per fare ciò, apri il menu Connessione nella console di gestione e seleziona Crea connessione. Nella finestra che si apre, inserisci il nome del computer, l'indirizzo IP, la porta (1246 per impostazione predefinita) e le informazioni utente (Figura 5). Per impostazione predefinita, i diritti di accesso per la configurazione di SecurIT Zgate sono configurati in modo tale che gli utenti membri del gruppo degli amministratori locali abbiano pieno accesso a tutte le funzioni del sistema.
Figura 5: creazione manuale di una connessione
Diamo quindi un'occhiata alle impostazioni del server SecurIT Zgate.
comune. In questa sezione (Figura 6) vengono specificate le impostazioni del server di posta interno, la porta del server di posta interno, la modalità operativa del server, la directory per l'archiviazione temporanea dei messaggi elaborati e viene specificato il volume massimo di questa directory.
Figura 6: impostazioni generali del server per un server di posta in SecurIT Zgate
Come puoi vedere dalla figura, le modalità "Filtraggio della posta all'interno di Microsoft Exchange 2007/2010" e "Inserimento nel journal di posta all'interno di Microsoft Exchange 2007/2010" non sono disponibili, poiché al momento non abbiamo installato e configurato Microsoft Exchange. La modalità di mirroring (analisi della copia del traffico trasmesso) è disponibile perché è installato il driver WinPcap.
Il mirroring dei messaggi inviati utilizzando il traffico crittografato SMTP (creato utilizzando il protocollo TLS con il comando STARTTTLS) e utilizzando l'estensione XEXCH50 del protocollo ESMTP di Exchange non è supportato.
reception. Questa sezione configura la ricezione della posta per lavorare in varie modalità operative del server (Figura 7).
Figura 7: Configurazione della ricezione della posta per funzionare in modalità proxy (journaling)
Quando il filtro o la registrazione sono configurati in modalità proxy, vengono impostati l'interfaccia di rete e il numero di porta (impostazione predefinita 25) per la ricezione di posta dall'esterno del sistema SecurIT Zgate; interfaccia di rete e numero di porta, utilizzato per ricevere posta dal server di posta interno; directory per i messaggi in arrivo e le sue dimensioni massime. La posta in arrivo contiene i messaggi ricevuti da SecurIT Zgate fino a quando non vengono elaborati o inoltrati.
Nella stessa scheda, è configurata la protezione dagli attacchi denial of service. Come si può vedere dalla Figura 7, la protezione dagli attacchi in servizio consiste in una serie di condizioni, se non osservate, il messaggio non viene ricevuto. Queste condizioni possono essere attivate o disattivate a seconda della necessità o dell'inutilità di un particolare controllo.
Se il server SecurIT Zgate funziona in modalità di analisi del traffico con mirroring (è abilitato nella scheda delle impostazioni comune), quindi la scheda reception ha la forma seguente (Figura 8).
Figura 8: configurazione della ricezione della posta in modalità analisi mirror
Nelle impostazioni di questa modalità operativa, viene impostata un'interfaccia di rete su cui viene ricevuto il traffico con mirroring, l'indirizzo IP del server di posta con mirroring, le porte utilizzate dal server con mirroring per ricevere e inviare posta, nonché la directory per l'archiviazione dei messaggi in arrivo e il suo volume.
! importanteAffinché SecurIT Zgate funzioni in modalità mirroring, è necessario che lo switch di rete a cui è collegato il computer SecurIT Zgate supporti il \u200b\u200bmirroring. Il mirroring delle porte consente di copiare il traffico su una porta di controllo in modo da poterlo analizzare senza interferire con il flusso.
Tuttavia, uno switch con la funzione Port Mirroring non è necessario se SecurIT Zgate è installato sul server proxy dell'organizzazione o se SecurIT Zgate è installato sul computer da cui viene monitorato il traffico.
Quando selezionato nella scheda comune modalità operative del server Filtro posta all'interno di Microsoft Exchange 2007/2010 o Registro giornale posta all'interno di Microsoft Exchange 2007/2010, schede reception e trasferimento sono sostituiti scheda Microsoft Exchange.
linguetta Microsoft Exchange sono configurate le directory dei messaggi in entrata e in uscita e il loro volume massimo (le directory sono progettate per mettere in coda i messaggi inviati per l'elaborazione o al server di posta del destinatario). Sempre su questa scheda, è possibile selezionare l'opzione "Controlla posta interna". In questa modalità, verranno controllate le lettere interne tra i client del server di posta controllato. Questa funzionalità è molto importante perché diventa possibile controllare la corrispondenza interna dei dipendenti.
La parte inferiore della scheda visualizza informazioni su errori o avvisi.
trasferimento. Le impostazioni di trasferimento della posta sono indipendenti dalla modalità operativa del server e sono le stesse sia per il filtro e la registrazione in modalità proxy, sia per il mirroring (Figura 9).
Figura 9: Impostazioni di trasferimento della posta in SecurIT Zgate
Qui sono configurati i seguenti parametri: numero massimo di connessioni in uscita simultanee; schemi di tentativi di connessione; Un elenco di domini di posta serviti dal server di posta interno un server di consegna a cui la posta viene inviata all'esterno (se il server di consegna non è specificato e il dominio di destinazione non è interno, SecurIT Zgate consegna la posta, collegandosi direttamente al server di posta di destinazione); Un host intelligente a cui vengono inviate lettere per destinatari da domini accettati, ma non negli elenchi di licenze; directory per i messaggi in uscita e le sue dimensioni massime. Inoltre, le lettere vengono inviate allo smart host per il quale SecurIT Zgate non è stato in grado di determinare l'indirizzo del server di posta tramite DNS, oppure il server di posta ha segnalato che il destinatario non esiste.
Lo schema di connessione con il server di posta di destinazione è costituito da serie. La serie comprende un certo numero di tentativi di connessione al server del destinatario del messaggio e l'intervallo in minuti tra i tentativi. Se non è stato possibile stabilire una connessione secondo lo schema, la lettera viene eliminata e il messaggio corrispondente viene visualizzato nel registro. In questo caso, un messaggio di errore viene inviato al mittente.
Scheda Web Zgate è progettato per prevenire perdite di informazioni su Internet, ad esempio nel caso in cui i dipendenti inviano intenzionalmente o accidentalmente dati riservati tramite la loro webmail, pubblicano su un forum o blog o inviano tramite ICQ.
Zgate Web si basa sul mirroring delle porte sullo switch o sull'intercettazione del traffico di rete sul computer su cui è installato SecurIT Zgate. Per utilizzare Zgate Web, il driver WinPcap deve essere installato sul computer su cui è installato il server SecurIT Zgate.
Nella versione corrente, Zgate Web intercetta il traffico trasmesso utilizzando i seguenti protocolli e risorse:
protocollo di messaggistica istantanea AOL ICQ
protocollo di trasferimento file FTP;
protocollo di trasferimento dati HTTP;
servizi di posta: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;
servizi di messaggistica SMS / MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;
forum implementati sulla base di software PhpBb, IpBoard, Vbulletin.
Come puoi vedere, le capacità di controllo del traffico sono impressionanti.
Per ogni messaggio, il modulo di intercettazione Web di Zgate genera un messaggio contenente informazioni sul messaggio e una serie di parametri aggiuntivi relativi al servizio in uso. Questo messaggio viene inserito nei messaggi in arrivo ed elaborato da SecurIT Zgate allo stesso modo di un normale messaggio ricevuto tramite SMTP.
Le impostazioni Web di Zgate sono mostrate nella Figura 10.
Figura 10: Impostazioni Web di Zgate
In questa scheda è possibile abilitare o disabilitare Zgate Web, nonché specificare l'interfaccia di rete da cui viene copiato il traffico, visualizzare e modificare l'elenco di intervalli di indirizzi dei pacchetti analizzati (è possibile aggiungere i propri intervalli), selezionare una directory per l'archiviazione dei file temporanei e il suo volume, nonché selezionare i moduli di analisi necessari per il lavoro.
Per aggiungere l'intervallo di indirizzi per i pacchetti analizzati, è necessario fare clic sul pulsante "+", che si trova a destra dell'elenco dei pacchetti analizzati, si aprirà questa finestra (Figura 11).
Figura 11: aggiunta dell'intervallo di indirizzi dei pacchetti analizzati in SecurIT Zgate
Dopo aver specificato gli indirizzi e le porte di cui abbiamo bisogno, oltre a selezionare un'azione (analizzare o escludere dall'analisi), fare clic su OK. La nuova gamma è pronta per l'uso.
archivio. L'archivio è destinato alla memorizzazione centralizzata di copie di lettere, alla loro visualizzazione e inoltro. Inoltre, l'archivio contiene lettere in quarantena. Un archivio sotto forma di un database può essere organizzato utilizzando Oracle o Microsoft SQL Server (Figura 12). Alcune impostazioni relative alle impostazioni dell'archivio si trovano nella scheda Avanzate (voce Impostazioni nel menu Strumenti).
Figura 12: selezione di un database e impostazione delle opzioni di archiviazione in SecurIT Zgate
Per utilizzare l'archivio, è necessario installare e configurare MSSQL Express o Oracle (indicato nei requisiti minimi di sistema).
Dopo aver specificato le impostazioni necessarie e l'utente per accedere al database, è possibile verificare la connessione al database stesso. Per fare ciò, utilizzare il pulsante "Verifica connessione" (Figura 13). È inoltre possibile specificare la capacità di comprimere i dati. Scegli una via di mezzo tra la velocità del lavoro e la quantità di dati.
Figura 13: tutto è pronto per funzionare con il database: la connessione è stata stabilita
licenza. Lo scopo della scheda è chiaro dal nome stesso. Visualizza il numero di indirizzi e-mail con licenza, la data di scadenza della licenza, l'elenco dei moduli con licenza SecurIT Zgate - Controllo e-mail (Zgate Mail) e Controllo del traffico Web (Zgate Web). I moduli concessi in licenza sono contrassegnati da un segno di spunta verde (Figura 14).
Figura 14: visualizzazione e gestione delle licenze in SecurIT Zgate
statistica. Tutto è chiaro anche con questa scheda. Le statistiche del server SecurIT Zgate sono visualizzate qui (Figura 15).
Figura 15: Statistiche del server SecurIT Zgate
Inoltre. Questa scheda visualizza impostazioni di sistema aggiuntive (Figura 16). Una descrizione dettagliata di ciascuno dei parametri è nella documentazione del prodotto.
Figura 16: Impostazioni avanzate di SecurIT Zgate
accesso. Il sistema SecurIT Zgate offre la possibilità di differenziare i diritti di accesso per la gestione e la gestione dell'archivio messaggi tra più utenti. In questa scheda, è configurato l'accesso al sistema (Figura 17).
Figura 17: SecurIT Zgate System Access Control
Come già detto, per impostazione predefinita, i diritti di accesso per la configurazione di SecurIT Zgate sono configurati in modo tale che gli utenti membri del gruppo degli amministratori locali abbiano pieno accesso a tutte le funzioni.
Per aggiungere un utente o un gruppo di utenti all'elenco di accesso, fare clic sul pulsante "+" e selezionare l'account o il gruppo desiderato. Quindi, nella parte inferiore della finestra, specifica i diritti che devi assegnare all'account specificato. L'icona "V" indica che l'utente ha diritto a questa operazione, "X" significa che all'utente viene negato l'accesso a questa funzione. I diritti dell'utente e del gruppo a cui appartiene sono riassunti in modo simile al sistema di controllo degli accessi adottato in Windows.
Ad esempio, abbiamo scelto l'utente Ospite e gli abbiamo dato il diritto di visualizzare parametri e statistiche (Figura 18).
Figura 18: selezione di un utente e assegnazione dei diritti corrispondenti
nel diario. Il sistema SecurIT Zgate consente di implementare un'ulteriore elaborazione delle sue operazioni attraverso il meccanismo di elaborazione degli eventi. Una delle opzioni per tale elaborazione consiste nel registrare SecurIT Zgate nel registro di sistema di Windows, in un file o in Microsoft SQL Server.
Per impostazione predefinita, la registrazione degli eventi è disabilitata (Figura 19). È possibile abilitare in modo indipendente la registrazione di un particolare evento e scegliere come verrà eseguita la registrazione degli eventi.
Figura 19: Elenco degli eventi da monitorare in SecurIT Zgate
Abilitare la registrazione per un evento è molto semplice. Per fare ciò, selezionare l'evento di cui abbiamo bisogno e fare clic sul pulsante "+" a destra dell'elenco degli eventi, quindi selezionare l'opzione di registrazione desiderata. Prendiamo ad esempio l'opzione "registrazione" (Figura 20).
Figura 20: configurazione dei parametri di registrazione degli eventi in un file o nel registro di sistema
Si può vedere che in questo caso, è possibile scegliere l'opzione di registrazione nel registro di sistema e è possibile selezionare qualsiasi computer sulla rete locale per archiviare questo registro o scegliere l'opzione di registrazione in un file. Inoltre, sono disponibili tre opzioni per il formato del file: testo ANSI, testo Unicode e XML. La differenza tra scrivere un registro in formato XML anziché scrivere in un file di testo è che il file di registro in formato XML può essere analizzato usando il sistema SecurIT Zgate. Per i file di testo, questa possibilità è esclusa.
È inoltre possibile selezionare la posizione del file di registro e i diritti dell'utente per conto del quale verrà eseguita la registrazione.
Figura 21: Selezione degli eventi per la registrazione in SecurIT Zgate
Dopo aver selezionato gli eventi necessari, rimane solo fare clic sul pulsante "Fine". Il risultato è visibile nella Figura 22. Vicino agli eventi registrati, sono comparse le icone corrispondenti che indicano i parametri di registrazione e il luogo in cui verrà registrato il registro.
Figura 22: sono visibili tre eventi registrati in un file XML
È inoltre possibile accedere al server di registro e a Microsoft SQL Server. Accedendo al server SQL, la registrazione delle informazioni sull'evento viene effettuata dal modulo di elaborazione in un database organizzato da Microsoft SQL Server.
Quando si sceglie l'inserimento nel journal su Microsoft SQL Server, sarà necessario selezionare il server stesso con MSSQL, specificare i parametri utente e verificare la connessione al database. Se tutto è corretto, quindi quando si controlla la connessione verrà offerto per creare un nuovo database, il nome è indicato dal sistema SecurIT Zgate (Figura 23).
Figura 23: selezione di un server di database e specifica dei parametri di connessione ad esso
Figura 24: conferma della creazione di una struttura di database interna per l'archiviazione dei registri
Figura 25: specificare gli eventi che registreremo
Figura 26: vediamo eventi che verranno registrati nel server SQL specificato
script. Un altro tipo di elaborazione aggiuntiva delle operazioni eseguite da SecurIT Zgate potrebbe essere l'esecuzione di script (script) e l'esecuzione di file eseguibili.
Quando si verifica l'evento selezionato, l'applicazione specificata verrà avviata o verrà eseguito lo script indicato. L'elenco degli eventi è simile all'elenco degli eventi per la registrazione.
Questa opzione può essere utilizzata, ad esempio, per inviare SMS su un evento o bloccare una workstation prima dell'arrivo di un responsabile della sicurezza.
Figura 27: selezione di un file eseguibile
Nella stessa finestra, è possibile specificare il percorso del file di script, specificare l'utente per conto del quale verrà eseguito il file o lo script. Si noti che per impostazione predefinita, le applicazioni vengono avviate dall'account SYSTEM.
Figura 28: Elenco degli eventi durante i quali l'applicazione verrà avviata
Ciò conclude la fase preliminare di installazione del sistema SecurIT e procede alla configurazione dei sottosistemi di filtraggio.
Configurare l'analisi e il filtro del contenuto
Ora considera le opzioni per impostare un sistema di analisi del contenuto.
dizionari. I dizionari in Zgate sono considerati gruppi di parole, uniti da qualsiasi attributo (categoria). Di norma, la presenza di parole di un dizionario specifico in una lettera con un alto grado di probabilità consente di attribuire la lettera alla categoria caratterizzata da questo dizionario. I dizionari nel sistema Zgate vengono utilizzati per il filtraggio nei metodi "Analisi dizionario" e "Elaborazione bayesiana".
Figura 29: Finestra di gestione dei dizionari in SecurIT Zgate
Poiché SecurIT Zgate utilizza gli stessi dizionari sia durante l'analisi di un messaggio di posta che durante l'elaborazione con il metodo Bayes, durante la creazione di dizionari, due parametri sono sempre assegnati a una parola: peso in categoria e peso in anti-categoria. Per impostazione predefinita, entrambi i parametri sono impostati su 50.
Per aggiungere un dizionario, è necessario fare clic sul pulsante "+" nella finestra di gestione del dizionario e per aggiungere parole al dizionario, è necessario selezionare il dizionario necessario e fare clic sul pulsante con una "matita" (Figura 30, 31).
Figura 30: aggiunta di un dizionario a SecurIT Zgate
Figura 31: aggiunta di una parola a un dizionario in SecurIT Zgate
Quando si inseriscono le parole, è possibile utilizzare caratteri speciali:
qualsiasi numero di lettere o numeri;
Qualsiasi carattere (lettera o numero);
^ - un carattere separatore (spazio, tabulazione, avanzamento riga);
Un carattere di separazione o punteggiatura;
# - carattere di una cifra;
@ è un carattere di una sola lettera.
I caratteri corretti per il dizionario sono i caratteri (,),<, >, (,), -, _, caratteri speciali e caratteri speciali come caratteri semplici (qualsiasi carattere speciale può essere trasformato in un carattere normale aggiungendo una barra rovesciata). Ad esempio, test * significa che la parola test * è nel dizionario. Un test * indica che il dizionario contiene tutte le parole che iniziano con il test: test, test, test, ecc.
Oltre a creare e compilare manualmente il dizionario, è possibile creare un dizionario importando parole da un file precedentemente preparato e esiste anche la possibilità di generare automaticamente un dizionario.
Quando si importano parole da un file, a ciascuna parola importata verrà assegnato il peso nella categoria predefinita e nella categoria secondaria. I caratteri predefiniti errati per il dizionario vengono sostituiti da un delimitatore (spazio) durante l'importazione.
La generazione automatica del dizionario da un file è possibile utilizzando un file di testo appositamente preparato con una serie appropriata di parole, nonché documenti reali che si riferiscono o non appartengono a una o un'altra categoria.
Oltre ai metodi di analisi linguistica, è possibile utilizzare il metodo dell '"impronta digitale", che è popolare per questa classe di prodotti: si tratta di un metodo per la ricerca di copie di documenti controllati o parti di documenti in un messaggio di posta. In questo caso, il testo di ricerca può essere modificato o solo una parte di esso può essere presente nella lettera.
Il metodo dell'impronta digitale consiste nella creazione di "impronte digitali" per tutti i documenti riservati. Le impronte digitali ricevute vengono archiviate in un database aggiornato (in modalità automatica) e aggiornato. Se è necessario verificare un documento, viene calcolata una "impronta digitale" per esso, quindi un'impronta digitale simile viene cercata tra le impronte digitali dei documenti riservati memorizzati nel database. Se l'impronta digitale del file sottoposto a scansione è simile all'impronta digitale memorizzata nel database, viene emesso un avviso appropriato (notifica).
Per iniziare a lavorare con il database delle impronte digitali, è necessario accedere al menu "Strumenti" ed eseguire il comando "Stampe".
Figura 32: Gestione del database delle impronte digitali in SecurIT Zgate
Per aggiungere una nuova categoria di documenti per l'impronta digitale, fare clic su
pulsante +. Per modificare, premi il pulsante "matita" e il pulsante "X" - per eliminare una categoria.
Figura 33: Creazione di una categoria di documenti in SecurIT Zgate
Inoltre, quando si crea una categoria, viene indicato l'orario di aggiornamento del database delle impronte digitali, vengono impostati i parametri dell'utente, per conto dei quali si accederà ai file e verranno aggiunti i file che contengono parole comuni escluse dalla scansione.
È possibile utilizzare i seguenti formati di file per creare impronte digitali:. txt,. doc,. docx,. xls,. xlsx,. ppt,. pptx,. pdf, .html,. rtf,. odt,. ods,. odp,. dbf,. wps,. xml * (il formato .xml viene analizzato come documento di testo semplice).
La categoria creata può essere testata. La verifica del file di prova con il metodo dell'impronta digitale ha lo scopo di determinare la correttezza delle impostazioni delle impronte digitali e la corretta descrizione delle categorie. Durante il controllo, viene determinato se l'impronta digitale del file (documento) da controllare è simile all'impronta digitale del documento archiviato nel database creato in precedenza di una determinata categoria. La ricerca di documenti simili viene effettuata tenendo conto del fatto che parte o tutti i caratteri russi nel documento controllato potrebbero essere sostituiti da simili caratteri inglesi di ortografia e viceversa.
Per effettuare la verifica, è necessario fare clic sul pulsante "Verifica" in basso nella finestra di gestione del database delle impronte digitali e selezionare il file da verificare, indicando la percentuale di probabilità di somiglianza.
Un sistema di categorizzazione così avanzato ti consente di creare categorie separate per i vari contenuti dei messaggi. A sua volta, ciò consente di classificare correttamente le notifiche di incidenti nel giornale e consentirà al responsabile della sicurezza di stabilire le priorità e di rispondere rapidamente agli eventi.
Figura 35: impostazione dei parametri di verifica del traffico in SecurIT Zgate
Figura 36: Risultato del test
Protezione degli addetti ai lavori con un mucchio di Zgate e Zlock
Oggi esistono due canali principali per la perdita di informazioni riservate: dispositivi collegati a un computer (tutti i tipi di unità rimovibili, inclusi "flash drive", CD / DVD, ecc., Stampanti) e Internet (e-mail, ICQ, social network, ecc.). ? d.). Pertanto, quando un'azienda "matura" per attuare un sistema di protezione nei suoi confronti, è consigliabile affrontare questa soluzione in modo globale. Il problema è che vengono utilizzati approcci diversi per bloccare canali diversi. In un caso, il modo più efficace di protezione sarà il controllo sull'uso di unità rimovibili, e nel secondo - varie opzioni per il filtro dei contenuti, che consente di bloccare il trasferimento di dati sensibili su una rete esterna. Pertanto, le aziende devono utilizzare due prodotti per proteggersi dagli addetti ai lavori, che insieme formano un sistema di sicurezza completo. Naturalmente, è preferibile utilizzare gli strumenti di uno sviluppatore. In questo caso, il processo di implementazione, amministrazione e formazione dei dipendenti è facilitato. Un esempio sono i prodotti Zlock e Zgate di SecurIT.
Zlock: protezione dalle perdite tramite unità rimovibili
Il programma Zlock è apparso sul mercato da un po 'di tempo. E abbiamo già descritto le sue caratteristiche principali. In linea di principio, non ha senso ripetere. Tuttavia, dalla pubblicazione dell'articolo, sono state rilasciate due nuove versioni di Zlock, in cui sono apparse numerose funzioni importanti. Qui vale la pena parlarne, anche se molto brevemente.
Prima di tutto, vale la pena notare la possibilità di assegnare diversi criteri al computer, che vengono applicati in modo indipendente a seconda che il computer sia collegato direttamente alla rete aziendale, tramite una VPN o funzioni autonomamente. Ciò consente, in particolare, di bloccare automaticamente le porte USB e le unità CD / DVD quando si disconnette un PC dalla rete locale. In generale, questa funzione aumenta la sicurezza delle informazioni pubblicate sui laptop che i dipendenti possono portare fuori dall'ufficio in viaggio o per lavoro a casa.
La seconda nuova opportunità è fornire ai dipendenti dell'azienda un accesso temporaneo ai dispositivi bloccati o anche a gruppi di dispositivi al telefono. Il principio del suo lavoro è lo scambio di codici segreti generati dal programma tra l'utente e il dipendente responsabile della sicurezza delle informazioni. È interessante notare che l'autorizzazione all'uso può essere rilasciata non solo permanente, ma anche temporanea (per un certo tempo o fino alla fine della sessione di lavoro). Questo strumento può essere considerato un po 'di rilassamento nel sistema di sicurezza, ma può migliorare la capacità di risposta del reparto IT alle richieste aziendali.
La prossima importante innovazione nelle nuove versioni di Zlock è il controllo sull'uso delle stampanti. Dopo averlo configurato, il sistema di protezione registra in un registro speciale tutte le richieste degli utenti per i dispositivi di stampa. Ma non è tutto. La copia shadow di tutti i documenti stampati è apparsa in Zlock. Sono scritti in formato PDF e sono una copia completa delle pagine stampate, indipendentemente dal file inviato alla stampante. Ciò impedisce la perdita di informazioni riservate sui fogli di carta quando un addetto stampa i dati ai fini della sua rimozione dall'ufficio. Anche nel sistema di protezione è apparsa la copia shadow delle informazioni registrate su unità CD / DVD-ROM.
Un'importante innovazione è stata l'emergere del componente server Zlock Enterprise Management Server. Fornisce l'archiviazione e la distribuzione centralizzata delle politiche di sicurezza e di altre impostazioni del programma e facilita notevolmente l'amministrazione di Zlock in sistemi di informazione di grandi dimensioni e distribuiti. Inoltre, non si può non menzionare l'aspetto del nostro sistema di autenticazione, che, se necessario, ci consente di abbandonare l'uso del dominio e degli utenti Windows locali.
Inoltre, l'ultima versione di Zlock ha introdotto diverse funzioni non così evidenti, ma anche abbastanza importanti: monitorare l'integrità del modulo client con la possibilità di bloccare l'accesso dell'utente durante il rilevamento di manomissioni, funzionalità avanzate per l'implementazione di un sistema di sicurezza, supporto per Oracle DBMS, ecc.
Zgate: protezione dalle perdite di Internet
Quindi, Zgate. Come abbiamo già detto, questo prodotto è un sistema di protezione contro la perdita di informazioni riservate via Internet. Strutturalmente, Zgate ha tre parti. Il componente principale è il componente server, che esegue tutte le operazioni di elaborazione dei dati. Può essere installato sia su un computer separato, sia su nodi già funzionanti nel sistema informativo aziendale - un gateway Internet, un controller di dominio, un gateway di posta, ecc.? Questo modulo, a sua volta, è costituito da tre componenti: per il controllo del traffico SMTP, il monitoraggio della posta interna del server MicrosoftExchange 2007/2010 e anche Zgate Web (è responsabile del controllo del traffico HTTP, FTP e IM).
La seconda parte del sistema di sicurezza è il server di registrazione. Viene utilizzato per raccogliere informazioni sugli eventi da uno o più server Zgate, elaborarli e archiviarli. Questo modulo è particolarmente utile nei sistemi aziendali di grandi dimensioni e distribuiti geograficamente, in quanto fornisce un accesso centralizzato a tutti i dati. La terza parte è la console di gestione. La sua qualità utilizza lo standard console per i prodotti SecurIT e pertanto non ci soffermeremo su di esso in dettaglio. Notiamo solo che con l'aiuto di questo modulo è possibile controllare il sistema non solo localmente, ma anche da remoto.
Console di gestione
Il sistema Zgate può funzionare in diverse modalità. Inoltre, la loro disponibilità dipende dal metodo di implementazione del prodotto. Le prime due modalità presuppongono il funzionamento come server proxy di posta. Per implementarli, il sistema viene installato tra il server di posta aziendale e il "mondo esterno" (o tra il server di posta e il server di invio, se separati). In questo caso, Zgate può sia filtrare il traffico (ritardare la violazione e i messaggi dubbi), sia registrarlo (saltare tutti i messaggi, ma salvarli nell'archivio).
Il secondo metodo di implementazione prevede l'uso di un sistema di sicurezza in combinazione con Microsoft Exchange 2007 o 2010. A tale scopo, è necessario installare Zgate direttamente sul server di posta aziendale. Sono inoltre disponibili due modalità: filtro e registrazione. Inoltre, esiste un'altra opzione di implementazione. Stiamo parlando di messaggi di journaling in modalità traffico speculare. Naturalmente, per usarlo, è necessario assicurarsi che questo traffico di mirroring (di solito ciò avvenga tramite apparecchiature di rete) arrivi sul computer su cui è installato Zgate.
Selezione della modalità Zgate
Una storia a parte merita il componente Web di Zgate. È installato direttamente sul gateway Internet aziendale. Allo stesso tempo, questo sottosistema ottiene la capacità di controllare il traffico HTTP, FTP e IM, ovvero elaborarlo per rilevare i tentativi di inviare informazioni riservate tramite interfacce di posta basate su Web e ICQ, pubblicarlo su forum, server FTP e social network e così via, a proposito di "ICQ". La funzione di blocco dei messaggistica istantanea è presente in molti prodotti simili. Tuttavia, è ICQ che non è in loro. Solo perché è stato nei paesi di lingua russa che ha ricevuto la maggiore distribuzione.
Il principio di funzionamento del componente Web Zgate è abbastanza semplice. Ogni volta che vengono inviate informazioni a uno qualsiasi dei servizi monitorati, il sistema genererà un messaggio speciale. Contiene le informazioni stesse e alcuni dati di servizio. Viene inviato al server Zgate principale ed elaborato in conformità con le regole specificate. Naturalmente, l'invio di informazioni nel servizio stesso non è bloccato. Cioè, Zgate Web funziona solo in modalità di registrazione. Con il suo aiuto è impossibile prevenire singole perdite di dati, ma è possibile rilevarle rapidamente e interrompere l'attività di un utente malintenzionato libero o involontario.
Di recente, il problema della protezione dalle minacce interne è diventato una vera sfida al mondo comprensibile e consolidato della sicurezza delle informazioni aziendali. La stampa parla di addetti ai lavori, ricercatori e analisti avvertono di possibili perdite e problemi, e i feed di notizie sono pieni di messaggi sul prossimo incidente, che ha portato alla perdita di centinaia di migliaia di record dei clienti a causa dell'errore o della disattenzione di un dipendente. Proviamo a capire se questo problema è così grave, se deve essere affrontato e quali strumenti e tecnologie disponibili esistono per risolverlo.
Prima di tutto, vale la pena determinare che la minaccia alla riservatezza dei dati è interna se la sua fonte è un dipendente dell'azienda o qualsiasi altra persona che abbia accesso legale a questi dati. Pertanto, quando parliamo di minacce interne, stiamo parlando di eventuali azioni di utenti legali, intenzionali o accidentali, che potrebbero portare alla perdita di informazioni riservate al di fuori della rete aziendale dell'impresa. Per completare il quadro, vale la pena aggiungere che tali utenti sono spesso chiamati addetti ai lavori, sebbene questo termine abbia altri significati.
L'importanza del problema delle minacce interne è confermata dai risultati di recenti studi. In particolare, nell'ottobre 2008, sono stati annunciati i risultati di uno studio congiunto di Compuware e Ponemon Institue, secondo i quali gli addetti ai lavori sono la causa più comune di perdite di dati (75% degli incidenti negli Stati Uniti), mentre gli hacker erano solo al quinto posto. Nello studio annuale del Computer Security Institute (CSI) del 2008, i dati che mostrano il numero di incidenti relativi a minacce interne sono i seguenti:
La percentuale di incidenti indica quella del numero totale di intervistati, questo tipo di incidente si è verificato nella percentuale specificata di organizzazioni. Come si può vedere da queste cifre, praticamente ogni organizzazione ha il rischio di soffrire di minacce interne. Per fare un confronto, secondo lo stesso rapporto, i virus hanno infettato il 50% delle organizzazioni intervistate e solo il 13% ha dovuto affrontare la penetrazione degli hacker nella rete locale.
Pertanto, le minacce interne sono una realtà di oggi e non un mito inventato da analisti e venditori. Quindi, per coloro che, alla vecchia maniera, credono che una sicurezza delle informazioni aziendali sia un firewall e un antivirus, è necessario esaminare il problema nel modo più ampio possibile.
La legge sui dati personali aumenta anche il grado di tensione, in base al quale le organizzazioni e i funzionari dovranno rispondere per il trattamento improprio dei dati personali non solo alla loro gestione, ma anche ai loro clienti e alla legge.
Modello di intrusione
Tradizionalmente, quando si considerano le minacce e i mezzi di protezione contro di esse, si dovrebbe iniziare analizzando il modello dell'intruso. Come già accennato, parleremo degli addetti ai lavori: dipendenti dell'organizzazione e altri utenti che hanno accesso legale alle informazioni riservate. Di norma, con queste parole, viene in mente un impiegato che lavora su un computer come parte di una rete aziendale e non lascia l'ufficio dell'organizzazione nel processo. Tuttavia, questa visione è incompleta. È necessario espanderlo a spese di altri tipi di persone con accesso legale alle informazioni che possono lasciare l'ufficio dell'organizzazione. Può trattarsi di viaggiatori d'affari con computer portatili o di lavoro in ufficio ea casa, corrieri che trasportano supporti informativi, principalmente nastri magnetici con backup, ecc.
Una considerazione così estesa del modello di intruso, in primo luogo, si inserisce nel concetto, poiché anche le minacce provenienti da questi intrusi sono interne e, in secondo luogo, consente di analizzare il problema in modo più ampio, considerando tutte le possibili opzioni per gestirle.
Si possono distinguere i seguenti tipi principali di violatori interni:
- Dipendente sleale / offeso. I trasgressori appartenenti a questa categoria possono agire deliberatamente, ad esempio, cambiando lavoro e desiderando acquisire informazioni riservate al fine di interessare un nuovo datore di lavoro o emotivamente, se si considerano offesi, e quindi vogliono vendetta. Sono pericolosi perché sono più motivati \u200b\u200ba causare danni all'organizzazione in cui lavorano attualmente. Di norma, il numero di incidenti che coinvolgono dipendenti infedeli è piccolo, ma può aumentare in situazioni di condizioni economiche sfavorevoli e riduzioni massicce del personale.
- Dipendente introdotto, corrotto o manipolato. In questo caso, stiamo parlando di azioni mirate, di regola, ai fini dello spionaggio industriale di fronte a un'intensa concorrenza. Per raccogliere informazioni riservate, introducono la propria persona per determinati scopi in un'azienda concorrente, oppure trovano un dipendente non leale e lo corrompono, oppure fanno un dipendente leale ma non vigile attraverso l'ingegneria sociale per trasmettere informazioni riservate. Il numero di incidenti di questo tipo è di solito anche inferiore ai precedenti, a causa del fatto che nella maggior parte dei segmenti dell'economia della Federazione Russa la concorrenza non è molto sviluppata o è attuata in altri modi.
- Impiegato negligente. Questo tipo di intruso è un dipendente leale, ma distratto o negligente che può violare la politica di sicurezza interna dell'azienda a causa della sua ignoranza o dimenticanza. Tale dipendente può erroneamente inviare un'e-mail con il file segreto allegato alla persona per la quale non è previsto, oppure utilizzare un'unità flash USB con informazioni riservate per lavorare con essa nel fine settimana e perderla. I dipendenti che perdono laptop e nastri magnetici sono dello stesso tipo. Secondo molti esperti, questo tipo di addetto ai lavori è responsabile della maggior parte delle perdite di informazioni riservate.
Pertanto, i motivi e, di conseguenza, il corso di azione dei potenziali violatori possono differire in modo significativo. A seconda di ciò, si dovrebbe affrontare la soluzione del problema di garantire la sicurezza interna dell'organizzazione.
Tecnologie interne di protezione dalle minacce
Nonostante la relativa giovinezza di questo segmento di mercato, i clienti hanno già molto da scegliere a seconda delle loro attività e capacità finanziarie. Vale la pena notare che ora non ci sono praticamente venditori sul mercato specializzati esclusivamente in minacce interne. Questa situazione si è sviluppata non solo a causa dell'immaturità di questo segmento, ma anche a causa delle politiche di fusioni e acquisizioni aggressive e talvolta caotiche perseguite dai produttori di rimedi tradizionali e altri fornitori interessati ad essere presenti in questo segmento. Vale la pena ricordare la società RSA Data Security, divenuta una divisione di EMC nel 2006, l'acquisizione da parte di NetApp della startup Decru, che ha sviluppato sistemi di protezione dei server e di backup nel 2005, l'acquisto da parte di Vantu del fornitore DLP Symantec nel 2007, ecc.
Nonostante il fatto che un gran numero di tali transazioni indichi buone prospettive per lo sviluppo di questo segmento, non sempre avvantaggiano la qualità dei prodotti che rientrano nell'ala delle grandi società. I prodotti iniziano a svilupparsi più lentamente e gli sviluppatori non rispondono così rapidamente alle esigenze del mercato rispetto a un'azienda altamente specializzata. Questa è una malattia ben nota delle grandi aziende che sono note per perdere mobilità e reattività verso i loro fratelli minori. D'altra parte, la qualità del servizio e la disponibilità di prodotti per i clienti in diverse parti del mondo stanno migliorando grazie allo sviluppo della loro rete di servizi e distribuzione.
Considera le principali tecnologie attualmente utilizzate per neutralizzare le minacce interne, i loro vantaggi e svantaggi.
Controllo dei documenti
La tecnologia di controllo dei documenti è incorporata in moderni prodotti per la gestione dei diritti come Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES e Oracle Information Rights Management.
Il principio di funzionamento di questi sistemi è quello di assegnare regole d'uso per ciascun documento e controllare questi diritti nelle applicazioni che funzionano con documenti di questo tipo. Ad esempio, è possibile creare un documento di Microsoft Word e impostarne le regole, chi può visualizzarlo, chi può modificare e salvare le modifiche e chi stampare. Queste regole in termini di Windows RMS sono chiamate licenza e sono archiviate con il file. Il contenuto del file è crittografato per impedire a utenti non autorizzati di visualizzarlo.
Ora, se un utente tenta di aprire un file così protetto, l'applicazione comunica con un server RMS speciale, conferma l'autorità dell'utente e, se l'accesso a questo utente è consentito, il server trasferisce la chiave all'applicazione per decrittografare questo file e le informazioni sui diritti di questo utente. Un'applicazione basata su queste informazioni mette a disposizione dell'utente solo le funzioni per le quali ha i diritti. Ad esempio, se l'utente non è autorizzato a stampare il file, la funzione di stampa nell'applicazione non sarà disponibile.
Si scopre che le informazioni in un tale file sono sicure anche se il file non rientra nella rete aziendale: è crittografato. Le funzionalità RMS sono già integrate nelle applicazioni di Microsoft Office 2003 Professional Edition. Per incorporare le funzioni RMS nelle applicazioni di altri sviluppatori, Microsoft offre un SDK speciale.
Il sistema di controllo dei documenti di Adobe è costruito in modo simile, ma si concentra su documenti PDF. Il sistema Oracle IRM è installato sui computer client come agente e si integra con le applicazioni nella fase della loro esecuzione.
Il controllo dei documenti è una parte importante del concetto generale di protezione contro le minacce interne, ma i limiti naturali di questa tecnologia devono essere presi in considerazione. Innanzitutto, è progettato esclusivamente per il controllo dei file di documenti. Quando si tratta di file o database non strutturati, questa tecnologia non funziona. In secondo luogo, se un utente malintenzionato, utilizzando l'SDK di questo sistema, crea l'applicazione più semplice che comunicherà con il server RMS, ottiene da lì la chiave di crittografia e salva il documento in forma aperta ed esegue questa applicazione per conto di un utente con un livello minimo di accesso al documento, questo sistema verrà bypassato. Inoltre, si dovrebbe tener conto delle difficoltà nell'implementare un sistema di controllo dei documenti nel caso in cui molti documenti siano già stati creati nell'organizzazione - il compito di classificazione iniziale dei documenti e assegnazione dei diritti per usarli può richiedere uno sforzo considerevole.
Ciò non significa che i sistemi di controllo dei documenti non soddisfino il compito, è sufficiente ricordare che la protezione delle informazioni è un problema complesso e, di norma, non è possibile risolverlo utilizzando un solo mezzo.
Protezione dalle perdite
Il termine prevenzione della perdita di dati (DLP) è apparso nel lessico degli specialisti della sicurezza delle informazioni relativamente di recente ed è già diventato, senza esagerare, l'argomento più caldo degli ultimi anni. Di norma, l'abbreviazione DLP indica i sistemi che monitorano i possibili canali di perdita e li bloccano se vengono inviate informazioni riservate attraverso questi canali. Inoltre, le funzioni di tali sistemi includono spesso la capacità di archiviare le informazioni che li attraversano per successive verifiche, indagini sugli incidenti e analisi retrospettiva di potenziali rischi.
Esistono due tipi di sistemi DLP: DLP di rete e DLP host.
Rete DLP Funzionano secondo il principio di un gateway di rete, che filtra tutti i dati che lo attraversano. Ovviamente, in base al compito di combattere le minacce interne, l'interesse principale di tale filtro è la capacità di controllare i dati trasmessi al di fuori della rete aziendale a Internet. I DLP di rete consentono di controllare la posta in uscita, il traffico http e ftp, i servizi di messaggistica istantanea, ecc. Se vengono rilevate informazioni riservate, i DLP di rete possono bloccare il file trasmesso. Ci sono anche opportunità per l'elaborazione manuale di file sospetti. I file sospetti vengono messi in quarantena, che il responsabile della sicurezza esegue periodicamente la scansione e consente al file di essere trasferito o lo proibisce. È vero, tale elaborazione, grazie alle funzionalità del protocollo, è possibile solo per la posta elettronica. Ulteriori opportunità di controllo e analisi degli incidenti sono fornite dall'archiviazione di tutte le informazioni che passano attraverso il gateway, a condizione che questo archivio venga periodicamente rivisto e il suo contenuto venga analizzato per identificare eventuali perdite.
Uno dei principali problemi nell'implementazione e nell'implementazione dei sistemi DLP è il metodo di rilevazione delle informazioni riservate, ovvero il momento in cui si decide se le informazioni trasmesse sono confidenziali e le ragioni che vengono prese in considerazione al momento di prendere tale decisione. Di norma, per questo, viene analizzato il contenuto dei documenti trasmessi, chiamato anche analisi del contenuto. Considerare i principali approcci al rilevamento di informazioni riservate.
- Tags. Questo metodo è simile ai sistemi di controllo dei documenti discussi sopra. Le etichette vengono introdotte nei documenti che descrivono il grado di riservatezza delle informazioni, cosa si può fare con questo documento e a chi inviare. Sulla base dei risultati dell'analisi delle etichette, il sistema DLP decide se questo documento può essere inviato o meno. Alcuni sistemi DLP sono inizialmente resi compatibili con i sistemi di gestione dei diritti per utilizzare i tag installati da questi sistemi, mentre altri sistemi utilizzano il proprio formato di tag.
- Firme. Questo metodo consiste nel definire una o più sequenze di caratteri, la cui presenza nel testo del file trasmesso dovrebbe dire al sistema DLP che questo file contiene informazioni riservate. Un gran numero di firme può essere organizzato in dizionari.
- Metodo Bayes Questo metodo, utilizzato per combattere lo spam, può essere utilizzato con successo nei sistemi DLP. Per applicare questo metodo, viene creato un elenco di categorie e viene indicato un elenco di parole con le probabilità che se una parola si trova in un file, il file con una data probabilità appartiene o non appartiene alla categoria specificata.
- Analisi morfologiche Il metodo di analisi morfologica è simile al metodo della firma, la differenza è che non analizza il 100% della corrispondenza con la firma, ma prende anche le parole di radice.
- Impronte digitali. L'essenza di questo metodo è che per tutti i documenti riservati, viene calcolata una funzione hash in modo che se il documento viene leggermente modificato, la funzione hash rimarrà la stessa o cambierà leggermente. Pertanto, il processo di rilevazione di documenti riservati è notevolmente semplificato. Nonostante gli elogi entusiastici di questa tecnologia da parte di molti venditori e alcuni analisti, la sua affidabilità lascia molto a desiderare, e dato che i venditori, con vari pretesti, preferiscono lasciare nell'ombra i dettagli dell'implementazione dell'algoritmo digitale delle impronte digitali, la fiducia in essa non aumenta.
- Espressioni regolari. Le espressioni regolari sono note a tutti coloro che sono stati coinvolti nella programmazione, le espressioni regolari facilitano la ricerca di dati modello nel testo, ad esempio telefoni, dati del passaporto, numeri di conto bancario, numeri di previdenza sociale, ecc.
È facile vedere dall'elenco che i metodi di rilevamento non garantiscono la determinazione al 100% delle informazioni riservate, poiché il livello di errori sia del primo che del secondo tipo è piuttosto elevato in essi, oppure richiedono una costante vigilanza da parte del servizio di sicurezza per aggiornare e mantenere aggiornato l'elenco di firme o incarichi tagga documenti riservati.
Inoltre, la crittografia del traffico può creare un certo problema nel funzionamento dei DLP di rete. Se per motivi di sicurezza è necessario crittografare i messaggi di posta elettronica o utilizzare il protocollo SSL durante la connessione a qualsiasi risorsa Web, il problema di determinare la presenza di informazioni riservate nei file trasferiti può essere molto difficile. Non dimenticare che in alcuni servizi di messaggistica istantanea, ad esempio, in Skype, la crittografia è integrata per impostazione predefinita. Dovrai rifiutare di utilizzare tali servizi o utilizzare DLP host per controllarli.
Tuttavia, nonostante tutte le difficoltà, con un'adeguata configurazione e un approccio serio, i DLP di rete possono ridurre significativamente il rischio di perdita di informazioni riservate e fornire all'organizzazione un mezzo conveniente per il controllo interno.
DLP ospitato sono installati su ciascun host della rete (sulle workstation client e, se necessario, sui server) e possono essere utilizzati anche per controllare il traffico Internet. Tuttavia, in quanto tali, i DLP host sono meno comuni e sono attualmente utilizzati principalmente per il controllo di dispositivi e stampanti esterni. Come sapete, un dipendente che si è messo al lavoro da un'unità flash USB o un lettore MP3 rappresenta una minaccia molto più grande per la sicurezza delle informazioni di un'azienda rispetto a tutti gli hacker messi insieme. Questi sistemi sono anche chiamati strumenti di sicurezza degli endpoint, sebbene questo termine sia spesso usato più ampiamente, ad esempio, poiché a volte vengono chiamati strumenti antivirus.
Come sapete, il problema dell'utilizzo di dispositivi esterni può essere risolto senza utilizzare alcun mezzo disabilitando le porte fisicamente o tramite il sistema operativo o amministrativamente, vietando ai dipendenti di portare qualsiasi supporto di archiviazione in ufficio. Tuttavia, nella maggior parte dei casi, l'approccio "economico e allegro" è inaccettabile, poiché non è garantita la dovuta flessibilità dei servizi di informazione presentati dai processi aziendali.
Per questo motivo, c'era una certa richiesta di strumenti speciali con i quali è possibile risolvere in modo più flessibile il problema dell'utilizzo di dispositivi e stampanti esterni da parte dei dipendenti dell'azienda. Tali strumenti consentono di configurare i diritti di accesso per gli utenti a vari tipi di dispositivi, ad esempio, per un gruppo di utenti di vietare di lavorare con i supporti e consentire con le stampanti, e per un altro - per consentire di lavorare con i supporti in modalità di sola lettura. Se è necessario registrare informazioni su dispositivi esterni per singoli utenti, è possibile utilizzare la tecnologia di copia shadow, che garantisce che tutte le informazioni archiviate sul dispositivo esterno vengano copiate sul server. Le informazioni copiate possono quindi essere analizzate per analizzare le azioni dell'utente. Questa tecnologia copia tutto di seguito e attualmente non esistono sistemi che consentano di condurre un'analisi del contenuto dei file memorizzati al fine di bloccare l'operazione e prevenire perdite, come fanno i DLP di rete. Tuttavia, l'archivio di copie shadow fornirà un'indagine sugli incidenti e un'analisi retrospettiva degli eventi sulla rete, e la presenza di un tale archivio significa per un potenziale addetto ai lavori l'opportunità di essere colti e puniti per le loro azioni. Questo può rivelarsi un ostacolo significativo per lui e una ragione pesante per abbandonare le azioni ostili.
Vale la pena menzionare il controllo sull'uso delle stampanti: anche le copie cartacee dei documenti possono diventare una fonte di perdite. I DLP ospitati consentono di controllare l'accesso degli utenti alle stampanti e ad altri dispositivi esterni e di salvare copie dei documenti stampati in formato grafico per successive analisi. Inoltre, la tecnologia delle filigrane ha guadagnato una certa distribuzione, che implementa la stampa su ogni pagina di un documento di un codice univoco, mediante il quale è possibile determinare chi esattamente, quando e dove stampare questo documento.
Nonostante gli indubbi vantaggi dell'host DLP, presentano una serie di svantaggi associati alla necessità di installare il software dell'agente su ciascun computer che dovrebbe essere controllato. In primo luogo, può causare alcune difficoltà in termini di distribuzione e gestione di tali sistemi. In secondo luogo, un utente con privilegi di amministratore può provare a disabilitare questo software per eseguire qualsiasi azione non consentita dalla politica di sicurezza.
Tuttavia, per un controllo affidabile dei dispositivi esterni, i DLP host non possono essere eliminati e i problemi citati non appartengono alla categoria di quelli irrisolvibili. Pertanto, possiamo concludere che il concetto di DLP è attualmente uno strumento a pieno titolo nell'arsenale dei servizi di sicurezza aziendale a fronte di una pressione costantemente crescente su di essi per garantire il controllo interno e la protezione contro le perdite.
Concetto di IPC
Nel processo di inventare nuovi mezzi per affrontare le minacce interne, il pensiero scientifico e ingegneristico della società moderna non si ferma e, tenendo conto di alcuni svantaggi degli strumenti discussi sopra, il mercato dei sistemi di protezione dalle perdite di informazioni è giunto al concetto di IPC (Protezione e controllo delle informazioni). Questo termine è apparso relativamente di recente, si ritiene che sia stato usato per la prima volta in una recensione di IDC nel 2007.
L'essenza di questo concetto è combinare i metodi di crittografia e DLP. In questo concetto, utilizzando DLP, le informazioni che escono dalla rete aziendale attraverso canali tecnici sono controllate e la crittografia viene utilizzata per proteggere i supporti di archiviazione che cadono fisicamente nelle mani di persone non autorizzate.
Considera le tecnologie di crittografia più comuni che possono essere utilizzate nel concetto IPC.
- Crittografia del nastro magnetico. Nonostante la natura arcaica di questo tipo di supporto, continua ad essere attivamente utilizzato per il backup e per il trasferimento di grandi quantità di informazioni, poiché non ha ancora eguali in termini di costo unitario dei megabyte memorizzati. Di conseguenza, le perdite associate alla perdita di nastri magnetici continuano a deliziare gli editori di feed di notizie che mettono le informazioni su di essi nelle prime pagine e sconvolgono i direttori IT e i servizi di sicurezza delle imprese che sono diventati gli eroi di tali messaggi. La situazione è aggravata dal fatto che tali nastri contengono enormi quantità di dati e, pertanto, un gran numero di persone può diventare vittima di truffatori.
- Crittografia di archiviazione del server. Nonostante il fatto che gli archivi dei server vengano trasportati molto raramente e che il rischio di una loro perdita sia incommensurabilmente inferiore a quello del nastro magnetico, un disco rigido separato dall'archiviazione può cadere nelle mani degli aggressori. Riparazione, smaltimento, aggiornamento: questi eventi si verificano con sufficiente regolarità per cancellare questo rischio dai conti. E la situazione delle persone non autorizzate che entrano nell'ufficio non è un evento completamente impossibile.
Vale la pena fare una piccola digressione e menzionare l'idea sbagliata comune che se un disco fa parte di un array RAID, quindi, presumibilmente, non devi preoccuparti che cadrà nelle mani sbagliate. Sembrerebbe che l'alternanza dei dati registrati su diversi dischi rigidi, che sono eseguiti da controller RAID, fornisca una visione illeggibile dei dati che si trovano su una qualsiasi forma rigida. Sfortunatamente, questo non è del tutto vero. Lo striping si verifica, tuttavia, nella maggior parte dei dispositivi moderni viene eseguito a livello di blocco di 512 byte. Ciò significa che, nonostante la violazione della struttura e dei formati di file, è ancora possibile estrarre informazioni riservate da un tale disco rigido. Pertanto, se il requisito è impostato per garantire la riservatezza delle informazioni quando vengono archiviate in un array RAID, la crittografia rimane l'unica opzione affidabile.
- Crittografia del laptop. Ciò è stato detto innumerevoli volte, ma la perdita di laptop con informazioni riservate per anni non è ancora uscita dalle prime cinque classifiche di incidenti.
- Crittografia dei supporti rimovibili. In questo caso, stiamo parlando di dispositivi USB portatili e, a volte, di CD e DVD registrabili, se utilizzati nei processi aziendali dell'azienda. Tali sistemi, così come i sistemi summenzionati per la crittografia dei dischi rigidi nei laptop, possono spesso fungere da componenti dei sistemi host DLP. In questo caso, parlano di una sorta di criptoperimetro, che fornisce una crittografia trasparente automatica dei media all'interno e dell'impossibilità di decrittografare i dati all'esterno.
Pertanto, la crittografia può espandere significativamente le capacità dei sistemi DLP e ridurre il rischio di perdita di dati riservati. Nonostante il fatto che il concetto di IPC abbia preso forma relativamente di recente e che la scelta di soluzioni IPC complesse sul mercato non sia troppo ampia, l'industria sta attivamente sviluppando quest'area ed è possibile che dopo un po 'questo concetto diventerà lo standard di fatto per risolvere la sicurezza interna e i problemi interni controllo.
risultati
Come si evince da questa recensione, le minacce interne rappresentano un'area abbastanza nuova nella sicurezza delle informazioni, che tuttavia si sta attivamente sviluppando e richiede maggiore attenzione. Le tecnologie di controllo dei documenti considerate, DLP e IPC ci consentono di costruire un sistema di controllo interno abbastanza affidabile e ridurre il rischio di perdite a un livello accettabile. Non vi è dubbio che quest'area della sicurezza delle informazioni continuerà a svilupparsi, saranno offerte tecnologie più recenti e più avanzate, ma oggi molte organizzazioni scelgono a favore dell'una o dell'altra soluzione, poiché la disattenzione in materia di sicurezza delle informazioni può essere troppo costosa.
Alexey Raevsky
CEO di SecurIT
Nel campo della sicurezza delle informazioni, le organizzazioni di solito dedicano la massima attenzione alla protezione dagli attacchi esterni, pertanto quasi tutti i fondi stanziati per garantire la sicurezza vengono utilizzati per proteggere i punti vulnerabili sul perimetro della rete aziendale. La situazione attuale si riflette anche nel mercato delle soluzioni di sicurezza IT: negli ultimi anni è stata proposta una vasta gamma di diversi mezzi di protezione contro virus, worm, trojan e altre minacce esterne.
Tuttavia, le imprese stanno gradualmente prendendo coscienza di un nuovo pericolo. Non proviene da hacker, non da spam o virus casuali, ma dai propri dipendenti. Gli addetti ai lavori si trovano all'interno dell'organizzazione stessa e sono dotati di autorità completamente legale, quindi è molto più facile per loro accedere alle informazioni che li interessano rispetto a qualsiasi estraneo. Per comprendere meglio il problema, passiamo a uno studio del 2006 condotto dalla società di analisi americana Aberdeen Group, The Insider Threat Benchmark Report - Strategies for Data Protection, durante il quale sono state intervistate 88 grandi società americane.
Risultati chiave di un sondaggio di grandi società
La minaccia degli addetti ai lavori sta crescendo. Le imprese moderne non possono più ignorare questo pericolo e si preparano costantemente all'opposizione. Le aziende che preferiscono non notarlo o risparmiare sull'attuazione di nuovi sistemi di sicurezza subiscono gravi perdite. Molte società menzionate nello studio sono state gravemente colpite da perdite di dati e solo allora si sono occupate delle misure preventive. Il loro esempio dovrebbe servire da lezione per altre aziende.
Le aziende che vogliono proteggersi da fughe di informazioni riservate dovrebbero adottare un approccio responsabile per risolvere il problema. I risparmi irrazionali nella sicurezza comporteranno perdite sostanziali nel prossimo futuro. L'opzione migliore sarebbe quella di cercare l'aiuto di professionisti specializzati in sistemi di protezione interna. Tali sistemi possono essere facilmente integrati nell'infrastruttura esistente. Inoltre, i venditori non solo assicureranno che la soluzione sia operativa, ma garantiranno anche la sua alta efficienza.
Pertanto, non esiste un rimedio contro gli addetti ai lavori. La protezione affidabile delle informazioni aiuterà solo l'applicazione di una vasta gamma di misure e soluzioni. Nonostante l'inerzia dei grandi fornitori, sul mercato esiste un numero sufficiente di complessi già pronti che offrono protezione da addetti ai lavori e perdite.
Una delle più importanti tecnologie moderne di protezione delle informazioni è il filtraggio del traffico di rete (il 53% degli intervistati l'ha già implementato). Un altro 28% prevede di installare tali filtri quest'anno. Inoltre, una tecnologia molto promettente è la classificazione dei dati. Sebbene oggi solo il 42% delle aziende lo utilizzi, quest'anno il loro numero aumenterà del 44% (cioè fino all'86%). Tuttavia, una seria preoccupazione è il fatto che un numero irragionevolmente esiguo di intervistati utilizza altre soluzioni efficaci per proteggere da perdite e addetti ai lavori, come il monitoraggio delle azioni dei dipendenti.
Per molte imprese, uno dei principali ostacoli (44%) nell'attuazione di ulteriori mezzi di protezione contro le perdite di informazioni è rappresentato dalle risorse IT limitate. Allo stesso tempo, l'introduzione di tali strumenti di protezione consente non solo di ridurre significativamente il rischio di perdere dati importanti, ma anche di ridurre significativamente i costi dei dipartimenti IT (del 17,5%).
Posizione attuale
Non c'è nulla di sorprendente nel fatto che le conseguenze degli incidenti interni sono spesso molto più terribili di un attacco riuscito da parte degli hacker. Ci sono molte ragioni per questo. La semplice facilità di accesso a varie risorse informative non può essere spiegata. Il fatto è che le informazioni rubate dagli addetti ai lavori, di regola, sono più importanti delle informazioni che gli hacker possono ottenere. Uno dei motivi più importanti della crescente minaccia degli addetti ai lavori e della facilità delle azioni illecite è la negligenza dei servizi di sicurezza IT interni (se presenti). Le organizzazioni non sono pronte a resistere agli addetti ai lavori, perché semplicemente non dispongono degli strumenti appropriati. Anche se viene identificata una minaccia, i lavoratori nella sfera senza pericolo non possono ancora affrontarla correttamente, dal momento che non hanno acquisito l'esperienza necessaria in questo settore. In generale, è già possibile trovare soluzioni complete sul mercato per proteggere le informazioni riservate dagli addetti ai lavori. Sfortunatamente, i manager spesso non comprendono la gravità della minaccia. Per inerzia, continuano a intensificare gli sforzi per proteggere il perimetro della loro organizzazione da pericoli esterni.
Nel frattempo, le agenzie di stampa e i media stanno prestando sempre più attenzione al problema degli addetti ai lavori. Gli esperti parlano di un aumento del numero di perdite di informazioni riservate e delle loro tristi conseguenze: perdita di tempo, perdite finanziarie e un colpo alla reputazione. Inoltre, vi è una tendenza globale in quanto l'azienda inizia a passare specificamente al problema della sicurezza IT interna.
Nel corso dello studio "The Insider Threat Benchmark Report - Strategies for Data Protection", gli analisti sono stati in grado di scoprire che nell'ultimo anno molti fornitori e distributori di sistemi IT hanno modificato qualitativamente la gamma di soluzioni proposte. Allo stesso tempo, la quota di prodotti progettati appositamente per combattere gli addetti ai lavori è aumentata. Tuttavia, allo stesso tempo, i maggiori fornitori IT continuano ad espandere il loro assortimento tradizionale, mantenendo le proporzioni delle soluzioni allo stesso livello. Ciò indica una sottovalutazione del potenziale della linea di prodotti corrispondente o una bassa domanda corrente. Tuttavia, il 41% degli intervistati statunitensi ha già implementato strumenti di sicurezza nella propria infrastruttura IT che in una certa misura risolvono il problema degli addetti ai lavori.
Si noti che i clienti russi possono constatare da soli che l'interesse per i sistemi di gestione delle perdite e degli addetti ai lavori di fornitori e integratori di sistemi è aumentato in modo significativo. Ad esempio, Kaspersky Lab ha separato la sua attività nel campo della sicurezza IT interna in una società separata: InfoWatch e quasi tutti gli integratori di sistemi russi hanno incluso le soluzioni di questa società nella loro linea di prodotti. Secondo Denis Zenkin, direttore marketing di InfoWatch, nel 2005 i profitti dell'azienda sono aumentati del 120% e nel 2006 è stato osservato un quadro simile. E questo nonostante il fatto che le società russe siano significativamente dietro gli Stati Uniti nell'uso dei sistemi per proteggersi dagli addetti ai lavori. Secondo lo studio "Minacce informatiche interne in Russia 2005", durante il quale InfoWatch ha intervistato più di 300 organizzazioni nazionali, solo il 2% degli intervistati utilizza sistemi per combattere gli addetti ai lavori e le perdite. Tuttavia, la crescita dei profitti dei fornitori indica chiaramente che questa situazione sta gradualmente cambiando.
Inoltre, un'altra importante azienda antivirus, McAfee, ha recentemente mostrato interesse per i sistemi anti-insider. Nell'ottobre 2006, ha acquistato la società israeliana Onigma, la cui unica soluzione è stata progettata specificamente per identificare e prevenire le perdite. Secondo un comunicato stampa, McAfee integra la tecnologia Onigma nella propria soluzione e quindi inizia a espandersi nel mercato delle soluzioni di sicurezza IT interne.
È possibile che nel prossimo futuro, la più grande azienda nel campo della sicurezza IT, Symantec, apparirà sul mercato dei prodotti anti-perdite. In generale, possiamo tranquillamente affermare che l'inclusione di prodotti per combattere gli addetti ai lavori nel nostro assortimento è una direzione estremamente promettente di diversificazione per tutte le parti della catena di distribuzione delle soluzioni di sicurezza IT.
Guarda dall'altra parte
Ritorniamo ora ai risultati dello studio "The Insider Threat Benchmark Report - Strategies for Data Protection" e analizziamo i sistemi di protezione dagli addetti ai lavori e le perdite attraverso gli occhi del cliente. Tutte le società americane possono essere suddivise in tre diseguali in termini di gruppi di composizione quantitativa: ritardo (30%), contadini medi (50%) e leader (20%). Le imprese in ritardo hanno generalmente indicatori di performance inferiori rispetto alla media del settore e i leader di conseguenza sono più alti. Si scopre che assolutamente tutte le organizzazioni di successo (100% degli intervistati) considerano la protezione dei dati riservati come la direzione più importante nella lotta agli addetti ai lavori. Inoltre, le migliori aziende utilizzano le politiche di identificazione e controllo degli accessi (75%) molto più ampiamente. Le caratteristiche di vari gruppi nel campo della sicurezza IT interna sono presentate nella figura.
I diagrammi mostrano che le aziende leader preferiscono considerare il progetto di introdurre un sistema di protezione dagli addetti ai lavori come un'attività commerciale a pieno titolo. Inoltre, attribuiscono particolare importanza al complesso dei servizi di accompagnamento. Ciò consente di creare il sistema più efficace di sicurezza interna e di non spostare compiti atipici sulle spalle dei propri dipendenti. Inoltre, le migliori aziende del loro settore stanno cercando di ridurre al minimo il fattore umano attraverso l'uso di processi completamente automatizzati. Infine, i leader pongono l'integrazione dei prodotti in un unico sistema gestibile come una priorità, quindi apprezzano la flessibilità della soluzione implementata per proteggere dagli addetti ai lavori.
Proviamo a valutare il problema della sicurezza interna in termini di tecnologia (tabella 1). Dopo aver studiato diversi settori, è emerso che le principali tecnologie utilizzate sono: password, sistemi di identificazione, biometria, scansione del traffico di rete e controllo dell'accesso degli utenti alle informazioni riservate.
Tabella 1. Tecnologie di protezione della sicurezza: stato attuale e previsioni
|
della tecnologia |
Percentuale di intervistati che utilizzano la tecnologia ora,% |
Quota di intervistati che prevede di introdurre la tecnologia nei prossimi 12 mesi,% |
|
Password complesse |
||
|
Elenchi di controllo degli accessi |
||
|
Filtro del traffico di rete |
||
|
Scansione perimetrale |
||
|
Monitoraggio automatico dell'accesso dei dipendenti |
||
|
Classificazione dei dati (per riservatezza) |
||
|
Punto di ingresso unico |
||
|
Identificazione con richiesta e conferma |
||
|
Autenticazione di richiamata del telefono cellulare |
Esattamente il 50% delle migliori aziende del settore utilizza password complesse, filtrando il traffico di rete e gli elenchi di controllo degli accessi. Inoltre, le aziende intendono aumentare significativamente l'uso di queste tecnologie. Pertanto, la percentuale di password complesse aumenterà del 26% e raggiungerà il 93%; la popolarità delle liste di controllo degli accessi aumenterà del 24% e raggiungerà il 90% e la percentuale di filtraggio del traffico di rete aumenterà dal 53 all'81%. Nel frattempo, l'uso delle carte d'identità, nonostante la loro prevalenza attuale, difficilmente può essere considerato una destinazione popolare. Solo il 13% degli intervistati prevede di implementare questa tecnologia quest'anno.
È curioso che le tecnologie più promettenti siano il monitoraggio automatico dell'accesso dei dipendenti a dati importanti (crescita prevista al 72%) e la classificazione dei dati (dal 42% nel 2006 all'86% nell'attuale). Qui, i risultati dello studio coincidono con l'opinione di esperti nazionali nel campo della sicurezza delle informazioni. Il centro analitico di InfoWatch ritiene che negli ultimi anni sia stata immensamente scarsa attenzione che le aziende abbiano prestato immeritatamente al monitoraggio preciso delle azioni degli addetti ai lavori e alla classificazione dei dati. Nel frattempo, senza questo, è semplicemente impossibile costruire un sistema di protezione affidabile.
Inoltre, secondo il sondaggio, lo stesso 53% che utilizza il filtro del traffico ritiene che la sola protezione perimetrale non sia sufficiente per garantire la sicurezza interna. È necessario, tra le altre cose, sviluppare reti private virtuali in modo da non ridurre il livello di sicurezza durante le comunicazioni con i partner esterni.
Queste tecnologie offrono un approccio multilivello e possono aumentare la sicurezza dei dati sensibili. Tuttavia, oltre al lato tecnologico, non bisogna dimenticare la banale sicurezza fisica delle informazioni. Ci sono molti esempi di come importanti documenti siano finiti nelle mani degli aggressori dopo essere entrati in ufficio e aver rubato apparecchiature informatiche. Inoltre, i nastri di backup e i supporti mobili con contenuti sensibili vengono spesso persi durante il trasporto o durante i viaggi di lavoro.
Insider Protection
Attualmente, non esiste un unico punto di vista prevalente su come regolare l'accesso degli utenti. Ciò costringe le organizzazioni a fornire una gestione centralizzata dei dati in un ambiente distribuito. La tecnologia può rendere possibile la gestibilità, la responsabilità e la sicurezza dei dati, ma ciò richiede una corretta applicazione. A loro volta, i metodi di utilizzo dipendono dalle attività specifiche dell'azienda cliente. Pertanto, è necessario condurre un'analisi approfondita e completa dell'infrastruttura IT su cui si prevede di implementare un sistema di sicurezza. Molti clienti affidano giustamente il compito di valutare e selezionare le tecnologie a gruppi appositamente creati, che includono specialisti in vari settori.
Le moderne tecnologie e metodi per contrastare gli addetti ai lavori sono significativamente differenti. Il fatto è che i fornitori non possono offrire un rimedio universale dagli addetti ai lavori. Forniscono una vasta gamma di soluzioni per determinare le deviazioni, classificando i dati in base al grado di riservatezza e alla limitazione dell'accesso.
Nonostante il fatto che solo il 51% delle aziende intervistate durante lo studio ritenga che le soluzioni complete per la protezione dagli addetti ai lavori siano estremamente importanti, il restante 49% non valuta il proprio ruolo in modo così elevato. Tuttavia, il significato di questo risultato è che almeno la metà degli intervistati preferisce soluzioni integrate. Ciò suggerisce che sono davvero preoccupati per questo problema e comprendono l'importanza delle misure congiunte.
Inoltre, in alcuni settori, i partecipanti sono tenuti a rispettare più da vicino la riservatezza dei dati dei clienti. La legislazione in costante cambiamento a livello federale e regionale presta sempre più attenzione specifica alla protezione delle informazioni personali (come nome completo, data di nascita, indirizzo di residenza, numeri di carta di credito, politica medica, ecc.).
Le organizzazioni devono riconoscere l'importanza delle direttive legislative nel settore della protezione personale. Secondo i partecipanti al sondaggio, al fine di migliorare la gestione, è necessario automatizzare l'accesso autorizzato. Le aziende che non automatizzano le liste di controllo degli accessi, la preparazione dei dati e la classificazione possono affrontare seri problemi. Pertanto, il 78% degli intervistati considera la protezione delle informazioni la ragione più importante per costruire una protezione dagli addetti ai lavori. Quindi, le imprese stanno solo iniziando a rendersi conto della minaccia degli addetti ai lavori e, per vari motivi, stanno cercando di minimizzare il significato degli incidenti interni. Tuttavia, è impossibile nascondere la crescente tendenza al pericolo dagli addetti ai lavori.
Sfide per l'introduzione di Insider Protection
Consideriamo altri due risultati interessanti dello studio. Nella tabella. La tabella 2 mostra i cinque problemi più gravi, secondo gli intervistati, che sorgono durante l'implementazione di un sistema di protezione contro le minacce interne, nonché le opzioni per risolverli. Tabella. 3 è simile alla scheda. 2 nella struttura, ma compilato sulla base delle risposte degli intervistati incluse nel gruppo di società leader. Confrontando i dati ottenuti, è facile notare le differenze nell'approccio a questo problema tra le persone medie e i rappresentanti delle imprese di maggior successo. Mentre il problema principale per i leader è l'imposizione di una soluzione implementata su tecnologie già utilizzate (75%), per tutti gli intervistati nel complesso, si tratta di risorse IT limitate (44%). Nel corso dello studio, è emerso che le organizzazioni avanzate hanno già implementato una protezione completa per la propria infrastruttura IT e quindi coperto la rete stessa, oltre a garantirsi a livello di applicazione. Ora queste aziende sono alla ricerca di modi per rafforzare un sistema di sicurezza consolidato. Le organizzazioni, per le quali il problema principale è la limitazione delle risorse IT, sono fortemente limitate nelle loro azioni. Questo è allarmante perché il risparmio sulla sicurezza può portare a perdite molto maggiori. Ovviamente, i servizi IT, come i servizi di sicurezza IT, devono ricevere finanziamenti completi. Dopotutto, stanno preparando una base su cui tutte le altre unità funzioneranno con successo.
Tabella 2. I problemi più gravi nell'introduzione di sistemi di protezione interna
e la loro possibile soluzione (basata su tutti gli intervistati)
|
Il problema |
Quota di risposte,% |
Risoluzione dei problemi |
Quota di risposte,% |
|
Risorse IT limitate per l'implementazione e la gestione della soluzione |
Definire i requisiti prima dell'implementazione |
||
|
Complessità del software |
Identificare i dati e i proprietari dei processi |
||
|
Soluzioni overlay su processi esistenti |
Condurre corsi di formazione sull'uso di nuovi processi e procedure |
Analizzando le tabelle, si può anche notare il seguente fatto piuttosto interessante: il personale delle aziende leader mostra la loro insoddisfazione per le innovazioni molto più spesso rispetto ai dipendenti delle medie imprese (50 contro il 38%). Tuttavia, non c'è nulla di sorprendente in questo. Nel campo della sicurezza IT, il fattore umano rappresenta almeno la metà del problema. Se, ad esempio, un'organizzazione consente a appaltatori, partner o fornitori di utilizzare la propria rete, ma non si preoccupa delle procedure per regolare l'accesso alle informazioni, allora possiamo tranquillamente affermare che avrà necessariamente problemi in questa direzione.
Tabella 3. I problemi più gravi nell'introduzione di sistemi di protezione interna
e la loro possibile soluzione (basata su aziende leader)
|
Il problema |
Quota di risposte,% |
Risoluzione dei problemi |
Quota di risposte,% |
|
Soluzioni overlay su tecnologie già implementate |
Concentrati su progetti brevi con rendimenti rapidi |
||
|
Resistenza dei dipendenti |
Comprimere gradualmente e distribuire lentamente nuove soluzioni tra gli utenti |
||
|
Mancanza di fondi per le attività |
Distribuire dall'alto verso il basso, dai dipartimenti tecnico e IT a tutti gli altri dipartimenti |
||
|
Risorse IT limitate per l'implementazione e la gestione di una soluzione |
Dimostrare le capacità e le caratteristiche delle soluzioni per i capi unità |
||
|
Scarsa conoscenza degli strumenti di valutazione del rischio |
Condurre corsi di formazione sull'uso di nuovi processi e procedure |
In generale, le aziende in ritardo e i contadini di mezzo, a differenza dei leader, usano l'automazione e l'integrazione delle soluzioni in misura minore, e inoltre hanno dipendenti inesperti. Tutto ciò influisce sull'efficacia dell'analisi delle procedure di sicurezza e dell'interpretazione dei suoi risultati. Spesso, solo l'introduzione di processi automatizzati e lo sviluppo del personale portano al superamento del fattore umano. Secondo i risultati dello studio, circa il 25% delle migliori aziende utilizza sistemi completamente automatizzati. Allo stesso tempo, solo il 9% dei casi di automazione può essere attribuito all'industria.
La sicurezza delle informazioni aumenta con l'uso delle nuove tecnologie in conformità con i requisiti dell'azienda. Il miglioramento continuo dei sistemi di protezione porterà indubbi benefici. Secondo lo studio, le organizzazioni che hanno implementato sistemi di protezione interna hanno, in media, il seguente effetto:
- reclami e appelli ai dipartimenti IT e un servizio di supporto sono diminuiti del 3,5%;
- il numero di incidenti relativi alla sicurezza IT è diminuito del 13%;
- riduzione del costo del lavoro nei dipartimenti IT - del 17,5%.
Pertanto, gli analisti concludono che le organizzazioni che si occupano solo di protezione esterna sono destinate al fallimento. In effetti, proteggere il perimetro dell'organizzazione aiuta a respingere gli attacchi degli hacker, mentre le aziende che hanno implementato sistemi di protezione da perdite e insider possono effettivamente ridurre il numero di incidenti e ridurre i costi IT.
conclusione
Sulla base dei risultati degli studi e della valutazione della situazione, si suggeriscono le seguenti conclusioni. Innanzitutto, non esiste un'unica tecnologia per la protezione dagli addetti ai lavori. Solo una serie di misure può garantire una sicurezza adeguata. I prodotti sparsi, non importa quanto siano buoni, certamente non risolveranno i problemi che sorgono quando si costruisce una protezione completa. Sì, una delle direzioni può essere coperta, ma la difficoltà è che ci sono un numero enorme di minacce diverse. Gli aggressori agiscono con vari metodi e, proprio per eliminare tutte le possibili lacune, è necessario creare un sistema multilivello.
In secondo luogo, la responsabilità per la conservazione delle informazioni riservate non può essere assegnata a una persona o persino a un'unità. Il servizio IT e i dipartimenti di sicurezza IT devono collaborare strettamente in questo settore. Un modo ancora più efficace è quello di attirare specialisti con una ricca esperienza nel campo della protezione dalle perdite. Questi ultimi offrono un'analisi approfondita della situazione esistente e forniscono al cliente soluzioni specifiche. È in fase di realizzazione un sistema affidabile che può essere servito dal personale dell'azienda con il supporto necessario di un integratore.
In terzo luogo, i dati disponibili nell'organizzazione devono essere attentamente studiati e strutturati in base al grado di riservatezza. Quindi, sulla base di questa classificazione, dovrebbe essere creato un sistema di restrizione dell'accesso. Gli utenti non dovrebbero avere accesso ai dati di cui non hanno bisogno per svolgere compiti ufficiali. Inoltre, è necessario rivedere periodicamente i diritti di accesso per mantenere aggiornato il sistema di demarcazione.
In quarto luogo, il fattore umano è uno dei fattori critici nel sistema di sicurezza delle informazioni. Sfortunatamente, sono le persone a diventare l'anello più debole della catena. Spesso gli addetti ai lavori sono dipendenti che sono responsabili, se non per la protezione delle informazioni riservate, almeno per il mantenimento della riservatezza delle informazioni. Per ignoranza o distrazione, con o senza intenzioni maligne, sono loro che possono fare un danno significativo ai loro datori di lavoro. Una situazione molto più pericolosa è quando l'insider è una persona del dipartimento IT o del servizio di sicurezza IT. La sua autorità, ovviamente, è molto più ampia di quella della maggior parte degli altri dipendenti e ha conoscenze e capacità sufficienti per "unire" silenziosamente i dati. È proprio per questi motivi che una condotta aziendale di successo richiede l'uso di sistemi professionali per monitorare le azioni dei dipendenti. Dovrebbero essere il più automatizzati possibile, indipendentemente dalla persona, al fine di poter controllare il dipendente. Le soluzioni e i sistemi software sono il metodo di protezione più efficace contro una maggiore minaccia da parte di esperti. Naturalmente, non dimenticare i metodi di lavoro con i dipendenti. Dovrebbero essere informati della necessità di rispettare gli standard di sicurezza e richiedere loro di conformarsi alle direttive esistenti per lavorare con informazioni riservate. Tuttavia, solo il firmware è in grado di prevenire possibili casi di furto interno.
Oggi esistono due canali principali per la perdita di informazioni riservate: dispositivi collegati a un computer (tutti i tipi di unità rimovibili, tra cui unità flash, CD / DVD, ecc., Stampanti) e Internet (e-mail, ICQ, social network, ecc.). d.). E quindi, quando la società "matura" per attuare un sistema di protezione contro di loro, è consigliabile affrontare questa soluzione in modo globale. Il problema è che vengono utilizzati approcci diversi per bloccare canali diversi. In un caso, il modo più efficace di protezione sarà il controllo sull'uso di unità rimovibili, e nel secondo - varie opzioni per il filtro dei contenuti, che consente di bloccare il trasferimento di dati sensibili su una rete esterna. Pertanto, le aziende devono utilizzare due prodotti per proteggersi dagli addetti ai lavori, che insieme formano un sistema di sicurezza completo. Naturalmente, è preferibile utilizzare gli strumenti di uno sviluppatore. In questo caso, il processo di implementazione, amministrazione e formazione dei dipendenti è facilitato. Un esempio sono i prodotti Zlock e Zgate di SecurIT.
Zlock: protezione dalle perdite tramite unità rimovibili
Il programma Zlock è apparso sul mercato da un po 'di tempo. E lo siamo già. In linea di principio, non ha senso ripetere. Tuttavia, dalla pubblicazione dell'articolo, sono state rilasciate due nuove versioni di Zlock, in cui sono apparse numerose funzioni importanti. Qui vale la pena parlarne, anche se molto brevemente.
Prima di tutto, vale la pena notare la possibilità di assegnare diversi criteri al computer, che vengono applicati in modo indipendente a seconda che il computer sia collegato direttamente alla rete aziendale, tramite una VPN o funzioni autonomamente. Ciò consente, in particolare, di bloccare automaticamente le porte USB e le unità CD / DVD quando si disconnette un PC dalla rete locale. In generale, questa funzione aumenta la sicurezza delle informazioni pubblicate sui laptop che i dipendenti possono portare fuori dall'ufficio in viaggio o per lavoro a casa.
La seconda nuova opportunità è fornire ai dipendenti dell'azienda un accesso temporaneo ai dispositivi bloccati o anche a gruppi di dispositivi al telefono. Il principio del suo lavoro è lo scambio di codici segreti generati dal programma tra l'utente e il dipendente responsabile della sicurezza delle informazioni. È interessante notare che l'autorizzazione all'uso può essere rilasciata non solo permanente, ma anche temporanea (per un certo tempo o fino alla fine della sessione di lavoro). Questo strumento può essere considerato un po 'di rilassamento nel sistema di sicurezza, ma può migliorare la capacità di risposta del reparto IT alle richieste aziendali.
La prossima importante innovazione nelle nuove versioni di Zlock è il controllo sull'uso delle stampanti. Dopo averlo configurato, il sistema di protezione registra in un registro speciale tutte le richieste degli utenti per i dispositivi di stampa. Ma non è tutto. La copia shadow di tutti i documenti stampati è apparsa in Zlock. Sono scritti in formato PDF e sono una copia completa delle pagine stampate, indipendentemente dal file inviato alla stampante. Ciò impedisce la perdita di informazioni riservate sui fogli di carta quando un addetto stampa i dati ai fini della sua rimozione dall'ufficio. Anche nel sistema di protezione è apparsa la copia shadow delle informazioni registrate su unità CD / DVD-ROM.
Un'importante innovazione è stata l'emergere del componente server Zlock Enterprise Management Server. Fornisce l'archiviazione e la distribuzione centralizzata delle politiche di sicurezza e di altre impostazioni del programma e facilita notevolmente l'amministrazione di Zlock in sistemi di informazione di grandi dimensioni e distribuiti. Inoltre, non si può non menzionare l'aspetto del nostro sistema di autenticazione, che, se necessario, ci consente di abbandonare l'uso del dominio e degli utenti Windows locali.
Inoltre, nell'ultima versione di Zlock, sono apparse diverse funzioni non così evidenti, ma anche abbastanza importanti: monitoraggio dell'integrità del modulo client con la possibilità di bloccare l'accesso degli utenti durante il rilevamento di manomissioni, funzionalità avanzate per l'implementazione di un sistema di sicurezza, supporto per Oracle DBMS, ecc.
Zgate: protezione dalle perdite di Internet
Quindi, Zgate. Come abbiamo già detto, questo prodotto è un sistema di protezione contro la perdita di informazioni riservate via Internet. Strutturalmente, Zgate ha tre parti. Il componente principale è il componente server, che esegue tutte le operazioni di elaborazione dei dati. Può essere installato sia su un computer separato che su nodi già funzionanti nel sistema informativo aziendale - un gateway Internet, un controller di dominio, un gateway di posta, ecc. Questo modulo, a sua volta, è costituito da tre componenti: per il controllo del traffico SMTP, per il monitoraggio Server di posta interno di Microsoft Exchange 2007/2010 e Zgate Web (è responsabile del controllo del traffico HTTP, FTP e IM).
La seconda parte del sistema di sicurezza è il server di registrazione. Viene utilizzato per raccogliere informazioni sugli eventi da uno o più server Zgate, elaborarli e archiviarli. Questo modulo è particolarmente utile nei sistemi aziendali di grandi dimensioni e distribuiti geograficamente, in quanto fornisce un accesso centralizzato a tutti i dati. La terza parte è la console di gestione. La sua qualità utilizza lo standard console per i prodotti SecurIT e pertanto non ci soffermeremo su di esso in dettaglio. Notiamo solo che con l'aiuto di questo modulo è possibile controllare il sistema non solo localmente, ma anche da remoto.
Console di gestione
Il sistema Zgate può funzionare in diverse modalità. Inoltre, la loro disponibilità dipende dal metodo di implementazione del prodotto. Le prime due modalità presuppongono il funzionamento come server proxy di posta. Per implementarli, il sistema viene installato tra il server di posta aziendale e il "mondo esterno" (o tra il server di posta e il server di invio, se separati). In questo caso, Zgate può sia filtrare il traffico (ritardare la violazione e i messaggi dubbi), sia registrarlo (saltare tutti i messaggi, ma salvarli nell'archivio).
Il secondo metodo di implementazione prevede l'uso di un sistema di sicurezza in combinazione con Microsoft Exchange 2007 o 2010. A tale scopo, è necessario installare Zgate direttamente sul server di posta aziendale. Sono inoltre disponibili due modalità: filtro e registrazione. Inoltre, esiste un'altra opzione di implementazione. Stiamo parlando di messaggi di journaling in modalità traffico speculare. Naturalmente, per usarlo, è necessario assicurarsi che questo traffico di mirroring (di solito ciò avvenga tramite apparecchiature di rete) arrivi sul computer su cui è installato Zgate.
Selezione della modalità Zgate
Una storia a parte merita il componente Web di Zgate. È installato direttamente sul gateway Internet aziendale. Allo stesso tempo, questo sottosistema ha la possibilità di controllare il traffico HTTP, FTP e IM, ovvero elaborarlo per rilevare tentativi di invio di informazioni riservate tramite interfacce di posta basate su Web e ICQ, pubblicarle su forum, server FTP e social network e così via. A proposito, "ICQ". La funzione di blocco dei messaggistica istantanea è presente in molti prodotti simili. Tuttavia, è ICQ che non è in loro. Solo perché è stato nei paesi di lingua russa che ha ricevuto la maggiore distribuzione.
Il principio di funzionamento del componente Web Zgate è abbastanza semplice. Ogni volta che vengono inviate informazioni a uno qualsiasi dei servizi monitorati, il sistema genererà un messaggio speciale. Contiene le informazioni stesse e alcuni dati di servizio. Viene inviato al server Zgate principale ed elaborato in conformità con le regole specificate. Naturalmente, l'invio di informazioni nel servizio stesso non è bloccato. Cioè, Zgate Web funziona solo in modalità di registrazione. Con il suo aiuto è impossibile prevenire singole perdite di dati, ma è possibile rilevarle rapidamente e interrompere l'attività di un utente malintenzionato libero o involontario.
Configurazione del componente Web Zgate
I metodi di elaborazione delle informazioni in Zgate e la procedura di filtraggio sono determinati da una politica sviluppata da un responsabile della sicurezza o da un altro responsabile. Rappresenta una serie di condizioni, ognuna delle quali corrisponde a una determinata azione. Tutti i messaggi in arrivo vengono "eseguiti" in sequenza uno dopo l'altro. E se una delle condizioni è soddisfatta, viene avviata l'azione ad essa associata.
Sistema di filtrazione
In totale, il sistema prevede 8 tipi di condizioni, come si suol dire, "per tutte le occasioni". Il primo è il tipo di file allegato. Con esso, puoi rilevare i tentativi di inviare oggetti di un formato o di un altro. Vale la pena notare che l'analisi non è condotta per estensione, ma dalla struttura interna del file e puoi specificare sia tipi specifici di oggetti che i loro gruppi (ad esempio, tutti gli archivi, i video, ecc.). Il secondo tipo di condizione è la convalida da un'applicazione esterna. L'applicazione può essere un normale programma avviato dalla riga di comando o uno script.
Condizioni nel sistema di filtrazione
Ma vale la pena di approfondire la seguente condizione. È un'analisi del contenuto delle informazioni trasmesse. Prima di tutto, è necessario notare Zgate "onnivoro". Il fatto è che il programma "comprende" un gran numero di formati diversi. E quindi, può analizzare non solo un semplice testo, ma anche praticamente qualsiasi allegato. Un'altra caratteristica dell'analisi del contenuto è il suo grande potenziale. Può consistere in una semplice ricerca di una voce nel testo di un messaggio o in qualsiasi altro campo di una determinata parola, o in un'analisi completa, compreso il prendere in considerazione forme grammaticali di parole, derivazione e traslitterazione. Ma non è tutto. Una menzione speciale merita il sistema di analisi per schemi ed espressioni regolari. Con il suo aiuto, è possibile rilevare facilmente nei messaggi la presenza di dati di un determinato formato, ad esempio numeri di serie e passaporto, numero di telefono, numero di contratto, numero di conto bancario, ecc. Ciò, tra le altre cose, consente di rafforzare la protezione dei dati personali elaborati dalla società.
Modelli per rivelare varie informazioni riservate
Il quarto tipo di condizioni è l'analisi degli indirizzi indicati nella lettera. Cioè, cerca tra loro per linee specifiche. Quinto: analisi di file crittografati. Quando viene eseguito, vengono controllati gli attributi del messaggio e / o degli oggetti allegati. Il sesto tipo di condizione è controllare i vari parametri delle lettere. Settimo è l'analisi del dizionario. Durante esso, il sistema rileva la presenza di parole dai dizionari precreati nel messaggio. E infine, l'ultimo, ottavo tipo di condizione è composito. Rappresenta due o più altre condizioni combinate da operatori logici.
A proposito, sui dizionari che abbiamo menzionato nella descrizione delle condizioni, deve essere detto separatamente. Sono gruppi di parole, uniti da un attributo e utilizzati in vari metodi di filtraggio. Il modo più logico per creare dizionari è che con un alto grado di probabilità è possibile attribuire il messaggio a una o un'altra categoria. Il loro contenuto può essere inserito manualmente o importare dati da file di testo esistenti. C'è un'altra opzione per generare dizionari: automatica. Quando lo si utilizza, l'amministratore deve semplicemente specificare la cartella in cui sono contenuti i documenti appropriati. Il programma stesso li analizzerà, selezionerà le parole necessarie e disporrà le loro caratteristiche di peso. Per una compilazione di dizionari di alta qualità, è necessario indicare non solo i file riservati, ma anche gli oggetti che non contengono informazioni classificate. In generale, il processo di generazione automatica è molto simile alla formazione antispam sulla pubblicità e sulle lettere regolari. E questo non è sorprendente, perché entrambe le tecnologie vengono utilizzate qua e là.
Esempio di dizionario finanziario
Parlando di dizionari, non si può non menzionare un'altra tecnologia di scoperta di dati sensibili implementata in Zgate. Si tratta di impronte digitali. L'essenza di questo metodo è la seguente. L'amministratore può specificare le cartelle di sistema contenenti dati riservati. Il programma analizzerà tutti i documenti in essi contenuti e creerà "impronte digitali" - set di dati che consentono di determinare il tentativo di trasferire non solo l'intero contenuto del file, ma anche le sue singole parti. Si noti che il sistema monitora automaticamente lo stato delle cartelle indicate e crea in modo indipendente "impronte digitali" per tutti gli oggetti che riappaiono in esse.
Creazione di una categoria con impronte digitali di file
Bene, ora resta solo da fare con le azioni attuate nel sistema di protezione in esame. In totale, sono implementati in Zgate fino a 14 pezzi. Tuttavia, la maggioranza determina le azioni che vengono eseguite con il messaggio. Questi includono, in particolare, la cancellazione senza invio (ovvero, in effetti, il blocco della trasmissione di lettere), l'archiviazione, l'aggiunta o la rimozione di allegati, la modifica di vari campi, l'inserimento di testo, ecc. Tra questi, vale la pena notare il posizionamento di una lettera in quarantena. Questa azione ti consente di "rimandare" il messaggio per la verifica manuale da parte del responsabile della sicurezza, che deciderà in merito al suo futuro destino. Anche molto interessante è l'azione per bloccare la connessione IM. Può essere utilizzato per bloccare istantaneamente il canale attraverso il quale è stato trasmesso un messaggio con informazioni riservate.
Due azioni si distinguono in qualche modo: l'elaborazione di Bayes e l'elaborazione delle impronte digitali. Entrambi sono progettati per controllare i messaggi per informazioni riservate. Solo il primo utilizza dizionari e analisi statistiche e il secondo utilizza le impronte digitali. Queste azioni possono essere eseguite se viene soddisfatta una determinata condizione, ad esempio, se l'indirizzo del destinatario non è nel dominio aziendale. Inoltre (come tutti gli altri) possono essere impostati per l'applicazione incondizionata a tutti i messaggi in uscita. In questo caso, il sistema analizzerà le lettere e le assegnerà a determinate categorie (se, ovviamente, questo è possibile). Ma in queste categorie è già possibile creare condizioni per l'attuazione di determinate azioni.
Azioni di sistema di Zgate
Bene, alla fine dei nostri discorsi su Zgate oggi, possiamo riassumere. Questo sistema di protezione si basa principalmente sull'analisi del contenuto dei messaggi. Questo approccio è il più comune per proteggere dalla perdita di informazioni riservate via Internet. Naturalmente, l'analisi del contenuto non fornisce un grado di protezione del cento per cento ed è probabilmente più probabile. Tuttavia, il suo utilizzo aiuta a prevenire la maggior parte dei casi di trasferimento non autorizzato di dati segreti. Applicarlo alle aziende o no? Ognuno dovrebbe decidere da solo, valutando i costi di implementazione e possibili problemi in caso di perdita di informazioni. Vale la pena notare che Zgate fa un ottimo lavoro nel catturare espressioni regolari, il che lo rende un mezzo molto efficace per proteggere i dati personali elaborati dall'azienda.
Secondo varie società di analisi, la perdita di informazioni molto spesso si verifica non a causa del suo furto dall'esterno, ma a causa del trasferimento di informazioni riservate ai rappresentanti delle organizzazioni concorrenti da parte dei propri dipendenti. Oggi, ci sono molti dispositivi diversi su cui è possibile copiare qualsiasi documento archiviato nella rete locale dell'organizzazione.
Secondo varie società di analisi, la perdita di informazioni molto spesso si verifica non a causa del suo furto dall'esterno, ma a causa del trasferimento di informazioni riservate ai rappresentanti delle organizzazioni concorrenti da parte dei propri dipendenti. Oggi, ci sono molti dispositivi diversi su cui è possibile copiare qualsiasi documento archiviato nella rete locale dell'organizzazione. E non si tratta solo di unità USB esterne o CD / DVD. Le informazioni possono anche essere copiate su lettori mp3, telefoni cellulari che potrebbero non connettersi direttamente a un computer, su apparecchiature esterne che possono connettersi a una rete locale tramite Wi-Fi e in altri modi. Inoltre - questo è l'invio tramite e-mail, tramite programmi di messaggistica istantanea, attraverso forum, blog, chat. Ci sono molte opzioni, è possibile difendersi da loro?
per protezione dei dati dagli addetti ai lavori applicare vari metodi, incluso l'uso di programmi speciali progettati per controllare l'uso di dispositivi periferici. In questo articolo esamineremo diversi programmi, sia stranieri che nazionali, e proveremo a determinare dove e quando applicarli.
Il programma è destinato restrizioni di accesso su vari dispositivi periferici, con la possibilità di creare liste "bianche", monitorare gli utenti, copiare file shadow copiati da o verso dispositivi controllati. Esiste la possibilità di un'installazione centralizzata dei driver di tracciamento, nonché della loro installazione locale.
Il programma può essere installato sia centralmente che localmente se l'accesso al computer protetto attraverso la rete è limitato o impossibile. Un singolo pacchetto di distribuzione comprende diversi moduli: il server, installato sul server della LAN dell'ufficio consente / non consente determinate azioni, salva le informazioni nel database; client implementato come driver di tracciamento; amministratore e database, che viene utilizzato come SQLite.
Fornire i driver di tracciamento controllo vari porti inclusi USB, CIM, LPT, WiFi, IR e altri. A seconda del tipo di porta, è possibile negare completamente l'accesso, consentire la lettura o aprire l'accesso completo al dispositivo. Non esiste una distribuzione temporale dell'accesso. Si noti inoltre che se si consente l'accesso in sola lettura a dispositivi come unità flash USB, rimane la possibilità di modificare i normali file di testo su questi dispositivi con la possibilità di salvarli sullo stesso supporto.
Mostra i dispositivi USB collegati ai computer e mantiene un registro delle azioni dell'utente con dispositivi di archiviazione esterni. Le informazioni sull'ora di connessione / disconnessione dei dispositivi e su quali file e quando sono stati letti o scritti sono archiviate nel database. Implementazione della copia shadow dei file letti o scritti su dispositivi USB. Non vi è alcuna copia shadow dei file inviati alla stampa o ad altri dispositivi, vengono solo registrati su giornale.
Esiste il concetto di una "lista bianca" in cui vengono inseriti i dispositivi USB, il cui accesso deve essere sempre aperto su tutti i computer (ad esempio, chiavi USB). Questo elenco è singolo per tutti i computer; non esistono elenchi individuali per singoli utenti.
fornisce il controllo dell'accesso a vari dispositivi esterni, ma non distingue le stampanti collegate a queste porte dall'elenco generale dei dispositivi USB. Allo stesso tempo, distingue i supporti rimovibili e può impostare diversi tipi di accesso per loro. I supporti rimovibili vengono automaticamente inseriti nel database dei dispositivi (il programma registra tutti i supporti USB che siano mai stati collegati a un computer specifico), il che consente di applicare i diritti di accesso loro assegnati per tutti i computer protetti dal programma.
Ha la capacità di utilizzare un'installazione centralizzata di parti client utilizzando Criteri di gruppo di Active Directory. Allo stesso tempo, rimane possibile installarli localmente e attraverso il pannello di amministrazione del programma. La differenziazione dei diritti di accesso si basa su criteri di controllo dell'accesso, tuttavia è possibile creare diversi criteri che possono essere applicati individualmente per computer diversi. Oltre alla funzione di controllo degli accessi, consente di registrare l'uso dei dispositivi sul computer locale.
Il programma supporta la funzione di copia shadow: la possibilità di salvare una copia esatta dei file copiati dall'utente su dispositivi di archiviazione esterni. Copie esatte di tutti i file vengono archiviate in un repository speciale e possono essere successivamente analizzate utilizzando il sistema di analisi integrato. La copia shadow può essere impostata per singoli utenti e gruppi di utenti. Quando si abilita la funzione "conserva solo il registro", durante la copia dei file, verranno salvate solo le informazioni su di essi (senza salvare una copia esatta del file).
Il programma non ha il concetto di una "lista bianca" di dispositivi. Al contrario, è possibile specificare i supporti rimovibili nella politica generale e consentire l'accesso ad esso da qualsiasi computer. Si noti che non è possibile applicare le stesse impostazioni ai singoli dischi CD / DVD.
Programma aziendale GFI supera in modo significativo le sue capacità e, e - in esso, ad esempio, dispositivi molto più controllati rispetto ai programmi precedenti (lettori multimediali iPod, Creative Zen, telefoni cellulari, fotocamere digitali, strumenti di archiviazione su nastri magnetici e dischi Zip, videocamere Web, scanner).
Il programma fornisce tre impostazioni tipiche per i diritti di accesso - per server, workstation e laptop. Oltre a blocco del dispositivo, il programma ha l'opportunità blocco degli accessi ai file a seconda del loro tipo. Ad esempio, è possibile aprire l'accesso in lettura ai file di documenti, ma negare l'accesso ai file eseguibili. È anche possibile bloccare l'accesso ai dispositivi non solo per il loro tipo, ma anche per la porta fisica a cui sono collegati i dispositivi esterni. Ancora uno impostazione dei diritti di accesso identificatori univoci per i dispositivi.
L'amministratore del programma può mantenere due tipi di elenchi di dispositivi: quelli a cui è consentito accedere per impostazione predefinita (la "lista bianca") e quelli a cui viene negato l'accesso (la "lista nera"). Uno specialista IT può concedere autorizzazioni temporanee per accedere a dispositivi o gruppi di dispositivi su un singolo computer (implementato generando un codice speciale che può essere trasmesso all'utente anche se il suo computer è disconnesso dalla rete e l'agente del programma non ha la possibilità di connettersi al server ).
Il programma supporta la nuova funzione di crittografia utilizzata nel sistema Windows 7, che si chiama BitLocker To Go. Questa funzione viene utilizzata per proteggere e crittografare i dati su dispositivi rimovibili. GFI EndPointSecurity può riconoscere tali dispositivi e fornire accesso ai file memorizzati su di essi a seconda del tipo.
Fornisce all'amministratore un potente sistema di segnalazione. Il sottosistema delle statistiche (GFI EndPointSecurity ReportPack) mostra (in formato testo e grafico) un riepilogo giornaliero dell'utilizzo del dispositivo sia per i computer selezionati che per tutti i computer in generale. Puoi anche ottenere statistiche sull'attività degli utenti per giorno, settimana, mese, suddivisi per applicazioni, dispositivi, percorsi di accesso ai file utilizzati.
Uno dei più comuni programmi di protezione delle informazioni dagli addetti ai lavori in Russia oggi. pubblicato in Russia con il marchio "1C: Distribution"
Il programma prevede controllo non solo dispositivi con Windows Mobile, ma dispositivi con iPhone OS e Palm OS. Allo stesso tempo, viene fornita la copia shadow di tutti i file e dati riscrivibili, indipendentemente da quale porta questi dispositivi si collegano alla rete controllata. La copia shadow può essere configurata non solo per dispositivo, ma anche per tipo di file e il tipo verrà determinato non in base alle estensioni, ma in base al loro contenuto.
È possibile impostare l'accesso in sola lettura per i supporti rimovibili, comprese le unità nastro. Come opzione aggiuntiva: proteggere i supporti dalla formattazione accidentale o intenzionale. È anche possibile tenere un registro di tutte le azioni dell'utente con dispositivi e file (non solo copia o lettura, ma anche eliminazione, ridenominazione e così via).
Per ridurre il carico sulla rete durante la trasmissione di dati ricevuti da agenti e file di copie shadow, è possibile utilizzare la compressione in streaming. I dati della copia shadow su reti di grandi dimensioni possono essere archiviati su più server. Il programma seleziona automaticamente il server ottimale, tenendo conto della larghezza di banda della rete e del carico del server.
Molte organizzazioni utilizzano dischi di dati protetti da speciali programmi di crittografia: ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt e TrueCrypt per proteggere i dati. Per tali dischi, il programma può impostare speciali "criteri di crittografia", che consentono di scrivere solo dati crittografati su dispositivi rimovibili. Supporta anche il lavoro con le unità flash Lexar JumpDrive SAFE S3000 e Lexar SAFE PSD, supportando la crittografia dei dati hardware. Nella prossima versione, supporterà anche l'utilizzo dello strumento di crittografia di Windows 7 integrato su supporti rimovibili BitLocker To Go.
La copia shadow ha lo scopo non solo di salvare copie di file, ma anche di analizzare le informazioni trasferite. Può eseguire ricerche full-text sul contenuto dei file, riconoscendo e indicizzando automaticamente i documenti in vari formati.
È già stata annunciata una nuova versione del programma, in cui, oltre a una ricerca a tutti gli effetti, saranno implementati anche il filtraggio del contenuto dei file copiati su dispositivi di archiviazione rimovibili di qualsiasi tipo, nonché il controllo del contenuto degli oggetti dati trasmessi da un computer tramite canali di comunicazione di rete, tra cui applicazioni di posta elettronica, web interattivo -servizi, social network, forum e conferenze, i più popolari servizi di messaggistica istantanea (Instant Messenger), scambi di file via FTP, nonché sessioni Telnet
Unica nella nuova versione è la tecnologia per filtrare i dati di testo nel canale per la stampa in rete e locale di documenti per lavori in formato PCL e PostScript, che consente di bloccare o consentire la stampa di documenti in base al loro contenuto informativo.
risultati
|
Gestione client remota | ||||
|
Gestione tramite snap-in MMC | ||||
|
Impostazione, monitoraggio e ripristino centralizzati delle politiche | ||||
|
Controllo dispositivo esterno |
Solo USB | |||
|
Controllo dell'adattatore WiFi | ||||
|
Controllo del dispositivo Palm OS. iPhone / iPod |
limitato |
limitato |
||
|
Supporto per la tecnologia di whitelisting | ||||
|
Supporto per la tecnologia di whitelisting multimediale | ||||
|
Supporto per unità crittografate esterne | ||||
|
Blocco keylogger | ||||
|
Limitare la quantità di dati copiati | ||||
|
Digitare il controllo dati | ||||
|
Registrazione centralizzata | ||||
|
Copia shadow |
Solo USB |
Solo USB |
parzialmente | |
|
Copia shadow stampa dati | ||||
|
Rapporti grafici di tronchi e copia shadow | ||||
|
Ricerca copia shadow del testo completo |
È possibile utilizzare i primi due programmi esaminati protezione delle informazioni dal furto, ma le loro possibilità sono limitate. Esse "coprono" i dispositivi esterni standard a vari livelli, ma le loro capacità sono limitate, sia in termini di impostazioni, sia in termini di analisi del lavoro degli utenti. Questi programmi possono essere raccomandati "per i test", per comprendere il processo di protezione. Per le grandi organizzazioni che utilizzano una varietà di apparecchiature periferiche e richiedono l'analisi dell'attività dell'utente, i programmi di cui sopra saranno chiaramente inadeguati.
Per loro, è meglio prestare attenzione al programma - e. Queste sono soluzioni professionali che possono essere applicate in aziende con un numero sia piccolo che elevato di computer. Entrambi i programmi forniscono il controllo di varie periferiche e porte, hanno potenti sistemi di analisi e reportistica. Ma ci sono differenze significative tra loro, quindi il programma dell'azienda GFI in questo caso, puoi prendere per la base. può controllare non solo i dispositivi e la gestione dei dati, ma anche l'uso del software. Questa funzionalità lo estrae dalla nicchia di Controllo dispositivo al segmento DLP endpoint a conoscenza del contenuto. Le nuove funzionalità annunciate gli consentono di staccarsi bruscamente dai suoi concorrenti a causa della possibilità di analizzare i contenuti nel momento in cui l'utente esegue varie azioni con i dati, incluso lo streaming, nonché controllando una serie di parametri del contesto di comunicazione di rete, inclusi indirizzi e-mail, indirizzi IP, identificatori utente e risorse dell'applicazione di rete, ecc. è possibile presso i partner "1Soft".
Michael Abramzon
Tutti i diritti riservati. Per domande sull'uso dell'articolo, si prega di contattare amministratori del sito
