İçeriden etkili koruma için, her şeyden önce, sıradan bir ofis yazıcısından sıradan bir flash sürücüye ve bir mobil kameraya kadar tüm iletişim kanalları üzerinde kontrol sağlamak gerekir.
İçeriden bilgi koruma yöntemleri:
- * çalışanların donanım kimlik doğrulaması (örneğin, bir USB anahtarı veya akıllı kart kullanarak);
- * ağdaki tüm kullanıcıların (yöneticiler dahil) tüm eylemlerinin denetimi;
- * gizli bilgileri içeriden öğrenenlerden korumak için güçlü donanım ve yazılım araçlarının kullanılması;
- * bilgi güvenliğinden sorumlu çalışanların eğitimi;
- * çalışanların kişisel sorumluluklarını artırmak;
- * gizli bilgilere erişimi olan personelle sürekli çalışma (brifing, eğitim, bilgi güvenliğine uyum için kurallar ve sorumluluklar hakkında bilgi kontrolü vb.);
- * maaş seviyesinin bilgi gizliliği seviyesine uygunluğu (makul sınırlar içinde!);
- * gizli verilerin şifrelenmesi;
- * Ama en önemlisi tabii ki insan faktörü: Bir kişi güvenlik sisteminin en zayıf halkası olsa da, aynı zamanda en önemlisidir! İçeridekilere karşı mücadele, herkesin tam gözetimine dönüşmemelidir. Şirket, kurumsal onur kurallarına bağlı kalmaya elverişli sağlıklı bir ahlaki iklime sahip olmalıdır!
Bilgisayar Güvenliği Enstitüsü'nün (CSI) yıllık araştırmasının sonuçlarına göre, 2007'de güvenlik uzmanları, yıl boyunca karşılaşmaları gereken üç ana sorunu belirlediler: %59'u 1 numaralı tehdidi içeriden, %52'si - virüsler ve %50 - mobil medya kaybı (dizüstü bilgisayar, flash sürücü). Böylece, Amerika'daki içerdekilerin sorunu ilk kez virüs sorununun önüne geçmeye başladı. Ne yazık ki, Rusya hakkında böyle bir bilgiye sahip değiliz, ancak ülkemizdeki durumun en azından benzer olduğunu iddia etmek için nedenler var. Bu nedenle, Ekim ayında yıllık Aladdin konferansında düzenlenen içerdekilerin eylemleri nedeniyle bilgi sızıntısı sorunu üzerine bir yuvarlak masa toplantısında, bildiğiniz gibi, düşük gelir düzeyine sahip devlet kurumlarının sistem yöneticileriyle yapılan bir anketin sonuçları. , duyuldu. Gizli verileri ne kadar elde edebilecekleri sorulduğunda, ankete katılanların yalnızca %10'u böyle bir resmi suçu asla işlemeyeceklerini, yaklaşık yarısının çok para için riske atmaya hazır olduğunu ve yaklaşık %40'ının hazır olduğunu söyledi. herhangi bir ödül için almak için. Dedikleri gibi, yorumlar gereksizdir. İçeriden birine karşı koruma sağlamanın temel zorluğu, sistemin meşru bir kullanıcısı olması ve görevi gereği gizli bilgilere erişimi olmasıdır. Bir çalışanın ofis içinde veya dışında bu erişimi nasıl yönettiğini izlemek çok zordur. İç ihlallerle uğraşmanın ana görevlerini ele alalım (tabloya bakın).
Yıllık CSI / FBI ComputerCrimeAndSecuritySurvey gibi bilgi güvenliği alanındaki son araştırmalar, şirketlerin çoğu tehditten kaynaklanan mali kayıplarının yıldan yıla azaldığını göstermiştir. Bununla birlikte, kayıpların arttığı çeşitli riskler vardır. Bunlardan biri, resmi görevlerini yerine getirmek için ticari verilere erişimi gerekli olan çalışanlar tarafından gizli bilgilerin kasıtlı olarak çalınması veya kullanılmasına ilişkin kuralların ihlalidir. Onlara içeriden denir.
Vakaların büyük çoğunluğunda, gizli bilgilerin çalınması mobil medya kullanılarak gerçekleştirilir: CD'ler ve DVD'ler, ZIP cihazları ve en önemlisi her türlü USB sürücüsü. İçeriden öğrenilen bilginin dünya çapında gelişmesine yol açan şey, onların muazzam dağılımıydı. Çoğu bankanın başkanları, örneğin müşterilerinin kişisel verilerini içeren bir veritabanı veya dahası, hesaplarındaki işlemler suç yapılarının eline geçtiğinde, neyin tehdit edilebileceğinin çok iyi farkındadır. Ve olası bilgi hırsızlığı ile ellerindeki organizasyonel yöntemlerle başa çıkmaya çalışıyorlar.
Ancak, organizasyon yöntemleri bu durumda etkisizdir. Günümüzde minyatür flash sürücü, cep telefonu, mp3 çalar, dijital kamera kullanarak bilgisayarlar arasında bilgi aktarımını organize etmek mümkün... Elbette tüm bu cihazların ofise getirilmesini yasaklamayı deneyebilirsiniz. , ancak bu, ilk olarak, çalışanlarla ilişkiler üzerinde olumsuz bir etkiye sahip olacaktır. ve ikincisi, insanlar üzerinde gerçekten etkili bir kontrol kurmak hala çok zordur - bir banka bir "posta kutusu" değildir. Ve harici ortama (FDD ve ZIP diskleri, CD ve DVD sürücüleri vb.) ve USB bağlantı noktalarına bilgi yazmak için kullanılabilecek bilgisayarlardaki tüm cihazları devre dışı bırakmak bile yardımcı olmaz. Sonuçta, birincisi iş için gerekliyken, ikincisi çeşitli çevre birimlerine bağlı: yazıcılar, tarayıcılar, vb. Ve hiç kimse bir kişinin yazıcıyı bir dakikalığına kapatmasını, boş bağlantı noktasına bir flash sürücü takmasını ve önemli bilgileri ona kopyalamasını engelleyemez. Elbette orijinal koruma yöntemleri bulabilirsiniz. Örneğin, bir bankada sorunu çözmek için bu yöntemi denediler: USB bağlantı noktasının ve kablonun bağlantısını epoksi reçine ile doldurdular, ikincisini bilgisayara sıkıca "bağladılar". Ancak, neyse ki, bugün daha modern, güvenilir ve esnek kontrol yöntemleri var.
İçeriden öğrenenlerle ilgili riskleri en aza indirmenin en etkili yolu, bilgi kopyalamak için kullanılabilen bir bilgisayardaki tüm cihazları ve bağlantı noktalarını dinamik olarak yöneten özel yazılımdır. Çalışmalarının prensibi aşağıdaki gibidir. Her kullanıcı grubu için veya her kullanıcı için ayrı ayrı, çeşitli bağlantı noktalarını ve cihazları kullanmak üzere izinler ayarlanır. Bu tür yazılımların en büyük avantajı esnekliğidir. Belirli cihaz türleri, modelleri ve bireysel örnekleri için kısıtlamalar getirebilirsiniz. Bu, çok karmaşık erişim hakları dağıtım politikalarının uygulanmasına izin verir.
Örneğin, bazı çalışanların USB bağlantı noktalarına bağlı herhangi bir yazıcı ve tarayıcıyı kullanmasına izin verilebilir. Bu bağlantı noktasına takılı diğer tüm cihazlar erişilemez durumda kalacaktır. Banka, belirteç tabanlı bir kullanıcı kimlik doğrulama sistemi kullanıyorsa, ayarlarda kullanılan anahtar modelini belirtebilirsiniz. Ardından, kullanıcıların yalnızca şirket tarafından satın alınan cihazları kullanmasına izin verilecek ve diğerleri işe yaramaz olacaktır.
Yukarıda açıklanan koruma sistemlerinin ilkesine dayanarak, kayıt cihazlarının ve bilgisayar bağlantı noktalarının dinamik olarak engellenmesini uygulayan programları seçerken hangi noktaların önemli olduğunu anlayabilirsiniz. İlk olarak, çok yönlülüktür. Koruma sistemi, tüm olası bağlantı noktalarını ve giriş-çıkış aygıtlarını kapsamalıdır. Aksi takdirde, ticari bilgilerin çalınma riski kabul edilemez derecede yüksek kalır. İkinci olarak, söz konusu yazılım esnek olmalı ve cihazlar hakkında çok sayıda çeşitli bilgiyi kullanarak kurallar oluşturmaya izin vermelidir: türleri, model üreticileri, her bir örneğin sahip olduğu benzersiz numaralar vb. Üçüncüsü, içeriden öğrenenlerin korunması sistemi, bankanın bilgi sistemiyle, özellikle Active Directory ile bütünleşebilmelidir. Aksi takdirde, yönetici veya güvenlik görevlisi, kullanıcı ve bilgisayarlardan oluşan iki veritabanı bulundurmak zorunda kalacaktır; bu, yalnızca elverişsiz olmakla kalmaz, aynı zamanda hata riskini de artırır.
Yazılım araçlarını kullanarak bilgileri içeriden korumak
Alexander Antipov
Makalenin kendisinin ve özellikle tartışmasının, yazılım araçlarını kullanmanın çeşitli nüanslarını belirlemeye yardımcı olacağını ve bilgi güvenliği uzmanları için açıklanan soruna bir çözüm geliştirmede başlangıç noktası olacağını umuyorum.
hayır
Infovatch'in pazarlama departmanı, uzun süredir, ilgili tüm tarafları - BT uzmanlarını ve en gelişmiş BT yöneticilerini, şirketin bilgi güvenliğini ihlal etmekten kaynaklanan zararın çoğunun içeriden - ticari sırları ifşa eden çalışanlarda olduğuna ikna ediyor. Amaç açık - üretilen ürün için talep yaratmak gerekiyor. Ve argümanlar oldukça sağlam ve inandırıcı görünüyor.
Sorunun formülasyonu
Active Directory Windows 2000/2003 tabanlı bir LAN'da bilgilerin personel tarafından çalınmasına karşı korumak için bir sistem kurun. Windows XP çalıştıran kullanıcı iş istasyonları. 1C ürünlerine dayalı kurumsal yönetim ve muhasebe.Gizli bilgiler üç şekilde saklanır:
- DB 1C - RDP üzerinden ağ erişimi (terminal erişimi);
- dosya sunucularında paylaşılan klasörler - ağ erişimi;
- yerel olarak çalışanın bilgisayarında;
piyasada ne var
Ele alınan sistemleri üç sınıfa ayırdım:- Bağlam çözümleyicilerine dayalı sistemler - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, vb.
- Statik cihaz kilitlemeye dayalı sistemler - DeviceLock, ZLock, InfoWatch Net Monitor.
- Cihazların dinamik olarak engellenmesine dayalı sistemler - SecrecyKeeper, Guardian, Accord, SecretNet.
Bağlam çözümleyicilerine dayalı sistemler
Çalışma prensibi:Aktarılan bilgilerde anahtar kelimeler aranır, arama sonuçlarına göre aktarımın engellenmesi gerekip gerekmediğine karar verilir.
Bence InfoWatch Traffic Monitor (www.infowatch.ru) listelenen ürünler arasında maksimum yeteneklere sahip. Temel, Rus dilinin özelliklerini en iyi şekilde dikkate alan kanıtlanmış motor Kaspersky Antispam tarafından alınır. Diğer ürünlerden farklı olarak InfoWatch Traffic Monitor, analiz yaparken yalnızca taranan verilerdeki belirli satırların varlığını değil, aynı zamanda her satırın önceden belirlenmiş ağırlığını da dikkate alır. Böylece, nihai bir karar verirken, sadece belirli kelimelerin oluşumu değil, aynı zamanda meydana geldikleri kombinasyonlar da dikkate alınır, bu da analizörü daha esnek hale getirir. Yeteneklerin geri kalanı bu tür ürünler için standarttır - arşivlerin analizi, MS Office belgeleri, bilinmeyen formattaki dosyaların veya şifre korumalı arşivlerin aktarımını engelleme yeteneği.
Bağlam analizine dayalı olarak ele alınan sistemlerin dezavantajları:
- Yalnızca iki protokol izlenir - HTTP ve SMTP (InfoWatch Traffic Monitor için ve HTTP trafiği için yalnızca POST istekleri kullanılarak iletilen veriler kontrol edilir, bu da GET yöntemi kullanılarak veri aktarımı kullanılarak bir sızıntı kanalının düzenlenmesine izin verir);
- Disketler, CD'ler, DVD'ler, USB sürücüler vb. veri aktarım cihazları kontrol edilmez. (Bu durumda Infowatch, InfoWatch Net Monitor adlı bir ürüne sahiptir).
- içerik analizi temelinde oluşturulan sistemleri atlamak için en basit metin kodlamasını (örneğin: secret -> c1e1k1p1e1t) veya steganografiyi kullanmak yeterlidir;
- sonraki sorun içerik analizi yöntemiyle çözülmedi - uygun bir resmi açıklama aklıma gelmiyor, bu yüzden sadece bir örnek vereceğim: iki Excel dosyası var - ilk perakende fiyatlarında (kamu bilgisi), ikincisinde - belirli bir müşteri için toptan satış fiyatları (kapalı bilgi), dosyaların içeriği yalnızca sayılarda farklılık gösterir. Bu dosyalar içerik analizi kullanılarak ayırt edilemez.
bağlam analizi yalnızca trafik arşivleri oluşturmak ve kazara bilgi sızıntısını önlemek için uygundur ve sorunu çözmez.
Cihazların statik olarak bloke edilmesine dayalı sistemler
Çalışma prensibi:kullanıcılara, dosya erişim haklarına benzer şekilde izlenen cihazlara erişim hakları atanır. Prensip olarak, standart Windows mekanizmaları kullanılarak hemen hemen aynı etki elde edilebilir.
Zlock (www.securit.ru) - ürün nispeten yakın zamanda ortaya çıktı, bu nedenle minimum işlevselliğe sahip (küçük şeyler olduğunu düşünmüyorum) ve hata ayıklamada farklılık göstermiyor, örneğin, yönetim konsolu bazen çöktüğünde ayarları kaydetmeye çalışıyor.
DeviceLock (www.smartline.ru) daha ilginç bir ürün, uzun süredir piyasada, bu yüzden çok daha kararlı çalışıyor ve daha çeşitli işlevselliğe sahip. Örneğin, iletilen bilgilerin gölge kopyalanmasına izin verir, bu da olayın soruşturulmasına yardımcı olabilir, ancak önlenmesinde yardımcı olmaz. Ek olarak, böyle bir soruşturmanın, sızıntının bilindiği, yani. meydana geldikten sonra önemli bir süre sonra.
InfoWatch Net Monitor (www.infowatch.ru) modüllerden oluşur - DeviceMonitor (Zlock'a benzer), FileMonitor, OfficeMonitor, AdobeMonitor ve PrintMonitor. DeviceMonitor, Zlock'a benzer, standart işlevsellik, kuru üzüm yok. FileMonitor - dosyalara erişimin kontrolü. OfficeMonitor ve AdobeMonitor, ilgili uygulamalarındaki dosyalarla çalışmayı kontrol etmenize olanak tanır. Şu anda FileMonitor, OfficeMonitor ve AdobeMonitor için oyuncak değil, kullanışlı bir uygulama bulmak oldukça zor, ancak gelecekteki sürümlerde işlenen verileri bağlamsallaştırmak mümkün olacaktır. Belki o zaman bu modüller potansiyellerini ortaya çıkarır. Dosya işlemlerinin bağlamsal analizi görevinin, özellikle içerik filtreleme veritabanı Traffic Monitor ile aynıysa, yani. ağ.
Ayrı olarak, aracının yerel yönetici haklarına sahip bir kullanıcıdan korunması hakkında da söylemek gerekir.
ZLock ve InfoWatch Net Monitor böyle bir korumaya sahip değildir. Onlar. kullanıcı aracıyı durdurabilir, verileri kopyalayabilir ve aracıyı yeniden başlatabilir.
DeviceLock'un böyle bir koruması vardır ve bu kesin bir artıdır. Kayıt defteri, dosya sistemi ve süreç kontrolü ile çalışmak için sistem çağrılarını engellemeye dayanır. Diğer bir artı, korumanın güvenli modda da çalışmasıdır. Ancak bir dezavantajı da var - korumayı devre dışı bırakmak için, basit bir sürücü indirilerek yapılabilecek Hizmet Tanımlayıcı Tablosunu geri yüklemek yeterlidir.
Cihazların statik olarak bloke edilmesine dayalı olarak dikkate alınan sistemlerin dezavantajları:
- Ağa bilgi aktarımı kontrol edilmez.
- -Sınıflandırılmış bilgileri gizli olmayanlardan ayırt edemez. Ya her şey mümkün, ya da hiçbir şey imkansız değil ilkesiyle çalışır.
- Ajan boşaltmaya karşı koruma yoktur veya kolayca atlanır.
bu tür sistemlerin tanıtılması tavsiye edilmez, çünkü atanan görevi çözmezler.
Dinamik cihaz kilitlemeye dayalı sistemler
Çalışma prensibi:İletim kanallarına erişim, kullanıcının erişim düzeyine ve çalışmanın gerçekleştirildiği bilgilerin gizlilik derecesine bağlı olarak engellenir. Bu ilkeyi uygulamak için bu ürünler yetkili erişim kontrol mekanizmasını kullanır. Bu mekanizma çok yaygın değil, bu yüzden üzerinde daha ayrıntılı duracağım.
Yetkili (zorunlu) erişim denetimi, tanımlayıcının (Windows NT ve sonraki sürümlerin güvenlik sisteminde uygulanan) aksine, bir kaynağın (örneğin bir dosyanın) sahibinin bu kaynağa erişim gereksinimlerini zayıflatamamasıdır, ancak onları sadece senin seviyende güçlendir. Yalnızca özel yetkilere sahip bir kullanıcı - bir memur veya bir bilgi güvenliği yöneticisi - gereksinimleri gevşetebilir.
Guard, Accord, SecretNet, DallasLock ve diğerleri gibi ürünler geliştirmenin temel amacı, Devlet Teknik Komisyonu'nun (şimdi FSTEK) gereksinimlerine uygunluk için bu ürünlerin kurulacağı bilgi sistemlerinin sertifikalandırılması olasılığıydı. Bu tür bir belgelendirme, devletin işlendiği bilgi sistemleri için zorunludur. temelde devlet işletmelerinden gıda talebini sağlayan sır.
Bu nedenle, bu ürünlerde uygulanan işlevler grubu, ilgili belgelerin gereksinimlerine göre belirlenmiştir. Bu da, ürünlerde uygulanan işlevlerin çoğunun ya normal Windows işlevselliğini (silmeden sonra nesneleri temizleme, RAM'i temizleme) çoğaltmasına ya da dolaylı olarak onu kullanmasına (açıklayıcı erişim kontrolü) yol açtı. DallasLock geliştiricileri, Windows tanımlayıcı kontrol mekanizması aracılığıyla sistemlerinin zorunlu erişim kontrolünü uygulayarak daha da ileri gittiler.
Bu tür ürünlerin pratik kullanımı son derece elverişsizdir, örneğin DallasLock, kurulum için sabit diskin yeniden bölümlenmesini gerektirir, ayrıca üçüncü taraf yazılım kullanılarak gerçekleştirilmelidir. Çok sık olarak, sertifikasyondan sonra bu sistemler kaldırıldı veya devre dışı bırakıldı.
SecrecyKeeper (www.secrecykeeper.com), yetkili bir erişim kontrol mekanizması uygulayan başka bir üründür. Geliştiricilere göre, SecrecyKeeper belirli bir sorunu çözmek için özel olarak geliştirildi - ticari bir kuruluşta bilgi hırsızlığını önlemek. Bu nedenle, yine geliştiricilerin sözleriyle, hem sistem yöneticileri hem de sıradan kullanıcılar için geliştirme sırasında basitliğe ve kullanım kolaylığına özel önem verildi. Ne kadar başarılı olduğu tüketiciye bağlıdır, yani. BİZ. Ek olarak, SecrecyKeeper, bahsedilen diğer sistemlerde bulunmayan bir dizi mekanizma uygular - örneğin, uzaktan erişimli kaynaklar için gizlilik düzeyini ayarlama yeteneği ve aracının koruma mekanizması.
SecrecyKeeper'da bilgi hareketinin kontrolü, açık, gizli ve çok gizli değerleri alabilen Bilgi Güvenliği Düzeyi, Kullanıcı Erişim Düzeyleri ve Bilgisayar Güvenlik Düzeyleri bazında gerçekleştirilir. Bilgi Gizlilik Düzeyi, sistemde işlenen bilgilerin üç kategoride sınıflandırılmasını sağlar:
halka açık - gizli bilgi değil, onunla çalışırken herhangi bir kısıtlama yoktur;
gizli - gizli bilgi, onunla çalışırken, Kullanıcının Erişim Düzeylerine bağlı olarak kısıtlamalar getirilir;
çok gizli, çok gizli bilgidir; onunla çalışırken, Kullanıcı İzin Düzeylerine bağlı olarak kısıtlamalar uygulanır.
Bilgi Güvenliği Düzeyi, bir dosya, ağ sürücüsü ve bazı hizmetlerin çalıştığı bilgisayarın bağlantı noktası için ayarlanabilir.
Kullanıcı Açıklık Düzeyleri, Gizlilik Düzeyine bağlı olarak kullanıcının bilgileri nasıl taşıyabileceğini tanımlamanıza olanak tanır. Aşağıdaki Kullanıcı İzin Düzeyleri mevcuttur:
Kullanıcı İzin Düzeyi - bir çalışanın erişebileceği maksimum Bilgi Gizlilik Düzeyini sınırlar;
Ağ Erişim Düzeyi - bir çalışanın ağ üzerinden iletebileceği maksimum Bilgi Gizlilik Düzeyini sınırlar;
Çıkarılabilir Medya Erişim Düzeyi - bir çalışanın harici medyaya kopyalayabileceği maksimum Bilgi Gizlilik Düzeyini sınırlar.
Yazıcı Güvenlik Düzeyi - bir çalışanın yazdırabileceği maksimum Bilgi Güvenlik Düzeyini sınırlar.
Bilgisayar Güvenlik Düzeyi - bir bilgisayarda depolanabilen ve işlenebilen maksimum Bilgi Güvenlik Düzeyini tanımlar.
Kamu güvenliği düzeyindeki bilgilere erişim, herhangi bir güvenlik düzeyine sahip bir çalışan tarafından gerçekleştirilebilir. Bu tür bilgiler, ağ üzerinden kısıtlama olmaksızın iletilebilir ve harici ortama kopyalanabilir. Kamu güvenliği düzeyinde bilgi ile çalışma geçmişi izlenmez.
Gizli düzeyde gizlilik içeren bilgilere erişim, yalnızca güvenlik düzeyi gizli veya daha yüksek olan çalışanlar tarafından elde edilebilir. Yalnızca ağ erişim düzeyi gizli ve daha yüksek olan çalışanlar bu tür bilgileri ağa iletebilir. Yalnızca çıkarılabilir medyaya erişim düzeyi gizli veya daha yüksek olan çalışanlar bu tür bilgileri harici medyaya kopyalayabilir. Yalnızca yazıcıya erişim düzeyi gizli veya daha yüksek olan çalışanlar bu tür bilgileri yazdırabilir. Gizli bir gizlilik düzeyine sahip bilgilerle çalışmanın tarihi, yani. erişme girişimleri, ağ üzerinden iletme girişimleri, harici ortama kopyalama veya yazdırma girişimleri - günlüğe kaydedilir.
Çok gizli düzeyde bilgiye erişim, ancak güvenlik düzeyi çok gizli olan çalışanlar tarafından elde edilebilir. Yalnızca ağ erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri ağa iletebilir. Yalnızca çıkarılabilir medyaya erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri harici medyaya kopyalayabilir. Yalnızca yazıcıya erişim düzeyi çok gizli olan çalışanlar bu tür bilgileri yazdırabilir. Çok gizli bir düzeyde bilgi ile çalışmanın geçmişi, yani. erişme girişimleri, ağ üzerinden iletme girişimleri, harici ortama kopyalama veya yazdırma girişimleri - günlüğe kaydedilir.
Örnek: bir çalışanın çok gizli Güvenlik İzni, gizli gizli Ağ İzni, Çıkarılabilir Medya Genel İzni ve çok gizli Yazıcı İzni olduğunu varsayalım; bu durumda, bir çalışan herhangi bir gizlilik düzeyine sahip bir belgeye erişebilir, bir çalışan, sırdan daha yüksek olmayan bir gizlilik düzeyine sahip bilgileri ağa aktarabilir, örneğin disketlere kopyalayabilir, bir çalışan yalnızca bilgileri bir kamu gizli seviyesi ve bir çalışan herhangi bir bilgiyi bir yazıcıda yazdırabilir ...
Kuruluşa bilgi dağıtımını kontrol etmek için, bir çalışana atanan her bilgisayara bir Bilgisayar Güvenlik Düzeyi atanır. Bu düzey, çalışanın güvenlik düzeyi ne olursa olsun, herhangi bir çalışanın bu bilgisayardan erişebileceği maksimum Bilgi Güvenlik Düzeyini sınırlar. O. bir çalışanın Erişim Düzeyi çok gizliye eşitse ve şu anda çalıştığı bilgisayarın Güvenlik Düzeyi herkese eşitse, çalışan bu iş istasyonundan genelden daha yüksek bir gizli düzeyi olan bilgilere erişemeyecektir.
Teoriyle donanmış olarak, sorunu çözmek için SecrecyKeeper'ı kullanmayı deneyelim. Söz konusu soyut işletmenin bilgi sisteminde işlenen bilgilerin açıklamasını basitleştirmek için (sorun bildirimine bakın), aşağıdaki tabloyu kullanabilirsiniz:
İşletmenin çalışanları ve iş ilgi alanları ikinci tablo kullanılarak açıklanmaktadır:
Kuruluşun aşağıdaki sunucuları kullanmasına izin verin:
Sunucu 1C
Topları olan dosya sunucusu:
SecretDocs - gizli belgeler içerir
PublicDocs - genel belgeleri içerir
İşletim sisteminin ve uygulama yazılımının standart yeteneklerinin, standart erişim kontrolünü organize etmek için kullanıldığını unutmayın; örneğin bir yöneticinin çalışanların kişisel verilerine erişimini önlemek için ek güvenlik sistemlerinin tanıtılmasına gerek yoktur. Bu tam olarak çalışanın yasal erişiminin olduğu bilgilerin yayılmasına karşı koymakla ilgilidir.
SecrecyKeeper'ın doğrudan yapılandırmasına geçelim.
Yönetim konsolunun ve aracıların kurulum sürecini açıklamayacağım, her şey mümkün olduğunca basit - programın belgelerine bakın.
Sistem kurulumu aşağıdaki adımlardan oluşur.
Adım 1. Aracıları sunucular hariç tüm bilgisayarlara kurun - bu, Gizlilik Düzeyinin herkese açık olandan daha yüksek olduğu bilgilerin kendilerine ulaşmasını hemen engellemenizi sağlar.
Adım 2. Çalışan İzin Seviyelerini aşağıdaki tabloya göre atayın:
| Kullanıcı İzin Seviyesi | Ağ Açıklık Düzeyi | Çıkarılabilir Medya Açıklık Düzeyi | Yazıcı Boşluk Düzeyi | |
| Müdür | gizli | gizli | gizli | gizli |
| yönetici | gizli | halka açık | halka açık | gizli |
| personel memuru | gizli | halka açık | halka açık | gizli |
| Muhasebeci | gizli | halka açık | gizli | gizli |
| Sekreter | halka açık | halka açık | halka açık | halka açık |
Adım 3. Bilgisayar Güvenlik Düzeylerini aşağıdaki gibi atayın:
Adım 4. Sunucularda Gizlilik Düzeylerini yapılandırın:
Adım 5. Yerel dosyalar için çalışanların bilgisayarlarında Bilgi Gizliliği Düzeylerini yapılandırın. Hangi çalışanın hangi bilgi ile çalıştığını ve bu bilginin ne kadar kritik olduğunu net bir şekilde anlamak gerektiğinden, bu en çok zaman alan kısımdır. Bir kuruluş bir bilgi güvenliği denetimi yaptıysa, sonuçları görevi büyük ölçüde kolaylaştırabilir.
Adım 6. Gerekirse, SecrecyKeeper, kullanıcılar tarafından çalıştırılmasına izin verilen programların listesini kısıtlamanıza izin verir. Bu mekanizma, Windows Yazılım Kısıtlama İlkesi'nden bağımsız olarak uygulanır ve örneğin yönetici haklarına sahip kullanıcılara kısıtlamalar getirilmesi gerektiğinde kullanılabilir.
Böylece, SecrecyKeeper'ın yardımıyla, hem sızıntı hem de hırsızlık gibi gizli bilgilerin yetkisiz dağıtılması riskini önemli ölçüde azaltmak mümkündür.
Dezavantajları:
- Yerel dosyalar için gizlilik düzeylerinin ilk ayarıyla ilgili zorluk;
Genel sonuç:
Bilgiyi içeriden korumak için maksimum fırsatlar, işin yürütüldüğü bilgilerin gizlilik derecesine ve çalışanın erişim düzeyine bağlı olarak bilgi aktarım kanallarına erişimi dinamik olarak düzenleme yeteneğine sahip yazılımlar tarafından sağlanır.
Şirket alıcılar, geliştiriciler, bayiler ve bağlı ortaklar için benzersiz bir hizmettir. Ayrıca, müşterilerine geniş bir ürün yelpazesi, birçok ödeme yöntemi, anında (çoğunlukla anında) sipariş işleme, kişisel bölümünde sipariş karşılama sürecini izleme imkanı sunan Rusya, Ukrayna, Kazakistan'daki en iyi çevrimiçi yazılım mağazalarından biridir.
Bilgi güvenliği alanında, kuruluşlar dış saldırılara karşı korumaya en çok dikkat etme eğilimindedir, bu nedenle güvenlik için ayrılan fonların neredeyse tamamı kurumsal ağ çevresinin savunmasız noktalarını korumaya yönlendirilir. Mevcut durum, BT güvenlik çözümleri pazarına yansıyor - son yıllarda virüslere, solucanlara, Truva atlarına ve diğer dış tehditlere karşı çok çeşitli koruma araçları sunuldu.
Ancak işletmeler yavaş yavaş yeni bir tehlikenin farkına varıyor. Bilgisayar korsanlarından, istenmeyen postalardan veya rastgele virüslerden değil, kendi çalışanlarından gelir. İçerideki kişiler, kuruluşun kendi içinde yer alır ve tamamen yasal yetkilere sahiptir, bu nedenle ilgilendikleri bilgilere erişmeleri, dışarıdan herhangi bir davetsiz misafirden çok daha kolaydır. Sorunu daha iyi anlamak için, Amerikan analitik şirketi Aberdeen Group'un 88 büyük Amerikan şirketiyle görüşüldüğü "The Insider Threat Benchmark Report - Strategies for Data Protection" 2006 çalışmasına dönelim.
Büyük şirketlerle yapılan bir anketten önemli bulgular
İçeriden gelen tehdit büyüyor. Modern iş dünyası artık bu tehlikeyi görmezden gelemez ve yoğun bir şekilde karşı koymaya hazırlanıyor. Bunu fark etmemeyi ya da yeni güvenlik sistemlerini devreye sokmaktan tasarruf etmeyi seçen şirketler ciddi kayıplara maruz kalıyor. Araştırmada adı geçen şirketlerin birçoğu veri ihlallerinden ciddi şekilde etkilendi ve ancak o zaman önleyici tedbirler aldı. Onların örneği, diğer firmalar için bir ders işlevi görmelidir.
Kendilerini gizli bilgi sızıntılarından korumak isteyen şirketler, sorunu çözmek için sorumlu bir yaklaşım benimsemelidir. İrrasyonel güvenlik tasarrufları yakın gelecekte önemli kayıplara dönüşecektir. En iyi seçenek, içeriden öğrenenlerin korunması sistemlerinde uzmanlaşmış profesyonellerin yardımını aramak olacaktır. Bu tür sistemler mevcut altyapıya kolayca entegre edilebilir. Ayrıca satış şirketleri sadece çözümün işe yaramasını sağlamakla kalmayacak, aynı zamanda yüksek verimliliğini de garanti edecektir.
Bu nedenle, içeriden öğrenenlere karşı bir araç yoktur. Yalnızca bir dizi önlem ve çözümün kullanılması, bilgilerin güvenilir bir şekilde korunmasına yardımcı olacaktır. Büyük tedarikçilerin ataletine rağmen, piyasada içeriden ve sızıntılara karşı koruma sağlayan yeterli sayıda hazır sistem bulunmaktadır.
En önemli modern bilgi güvenliği teknolojilerinden biri ağ trafiği filtrelemedir (halen ankete katılanların %53'ü tarafından uygulanmaktadır). Başka bir %28 bu yıl bu tür filtreleri kurmayı planlıyor. Ek olarak, veri sınıflandırma çok umut verici bir teknolojidir. Bugün kurumların sadece %42'si kullanıyor olsa da bu rakam bu yıl %44 (yani %86) artacak. Ancak, makul olmayan bir şekilde az sayıda katılımcının sızıntılara ve içeriden gelen bilgilere karşı korunmak için çalışan faaliyetlerini izlemek gibi başka etkili çözümler kullanması ciddi bir endişe kaynağıdır.
Pek çok kuruluş için bilgi sızıntılarına karşı ek koruma getirilmesinin önündeki ana engellerden biri (%44), sınırlı BT kaynaklarıdır. Aynı zamanda, bu tür koruma araçlarının uygulanması, yalnızca önemli verileri kaybetme riskini önemli ölçüde azaltmakla kalmaz, aynı zamanda BT departmanlarının maliyetlerini de önemli ölçüde (% 17,5 oranında) azaltır.
şu anki pozisyon
İçeriden öğrenilen olayların sonuçlarının genellikle başarılı bir hacker saldırısından bile çok daha vahim olması şaşırtıcı değildir. Bunun için birçok nedeni vardır. Çeşitli bilgi kaynaklarına erişim kolaylığı tek başına her şeyi açıklayamaz. Gerçek şu ki, içeridekiler tarafından çalınan bilgiler genellikle bilgisayar korsanlarının elde edebileceklerinden daha önemlidir. İçeriden gelen tehditlerin artmasının ve yasa dışı eylemlerde bulunma kolaylığının en önemli nedenlerinden biri, (varsa) dahili BT güvenlik hizmetlerinin ihmalidir. Kuruluşlar, uygun araçlara sahip olmadıkları için içerdekilerle yüzleşmeye hazır değil. Tehdit tespit edilmiş olsa bile, güvenli alandaki işçiler bu alanda yeterli deneyimi kazanmadıkları için henüz tehditle yeterince yüzleşemezler. Genel olarak, piyasada zaten gizli bilgileri içeriden öğrenenlerden korumak için karmaşık çözümler bulabilirsiniz. Ne yazık ki, genellikle sorumlu liderler tehdidin ciddiyetini anlamazlar. Ataletle, kuruluşlarının çevresini tam olarak dış tehditlerden korumak için çabalar oluşturmaya devam ederler.
Bu arada, haber ajansları ve medya, içeriden öğrenenler sorununa giderek daha fazla dikkat ediyor. Uzmanlar, gizli bilgi sızıntılarının sayısındaki artıştan ve bunların üzücü sonuçlarından söz ediyor: zaman kaybı, mali kayıplar ve itibarın zedelenmesi. Ayrıca, işletmelerin özel olarak dahili BT güvenliği konusuna geçmeye başladığı küresel bir eğilim var.
"İçeriden Tehdit Kıyaslama Raporu - Veri Koruma Stratejileri" çalışması sırasında analistler, geçtiğimiz yıl içinde birçok BT sistemi tedarikçisinin ve dağıtıcısının önerilen çözüm yelpazesini niteliksel olarak değiştirdiğini bulmayı başardı. Aynı zamanda, özellikle içerdekilerle savaşmak için tasarlanmış ürünlerin payı arttı. Ancak aynı zamanda, en büyük BT satıcıları, çözüm oranlarını aynı seviyede tutarak geleneksel portföylerini genişletmeye devam ediyor. Bu, ilgili ürün hattının potansiyelinin eksik tahmin edildiğini veya düşük akım talebini gösterir. Bununla birlikte, Amerikalı yanıt verenlerin %41'i, BT altyapılarında, bir dereceye kadar içeridekilerin sorununu çözen güvenlik önlemleri uygulamıştır.
Rus müşterilerin, tedarikçiler ve sistem entegratörleri tarafından sızıntılarla ve içeriden öğrenenlerle mücadele sistemlerine olan ilginin büyük ölçüde arttığını kendi gözleriyle görebileceklerini unutmayın. Örneğin Kaspersky Lab, dahili BT güvenliği alanındaki işini ayrı bir şirket olan InfoWatch'a ayırdı ve neredeyse tüm Rus sistem entegratörleri bu şirketin çözümlerini ürün hatlarına dahil etti. InfoWatch Pazarlama Direktörü Denis Zenkin'e göre, 2005 yılında şirketin karı %120 arttı ve 2006'da da benzer bir tablo görüldü. Bu, Rus şirketlerinin kendilerini içeriden korumak için sistemleri kullanmada Amerikan şirketlerinin önemli ölçüde gerisinde kalmasına rağmen. InfoWatch'ın 300'den fazla yerel kuruluşla anket yaptığı "Rusya'daki Dahili BT Tehditleri 2005" çalışmasına göre, katılımcıların yalnızca %2'si içeriden ve sızıntılarla mücadele etmek için sistemleri kullanıyor. Ancak tedarikçilerin kârlarındaki artış, bu durumun giderek değiştiğini açıkça göstermektedir.
Ayrıca, bir başka büyük antivirüs şirketi olan McAfee, yakın zamanda içerdekilerle savaşmak için sistemlere ilgi gösterdi. Ekim 2006'da, tek çözümü tam olarak sızıntıları tespit etmek ve önlemek olan İsrailli Onigma firmasını satın aldı. Basın açıklamasına göre McAfee, Onigma teknolojilerini kendi çözümüne entegre edecek ve böylece dahili BT güvenlik pazarına genişlemeye başlayacak.
Yakın gelecekte en büyük BT güvenlik şirketi Symantec'in kaçak koruma pazarında ortaya çıkması olasıdır. Genel olarak, ürün yelpazesine içerdekilerle mücadele için ürünlerin dahil edilmesinin, BT güvenlik çözümlerinin dağıtım zincirindeki tüm bağlantılar için son derece umut verici bir çeşitlendirme yönü olduğu güvenle iddia edilebilir.
Diğer taraftan bir bakış
Şimdi "İçeriden Tehdit Kıyaslama Raporu - Veri Koruma Stratejileri" çalışmasının sonuçlarına dönelim ve müşteri gözüyle içeridekilere ve sızıntılara karşı koruma sistemlerine bakalım. Tüm Amerikan şirketleri, niceliksel bileşim açısından kabaca üç gruba ayrılabilir: geride kalanlar (%30), orta köylüler (%50) ve liderler (%20). Geride kalan işletmelerin performans göstergeleri genellikle sektör ortalamasından daha düşüktür, liderler ise buna bağlı olarak daha yüksek performans göstergelerine sahiptir. Kesinlikle tüm başarılı kuruluşların (katılımcıların %100'ü) gizli verilerin korunmasını içeriden öğrenenlere karşı mücadelede en önemli yön olarak gördüğü ortaya çıktı. Ayrıca, en iyi şirketler tanımlama ve erişim denetimi politikalarını çok daha yaygın olarak kullanıyor (%75). Dahili BT güvenliği alanındaki çeşitli grupların özellikleri şekilde gösterilmiştir.
Diyagramlar, önde gelen şirketlerin, içeriden öğrenenlerin korunmasını sağlama projesini tam teşekküllü bir iş görevi olarak görmeyi tercih ettiğini gösteriyor. Aynı zamanda, bir dizi eşlik eden hizmete özel önem veriyorlar. Bu, en etkili iç güvenlik sistemini oluşturmanıza ve atipik görevleri kendi çalışanlarınızın omuzlarına yüklememenize olanak tanır. Ayrıca, sektördeki en iyi şirketler, tam otomatik süreçler kullanarak insan faktörünü en aza indirmeye çalışmaktadır. Son olarak, liderler, birleşik ve yönetilebilir bir sisteme ürün entegrasyonuna öncelik verir ve bu nedenle, içeriden gelenlere karşı koruma sağlamak için çözümlerinin esnekliğine değer verir.
İç güvenlik sorununu teknoloji açısından değerlendirmeye çalışalım (Tablo 1). Birkaç endüstriyi inceledikten sonra, kullanılan ana teknolojilerin şifreler, tanımlama sistemleri, biyometri, ağ trafiğini tarama ve gizli bilgilere kullanıcı erişimini yönetme olduğu ortaya çıktı.
Tablo 1. Güvenlik koruma teknolojileri: mevcut durum ve tahmin
|
teknolojiler |
Halihazırda teknolojiyi kullanan katılımcıların oranı,% |
Önümüzdeki 12 ay içinde teknolojiyi uygulamayı planlayan katılımcıların oranı,% |
|
Karmaşık şifreler |
||
|
Erişim Kontrol Listeleri |
||
|
Ağ trafiğini filtreleme |
||
|
çevre taraması |
||
|
Çalışan erişiminin otomatik izlenmesi |
||
|
Veri sınıflandırması (gizlilik derecesine göre) |
||
|
Tek giriş noktası |
||
|
Talep ve onay ile tanımlama |
||
|
Cep telefonu geri araması yoluyla kimlik doğrulama |
Sektördeki en iyi firmaların tam olarak %50'si güçlü parolalar, ağ trafiği filtreleme ve ACL'ler kullanır. Ayrıca, şirketler bu belirli teknolojilerin kullanımını önemli ölçüde artırmayı amaçlamaktadır. Böylece karmaşık şifrelerin payı %26 artarak %93'e ulaşacak; ACL'lerin popülaritesi %24 artarak %90'a ulaşacak ve ağ trafiği filtrelemenin payı %53'ten %81'e yükselecek. Bu arada, şu anda yaygınlıklarına rağmen kimlik kartlarının kullanımı pek popüler bir yön olarak kabul edilemez. Katılımcıların yalnızca %13'ü bu teknolojiyi bu yıl uygulamayı planlıyor.
İlginç bir şekilde, en umut verici teknolojiler, çalışanların önemli verilere erişiminin otomatik olarak izlenmesi (%72'ye kadar büyümesi bekleniyor) ve veri sınıflandırmasıdır (2006'da %42'den bu yıl %86'ya). Burada çalışmanın sonuçları bilgi güvenliği alanında yerli uzmanların görüşleri ile örtüşmektedir. InfoWatch düşünce kuruluşu, şirketlerin son yıllarda haksız yere çok az ilgi gösterdiği şeyin, içeriden öğrenenlerin eylemlerinin ve veri sınıflandırmasının otomatik olarak izlenmesi olduğuna inanıyor. Bu arada, bu olmadan güvenilir bir koruma sistemi kurmak imkansızdır.
Ayrıca, ankete göre, trafik filtrelemeyi kullanan aynı %53'lük kısım, iç güvenlik için tek başına çevre korumanın yetersiz olduğuna inanıyor. Diğer şeylerin yanı sıra, harici ortaklarla iletişim kurarken güvenlik düzeyini düşürmemek için sanal özel ağlar geliştirmek gerekir.
Bu teknolojiler, katmanlı bir yaklaşım sağlar ve gizli verilerin güvenliğini artırır. Bununla birlikte, teknolojik tarafa ek olarak, bilginin banal fiziksel güvenliğini de unutmamak gerekir. Bir ofise girip bilgisayar ekipmanını çaldıktan sonra önemli belgelerin siber suçluların eline nasıl geçtiğine dair birçok örnek var. Ayrıca, hassas içerik içeren yedekleme bantları ve mobil medya genellikle taşıma sırasında veya iş gezilerinde kaybolur.
içeriden koruma
Şu anda, kullanıcı erişiminin nasıl düzenleneceğine dair ortak bir görüş bulunmamaktadır. Bu, kuruluşları dağıtılmış bir ortamda merkezi veri yönetimi sağlamaya zorlar. Teknoloji, verileri yönetilebilir, hesap verebilir ve güvenli hale getirebilir, ancak bunların uygun şekilde uygulanmasını gerektirir. Buna karşılık, kullanım yöntemleri, müşteri girişiminin faaliyetinin özelliklerine bağlıdır. Sonuç olarak, güvenlik sisteminin konuşlandırılması gereken BT altyapısının derin ve kapsamlı bir analizinin yapılması gerekmektedir. Pek çok müşteri, kesinlikle haklı olarak, teknolojileri değerlendirme ve seçme sürecini, çeşitli alanlarda uzmanları içeren özel olarak oluşturulmuş ekiplere emanet ediyor.
Modern teknolojiler ve içerdekilere karşı koyma yöntemleri önemli ölçüde farklılık gösterir. Mesele şu ki, satıcılar tek beden herkese uyan içeriden çözümler sunamazlar. Sapmaları tespit etmek, verileri gizliliğe göre sınıflandırmak ve erişimi kısıtlamak için bir dizi çözüm sunarlar.
Araştırma sırasında ankete katılan şirketlerin yalnızca %51'i, içeriden öğrenenlere karşı kapsamlı koruma çözümlerinin son derece önemli olduğuna inansa da, kalan %49'luk rollerini o kadar yüksek oranda değerlendirmiyor. Ancak bu sonucun önemi, ankete katılanların en az yarısının karmaşık çözümleri tercih etmesinde yatmaktadır. Bu, bu sorunla gerçekten ilgilendiklerini ve ortak önlemlerin önemini anladıklarını gösteriyor.
Ayrıca bazı sektörlerde, katılımcıların müşteri verilerine karşı daha hassas olmaları gerekmektedir. Federal ve bölgesel düzeyde sürekli değişen mevzuat, kişisel bilgilerin (tam ad, doğum tarihi, ev adresi, kredi kartı numaraları, sağlık politikası vb.) korunmasına giderek daha fazla önem vermektedir.
Kuruluşlar, kişisel koruma mevzuatının önemini anlamalıdır. Anket katılımcılarına göre, yönetişimi iyileştirmek için yetkili erişimi otomatikleştirmek gerekiyor. ACL'leri, veri hazırlamayı ve sınıflandırmayı otomatikleştirmeyen şirketler önemli zorluklarla karşılaşabilir. Bu nedenle, ankete katılanların %78'i bilgi korumasını, içeriden koruma sağlamanın en önemli nedeni olarak görmektedir. Bu nedenle, işletmeler içeriden gelen tehdidi yeni yeni anlamaya başlıyor ve çeşitli nedenlerle iç olayların önemini küçümsemeye çalışıyor. Bununla birlikte, artan tehlike eğilimini içeriden gizlemek mümkün değildir.
İçeriden Bilgi Koruması Sunmanın Zorlukları
İki ilginç araştırma bulgusunu daha ele alalım. Tablo Tablo 2, katılımcıların görüşüne göre, iç tehditlere karşı bir koruma sistemi sunarken ortaya çıkan en ciddi beş sorunu ve bunların çözümü için seçenekleri listelemektedir. Sekme. 3 tabloya benzer. 2 yapıdadır, ancak önde gelen şirketler grubundan yanıtlayanların cevapları temelinde derlenmiştir. Elde edilen veriler karşılaştırıldığında, ortalama ve en başarılı işletme temsilcileri arasında bu soruna yaklaşımdaki farklılıkları fark etmek kolaydır. Liderler için asıl sorun, uygulanan çözümün halihazırda kullanılan teknolojilere dayatılmasıysa (%75), o zaman genel olarak tüm katılımcılar için bu sınırlı BT kaynaklarıdır (%44). Çalışma sırasında, gelişmiş kuruluşların BT altyapılarının kapsamlı korumasını zaten uyguladıkları ve böylece ağın kendisini kapsadığı ve kendilerini uygulama düzeyinde güvence altına aldıkları ortaya çıktı. Şimdi bu şirketler güvenlik sistemlerini güçlendirmenin yollarını arıyor. Temel sorunu sınırlı BT kaynakları olan kuruluşlar, eylemlerinde ciddi şekilde sınırlıdır. Bu endişe vericidir, çünkü güvenlikten tasarruf çok daha yüksek kayıplara yol açabilir. Açıkçası, BT güvenliği gibi BT'nin de tam olarak finanse edilmesi gerekiyor. Sonuçta, diğer tüm bölümlerin başarıyla çalışacağı bir temel hazırlıyorlar.
Tablo 2. İçeriden koruma sistemlerinin uygulanmasındaki en ciddi sorunlar
ve olası çözümleri (tüm katılımcılara göre)
|
Sorun |
Yanıtların payı,% |
Çözüm |
Yanıtların payı,% |
|
Çözümü uygulamak ve yönetmek için sınırlı BT kaynakları |
Uygulamadan önce gereksinimleri tanımlayın |
||
|
Yazılım çözümünün karmaşıklığı |
Veri ve süreç sahiplerini tanımlayın |
||
|
Çözümün mevcut süreçlerin üzerine yerleştirilmesi |
Yeni süreç ve prosedürlerin kullanımına ilişkin eğitimler düzenlemek |
Tabloları incelerken, aşağıdaki oldukça ilginç gerçeği de not edebiliriz: Önde gelen şirketlerin personeli, yeniliklerden memnuniyetsizliklerini orta ölçekli işletmelerin çalışanlarından çok daha sık gösteriyor (%50'ye karşı %38). Ancak, bunda şaşırtıcı bir şey yok. BT güvenliği alanında, sorunun en az yarısını insan faktörü oluşturuyor. Örneğin, bir kuruluş müteahhitlerin, ortakların veya tedarikçilerin ağını kullanmasına izin veriyorsa, ancak aynı zamanda bilgiye erişimi düzenleme prosedürlerini umursamıyorsa, bu yönde kesinlikle sorunları olacağını güvenle söyleyebiliriz.
Tablo 3. İçeriden koruma sistemlerinin uygulanmasındaki en ciddi sorunlar
ve olası çözümleri (önde gelen şirketlere göre)
|
Sorun |
Yanıtların payı,% |
Çözüm |
Yanıtların payı,% |
|
Çözümün halihazırda uygulanmış teknolojilerin üzerine yerleştirilmesi |
Kısa, hızlı etkili projelere odaklanın |
||
|
İşçilerin yeniliğe direnişi |
Yeni çözümleri kademeli olarak toplayın ve kullanıcılara yavaş yavaş dağıtın |
||
|
Faaliyetlerin uygulanması için fon eksikliği |
Teknik ve BT departmanından diğer tüm departmanlara “yukarıdan aşağıya” uygulayın |
||
|
Çözümü uygulamak ve yönetmek için sınırlı BT kaynakları |
Bölüm başkanlarına çözümlerin yeteneklerini ve özelliklerini gösterin |
||
|
Risk değerlendirme araçları hakkında yetersiz bilgi |
Yeni süreç ve prosedürlerin kullanımına ilişkin eğitimler düzenlemek |
Genel olarak, geride kalan şirketler ve orta köylüler, liderlerin aksine, daha az otomasyon ve çözüm entegrasyonu kullanıyor ve buna ek olarak, kadrolarında deneyimsiz işçiler var. Bütün bunlar, güvenlik prosedürlerinin analizinin etkinliğini ve sonuçlarının yorumlanmasını etkiler. Çoğu zaman, yalnızca otomatik süreçlerin tanıtılması ve çalışanların ileri düzeyde eğitimi, insan faktörünün üstesinden gelinmesine yol açar. Ankete göre, en iyi işletmelerin yaklaşık %25'i tam otomatik sistemler kullanıyor. Aynı zamanda, otomasyon vakalarının sadece %9'u endüstriyel olarak sınıflandırılabilir.
İş gereksinimlerine uygun yeni teknolojiler kullanıldıkça bilgi güvenliği artar. Koruma sistemlerinin sürekli iyileştirilmesi, şüphesiz faydalar sağlayacaktır. Araştırmaya göre, içeriden öğrenenlerin korunması sistemlerini uygulayan kuruluşlar, ortalama olarak aşağıdaki etkileri elde etti:
- BT departmanlarına ve destek hizmetlerine yapılan şikayet ve itirazları %3,5 oranında azalttı;
- BT güvenlik olaylarının sayısı azaldı - %13;
- BT departmanlarında işgücü maliyetlerini azalttı - %17,5 oranında.
Bu nedenle analistler, yalnızca dış korumayla ilgilenen kuruluşların başarısızlığa mahkum olduğu sonucuna varıyor. Gerçekten de, bir organizasyonun çevresini güvence altına almak, bilgisayar korsanlarının saldırılarını savuşturmaya yardımcı olurken, sızıntı ve içeriden koruma sistemleri kullanan şirketler olayları ve BT maliyetlerini azaltmayı başarıyor.
Çözüm
Araştırmanın sonuçlarına ve durumun değerlendirilmesine dayanarak, aşağıdaki sonuçlar kendilerini göstermektedir. İlk olarak, içeridekilere karşı korunmak için tek bir teknoloji yoktur. Yalnızca bir dizi önlem güvenliği gerektiği gibi sağlayabilir. Ayrıştırılmış ürünler, ne kadar iyi olursa olsun, kapsayıcı bir savunma oluştururken ortaya çıkan sorunları büyük olasılıkla çözmeyecektir. Evet, yönlerden birini kapatmak mümkündür, ancak zorluk, çok sayıda farklı tehdidin olması gerçeğinde yatmaktadır. Saldırganlar farklı şekillerde çalışır ve olası tüm boşlukları ortadan kaldırmak için çok katmanlı bir sistem oluşturmak gerekir.
İkinci olarak, gizli bilgilerin güvenliği sorumluluğu bir kişiye, hatta bir birime devredilemez. Bu doğrultuda BT hizmeti çalışanları ile BT güvenlik departmanı çalışanları yakın etkileşim içinde olmalıdır. Daha da etkili bir yol, sızıntı koruması alanında geniş deneyime sahip uzmanları işe almaktır. İkincisi, mevcut durumun derinlemesine bir analizini sunar ve müşteriye özel çözümler sunar. Gerekli entegratör desteği ile firma personelinin hizmet verebileceği güvenilir bir sistem kurulmaktadır.
Üçüncüsü, kuruluşta mevcut olan verilerin dikkatle incelenmesi ve gizlilik derecesine göre yapılandırılması gerekir. Daha sonra bu sınıflandırmaya göre bir erişim kısıtlama sistemi oluşturulmalıdır. Kullanıcılar, resmi görevlerini yerine getirmek için ihtiyaç duymadıkları verilere erişememelidir. Ayrıca, sınırlandırma sistemini güncel tutmak için erişim haklarının periyodik olarak gözden geçirilmesi gerekmektedir.
Dördüncüsü, insan faktörü bilgi güvenliği sisteminde kritik unsurlardan biridir. Ne yazık ki zincirin en zayıf halkası insanlar oluyor. Çoğu zaman, içeriden kişiler, gizli bilgileri korumaktan değilse de en azından bilgilerin gizliliğini korumaktan sorumlu olan çalışanlardır. Cehaletten veya dalgınlıktan, kötü niyetli veya kötü niyetli, ancak işverenlerine önemli zararlar verebilirler. İçeriden öğrenenin BT departmanından veya BT güvenlik departmanından bir kişi olduğu durum çok daha tehlikelidir. Elbette yetkisi, diğer çalışanların çoğundan çok daha geniştir ve sessizce veri sızdırma bilgisine ve becerisine sahiptir. Bu nedenlerden dolayı, işin başarılı bir şekilde yürütülmesi için çalışanların eylemleri için profesyonel izleme sistemlerinin kullanılması gerekmektedir. Çalışanı kontrol edebilmek için insan kontrolünden bağımsız olarak mümkün olduğunca otomatik olmalıdırlar. Yazılım çözümleri ve kompleksleri, içeriden gelen artan tehdide karşı en etkili koruma yöntemidir. Tabii ki, çalışanlarla çalışma yöntemlerini de unutmamalıyız. Güvenlik standartlarına uyma ihtiyacı konusunda eğitilmeli ve gizli bilgilerle ilgilenmek için mevcut direktiflere uymalarını talep etmelidirler. Ancak olası dahili hırsızlık durumlarını yalnızca yazılım ve donanım önleyebilmektedir.
Son zamanlarda, iç tehditlerden korunma sorunu, kurumsal bilgi güvenliğinin anlaşılır ve köklü dünyası için gerçek bir meydan okuma haline geldi. Basın, içeriden kişilerden bahsediyor, araştırmacılar ve analistler olası kayıplar ve sıkıntılar konusunda uyarıyor ve haber akışları, çalışan hatası veya dikkatsizliği nedeniyle yüz binlerce müşteri kaydının sızdırılmasına yol açan başka bir olayla ilgili haberlerle dolu. Bu sorunun bu kadar ciddi olup olmadığını, ele alınması gerekip gerekmediğini ve bunu çözmek için mevcut araçların ve teknolojilerin neler olduğunu anlamaya çalışalım.
Her şeyden önce, kaynağı işletmenin bir çalışanı veya bu verilere yasal erişimi olan herhangi bir kişi ise, veri gizliliğine yönelik tehdidin dahili olduğunu belirlemeye değer. Bu nedenle, iç tehditlerden bahsettiğimizde, yasal kullanıcıların kasıtlı veya tesadüfi, gizli bilgilerin işletmenin kurumsal ağının dışına sızmasına neden olabilecek olası eylemlerinden bahsediyoruz. Bütünlük adına, bu terimin başka anlamları olmasına rağmen, bu kullanıcılara genellikle içeriden kişiler olarak atıfta bulunulduğunu eklemeye değer.
İç tehditler sorununun aciliyeti, son çalışmaların sonuçlarıyla doğrulanmaktadır. Özellikle, Ekim 2008'de, Compuware ve Ponemon Institue tarafından ortak bir çalışmanın sonuçları açıklandı, buna göre içeridekiler veri sızıntılarının en yaygın nedeni (ABD'deki olayların %75'i), bilgisayar korsanları ise yalnızca beşinci sıradaydı. . Bilgisayar Güvenliği Enstitüsü'nün (CSI) 2008 yılı için yaptığı yıllık bir ankette, iç tehditlerle ilişkili olay sayısı rakamları aşağıdaki gibidir:
Yüzde olarak olay sayısı, toplam yanıtlayan sayısı anlamına gelir, bu tür bir olay, kuruluşların belirtilen yüzdesinde meydana geldi. Bu rakamlardan da anlaşılacağı gibi, hemen hemen her kuruluş iç tehditlerden zarar görme riski taşımaktadır. Karşılaştırma için, aynı rapora göre, virüsler ankete katılan kuruluşların %50'sine bulaştı ve yalnızca %13'ü bilgisayar korsanlarının yerel ağa sızmasıyla karşı karşıya kaldı.
Bu nedenle, iç tehditler, analistler ve satıcılar tarafından icat edilen bir efsane değil, günümüzün bir gerçeğidir. Yani eski usulde kurumsal bilgi güvenliğinin bir güvenlik duvarı ve antivirüs olduğuna inananlar, bir an önce soruna daha geniş açıdan bakmak gerekiyor.
"Kişisel verilerle ilgili" yasa, kuruluşların ve yetkililerin kişisel verilerin uygunsuz şekilde ele alınması durumunda yalnızca yönetimlerine değil, aynı zamanda müşterilerine ve yasalara da yanıt vermek zorunda kalacağı gerilim derecesini de artırmaktadır.
davetsiz misafir modeli
Geleneksel olarak, tehditler ve bunlara karşı savunmalar ele alınırken, saldırgan modelinin analizi ile başlanmalıdır. Daha önce de belirtildiği gibi, içerdekiler hakkında konuşacağız - bir kuruluşun çalışanları ve gizli bilgilere yasal erişimi olan diğer kullanıcılar. Kural olarak, bu sözlerle herkesin aklına kurumsal ağdaki bir bilgisayarda çalışan, bu süreçte kurumun ofisinden ayrılmayan bir ofis çalışanı gelir. Ancak bu görüş eksiktir. Kuruluşun ofisinden ayrılabilecek bilgilere yasal erişimi olan diğer kişileri de içerecek şekilde genişletmek gerekir. Bunlar, dizüstü bilgisayarları olan iş seyahatinde olanlar veya ofiste ve evde çalışanlar, medyayı bilgi içeren, özellikle de yedek kopyası olan manyetik bantlar vb. taşıyan kuryeler olabilir.
Davetsiz misafir modelinin bu kadar genişletilmiş bir değerlendirmesi, ilk olarak, bu davetsiz misafirlerden kaynaklanan tehditler de içsel olduğu için konsepte uyar ve ikinci olarak, bu tehditlerle mücadele için tüm olası seçenekleri göz önünde bulundurarak sorunu daha geniş bir şekilde analiz etmemizi sağlar.
Aşağıdaki ana iç suçlu türleri ayırt edilebilir:
- Sadakatsiz / kırgın çalışan.Bu kategorideki suçlular, örneğin, yeni bir işverenin ilgisini çekmek için iş değiştirmek ve gizli bilgileri elde etmek istemek veya kendilerini gücendirdiklerini düşündüklerinde duygusal olarak intikam almak istemek gibi kasıtlı olarak hareket edebilirler. Tehlikelidirler çünkü en çok şu anda çalıştıkları organizasyona zarar vermek için motive olurlar. Kural olarak, sadakatsiz çalışanları içeren olayların sayısı azdır, ancak olumsuz ekonomik koşullar ve büyük personel işten çıkarmalar durumunda artabilir.
- Gömülü, rüşvet verilen veya manipüle edilmiş bir çalışan.Bu durumda, yoğun rekabet koşullarında, kural olarak, endüstriyel casusluk amacıyla herhangi bir amaçlı eylemden bahsediyoruz. Rakip bir şirkette gizli bilgi toplamak için ya belirli amaçlarla kendi şahsını tanıtıyorlar ya da çok sadık olmayan bir çalışan bulup ona rüşvet veriyorlar ya da sadık ama uyanık bir çalışan sosyal mühendislik yoluyla gizli bilgileri aktarmaya zorlanıyor. Rusya Federasyonu'ndaki ekonominin çoğu bölümünde rekabetin çok gelişmemiş olması veya başka şekillerde uygulanması nedeniyle bu tür olayların sayısı genellikle öncekilerden daha azdır.
- Dikkatsiz çalışan.Bu tür ihlalci, sadık ancak dikkatsiz veya ihmalkar, bilgisizliği veya unutkanlığı nedeniyle işletmenin iç güvenlik politikasını ihlal edebilecek bir çalışandır. Böyle bir çalışan, yanlışlıkla yanlış kişiye iliştirilmiş gizli bir dosya içeren bir e-posta gönderebilir veya hafta sonu onunla çalışmak için eve gizli bilgiler içeren bir USB flash sürücü götürebilir ve kaybedebilir. Dizüstü bilgisayarlarını ve bantlarını kaybeden çalışanlar aynı türdendir. Birçok uzmana göre, gizli bilgi sızıntılarının çoğundan bu tür içeriden biri sorumludur.
Bu nedenle, potansiyel ihlalcilerin güdüleri ve sonuç olarak eylem biçimleri önemli ölçüde farklılık gösterebilir. Buna bağlı olarak, kuruluşun iç güvenliğini sağlama sorununun çözümüne yaklaşılmalıdır.
İç Tehdit Koruma Teknolojileri
Bu pazar segmentinin nispeten genç olmasına rağmen, müşterilerin görevlerine ve finansal yeteneklerine bağlı olarak seçebilecekleri çok şey var. Şunu belirtmek gerekir ki, bugün piyasada yalnızca iç tehditler konusunda uzmanlaşan neredeyse hiçbir satıcı yoktur. Bu durum, yalnızca bu segmentin olgunlaşmamış olmasından değil, aynı zamanda geleneksel güvenlik ürünleri üreticileri ve bu segmentte yer almakla ilgilenen diğer satıcılar tarafından yürütülen agresif ve bazen kaotik birleşme ve satın alma politikası nedeniyle de ortaya çıkmıştır. 2006 yılında EMC'nin bir bölümü haline gelen RSA Data Security'yi, 2005 yılında sunucu depolama ve yedekleme koruma sistemlerinin geliştirilmesiyle uğraşan başlangıç Decru'nun NetApp tarafından satın alınmasını, DLP satıcısından Symantec tarafından satın alınmasını hatırlamakta fayda var. 2007 yılında Vontu, vb.
Bu tür çok sayıda anlaşmanın bu segmentin gelişimi için iyi beklentilere işaret etmesine rağmen, büyük şirketlerin kanatları altına giren ürünlerin kalitesinden her zaman fayda sağlamazlar. Ürünler daha yavaş gelişmeye başlar ve geliştiriciler, son derece uzmanlaşmış bir şirkete kıyasla pazar taleplerine daha hızlı tepki vermez. Bu, bildiğiniz gibi, küçük kardeşlerine hareketlilik ve verimlilik kaybeden büyük şirketlerin iyi bilinen bir hastalığıdır. Öte yandan, hizmet ve satış ağlarının gelişmesi nedeniyle dünyanın farklı yerlerindeki müşteriler için hizmet kalitesi ve ürünlerin bulunabilirliği artmaktadır.
Şu anda iç tehditleri etkisiz hale getirmek için kullanılan ana teknolojileri, avantajlarını ve dezavantajlarını ele alalım.
Doküman Kontrolü
Belge kontrol teknolojisi, Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES ve Oracle Information Rights Management gibi modern hak yönetimi ürünlerinde yer almaktadır.
Bu sistemlerin çalışma prensibi, her belge için kullanım kuralları atamak ve bu tür belgelerle çalışan uygulamalarda bu hakları kontrol etmektir. Örneğin, bir Microsoft Word belgesi oluşturabilir ve bunun için kurallar, kimlerin görüntüleyebileceği, kimlerin değişiklikleri düzenleyip kaydedebileceği ve kimlerin yazdırabileceği konusunda ayarlayabilirsiniz. Windows RMS açısından bu kurallara lisans denir ve dosyayla birlikte saklanır. Dosyanın içeriği, yetkisiz bir kullanıcı tarafından görüntülenmesini önlemek için şifrelenir.
Şimdi, herhangi bir kullanıcı böyle korumalı bir dosyayı açmaya çalışırsa, uygulama özel bir RMS sunucusuyla bağlantı kurar, kullanıcının kimlik bilgilerini onaylar ve bu kullanıcının erişimine izin verilirse, sunucu uygulamaya bu dosyanın şifresini çözmek için bir anahtar ve ilgili bilgileri gönderir. bu kullanıcının hakları. Bu bilgilere dayanarak, uygulama kullanıcıya yalnızca haklarına sahip olduğu işlevleri sunar. Örneğin, bir kullanıcının bir dosyayı yazdırmasına izin verilmezse, uygulamanın yazdırma işlevi kullanılamaz.
Böyle bir dosyadaki bilgilerin, dosya şirket ağının dışına çıksa bile güvenli olduğu ortaya çıkıyor - şifreli. RMS işlevi, Microsoft Office 2003 Professional Edition uygulamalarında zaten yerleşiktir. Microsoft, RMS işlevselliğini üçüncü taraf uygulamalara yerleştirmek için özel bir SDK sunar.
Adobe'nin belge kontrol sistemi benzer şekilde oluşturulmuştur, ancak PDF formatındaki belgelere odaklanır. Oracle IRM, istemci bilgisayarlara bir aracı olarak kurulur ve çalışma zamanında uygulamalarla bütünleşir.
Belge kontrolü, iç tehditlere karşı genel koruma kavramının önemli bir parçasıdır, ancak bu teknolojinin doğal sınırlamaları dikkate alınmalıdır. İlk olarak, yalnızca belge dosyalarını kontrol etmek için tasarlanmıştır. Düz dosyalar veya veritabanları söz konusu olduğunda bu teknoloji çalışmaz. İkinci olarak, bu sistemin SDK'sını kullanan bir saldırgan, RMS sunucusuyla iletişim kuracak, oradan şifreleme anahtarını alacak ve belgeyi açık metin olarak kaydedecek ve bu uygulamayı minimum kullanıcı adına başlatacak basit bir uygulama oluşturursa. belgeye erişim düzeyi, daha sonra bu sistem atlanacaktır. Ek olarak, bir kuruluşta halihazırda birçok belge oluşturulmuş olması durumunda, bir belge kontrol sisteminin uygulanmasındaki zorluklar dikkate alınmalıdır - başlangıçta belgeleri sınıflandırma ve kullanımlarına ilişkin hakların atanması görevi büyük çaba gerektirebilir.
Bu, belge kontrol sistemlerinin verilen görevi yerine getirmediği anlamına gelmez, sadece bilgi korumasının karmaşık bir sorun olduğunu ve kural olarak, bunu yalnızca herhangi bir yolla çözmenin mümkün olmadığını hatırlamanız gerekir.
Sızıntı koruması
Veri kaybını önleme (DLP) terimi, bilgi güvenliği uzmanlarının sözlüğünde nispeten yakın zamanda ortaya çıktı ve zaten abartısız son yılların en sıcak konusu haline geldi. DLP kısaltması, kural olarak, olası sızıntı kanallarını kontrol eden ve bu kanallardan herhangi bir gizli bilgi gönderilmeye çalışıldığında bunları engelleyen sistemleri ifade eder. Ek olarak, bu tür sistemlerin işlevleri genellikle, sonraki denetim, olay incelemesi ve potansiyel risklerin geriye dönük analizi için içlerinden geçen bilgileri arşivleme yeteneğini içerir.
İki tür DLP sistemi vardır: ağ DLP'si ve ana bilgisayar DLP'si.
Ağ DLP'si içinden geçen tüm verileri filtreleyen bir ağ geçidi ilkesi üzerinde çalışın. Açıktır ki, iç tehditlerle mücadele görevine dayalı olarak, bu tür filtrelemenin ana amacı, şirket ağı dışından İnternet'e iletilen verileri kontrol etme yeteneğidir. Ağ DLP'leri, giden postayı, http ve ftp trafiğini, anlık ileti servislerini vb. kontrol etmenize olanak tanır. Gizli bilgiler algılandığında, ağ DLP'leri aktarılan dosyayı engelleyebilir. Şüpheli dosyaların manuel olarak işlenmesi için olanaklar da vardır. Şüpheli dosyalar, bir güvenlik görevlisi tarafından periyodik olarak gözden geçirilen ve dosya aktarımına izin veren veya reddeden karantinaya alınır. Doğru, protokolün özellikleri nedeniyle bu tür işlemler yalnızca e-posta için mümkündür. Bu arşivin periyodik olarak gözden geçirilmesi ve meydana gelen sızıntıları belirlemek için içeriğinin analiz edilmesi koşuluyla, ağ geçidinden geçen tüm bilgiler arşivlenerek ek denetim ve olay inceleme yetenekleri sağlanır.
DLP sistemlerinin uygulanmasında ve uygulanmasında temel sorunlardan biri, gizli bilgilerin tespit edilme şekli, yani iletilen bilgilerin gizli olup olmadığına karar verme anı ve böyle bir karar verilirken dikkate alınan gerekçelerdir. Kural olarak, bu, içerik analizi olarak da adlandırılan iletilen belgelerin içeriğinin analiz edilmesiyle yapılır. Gizli bilgilerin tespitine yönelik ana yaklaşımları ele alalım.
- Etiketler. Bu yöntem, yukarıda tartışılan belge kontrol sistemlerine benzer. Etiketler, bilgilerin gizlilik derecesini, bu belgeyle neler yapılabileceğini ve kime gönderileceğini açıklayan belgelere yerleştirilmiştir. Etiketlerin analizinin sonuçlarına dayanarak, DLP sistemi bu belgenin gönderilip gönderilmeyeceğine karar verir. Bazı DLP sistemleri, başlangıçta bu sistemlerin belirlediği etiketleri kullanmak için hak yönetimi sistemleriyle uyumlu hale getirilir, diğer sistemler kendi etiket formatını kullanır.
- İmzalar. Bu yöntem, iletilen dosyanın metninde bulunmasının DLP sistemine bu dosyanın gizli bilgiler içerdiğini söylemesi gereken bir veya daha fazla karakter dizisinin belirtilmesinden oluşur. Çok sayıda imza, sözlükler halinde düzenlenebilir.
- Bayes yöntemi. Bu istenmeyen posta önleme yöntemi, DLP sistemlerinde de başarıyla uygulanabilir. Bu yöntemi uygulamak için, bir kategori listesi oluşturulur ve dosyada bir kelime varsa, belirli bir olasılıkla dosyanın belirtilen kategoriye ait veya ait olmadığı olasılıkları ile bir kelime listesi belirtilir.
- Morfolojik analiz.Morfolojik analiz yöntemi, imzaya benzer, fark, imza ile %100 eşleşmenin değil, aynı kök kelimelerin de dikkate alınmasıdır.
- Dijital baskılar.Bu yöntemin özü, tüm gizli belgeler için bir hash fonksiyonunun, belge biraz değiştirilirse, hash fonksiyonunun aynı kalacağı veya biraz değişeceği şekilde hesaplanmasıdır. Böylece, gizli belgeleri tespit etme süreci büyük ölçüde basitleştirilmiştir. Bu teknolojinin birçok satıcı ve bazı analist tarafından coşkulu övgülerine rağmen, güvenilirliği arzulanan çok şey bırakıyor ve satıcıların çeşitli bahaneler altında dijital parmak izi algoritmasının ayrıntılarını gölgede bırakmayı tercih ettiği gerçeği göz önüne alındığında, inandırıcılığı artmaz.
- Düzenli ifadeler.Programlamayla uğraşan herkesin bildiği düzenli ifadeler, metinde telefon numaraları, pasaport ayrıntıları, banka hesap numaraları, sosyal güvenlik numaraları gibi ortak verileri bulmayı kolaylaştırır.
Yukarıdaki listeden, hem birinci hem de ikinci türdeki hataların seviyesi oldukça yüksek olduğundan, tespit yöntemlerinin ya %100 gizli bilgi tespitini garanti etmediğini veya güvenlik tarafından sürekli tetikte olunmasını gerektirdiğini görmek kolaydır. imza listesini veya atamayı güncel bir biçimde güncelleme ve muhafaza etme hizmeti. gizli belgelerin etiketleri.
Ek olarak, trafik şifreleme, ağ DLP'sinin çalışmasında belirli bir sorun yaratabilir. Güvenlik gereksinimleri, e-posta mesajlarının şifrelenmesini veya herhangi bir web kaynağına bağlanırken SSL kullanılmasını gerektiriyorsa, aktarılan dosyalarda gizli bilgilerin varlığının belirlenmesi sorununun çözülmesi çok zor olabilir. Skype gibi bazı anlık mesajlaşma servislerinin varsayılan olarak yerleşik şifrelemeye sahip olduğunu unutmayın. Bu tür hizmetleri kullanmaktan vazgeçmeniz veya bunları kontrol etmek için ana bilgisayar DLP'sini kullanmanız gerekecektir.
Bununla birlikte, tüm karmaşıklıklara rağmen, uygun şekilde yapılandırıldığında ve ciddiye alındığında, ağ DLP'si gizli bilgi sızıntısı riskini önemli ölçüde azaltabilir ve bir kuruluşa uygun bir iç kontrol aracı sağlayabilir.
DLP'yi barındır ağdaki her ana bilgisayara (istemci iş istasyonlarında ve gerekirse sunucularda) kurulur ve ayrıca İnternet trafiğini kontrol etmek için kullanılabilir. Ancak, bu kapasitede, ana bilgisayar DLP'leri daha az yaygın hale geldi ve şu anda esas olarak harici aygıtları ve yazıcıları kontrol etmek için kullanılıyor. Bildiğiniz gibi, bir flash sürücüden veya bir MP3 çalardan işe getiren bir çalışan, bir işletmenin bilgi güvenliği için tüm bilgisayar korsanlarının toplamından çok daha büyük bir tehdit oluşturur. Bu sistemlere ayrıca uç nokta güvenliği de denir, ancak bu terim genellikle daha geniş olarak kullanılır, örneğin antivirüs araçlarına bazen atıfta bulunulur.
Bildiğiniz gibi, harici cihaz kullanma sorunu, portların fiziksel olarak veya işletim sistemi aracılığıyla devre dışı bırakılmasıyla ya da idari olarak çalışanların ofise herhangi bir depolama ortamı getirmesini yasaklayarak herhangi bir yöntem kullanmadan çözülebilir. Bununla birlikte, çoğu durumda, iş süreçleri tarafından dayatılan bilgi hizmetlerinin gerekli esnekliği sağlanmadığından "ucuz ve neşeli" yaklaşım kabul edilemez.
Bu nedenle, şirket çalışanları tarafından harici cihaz ve yazıcı kullanma sorununu daha esnek bir şekilde çözmek için kullanılabilecek özel araçlar için belirli bir talep ortaya çıkmıştır. Bu tür araçlar, kullanıcılar için çeşitli cihaz türlerine erişim haklarını yapılandırmanıza izin verir, örneğin, bir grup kullanıcı için medya ile çalışmayı yasaklamak ve yazıcıları kullanmasına izin vermek ve diğeri için - medya ile salt okunur modda çalışmaya izin vermek. Bireysel kullanıcılar için harici cihazlardaki bilgilerin kaydedilmesi gerekiyorsa, harici bir cihazda depolanan tüm bilgilerin sunucuya kopyalanmasını sağlayan gölge kopyalama teknolojisi kullanılabilir. Kopyalanan bilgiler daha sonra kullanıcıların eylemlerini analiz etmek için analiz edilebilir. Bu teknoloji her şeyi kopyalar ve şu anda ağ DLP'nin yaptığı gibi işlemi engellemek ve sızıntıyı önlemek için kaydedilen dosyaların içerik analizine izin veren hiçbir sistem yoktur. Bununla birlikte, bir gölge kopya arşivi, olay incelemesi ve ağdaki olayların geriye dönük analizini sağlayacaktır ve böyle bir arşivin varlığı, potansiyel bir içeriden birinin eylemleri için yakalanma ve cezalandırılma fırsatı anlamına gelir. Bu, onun için önemli bir engel ve düşmanca eylemlerden vazgeçmek için ağır bir neden olabilir.
Yazıcıların kullanımı üzerindeki kontrolden de bahsetmeye değer - belgelerin basılı kopyaları da bir sızıntı kaynağı olabilir. Ana DLP, yazıcılara kullanıcı erişimini diğer harici cihazlarla aynı şekilde kontrol etmenize ve daha sonra analiz için yazdırılan belgelerin kopyalarını grafik biçiminde kaydetmenize olanak tanır. Ek olarak, filigran teknolojisi, bir belgenin her sayfasına benzersiz bir kodla baskı uygulayan ve bu belgenin tam olarak kimin, ne zaman ve nerede basıldığını belirlemenin mümkün olduğu belirli bir dağıtım kazanmıştır.
Host DLP'nin şüphesiz avantajlarına rağmen, izlenmesi gereken her bilgisayara ajan yazılımı yükleme ihtiyacıyla bağlantılı bir takım dezavantajları vardır. İlk olarak, bu tür sistemlerin dağıtımı ve yönetimi açısından bazı zorluklara neden olabilir. İkinci olarak, yönetici haklarına sahip bir kullanıcı, güvenlik politikası tarafından izin verilmeyen herhangi bir eylemi gerçekleştirmek için bu yazılımı devre dışı bırakmayı deneyebilir.
Bununla birlikte, harici cihazların güvenilir kontrolü için ana bilgisayar DLP'si olmadan yapamazsınız ve belirtilen sorunlar çözülmez değildir. Bu nedenle, DLP konseptinin şu anda kurumsal güvenlik servislerinin cephaneliğinde, iç kontrolü sağlamak ve sızıntılara karşı koruma sağlamak için sürekli artan baskı karşısında tam teşekküllü bir araç olduğu sonucuna varabiliriz.
IPC konsepti
İç tehditlerle mücadele için yeni araçlar icat etme sürecinde, modern toplumun bilimsel ve mühendislik düşüncesi durmaz ve yukarıda belirtilen araçların belirli eksiklikleri göz önüne alındığında, bilgi sızıntısı koruma sistemleri pazarı kavramına geldi. IPC (Bilgi Koruma ve Kontrol). Bu terim nispeten yakın zamanda ortaya çıktı, ilk olarak 2007 yılında analitik şirket IDC tarafından bir ankette kullanıldığına inanılıyor.
Bu konseptin özü, DLP ve şifreleme yöntemlerini birleştirmektir. Bu konseptte, kurumsal ağdan teknik kanallar aracılığıyla ayrılan bilgilerin kontrol edilmesi için DLP, fiziksel olarak yetkisiz kişilerin eline düşen veya geçebilecek veri taşıyıcılarını korumak için şifreleme kullanılmaktadır.
IPC konseptinde uygulanabilecek en yaygın şifreleme teknolojilerine bir göz atalım.
- Manyetik bantların şifrelenmesi.Bu tür ortamların arkaik doğasına rağmen, depolanan megabaytın birim maliyeti açısından hala eşit olmadığı için yedekleme ve büyük miktarda bilgi aktarımı için aktif olarak kullanılmaya devam ediyor. Buna göre, kayıp kasetlerle ilgili sızıntılar, birinci sayfa haber editörlerini sevindirmeye ve bu tür mesajların ana konusu olan CIO'ları ve kurumsal güvenliği üzmeye devam ediyor. Durum, bu tür bantların çok büyük miktarda veri içermesi ve bu nedenle çok sayıda insanın dolandırıcıların kurbanı olabilmesi gerçeğiyle daha da kötüleşiyor.
- Sunucu depolama şifrelemesi.Sunucu depolamasının çok nadiren taşınmasına ve onu kaybetme riskinin manyetik banttan ölçülemeyecek kadar düşük olmasına rağmen, depolamadan ayrı bir sabit disk davetsiz misafirlerin eline geçebilir. Onarım, elden çıkarma, yükseltme - bu olaylar, bu riski ortadan kaldırmak için yeterli düzenlilikle gerçekleşir. Ve ofise yetkisiz kişilerin girmesi durumu kesinlikle imkansız bir olay değildir.
Burada küçük bir konuya değinmeye ve bir disk bir RAID dizisinin parçasıysa, sözde yanlış ellere geçmesi konusunda endişelenmenize gerek olmadığı şeklindeki yaygın yanlış kanıdan bahsetmeye değer. RAID denetleyicileri tarafından gerçekleştirilen birden çok sabit sürücüde yazılı verilerin şeritlenmesi, herhangi bir sabit sürücüde bulunan verilerin okunamaz bir görünümünü sağlıyor gibi görünüyor. Ne yazık ki, bu tamamen doğru değil. Araya ekleme gerçekleşir, ancak çoğu modern aygıtta 512 bayt blok düzeyinde yapılır. Bu, dosyaların yapısı ve biçimlerinin ihlaline rağmen, gizli bilgilerin böyle bir sabit diskten hala alınabileceği anlamına gelir. Bu nedenle, bir RAID dizisinde depolandığında bilgilerin gizliliğini sağlama gereksinimi varsa, şifreleme tek güvenilir seçenek olarak kalır.
- Not defterlerini şifreleme.Bu defalarca söylendi, ancak yine de, gizli bilgilere sahip dizüstü bilgisayarların kaybı, yıllardır en çok izlenen olayların ilk beşinde yer alıyor.
- Çıkarılabilir medya şifrelemesi.Bu durumda taşınabilir USB cihazlarından ve bazen işletmenin iş süreçlerinde kullanılıyorsa kaydedilebilir CD ve DVD'lerden bahsediyoruz. Bu tür sistemler ve ayrıca yukarıda bahsedilen dizüstü bilgisayarlardaki sabit sürücüleri şifrelemeye yönelik sistemler, genellikle ana bilgisayar DLP sistemlerinin bileşenleri olarak işlev görebilir. Bu durumda, içindeki medyanın otomatik şeffaf şifrelemesini sağlayan bir tür kriptoperimetreden ve bunun dışındaki verilerin şifresinin çözülememesinden bahsediyorlar.
Böylece şifreleme, DLP sistemlerinin yeteneklerini önemli ölçüde genişletebilir ve gizli veri sızıntısı riskini azaltabilir. IPC kavramının nispeten yakın zamanda şekillenmesine ve piyasadaki entegre IPC çözümlerinin seçiminin çok geniş olmamasına rağmen, endüstri bu alanı aktif olarak araştırmaktadır ve bir süre sonra bu kavramın en son moda haline gelmesi oldukça olasıdır. iç güvenlik ve iç kontrolü çözmek için facto standardı.
sonuçlar
Bu incelemeden de görülebileceği gibi, iç tehditler, bilgi güvenliğinde oldukça yeni bir alandır, ancak yine de aktif olarak gelişmektedir ve daha fazla dikkat gerektirir. Dikkate alınan belge kontrol teknolojileri, DLP ve IPC, oldukça güvenilir bir iç kontrol sistemi oluşturmaya ve sızıntı riskini kabul edilebilir bir düzeye indirmeye olanak tanır. Şüphesiz, bu bilgi güvenliği alanı gelişmeye devam edecek, daha yeni ve daha ileri teknolojiler sunulacak, ancak bugün birçok kuruluş bilgi güvenliği konularındaki dikkatsizlik çok fazla olabileceğinden, bir çözüm veya başka bir çözüm lehine bir seçim yapıyor. masraflı.
Alexey Raevsky
SecurIT'in CEO'su