Но вернемся к той части затронутой проблемы, которая лежит в области ИT-компетенции.
Конечно, можно было бы сказать, зачем, мол, рассуждать на эту тему, если такие решения все равно не дают гарантии. Однако рассуждать можно и нужно: программные и аппаратные средства утечки позволяют облегчить работу администраторов безопасности, занимающихся расследованием инцидентов, сводя к минимуму случайные утечки и сужая круг подозреваемых в случае, если утечка все-таки произошла.
Как ни банально, но электронная почта по-прежнему остается одним из наиболее популярных каналов утечки информации. Кроме того, в последние годы получили широкое распространение средства мгновенной передачи сообщений, которые сегодня также служат для передачи различного рода информации, в том числе и конфиденциальной.
Нынешний рынок инструментов, позволяющих контролировать различные каналы утечки, в целом довольно широк, но большинство производителей выпускают такие решения лишь для какой-то части возможных каналов утечки, что не позволяет эффективно управлять всеми этими средствами в комплексе. В отсутствие единой системы генерации отчетов, аккумулирующей данные со всех средств контроля, могут быть пропущены критичные инциденты или потрачено слишком много времени на их разбор.
Компаниям, занимающимся построением системы контроля над действиями инсайдеров, можно рекомендовать следующее:
- довести до всех сотрудников правила обращения пользователей с корпоративной информацией;
- выявить все потенциальные каналы утечки данных и определить спектр средств, которые позволяют их контролировать;
- предусмотреть возможность блокировки передачи наиболее важной информации в реальном времени (например, при попытке отправить, в том числе и случайно, сообщение по электронной почте, содержащее конфиденциальную информацию, система должна быть в состоянии по ключевым словам или цифрам определить вероятность ее конфиденциальности и отправить пользователю запрос на подтверждение отправки с одновременным уведомлением администратора безопасности);
- выявить сотрудников, составляющих группу риска по утечке, как намеренной, так и случайной;
- анализировать полученные от средств контроля данные, предпочтительно в реальном времени.
Следование этим рекомендациям поможет повысить эффективность работы по контролю над утечкой информации по вине инсайдеров.
С автором, аналитиком департамента информационной безопасности компании "Энвижн Груп" Екатериной Дербенцевой, можно связаться по электронной почте: derbentseva@nvisiongroup.ru.
Внутренние угрозы
| Актуальность проблемы внутренних угроз подтверждает статистика: по различным оценкам, от 70 до 80 % потерь от преступлений в сфере ИТ приходится на атаки изнутри. При этом топ-менеджеры ИТ-компаний, уделяющие серьезное внимание обеспечению сетевой безопасности своих систем, очень часто недооценивают тот ущерб, который может быть нанесен бизнесу их собственными сотрудниками. Какими бывают внутренние угрозы? Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба: · неавторизованный доступ в систему (ПК, сервер, БД); · неавторизованный поиск/просмотр конфиденциальных данных; · неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе; · сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого; · попытки обойти или взломать систему безопасности или аудита без авторизации системного администратора (кроме случаев тестирования системы безопасности или подобного исследования); · другие нарушения правил и процедур внутренней безопасности сети. Почему необходима защита? Наиболее критичной с точки зрения финансовых потерь угрозой является ущерб, причиняемый собственными сотрудниками, и, в частности, утечка конфиденциальной информации из сетей компаний и организаций. Существует несколько путей утечки конфиденциальной информации. Это почтовый сервер (электронная почта), веб-сервер (открытые почтовые системы), принтер (печать документов), FDD, CD, USB drive (копирование на носители). При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы дополнительные системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным. InfoWatch - решение проблемы внутренних угроз "Лаборатория Касперского", являясь экспертом в области информационной безопасности, приняла решение о разработке семейства продуктов, обеспечивающих защиту конфиденциальной информации от краж, уничтожения и других неправомерных действий. Для этого в 2003 году была учреждена компания Information Watch Technologies (InfoWatch). Компания InfoWatch является дочерней компанией "Лаборатории Касперского" и занимается разработкой, внедрением и сопровождением систем защиты корпоративной конфиденциальной информации от хищения, уничтожения и других неправомерных действий. В арсенале InfoWatch уникальные технологии для нейтрализации внутренних угроз. Они позволяют контролировать любые операции с данными внутри корпоративной сети и предотвращать те из них, которые не соответствуют политике безопасности предприятия. В частности, InfoWatch обеспечивает проверку почтового и интернет-трафика, а также мониторинг на уровне файловых операций (копирование, удаление, переименование, изменение, печать документов). О системах защиты конфиденциальной информации, разработанных InfoWatch, вы можете прочитать в разделе "Решения" на сайте компании. |