Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Алексей Доля: Три «К» внутренней ИБ: кто, когда и как

О рынке внутренней безопасности и существующих подходах к защите от утечки конфиденциальной информации в интервью CNews рассказывает Алексей Доля, руководитель аналитического центра InfoWatch.

CNews: Какие сегодня используются подходы к обеспечению защиты от утечки?

Алексей Доля: Существует три типа классификации современных решений для выявления и предотвращения утечки информации. Во-первых, инфраструктурный (network и host-based). Во-вторых, функциональный (точечные и комплексные решения). И, в-третьих, архитектурный (канальная и периметральная защита).

Первый тип классификации широко распространен в США с подачи местных аналитических компаний (Gartner, Forrester, IDC). Он подразумевает группировку продуктов в соответствии с типами контролируемых узлов и сетевых уровней. Host-based решения (аналог InfoWatch Net Monitor) отличаются контролем рабочих станций (локальные агенты), в то время как Network-based — контролем на уровне серверов и шлюзов (аналог InfoWatch Traffic Monitor). Наиболее эффективным является сочетание этих двух технологий (InfoWatch Enterprise Solution), которое позволяет обеспечить более высокую эффективность, комплексность и масштабируемость.

Функциональная классификация группирует продукты по типам защищаемых каналов утечки. Точеные решения (например, Smartline DeviceLock, Clearswift MIMESweeper) позволяют контролировать только один или несколько каналов. Комплексные решения позволяют контролировать достаточный список каналов, чтобы обеспечить безопасную и продуктивную работу заказчика (как минимум: копирование, печать, пересылка по e-mail и веб-трафику). Точечные решения имеют мало шансов на крупном корпоративном рынке. Во-первых, заказчики предпочитают технологическому зоопарку решения «все-в-одном». Это обеспечивает высокие показатели надежности, управляемости, отказоустойчивости, масштабируемости. Во-вторых, некоторые из них будут интегрироваться в более масштабные продукты (операционная система, база данных, документооборот, ERP/CRM) и постепенно необходимость в них отпадет.

Третий тип классификации подразумевает разделение продуктов по архитектурному подходу к контролю над конфиденциальными данными. «Канальная» защита отталкивается от примата канала передачи данных как объекта комплексной защиты от всех типов угроз. Для «периметральной» защиты первичен объект контроля (конфиденциальные данные), в то время как канал передачи данных — лишь одна из реализации угрозы. Исходя из этого постулата, защита строится по всему периметру корпоративной сети с централизованным управлением, архивацией и делегированием полномочий выделенному ИБ-сотруднику. Предпочтение крупного заказчика очевидно в пользу второго подхода.

CNews: С помощью, каких технологий можно определить, какая информация является конфиденциальной, а какая нет?

Алексей Доля: Существуют три базовых технологии: цифровые отпечатки пальцев (Digital Fingerprints), морфологический анализ и сигнатурный анализ. Прежде всего, один из самых распространенных подходов — Digital Fingerprints. В этом случае с каждого защищаемого документа снимается один или несколько «отпечатков» (хэш-функции). Они используются для обнаружения защищенных документов в каналах передачи данных и предотвращения неавторизованных действий с ними (пересылка, печать, копирование и пр.). Данный метод имеет большой недостаток: Digital Fingerprints неустойчивы к изменению категоризированных данных. При изменении хотя бы одного символа результат применения хеш-функции будет отличаться от эталонного.

Далее следует морфологический анализ — метод контентного анализа, при котором система распознает смысл текста при помощи различных лингвистических технологий. Достаточно эффективная технология распознавания конфиденциальной информации, особенно для синтетических языков (славянские языки или немецкий). Также позволяет бороться с лингвистическими трюками (например, замена символов на похожие) и элементами стеганографии.

Наконец, сигнатурный анализ — самый простой метод распознавания конфиденциальной информации, основанный на сравнении с ключевыми фразами. Вместе с тем, и самый ненадежный: простейшее изменение данных приводит к невозможности «засечь» утечку.

В целом, ключевая функция решения состоит в обнаружении и предотвращении утечки данных. Для достижения этой цели системе необходимо знать, что защищать, и уметь это защищать. Для решения первой задачи корпоративные данные и действия сотрудников должны подвергнуться категоризации. Этот процесс позволяет выделить конфиденциальные данные (их характерные признаки — ключевые слова, Digital Fingerprints, метки) и определить спектр операций с ними для каждого пользователя или группы пользователей («три К» — кто, когда, как).

Вторая задача состоит в распознавании категоризированных данных (фильтрация), предотвращении несанкционированных действий и одновременном журналировании всех операций для соответствия требованиям нормативных актов и расследований инцидентов постфактум. Сегодня существует три подхода к фильтрации данных: вероятностный, детерминистский и комбинированный.

Вероятностный подход заключается в вероятностном анализе потоков данных и выявлении конфиденциальной информации по ее косвенным признакам (ключевые слова, фразы, хэш-функции). В настоящий момент используется три основные технологии идентификации: Digital Fingerprints, сигнатурный и морфологический анализ. Их главный недостаток состоит в том, что система пытается угадать, является ли информация категоризированной или нет. Это негативно сказывается на эффективности защиты и провоцирует появление ложных срабатываний.

Детерминистский подход позволяет идентифицировать защищаемые объекты с помощью специальных меток, полученных ими при категоризации. В общем случае метки содержат информацию об уровне конфиденциальности объекта, правах доступа и надежно защищены от изменения и подделок. Таким образом, система не угадывает присутствие конфиденциальных данных, а знает их точно. Кроме того, метки имеют свойство «заражать» новые документы, если при их создании были использованы категоризированные данные.

Комбинированный подход сохраняет за собой все преимущества детерминистского, но, благодаря вероятностному анализу, также эффективен в выявлении конфиденциальной информации в абсолютно новых документах.

CNews: В чем состоит особенность подхода InfoWatch?

Алексей Доля: Решения InfoWatch покрывают весь периметр и абсолютно все каналы утечки. Кроме того, для выявления конфиденциальной информации в продуктах InfoWatch используется морфологический анализ, а также элементы сигнатур. Это позволяет добиться высокой эффективности и минимизировать число ложных срабатываний. Вдобавок продукты InfoWatch могут легко масштабироваться и обрабатывать даже самые интенсивные потоки трафика. Это подтверждается практикой использования решений в самых крупных российских организациях: «ВымпелКом», ФТС России, «Транснефть» и др.

Однако ключевой точкой отличия решений InfoWatch является то, что продукт не только выявляет и предотвращает утечку важных сведений, но еще и складывает абсолютно все данные, покидающие корпоративную сеть, в специальное централизованное хранилище. Вне зависимости от того, каким путем и по какому каналу служащий скопировал или выслал файлы за пределы сети, они будут перехвачены, классифицированы и отправлены в хранилище. Это касается, как всего сетевого трафика, так и всех файлов, которые были отправлены на принтер, а также скопированы на мобильные устройства или портативные носители. Таким образом, аналитик или офицер ИТ-безопасности всегда могут проводить мощный ретроспективный анализ, расследовать инциденты и выявлять виновных.

CNews: Какое из последних внедрений InfoWatch вы бы отметили?

Алексей Доля: Думаю, «Банк Москвы». Это один из крупнейших российских банков с филиалами по всей стране и в Германии, а также дочками во многих странах СНГ и Балтии. «Банк Москвы» остановил выбор на продуктах InfoWatch, чтобы построить эффективную систему внутренней безопасности и обеспечить соответствие нормативным актам (ФЗ «О персональных данных», Стандарт Банка России, соглашение Basel II).

CNews: Спасибо.