Вениамин Левцов
advertisement
Обзор методов контроля за перемещением конфиденциальных данных Вениамин Левцов, Директор по развитию направления Информационная безопасность Как защититься от инсайдеров О компании Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации ILDP системы: 17 проектов По различным аспектам борьбы с утечками: 40 проектов Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации Сертификаты и лицензии на деятельность в области защиты информации: ФСТЭК России ФСБ России Как защититься от инсайдеров О компании Партнерские отношения: Ежегодные исследования рынка ILDP в России на сайте www.leta.ru Как защититься от инсайдеров Основные темы Основные методы контроля Локальный агент или анализ трафика? Смежные подходы Проблемы и решения Как защититься от инсайдеров База контентного анализа Дерево категорий Задается порог толерантности Категория 1 Определяются «ключевые» термины Категория 2 Категория 3 Определяются обычные термины – для каждого задается вес в категории Как защититься от инсайдеров Цифровой отпечаток ? Защищаемый документ Множество «отпечатков» фрагментов защищаемого документа A1 B1 A2 B2 AN BM Проверяемый документ Множество «отпечатков» проверяемого документа Как защититься от инсайдеров Контроль за базами данных: запросы Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетов SQL запросы подвергаются анализу в он-лайне Автоматические уведомления о совершении подозрительных действий Репозитории для подготовки статистических отчетов Разделение лога запросов и собственно объектного хранилища Разделение ролей: ▫ Объектным хранилищем управляет администратор БД ▫ Базой с результатами мониторинга управляет специальный аудитор Массив предустановленных правил на основе best practice Формирование надежной доказательной базы Как защититься от инсайдеров Контроль за базами данных: содержание Суть подхода: снятие "цифрового отпечатка" с содержания Определяется набор защищаемых полей Снимается "отпечаток" с данных в выбранных столбцах Задается порог чувствительности: количество записей базы данных Содержание передаваемых данных проверяется на корреляцию с "отпечатком" Передача данных может быть заблокирована По опыту: работает достаточно надежно Как защититься от инсайдеров Агент или серверное решение Контроль за действиями пользователя или приложения Контроль отправлений через анализ трафика Агент требует ▫ Развертывания и управления конфигурациями ▫ Ресурсов конечной станции ▫ Ограничения прав пользователя Агент позволяет контролировать ▫ Локальные порты с учетом контента ▫ Работу локальных приложений ▫ Пользователя в пути Шлюзовое решение: контроль отправки с нетипичных устройств Как защититься от инсайдеров Близкие подходы: Системы документооброта Различные ограничения: ▫ Правила для типов документов ▫ Категоризация ▫ Скрытые метки ▫ Определение каталога для хранения и т.д. Ограничение множества пользователей и операций Пример: запрет на сохранение документа вне заданного каталога Фокус на регламенте штатной работы с документами Нет контроля за содержанием передаваемой информации Вопрос: как быть с локальной печатью? Как защититься от инсайдеров Близкие подходы: системы разделения прав IRM (Information Rights Management) Общая схема работы: ▫ Владелец информации формирует множество пользователей и разрешенных операций ▫ Локальные агенты для основных приложений ▫ Крипто-сервер выдает разрешения на работу с документом ▫ Возможны ограничения печати, копирования-вставки, исправлений и т.д. Пример: полный запрет на открытие документа не авторизованным пользователем Фокус на защите контейнера, а не содержания Вопрос: как быть с черновиками? Как защититься от инсайдеров Примитивное шифрование – как с ним бороться? Ручная автозамена символа на специальный Замена обратимая, символ не встречается в исходном тексте Решение 1: ▫ Правила нормализации слов для часто встречающихся подмен ▫ Плюс: при хорошей разметке размер не важен ▫ Минус: ограничение числа пар подмен Решение 2: ▫ Предустановленное правило ▫ Плюс: не обнаружено ограничений на пары символов ▫ Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов ) Как защититься от инсайдеров Временная защита - пока не снят отпечаток Снятие "отпечатков" обычно запускается по графику Конфиденциальный документ доступен, но "отпечаток" еще не готов Решение: ▫ Тэг - ключевое слово (например, название проекта) ▫ Регулярное выражение, активное до определенного момента Оба подхода отлично дополняют "отпечатки" Как защититься от инсайдеров Общие проблемы Системы контентного анализа требуют длительного внедрения и тонкой настройки для минимазации ложных срабатываний Подготовка "цифровых" отпечатков требует в среднем 5-10, но иногда до 20% объема защищаемых данных Пока не реализован контроль данных в графических форматах Локальные агенты оказывают реальное влияние на загрузку рабочих станций Запросы локальных агентов на сервер контентного анализа повышают нагрузку на сеть Контроль за базами данных с блокировкой в режиме реального времени трудно реализуем Как защититься от инсайдеров Как подобрать решение Звучит банально, но … типового решения нет! Необходимо определить ключевые потребности бизнеса и выработать общий подход к решению ▫ Провести анализ массива конфиденциальной информации ▫ Выделить области наибольшей чувствительности для бизнеса ▫ Определить параметры пилотного внедрения ▫ Развернуть пилот и оценить его результаты ▫ Составить план развития решения и т.д. Нужен совет эксперта! Спасибо за внимание! Вопросы? Вениамин Левцов Директор по развитию направления Информационная безопасность VLevtzov@leta.ru LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410 www.leta.ru
