Проблематика защиты от инсайдеров
В последнее время все издания, публикующие материалы по информационной безопасности просто наводнены сообщениями и аналитическими статьями о том, что самой страшной угрозой сегодня становятся ИНСАЙДЕРЫ. Эта тема обсуждается на конференциях по ИБ. Производители средств защиты начинают наперебой уверять, что их средство защиты практически разрабатывалось для борьбы именно с этой угрозой.
Отчасти, общая озабоченность этой проблемой вполне объяснима: по данным мировой статистики (например, отчеты ФБР «Computer Crime and Security Survey») максимальный ущерб компании несут именно от этой угрозы.
Однако, при внимательном анализе всех публикаций, выступлений и заявлений, замечаешь некоторые несуразности:
- Термин инсайдера везде дается без определения, как нечто само собой разумеющееся
- Понятие инсайдера и злоумышленника, находящегося внутри сети практически слились
- Рассказывают про угрозы инсайдеров, приводят примеры потерянных ноутбуков с информацией
- Говоря о инсайдерах сбиваются на тему обычных атак типа побора пароля, попытки воспользоваться чужим логином, взлом компьютера коллеги и т.п.
Обычно, наличие подобных несуразностей говорит либо о искреннем заблуждении/недопонимании авторами предмета и попытки скрыть это за красивым термином, или же сознательной манипуляции читателем.
Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.
Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.
Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?
Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно — понятия термина «Инсайдер».
Термин «инсайдер»
Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.
Первая же найденная ссылка порадовала своей полнотой. Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер — это член группы, обладающий информацией, имеющейся только у этой группы».
Следующее определение, которое дал Интернет звучало так: «ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»
Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».
Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на
- инсайдера, имеющего доступ к информации
- сотрудника, пытающегося такой доступ получить.
Будем считать, что термин «инсайдер» мы все теперь понимаем правильно.
Немаловажно, что в обоих найденных нами определениях звучало понятие информации.
Понятие «информации»
Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.
Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что Информация — это пояснение, научение, какое то сведение.
Предлагаю не смешивать понятие «информации» с понятием Данные — это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.
Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:
Факт | Данные | Информация |
---|---|---|
Компания готовится выпустить новый продукт | Техническая документация, рекламные материалы, дистрибутив, исходный код продукта | Продукт еще не готов/не оттестирован, сроки выхода будут сорваны/выдержаны |
Компания стремиться поднять стоимость своих акций | План мероприятий, направленных на повышение… , прогнозы по стоимости акций и т.п. | Компанию просто готовят к продаже |
Компания набирает новых сотрудников | Объявления на серверах для соискателей | Компания готовится выпустить новую услугу/вскоре открывает новый филиал |
Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.
Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо
Почему боятся инсайдеров
Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.
Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры
- выносят списки клиентов
- выносят документы
- выносят базы данных
- выносят информацию.
Все это, по их утверждениям, наносит компаниям значительный ущерб и неизбежно влекут потерю клиентов.
Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?
Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.
Вот только давайте попробуем разобраться. У нас есть 4 варианта:
Данные | Информация | |
---|---|---|
сотрудник | сотрудник пытается вынести данные | сотрудник пытается вынести информацию |
инсайдер | инсайдер пытается вынести данные | инсайдер пытается вынести информацию |
Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:
- Соответствие требованиям нормативных актов и стандартов
- Сохранность информации
- Сохранность данных
- Выявление каналов утечки
- Доказательство непричастности
Но все ли они легко могут быть реализованы? И какие технические средства могут нам помочь?
Борьба с инсайдерами техническими средствами и ее результаты
Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.
Дальше мы подходим к наиболее интересной фазе – к борьбе с утечками.
По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:
- Самоконтроля инсайдеров, дабы случайно не разгласить эту информацию
- Назначения на руководящие должности ответственных, проверенных, морально устойчивых людей
- Акцентирования внимания этих людей на том, что не вся информация предназначается для широкой публики.
К сожалению, эта проблема целиком лежит в области человеческого фактора. Печально, но с ней не всегда справляются даже самые лучшие спецслужбы.
С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:
- Человек может показать документ на мониторе/в распечатке коллеге, которому он не предназначен.
- Человек может забыть документ в принтере, в столовой, оставить без присмотра кабинет или кейс или сейф
- Человек может выписать с экрана на листочек
- Человек может зачитать по телефону или наговорить на диктофон
- Можно сфотографировать экран монитора на фотокамеру сотового телефона
- Человек в конце концов может просто запомнить содержания документа.
Кроме всего прочего, тот же ноутбук с данными может быть утерян или украден.А заодно и вместе со всеми ключами на тот случай, если данные там хранились в защищенном виде.
Решение проблем отслеживания каналов утечки — вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.
Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.
Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.
О чем не говорят борцы с инсайдерами
Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.
Теперь о результатах.
Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.
Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.
Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.
Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся
Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.
Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.
Так слежение или разграничение
Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.
Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.
Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.
Но и это еще не все.
Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:
- Хранить все данные в общей куче и пытаться найти того, кто ее отослал за пределы организации
- Разграничить доступ к данным так, чтобы они были доступны только тем кому они нужны.
Первый вариант – зрелищен, демонстративен. Все видят, что вот специалисты отдела безопасности ползают на карачках и заклеивают USB порты. А сегодня не работает почта – внедряют новую систему контроля.
Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.
Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.
Лукавая статистика инцидентов
Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.
Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:
- Потери ноутбуков, флешек и т.п. – это халатность.
- Кражи ноутбуков, компьютеров, винчестеров с резервными копиями – это что-то сродни взлома
- Утечка информации от действия вирусов
- Утечки информации при взломе сети, пусть даже сотрудником
К инсайдерской угрозе не относятся и такие случаи, как утечка базы клиентов вместе с директором по продажам.
Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?
Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.
Выводы
Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.
Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.
Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?
Источник — НИП «Информзащита»