employee
Sankt-Peterburg, St. Petersburg, Russian Federation
Sankt-Peterburg, St. Petersburg, Russian Federation
employee
Russian Federation
UDK 62 Инженерное дело. Техника в целом. Транспорт
GRNTI 20.01 Общие вопросы информатики
GRNTI 20.15 Организация информационной деятельности
The purpose of this work consists in the creation of such a procedure according to which a head or an expert dealing with the information safety in a company could make a decision quickly, whether he has got to install a system for intrusion prevention or not, and also how to substantiate a leadership the necessity The environment constantly develops and changes due to new technologies and the Internet. The products of intrusion detection are tools which help to control threats and voidability in this changing environment. Threats are people or groups which can jeopardize your computer system. It may be an inquisitive teenager, a discontented worker or it may be espionage of a rival company or a foreign government. That is why the implementation of a data protection system against leakage is an urgent necessity for companies in the modern world. The information content obtained for processing increases on a dynamic scale around the world. The information content incoming for processing grows on a dynamic scale all over the world. For the purpose of a quick reaction to any market changes, obtaining competitive advantages, increased production is required quick obtaining, processing and analyzing large data contents. of costs for operation. On this reason, there are defined basic advantages and disadvantages of the installation of the DLP system and there is shown a design examination of an attempt to implement the system in a commercial company.
DLP, data leakage, protection, confidential information, information processing
Введение
Основные задачи данной системы DLP (Data Leak Prevention): анализ передающейся конфиденциальной информации по всем каналам, таким как: электронная почта, Web-почта, HTTP-трафик, IM-сервисы, социальные сети, мессенджеры, облачные хранилища информации, а также USB-устройства, CD/DVD, локальная печать. Благодаря мониторингу происходит обнаружение случаев несанкционированной передачи конфиденциальных данных, блокирование, а также оповещение отдела службы безопасности об инцидентах.
Однако современные DLP-системы также вмещают в себя функции контроля действия персонала, выявление групп риска среди сотрудников и контроль настроений в коллективе, шифрование передаваемой информации, выявление мошенничества с возможностью проведения ретроспективных расследований и оценка эффективности и продуктивности пользователей [1,2].
Очевидно, что необходимо защищаться от внутренних угроз, но чаще всего приоритет отдавался защите от внешних нарушителей. В связи с федеральным законом 152 "О персональных данных" и федеральным законом 149 "Об информации, информационных технологиях и о защите информации" в настоящее время можно с уверенностью можно сказать, что внутренние источники угроз – сотрудники предприятий или другие лица, имеющее легальный доступ к данным.
Предмет исследования DLP и статистических данных о каналах утечки информации
Согласно глобальному исследованию утечек конфиденциальной информации аналитического центра InfoWatch в 2019 году, произошло 1276 случаев утечки конфиденциальной информации (рис. 1).
Рис. 1. Число зарегистрированных утечек информации 2006 - 2019
На рис. 2 можно увидеть, что внешние атаки стали причиной 44,4% утечек данных, а в остальных 55,6% случаев утечка данных произошла под воздействием внутреннего нарушителя.
Рис. 2. Распределение утечек по вектору воздействия за 2019 год
Следует отметить, что внутренние утечки информации по своей природе труднее предотвратить. Они имеют более сложный комплекс последствий, чем утечки из-за внешних нарушителей [3,4].
В 44,8% случаев виновниками утечек данных фактически были сотрудники компаний и 2,8% - бывшие сотрудники (рис. 3). По вине руководителя, системного администратора и подрядчика было зафиксировано всего 6,2% случаев утечки информации. Топ-менеджмент и непривилегированные сотрудники склонны к нарушению установленных правил безопасности. Это касается не только незаконного распространения информации ограниченного доступа, но и действий, которые прямо направлены на причинение ущерба работодателю и ведут к блокированию или уничтожению данных.
Рис. 3. распределение утечек по виновнику 2019 год
Наибольшее число умышленных утечек информации было через сеть 76,6 %, на втором месте через отправку по электронной почте 8,4%, третье место занимают бумажные носители 6,3%, остальные - съемные носители, мобильные устройства, кража или потеря оборудования (рис. 4). Системы мгновенного обмена сообщениями составляют всего 8,7%.
Рис. 4. Распределение утечек по каналам 2019 год
40 |
Все представленные данные получены из открытых источников. Распределения умышленных и случайных утечек справедливы только для инцидентов, которые фактически имели место (их не удалось предотвратить) и получили огласку (о них стало известно). Такая ситуация требует дополнительных разъяснений. С учетом сегодняшнего уровня развития технологий можно предположить, что зафиксированные на этих каналах утечки составляют лишь небольшую часть от числа случаев, когда информация уходила из-под контроля обладателей по этим каналам [5].
Известно, что многие системы защиты показывают невысокую эффективность на таких каналах перехвата утечек, как голосовая передача данных, мессенджеры, мобильные устройства. Кроме того, умышленные утечки в принципе сложнее предотвратить. Учитывая сказанное, авторы исследования полагают, что к небольшим значениям долей умышленных утечек через большинство каналов, за исключением сетевого, следует отнестись критически. Вопреки приведенному распределению, в силу перечисленных выше особенностей, каналы, на которых зафиксировано небольшое количество утечек, нуждаются в особом внимании со стороны служб безопасности. Здесь нужен целый комплекс решений, включая тщательно настроенные DLP-системы и инструменты контроля доступа. Отдельную роль в выявлении сотрудников, склонных к краже корпоративных данных, должны играть системы предиктивной аналитики.
Выявление основных преимуществ и недостатков внедрения DLP-системы в коммерческую организацию
Перед тем как внедрять систему мониторинга и предотвращения утечек информации важно понимать, какие конкретные задачи она будет решать и с чем бороться. Покажем важные аспекты при установке DLP-системы (табл. 1, 2).
Таблица 1
Недостатки внедрения DLP-системы
Недостаток |
Описание |
|
1. Высокая цена установки и поддержание работоспособности системы |
Целесообразно внедрять DLP-систему в большие компании, где существует целый IT-отдел, связанный с безопасностью, где есть достаточное количество квалифицированных сотрудников, для анализа всех событий, а как же если существует угроза секретной и конфиденциальной информации, которую требуется защищать. Стоит учитывать, что стоимость внедрения таких систем высокая и иногда может превышать стоимость ущерба при утечке информации. |
|
2. Есть возможность использования DLP-системы в корыстных целях |
К сожалению, никто не застрахован от не добросовестных сотрудников, которые работают в IT-отделе и эксплуатируют DLP-систему. Они сами могут следить за всем персоналом, в том числе и за топ-менеджерами, руководителями отделом и даже самим директором незаметно для них. Тем самым возникает риск утечки информации через самих специалистов по информационной безопасности. |
|
3. Долгий процесс полного внедрения |
Пред тем как внедрить DLP-систему в организации следует предварительно выявить потенциальные каналы утечки информации, т.е. рабочие места, с которых могут быть похищены важные данные, определить круг лиц, владеющих конфиденциальной информацией. Это может выполнять, как специалист по информационной безопасности в компании, а также сама компания, которая внедряет DLP-систему.
Далее важную частью внедрения системы занимает ее юридическое сопровождение. Тут решаются вопросы: “Будет ли считаться использование этой системы, как слежка за сотрудниками?”, или “Необходимо будет хранить все произошедшие события или только те, которые нарушили политику безопасности?”. Компания должна подготовиться, к потенциальному спору с сотрудником, из-за внедрения такой системы. После установки DLP-системы в организации, последним этапом необходимо будет ее правильно настроить, чтобы она работала должным образом. Процесс настройки непрерывный процесс, т.к. компания будет развиваться и документооборот будет только увеличиваться, для этого необходимо будет создавать новые политики и корректировать прежние. |
|
4. Требуется выделение больших объемов хранения данных и их обслуживание |
Для полноценных расследований инцидентов требуются данные событий, логов и т.д. за длинный промежуток времени, это может быть год, два, а, может быть, и десять лет. А если в компании работает более ста человек, то хранение и комплексная защита таких данных требует большого количества ресурсов, как финансовых, покупка жестких дисков, серверов, стоек, а также выделения для этого специального помещения, чтобы обеспечить высокую безопасность.
|
|
5. Отсутствие квалифицированных работников для работы с системой |
Не каждая компания может себе позволить взять к себе в штат отдельного специалиста по информационной безопасности, что составляет определенную проблему. Почти у всех организаций в штате есть системный администратор, но возлагать на него всю ответственность по мониторингу, реагированию и расследование инцидентов нецелесообразно. У системного администратора есть свои задачи, которые он должен выполнять. Хороший специалист с высшим образованием и опытом работы нужен, т.к. он в большей части будет общаться с компанией поставщиков DLP-систем и настраивать все политики безопасности. |
|
6. Существует множество способов обхода DLP-систем
|
На данный момент в интернете есть много способов обойти систему и вынести конфиденциальную информацию. Например, DLP защищает персональный компьютер, но любой желающий, если это не запрещает политика безопасности компании, может сфотографировать секретный документ на мониторе компьютера на свой телефон или планшет. Так же злоумышленники могут использовать стеганографию. Передача аудиосообщений тоже может с трудом обрабатываться системой, тем самым давая возможность передавать конфиденциальную информацию по аудио каналу. |
Вывод по недостаткам внедрения DLP-систем
42 |
Таблица 2
Преимущества внедрения DLP-системы
Преимущество |
Описание |
|
1. Учет рабочего времени сотрудников |
DLP позволяет вести количественный и качественный учет рабочего времени сотрудников, учитывать начало и окончание рабочего дня, тем самым позволяет фиксировать, какие сотрудники опаздывают на работу, а какие остаются после рабочего дня и перерабатывают. Учитывается интенсивность их работы и активность на протяжении всего рабочего дня. Офицер безопасности может видеть развернутую картину реального положения дел в организации. Дополнением к выше перечисленному предоставляется возможность ведение записи хронометража дня, тем самым фиксируется хронология действий персонала за служебными компьютерами. Выводится информация о сайтах, на которые он заходил, какие файлы открывал, какие программы и в какой время использовал, тем самым можно точно определить, чем занимался определенный сотрудник в интересующий момент времени. |
|
2. Оценка продуктивности сотрудников
|
Руководство организации часто не владеет информацией о том, что делает сотрудник в рабочее время. DLP позволяют настроить списки сайтов, программ по критериям: продуктивные, непродуктивные и нейтральные и далее автоматически определять, как сотрудник тратит время на работе, тем самым выявлять непродуктивных сотрудников и определять, какой объем рабочего времени был потрачен на непосредственное выполнение служебных обязанностей. |
|
3. Незаметный режим работы
|
DLP может работать в скрытом режиме, и она будет невидима для конечного пользователя, но это может превратиться и в слежку. В интересах компании открыто информировать сотрудников о внедрении DLP, что позволит повысить корректность обращения сотрудников со служебной информацией, во-вторых, с большей ответственностью подходили к рабочему процессу и не доводили до расследования зафиксированных инцидентов. А если произошел инцидент, в котором виноват сотрудник, то в суде, предоставив результаты работы DLP, можно доказать вину подозреваемого. Скрытый режим работы DLP позволяет делать скриншоты экранов, даже нескольких мониторов, в режиме реального времени, а также позволяет быстро оценить, чем занимается сотрудник в данное рабочее время. Такая функция может быть активирована в определенное время, например, каждые десять минут, а также при запуске определенных программ или захода на определенные сайты, либо при вводе определенной фразы. В таком режиме осуществляется сканирование подключенных USB, CD/DVD устройств к компьютеру, и анализируется, какие данные передаются между ними. |
|
4. Контроль обмена сообщений по электронной почте
|
|
|
5. Контроль популярных мессенджеров |
Иногда деловые разговоры выходят за рамки электронной почты и переходят в мессенджеры. DLP-системы позволяют контролировать, какие сообщение и файлы пересылаются между собеседниками в большинстве популярных мессенджеров, благодаря анализу протоколов обмена мгновенными сообщениями MMP (Mail.Ru Агент), QIP Infium, PSI), YIM (Yahoo! Messenger), XMPP (Jabber) (Miranda, Google Talk, QIP Infium, PSI), OSCAR (ICQ/AIM). Тем самым может перехватывать текстовые и голосовые сообщения, а также приложенные файлы, которые пересылаются в Viber, WhatsApp, Skype и Telegram. |
|
6. Контроль сообщений в социальных сетях |
Сейчас почти у каждого человека есть страничка в какой-либо социальной сети, этим любят пользоваться мошенники и с помощью социальной инженерии похищать информацию. Современная DLP-система позволяет в автономном режиме перехватывать все сообщения в таких социальных сетях как Facebook, Вконтакте, Одноклассники и другие. Кроме социальных сетей многие пользователи Интернет любят сидеть на форумах и, например, обсуждать работу. DLP-система позволяет контролировать общение сотрудников на форумах, онлайн-чатах, блогах и т.д. |
|
7. Контроль облачных хранилищ |
Облачные хранилища могут быть использованы сотрудником, как для резервного копирования информации, так и для ее похищения из коммерческой организации. Поэтому DLP-системы позволяют контролировать потоки информации, скаченные и загруженные файлы, для следующих облачных сервисов: Яндекс.Диск, Drobox, OneDrive, Google Диск. |
Вывод по преимуществам внедрения DLP-систем
Достоинств внедрения DLP-систем в организации объективно больше. Учитывая рабочее время сотрудников, руководителю будет проще ориентироваться, кто больше сидит в социальных сетях и форумах, находясь на рабочем месте, что способствует повышению уровня трудовой дисциплины и выявляет проблемы реализации бизнес-процессов.
DLP-системы дают возможность контролировать почти все каналы информационных потоков в компании, начиная от аппаратных, позволяют анализировать информацию, не только переданную на подключенный USB-флэш накопителей, но и перенесенные в облачное хранилище Яндекс.Диск. По средствам собирания логов позволяет точно восстанавливать цепочки событий и устанавливать всех сотрудников, причастных к нарушениям.
Проектная экспертиза попытки внедрения DLP-системы в коммерческую организацию
При проведении апробационного эксперимента с целью детального рассмотрения возможных угроз безопасности и целостности информации, в организации сформирован «гипотетический» штат сотрудников на примере виртуального отдела по работе с персональными данными ЗСС (рис. 5). Чтобы уберечь организацию от инцидентов, следует понимать какая информация и в каком отделе может являться конфиденциальной. Рассмотрим спецификацию работы каждого из отделов.
44 |
Рис. 5. Штат сотрудников ООО «ЗСС»
Административный отдел. В рамках поставленных задач отдел выполняет следующие функции: организует работу приемной у руководителя и его заместителей; организует хозяйственно-бытовое обеспечение компании; следит за выполнением поручений руководителя в установленные сроки.
Отдел финансового обеспечения. Основными задачами и функциями отдела являются: ведение бюджетного, налогового и управленческого учета; осуществление формирования полной и достоверной информации о финансовой и хозяйственной деятельности; осуществление организации ведения нормативно-справочной информации, относящейся к функциям отдела.
Отдел кадров. Занимается осуществлением формирования кадрового состава; формированием штатного расписания сотрудников; ведением табеля учета использования рабочего времени и расчета заработной платы.
45 |
Отдел информационной безопасности и внутреннего контроля. В задачи этого отдела входят: изучение кадрового состава; организация проведения служебных проверок; обеспечение в пределах своей компетенции защиты сведений, составляющих государственную тайну, и иных сведений ограниченного распространения.
Проведя анализ работы разных отделов компании, авторы пришли к выводу, что даже в небольшой организации необходимо внедрение DLP-системы, для обеспечения информационной безопасности и снижению рисков потери важных сведений, например, годовой отчетности, сведений о составе организации и другие [5,6].
DLP-система захватывает пакеты, передаваемые по всей сети в режиме прослушивания, и сравнивает трафик с базами сигнатур атак. Журнал отображает список атак для администратора при организации противодействия нарушителям. Данная система работает как устройство оповещения в случае атак. Работать в сети она может в двух режимах: в фоновом режиме и в режиме активного мониторинга сети.
Система имеет следующие достоинства: подключение дополнительных сенсоров для обнаружения в систему, выбор сенсоров для захвата, пауза захвата и очистка захваченных данных, отображение состояния на снимках системы. Система дополняется новыми сигнатурами с сервера. DLP ищет общую характеристику атак, которая заключается в том, что при их инициировании и во время выполнения атаки, процессы вторжений производят достаточный сетевой трафик (например, сканирование портов), чтобы локальные детекторы могли найти достаточные доказательства для будущей атаки и сообщить о них.
Архитектура системы предотвращения утечек информации DLP
Методика внедрения системы предотвращения утечек информации DLP в коммерческую организацию для информационной сети с использованием Больших данных [6] дополняется спроектированной архитектурой (рис. 6) с использованием специальных сетевых зондов для сбора необработанных пакетных данных. Использует эти необработанные пакетные данные для получения пакетной информации, такой как IP-адрес источника и адрес назначения, порты источника и назначения, флаги, длина заголовка, контрольная сумма, время жизни (TTL) и тип протокола.
Рис. 6. Реализация архитектуры
Сетевые зонды имеют следующий тип обязательных элементов с наличием обработки Больших данных:
1. Анализатор пакетов. Этот модуль включает в себя захват всего трафика, проходящего через сеть. Сниффер (Sniffer) будет установлен на конечной точке системы в сети, на которой должен быть захвачен трафик. Сниффер захватывает весь сетевой трафик, работая с сетевым адаптером в беспорядочном режиме [8].
2. Определение сигнатур атак. Сигнатуры атаки являются шаблонами атакующего трафика [9]. Сигнатуры моделируются на основе шаблона заголовка пакета, за которым следует конкретная атака. Он включает в себя подсчет пакетов от конкретной цели или конкретного источника, или порта назначения, или он может даже быть смоделирован с помощью других деталей в пакете, таких как размер заголовка, время жизни пакета, биты из регистра флагов, протокол.
3. Идентификация атак. Это извлечение полезной информации из захваченного локального трафика, такой как IP-адреса источника и назначения, тип протокола, длина заголовка, порты источника и назначения и т.д., и сравнение этих данных с моделируемыми сигнатурами атак, чтобы определить, произошла ли атака [10].
4. Сообщение о деталях атаки. Это сообщение об атаке администратору, чтобы он мог предпринять необходимые действия. Отчетность включает в себя указание деталей атаки, таких как IP-адреса источника и жертвы, временная метка атаки и, что более важно, тип атаки [10, 11].
Заключение
46 |
Проектирование DLP-системы с методикой, основанной на сигнатурах и использовании Больших данных, имеет существенные улучшения в ряде причин [6, 7, 8]. Система сможет успешно захватывать пакеты, передаваемые по всей сети в режиме прослушивания, и сравнивает трафик с базами сигнатур нарушений. Журнал нарушений отображает список атак для администратора для противодействия нарушителям.
1. Karev A.S., Birih E.V., Saharov D.V., Vitkova L.A. Problemy informacionnoy bezopasnosti v internete veschey // V sbornike: Internet veschey i 5G 2016. S. 66-70.
2. Pat. 2472211Rossiyskaya federaciya. Sposob zaschity informacionno-vychislitel'nyh setey ot komp'yuternyh atak / Andrianov V.I., Buharin V.V., Kir'yanov A.V., Lipatnikov V.A., Sanin I.Yu., Saharov D.V., Starodubcev Yu.I. № 2011147613/08; zayavl. 23.11.2011; opubl. 10.01.2013.
3. Kostarev S.V., Lipatnikov V.A., Saharov D.V. Model' processa peredachi rezul'tatov audita i kontrolya v avtomatizirovannoy sisteme menedzhmenta predpriyatiya integrirovannoy struktury // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. 2015. № 2. S. 120-125.
4. Vitkova L.A., Pronoza A.A., Saharov D.V., Chechulin A.A. Problemy bezopasnosti informacionnoy sfery v usloviyah informacionnogo protivoborstva // Aktual'nye problemy infotelekommunikaciy v nauke i obrazovanii (APINO 2018): sb. nauch. st. VII Mezhdunarod. nauch.-tehn. i nauch.-metod. konf. / pod red. S.V. Bachevskogo. 2018. S. 191-195.
5. Dubrovin N.D., Ushakov I.A., Chechulin A.A. Primenenie tehnologii bol'shih dannyh v sistemah upravleniya informaciey i sobytiyami bezopasnosti / Aktual'nye problemy infotelekommunikaciy v nauke i obrazovanii: sb. nauch. statey V Mezhdunarod. nauch.-tehn. i nauch.-metod. konf. 2016. S. 348-353.
6. Kotenko I.V., Ushakov I.A. Tehnologii bol'shih dannyh dlya monitoringa komp'yuternoy bezopasnosti // Zaschita informacii. Insayd. 2017. № 3 (75). S. 23-33.
7. Vasilishin N.S., Ushakov I.A., Kotenko I.V. Issledovanie algoritmov analiza setevogo trafika s ispol'zovaniem tehnologiy bol'shih dannyh dlya obnaruzheniya komp'yuternyh atak // Informacionnye tehnologii v upravlenii (ITU-2016): materialy 9-y konf. po problemam upravleniya. 2016. S. 670-675.
8. Deshevyh E.A., Ushakov I.A., Kotenko I.V. Obzor sredstv i platform obrabotki bol'shih dannyh dlya zadach monitoringa informacionnoy bezopasnosti // Informacionnaya bezopasnost' regionov Rossii (IBRR-2015): materialy konf. 2015. S. 67.
9. Ushakov I.A., Kotenko I.V. Model' obnaruzheniya vnutrennih narushiteley na osnove ispol'zovaniya tehnologiy bol'shih dannyh // Regional'naya informatika i informacionnaya bezopasnost' 2017. S. 253-254.
10. Kotenko I.V., Pelevin D.V., Ushakov I.A. Obschaya metodika obnaruzheniya insaydera komp'yuternoy seti na osnove tehnologiy bol'shih dannyh //Aktual'nye problemy infotelekommunikaciy v nauke i obrazovanii (APINO 2019): sb. nauch. statey VIII Mezhdunarod. nauch.-tehn. i nauch.-metod. konf. / pod. red. S.V. Bachevskogo. 2019. S. 572-576.
11. Kosov N.A., Gel'fand A.M., Laptev A.A. Analiz temnyh dannyh dlya obespecheniya ustoychivosti informacionnyh sistem ot narusheniya konfidencial'nosti ili nesankcionirovannyh deystviy // Colloquium-Journal. 2019. №13-2 (37). S. 100-103.