Art der Informationen

Ort

Produktion

Produktionspläne, geistiges Eigentum, Technologiebeschreibungen, Eigenentwicklungen

Dateiserver, DBMS

Vertraulich

Infrastruktur

IT-Infrastrukturkarten, IT-Systeme, Logins

Örtlich

empfindlich

Finanziell

Buchhaltungsinformationen, Finanzpläne, Berichte, Bilanzen

Base 1C oder eine andere Umgebung für die Finanzabteilung

Vertraulich

Personal

Personalkarten

Lokal, Dateiserver

empfindlich

Dateien und Dokumente für den internen Austausch

persönlich

Unternehmensintern

Sitzungsberichte, Anordnungen, Weisungen, Artikel

Dateiserver

Öffentlichkeit

Unterhaltsam

Fotos, Videos, Filme, Hörbücher

Erweiterte Ordner oder dedizierter Dateiserver

Mit der Allgegenwärtigkeit aller Arten von Wechseldatenträgern hat das Insider-Problem, das zuvor ziemlich relevant war, ein wirklich globales Ausmaß angenommen. Und daran ist absolut nichts Überraschendes. Heute kann jeder Mitarbeiter, der Zugang zu vertraulichen Informationen hat, diese einfach und vor allem diskret an sich kopieren und in Zukunft für verschiedene Zwecke verwenden. Und es ist auch gut, wenn dahinter der Wunsch steckt, nur mit Verträgen zu Hause zu arbeiten. Allerdings erhöht eine solche Aktion, unabhängig von den Absichten des Eindringlings, das Risiko einer Datenkompromittierung immer noch dramatisch (Heimcomputer sind normalerweise weniger geschützt, verschiedene Personen können sich darauf setzen und das Laufwerk kann verloren gehen). Aber schließlich kann ein Mitarbeiter Informationen kopieren, um sie an Wettbewerber weiterzugeben oder für eigene Zwecke zu verwenden. Das einfachste und offensichtlichste Beispiel dafür ist das Kopieren des Kundenstamms (oder der Verträge mit ihm) vor dem Verlassen, um ihn zu einem anderen Unternehmen zu locken.

Das Hauptproblem besteht darin, dass es unmöglich ist, sich mit Standardmitteln, dh in Betriebssystemen integrierten Tools, vor dieser Methode des Informationsdiebstahls zu schützen. Nehmen Sie zumindest USB-Sticks. Sie sind klein, billig und sehr geräumig. Mit ihrer Hilfe können Mitarbeiter Gigabytes an Informationen aus dem Unternehmensinformationssystem „herausnehmen“. Sie können USB-Anschlüsse an Workstations jedoch nicht einfach deaktivieren - heute sind sie zum Anschließen vieler Geräte erforderlich: Drucker, Tastaturen, Mäuse, Softwareschlüssel usw. Darüber hinaus sollten wir andere Möglichkeiten zum Stehlen von Informationen nicht vergessen, beispielsweise mithilfe von CD / DVDs, Mobiltelefone usw. Auch ein normaler Drucker kann zu einer Bedrohung werden. Schließlich hat der Mitarbeiter die Möglichkeit, vertrauliche Informationen auszudrucken und die Ausdrucke mit nach Hause zu nehmen. Ein Abschalten wird es aber auch nicht geben, denn in der Regel werden all diese Geräte für die Erfüllung der Dienstpflichten der Mitarbeiter benötigt.

Die einzige Möglichkeit, das Unternehmen vor dem Diebstahl vertraulicher Informationen über verschiedene Wechseldatenträger zu schützen, besteht darin, ein System zur Begrenzung und Kontrolle ihrer Verwendung zu implementieren. Es wird mit einer speziellen Software implementiert. Aus irgendeinem Grund glauben viele Unternehmen, dass solche Produkte sehr komplex sind und einige spezielle Qualifikationen erforderlich sind, um sie zu implementieren und zu warten. Dies ist jedoch absolut nicht der Fall. Das System zum Abgrenzen von Zugriffsrechten auf externe und interne Geräte eines Computers ist so einfach, dass nicht nur ein qualifizierter Administrator, sondern auch nur ein erfahrener PC-Benutzer damit umgehen kann. Und zur Bestätigung dieser Worte betrachten wir heute ein Beispiel für die Einführung des Zlock-Produkts von SecurIT in ein Unternehmens-IS. Es ist erwähnenswert, dass es nicht vor dem Durchsickern vertraulicher Informationen über das Internet (z. B. per E-Mail über ICQ usw.) schützen kann. Dies erfordert andere Produkte mit einem völlig anderen Funktionsprinzip (z. B. Zgate aus demselben Entwickler). Aber Zlock bewältigt die Aufgabe, alle Arten von Wechseldatenträgern und Druckern erfolgreich zu steuern.

Zlock-Struktur

Bevor Sie ein Gespräch über den Installationsvorgang des betreffenden Systems beginnen, müssen Sie dessen Struktur verstehen. Zlock besteht aus fünf Teilen.

· Managementkonsole. Ein Programm, das es dem Administrator ermöglicht, die vollständige Systemverwaltung durchzuführen, einschließlich der Installation auf Workstations, der Änderung der Zugriffsrichtlinien, der Arbeit mit Protokoll- und Konfigurationsservern usw.

· Client-Modul. Ein Dienstprogramm, das auf Arbeitsstationen installiert wird. Sie ist es, die den Zugriff gemäß den festgelegten Richtlinien kontrolliert und blockiert. Darüber hinaus interagiert das Client-Modul mit dem Protokollserver, prüft die Integrität von Zlock usw.

· Protokollserver. Ein System zum Empfangen, Speichern und Verarbeiten von Informationen über Ereignisse, die von Client-Modulen übertragen werden. Bietet bequemen Administratorzugriff auf alle Daten.

· Konfigurationsserver. Zentralisiertes Konfigurationsmanagementsystem Zlock.

· Zlock-Konfigurationsmodul über Gruppenrichtlinie. Modul zum Installieren und Aktualisieren des Systems über Gruppenrichtlinien.

Zunächst müssen Sie herausfinden, wo welche Module installiert sind. Es ist klar, dass die Verwaltungskonsole auf dem Computer eines Administrators oder eines für die Informationssicherheit des Unternehmens verantwortlichen Mitarbeiters installiert werden muss. Dieser Vorgang unterscheidet sich nicht von der Installation anderer Software, weshalb wir nicht näher darauf eingehen.

Der Logserver und der Konfigurationsserver sind prinzipiell nicht notwendig, damit das System funktioniert. Zlock kann die ihm übertragenen Aufgaben und ohne sie erfolgreich bewältigen. Der Protokollserver ist jedoch sehr praktisch, um Ereignisse auf allen Arbeitsstationen gleichzeitig anzuzeigen. Nun, der Konfigurationsserver ist in großen Unternehmensnetzwerken unverzichtbar. Damit können Sie die Einstellungen von Client-Modulen auf einer großen Anzahl von Arbeitsplätzen einfach verwalten. Sie werden wieder wie gewohnt installiert. Software. Dieses Verfahren wird lokal über das in Zlock enthaltene Distributionspaket durchgeführt.

Die letzte Phase der Installation des betreffenden Systems ist die Installation von Client-Modulen auf allen Computern, die überwacht werden müssen. Dies kann auf zwei Arten erfolgen (Option mit manuelle Installation berücksichtigen wir aus naheliegenden Gründen nicht). Die erste beinhaltet die Verwendung der Verwaltungskonsole. Nach dem Start befinden sich mehrere Gruppen im linken Bereich des Hauptfensters. Sie müssen unter ihnen den Baum „Computer und Anwendungen“ finden und öffnen und dann den Zweig „Keine Anwendungen“ öffnen. Es wird eine vollständige Liste der im lokalen Netzwerk enthaltenen Computer bereitgestellt, auf denen das Zlock-System nicht installiert ist.

Um den Installationsvorgang der Client-Teile zu starten, muss der Administrator den oder die Zielcomputer (einschließlich einer gesamten Domäne) auswählen und auf die Schaltfläche "Zlock installieren oder aktualisieren ..." in der Symbolleiste klicken. Geben Sie im sich öffnenden Fenster den Ordner mit dem Distributionspaket des Programms an ( Die beste Option es wird einen Netzwerkordner geben, auf den alle Benutzer Zugriff haben), und wählen Sie auch die Installationsoption aus. Es gibt drei davon: mit manuellem oder erzwungenem Neustart von Computern sowie ohne Neustart. Es ist erwähnenswert, dass die letzte, bequemste Option nicht verwendet werden kann, um zuvor installierte Client-Teile zu aktualisieren. Abschließend müssen nur noch die PCs ausgewählt werden, auf denen die Installation durchgeführt werden soll (vielleicht möchten Sie Zlock nicht auf allen Computern im Netzwerk installieren) und außerdem einen Benutzer mit lokalen Administratorrechten angeben. Darüber hinaus kann das Programm bei fehlender Befugnis die Eingabe von Daten von einem anderen Benutzer anfordern.

Eine weitere Option zum Bereitstellen eines Schutzsystems auf Arbeitsstationen in Unternehmen ist die Verwendung von Gruppenrichtlinien. Zu diesem Zweck wird Zlock mit einem speziellen Installationspaket geliefert. Der Installationsvorgang selbst ist fast allen Systemadministratoren bekannt. Zunächst müssen Sie erstellen Netzwerkordner, kopieren Sie die Zlock30-Dateien hinein. msi und Zlockmsi. ini-Datei und machen Sie sie für alle Domänenbenutzer zugänglich. Wenn Sie bereits eine Konfigurationsdatei haben, können Sie sie im selben Verzeichnis ablegen. In diesem Fall wird es automatisch auf alle installierten Client-Module angewendet. Wenn keine solche Datei vorhanden ist, wendet das System die Standardrichtlinie an, die in Zukunft konfiguriert werden muss.

Danach müssen Sie in den Eigenschaften der Unternehmensdomäne (Zugriff über die Active Directory-Konsole) auf die Registerkarte „Gruppenrichtlinie“ gehen und eine neue Richtlinie erstellen. Im Fenster dieser Richtlinie müssen Sie den Baum "Computerkonfiguration" erweitern, das Element "Software installieren" auswählen und ein neues Paket erstellen, in dessen Eigenschaften Sie den Netzwerkpfad zur Zlock30-Datei angeben. msi. Daher wird die Installation des Zlock-Systems mit Standard-OS-Tools durchgeführt.

Zugriffsrichtlinien konfigurieren

Der vielleicht wichtigste Vorgang bei der Implementierung des Zlock-Sicherheitssystems ist das Einrichten von Zugriffsrichtlinien. Sie bestimmen die Fähigkeit aller Benutzer, mit bestimmten Geräten zu arbeiten. Jede Richtlinie besteht aus drei Teilen. Die erste ist eine Liste von Geräten oder deren Gruppen, die jeweils Zugriffsrechte für verschiedene Benutzer haben. Der zweite Teil der Richtlinie sind die Einstellungen für Schattenkopien von Dateien, die auf verschiedene Laufwerke kopiert werden. Nun, der dritte Teil bestimmt die Einstellungen für Schattenkopien von Dokumenten, die auf Druckern gedruckt werden. Darüber hinaus hat jede Richtlinie eine Reihe von zusätzliche Eigenschaften die wir weiter unten betrachten werden.

Das Funktionsprinzip der Richtlinie ist wie folgt. Jeder Arbeitsstation sind eine oder mehrere vom Administrator zugewiesene Richtlinien zugewiesen. Beim Auftreten eines vom Schutzsystem kontrollierten Ereignisses (Anschließen eines Geräts, Versuch, eine Datei auf einen Wechseldatenträger zu kopieren, Drucken eines Dokuments usw.) festgelegt durch das Prioritätssystem) und wendet die erste derjenigen an, mit denen sie übereinstimmt. Das heißt, Zlock hat nicht das übliche System von Ausnahmen. Wenn Sie beispielsweise alle USB-Sticks bis auf einen bestimmten sperren müssen, müssen Sie zwei Richtlinien verwenden. Der erste mit niedriger Priorität deaktiviert die Verwendung von Wechseldatenträgern. Und die zweite, mit einer höheren, erlaubt die Verwendung einer bestimmten Instanz. Zusätzlich zu den vom Administrator erstellten gibt es auch eine Standardrichtlinie. Es definiert Zugriffsrechte auf jene Geräte, die nicht in anderen Richtlinien beschrieben sind.

Schauen wir uns nun das Verfahren zum Erstellen einer Richtlinie an. Um es zu starten, müssen Sie die gewünschte Arbeitsstation in der Baumstruktur der Verwaltungskonsole auswählen und eine Verbindung zu ihr herstellen. Wählen Sie danach im Menü „Richtlinie“ den Punkt „Hinzufügen“. Das resultierende Fenster besteht aus fünf Registerkarten. Der erste heißt "Zugriff". Es gibt den Namen der zu erstellenden Richtlinie, ihre Priorität und Zugriffsrechte auf Geräte an. Hier stehen vier Optionen zur Verfügung: Vollzugriff für alle Benutzer, Lesezugriff für alle Benutzer, Zugriff auf Geräte für alle Benutzer verweigern und individuelle Gerätezugriffsrechte für Benutzer und Gruppen. Die Zwecke der ersten drei sind aus ihren Namen ersichtlich. Die letzte Option ist jedoch gesondert zu erwähnen. Damit können Sie unterschiedliche Rechte für einzelne Benutzer festlegen, was sehr praktisch ist, da oft verschiedene Mitarbeiter am selben Computer arbeiten können. Um Zugriffsrechte einzugeben, klicken Sie auf die Schaltfläche "Bearbeiten" und fügen Sie im sich öffnenden Fenster die erforderlichen Konten (lokaler Computer oder Domäne) hinzu und definieren Sie die Berechtigungen für jedes von ihnen.

Nachdem Sie die Grundeinstellungen eingegeben haben, müssen Sie eine Liste von Geräten und Gruppen angeben, die von der Richtlinie abgedeckt werden. Verwenden Sie dazu die Registerkarte „Geräte“. Es gibt vier Möglichkeiten, Ausrüstung in Zlock einzugeben.

· Typische Geräte. Bei dieser Option werden alle Geräte eines bestimmten Typs ausgewählt, z. B. alle Wechseldatenträger, CD- / DVD-Laufwerke, Festplatten usw.

· Ein USB-Gerät mit bestimmten Eigenschaften. Ermöglicht die Angabe von USB-Geräten nach Typ, Hersteller, Produktname, Seriennummer des Geräts und mehr.

· Drucker. Wird verwendet, um bestimmte lokale oder Netzwerkdrucker einzugeben.

Mit diesen Methoden können Sie eine sehr genaue und flexible Geräteliste erstellen. Bemerkenswert ist, dass Sie nicht nur die Ausrüstung auswählen können, die gerade an den PC angeschlossen ist, sondern auch die, die einmal darauf verwendet wurde (sehr wichtig für Wechseldatenträger). Zusätzlich kann der Administrator einen sogenannten Gerätekatalog erstellen. Dies ist eine Datei, die alle Geräte auflistet, die mit Computern in einem Unternehmensnetzwerk verbunden sind. Es kann sowohl manuell als auch automatisch durch Scannen aller Arbeitsplätze erstellt werden.

Im Prinzip haben wir danach schon eine voll funktionsfähige Police. Zlock bietet jedoch eine Reihe zusätzlicher Einstellungen, die die Funktionalität des Schutzsystems erweitern. Wenn also beispielsweise eine Richtlinie erstellt wird, die nicht immer in Kraft sein soll, muss ein Zeitplan für ihre Ausführung festgelegt werden. Dies geschieht auf der gleichnamigen Registerkarte. Darauf können Sie die Intervalle definieren, in denen die Richtlinie gültig ist. Der Administrator kann die Dauer der Richtlinie, die Uhrzeit, die Wochentage oder die Tage des Monats eingeben, an denen sie aktiv sein wird.

Wenn der Computer, für den die Richtlinie erstellt wird, sich vom Unternehmensnetzwerk trennen und/oder sich über das Internet mit ihm verbinden kann, dann können Sie spezielle Einstellungen für ihn festlegen. Gehen Sie dazu auf die Registerkarte "Anwendungsregeln". Es listet drei Punkte eines möglichen PC-Status relativ zur Unternehmensdomäne auf: Die Domäne ist lokal verfügbar, die Domäne ist über VPN verfügbar, die Domäne ist nicht verfügbar. Um die Richtlinienaktion für einen von ihnen zu deaktivieren, deaktivieren Sie einfach das entsprechende Kontrollkästchen. Wenn Sie beispielsweise das Drucken von etwas von einem Computer, der vom Unternehmensnetzwerk getrennt ist, unmöglich machen möchten, reicht es aus, eine Richtlinie zu erstellen, die die Verwendung von Druckern verbietet, und die „Domain nicht verfügbar“ und „Domain über VPN erreichbar“ zu aktivieren. Elemente in den Anwendungsregeln.

Nachdem Sie eine oder mehrere Richtlinien auf einem der Computer erstellt haben, können Sie diese schnell auf andere PCs verteilen. Dazu müssen Sie in der Management-Konsole eine Verbindung mit allen notwendigen Stationen herstellen und im Menü „Service“ den Punkt „Konfiguration übertragen“ auswählen. Aktivieren Sie im sich öffnenden Fenster die Kontrollkästchen für die erforderlichen Richtlinien und Computer, aktivieren Sie das Kontrollkästchen "Propagation von Richtlinien im Hintergrund" und wählen Sie die Aktion aus, die die Anwendung ausführen soll, wenn sie Richtlinien mit übereinstimmenden Namen erkennt (Fragen, ob sie überschrieben werden soll oder nicht). . Klicken Sie danach auf die Schaltfläche „OK“ und warten Sie, bis der Vorgang abgeschlossen ist.

Jede Richtlinie kann in Zukunft geändert werden. Verbinden Sie sich dazu einfach mit dem Computer, auf dem es ursprünglich erstellt wurde, suchen Sie es im "Baum" und doppelklicken Sie mit der Maus darauf. Es öffnet sich ein bereits aus dem Verfahren zum Erstellen einer Richtlinie bekanntes Fenster, in dem Sie bestimmte Parameter ändern können. Bitte beachten Sie, dass Sie, wenn die von Ihnen bearbeitete Richtlinie einmal an andere Computer verteilt wurde, vor einer Änderung zunächst eine Verbindung mit all diesen PCs herstellen müssen. In diesem Fall bietet das Zlock-Programm beim Speichern von Änderungen selbst an, veraltete Richtlinien mit den neuen zu synchronisieren. Richtlinien werden auf die gleiche Weise gelöscht.

Protokollierung und Schattenkopie einrichten

Zlock hat ein Protokollierungssystem. Dank dessen kann der Administrator oder eine andere für die Informationssicherheit verantwortliche Person alle überwachten Ereignisse anzeigen und analysieren. Um es zu aktivieren, wählen Sie im Menü „Extras“ den Punkt „Einstellungen“ und gehen Sie im sich öffnenden Fenster auf die Registerkarte „Journaling“. Es listet alle möglichen Ereignisse (Verweigern von Schreibvorgängen auf dem Gerät, Ändern des Netzwerkzugriffs, Ändern der Konfiguration, Anwenden von Zugriffsrichtlinien usw.) sowie deren Status in Bezug auf die Protokollierung auf.

Um die Protokollierung für ein oder mehrere Ereignisse zu aktivieren, klicken Sie auf das Pluszeichen und wählen Sie die Protokollierungsoption: Schreiben in eine Datei (Systemereignisprotokoll oder eine beliebige Datei im TXT- oder XML-Format), in eine Datenbank auf einem SQL-Server oder einem Protokollserver, einen Brief per E-Mail zusenden.

Danach müssen Sie im sich öffnenden Fenster die Protokollparameter konfigurieren (sie hängen von der ausgewählten Option ab: Dateiname, Datenbankzugriffsparameter usw.), die erforderlichen Ereignisse markieren und auf die Schaltfläche "OK" klicken.

Die Protokollierung von Dateioperationen wird separat konfiguriert. Gemeint sind Aktionen wie das Erstellen, Ändern und Bearbeiten von Dateien, das Erstellen und Löschen von Verzeichnissen usw. Es ist klar, dass es sinnvoll ist, solche Protokolle nur bei Verwendung von Wechseldatenträgern zu führen. Daher ist diese Art der Protokollierung an Zugriffsrichtlinien gebunden. Um es zu konfigurieren, wählen Sie „Dateioperationen“ aus dem Menü „Extras“ in der Verwaltungskonsole. In dem sich öffnenden Fenster müssen Sie zunächst die Richtlinien auswählen, für die eine Protokollierung durchgeführt werden soll. Es ist sinnvoll, diejenigen auszuwählen, die die Verwendung von Wechseldatenträgern steuern: USB-Geräte, CD- / DVD-Laufwerke usw. Danach müssen Sie die Aktionen eingeben, die das System ausführen soll, wenn Dateioperationen erkannt werden. Um jeden von ihnen hinzuzufügen, müssen Sie auf das "Plus" klicken und die gewünschte Option auswählen. Drei Aktionen beziehen sich auf die Protokollierung – Schreiben von Ereignisinformationen in eine Datei, in eine Datenbank oder Senden einer E-Mail-Nachricht. Die letzte Option besteht darin, das angegebene Programm oder Skript auszuführen.

Als Nächstes können Sie mit der Einrichtung des Schattenkopierens fortfahren. Dies ist eine sehr wichtige Funktion des Zlock-Systems, die nicht vernachlässigt werden sollte. Es ermöglicht die Vervielfältigung von kopierten oder gedruckten Dateien in einem speziellen Speicher, der für den Benutzer nicht wahrnehmbar ist. Schattenkopien sind erforderlich, wenn Mitarbeiter Drucker oder Wechseldatenträger verwenden müssen, um ihre beruflichen Aufgaben zu erfüllen. In solchen Fällen ist ein Informationsabfluss technisch kaum zu verhindern. Durch Schattenkopien können Sie jedoch schnell darauf reagieren und zukünftige Vorfälle stoppen.

Um die Parameter des Schattenkopierens einzustellen, wählen Sie den gleichnamigen Punkt im Menü "Extras". Zunächst einmal können Sie einen lokalen Speicher einrichten. Dazu müssen Sie den Ordner angeben, in dem die Dateien gespeichert werden, die verfügbare Menge (in Megabyte oder Prozentsatz des freien Speicherplatzes auf der Festplatte) eingeben und auch die Aktion im Falle eines Überlaufs auswählen (Dateien im Speicher überschreiben , Kopieren und Drucken verbieten oder erlauben).

Bei Bedarf können Sie Schattenkopien auf den Netzwerkspeicher konfigurieren. Wechseln Sie dazu auf den Reiter „Auf Server kopieren“ und aktivieren Sie die Checkbox „Informationen über Schattenkopien und Dateien an den Server übertragen“. Wenn die Übertragung sofort erfolgen soll, dann sollten Sie die Option „Dateien so schnell wie möglich übertragen“ auswählen. Eine andere Option ist ebenfalls möglich – das System kopiert Dateien in einer bestimmten Häufigkeit. Danach müssen Sie einen Netzwerkordner auswählen, in den Dateien geschrieben werden. Beachten Sie, dass es sinnvoll ist, ein Verzeichnis auszuwählen, auf das nur der Administrator Zugriff hat. Andernfalls kann der Mitarbeiter es eingeben und die gespeicherten Dateien löschen oder zumindest anzeigen. Wenn Sie einen solchen Ordner auswählen, müssen Sie den Benutzernamen und das Kennwort des Benutzers eingeben, der berechtigt ist, Informationen darin zu schreiben.

Nun, am Ende der Einstellungen müssen Sie noch auf die Registerkarte "Richtlinien" gehen und die Richtlinien angeben, unter denen das Schattenkopieren funktioniert.

Temporäre Genehmigungssystem

Grundsätzlich haben wir, liebe Leserinnen und Leser, den Implementierungsprozess von Zlock bereits analysiert. Nach seiner Fertigstellung wird das Insiderschutzsystem funktionieren und dem Unternehmen helfen, das Auslaufen von kommerziellen und persönliche Informationen. Zlock hat jedoch noch ein weiteres sehr interessantes Feature, das dem Administrator das Leben erleichtert. Wir sprechen von einem System zur Erteilung befristeter Genehmigungen für die Verwendung bestimmter Geräte.

Warum wollen Sie sich auf diesen speziellen Moment konzentrieren? Alles ist sehr einfach. Die Praxis zeigt, dass es immer wieder Situationen gibt, in denen einer der Mitarbeiter ein Gerät verwenden muss, das ihm normalerweise verboten ist. Darüber hinaus kann ein solcher Bedarf dringend auftreten. Infolgedessen herrscht Panik, es wird dringend ein Administrator gesucht, der die Zugriffsrichtlinie ändern und vor allem nicht vergessen muss, sie später zurückzugeben. Das ist natürlich sehr unpraktisch. Es ist viel besser, ein befristetes Genehmigungssystem zu verwenden.

Um es zu verwenden, müssen Sie zunächst ein Administratorzertifikat generieren. Wählen Sie dazu im Menü „Extras“ den Punkt „Zertifikat …“ und klicken Sie im sich öffnenden Fenster auf die Schaltfläche „Zertifikat ändern“. Wählen Sie danach im Assistenten das Optionsfeld "Neues Zertifikat erstellen" und geben Sie seinen Namen ein. Das einzige, was noch zu tun ist, ist eine Verbindung zu entfernte Computer, wählen Sie im Menü „Extras“ den Punkt „Einstellungen“, gehen Sie im sich öffnenden Fenster auf die Registerkarte „Allgemein“ und klicken Sie auf die Schaltfläche „Installieren“.

In Zlock können temporäre Berechtigungen auf zwei Arten verwendet werden - per E-Mail und per Telefon. Im ersten Fall wird die Anfrage wie folgt erstellt. Der Benutzer muss mit der rechten Maustaste auf das Zlock-Symbol in der Taskleiste klicken und „Abfrage erstellen“ aus dem Dropdown-Menü auswählen. In dem sich öffnenden Fenster muss er das gewünschte Gerät und die Zugriffsrechte (nur Lese- oder Vollzugriff) auswählen, die Adresse des Administrators und ggf. einen kurzen Kommentar eingeben. In diesem Fall wird im standardmäßig im System installierten Mailclient ein Schreiben mit angehängter Anforderungsdatei generiert. Nach Erhalt sollte der Administrator mit der Maus darauf doppelklicken. Es öffnet sich ein Fenster mit Informationen zur Anfrage. Wenn der Administrator der Verarbeitung zustimmt, muss er auf die Schaltfläche „Weiter“ klicken. Es öffnet sich ein Fenster zum Erstellen einer neuen Richtlinie, in dem das gewünschte Gerät bereits eingetragen ist. Der Administrator muss nur den Zeitplan für diese Richtlinie festlegen. Es kann entweder dauerhaft oder einmalig sein. Im zweiten Fall gilt die Richtlinie nur, bis der Benutzer die Windows-Sitzung beendet oder bis das Gerät entfernt wird (je nach Wahl des Administrators). Diese Richtlinie kann auf dem üblichen Weg oder über eine spezielle Datei per E-Mail (sie wird mit einem Administratorzertifikat geschützt) an den Computer des Mitarbeiters gesendet werden. Nach Erhalt muss der Benutzer es einfach ausführen, woraufhin er Zugriff auf das gewünschte Gerät hat.

Das telefonische Genehmigungssystem funktioniert ähnlich. Zuerst muss der Benutzer eine Anfrage erstellen. Dieses Verfahren ist fast identisch mit dem oben besprochenen. Erst im letzten Schritt wird keine E-Mail gebildet, sondern ein spezieller Code, der aus fünf Zahlen- und Buchstabenblöcken besteht. Der Mitarbeiter muss den Administrator anrufen und ihm diesen Zeichensatz diktieren. Der Administrator muss diesen Code in ein spezielles Fenster eingeben (es wird über den Punkt "Anforderung bearbeiten" im Menü "Richtlinie" aufgerufen). Dadurch werden detaillierte Informationen zur Anfrage angezeigt. Als nächstes kann der Administrator eine Richtlinie in der uns bereits bekannten Weise erstellen. Der einzige Unterschied besteht darin, dass das System in der letzten Phase einen weiteren Code generiert. Sein Administrator muss einem Mitarbeiter diktieren, der durch Eingabe in ein spezielles Feld den Zugriff auf das Gerät aktivieren kann.

Zusammenfassen

Wie wir sehen, ist das Verfahren zur Inbetriebnahme eines Insiderschutzsystems also im Prinzip nicht kompliziert. Um es auszuführen, müssen Sie keine besonderen Fähigkeiten haben. Jeder Systemadministrator mit Grundkenntnissen kommt damit zurecht. Netzwerktechnologien. Es ist jedoch erwähnenswert, dass die Wirksamkeit des Schutzes vollständig davon abhängt, wie kompetent und vollständig die Zugriffsrichtlinien erstellt werden. In diesem Moment lohnt es sich, mit größter Ernsthaftigkeit anzugehen, und ein verantwortungsbewusster Mitarbeiter sollte diese Arbeit erledigen.

Zlock: Steuert den Zugriff auf USB-Geräte

Zlock testen

Die erwarteten Hauptvorteile des Systems sollten neben den wichtigsten funktionalen Merkmalen die einfache Implementierung und die intuitiven Schritte zum Einrichten und Konfigurieren sein.

Abbildung 1. Standardzugriffsrichtlinie

Danach müssen Sie über die Zugriffsrichtlinien für den Zlock-Dienst selbst nachdenken, die auch während der Installation an Client-Sites verteilt werden. Bearbeiten Sie die Zugriffsrichtlinie für die Einstellungen des Client-Teils der Anwendung, indem Sie Benutzern erlauben oder verbieten, das Symbol zu sehen und Warnungen zum Ändern der Zugriffsrichtlinie zu erhalten. Einerseits sind diese Warnungen praktisch, da der Benutzer durch eine Zugriffsanfrage an den Administrator benachrichtigt wird, wenn die geänderte Richtlinie auf seinem Arbeitsplatz angewendet wird. Andererseits ziehen es Systemadministratoren häufig vor, Benutzern keine unnötige visuelle Bestätigung der auf der Arbeitsstation ausgeführten Schutzdienste bereitzustellen.

Dann wird die erstellte Richtlinie (in diesem Fall bleibt sie vorerst lokal auf der Konsolenarbeitsstation) als Datei mit dem Namen default gespeichert. zcfg in den Client-Distributionsordner.

Alle. Damit ist die globale Vorbereitung des Systems für die Masseninstallation abgeschlossen. Das Produkt besticht durch die einfache Erstellung von Richtlinien verbunden mit der Verwendung des Standardprinzips zur Erstellung von Benutzerrechten wie ACL.

Zur Installation auf allen Computern wurde eine Popup-Nachricht an Benutzer mit der Aufforderung gesendet, alle Netzwerkarbeitsstationen einzuschalten, die sich in der Nähe befinden, aber derzeit nicht verwendet werden. Nachdem ich alle Netzwerk-Workstations aus der Liste der zu verbindenden Computer ausgewählt hatte (oder vielmehr alle ausgewählt und dann Server ausgeschlossen hatte), startete ich den Verbindungsprozess für die weitere Installation des Client-Teils. Die Verbindung zu einer solchen Anzahl von Computern (150) hat natürlich relativ lange gedauert, da sie sequentiell ausgeführt wird, und wenn der Computer ausgeschaltet ist, dann wird mit dem Verbindungs-Timeout gerechnet. Der Vorgang muss jedoch nur während der Erstinstallation durchgeführt werden, weitere Richtlinien werden basierend auf den persönlichen Bedürfnissen der Benutzer gesteuert. Beim Versuch, den Client-Teil "auf einmal" auf allen 150 Computern im lokalen Netzwerk zu installieren, stieß ich auf mehreren Workstations auf kleinere Probleme, aber das System wurde auf den meisten Computern automatisch installiert. Bei der Installation gab es nur ein Problem - die Inkompatibilität von Zlock mit veralteten Versionen des StarForce-CD-Schutztreibers. Für eine korrekte Interaktion müssen Sie den StarForce-Treiber aktualisieren, indem Sie ihn von der Website des Herstellers herunterladen. Auch dies erfolgte aus der Ferne über den Remote-Installationsdienst. Die Erklärung des Grundes für diese Inkompatibilität hat meiner Meinung nach ein Recht auf Leben - schließlich interagiert Zlock mit dem I / O-Subsystem auf einer niedrigeren Ebene als die Anwendungsfunktionen des Betriebssystems - genau wie der CD-Kopierschutz.

Nachdem Sie Arbeitsstationen ausgewählt haben, werden Sie aufgefordert, anzugeben, von wo aus Sie die Installer-Distribution ausführen möchten. Diese Funktion ermöglicht es, andere Programme auf diese Weise zu installieren, ohne den Arbeitsplatz zu verlassen. Seien Sie vorsichtig bei der Auswahl der Installationsoption – „Mit Neustart“ oder „Neustart erforderlich“. Wenn Sie „Mit Neustart“ auswählen, werden die Client-Workstations nach Abschluss der Installation automatisch neu gestartet, ohne dass eine Benutzerbestätigung angefordert wird.

Damit ist die Erstinstallation abgeschlossen und nach einem Neustart beginnt der Zlock-Client mit der Ausführung der vorgeschriebenen Sicherheitsrichtlinie. Gleichzeitig erscheint das Symbol des Zlock-Dienstes in der Taskleiste und gibt Benutzern die Möglichkeit, Zugriffsanfragen zu erstellen und Richtlinien selbst zu bearbeiten, wenn dies natürlich von der von uns erstellten Standardrichtlinie für sie zugelassen wurde.

Der absoluten Privatsphäre verpflichtet...

Danach beginnt eigentlich die Feinabstimmung des Zlock-Systems. Wenn in Ihrem Unternehmen Mitarbeiter häufig etwas auf Wechselmedien speichern müssen und Sie die Sicherheitsrichtlinien auf höchstem Niveau halten möchten, dann koordinieren Sie Ihre Arbeitszeit so, dass Sie in der darauffolgenden Woche so oft wie möglich am Arbeitsplatz sein können Installation. Um die maximale Strenge der Zugriffsrichtlinie aufrechtzuerhalten, wird empfohlen, Regeln für bestimmte Wechseldatenträger zu erstellen, da Zlock es Ihnen ermöglicht, den Zugriff auf Geräte auch auf deren Grundlage zu gewähren komplette Eigenschaften wie Marke, Modell, Seriennummer usw. In IT-Firmen ist die Situation komplizierter, da Mitarbeiter ständig alle möglichen Informationen auf CD / DVD-R / RW-Discs schreiben müssen. In diesem Fall können wir empfehlen, dedizierte Workstations mit Aufzeichnungslaufwerken zu verwenden, auf denen Systemsicherheitsrichtlinien Regeln erstellen, die den Zugriff auf das Netzwerk von diesen Computern aus verhindern. Solche Feinheiten sprengen jedoch den Rahmen des Zlock-Artikels.

Wie funktioniert es in der Praxis?

Nun wollen wir sehen, wie das alles in Aktion aussieht. Ich erinnere Sie daran, dass die von mir erstellte Zugriffsrichtlinie Benutzern das Lesen von allen Wechselmedien ermöglicht und das Schreiben auf sie verbietet. Ein Mitarbeiter der Serviceabteilung kommt ins Büro, um Berichte einzureichen und Aufgaben auf Diskette zu brennen. Beim Anschluss eines Wechseldatenträgers schränkt das System den Zugriff ein und gibt eine entsprechende Warnung aus (siehe Abb. 2).

Abbildung 2. Warnung zur Zugriffsbeschränkung

Der Mitarbeiter liest die von ihm mitgebrachten Informationen, woraufhin er erfolglos versucht, die vom Manager erhaltenen Aufgaben aufzuschreiben. Wenn ein Zugriff erforderlich ist, kontaktiert er entweder den Administrator telefonisch oder generiert eine automatische Anfrage mit dem Zlock Tray Applet, in der er das Gerät angibt, auf das er zugreifen möchte, sein Konto benennt und die Notwendigkeit eines solchen Zugriffs begründet.

Nachdem der Administrator eine solche Anfrage erhalten hat, trifft er eine Entscheidung über das Gewähren/Nichtgewähren eines solchen Zugriffs und ändert, wenn die Entscheidung positiv ist, die Richtlinie für die gegebene Arbeitsstation. Gleichzeitig enthält die erstellte Anfrage alle Informationen über das Gerät, einschließlich Hersteller, Modell, Seriennummer usw., und das Zlock-System ermöglicht es Ihnen, basierend auf diesen Daten beliebige Richtlinien zu erstellen. So erhalten wir die Möglichkeit, einem bestimmten Benutzer Schreibzugriff auf das angegebene Gerät zu gewähren und gegebenenfalls alle Dateioperationen zu protokollieren (siehe Abb. 3).

Abbildung 3. Erstellen einer Richtlinie basierend auf einer Benutzeranforderung

Damit wird das Erstellen zusätzlicher Permissive Policies für den Administrator bis ans Limit vereinfacht und läuft auf das zweifellos erfreuliche Check&Click-Prinzip hinaus.

Probleme

Firewall-Ports für die Zlock-Fernverwaltung können nicht geöffnet werden?

Für die Fernverwaltung von Zlock in der Firewall reicht es aus, einen Port zu öffnen. Standardmäßig ist dies Port 1246, aber es kann geändert werden, wenn diese Nummer aus irgendeinem Grund nicht geeignet ist. Damit schneidet unser Produkt übrigens im Vergleich zu einigen Analoga ab, die den Dienst Remote Procedure Calls (RPC) für die Verwaltung verwenden, was standardmäßig das Öffnen vieler Ports erfordert und ziemlich anfällig für externe Angriffe ist. Wie Sie wissen, nutzten die meisten modernen Viren RPC-Schwachstellen, um einen Computer zu infiltrieren und ihm Administratorrechte zu verschaffen.

2) Probleme

Wir haben folgende Situation. Zwei Mitarbeiter arbeiten an demselben Computer in derselben Abteilung. Jeder hat ein Flash-Laufwerk. Die Aufgabe besteht darin, den USB-Stick des ersten Mitarbeiters lesbar zu machen, den USB-Stick des zweiten jedoch nicht. Das Hauptproblem besteht darin, dass diese Flash-Laufwerke die gleichen Nummern haben (VID_058F&PID_6387), Transcend 256 MB- und 1 GB-Flash-Laufwerke. Bitte sagen Sie mir, wie ich in dieser Situation vorgehen soll? Vielen Dank.

Die Zahlen, über die Sie sprechen, sind Produkt-IDs und Anbieter-IDs. Um den Zugriff auf Geräte mit denselben Produkt- und Hersteller-IDs einzuschränken, müssen Sie deren Seriennummer in den Zlock-Richtlinien angeben. Es ist erwähnenswert, dass nicht alle Hersteller von USB-Laufwerken ihren Produkten eindeutige Seriennummern zuweisen, normalerweise sündigen Noname-Hersteller durch das Fehlen von Seriennummern.

II. Überblick über SecurITZgate

In diesem Bericht beginnen wir mit einer ausführlichen Geschichte über SecurIT Zgate, eine Unternehmenslösung zur Analyse des Internetverkehrs auf Gateway-Ebene, um Versuche zum Durchsickern vertraulicher Daten oder andere nicht autorisierte Aktionen von Mitarbeitern zu erkennen und zu blockieren.

Einführung

Gemäß dem von SecurIT vorangetriebenen Konzept des umfassenden Schutzes vor internen Bedrohungen ist das Gateway-Produkt SecurIT Zgate ein wichtiger Bestandteil des IPC-Systems. Das IPC-Konzept umfasst DLP (Data Loss Prevention) und Datenschutzlösungen bei der Speicherung. Zum ersten Mal wurde die Kombination scheinbar unterschiedlicher Technologien von IDC-Analyst Brian Burk im Bericht Information Protection and Control Survey: Data Loss Prevention and Encryption Trends vorgeschlagen.

IPC-Systeme steuern die für DLP-Systeme standardmäßige Liste von Kanälen: E-Mail, Webressourcen (Webmail, soziale Netzwerke, Blogs), ICQ, USB-Geräte und Drucker. Bei IPC kommt zu diesen Fähigkeiten Datenverschlüsselung auf Servern, Magnetbändern und an Netzwerkendpunkten hinzu – auf PCs, Laptops und mobilen Laufwerken. Neben der Liste der kontrollierten Kanäle und verschlüsselten Medien unterscheidet sich IPC erheblich in der Reihe von Methoden zur Erkennung vertraulicher Daten.

Daher ist das SecurIT Zgate-System, mit dem Sie das Durchsickern vertraulicher Informationen über Netzwerkkanäle verhindern können, ein wichtiger, wenn nicht sogar ein entscheidender Bestandteil eines einzelnen IPC-Systems. SecurIT Zgate analysiert alle von Mitarbeitern nach außen übermittelten Daten Informationsnetzwerk Organisationen. SecurIT Zgate verwendet moderne automatische Erkennungstechnologien, die den Grad der Vertraulichkeit der übertragenen Informationen unter Berücksichtigung von Geschäftsmerkmalen und den Anforderungen verschiedener Industriestandards genau bestimmen.

1. Systemvoraussetzungen

Minimum System Anforderungen für die SecurIT Zgate-Lösung sind in der folgenden Tabelle aufgeführt.

2. Hauptmerkmale von SecurIT Zgate:

Filtern von eingehendem, ausgehendem und internem Datenverkehr.

Inhaltsanalyse übermittelter Nachrichten und Dateien durch beliebige Kombinationen automatischer Kategorisierungsmethoden.

Kompatibilität mit jedem Mailsystem (MTA), das auf dem SMTP-Protokoll läuft: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix usw.

In ... Arbeiten PassivmodusÜberwachung mit einer Kopie der übertragenen Daten oder im aktiven Modus zum Blockieren von Vorfällen in Echtzeit.

Flexible Richtlinien zum Prüfen, Blockieren und Archivieren von Daten mit der Möglichkeit, bis zu 30 Einstellungen zu konfigurieren.

Wenden Sie Richtlinien basierend auf Übertragungszeit, Verkehrsrichtung und Benutzerstandort an.

Praktische Tools zum Verwalten von Wörterbüchern, die verschiedene Kategorien von Dokumenten beschreiben.

Möglichkeit, verdächtige Nachrichten und Dateien manuell zu scannen.

Änderung von Nachrichten und die Möglichkeit, Benutzer über die Ergebnisse der Filterung zu benachrichtigen.

Integration mit Anwendungen von Drittanbietern für die zusätzliche Verarbeitung durch Antivirus- und Antispam-Systeme.

Möglichkeit, ein vollständiges Archiv der übertragenen Daten, einschließlich Anhangsdateien, in Microsoft SQL Server oder Oracle Database zu verwalten.

Skalierbare und modulare Architektur, um die anspruchsvollsten Leistungsanforderungen zu erfüllen.

Installation und Verwaltung über eine einzige Konsole für alle SECURIT-Produkte.

Umfangreiche Möglichkeiten, die Rollen der Administratoren zu trennen.

Unterstützung für den Import statistischer Informationen in verschiedene Berichtsdesigner wie Crystal Reports oder FastReport.

3. Installieren von SecurIT Zgate

Wichtig! Wenn Sie die E-Mail-Verarbeitungstools von SecurIT Zgate innerhalb von Microsoft Exchange 2007/2010 verwenden möchten, muss der SecurIT Zgate-Serverteil auf demselben Computer installiert sein, auf dem auch Microsoft Exchange installiert ist.

SecurIT Zgate verwendet für die Installation das Standard-InstallShield. Es ist bemerkenswert, dass die gesamte Installation einfach ist und keine Schwierigkeiten verursacht.

Abbildung 1: Beginn der Installation von SecurIT Zgate

Beachten Sie in Abbildung 2, dass der Protokollserver nicht standardmäßig installiert ist. Es kann auf einem anderen Computer bereitgestellt werden. Das Ereignisprotokoll kann in einer XML-Datei gespeichert werden, einen separaten Protokollserver verwenden oder eine Datenbank (MSSQL Server oder Oracle Database) verwenden.

Abbildung 2: Auswahl der Module zur Installation von SecurIT Zgate

Die Arbeit mit SecurIT Zgate erfolgt über die Verwaltungskonsole. Zur Kommunikation mit dem SecurIT Zgate-Server verwendet die Verwaltungskonsole das TCP/IP-Protokoll und Port 1246. Vergessen Sie nicht, diesen Port in der Firewall zu öffnen. Sie können diesen Port bei Bedarf später ändern.

Wenn Sie SecurIT Zgate im Sniffer-Modus verwenden möchten, müssen Sie den WinPcap-Treiber auf einem Computer mit einem bereits installierten SecurIT Zgate-Server installieren. Der WinPcap-Treiber ist mit der SecurIT Zgate-Distribution gebündelt.

Die Verwaltungskonsole kann auf demselben Computer installiert werden, auf dem SecurIT Zgate bereits installiert ist, oder auf einem separaten.

Beginnen wir also mit Zgate SecurIT.

4. Erste Schritte und Ersteinrichtung von SecurIT Zgate

Abbildung 3: Gesamtansicht der SecurIT Zgate-Verwaltungskonsole

Zunächst müssen Sie eine Verbindung mit dem Computer herstellen, auf dem sich der Serverteil des Systems befindet. Die Liste der Computer befindet sich auf der linken Seite der Verwaltungskonsole im Baumelement „Ohne Anwendungen“. In unserem Beispiel haben wir den SecurIT Zgate-Server auf dem VM-2003TEST-Computer installiert, den wir auswählen werden.

Nachdem wir den benötigten Computer ausgewählt haben und die Verbindung mit ihm erfolgreich war, wird er aus dem Abschnitt „Ohne Anwendungen“ auf die Knoten der darauf installierten Anwendungen übertragen (in unserem Fall ist dies SecurIT Zgate) und a Es öffnet sich eine baumartige Liste mit Einstellungen und Funktionen (Abbildung 4).

Abbildung 4: Die Verbindung zum Computer war erfolgreich – neue Funktionen sind verfügbar

Es ist zu beachten, dass die Liste der Computer in der Domäne entweder über NetBIOS bestimmt oder aus Active Directory geladen wird. Wenn Sie eine große Anzahl von Computern im Netzwerk haben, können Sie die Suchoption verwenden.

Wenn sich der Computer nicht in der Liste „Keine Anwendungen“ befindet, kann die Verbindung manuell hergestellt werden. Öffnen Sie dazu in der Management-Konsole das Menü „Verbindung“ und wählen Sie den Punkt „Verbindung erstellen“. Geben Sie im sich öffnenden Fenster den Computernamen, die IP-Adresse, den Port (standardmäßig 1246) und die Benutzerinformationen ein (Abbildung 5). Standardmäßig sind die Zugriffsrechte für die Konfiguration von SecurIT Zgate so konfiguriert, dass Benutzer, die der Gruppe der lokalen Administratoren angehören, vollen Zugriff auf alle Systemfunktionen haben.

Abbildung 5: Manuelles Erstellen einer Verbindung

Schauen wir uns also nacheinander die Einstellungen des SecurIT Zgate-Servers an.

Allgemein. Dieser Abschnitt (Abbildung 6) legt die Einstellungen des internen Mailservers, den Port des internen Mailservers, den Serverbetriebsmodus, das Verzeichnis für die temporäre Speicherung verarbeiteter Nachrichten fest und legt fest maximale Lautstärke dieses Verzeichnis.

Abbildung 6: Allgemeine Einstellungen Server für Mailserver in SecurIT Zgate

Wie Sie der Abbildung entnehmen können, sind die Betriebsmodi „E-Mail-Filterung in Microsoft Exchange 2007/2010“ und „E-Mail-Protokollierung in Microsoft Exchange 2007/2010“ nicht verfügbar, da Microsoft Exchange derzeit nicht installiert und konfiguriert ist. Der Spiegelungsmodus (Analyse einer Kopie des übertragenen Datenverkehrs) ist verfügbar, da der WinPcap-Treiber installiert ist.

Das Spiegeln von Nachrichten, die mit verschlüsseltem SMTP-Datenverkehr (erstellt mit dem TLS-Protokoll mit dem Befehl STARTTTLS) und mit der XEXCH50-Erweiterung des Exchange-ESMTP-Protokolls gesendet werden, wird nicht unterstützt.

Rezeption. In diesem Abschnitt konfigurieren Sie den E-Mail-Empfang so, dass er in verschiedenen Server-Betriebsmodi funktioniert (Abbildung 7).

Abbildung 7: Konfigurieren des E-Mail-Empfangs für den Proxy-Modus (Journaling)

Beim Konfigurieren der Filterung oder Protokollierung im Proxy-Modus werden die Netzwerkschnittstelle und die Portnummer (Standard 25) für den Empfang von E-Mails von außerhalb des SecurIT Zgate-Systems festgelegt; Netzwerkschnittstelle und Portnummer, die zum Empfangen von E-Mails vom internen E-Mail-Server verwendet werden; Verzeichnis für eingehende Nachrichten und seine maximale Größe. Das Posteingangsverzeichnis speichert Nachrichten, die von SecurIT Zgate empfangen werden, bevor sie verarbeitet oder weitergeleitet werden.

Auf derselben Registerkarte wird der Schutz vor Denial-of-Service-Angriffen konfiguriert. Wie Sie in Abbildung 7 sehen können, besteht der Schutz vor Angriffen im Dienst aus einer Reihe von Bedingungen, wenn sie nicht erfüllt sind, wird die Nachricht nicht akzeptiert. Diese Bedingungen können abhängig von der Notwendigkeit oder Nutzlosigkeit einer bestimmten Prüfung aktiviert oder deaktiviert werden.

Wenn der SecurIT Zgate-Server im gespiegelten Datenverkehrsanalysemodus arbeitet (aktiviert auf der Registerkarte Einstellungen Allgemein), dann tab Rezeption hat die folgende Form (Abbildung 8).

Abbildung 8: Konfigurieren des E-Mail-Empfangs im gespiegelten Datenverkehrsanalysemodus

Die Einstellungen für diesen Betriebsmodus geben die Netzwerkschnittstelle an, auf der gespiegelter Datenverkehr empfangen wird, die IP-Adresse des gespiegelten Mailservers, die Ports, die der gespiegelte Server zum Empfangen und Senden von E-Mails verwendet, sowie das Verzeichnis zum Speichern eingehender Nachrichten und seine Größe.

Wichtig! Damit SecurIT Zgate im Spiegelungsmodus funktioniert, ist dies erforderlich Netzwerkschalter, an dem der Rechner mit SecurIT Zgate angeschlossen ist, unterstützt die Mirroring-Funktion. Port Mirroring ermöglicht das Kopieren von Datenverkehr auf einen Kontrollport, sodass er analysiert werden kann, ohne den Datenfluss zu beeinträchtigen.

Das Vorhandensein eines Switches mit Port-Mirroring-Funktion ist jedoch nicht erforderlich, wenn SecurIT Zgate auf dem Proxyserver der Organisation installiert ist oder wenn SecurIT Zgate auf dem Computer installiert ist, von dem der Datenverkehr überwacht wird.

Wenn auf der Registerkarte ausgewählt Allgemein Server-Betriebsmodi E-Mail-Filterung in Microsoft Exchange 2007/2010 oder E-Mail-Journaling in Microsoft Exchange 2007/2010, Registerkarten Rezeption und Übertragung werden ersetzt Registerkarte „Microsoft Exchange“..

Auf der Registerkarte Microsoft Exchange die Kataloge für ein- und ausgehende Nachrichten und ihr maximales Volumen werden konfiguriert (die Kataloge dienen dazu, eine Warteschlange von Nachrichten zu organisieren, die zur Verarbeitung oder an den Mailserver des Empfängers gesendet werden). Ebenfalls auf dieser Registerkarte können Sie die Option „Interne Mail kontrollieren“ auswählen. In diesem Modus werden auch interne Nachrichten zwischen Clients des kontrollierten Mailservers gescannt. Diese Funktion ist sehr wichtig, da es möglich wird, die interne Korrespondenz der Mitarbeiter zu kontrollieren.

Unten auf der Registerkarte werden Informationen zu Fehlern oder Warnungen angezeigt.

Übertragung. Die Mail-Übertragungseinstellungen hängen nicht vom Betriebsmodus des Servers ab und sind sowohl für das Filtern und Protokollieren im Proxy-Modus als auch für das Spiegeln gleich (Abbildung 9).

Abbildung 9: E-Mail-Übertragungseinstellungen in SecurIT Zgate

Hier werden folgende Parameter konfiguriert: die maximale Anzahl gleichzeitiger ausgehender Verbindungen; Verbindungsversuchsschemata; Liste der Maildomänen, die vom internen Mailserver bedient werden; Zustellserver, an den nach außen gesendete E-Mails übermittelt werden (wenn der Zustellserver nicht angegeben ist und die Domäne des Empfängers nicht intern ist, stellt SecurIT Zgate selbst E-Mails zu und stellt eine direkte Verbindung zum Mailserver des Empfängers her); ein Smarthost, an den E-Mails für Empfänger aus akzeptierten Domänen weitergeleitet werden, die jedoch nicht in den Lizenzlisten enthalten sind; Verzeichnis für ausgehende Nachrichten und seine maximale Größe. Auch werden E-Mails an den Smarthost weitergeleitet, bei denen SecurIT Zgate die Mailserver-Adresse nicht per DNS ermitteln konnte oder der Mailserver gemeldet hat, dass der Empfänger nicht existiert.

Das Verbindungsschema mit dem Mailserver des Empfängers besteht aus Serien. Die Serie besteht aus einer bestimmten Anzahl von Versuchen, sich mit dem Server des Empfängers der Nachricht zu verbinden, und einem Intervall in Minuten zwischen den Versuchen. Konnte keine Verbindung nach Schema aufgebaut werden, wird die Meldung gelöscht und eine entsprechende Meldung im Protokoll angezeigt. In diesem Fall wird eine Fehlermeldung an den Absender gesendet.

Zgate-Web-Tab wurde entwickelt, um Informationslecks über das Internet zu verhindern, beispielsweise wenn Mitarbeiter absichtlich oder versehentlich vertrauliche Daten über ihre Webmail versenden, in einem Forum oder Blog posten oder über ICQ senden.

Der Betrieb von Zgate Web wird durch Port-Spiegelung auf dem Switch oder durch Abfangen des Netzwerkverkehrs auf dem Computer, auf dem SecurIT Zgate installiert ist, bereitgestellt. Um Zgate Web verwenden zu können, muss auf dem Computer, auf dem der SecurIT Zgate-Server installiert ist, der WinPcap-Treiber installiert sein.

In der aktuellen Version fängt Zgate Web den Datenverkehr ab, der mit den folgenden Protokollen und Ressourcen übertragen wird:

AOL ICQ Instant Messaging-Protokoll;

FTP-Dateiübertragungsprotokoll;

HTTP-Datenübertragungsprotokoll;

E-Mail-Dienste: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

SMS/MMS-Nachrichtendienste: Megafon, Beeline, MTS, TELE2, SKYLINK, Web-SMS;

Foren, die auf der Basis der Software PhpBb, IpBoard, Vbulletin implementiert wurden.

Wie Sie sehen können, sind die Verkehrssteuerungsfunktionen beeindruckend.

Für jede Nachricht generiert das Web-Abhörmodul von Zgate einen Brief, der Informationen über die Nachricht und eine Reihe zusätzlicher Parameter in Bezug auf den verwendeten Dienst enthält. Dieser Brief wird in die eingehenden Nachrichten eingefügt und vom SecurIT Zgate-System genauso verarbeitet wie ein normaler Brief, der über das SMTP-Protokoll empfangen wird.

Die Zgate-Webeinstellungen sind in Abbildung 10 dargestellt.

Abbildung 10: Zgate-Webeinstellungen

Auf dieser Registerkarte können Sie Zgate Web aktivieren oder deaktivieren sowie die Netzwerkschnittstelle angeben, von der der Datenverkehr kopiert wird, die Liste der Adressbereiche für analysierte Pakete anzeigen und bearbeiten (es ist möglich, Ihre eigenen Bereiche hinzuzufügen) und ein Verzeichnis auszuwählen zum Speichern temporärer Dateien und ihrer Größe sowie die für die Arbeit erforderlichen Analysemodule auswählen.

Um Ihren Adressbereich für analysierte Pakete hinzuzufügen, müssen Sie auf die Schaltfläche „+“ klicken, die sich rechts neben der Liste der analysierten Pakete befindet. Ein solches Fenster wird geöffnet (Abbildung 11).

Abbildung 11: Hinzufügen eines Adressbereichs für geparste Pakete zu SecurIT Zgate

Nachdem Sie die benötigten Adressen und Ports angegeben und eine Aktion ausgewählt haben (analysieren oder von der Analyse ausschließen), klicken Sie auf die Schaltfläche OK. Das neue Sortiment ist einsatzbereit.

Archiv. Das Archiv dient der zentralen Aufbewahrung von Briefkopien, deren Sichtung und Weiterleitung. Außerdem werden isolierte Nachrichten im Archiv gespeichert. Ein Archiv in Form einer Datenbank kann mit Oracle oder Microsoft SQL Server organisiert werden (Abbildung 12). Einige der Einstellungen im Zusammenhang mit den Archiveinstellungen befinden sich auf der Registerkarte „Erweitert“ (Element „Einstellungen“ im Menü „Extras“).

Abbildung 12: Auswahl einer Datenbank und Einstellen von Archivparametern in SecurIT Zgate

Um das Archiv verwenden zu können, müssen wir MSSQL Express oder Oracle installieren und konfigurieren (in den Mindestsystemanforderungen angegeben).

Nachdem wir die notwendigen Einstellungen und den Benutzer für den Zugriff auf die Datenbank festgelegt haben, können wir die Verbindung zur Datenbank selbst testen. Dafür ist die Schaltfläche „Verbindung prüfen“ vorgesehen (Abbildung 13). Sie können auch die Möglichkeit der Datenkomprimierung festlegen. Wählen Sie den „goldenen Mittelweg“ zwischen Arbeitsgeschwindigkeit und Datenmenge.

Abbildung 13: Alles ist bereit, um mit der Datenbank zu arbeiten – die Verbindung ist hergestellt

Lizenz. Der Zweck der Registerkarte ist aus dem Namen selbst ersichtlich. Es zeigt die Anzahl der lizenzierten E-Mail-Adressen, die Gültigkeitsdauer der Lizenz, die Liste der lizenzierten SecurIT Zgate-Module - Email Control (Zgate Mail) und Web Traffic Control (Zgate Web). Lizenzierte Module sind mit einem grünen Haken gekennzeichnet (Abbildung 14).

Abbildung 14: Anzeigen und Verwalten von Lizenzen in SecurIT Zgate

Statistiken. Auch bei diesem Reiter ist alles klar. Es zeigt die Statistik des SecurIT Zgate-Servers an (Abbildung 15).

Abbildung 15: Statistiken des SecurIT Zgate-Servers

Zusätzlich. Auf dieser Registerkarte werden zusätzliche Systemeinstellungen angezeigt (Abbildung 16). Detaillierte Beschreibung für jede Einstellung finden Sie in der Produktdokumentation.

Abbildung 16: Erweiterte Einstellungen von SecurIT Zgate

Zugang. Das SecurIT Zgate-System bietet die Möglichkeit, Zugriffsrechte für die Verwaltung und Arbeit mit dem Nachrichtenarchiv zwischen mehreren Benutzern zu differenzieren. Auf dieser Registerkarte wird der Zugriff auf das System konfiguriert (Abbildung 17).

Abbildung 17: Verwaltung des Zugriffs auf das SecurIT Zgate-System

Wie bereits erwähnt, sind die Zugriffsrechte für die Konfiguration von SecurIT Zgate standardmäßig so konfiguriert, dass Benutzer, die Mitglieder der Gruppe der lokalen Administratoren sind, vollen Zugriff auf alle Funktionen haben.

Um einen Benutzer oder eine Gruppe von Benutzern zur Zugriffsliste hinzuzufügen, klicken Sie auf die Schaltfläche „+“ und wählen Sie das gewünschte Konto oder die gewünschte Gruppe aus. Geben Sie dann im unteren Teil des Fensters die Rechte an, die Sie dem angegebenen Konto zuweisen möchten. Das Symbol "V" bedeutet, dass der Benutzer zu dieser Operation berechtigt ist, "X" bedeutet, dass dem Benutzer der Zugriff auf diese Funktion verweigert wird. Die Rechte des Benutzers und der Gruppe, der er angehört, werden ähnlich wie beim akzeptierten Zugriffskontrollsystem in Windows zusammengefasst.

Als Beispiel haben wir den Guest-Benutzer ausgewählt und ihm das Recht gegeben, Parameter und Statistiken anzuzeigen (Abbildung 18).

Abbildung 18: Einen Benutzer auswählen und ihm die entsprechenden Rechte zuweisen

Tagebuch schreiben. Das SecurIT Zgate-System ermöglicht es Ihnen, eine zusätzliche Verarbeitung der von ihm durchgeführten Operationen durch den Ereignisverarbeitungsmechanismus zu implementieren. Eine der Optionen für eine solche Verarbeitung besteht darin, den Betrieb von SecurIT Zgate im Windows-Systemprotokoll, in einer Datei oder auf Microsoft SQL Server zu protokollieren.

Standardmäßig ist die Ereignisprotokollierung deaktiviert (Abbildung 19). Sie können die Protokollierung eines Ereignisses unabhängig aktivieren und auswählen, wie die Ereignisprotokollierung durchgeführt wird.

Abbildung 19: Liste der zu überwachenden Ereignisse in SecurIT Zgate

Das Aktivieren der Protokollierung für jedes Ereignis ist sehr einfach. Wählen Sie dazu das gewünschte Ereignis aus und klicken Sie auf die Schaltfläche „+“ rechts neben der Ereignisliste und wählen Sie dann die gewünschte Protokollierungsoption aus. Nehmen wir als Beispiel die Option „Logging“ (Abbildung 20).

Abbildung 20: Konfigurieren von Ereignisprotokollierungsoptionen für das Datei- oder Systemprotokoll

Es ist ersichtlich, dass Sie in diesem Fall die Option auswählen können, sich im Systemprotokoll anzumelden, und Sie können jeden Computer im lokalen Netzwerk auswählen, um dieses Protokoll zu speichern, oder Sie können die Option auswählen, sich in einer Datei anzumelden. Außerdem stehen drei Optionen für das Dateiformat zur Verfügung: Text ANSI, Text Unicode und XML. Der Unterschied zwischen dem Schreiben eines Protokolls im XML-Format im Gegensatz zum Schreiben in eine Textdatei besteht darin, dass die Protokolldatei im XML-Format mit Hilfe des SecurIT Zgate-Systems analysiert werden kann. Bei Textdateien ist diese Möglichkeit ausgeschlossen.

Sie können auch den Speicherort der Protokolldatei und die Rechte des Benutzers auswählen, in dessen Auftrag die Protokollierung durchgeführt wird.

Abbildung 21: Auswahl von Ereignissen zum Einloggen in SecurIT Zgate

Nachdem Sie die erforderlichen Ereignisse ausgewählt haben, müssen Sie nur noch auf die Schaltfläche "Fertig stellen" klicken. Das Ergebnis ist in Abbildung 22 dargestellt. Neben den protokollierten Ereignissen wurden entsprechende Symbole angezeigt, die die Protokollierungsparameter und den Speicherort angeben, an dem das Protokoll geschrieben wird.

Abbildung 22: Sie können drei Ereignisse sehen, die in der XML-Datei protokolliert werden

Sie können sich auch beim Protokollserver und Microsoft SQL Server anmelden. Die Protokollierung auf einem SQL-Server, die Aufzeichnung von Informationen über ein Ereignis erfolgt durch das Verarbeitungsmodul in einer Datenbank, die mit Hilfe von Microsoft SQL Server organisiert wird.

Wenn Sie sich für die Anmeldung am Microsoft SQL Server entscheiden, müssen Sie den Server selbst mit MSSQL auswählen, Benutzerparameter angeben und die Verbindung zur Datenbank überprüfen. Ist alles korrekt, werden Sie bei der Überprüfung der Verbindung aufgefordert, eine neue Datenbank anzulegen, deren Name vom SecurIT Zgate-System vorgegeben wird (Abbildung 23).

Abbildung 23: Auswählen eines Datenbankservers und Festlegen von Parametern für die Verbindung zu ihm

Abbildung 24: Bestätigen der Erstellung der internen Datenbankstruktur zum Speichern des Protokolls

Abbildung 25: Festlegen der zu protokollierenden Ereignisse

Abbildung 26: Wir sehen die Ereignisse, die auf dem angegebenen SQL-Server protokolliert werden

Skripte. Eine andere Art der zusätzlichen Verarbeitung von Operationen, die von SecurIT Zgate durchgeführt werden, kann die Ausführung von Skripten (Skripten) und das Starten von ausführbaren Dateien sein.

Wenn das ausgewählte Ereignis ausgelöst wird, wird die angegebene Anwendung gestartet oder das angegebene Skript ausgeführt. Die Liste der Ereignisse ähnelt der Liste der Ereignisse für die Protokollierung.

Diese Option kann beispielsweise genutzt werden, um eine SMS über ein Ereignis zu versenden oder einen Arbeitsplatz bis zum Eintreffen eines Sicherheitsbeauftragten zu sperren.

Abbildung 27: Auswahl der ausführbaren Datei

Im selben Fenster können Sie den Pfad zur Skriptdatei angeben und den Benutzer angeben, in dessen Namen die Datei oder das Skript ausgeführt wird. Bitte beachten Sie, dass Anwendungen standardmäßig unter dem SYSTEM-Konto gestartet werden.

Abbildung 28: Liste der Ereignisse, die die Anwendung auslösen

Damit ist die Stufe der vorläufigen Konfiguration des SecurIT-Systems abgeschlossen und es geht weiter mit der Konfiguration der Filtersubsysteme.

Inhaltsanalyse und Filterung einrichten

Betrachten wir nun die Möglichkeiten zur Einrichtung eines Content-Analyse-Systems.

Wörterbücher. Wörterbücher in Zgate werden als Gruppen von Wörtern verstanden, die nach einem Attribut (Kategorie) zusammengefasst sind. In der Regel erlaubt uns das Vorhandensein von Wörtern aus einem bestimmten Wörterbuch im Buchstaben mit hoher Wahrscheinlichkeit, den Buchstaben der durch dieses Wörterbuch gekennzeichneten Kategorie zuzuordnen. Wörterbücher im Zgate-System werden zum Filtern in den Methoden „Wörterbuchanalyse“ und „Bayesianische Verarbeitung“ verwendet.

Abbildung 29: Wörterbuchverwaltungsfenster in SecurIT Zgate

Da SecurIT Zgate sowohl bei der Analyse einer Mail-Nachricht als auch bei der Verarbeitung nach der Bayes'schen Methode dieselben Wörterbücher verwendet, werden bei der Erstellung von Wörterbüchern einem Wort immer zwei Parameter zugewiesen: Gewichtung in der Kategorie und Gewichtung in der Anti-Kategorie. Standardmäßig sind beide Parameter auf 50 eingestellt.

Um ein Wörterbuch hinzuzufügen, müssen Sie im Wörterbuchverwaltungsfenster auf die Schaltfläche „+“ klicken, und um Wörter zum Wörterbuch hinzuzufügen, müssen Sie das gewünschte Wörterbuch auswählen und auf die Schaltfläche „Bleistift“ klicken (Abbildung 30, 31). .

Abbildung 30: Hinzufügen eines Wörterbuchs zu SecurIT Zgate

Abbildung 31: Hinzufügen eines Wortes zum Wörterbuch in SecurIT Zgate

Bei der Eingabe von Wörtern können Sie Sonderzeichen verwenden:

beliebig viele beliebige Buchstaben oder Zahlen;

Ein beliebiges Zeichen (Buchstabe oder Zahl);

^ - ein Trennzeichen (Leerzeichen, Tabulator, Zeilenvorschub);

Ein Trenn- oder Satzzeichen;

# - eine Zeichenziffer;

@ - ein Zeichen-Buchstabe.

Gültige Zeichen für das Wörterbuch sind die Zeichen (,),<, >, (, ), - , _, Sonderzeichen und Sonderzeichen als einfache Zeichen (jedes Sonderzeichen kann durch Hinzufügen eines Backslash zu einem regulären Zeichen gemacht werden). Test* bedeutet beispielsweise, dass das Wörterbuch das Wort test* enthält. Und test* bedeutet, dass das Wörterbuch alle Wörter enthält, die mit test beginnen - test, tests, test usw.

Neben der manuellen Erstellung und Befüllung eines Wörterbuchs können Sie ein Wörterbuch durch den Import von Wörtern aus einer zuvor vorbereiteten Datei erstellen und es besteht auch die Möglichkeit, ein Wörterbuch automatisch zu erstellen.

Beim Importieren von Wörtern aus einer Datei wird jedem importierten Wort eine Gewichtung in der Standardkategorie und Antikategorie zugewiesen. Für das Wörterbuch falsche Zeichen werden beim Import standardmäßig durch ein Trennzeichen (Leerzeichen) ersetzt.

Die automatische Erstellung eines Wörterbuchs aus einer Datei ist möglich, indem eine speziell vorbereitete Textdatei mit dem entsprechenden Wortsatz sowie reale Dokumente verwendet werden, die zu der einen oder anderen Kategorie gehören oder nicht gehören.

Neben linguistischen Analysemethoden können Sie die für diese Produktklasse beliebte Methode der "digitalen Fingerabdrücke" verwenden - dies ist eine Methode zur Suche nach Kopien von kontrollierten Dokumenten oder Teilen von Dokumenten in einer E-Mail-Nachricht. In diesem Fall kann der gewünschte Text geändert werden oder nur ein Teil davon im Brief vorhanden sein.

Das Imprint-Verfahren besteht darin, dass alle vertraulichen Dokumente ihren „digitalen Fingerabdruck“ erhalten. Die empfangenen Ausdrucke werden in einer aktualisierten (in automatischer Modus) und die aktualisierte Datenbank. Wenn es notwendig ist, irgendein Dokument zu prüfen, wird ein "digitaler Fingerabdruck" dafür berechnet, dann wird ein ähnlicher Fingerabdruck unter den Fingerabdrücken von vertraulichen Dokumenten gesucht, die in der Datenbank gespeichert sind. Wenn der Fingerabdruck der gescannten Datei dem in der Datenbank gespeicherten Fingerabdruck ähnlich ist, wird eine entsprechende Warnung (Benachrichtigung) ausgegeben.

Um mit der Datenbank der Fingerabdrücke zu arbeiten, müssen Sie zum Menü „Extras“ gehen und den Befehl „Fußabdrücke“ ausführen.

Abbildung 32: Verwalten der Fingerprint-Datenbank in SecurIT Zgate

Um eine neue Kategorie von Dokumenten für Fingerabdrücke hinzuzufügen, müssen Sie klicken

"+"-Taste. Drücken Sie zum Bearbeiten die „Bleistift“-Taste und die „X“-Taste, um eine Kategorie zu löschen.

Abbildung 33: Anlegen einer Dokumentenkategorie in SecurIT Zgate

Außerdem wird beim Erstellen einer Kategorie die Zeit für die Aktualisierung der Datenbank mit Fingerabdrücken angegeben, die Parameter des Benutzers, in dessen Namen auf die Dateien zugegriffen wird, werden festgelegt, und es werden Dateien hinzugefügt, die häufig verwendete Wörter enthalten, die vom Scannen ausgeschlossen sind.

Sie können die folgenden Dateiformate verwenden, um Fingerabdrücke zu erstellen: . txt. Dok. docx. XLS. XLSX,. ppt. pptx,. pdf,.html,. rtf. odt. Odds. odp. dbf. wps. xml* (das .xml-Format wird wie ein normales Textdokument geparst).

Die erstellte Kategorie kann einer Testprüfung unterzogen werden. Die Prüfung der Testdatei mit dem Fingerprint-Verfahren dient dazu, die Korrektheit der digitalen Fingerabdruckeinstellungen und die Korrektheit der Beschreibung der Kategorien zu ermitteln. Bei der Prüfung wird festgestellt, ob der digitale Abdruck der zu prüfenden Akte (Dokument) dem in der zuvor erstellten Datenbank einer bestimmten Kategorie gespeicherten digitalen Abdruck des Dokuments ähnlich ist. Die Suche nach ähnlichen Dokumenten wird unter Berücksichtigung der Tatsache durchgeführt, dass einige oder alle russischen Zeichen in dem geprüften Dokument durch englische Zeichen mit ähnlicher Schreibweise ersetzt werden könnten und umgekehrt.

Um dies zu überprüfen, müssen Sie unten im Verwaltungsfenster der Fingerabdruckdatenbank auf die Schaltfläche „Prüfen“ klicken und die zu überprüfende Datei auswählen, wobei der Prozentsatz der Ähnlichkeitswahrscheinlichkeit angegeben wird.

Ein solches fortschrittliches Kategorisierungssystem ermöglicht es Ihnen, separate Kategorien für unterschiedliche Nachrichteninhalte zu erstellen. Dies ermöglicht wiederum die richtige Kategorisierung von Vorfallmeldungen im Protokoll und ermöglicht es dem Sicherheitsbeauftragten, Prioritäten zu setzen und schnell auf Ereignisse zu reagieren.

Abbildung 35: Festlegen der Traffic-Inspection-Parameter in SecurIT Zgate

Abbildung 36: Prüfergebnis

Schutz vor Insidern durch eine Kombination aus Zgate und Zlock

Heutzutage gibt es zwei Hauptkanäle für das Durchsickern vertraulicher Informationen: an einen Computer angeschlossene Geräte (alle Arten von Wechseldatenträgern, einschließlich Flash-Laufwerke, CD-/DVD-Laufwerke usw., Drucker) und das Internet (E-Mail, ICQ, soziale Netzwerke). , usw.). ?d.). Wenn ein Unternehmen „reift“, ein Schutzsystem gegen sie einzuführen, ist es daher ratsam, diese Lösung umfassend anzugehen. Das Problem besteht darin, dass verschiedene Ansätze verwendet werden, um verschiedene Kanäle zu überlappen. In einem Fall ist der effektivste Schutz die Kontrolle über die Verwendung von Wechseldatenträgern und im zweiten Fall verschiedene Optionen zur Inhaltsfilterung, mit denen Sie die Übertragung vertraulicher Daten in ein externes Netzwerk blockieren können. Und so müssen Unternehmen zum Schutz vor Insidern zwei Produkte einsetzen, die zusammen ein umfassendes Sicherheitssystem bilden. Natürlich ist es vorzuziehen, die Werkzeuge eines Entwicklers zu verwenden. In diesem Fall wird der Prozess ihrer Implementierung, Verwaltung und Schulung der Mitarbeiter erleichtert. Ein Beispiel sind die Produkte von SecurIT: Zlock und Zgate.

Zlock: Auslaufschutz durch Wechseldatenträger

Das Zlock-Programm ist schon lange auf dem Markt. Und wir haben bereits seine Hauptmerkmale beschrieben. Im Prinzip macht es keinen Sinn zu wiederholen. Seit der Veröffentlichung des Artikels wurden jedoch zwei neue Versionen von Zlock veröffentlicht, die eine Reihe wichtiger Funktionen aufweisen. Es lohnt sich, darüber zu sprechen, wenn auch nur ganz kurz.

Zunächst ist die Möglichkeit zu erwähnen, einem Computer mehrere Richtlinien zuzuweisen, die unabhängig voneinander angewendet werden, je nachdem, ob der Computer direkt oder über VPN mit dem Unternehmensnetzwerk verbunden ist oder offline arbeitet. Dadurch können insbesondere USB-Ports und CD-/DVD-Laufwerke automatisch gesperrt werden, wenn der PC vom lokalen Netzwerk getrennt wird. Im Allgemeinen erhöht diese Funktion die Sicherheit von Informationen, die auf Laptops gespeichert sind, die Mitarbeiter aus dem Büro auf Reisen oder zur Arbeit zu Hause mitnehmen können.

Die zweite neue Funktion gibt Firmenmitarbeitern vorübergehenden Zugriff auf gesperrte Geräte oder sogar Gerätegruppen über das Telefon. Das Funktionsprinzip ist der Austausch von Geheimcodes, die vom Programm generiert werden, zwischen dem Benutzer und dem für die Informationssicherheit verantwortlichen Mitarbeiter. Bemerkenswert ist, dass die Nutzungserlaubnis nicht nur dauerhaft, sondern auch temporär (für eine bestimmte Zeit oder bis zum Ende der Sitzung) erteilt werden kann. Dieses Tool kann als eine gewisse Erleichterung im Sicherheitssystem angesehen werden, ermöglicht es Ihnen jedoch, die Reaktionsfähigkeit der IT-Abteilung auf geschäftliche Anfragen zu erhöhen.

Die nächste wichtige Neuerung in den neuen Versionen von Zlock ist die Kontrolle über die Verwendung von Druckern. Nach der Einrichtung zeichnet das Schutzsystem alle Benutzeranfragen an Druckgeräte in einem speziellen Protokoll auf. Aber das ist nicht alles. Zlock hat eine Schattenkopie aller gedruckten Dokumente. Sie werden im PDF-Format geschrieben und sind eine vollständige Kopie der gedruckten Seiten, unabhängig davon, welche Datei an die Druckerei gesendet wurde. Dadurch wird verhindert, dass vertrauliche Informationen auf Papierbögen durchsickern, wenn ein Insider die Daten ausdruckt, um sie aus dem Büro mitzunehmen. Auch im Schutzsystem erschien Schattenkopien von Informationen, die auf CD / DVD-Datenträgern aufgezeichnet wurden.

Eine wichtige Neuerung war die Entstehung der Serverkomponente Zlock Enterprise Management Server. Es bietet eine zentrale Speicherung und Verteilung von Sicherheitsrichtlinien und anderen Programmeinstellungen und erleichtert die Verwaltung von Zlock in großen und verteilten Informationssystemen erheblich. Es ist auch unmöglich, die Entstehung eines eigenen Authentifizierungssystems zu erwähnen, mit dem Sie bei Bedarf auf die Verwendung von Domänen- und lokalen Windows-Benutzern verzichten können.

Darüber hinaus verfügt die neueste Version von Zlock über einige nicht so auffällige, aber auch sehr wichtige Funktionen: Client-Modul-Integritätskontrolle mit der Möglichkeit, die Anmeldung des Benutzers zu blockieren, wenn Eindringlinge erkannt werden, erweiterte Optionen zur Implementierung eines Sicherheitssystems, Unterstützung für Oracle DBMS, etc.?

Zgate: Schutz vor Internetlecks

Also Zgate. Wie wir bereits gesagt haben, handelt es sich bei diesem Produkt um ein System zum Schutz vor dem Durchsickern vertraulicher Informationen über das Internet. Strukturell besteht Zgate aus drei Teilen. Die Hauptkomponente ist die Serverkomponente, die alle Datenverarbeitungsvorgänge durchführt. Es kann sowohl auf einem separaten Computer als auch auf bereits im Unternehmensinformationssystem betriebenen Knoten installiert werden - einem Internet-Gateway, einem Domänencontroller, einem Mail-Gateway usw. Dieses Modul wiederum besteht aus drei Komponenten: zur Steuerung des SMTP-Verkehrs, zur Steuerung der internen E-Mail des Microsoft Exchange 2007/2010-Servers und Zgate Web (es ist für die Steuerung des HTTP-, FTP- und IM-Verkehrs verantwortlich).

Der zweite Teil des Schutzsystems ist der Protokollserver. Es wird verwendet, um Informationen über Ereignisse von einem oder mehreren Zgate-Servern zu sammeln, zu verarbeiten und zu speichern. Dieses Modul ist besonders nützlich in großen und geografisch verteilten Unternehmenssystemen, da es einen zentralen Zugriff auf alle Daten bietet. Der dritte Teil ist die Verwaltungskonsole. Es verwendet die Standardkonsole für SecurIT-Produkte, weshalb wir nicht näher darauf eingehen. Wir stellen nur fest, dass Sie mit Hilfe dieses Moduls das System nicht nur lokal, sondern auch remote verwalten können.

Managementkonsole

Das Zgate-System kann in mehreren Modi betrieben werden. Darüber hinaus hängt ihre Verfügbarkeit davon ab, wie das Produkt implementiert wird. Die ersten beiden Modi beinhalten die Arbeit als Mail-Proxy-Server. Um sie zu implementieren, wird das System zwischen dem Firmenmailserver und der „Außenwelt“ installiert (oder zwischen dem Mailserver und dem sendenden Server, falls diese getrennt sind). In diesem Fall kann Zgate sowohl den Datenverkehr filtern (verletzende und fragwürdige Nachrichten zurückhalten) als auch nur protokollieren (alle Nachrichten weiterleiten, aber im Archiv aufbewahren).

Die zweite Implementierungsmethode besteht darin, das Schutzsystem in Verbindung mit Microsoft Exchange 2007 oder 2010 zu verwenden. Dazu müssen Sie Zgate direkt auf dem Mailserver des Unternehmens installieren. In diesem Fall sind auch zwei Modi verfügbar: Filtern und Protokollieren. Darüber hinaus gibt es eine weitere Implementierungsoption. Wir sprechen über das Protokollieren von Nachrichten im Modus des gespiegelten Datenverkehrs. Um es zu verwenden, muss natürlich sichergestellt werden, dass der Computer, auf dem Zgate installiert ist, diesen sehr gespiegelten Datenverkehr empfängt (normalerweise geschieht dies mit Netzwerkgeräten).

Auswahl der Zgate-Betriebsart

Die Zgate-Webkomponente verdient eine separate Geschichte. Es wird direkt auf dem Internet-Gateway des Unternehmens installiert. Gleichzeitig erhält dieses Subsystem die Fähigkeit, den HTTP-, FTP- und IM-Verkehr zu kontrollieren, d. h. ihn zu verarbeiten, um Versuche zu erkennen, vertrauliche Informationen über Webmail-Schnittstellen und ICQ zu senden, sie in Foren, FTP-Servern zu veröffentlichen, und soziale Netzwerke usw. Übrigens über "ICQ". Die Funktion zum Blockieren von IM-Messengern ist in vielen ähnlichen Produkten enthalten. Allerdings ist gerade "ICQ" nicht drin. Ganz einfach, weil es in den russischsprachigen Ländern am weitesten verbreitet ist.

Das Funktionsprinzip der Zgate-Webkomponente ist recht einfach. Jedes Mal, wenn Informationen an einen der kontrollierten Dienste gesendet werden, generiert das System eine spezielle Nachricht. Es enthält die Informationen selbst und einige Servicedaten. Es wird an den Zgate-Hauptserver gesendet und gemäß den angegebenen Regeln verarbeitet. Das Versenden von Informationen im Dienst selbst wird selbstverständlich nicht blockiert. Das heißt, Zgate Web funktioniert nur im Protokollierungsmodus. Mit seiner Hilfe ist es unmöglich, einzelne Datenlecks zu verhindern, aber Sie können sie andererseits schnell erkennen und die Aktivität eines freien oder unwissenden Angreifers stoppen.

In letzter Zeit ist das Problem des Schutzes vor internen Bedrohungen zu einer echten Herausforderung für die klare und etablierte Welt der Ungeworden. Die Presse spricht über Insider, Forscher und Analysten warnen vor möglichen Verlusten und Problemen, und Newsfeeds sind voll von Berichten über einen weiteren Vorfall, der aufgrund eines Fehlers oder einer Unaufmerksamkeit eines Mitarbeiters zum Durchsickern von Hunderttausenden von Kundendatensätzen führte. Versuchen wir herauszufinden, ob dieses Problem so ernst ist, ob es behandelt werden sollte und welche Tools und Technologien zur Verfügung stehen, um es zu lösen.

Zunächst sollte festgestellt werden, dass die Bedrohung der Vertraulichkeit der Daten intern ist, wenn ihre Quelle ein Mitarbeiter des Unternehmens oder eine andere Person ist, die legalen Zugriff auf diese Daten hat. Wenn wir also über interne Bedrohungen sprechen, sprechen wir über alle möglichen Handlungen legaler Benutzer, ob absichtlich oder versehentlich, die dazu führen können, dass vertrauliche Informationen außerhalb des Unternehmensnetzwerks eines Unternehmens nach außen gelangen. Um das Bild zu vervollständigen, sollte man hinzufügen, dass solche Benutzer oft als Insider bezeichnet werden, obwohl dieser Begriff andere Bedeutungen hat.

Die Relevanz des Problems interner Bedrohungen wird durch die Ergebnisse neuerer Studien bestätigt. Insbesondere wurden im Oktober 2008 die Ergebnisse einer gemeinsamen Studie von Compuware und Ponemon Institute bekannt gegeben, wonach Insider die häufigste Ursache für Datenlecks sind (75 % der Vorfälle in den USA), während Hacker nur an fünfter Stelle lagen . In der jährlichen Umfrage des Computer Security Institute (CSI) für 2008 lauten die Zahlen für Insider-Bedrohungsvorfälle wie folgt:

Der Prozentsatz der Vorfälle bedeutet, dass diese Art von Vorfall von der Gesamtzahl der Befragten in dem angegebenen Prozentsatz von Organisationen aufgetreten ist. Wie aus diesen Zahlen ersichtlich ist, besteht für fast jede Organisation das Risiko, unter internen Bedrohungen zu leiden. Zum Vergleich: Laut demselben Bericht waren 50 % der befragten Unternehmen von Viren betroffen, und nur 13 % waren mit dem Eindringen von Hackern in das lokale Netzwerk konfrontiert.

Interne Bedrohungen sind daher die Realität von heute und kein von Analysten und Anbietern erfundener Mythos. Wer also auf altmodische Weise glaubt, dass die Informationssicherheit von Unternehmen eine Firewall und ein Virenschutz ist, sollte sich das Problem so schnell wie möglich genauer ansehen.

Auch das Gesetz „Über personenbezogene Daten“ erhöht den Spannungsgrad, wonach sich Organisationen und Beamte nicht nur vor ihrer Geschäftsführung, sondern auch gegenüber ihren Kunden und vor dem Gesetz für den missbräuchlichen Umgang mit personenbezogenen Daten verantworten müssen.

Eindringling-Modell

Traditionell sollte man bei der Betrachtung von Bedrohungen und Schutzmaßnahmen dagegen mit einer Analyse des Eindringlingsmodells beginnen. Wie bereits erwähnt, werden wir über Insider sprechen - Mitarbeiter der Organisation und andere Benutzer, die legalen Zugang zu vertraulichen Informationen haben. In der Regel denkt jeder bei diesen Worten an einen Büroangestellten, der an einem Computer im Unternehmensnetzwerk arbeitet und während der Arbeit das Büro der Organisation nicht verlässt. Diese Darstellung ist jedoch unvollständig. Es muss erweitert werden, um andere Arten von Personen mit legalem Zugang zu Informationen einzubeziehen, die das Büro der Organisation verlassen können. Dies können Geschäftsreisende mit Laptops sein, oder die sowohl im Büro als auch zu Hause arbeiten, Kuriere, die Medien mit Informationen transportieren, hauptsächlich Magnetbänder mit Backup usw.

Eine solche erweiterte Betrachtung des Eindringlingsmodells passt erstens ins Konzept, da die von diesen Eindringlingen ausgehenden Bedrohungen auch intern sind, und erlaubt uns zweitens, das Problem breiter zu analysieren und alle möglichen Optionen zur Bekämpfung dieser Bedrohungen zu berücksichtigen.

Die folgenden Haupttypen von internen Übertretern können unterschieden werden:

• Untreuer / beleidigter Mitarbeiter.Zuwiderhandelnde dieser Kategorie können gezielt handeln, indem sie beispielsweise den Arbeitsplatz wechseln und vertrauliche Informationen stehlen wollen, um das Interesse eines neuen Arbeitgebers zu wecken, oder emotional, falls sie sich gekränkt fühlen und sich rächen wollen. Sie sind gefährlich, weil sie am stärksten motiviert sind, der Organisation, in der sie derzeit arbeiten, Schaden zuzufügen. Die Zahl der Vorfälle mit illoyalen Mitarbeitern ist in der Regel gering, kann aber bei ungünstigen wirtschaftlichen Rahmenbedingungen und massivem Personalabbau zunehmen.
• Eingebetteter, bestochener oder manipulierter Mitarbeiter.In diesem Fall wir redenüber alle zielgerichteten Handlungen, in der Regel zum Zwecke der Industriespionage in einem wettbewerbsintensiven Umfeld. Um vertrauliche Informationen in einem Konkurrenzunternehmen zu sammeln, stellen sie entweder ihre eigene Person für bestimmte Zwecke vor, oder sie finden einen Mitarbeiter, der nicht der loyalste ist, und bestechen ihn, oder ein loyaler, aber nicht wachsamer Mitarbeiter wird gezwungen, vertrauliche Informationen mit Mitteln zu übertragen der Sozialtechnik. Die Anzahl solcher Vorfälle ist in der Regel noch geringer als die vorherigen, da der Wettbewerb in den meisten Wirtschaftszweigen der Russischen Föderation nicht sehr entwickelt ist oder auf andere Weise umgesetzt wird.
• Unseriöser Angestellter.Diese Art von Übertreter ist ein loyaler, aber unaufmerksamer oder fahrlässiger Mitarbeiter, der aufgrund von Unwissenheit oder Vergesslichkeit gegen die interne Sicherheitsrichtlinie des Unternehmens verstoßen kann. Ein solcher Mitarbeiter kann versehentlich eine E-Mail mit einer geheimen Datei im Anhang an die falsche Person senden oder ein Flash-Laufwerk mit vertraulichen Informationen mit nach Hause nehmen, um am Wochenende damit zu arbeiten, und es verlieren. Zum gleichen Typ gehören Mitarbeiter, die Laptops und Magnetbänder verlieren. Nach Ansicht vieler Experten ist diese Art von Insider für die meisten Lecks vertraulicher Informationen verantwortlich.

Daher können sich die Motive und folglich die Vorgehensweise potenzieller Verletzer erheblich unterscheiden. Abhängig davon sollte man sich der Lösung des Problems der Gewährleistung der inneren Sicherheit der Organisation nähern.

Technologien zum Schutz vor Insider-Bedrohungen

Trotz der relativ jungen Entwicklung dieses Marktsegments haben Kunden bereits jetzt eine große Auswahl, je nach Aufgabenstellung und finanziellen Möglichkeiten. Zu beachten ist, dass es mittlerweile praktisch keine Anbieter mehr auf dem Markt gibt, die sich ausschließlich auf interne Bedrohungen spezialisiert hätten. Diese Situation hat sich nicht nur aufgrund der Unreife dieses Segments entwickelt, sondern auch aufgrund der aggressiven und manchmal chaotischen M&A-Politik, die von Herstellern traditioneller Schutzmittel und anderen an einer Präsenz in diesem Segment interessierten Anbietern verfolgt wird. Es lohnt sich, sich an RSA Data Security zu erinnern, das 2006 zu einer Division von EMC wurde, NetApps Kauf von Decru, einem Startup, das Serverspeicher- und Backup-Schutzsysteme entwickelte, im Jahr 2005, Symantecs Kauf des DLP-Anbieters Vontu im Jahr 2007 usw.

Obwohl eine Vielzahl solcher Transaktionen gute Aussichten für die Entwicklung dieses Segments aufzeigen, kommen sie nicht immer der Qualität der Produkte zugute, die unter die Fittiche großer Konzerne fallen. Produkte beginnen sich langsamer zu entwickeln und Entwickler reagieren nicht so schnell auf Marktanforderungen wie ein hochspezialisiertes Unternehmen. Dies ist eine bekannte Krankheit großer Unternehmen, die bekanntlich an Mobilität und Effizienz gegenüber ihren kleineren Brüdern verlieren. Andererseits verbessern sich die Servicequalität und die Verfügbarkeit von Produkten für Kunden in verschiedenen Teilen der Welt aufgrund der Entwicklung ihres Service- und Vertriebsnetzes.

Betrachten Sie die wichtigsten Technologien, die derzeit verwendet werden, um interne Bedrohungen zu neutralisieren, ihre Vor- und Nachteile.

Dokumentenkontrolle

Die Dokumentenkontrolltechnologie ist in modernen Produkten zur Rechteverwaltung wie Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES und Oracle Information Rights Management enthalten.

Das Funktionsprinzip dieser Systeme besteht darin, jedem Dokument Nutzungsregeln zuzuweisen und diese Rechte in Anwendungen zu steuern, die mit Dokumenten dieser Art arbeiten. Beispielsweise können Sie ein Dokument erstellen Microsoft Word und legen Sie Regeln dafür fest, wer es anzeigen, wer Änderungen bearbeiten und speichern und wer es drucken darf. Diese Regeln werden in Windows RMS-Begriffen als Lizenz bezeichnet und mit der Datei gespeichert. Der Inhalt der Datei wird verschlüsselt, um zu verhindern, dass ein unbefugter Benutzer sie einsehen kann.

Wenn nun ein Benutzer versucht, eine solche geschützte Datei zu öffnen, kontaktiert die Anwendung einen speziellen RMS-Server, bestätigt die Berechtigung des Benutzers, und wenn der Zugriff auf diesen Benutzer erlaubt ist, übergibt der Server den Schlüssel an die Anwendung, um diese Datei und Informationen darüber zu entschlüsseln die Rechte dieses Benutzers. Basierend auf diesen Informationen stellt die Anwendung dem Benutzer nur die Funktionen zur Verfügung, für die er Rechte hat. Wenn der Benutzer beispielsweise eine Datei nicht drucken darf, steht die Druckfunktion der Anwendung nicht zur Verfügung.

Es stellt sich heraus, dass die Informationen in einer solchen Datei sicher sind, auch wenn die Datei außerhalb des Unternehmensnetzwerks gelangt – sie ist verschlüsselt. RMS-Funktionen sind bereits in Apps integriert Microsoft Office 2003 Professionelle Ausgabe. Für die Einbettung der RMS-Funktionalität in Anwendungen anderer Entwickler stellt Microsoft ein spezielles SDK bereit.

Das Dokumentenkontrollsystem von Adobe ist ähnlich aufgebaut, konzentriert sich jedoch auf PDF-Dokumente. Oracle IRM wird auf Client-Computern als Agent installiert und zur Laufzeit in Anwendungen integriert.

Die Dokumentenkontrolle ist ein wichtiger Teil des Gesamtkonzepts zum Schutz vor Insider-Bedrohungen, aber die natürlichen Grenzen dieser Technologie müssen berücksichtigt werden. Erstens ist es ausschließlich für die Kontrolle von Dokumentendateien konzipiert. Bei unstrukturierten Dateien oder Datenbanken funktioniert diese Technologie nicht. Zweitens, wenn ein Angreifer unter Verwendung des SDK dieses Systems eine einfache Anwendung erstellt, die mit dem RMS-Server kommuniziert, von dort einen Verschlüsselungsschlüssel erhält und das Dokument im Klartext speichert und diese Anwendung im Namen eines Benutzers ausführt, der eine hat Mindestmaß an Zugriff auf das Dokument, dann dieses System wird umgangen. Darüber hinaus sollte man die Schwierigkeiten bei der Implementierung eines Dokumentenlenkungssystems berücksichtigen, wenn die Organisation bereits viele Dokumente erstellt hat – die Aufgabe, Dokumente anfänglich zu klassifizieren und Rechte zu vergeben, um sie zu verwenden, kann einen erheblichen Aufwand erfordern.

Das bedeutet nicht, dass Dokumentenlenkungssysteme die Aufgabe nicht erfüllen, man muss nur bedenken, dass Informationsschutz ein komplexes Problem ist, das in der Regel nicht mit nur einem Tool gelöst werden kann.

Auslaufschutz

Der Begriff Data Loss Prevention (DLP) taucht erst seit relativ kurzer Zeit im Lexikon der Infauf und hat es bereits geschafft, ohne Übertreibung zum heißesten Thema der letzten Jahre zu werden. Die Abkürzung DLP bezeichnet in der Regel Systeme, die mögliche Leckagekanäle überwachen und diese sperren, falls versucht wird, vertrauliche Informationen über diese Kanäle zu senden. Darüber hinaus umfassen die Funktionen solcher Systeme häufig die Möglichkeit, Informationen, die sie durchlaufen, für spätere Audits, Vorfalluntersuchungen und rückblickende Analysen potenzieller Risiken zu archivieren.

Es gibt zwei Arten von DLP-Systemen: Netzwerk-DLP und Host-DLP.

Netzwerk-DLP arbeiten nach dem Prinzip eines Netzwerk-Gateways, das alle durchlaufenden Daten filtert. Basierend auf der Aufgabe, interne Bedrohungen zu bekämpfen, liegt das Hauptinteresse einer solchen Filterung offensichtlich in der Fähigkeit, Daten zu kontrollieren, die außerhalb des Unternehmensnetzwerks in das Internet übertragen werden. Mit Netzwerk-DLP können Sie ausgehende E-Mails, HTTP- und FTP-Verkehr, Instant Messaging-Dienste usw. kontrollieren. Wenn vertrauliche Informationen erkannt werden, kann Netzwerk-DLP die übertragene Datei blockieren. Es gibt auch Optionen zum manuellen Bearbeiten verdächtiger Dateien. Verdächtige Dateien werden in Quarantäne gestellt, die regelmäßig von einem Sicherheitsbeauftragten überprüft wird und die Übertragung der Datei entweder erlaubt oder verbietet. Allerdings ist eine solche Verarbeitung aufgrund der Besonderheiten des Protokolls nur für E-Mail möglich. Zusatzfunktionen Audit and Incident Investigation bietet die Archivierung aller Informationen, die das Gateway durchlaufen, vorausgesetzt, dass dieses Archiv regelmäßig überprüft und sein Inhalt analysiert wird, um aufgetretene Lecks zu identifizieren.

Eines der Hauptprobleme bei der Implementierung und Implementierung von DLP-Systemen ist die Methode zur Erkennung vertraulicher Informationen, dh der Zeitpunkt der Entscheidung, ob die übertragenen Informationen vertraulich sind, und die Gründe, die bei einer solchen Entscheidung berücksichtigt werden. Dies geschieht in der Regel durch eine inhaltliche Analyse übermittelter Dokumente, auch Inhaltsanalyse genannt. Betrachten wir die wichtigsten Ansätze zur Erkennung vertraulicher Informationen.

• Stichworte. Dieses Verfahren ähnelt den oben diskutierten Dokumentenkontrollsystemen. Etiketten sind in Dokumente eingebettet, die den Grad der Vertraulichkeit von Informationen beschreiben, was mit diesem Dokument getan werden kann und an wen es gesendet werden sollte. Anhand der Ergebnisse der Etikettenanalyse entscheidet das DLP-System, ob dieses Dokument nach draußen geschickt werden kann oder nicht. Einige DLP-Systeme werden zunächst mit Rechteverwaltungssystemen kompatibel gemacht, um die von diesen Systemen festgelegten Labels zu verwenden, andere Systeme verwenden ihr eigenes Label-Format.
• Unterschriften. Diese Methode besteht darin, eine oder mehrere Zeichenfolgen anzugeben, deren Vorhandensein im Text der übertragenen Datei dem DLP-System mitteilen soll, dass diese Datei vertrauliche Informationen enthält. Eine große Anzahl von Signaturen kann in Wörterbüchern organisiert werden.
• Bayes-Methode. Diese Methode, die im Kampf gegen Spam eingesetzt wird, kann erfolgreich in DLP-Systemen angewendet werden. Um dieses Verfahren anzuwenden, wird eine Liste von Kategorien erstellt und eine Liste von Wörtern mit den Wahrscheinlichkeiten angegeben, dass, wenn ein Wort in einer Datei vorkommt, die Datei mit einer gegebenen Wahrscheinlichkeit zu der angegebenen Kategorie gehört oder nicht gehört.
• Morphologische Analyse.Die Methode der morphologischen Analyse ähnelt der Signaturmethode, der Unterschied liegt darin, dass nicht eine 100%ige Übereinstimmung mit der Signatur analysiert wird, sondern auch Single-Root-Wörter berücksichtigt werden.
• Digitaldrucke.Die Essenz dieser Methode besteht darin, dass für alle vertraulichen Dokumente eine Hash-Funktion so berechnet wird, dass bei einer geringfügigen Änderung des Dokuments die Hash-Funktion gleich bleibt oder sich auch geringfügig ändert. Dadurch wird der Prozess der Erkennung vertraulicher Dokumente stark vereinfacht. Trotz des enthusiastischen Lobes dieser Technologie von vielen Anbietern und einigen Analysten lässt ihre Zuverlässigkeit zu wünschen übrig, und angesichts der Tatsache, dass Anbieter unter verschiedenen Vorwänden es vorziehen, die Details der Implementierung des digitalen Fingerabdruck-Algorithmus im Schatten zu halten, ihre Glaubwürdigkeit nimmt nicht zu.
• Reguläre Ausdrücke.Allen bekannt, die sich mit Programmierung beschäftigt haben, erleichtern reguläre Ausdrücke das Auffinden von Musterdaten in Texten, wie Telefonnummern, Passdaten, Bankkontonummern, Sozialversicherungsnummern und so weiter.

Aus der obigen Liste ist leicht ersichtlich, dass Erkennungsmethoden entweder keine 100%ige Erkennung vertraulicher Informationen garantieren, da die Fehlerquote sowohl der ersten als auch der zweiten Art in ihnen ziemlich hoch ist, oder dass sie eine ständige Wachsamkeit des Sicherheitsdienstes erfordern um die Liste der Unterschriften oder Aufgaben zu aktualisieren und auf dem neuesten Stand zu halten Etiketten für vertrauliche Dokumente.

Darüber hinaus kann die Verkehrsverschlüsselung ein gewisses Problem beim Betrieb von Netzwerk-DLP verursachen. Wenn es aus Sicherheitsgründen erforderlich ist, E-Mail-Nachrichten zu verschlüsseln oder zu verwenden SSL-Protokoll Beim Herstellen einer Verbindung zu beliebigen Webressourcen kann das Problem, das Vorhandensein vertraulicher Informationen in den übertragenen Dateien festzustellen, sehr schwer zu lösen sein. Vergessen Sie nicht, dass einige Instant Messaging-Dienste wie Skype standardmäßig über eine integrierte Verschlüsselung verfügen. Sie müssen die Nutzung solcher Dienste ablehnen oder Host-DLPs verwenden, um sie zu kontrollieren.

Doch trotz aller Schwierigkeiten richtige Einstellung Wenn sie ernst genommen werden, können Netzwerk-DLPs das Risiko des Durchsickerns vertraulicher Informationen erheblich reduzieren und einem Unternehmen ein bequemes Mittel zur internen Kontrolle bieten.

Host-DLP werden auf jedem Host im Netzwerk (auf Client-Workstations und ggf. auf Servern) installiert und können auch zur Steuerung des Internetverkehrs verwendet werden. Host-DLPs sind in dieser Funktion jedoch weniger verbreitet und werden derzeit hauptsächlich zur Steuerung externer Geräte und Drucker verwendet. Wie Sie wissen, stellt ein Mitarbeiter, der von einem Flash-Laufwerk oder einem MP3-Player zur Arbeit kommt, eine viel größere Bedrohung für die Informationssicherheit eines Unternehmens dar als alle Hacker zusammen. Diese Systeme werden auch als Endpoint-Security-Tools bezeichnet, obwohl dieser Begriff häufig häufiger verwendet wird, z. B. wird dies manchmal als Antiviren-Tools bezeichnet.

Wie Sie wissen, lässt sich das Problem der Verwendung externer Geräte ohne jegliche Mittel lösen, indem die Ports entweder physisch oder über das Betriebssystem oder administrativ deaktiviert werden, indem den Mitarbeitern untersagt wird, Medien ins Büro zu bringen. In den meisten Fällen ist der Ansatz „billig und fröhlich“ jedoch nicht akzeptabel, da die von Geschäftsprozessen geforderte Flexibilität der Informationsdienste nicht gegeben ist.

Daraus ergibt sich eine gewisse Nachfrage nach speziellen Tools, mit denen das Problem der Nutzung externer Geräte und Drucker durch Firmenmitarbeiter flexibler gelöst werden kann. Mit solchen Tools können Sie Zugriffsrechte für Benutzer auf verschiedene Gerätetypen konfigurieren, z. B. für eine Benutzergruppe das Arbeiten mit Medien verbieten und Drucker zulassen und für eine andere das Arbeiten mit Medien im schreibgeschützten Modus zulassen. Wenn es notwendig ist, Informationen auf externen Geräten für einzelne Benutzer aufzuzeichnen, kann die Schattenkopie-Technologie verwendet werden, die sicherstellt, dass alle Informationen, die auf einem externen Gerät gespeichert sind, auf den Server kopiert werden. Die kopierten Informationen können anschließend analysiert werden, um Benutzeraktionen zu analysieren. Diese Technologie kopiert alles, und derzeit gibt es keine Systeme, die eine Inhaltsanalyse gespeicherter Dateien ermöglichen, um den Vorgang zu blockieren und ein Auslaufen zu verhindern, wie dies bei Netzwerk-DLPs der Fall ist. Ein Schattenkopiearchiv ermöglicht jedoch die Untersuchung von Vorfällen und die retrospektive Analyse von Ereignissen im Netzwerk, und ein solches Archiv bedeutet, dass ein potenzieller Insider gefasst und für seine Handlungen bestraft werden kann. Dies kann sich für ihn als erhebliches Hindernis und als gewichtiger Grund herausstellen, feindliche Aktionen einzustellen.

Erwähnenswert ist auch die Kontrolle der Verwendung von Druckern – auch Ausdrucke von Dokumenten können zu einer Leckagequelle werden. Mit Host DLP können Sie den Benutzerzugriff auf Drucker genauso steuern wie auf andere externe Geräte und Kopien von gedruckten Dokumenten speichern Grafikformat zur weiteren Analyse. Darüber hinaus hat die Technologie der Wasserzeichen (Wasserzeichen), die das Drucken eines eindeutigen Codes auf jeder Seite eines Dokuments implementiert, durch den es möglich ist, genau zu bestimmen, wer, wann und wo dieses Dokument gedruckt hat, eine gewisse Verbreitung gefunden.

Trotz der unbestrittenen Vorteile von Host-DLP haben sie eine Reihe von Nachteilen, die mit der Notwendigkeit verbunden sind, Agentensoftware auf jedem Computer zu installieren, der gesteuert werden soll. Erstens kann es gewisse Schwierigkeiten bei der Bereitstellung und Verwaltung solcher Systeme verursachen. Zweitens kann ein Benutzer mit Administratorrechten versuchen, diese Software zu deaktivieren, um Aktionen auszuführen, die von der Sicherheitsrichtlinie nicht zugelassen werden.

Dennoch ist Host-DLP für eine zuverlässige Steuerung externer Geräte unverzichtbar, und die genannten Probleme sind nicht unlösbar. Daher können wir den Schluss ziehen, dass das DLP-Konzept angesichts des ständig wachsenden Drucks auf sie, die interne Kontrolle und den Schutz vor Lecks zu gewährleisten, heute ein vollwertiges Werkzeug im Arsenal der Sicherheitsdienste von Unternehmen ist.

IPC-Konzept

Im Prozess der Erfindung neuer Mittel zur Bekämpfung interner Bedrohungen hört das wissenschaftliche und technische Denken der modernen Gesellschaft nicht auf, und angesichts bestimmter Mängel der oben diskutierten Mittel ist der Markt für Systeme zum Schutz vor Informationslecks zum Konzept von IPC gekommen ( Informationsschutz und -kontrolle). Dieser Begriff tauchte vor relativ kurzer Zeit auf, es wird angenommen, dass er erstmals 2007 in einer Überprüfung des Analyseunternehmens IDC verwendet wurde.

Die Essenz dieses Konzepts besteht darin, DLP- und Verschlüsselungsverfahren zu kombinieren. In diesem Konzept kontrolliert DLP Informationen, die das Unternehmensnetzwerk über technische Kanäle verlassen, und Verschlüsselung dient zum Schutz von Datenträgern, die physisch in die Hände von Unbefugten fallen oder gelangen könnten.

Betrachten Sie die gängigsten Verschlüsselungstechnologien, die im IPC-Konzept verwendet werden können.

• Verschlüsselung von Magnetbändern.Trotz der Archaik dieser Art von Medien werden sie weiterhin aktiv für Backups und zur Übertragung großer Informationsmengen verwendet, da sie in Bezug auf die Stückkosten eines gespeicherten Megabytes immer noch unübertroffen sind. Dementsprechend erfreuen verlorene Bandlecks weiterhin die Nachrichtenredakteure auf den Titelseiten und frustrieren CIOs und Unternehmenssicherheitsbeauftragte, die Gegenstand solcher Berichte sind. Erschwerend kommt hinzu, dass solche Bänder sehr große Datenmengen enthalten und somit sehr viele Menschen Opfer von Betrügern werden können.
• Verschlüsselung von Serverspeichern.Auch wenn Serverspeicher sehr selten transportiert werden und das Verlustrisiko unermesslich geringer ist als bei Magnetbändern, ist ein separater Festplatte Lagerung kann in die falschen Hände geraten. Reparatur, Entsorgung, Aufrüstung – diese Ereignisse treten mit ausreichender Regelmäßigkeit auf, um dieses Risiko abzuschreiben. Und die Situation des Eindringens in das Büro von Unbefugten ist kein völlig unmögliches Ereignis.

Hier lohnt es sich, einen kleinen Exkurs zu machen und den weit verbreiteten Irrglauben zu erwähnen, dass wenn eine Platte Teil eines RAID-Verbundes ist, man sich angeblich keine Sorgen machen muss, dass sie in unbefugte Hände gerät. Es scheint, dass das Striping von Daten, die auf mehrere Festplatten geschrieben werden, was von RAID-Controllern durchgeführt wird, den Daten, die sich auf einer Festplatte befinden, ein unlesbares Aussehen verleiht. Leider ist dies nicht ganz richtig. Interleaving findet statt, aber in den meisten modernen Geräten wird es auf der 512-Byte-Blockebene durchgeführt. Das bedeutet, dass trotz der Verletzung der Struktur und Dateiformate vertrauliche Informationen von einer solchen Festplatte extrahiert werden können. Wenn es daher erforderlich ist, die Vertraulichkeit von Informationen zu gewährleisten, wenn diese in einem RAID-Array gespeichert werden, bleibt die Verschlüsselung die einzig zuverlässige Option.

• Verschlüsselung von Laptops.Das wurde unzählige Male gesagt, aber der Verlust von Laptops mit vertraulichen Informationen ist seit vielen Jahren in der Top-5-Hitparade der Vorfälle.
• Verschlüsselung von Wechselmedien.In diesem Fall sprechen wir über tragbare USB-Geräte und manchmal beschreibbare CDs und DVDs, wenn sie in den Geschäftsprozessen des Unternehmens verwendet werden. Solche Systeme sowie die oben erwähnten Laptop-Festplattenverschlüsselungssysteme können oft als Komponente von Host-DLP-Systemen fungieren. In diesem Fall spricht man von einer Art Krypto-Perimeter, das eine automatische transparente Verschlüsselung von Medien innerhalb und die Unfähigkeit, Daten außerhalb davon zu entschlüsseln, bereitstellt.

Daher kann die Verschlüsselung die Fähigkeiten von DLP-Systemen erheblich verbessern und das Risiko des Verlusts vertraulicher Daten verringern. Trotz der Tatsache, dass das IPC-Konzept erst vor relativ kurzer Zeit Gestalt angenommen hat und die Auswahl an integrierten IPC-Lösungen auf dem Markt nicht allzu groß ist, entwickelt die Branche diesen Bereich aktiv weiter, und es ist durchaus möglich, dass dieses Konzept nach einiger Zeit zum de facto Standard zur Lösung von Problemen der inneren Sicherheit und der internen Kontrolle.

Schlussfolgerungen

Wie aus gesehen diese Rezension, interne Bedrohungen ist ein ziemlich neuer Bereich in der Informationssicherheit, der sich jedoch aktiv entwickelt und verstärkte Aufmerksamkeit erfordert. Die betrachteten Technologien zur Dokumentenkontrolle, DLP und IPC, ermöglichen den Aufbau eines ziemlich zuverlässigen internen Kontrollsystems und reduzieren das Risiko von Datenlecks auf ein akzeptables Niveau. Ohne Zweifel wird sich dieser Bereich der Informationssicherheit weiter entwickeln, neuere und fortschrittlichere Technologien werden angeboten, aber heute entscheiden sich viele Organisationen für die eine oder andere Lösung, da Nachlässigkeit in Fragen der Informationssicherheit zu teuer werden kann.

Alexey Raevsky
CEO von SecurIT

Ähnliche Beiträge

Wie man mit kontakt geld verdient

2022-06-18 03:02:26

Das Kopfhörersymbol verschwindet nach dem Ausschalten nicht

2022-05-22 04:39:35

Einschalten des Xiaomi Mi Band Fitnessarmbandes und Einrichten des Mi Fit Mi Band 1s zum Laufen

2022-05-22 04:39:35