Type d'informations

Emplacement

Production

Plans de production, propriété intellectuelle, descriptions technologiques, développements internes

Serveurs de fichiers, SGBD

Confidentiel

Infrastructure

Cartes d'infrastructure informatique, systèmes informatiques, logins

Localement

sensible

Financier

Informations comptables, plans financiers, rapports, bilans

Base 1C ou autre environnement pour la direction financière

Confidentiel

Personnel

Cartes personnelles

Localement, serveur de fichiers

sensible

Fichiers et documents pour partage interne

Personnel

Intra-entreprise

Rapports de réunions, ordonnances, directives, articles

Serveur de fichiers

Publique

Divertissant

Photos, vidéos, films, livres audio

Dossiers étendus ou serveur de fichiers dédié

Avec l'omniprésence de toutes sortes de disques amovibles, le problème des initiés, qui était auparavant très pertinent, a acquis une ampleur véritablement mondiale. Et il n’y a absolument rien d’étonnant à cela. Aujourd'hui, tout employé ayant accès à des informations confidentielles peut facilement et surtout les copier discrètement sur lui-même et les utiliser à diverses fins à l'avenir. Et c’est aussi bien si derrière cela il y a le désir de travailler uniquement avec des contrats à la maison. Cependant, une telle action, quelles que soient les intentions de l'intrus, augmente considérablement le risque de compromission des données (les ordinateurs personnels sont généralement moins protégés, différentes personnes peuvent s'asseoir dessus et le disque peut être perdu). Mais après tout, un employé peut copier des informations afin de les transférer à des concurrents ou de les utiliser à des fins personnelles. L’exemple le plus simple et le plus évident est de copier la clientèle (ou les contrats avec eux) avant de partir afin de les attirer vers une autre entreprise.

Le principal problème est qu'il est impossible de se protéger contre cette méthode de vol d'informations à l'aide de moyens standards, c'est-à-dire d'outils intégrés aux systèmes d'exploitation. Prenez au moins des clés USB. Ils sont petits, bon marché et très spacieux. Avec leur aide, les employés peuvent « retirer » tranquillement des gigaoctets d'informations du système d'information de l'entreprise. Cependant, vous ne pouvez pas simplement désactiver les ports USB sur les postes de travail - ils sont aujourd'hui nécessaires pour connecter de nombreux appareils : imprimantes, claviers, souris, clés logicielles, etc. De plus, il ne faut pas oublier d'autres options de vol d'informations, par exemple à l'aide de CD. / DVD, téléphones portables, etc. Même une imprimante ordinaire peut devenir une menace. Après tout, l'employé a la possibilité d'imprimer des informations confidentielles et de rapporter les impressions chez lui. Cependant, il ne sera pas non plus possible de les éteindre, car tous ces appareils sont généralement nécessaires aux employés pour exercer leurs fonctions officielles.

La seule façon de protéger l’entreprise contre le vol d’informations confidentielles via divers disques amovibles est de mettre en place un système permettant de limiter et de contrôler leur utilisation. Il est mis en œuvre à l'aide d'un logiciel spécial. Pour une raison quelconque, de nombreuses entreprises pensent que ces produits sont très complexes et que des qualifications particulières sont nécessaires pour les mettre en œuvre et les entretenir. Or, ce n’est absolument pas le cas. Le système de délimitation des droits d'accès aux périphériques externes et internes d'un ordinateur est si simple que non seulement un administrateur qualifié, mais même un utilisateur de PC expérimenté peut le gérer. Et pour confirmer ces propos, nous considérerons aujourd'hui un exemple d'introduction du produit Zlock de SecurIT dans un SI d'entreprise. Il est à noter qu'il ne peut pas protéger contre les fuites d'informations confidentielles via Internet (par exemple, par e-mail via ICQ, etc.), cela nécessite d'autres produits avec un principe de fonctionnement complètement différent (par exemple, Zgate du même développeur). Mais Zlock s’acquitte avec succès de la tâche de contrôler toutes sortes de lecteurs amovibles et d’imprimantes.

Structure Zlock

Avant d'entamer une conversation sur la procédure d'installation du système en question, il est nécessaire de comprendre sa structure. Zlock se compose de cinq parties.

· Console de gestion. Un programme qui permet à l'administrateur d'effectuer une gestion complète du système, y compris son installation sur les postes de travail, la modification des politiques d'accès, l'utilisation des serveurs de journaux et de configuration, etc.

· Module client. Un utilitaire installé sur les postes de travail. C'est elle qui contrôle et bloque l'accès conformément aux politiques spécifiées. De plus, le module client interagit avec le serveur de journaux, vérifie l'intégrité de Zlock, etc.

· Serveur de journaux. Un système de réception, de stockage et de traitement d'informations sur les événements transmis par les modules clients. Fournit un accès administrateur pratique à toutes les données.

· Serveur de configuration. Système de gestion de configuration centralisé Zlock.

· Module de configuration Zlock via la stratégie de groupe. Module d'installation et de mise à jour du système via des politiques de groupe.

Tout d’abord, vous devez déterminer où sont installés les modules. Il est clair que la console de gestion doit être installée sur l'ordinateur d'un administrateur ou d'un employé responsable de la sécurité des informations de l'entreprise. Ce processus n'est pas différent de l'installation de tout autre logiciel et nous n'y reviendrons donc pas en détail.

Le serveur de journaux et le serveur de configuration ne sont en principe pas nécessaires au fonctionnement du système. Zlock peut faire face avec succès aux tâches qui lui sont assignées sans elles. Cependant, le serveur de journaux est très pratique pour visualiser les événements sur tous les postes de travail à la fois. Eh bien, le serveur de configuration est indispensable dans les grands réseaux d'entreprise. Avec lui, vous pouvez facilement gérer les paramètres des modules clients sur un grand nombre de postes de travail. Ils sont réinstallés comme d'habitude. logiciel. Cette procédure est effectuée localement à partir du package de distribution inclus avec Zlock.

La dernière étape de l'installation du système en question est l'installation des modules clients sur tous les ordinateurs nécessitant une surveillance. Cela peut se faire de deux manières (option avec installation manuelle nous n'envisageons pas pour des raisons évidentes). La première consiste à utiliser la console de gestion. Après son lancement, plusieurs groupes se trouvent dans le volet gauche de la fenêtre principale. Vous devez les trouver parmi eux et ouvrir l'arborescence « Ordinateurs et applications », puis ouvrir la branche « Aucune application ». Il fournira une liste complète des ordinateurs inclus dans le réseau local sur lesquels le système Zlock n'est pas installé.

Pour démarrer la procédure d'installation des parties client, l'administrateur doit sélectionner le ou les ordinateurs de destination (y compris l'ensemble du domaine) et cliquer sur le bouton "Installer ou mettre à jour Zlock..." situé dans la barre d'outils. Dans la fenêtre qui s'ouvre, précisez le dossier contenant le package de distribution du programme ( la meilleure option il y aura un dossier réseau auquel tous les utilisateurs auront accès), et sélectionnez également l'option d'installation. Il y en a trois : avec redémarrage manuel ou forcé des ordinateurs, ainsi que sans redémarrage. Il convient de noter que la dernière option, la plus pratique, ne peut pas être utilisée pour mettre à jour des composants client précédemment installés. En conclusion, il ne reste plus qu'à sélectionner les PC sur lesquels l'installation sera effectuée (vous ne souhaitez peut-être pas installer Zlock sur tous les ordinateurs du réseau), et également spécifier un utilisateur disposant des droits d'administrateur local. De plus, le programme, en cas de manque d'autorité, peut demander la saisie de données à un autre utilisateur.

Une autre option pour déployer un système de protection sur les postes de travail d'entreprise consiste à utiliser des stratégies de groupe. Pour ce faire, Zlock est livré avec un package d'installation spécial. La procédure d'installation elle-même est familière à presque tous les administrateurs système. Tout d'abord, vous devez créer dossier réseau, copiez-y les fichiers Zlock30. msi et Zlockmsi. ini et le rendre accessible à tous les utilisateurs du domaine. Si vous disposez déjà d'un fichier de configuration, vous pouvez le placer dans le même répertoire. Dans ce cas, il sera automatiquement appliqué à tous les modules clients installés. S'il n'existe pas de fichier de ce type, le système appliquera la politique par défaut, qui devra être configurée ultérieurement.

Après cela, dans les propriétés du domaine d'entreprise (accessibles via la console Active Directory), vous devez accéder à l'onglet "Stratégie de groupe" et créer une nouvelle stratégie. Dans la fenêtre de cette stratégie, vous devez développer l'arborescence "Configuration de l'ordinateur", sélectionner l'élément "Installer le logiciel" et créer un nouveau package, dans les propriétés duquel spécifier le chemin réseau du fichier Zlock30. msi. De ce fait, l'installation du système Zlock est réalisée moyens standards Système d'exploitation.

Configuration des politiques d'accès

L’opération la plus importante dans le processus de mise en œuvre du système de sécurité Zlock est peut-être la mise en place de politiques d’accès. Ils déterminent la capacité de tous les utilisateurs à travailler avec certains appareils. Chaque politique comporte trois parties. La première est une liste d'appareils ou de leurs groupes, chacun disposant de droits d'accès pour différents utilisateurs. La deuxième partie de la politique concerne les paramètres de cliché instantané des fichiers copiés sur différents lecteurs. Eh bien, la troisième partie détermine les paramètres des documents de cliché instantané imprimés sur les imprimantes. De plus, chaque politique comporte un certain nombre de propriétés supplémentaires que nous examinerons ci-dessous.

Le principe de fonctionnement de la politique est le suivant. Chaque poste de travail dispose d'une ou plusieurs stratégies attribuées par l'administrateur. Lors de l'apparition de tout événement contrôlé par le système de protection (connexion d'un appareil, tentative de copie d'un fichier sur un lecteur amovible, impression d'un document, etc.), le module client vérifie tour à tour sa conformité à toutes les politiques (l'ordre est fixé par le système de priorités) et applique le premier de ceux avec lequel il correspond. Autrement dit, Zlock n'a pas le système habituel d'exceptions. Si, par exemple, vous devez interdire toutes les clés USB à l’exception d’une clé en particulier, vous devez utiliser deux politiques. Le premier avec une priorité faible désactive l'utilisation de lecteurs amovibles. Et le second, avec un niveau supérieur, permet d'utiliser une instance particulière. En plus de celles créées par l'administrateur, il existe également une stratégie par défaut. Il définit les droits d'accès aux appareils qui ne sont pas décrits dans d'autres politiques.

Eh bien, regardons maintenant la procédure de création d'une politique. Pour le lancer, vous devez sélectionner le poste de travail souhaité dans l'arborescence de la console de gestion et établir une connexion avec celui-ci. Après cela, sélectionnez l'élément "Ajouter" dans le menu "Politique". La fenêtre résultante se compose de cinq onglets. Le premier s'appelle "Accès". Il précise le nom de la stratégie en cours de création, sa priorité et les droits d'accès aux appareils. Quatre options sont disponibles ici : accès complet pour tous les utilisateurs, accès en lecture seule pour tous les utilisateurs, refuser l'accès aux appareils pour tous les utilisateurs et droits d'accès aux appareils individuels pour les utilisateurs et les groupes. Les objectifs des trois premiers ressortent clairement de leurs noms. Mais la dernière option mérite d'être notée séparément. Avec lui, vous pouvez définir différents droits pour les utilisateurs individuels, ce qui est très pratique, car souvent différents employés peuvent travailler sur le même ordinateur. Pour saisir les droits d'accès, vous devez cliquer sur le bouton "Modifier" et ajouter les comptes nécessaires (ordinateur local ou domaine) dans la fenêtre qui s'ouvre, en définissant les autorisations pour chacun d'eux.

Après avoir entré les paramètres de base, vous devez spécifier une liste d'appareils et de groupes qui seront couverts par la politique. Pour ce faire, utilisez l'onglet "Appareils". Il existe quatre façons de saisir un équipement dans Zlock.

· Appareils typiques. Cette option sélectionne tous les périphériques d'un certain type, par exemple tous les lecteurs amovibles, les lecteurs CD/DVD, disques durs etc.

· Un périphérique USB avec des caractéristiques spécifiées. Vous permet de spécifier les périphériques USB par type, fabricant, nom de produit, numéro de série du périphérique, etc.

· Imprimantes. Utilisé pour saisir des imprimantes locales ou réseau spécifiques.

Grâce à ces méthodes, vous pouvez créer une liste d’appareils très précise et flexible. Il est à noter que vous pouvez choisir non seulement l'équipement actuellement connecté au PC, mais également celui qui y était autrefois utilisé (très important pour les disques amovibles). De plus, l'administrateur peut créer ce qu'on appelle un catalogue d'appareils. Il s'agit d'un fichier qui répertorie tous les appareils connectés aux ordinateurs sur un réseau d'entreprise. Il peut être créé manuellement et automatiquement en analysant tous les postes de travail.

En principe, après cela, nous disposons déjà d’une politique pleinement fonctionnelle. Cependant, Zlock fournit un certain nombre de paramètres supplémentaires qui étendent Fonctionnalité systèmes de protection. Ainsi, par exemple, si une politique est créée qui ne devrait pas être en vigueur tout le temps, il est alors nécessaire de définir un calendrier pour son fonctionnement. Cela se fait sur l'onglet du même nom. Vous pouvez y définir les intervalles pendant lesquels la politique est valable. L'administrateur peut saisir la durée de la politique, l'heure, les jours de la semaine ou les jours du mois où elle sera active.

Si l'ordinateur pour lequel la stratégie est créée peut se déconnecter du réseau d'entreprise et/ou s'y connecter via Internet, vous pouvez alors définir des paramètres spéciaux pour celui-ci. Pour cela, rendez-vous dans l'onglet « Règles d'application ». Il répertorie trois points d'état possible du PC par rapport au domaine d'entreprise : le domaine est disponible localement, le domaine est disponible via VPN, le domaine n'est pas disponible. Afin de désactiver l'action de politique pour l'un d'entre eux, décochez simplement la case correspondante. Par exemple, si vous souhaitez rendre impossible l'impression depuis un ordinateur déconnecté du réseau d'entreprise, il suffit de créer une politique interdisant l'utilisation d'imprimantes et d'activer le "Domaine non disponible" et le "Domaine accessible via VPN". éléments du règlement d’application.

Après avoir créé une ou plusieurs stratégies sur l'un des ordinateurs, vous pouvez les diffuser rapidement sur d'autres PC. Pour ce faire, vous devez établir une connexion avec toutes les stations nécessaires dans la console de gestion et sélectionner l'élément « Propager la configuration » dans le menu « Service ». Dans la fenêtre qui s'ouvre, cochez les cases des politiques et des ordinateurs requis, cochez la case « Propagation des politiques en arrière-plan » et sélectionnez l'action que le programme doit effectuer lorsqu'il détecte des politiques avec des noms correspondants (demandez s'il faut écraser ou non). . Après cela, cliquez sur le bouton "OK" et attendez la fin du processus.

Toute politique peut être modifiée à l’avenir. Pour ce faire, il suffit de vous connecter à l'ordinateur sur lequel il a été initialement créé, de le retrouver dans « l'arborescence » et de double-cliquer dessus avec la souris. Cela ouvrira une fenêtre déjà familière de la procédure de création d'une politique, dans laquelle vous pourrez modifier certains paramètres. Veuillez noter que si la stratégie que vous avez modifiée a déjà été distribuée sur d'autres ordinateurs, avant de la modifier, vous devez d'abord établir une connexion avec tous ces PC. Dans ce cas, lors de l'enregistrement des modifications, le programme Zlock lui-même proposera de synchroniser les politiques obsolètes avec la nouvelle. Les stratégies sont supprimées de la même manière.

Configuration de la journalisation et du cliché instantané

Zlock dispose d'un système de journalisation. Grâce à lui, l'administrateur ou toute autre personne responsable de la sécurité des informations peut visualiser et analyser tous les événements surveillés. Pour l'activer, sélectionnez l'élément "Paramètres" dans le menu "Outils" et allez dans l'onglet "Journalisation" dans la fenêtre qui s'ouvre. Il répertorie tous les événements possibles (refus d'écriture sur l'appareil, modification de l'accès au réseau, modification de la configuration, application des politiques d'accès, etc.), ainsi que leur statut en termes de journalisation.

Pour activer la journalisation d'un ou plusieurs événements, cliquez sur le signe plus et sélectionnez l'option de journalisation : écriture dans un fichier (journal des événements système ou un fichier arbitraire au format TXT ou XML), dans une base de données sur un serveur SQL ou un serveur de journalisation. , en envoyant une lettre par e-mail.

Après cela, dans la fenêtre qui s'ouvre, vous devez configurer les paramètres du journal (ils dépendent de l'option sélectionnée : nom du fichier, paramètres d'accès à la base de données, etc.), marquer les événements nécessaires et cliquer sur le bouton "OK".

La journalisation des opérations sur les fichiers est configurée séparément. Ils désignent des actions telles que la création, la modification et l'édition de fichiers, la création et la suppression de répertoires, etc. Il est clair que de tels journaux n'ont de sens que lors de l'utilisation de lecteurs amovibles. Par conséquent, ce type de journalisation est lié aux politiques d’accès. Pour le configurer, sélectionnez « Opérations sur les fichiers » dans le menu « Outils » de la console de gestion. Dans la fenêtre qui s'ouvre, vous devez tout d'abord sélectionner les politiques pour lesquelles la journalisation sera effectuée. Il est logique de sélectionner ceux qui contrôlent l'utilisation des lecteurs amovibles : périphériques USB, lecteurs CD/DVD, etc. Après cela, vous devez saisir les actions que le système effectuera lorsque des opérations sur les fichiers sont détectées. Pour ajouter chacun d'eux, vous devez cliquer sur le "plus" et sélectionner l'option souhaitée. Trois actions sont liées à la journalisation : écrire des informations sur les événements dans un fichier, dans une base de données ou envoyer un message électronique. La dernière option consiste à exécuter le programme ou le script spécifié.

Ensuite, vous pouvez procéder à la configuration du cliché instantané. C'est une fonction très importante du système Zlock, qu'il ne faut pas négliger. Il permet la duplication des fichiers copiés ou imprimés vers un stockage spécial, imperceptible pour l'utilisateur. Le cliché instantané est nécessaire lorsque les employés doivent utiliser des imprimantes ou des lecteurs amovibles pour exercer leurs fonctions professionnelles. Dans de tels cas, évitez les fuites d’informations moyens techniques presque impossible. Mais le cliché instantané vous permettra d'y répondre rapidement et d'arrêter de futurs incidents.

Pour définir les paramètres du cliché instantané, sélectionnez l'élément du même nom dans le menu "Outils". Tout d'abord, vous pouvez configurer le stockage local. Pour ce faire, vous devez préciser le dossier dans lequel les fichiers seront enregistrés, saisir la quantité disponible (en mégaoctets ou en pourcentage d'espace libre sur le disque dur), et également sélectionner l'action en cas de débordement (écraser les fichiers dans le stockage , interdire ou autoriser la copie et l'impression).

Si nécessaire, vous pouvez configurer le cliché instantané sur le stockage réseau. Pour cela, rendez-vous dans l'onglet "Copier sur le serveur" et cochez la case "Transmettre les informations sur le cliché instantané et les fichiers au serveur". Si le transfert doit être effectué immédiatement, vous devez alors sélectionner l'option « Transférer les fichiers dès que possible ». Une autre option est également possible : le système copiera les fichiers de fréquence donnée. Après cela, vous devez sélectionner un dossier réseau dans lequel les fichiers seront écrits. Notez qu'il est logique de sélectionner un répertoire auquel seul l'administrateur a accès. Sinon, l'employé pourra le saisir et supprimer ou au moins visualiser les fichiers enregistrés. Lors du choix d'un tel dossier, vous devez saisir le nom d'utilisateur et le mot de passe de l'utilisateur qui a le pouvoir d'y écrire des informations.

Eh bien, à la fin des paramètres, il reste à aller dans l'onglet "Politiques" et à spécifier les politiques sous lesquelles le cliché instantané fonctionnera.

Système de permis temporaire

En principe, nous, chers lecteurs, avons déjà analysé le processus de mise en œuvre de Zlock. Une fois terminé, le système de protection des initiés fonctionnera, aidant l'entreprise à éviter les fuites d'informations commerciales et commerciales. informations personnelles. Cependant, Zlock possède une autre fonctionnalité très intéressante qui facilite la vie de l'administrateur. Nous parlons d'un système de délivrance de permis temporaires pour l'utilisation de certains appareils.

Pourquoi voulez-vous vous concentrer sur ce moment particulier ? Tout est très simple. La pratique montre qu'il arrive assez souvent que l'un des salariés doive utiliser un appareil qui lui est habituellement interdit. De plus, un tel besoin peut survenir de toute urgence. Du coup, c'est la panique, on recherche d'urgence un administrateur qui doit modifier la politique d'accès et, surtout, ne pas oublier de la restituer plus tard. Bien sûr, c'est très gênant. Il est préférable d'utiliser un système de permis temporaire.

Pour l'utiliser, vous devez d'abord générer un certificat d'administrateur. Pour cela, dans le menu "Outils", sélectionnez la rubrique "Certificat...", et dans la fenêtre qui s'ouvre, cliquez sur le bouton "Modifier le certificat". Après cela, dans l'assistant, sélectionnez le bouton radio "Créer un nouveau certificat" et entrez son nom. Il ne reste plus qu'à se connecter ordinateurs distants, sélectionnez l'élément "Paramètres" dans le menu "Outils", allez dans l'onglet "Général" dans la fenêtre qui s'ouvre et cliquez sur le bouton "Installer".

Dans Zlock, les autorisations temporaires peuvent être utilisées de deux manières : par e-mail et par téléphone. Dans le premier cas, la requête est créée comme suit. L'utilisateur doit cliquer avec le bouton droit sur l'icône Zlock dans la barre d'état système et sélectionner "Créer une requête" dans le menu déroulant. Dans la fenêtre qui s'ouvre, il doit sélectionner l'appareil souhaité et les droits d'accès (lecture seule ou accès complet), saisir l'adresse de l'administrateur et, si nécessaire, un bref commentaire. Dans ce cas, une lettre avec un fichier de demande joint sera générée dans le client de messagerie installé par défaut dans le système. Après l'avoir reçu, l'administrateur doit double-cliquer dessus avec la souris. Cela ouvrira une fenêtre avec des informations sur la demande. Si l'administrateur accepte de le traiter, il doit alors cliquer sur le bouton « Suivant ». Cela ouvrira une fenêtre pour créer une nouvelle stratégie dans laquelle le périphérique requis a déjà été saisi. L'administrateur doit uniquement définir la planification de cette stratégie. Cela peut être permanent ou ponctuel. Dans le second cas, la politique ne sera en vigueur que jusqu'à ce que l'utilisateur termine la session Windows ou jusqu'à ce que l'appareil soit supprimé (selon le choix de l'administrateur). Cette politique peut être transférée sur l'ordinateur du salarié de la manière habituelle ou en utilisant fichier spécial par email (il sera sécurisé avec un certificat d'administrateur). Dès sa réception, l'utilisateur doit simplement l'exécuter, après quoi il aura accès à l'appareil souhaité.

Le système de permis téléphonique fonctionne de la même manière. Tout d’abord, l’utilisateur doit créer une demande. Cette procédure est presque identique à celle dont nous avons discuté ci-dessus. Ce n'est qu'à la dernière étape qu'un e-mail n'est pas formé, mais un code spécial composé de cinq blocs de chiffres et de lettres. Le salarié doit appeler l'administrateur et lui dicter ce jeu de caractères. L'administrateur doit saisir ce code dans une fenêtre spéciale (elle est appelée à l'aide de la rubrique « Demande de traitement » du menu « Politique »). En même temps, l'écran affichera des informations détaillées concernant la demande. Ensuite, l'administrateur peut créer une stratégie de la manière que nous connaissons déjà. La seule différence est qu'à la dernière étape, le système générera un autre code. Son administrateur doit dicter à un employé qui, en le saisissant dans un champ spécial, peut activer l'accès à l'appareil.

En résumé

Ainsi, comme on peut le constater, la procédure de mise en œuvre d'un système de protection des initiés n'est, en principe, pas compliquée. Pour le réaliser, vous n'avez pas besoin de compétences particulières. Tout administrateur système possédant des connaissances de base peut y faire face. technologies de réseau. Il convient toutefois de noter que l'efficacité de la protection dépend entièrement de la compétence et de l'intégralité des politiques d'accès. C'est à ce moment qu'il convient d'aborder avec le plus grand sérieux et ce travail doit être effectué par un employé responsable.

Zlock : contrôler l'accès aux périphériques USB

Test de Zlock

Les principaux avantages attendus du système, outre les principales caractéristiques fonctionnelles, doivent être la facilité de mise en œuvre et l'intuitivité des étapes de mise en place et de configuration.

Figure 1. Politique d'accès par défaut

Après cela, vous devez réfléchir aux politiques d'accès au service Zlock lui-même, qui seront également distribuées lors de l'installation sur les sites clients. Modifiez la politique d'accès pour les paramètres de la partie client de l'application, en autorisant ou en interdisant aux utilisateurs de voir l'icône et de recevoir des avertissements concernant la modification de la politique d'accès. D'une part, ces avertissements sont pratiques, car en envoyant une demande d'accès à l'administrateur, l'utilisateur sera averti si la politique modifiée est appliquée à son poste de travail. D'un autre côté, les administrateurs système préfèrent souvent ne pas fournir aux utilisateurs une confirmation visuelle inutile des services de protection exécutés sur le poste de travail.

Ensuite, la stratégie créée (dans ce cas, elle reste locale sur le poste de travail console pour le moment) est enregistrée sous forme de fichier nommé default. zcfg dans le dossier de distribution client.

Tous. Ceci termine la préparation globale du système pour une installation de masse. Le produit impressionne par la facilité de création de politiques associées à l'utilisation du principe standard de création de droits d'utilisateur tels que l'ACL.

Pour l'installer sur tous les ordinateurs, un message contextuel a été envoyé aux utilisateurs leur demandant d'allumer tous les postes de travail réseau à proximité, mais non actuellement utilisés. Après avoir sélectionné tous les postes de travail du réseau dans la liste des ordinateurs à connecter (ou plutôt en sélectionnant tous puis en excluant les serveurs), j'ai lancé le processus de connexion pour la poursuite de l'installation de la partie client. La connexion à un tel nombre d'ordinateurs (150), bien entendu, prenait un temps relativement long, car elle s'effectue de manière séquentielle, et si l'ordinateur est éteint, un délai d'attente de connexion est alors attendu. Cependant, la procédure ne devra être effectuée que lors de l'installation initiale, les politiques ultérieures seront contrôlées en fonction des besoins personnels des utilisateurs. En essayant d'installer "d'un seul coup" la partie client sur les 150 ordinateurs du réseau local, j'ai rencontré des problèmes mineurs sur plusieurs postes de travail, mais le système s'est installé automatiquement sur la plupart des ordinateurs. Il n'y avait qu'un seul problème lors de l'installation : l'incompatibilité de Zlock avec les versions obsolètes du pilote de protection de CD StarForce. Pour une interaction correcte, vous devez mettre à jour le pilote StarForce en le téléchargeant depuis le site Web du fabricant. Cela a également été fait à distance en utilisant le service d'installation à distance. L'explication de la raison de cette incompatibilité, à mon avis, a droit à la vie - après tout, Zlock interagit avec le sous-système d'E/S à un niveau inférieur aux fonctions d'application du système d'exploitation - tout comme la protection contre la copie de CD.

Après avoir sélectionné les postes de travail, vous serez invité à spécifier à partir duquel vous souhaitez exécuter la distribution du programme d'installation. C'est cette fonction qui permet d'installer ainsi d'autres programmes sans quitter le lieu de travail. Soyez prudent lorsque vous choisissez l'option d'installation - "Avec redémarrage" ou "Redémarrage requis". Si vous sélectionnez "Avec redémarrage" - une fois l'installation terminée, les postes de travail clients redémarreront automatiquement sans demander de confirmation à l'utilisateur.

Ceci termine l'installation initiale et après un redémarrage, le client Zlock commencera à exécuter la politique de sécurité prescrite. Dans le même temps, l'icône du service Zlock apparaît dans la barre d'état, donnant aux utilisateurs la possibilité de créer des demandes d'accès, ainsi que de modifier eux-mêmes les politiques, si, bien sûr, cela leur était autorisé par la politique par défaut que nous avons créée.

Nous nous engageons à respecter une confidentialité totale...

Après cela, en effet, commence la mise au point du système Zlock. Si les employés de votre entreprise ont souvent besoin d'économiser quelque chose média amovible, et vous souhaitez maintenir la politique de sécurité au niveau le plus strict, alors coordonnez votre horaire de travail afin de pouvoir être sur les lieux de travail le plus souvent possible dans la semaine suivant l'installation. Pour maintenir la rigueur maximale de la politique d'accès, il est recommandé de créer des règles pour des périphériques amovibles spécifiques, car Zlock vous permet d'accorder l'accès aux périphériques même en fonction de leur caractéristiques complètes tels que la marque, le modèle, le numéro de série, etc. La situation est plus compliquée dans les entreprises informatiques, car les employés doivent constamment écrire toutes sortes d'informations sur des disques CD/DVD-R/RW. Dans ce cas, il peut être recommandé d'utiliser des postes de travail dédiés avec des lecteurs d'enregistrement, sur lesquels des règles seront créées par des politiques de sécurité du système qui n'autoriseront pas l'accès au réseau depuis ces ordinateurs. Cependant, de telles subtilités dépassent le cadre de l’article de Zlock.

Comment ça marche en pratique ?

Voyons maintenant à quoi cela ressemble en action. Je vous rappelle que la politique d'accès que j'ai créée permet aux utilisateurs de lire sur tous les périphériques amovibles et interdit d'y écrire. Un employé du service après-vente vient au bureau pour soumettre des rapports et graver des tâches sur disque. Lorsqu'un périphérique amovible est connecté, le système restreint l'accès et émet un avertissement correspondant (voir Fig. 2).

Figure 2. Avertissement de restriction d'accès

L'employé lit les informations qu'il lui a apportées, après quoi il tente en vain d'écrire les tâches reçues du manager. S'il est nécessaire d'accéder, soit il contacte l'administrateur par téléphone, soit génère une demande automatique à l'aide de l'applet Zlock Tray indiquant l'appareil auquel il souhaite accéder, nomme son compte et motive la nécessité d'un tel accès.

L'administrateur, ayant reçu une telle demande, prend la décision d'accorder/ne pas accorder cet accès et, si la décision est positive, modifie la politique pour le poste de travail donné. Dans le même temps, la demande créée contient toutes les informations sur l'appareil, y compris le fabricant, le modèle, le numéro de série, etc., et le système Zlock vous permet de créer des politiques basées sur ces données. Ainsi, nous avons la possibilité d'accorder un accès en écriture à un utilisateur spécifique sur le périphérique spécifié, si nécessaire, en enregistrant toutes les opérations sur les fichiers (voir Fig. 3).

Figure 3. Création d'une stratégie basée sur une demande d'utilisateur

Ainsi, le processus de création de politiques permissives supplémentaires est simplifié à l'extrême pour l'administrateur et se résume au principe Check&Click, qui plaît sans aucun doute.

Problèmes

Impossible d'ouvrir les ports du pare-feu pour l'administration à distance de Zlock ?

Pour l'administration à distance de Zlock dans le pare-feu, il suffit d'ouvrir un port. Par défaut, il s'agit du port 1246, mais il peut être modifié si ce numéro ne convient pas pour une raison quelconque. Ceci, soit dit en passant, distingue notre produit de certains analogues qui utilisent le service d'appels de procédure à distance (RPC) pour l'administration, qui par défaut nécessite l'ouverture de nombreux ports et est assez vulnérable aux attaques externes. Comme vous le savez, la plupart des virus modernes ont utilisé les vulnérabilités RPC pour infiltrer un ordinateur et y obtenir des privilèges administratifs.

2) Problème

Nous avons la situation suivante. Deux employés travaillent sur le même ordinateur dans le même service. Tout le monde a une clé USB. La tâche est de rendre lisible la clé USB du premier employé, mais la clé USB du second ne l'est pas. Le principal problème est que ces lecteurs flash ont les mêmes numéros (VID_058F&PID_6387), lecteurs flash Transcend 256 Mo et 1 Go. S'il vous plaît dites-moi comment procéder dans cette situation? Merci beaucoup.

Les numéros dont vous parlez sont des identifiants de produit et des identifiants de fournisseur. Pour restreindre l'accès aux appareils portant les mêmes identifiants de produit et de fabricant, vous devez spécifier leur numéro de série dans les politiques Zlock. Il convient de noter que tous les fabricants de clés USB n'attribuent pas de numéros de série uniques à leurs produits, généralement les fabricants sans nom pèchent par le manque de numéros de série.

II. Présentation de SecurITZgate

Dans cette revue, nous commençons une histoire détaillée de SecurIT Zgate, une solution d'entreprise conçue pour analyser le trafic Internet au niveau de la passerelle afin de détecter et de bloquer les tentatives de fuite de données confidentielles ou d'autres actions non autorisées des employés.

Introduction

Selon le concept de protection complète contre les menaces internes promu par SecurIT, le produit de passerelle SecurIT Zgate est une partie importante du système IPC. Le concept IPC inclut des solutions DLP (Data Loss Prevention) et de protection des données au niveau du stockage. Pour la première fois, la combinaison de technologies apparemment différentes a été proposée par l'analyste d'IDC Brian Burk dans le rapport Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.

Dans les systèmes IPC, la liste des canaux standard pour les systèmes DLP est contrôlée : e-mail, ressources Web (courrier Web, réseaux sociaux, blogs), ICQ, périphériques USB et imprimantes. Dans IPC, le cryptage des données s'ajoute à ces fonctionnalités sur les serveurs, les bandes magnétiques et aux points de terminaison du réseau - sur les PC, les ordinateurs portables et les lecteurs mobiles. En plus de la liste des canaux contrôlés et des médias cryptés, les IPC diffèrent considérablement par l'ensemble des méthodes de détection des données confidentielles.

Ainsi, le système SecurIT Zgate, qui vous permet d'empêcher la fuite d'informations confidentielles via les canaux réseau, est un élément important, sinon clé, d'un système IPC unique. SecurIT Zgate analyse toutes les données transmises par les employés à l'extérieur réseau d'information organisations. SecurIT Zgate utilise des technologies de détection automatique modernes qui déterminent avec précision le niveau de confidentialité des informations transmises, en tenant compte des caractéristiques commerciales et des exigences de diverses normes industrielles.

1. Configuration système requise

Le minimum Configuration requise pour la solution SecurIT Zgate sont présentés dans le tableau ci-dessous.

2. Principales fonctionnalités de SecurIT Zgate :

Filtrage du trafic entrant, sortant et interne.

Analyse du contenu des messages et fichiers transmis en utilisant n'importe quelle combinaison de méthodes de catégorisation automatique.

Compatible avec tout système de messagerie (MTA) utilisant le protocole SMTP : Microsoft Serveur d'échange, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, etc.

Travailler dans mode passif surveillance avec suppression d'une copie des données transmises ou en mode actif de blocage des incidents en temps réel.

Politiques flexibles pour vérifier, bloquer et archiver les données avec la possibilité de configurer jusqu'à 30 paramètres.

Appliquez des politiques basées sur le temps de transmission, le sens du trafic et l'emplacement de l'utilisateur.

Des outils pratiques pour gérer des dictionnaires décrivant diverses catégories de documents.

Possibilité d'analyser manuellement les messages et fichiers suspects.

Modification des messages et possibilité d'informer les utilisateurs des résultats du filtrage.

Intégration avec des applications tierces pour un traitement supplémentaire par les systèmes antivirus et anti-spam.

Possibilité de conserver une archive complète des données transférées, y compris les fichiers joints, dans Microsoft SQL Server ou Oracle Database.

Architecture évolutive et modulaire pour répondre aux exigences de performances les plus exigeantes.

Installation et gestion via une console unique pour tous les produits SECURIT.

De nombreuses opportunités pour séparer les rôles des administrateurs.

Prise en charge de l'importation d'informations statistiques dans divers concepteurs de rapports, tels que Crystal Reports ou FastReport.

3. Installation de SecurIT Zgate

Important! Si vous prévoyez d'utiliser les outils de traitement de courrier SecurIT Zgate dans Microsoft Exchange 2007/2010, la partie serveur SecurIT Zgate doit être installée sur le même ordinateur sur lequel Microsoft Exchange est installé.

SecurIT Zgate utilise le standard InstallShield pour l'installation. Il est à noter que l'ensemble de l'installation est simple et ne pose aucune difficulté.

Figure 1 : Début de l'installation de SecurIT Zgate

Remarquez dans la figure 2 que le serveur de journaux n'est pas installé par défaut. Il peut être déployé sur un autre ordinateur. Le journal des événements peut être stocké dans un fichier XML, utiliser un serveur de journaux distinct ou utiliser une base de données (MSSQL Server ou Oracle Database).

Figure 2 : Sélection des modules pour installer SecurIT Zgate

Le travail avec SecurIT Zgate s'effectue via la console de gestion. Pour communiquer avec le serveur SecurIT Zgate, la console de gestion utilise le protocole TCP/IP et le port 1246. N'oubliez pas d'ouvrir ce port dans le pare-feu. Vous pourrez modifier ce port ultérieurement si nécessaire.

Si vous souhaitez utiliser SecurIT Zgate en modes renifleur, vous devez installer le pilote WinPcap sur un ordinateur sur lequel un serveur SecurIT Zgate est déjà installé. Le pilote WinPcap est fourni avec la distribution SecurIT Zgate.

La console de gestion peut être installée sur le même ordinateur sur lequel SecurIT Zgate est déjà installé, ou sur un autre.

Alors commençons avec Zgate SecurIT.

4. Commencer et la configuration initiale Sécurité Zgate

Figure 3 : Vue générale de la console de gestion SecurIT Zgate

Pour commencer, vous devez établir une connexion avec l'ordinateur sur lequel se trouve la partie serveur du système. La liste des ordinateurs se trouve à gauche de la console de gestion dans l'élément de l'arborescence "Sans applications". Dans notre exemple, nous avons installé le serveur SecurIT Zgate sur l'ordinateur VM-2003TEST, que nous choisirons.

Après avoir sélectionné l'ordinateur dont nous avons besoin et que la connexion avec celui-ci a réussi, il est transféré de la section "Sans applications" vers les nœuds des applications qui y sont installées (dans notre cas, il s'agit de SecurIT Zgate) et un une liste arborescente de paramètres et de fonctionnalités s'ouvre ( figure 4).

Figure 4 : La connexion à l'ordinateur a réussi - de nouvelles fonctionnalités sont disponibles

Il convient de noter que la liste des ordinateurs du domaine est déterminée soit via NetBIOS, soit chargée depuis Active Directory. Si vous disposez d'un grand nombre d'ordinateurs sur le réseau, vous pouvez utiliser l'option de recherche.

Si l'ordinateur ne figure pas dans la liste « Aucune application », la connexion peut être établie manuellement. Pour cela, ouvrez le menu « Connexion » dans la console de gestion et sélectionnez la rubrique « Créer une connexion ». Dans la fenêtre qui s'ouvre, saisissez le nom de l'ordinateur, l'adresse IP, le port (1246 par défaut) et les informations utilisateur (Figure 5). Par défaut, les droits d'accès pour la configuration de SecurIT Zgate sont configurés de manière à ce que les utilisateurs appartenant au groupe d'administrateurs locaux aient un accès complet à toutes les fonctions du système.

Figure 5 : Création manuelle d'une connexion

Jetons donc un coup d'œil aux paramètres du serveur SecurIT Zgate un par un.

Sont communs. Cette section (Figure 6) précise les paramètres du serveur de messagerie interne, le port du serveur de messagerie interne, le mode de fonctionnement du serveur, le répertoire de stockage temporaire des messages traités, et précise volume maximal ce répertoire.

Figure 6 : Réglages généraux serveur pour serveur de messagerie dans SecurIT Zgate

Comme vous pouvez le voir sur la figure, les modes de fonctionnement « Filtrage du courrier dans Microsoft Exchange 2007/2010 » et « Journalisation du courrier dans Microsoft Exchange 2007/2010 » ne sont pas disponibles car Microsoft Exchange n'est actuellement pas installé et configuré. Le mode miroir (analyse d'une copie du trafic transmis) est disponible car le pilote WinPcap est installé.

La mise en miroir des messages envoyés à l'aide du trafic SMTP chiffré (créé à l'aide du protocole TLS avec la commande STARTTTLS) et à l'aide de l'extension XEXCH50 du protocole Exchange ESMTP n'est pas prise en charge.

Réception. Dans cette section, vous configurez la réception du courrier pour qu'elle fonctionne dans différents modes de fonctionnement du serveur (Figure 7).

Figure 7 : Configuration de la réception du courrier pour fonctionner en mode proxy (journalisation)

Lors de la configuration du filtrage ou de la connexion en mode proxy, définissez interface réseau et le numéro de port (25 par défaut) pour recevoir du courrier provenant de l'extérieur du système SecurIT Zgate ; interface réseau et numéro de port utilisé pour recevoir le courrier du serveur de messagerie interne ; répertoire des messages entrants et sa taille maximale. Le répertoire de la boîte de réception stocke les messages reçus par SecurIT Zgate avant qu'ils ne soient traités ou transférés.

Dans le même onglet, la protection contre les attaques par déni de service est configurée. Comme vous pouvez le voir sur la figure 7, la protection contre les attaques en service consiste en un certain nombre de conditions, si elles ne sont pas remplies, le message n'est pas accepté. Ces conditions peuvent être activées ou désactivées en fonction de la nécessité ou de l'inutilité d'un contrôle particulier.

Si le serveur SecurIT Zgate fonctionne en mode d'analyse du trafic en miroir (activé dans l'onglet Paramètres Sont communs), puis onglet Réception a la forme suivante (figure 8).

Figure 8 : Configuration de la réception du courrier en mode d'analyse du trafic en miroir

Les paramètres de ce mode de fonctionnement spécifient l'interface réseau sur laquelle le trafic en miroir est reçu, l'adresse IP du serveur de messagerie en miroir, les ports que le serveur en miroir utilise pour recevoir et envoyer du courrier, ainsi que le répertoire de stockage des messages entrants et sa taille.

Important! Pour que SecurIT Zgate fonctionne en mode miroir, il est nécessaire que commutateur de réseau, auquel l'ordinateur avec SecurIT Zgate est connecté, prend en charge la fonction de mise en miroir. Le Port Mirroring permet de copier le trafic vers un port de contrôle afin qu'il puisse être analysé sans interférer avec le flux.

Cependant, la présence d'un commutateur doté de la fonctionnalité Port Mirroring n'est pas requise si SecurIT Zgate est installé sur le serveur proxy de l'organisation ou si SecurIT Zgate est installé sur l'ordinateur à partir duquel le trafic est surveillé.

Lorsqu'il est sélectionné dans l'onglet Sont communs modes de fonctionnement du serveur Filtrage du courrier dans Microsoft Exchange 2007/2010 ou Journalisation du courrier dans Microsoft Exchange 2007/2010, onglets Réception Et Diffuser sont remplacés Onglet Microsoft Exchange.

Sur l'onglet Microsoft Exchange les catalogues de messages entrants et sortants et leur volume maximum sont configurés (les catalogues sont conçus pour organiser une file d'attente de messages envoyés pour traitement ou vers le serveur de messagerie du destinataire). Également sur cet onglet, vous pouvez sélectionner l'option "Contrôler le courrier interne". Dans ce mode, les messages internes entre clients du serveur de messagerie contrôlé seront également analysés. Cette fonctionnalité est très importante, puisqu'il devient possible de contrôler la correspondance interne des salariés.

Le bas de l'onglet affiche des informations sur les erreurs ou les avertissements.

Diffuser. Les paramètres de transfert de courrier ne dépendent pas du mode de fonctionnement du serveur et sont les mêmes pour le filtrage et la connexion en mode proxy et pour la mise en miroir (Figure 9).

Figure 9 : Paramètres de transfert de courrier dans SecurIT Zgate

Les paramètres suivants sont configurés ici : le nombre maximum de connexions sortantes simultanées ; schémas de tentative de connexion ; liste des domaines de messagerie desservis par le serveur de messagerie interne ; serveur de livraison, auquel le courrier envoyé vers l'extérieur est transmis (si le serveur de livraison n'est pas spécifié et que le domaine du destinataire n'est pas interne, alors SecurIT Zgate délivre lui-même le courrier, en se connectant directement au serveur de messagerie du destinataire) ; un hôte intelligent vers lequel les e-mails sont transférés pour les destinataires des domaines acceptés, mais pas dans les listes de licences ; répertoire des messages sortants et sa taille maximale. De plus, les e-mails sont transférés à l'hôte intelligent pour lesquels SecurIT Zgate n'a pas pu déterminer l'adresse du serveur de messagerie via DNS, ou le serveur de messagerie a signalé que le destinataire n'existe pas.

Le schéma de connexion avec le serveur de messagerie du destinataire est constitué de séries. La série est constituée d'un certain nombre de tentatives de connexion au serveur du destinataire du message et d'un intervalle en minutes entre les tentatives. S'il n'a pas été possible d'établir une connexion selon le schéma, le message est supprimé et un message correspondant est affiché dans le journal. Dans ce cas, un message d'erreur est envoyé à l'expéditeur.

Onglet Web Zgate est conçu pour empêcher les fuites d'informations sur Internet, par exemple lorsque des employés envoient intentionnellement ou accidentellement des données sensibles via leur messagerie Web, les publient sur un forum ou un blog, ou les envoient via ICQ.

Le fonctionnement de Zgate Web est assuré par la mise en miroir des ports sur le switch ou l'interception du trafic réseau sur l'ordinateur sur lequel SecurIT Zgate est installé. Pour utiliser Zgate Web, l'ordinateur sur lequel le serveur SecurIT Zgate est installé doit avoir le pilote WinPcap installé.

Dans la version actuelle, Zgate Web intercepte le trafic transmis à l'aide des protocoles et ressources suivants :

Protocole de messagerie instantanée AOL ICQ ;

Protocole de transfert de fichiers FTP ;

Protocole de transfert de données HTTP ;

services de messagerie : Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com ;

Services de messagerie SMS/MMS : Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms ;

forums implémentés sur la base des logiciels PhpBb, IpBoard, Vbulletin.

Comme vous pouvez le constater, les capacités de contrôle du trafic sont impressionnantes.

Pour chaque message, le module d'interception Web Zgate génère une lettre contenant des informations sur le message et un ensemble de paramètres supplémentaires liés au service utilisé. Cette lettre est placée dans les messages entrants et traitée par le système SecurIT Zgate de la même manière qu'une lettre ordinaire reçue via le protocole SMTP.

Les paramètres de Zgate Web sont illustrés dans la figure 10.

Figure 10 : Paramètres Web Zgate

Sur cet onglet, vous pouvez activer ou désactiver Zgate Web, ainsi que spécifier l'interface réseau à partir de laquelle le trafic est copié, afficher et modifier la liste des plages d'adresses pour les paquets analysés (il est possible d'ajouter vos propres plages), sélectionner un répertoire pour stocker les fichiers temporaires et leur volume, ainsi que pour sélectionner les modules d'analyse nécessaires au travail.

Afin d'ajouter votre plage d'adresses pour les paquets analysés, vous devez cliquer sur le bouton "+", qui se trouve à droite de la liste des paquets analysés, une telle fenêtre s'ouvrira (Figure 11).

Figure 11 : Ajout d'une plage d'adresses pour les paquets analysés à SecurIT Zgate

Après avoir spécifié les adresses et les ports dont nous avons besoin, ainsi que choisi une action (analyser ou exclure de l'analyse), appuyez sur le bouton OK. La nouvelle gamme est prête à fonctionner.

Archive. Les archives sont conçues pour le stockage centralisé des copies de lettres, leur visualisation et leur transmission. De plus, les messages mis en quarantaine sont stockés dans les archives. Une archive sous forme de base de données peut être organisée à l'aide d'Oracle ou de Microsoft SQL Server (Figure 12). Certains des paramètres liés aux paramètres d'archive se trouvent dans l'onglet Avancé (élément Paramètres dans le menu Outils).

Figure 12 : Sélection d'une base de données et définition des paramètres d'archive dans SecurIT Zgate

Pour utiliser l'archive, nous devons installer et configurer MSSQL Express ou Oracle (spécifié dans la configuration minimale requise).

Après avoir spécifié les paramètres nécessaires et l'utilisateur pour accéder à la base de données, nous pouvons tester la connexion à la base de données elle-même. Le bouton « Vérifier la connexion » est prévu à cet effet (Figure 13). Vous pouvez également spécifier la possibilité de compression des données. Choisissez le « juste milieu » entre la vitesse de travail et la quantité de données.

Figure 13 : Tout est prêt à fonctionner avec la base de données - la connexion est établie

Licence. Le but de l'onglet ressort clairement du nom lui-même. Il affiche le nombre d'adresses e-mail sous licence, la période de validité de la licence, la liste des modules SecurIT Zgate sous licence - Email Control (Zgate Mail) et Web Traffic Control (Zgate Web). Les modules sous licence sont marqués d'une coche verte (Figure 14).

Figure 14 : Affichage et gestion des licences dans SecurIT Zgate

Statistiques. Avec cet onglet aussi, tout est clair. Il affiche les statistiques du serveur SecurIT Zgate (Figure 15).

Figure 15 : Statistiques du serveur SecurIT Zgate

En plus. Cet onglet affiche des paramètres système supplémentaires (Figure 16). Description détaillée pour chaque paramètre se trouve dans la documentation du produit.

Figure 16 : Paramètres avancés de SecurIT Zgate

Accéder. Le système SecurIT Zgate offre la possibilité de différencier les droits d'accès pour gérer et travailler avec les archives de messages entre plusieurs utilisateurs. Sur cet onglet, l'accès au système est configuré (Figure 17).

Figure 17 : Gestion de l'accès au système SecurIT Zgate

Comme nous l'avons dit, par défaut, les droits d'accès pour configurer SecurIT Zgate sont configurés de manière à ce que les utilisateurs membres du groupe d'administrateurs locaux aient un accès complet à toutes les fonctions.

Pour ajouter un utilisateur ou un groupe d'utilisateurs à la liste d'accès, cliquez sur le bouton "+" et sélectionnez le compte ou le groupe requis. Ensuite, dans la partie inférieure de la fenêtre, précisez les droits que vous souhaitez attribuer au compte spécifié. L'icône « V » signifie que l'utilisateur a droit à cette opération, « X » signifie que l'accès à cette fonction est refusé à l'utilisateur. Les droits de l'utilisateur et du groupe auquel il appartient sont résumés de la même manière que le système de contrôle d'accès accepté sous Windows.

A titre d'exemple, nous avons sélectionné l'utilisateur Invité et lui avons donné le droit de consulter les paramètres et les statistiques (Figure 18).

Figure 18 : Sélection d'un utilisateur et lui attribuant les droits appropriés

Journalisation. Le système SecurIT Zgate vous permet de mettre en œuvre un traitement supplémentaire des opérations qu'il effectue via le mécanisme de traitement des événements. L'une des options pour un tel traitement consiste à enregistrer le fonctionnement de SecurIT Zgate dans le journal système Windows, dans un fichier ou sur Microsoft SQL Server.

Par défaut, la journalisation des événements est désactivée (Figure 19). Vous pouvez activer indépendamment la journalisation d'un événement et choisir comment la journalisation des événements sera effectuée.

Figure 19 : Liste des événements à surveiller dans SecurIT Zgate

L'activation de la journalisation pour n'importe quel événement est très simple. Pour ce faire, sélectionnez l'événement dont nous avons besoin et cliquez sur le bouton "+" à droite de la liste des événements, puis sélectionnez l'option de journalisation souhaitée. Prenons l'exemple de l'option "logging" (Figure 20).

Figure 20 : Configuration des options de journalisation des événements dans un fichier ou un journal système

On peut voir que dans ce cas, vous pouvez choisir l'option de connexion au journal système, et vous pouvez sélectionner n'importe quel ordinateur du réseau local pour stocker ce journal, ou vous pouvez choisir l'option de connexion à un fichier. De plus, trois options sont disponibles pour le format de fichier : texte ANSI, texte Unicode et XML. La différence entre l'écriture d'un journal au format XML et l'écriture dans un fichier texte est que le fichier journal au format XML peut être analysé au moyen du système SecurIT Zgate. Pour les fichiers texte, cette possibilité est exclue.

Vous pouvez également choisir l'emplacement du fichier journal et les droits de l'utilisateur pour le compte duquel la journalisation sera effectuée.

Figure 21 : Sélection des événements à enregistrer dans SecurIT Zgate

Après avoir sélectionné les événements nécessaires, il ne reste plus qu'à cliquer sur le bouton "Terminer". Le résultat est visible dans la figure 22. Des icônes appropriées sont apparues à côté des événements enregistrés indiquant les paramètres de journalisation et l'emplacement où le journal sera écrit.

Figure 22 : Vous pouvez voir trois événements enregistrés dans le fichier XML

Vous pouvez également vous connecter au serveur de journaux et à Microsoft SQL Server. La connexion au serveur SQL, l'enregistrement des informations sur l'événement est effectué par le module de traitement dans la base de données organisée Outils Microsoft Serveur SQL.

Lors du choix de la connexion sur Microsoft SQL Server, vous devrez sélectionner le serveur lui-même avec MSSQL, spécifier les paramètres utilisateur et vérifier la connexion à la base de données. Si tout est correct, lors de la vérification de la connexion, vous serez invité à créer une nouvelle base de données, le nom est spécifié par le système SecurIT Zgate (Figure 23).

Figure 23 : Sélection d'un serveur de base de données et spécification des paramètres de connexion à celui-ci

Figure 24 : Confirmation de la création de la structure de base de données interne pour stocker le journal

Figure 25 : Spécification des événements à enregistrer

Figure 26 : Nous voyons les événements qui seront enregistrés sur le serveur SQL spécifié

Scripts. Un autre type de traitement supplémentaire des opérations effectuées par SecurIT Zgate peut être l'exécution de scripts (scripts) et le lancement de fichiers exécutables.

Lorsque l'événement sélectionné se déclenche, l'application spécifiée sera lancée ou le script spécifié sera exécuté. La liste des événements est similaire à la liste des événements à enregistrer.

Cette option peut être utilisée, par exemple, pour envoyer un SMS concernant un événement ou pour bloquer un poste de travail jusqu'à l'arrivée d'un agent de sécurité.

Figure 27 : Sélection de l'exécutable

Dans la même fenêtre, vous pouvez spécifier le chemin d'accès au fichier de script, spécifier l'utilisateur pour le compte duquel le fichier ou le script sera exécuté. Veuillez noter que par défaut, les applications sont lancées sous compte SYSTÈME.

Figure 28 : Liste des événements qui déclencheront l'application

Ceci conclut l'étape de configuration préliminaire du système SecurIT et passe à la configuration des sous-systèmes de filtrage.

Mise en place de l'analyse et du filtrage du contenu

Examinons maintenant les options de mise en place d'un système d'analyse de contenu.

Dictionnaires. Les dictionnaires dans Zgate sont compris comme des groupes de mots unis selon un attribut (catégorie). En règle générale, la présence dans la lettre de mots d'un dictionnaire spécifique permet avec un degré de probabilité élevé d'attribuer la lettre à la catégorie caractérisée par ce dictionnaire. Les dictionnaires du système Zgate sont utilisés pour le filtrage dans les méthodes « Analyse de dictionnaire » et « Traitement bayésien ».

Figure 29 : Fenêtre de gestion du dictionnaire dans SecurIT Zgate

Étant donné que SecurIT Zgate utilise les mêmes dictionnaires aussi bien lors de l'analyse d'un message électronique que lors de son traitement selon la méthode bayésienne, lors de la création de dictionnaires, deux paramètres sont toujours attribués à un mot : le poids dans la catégorie et le poids dans l'anti-catégorie. Par défaut, les deux paramètres sont définis sur 50.

Pour ajouter un dictionnaire, vous devez appuyer sur le bouton "+" dans la fenêtre de gestion du dictionnaire, et pour ajouter des mots au dictionnaire, vous devez sélectionner le dictionnaire souhaité et appuyer sur le bouton "crayon" (Figure 30, 31) .

Figure 30 : Ajout d'un dictionnaire à SecurIT Zgate

Figure 31 : Ajout d'un mot au dictionnaire dans SecurIT Zgate

Lors de la saisie de mots, vous pouvez utiliser des caractères spéciaux :

n'importe quel nombre de lettres ou de chiffres ;

N'importe quel caractère (lettre ou chiffre) ;

^ - un caractère séparateur (espace, tabulation, saut de ligne) ;

Un séparateur ou un caractère de ponctuation ;

# - un caractère-chiffre ;

@ - un caractère-lettre.

Les caractères valides pour le dictionnaire sont les caractères (,),<, >, (, ), - , _, caractères spéciaux et caractères spéciaux comme caractères simples (tout caractère spécial peut devenir un caractère normal en ajoutant une barre oblique inverse). Par exemple, test* signifie que le dictionnaire contient le mot test*. Et test* signifie que le dictionnaire contient tous les mots qui commencent par test - test, tests, test, etc.

En plus de créer et de remplir un dictionnaire manuellement, vous pouvez créer un dictionnaire en important des mots à partir d'un fichier préalablement préparé, et il existe également la possibilité de générer automatiquement un dictionnaire.

Lors de l'importation de mots depuis un fichier, chaque mot importé se verra attribuer un poids dans la catégorie et l'anti-catégorie par défaut. Les caractères incorrects pour le dictionnaire sont remplacés par défaut par un séparateur (espace) lors de l'importation.

La génération automatique de dictionnaire à partir d'un fichier est possible à l'aide d'un fichier texte spécialement préparé avec l'ensemble de mots approprié, ainsi que de documents réels appartenant ou non à l'une ou l'autre catégorie.

En plus des méthodes d'analyse linguistique, vous pouvez utiliser la méthode des « empreintes digitales numériques », populaire pour cette classe de produits - il s'agit d'une méthode de recherche de copies de documents contrôlés ou de parties de documents dans un message électronique. Dans ce cas, le texte souhaité peut être modifié ou seulement une partie de celui-ci peut être présente dans la lettre.

La méthode d'empreinte consiste dans le fait que tous les documents confidentiels reçoivent leurs « empreintes numériques ». Les impressions reçues sont stockées dans un fichier mis à jour (dans mode automatique) et la base de données mise à jour. S'il est nécessaire de vérifier un document, une « empreinte numérique » est calculée pour celui-ci, puis une empreinte similaire est recherchée parmi les empreintes digitales des documents confidentiels stockés dans la base de données. Si l'empreinte digitale du fichier analysé est similaire à l'empreinte digitale stockée dans la base de données, un avertissement (notification) correspondant est émis.

Pour commencer à travailler avec la base de données d'empreintes digitales, vous devez accéder au menu "Outils" et exécuter la commande "Empreintes".

Figure 32 : Gestion de la base de données d'empreintes digitales dans SecurIT Zgate

Pour ajouter une nouvelle catégorie de documents pour la prise d'empreintes digitales, vous devez cliquer sur

Bouton "+". Pour modifier, appuyez sur le bouton « crayon » et sur le bouton « X » pour supprimer une catégorie.

Figure 33 : Création d'une catégorie de document dans SecurIT Zgate

De plus, lors de la création d'une catégorie, l'heure de mise à jour de la base de données d'empreintes digitales est spécifiée, les paramètres de l'utilisateur au nom duquel les fichiers seront accessibles sont spécifiés et des fichiers sont ajoutés contenant des mots couramment utilisés qui sont exclus de l'analyse.

Vous pouvez utiliser les formats de fichiers suivants pour créer des empreintes digitales : . SMS. doc. docx. xls. xlsx,. ppt. pptx,. pdf,.html,. rtf. bizarre. les chances. odp. dbf. wps. xml* (le format .xml est analysé comme un document texte normal).

La catégorie créée peut être soumise à un contrôle test. La vérification du fichier de test à l'aide de la méthode des empreintes digitales est conçue pour déterminer l'exactitude des paramètres d'empreintes digitales et l'exactitude de la description des catégories. Lors du contrôle, il est déterminé si l'empreinte numérique du fichier (document) vérifié est similaire à l'empreinte numérique du document stocké dans la base de données préalablement créée d'une certaine catégorie. La recherche de documents similaires est effectuée en tenant compte du fait que tout ou partie des caractères russes du document vérifié pourraient être remplacés par des caractères anglais d'orthographe similaire, et vice versa.

Pour vérifier, vous devez cliquer sur le bouton « Vérifier » en bas de la fenêtre de gestion de la base de données d'empreintes digitales et sélectionner le fichier à vérifier, en indiquant le pourcentage de probabilité de similarité.

Un tel système de catégorisation avancé vous permet de créer des catégories distinctes pour différents contenus de message. À son tour, cela permet de catégoriser correctement les notifications d'incidents dans le journal et permet au responsable de la sécurité de définir des priorités et de répondre rapidement aux événements.

Figure 35 : Définition des paramètres d'inspection du trafic dans SecurIT Zgate

Figure 36 : Vérifier le résultat

Protection contre les initiés grâce à une combinaison de Zgate et Zlock

Il existe aujourd'hui deux canaux principaux de fuite d'informations confidentielles : les appareils connectés à un ordinateur (toutes sortes de lecteurs amovibles, notamment les lecteurs flash, les lecteurs de CD/DVD, etc., les imprimantes) et Internet (e-mail, ICQ, réseaux sociaux , etc.). ?d.). Et donc, lorsqu'une entreprise « mûrit » pour introduire un système de protection contre eux, il convient d'aborder cette solution de manière globale. Le problème est que différentes approches sont utilisées pour chevaucher différents canaux. Dans un cas, le moyen de protection le plus efficace sera le contrôle de l'utilisation des disques amovibles, et dans le second, diverses options de filtrage de contenu, qui permettent de bloquer le transfert de données confidentielles vers un réseau externe. Les entreprises doivent donc utiliser deux produits pour se protéger contre les initiés, qui forment ensemble un système de sécurité complet. Naturellement, il est préférable d'utiliser les outils d'un seul développeur. Dans ce cas, le processus de leur mise en œuvre, de leur administration et de la formation des salariés est facilité. Un exemple est les produits de SecurIT : Zlock et Zgate.

Zlock : protection contre les fuites grâce à des disques amovibles

Le programme Zlock est sur le marché depuis longtemps. Et nous avons déjà décrit ses principales caractéristiques. En principe, cela ne sert à rien de répéter. Cependant, depuis la publication de l'article, deux nouvelles versions de Zlock ont ​​été publiées, qui présentent un certain nombre de fonctionnalités importantes. Cela vaut la peine d’en parler, même très brièvement.

Tout d'abord, il convient de noter la possibilité d'attribuer plusieurs politiques à un ordinateur, qui sont appliquées indépendamment selon que l'ordinateur est connecté directement au réseau d'entreprise, via VPN, ou fonctionne hors ligne. Cela permet notamment de bloquer automatiquement les ports USB et les lecteurs CD/DVD lorsque le PC est déconnecté du réseau local. De manière générale, cette fonctionnalité augmente la sécurité des informations stockées sur les ordinateurs portables, que les employés peuvent emporter hors du bureau pour voyager ou travailler à domicile.

La deuxième nouveauté permet aux employés de l'entreprise d'accéder temporairement à des appareils verrouillés ou même à des groupes d'appareils par téléphone. Le principe de son fonctionnement est l'échange de codes secrets générés par le programme entre l'utilisateur et l'employé responsable de la sécurité de l'information. Il est à noter que l'autorisation d'utilisation peut être délivrée non seulement permanente, mais également temporaire (pour une certaine durée ou jusqu'à la fin de la session). Cet outil peut être considéré comme un soulagement dans le système de sécurité, mais il permet d'augmenter la réactivité de la direction informatique aux demandes métiers.

La prochaine innovation importante des nouvelles versions de Zlock est le contrôle de l'utilisation des imprimantes. Après l'avoir configuré, le système de protection enregistrera toutes les demandes des utilisateurs concernant les appareils d'impression dans un journal spécial. Mais ce n'est pas tout. Zlock possède une copie fantôme de tous les documents imprimés. Ils sont rédigés au format PDF et constituent une copie complète des pages imprimées, quel que soit le fichier envoyé à l'imprimeur. Cela évite les fuites d'informations confidentielles sur des feuilles de papier lorsqu'un interne imprime les données afin de les sortir du bureau. Également dans le système de protection sont apparus des clichés instantanés des informations enregistrées sur des disques CD/DVD.

Une innovation importante a été l'émergence du composant serveur Zlock Enterprise Management Server. Il fournit un stockage et une distribution centralisés des politiques de sécurité et d'autres paramètres du programme et facilite grandement l'administration de Zlock dans les systèmes d'information vastes et distribués. Il est également impossible de ne pas évoquer l'émergence de son propre système d'authentification, qui, si nécessaire, permet de refuser d'utiliser le domaine et les utilisateurs Windows locaux.

De plus, la dernière version de Zlock possède plusieurs fonctions moins visibles, mais aussi assez importantes : contrôle de l'intégrité du module client avec la possibilité de bloquer la connexion de l'utilisateur lorsque des intrusions sont détectées, options avancées pour la mise en œuvre d'un système de sécurité, prise en charge du SGBD Oracle, etc.?

Zgate : protection contre les fuites Internet

Donc Zgate. Comme nous l'avons déjà dit, ce produit est un système de protection contre les fuites d'informations confidentielles via Internet. Structurellement, Zgate se compose de trois parties. Le composant principal est le composant serveur, qui effectue toutes les opérations de traitement des données. Il peut être installé aussi bien sur un ordinateur séparé que sur des nœuds déjà opérationnels dans le système d'information de l'entreprise - une passerelle Internet, un contrôleur de domaine, une passerelle de messagerie, etc. Ce module, à son tour, se compose de trois composants : pour contrôler le trafic SMTP, pour contrôler la messagerie interne du serveur Microsoft Exchange 2007/2010 et pour Zgate Web (il est responsable du contrôle du trafic HTTP, FTP et IM).

La deuxième partie du système de protection est le serveur de journalisation. Il est utilisé pour collecter des informations sur les événements d'un ou plusieurs serveurs Zgate, les traiter et les stocker. Ce module est particulièrement utile dans les systèmes d'entreprise de grande taille et géographiquement répartis, car il fournit un accès centralisé à toutes les données. La troisième partie est la console de gestion. Il utilise la console standard des produits SecurIT, et nous n'y reviendrons donc pas en détail. Notons seulement qu'avec l'aide de ce module, vous pouvez gérer le système non seulement localement, mais aussi à distance.

Console de gestion

Le système Zgate peut fonctionner selon plusieurs modes. De plus, leur disponibilité dépend de la manière dont le produit est mis en œuvre. Les deux premiers modes impliquent de travailler comme serveur proxy de messagerie. Pour les mettre en œuvre, le système est installé entre le serveur de messagerie de l'entreprise et le « monde extérieur » (ou entre le serveur de messagerie et le serveur d'envoi, s'ils sont séparés). Dans ce cas, Zgate peut soit filtrer le trafic (retenir les messages illicites et douteux), soit uniquement l'enregistrer (ignorer tous les messages, mais les conserver dans les archives).

La deuxième méthode de mise en œuvre consiste à utiliser le système de protection en conjonction avec Microsoft Exchange 2007 ou 2010. Pour ce faire, vous devez installer Zgate directement sur le serveur de messagerie de l'entreprise. Dans ce cas, deux modes sont également disponibles : filtrage et journalisation. De plus, il existe une autre option de mise en œuvre. Nous parlons de journalisation des messages en mode trafic miroir. Naturellement, pour l'utiliser, il est nécessaire de s'assurer que l'ordinateur sur lequel Zgate est installé reçoit ce trafic en miroir (cela se fait généralement à l'aide d'un équipement réseau).

Sélection du mode de fonctionnement Zgate

Le composant Zgate Web mérite une histoire à part. Il est installé directement sur la passerelle Internet de l'entreprise. Dans le même temps, ce sous-système a la capacité de contrôler le trafic HTTP, FTP et IM, c'est-à-dire de le traiter afin de détecter les tentatives d'envoi d'informations confidentielles via les interfaces de messagerie Web et ICQ, de les publier sur des forums, des serveurs FTP, et réseaux sociaux etc. Au fait, à propos de "ICQ". La fonction de blocage des messageries instantanées se retrouve dans de nombreux produits similaires. Cependant, ce n'est pas "ICQ" qui y figure. Tout simplement parce que c’est dans les pays russophones qu’elle s’est répandue le plus.

Le principe de fonctionnement du composant Zgate Web est assez simple. Chaque fois qu'une information est envoyée à l'un des services contrôlés, le système génère un message spécial. Il contient les informations elles-mêmes et certaines données de service. Il est envoyé au serveur principal Zgate et traité selon les règles indiquées. Naturellement, l'envoi d'informations dans le service lui-même n'est pas bloqué. Autrement dit, Zgate Web ne fonctionne qu'en mode de journalisation. Avec son aide, il est impossible d'empêcher des fuites de données uniques, mais d'un autre côté, vous pouvez les détecter rapidement et arrêter l'activité d'un attaquant libre ou involontaire.

Récemment, le problème de la protection contre les menaces internes est devenu un véritable défi pour le monde clair et bien établi de la sécurité de l'information des entreprises. La presse parle d'initiés, les chercheurs et les analystes mettent en garde contre d'éventuelles pertes et problèmes, et les fils d'actualité regorgent de rapports sur un autre incident qui a conduit à la fuite de centaines de milliers de dossiers de clients en raison d'une erreur ou de l'inattention d'un employé. Essayons de déterminer si ce problème est si grave, s'il doit être résolu et quels outils et technologies sont disponibles pour le résoudre.

Tout d'abord, il convient de déterminer que la menace à la confidentialité des données est interne si sa source est un employé de l'entreprise ou toute autre personne ayant un accès légal à ces données. Ainsi, lorsque nous parlons de menaces internes, nous parlons de toutes les actions possibles des utilisateurs légaux, intentionnelles ou accidentelles, pouvant conduire à la fuite d'informations confidentielles en dehors du réseau d'entreprise d'une entreprise. Pour compléter le tableau, il convient d’ajouter que ces utilisateurs sont souvent qualifiés d’initiés, bien que ce terme ait d’autres significations.

La pertinence du problème des menaces internes est confirmée par les résultats d'études récentes. En octobre 2008, les résultats d'une étude conjointe de Compuware et du Ponemon Institute ont notamment été annoncés, selon lesquels les initiés sont la cause la plus fréquente des fuites de données (75 % des incidents aux États-Unis), tandis que les pirates informatiques n'arrivent qu'à la cinquième place. . Dans l'enquête annuelle 2008 du Computer Security Institute (CSI), les chiffres des incidents de menaces internes sont les suivants :

Le pourcentage d'incidents signifie que sur le nombre total de répondants, ce type d'incident s'est produit dans le pourcentage spécifié d'organisations. Comme le montrent ces chiffres, presque toutes les organisations risquent de souffrir de menaces internes. À titre de comparaison, selon le même rapport, les virus ont touché 50 % des organisations interrogées et seulement 13 % ont été confrontées à la pénétration de pirates informatiques dans le réseau local.

Ainsi, les menaces internes sont la réalité d’aujourd’hui et non un mythe inventé par les analystes et les fournisseurs. Ainsi, ceux qui, à l'ancienne, croient que la sécurité des informations d'entreprise est un pare-feu et un antivirus doivent examiner le problème de manière plus large dès que possible.

La loi « sur les données personnelles » augmente également le degré de tension, selon laquelle les organisations et les fonctionnaires devront répondre non seulement devant leur direction, mais aussi devant leurs clients et devant la loi pour un traitement inapproprié des données personnelles.

Modèle d'intrus

Traditionnellement, lorsqu’on considère les menaces et les moyens de s’en protéger, il faut commencer par une analyse du modèle d’intrus. Comme déjà mentionné, nous parlerons des initiés - les employés de l'organisation et autres utilisateurs qui ont un accès légal aux informations confidentielles. En règle générale, avec ces mots, tout le monde pense à un employé de bureau travaillant sur un ordinateur du réseau d'entreprise qui, en cours de travail, ne quitte pas le bureau de l'organisation. Cependant, cette représentation est incomplète. Il doit être élargi pour inclure d'autres types de personnes ayant un accès légal à l'information et pouvant quitter les bureaux de l'organisation. Il peut s'agir de voyageurs d'affaires équipés d'un ordinateur portable ou travaillant à la fois au bureau et à la maison, de coursiers transportant des supports contenant des informations, principalement des bandes magnétiques avec sauvegarde, etc.

Une telle considération étendue du modèle d'intrus, d'une part, s'inscrit dans le concept, puisque les menaces posées par ces intrus sont également internes, et d'autre part, elle permet d'analyser le problème plus largement, en considérant toutes les options possibles pour lutter contre ces menaces.

Les principaux types de contrevenants internes suivants peuvent être distingués :

• Employé déloyal/offensé.Les contrevenants de cette catégorie peuvent agir délibérément, par exemple en changeant d'emploi et en voulant voler des informations confidentielles afin d'intéresser un nouvel employeur, ou émotionnellement, s'ils se sentent offensés, voulant ainsi se venger. Ils sont dangereux parce qu’ils sont surtout motivés à causer des dommages à l’organisation dans laquelle ils travaillent actuellement. En règle générale, le nombre d'incidents impliquant des employés déloyaux est faible, mais il peut augmenter dans une situation de conditions économiques défavorables et de réductions massives d'effectifs.
• Employé intégré, soudoyé ou manipulé.Dans ce cas nous parlons sur toute action délibérée, en règle générale, à des fins d'espionnage industriel dans un environnement hautement concurrentiel. Pour collecter des informations confidentielles dans une entreprise concurrente, soit ils présentent leur propre personne dans un but précis, soit ils trouvent un employé qui n'est pas le plus fidèle et le soudoyent, soit un employé loyal mais peu vigilant est obligé de transférer des informations confidentielles par le biais des réseaux sociaux. ingénierie. Le nombre d'incidents de ce type est généralement encore inférieur aux précédents, en raison du fait que dans la plupart des segments de l'économie de la Fédération de Russie, la concurrence n'est pas très développée ou est mise en œuvre par d'autres moyens.
• Employé voyou.Ce type de contrevenant est un employé loyal mais inattentif ou négligent qui peut violer la politique de sécurité interne de l'entreprise par ignorance ou par oubli. Un tel employé peut envoyer par erreur un e-mail contenant un fichier secret en pièce jointe à la mauvaise personne, ou emporter chez lui une clé USB contenant des informations confidentielles pour travailler le week-end et la perdre. Le même type inclut les employés qui perdent des ordinateurs portables et des bandes magnétiques. Selon de nombreux experts, ce type d’initiés est responsable de la plupart des fuites d’informations confidentielles.

Ainsi, les motivations et, par conséquent, la ligne de conduite des contrevenants potentiels peuvent différer considérablement. En fonction de cela, il convient d'aborder la solution du problème de la garantie de la sécurité interne de l'organisation.

Technologies de protection contre les menaces internes

Malgré la relative jeunesse de ce segment de marché, les clients ont déjà l'embarras du choix en fonction de leurs tâches et de leurs capacités financières. Il convient de noter qu’il n’existe désormais pratiquement aucun fournisseur sur le marché spécialisé exclusivement dans les menaces internes. Cette situation n'est pas seulement due à l'immaturité de ce segment, mais aussi aux fusions et acquisitions agressives et parfois chaotiques menées par les fabricants de moyens de protection traditionnels et d'autres vendeurs intéressés par une présence sur ce segment. Il convient de rappeler RSA Data Security, devenue division d'EMC en 2006, le rachat par NetApp de Decru, une startup qui développait des systèmes de stockage et de protection des sauvegardes sur serveurs, en 2005, le rachat par Symantec de l'éditeur DLP Vontu en 2007, etc.

Même si un grand nombre de ces transactions indiquent de bonnes perspectives de développement de ce segment, elles ne profitent pas toujours à la qualité des produits placés sous l'aile des grandes entreprises. Les produits commencent à se développer plus lentement et les développeurs ne sont pas aussi réactifs aux exigences du marché qu'une entreprise hautement spécialisée. Il s'agit d'une maladie bien connue des grandes entreprises qui, comme vous le savez, perdent en mobilité et en efficacité au profit de leurs petites frères. D'autre part, la qualité du service et la disponibilité des produits pour les clients dans différentes parties du monde s'améliorent grâce au développement de leur réseau de service et de vente.

Considérez les principales technologies actuellement utilisées pour neutraliser les menaces internes, leurs avantages et leurs inconvénients.

Contrôle des documents

La technologie de contrôle des documents est incarnée dans des produits modernes de gestion des droits, tels que Microsoft Windows Services de gestion des droits, Adobe LiveCycle Rights Management ES et Oracle Information Rights Management.

Le principe de fonctionnement de ces systèmes est d'attribuer des règles d'utilisation pour chaque document et de contrôler ces droits dans les applications qui fonctionnent avec des documents de ce type. Par exemple, vous pouvez créer un document Microsoft Word et définissez des règles pour celui-ci, qui peut le consulter, qui peut le modifier et enregistrer les modifications et qui peut l'imprimer. Ces règles sont appelées licence dans les termes Windows RMS et sont stockées avec le fichier. Le contenu du fichier est crypté pour empêcher un utilisateur non autorisé de le consulter.

Désormais, si un utilisateur tente d'ouvrir un tel fichier protégé, l'application contacte un serveur RMS spécial, confirme l'autorité de l'utilisateur et si l'accès à cet utilisateur est autorisé, le serveur transmet la clé de décryptage à l'application. fichier donné et des informations sur les droits de cet utilisateur. Sur la base de ces informations, l'application met à la disposition de l'utilisateur uniquement les fonctions pour lesquelles il dispose de droits. Par exemple, si l'utilisateur n'est pas autorisé à imprimer un fichier, la fonctionnalité d'impression de l'application ne sera pas disponible.

Il s'avère que les informations contenues dans un tel fichier sont en sécurité même si le fichier sort du réseau de l'entreprise - il est crypté. Fonctionnalités RMS déjà intégrées aux applications Microsoft OfficeÉdition professionnelle 2003. Pour intégrer la fonctionnalité RMS dans les applications d'autres développeurs, Microsoft propose un SDK spécial.

Le système de contrôle des documents d'Adobe est construit de la même manière, mais se concentre sur les documents PDF. Oracle IRM est installé sur les ordinateurs clients en tant qu'agent et s'intègre aux applications au moment de l'exécution.

Le contrôle des documents constitue un élément important du concept global de protection contre les menaces internes, mais les limites naturelles de cette technologie doivent être prises en compte. Premièrement, il est conçu uniquement pour le contrôle des fichiers documentaires. Lorsqu’il s’agit de fichiers ou de bases de données non structurés, cette technologie ne fonctionne pas. Deuxièmement, si un attaquant, utilisant le SDK de ce système, crée une application simple qui communiquera avec le serveur RMS, en recevra une clé de cryptage et enregistrera le document en texte clair et exécutera cette application pour le compte d'un utilisateur avec un minimum niveau d'accès au document, puis ce système sera contourné. De plus, il convient de prendre en compte les difficultés liées à la mise en œuvre d'un système de contrôle des documents si l'organisation a déjà créé de nombreux documents - la tâche de classification initiale des documents et d'attribution des droits d'utilisation peut nécessiter des efforts importants.

Cela ne signifie pas que les systèmes de contrôle des documents ne remplissent pas leur tâche, il suffit de se rappeler que la protection des informations est un problème complexe et qu'en règle générale, il n'est pas possible de le résoudre avec un seul outil.

Protection contre les fuites

Le terme prévention contre la perte de données (DLP) est apparu relativement récemment dans le lexique des spécialistes de la sécurité de l'information et est déjà devenu, sans exagération, le sujet le plus brûlant de ces dernières années. En règle générale, l'abréviation DLP désigne des systèmes qui surveillent les éventuels canaux de fuite et les bloquent en cas de tentative d'envoi d'informations confidentielles via ces canaux. En outre, les fonctions de ces systèmes incluent souvent la possibilité d'archiver les informations qui les transitent pour un audit ultérieur, une enquête sur les incidents et une analyse rétrospective des risques potentiels.

Il existe deux types de systèmes DLP : le DLP réseau et le DLP hôte.

DLP réseau fonctionne sur le principe d’une passerelle réseau qui filtre toutes les données qui y transitent. Evidemment, s'appuyant sur la mission de lutte contre les menaces internes, l'intérêt principal d'un tel filtrage réside dans la capacité à contrôler les données transmises hors du réseau de l'entreprise vers Internet. Le réseau DLP vous permet de contrôler le courrier sortant, le trafic http et ftp, les services de messagerie instantanée, etc. Si des informations sensibles sont détectées, le réseau DLP peut bloquer le fichier en cours de transfert. Il existe également des options pour traiter manuellement les fichiers suspects. Les fichiers suspects sont placés en quarantaine, qui est périodiquement examinée par un agent de sécurité et permet soit le transfert du fichier, soit l'interdit. Certes, un tel traitement, en raison des particularités du protocole, n'est possible que pour le courrier électronique. Caractéristiques supplémentaires L'Audit et l'Enquête sur les Incidents assurent l'archivage de toutes les informations transitant par la passerelle, à condition que ces archives soient périodiquement examinées et leur contenu analysé afin d'identifier les fuites survenues.

L'un des principaux problèmes liés à la mise en œuvre et à la mise en œuvre des systèmes DLP est la méthode de détection des informations confidentielles, c'est-à-dire le moment de décider si les informations transmises sont confidentielles et les raisons qui sont prises en compte lors de la prise d'une telle décision. En règle générale, cela se fait en analysant le contenu des documents transmis, également appelée analyse de contenu. Considérons les principales approches pour détecter les informations confidentielles.

• Mots clés. Cette méthode est similaire aux systèmes de contrôle de documents évoqués ci-dessus. Des étiquettes sont intégrées dans les documents qui décrivent le degré de confidentialité des informations, ce qui peut être fait avec ce document et à qui il doit être envoyé. Sur la base des résultats de l'analyse des étiquettes, le système DLP décide s'il est possible de ce document envoyer ou non. Certains systèmes DLP sont initialement rendus compatibles avec les systèmes de gestion des droits pour utiliser les étiquettes définies par ces systèmes, d'autres systèmes utilisent leur propre format d'étiquette.
• Signature. Cette méthode consiste à spécifier une ou plusieurs séquences de caractères dont la présence dans le texte du fichier transféré doit indiquer au système DLP que ce fichier contient des informations confidentielles. Un grand nombre de signatures peuvent être organisées en dictionnaires.
• Méthode Bayésienne. Cette méthode, utilisée dans la lutte contre le spam, peut être appliquée avec succès dans les systèmes DLP. Pour appliquer cette méthode, une liste de catégories est créée et une liste de mots est spécifiée avec les probabilités que si un mot apparaît dans un fichier, alors le fichier appartient ou n'appartient pas à la catégorie spécifiée avec une probabilité donnée.
• Analyse morphologique.La méthode d'analyse morphologique est similaire à la méthode de signature, la différence réside dans le fait qu'elle ne correspond pas à 100 % à la signature analysée, mais que les mots à racine unique sont également pris en compte.
• Impressions numériques.L'essence de cette méthode est que pour tous les documents confidentiels, une fonction de hachage est calculée de telle sorte que si le document est légèrement modifié, la fonction de hachage restera la même ou changera également légèrement. Ainsi, le processus de détection des documents confidentiels est grandement simplifié. Malgré les éloges enthousiastes de cette technologie de la part de nombreux fournisseurs et de certains analystes, sa fiabilité laisse beaucoup à désirer, et étant donné que les fournisseurs, sous divers prétextes, préfèrent garder dans l'ombre les détails de la mise en œuvre de l'algorithme d'empreintes digitales, sa crédibilité n'augmente pas.
• Expressions régulières.Connues de tous ceux qui ont travaillé sur la programmation, les expressions régulières facilitent la recherche de données de modèle dans un texte, telles que des numéros de téléphone, des détails de passeport, des numéros de compte bancaire, des numéros de sécurité sociale, etc.

De la liste ci-dessus, il est facile de voir que les méthodes de détection soit ne garantissent pas une détection à 100 % des informations confidentielles, car le niveau d'erreurs du premier et du deuxième type est assez élevé, soit nécessitent une vigilance constante du système de sécurité. service de mise à jour et de maintien à jour de la liste des signatures ou des attributions, des étiquettes pour les documents confidentiels.

De plus, le cryptage du trafic peut créer un certain problème dans le fonctionnement du réseau DLP. Si pour des raisons de sécurité il est nécessaire de chiffrer les messages électroniques ou d'utiliser Protocole SSL lors de la connexion à des ressources Web, le problème de la détermination de la présence d'informations confidentielles dans les fichiers transmis peut être très difficile à résoudre. N'oubliez pas que certains services de messagerie instantanée, comme Skype, intègrent le cryptage par défaut. Vous devrez refuser d'utiliser ces services ou utiliser l'hébergeur DLP pour les contrôler.

Mais malgré toutes les difficultés, réglage correct S'ils sont pris au sérieux, les DLP réseau peuvent réduire considérablement le risque de fuite d'informations confidentielles et fournir à une organisation un moyen pratique de contrôle interne.

DLP hôte sont installés sur chaque hôte du réseau (sur les postes clients et, si nécessaire, sur les serveurs) et peuvent également être utilisés pour contrôler le trafic Internet. Cependant, les DLP hôtes sont devenus moins répandus à ce titre et sont actuellement utilisés principalement pour contrôler des périphériques externes et des imprimantes. Comme vous le savez, un employé qui se rend au travail à partir d'une clé USB ou d'un lecteur MP3 constitue une menace bien plus grande pour la sécurité des informations d'une entreprise que tous les pirates informatiques réunis. Ces systèmes sont également appelés outils de sécurité des points de terminaison du réseau ( sécurité des points finaux), bien que ce terme soit souvent utilisé de manière plus large, par exemple, on parle parfois d'outils antivirus.

Comme vous le savez, le problème de l'utilisation de périphériques externes peut être résolu sans aucun moyen, en désactivant les ports soit physiquement, soit au moyen du système d'exploitation, soit administrativement, en interdisant aux employés d'apporter des supports au bureau. Cependant, dans la plupart des cas, l'approche « bon marché et joyeuse » est inacceptable, car la flexibilité appropriée des services d'information, requise par les processus commerciaux, n'est pas fournie.

Pour cette raison, il y avait une certaine demande d'outils spéciaux avec lesquels vous pouvez résoudre de manière plus flexible le problème de l'utilisation de périphériques et d'imprimantes externes par les employés de l'entreprise. De tels outils vous permettent de configurer les droits d'accès des utilisateurs à différents types d'appareils, par exemple, pour qu'un groupe d'utilisateurs interdise de travailler avec des médias et autorise les imprimantes, et pour qu'un autre groupe autorise l'utilisation de médias en mode lecture seule. S'il est nécessaire d'enregistrer des informations sur des appareils externes pour des utilisateurs individuels, la technologie de cliché instantané peut être utilisée, qui garantit que toutes les informations stockées sur un appareil externe sont copiées sur le serveur. Les informations copiées peuvent ensuite être analysées pour analyser les actions de l'utilisateur. Cette technologie copie tout, et il n'existe actuellement aucun système permettant d'analyser le contenu des fichiers enregistrés afin de bloquer le fonctionnement et d'éviter les fuites, comme le fait le réseau DLP. Cependant, une archive de clichés instantanés permettra une enquête sur les incidents et une analyse rétrospective des événements sur le réseau, et disposer d'une telle archive signifie qu'un interne potentiel peut être arrêté et puni pour ses actions. Cela peut s'avérer être pour lui un obstacle important et une raison importante pour abandonner les actions hostiles.

Il convient également de mentionner le contrôle de l’utilisation des imprimantes – les copies papier des documents peuvent également devenir une source de fuite. Host DLP vous permet de contrôler l'accès des utilisateurs aux imprimantes de la même manière qu'à d'autres périphériques externes et d'enregistrer des copies des documents imprimés dans format graphique pour une analyse plus approfondie. De plus, la technologie des filigranes (filigranes), qui met en œuvre l'impression sur chaque page d'un document d'un code unique, grâce auquel il est possible de déterminer exactement qui, quand et où a imprimé ce document, a gagné en popularité.

Malgré les avantages incontestables du DLP hôte, ils présentent un certain nombre d'inconvénients liés à la nécessité d'installer un logiciel agent sur chaque ordinateur censé être surveillé. Premièrement, cela peut entraîner certaines difficultés en termes de déploiement et de gestion de tels systèmes. Deuxièmement, un utilisateur disposant de droits d'administrateur peut essayer de désactiver ce logiciel pour effectuer toute action non autorisée par la politique de sécurité.

Néanmoins, pour un contrôle fiable des périphériques externes, le DLP hôte est indispensable et les problèmes mentionnés ne sont pas insolubles. Ainsi, nous pouvons conclure que le concept DLP constitue désormais un outil à part entière dans l'arsenal des services de sécurité des entreprises face à la pression toujours croissante qui pèse sur eux pour assurer le contrôle interne et la protection contre les fuites.

Notion CIP

Dans le processus d'invention de nouveaux moyens de lutte contre les menaces internes, la pensée scientifique et technique de la société moderne ne s'arrête pas et, compte tenu de certaines lacunes des moyens évoqués ci-dessus, le marché des systèmes de protection contre les fuites d'informations en est venu au concept d'IPC ( Protection et contrôle des informations). Ce terme est apparu relativement récemment, on pense qu'il a été utilisé pour la première fois dans une revue de la société d'analyse IDC en 2007.

L'essence de ce concept est de combiner les méthodes DLP et de cryptage. Dans ce concept, DLP contrôle les informations qui quittent le réseau d'entreprise par des canaux techniques, et le cryptage est utilisé pour protéger les supports de données qui tombent physiquement ou peuvent tomber entre les mains de personnes non autorisées.

Considérez les technologies de cryptage les plus courantes pouvant être utilisées dans le concept IPC.

• Cryptage de bandes magnétiques.Malgré l'archaïsme de ce type de support, il continue d'être activement utilisé pour la sauvegarde et le transfert de grandes quantités d'informations, car il n'a toujours pas d'égal en termes de coût unitaire d'un mégaoctet stocké. En conséquence, les fuites liées aux bandes perdues continuent de ravir les rédacteurs en première page et de frustrer les DSI et les responsables de la sécurité des entreprises qui font l'objet de tels rapports. La situation est aggravée par le fait que ces bandes contiennent de très grandes quantités de données et, par conséquent, un grand nombre de personnes peuvent devenir victimes d'escrocs.
• Cryptage des stockages du serveur.Bien que le stockage du serveur soit très rarement transporté et que le risque de le perdre soit infiniment plus faible qu'avec une bande magnétique, un Disque dur le stockage peut tomber entre de mauvaises mains. Réparation, élimination, mise à niveau - ces événements se produisent avec une régularité suffisante pour amortir ce risque. Et la situation d’intrusion dans le bureau de personnes non autorisées n’est pas un événement totalement impossible.

Ici, cela vaut la peine de faire une petite digression et de mentionner l'idée fausse courante selon laquelle si un disque fait partie d'une matrice RAID, vous n'avez apparemment pas à craindre qu'il tombe entre des mains non autorisées. Il semblerait que la répartition des données écrites sur plusieurs disques durs effectuée par les contrôleurs RAID donne une apparence illisible aux données situées sur un seul disque dur. Malheureusement, ce n'est pas tout à fait vrai. L'entrelacement a lieu, mais dans la plupart des appareils modernes, il se fait au niveau des blocs de 512 octets. Cela signifie que, malgré la violation de la structure et des formats de fichiers, des informations confidentielles peuvent toujours être extraites d'un tel disque dur. Par conséquent, s'il est nécessaire d'assurer la confidentialité des informations lorsqu'elles sont stockées dans une matrice RAID, le cryptage reste la seule option fiable.

• Cryptage des ordinateurs portables.Cela a déjà été dit à maintes reprises, mais la perte d'ordinateurs portables contenant des informations confidentielles figure depuis de nombreuses années dans le top cinq des incidents les plus fréquents.
• Cryptage des supports amovibles.Dans ce cas, nous parlons de périphériques USB portables et, parfois, de CD et DVD enregistrables s'ils sont utilisés dans les processus métiers de l'entreprise. De tels systèmes, ainsi que les systèmes de chiffrement des disques durs des ordinateurs portables mentionnés ci-dessus, peuvent souvent faire partie des systèmes DLP hôtes. Dans ce cas, on parle d'une sorte de crypto-périmètre, qui assure un cryptage automatique et transparent des médias à l'intérieur et l'impossibilité de décrypter les données à l'extérieur.

Ainsi, le cryptage peut améliorer considérablement les capacités des systèmes DLP et réduire le risque de fuite de données confidentielles. Malgré le fait que le concept IPC a pris forme relativement récemment et que le choix de solutions IPC intégrées sur le marché n'est pas trop large, l'industrie développe activement ce domaine et il est fort possible qu'après un certain temps, ce concept devienne le de norme de fait pour résoudre les problèmes de sécurité intérieure et de contrôle de sécurité intérieure.

conclusions

Comme on le voit depuis cette revue, les menaces internes sont un domaine relativement nouveau de la sécurité de l'information, qui se développe néanmoins activement et nécessite une attention accrue. Les technologies de contrôle documentaire envisagées, DLP et IPC, permettent de construire un système de contrôle interne assez fiable et de réduire le risque de fuite à un niveau acceptable. Sans aucun doute, ce domaine de la sécurité de l'information continuera à se développer, des technologies plus récentes et plus avancées seront proposées, mais aujourd'hui de nombreuses organisations choisissent l'une ou l'autre solution, car la négligence en matière de sécurité de l'information peut coûter trop cher.

Alexeï Raevski
PDG de SecurIT

Articles similaires

Mise en place des modules CI (CAM) Tricolor sur des téléviseurs de différentes marques Module Cam pour visualiser les chaînes TV codées

2022-10-20 03:58:46

Restauration à partir d'un point de contrôle

2022-10-20 03:58:46

Comment installer Windows sur Mac de trois manières Installer Windows sur imac

2022-10-20 03:58:46