Tipo di informazione

Posizione

Produzione

Piani di produzione, proprietà intellettuale, descrizioni della tecnologia, sviluppi interni

File server, DBMS

Riservato

infrastruttura

Schede infrastruttura IT, sistemi informatici, accessi

Localmente

sensibile

Finanziario

Informazioni contabili, piani finanziari, relazioni, bilanci

Base 1C o altro ambiente per il dipartimento finanziario

Riservato

Personale

Carte del personale

A livello locale, file server

sensibile

File e documenti per la condivisione interna

Personale

intrasocietario

Rapporti assembleari, ordini, direttive, articoli

File server

Pubblico

Divertente

Foto, video, film, audiolibri

Cartelle estese o file server dedicato

Con l'ubiquità di tutti i tipi di unità rimovibili, il problema degli insider, che prima era abbastanza rilevante, ha acquisito una scala veramente globale. E non c'è assolutamente nulla di sorprendente in questo. Oggi, qualsiasi dipendente che ha accesso a informazioni riservate può facilmente e, soprattutto, copiarle discretamente su se stesso e utilizzarle per vari scopi in futuro. Ed è anche un bene se dietro a questo c'è la voglia di lavorare solo con contratti a casa. Sebbene un'azione del genere, indipendentemente dalle intenzioni dell'intruso, aumenti ancora notevolmente il rischio di compromissione dei dati (i computer domestici sono generalmente meno protetti, persone diverse possono sedersi su di essi e l'unità può andare persa). Ma dopo tutto, un dipendente può copiare le informazioni per trasferirle ai concorrenti o utilizzarle per i propri scopi personali. L'esempio più semplice e più ovvio di ciò è copiare la base clienti (o i contratti con loro) prima di partire per attirarli in un'altra azienda.

Il problema principale è che è impossibile proteggersi da questo metodo di furto di informazioni utilizzando mezzi standard, ovvero strumenti integrati nei sistemi operativi. Prendi almeno le chiavette USB. Sono piccoli, economici e molto capienti. Con il loro aiuto, i dipendenti possono "estrarre" tranquillamente gigabyte di informazioni dal sistema informativo aziendale. Tuttavia, non puoi semplicemente disabilitare le porte USB sulle workstation: oggi sono necessarie per collegare molti dispositivi: stampanti, tastiere, mouse, chiavi software, ecc. Inoltre, non dobbiamo dimenticare altre opzioni per rubare informazioni, ad esempio utilizzando CD / DVD, telefoni cellulari, ecc. Anche una normale stampante può diventare una minaccia. Dopotutto, il dipendente ha l'opportunità di stampare informazioni riservate e portare a casa le stampe. Tuttavia, non sarà nemmeno possibile spegnerli, perché di solito tutti questi dispositivi sono necessari ai dipendenti per svolgere le loro funzioni ufficiali.

L'unico modo per proteggere l'azienda dal furto di informazioni riservate attraverso vari drive rimovibili è implementare un sistema per limitarne e controllarne l'utilizzo. È implementato utilizzando un software speciale. Per qualche ragione, molte aziende ritengono che tali prodotti siano molto complessi e che siano necessarie alcune qualifiche speciali per implementarli e mantenerli. Tuttavia, questo non è assolutamente il caso. Il sistema per delimitare i diritti di accesso ai dispositivi esterni e interni di un computer è così semplice che non solo un amministratore qualificato, ma anche solo un utente esperto di PC può gestirlo. E a conferma di queste parole, oggi consideriamo un esempio di introduzione del prodotto Zlock di SecurIT in un IS aziendale. Vale la pena notare che non può proteggere dalla fuga di informazioni riservate tramite Internet (ad esempio, tramite e-mail tramite ICQ, ecc.), ciò richiede altri prodotti con un principio di funzionamento completamente diverso (ad esempio Zgate della stessa sviluppatore). Ma Zlock affronta con successo il compito di controllare tutti i tipi di unità e stampanti rimovibili.

Struttura Zlock

Prima di iniziare una conversazione sulla procedura di installazione del sistema in questione, è necessario comprenderne la struttura. Zlock è composto da cinque parti.

· Console di gestione. Un programma che consente all'amministratore di eseguire la gestione completa del sistema, inclusa la sua installazione sulle workstation, la modifica delle politiche di accesso, il lavoro con i server di registro e di configurazione, ecc.

· Modulo cliente. Un'utilità installata sulle workstation. È lei che controlla e blocca l'accesso in conformità con le politiche specificate. Inoltre, il modulo client interagisce con il server di log, verifica l'integrità di Zlock, ecc.

· Server di registro. Un sistema per ricevere, memorizzare ed elaborare informazioni sugli eventi trasmessi dai moduli client. Fornisce un comodo accesso amministratore a tutti i dati.

· Server di configurazione. Sistema centralizzato di gestione della configurazione Zlock.

· Modulo di configurazione Zlock tramite criteri di gruppo. Modulo per l'installazione e l'aggiornamento del sistema tramite criteri di gruppo.

Prima di tutto, devi capire dove sono installati i moduli. È chiaro che la console di gestione deve essere installata sul computer di un amministratore o di un dipendente responsabile della sicurezza delle informazioni dell'azienda. Questo processo non è diverso dall'installazione di qualsiasi altro software e quindi non ci soffermeremo su di esso in dettaglio.

Il server di registro e il server di configurazione, in linea di principio, non sono necessari per il funzionamento del sistema. Zlock può far fronte con successo ai compiti assegnatigli e senza di essi. Tuttavia, il server di registro è molto comodo per visualizzare gli eventi su tutte le workstation contemporaneamente. Ebbene, il server di configurazione è indispensabile nelle grandi reti aziendali. Con esso, puoi gestire facilmente le impostazioni dei moduli client su un gran numero di workstation. Vengono installati di nuovo come al solito. Software. Questa procedura viene eseguita localmente dal pacchetto di distribuzione incluso con Zlock.

La fase finale dell'installazione del sistema in questione è l'installazione dei moduli client su tutti i computer che necessitano di monitoraggio. Questo può essere fatto in due modi (opzione con installazione manuale non consideriamo per ovvi motivi). Il primo prevede l'utilizzo della console di gestione. Dopo il suo avvio, diversi gruppi si trovano nel riquadro sinistro della finestra principale. Devi trovare tra di loro e aprire l'albero "Computer e applicazioni", quindi aprire il ramo "Nessuna applicazione". Fornirà un elenco completo dei computer inclusi nella rete locale che non hanno installato il sistema Zlock.

Per avviare la procedura di installazione delle parti client, l'amministratore deve selezionare il computer oi computer di destinazione (compreso un intero dominio) e fare clic sul pulsante "Installa o aggiorna Zlock..." che si trova sulla barra degli strumenti. Nella finestra che si apre, specifica la cartella con il pacchetto di distribuzione del programma ( L'opzione migliore ci sarà una cartella di rete a cui hanno accesso tutti gli utenti) e selezionare anche l'opzione di installazione. Ce ne sono tre: con riavvio manuale o forzato dei computer, nonché senza riavvio. Vale la pena notare che l'ultima opzione più conveniente non può essere utilizzata per aggiornare le parti client installate in precedenza. In conclusione, non resta che selezionare i PC su cui verrà eseguita l'installazione (magari non si desidera installare Zlock su tutti i computer della rete), e specificare anche un utente con diritti di amministratore locale. Inoltre, il programma, in caso di mancanza di autorizzazione, può richiedere l'inserimento di dati ad un altro utente.

Un'altra opzione per la distribuzione di un sistema di protezione sulle workstation aziendali consiste nell'utilizzare i criteri di gruppo. Per fare ciò, Zlock viene fornito con uno speciale pacchetto di installazione. La procedura di installazione stessa è familiare a quasi tutti gli amministratori di sistema. Prima di tutto, devi creare cartella di rete, copia i file Zlock30 al suo interno. msi e Zlockmsi. ini e renderlo accessibile a tutti gli utenti del dominio. Se hai già un file di configurazione, puoi inserirlo nella stessa directory. In questo caso, verrà applicato automaticamente a tutti i moduli client installati. Se non esiste un file di questo tipo, il sistema applicherà la politica predefinita, che dovrà essere configurata in futuro.

Successivamente, nelle proprietà del dominio aziendale (a cui si accede tramite la console di Active Directory), è necessario accedere alla scheda "Criteri di gruppo" e creare una nuova politica. Nella finestra di questa politica, è necessario espandere l'albero "Configurazione computer", selezionare la voce "Installa software" e creare un nuovo pacchetto, nelle cui proprietà specificare il percorso di rete del file Zlock30. msi. Di conseguenza, l'installazione del sistema Zlock viene eseguita utilizzando strumenti OS standard.

Configurazione dei criteri di accesso

Forse l'operazione più importante nel processo di implementazione del sistema di sicurezza Zlock è l'impostazione delle politiche di accesso. Determinano la capacità di tutti gli utenti di lavorare con determinati dispositivi. Ogni politica ha tre parti. Il primo è un elenco di dispositivi o dei loro gruppi, ognuno dei quali ha diritti di accesso per utenti diversi. La seconda parte del criterio riguarda le impostazioni per la copia shadow dei file copiati su varie unità. Bene, la terza parte determina le impostazioni per la copia shadow dei documenti stampati sulle stampanti. Inoltre, ogni politica ha un numero di proprietà aggiuntive che considereremo di seguito.

Il principio di funzionamento della politica è il seguente. Ciascuna workstation dispone di una o più politiche assegnate dall'amministratore. Al verificarsi di qualsiasi evento controllato dal sistema di protezione (collegamento di un dispositivo, tentativo di copiare un file su un'unità rimovibile, stampa di un documento, ecc.), il modulo client verifica a sua volta la conformità con tutte le politiche (l'ordine è stabilito dal sistema di priorità) e applica il primo di quelli con cui corrisponde. Cioè, Zlock non ha il solito sistema di eccezioni. Se, ad esempio, devi vietare tutte le unità flash USB tranne una specifica, devi utilizzare due criteri. Il primo con una priorità bassa disabilita l'uso di unità rimovibili. E il secondo, con uno più alto, consente l'uso di un'istanza particolare. Oltre a quelli creati dall'amministratore, esiste anche una politica predefinita. Definisce i diritti di accesso a quei dispositivi che non sono descritti in altre politiche.

Bene, ora diamo un'occhiata alla procedura per creare una politica. Per avviarlo, è necessario selezionare la workstation desiderata nell'albero della console di gestione e stabilire una connessione ad essa. Successivamente, seleziona la voce "Aggiungi" nel menu "Politica". La finestra risultante è composta da cinque schede. Il primo si chiama "Accesso". Specifica il nome del criterio in fase di creazione, la sua priorità e i diritti di accesso ai dispositivi. Sono disponibili quattro opzioni qui: accesso completo per tutti gli utenti, accesso in sola lettura per tutti gli utenti, negazione dell'accesso ai dispositivi per tutti gli utenti e diritti di accesso ai dispositivi individuali per utenti e gruppi. Gli scopi dei primi tre sono chiari dai loro nomi. Ma l'ultima opzione vale la pena notare separatamente. Con esso, puoi impostare diritti diversi per i singoli utenti, il che è molto conveniente, poiché spesso dipendenti diversi possono lavorare sullo stesso computer. Per inserire i diritti di accesso è necessario cliccare sul pulsante "Modifica" e aggiungere gli account necessari (computer locale o dominio) nella finestra che si apre, definendo i permessi per ciascuno di essi.

Dopo aver inserito le impostazioni di base, è necessario specificare un elenco di dispositivi e gruppi che saranno coperti dalla politica. Per fare ciò, usa la scheda "Dispositivi". Ci sono quattro modi per inserire l'equipaggiamento in Zlock.

· Dispositivi tipici. Questa opzione comporta la selezione di tutti i dispositivi di un certo tipo, ad esempio tutte le unità rimovibili, le unità CD/DVD, i dischi rigidi, ecc.

· Un dispositivo USB con caratteristiche specificate. Consente di specificare i dispositivi USB per tipo, produttore, nome del prodotto, numero di serie del dispositivo e altro.

· Stampanti. Utilizzato per immettere specifiche stampanti locali o di rete.

Usando questi metodi, puoi creare un elenco di dispositivi molto preciso e flessibile. È interessante notare che è possibile scegliere non solo l'attrezzatura collegata al PC al momento, ma anche quella che una volta veniva utilizzata su di esso (molto importante per le unità rimovibili). Inoltre, l'amministratore può creare un cosiddetto catalogo dispositivi. Questo è un file che elenca tutti i dispositivi collegati ai computer su una rete aziendale. Può essere creato sia manualmente che automaticamente scansionando tutte le workstation.

In linea di principio, dopo abbiamo già una politica pienamente funzionante. Tuttavia, Zlock fornisce una serie di impostazioni aggiuntive che espandono la funzionalità del sistema di protezione. Quindi, ad esempio, se viene creata una politica che non dovrebbe essere sempre in vigore, è necessario impostare una pianificazione per il suo funzionamento. Questo viene fatto nella scheda con lo stesso nome. Su di esso è possibile definire gli intervalli durante i quali la polizza è valida. L'amministratore può inserire la durata della polizza, l'ora, i giorni della settimana oi giorni del mese in cui sarà attiva.

Se il computer per il quale viene creata la policy può disconnettersi dalla rete aziendale e/o connettersi ad essa tramite Internet, è possibile definire impostazioni speciali per esso. Per fare ciò, vai alla scheda "Regole dell'applicazione". Elenca tre punti di possibile stato del PC relativi al dominio aziendale: il dominio è disponibile localmente, il dominio è disponibile tramite VPN, il dominio non è disponibile. Per disabilitare l'azione della politica per qualcuno di essi, è sufficiente disattivare la casella di controllo corrispondente. Ad esempio, se si vuole rendere impossibile la stampa di qualcosa da un computer disconnesso dalla rete aziendale, è sufficiente creare una policy che vieti l'uso delle stampanti e attivare i "Dominio non disponibile" e "Dominio accessibile tramite VPN" elementi nelle regole di applicazione.

Dopo aver creato una o più politiche su uno dei computer, puoi distribuirle rapidamente su altri PC. Per fare ciò è necessario stabilire una connessione con tutte le stazioni necessarie nella console di gestione e selezionare la voce "Propaga configurazione" nel menu "Servizio". Nella finestra che si apre, seleziona le caselle dei criteri e dei computer richiesti, attiva la casella "Propagazione criteri in background" e seleziona l'azione che l'applicazione deve eseguire quando rileva criteri con nomi corrispondenti (chiedi se sovrascrivere o meno) . Successivamente, fai clic sul pulsante "OK" e attendi il completamento del processo.

Qualsiasi politica può essere modificata in futuro. Per fare ciò, basta collegarsi al computer su cui è stato originariamente creato, trovarlo nell'"albero" e fare doppio clic su di esso con il mouse. Si aprirà una finestra già familiare dalla procedura di creazione di una politica, in cui è possibile modificare determinati parametri. Tieni presente che se il criterio che hai modificato è stato distribuito una volta su altri computer, prima di modificarlo, devi prima stabilire una connessione con tutti questi PC. In questo caso, durante il salvataggio delle modifiche, il programma Zlock stesso offrirà di sincronizzare le politiche obsolete con quella nuova. I criteri vengono eliminati allo stesso modo.

Impostazione della registrazione e della copia shadow

Zlock ha un sistema di registrazione. Grazie ad esso, l'amministratore o altro responsabile della sicurezza delle informazioni può visualizzare e analizzare tutti gli eventi monitorati. Per abilitarlo, seleziona la voce "Impostazioni" nel menu "Strumenti" e vai alla scheda "Diario" nella finestra che si apre. Elenca tutti i possibili eventi (negazione della scrittura sul dispositivo, modifica dell'accesso alla rete, modifica della configurazione, applicazione delle politiche di accesso, ecc.), nonché il loro stato in termini di registrazione.

Per abilitare la registrazione per uno o più eventi, fare clic sul segno più e selezionare l'opzione di registrazione: scrittura in un file (registro eventi di sistema o file arbitrario in formato TXT o XML), in un database su un server SQL o un server di log, inviando una lettera via e-mail.

Successivamente, nella finestra che si apre, è necessario configurare i parametri di registro (dipende dall'opzione selezionata: nome file, parametri di accesso al database, ecc.), contrassegnare gli eventi necessari e fare clic sul pulsante "OK".

La registrazione delle operazioni sui file è configurata separatamente. Significano azioni come la creazione, la modifica e la modifica di file, la creazione e l'eliminazione di directory, ecc. È chiaro che ha senso mantenere tali registri solo quando si utilizzano unità rimovibili. Pertanto, questo tipo di registrazione è legato alle politiche di accesso. Per configurarlo, seleziona "Operazioni sui file" dal menu "Strumenti" nella console di gestione. Nella finestra che si apre, prima di tutto, è necessario selezionare le politiche per le quali verrà eseguita la registrazione. Ha senso selezionare quelli che controllano l'uso delle unità rimovibili: dispositivi USB, unità CD / DVD, ecc. Successivamente, è necessario inserire le azioni che il sistema eseguirà quando vengono rilevate operazioni sui file. Per aggiungere ciascuno di essi, è necessario fare clic sul "più" e selezionare l'opzione desiderata. Tre azioni sono correlate alla registrazione: scrivere informazioni sull'evento in un file, in un database o inviare un messaggio di posta elettronica. L'ultima opzione è eseguire il programma o lo script specificato.

Successivamente, puoi procedere alla configurazione della copia shadow. Questa è una funzione molto importante del sistema Zlock, da non trascurare. Fornisce la duplicazione di file copiati o stampati in una memoria speciale, impercettibile per l'utente. La copia shadow è necessaria quando i dipendenti devono utilizzare stampanti o unità rimovibili per svolgere le proprie mansioni professionali. In questi casi, è quasi impossibile prevenire la fuga di informazioni con mezzi tecnici. Ma la copia shadow ti consentirà di rispondere rapidamente e bloccare futuri incidenti.

Per impostare i parametri della copia shadow, selezionare la voce omonima nel menu "Strumenti". Prima di tutto, puoi configurare l'archiviazione locale. Per fare ciò, è necessario specificare la cartella in cui verranno salvati i file, inserire la quantità disponibile (in megabyte o percentuale di spazio libero sul disco rigido) e selezionare anche l'azione in caso di overflow (sovrascrivere i file nella memoria , vietare o consentire la copia e la stampa).

Se necessario, è possibile configurare la copia shadow nell'archivio di rete. Per fare ciò, vai alla scheda "Copia sul server" e attiva la casella di controllo "Trasmetti informazioni sulla copia shadow e sui file al server". Se il trasferimento deve essere eseguito immediatamente, è necessario selezionare l'opzione "Trasferisci file il prima possibile". È anche possibile un'altra opzione: il sistema copierà i file a una frequenza specificata. Successivamente, è necessario selezionare una cartella di rete in cui verranno scritti i file. Si noti che ha senso selezionare una directory a cui solo l'amministratore ha accesso. In caso contrario, il dipendente potrà inserirlo ed eliminare o almeno visualizzare i file salvati. Quando si sceglie una cartella di questo tipo, è necessario inserire il nome utente e la password dell'utente che ha l'autorità per scrivervi informazioni.

Bene, alla fine delle impostazioni, resta da andare alla scheda "Politiche" e specificare i criteri in base ai quali funzionerà la copia shadow.

Sistema di permessi temporanei

In linea di principio, noi, cari lettori, abbiamo già analizzato il processo di implementazione di Zlock. Dopo il suo completamento, il sistema di protezione dagli insider funzionerà, aiutando l'azienda a evitare la fuoriuscita di pubblicità e informazione personale. Tuttavia, Zlock ha un'altra caratteristica molto interessante che semplifica la vita all'amministratore. Si tratta di un sistema per il rilascio di permessi temporanei per l'utilizzo di determinati dispositivi.

Perché vuoi concentrarti su questo momento particolare? Tutto è molto semplice. La pratica mostra che abbastanza spesso si verificano situazioni in cui uno dei dipendenti ha bisogno di utilizzare un dispositivo a loro solitamente vietato. Inoltre, tale necessità può sorgere urgentemente. Di conseguenza, c'è il panico, si cerca urgentemente un amministratore, che deve modificare la politica di accesso e, soprattutto, non dimenticare di restituirla in seguito. Naturalmente, questo è molto scomodo. È molto meglio utilizzare un sistema di permessi temporanei.

Per usarlo, devi prima generare un certificato di amministratore. Per fare ciò, nel menu "Strumenti", seleziona la voce "Certificato ..." e, nella finestra che si apre, fai clic sul pulsante "Cambia certificato". Successivamente, nella procedura guidata, seleziona il pulsante di opzione "Crea un nuovo certificato" e inserisci il suo nome. L'unica cosa che resta da fare è connettersi computer remoti, seleziona la voce "Impostazioni" nel menu "Strumenti", vai nella scheda "Generale" nella finestra che si apre e clicca sul pulsante "Installa".

In Zlock, le autorizzazioni temporanee possono essere utilizzate in due modi: tramite e-mail e per telefono. Nel primo caso, la richiesta viene creata come segue. L'utente deve fare clic con il pulsante destro del mouse sull'icona Zlock nella barra delle applicazioni e selezionare "Crea query" dal menu a discesa. Nella finestra che si apre, deve selezionare il dispositivo e i diritti di accesso desiderati (solo lettura o accesso completo), inserire l'indirizzo dell'amministratore e, se necessario, un breve commento. In questo caso, verrà generata una lettera con un file di richiesta allegato nel client di posta installato nel sistema per impostazione predefinita. Dopo averlo ricevuto, l'amministratore dovrebbe fare doppio clic su di esso con il mouse. Si aprirà una finestra con le informazioni sulla richiesta. Se l'amministratore accetta di elaborarlo, deve fare clic sul pulsante "Avanti". Si aprirà una finestra per la creazione di una nuova policy, in cui è già stato inserito il dispositivo richiesto. L'amministratore deve solo impostare la pianificazione per questo criterio. Può essere permanente o una tantum. Nel secondo caso, la politica sarà in vigore solo fino al termine della sessione di Windows da parte dell'utente o fino alla rimozione del dispositivo (a seconda della scelta dell'amministratore). Questa polizza può essere inviata al computer del dipendente nel modo consueto, oppure tramite un apposito file via e-mail (sarà protetto con un certificato di amministratore). Dopo averlo ricevuto, l'utente deve semplicemente eseguirlo, dopodiché avrà accesso al dispositivo desiderato.

Il sistema di autorizzazione telefonica funziona in modo simile. Innanzitutto, l'utente deve creare una richiesta. Questa procedura è quasi identica a quella di cui abbiamo discusso sopra. Solo nell'ultima fase non viene formata un'e-mail, ma un codice speciale composto da cinque blocchi di numeri e lettere. Il dipendente deve chiamare l'amministratore e dettargli questo set di caratteri. L'amministratore è tenuto a inserire questo codice in un'apposita finestra (viene richiamato utilizzando la voce "Richiesta di elaborazione" del menu "Politica"). Verranno visualizzate informazioni dettagliate sulla richiesta. Successivamente, l'amministratore può creare una politica nel modo che già conosciamo. L'unica differenza è che nell'ultima fase il sistema genererà un altro codice. Il suo amministratore deve dettare a un dipendente che, inserendolo in un apposito campo, può attivare l'accesso al dispositivo.

Riassumendo

Quindi, come possiamo vedere, la procedura per mettere in funzione un sistema di protezione dagli insider non è, in linea di principio, complicata. Per eseguirlo, non è necessario possedere abilità speciali. Qualsiasi amministratore di sistema con conoscenze di base può farcela. tecnologie di rete. Tuttavia, vale la pena notare che l'efficacia della protezione dipende interamente dalla competenza e dalla completezza con cui vengono elaborate le politiche di accesso. È in questo momento che vale la pena avvicinarsi con la massima serietà e un dipendente responsabile dovrebbe fare questo lavoro.

Zlock: controlla l'accesso ai dispositivi USB

Zlock alla prova

I principali vantaggi attesi dal sistema, insieme alle principali caratteristiche funzionali, dovrebbero essere la facilità di implementazione e l'intuitività dei passaggi per l'installazione e la configurazione dello stesso.

Figura 1. Criterio di accesso predefinito

Successivamente, è necessario riflettere sulle politiche di accesso per il servizio Zlock stesso, che verrà distribuito anche durante l'installazione ai siti client. Modificare la politica di accesso per le impostazioni della parte client dell'applicazione, consentendo o impedendo agli utenti di vedere l'icona e ricevere avvisi sulla modifica della politica di accesso. Da un lato, questi avvisi sono convenienti, perché inviando una richiesta di accesso all'amministratore, l'utente verrà avvisato se la politica modificata viene applicata alla sua workstation. D'altra parte, gli amministratori di sistema spesso preferiscono non fornire agli utenti una conferma visiva non necessaria dei servizi di protezione in esecuzione sulla workstation.

Quindi la politica creata (in questo caso, per ora rimane locale sulla workstation della console) viene salvata come file denominato default. zcfg nella cartella di distribuzione del client.

Tutto. Questo completa la preparazione globale del sistema per l'installazione di massa. Il prodotto colpisce per la facilità di creazione di politiche associate all'uso del principio standard di creazione dei diritti utente come ACL.

Per l'installazione su tutti i computer, è stato inviato un messaggio pop-up agli utenti con la richiesta di accendere tutte le workstation di rete vicine, ma non attualmente in uso. Dopo aver selezionato tutte le workstation di rete dall'elenco dei computer a cui connettersi (o meglio selezionando tutti e quindi escludendo i server), ho avviato il processo di connessione per l'ulteriore installazione della parte client. La connessione a un tale numero di computer (150), ovviamente, ha richiesto un tempo relativamente lungo, poiché viene eseguita in sequenza e, se il computer è spento, è previsto il timeout della connessione. Tuttavia, la procedura dovrà essere eseguita solo durante l'installazione iniziale, ulteriori politiche saranno controllate in base alle esigenze personali degli utenti. Quando ho provato a installare "contemporaneamente" la parte client su tutti i 150 computer della rete locale, ho riscontrato piccoli problemi su diverse workstation, ma il sistema è stato installato automaticamente sulla maggior parte dei computer. C'era solo un problema nell'installazione: l'incompatibilità di Zlock con le versioni obsolete del driver di protezione CD StarForce. Per una corretta interazione, è necessario aggiornare il driver StarForce scaricandolo dal sito Web del produttore. Questo è stato fatto anche in remoto utilizzando il servizio di installazione remota. La spiegazione del motivo di questa incompatibilità, a mio avviso, ha diritto alla vita - del resto Zlock interagisce con il sottosistema di I/O a un livello inferiore rispetto alle funzioni applicative dell'OS - proprio come la protezione dalla copia dei CD.

Dopo aver selezionato le workstation, verrà richiesto di specificare da dove si desidera eseguire la distribuzione del programma di installazione. È questa funzione che consente di installare altri programmi in questo modo senza lasciare il posto di lavoro. Fai attenzione quando scegli l'opzione di installazione: "Con riavvio" o "Riavvio richiesto". Se si seleziona "Con riavvio" - al termine dell'installazione, le workstation client si riavvieranno automaticamente senza chiedere conferma all'utente.

Questo completa l'installazione iniziale e, dopo un riavvio, il client Zlock inizierà a eseguire la politica di sicurezza prescritta. Allo stesso tempo, nella barra delle applicazioni viene visualizzata l'icona del servizio Zlock, che offre agli utenti la possibilità di creare richieste di accesso, nonché di modificare le politiche stesse, se, ovviamente, ciò era consentito per loro dalla politica predefinita che abbiamo creato.

Impegno per la completa privacy...

Dopodiché, infatti, inizia la messa a punto del sistema Zlock. Se nella tua azienda i dipendenti hanno spesso bisogno di salvare qualcosa su un supporto rimovibile e desideri mantenere la politica di sicurezza al livello più rigoroso, coordina il tuo programma di lavoro in modo da poter essere sul posto di lavoro il più spesso possibile nella settimana successiva al installazione. Per mantenere il massimo rigore della policy di accesso, si consiglia di creare delle regole per specifici dispositivi rimovibili, poiché Zlock permette di concedere l'accesso ai dispositivi anche in base alla sua caratteristiche complete come marca, modello, numero di serie, ecc. La situazione è più complicata nelle aziende IT, poiché i dipendenti devono costantemente scrivere tutti i tipi di informazioni su dischi CD / DVD-R / RW. In questo caso, possiamo consigliare di utilizzare workstation dedicate con unità di registrazione, sulle quali le politiche di sicurezza del sistema creeranno regole che non consentiranno l'accesso alla rete da questi computer. Tuttavia, tali sottigliezze esulano dallo scopo dell'articolo di Zlock.

Come funziona in pratica?

Ora vediamo come appare tutto in azione. Ti ricordo che la policy di accesso che ho creato consente agli utenti di leggere da tutti i dispositivi rimovibili e vieta di scrivere su di essi. Un dipendente del reparto assistenza viene in ufficio per inviare report e masterizzare attività su disco. Quando un dispositivo rimovibile è collegato, il sistema limita l'accesso ed emette un avviso corrispondente (vedi Fig. 2).

Figura 2. Avviso di restrizione di accesso

Il dipendente legge le informazioni da lui fornite, dopodiché cerca senza successo di annotare i compiti ricevuti dal manager. Se è necessario per ottenere l'accesso, contatta telefonicamente l'amministratore o genera una richiesta automatica utilizzando l'applet Zlock Tray indicando il dispositivo a cui desidera accedere, nomina il suo account e motiva la necessità di tale accesso.

L'amministratore, ricevuta tale richiesta, decide di concedere/non concedere tale accesso e, se la decisione è positiva, modifica la politica per la data workstation. Allo stesso tempo, la richiesta creata contiene tutte le informazioni sul dispositivo, inclusi produttore, modello, numero di serie, ecc., e il sistema Zlock consente di creare eventuali politiche sulla base di questi dati. Pertanto, abbiamo l'opportunità di concedere l'accesso in scrittura a un utente specifico sul dispositivo specificato, se necessario, registrando tutte le operazioni sui file (vedi Fig. 3).

Figura 3. Creazione di una politica basata su una richiesta dell'utente

Pertanto, il processo di creazione di ulteriori politiche permissive è semplificato al limite per l'amministratore e si riduce al principio Check&Click, che è indubbiamente piacevole.

I problemi

Impossibile aprire le porte del firewall per l'amministrazione remota di Zlock?

Per l'amministrazione remota di Zlock nel firewall, è sufficiente aprire una porta. Per impostazione predefinita, questa è la porta 1246, ma può essere modificata se questo numero non è adatto per qualsiasi motivo. A proposito, il nostro prodotto si confronta favorevolmente con alcuni analoghi che utilizzano il servizio Remote Procedure Calls (RPC) per l'amministrazione, che per impostazione predefinita richiede l'apertura di molte porte ed è piuttosto vulnerabile agli attacchi esterni. Come sapete, la maggior parte dei virus moderni utilizzava le vulnerabilità RPC per infiltrarsi in un computer e ottenere privilegi amministrativi al suo interno.

2) Problema

Abbiamo la seguente situazione. Due dipendenti lavorano sullo stesso computer nello stesso reparto. Ognuno ha una chiavetta USB. Il compito è rendere leggibile l'unità flash del primo dipendente, ma non l'unità flash del secondo. Il problema principale è che queste unità flash hanno gli stessi numeri (VID_058F&PID_6387), unità flash Transcend da 256 Mb e 1 Gb. Per favore, dimmi come procedere in questa situazione? Molte grazie.

I numeri di cui stai parlando sono ID prodotto e ID fornitore. Per limitare l'accesso ai dispositivi con lo stesso prodotto e ID produttore, è necessario specificare il loro numero di serie nelle politiche Zlock. Vale la pena notare che non tutti i produttori di unità USB assegnano numeri di serie univoci ai loro prodotti, di solito produttori non nominativi per la mancanza di numeri di serie.

II. Panoramica di SecurITZgate

In questa recensione, iniziamo una storia dettagliata su SecurIT Zgate, una soluzione aziendale progettata per analizzare il traffico Internet a livello di gateway al fine di rilevare e bloccare i tentativi di fuga di dati riservati o altre azioni non autorizzate dei dipendenti.

introduzione

Secondo il concetto di protezione completa contro le minacce interne promosso da SecurIT, il prodotto gateway SecurIT Zgate è una parte importante del sistema IPC. Il concetto IPC include DLP (Data Loss Prevention) e soluzioni di protezione dei dati nello storage. Per la prima volta, la combinazione di tecnologie apparentemente diverse è stata proposta dall'analista di IDC Brian Burk nel rapporto Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.

I sistemi IPC controllano l'elenco dei canali standard per i sistemi DLP: e-mail, risorse Web (posta Web, social network, blog), ICQ, dispositivi USB e stampanti. In IPC, la crittografia dei dati viene aggiunta a queste funzionalità su server, nastri magnetici e sugli endpoint di rete, su PC, laptop e unità mobili. Oltre all'elenco dei canali controllati e dei media crittografati, l'IPC differisce in modo significativo nell'insieme dei metodi per rilevare i dati riservati.

Pertanto, il sistema SecurIT Zgate, che consente di prevenire la fuga di informazioni riservate attraverso i canali di rete, è una parte importante, se non fondamentale, di un unico sistema IPC. SecurIT Zgate analizza tutti i dati trasmessi dai dipendenti all'esterno rete informativa organizzazioni. SecurIT Zgate utilizza moderne tecnologie di rilevamento automatico che determinano con precisione il livello di riservatezza delle informazioni trasmesse, tenendo conto delle caratteristiche aziendali e dei requisiti di vari standard di settore.

1. Requisiti di sistema

Minimo requisiti di sistema per la soluzione SecurIT Zgate sono presentati nella tabella seguente.

2. Caratteristiche principali di SecurIT Zgate:

Filtraggio del traffico in entrata, in uscita e interno.

Analisi del contenuto dei messaggi e dei file trasmessi utilizzando qualsiasi combinazione di metodi di categorizzazione automatica.

Compatibilità con qualsiasi sistema di posta (MTA) in esecuzione sul protocollo SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, ecc.

Lavorare in modalità passiva monitoraggio con copia dei dati trasmessi o in modalità attiva di blocco degli incidenti in tempo reale.

Politiche flessibili per il controllo, il blocco e l'archiviazione dei dati con la possibilità di configurare fino a 30 impostazioni.

Applicare criteri in base al tempo di trasmissione, alla direzione del traffico e alla posizione dell'utente.

Comodi strumenti per la gestione dei dizionari che descrivono varie categorie di documenti.

Possibilità di scansionare manualmente messaggi e file sospetti.

Modifica dei messaggi e possibilità di notificare agli utenti i risultati del filtraggio.

Integrazione con applicazioni di terze parti per ulteriori elaborazioni da parte di sistemi antivirus e antispam.

Capacità di mantenere un archivio completo dei dati trasferiti, inclusi i file allegati, in Microsoft SQL Server o Oracle Database.

Architettura scalabile e modulare per soddisfare i requisiti prestazionali più esigenti.

Installazione e gestione da un'unica console di tutti i prodotti SECURIT.

Ampie opportunità per separare i ruoli degli amministratori.

Supporto per l'importazione di informazioni statistiche in vari progettisti di report, come Crystal Reports o FastReport.

3. Installazione di SecurIT Zgate

Importante! Se si prevede di utilizzare gli strumenti di elaborazione della posta di SecurIT Zgate all'interno di Microsoft Exchange 2007/2010, la parte server di SecurIT Zgate deve essere installata sullo stesso computer in cui è installato Microsoft Exchange.

SecurIT Zgate utilizza InstallShield standard per l'installazione. È interessante notare che l'intera installazione è semplice e non causa difficoltà.

Figura 1: Inizio dell'installazione di SecurIT Zgate

Nota nella Figura 2, il server di registro non è installato per impostazione predefinita. Può essere distribuito su un altro computer. Il registro eventi può essere archiviato in un file XML, utilizzare un server di registro separato o utilizzare un database (MSSQL Server o Oracle Database).

Figura 2: Selezione dei moduli per installare SecurIT Zgate

Il lavoro con SecurIT Zgate viene eseguito tramite la console di gestione. Per comunicare con il server SecurIT Zgate, la console di gestione utilizza il protocollo TCP/IP e la porta 1246. Non dimenticare di aprire questa porta nel firewall. È possibile modificare questa porta in un secondo momento, se necessario.

Se si desidera utilizzare SecurIT Zgate in modalità sniffer, è necessario installare il driver WinPcap su un computer con un server SecurIT Zgate già installato. Il driver WinPcap è fornito in bundle con la distribuzione SecurIT Zgate.

La console di gestione può essere installata sullo stesso computer su cui è già installato SecurIT Zgate o su uno separato.

Quindi, iniziamo con Zgate SecurIT.

4. Introduzione e configurazione iniziale di SecurIT Zgate

Figura 3: Vista generale della console di gestione di SecurIT Zgate

Per iniziare, è necessario stabilire una connessione con il computer su cui si trova la parte server del sistema. L'elenco dei computer si trova sul lato sinistro della console di gestione nell'elemento ad albero "Senza applicazioni". Nel nostro esempio, abbiamo installato il server SecurIT Zgate sul computer VM-2003TEST, che sceglieremo.

Dopo aver selezionato il computer di cui abbiamo bisogno e la connessione con esso ha avuto successo, viene trasferito dalla sezione "Senza applicazioni" ai nodi di quelle applicazioni che sono installate su di esso (nel nostro caso, questo è SecurIT Zgate) e un si apre un elenco ad albero di impostazioni e funzioni ( figura 4).

Figura 4: La connessione al computer è riuscita - sono disponibili nuove funzionalità

Va notato che l'elenco dei computer nel dominio è determinato tramite NetBIOS o caricato da Active Directory. Se disponi di un numero elevato di computer in rete, puoi utilizzare l'opzione di ricerca.

Se il computer non è nell'elenco "Nessuna applicazione", la connessione può essere stabilita manualmente. Per fare ciò, apri il menu "Connessione" nella console di gestione e seleziona la voce "Crea connessione". Nella finestra che si apre, inserisci il nome del computer, l'indirizzo IP, la porta (1246 per impostazione predefinita) e le informazioni sull'utente (Figura 5). Per impostazione predefinita, i diritti di accesso per la configurazione di SecurIT Zgate sono configurati in modo tale che gli utenti appartenenti al gruppo di amministratori locali abbiano pieno accesso a tutte le funzioni del sistema.

Figura 5: creazione manuale di una connessione

Quindi, diamo un'occhiata alle impostazioni del server SecurIT Zgate una per una.

Generale. Questa sezione (Figura 6) specifica le impostazioni del server di posta interno, la porta del server di posta interno, la modalità di funzionamento del server, la directory per la memorizzazione temporanea dei messaggi elaborati e indica volume massimo questa directory.

Figura 6: Impostazioni generali server per il server di posta in SecurIT Zgate

Come si può vedere dalla figura, le modalità di funzionamento "Filtro della posta all'interno di Microsoft Exchange 2007/2010" e "Registrazione della posta all'interno di Microsoft Exchange 2007/2010" non sono disponibili perché al momento non abbiamo installato e configurato Microsoft Exchange. La modalità mirroring (analisi di una copia del traffico trasmesso) è disponibile perché è installato il driver WinPcap.

Il mirroring dei messaggi inviati utilizzando il traffico SMTP crittografato (creato utilizzando il protocollo TLS con il comando STARTTTLS) e utilizzando l'estensione XEXCH50 del protocollo Exchange ESMTP non è supportato.

Ricezione. In questa sezione si configura la ricezione della posta in modo che funzioni in varie modalità operative del server (Figura 7).

Figura 7: Configurazione della ricezione della posta per funzionare in modalità proxy (Journaling)

Quando si configura il filtro o si accede in modalità proxy, l'interfaccia di rete e il numero di porta (predefinito 25) sono impostati per la ricezione della posta dall'esterno del sistema SecurIT Zgate; interfaccia di rete e numero di porta utilizzati per ricevere la posta dal server di posta interno; directory per i messaggi in arrivo e la sua dimensione massima. La directory della posta in arrivo memorizza i messaggi ricevuti da SecurIT Zgate prima che vengano elaborati o inoltrati.

Nella stessa scheda è configurata la protezione contro gli attacchi Denial of Service. Come si può vedere dalla Figura 7, la protezione contro gli attacchi in servizio consiste in una serie di condizioni, se non soddisfatte il messaggio non viene accettato. Tali condizioni possono essere abilitate o disabilitate a seconda della necessità o dell'inutilità di un determinato controllo.

Se il server SecurIT Zgate funziona nella modalità di analisi del traffico con mirroring (abilitata nella scheda delle impostazioni Generale), quindi tab Ricezione ha la forma seguente (figura 8).

Figura 8: Configurazione della ricezione della posta in modalità di analisi del traffico con mirroring

Le impostazioni per questa modalità operativa specificano l'interfaccia di rete su cui viene ricevuto il traffico con mirroring, l'indirizzo IP del server di posta con mirroring, le porte utilizzate dal server con mirroring per ricevere e inviare la posta, nonché la directory per la memorizzazione dei messaggi in arrivo e la sua taglia.

Importante! Affinché SecurIT Zgate funzioni in modalità mirroring, è necessario che switch di rete, a cui è collegato il computer con SecurIT Zgate, supportata la funzione di mirroring. Port Mirroring consente di copiare il traffico su una porta di controllo in modo che possa essere analizzato senza interferire con il flusso.

Tuttavia, la presenza di uno switch con funzionalità di mirroring delle porte non è richiesta se SecurIT Zgate è installato sul server proxy dell'organizzazione o se SecurIT Zgate è installato sul computer da cui viene monitorato il traffico.

Quando selezionato nella scheda Generale modalità di funzionamento del server Filtraggio della posta all'interno di Microsoft Exchange 2007/2010 o Inserimento nel journal della posta all'interno di Microsoft Exchange 2007/2010, schede Ricezione e Trasmissione vengono sostituiti scheda Microsoft Exchange.

Sulla scheda Microsoft Exchange vengono configurati i cataloghi dei messaggi in entrata e in uscita e il loro volume massimo (i cataloghi sono progettati per organizzare una coda di messaggi inviati in elaborazione o al server di posta del destinatario). Anche in questa scheda è possibile selezionare l'opzione "Controlla posta interna". In questa modalità verranno scansionati anche i messaggi interni tra i client del server di posta controllato. Questa caratteristica è molto importante, poiché diventa possibile controllare la corrispondenza interna dei dipendenti.

Nella parte inferiore della scheda vengono visualizzate informazioni su errori o avvisi.

Trasmissione. Le impostazioni di trasferimento della posta non dipendono dalla modalità di funzionamento del server e sono le stesse sia per il filtraggio e l'accesso in modalità proxy che per il mirroring (Figura 9).

Figura 9: Impostazioni di trasferimento della posta in SecurIT Zgate

Qui vengono configurati i seguenti parametri: il numero massimo di connessioni in uscita simultanee; schemi di tentativi di connessione; elenco dei domini di posta serviti dal server di posta interno; server di consegna, a cui viene trasmessa la posta inviata in uscita (se il server di consegna non è specificato e il dominio del destinatario non è interno, allora SecurIT Zgate stesso consegna la posta, collegandosi direttamente al server di posta del destinatario); uno smart host a cui vengono inoltrate le e-mail per i destinatari dai domini accettati, ma non negli elenchi delle licenze; directory per i messaggi in uscita e la sua dimensione massima. Inoltre, le e-mail vengono inoltrate allo smart host per il quale SecurIT Zgate non è stato in grado di determinare l'indirizzo del server di posta tramite DNS o il server di posta ha segnalato che il destinatario non esiste.

Lo schema di connessione con il server di posta del destinatario è costituito da serie. La serie è composta da un certo numero di tentativi di connessione al server del destinatario del messaggio e da un intervallo di minuti tra i tentativi. Se non è stato possibile stabilire una connessione secondo lo schema, il messaggio viene eliminato e nel registro viene visualizzato un messaggio corrispondente. In questo caso, viene inviato un messaggio di errore al mittente.

Scheda Web Zgateè progettato per prevenire la fuga di informazioni su Internet, ad esempio quando i dipendenti inviano deliberatamente o accidentalmente dati sensibili tramite la propria posta Web, pubblicano su un forum o un blog o inviano tramite ICQ.

Il funzionamento di Zgate Web è garantito dal mirroring delle porte sullo switch o dall'intercettazione del traffico di rete sul computer su cui è installato SecurIT Zgate. Per utilizzare Zgate Web, sul computer su cui è installato il server SecurIT Zgate deve essere installato il driver WinPcap.

Nella versione attuale, Zgate Web intercetta il traffico trasmesso utilizzando i seguenti protocolli e risorse:

protocollo di messaggistica istantanea AOL ICQ;

protocollo di trasferimento file FTP;

protocollo di trasferimento dati HTTP;

servizi di posta: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

Servizi di messaggistica SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

forum implementati sulla base di software PhpBb, IpBoard, Vbulletin.

Come puoi vedere, le capacità di controllo del traffico sono impressionanti.

Per ogni messaggio, il modulo di intercettazione Zgate Web genera una lettera contenente le informazioni sul messaggio e una serie di parametri aggiuntivi relativi al servizio in uso. Questa lettera viene inserita nei messaggi in arrivo ed elaborata dal sistema SecurIT Zgate allo stesso modo di una normale lettera ricevuta tramite il protocollo SMTP.

Le impostazioni di Zgate Web sono mostrate nella Figura 10.

Figura 10: Impostazioni Web Zgate

In questa scheda è possibile abilitare o disabilitare Zgate Web, nonché specificare l'interfaccia di rete da cui copiare il traffico, visualizzare e modificare l'elenco degli intervalli di indirizzi per i pacchetti analizzati (è possibile aggiungere i propri intervalli), selezionare una directory per la memorizzazione dei file temporanei e delle relative dimensioni, nonché per selezionare i moduli di analisi necessari al lavoro.

Per aggiungere il tuo intervallo di indirizzi per i pacchetti analizzati, devi fare clic sul pulsante "+", che si trova a destra dell'elenco dei pacchetti analizzati, tale finestra si aprirà (Figura 11).

Figura 11: Aggiunta di un intervallo di indirizzi per i pacchetti analizzati a SecurIT Zgate

Dopo aver specificato gli indirizzi e le porte di cui abbiamo bisogno, oltre a scegliere un'azione (analizzare o escludere dall'analisi), premere il pulsante OK. La nuova gamma è pronta.

Archivio. L'archivio è progettato per l'archiviazione centralizzata delle copie delle lettere, la loro visualizzazione e l'inoltro. Inoltre, i messaggi in quarantena vengono archiviati nell'archivio. Un archivio sotto forma di database può essere organizzato utilizzando Oracle o Microsoft SQL Server (Figura 12). Alcune delle impostazioni relative alle impostazioni di archiviazione si trovano nella scheda Avanzate (voce Impostazioni nel menu Strumenti).

Figura 12: Selezione di un database e impostazione dei parametri di archivio in SecurIT Zgate

Per utilizzare l'archivio, è necessario installare e configurare MSSQL Express o Oracle (specificato nei requisiti minimi di sistema).

Dopo aver specificato le impostazioni necessarie e l'utente per l'accesso al database, possiamo testare la connessione al database stesso. A tale scopo serve il pulsante "Verifica connessione" (Figura 13). È inoltre possibile specificare la possibilità di compressione dei dati. Scegli la "media d'oro" tra la velocità di lavoro e la quantità di dati.

Figura 13: Tutto è pronto per lavorare con il database: la connessione è stabilita

Licenza. Lo scopo della scheda è chiaro dal nome stesso. Visualizza il numero di indirizzi e-mail con licenza, il periodo di validità della licenza, l'elenco dei moduli SecurIT Zgate con licenza - Controllo e-mail (Zgate Mail) e Controllo del traffico Web (Zgate Web). I moduli con licenza sono contrassegnati da un segno di spunta verde (Figura 14).

Figura 14: Visualizzazione e gestione delle licenze in SecurIT Zgate

Statistiche. Anche con questa scheda è tutto chiaro. Visualizza le statistiche del server SecurIT Zgate (Figura 15).

Figura 15: Statistiche del server SecurIT Zgate

Inoltre. Questa scheda mostra ulteriori impostazioni di sistema (Figura 16). Descrizione dettagliata per ogni impostazione è nella documentazione del prodotto.

Figura 16: Impostazioni avanzate di SecurIT Zgate

Accesso. Il sistema SecurIT Zgate offre la possibilità di differenziare i diritti di accesso per la gestione e l'utilizzo dell'archivio dei messaggi tra più utenti. In questa scheda è configurato l'accesso al sistema (Figura 17).

Figura 17: Gestione dell'accesso al sistema SecurIT Zgate

Come abbiamo già detto, per impostazione predefinita, i diritti di accesso per la configurazione di SecurIT Zgate sono configurati in modo tale che gli utenti appartenenti al gruppo di amministratori locali abbiano pieno accesso a tutte le funzioni.

Per aggiungere un utente o un gruppo di utenti all'elenco di accesso, fare clic sul pulsante "+" e selezionare l'account o il gruppo richiesto. Quindi, nella parte inferiore della finestra, specifica i diritti che desideri assegnare all'account specificato. L'icona "V" significa che l'utente ha diritto a questa operazione, "X" significa che all'utente è negato l'accesso a questa funzione. I diritti dell'utente e del gruppo a cui appartiene sono riepilogati in modo simile al sistema di controllo accessi accettato in Windows.

Ad esempio, abbiamo selezionato l'utente Ospite e gli abbiamo dato il diritto di visualizzare parametri e statistiche (Figura 18).

Figura 18: Selezione di un utente e assegnazione degli opportuni diritti

Scrivere sul diario. Il sistema SecurIT Zgate consente di implementare un'elaborazione aggiuntiva delle operazioni da esso eseguite attraverso il meccanismo di elaborazione degli eventi. Una delle opzioni per tale elaborazione è la registrazione dell'operazione di SecurIT Zgate nel registro di sistema di Windows, in un file o in Microsoft SQL Server.

Per impostazione predefinita, la registrazione degli eventi è disabilitata (Figura 19). È possibile abilitare in modo indipendente la registrazione di un evento e scegliere come verrà eseguita la registrazione dell'evento.

Figura 19: Elenco degli eventi da monitorare in SecurIT Zgate

Abilitare la registrazione per qualsiasi evento è molto semplice. Per fare ciò, seleziona l'evento di cui abbiamo bisogno e fai clic sul pulsante "+" a destra dell'elenco di eventi, quindi seleziona l'opzione di registrazione desiderata. Prendiamo come esempio l'opzione "logging" (Figura 20).

Figura 20: configurazione delle opzioni di registrazione degli eventi su file o registro di sistema

Si può notare che in questo caso è possibile scegliere l'opzione di registrazione nel registro di sistema e selezionare qualsiasi computer sulla rete locale per archiviare questo registro oppure è possibile scegliere l'opzione di registrazione su un file. Inoltre, sono disponibili tre opzioni per il formato del file: testo ANSI, testo Unicode e XML. La differenza tra la scrittura di un log in formato XML, a differenza della scrittura in un file di testo, è che il file di log in formato XML può essere analizzato tramite il sistema SecurIT Zgate. Per i file di testo, questa possibilità è esclusa.

È inoltre possibile scegliere la posizione del file di registro ei diritti dell'utente per conto del quale verrà eseguita la registrazione.

Figura 21: Selezione degli eventi per accedere a SecurIT Zgate

Dopo aver selezionato gli eventi necessari, non resta che fare clic sul pulsante "Fine". Il risultato è mostrato nella Figura 22. Accanto agli eventi registrati sono apparse icone appropriate che indicano i parametri di registrazione e la posizione in cui verrà scritto il registro.

Figura 22: puoi vedere tre eventi registrati nel file XML

È anche possibile accedere al server di registro e a Microsoft SQL Server. La registrazione su un server SQL, la registrazione delle informazioni su un evento viene eseguita dal modulo di elaborazione in un database organizzato tramite Microsoft SQL Server.

Quando si sceglie di accedere a Microsoft SQL Server, sarà necessario selezionare il server stesso con MSSQL, specificare i parametri utente e verificare la connessione al database. Se tutto è corretto, quando si verifica la connessione, verrà richiesto di creare un nuovo database, il nome è specificato dal sistema SecurIT Zgate (Figura 23).

Figura 23: Selezione di un server di database e specifica dei parametri per la connessione ad esso

Figura 24: Conferma della creazione della struttura interna del database per la memorizzazione del log

Figura 25: Specificare gli eventi da registrare

Figura 26: Vengono visualizzati gli eventi che verranno registrati nel server SQL specificato

Script. Un altro tipo di elaborazione aggiuntiva delle operazioni eseguite da SecurIT Zgate può essere l'esecuzione di script (script) e il lancio di file eseguibili.

Quando l'evento selezionato viene attivato, verrà avviata l'applicazione specificata o verrà eseguito lo script specificato. L'elenco degli eventi è simile all'elenco degli eventi per la registrazione.

Questa opzione può essere utilizzata, ad esempio, per inviare un SMS su un evento o per bloccare una workstation fino all'arrivo di un addetto alla sicurezza.

Figura 27: Selezione dell'eseguibile

Nella stessa finestra è possibile specificare il percorso del file di script, specificare l'utente per conto del quale verrà eseguito il file o lo script. Tieni presente che per impostazione predefinita, le applicazioni vengono avviate con l'account SYSTEM.

Figura 28: elenco di eventi che attiveranno l'applicazione

Si conclude così la fase di configurazione preliminare del sistema SecurIT e si procede alla configurazione dei sottosistemi di filtraggio.

Impostazione dell'analisi e del filtraggio dei contenuti

Ora diamo un'occhiata alle opzioni per impostare un sistema di analisi del contenuto.

Dizionari. I dizionari in Zgate sono intesi come gruppi di parole unite secondo un attributo (categoria). Di norma, la presenza nella lettera di parole di un dizionario specifico con un alto grado di probabilità ci consente di attribuire la lettera alla categoria caratterizzata da questo dizionario. I dizionari nel sistema Zgate vengono utilizzati per il filtraggio nei metodi "Analisi del dizionario" e "Elaborazione bayesiana".

Figura 29: Finestra di gestione del dizionario in SecurIT Zgate

Poiché SecurIT Zgate utilizza gli stessi dizionari, sia durante l'analisi di un messaggio di posta che durante l'elaborazione con il metodo bayesiano, durante la creazione dei dizionari vengono sempre assegnati due parametri a una parola: peso nella categoria e peso nell'anticategoria. Per impostazione predefinita, entrambi i parametri sono impostati su 50.

Per aggiungere un dizionario, è necessario premere il pulsante "+" nella finestra di gestione del dizionario e per aggiungere parole al dizionario è necessario selezionare il dizionario desiderato e premere il pulsante "matita" (Figura 30, 31) .

Figura 30: Aggiunta di un dizionario a SecurIT Zgate

Figura 31: Aggiunta di una parola al dizionario in SecurIT Zgate

Quando si inseriscono le parole, è possibile utilizzare caratteri speciali:

qualsiasi numero di qualsiasi lettera o numero;

Qualsiasi carattere (lettera o numero);

^ - un carattere separatore (spazio, tabulazione, avanzamento riga);

Un carattere separatore o di punteggiatura;

# - un carattere-cifra;

@ - una lettera di carattere.

I caratteri validi per il dizionario sono i caratteri (,),<, >, (, ), - , _, caratteri speciali e caratteri speciali come caratteri semplici (qualsiasi carattere speciale può essere trasformato in un carattere normale aggiungendo una barra rovesciata). Ad esempio, test* significa che il dizionario contiene la parola test*. E test* significa che il dizionario contiene tutte le parole che iniziano con test: test, test, test, ecc.

Oltre a creare e compilare un dizionario manualmente, è possibile creare un dizionario importando parole da un file precedentemente preparato, e c'è anche la possibilità di generare automaticamente un dizionario.

Quando si importano parole da un file, a ciascuna parola importata verrà assegnato un peso nella categoria predefinita e nella categoria antica. I caratteri non corretti per il dizionario vengono sostituiti per impostazione predefinita con un separatore (spazio) durante l'importazione.

La generazione automatica di un dizionario da un file è possibile utilizzando un file di testo appositamente preparato con l'appropriato insieme di parole, nonché documenti reali che appartengono o non appartengono a una categoria o all'altra.

Oltre ai metodi di analisi linguistica, è possibile utilizzare il metodo delle "impronte digitali", diffuso per questa classe di prodotti: si tratta di un metodo per cercare copie di documenti controllati o parti di documenti in un messaggio di posta. In questo caso, il testo desiderato può essere modificato o solo una parte di esso può essere presente nella lettera.

Il metodo dell'impronta consiste nel fatto che a tutti i documenti riservati vengono fornite le loro "impronte digitali". Le stampe ricevute vengono archiviate in un file aggiornato (in Modalità automatica) e la banca dati aggiornata. Se è necessario controllare qualsiasi documento, viene calcolata un'"impronta digitale" per esso, quindi un'impronta digitale simile viene ricercata tra le impronte dei documenti riservati archiviati nel database. Se l'impronta digitale del file sottoposto a scansione è simile all'impronta digitale memorizzata nel database, viene emesso un avviso (notifica) corrispondente.

Per iniziare a lavorare con il database delle impronte digitali, è necessario accedere al menu "Strumenti" ed eseguire il comando "Impronte".

Figura 32: Gestione del database delle impronte digitali in SecurIT Zgate

Per aggiungere una nuova categoria di documenti per l'impronta digitale, è necessario fare clic su

Pulsante "+". Per modificare, premere il pulsante "matita" e il pulsante "X" per eliminare una categoria.

Figura 33: Creazione di una categoria di documenti in SecurIT Zgate

Inoltre, durante la creazione di una categoria, viene specificato il tempo per l'aggiornamento del database delle impronte digitali, vengono impostati i parametri dell'utente per conto del quale si accederà ai file e vengono aggiunti file che contengono parole di uso comune escluse dalla scansione.

È possibile utilizzare i seguenti formati di file per creare impronte digitali: . testo. doc. docx. xls. xlsx,. pp. ppx,. pdf,.html,. rtf. dispari os. op. dbf. wps. xml* (il formato .xml viene analizzato come un normale documento di testo).

La categoria creata può essere sottoposta a un test di verifica. La verifica del file di prova mediante il metodo dell'impronta digitale è progettata per determinare la correttezza delle impostazioni dell'impronta digitale e la correttezza della descrizione delle categorie. Durante il controllo, viene determinato se l'impronta digitale del file (documento) in controllo è simile all'impronta digitale del documento memorizzato nel database precedentemente creato di una determinata categoria. La ricerca di documenti simili viene eseguita tenendo conto del fatto che alcuni o tutti i caratteri russi nel documento selezionato potrebbero essere sostituiti da caratteri inglesi simili nell'ortografia e viceversa.

Per effettuare la verifica è necessario cliccare sul pulsante "Verifica" in fondo alla finestra di gestione del database delle impronte digitali e selezionare il file da verificare, indicando la percentuale di probabilità di somiglianza.

Un sistema di categorizzazione così avanzato consente di creare categorie separate per diversi contenuti del messaggio. A sua volta, ciò consente di classificare correttamente le notifiche degli incidenti nel registro e di consentire al responsabile della sicurezza di stabilire le priorità e rispondere rapidamente agli eventi.

Figura 35: Impostazione dei parametri di ispezione del traffico in SecurIT Zgate

Figura 36: Verifica risultato

Protezione dagli addetti ai lavori utilizzando una combinazione di Zgate e Zlock

Oggi esistono due canali principali per la divulgazione di informazioni riservate: i dispositivi collegati a un computer (tutti i tipi di unità rimovibili, comprese unità flash, unità CD/DVD, ecc., stampanti) e Internet (e-mail, ICQ, social network , ecc.). ?d.). E quindi, quando un'azienda sta “maturando” per introdurre un sistema di tutela nei loro confronti, è opportuno approcciare questa soluzione in maniera esauriente. Il problema è che vengono utilizzati approcci diversi per sovrapporre canali diversi. In un caso, il modo più efficace di protezione sarà il controllo sull'uso di unità rimovibili e, nel secondo, varie opzioni per il filtraggio dei contenuti, che consentono di bloccare il trasferimento di dati riservati a una rete esterna. E così le aziende devono utilizzare due prodotti per la protezione dagli insider, che insieme formano un sistema di sicurezza completo. Naturalmente, è preferibile utilizzare gli strumenti di uno sviluppatore. In questo caso, il processo di implementazione, amministrazione e formazione dei dipendenti è facilitato. Un esempio sono i prodotti di SecurIT: Zlock e Zgate.

Zlock: protezione dalle perdite tramite unità rimovibili

Il programma Zlock è sul mercato da molto tempo. E abbiamo già descritto le sue caratteristiche principali. In linea di principio, non ha senso ripetere. Tuttavia, dalla pubblicazione dell'articolo, sono state rilasciate due nuove versioni di Zlock, che presentano una serie di importanti caratteristiche. Vale la pena parlarne, anche se molto brevemente.

Innanzitutto è da segnalare la possibilità di assegnare ad un computer più policy, che vengono applicate indipendentemente a seconda che il computer sia connesso alla rete aziendale direttamente, tramite VPN, oppure funzioni offline. Ciò consente, in particolare, di bloccare automaticamente le porte USB e le unità CD/DVD quando il PC viene disconnesso dalla rete locale. In generale, questa funzione aumenta la sicurezza delle informazioni archiviate sui laptop, che i dipendenti possono portare fuori dall'ufficio per viaggiare o per lavorare a casa.

La seconda nuova funzionalità offre ai dipendenti dell'azienda l'accesso temporaneo a dispositivi bloccati o persino a gruppi di dispositivi tramite telefono. Il principio del suo funzionamento è lo scambio di codici segreti generati dal programma tra l'utente e il dipendente responsabile della sicurezza delle informazioni. È interessante notare che l'autorizzazione all'uso può essere rilasciata non solo permanente, ma anche temporanea (per un certo tempo o fino alla fine della sessione). Questo strumento può essere considerato un sollievo nel sistema di sicurezza, ma consente di aumentare la reattività del reparto IT alle richieste aziendali.

La prossima importante innovazione nelle nuove versioni di Zlock è il controllo sull'uso delle stampanti. Dopo averlo configurato, il sistema di protezione registrerà tutte le richieste degli utenti ai dispositivi di stampa in un registro speciale. Ma non è tutto. Zlock ha una copia shadow di tutti i documenti stampati. Sono scritti in formato PDF e sono una copia completa delle pagine stampate, indipendentemente dal file inviato alla stampante. Ciò impedisce la fuga di informazioni riservate sui fogli di carta quando un insider stampa i dati per portarli fuori dall'ufficio. Anche nel sistema di protezione è apparsa la copia ombra delle informazioni registrate su dischi CD / DVD.

Un'importante innovazione è stata l'emergere del componente server Zlock Enterprise Management Server. Fornisce l'archiviazione centralizzata e la distribuzione delle politiche di sicurezza e di altre impostazioni del programma e facilita notevolmente l'amministrazione di Zlock in sistemi informativi di grandi dimensioni e distribuiti. Impossibile non menzionare inoltre l'emergere di un proprio sistema di autenticazione, che, se necessario, consente di abbandonare l'uso del dominio e degli utenti Windows locali.

Inoltre, l'ultima versione di Zlock ha diverse funzioni non così evidenti, ma anche piuttosto importanti: controllo dell'integrità del modulo client con la possibilità di bloccare l'accesso dell'utente quando vengono rilevate intrusioni, opzioni avanzate per l'implementazione di un sistema di sicurezza, supporto per Oracle DBMS, eccetera.?

Zgate: protezione dalle perdite di Internet

Quindi Zgate. Come abbiamo già detto, questo prodotto è un sistema di protezione contro la fuga di informazioni riservate via Internet. Strutturalmente Zgate è composto da tre parti. Il componente principale è il componente server, che esegue tutte le operazioni di elaborazione dei dati. Può essere installato sia su un computer separato che su nodi già operativi nel sistema informativo aziendale: un gateway Internet, un controller di dominio, un gateway di posta, ecc. Questo modulo, a sua volta, è composto da tre componenti: per il controllo del traffico SMTP, il controllo della posta interna del server Microsoft Exchange 2007/2010, e Zgate Web (è responsabile del controllo del traffico HTTP, FTP e IM).

La seconda parte del sistema di protezione è il server di registrazione. Viene utilizzato per raccogliere informazioni sugli eventi da uno o più server Zgate, elaborarle e archiviarle. Questo modulo è particolarmente utile nei sistemi aziendali di grandi dimensioni e geograficamente distribuiti, poiché fornisce un accesso centralizzato a tutti i dati. La terza parte è la console di gestione. Utilizza la console standard per i prodotti SecurIT, e quindi non ci soffermeremo su di essa in dettaglio. Notiamo solo che con l'aiuto di questo modulo è possibile gestire il sistema non solo in locale, ma anche in remoto.

Console di gestione

Il sistema Zgate può funzionare in diverse modalità. Inoltre, la loro disponibilità dipende dal modo in cui il prodotto viene implementato. Le prime due modalità prevedono il funzionamento come server proxy di posta. Per implementarli, il sistema viene installato tra il server di posta aziendale e il "mondo esterno" (o tra il server di posta e il server di invio, se separati). In questo caso, Zgate può sia filtrare il traffico (trattenere i messaggi illeciti e discutibili), sia solo registrarlo (passare tutti i messaggi, ma tenerli nell'archivio).

Il secondo metodo di implementazione prevede l'utilizzo del sistema di protezione in combinazione con Microsoft Exchange 2007 o 2010. Per fare ciò, è necessario installare Zgate direttamente sul server di posta aziendale. In questo caso sono disponibili anche due modalità: filtraggio e registrazione. Inoltre, c'è un'altra opzione di implementazione. Stiamo parlando della registrazione dei messaggi nella modalità del traffico con mirroring. Naturalmente, per utilizzarlo, è necessario assicurarsi che il computer su cui è installato Zgate riceva questo traffico molto speculare (di solito questo viene fatto utilizzando apparecchiature di rete).

Selezione modalità di funzionamento Zgate

Il componente Zgate Web merita una storia a parte. Viene installato direttamente sul gateway Internet aziendale. Allo stesso tempo, questo sottosistema ottiene la capacità di controllare il traffico HTTP, FTP e IM, ovvero di elaborarlo al fine di rilevare tentativi di inviare informazioni riservate tramite interfacce di posta Web e ICQ, pubblicarlo su forum, server FTP, e social network, ecc. A proposito, su "ICQ". La funzione di blocco della messaggistica istantanea è disponibile in molti prodotti simili. Tuttavia, è proprio "ICQ" che non è in essi. Semplicemente perché è nei paesi di lingua russa che è diventato più diffuso.

Il principio di funzionamento del componente Zgate Web è abbastanza semplice. Ogni volta che le informazioni vengono inviate a uno qualsiasi dei servizi controllati, il sistema genererà un messaggio speciale. Contiene le informazioni stesse e alcuni dati di servizio. Viene inviato al server principale Zgate ed elaborato secondo le regole indicate. Naturalmente, l'invio di informazioni nel servizio stesso non è bloccato. Cioè, Zgate Web funziona solo in modalità di registrazione. Con il suo aiuto, è impossibile prevenire singole fughe di dati, ma d'altra parte è possibile rilevarle rapidamente e interrompere l'attività di un attaccante libero o inconsapevole.

Di recente, il problema della protezione contro le minacce interne è diventato una vera sfida per il mondo chiaro e consolidato della sicurezza delle informazioni aziendali. La stampa parla di addetti ai lavori, ricercatori e analisti avvertono di possibili perdite e problemi e i feed di notizie sono pieni di notizie di un altro incidente che ha portato alla fuga di centinaia di migliaia di record di clienti a causa di un errore o disattenzione di un dipendente. Proviamo a capire se questo problema è così grave, se va affrontato e quali strumenti e tecnologie sono disponibili per risolverlo.

Prima di tutto, vale la pena determinare che la minaccia alla riservatezza dei dati è interna se la sua fonte è un dipendente dell'impresa o qualsiasi altra persona che ha accesso legale a questi dati. Pertanto, quando si parla di minacce interne, si parla di eventuali azioni di utenti legali, intenzionali o accidentali, che possono portare alla fuga di informazioni riservate al di fuori della rete aziendale di un'impresa. Per completare il quadro, vale la pena aggiungere che tali utenti sono spesso indicati come addetti ai lavori, sebbene questo termine abbia altri significati.

La rilevanza del problema delle minacce interne è confermata dai risultati di recenti studi. In particolare, nell'ottobre 2008 sono stati resi noti i risultati di uno studio congiunto di Compuware e Ponemon Institue, secondo cui gli insider sono la causa più comune di fuga di dati (75% degli incidenti negli USA), mentre gli hacker erano solo al quinto posto . Nel sondaggio annuale del Computer Security Institute (CSI) per il 2008, le cifre relative agli incidenti con minacce interne sono le seguenti:

La percentuale di incidenti significa che sul numero totale di intervistati, questo tipo di incidente si è verificato nella percentuale specificata di organizzazioni. Come si può vedere da queste cifre, quasi tutte le organizzazioni sono a rischio di subire minacce interne. Per fare un confronto, secondo lo stesso rapporto, i virus hanno colpito il 50% delle organizzazioni intervistate e solo il 13% ha dovuto affrontare la penetrazione di hacker nella rete locale.

Pertanto, le minacce interne sono la realtà di oggi e non un mito inventato da analisti e fornitori. Quindi coloro che, alla vecchia maniera, credono che la sicurezza delle informazioni aziendali sia un firewall e un antivirus, è necessario dare uno sguardo più ampio al problema il prima possibile.

La legge “Sui Dati Personali” aumenta anche il grado di tensione, secondo cui enti e funzionari dovranno rispondere non solo alla loro gestione, ma anche ai propri clienti e davanti alla legge per trattamento improprio dei dati personali.

Modello intruso

Tradizionalmente, quando si considerano le minacce ei mezzi di protezione contro di esse, si dovrebbe iniziare con un'analisi del modello dell'intruso. Come già accennato, parleremo di addetti ai lavori: dipendenti dell'organizzazione e altri utenti che hanno accesso legale alle informazioni riservate. Di norma, con queste parole, a tutti viene in mente un impiegato d'ufficio che lavora su un computer nella rete aziendale, che nel processo di lavoro non lascia l'ufficio dell'organizzazione. Tuttavia, questa rappresentazione è incompleta. Deve essere ampliato per includere altri tipi di persone con accesso legale alle informazioni che possono lasciare l'ufficio dell'organizzazione. Questi possono essere viaggiatori d'affari con laptop o che lavorano sia in ufficio che a casa, corrieri che trasportano supporti con informazioni, principalmente nastri magnetici con backup, ecc.

Una considerazione così estesa del modello dell'intruso, in primo luogo, si inserisce nel concetto, poiché anche le minacce poste da questi intrusi sono interne e, in secondo luogo, ci consente di analizzare il problema in modo più ampio, considerando tutte le possibili opzioni per combattere queste minacce.

Si possono distinguere i seguenti tipi principali di trasgressori interni:

• Impiegato sleale/offeso.I trasgressori in questa categoria possono agire di proposito, ad esempio cambiando lavoro e volendo rubare informazioni riservate per interessare un nuovo datore di lavoro, o emotivamente, nel caso si siano sentiti offesi, volendo così vendetta. Sono pericolosi perché sono più motivati ​​​​a causare danni all'organizzazione in cui attualmente lavorano. Di norma, il numero di incidenti che coinvolgono dipendenti sleali è piccolo, ma può aumentare in una situazione di condizioni economiche sfavorevoli e di massicce riduzioni di personale.
• Impiegato incorporato, corrotto o manipolato.In questo caso noi stiamo parlando su eventuali azioni mirate, di norma, a fini di spionaggio industriale in un ambiente altamente competitivo. Per raccogliere informazioni riservate in un'azienda concorrente, o presentano la propria persona per scopi specifici, oppure trovano un dipendente che non è il più leale e lo corrompe, oppure un dipendente leale ma non vigile è costretto a trasferire informazioni riservate per mezzo di di ingegneria sociale. Il numero di incidenti di questo tipo è solitamente persino inferiore ai precedenti, poiché nella maggior parte dei segmenti dell'economia della Federazione Russa la concorrenza non è molto sviluppata o è implementata in altri modi.
• Impiegato canaglia.Questo tipo di trasgressore è un dipendente leale, ma distratto o negligente che può violare la politica di sicurezza interna dell'impresa a causa di ignoranza o dimenticanza. Un tale dipendente può erroneamente inviare un'e-mail con un file segreto allegato alla persona sbagliata o portare a casa un'unità flash con informazioni riservate con cui lavorare nel fine settimana e perderla. Lo stesso tipo include i dipendenti che perdono laptop e nastri magnetici. Secondo molti esperti, questo tipo di insider è responsabile della maggior parte delle fughe di informazioni riservate.

Pertanto, i motivi e, di conseguenza, la linea d'azione dei potenziali trasgressori possono differire in modo significativo. A seconda di ciò, ci si dovrebbe avvicinare alla soluzione del problema di garantire la sicurezza interna dell'organizzazione.

Tecnologie di protezione dalle minacce interne

Nonostante la relativa giovinezza di questo segmento di mercato, i clienti hanno già molto da scegliere a seconda dei loro compiti e capacità finanziarie. Va notato che ora sul mercato non ci sono praticamente fornitori specializzati esclusivamente in minacce interne. Questa situazione si è sviluppata non solo a causa dell'immaturità di questo segmento, ma anche a causa della politica di M&A aggressiva e talvolta caotica perseguita dai produttori di mezzi di protezione tradizionali e da altri fornitori interessati a una presenza in questo segmento. Vale la pena ricordare RSA Data Security, che è diventata una divisione di EMC nel 2006, l'acquisto da parte di NetApp di Decru, una startup che ha sviluppato sistemi di protezione di backup e storage dei server, nel 2005, l'acquisto da parte di Symantec del fornitore di DLP Vontu nel 2007, ecc.

Nonostante il fatto che un gran numero di tali transazioni indichi buone prospettive per lo sviluppo di questo segmento, non sempre beneficiano della qualità dei prodotti che rientrano nell'ala delle grandi società. I prodotti iniziano a svilupparsi più lentamente e gli sviluppatori non rispondono alle esigenze del mercato rispetto a un'azienda altamente specializzata. Questa è una malattia ben nota delle grandi aziende, che, come sapete, perdono in mobilità ed efficienza ai loro fratelli minori. D'altra parte, la qualità del servizio e la disponibilità dei prodotti per i clienti in diverse parti del mondo stanno migliorando grazie allo sviluppo del loro servizio e della rete di vendita.

Considera le principali tecnologie attualmente utilizzate per neutralizzare le minacce interne, i loro vantaggi e svantaggi.

Controllo documenti

La tecnologia di controllo dei documenti è incorporata nei moderni prodotti di gestione dei diritti come Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES e Oracle Information Rights Management.

Il principio di funzionamento di questi sistemi consiste nell'assegnare regole di utilizzo per ciascun documento e controllare questi diritti nelle applicazioni che funzionano con documenti di questo tipo. Ad esempio, puoi creare un documento Microsoft Word e impostare le regole per esso, chi può visualizzarlo, chi può modificare e salvare le modifiche e chi può stamparlo. Queste regole sono denominate licenza nei termini di Windows RMS e vengono archiviate con il file. Il contenuto del file è crittografato per impedire a un utente non autorizzato di visualizzarlo.

Ora, se un utente tenta di aprire un tale file protetto, l'applicazione contatta un server RMS speciale, conferma l'autorizzazione dell'utente e, se l'accesso a questo utente è consentito, il server passa la chiave all'applicazione per decrittografare questo file e le informazioni su i diritti di questo utente. Sulla base di queste informazioni, l'applicazione mette a disposizione dell'utente solo le funzioni per le quali ha diritti. Ad esempio, se all'utente non è consentito stampare un file, la funzionalità di stampa dell'applicazione non sarà disponibile.

Si scopre che le informazioni in un tale file sono al sicuro anche se il file esce dalla rete aziendale: è crittografato. Funzionalità RMS già integrate nelle app Microsoft Office Edizione professionale 2003. Per incorporare la funzionalità RMS in applicazioni di terze parti, Microsoft fornisce uno speciale SDK.

Il sistema di controllo dei documenti di Adobe è costruito in modo simile, ma si concentra sui documenti PDF. Oracle IRM viene installato sui computer client come agente e si integra con le applicazioni in fase di esecuzione.

Il controllo dei documenti è una parte importante del concetto generale di protezione dalle minacce interne, ma è necessario considerare i limiti naturali di questa tecnologia. Innanzitutto, è progettato esclusivamente per il controllo dei file di documenti. Quando si tratta di file o database non strutturati, questa tecnologia non funziona. In secondo luogo, se un utente malintenzionato, utilizzando l'SDK di questo sistema, crea una semplice applicazione che comunicherà con il server RMS, riceverà una chiave di crittografia da lì e salverà il documento in chiaro ed eseguirà questa applicazione per conto di un utente che ha un livello minimo di accesso al documento, quindi questo sistema sarà bypassato. Inoltre, si dovrebbero tenere conto delle difficoltà nell'implementazione di un sistema di controllo dei documenti se l'organizzazione ha già creato molti documenti: il compito di classificare inizialmente i documenti e assegnare i diritti per utilizzarli può richiedere uno sforzo significativo.

Ciò non significa che i sistemi di controllo dei documenti non adempiano al compito, devi solo ricordare che la protezione delle informazioni è un problema complesso e, di norma, non è possibile risolverlo utilizzando un solo strumento.

Protezione contro le perdite

Il termine prevenzione della perdita di dati (DLP) è apparso nel lessico degli specialisti della sicurezza delle informazioni in tempi relativamente recenti ed è già riuscito a diventare, senza esagerare, l'argomento più caldo degli ultimi anni. Di norma, l'abbreviazione DLP indica i sistemi che monitorano possibili canali di fuga e li bloccano in caso di tentativo di inviare informazioni riservate attraverso questi canali. Inoltre, le funzioni di tali sistemi spesso includono la capacità di archiviare le informazioni che li attraversano per controlli successivi, indagini sugli incidenti e analisi retrospettive dei potenziali rischi.

Esistono due tipi di sistemi DLP: DLP di rete e DLP host.

DLP di rete lavorare secondo il principio di un gateway di rete che filtra tutti i dati che lo attraversano. Ovviamente, in base al compito di contrastare le minacce interne, l'interesse principale di tale filtraggio risiede nella capacità di controllare i dati trasmessi all'esterno della rete aziendale verso Internet. Network DLP consente di controllare la posta in uscita, il traffico http e ftp, i servizi di messaggistica istantanea, ecc. Se vengono rilevate informazioni riservate, il network DLP può bloccare il trasferimento del file. Ci sono anche opzioni per l'elaborazione manuale di file sospetti. I file sospetti vengono messi in quarantena, che viene periodicamente riesaminata da un responsabile della sicurezza e consente il trasferimento del file o lo vieta. Vero, tale trattamento, per le peculiarità del protocollo, è possibile solo per la posta elettronica. Caratteristiche aggiuntive L'Audit and Incident Investigation fornisce l'archiviazione di tutte le informazioni che passano attraverso il gateway, a condizione che questo archivio sia periodicamente riesaminato e il suo contenuto analizzato al fine di identificare le perdite che si sono verificate.

Uno dei problemi principali nell'implementazione e nell'implementazione dei sistemi DLP è il metodo di rilevamento delle informazioni riservate, ovvero il momento in cui si decide se le informazioni trasmesse sono riservate e le ragioni di cui si tiene conto quando si prende tale decisione. Di norma, ciò avviene analizzando il contenuto dei documenti trasmessi, detta anche analisi del contenuto. Consideriamo i principali approcci per rilevare le informazioni riservate.

• Tag. Questo metodo è simile ai sistemi di controllo dei documenti discussi sopra. Le etichette sono incorporate nei documenti che descrivono il grado di riservatezza delle informazioni, cosa si può fare con questo documento ea chi deve essere inviato. Sulla base dei risultati dell'analisi dell'etichetta, il sistema DLP decide se il documento fornito può essere inviato all'esterno o meno. Alcuni sistemi DLP sono inizialmente resi compatibili con i sistemi di gestione dei diritti per utilizzare le etichette impostate da questi sistemi, altri sistemi utilizzano il proprio formato di etichetta.
• Firme. Questo metodo consiste nello specificare una o più sequenze di caratteri, la cui presenza nel testo del file trasmesso dovrebbe indicare al sistema DLP che questo file contiene informazioni riservate. Un gran numero di firme può essere organizzato in dizionari.
• metodo Bayes. Questo metodo, utilizzato nella lotta allo spam, può essere applicato con successo nei sistemi DLP. Per applicare questo metodo, viene creato un elenco di categorie e viene specificato un elenco di parole con la probabilità che se una parola si trova in un file, allora il file appartiene o non appartiene alla categoria specificata con una determinata probabilità.
• Analisi morfologica.Il metodo di analisi morfologica è simile al metodo della firma, la differenza sta nel fatto che non si tratta di una corrispondenza al 100% con la firma che viene analizzata, ma vengono prese in considerazione anche le parole a radice singola.
• Stampe digitali.L'essenza di questo metodo è che per tutti i documenti riservati una funzione hash viene calcolata in modo tale che se il documento viene leggermente modificato, la funzione hash rimarrà la stessa o cambierà anche leggermente. Pertanto, il processo di rilevamento dei documenti riservati è notevolmente semplificato. Nonostante gli elogi entusiastici di questa tecnologia da parte di molti fornitori e di alcuni analisti, la sua affidabilità lascia molto a desiderare e, dato che i fornitori con vari pretesti preferiscono mantenere in ombra i dettagli dell'implementazione dell'algoritmo delle impronte digitali, la sua credibilità non aumenta.
• Espressioni regolari.Conosciute da tutti coloro che si sono occupati di programmazione, le espressioni regolari consentono di trovare facilmente i dati del modello nel testo, come numeri di telefono, dettagli del passaporto, numeri di conto bancario, numeri di previdenza sociale e così via.

È facile vedere dall'elenco di cui sopra che i metodi di rilevamento o non garantiscono il rilevamento del 100% di informazioni riservate, poiché il livello di errori sia del primo che del secondo tipo in essi contenuto è piuttosto elevato, oppure richiedono una vigilanza costante del servizio di sicurezza aggiornare e mantenere aggiornato l'elenco delle firme o degli incarichi etichette per documenti riservati.

Inoltre, la crittografia del traffico può creare un certo problema nel funzionamento del DLP di rete. Se per motivi di sicurezza è necessario crittografare i messaggi di posta elettronica o utilizzare protocollo SSL quando ci si collega a qualsiasi risorsa web, il problema di determinare la presenza di informazioni riservate nei file trasmessi può essere molto difficile da risolvere. Non dimenticare che alcuni servizi di messaggistica istantanea, come Skype, hanno la crittografia integrata per impostazione predefinita. Dovrai rifiutarti di utilizzare tali servizi o utilizzare i DLP dell'host per controllarli.

Tuttavia, nonostante tutte le difficoltà, impostazione corretta Se presi sul serio, i DLP di rete possono ridurre notevolmente il rischio di fuga di informazioni riservate e fornire a un'organizzazione un comodo mezzo di controllo interno.

Host DLP sono installati su ogni host della rete (sulle postazioni client e, se necessario, sui server) e possono essere utilizzati anche per il controllo del traffico Internet. Tuttavia, i DLP host sono diventati meno diffusi in questa capacità e sono attualmente utilizzati principalmente per controllare dispositivi e stampanti esterni. Come sapete, un dipendente che si reca al lavoro da un'unità flash o da un lettore MP3 rappresenta una minaccia molto maggiore per la sicurezza delle informazioni di un'impresa rispetto a tutti gli hacker messi insieme. Questi sistemi sono anche chiamati strumenti di sicurezza degli endpoint, sebbene questo termine sia spesso usato in modo più ampio, ad esempio, a volte viene chiamato strumenti antivirus.

Come sapete, il problema dell'utilizzo di dispositivi esterni può essere risolto senza utilizzare alcun mezzo, disabilitando le porte sia fisicamente, sia tramite il sistema operativo, sia amministrativamente, vietando ai dipendenti di portare qualsiasi supporto in ufficio. Tuttavia, nella maggior parte dei casi, l'approccio "economico e allegro" è inaccettabile, poiché non viene fornita la giusta flessibilità dei servizi di informazione, richiesta dai processi aziendali.

Per questo motivo è sorta una certa richiesta di strumenti speciali che possano essere utilizzati per risolvere in modo più flessibile il problema dell'utilizzo di dispositivi esterni e stampanti da parte dei dipendenti dell'azienda. Tali strumenti consentono di configurare i diritti di accesso per gli utenti a vari tipi di dispositivi, ad esempio, per un gruppo di utenti, vietare di lavorare con i supporti e consentire le stampanti e, per un altro, consentire di lavorare con i supporti in modalità di sola lettura. Se è necessario registrare informazioni su dispositivi esterni per singoli utenti, è possibile utilizzare la tecnologia di copia shadow, che garantisce che tutte le informazioni archiviate su un dispositivo esterno vengano copiate sul server. Le informazioni copiate possono essere successivamente analizzate per analizzare le azioni dell'utente. Questa tecnologia copia tutto e attualmente non esistono sistemi che consentano l'analisi del contenuto dei file salvati al fine di bloccare l'operazione e prevenire le perdite, come fanno i DLP di rete. Tuttavia, un archivio di copie shadow fornirà indagini sugli incidenti e analisi retrospettive degli eventi sulla rete e disporre di un tale archivio significa che un potenziale insider può essere catturato e punito per le sue azioni. Questo potrebbe rivelarsi un ostacolo significativo per lui e un motivo importante per abbandonare le azioni ostili.

Vale anche la pena menzionare il controllo dell'uso delle stampanti: anche le copie cartacee dei documenti possono diventare una fonte di perdita. Host DLP consente di controllare l'accesso degli utenti alle stampanti allo stesso modo di altri dispositivi esterni e di salvare copie di documenti stampati in formato grafico per ulteriori analisi. Inoltre, la tecnologia delle filigrane (watermark), che implementa la stampa su ogni pagina di un documento di un codice univoco, mediante il quale è possibile determinare esattamente chi, quando e dove ha stampato questo documento, ha ottenuto una certa diffusione.

Nonostante gli indubbi vantaggi dell'host DLP, presentano una serie di svantaggi associati alla necessità di installare il software dell'agente su ogni computer che dovrebbe essere monitorato. In primo luogo, può causare alcune difficoltà in termini di implementazione e gestione di tali sistemi. In secondo luogo, un utente con diritti di amministratore può provare a disabilitare questo software per eseguire azioni non consentite dalla politica di sicurezza.

Tuttavia, per un controllo affidabile dei dispositivi esterni, l'host DLP è indispensabile e i problemi menzionati non sono irrisolvibili. Pertanto, possiamo concludere che il concetto di DLP è ora uno strumento a tutti gli effetti nell'arsenale dei servizi di sicurezza aziendale di fronte alla pressione sempre crescente su di essi per garantire il controllo interno e la protezione contro le perdite.

Concetto di IPC

Nel processo di invenzione di nuovi mezzi per combattere le minacce interne, il pensiero scientifico e ingegneristico della società moderna non si ferma e, date alcune carenze dei mezzi sopra discussi, il mercato dei sistemi di protezione dalla perdita di informazioni è arrivato al concetto di IPC ( Protezione e controllo delle informazioni). Questo termine è apparso relativamente di recente, si ritiene che sia stato utilizzato per la prima volta in una revisione dalla società di analisi IDC nel 2007.

L'essenza di questo concetto è combinare DLP e metodi di crittografia. In questo concetto, DLP controlla le informazioni che lasciano la rete aziendale attraverso canali tecnici e la crittografia viene utilizzata per proteggere i supporti dati che cadono fisicamente o potrebbero cadere nelle mani di persone non autorizzate.

Considera le tecnologie di crittografia più comuni che possono essere utilizzate nel concetto IPC.

• Crittografia di nastri magnetici.Nonostante l'arcaismo di questo tipo di supporto, continua ad essere utilizzato attivamente per il backup e per il trasferimento di grandi quantità di informazioni, poiché non ha ancora eguali in termini di costo unitario di un megabyte archiviato. Di conseguenza, le perdite di dati sui nastri continuano a deliziare i redattori di prima pagina ea frustrare i CIO ei responsabili della sicurezza aziendale che sono oggetto di tali segnalazioni. La situazione è aggravata dal fatto che tali nastri contengono quantità di dati molto grandi e, di conseguenza, un gran numero di persone può diventare vittima di truffatori.
• Crittografia degli archivi del server.Nonostante il fatto che lo spazio di archiviazione del server venga trasportato molto raramente e il rischio di perderlo sia incommensurabilmente inferiore rispetto al nastro magnetico, un separato disco fisso lo stoccaggio può cadere nelle mani sbagliate. Riparazione, smaltimento, aggiornamento: questi eventi si verificano con una regolarità sufficiente per annullare questo rischio. E la situazione di infiltrazione nell'ufficio di persone non autorizzate non è un evento del tutto impossibile.

Qui vale la pena fare una piccola digressione e menzionare l'idea sbagliata comune che se un disco fa parte di un array RAID, allora presumibilmente non devi preoccuparti che cada in mani non autorizzate. Sembrerebbe che lo striping dei dati scritti su più dischi rigidi, eseguito dai controller RAID, fornisca un aspetto illeggibile ai dati che si trovano su qualsiasi disco rigido. Sfortunatamente, questo non è del tutto vero. L'interleaving ha luogo, ma nella maggior parte dei dispositivi moderni viene eseguito a livello di blocco da 512 byte. Ciò significa che, nonostante la violazione della struttura e dei formati dei file, le informazioni riservate possono comunque essere estratte da tale disco rigido. Pertanto, se è necessario garantire la riservatezza delle informazioni quando sono archiviate in un array RAID, la crittografia rimane l'unica opzione affidabile.

• Crittografia di laptop.Questo è stato detto innumerevoli volte, ma la perdita di laptop con informazioni riservate è stata tra i primi cinque incidenti da molti anni ormai.
• Crittografia dei supporti rimovibili.In questo caso si tratta di dispositivi USB portatili e, talvolta, di CD e DVD registrabili se utilizzati nei processi aziendali dell'impresa. Tali sistemi, così come i sistemi di crittografia del disco rigido del laptop sopra menzionati, possono spesso fungere da componenti dei sistemi DLP host. In questo caso, si parla di una sorta di cripto-perimetro, che prevede la crittografia automatica e trasparente dei media all'interno, e l'impossibilità di decriptare i dati al di fuori di esso.

Pertanto, la crittografia può migliorare significativamente le capacità dei sistemi DLP e ridurre il rischio di fuga di dati riservati. Nonostante il concetto IPC abbia preso forma in tempi relativamente recenti e la scelta di soluzioni IPC integrate sul mercato non sia troppo ampia, l'industria sta sviluppando attivamente quest'area ed è del tutto possibile che dopo qualche tempo questo concetto diventi il ​​de standard di fatto per la risoluzione dei problemi di sicurezza interna e di controllo interno.

conclusioni

Come visto da questa recensione, le minacce interne sono un settore abbastanza nuovo nella sicurezza delle informazioni, che, tuttavia, si sta sviluppando attivamente e richiede una maggiore attenzione. Le tecnologie di controllo dei documenti considerate, DLP e IPC consentono di costruire un sistema di controllo interno abbastanza affidabile e ridurre il rischio di perdite a un livello accettabile. Senza dubbio, quest'area della sicurezza delle informazioni continuerà a svilupparsi, verranno offerte tecnologie più nuove e avanzate, ma oggi molte organizzazioni scelgono una o l'altra soluzione, poiché la negligenza nei problemi di sicurezza delle informazioni può essere troppo costosa.

Alessio Raevsky
CEO di SecurIT

Post simili

Come fare soldi in contatto

2022-06-18 03:02:26

L'icona delle cuffie non scompare dopo averle spente

2022-05-22 04:39:35

Accendere il braccialetto fitness Xiaomi Mi Band e configurare Mi Fit Mi band 1s per la corsa

2022-05-22 04:39:35