Typ informácie

Poloha

Výroba

Výrobné plány, duševné vlastníctvo, popisy technológií, vlastný vývoj

Súborové servery, DBMS

Dôverné

infraštruktúry

Karty IT infraštruktúry, IT systémy, prihlasovacie údaje

Lokálne

citlivý

Finančné

Účtovné informácie, finančné plány, výkazy, súvahy

Base 1C alebo iné prostredie pre finančné oddelenie

Dôverné

Personál

Personálne karty

Lokálne, súborový server

citlivý

Súbory a dokumenty na interné zdieľanie

Osobné

Vnútropodnikové

Správy zo schôdzí, príkazy, smernice, články

Súborový server

Verejné

Zábavné

Fotografie, videá, filmy, audioknihy

Rozšírené priečinky alebo vyhradený súborový server

Vďaka všadeprítomnosti všetkých druhov vymeniteľných jednotiek nadobudol vnútorný problém, ktorý bol predtým dosť relevantný, skutočne globálny rozmer. A v tomto nie je absolútne nič prekvapujúce. Každý zamestnanec, ktorý má prístup k dôverným informáciám, si ich dnes môže jednoducho a hlavne diskrétne skopírovať pre seba a v budúcnosti použiť na rôzne účely. A je tiež dobré, ak je za tým túžba pracovať len so zmluvami doma. Aj keď takáto akcia, bez ohľadu na úmysly votrelca, stále dramaticky zvyšuje riziko kompromitácie údajov (domáce počítače sú zvyčajne menej chránené, môžu si na ne sadnúť rôzni ľudia a disk sa môže stratiť). Ale koniec koncov, zamestnanec môže kopírovať informácie, aby ich mohol preniesť ku konkurencii alebo použiť na svoje osobné účely. Najjednoduchším a najzrejmejším príkladom je skopírovanie zákazníckej základne (alebo zmlúv s nimi) pred odchodom s cieľom prilákať ich k inej spoločnosti.

Hlavným problémom je nemožnosť ochrany pred týmto spôsobom krádeže informácií štandardnými prostriedkami, teda nástrojmi zabudovanými do operačných systémov. Vezmite si aspoň USB flash disky. Sú maličké, lacné a veľmi priestranné. S ich pomocou môžu zamestnanci v tichosti „vytiahnuť“ gigabajty informácií z podnikového informačného systému. USB porty na pracovných staniciach však jednoducho zakázať nemôžete – dnes sú potrebné na pripojenie mnohých zariadení: tlačiarne, klávesnice, myši, softvérové ​​klávesy atď. Okrem toho netreba zabúdať ani na ďalšie možnosti odcudzenia informácií, napríklad pomocou CD / DVD, mobilné telefóny a pod. Aj bežná tlačiareň sa môže stať hrozbou. Zamestnanec má totiž možnosť vytlačiť si dôverné informácie a odniesť si výtlačky domov. Nebude ich však možné ani vypnúť, pretože väčšinou sú všetky tieto zariadenia potrebné pre zamestnancov na výkon služobných povinností.

Jediným spôsobom, ako ochrániť spoločnosť pred krádežou dôverných informácií prostredníctvom rôznych vymeniteľných jednotiek, je implementácia systému na obmedzenie a kontrolu ich používania. Realizuje sa pomocou špeciálneho softvéru. Z nejakého dôvodu sa mnohé spoločnosti domnievajú, že takéto produkty sú veľmi zložité a na ich implementáciu a údržbu sú potrebné určité špeciálne kvalifikácie. To však absolútne neplatí. Systém vymedzovania prístupových práv k externým a interným zariadeniam počítača je natoľko jednoduchý, že ho zvládne nielen kvalifikovaný správca, ale aj skúsený používateľ PC. A na potvrdenie týchto slov sa dnes pozrieme na príklad zavedenia produktu Zlock od SecurIT do podnikového IS. Za zmienku stojí, že nedokáže ochrániť pred únikom dôverných informácií cez internet (napríklad e-mailom cez ICQ a pod.), to si vyžaduje iné produkty s úplne iným princípom fungovania (napríklad Zgate od toho istého vývojár). Zlock sa však úspešne vyrovná s úlohou ovládať všetky druhy vymeniteľných jednotiek a tlačiarní.

Štruktúra Zlock

Pred začatím rozhovoru o postupe inštalácie príslušného systému je potrebné pochopiť jeho štruktúru. Zlock sa skladá z piatich častí.

· Riadiaca konzola. Program, ktorý umožňuje správcovi vykonávať úplnú správu systému, vrátane jeho inštalácie na pracovné stanice, zmeny prístupových politík, práce s protokolovými a konfiguračnými servermi atď.

· Klientsky modul. Nástroj, ktorý je nainštalovaný na pracovných staniciach. Je to ona, kto kontroluje a blokuje prístup v súlade s určenými politikami. Okrem toho modul klienta komunikuje s protokolovým serverom, kontroluje integritu Zlock atď.

· Log server. Systém na príjem, ukladanie a spracovanie informácií o udalostiach prenášaných klientskymi modulmi. Poskytuje pohodlný administrátorský prístup ku všetkým údajom.

· Konfiguračný server. Centralizovaný systém riadenia konfigurácie Zlock.

· Konfiguračný modul Zlock prostredníctvom skupinovej politiky. Modul pre inštaláciu a aktualizáciu systému prostredníctvom skupinových politík.

Najprv musíte zistiť, kde sú nainštalované moduly. Je zrejmé, že správcovská konzola musí byť nainštalovaná na počítači správcu alebo zamestnanca zodpovedného za informačnú bezpečnosť spoločnosti. Tento proces sa nelíši od inštalácie akéhokoľvek iného softvéru, a preto sa ním nebudeme podrobne zaoberať.

Log server a konfiguračný server v zásade nie sú potrebné pre fungovanie systému. Zlock sa dokáže úspešne vyrovnať s úlohami, ktoré mu boli pridelené, aj bez nich. Log server je však veľmi vhodný na prezeranie udalostí na všetkých pracovných staniciach naraz. Konfiguračný server je nepostrádateľný vo veľkých podnikových sieťach. S ním môžete jednoducho spravovať nastavenia klientskych modulov na veľkom počte pracovných staníc. Inštalujú sa znova ako zvyčajne. softvér. Tento postup sa vykonáva lokálne z distribučného balíka, ktorý je súčasťou Zlock.

Konečnou fázou inštalácie predmetného systému je inštalácia klientskych modulov na všetky počítače, ktoré potrebujú monitoring. Dá sa to urobiť dvoma spôsobmi (možnosť s manuálna inštalácia zo zrejmých dôvodov neuvažujeme). Prvý zahŕňa použitie riadiacej konzoly. Po jeho spustení sa v ľavom paneli hlavného okna nachádza niekoľko skupín. Musíte medzi nimi nájsť a otvoriť strom "Počítače a aplikácie" a potom otvoriť vetvu "Žiadne aplikácie". Poskytne kompletný zoznam počítačov zahrnutých v lokálnej sieti, ktoré nemajú nainštalovaný systém Zlock.

Na spustenie procesu inštalácie klientskych častí musí správca vybrať cieľový počítač alebo počítače (vrátane celej domény) a kliknúť na tlačidlo „Inštalovať alebo aktualizovať Zlock ...“ umiestnené na paneli nástrojov. V okne, ktoré sa otvorí, zadajte priečinok s distribučným balíkom programu ( najlepšia možnosť bude existovať sieťový priečinok, ku ktorému majú prístup všetci používatelia) a tiež vyberte možnosť inštalácie. Existujú tri z nich: s manuálnym alebo núteným reštartom počítačov, ako aj bez reštartu. Je potrebné poznamenať, že posledná, najpohodlnejšia možnosť sa nedá použiť na aktualizáciu predtým nainštalovaných častí klienta. Na záver zostáva len vybrať počítače, na ktorých sa bude inštalácia vykonávať (možno nechcete nainštalovať Zlock na všetky počítače v sieti), a tiež určiť používateľa s právami lokálneho správcu. Okrem toho môže program v prípade nedostatku oprávnenia požadovať zadanie údajov od iného používateľa.

Ďalšou možnosťou nasadenia systému ochrany na podnikových pracovných staniciach je použitie skupinových politík. Na tento účel prichádza Zlock so špeciálnym inštalačným balíkom. Samotný postup inštalácie je známy takmer všetkým správcom systému. Najprv musíte vytvoriť sieťový priečinok, skopírujte do nej súbory Zlock30. msi a Zlockmsi. ini a sprístupniť ho všetkým používateľom domény. Ak už máte konfiguračný súbor, môžete ho umiestniť do rovnakého adresára. V tomto prípade sa automaticky použije na všetky nainštalované klientske moduly. Ak takýto súbor neexistuje, systém použije predvolenú politiku, ktorú bude potrebné v budúcnosti nakonfigurovať.

Potom musíte vo vlastnostiach podnikovej domény (prístupné cez konzolu Active Directory) prejsť na kartu „Skupinová politika“ a vytvoriť novú politiku. V okne tejto politiky je potrebné rozbaliť strom "Konfigurácia počítača", vybrať položku "Inštalovať softvér" a vytvoriť nový balík, vo vlastnostiach ktorého špecifikujte sieťovú cestu k súboru Zlock30. msi. V dôsledku toho sa inštalácia systému Zlock vykonáva pomocou štandardných nástrojov OS.

Konfigurácia zásad prístupu

Snáď najdôležitejšou operáciou v procese implementácie bezpečnostného systému Zlock je nastavenie prístupových politík. Určujú schopnosť všetkých používateľov pracovať s určitými zariadeniami. Každá politika má tri časti. Prvým je zoznam zariadení alebo ich skupín, z ktorých každé má prístupové práva pre rôznych používateľov. Druhou časťou politiky sú nastavenia pre tieňové kopírovanie súborov skopírovaných na rôzne disky. No a tretia časť určuje nastavenia pre tieňové kopírovanie dokumentov vytlačených na tlačiarňach. Okrem toho má každá politika niekoľko ďalšie vlastnosti ktoré budeme uvažovať nižšie.

Princíp fungovania politiky je nasledujúci. Každá pracovná stanica má jednu alebo viac politík priradených administrátorom. Pri výskyte akejkoľvek udalosti riadenej ochranným systémom (pripojenie zariadenia, pokus o skopírovanie súboru na vymeniteľnú jednotku, tlač dokumentu atď.) klientsky modul postupne skontroluje súlad so všetkými politikami (objednávka je nastavený prioritným systémom) a použije prvé z tých, s ktorými sa zhoduje. To znamená, že Zlock nemá obvyklý systém výnimiek. Ak napríklad potrebujete zakázať všetky USB flash disky okrem jedného konkrétneho, musíte použiť dve zásady. Prvý s nízkou prioritou zakáže používanie vymeniteľných jednotiek. A druhý, s vyšším, umožňuje použitie konkrétnej inštancie. Okrem tých, ktoré vytvoril správca, existuje aj predvolená politika. Definuje prístupové práva k tým zariadeniam, ktoré nie sú popísané v iných politikách.

No a teraz sa pozrime na postup tvorby politiky. Ak ju chcete spustiť, musíte vybrať požadovanú pracovnú stanicu v strome riadiacej konzoly a vytvoriť k nej spojenie. Potom vyberte položku „Pridať“ v ponuke „Zásady“. Výsledné okno pozostáva z piatich záložiek. Prvý sa nazýva „Prístup“. Špecifikuje názov vytváranej politiky, jej prioritu a prístupové práva k zariadeniam. K dispozícii sú štyri možnosti: úplný prístup pre všetkých používateľov, prístup len na čítanie pre všetkých používateľov, odmietnutie prístupu k zariadeniam pre všetkých používateľov a individuálne prístupové práva k zariadeniam pre používateľov a skupiny. Účel prvých troch je jasný už z ich názvov. Ale posledná možnosť stojí za zmienku samostatne. Pomocou neho môžete nastaviť rôzne práva pre jednotlivých používateľov, čo je veľmi pohodlné, keďže na tom istom počítači môžu často pracovať rôzni zamestnanci. Ak chcete zadať prístupové práva, musíte kliknúť na tlačidlo "Upraviť" a v okne, ktoré sa otvorí, pridať potrebné účty (lokálny počítač alebo doménu) s definovaním povolení pre každý z nich.

Po zadaní základných nastavení musíte zadať zoznam zariadení a skupín, na ktoré sa bude politika vzťahovať. Ak to chcete urobiť, použite kartu "Zariadenia". Existujú štyri spôsoby, ako zadať vybavenie do Zlock.

· Typické zariadenia. Táto možnosť zahŕňa výber všetkých zariadení určitého typu, napríklad všetkých vymeniteľných jednotiek, jednotiek CD / DVD, pevných diskov atď.

· USB zariadenie so špecifikovanými charakteristikami. Umožňuje určiť zariadenia USB podľa typu, výrobcu, názvu produktu, sériového čísla zariadenia a podobne.

· Tlačiarne. Používa sa na zadanie konkrétnych lokálnych alebo sieťových tlačiarní.

Pomocou týchto metód môžete vytvoriť veľmi presný a flexibilný zoznam zariadení. Je pozoruhodné, že si môžete vybrať nielen zariadenie, ktoré je momentálne pripojené k počítaču, ale aj to, ktoré sa na ňom kedysi používalo (veľmi dôležité pre vymeniteľné jednotky). Okrem toho môže správca vytvoriť katalóg zariadení tzv. Toto je súbor, ktorý obsahuje zoznam všetkých zariadení pripojených k počítačom v podnikovej sieti. Dá sa vytvoriť manuálne aj automaticky skenovaním všetkých pracovných staníc.

V zásade potom už máme plne funkčnú politiku. Zlock však poskytuje množstvo ďalších nastavení, ktoré rozširujú funkčnosť systému ochrany. Ak sa teda napríklad vytvorí politika, ktorá by nemala byť stále účinná, potom je potrebné nastaviť harmonogram jej fungovania. Toto sa vykonáva na karte s rovnakým názvom. Na ňom môžete definovať intervaly, počas ktorých je politika platná. Správca môže zadať trvanie politiky, čas, dni v týždni alebo dni v mesiaci, kedy bude aktívna.

Ak sa počítač, pre ktorý sa politika vytvára, môže odpojiť od podnikovej siete a/alebo sa k nej pripojiť cez internet, môžete preň definovať špeciálne nastavenia. Ak to chcete urobiť, prejdite na kartu "Pravidlá aplikácie". Uvádza tri body možného stavu PC vzhľadom na podnikovú doménu: doména je dostupná lokálne, doména je dostupná cez VPN, doména nie je dostupná. Ak chcete zakázať akciu politiky pre ktorúkoľvek z nich, jednoducho deaktivujte príslušné začiarkavacie políčko. Ak chcete napríklad znemožniť tlač niečoho z počítača odpojeného od firemnej siete, stačí vytvoriť politiku, ktorá zakáže používanie tlačiarní a aktivovať „Doména nedostupná“ a „Doména dostupná cez VPN“ položky v pravidlách aplikácie.

Po vytvorení jednej alebo viacerých politík na jednom z počítačov ich môžete rýchlo distribuovať do iných počítačov. Na to je potrebné nadviazať spojenie so všetkými potrebnými stanicami v riadiacej konzole a vybrať položku „Propagovať konfiguráciu“ v menu „Služba“. V okne, ktoré sa otvorí, začiarknite políčka pre požadované politiky a počítače, aktivujte začiarkavacie políčko „Propagácia politiky na pozadí“ a vyberte akciu, ktorú má aplikácia vykonať, keď zistí politiky so zhodnými názvami (spýtať sa, či prepísať alebo neprepísať) . Potom kliknite na tlačidlo "OK" a počkajte na dokončenie procesu.

Akákoľvek politika sa môže v budúcnosti zmeniť. Ak to chcete urobiť, stačí sa pripojiť k počítaču, na ktorom bol pôvodne vytvorený, nájsť ho v "strome" a dvakrát naň kliknúť myšou. Tým sa otvorí okno známe už z postupu vytvárania politiky, v ktorom môžete meniť určité parametre. Upozorňujeme, že ak bola politika, ktorú ste upravili, raz distribuovaná na iné počítače, potom pred jej zmenou musíte najprv vytvoriť spojenie so všetkými týmito počítačmi. V tomto prípade pri ukladaní zmien samotný program Zlock ponúkne synchronizáciu zastaraných politík s novými. Zásady sa vymazávajú rovnakým spôsobom.

Nastavenie protokolovania a tieňového kopírovania

Zlock má logovací systém. Vďaka nej môže administrátor alebo iná osoba zodpovedná za informačnú bezpečnosť prezerať a analyzovať všetky sledované udalosti. Ak to chcete povoliť, vyberte položku „Nastavenia“ v ponuke „Nástroje“ a v okne, ktoré sa otvorí, prejdite na kartu „Ukladanie denníkov“. Uvádza všetky možné udalosti (odmietnutie zápisu do zariadenia, zmena prístupu k sieti, zmena konfigurácie, uplatnenie politík prístupu atď.), ako aj ich stav z hľadiska protokolovania.

Ak chcete povoliť protokolovanie jednej alebo viacerých udalostí, kliknite na znamienko plus a vyberte možnosť protokolovania: zápis do súboru (systémový protokol udalostí alebo ľubovoľný súbor vo formáte TXT alebo XML), do databázy na serveri SQL alebo servera protokolov, zaslanie listu prostredníctvom e-mailu.

Potom v okne, ktoré sa otvorí, musíte nakonfigurovať parametre protokolu (závisia od vybranej možnosti: názov súboru, parametre prístupu k databáze atď.), Označiť potrebné udalosti a kliknúť na tlačidlo "OK".

Protokolovanie operácií so súbormi sa konfiguruje samostatne. Myslia sa tým také akcie, ako je vytváranie, úprava a úprava súborov, vytváranie a odstraňovanie adresárov atď. Je jasné, že takéto protokoly majú zmysel iba pri použití vymeniteľných jednotiek. Preto je tento typ protokolovania viazaný na politiky prístupu. Ak ho chcete nakonfigurovať, vyberte položku „File Operations“ z ponuky „Tools“ v riadiacej konzole. V okne, ktoré sa otvorí, musíte najskôr vybrať politiky, pre ktoré sa bude vykonávať protokolovanie. Má zmysel vybrať tie, ktoré riadia používanie vymeniteľných jednotiek: zariadenia USB, jednotky CD / DVD atď. Potom musíte zadať akcie, ktoré systém vykoná pri zistení operácií so súbormi. Ak chcete pridať každý z nich, musíte kliknúť na "plus" a vybrať požadovanú možnosť. S protokolovaním súvisia tri akcie – zápis informácií o udalosti do súboru, do databázy alebo odoslanie e-mailovej správy. Poslednou možnosťou je spustenie zadaného programu alebo skriptu.

Ďalej môžete pristúpiť k nastaveniu tieňového kopírovania. Ide o veľmi dôležitú funkciu systému Zlock, ktorú netreba zanedbávať. Poskytuje duplikáciu skopírovaných alebo vytlačených súborov na špeciálne úložisko, ktoré je pre používateľa nepostrehnuteľné. Tieňové kopírovanie je nevyhnutné, keď zamestnanci potrebujú používať tlačiarne alebo vymeniteľné jednotky na vykonávanie svojich pracovných povinností. Zabrániť úniku informácií technickými prostriedkami je v takýchto prípadoch takmer nemožné. Ale tieňové kopírovanie vám umožní rýchlo naň reagovať a zastaviť budúce incidenty.

Ak chcete nastaviť parametre tieňového kopírovania, vyberte položku s rovnakým názvom v ponuke "Nástroje". V prvom rade si môžete nastaviť lokálne úložisko. Ak to chcete urobiť, musíte určiť priečinok, do ktorého sa budú súbory ukladať, zadať dostupné množstvo (v megabajtoch alebo percentách voľného miesta na pevnom disku) a tiež vybrať akciu v prípade preplnenia (prepísanie súborov v úložisku zakázať alebo povoliť kopírovanie a tlač).

V prípade potreby môžete nakonfigurovať tieňové kopírovanie do sieťového úložiska. Ak to chcete urobiť, prejdite na kartu „Kopírovať na server“ a začiarknite políčko „Prenášať informácie o tieňovom kopírovaní a súboroch na server“. Ak sa má prenos vykonať okamžite, mali by ste vybrať možnosť „Preniesť súbory čo najskôr“. Je možná aj iná možnosť - systém bude kopírovať súbory v určenej frekvencii. Potom musíte vybrať sieťový priečinok, do ktorého sa budú zapisovať súbory. Upozorňujeme, že má zmysel vybrať adresár, do ktorého má prístup iba správca. V opačnom prípade bude môcť zamestnanec do nej vstúpiť a uložené súbory vymazať alebo aspoň prezerať. Pri výbere takéhoto priečinka musíte zadať používateľské meno a heslo používateľa, ktorý má oprávnenie zapisovať doň informácie.

Na konci nastavení zostáva prejsť na kartu „Zásady“ a určiť tie zásady, podľa ktorých bude fungovať tieňové kopírovanie.

Systém dočasných povolení

V zásade sme, milí čitatelia, už analyzovali proces implementácie Zlock. Po jeho dokončení bude fungovať systém vnútornej ochrany, ktorý spoločnosti pomôže zabrániť úniku obchodných a osobné informácie. Zlock má však ešte jednu veľmi zaujímavú funkciu, ktorá správcovi uľahčuje život. Hovoríme o systéme vydávania dočasných povolení na používanie určitých zariadení.

Prečo sa chcete sústrediť na tento konkrétny moment? Všetko je veľmi jednoduché. Prax ukazuje, že pomerne často dochádza k situáciám, keď niektorý zo zamestnancov potrebuje použiť zariadenie, ktoré je pre neho zvyčajne zakázané. Okrem toho môže takáto potreba nastať naliehavo. V dôsledku toho nastáva panika, urgentne sa hľadá administrátor, ktorý musí zmeniť politiku prístupu a hlavne ju neskôr nezabudnúť vrátiť. Samozrejme, je to veľmi nepohodlné. Oveľa lepšie je použiť systém dočasného povolenia.

Ak ho chcete používať, musíte si najskôr vygenerovať certifikát správcu. Ak to chcete urobiť, v ponuke „Nástroje“ vyberte položku „Certifikát ...“ a v okne, ktoré sa otvorí, kliknite na tlačidlo „Zmeniť certifikát“. Potom v sprievodcovi vyberte prepínač „Vytvoriť nový certifikát“ a zadajte jeho názov. Jediné, čo zostáva urobiť, je pripojiť sa vzdialené počítače, vyberte položku "Nastavenia" v ponuke "Nástroje", prejdite na kartu "Všeobecné" v okne, ktoré sa otvorí, a kliknite na tlačidlo "Inštalovať".

V Zlocku je možné dočasné povolenia využiť dvoma spôsobmi – e-mailom a telefonicky. V prvom prípade sa žiadosť vytvorí nasledovne. Používateľ musí kliknúť pravým tlačidlom myši na ikonu Zlock v systémovej lište a z rozbaľovacej ponuky vybrať možnosť „Vytvoriť dopyt“. V okne, ktoré sa otvorí, potrebuje vybrať požadované zariadenie a prístupové práva (prístup len na čítanie alebo plný prístup), zadať adresu správcu a prípadne krátky komentár. V tomto prípade sa v poštovom klientovi nainštalovanom v systéme štandardne vygeneruje list s priloženým súborom žiadosti. Po prijatí by naň mal správca dvakrát kliknúť myšou. Tým sa otvorí okno s informáciami o požiadavke. Ak správca súhlasí so spracovaním, potom musí kliknúť na tlačidlo „Ďalej“. Tým sa otvorí okno na vytvorenie novej politiky, v ktorej už bolo zadané požadované zariadenie. Správca potrebuje iba nastaviť plán pre túto politiku. Môže byť buď trvalé alebo jednorazové. V druhom prípade bude politika platná iba dovtedy, kým používateľ neukončí reláciu Windows alebo kým nebude zariadenie odstránené (v závislosti od voľby správcu). Túto politiku je možné zaslať na počítač zamestnanca bežným spôsobom, alebo prostredníctvom špeciálneho súboru e-mailom (bude chránený certifikátom správcu). Po jeho prijatí ho používateľ jednoducho musí spustiť, po ktorom bude mať prístup k požadovanému zariadeniu.

Podobne funguje aj systém telefonických povolení. Najprv musí používateľ vytvoriť požiadavku. Tento postup je takmer identický s tým, o ktorom sme hovorili vyššie. Až v poslednej fáze sa nevytvorí e-mail, ale špeciálny kód pozostávajúci z piatich blokov čísel a písmen. Zamestnanec musí zavolať administrátorovi a nadiktovať mu túto znakovú sadu. Administrátor je povinný zadať tento kód do špeciálneho okna (vyvoláva sa pomocou položky "Spracovať požiadavku" v menu "Politika"). Tým sa zobrazia podrobné informácie o požiadavke. Ďalej môže správca vytvoriť politiku spôsobom, ktorý už poznáme. Jediný rozdiel je v tom, že v poslednej fáze systém vygeneruje ďalší kód. Jeho správca musí nadiktovať zamestnancovi, ktorý jeho zadaním do špeciálneho poľa môže aktivovať prístup k zariadeniu.

Zhrnutie

Ako teda vidíme, postup uvedenia systému na ochranu osôb do prevádzky v zásade nie je zložitý. Na jeho vykonanie nepotrebujete žiadne špeciálne zručnosti. Každý správca systému so základnými znalosťami sa s tým dokáže vyrovnať. sieťové technológie. Je však potrebné poznamenať, že účinnosť ochrany úplne závisí od toho, ako kompetentne a úplne sú vypracované politiky prístupu. Práve v tejto chvíli sa oplatí pristupovať s maximálnou vážnosťou a túto prácu by mal vykonávať zodpovedný zamestnanec.

Zlock: Ovládanie prístupu k zariadeniam USB

Testovanie Zlocka

Hlavnými očakávanými výhodami systému spolu s hlavnými funkčnými charakteristikami by mala byť jednoduchosť implementácie a intuitívnosť krokov pri jeho nastavovaní a konfigurácii.

Obrázok 1. Predvolená politika prístupu

Potom musíte premyslieť prístupové politiky pre samotnú službu Zlock, ktorá bude distribuovaná aj počas inštalácie na klientske stránky. Upravte politiku prístupu pre nastavenia klientskej časti aplikácie, povoľte alebo zakážte používateľom vidieť ikonu a dostávať upozornenia na zmenu politiky prístupu. Na jednej strane sú tieto upozornenia pohodlné, pretože odoslaním žiadosti o prístup administrátorovi bude používateľ upozornený, ak sa zmenená politika aplikuje na jeho pracovnú stanicu. Na druhej strane správcovia systému často radšej neposkytujú používateľom zbytočné vizuálne potvrdzovanie služieb ochrany spustených na pracovnej stanici.

Potom sa vytvorená politika (v tomto prípade zatiaľ zostáva lokálna pre pracovnú stanicu konzoly) uloží ako súbor s názvom default. zcfg do distribučného priečinka klienta.

Všetky. Tým je globálna príprava systému na hromadnú inštaláciu ukončená. Produkt zaujme jednoduchosťou vytvárania politík spojených s použitím štandardného princípu vytvárania užívateľských práv, akým je napríklad ACL.

Na inštaláciu na všetkých počítačoch bola používateľom odoslaná kontextová správa so žiadosťou o zapnutie všetkých sieťových pracovných staníc, ktoré sú v blízkosti, ale momentálne sa nepoužívajú. Po výbere všetkých sieťových pracovných staníc zo zoznamu počítačov, ku ktorým sa chcete pripojiť (alebo skôr výber všetkých a potom vylúčenie serverov), som spustil proces pripojenia pre ďalšiu inštaláciu klientskej časti. Pripojenie k takému počtu počítačov (150) samozrejme trvalo pomerne dlho, pretože prebieha postupne a ak je počítač vypnutý, očakáva sa časový limit pripojenia. Postup však bude potrebné vykonať iba počas úvodnej inštalácie, ďalšie politiky budú riadené na základe osobných potrieb používateľov. Pri pokuse „naraz“ nainštalovať klientsku časť na všetkých 150 počítačov v lokálnej sieti som narazil na menšie problémy na viacerých pracovných staniciach, no na väčšine počítačov sa systém nainštaloval automaticky. Pri inštalácii sa vyskytol jediný problém – nekompatibilita Zlocku so zastaranými verziami ochranného ovládača CD StarForce. Pre správnu interakciu je potrebné aktualizovať ovládač StarForce stiahnutím z webovej stránky výrobcu. Toto bolo vykonané aj vzdialene pomocou služby vzdialenej inštalácie. Vysvetlenie dôvodu tejto nekompatibility má podľa môjho názoru právo na život - koniec koncov, Zlock interaguje s I / O subsystémom na nižšej úrovni ako aplikačné funkcie OS - rovnako ako ochrana proti kopírovaniu CD.

Po výbere pracovných staníc budete vyzvaní, aby ste zadali, odkiaľ chcete spustiť distribúciu inštalátora. Práve táto funkcia umožňuje týmto spôsobom inštalovať ďalšie programy bez opustenia pracoviska. Buďte opatrní pri výbere možnosti inštalácie - "S reštartom" alebo "Vyžaduje sa reštart". Ak vyberiete možnosť „S reštartom“ – po dokončení inštalácie sa klientske pracovné stanice automaticky reštartujú bez toho, aby si vyžiadali potvrdenie používateľa.

Tým sa dokončí úvodná inštalácia a po reštarte začne klient Zlock vykonávať predpísanú bezpečnostnú politiku. Zároveň sa na lište objaví ikona služby Zlock, ktorá dáva používateľom možnosť vytvárať požiadavky na prístup, ako aj upravovať samotné politiky, ak im to, samozrejme, umožňovala predvolená politika, ktorú sme vytvorili.

Zaviazali sa k úplnému súkromiu...

Potom sa v skutočnosti začína jemné ladenie systému Zlock. Ak vo vašej firme zamestnanci často potrebujú niečo uložiť na vymeniteľné médiá a chceli by ste zachovať bezpečnostnú politiku na najprísnejšej úrovni, zosúlaďte si svoj pracovný rozvrh tak, aby ste v nasledujúcom týždni mohli byť na pracovisku čo najčastejšie. inštalácia. Pre zachovanie maximálnej prísnosti politiky prístupu sa odporúča vytvoriť pravidlá pre konkrétne vymeniteľné zariadenia, pretože Zlock vám umožňuje udeliť prístup k zariadeniam aj na základe jeho úplné charakteristiky ako je značka, model, sériové číslo atď. V IT firmách je situácia zložitejšia, keďže zamestnanci musia neustále zapisovať všetky druhy informácií na disky CD/DVD-R/RW. V tomto prípade môžeme odporučiť použitie dedikovaných pracovných staníc s nahrávacími jednotkami, na ktorých zásady zabezpečenia systému vytvoria pravidlá, ktoré z týchto počítačov neumožnia prístup do siete. Takéto jemnosti sú však nad rámec článku Zlock.

Ako to funguje v praxi?

Teraz sa pozrime, ako to celé vyzerá v akcii. Pripomínam vám, že politika prístupu, ktorú som vytvoril, umožňuje používateľom čítať zo všetkých vymeniteľných zariadení a zakazuje do nich zapisovať. Pracovník servisu prichádza do kancelárie, aby podal správy a napálil úlohy na disk. Keď je pripojené vymeniteľné zariadenie, systém obmedzí prístup a vydá príslušné varovanie (pozri obr. 2).

Obrázok 2. Upozornenie na obmedzenie prístupu

Zamestnanec si prečíta prinesené informácie od neho, potom sa neúspešne pokúša zapísať úlohy, ktoré dostal od manažéra. V prípade potreby získania prístupu buď kontaktuje administrátora telefonicky alebo vygeneruje automatickú požiadavku pomocou apletu Zlock Tray s uvedením zariadenia, ku ktorému by chcel pristupovať, pomenuje svoj účet a motivuje potrebu takéhoto prístupu.

Administrátor po prijatí takejto žiadosti rozhodne o udelení/neudelení takéhoto prístupu a v prípade kladného rozhodnutia zmení politiku pre danú pracovnú stanicu. Vytvorená požiadavka zároveň obsahuje všetky informácie o zariadení vrátane výrobcu, modelu, sériového čísla a pod., a systém Zlock umožňuje na základe týchto údajov vytvárať ľubovoľné politiky. Získame tak možnosť udeliť prístup na zápis konkrétnemu používateľovi na zadanom zariadení, v prípade potreby protokolovať všetky operácie so súbormi (pozri obr. 3).

Obrázok 3. Vytvorenie politiky na základe požiadavky užívateľa

Proces vytvárania dodatočných permisívnych politík je teda pre správcu zjednodušený na limity a vychádza z princípu Check&Click, čo je nepochybne príjemné.

Problémy

Nie je možné otvoriť porty brány firewall pre vzdialenú správu Zlock?

Pre vzdialenú správu Zlocku vo firewalle stačí otvoriť jeden port. V predvolenom nastavení je to port 1246, ale je možné ho zmeniť, ak toto číslo z akéhokoľvek dôvodu nevyhovuje. Mimochodom, náš produkt sa priaznivo porovnáva s niektorými analógmi, ktoré na správu používajú službu Remote Procedure Calls (RPC), ktorá štandardne vyžaduje otvorenie mnohých portov a je dosť zraniteľná voči vonkajším útokom. Ako viete, väčšina moderných vírusov využívala zraniteľnosti RPC na infiltráciu počítača a získanie administrátorských práv v ňom.

2) Problém

Máme nasledujúcu situáciu. Dvaja zamestnanci pracujú na rovnakom počítači v rovnakom oddelení. Každý má flash disk. Úlohou je, aby bol flash disk prvého zamestnanca čitateľný, ale flash disk druhého nie. Hlavným problémom je, že tieto flash disky majú rovnaké čísla (VID_058F&PID_6387), flash disky Transcend 256Mb a 1Gb. Povedzte mi, prosím, ako postupovať v tejto situácii? Mnohokrat dakujem.

Čísla, o ktorých hovoríte, sú ID produktov a ID dodávateľov. Ak chcete obmedziť prístup k zariadeniam s rovnakým ID produktu a výrobcu, musíte zadať ich sériové číslo v pravidlách Zlock. Stojí za zmienku, že nie všetci výrobcovia USB diskov priraďujú svojim produktom jedinečné sériové čísla, zvyčajne noname výrobcovia hrešia nedostatkom sériových čísel.

II. Prehľad SecurITZgate

V tomto prehľade začíname podrobný príbeh o SecurIT Zgate, podnikovom riešení navrhnutom na analýzu internetovej prevádzky na úrovni brány s cieľom odhaliť a blokovať pokusy o únik dôverných údajov alebo iné neoprávnené akcie zamestnancov.

Úvod

Podľa konceptu komplexnej ochrany pred internými hrozbami, ktorý presadzuje SecurIT, je produkt brány SecurIT Zgate dôležitou súčasťou systému IPC. Koncept IPC zahŕňa DLP (Data Loss Prevention) a riešenia ochrany dát pri ukladaní. Po prvýkrát kombináciu zdanlivo odlišných technológií navrhol analytik IDC Brian Burk v správe Information Protection and Control Survey: Data Loss Prevention and Encryption Trends.

Systémy IPC riadia zoznam kanálov štandardných pre systémy DLP: e-mail, webové zdroje (webová pošta, sociálne siete, blogy), ICQ, zariadenia USB a tlačiarne. V IPC sa k týmto funkciám pridáva šifrovanie dát na serveroch, magnetických páskach a na koncových bodoch siete – na PC, notebookoch a mobilných diskoch. Okrem zoznamu kontrolovaných kanálov a šifrovaných médií sa IPC výrazne líši v súbore metód na zisťovanie dôverných údajov.

Systém SecurIT Zgate, ktorý vám umožňuje zabrániť úniku dôverných informácií cez sieťové kanály, je teda dôležitou, ak nie kľúčovou súčasťou jedného systému IPC. SecurIT Zgate analyzuje všetky údaje prenášané zamestnancami mimo nej informačnej siete organizácií. SecurIT Zgate využíva moderné technológie automatickej detekcie, ktoré presne určujú úroveň dôvernosti prenášaných informácií, pričom zohľadňujú obchodné vlastnosti a požiadavky rôznych priemyselných noriem.

1. Systémové požiadavky

Minimum Požiadavky na systém pre riešenie SecurIT Zgate sú uvedené v tabuľke nižšie.

2. Hlavné funkcie SecurIT Zgate:

Filtrovanie prichádzajúcej, odchádzajúcej a vnútornej prevádzky.

Analýza obsahu prenášaných správ a súborov pomocou ľubovoľnej kombinácie metód automatickej kategorizácie.

Kompatibilita s akýmkoľvek poštovým systémom (MTA) bežiacim na protokole SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix atď.

Pracovať pasívny režim monitorovanie s kópiou prenášaných dát alebo v aktívnom režime blokovania incidentov v reálnom čase.

Flexibilné zásady pre kontrolu, blokovanie a archiváciu údajov s možnosťou konfigurácie až 30 nastavení.

Aplikujte zásady na základe času prenosu, smeru premávky a polohy používateľa.

Pohodlné nástroje na správu slovníkov popisujúcich rôzne kategórie dokumentov.

Možnosť manuálneho skenovania podozrivých správ a súborov.

Úprava správ a možnosť upozorniť používateľov na výsledky filtrovania.

Integrácia s aplikáciami tretích strán pre dodatočné spracovanie antivírusovými a antispamovými systémami.

Schopnosť udržiavať kompletný archív prenesených údajov, vrátane súborov príloh, v Microsoft SQL Server alebo Oracle Database.

Škálovateľná a modulárna architektúra, ktorá spĺňa najnáročnejšie požiadavky na výkon.

Inštalácia a správa všetkých produktov SECURIT prostredníctvom jedinej konzoly.

Rozsiahle príležitosti na oddelenie rolí administrátorov.

Podpora pre import štatistických informácií do rôznych návrhárov zostáv, ako sú Crystal Reports alebo FastReport.

3. Inštalácia SecurIT Zgate

Dôležité! Ak plánujete používať nástroje na spracovanie pošty SecurIT Zgate v rámci Microsoft Exchange 2007/2010, serverová časť SecurIT Zgate musí byť nainštalovaná na rovnakom počítači, kde je nainštalovaný Microsoft Exchange.

SecurIT Zgate používa na inštaláciu štandardný InstallShield. Je pozoruhodné, že celá inštalácia je jednoduchá a nespôsobuje ťažkosti.

Obrázok 1: Začiatok inštalácie SecurIT Zgate

Všimnite si na obrázku 2, server denníka nie je štandardne nainštalovaný. Môže byť nasadený na inom počítači. Protokol udalostí môže byť uložený v súbore XML, použiť samostatný protokolový server alebo použiť databázu (MSSQL Server alebo Oracle Database).

Obrázok 2: Výber modulov na inštaláciu SecurIT Zgate

Práca so SecurIT Zgate sa vykonáva prostredníctvom riadiacej konzoly. Na komunikáciu so serverom SecurIT Zgate používa riadiaca konzola protokol TCP/IP a port 1246. Nezabudnite otvoriť tento port vo firewalle. Tento port môžete neskôr v prípade potreby zmeniť.

Ak chcete používať SecurIT Zgate v režimoch sniffer, musíte nainštalovať ovládač WinPcap do počítača s už nainštalovaným serverom SecurIT Zgate. Ovládač WinPcap je súčasťou distribúcie SecurIT Zgate.

Riadiacu konzolu je možné nainštalovať na rovnaký počítač, kde je už nainštalovaný SecurIT Zgate, alebo na samostatnom počítači.

Začnime teda so Zgate SecurIT.

4. Začíname a počiatočné nastavenie SecurIT Zgate

Obrázok 3: Celkový pohľad na riadiacu konzolu SecurIT Zgate

Ak chcete začať, musíte vytvoriť spojenie s počítačom, na ktorom sa nachádza serverová časť systému. Zoznam počítačov sa nachádza na ľavej strane riadiacej konzoly v elemente stromu „Bez aplikácií“. V našom príklade sme nainštalovali server SecurIT Zgate na počítač VM-2003TEST, ktorý si vyberieme.

Potom, čo sme vybrali počítač, ktorý potrebujeme, a spojenie s ním bolo úspešné, prenesie sa zo sekcie „Bez aplikácií“ do uzlov tých aplikácií, ktoré sú na ňom nainštalované (v našom prípade je to SecurIT Zgate) a otvorí sa stromový zoznam nastavení a funkcií (obrázok 4).

Obrázok 4: Pripojenie k počítaču bolo úspešné – k dispozícii sú nové funkcie

Je potrebné poznamenať, že zoznam počítačov v doméne je určený buď cez NetBIOS alebo načítaný z Active Directory. Ak máte v sieti veľký počet počítačov, môžete použiť možnosť vyhľadávania.

Ak sa počítač nenachádza v zozname „No Applications“, pripojenie je možné vytvoriť manuálne. Ak to chcete urobiť, otvorte v riadiacej konzole ponuku "Pripojenie" a vyberte položku "Vytvoriť pripojenie". V okne, ktoré sa otvorí, zadajte názov počítača, IP adresu, port (štandardne 1246) a informácie o používateľovi (obrázok 5). Štandardne sú prístupové práva na konfiguráciu SecurIT Zgate nakonfigurované tak, aby používatelia patriaci do skupiny lokálnych administrátorov mali plný prístup ku všetkým funkciám systému.

Obrázok 5: Manuálne vytvorenie spojenia

Poďme sa teda pozrieť na nastavenia servera SecurIT Zgate jeden po druhom.

generál. V tejto časti (obrázok 6) sú špecifikované nastavenia interného poštového servera, port interného poštového servera, režim prevádzky servera, adresár pre dočasné uloženie spracovaných správ a špecifikuje maximálna hlasitosť tento adresár.

Obrázok 6: Všeobecné nastavenia server pre poštový server v SecurIT Zgate

Ako vidíte na obrázku, prevádzkové režimy „Filtrovanie pošty v rámci Microsoft Exchange 2007/2010“ a „Zaznamenávanie pošty v rámci Microsoft Exchange 2007/2010“ nie sú dostupné, pretože momentálne nemáme nainštalovaný a nakonfigurovaný Microsoft Exchange. Režim zrkadlenia (analýza kópie prenášanej prevádzky) je dostupný, pretože je nainštalovaný ovládač WinPcap.

Zrkadlenie správ odoslaných pomocou šifrovanej prevádzky SMTP (vytvorenej pomocou protokolu TLS s príkazom STARTTTLS) a pomocou rozšírenia XEXCH50 protokolu Exchange ESMTP nie je podporované.

Recepcia. V tejto časti nakonfigurujete príjem pošty tak, aby fungoval v rôznych prevádzkových režimoch servera (obrázok 7).

Obrázok 7: Konfigurácia prijímania pošty na prácu v režime proxy (žurnálovanie)

Pri konfigurácii filtrovania alebo prihlasovania v režime proxy sa sieťové rozhranie a číslo portu (predvolená hodnota 25) nastavia na príjem pošty mimo systému SecurIT Zgate; sieťové rozhranie a číslo portu, ktoré sa používa na príjem pošty z interného poštového servera; adresár pre prichádzajúce správy a jeho maximálnu veľkosť. Adresár doručenej pošty ukladá správy prijaté SecurIT Zgate pred ich spracovaním alebo preposlaním.

Na tej istej karte sa konfiguruje ochrana pred útokmi odmietnutia služby. Ako môžete vidieť na obrázku 7, ochrana pred útokmi v službe pozostáva z množstva podmienok, ak nie sú splnené, správa nie je prijatá. Tieto podmienky je možné povoliť alebo zakázať v závislosti od potreby alebo zbytočnosti konkrétnej kontroly.

Ak server SecurIT Zgate pracuje v režime zrkadlovej analýzy návštevnosti (povolené na karte nastavení generál), potom tab Recepcia má nasledujúci tvar (obrázok 8).

Obrázok 8: Konfigurácia príjmu pošty v režime zrkadlovej analýzy návštevnosti

Nastavenia pre tento režim prevádzky určujú sieťové rozhranie, na ktorom sa prijíma zrkadlená prevádzka, IP adresu zrkadleného poštového servera, porty, ktoré zrkadlový server používa na prijímanie a odosielanie pošty, ako aj adresár na ukladanie prichádzajúcich správ a jeho veľkosť.

Dôležité! Aby SecurIT Zgate fungoval v režime zrkadlenia, je to potrebné sieťový prepínač, ku ktorému je pripojený počítač so SecurIT Zgate, podporoval funkciu zrkadlenia. Port Mirroring umožňuje skopírovať prevádzku na riadiaci port, aby ju bolo možné analyzovať bez toho, aby došlo k narušeniu toku.

Prítomnosť prepínača s funkciou Port Mirroring sa však nevyžaduje, ak je SecurIT Zgate nainštalovaný na serveri proxy organizácie alebo ak je SecurIT Zgate nainštalovaný na počítači, z ktorého sa monitoruje prevádzka.

Pri výbere na karte generál prevádzkové režimy servera Filtrovanie pošty v rámci Microsoft Exchange 2007/2010 alebo Ukladanie pošty do denníka v rámci Microsoft Exchange 2007/2010, karty Recepcia a Vysielanie sú nahradené Karta Microsoft Exchange.

Na karte Microsoft Exchange sú nakonfigurované katalógy prichádzajúcich a odchádzajúcich správ a ich maximálny objem (katalógy sú navrhnuté tak, aby organizovali fronty správ odoslaných na spracovanie alebo na poštový server príjemcu). Aj na tejto karte môžete vybrať možnosť „Kontrola internej pošty“. V tomto režime sa budú kontrolovať aj interné správy medzi klientmi kontrolovaného poštového servera. Táto funkcia je veľmi dôležitá, pretože je možné kontrolovať internú korešpondenciu zamestnancov.

V spodnej časti karty sa zobrazujú informácie o chybách alebo varovaniach.

Vysielanie. Nastavenia prenosu pošty nezávisia od režimu prevádzky servera a sú rovnaké pre filtrovanie a prihlasovanie v režime proxy aj pre zrkadlenie (obrázok 9).

Obrázok 9: Nastavenia prenosu pošty v SecurIT Zgate

Tu sa konfigurujú nasledujúce parametre: maximálny počet súčasných odchádzajúcich spojení; schémy pokusov o pripojenie; zoznam poštových domén obsluhovaných interným poštovým serverom; doručovací server, na ktorý sa prenáša pošta odoslaná smerom von (ak nie je špecifikovaný doručovací server a doména príjemcu nie je interná, potom sám SecurIT Zgate doručuje poštu a pripája sa priamo k poštovému serveru príjemcu); inteligentný hostiteľ, na ktorý sa posielajú e-maily príjemcom z akceptovaných domén, ale nie v licenčných zoznamoch; adresár pre odchádzajúce správy a jeho maximálnu veľkosť. E-maily sú tiež preposielané inteligentnému hostiteľovi, pre ktorý SecurIT Zgate nedokázal určiť adresu poštového servera prostredníctvom DNS, alebo poštový server oznámil, že príjemca neexistuje.

Schéma spojenia s poštovým serverom príjemcu pozostáva zo sérií. Séria pozostáva z určitého počtu pokusov o pripojenie k serveru príjemcu správy a intervalu v minútach medzi jednotlivými pokusmi. Ak nebolo možné nadviazať spojenie podľa schémy, správa sa vymaže a v protokole sa zobrazí zodpovedajúca správa. V tomto prípade sa odosielateľovi odošle chybové hlásenie.

Karta Zgate Web je navrhnutý tak, aby zabránil úniku informácií cez internet, napríklad keď zamestnanci úmyselne alebo náhodne posielajú citlivé údaje prostredníctvom svojej webovej pošty, uverejňujú príspevky na fóre alebo blogu alebo posielajú cez ICQ.

Prevádzku Zgate Web zabezpečuje zrkadlenie portov na prepínači alebo zachytenie sieťovej prevádzky na počítači, na ktorom je nainštalovaný SecurIT Zgate. Ak chcete používať Zgate Web, počítač, na ktorom je nainštalovaný server SecurIT Zgate, musí mať nainštalovaný ovládač WinPcap.

V aktuálnej verzii Zgate Web zachytáva prenos prenášaný pomocou nasledujúcich protokolov a zdrojov:

protokol okamžitých správ AOL ICQ;

FTP File Transfer Protocol;

HTTP protokol prenosu dát;

poštové služby: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

SMS/MMS správy: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

fóra realizované na báze softvéru PhpBb, IpBoard, Vbulletin.

Ako vidíte, možnosti riadenia premávky sú pôsobivé.

Pre každú správu modul na zachytávanie webu Zgate vygeneruje list obsahujúci informácie o správe a súbor ďalších parametrov súvisiacich s používanou službou. Tento list sa vkladá do prichádzajúcich správ a spracuje ho systém SecurIT Zgate rovnakým spôsobom ako bežný list prijatý cez protokol SMTP.

Nastavenia Zgate Web sú zobrazené na obrázku 10.

Obrázok 10: Webové nastavenia Zgate

Na tejto karte môžete povoliť alebo zakázať Zgate Web, ako aj špecifikovať sieťové rozhranie, z ktorého sa prevádzka kopíruje, zobraziť a upraviť zoznam rozsahov adries pre analyzované pakety (je možné pridať vlastné rozsahy), vybrať adresár na ukladanie dočasných súborov a ich veľkosti, ako aj na výber modulov analýzy potrebných pre prácu.

Ak chcete pridať rozsah adries pre analyzované pakety, musíte kliknúť na tlačidlo „+“, ktoré sa nachádza napravo od zoznamu analyzovaných paketov, otvorí sa takéto okno (obrázok 11).

Obrázok 11: Pridanie rozsahu adries pre analyzované pakety do SecurIT Zgate

Po zadaní adries a portov, ktoré potrebujeme, ako aj po výbere akcie (analyzovať alebo vylúčiť z analýzy), stlačte tlačidlo OK. Nový rad je pripravený.

Archív. Archív je určený na centralizované ukladanie kópií listov, ich prezeranie a preposielanie. Správy v karanténe sú navyše uložené v archíve. Archív vo forme databázy je možné organizovať pomocou servera Oracle alebo Microsoft SQL Server (obrázok 12). Niektoré nastavenia súvisiace s nastaveniami archívu sa nachádzajú na karte Rozšírené (položka Nastavenia v ponuke Nástroje).

Obrázok 12: Výber databázy a nastavenie parametrov archívu v SecurIT Zgate

Aby sme mohli archív používať, musíme nainštalovať a nakonfigurovať MSSQL Express alebo Oracle (špecifikované v minimálnych systémových požiadavkách).

Po zadaní potrebných nastavení a používateľa pre prístup k databáze môžeme otestovať pripojenie k samotnej databáze. Na to je určené tlačidlo „Skontrolovať pripojenie“ (obrázok 13). Môžete tiež určiť možnosť kompresie údajov. Vyberte si „zlatú strednú cestu“ medzi rýchlosťou práce a množstvom dát.

Obrázok 13: Všetko je pripravené na prácu s databázou – spojenie je nadviazané

Licencia. Účel karty je jasný už zo samotného názvu. Zobrazuje počet licencovaných e-mailových adries, dobu platnosti licencie, zoznam licencovaných modulov SecurIT Zgate – Kontrola e-mailov (Zgate Mail) a Kontrola návštevnosti webu (Zgate Web). Licencované moduly sú označené zeleným začiarknutím (obrázok 14).

Obrázok 14: Zobrazenie a správa licencií v SecurIT Zgate

Štatistiky. Aj s touto kartou je všetko jasné. Zobrazuje štatistiku servera SecurIT Zgate (obrázok 15).

Obrázok 15: Štatistika servera SecurIT Zgate

Okrem toho. Táto karta zobrazuje ďalšie systémové nastavenia (obrázok 16). Detailný popis pre každé nastavenie je v dokumentácii k produktu.

Obrázok 16: Rozšírené nastavenia SecurIT Zgate

Prístup. Systém SecurIT Zgate poskytuje možnosť rozlíšenia prístupových práv pre správu a prácu s archívom správ medzi viacerými používateľmi. Na tejto karte sa konfiguruje prístup do systému (obrázok 17).

Obrázok 17: Správa prístupu do systému SecurIT Zgate

Ako sme už povedali, štandardne sú prístupové práva na konfiguráciu SecurIT Zgate nakonfigurované tak, aby používatelia, ktorí sú členmi lokálnej skupiny správcov, mali plný prístup ku všetkým funkciám.

Ak chcete pridať používateľa alebo skupinu používateľov do zoznamu prístupových práv, kliknite na tlačidlo „+“ a vyberte požadovaný účet alebo skupinu. Potom v spodnej časti okna zadajte práva, ktoré chcete prideliť zadanému účtu. Ikona „V“ znamená, že používateľ má na túto operáciu právo, „X“ znamená, že používateľ nemá prístup k tejto funkcii. Práva používateľa a skupiny, do ktorej patrí, sú zhrnuté podobne ako akceptovaný systém kontroly prístupu vo Windows.

Ako príklad sme vybrali používateľa Hosť a dali sme mu právo na zobrazenie parametrov a štatistík (obrázok 18).

Obrázok 18: Výber používateľa a pridelenie príslušných práv k nemu

Vedenie denníka. Systém SecurIT Zgate vám umožňuje implementovať dodatočné spracovanie ním vykonávaných operácií prostredníctvom mechanizmu spracovania udalostí. Jednou z možností takéhoto spracovania je protokolovanie prevádzky SecurIT Zgate do systémového denníka Windows, do súboru alebo na Microsoft SQL Server.

V predvolenom nastavení je protokolovanie udalostí vypnuté (obrázok 19). Nezávisle môžete povoliť zaznamenávanie udalosti a zvoliť, ako sa bude zaznamenávanie udalosti vykonávať.

Obrázok 19: Zoznam udalostí, ktoré sa majú monitorovať v SecurIT Zgate

Povolenie protokolovania pre akúkoľvek udalosť je veľmi jednoduché. Ak to chcete urobiť, vyberte udalosť, ktorú potrebujeme, kliknite na tlačidlo „+“ napravo od zoznamu udalostí a potom vyberte požadovanú možnosť protokolovania. Vezmime si ako príklad možnosť „protokolovania“ (obrázok 20).

Obrázok 20: Konfigurácia možností protokolovania udalostí do súboru alebo systémového protokolu

Je vidieť, že v tomto prípade si môžete zvoliť možnosť logovania do systémového logu a na uloženie tohto logu si môžete vybrať ľubovoľný počítač v lokálnej sieti, alebo si zvoliť možnosť logovania do súboru. Okrem toho sú k dispozícii tri možnosti pre formát súboru: text ANSI, text Unicode a XML. Rozdiel medzi zapisovaním protokolu vo formáte XML na rozdiel od zápisu do textového súboru je v tom, že súbor protokolu vo formáte XML je možné analyzovať pomocou systému SecurIT Zgate. Pri textových súboroch je táto možnosť vylúčená.

Môžete si tiež vybrať umiestnenie súboru protokolu a práva používateľa, v mene ktorého sa bude protokolovanie vykonávať.

Obrázok 21: Výber udalostí na prihlásenie do SecurIT Zgate

Po výbere potrebných udalostí zostáva len kliknúť na tlačidlo „Dokončiť“. Výsledok je možné vidieť na obrázku 22. Vedľa zaznamenaných udalostí sa objavili príslušné ikony označujúce parametre protokolovania a miesto, kde bude protokol zapísaný.

Obrázok 22: Môžete vidieť tri udalosti, ktoré sú zaprotokolované do súboru XML

Môžete sa tiež prihlásiť na protokolový server a Microsoft SQL Server. Prihlasovanie na SQL server, zaznamenávanie informácií o udalosti vykonáva modul spracovania v databáze organizovanej pomocou Microsoft SQL Server.

Pri výbere logovania na Microsoft SQL Server je potrebné zvoliť server s MSSQL, zadať užívateľské parametre a skontrolovať pripojenie k databáze. Ak je všetko v poriadku, potom pri kontrole pripojenia budete vyzvaní na vytvorenie novej databázy, názov určuje systém SecurIT Zgate (obrázok 23).

Obrázok 23: Výber databázového servera a špecifikovanie parametrov na pripojenie k nemu

Obrázok 24: Potvrdenie vytvorenia internej databázovej štruktúry pre uloženie logu

Obrázok 25: Určenie udalostí, ktoré sa majú zaznamenávať

Obrázok 26: Vidíme udalosti, ktoré budú protokolované na zadaný SQL server

Skriptá. Ďalším typom dodatočného spracovania operácií vykonávaných SecurIT Zgate môže byť vykonávanie skriptov (skriptov) a spúšťanie spustiteľných súborov.

Keď sa spustí vybraná udalosť, spustí sa zadaná aplikácia alebo sa spustí zadaný skript. Zoznam udalostí je podobný zoznamu udalostí pre protokolovanie.

Túto možnosť je možné využiť napríklad na odoslanie SMS o udalosti alebo na zablokovanie pracovnej stanice do príchodu bezpečnostného pracovníka.

Obrázok 27: Výber spustiteľného súboru

V tom istom okne môžete zadať cestu k súboru skriptu, zadať používateľa, v mene ktorého sa súbor alebo skript vykoná. Upozorňujeme, že štandardne sa aplikácie spúšťajú pod účtom SYSTEM.

Obrázok 28: Zoznam udalostí, ktoré spustia aplikáciu

Tým sa ukončí fáza predbežnej konfigurácie systému SecurIT a pokračuje sa konfiguráciou filtračných subsystémov.

Nastavenie analýzy a filtrovania obsahu

Teraz sa pozrime na možnosti nastavenia systému analýzy obsahu.

Slovníky. Slovníky v Zgate sú chápané ako skupiny slov združených podľa nejakého atribútu (kategórie). Spravidla prítomnosť slov z konkrétneho slovníka v písmene s vysokou mierou pravdepodobnosti nám umožňuje priradiť písmeno do kategórie charakterizovanej týmto slovníkom. Slovníky v systéme Zgate sa používajú na filtrovanie v metódach „Dictionary analysis“ a „Bayesian processing“.

Obrázok 29: Okno správy slovníka v SecurIT Zgate

Keďže SecurIT Zgate používa rovnaké slovníky ako pri analýze poštovej správy, tak aj pri jej spracovaní Bayesovskou metódou, pri vytváraní slovníkov sú slovu vždy priradené dva parametre: váha v kategórii a váha v antikategórii. Štandardne sú oba parametre nastavené na 50.

Ak chcete pridať slovník, musíte stlačiť tlačidlo „+“ v okne správy slovníka a na pridanie slov do slovníka je potrebné vybrať požadovaný slovník a stlačiť tlačidlo „ceruzka“ (obrázok 30, 31) .

Obrázok 30: Pridanie slovníka do SecurIT Zgate

Obrázok 31: Pridanie slova do slovníka v SecurIT Zgate

Pri zadávaní slov môžete použiť špeciálne znaky:

ľubovoľný počet písmen alebo číslic;

Akýkoľvek jeden znak (písmeno alebo číslo);

^ - jeden oddeľovací znak (medzera, tabulátor, posun riadkov);

Jeden oddeľovač alebo interpunkčný znak;

# - jedna číslica;

@ - jeden znak-písmeno.

Platné znaky pre slovník sú znaky (,),<, >, (, ), - , _, špeciálne znaky a špeciálne znaky ako jednoduché znaky (akýkoľvek špeciálny znak sa môže stať bežným znakom pridaním spätnej lomky). Napríklad test* znamená, že slovník obsahuje slovo test*. A test* znamená, že slovník obsahuje všetky slová, ktoré začínajú na test – test, testy, test atď.

Okrem manuálneho vytvárania a vypĺňania slovníka môžete slovník vytvárať importovaním slov z vopred pripraveného súboru a nechýba ani možnosť automatického generovania slovníka.

Pri importovaní slov zo súboru bude každému importovanému slovu priradená váha v predvolenej kategórii a anti-kategórii. Znaky, ktoré sú pre slovník nesprávne, sa pri importe štandardne nahradia oddeľovačom (medzerou).

Automatické generovanie slovníka zo súboru je možné pomocou špeciálne pripraveného textového súboru s príslušnou sadou slov, ako aj skutočných dokumentov, ktoré patria alebo nepatria do tej či onej kategórie.

Okrem metód jazykovej analýzy môžete použiť metódu „digitálnych odtlačkov prstov“, populárnu pre túto triedu produktov – ide o metódu vyhľadávania kópií kontrolovaných dokumentov alebo častí dokumentov v poštovej správe. V tomto prípade môže byť požadovaný text upravený alebo môže byť v liste prítomná len jeho časť.

Metóda odtlačku spočíva v tom, že všetky dôverné dokumenty dostanú svoje „digitálne odtlačky prstov“. Prijaté výtlačky sú uložené v aktualizovanom (v automatický režim) a aktualizovanú databázu. Ak je potrebné skontrolovať akýkoľvek dokument, vypočíta sa mu „digitálny odtlačok prsta“, potom sa podobný odtlačok vyhľadá medzi odtlačkami dôverných dokumentov uložených v databáze. Ak je odtlačok prsta skenovaného súboru podobný odtlačku prsta uloženému v databáze, vydá sa príslušné varovanie (notifikácia).

Aby ste mohli začať pracovať s databázou odtlačkov prstov, musíte prejsť do ponuky „Nástroje“ a spustiť príkaz „Footprints“.

Obrázok 32: Správa databázy odtlačkov prstov v SecurIT Zgate

Ak chcete pridať novú kategóriu dokumentov na snímanie odtlačkov prstov, musíte kliknúť

tlačidlo „+“. Ak chcete upraviť kategóriu, stlačte tlačidlo "ceruzka" a tlačidlo "X".

Obrázok 33: Vytvorenie kategórie dokumentu v SecurIT Zgate

Taktiež sa pri vytváraní kategórie určí čas aktualizácie databázy odtlačkov prstov, nastavia sa parametre používateľa, v mene ktorého sa bude k súborom pristupovať, a pridajú sa súbory, ktoré obsahujú bežne používané slová, ktoré sú vylúčené zo skenovania.

Na vytváranie odtlačkov prstov môžete použiť nasledujúce formáty súborov: . TXT. doc. docx. xls. xlsx,. ppt. pptx,. pdf,.html,. rtf. odt. ods. odp. dbf. wps. xml* (formát .xml sa analyzuje ako normálny textový dokument).

Vytvorenú kategóriu je možné podrobiť testovacej kontrole. Overenie testovacieho súboru metódou odtlačkov prstov je určené na zistenie správnosti nastavenia digitálnych odtlačkov prstov a správnosti popisu kategórií. Pri kontrole sa zisťuje, či digitálny odtlačok kontrolovaného spisu (dokumentu) je podobný digitálnemu odtlačku dokumentu uloženého v predtým vytvorenej databáze určitej kategórie. Vyhľadávanie podobných dokumentov sa vykonáva s prihliadnutím na skutočnosť, že niektoré alebo všetky ruské znaky v kontrolovanom dokumente môžu byť nahradené anglickými znakmi podobnými pravopisu a naopak.

Ak chcete skontrolovať, musíte kliknúť na tlačidlo „Skontrolovať“ v spodnej časti okna správy databázy odtlačkov prstov a vybrať súbor, ktorý sa má skontrolovať, s uvedením percenta pravdepodobnosti podobnosti.

Takýto pokročilý kategorizačný systém vám umožňuje vytvárať samostatné kategórie pre rôzny obsah správ. To zase umožňuje správne kategorizovať oznámenia o incidentoch v protokole a umožňuje bezpečnostnému dôstojníkovi nastaviť priority a rýchlo reagovať na udalosti.

Obrázok 35: Nastavenie parametrov kontroly premávky v SecurIT Zgate

Obrázok 36: Výsledok kontroly

Ochrana pred zasvätenými pomocou kombinácie Zgate a Zlock

Dnes existujú dva hlavné kanály na únik dôverných informácií: zariadenia pripojené k počítaču (všetky druhy vymeniteľných jednotiek vrátane flash diskov, jednotiek CD / DVD atď., tlačiarne) a internet (e-mail, ICQ, sociálne siete). , atď.). ?d.). A preto, keď firma „dozrieva“ na zavedenie systému ochrany proti nim, je vhodné pristupovať k tomuto riešeniu komplexne. Problém je v tom, že na prekrytie rôznych kanálov sa používajú rôzne prístupy. V jednom prípade bude najúčinnejším spôsobom ochrany kontrola používania vymeniteľných diskov a v druhom rôzne možnosti filtrovania obsahu, čo umožňuje blokovať prenos dôverných údajov do externej siete. A tak musia firmy na ochranu pred insidermi využívať dva produkty, ktoré spolu tvoria ucelený bezpečnostný systém. Prirodzene, je vhodnejšie použiť nástroje jedného vývojára. V tomto prípade je uľahčený proces ich implementácie, správy a školenia zamestnancov. Príkladom sú produkty SecurIT: Zlock a Zgate.

Zlock: ochrana proti úniku cez vymeniteľné jednotky

Program Zlock je na trhu už dlho. A už sme opísali jeho hlavné črty. V zásade nemá zmysel opakovať sa. Od zverejnenia článku však vyšli dve nové verzie Zlocku, ktoré majú množstvo dôležitých funkcií. Stojí za to hovoriť o nich, aj keď veľmi stručne.

V prvom rade stojí za zmienku možnosť priradiť počítaču niekoľko politík, ktoré sa aplikujú nezávisle od toho, či je počítač pripojený do firemnej siete priamo, cez VPN, alebo pracuje offline. To umožňuje najmä automatické blokovanie USB portov a CD/DVD mechanik pri odpojení PC od lokálnej siete. Vo všeobecnosti táto funkcia zvyšuje bezpečnosť informácií uložených na notebookoch, ktoré si zamestnanci môžu vziať z kancelárie na cesty alebo do práce doma.

Druhou novinkou je poskytnutie dočasného prístupu zamestnancov spoločnosti k uzamknutým zariadeniam alebo dokonca skupinám zariadení cez telefón. Princípom jeho fungovania je výmena tajných kódov generovaných programom medzi používateľom a pracovníkom zodpovedným za informačnú bezpečnosť. Je pozoruhodné, že povolenie na použitie môže byť vydané nielen trvalé, ale aj dočasné (na určitý čas alebo do konca relácie). Tento nástroj možno považovať za určitú úľavu v bezpečnostnom systéme, ale umožňuje zvýšiť schopnosť IT oddelenia reagovať na obchodné požiadavky.

Ďalšou dôležitou inováciou v nových verziách Zlock je kontrola používania tlačiarní. Po nastavení bude systém ochrany zaznamenávať všetky požiadavky používateľov na tlačové zariadenia do špeciálneho denníka. To však nie je všetko. Zlock má tieňovú kópiu všetkých tlačených dokumentov. Sú napísané vo formáte PDF a sú úplnou kópiou vytlačených strán bez ohľadu na to, ktorý súbor bol odoslaný do tlačiarne. Tým sa zabráni úniku dôverných informácií na papierových hárkoch, keď zasvätený pracovník vytlačí údaje, aby ich odniesol z kancelárie. Aj v systéme ochrany sa objavilo tieňové kopírovanie informácií zaznamenaných na CD / DVD diskoch.

Dôležitou inováciou bol vznik serverového komponentu Zlock Enterprise Management Server. Poskytuje centralizované ukladanie a distribúciu bezpečnostných politík a iných nastavení programu a výrazne uľahčuje správu Zlocku vo veľkých a distribuovaných informačných systémoch. Nemožno nespomenúť ani vznik vlastného autentifikačného systému, ktorý v prípade potreby umožňuje odmietnuť používanie doménových a lokálnych používateľov Windows.

Okrem toho má najnovšia verzia Zlock niekoľko menej nápadných, ale aj dosť dôležitých funkcií: kontrola integrity klientskeho modulu so schopnosťou zablokovať prihlásenie používateľa pri detekcii prienikov, pokročilé možnosti implementácie bezpečnostného systému, podpora Oracle DBMS, atď.?

Zgate: Internet Leak Protection

Takže Zgate. Ako sme už povedali, tento produkt je systémom na ochranu pred únikom dôverných informácií cez internet. Štrukturálne sa Zgate skladá z troch častí. Hlavným komponentom je serverový komponent, ktorý vykonáva všetky operácie spracovania údajov. Môže byť inštalovaný ako na samostatnom počítači, tak aj na uzloch, ktoré už fungujú v podnikovom informačnom systéme – internetová brána, radič domény, poštová brána atď. Tento modul sa zase skladá z troch komponentov: na riadenie prevádzky SMTP, riadenie internej pošty servera Microsoft Exchange 2007/2010 a Zgate Web (zodpovedá za kontrolu prenosu HTTP, FTP a IM).

Druhou časťou systému ochrany je logovací server. Používa sa na zhromažďovanie informácií o udalostiach z jedného alebo viacerých serverov Zgate, ich spracovanie a ukladanie. Tento modul je užitočný najmä vo veľkých a geograficky distribuovaných podnikových systémoch, pretože poskytuje centralizovaný prístup ku všetkým údajom. Treťou časťou je riadiaca konzola. Používa štandardnú konzolu pre produkty SecurIT, a preto sa jej nebudeme podrobne venovať. Poznamenávame len, že pomocou tohto modulu môžete spravovať systém nielen lokálne, ale aj vzdialene.

Riadiaca konzola

Systém Zgate môže fungovať v niekoľkých režimoch. Navyše ich dostupnosť závisí od spôsobu implementácie produktu. Prvé dva režimy zahŕňajú prácu ako poštový proxy server. Na ich implementáciu sa systém inštaluje medzi firemný poštový server a „vonkajší svet“ (alebo medzi poštový server a odosielajúci server, ak sú oddelené). V tomto prípade môže Zgate buď filtrovať prevádzku (zadržiavať správy porušujúce autorské práva a sporné správy), alebo ju iba zaprotokolovať (preskočiť všetky správy, ale ponechať ich v archíve).

Druhý spôsob implementácie zahŕňa použitie ochranného systému v spojení s Microsoft Exchange 2007 alebo 2010. Na tento účel je potrebné nainštalovať Zgate priamo na firemný poštový server. V tomto prípade sú k dispozícii aj dva režimy: filtrovanie a protokolovanie. Okrem toho existuje ďalšia možnosť implementácie. Hovoríme o protokolovaní správ v režime zrkadlenej prevádzky. Prirodzene, aby ste ho mohli používať, je potrebné zabezpečiť, aby počítač, na ktorom je nainštalovaný Zgate, prijímal túto veľmi zrkadlenú prevádzku (zvyčajne sa to robí pomocou sieťového zariadenia).

Výber prevádzkového režimu Zgate

Komponent Zgate Web si zaslúži samostatný príbeh. Inštaluje sa priamo na firemnú internetovú bránu. Zároveň tento subsystém získava schopnosť riadiť HTTP, FTP a IM prevádzku, teda spracovávať ju za účelom detekcie pokusov o odosielanie dôverných informácií cez webové mailové rozhrania a ICQ, ich zverejňovanie na fórach, FTP serveroch, a sociálne siete atď. Mimochodom, o "ICQ". Funkcia blokovania IM-messengerov je v mnohých podobných produktoch. Práve „ICQ“ v nich však nie je. Jednoducho preto, že práve v rusky hovoriacich krajinách sa najviac rozšíril.

Princíp fungovania komponentu Zgate Web je pomerne jednoduchý. Pri každom odoslaní informácie ktorejkoľvek z riadených služieb systém vygeneruje špeciálnu správu. Obsahuje samotné informácie a niektoré servisné údaje. Odošle sa na hlavný server Zgate a spracuje sa podľa daných pravidiel. Prirodzene, odosielanie informácií v samotnej službe nie je blokované. To znamená, že Zgate Web funguje iba v režime protokolovania. S jeho pomocou nie je možné zabrániť jednotlivým únikom dát, no na druhej strane ich dokážete rýchlo odhaliť a zastaviť činnosť slobodného či nevedomého útočníka.

Problém ochrany pred internými hrozbami sa v poslednom čase stal skutočnou výzvou pre jasný a zabehnutý svet podnikovej informačnej bezpečnosti. Tlač hovorí o zasvätených, výskumníci a analytici varujú pred možnými stratami a problémami a spravodajské kanály sú plné správ o ďalšom incidente, ktorý viedol k úniku stoviek tisíc záznamov o zákazníkoch v dôsledku chyby alebo nepozornosti zamestnanca. Pokúsme sa zistiť, či je tento problém taký vážny, či sa ním treba zaoberať a aké nástroje a technológie sú k dispozícii na jeho vyriešenie.

V prvom rade stojí za to určiť, že ohrozenie dôvernosti údajov je interné, ak je jeho zdrojom zamestnanec podniku alebo akákoľvek iná osoba, ktorá má legálny prístup k týmto údajom. Keď teda hovoríme o interných hrozbách, hovoríme o akýchkoľvek možných činoch legálnych používateľov, úmyselných alebo náhodných, ktoré môžu viesť k úniku dôverných informácií mimo podnikovej siete podniku. Pre dokreslenie je vhodné dodať, že takíto používatelia sú často označovaní ako insideri, hoci tento pojem má aj iné významy.

Relevantnosť problému vnútorných hrozieb potvrdzujú výsledky nedávnych štúdií. Konkrétne v októbri 2008 boli oznámené výsledky spoločnej štúdie spoločností Compuware a Ponemon Institue, podľa ktorých sú insideri najčastejšou príčinou úniku dát (75 % incidentov v USA), kým hackeri boli až na piatom mieste. . V ročnom prieskume Computer Security Institute (CSI) za rok 2008 sú čísla o incidentoch s hrozbami zasvätených osôb nasledovné:

Percento incidentov znamená, že z celkového počtu respondentov sa tento typ incidentu vyskytol v uvedenom percente organizácií. Ako vidno z týchto čísel, takmer každá organizácia je ohrozená vnútornými hrozbami. Pre porovnanie, podľa rovnakej správy vírusy zasiahli 50 % opýtaných organizácií a len 13 % čelilo prieniku hackerov do lokálnej siete.

Vnútorné hrozby sú teda realitou dneška a nie mýtom, ktorý vymysleli analytici a predajcovia. Takže tí, ktorí staromódnym spôsobom veria, že bezpečnosť podnikových informácií je firewall a antivírus, musíte sa na problém čo najskôr pozrieť zoširoka.

Mieru napätia zvyšuje aj zákon „O osobných údajoch“, podľa ktorého sa organizácie a úradníci budú musieť zodpovedať nielen svojmu vedeniu, ale aj svojim zákazníkom a pred zákonom za nesprávne nakladanie s osobnými údajmi.

Model votrelca

Tradične by sa pri zvažovaní hrozieb a prostriedkov ochrany pred nimi malo začať analýzou modelu narušiteľa. Ako už bolo spomenuté, budeme hovoriť o insideroch - zamestnancoch organizácie a iných používateľoch, ktorí majú legálny prístup k dôverným informáciám. Pri týchto slovách sa spravidla každému vybaví zamestnanec kancelárie pracujúci na počítači v podnikovej sieti, ktorý v procese práce neopúšťa kanceláriu organizácie. Toto znázornenie je však neúplné. Je potrebné ho rozšíriť o ďalšie typy ľudí s legálnym prístupom k informáciám, ktorí môžu opustiť kanceláriu organizácie. Môžu to byť obchodní cestujúci s notebookmi alebo pracujúci v kancelárii aj doma, kuriéri nosiaci médiá s informáciami, predovšetkým magnetické pásky so zálohou atď.

Takáto rozšírená úvaha o modeli narušiteľa po prvé zapadá do konceptu, pretože hrozby, ktoré títo narušovatelia predstavujú, sú tiež interné, a po druhé, umožňuje nám analyzovať problém širšie, zvažujúc všetky možné možnosti boja proti týmto hrozbám.

Je možné rozlíšiť tieto hlavné typy vnútorných porušovateľov:

• Nelojálny/urazený zamestnanec.Porušovatelia v tejto kategórii môžu konať účelovo, napríklad tak, že zmenia zamestnanie a chcú ukradnúť dôverné informácie, aby zaujali nového zamestnávateľa, alebo emocionálne, v prípade, že sa cítili urazení, a tak sa chcú pomstiť. Sú nebezpeční, pretože sú najviac motivovaní spôsobiť škodu organizácii, v ktorej momentálne pracujú. Počet incidentov s nelojálnymi zamestnancami je spravidla malý, ale môže sa zvýšiť v situácii nepriaznivých ekonomických podmienok a masívneho znižovania počtu zamestnancov.
• Zabudovaný, podplatený alebo zmanipulovaný zamestnanec.V tomto prípade rozprávame sa o akýchkoľvek účelových akciách spravidla za účelom priemyselnej špionáže vo vysoko konkurenčnom prostredí. Na zhromažďovanie dôverných informácií v konkurenčnej spoločnosti buď predstavia svoju osobu na špecifické účely, alebo nájdu zamestnanca, ktorý nie je najlojálnejší a podplatia ho, alebo je lojálny, ale nepozorný zamestnanec nútený preniesť dôverné informácie prostriedkami sociálneho inžinierstva. Počet incidentov tohto druhu je zvyčajne ešte nižší ako tie predchádzajúce, a to z toho dôvodu, že vo väčšine segmentov hospodárstva v Ruskej federácii nie je hospodárska súťaž príliš rozvinutá alebo sa realizuje iným spôsobom.
• Nečestný zamestnanec.Tento typ porušovateľa je lojálny, ale nepozorný alebo nedbalý zamestnanec, ktorý môže porušiť politiku vnútornej bezpečnosti podniku z dôvodu neznalosti alebo zabudnutia. Takýto zamestnanec môže omylom poslať e-mail s tajným súborom pripojeným nesprávnej osobe, alebo si cez víkend vziať domov do práce flash disk s dôvernými informáciami a stratiť ho. Rovnaký typ zahŕňa zamestnancov, ktorí stratia notebooky a magnetické pásky. Podľa mnohých odborníkov je tento typ insidera zodpovedný za väčšinu únikov dôverných informácií.

Motívy a následne aj postup potenciálnych porušovateľov sa teda môžu výrazne líšiť. V závislosti od toho by sa malo pristupovať k riešeniu problému zabezpečenia vnútornej bezpečnosti organizácie.

Insider Threat Defense Technologies

Napriek relatívnej mladosti tohto segmentu trhu si zákazníci už teraz majú z čoho vyberať v závislosti od svojich úloh a finančných možností. Treba si uvedomiť, že teraz na trhu prakticky neexistujú predajcovia, ktorí by sa špecializovali výlučne na interné hrozby. Táto situácia sa vyvinula nielen v dôsledku nezrelosti tohto segmentu, ale aj v dôsledku agresívnej a niekedy až chaotickej politiky M&A výrobcov tradičných ochranných prostriedkov a iných predajcov, ktorí majú záujem o zastúpenie v tomto segmente. Za pripomenutie stojí RSA Data Security, ktorá sa stala divíziou EMC v roku 2006, kúpu Decru spoločnosťou NetApp, startupu, ktorý vyvíjal serverové úložiská a systémy ochrany zálohovania, v roku 2005, kúpu dodávateľa DLP Vontu spoločnosťou Symantec v roku 2007 atď.

Napriek tomu, že veľké množstvo takýchto transakcií naznačuje dobré vyhliadky na rozvoj tohto segmentu, nie vždy prospievajú kvalite produktov, ktoré patria pod krídla veľkých korporácií. Produkty sa začínajú vyvíjať pomalšie a vývojári tak nereagujú na požiadavky trhu v porovnaní s vysoko špecializovanou spoločnosťou. Ide o známu chorobu veľkých spoločností, ktoré, ako viete, strácajú na mobilite a efektívnosti svojich menších bratov. Na druhej strane sa vďaka rozvoju ich servisnej a predajnej siete zlepšuje kvalita služieb a dostupnosť produktov pre zákazníkov v rôznych častiach sveta.

Zvážte hlavné technológie, ktoré sa v súčasnosti používajú na neutralizáciu vnútorných hrozieb, ich výhody a nevýhody.

Kontrola dokumentov

Technológia riadenia dokumentov je súčasťou moderných produktov správy práv, ako sú Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES a Oracle Information Rights Management.

Princípom fungovania týchto systémov je prideliť každému dokumentu pravidlá používania a kontrolovať tieto práva v aplikáciách, ktoré pracujú s dokumentmi tohto typu. Môžete napríklad vytvoriť dokument Microsoft Word a nastaviť preň pravidlá, kto si ho môže prezerať, kto môže upravovať a ukladať zmeny a kto ho môže tlačiť. Tieto pravidlá sa v podmienkach Windows RMS nazývajú licencia a sú uložené spolu so súborom. Obsah súboru je zašifrovaný, aby si ho nemohol pozrieť neoprávnený používateľ.

Ak sa teraz ktorýkoľvek používateľ pokúsi otvoriť takýto chránený súbor, aplikácia kontaktuje špeciálny RMS server, potvrdí oprávnenie používateľa a ak je povolený prístup tomuto používateľovi, server odovzdá aplikácii kľúč na dešifrovanie tohto súboru a informácie o práva tohto užívateľa. Na základe týchto informácií aplikácia sprístupňuje používateľovi len tie funkcie, na ktoré má práva. Ak napríklad používateľ nemá povolené vytlačiť súbor, funkcia tlače aplikácie nebude dostupná.

Ukazuje sa, že informácie v takomto súbore sú bezpečné aj v prípade, že sa súbor dostane mimo firemnú sieť – je zašifrovaný. Funkcie RMS sú už zabudované do aplikácií Microsoft Office Profesionálne vydanie z roku 2003. Na vloženie funkcií RMS do aplikácií tretích strán poskytuje spoločnosť Microsoft špeciálnu súpravu SDK.

Systém kontroly dokumentov Adobe je postavený podobným spôsobom, ale je zameraný na dokumenty PDF. Oracle IRM je nainštalovaný na klientskych počítačoch ako agent a integruje sa s aplikáciami za behu.

Kontrola dokumentov je dôležitou súčasťou celkovej koncepcie ochrany pred hrozbami zasvätených osôb, no treba brať do úvahy prirodzené obmedzenia tejto technológie. Po prvé, je určený výhradne na kontrolu súborov dokumentov. Pokiaľ ide o neštruktúrované súbory alebo databázy, táto technológia nefunguje. Po druhé, ak útočník pomocou SDK tohto systému vytvorí jednoduchú aplikáciu, ktorá bude komunikovať so serverom RMS, dostane odtiaľ šifrovací kľúč a uloží dokument ako čistý text a spustí túto aplikáciu v mene používateľa, ktorý má minimálna úroveň prístupu k dokumentu tento systém bude obídená. Okrem toho je potrebné vziať do úvahy ťažkosti pri implementácii systému kontroly dokumentov, ak organizácia už vytvorila veľa dokumentov - úloha počiatočnej klasifikácie dokumentov a prideľovania práv na ich používanie si môže vyžadovať značné úsilie.

Neznamená to, že systémy na kontrolu dokumentov túto úlohu neplnia, len treba pamätať na to, že ochrana informácií je komplexný problém a spravidla ho nie je možné riešiť iba jedným nástrojom.

Ochrana proti úniku

Pojem prevencia straty údajov (DLP) sa v lexike špecialistov na informačnú bezpečnosť objavil pomerne nedávno a už sa stihol stať bez preháňania najhorúcejšou témou posledných rokov. Skratka DLP spravidla označuje systémy, ktoré monitorujú možné únikové kanály a blokujú ich v prípade pokusu o zaslanie dôverných informácií cez tieto kanály. Okrem toho funkcie takýchto systémov často zahŕňajú schopnosť archivovať informácie, ktoré cez ne prechádzajú, pre následné audity, vyšetrovanie incidentov a spätnú analýzu potenciálnych rizík.

Existujú dva typy systémov DLP: sieťové DLP a hostiteľské DLP.

Sieťové DLP fungujú na princípe sieťovej brány, ktorá filtruje všetky dáta, ktoré ňou prechádzajú. Je zrejmé, že na základe úlohy boja proti interným hrozbám spočíva hlavný záujem takéhoto filtrovania v schopnosti kontrolovať dáta prenášané mimo podnikovej siete na internet. Sieťové DLP vám umožňuje kontrolovať odchádzajúcu poštu, prenos http a ftp, služby okamžitých správ atď. Ak sa zistia citlivé informácie, sieťové DLP môže zablokovať prenášaný súbor. Existujú aj možnosti manuálneho spracovania podozrivých súborov. Podozrivé súbory sú umiestnené do karantény, ktorú pravidelne kontroluje bezpečnostný dôstojník a buď povolí prenos súboru, alebo ho zakáže. Je pravda, že takéto spracovanie je vzhľadom na osobitosti protokolu možné iba pre e-mail. Pridané vlastnosti Audit and Incident Investigation poskytuje archiváciu všetkých informácií prechádzajúcich cez bránu za predpokladu, že tento archív je pravidelne kontrolovaný a jeho obsah analyzovaný s cieľom identifikovať úniky, ku ktorým došlo.

Jedným z hlavných problémov pri implementácii a implementácii systémov DLP je spôsob zisťovania dôverných informácií, teda moment rozhodovania, či sú prenášané informácie dôverné a dôvody, ktoré sa pri takomto rozhodovaní zohľadňujú. Spravidla sa to robí analýzou obsahu prenášaných dokumentov, nazývanou aj obsahová analýza. Pozrime sa na hlavné prístupy k zisťovaniu dôverných informácií.

• Tagy. Táto metóda je podobná vyššie uvedeným systémom kontroly dokumentov. Štítky sú vložené do dokumentov, ktoré popisujú stupeň dôvernosti informácií, čo možno s týmto dokumentom robiť a komu sa má poslať. Na základe výsledkov analýzy etikiet systém DLP rozhodne, či daný dokument možno poslať von alebo nie. Niektoré systémy DLP sú pôvodne kompatibilné so systémami správy práv, aby používali označenia, ktoré tieto systémy nastavujú, iné systémy používajú svoj vlastný formát štítkov.
• Podpisy. Táto metóda spočíva v špecifikovaní jednej alebo viacerých sekvencií znakov, ktorých prítomnosť v texte prenášaného súboru by mala systému DLP povedať, že tento súbor obsahuje dôverné informácie. Veľký počet podpisov je možné usporiadať do slovníkov.
• Bayesova metóda. Táto metóda, využívaná v boji proti spamu, sa dá úspešne aplikovať v systémoch DLP. Na použitie tejto metódy sa vytvorí zoznam kategórií a špecifikuje sa zoznam slov s pravdepodobnosťou, že ak sa slovo vyskytne v súbore, potom súbor patrí alebo nepatrí do zadanej kategórie s danou pravdepodobnosťou.
• Morfologická analýza.Metóda morfologickej analýzy je podobná metóde podpisu, rozdiel spočíva v tom, že sa neanalyzuje na 100% zhodu s podpisom, ale zohľadňujú sa aj slová s jedným koreňom.
• Digitálne výtlačky.Podstatou tejto metódy je, že pre všetky dôverné dokumenty sa vypočíta nejaká hašovacia funkcia tak, že ak sa dokument mierne zmení, hašovacia funkcia zostane rovnaká, prípadne sa aj mierne zmení. Proces odhaľovania dôverných dokumentov je teda značne zjednodušený. Napriek nadšenej chvále tejto technológie od mnohých dodávateľov a niektorých analytikov jej spoľahlivosť zostáva nedosiahnuteľná a vzhľadom na skutočnosť, že predajcovia pod rôznymi zámienkami uprednostňujú detaily implementácie algoritmu digitálnych odtlačkov prstov v tieni, jej dôveryhodnosť nezvyšuje.
• Regulárne výrazy.Regulárne výrazy, ktoré sú známe všetkým, ktorí sa zaoberali programovaním, uľahčujú vyhľadávanie údajov o vzoroch v texte, ako sú telefónne čísla, údaje o pasoch, čísla bankových účtov, čísla sociálneho poistenia atď.

Z vyššie uvedeného zoznamu je ľahké vidieť, že metódy detekcie buď nezaručujú 100% odhalenie dôverných informácií, pretože úroveň chýb prvého aj druhého druhu je v nich dosť vysoká, alebo si vyžadujú neustálu ostražitosť bezpečnostnej služby. aktualizovať a udržiavať aktuálny zoznam podpisov alebo úloh štítky pre dôverné dokumenty.

Okrem toho môže šifrovanie prevádzky spôsobiť určitý problém pri prevádzke sieťového DLP. Ak je z bezpečnostných dôvodov potrebné emailové správy šifrovať alebo použiť SSL protokol pri pripájaní k akýmkoľvek webovým zdrojom môže byť veľmi ťažké vyriešiť problém určenia prítomnosti dôverných informácií v prenášaných súboroch. Nezabudnite, že niektoré služby okamžitých správ, ako napríklad Skype, majú štandardne zabudované šifrovanie. Budete musieť odmietnuť používanie takýchto služieb alebo používať hostiteľské DLP na ich ovládanie.

Napriek všetkým ťažkostiam však správne nastavenie Ak sa berie vážne, sieťové DLP môžu výrazne znížiť riziko úniku dôverných informácií a poskytnúť organizácii pohodlný prostriedok vnútornej kontroly.

Hostiteľ DLP sú nainštalované na každom hostiteľovi v sieti (na klientskych pracovných staniciach av prípade potreby aj na serveroch) a možno ich použiť aj na riadenie internetovej prevádzky. Hostiteľské DLP sa však v tejto kapacite stali menej rozšírenými a v súčasnosti sa používajú najmä na ovládanie externých zariadení a tlačiarní. Ako viete, zamestnanec, ktorý si prinesie do práce z flash disku alebo z MP3 prehrávača, predstavuje oveľa väčšiu hrozbu pre informačnú bezpečnosť podniku ako všetci hackeri dohromady. Tieto systémy sa tiež nazývajú nástroje zabezpečenia koncových bodov, aj keď sa tento termín často používa širšie, napríklad sa to niekedy nazýva antivírusové nástroje.

Ako viete, problém používania externých zariadení sa dá vyriešiť bez použitia akýchkoľvek prostriedkov, zakázaním portov buď fyzicky, alebo pomocou operačného systému, alebo administratívne, zákazom nosenia akýchkoľvek médií zamestnancom do kancelárie. Vo väčšine prípadov je však „lacný a veselý“ prístup neprijateľný, keďže nie je zabezpečená náležitá flexibilita informačných služieb, ktorú si obchodné procesy vyžadujú.

Z tohto dôvodu vznikol určitý dopyt po špeciálnych nástrojoch, s ktorými môžete flexibilnejšie riešiť problém používania externých zariadení a tlačiarní zamestnancami spoločnosti. Takéto nástroje umožňujú konfigurovať prístupové práva pre používateľov k rôznym typom zariadení, napríklad pre jednu skupinu používateľov, zakázať prácu s médiami a povoliť tlačiarne a pre inú povoliť prácu s médiami v režime len na čítanie. Ak je potrebné zaznamenávať informácie o externých zariadeniach pre jednotlivých používateľov, je možné použiť technológiu tieňovej kópie, ktorá zaisťuje, že všetky informácie, ktoré sú uložené na externom zariadení, sa skopírujú na server. Skopírované informácie je možné následne analyzovať a analyzovať akcie používateľov. Táto technológia kopíruje všetko a v súčasnosti neexistujú žiadne systémy, ktoré umožňujú analýzu obsahu uložených súborov s cieľom zablokovať operáciu a zabrániť úniku, ako to robia sieťové DLP. Archív tieňovej kópie však poskytne vyšetrovanie incidentov a retrospektívnu analýzu udalostí v sieti a mať takýto archív znamená, že potenciálny insider môže byť chytený a potrestaný za svoje činy. Môže sa to pre neho ukázať ako významná prekážka a vážny dôvod na zanechanie nepriateľských akcií.

Za zmienku stojí aj kontrola používania tlačiarní – zdrojom úniku sa môžu stať aj papierové kópie dokumentov. Hostiteľ DLP vám umožňuje riadiť prístup používateľov k tlačiarňam rovnakým spôsobom ako k iným externým zariadeniam a ukladať kópie vytlačených dokumentov do grafický formát pre ďalšiu analýzu. Určitú distribúciu si navyše získala technológia vodoznakov (watermarks), ktorá implementuje tlač na každú stranu dokumentu unikátnym kódom, pomocou ktorého je možné presne určiť, kto, kedy a kde tento dokument vytlačil.

Napriek nepochybným výhodám hostiteľského DLP majú množstvo nevýhod spojených s potrebou inštalovať softvér agenta na každý počítač, ktorý sa má ovládať. Po prvé, môže to spôsobiť určité ťažkosti, pokiaľ ide o nasadenie a správu takýchto systémov. Po druhé, používateľ s oprávneniami správcu sa môže pokúsiť zakázať tento softvér, aby vykonal akcie, ktoré nie sú povolené bezpečnostnou politikou.

Pre spoľahlivé ovládanie externých zariadení je však hostiteľské DLP nevyhnutné a spomínané problémy nie sú neriešiteľné. Môžeme teda skonštatovať, že koncept DLP je dnes plnohodnotným nástrojom v arzenáli firemných bezpečnostných služieb pri neustále sa zvyšujúcom tlaku na ne zabezpečenie vnútornej kontroly a ochrany pred únikmi.

Koncepcia IPC

V procese vynájdenia nových prostriedkov na boj proti vnútorným hrozbám sa vedecké a inžinierske myslenie modernej spoločnosti nezastaví a vzhľadom na určité nedostatky prostriedkov diskutovaných vyššie sa trh systémov ochrany pred únikom informácií dostal ku konceptu IPC ( Ochrana a kontrola informácií). Tento výraz sa objavil relatívne nedávno, predpokladá sa, že bol prvýkrát použitý v recenzii analytickej spoločnosti IDC v roku 2007.

Podstatou tohto konceptu je spojenie metód DLP a šifrovania. V tomto koncepte DLP kontroluje informácie, ktoré opúšťajú podnikovú sieť prostredníctvom technických kanálov, a šifrovanie sa používa na ochranu dátových nosičov, ktoré sa fyzicky dostanú alebo môžu dostať do rúk neoprávnených osôb.

Zvážte najbežnejšie šifrovacie technológie, ktoré možno použiť v koncepte IPC.

• Šifrovanie magnetických pások.Napriek archaizmu tohto typu médií sa naďalej aktívne používa na zálohovanie a prenos veľkého množstva informácií, pretože v jednotkových nákladoch na uložený megabajt sa stále nevyrovná. Preto úniky stratených pások naďalej potešujú redaktorov správ na titulnej strane a frustrujú riaditeľov IT a podnikových bezpečnostných pracovníkov, ktorí sú predmetom takýchto správ. Situáciu zhoršuje skutočnosť, že takéto pásky obsahujú veľmi veľké množstvo údajov, a preto sa veľké množstvo ľudí môže stať obeťami podvodníkov.
• Šifrovanie serverových úložísk.Napriek tomu, že serverové úložisko sa prenáša veľmi zriedkavo a riziko jeho straty je neporovnateľne nižšie ako pri magnetickej páske, samostatný HDD skladovanie sa môže dostať do nesprávnych rúk. Oprava, likvidácia, modernizácia - tieto udalosti sa vyskytujú s dostatočnou pravidelnosťou na odpísanie tohto rizika. A situácia prieniku do kancelárie nepovolaných osôb nie je úplne nemožná udalosť.

Tu stojí za to urobiť malú odbočku a spomenúť bežnú mylnú predstavu, že ak je disk súčasťou poľa RAID, údajne sa nemusíte báť, že by sa dostal do neautorizovaných rúk. Mohlo by sa zdať, že prekladanie údajov zapísaných na viacero pevných diskov, ktoré vykonávajú radiče RAID, poskytuje údajom, ktoré sú na akomkoľvek pevnom disku, nečitateľný vzhľad. Žiaľ, nie je to celkom pravda. Prekladanie sa vykonáva, ale vo väčšine moderných zariadení sa vykonáva na úrovni 512-bajtového bloku. To znamená, že aj napriek porušeniu štruktúry a formátov súborov je možné z takéhoto pevného disku získať dôverné informácie. Preto, ak existuje požiadavka na zabezpečenie dôvernosti informácií, keď sú uložené v poli RAID, šifrovanie zostáva jedinou spoľahlivou možnosťou.

• Šifrovanie notebookov.Bolo to povedané už nespočetne veľakrát, ale stále je strata notebookov s dôvernými informáciami v prvej päťke hitparády incidentov už mnoho rokov.
• Šifrovanie vymeniteľných médií.V tomto prípade hovoríme o prenosných zariadeniach USB a niekedy aj o zapisovateľných diskoch CD a DVD, ak sa používajú v obchodných procesoch podniku. Takéto systémy, ako aj vyššie uvedené systémy šifrovania pevných diskov prenosných počítačov, môžu často fungovať ako súčasť hostiteľských systémov DLP. V tomto prípade sa hovorí o akomsi krypto-perimetri, ktorý zabezpečuje automatické transparentné šifrovanie médií vo vnútri a nemožnosť dešifrovať dáta mimo neho.

Šifrovanie teda môže výrazne zlepšiť možnosti systémov DLP a znížiť riziko úniku dôverných údajov. Napriek tomu, že koncept IPC sa formoval pomerne nedávno a výber integrovaných riešení IPC na trhu nie je príliš široký, priemysel túto oblasť aktívne rozvíja a je dosť možné, že po určitom čase sa tento koncept stane faktický štandard pre riešenie problémov vnútornej bezpečnosti a vnútornej kontroly.

závery

Ako je vidieť z túto recenziu Interné hrozby sú pomerne novou oblasťou informačnej bezpečnosti, ktorá sa však aktívne rozvíja a vyžaduje si zvýšenú pozornosť. Uvažované technológie kontroly dokumentov, DLP a IPC, umožňujú vybudovať pomerne spoľahlivý systém vnútornej kontroly a znížiť riziko úniku na prijateľnú úroveň. Táto oblasť informačnej bezpečnosti sa bude nepochybne naďalej rozvíjať, budú sa ponúkať novšie a pokročilejšie technológie, ale dnes si mnohé organizácie vyberajú jedno či druhé riešenie, pretože nedbanlivosť v otázkach informačnej bezpečnosti môže byť príliš drahá.

Alexej Raevskij
CEO spoločnosti SecurIT

Podobné príspevky

Ako zarobiť peniaze v kontakte

2022-06-18 03:02:26

Ikona slúchadiel po ich vypnutí nezmizne

2022-05-22 04:39:35

Zapnutie fitness náramku Xiaomi Mi Band a nastavenie Mi Fit Mi band 1s na beh

2022-05-22 04:39:35