Эволюция или революция?

Концепция управления жизненным циклом конфиденциальной информации как основа для защиты информации вне систем хранения данных

Владимир Ульянов, эксперт по информационной безопасности

Мы старую концепцию разрушим...

Проблема защиты информации в бизнесе возникла не сегодня и даже не вчера. Поэтому неудивительно, что различные производители программного обеспечения проблему эту решают, и решают достаточно успешно. Информационные системы корпоративного уровня – ERP, CRM, СУБД и другие – вполне надежно защищают данные, которые в них хранятся. Каждый из вендоров использует свои технологии, разграничение прав пользователей, контроль доступа, шифрование и др. Но если данные так хорошо защищены (и в доказательство у вендоров наверняка найдется пара-другая сертификатов уважаемых испытательных лабораторий), почему же они продолжают исправно утекать?

Оказывается, информация, казалось бы, надежно защищенная на этапе хранения, исключительно уязвима в момент обработки или перемещения. Стоит данные выгрузить из системы – не важно, ERP это или база данных, – она тут же подвергается большому числу рисков утечки. В данном контексте следует понимать, что даже отображение на мониторе пользователя можно считать выгрузкой данных. Исходя из этого, наиболее актуальной задачей, стоящей перед отраслью ИБ, необходимо признать защиту информации именно в момент ее обращения.

Кстати говоря, актуальность этой задачи тоже не нова. И первые попытки ее решения всем нам хорошо знакомы – это системы класса DLP. Наиболее прогрессивные DLP-вен-доры примерно так и позиционируют свои продукты – защита данных на этапе хранения, обработки и перемещения. Только эффективность большинства DLP, прямо скажем, оставляет желать лучшего. И вовсе не потому, что они обладают скудным функционалом или функционал этот плохо реализован. Просто в основе подавляющего большинства DLP лежит ошибочная концепция, которую можно сформулировать так: "Сейчас мы попробуем угадать, что за информация проходит через наш сенсор". Для этого вендоры пичкают IТ-инфраструктуру компаний огромным количеством датчиков, добавляют поддержку несметного числа протоколов и типов файлов. Только для того, чтобы:

• повысить шансы угадать, что за информация рискует утечь;
• повысить шансы поймать утекающую секретную информацию.

С выходом новых версий обычно шансы эти повышаются, но ведь и злоумышленники не те, что были раньше. Не раз приходилось наблюдать, что стоит из Word сделать pdf-файл или даже пересохранить документ типа doc как rtf, и документ уже можно копировать на USB-flash, отправлять по почте и т.д. Развивается и вся отрасль IТ. Появляется все больше приложений, протоколов. И кажется, что эта непрерывная и изначально бесперспективная гонка за прогрессом уже никогда не закончится.

...до основанья, а затем...

Итак, проблема ясна. Конфиденциальная информация утекает, а существующие средства неэффективны вследствие заложенной в них концепции. Очевидно, надо менять подход. Предлагаемый подход подразумевает уход от классического "канального" метода предотвращения утечек, когда решение разрабатывается для того, чтобы перекрыть почту, перекрыть аську, перекрыть "флешки", перекрыть http и т.д. Все равно ведь остается какой-то незакрытый канал, лазейка для инсайдера. Концепция управления жизненным циклом конфиденциальной информации (УЖЦ КИ), предложенная компанией Perimetrix, подразумевает, что информационный объект является приматом в системе безопасности.

Здесь необходимо сделать небольшое отступление и пояснить понятие информационного объекта. Сама по себе информация является абстрактным нематериальным объектом. Однако в области информационных технологий информация неотделима от ее физического носителя, ячейки оперативной памяти или сектора жесткого диска. Кроме того, информация обычно находится в каких-либо структурированных представлениях, например в электронных документах, базах данных и т.д. Говоря об информации, мы будем понимать именно информацию в некотором хранилище и использовать термин "контейнер информации". Угрозы утечки вследствие "запоминания" человеком какой-либо информации на данном этапе развития технологий практически не могут быть нивелированы техническими средствами. Наиболее эффективный способ борьбы с такого рода угрозами - административный. Необходимо проводить регулярные тренинги по вопросам ИБ и повышать лояльность персонала.

...мы новую концепцию предложим!

Лежащая в основе концепции идея о жизненном цикле информации рассматривает весь период обращения информации в корпоративной сети, начиная с момента ее появления извне или создания и до безвозвратного удаления. Управление же жизненным циклом информации предполагает контроль над информацией в момент ее копирования, передачи или перехода из одного представления (формата) в другое. Концепция предусматривает 7 основных этапов жизни информации (см. рисунок), на каждом из которых она подвергается рискам утечки.

Этап 1. Создание. На данном этапе происходит создание или получение КИ в корпоративной среде. Информация создается в каком-либо представлении, в виде документа, записи в БД и т.д. В отличие от большинства других этапов данная стадия не имеет временной продолжительности и происходит практически мгновенно. Вместе с тем уже на этапе создания должна быть заложена база для защиты данных в дальнейшем.

Для защиты информации на начальной стадии ее жизненного цикла существует два инструмента. Первый - административный инструмент декларирует создание только той информации, которая требуется для бизнес-процессов организации. Избыточное хранение КИ не только создает лишнюю нагрузку на IТ-инфра-структуру, но и приводит к росту вероятности утечки. Таким образом, каждый сотрудник компании должен создавать и работать только с той КИ, которая ему действительна необходима. Второй – технический инструмент защиты предполагает инкапсуляцию специальных маркеров или грифов конфиденциальности в контейнеры КИ. В том случае, если контейнер КИ создается на основе старого контейнера или некоторого шаблона, этот процесс может произойти уже на этапе создания. Если же контейнер создается "с чистого листа", то расстановка маркеров производится на этапе классификации.

Этап 2. Классификация. Классификация является неотъемлемым процессом защиты КИ. В идеале классификация должна являться непрерывным процессом. Однако с учетом ограниченности ресурсов классификация может проводиться на периодической основе. Классификацию данных необходимо рассматривать как комплексную деятельность, направленную не только на защиту КИ, но и на подготовку к следующему этапу их жизненного цикла – эффективному хранению. После проведения классификации становится ясно, что необходимо делать с КИ на следующих этапах жизненного цикла. Если классификацию не производить, защита информации в последующем будет чрезвычайно затруднена. Не будут определены места хранения КИ, невозможно будет отследить передачу, использование или изменение КИ. Факты утечки могут долгое время оставаться незамеченными.

Этап 3. Хранение. На этапе хранения КИ впервые возникают масштабные риски ее утечки. Угрозы утечки КИ могут быть реализованы по двум основным сценариям – путем внешнего вторжения и вследствие внутреннего инцидента. Именно поэтому защита КИ во время хранения должна обеспечиваться целым комплексом систем безопасности. В него попадают системы контроля доступа, обнаружения вторжений, криптографиче- ские комплексы, а также решения по защите от утечек и антивирусные продукты. Практически любая система безопасности так или иначе защищает информацию именно на этапе ее хранения. Задача защиты КИ на этапе хранения также указывает на важность процесса классификации – без него нельзя понять, как именно следует защищать информацию. В каком сегменте корпоративной сети информация должна храниться, кто должен иметь к ней доступ, требуется ли ее шифровать.

Этап 4. Пересылка. Следующая группа рисков возникает в процессе пересылки или передачи КИ. Традиционно этому этапу уделяется повышенное внимание, хотя реальные риски утечки относительно невысоки. Для защиты информации в процессе пересылки по электронным каналам существует достаточно много технологий, основанных на принципе создания защищенных соединений. Значительно меньше внимания уделяется другому аспекту передачи информации, а именно транспортировке КИ на физических мобильных носителях. Единственным надежным способом обеспечить безопасность транспортировки на мобильных носителях является шифрование.

Этап 5. Использование. С точки зрения внешнего злоумышленника, используемая КИ мало чем отличается от хранящейся. Поэтому на данном этапе жизненного цикла возникают лишь дополнительные внутренние риски, как то: инсайдерские и халатные, Web-утечки, а также саботаж (или искажение). То есть во время работы с КИ сотрудник может исказить сведения, скопировать в ненадлежащее место, опубликовать на общедоступном Web-ресурсе или переслать конкуренту. Подобные действия могут быть как спланированными, так и случайными. В любом случае происходит утечка КИ.

На сегодняшний день контроль данных во время использования является одной из основных проблем ИБ. Для контроля действий с КИ со стороны собственных сотрудников на рынке присутствуют продукты класса DLP, которые в общем случае проверяют трафик по различным электронным каналам. Некоторые продукты контролируют только сетевые каналы (электронная почта, HTTP, FTP, IM, P2P и др.), другие – только локальные (USB, CD/DVD и др.), третьи предлагают комплексную защиту.

Этап 6. Резервное копирование. Данный этап объединяет действия по регулярному резервному копированию контейнеров с КИ в течение предыдущих этапов жизненного цикла, а также архивирование уже неиспользуемой информации. На данном этапе сохраняются риски этапов хранения и транспортировки КИ. Тем не менее при тех же механизмах защиты риски утечки на этой стадии снижаются, поскольку ценность информации (в случае ее помещения в архив) падает, а физическое перемещение носителей происходит реже.

Более актуальна на данном этапе угроза избыточного хранения КИ. В случае когда ценность скомпрометированной архивной информации невелика, важен сам факт утечки, поскольку может пострадать репутация компании.

Этап 7. Удаление. Проблемы на этапе удаления возникают, когда КИ не удаляется своевременно, а большинство КИ хранится в архивах, пока не закончится место, повышая тем самым вероятность возможной утечки, либо не удаляется безвозвратно и может быть восстановлена. В связи с этим необходимо выработать процедуры своевременного удаления информации (например, по истечении установленного срока давности) с контролем выполнения операции удаления. Так же как конфиденциальные бумажные документы уничтожаются шредером, классифицированные файлы необходимо удалять специальными утилитами без возможности восстановления.

С чем остаться заказчику

Конечно, функционал систем, реализующих концепцию УЖЦ КИ, можно собрать, используя продукты различных классов, системы разграничения доступа, системы предотвращения утечек, антивирусы, пакеты для классификации данных и многие другие. Но какова будет эффективность всего этого "зоопарка" и сколько средств будет отнимать обычное операционное обслуживание объединенного комплекса программ? Как показывает практика, бреши исправно появляются на границах сочленения разнородных средств ИБ, а обслуживание их крайне затруднено. Поэтому для удовлетворения потребности бизнеса в безопасности рекомендуется применять комплексные решения, позволяющие управлять безопасностью, используя единую консоль.

Системы, в основе которых заложена концепция УЖЦ КИ, не являются отдельным компонентом системы ИБ на предприятии. Они представляют скорее надстройку над всеми корпоративными информационными системами, обеспечивающую безопасность обращения между всеми этими системами, без которых современный бизнес представить просто невозможно.