Контроль коммуникаций сегодня и завтра

Игорь Цеглевский, бизнес-аналитик центра информационной безопасности компании "Инфосистемы Джет"

Рост Интернета и социальных сетей

Интернет стал обыденным явлением, таким как, скажем, электричество и телевидение, стал средой. Благодаря Глобальной сети круг общения большинства людей не ограничен подъездом, домом, городом, даже страной и континентом. "Внутри" Интернета развиваются группы, сообщества, технологии. Появляются даже целые миры со своими уникальными культурами и экономиками.

Ярче всего рост виден по социальным сетям. Количество пользователей различных сетей растет лавинообразно: 30 млн аккаунтов в марте 2009 г. у сети vkontakte.ru (и это всего за 4 года существования), 400 млн – в феврале 2010 г. у сети Facebook. Исследования показывают рост бюджетов на продвижение в Сети, включая развитие маркетинга в социальных сетях и скрытого маркетинга.

Увеличение числа абонентов подобных сетей означает аналогичный лавинообразный рост коммуникаций их пользователей, а также изменение отношения к Web-общению. Пользователи теряют осторожность и проявляют необоснованно высокое доверие к членам своей группы. Создатели социальных сетей для повышения эффективности рекламы провоцируют людей сообщать о себе как можно больше информации.

Рост утечек

Увеличивающийся объем коммуникаций сопровождается ростом утечек.

Причин тут, на наш взгляд, несколько:

• во-первых, легкость передачи данных через Интернет. Очень удобно и быстро, надежно и повседневно. Человеческая "несдержанность в речах" теперь проявляется сильнее: легко не только сказать лишнее, но и отослать лишнее;
• во-вторых, средства контроля и безопасности во многих организациях проектировались по остаточному принципу, без системы, с отставанием от требований стремительно развивающейся IT-инфраструктуры;
• в-третьих, в организациях уделяется недостаточное внимание подготовке персонала в области безопасности информации. В частности, разъяснение сотрудникам ценности тех сведений, которыми они ежедневно обмениваются, и последствий утечки.

И наконец, растет ценность информации.

Решения DLP

Защита информации от утечек, как и вся информационная безопасность – это многоплановая деятельность. Она включает в себя правильную организацию бизнес-процессов, формирование должностных инструкций и регламентов, работу с персоналом, внедрение технических средств. Назначение последних – предоставить данные для анализа и обеспечить автоматическую защиту чувствительной информации там, где это возможно.

Наиболее известным классом подобных средств на сегодняшний день является DLP, Data Leak Prevention. Это устоявшийся термин, который принято переводить как "защита от утечек", хотя дословный перевод ближе к варианту "защита от потери данных". Исторически DLP-системы родились как объединение нескольких технологий в одном продукте и продолжают развиваться в этом направлении. Не существует общепринятого подхода, который позволит отличить DLP-решение от не-DLP. Скорее, первые похожи друг на друга стремлением решать большинство задач, связанных с обеспечением безопасности данных, в рамках одного продукта.

Современные DLP-решения проектируются для автоматического предотвращения утечек. В некоторых случаях наличие подобной системы жизненно необходимо или требуется регулятором. Но если внедрение такой системы неразумно – не хватает бюджета или штата специалистов, нет необходимости так сильно защищать данные, не позволяет структура бизнеса - имеет смысл использовать другие варианты и больше внимания уделять анализу коммуникаций.

Если служба безопасности выбирает путь наблюдения и анализа, в первую очередь в ее поле зрения попадают социальные сети, Web-почта и иные Web-службы для общения в кругу "по интересам".

И это логично, поскольку:

• они активно функционируют и вовлекают в участие все новых и новых людей;
• они создают иллюзию доверительности и защищенности в рамках одной группы общения, что увеличивает риск утечки;
• они кажутся не попадающими под контроль службы безопасности, поэтому с легкостью используются для передачи того, что "нельзя говорить при посторонних";
• доступ к ним может защищаться с помощью шифрования (SSL/TLS), что затрудняет контроль и представляет угрозу со стороны мошенников извне и злоумышленников изнутри.

Анализ коммуникаций через социальные сети способен обеспечить важный результат: определяется настроение в коллективе, выявляются неформальные лидеры, обнаруживаются микробизнесы за счет ресурсов компании, появляются новые данные об информационных потоках, связанных с основной деятельностью, и т.д. На базе анализа можно быстро принимать эффективные меры.

Тенденции

Наблюдение за рынком выявляет несколько ярких фактов.

Тенденция 1: за последний год изменился подход к выбору решений. Случился кризис и следующее за ним обострение конкуренции. Кризис заставил все без исключения организации пересматривать свои бюджеты. Рост конкуренции повысил значимость информационной безопасности среди всех внутренних задач компании. Основным критерием стала эффективность и отдача (ROI, Return of Investments). Выросла внутренняя борьба за бюджет. "Безопасникам" сложно стало "продавать" решения своему руководству.

Тенденция 2: теперь востребованы эффективные узкоспециализированные решения. Каждое позволяет качественно решать одну определенную задачу. Несколько - способны снизить до приемлемого уровня вероятность неблагоприятного инцидента.

Тенденция 3: при решении задач, связанных с безопасностью, приходится противостоять распределенным угрозам. Это и социальные сети с неопределенным кругом общения, и ботнеты, и фишинговые сайты, и множество других.

Поэтому современные решения используют непрерывно обновляемые данные, собранные из множества источников и обработанные живыми аналитиками. Это позволяет рассматривать поставляемое решение уже не только как программно-аппаратный комплекс, но и как услугу.

Наш прогноз:

Тенденция 4: внимание к безопасности информации станет нормой. Это приведет к появлению функциональности, присущей ранее DLP-систе-мам, в смежных продуктах. Средний бизнес сможет задать политику использования своих информационных ресурсов с помощью средств, уже встроенных в имеющиеся решения, например, почтовые сервера и системы хранения данных.

Тенденция 5: средства безопасности и методики контроля утечек будут "выходить" на работу с групповыми объектами -группами людей, совокупностями угроз, узловыми точками коммуникативных сетей. Основным объектом контроля станут не конкретные люди, а движение информации по различным каналам между группами пользователей. Средства описания групп, контроля каналов информации и анализа накопленных знаний будут активно конкурировать в самом ближайшем времени.

Специализированные решения

В случае, когда внедрение "большого" DLP нерентабельно, стоит присмотреться к небольшим специализированным решениям.

Мы выбрали три, каждое из которых является одним из лучших механизмов для решения своего класса задач. В совокупности они покрывают большую часть задач бизнеса, связанную с безопасностью.

Решение Cisco IronPort C служит для защиты электронной почты от спама. Уникальность этого решения в том, что оно способно отсеять 98% спа-ма при числе ложных срабатываний одно сообщение к миллиону, 95% спама блокируется на этапе подключения с использованием базы репутаций.

Спам является угрозой не только рабочему времени сотрудников, но и сохранности данных, так как используется с целью распространения вредоносного кода и привлечения внимания к различным ресурсам, созданным мошенниками. Поэтому его фильтрация важна не только для снижения нагрузки на сервера и сотрудников, но и для предотвращения утечки данных.

Решения Blue Coat ProxySG – это промышленные прокси, которые предназначены для оптимизации загрузки каналов и для контроля доступа к различным интернет-ресурсам.

Оптимизация каналов гарантирует работу бизнес-приложений независимо от остальной сетевой активности.

Гибкость ProxySG в настройках доступа и качество базы категорий позволяет:

• снизить утечки;
• блокировать доступ к опасным ресурсам;
• ограничить не связанную с работой деятельность сотрудников;
• защитить каналы передачи данных.

Решение "Дозор-Джет" позволяет качественно контролировать коммуникации пользователей (социальные сети, корпоративную почту, Web-почту, ICQ), не мешая их привычной деятельности на рабочем месте. Система из "ответвленного потока" извлекает и восстанавливает сообщения и всю связанную с ними информацию и затем в соответствии с настроенными политиками информирует службу безопасности об обнаруженных подозрительных сообщениях и помещает их в архив для дальнейшего анализа.

Извлечение и восстановление сообщений производится на основе регулярно обновляемой базы.

Идея работы данной системы была сформулирована одним из клиентов и многократно подтверждена другими заказчиками: важнее найти причину систематических утечек, чем предотвратить единичный инцидент. Этот тезис является предметом активной критики и темой многих споров. Действительно, это верно далеко не для каждого бизнеса.

Преимущество данного решения в том, что оно абсолютно безвредно для IТ-инфра-структуры, не требует увеличения штата отдела безопасности и при этом позволяет выявлять системные проблемы, приводящие к утечке.

Все названные решения:

• тесно интегрируются с антивирусами ведущих производителей;
• применимы для контроля коммуникаций, защищенных с помощью SSL/TLS;
• внедряются с минимальными изменениями в IТ-инфраструк-туре и могут быть легко продемонстрированы в рамках пилотного проекта.