Обзор Защита информации и бизнеса от инсайдеров подготовлен

Алексей Задонский: Никакие технические средства не могут заменить продуманной организации работы и взаимодействия всех служб

На вопросы CNews отвечает Алексей Задонский, руководитель направления систем информационной безопасности CA, Россия и СНГ.

CNews: В России тема защиты от внутренних угроз в последние годы сверхпопулярна. Наблюдается  ли подобный ажиотаж, например, в США — или там этот период  уже пройден?

Алексей Задонский: Проблемы обеспечения внутренней безопасности актуальны для всего информационного сообщества. Достаточно вспомнить, хотя бы, некоторые факты 2005 года — например, секретная внутренняя информация ЦРУ появилась в открытом доступе в интернете. Или компания CardSystems Solutions, занимающейся обработкой транзакций по кредитным картам для многих карточных систем, допустила утечку 40 млн. номеров кредитных карт. База данных проводок Центрального банка России появилась на «черном» рынке Москвы.

Внутренние угрозы были и остаются весьма актуальными за рубежом, а Россия здесь, как и в большинстве информационных вопросов, во многом идёт по уже пройденной дороге.

Можно сказать, что большинство стандартов, касающихся информационной безопасности, явились своего рода ответом именно на эти проблемы. Достаточно посмотреть на историю возникновения большинства из них: HIPAA в области здравоохранения, SOX и Basel II для финансовых учреждений. С другой стороны, эти стандарты, к которым подтягивается и Россия (например, движение ЦБ в сторону Basel II), являются образцами наилучших практик построения корпоративных систем информационной безопасности в крупнейших зарубежных организациях, которые уже давно осознали необходимость и сложность обеспечения внутренней защиты.

CNews: С распространением портативных ПК и съемных носителей информации сформировался сегмент решений по их контролю, а постепенно и целый рынок решений по предотвращению внутренних угроз. Все это происходит на фоне унифицирования средств защиты, роста популярности различного рода UTM-решений. Чем, на ваш взгляд, закончится этот процесс?

Алексей Задонский: Следует разделять защиту периметра, внутреннюю сетевую защиту, защиту серверов и корпоративных приложений и контроль рабочих станций. И если мы говорим о портативных ПК, то следует рассматривать следующие аспекты. Портативность означает то, что пользователь может легко перемещать компьютер как внутри корпоративной сети, так и уносить его с собой за периметр безопасности. Находясь вне периметра безопасности, пользователь может как подключаться к другим сетям (например, свободный интернет, неконтролируемое использование email), так и пользоваться другими носителями информации (копирование на внешний USB-drive, DVD), что создаёт серьёзную угрозу безопасности как самого портативного компьютера, так и корпоративной сети, в которой этот пользователь работает.

Находясь вне периметра безопасности, многие пользователи желают использовать корпоративные ресурсы (например, корпоративную почту), удалённо подключившись к корпоративной сети через VPN. Опасность такого использования переносных компьютеров видна хотя бы по тому факту, что сейчас большинство взломов систем происходят не с помощью атаки на корпоративные серверные ресурсы, где защита обычно лучше, а на персональные компьютеры, пользуясь недостаточной грамотностью рядовых пользователей и слабой защитой персональной информации.

И здесь, как и в других аспектах информационной безопасности, получается палка о двух концах. С одной стороны, растёт количество новых информационных сервисов и возможностей, которыми удобно пользоваться, а с другой, каждый новый сервис, каждый новый протокол и программа обнажают новые проблемы безопасности, создают новые бреши, которыми приходиться заниматься.

Если говорить о средствах адекватной защиты, то, в соответствии с угрозами, следует выбирать и подходящие решения. Во-первых, рядовой пользователь не должен иметь административные права на компьютере, включающемся в корпоративную сеть. Вся административная работа на рабочих станциях (инсталляция ПО и т.д.) должна выполняться централизованно и подконтрольно. И здесь хорошим решением является Unicenter Desktop Management Suite от CA. Рабочий компьютер, каким бы мобильным он не был, является рабочим инструментом работника, а не его личной игрушкой, и отношение к нему должно быть адекватным бизнес задачам организации.

Во-вторых, использование внешних устройств и средств коммуникации рабочих станций также должно быть подконтрольно, вплоть до того, чтобы централизованно собирать и анализировать всю информацию, которую пользователи пишут на внешние устройства или копируют с них. Эта система должна быть достаточно гибкой, чтобы всё-таки позволять использовать эти устройства и возможности компьютеров по назначению. Например, при запрете чтения DVD/CD ROM дисков, позволять загружать определённые диски для выполнения административных работ. Или позволять синхронизировать записную книжку своего мобильного телефона при запрете «сторонних контактов».

И такие системы корпоративного контроля внешних устройств уже есть.

В-третьих, конечно, антивирусная зашита и защита от шпионского ПО корпоративного уровня, с тем, чтобы пользователь не мог её отключить (даже если очень хочется). Политики и настройки клиентских рабочих мест должны диктоваться административно. Также, все события антивирусной защиты обязаны корпоративно собираться для централизованного анализа и принятия адекватных контрмер.

Для наибольшей гарантии полной антивирусной защиты стоит организовать взаимодействие телекоммуникационных ресурсов и антивирусной защиты таким образом, чтобы до подключения пользователя к корпоративным ресурсам проверять наличие и функциональность индивидуальной антивирусной защиты.
Такие продвинутые технологии уже используются наиболее требовательными клиентами.

Защита периметра и общесетевая защита также должны иметь комплексный характер. Хорошими решениями здесь являются UTM-системы, позволяющие из единой точки управлять, например, сетевой антивирусной защитой. Это необходимо как на границе периметра от нежелательного проникновения вирусов, так и в случае неконтролируемой атаки изнутри (в случае, если в вышеописанных мерах обнаружилась брешь). Кроме того, управлять контролем доступа в интернет сотрудников. Большая часть заражений происходит во время неконтролируемого брождения по интернету. Кстати, такие средства защиты позволяют эффективно бороться против фишинга (подложные адреса). А также управлять защитой от активного кода (ActiveX, Java), защитой от прямых атак, защитой email-потока, включая корпоративную защиту от спама и контролем содержимого, как входящего, так и исходящего из организации.

CA в качестве такого решения предлагает eTrust Secure Content Management. Кроме того, общесетевая защита должна включать анализ аномалий в трафике внутрикорпоративной сети, поиск и расследование инцидентов. И здесь CA предлагает решения eTrust Intrusion Detection и eTrust Network Forensics.

Суммируя всё вышесказанное, следует отметить, что сложность и многогранность угроз требуют соответствующих комплексных многосторонних подходов. И такие решения на рынке уже есть. Нужно только грамотно продумать систему информационной безопасности и применить эти средства.

CNews: Одни компании акцентируют внимание на проблеме внутренних угроз, апеллируя к отчетам ФБР, в которых проблема инсайдеров стоит на первых позициях. Другие придерживаются комплексного подхода и не склонны как-то особо выделять именно внутренние угрозы. Какая позиция ближе вам?

Алексей Задонский: CA поддерживается комплексного подхода к построению систем информационной безопасности. Но конкретное решение данного вопроса зависит от ситуации у клиента. Например, если корпоративная сеть полностью отделена от интернета, и у пользователей даже нет доступа к электронной почте, выходящей наружу периметра, то и нет необходимости в построении защиты периметра от интернета.

Комплексный и последовательный подход к построению информационной безопасности предполагает решение задачи по шагам. Сначала решаются обще информационные вопросы, для того, чтобы понимать - «чем мы владеем». Т.е. знать полностью весь компьютерный парк, включая программное и аппаратное обеспечение, рабочие станции и сетевое оборудование, знать взаимосвязи (что и куда подключено), уметь централизованно и гибко управлять оборудованием и программным обеспечением, уметь мониторить процессы, происходящие в компьютерном парке и сетевой инфраструктуре.

Только после решения общеинформационных вопросов можно приступать к вопросам защиты, поскольку без устойчивого фундамента трудно построить устойчивое здание. Системы защиты должны встраиваться в единую информационную систему, поскольку, с одной стороны, информационная безопасность не самоцель построения информационных систем, и должна функционировать в максимально прозрачном режиме. А с другой стороны, без связи с общими системами администрирования, безопасность превратится в головную боль (например, неудачно, если система обеспечения доступа не связана с корпоративным репозитарием пользователей). Поэтому вторым шагом в построении систем ИБ становится единое административное пространство, позволяющее гибко и безопасно управлять корпоративными ресурсами. Например, внедрение систем типа Identity and Access Management (где, согласно отчёту IDC, CA уже шестой год удерживает лидирующие позиции), позволяет выстроить единую систему управления идентификацией и доступом использующую весь набор ресурсов организации и обеспечивающую базис для безопасной и управляемой работы прикладных корпоративных систем.

Третьим и важнейшим шагом для крупных систем является организация бесперебойного и комплексного подхода к системам мониторинга и управления информационной безопасностью, при которой все события ИБ протоколируются независимо от места их возникновения, организованна централизованная обработка этих событий с возможностями корреляции, агрегации, поисками первопричины, а также организована взаимосвязь событий ИБ с остальными информационными ресурсами. Например, возникновение проблемы в ИБ в одном из звеньев, для решения которой необходимо привлечение администраторов, может приводить к автоматической генерации запроса в систему технического обслуживания (например, Unicenter Service Desk). Или проблема в одном из звеньев системы безопасности (например, появление незарегистрированного DHCP или PROXY сервера внутри организации или вирусной атаки) может приводить к автоматическим адекватным мерам (например, переводу этого компьютера в карантинный VLAN или изменение ACL на устройстве доступа). И здесь отличным инструментом, который предлагает CA, является eTrust Security Command Center, позволяющий организовать корпоративный центр информационной безопасности.

CNews: Из вашего опыта, какие угрозы наиболее актуальны для современных компаний? Какое место вы отвели бы среди них внутренним угрозам?

Алексей Задонский: Из наиболее актуальных следует отметить следующие. Во-первых, вирусное заражение, здесь следует учесть тот факт, что в последнее время чисто деструктивые действия из желания навредить или прославиться отошли на второй план. Сейчас все стремятся тем или иным способом зарабатывать деньги. Поэтому наибольшее распространение получили троянские программы, кейлоггеры, сетевые черви и фишинг, которые позволяют воровать личные и корпоративные данные или использовать компьютер пользователя в качестве зомби для проведения других атак или коммерческой рассылки спама.

Во-вторых, злоумышленные действия администраторов, которые зачастую чувствуют себя богами, использующими неограниченные права и полномочия в корпоративной сети. И как следствие, возможны непредумышленные или предумышленные их деструктивные действия. Обиженный или уволенный администратор может натворить тысячекратно больше, чем внешние хакеры, поскольку администратор не только имеет права, но и отлично знает всю взаимосвязь корпоративных ресурсов. Решения типа eTrust Access Control позволяют на уровне доступа к ресурсам операционных систем распределять права суперпользователей, получая класс защиты B1 (Mandatory Access Control).

В-третьих, действия инсайдеров. Многие аспекты того, что нужно сделать для безопасной работы в корпоративной сети уже были отмечены. Важным является обеспечение безопасности работы пользователей с корпоративными бизнес-приложениями. И здесь тоже есть несколько аспектов. Например, контроль доступа пользователей к приложениям. Это и корпоративная система аутентификации и доступа, и контроль запуска приложений на самих рабочих станциях. Затем, контроль работы пользователей внутри самих приложений. Обычно, это даётся на откуп разработчикам программного обеспечения, но в случае, например, web-приложений, желательно иметь отдельный уровень администрирования и безопасности (например, eTrust SiteMinder), снимающий с разработчиков головную боль по непосредственному встраиванию подсистемы доступа в свои приложения. К этом случае, кто и куда имеет доступ (на какие страницы, какие ресурсы), будет решать уже сама система управления безопасностью. И, наконец, аудит действий пользователей внутри приложений. Т.е. прикладное ПО должно писать подробный бизнес-журнал действий пользователей, который будет попадать в центр сбора, анализа и обработки (типа, eTrust Security Command Center). И этот дамоклов меч неотвратимости наказания будет хорошим сдерживающим фактором, обеспечивающим лояльность пользователей.

CNews: Если говорить только о внутренних угрозах, то какие элементы должна содержать защита, чтобы риск их реализации был минимален?

Алексей Задонский: Из необходимых элементов построения корпоративных систем информационной безопасности следует отметить следующие. Для начала - грамотная организация внутренних информационных процессов. Все стандарты в области построения ИТ и ИБ основаны именно на управлении процессами (ITIL, Cobit, ISO 27001 и др.). Никакие самые хорошие технические средства не могут заменить продуманной организации работы и взаимодействия всех служб. Кроме того, централизованная полная инвентаризация и управления компьютерами (включая как программное, так и аппаратное обеспечение) и сетевыми ресурсами, антивирусная зашита и защита от шпионского ПО корпоративного уровня, комплексная защита периметра, централизованная многофакторная система идентификации и доступа, включающая и распределения прав суперпользователей и централизованная система управления событиями информационной безопасности.

CNews: Одной из функций вашего решения eTrust Secure Content Manager  является предотвращение утечки конфиденциальной информации. Как реализована эта защита?

Алексей Задонский: eTrust Secure Content Manager — это программное обеспечение, предназначенное для работы в качестве корпоративного прикладного шлюза работы с ннтернетом. Он обеспечивает единую точку управления и безопасностью периметра. Коротко его свойства. Контроль доступа сотрудников в интернет (http, ftp, email)  представляет собой как возможность централизованного управления того, что и к каким ресурсам имеет доступ, так и защиту от фишинга, прямой перекачки файлов и т.д. Сетевая антивирусная защита обеспечивает защиту не только электронной почты, но и любой передачи информации через шлюз (перекачка по ftp). Кроме того, защита от активного кода (ActiveX, Java) и атак, корпоративный гибкий фильтр спама на входе, что существенно экономит трафик и рабочее время сотрудников.

Контролируется содержимое файлов, как входящих, так и исходящих из организации.

CNews: Какие технологии в сфере защиты информации будут наиболее актуальны в ближайшие годы?

Алексей Задонский: Думаю, актуальными будут все вышеописанные технологии. И даже появятся новые. Здесь правильней говорить, скорее, не о самих технологиях, а о тенденциях их развития. Возможно более полное объединение схожих технологий в одном решении. Например, UTC — как средство защиты периметра. Второй пример — решения аутентификации и обеспечения доступа в одном интерфейсе (Identity & Access Management). Комплексный подход к ИБ требует более тесного взаимодействия разных технологий. Например, антивирусная проверка персонального компьютера до того, как он будет включён к корпоративную сеть. Второй пример — объединение управление систем обеспечения корпоративного доступа с полным контролем рабочих станций на основе ролей пользователей.

При централизации всех ресурсов управления безопасностью рабочие станции и активное сетевое оборудование должны рассматриваться как рабочие инструменты бизнеса. И управление ими должно быть адекватным. Пользователь с мобильным устройством, даже выйдя за пределы периметра безопасности, рассматривается как часть корпоративных ресурсов и должен иметь вполне очерченные администратором безопасности возможности использования этого устройства. И здесь, помимо дальнейшего развития ПО, интересны решения по выводу безопасности компьютеров на аппаратный уровень.

CNews: Спасибо.