DLP в компании: испугаются ли инсайдеры?

Чем ближе информация к реальным деньгам, тем больше желающих заполучить ее, а, следовательно, - растет искушение слить эти сведения за хорошую цену. В роли торговцев ценной информацией выступают инсайдеры - сотрудники организаций, имеющие доступ к конфиденциальной информации, представляющей интерес для конкурентов. Воспользовавшись своими правами и возможностями, они крадут данные и продают их конкурентам.

Подобные инциденты могут нанести серьезный вред компании, выражающийся в финансовых потерях и утечке интеллектуальной собственности. Другая отличительная черта инсайдерской атаки заключается в том, что ее тяжело зафиксировать и локализировать. Как правило, без применения специальных средств защиты практически невозможно определить, произошла ли утечка - это выясняется слишком поздно, когда попадет к конкурентам. Кроме того, непонятно, кто нарушил закон и "слил" данные.

Не исключен и факт случайной утечки. Например, сотрудник отправлял электронное письмо с важными конфиденциальными данными своему коллеге, но во время ввода адреса по невнимательности ошибся. В итоге письмо получит совершенно не тот, кому оно предназначалось. Таким образом произойдет утечка информации. Отправитель не имел корыстных намерений, это не являлось для него средством наживы, но в итоге может привести к серьезным последствиям. Практика показывает, что большая часть утечек происходит непреднамеренно.

Что может DLP

С самого начала развития информационных систем необходимость защиты от внутренних угроз была очевидна. Но в виду того, что внешние угрозы считались более существенными, им уделялось больше внимания. Однако в последнее время в поле зрения попали и внутренние.

Для защиты информации от утечек, как умышленных, так и случайных, специально разработаны DLP-системы. Они основаны на анализе потока данных, выходящего за периметр организации. Обнаружив потенциальную угрозу, система блокирует поток, тем самым не "выпуская" ценные данные наружу.

Рост количества утечек с помощью инсайдеров, 2007-2010

KPMG International, 2010

На сегодняшний день рынок изобилует различными средствами защиты как от именитых ИБ-представителей сферы ИБ, так и от новых игроков. В основе всех DLP-систем лежат единые методы: анализ формальных признаков - специальных меток, гифов, сравнение хэш-функции. Второй метод - анализ контента исходящего потока данных. Разница между продуктами заключается лишь в способах реализации этих методов и скорости их выполнения. Неизменна также и цель производителей - все они стараются взять под контроль максимально возможное число каналов утечки.

На сегодняшний день к DLP относят средства по разграничению доступа к портам-ввода вывода, некоторое ПО для шифрования, а также решения, позволяющие контролировать перемещение информации посредством клиентов мгновенных сообщений, электронной почты, и веб-форумов.

Что прячет рынок

Чувствительность к инсайдерским атакам и их число не одинаковы в различных сферах рынка. Это логично, так как в одних сферах информация и деньги неразлучны, а в других - слабо взаимодействуют между собой. Опираясь на статистику The Open Security Foundation, консолидирующих с 2002 года данные по инцидентам утечки конфиденциальной информации, можно построить следующую статистику. Самый большой процент утечки данных (49%) - из коммерческих компаний. На втором месте система образования - 20%. В статистику также попали государственные учреждения и сфера медицинских услуг. Доля утечек в этих секторах составила 17% и 14% соответственно. В статистику вошли как предумышленные, так и случайные инциденты.

Нужно также отметить, что общее число инцидентов за последние 3 года выросло в 4 раза.

За период с 2007 по 2010 год количество утечек увеличилось с 5% до 20% от общего числа всех атак за данный период. Данные приведенной статистики получены с официального сайта Data Loss Barometer, принадлежащего агентству KPMG International.

На сегодняшний день трудно сказать, сколько средств потеряно в следствие инсайдерских атак. Можно лишь отметить, что случаи есть, и таких инцидентов довольно много.

Что есть на самом деле

Разумеется, в виду того, что огласка случаев утечек вредит имиджу компании, все случаи тщательно скрываются. Но некоторые из них все-таки просачиваются в СМИ или разглашаются в официальных отчетах. Многие компаний ведут статистику по инцидентам утечки данных, подобную базу можно найти на сайте The Open Security Foundation. Только за февраль 2011 года The OSF было зафиксировано 9 инцидентов.

Например, в университете Чапмена в Калифорнии была раскрыта персональная информация 13000 студентов. Это были номера социальных страховок, персональные номера студентов и информация по материальной помощи. Пресс-секретарь университета Чапмена Мерри Платт сообщила, что утечку обнаружили сами студенты 15 февраля 2011 года. По ее словам, студент узнал ценную информацию и сразу же сообщил об этом администрации, после чего началось немедленное, тщательное расследование. Было выяснено, что в результате инцидента документы были помещены в незащищенную папку, но ее содержимое было просмотрено лишь раз - студентом, который сообщил о происшествии. Университет в свою очередь предоставил студентам всю необходимую информацию, позволяющую им сохранить свои персональные данные в будущем. По заявлению Мерри Платт, это первое происшествие, в результате которого произошла подобная массовая утечка информации в университете Чапмена или его подразделениях.

Статистику также ведут и российские компании. Так, одна из утечек, зафиксированная Infowatch, произошла в конце 2010 года, жертвой стал автогигант - Ford. Уроженец Китая, Сян Дун Юй, 49 лет, проработавший в Ford 10 лет (с 1997 по 2007), признан виновным в совершении кражи технического задания для новых моделей автомобилей, разработка которого стоит миллионы долларов. Накануне увольнения Юй скопировал около 4000 файлов на внешний жесткий диск, включая секретные разработки компании. Помимо всего прочего, были украдены документы на разработку трансмиссии, электрических систем распределения, электропитания, электрических подсистем и дизайн кузова автомобиля. Мошенник был арестован в 2009 году, в то время он работал в Пекинской компании. В ходе судебной экспертизы было подтверждено наличие на рабочем компьютере Юй 41 документа, принадлежавшего компании Ford.

Другой случай был зарегистрирован аналитическим центром InfoWatch 5 января этого года. В результате инцидента компания Mozilla, известная всему миру по приложениям Firefox и Thunderbird, упустила базу данных, содержащую имена 44 000 пользователей и хэши паролей пользователей сервиса addons.mozilla.org . В целях конфиденциальности все пароли, как активных так и заблокированных аккаунтов были аннулированы. Утечка не нанесла серьезного вреда компании, а новые пароли начали шифроваться по новому алгоритму SHA-512 с добавлением случайных символов (salt) перед хэшированием.

Это только те случаи, которые были опубликованы в отчетах. Не стоит забывать про то, что в реальности их гораздо больше.

Что даст DLP?

Помогут ли избавиться от инсайдеров системы DLP? Эффективность защиты прокомментировал Александр Мормуш, заместитель руководителя отдела защиты от утечек информации, компании LETA: "Мне бы хотелось ответить ёмко и кратко, например, "на 32 процента", но, к сожалению, это невозможно, т.к. подобной статистики нет - впрочем, как не существует и статистики выявления злоумышленников в компаниях, где системы DLP не внедрены. Несмотря на это, надо понимать следующее: большая часть утечки конфиденциальной информации происходит из-за человеческого фактора. По статистике, которую можно собрать на основании публикаций в СМИ или в специализированных базах вроде "datalossdb.org", более 70% известных инцидентов совершаются непредумышленно. Комплексные системы DLP могут блокировать до 100% подобных "случайных" утечек, и некоторый процент пренамеренных. Много это или мало - каждая компания должна решить для себя сама. Человеческий фактор и умышленные инсайдерские активности будут всегда."

Подводя итог, стоит отметить, что утечки конфиденциальной информации с каждым годом происходят все чаще. К сожалению, ввиду отсутствия статистики до внедрения DLP и недостаточности данных - после, насколько эффективны DLP, точно сказать нельзя. Можно лишь судить о том, что система полностью защитит от непредумышленной утечки информации и затруднит ее слив для инсайдеров. К сожалению 100% гарантии не даст ни одно ИБ-решение.

 


Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=11307