Файл: Программные комплексы анализа каналов утечки информации.pdf
Добавлен: 29.03.2023
Просмотров: 133
Скачиваний: 1
СОДЕРЖАНИЕ
Обеспечение доступа к конфиденциальной информации
1.1 Обзор и анализ основных причин утечки конфиденциальной информации
2. Системы анализа и предотвращения утечки конфиденциальных данных
2.1. Системы защиты от утечки конфиденциальных данных (DLP)
2.2. Анализ передаваемой информации
2.3. Критерии оценки DLP – систем
ВВЕДЕНИЕ
В условиях рынка и конкуренции возникают проблемы, связанные с обеспечением безопасности не только физических и юридических лиц, их имущественной собственности, но и информации, имеющей коммерческое значение, других сведений, в частности о результаты интеллектуальной деятельности: секреты производства, служебные секреты и другие.
Информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это самый ценный и ходовой объект в международных экономических отношениях.
На международном уровне сформировалась система взглядов на информацию как на ценный ресурс жизнеобеспечения общества, который имеет социальное значение.
Информация, несомненно, является одним из самых ценных и одновременно уязвимых активов любой компании. Чем меньше людей имеет к ней доступ, тем большей ценностью обладает информация. В попытке обеспечить надлежащую защиту данных от любых угроз компаниям следует принимать все необходимые меры, которые позволят обеспечить их целостность и секретность. Одна из ключевых целей в связи с этим - предотвращения несанкционированного доступа и незаконном разглашения информации нынешними или бывшими сотрудниками.
Целью данной работы является обзор и анализ программных комплексов для анализа и защиты каналов утечки информации.
Для достижения поставленной задачи в работе необходимо решить следующие задачи:
- Проанализировать причины утечки конфиденциальной информации;
- Выполнить описание DLP-систем;
- Провести анализ существующих программных комплексов защиты от утечки данных.
Обеспечение доступа к конфиденциальной информации
1.1 Обзор и анализ основных причин утечки конфиденциальной информации
2016 год принес настоящий шквал инцидентов, связанных с конфиденциальной информацией, информационной безопасностью: от массового фишинга с использованием налоговой информации, брешей в WordPress, компрометации корпоративной электронной почты и DDoS-атак к подозрениям во «взломе» президентских выборов. При этом нет оснований считать, что в 2018-м ситуация улучшится - все может стать только хуже с учетом того, что злоумышленники продолжают развивать навыки социальной инженерии, находят новые способы подсовывать вредный продукт, взламывать уязвимые базы данных и с помощью мобильных технологий проникать в корпоративные сети и аккаунты частных лиц[1].
По словам Дениса Макрушина, эксперта антивирусной компании «Лаборатории Касперского», количество направленных на бизнес атак программ-вымогателей и их отдельного вида – шифровальщиков - стремительно растет. Причем риску подвергаются практически все отрасли: образование, СМИ, финансы, шоу-бизнес, государственный сектор, производство, транспорт. особенно хотелось бы выделить здравоохранение - в 2016 году больницы стали популярной целью: например, медицинский центр в Голливуде заплатил 17000 долларов за разблокировку компьютеров; были атакованы несколько больниц в Германии и Великобритании.
Всего же с января по конец сентября 2016 количество атак на компании увеличилась в три раза: если в января 2016 года атаки делались в среднем каждые две минуты, то в сентябре 2016 года - уже каждые 40 секунд. В январе 2017 были сломаны серверы Министерства иностранных дел Королевства Таиланд, а также ряда других правительственных организаций, включая Министерство информации и коммуникационных технологий, Департамент налогов и сборов, Административный суд, Королевский флот и другие департаменты правительства Таиланда.
В результате утечки данных в сеть попала конфиденциальная информация о нескольких тысячах государственных служащих и соискателей работы, включая номера телефонов и банковских счетов, электронную почту и зашифрованные пароли. По данным издания Heakread.com, опубликованные в Интернете данные составляют всего 1% от общего количества украденных файлов[2]. В результате тайская армия планирует привлечь на службу «белых хакеров ». Кибервоины оказывать помощь правительства в борьбе с киберпреступностью и помогут улучшить систему безопасности государственных серверов, которая подверглась дискредитации многократными хакерскими атаками. Ежегодно «Лаборатория Касперского »проводит исследования, в ходе которого компании рассказывают что случилось с ними и о своих планах по информационной безопасности. Данные этого исследования свидетельствуют: от шифровальщиков страдают российские компании. При этом 15% организаций так и не смогли восстановить доступ к ценной информации.
Примечательно, что каждая пятая компания крупного бизнеса предпочла заплатить киберпреступникам выкуп, несмотря на то, что это не гарантировало возврат файлов[3].
Диана Соловьева, руководитель группы поддержки систем информационной безопасности компании ICL Services, считает, что для оперативного выявления атак нужны компетентные человеческие ресурсы.
Бизнесу необходимо больше инвестировать не в новые продукты, а в развитие компетенций сотрудников, которые смогут превращать эти многомиллионные «Модные игрушки» на инструменты, реально работают[4].
«У специалистов отрасли информационной безопасности гуляет такая шутка: все компании делятся на два типа: те, которые уже знают, что их взломали, и те, которых тоже сломали, но они об этом еще не в курсе». Раннее выявление, а тем более предотвращения инцидентов – это одна из актуальных и крайне тяжелых задач. Ее решение возможна при помощи поведенческого анализа Больших Данных, что представляется наиболее перспективным направлением, поскольку подобный функционал помогает выявлять аномалии, которые могут свидетельствовать о тех или иных ИБ-инцидентах.
В подтверждение вышесказанного можно привести пример ИБ-инцидента, который произошел в начале 2017 г .: утечка третьей серии четвертого сезона сериала «Шерлок» (Sherlock), который нелегально появился в Интернете 14 января 2017 - за день до премьерного показа на телеканале BBC .
Как объясняет аналитический центр InfoWatch, число утечек информации растет во всем мире: за первые шесть месяцев 2018 года этот рост составил 16%[5], а в тройке лидеров по количеству утечек данных - США, Россия и Великобритания. В двух третях всех случаев утечки данных происходил по вине внутренних нарушителей.
Среди популярных телесериалов на Западе известны случаи утечек спойлеров и сценария к сериалу «Игра престолов» (Game of Thrones), а также фрагментов сериала «Ходячие мертвецы» (The Walking Dead).
Полуторачасовая серия «Шерлока» высокого качества не могла быть передана, например, по электронной почте из-за большого размера файла, но легко могла быть загружена на съемный носитель или загружена в облако, повлекшее утечку в силу даже непреднамеренных действий нарушителя.
Это подтверждает статистика аналитического центра InfoWatch: за последние три года доля утечек в результате случайных действий сотрудников организаций увеличилась на 34% до 79,7%.
На утечку данных через сетевой канал, включая отправление через браузер, приходится более половины всех случаев, растет доля утечек на съемных носителях.
С точки зрения вреда такая утечка могла сказаться на рейтинге показа серии, ведь часть зрителей уже видели ее в Интернете, а также привести к финансовым потерям и убыткам в аспекте имиджевой составляющей.
Сейчас большинство иностранных компаний выдвигают крайне жесткие требования по соблюдению соглашений о конфиденциальности, особенно если дело касается передачи исключительных прав на результаты интеллектуальной деятельности. Штрафы оговариваются заранее и могут доходить до сотен тысяч долларов. Подписывая такие соглашения, отечественные компании не могут не задумываться об обеспечении конфиденциальности полученных сведений.
Специфика обеспечения информационной безопасности в медиабизнесе такова, что в компаниях этой сферы, как правило, работают творческие люди, в немалом количестве используются мультимедийные данные больших размеров, а также тиражируются типовые ИТ-системы. Стандартные технологии защиты, которые исторически применялись в медийном бизнесе, такие как использование «Слепого дубляжа», ограничения на доступ актеров озвучки ко всему материала, очередность предоставление серий правообладателем, так же как и традиционные методы охраны, сегодня уже не обеспечивают необходимой защищенности и технологии информационной безопасности могли бы в этом помочь.
Прошедший 2017 год стал поучительным для бизнеса в контексте информационной безопасности. Выражение «лучше один раз увидеть, чем сто раз услышать» — как раз о нем. Столкнувшись с вирусами-шифровальщиками, компании прочувствовали на себе важность элементарных правил ИБ-защиты. Отсутствие актуальных обновлений и привычка жить с уязвимостями привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, школы, энергетические, телекоммуникационные компании; только лишь одна компания Maersk потеряла 300 млн долларов. На фоне информационного цунами, вызванного вирусами-вымогателями, некоторые важные события остались за пределами массового внимания.
Злоумышленники начали перехватывать коды для двухфакторной аутентификации с помощью уязвимостей сигнального протокола SS7. Первыми пострадали абоненты O2-Telefónica. Киберпреступники стали подключаться к локальной сети банка и удаленно контролировать множество ATM, у банков появился серьезный повод для беспокойства. Весной 2017 года эксперты «Лаборатории Касперского» обнаружили сотни компьютеров в крупных компаниях, которые «майнили» криптовалюту для неизвестных взломщиков. Майнер использовал ту же уязвимость, что и WannaCry, и защищал от шифровальщика захваченные ПК. Не успел стихнуть шум вокруг безопасности IoT из-за ботнетов и DDoS-атак, как с помощью незащищенных «умных» кофемашин стали останавливать нефтехимические заводы, а смарт-аквариумы использовать для атак на казино. К концу года биткойн опередил по капитализации российский рубль, и хакеры сконцентрировали свое внимание на блокчейн-стартапах. Самая простая схема атаки стала наиболее популярной — найти уязвимости на сайте ICO и подменить адрес кошелька для сбора инвестиций. Израильский CoinDash таким образом лишился 7,5 млн $.
2017 год позволил выявить три основных тренда в области подходов к атакам на организации, которые будут весьма актуальны и в ближайший год. Всплеск популярности деструктивных массовых атак, когда злоумышленники нацелены на как можно более масштабный охват и причинение ущерба. Как это было, например, в случае с NotPetya, WannaCry (или другими шифровальщиками), которые прокатились по миру в этом году. Иногда логика работы вредоносного ПО даже не подразумевала возможность расшифровывания данных, а используемые методы распространения были настолько эффективными, что позволили заражению в считанные часы распространиться по всей планете. Если в 2015–2016 годах подобных атак практически не было (исключением являлись, пожалуй, лишь атаки на IoT, например создание ботнета Mirai и DDoS-атаки, проводимые с его помощью), то в 2017 году, по экспертной оценке Positive Technologies, каждая 10-я организация столкнулась с вирусами-шифровальщиками. Использование инфраструктуры сторонних организаций для организации атак. Применявшийся ранее метод отправки писем с простой подменой адреса отправителя стал встречаться реже: большая часть фишинговых писем теперь блокируется спам-фильтрами на почтовых серверах. Поэтому злоумышленники изменили тактику и активно атакуют поставщиков и контрагентов компаний, для того чтобы использовать их инфраструктуру и учетные записи реальных сотрудников для развития атак. Подобная тактика уже использовалась злоумышленниками, например когда через инфраструктуру компании M.E.Doc нарушители распространили вирус NotPetya, который заблокировал рабочие станции во многих крупных организациях. Кроме того, подобный подход довольно часто использует группировка Cobalt, которая специализируется на атаках на финансовый сектор, производя взлом контрагентов банков, а уже потом от их имени осуществляя атаки на сами банки. Схожая ситуация сложилась и в истории c заражением вирусом BadRabbit, когда злоумышленники предварительно были нацелены на инфраструктуру легитимных новостных ресурсов, с которых далее происходила «раздача» вредоносного ПО. В среднем каждая вторая успешная атака на организацию, которую расследовал экспертный центр безопасности компании Positive Technologies в течение 2017 года, была проведена через скомпрометированный «ранее надежный» источник.
Можно доверять собственному персоналу, но контроль рабочей деятельности сотрудников должен осуществляться на уровне, адекватном рискам нарушения информационной безопасности, которые достаточно высоки. Минимально необходимые действия для защиты содержат введение систем мониторинга информационных потоков и предотвращения утечек данных. Это суровая рекомендация международных стандартов и лучших практик в сфере обеспечение информационной безопасности[6].
Утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, которые говорят о том, что безвредных утечек данных не бывает – любая из них несет в себе вред для бизнеса, если не сейчас, то в будущем. Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня.
Бывает, что проходит несколько месяцев или даже несколько лет, прежде чем информация сделает свое черное дело, попав, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные.
Информация, не предназначенная для публики, должна оставаться закрытой. А это значит, что ее следует защитить от возможных утечек.
В общем все каналы утечки можно разделить на две группы. К первой относятся злонамеренные похищения информации, к ним можно отнести все инсайдерские риски, то есть когда человек, группа людей или даже сами сотрудники компании пытаются похитить конфиденциальную информацию, преследуя при этом свои корыстные цели. Вторая группа - это утечка через неосторожность или ошибку со стороны сотрудников.
Как показывает практика, именно второй вариант чаще всего встречается. Конечно же, это ни в коем случае не говорит о том, что об угрозе инсайдеров или шпионаж конкурентов можно забыть.
За последние несколько лет сформировались несколько основных причин потери данных. Поэтому защита от утечки информации фокусируется в основном на них, не забывая при этом о других приемах хищения данных [6].
1. Потеря незащищенных носителей, то есть дисков, флешек, карт памяти, ноутбуков и тому подобное.
2. Случайные заражения программами-шпионами во время некорректного обращения с Интернетом, выхода без наличия защищенного доступа или подключения устройств, которые были ранее заражены.
3. Возникновение технических ошибок при работы с секретными и конфиденциальными данными, в случае их публикации в Интернете и тому подобное.