ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




 Пресса о ЕПОС


Защита ресурсов Интернет и расследование инцидентов,
связанных с инсайдерскими атаками

Утечка информации из-за внутренних угроз является одной из самых серьезных проблем обеспечения безопасности информации. Источниками таких угроз являются недобросовестные сотрудники, имеющие доступ к конфиденциальной информации (инсайдеры). Утечка конфиденциальной информации может происходить как в результате преднамеренных действий, так и в результате халатности и неправильных действий сотрудников.
Данная статья описывает основные каналы утечек информации, затем переходит к методам физического и программного ограничения доступа и контроля за исходящими данными. В конце статьи подробно описан ряд программных  продуктов для этой сферы.
Предотвращение утечки коммерческих тайн, предотвращение использования ресурсов Интернета предприятия не по прямому назначению, предотвращение утери электронных сообщений, возможность анализа работы сотрудников, фиксации нарушений в работе и оценки эффективности их работы, обнаружение каналов утечки информации - все это может быть достигнуто с помощью DLP и Network Forensic систем.    

Утечка информации из-за внутренних угроз является одной из самых серьезных проблем обеспечения безопасности информации. Источниками таких угроз являются недобросовестные сотрудники, имеющие доступ к конфиденциальной информации (инсайдеры). Утечка конфиденциальной информации может происходить как в результате преднамеренных действий инсайдера-злоумышленника, так и в результате халатности и неправильных действий сотрудников, которые могут даже не иметь доступа к этой информации. По аналогии с внешними атаками из сети Интернет, утечки информации, вызванные действиями инсайдеров, получили название инсайдерских атак. Как отмечают многие исследовательские центры, инсайдерские атаки в настоящее время занимают одно из первых мест среди всех инцидентов, связанных с нарушением информационной безопасности, и приводят к значительным финансовым потерям. Так, по данным ежегодного исследования института Computer Security Institute (CSI) более 70% инсайдерских атак приводят к финансовым потерям, а для 30% опрошенных компаний финансовые потери от инсайдерских атак превышают 60% от общих потерь.  Опасность инсайдерских атак связана также с тем, что основное внимание в системе обеспечения информационной безопасности уделяется внешним угрозам и многие организации оказываются практически беззащитными перед внутренними урозами.
Можно выделить три основных способа утечки информации при внутренних атаках:
1.    Сетевой - передача информации через Интернет (электронная почта, системы быстрой передачи сообщений- ICQ, MSN, AOL, использование FTP-соединений и др.)
2.    Локальный - копирование информации на внешние носители (USB-накопители, внешние жесткие диски) или вывод информации на локальную печать и их вынос за пределы предприятия
3.    Незаконное завладение носителем - кража(утеря) носителей, компьютеров и мобильных устройств

Согласно аналитическому отчету российской компании Infowatch (рис.1) утечки информации через бумажные носители в основном связан со случайными утечками, информация на мобильных компьютерах за счет организационных мер и увеличения использования методов шифрования данных становится более защищенной от возможных утечек. Актуальным вопросом остается утечка информации через внешние носители. Эта проблема решается путем ограничения доступа пользователя к внешним портам на физическом или программном уровне.




Рис.1 Основные каналы утечки информации.

К системам физического ограничения доступа к внешним портам и жестким дискам рабочих станций относится способ построения защищенной локальной сети с выносными консолями на оптоэлектронных развязках производства компании ЕПОС (2). При таком способе носители информации (жесткие диски) рабочих станций и серверов,  физически недоступны для пользователей, а использование внешних портов для копирования информации на внешние носители и вывода документов на печать возможно только в присутствии системного администратора или офицера безопасности. Кроме борьбы с инсайдерами данный способ построения сети позволяет уменьшить риски утечки информации, связанные с такими внешними угрозами как кража компьютеров, серверов и носителей информации, поскольку все сервера и рабочие станции находятся в одном охраняемом помещении, а кража консолей (мониторов и клавиатур), находящихся на рабочих местах, не влечет за собой утечку информации.
К программным способам ограничения доступа к внешним портам и контроля за их использованием относятся такие известные средства как Pointsec Protector, DeviceLock, Zlock, Infowatch Device Monitor и другие. При соответствующей настройке этих программных продуктов обеспечивается контроль использования внешних портов, а  копирование информации из корпоративной сети, как правило, запрещается.
Интернет остается одним из наиболее опасных каналов утечки информации, широко используемый инсайдерами для несанкционированной передачи конфиденциальной информации или ведения вредоносной деятельности. Учитывая, что через Интернет происходит практически такое же количество непреднамеренных утечек информации, вызванные халатностью сотрудников, то защита ресурсов Интернет является одной из самых актуальных проблем обеспечения безопасности информации предприятия.
      Решение этой проблемы сводится к решению двух основных задач:
1.    Предотвращение (блокирование) передачи конфиденциальной информации через Интернет
2.    Расследованию инцидентов, связанных  с утечкой информации и неправомерным использованием ресурсов Интернет.

Для предотвращения утечки конфиденциальной информации через Интернет используются различные DLP (Data Leak Prevention) – системы. Эти системы строятся на основе анализа потоков данных, исходящих из корпоративной сети во внешнюю сеть. Средства  анализа в DLP-системах позволяют выявлять в общем потоке конфиденциальную информацию и при необходимости автоматически блокировать ее передачу.
DLP-системы используют два основных метода перехвата информации:
1.    метод «локального агента»  - при этом методе на все компьютеры пользователей корпоративной сети устанавливается специальное ПО (локальный агент), которое может отслеживать действия пользователя и при необходимости блокировать несанкционированные действия. Все действия пользователя при этом записываются и передаются администратору для дальнейшего анализа.
2.    метод «зеркалирования» - при этом методе специальное ПО устанавливается на отдельном компьютере, подключенного, как правило, к порту управляемого коммутатора, на который передается ( «зеркалируется» ) весь трафик со всех остальных его портов. При этом вся информация, передаваемая пользователем во внешнюю сеть (Интернет), записывается и хранится на выделенном ПК.

Достоинства DLP-систем, использующих метод «локального агента», например LanAgent, очевидны:
- возможность контроля не только исходящего трафика, передаваемого по сети, но и внешних портов при копировании, переносе информации или выводе на печать документов;
- возможен тотальный контроль за действиями пользователя, вплоть до перехвата  текущего изображения на экране монитора и перехвата набираемого на клавиатуре текста.
А вот недостатки не столь очевидны, тем более, что о них предпочитают не говорить:
- вероятность конфликта между «агентом» и антивирусным и другим подобным ПО (например antyspyware ), которое может воспринимать «агента» как вредоносное ПО
- возможность обнаружения и отключения «агента» более-менее подготовленным пользователем;
- невозможность отслеживания передачи информации с ПК при его несанкционированном подключении к локальной сети (на нем же «агента» нет!)
- ухудшение внутреннего трафика сети за счет передачи перехваченной информации с компьютеров пользователей на ПК администратора.

Вышеперечисленных недостатков лишены системы с методом «зеркалирования» (см. Таблицу №1 ).  Действительно:
1) при перехвате трафика методом зеркалирования принципиально не может возникнуть конфликтов с каким-либо ПО на пользовательских ПК.
2) Контролируется вся передаваемая информация на внешнюю сеть - как с легальных ПК, так и с несанкционированно подключенных ПК, так как ведется перехват всего трафика на границе локальной сети.
3) Не ухудшается внутренний трафик сети.


   DLP-системы с «агентом»

 DLP-системы с «зеркалированием»
 Контроль исходящего трафика Интернет  да  да

 Контроль внешних портов ПК пользователей  да  нет
 Возможность конфликтов с антивирусным ПО  да  нет
 Отслеживание трафика с несанкционированных ПК  нет  да
 Дополнительное увеличение внутреннего трафика  да  нет

Таблица №1

Надо отметить, что большинство DLP-систем, предназначенных для крупных предприятий используют комбинированный подход, что позволяет перекрыть максимальное количество каналов утечки информации.
Дополнительно в DLP-системах могут использоваться средства контентного анализа («Дозор-Джет», «InfoWatch Web Monitor», «Zgate» и др.), которые позволяют анализировать передаваемые данные на предмет содержания конфиденциальной информации (например, содержащих слово «секретно», конфиденциально», «тайна» и др.) и автоматически блокировать ее передачу. Как правило,  средства позволяют фильтровать сообщения, которые направляются на внешние адреса, не входящие в список корпоративных или разрешенных адресов. Однако средства контентного анализа  относительно сложны в настройке и не позволяют обнаруживать кодированные сообщения. Например, при замене «ключевых» слов, шифровании или маскировки сообщений методами стеганографии (3), средства контентного анализа становятся бессильными. Кроме того, современный уровень контентной фильтрации не позволяет избежать ошибок (пропуск или ложные срабатывания)  и по экспертным оценкам уровень точности таких систем не превышает 80-85%.

При расследовании инцидентов, связанных  с сетевыми утечками информации, используются  так называемые системы Network Forensic, система анализа которых по своей сути близка к DLP-системам.
Сам термин Network Forensic обозначает направление компьютерной криминалистики (Computer Forensic) , связанное с перехватом, записью и анализом событий в сети для обнаружения источника атак и других инцидентов (1).
Основными требованиями к Network Forensic системам являются:
- мониторинг, архивирование и документирование почтовых сообщений и использования ресурсов Интернет
- возможность перехвата максимально большого количества протоколов сообщений
- удобство поиска и анализа перехваченной информации
- обеспечение легитимности процедуры перехвата и доказуемости результатов анализа информации в суде.
Одним из известных мировых производителей систем Network Forensic является компания Decision Group (дистрибьютор на Украине – компания ЕПОС), которая предлагает широкий спектр программно-аппаратных средств, предназначенных для предотвращения утечки информации, расследовании компьютерных инцидентов, анализа и восстановлении утраченных данных. Линейка продуктов компании Decision Group включает в себя:

1. E-Detective - система мониторинга использования ресурсов Интернет пользователями локальной сети;
2. Wireless-Detective - система мониторинга использования ресурсов Интернет пользователями Wi-Fi сетей.
3. NIT (Network Investigation Toolkit) – мобильная Network Forensic лаборатория, включающая в себя не только системы E-Detective и Wireless-Detective, но и средства поиска и анализа перехваченной информации. 
3. E-Detective Decoding Centre (EDDC) - система централизованного анализа использования ресурсов Интернет в локальных сетях филиалов корпорации в режиме off-line;
4. VOIP-Detective – программа (для систем E-Detective, Wireless-Detective и EDDC) перехвата и восстановления голосового сигнала, переданного в режиме реального времени по сети интернет;
5. Watchguard.WLAN - система защиты Wi-Fi сетей от внешнего вторжения и предотвращения утечки информации;

Ключевым продуктом является программно-аппаратный комплекс E-Detective  и его аналог для Wi-Fi сетей – комплекс Wireless-Detective , предназначенный для предотвращения утечки информации и расследования компьютерных инцидентов путем непрерывного контроля за действиями пользователей, записи и анализа передаваемой и получаемой ими информации через следующие ресурсы Интернет:
- Электронная почта (в том числе Hotmail и Webmail)
- Интернет-чаты (ICQ, Skype, и т.п.) и сетевые игры
- WEB-сайты
- FTP, P2P  и др.
Комплекс представляет собой компьютер со специальным программным обеспечением, который имеет внутреннюю или внешнюю систему хранения данных. Наиболее распространенная схема подключения комплекса с использованием коммутатора с «зеркальным» портом (в коммутаторах Cisco такой порт называется SPAN- Switched Port Analyzer, а в коммутаторах 3COM называется RAP - Roving Analysis Port) используется для предприятий до 3000 пользователей (рис. 2).


Рис. 2  Рекомендованная схема подключения E-Detective с использованием коммутатора с «зеркальным» портом (до 3000 пользователей).

Для небольших предприятий можно использовать более экономичное мостовое подключение, без использования относительно дорогого коммутатора с зеркальным портом (рис.3). При этом центральный процессор в комплексе E-Detective не только обеспечивает перехват данных и их декодирование, но и передачу данных в Интернет, что, естественно, может снизить скорость передачи данных в Интернет при увеличении количества пользователей в сети. Поэтому такой метод подключения рекомендуется использовать только для небольших предприятий, имеющих до 50 пользователей. 


Рис. 3   Схема подключения E-Detective для небольших сетей (до 50 пользователей)

Самое экономичное решение используется для малых предприятий (до 10 пользователей)  или при необходимости обеспечить мониторинг только отдельной группы пользователей, при этом вместо коммутатора с зеркальным портом используется обычный концентратор (рис.4). 

 



Рис. 4   Схема подключения E-Detective для небольших рабочих групп (до 10 пользователей)

Полный цикл работы комплекса (рис. 5) включает в себя перехват пакетов данных методом сниффера (сетевого анализатора трафика), декодирования пакетов в реальном масштабе времени, восстановления перехваченных данных в исходный вид, сохранение и архивирование информации на внутренних или внешних системах хранения данных, отображения перехваченной информации и формирование аналитических отчетов.
  
 

Рис. 5  Полный цикл работы комплекса E-Detective

Ядром комплекса E-Detective является современная технология DPI (Deep Packet Inspection – «глубокое инспектирование пакета»), которая широко используется в системах обнаружения и предотвращения вторжения (IDS и IPS) . Использование этой технологии позволило обеспечить регистрацию и анализ передаваемой и получаемой пользователем информации при использовании  широкого спектра протоколов передачи данных ( более 140):
1. E-mail ( POP3, SMTP, IMAP) и Webmails (Yahoo Mail, Gmail, Windows Live Hotmail, Hinet, Hotmail Standard, PCHome, URL, Giga, Yam, Sina, Seednet и др.) – дата, время, размер, получатель и отправитель, содержимое почты и прикрепленных документов.
2. Instant Messenger ( ICQ, MSN, GTalk, AOL, QQ, Yahoo, UT chat room, Skype) - дата, время, содержание разговора, видео Web-камеры
3. FTP (File Transfer Protocol) - дата, время, IP клиента, пароль, IP сервера FTP, имя и содержимое файла.
4. P2P (Peer to Peer File Transfer) - дата, время, IP, порт, Peer порт, Peer IP, действия и др.
5. Telnet - дата, время, IP, пароль, IP сервера, содержимое файлов, видео
6. Игры on-line - дата, время, IP, IP игрового сервера, названия игр и др.
7. HTTP  - дата время, IP и URL links, просматриваемая пользователем web-страница, содержимое файлов и т.д.
8. Видео (Youtube, Metacafe, Google Video) и VoIP


Кроме того, к достоинствам  комплекса E-Detective следует отнести следующие функциональные особенности: 
1. Широкая линейка и масштабируемость – от систем, предназначенных для малого офиса (до 10 пользователей) до систем крупного предприятия (до 6000 пользователей!)
2. Возможность мониторинга использования ресурсов Интернет через  несанкционированные подключения к локальной сети
3. Контроль за действиями пользователей в Интернет без дополнительной загрузки локальной сети дополнительным трафиком за счет использования режима «зеркалирования»
4. Использование технологии мониторинга данных на уровне пакетов протокола TCP/IP исключает возможность конфликтов с антивирусным и другим подобным ПО ( firewall, antispyware и т.п.)
5. Широкие сервисные функции и возможности по:
- управлению и настройке системы (IP, домены, фильтры, протоколы, пароли, авторизация и т.п.)
- поиску данных (по ключевым словам, дате, IP, МАС  и др.)
- настройке системы тревог (по ключевым словам, расширениям файла, объему данных и др.)
- созданию аналитических и статистических отчетов

Система E-Detective благодаря своей функциональности нашла широкое применение в отделах безопасности предприятий, банков и государственных учреждениях различных стран Европы, Америки и Азии для поиска каналов утечки информации, предотвращения инсайдерских атак и расследовании различных нарушений и инцидентов при использовании ресурсов Интернет.  

Чеховский С.А.,
к.т.н.

Епос
Ул.Верхний Вал, 44
Киев 04071
тел. (044) 4625268
        (044) 4625446
www.epos.ua
e-mail: sch@epos.ua

Литература:
1.    Чеховский С.А. - Восстановление информации и расследование компьютерных инцидентов. – Бизнес и безопасность №2/2009
2.    Чеховский С.А. – Способ построения защищенной локальной сети для обработки конфиденциальной информации, основанный на модульном принципе. – Бизнес и безопасность №3/2008
3.    Чеховский С.А, Овсянников В.В. – Скрытая утечка информации. – Информационная безопасность офиса. Технические средства защиты информации.2003


Поделиться информацией