ИТ-портал компании «Инфосистемы Джет»

Как обеспечить защиту от внутренних нарушителей

Как обеспечить защиту от внутренних нарушителей

Большинство утечек информации происходит изнутри компании. Поэтому основной акцент при построении защиты стоит делать на защите от инсайдеров (по статистике, 90 процентов нарушителей – внутренние пользователи). Есть несколько подходов к защите от внутренних утечек. Одним из таких подходов является сбор событий из различных источников, таких как операционные системы, приложения, сетевые устройства. Когда события собраны, происходит их анализ и выявление инцидентов на основании собранной информации. При таком подходе угрозы выявляются после анализа собранных событий при помощи различных корреляций и отчетов. В результате можно достоверно сделать вывод о произошедшей утечке информации и идентифицировать нарушителя. Недостаток такого метода в том, что об инциденте служба безопасности узнает уже после того, как произошла утечка информации.

Есть и другой подход: производится полный анализ на уязвимости информационных систем, проводится сканирование, определяются недостающие «заплатки» программного обеспечения и обеспечивается поддержание в актуальном состоянии всех программных и аппаратных компонент информационных систем. В этой области безусловным лидером является продукт MaxPatrol отечественного разработчика компании Positive Technologies. Продукт известен широкому кругу заказчиков по своему «младшему брату» – решению XSpider.

Также на отечественном рынке доступна услуга сканирования информационных ресурсов на уязвимостями, которую предоставляет компания Qualys. Такой подход интересен тем, что защищается не сама информация непосредственно, а системы, ее обрабатывающие за счет выявления и устранения уязвимостей. Чем более защищена система, тем меньше вероятность совершения успешной атаки на нее.

Обеспечить защиту от внутренних нарушителей можно также путем задания необходимой политики безопасности и распределения доступа к информационным системам. Этот подход реализуют системы класса IDM. Робот централизованно раздает права и полномочия пользователям, тем самым исключая возможность внесения некорректных или избыточных прав доступа, а также осуществляется мониторинг тех прав доступа, которые пользователь имеет на данный момент. Всегда есть возможность сравнить текущие права с эталоном, которых записывается и хранится в базе системы IDM. Недостаток такого подхода в том, что правила и политики для определения и выделения прав доступа задаются изначально человеком. Если на этапе внедрения политики были определены и заданы некорректно, то система IDM будет выдавать пользователям неверные роли и права, даже не подозревая об этом.

Не менее интересной является защита непосредственно пользовательских рабочих станций, когда агенты устанавливаются на рабочие места пользователей. Примером продуктов, реализующих этот функционал, может быть Spectr360 или Insider. По заданной политике безопасности агенты отслеживают действия пользователей и в случае, если эти действия противоречат заданной политике, их действия блокируются. По такому же принципу работают продукты DLP, которые построены на агентской технологии. Так как практически все пользователи работают на рабочих станциях, подход достаточно эффективен, но, правда, для компаний небольшого размера. При количестве рабочих станций в несколько сотен, а тем более тысяч, становится затруднительно эксплуатировать такое количество агентов.

Также нельзя не отметить подход, прикотором защищается ядро хранения информации – базы данных. Такие продукты как Guardium и Imperva ведут мониторинг http и sql трафика, контролируя доступ пользователей непосредственно к базам данных, их таблицам и различным критичным объектам серверов СУБД. Преимущества в том, что обычно наиболее критичные данные хранятся в корпоративных базах данных и злоумышленник будет пойман при попытке получить к ним доступ. Но есть у этого метода и минус -за пределами баз данных или приложений, информация не контролируется.

В любом случае, нельзя выбрать один из предложенных подходов и слепо внедрять продукты, реализовывать принципы защиты, заложенные только в одном из них.Центр оперативного управления ИБ предоставляет отличную платформу для интеграции различных методов защиты информации и продуктов в единую консоль мониторинга и управления информационной безопасностью на всем предприятии. Только при таком комплексном подходе можно говорить о достойном уровне ИБ в вашей компании.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su