В наши дни главными угрoзами инфoрмациoннoй безoпаcнocти любoй кoмпании являютcя не хакеры, вируcы и т.п., кoтoрые бoлее-менее уcпешнo нейтрализуютcя cпециализирoванным coфтoм и coтрудниками IT-oтделoв, а инcайдеры и халатнocть. К первым мoжно отнеcти недоброcовеcтных или имеющих контакты c криминальным миром cотрудников, обиженных на руководcтво или cознательно работающих на компании – конкуренты. На cовеcти инсайдеров большинство громких краж данных, зафиксированных по всему миру в последние годы. Потеря конфиденциальных данных из-за халатности – это, чаще всего, невнимательность или незнание сотрудниками политики безопасности предприятия.
Пути утечки конфиденциальных данных из организации могут быть самыми разнообразными. Например, ценная информация может быть отослана по электронной почте, отправлена посредством клиентов для мгновенного обмена, размещена на форумах, блогах, передана по социальным сетям сообщениями (ICQ, MSN Messenger, QIP, Jabber), распечатана на принтере. Голосовые или текстовые сообщения, отправленные через Skype, также могут содержать важную корпоративную информацию. Ценные данные могут быть переписаны на съемный носитель (USB-флешку или CD/DVD диски).
Для предотвращения утечек информации, руководство компаний нередко запрещает сотрудникам использовать удобные и популярные каналы ее передачи и общения с внешним миром. Например, для безопасности разрешено использовать только корпоративную электронную почту, а такие средства как ICQ, Skype запрещены, несмотря на то, что они во многих случаях могли бы существенно увеличить эффективность работы.
Современная система информационной безопасности должна позволять сотруднику использовать все каналы для передачи информации, однако перехватывать и анализировать информационные потоки, идущие по этим каналам, т.е. быть комплексной.
Это очень актуально в свете повсеместной информатизации бизнеса и быстрого накопления больших объемов электронных документов. Критичной становится функция поиска данных, которые, как свидетельствует практика, зачастую на 90% состоят из «информационного мусора».
«Контур информационной безопасности SearchInform» – это решение по контролю над информационными потоками предприятия на всех уровнях – от компьютера каждого отдельного пользователя до серверов локальной сети; контролируются также все данные, уходящие в Интернет.
Контур имеет модульную структуру, т.е. заказчик может по своему выбору установить только часть компонентов.
Модули контура
SearchInform NetworkSniffer позволяет осуществлять перехват информации, передаваемую пользователем через интернет, при этом поддерживаются все распространенные протоколы, которые могут использоваться инсайдерами.
Электронная почта (e-mail) – один из наиболее опасных каналов утечек, т.к. поддерживается пересылка больших объемов данных; поддерживаются протоколы SMTP, POP3, MAPI, IMAP.
HTTP – возможны утечки информации в социальные сети, блоги, на форумы, а также через Web-приложения для отправки электронной почты и SMS, web-чаты.
Skype – «Контур информационной безопасности SearchInform» является первым решением в области информационной безопасности, обеспечившим перехват как голосовых, так и текстовых сообщений, передаваемых через Skype.
Службы мгновенного обмена сообщениями (IM) – поддерживаются протоколы ICQ, MSN, Mail.ru Агент, JABBER, активно используемые офисными работниками.
PrintSniffer – программа, которая контролирует содержимое документов, отправленных на печать; все данные перехватываются, содержимое файлов индексируется и хранится в базе заданный промежуток времени; отслеживая документы, напечатанные на принтере, можно не только предотвращать попытки хищения информации, но также оценить целесообразность использования принтера каждым сотрудником и избежать перерасхода бумаги и тонера.
DeviceSniffer – программа, с помощью которой можно перехватывать файлы, записываемые пользователем на внешние носители (флэшки, компакт-диски, внешние винчестеры); с помощью этой программы вы можете избежать утечки больших объемов данных, которые инсайдер переписывает на внешние носители из-за невозможности их передачи по Интернету.
Сервер индексации рабочих станций позволяет в режиме реального времени отслеживать появление конфиденциальной информации на компьютерах пользователей, общедоступных сетевых ресурсах и в других местах, для этого не предназначенных.
Центр управления всеми индексами, созданными компонентами «Контура информационной безопасности SearchInform» – DataCenter – позволяет разбивать индексы на части для увеличения производительности и задавать правила создания новых индексов за определенный интервал времени для простоты отслеживания данных за необходимые периоды времени. Также DataCenter следит за состоянием работы всех компонентов контура и отсылает уведомления о неисправностях.
AlertCenter – «мозговой центр» всей системы безопасности; головное приложение, которое опрашивает все модули-перехват и, при наличии в перехваченной информации определенных ключевых слов, фраз или фрагментов текста, немедленно оповещает ответственных за информационную безопасность лиц.
Приложение включает в себя консоль сервера и клиент AlertCenter, что позволяет разграничить доступ к оповещениям и настройкам между ответственными за информационную безопасность сотрудниками.
«Контур информационной безопасности» реализует следующие типы поиска.
Поиск по словам с учетом морфологии, который позволяет находить документы, содержащие заданные слова и различные их формы.
При помощи поиска по фразам с учетом порядка слов и расстояния между ними, документ анализируется не по отдельным словам, а по словосочетаниям (например, фамилии и имени) или устоявшимся определениям и исключает вариант, при котором пользователь получает документ со словами из запроса, разбросанными по всему тексту.
Поиск документов, похожих по содержанию. Интеллектуальные возможности этого типа поиска позволяют отслеживать отсылку конфиденциальных документов даже в том случае, если они были предварительно отредактированы. В качестве поискового запроса используются как фрагменты документов, так и документы целиком. Результатом поиска являются документы либо содержащие поисковый запрос целиком, либо похожие на него по смыслу.
Поиск по регулярным выражениям позволяет отследить последовательности символов, характерные для различных форм персональных данных: содержащихся в финансовых документах, структурированных записях в базах данных и т.п.
С его помощью система оперативно отреагирует на попытку отправки записи с такими персональными данными, как фамилия человека, дата его рождения, номера кредитных карт, телефоны и т.д.
Поиск по цифровым отпечаткам предполагает определение группы конфиденциальных документов и снятие с них цифровых отпечатков, по которым в дальнейшем и будет осуществляться поиск. С помощью данного метода можно быстро выявлять в информационных потоках документы, содержащие большие фрагменты текста из документов, относящихся к конфиденциальным.
Отдельно стоит задача поиска разговоров в ICQ или Skype на определенную тематику.
Для решения этой задачи недостаточно просто подобрать ключевые слова, необходимо также учитывать все возможные их варианты (синонимы). Причем синонимы не в обычном их понимании, а именно пользовательские синонимы.
Современная система безопасности должна позволять сотруднику использовать все каналы для передачи информации, однако перехватывать и анализировать информационные потоки, идущие по этим каналам. В SearchInform «Контур информационной безопасности» реализованы все необходимые функции информационного контроля. Данная система подходит для крупных и стратегически важных предприятий, она отвечает всем современным требованиям и способна адекватно отвечать на любые угрозы информбезопасности.
Ирина Шульга
