Алексей Николаев, специалист по защите информации ОАО "Концерн Вега"
Инсайдер – лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании, а также лицо, добывающее конфиденциальную информацию о деятельности компании и использующее ее в целях личного обогащения.
В сфере информационных технологий компании сталкиваются с рядом проблем безопасности. Одной из таких проблем является возможность попадания конфиденциальной информации в локальные вычислительные сети (ЛВС) компаний, предполагающие доступ к ресурсам сети Интернет, что приводит к появлению рисков, связанных с возможностью утечки этой информации.
Уровень материального ущерба компаний (как потенциально возможного, так и фактического ущерба) от скрытой утечки информации весьма высок. Он также приводит и к ущербу репутации пострадавших компаний. По мнению специалистов, утрата 20% информации, являющейся конфиденциальной, в 60 случаях из 100 приводит к банкротству компании. Притом многие исследовательские компании отмечают – более 80% всех инцидентов, связанных с нарушением информационной безопасности, вызваны внутренними угрозами. Источниками таких угроз, повлекших за собой нарушение конфиденциальности информации, являются инсайдеры.
Результаты исследований Результаты анализа инцидентов за 9-й месяц 2008 г., представленные компанией InfoWatch, показали, что утечки с использованием сетей, в том числе Интернета, составили 41% от всех умышленных инцидентов (табл. 1). Преднамеренные причины утечки составили 36,9% за тот же месяц, и это при том, что 13,3% утечек по своему статусу не определены (табл. 2).
Такая статистика говорит о том, что существует весьма актуальная проблема скрытой передачи конфиденциальной информации по сети.
Основные каналы утечки конфиденциальной информации Опыт показывает, что скрытую передачу информации обнаружить сложней. Как правило, канал утечки информации путем ее скрытой передачи обнаруживается только после его длительной эксплуатации инсайдером. Таким образом, наиболее опасной угрозой можно считать скрытую утечку конфиденциальной информации, которая может быть весьма продолжительной.
В случае когда объединение компьютеров в ЛВС предполагает подключение этой сети к внешним сетям, возникает ряд возможностей образования скрытых каналов утечки конфиденциальной информации.
Основные каналы утечки конфиденциальной информации, характерные для таких сетей:
- несанкционированное копирование конфиденциальной информации на внешние носители, ее вынос за пределы контролируемой зоны;
- вывод на печать конфиденциальной информации и ее вынос на распечатанных документах за пределы контролируемой зоны;
- несанкционированная передача конфиденциальной информации по сети во внешние сети за пределы контролируемой зоны;
- хищение носителей конфиденциальной информации.
Способы скрытой передачи информации Борьба с намеренными утечками – задача весьма сложная. Эффективность такой борьбы в основном заведомо ниже, чем борьбы со случайными утечками, в силу того что предстоит противодействовать злонамеренным ухищрениям инсайдеров, на вооружении которых имеется ряд интересных возможностей скрытой передачи, а также программных и даже аппаратных средств ее реализации.
Все большую опасность приобретают следующие способы скрытой передачи информации:
- возможность скрытого канала утечки информации возникает при использовании инсайдерами анонимных https- и других защищенных проксисерверов: туннелирование, которое позволяет злоумышленнику, используя разрешенный протокол, передавать по нему конфиденциальную информацию, минуя межсетевой экран;
- стеганографические способы сокрытия информации в различных файлах путем камуфлирования;
- шифрование инсайдером конфиденциальной информации перед ее отправкой;
- использование инсайдером вредоносных программ для реализации скрытой передачи информации.
Варианты закрытия каналов утечки информации - изолирование ЛВС для работы с конфиденциальной информацией;
- использование системы удаленного и локального мониторинга рабочих станций пользователей;
- использование средств криптографической и антивирусной защиты информации;
- применение средств контентного анализа передаваемых данных как во внешнюю сеть, так и из внешней сети в ЛВС компании;
- применение средств контроля доступа к внешним носителям.
Решения проблемы Можно воспользоваться возможностью детектировать наличие в общем потоке данных зашифрованности и стеганографической закамуфлированности конфиденциальной информации для того, чтобы обнаружить скрытые каналы утечки информации и перекрыть их на основе полученных результатов. Однако существует проблема выбора оптимального уровня производительности компьютера при реализации такого контроля и анализа в режиме реального времени – нужна большая производительность анализаторов трафика. Суть в том, что такие алгоритмы могут значительно задерживать передачу информации, что очень негативно сказывается на бизнесе компании. На все 100% контролировать внешнюю сеть весьма затруднительно. А на локальном уровне такой глубокий контроль приводит к ряду неудобств, связанных с необходимостью использования скрытых видеокамер, кейлоггеров, удаленного мониторинга, закрытия портов, а в такой обстановке сотрудникам уже становится работать как минимум неудобно.
Одно только частичное решение проблемы путем контроля и анализа трафика не является панацеей. Проще изолировать локальную сеть с обработкой конфиденциальной информации, чем контролировать передачу информации на внешние серверы. Поэтому будет надежней, если в компании будет предусмотрена и реализована специально выделенная изолированная локальная сеть для обработки конфиденциальной информации в рамках контролируемой зоны, а для работы с открытой информацией – внешняя сеть, которая имеет подключение к Интернету. Мониторинг компьютеров внешней сети осуществляет администратор безопасности, который будет контролировать с использованием различных средств защиты компьютеры сотрудников, работающих в такой сети. Таким образом, эффективнее наряду с другими способами защиты использовать комплексный подход с изолированием сегмента ЛВС для обработки конфиденциальной информации и применять при этом средства для борьбы с инсайдерами для внешнего сегмента компании, что позволит сократить угрозы и минимизировать риски утечки информации.
Скрытая передача конфиденциальной информации злоумышленником с использованием самых разнообразных средств – большая угроза безопасности компании.
Таблица 1. Распределение по носителям для умышленных утечек (9-й мес. 2008 г.)
| Носители | Количество | Доля |
| Мобильные носители информации | 14 | 15% |
| Стационарный компьютер или диск | 13 | 14% |
| Сеть (в том числе Интернет) | 38 | 41% |
| Paper document | 2% | |
| Другое | 6 | 7% |
| Не установлено | 21% |
Таблица 2. Причины утечки информации (9-й мес. 2008 г.)
| Причина утечки | Количество инцидентов | Доля от общего количества |
| Намеренные | 92 | 36,9% |
| Случайные | 124 | |
| Не установлено | 33 | 13,3% |
***
Комментарий эксперта
Евгений Мельников, начальник отдела информационной безопасности департамента ИТ ГК ЗАО "Тандер" Евгений Иванов, Анна Орехова, специалисты по информационной безопасности департамента ИТ ГК ЗАО "Тандер"
Утечка информации, а равно ее хищение (несанкционированное копирование) является серьезной проблемой информационной безопасности в организации любого масштаба. В случаях, если она произошла, необходимо выявить ее канал и не допустить повторение инцидента.
***
Скрытая передача информации
При скрытой передаче информации скрывается сам факт ее передачи. Обнаружить такой канал утечки очень непросто. А значит, злоумышленник может вновь и вновь использовать его в своих целях. Возможностей скрыто передавать информацию бесконечно много, достаточно просто проявить фантазию. Организовать скрытую передачу информации может как злоумышленник извне, так и сотрудник компании. Совсем не обязательно обладать правами администратора, достаточно иметь доступ к информации, желание ее продать и человека, готового ее купить.
Можно привести простой пример. Два пользователя договариваются, что, если слово в сообщении содержит нечетное количество букв, передается бит, равный 1, а если четное – 0. В случае когда в роли злоумышленника выступает администратор, возможно внедрение программы-закладки, которая будет скрытым образом передавать информацию или позволит управлять сетью извне.
Бывает и так, что разработчики программного обеспечения внедряют в код недокументированные функции, исполнение которых может привести к нарушению целостности корпоративной информации.
***
Способы организации скрытых каналов
В последнее время все чаще можно услышать о так называемых скрытых каналах передачи данных. Само это понятие существует с 1973 г., где скрытым называется канал, который не проектировался и не предполагался для передачи информации в электронной системе обработки данных. Для организации скрытого канала необходимо наличие закладки в программном или аппаратном обеспечении.
Один из способов организации скрытого канала – перестановка сетевых пакетов определенным образом. При этом на основе заранее оговоренных признаков передается последовательность бит.
Еще один способ организации скрытого канала – использование алгоритмов электронной цифровой подписи. С.В. Белим и А.М. Федосеев в 2007 г. провели исследование и доказали возможность создания скрытых каналов в рамках алгоритма электронной цифровой подписи ГОСТ Р 34.10–2001.