`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Как контролировать интернет-трафик?

+15
голосов

Контроль интернет-трафика является важным аспектом обеспечения информационной безопасности в любой компании. Однако далеко не везде он организован должным образом. О том, в чем кроются причины этого, и как исправить положение вещей, мы и поговорим.

Наиболее простой способ контроля трафика, выбираемый множеством компаний, заключается в полном запрете коммуникаций по различным каналам – например, по ICQ, Skype и т.д. К сожалению, такой «контроль» недостаточно эффективен, потому что, во-первых, сотрудники находят возможность обойти запреты, а во-вторых, сотрудники лишаются удобных и эффективных способов коммуникации друг с другом и с внешними адресатами (партнерами, клиентами и т.д.). Поэтому, очевидно, лучше все-таки отказаться от запретов и применить какие-либо менее радикальные меры контроля.

Для начала стоит рассмотреть, для чего вообще применяется контроль трафика. Основные цели обычно такие: предотвращение нерационального использования оплаченного работодателем времени, предотвращение утечек конфиденциальной информации, предотвращение проникновения вредоносного ПО и злонамеренных хакеров в корпоративную сеть.

Очевидно, что с таким широким спектром задач не справиться с помощью только одного какого-либо средства контроля. Обычно контроль использования рабочего времени в небольших компаниях реализуется с помощью программ наподобие StaffCop или Spector 360, которые позволяют в режиме реального времени узнавать, какие приложения запускает пользователь, какие сайты посещает и т.д. Применение подобных средств в масштабах крупных компаний не всегда удобно, поскольку они предполагают ручную обработку данных мониторинга. В тех организациях, где работают сотни работников, проследить за каждым из них в режиме реального времени практически невозможно. Поэтому в больших компаниях подобные средства играют роль вспомогательных, и могут использоваться разве что для периодического контроля выбираемых случайным образом работников.

Для защиты от вредоносного ПО и хакерских атак используют, соответственно, антивирусы и файрволлы (брандмауэры). Эти средства защиты наверняка хорошо знакомы большинству наших читателей, поскольку помимо корпоративных сетей они активно используются и домашними пользователями. Этими средствами пользуются почти все компании, однако нужно помнить, что не обязательно покупать дорогие и разрекламированные программные продукты, чтобы обеспечить себе надежную защиту. Перед решением о приобретении того или иного антивируса или файрвола стоит проверить его работу в реальных условиях корпоративной сети – благо, подавляющее большинство подобных программных продуктов имеют пробные версии, которые можно бесплатно скачать с сайта разработчика.

А вот с предотвращением утечек данных не все так просто. DLP-системы – программные продукты, применяемые для этого, – не всегда имеют бесплатную тестовую версию, но, конечно, лучше предпочесть те из них, которые поддерживают подобную возможность. Принцип работы DLP-системы достаточно прост: она создает виртуальный защитный контур вокруг корпоративной сети организации, с помощью которого фильтрует весь входящий и исходящий трафик, обнаруживая в нем конфиденциальную информацию. Соответственно, при обнаружении подобной информации DLP-система может как остановить ее дальнейшую передачу, так и произвести иные действия, например, просто сообщить об этом ответственному за информационную безопасность. Как легко догадаться, с помощью DLP-системы удобно также и следить за тем, не посещают ли сотрудники в рабочее время какие-либо развлекательные ресурсы, не тратят ли слишком много времени на общение по Skype и т.д. При этом, в отличие от обычных программ надзора, DLP-система умеет работать в полностью автоматическом режиме, что делает ее чрезвычайно удобным решением для крупных организаций.

Таким образом, для контроля трафика целесообразно использовать в компаниях любого размера – антивирус и файрвол, в небольших организациях – специализированные программы надзора, в крупных компаниях – DLP-системы.

Как контролировать интернет-трафик?

+15
голосов

Напечатать Отправить другу

Читайте также

DLP - не панацея. Все решения необходимо принимать на основе стратегической модели угроз и ее тактической и оперативной интерпретации. И тут роль любых технических средств - только вспомогательная. Потому что не предотвращают угроз социальной инженерии и плохого климата в коллективе.

Не панацея и никогда ею не была. Всё опять-таки, упирается в задачу (или модель угроз), как Вы верно заметили. DLP не будет анализировать трафик на предмет тех же вредоносов.

Другое дело, что в качестве "бонуса" с помощью неё можно решить ряд задач по контролю персонала. К примеру, можно фиксировать факты посещения определённых групп сайтов. Сам факт нам не так важен, как статистика посещения. Она смотрится через отчёты. Тем самым, вполне себе выявляются те сотрудники, которые злоупотребляют рабочим временем, предпочитая тратить его в тех же соцсетях.

Плохой климат в коллективе, к слову, по косвенным признакам выявить можно. Даже шаблон политики делали когда-то. Мат - это один из признаков. Имеется ввиду, естественно, мат в IM - ICQ, Skype и т.д. За счёт доменной структуры можно сопоставить беседующих и при необходимости отсечь внешних адресатов.

Другим косвенным признаком может служить аномальная активность сотрудников в этих самых мессенджерах. Если видно, что за определённый день пошёл всплеск или наоборот спад сообщений, имеет смысл почитать эти переписки. И вполне вероятно, что получится найти ответ.

Ну а социальные инженеры - это да. Здесь вряд ли придумается эффективное средство. Хотя, Сбербанк вроде внедрял "анализатор" голоса на основе нейронных сетей, вроде. Но пока об успехах или неудачах в СМИ информация не проскакивала.

В связи с тотальным переходом большинства "вредных" ресурсов на HTTPS и другие "защищаенные" протоколы возможность "прочитать" переписку в IM или перехватить утечку с помощью большинства DLP становится крайне сложно. Ну и BYOD & Borderless Infrastructure доливает масла в огонь. Да и линейные конекстно-независимые статистики дают больше вопросов, чем ответов. Кроме того, 90% "улик", которые дают системы контроля и предотвращения утечек - косвенные. И если вам ни разу не приходилось переводить факт компрометации в юридическую плоскость - документирование факта, даже при наличии системы контроля, становится большой проблемой.
Поэтому, в большинстве серьезных бизнес-структур, имеется как минимум 2 (а чаще 3) независимые службы, отвечающих за безопасность и для принятия решения используется не менее 2-х независимых интерпретаций инцидентов.
Возвращаясь к статистикам - это большое искушение положить принятие решений на автоматизированную систему. И в 90 случаях из 100 _все_ системы, основанные на статистиках дадут ложную тревогу, оставляя 8 из 10 инцидентов неидентифицированными.

Может показаться, что я против технических средств. Это не так. Просто я пытаюсь донести мысль о том, что для любой системы важен сам человек и то, как он себя ведет. По крайней мере, за рубежом давно используются методы поведенческого контроля персонала, который намного дешевле, чем внедрение тотального DLP и жестких административных политик. И результативность такого метода - намного выше.

Человек здесь во главе угла, безусловно. За все DLP не поручусь, поэтому только за нашу скажу - HTTPS - не проблема. С BYOD сложнее. И в первую очередь с юридической точки зрения сложнее.

Про доказательную базу - это порой тихий ужас, да. Вроде хочется следовать букве Закона, начинаешь, но через какое-то время оказывается, что следуешь не ей, а на какие-то три другие буквы :)

Так и остаются DLP-системы больше "серыми кардиналами", дающими руководству ниточки к увольнению сотрудников "по собственному" а не по каким-либо статьям.

А вот с места про HTTPS пожалуйста поподробнее...

Подмена SSL, перехват на уровне машины пользователя через агент.

Это если винда :)

А под другое и не работаем)

Разве что есть возможность перехвата шифрованной почты через NetworkSniffer на уровне интеграции с почтовыми серверами (Exchange, Lotus, Link и т.п.)

Chrome?

OS или браузер. Если под браузер, то перехватим под виндой. У самого хром есть, перехват идёт.

Если же про ось, то возвращаемся к предыдущему комментарию про интеграцию с почтовиками.

В принципе, независимо от ОС можно на зеркале ловить HTTP, IM, почту. Если не шифровано это всё.

Пока что корпоративный тренд - это OS/X, iOS, Andriod.
Так что одноплатформенная DLP морально устарела :)
Ну а ставить агент на Exchange - это просто верх совершенства, с учетом того, что все эти вопросы решаются на уровне 3-х команд в PowerShell :)

Ну что ж вы извращаете)

Описанный вами тренд верен в большей части для мобильных устройств. Доля "форточек" по прежнему высока.

То, что одноплатформенная DLP морально устарела - да, но это не от меня зависит, а от "курса партии". Кроме того, про нас уже нельзя сказать так. MobileSniffer поддерживает контроль iPhone и iPad (перехват http, im, skype, почты (в том числе и gmail, как через браузер, так и через приложение)). Думаю, со временем и до андроида доберёмся.

На Exchange агент не ставится. Грубо говоря, сервер складирует всю почту в определённое место, а мы оттуда её забираем. Дальше идёт стандартный парсинг.

В примерно 50 компаниях, которые я наблюдаю, тренд состоит именно в отказе от Win в пользу OS/X, Android, iOS и серверных решений на базе SaaS/PaaS/IaaS без использования продуктов Microsoft. "Стандартные" РС уходят и через 3 года ландшафт изменится радикально. С учетом стандартного жизненного цикла тяжелых корпоративных решений в 5 лет, внедрение системы, не накрывающей текущий тренд сложно экономически обосновать.

А тут можно подробнее? Что за компании, чем занимаются, какие задачи решают, что конкретно из SaaS/PaaS/IaaS используют?

Вам их названия ничего не скажут.

То есть тренд отказа от PC в бизнесе Вами несколько преувеличен?

Скорее преуменьшен

Климат в коллективе зависит и от тоого,что за коллектив и насколько он заинтересован в своей работе, что,как мне кажется,тоже зависит немного от DLP...Ну например: информация,которую получают с помощью DLP, раскрывается только в экстренных случаях, когда уже никак. Служба безопасности, разумеется, не пройдет мимо инсайдерства, например.Таких сотрдников просто уволят или попросят написать «по собственному желанию»... значит,на одного "ненадежного" станет меньше, значит останется больше заинтересованых и связаных одной целью ..
Но с другой стороны, разные цели - не единственная проблема в коллективе

DLP только ухудшит обстановку в коллективе и усилит угрозу социальной инженерии и инсайдерства. Его функция - только техническое закрепление административных методов. Ну и соответствующая организационная поддержка в виде правильно составленного трудового соглашения и NDA. Сам по себе контроль создает больше прроблем, чем решает.

Именно поэтому в DLP порой очень важно соблюдать правило "многие знания - многие печали". То есть, чем больше человек в компании в курсе существования DLP, тем ниже будет эффективность этой системы.

Во-первых, как верно заметили выше, контроль создаёт больше проблем. Начиная с того, что лояльный сотрудник может обидиться, потому что "вы мне не доверяете, а я тут уже 5 лет работаю". И заканчивая резким протестом тех, кто считает, что следить за людьми подло и некрасиво. Тем самым, приходим к проблеме утечки кадров.

"Я не буду здесь работать, раз вы за мной следите". И либо увольнять, либо идти на компромисс и снимать слежку. Но тут уже может возникнуть социальное неравенство. "А почему это вы за ним не следите, а за мной так постоянно?"

В общем, тему развивать можно долго.

Что же касается инсайдеров, то здесь "предупреждён, значит, вооружен". Если они знают о DLP, вряд ли кого-то теперь получится словить.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT