Insider Protection Issues
Recently, all publications that publish information security materials are simply awash with reports and analytical articles that INSIDERS are becoming the worst threat today. This topic is discussed at conferences on information security. Manufacturers of protective equipment are beginning to vying with each other to assure that their protective equipment was practically developed to deal with this particular threat.
In part, the general concern about this problem is understandable: according to world statistics (for example, the FBI's Computer Crime and Security Survey reports) the maximum damage to the company is precisely from this threat.
However, with a careful analysis of all publications, speeches and statements, you notice some absurdities:
The main theme of the topic of insiders is the desire to fight them with all available means.
By the way, the current situation is a bit like the epic of the fight against spam, which was actively conducted two years ago. No one denies there is a spam problem. But it mostly concerns providers who are forced to store significant volumes of letters on their servers than corporate users, but many were almost forced to accept this idea.
How to understand the subject, understand and evaluate the risks that insiders bear specifically for your company and choose really adequate protection measures?
I suggest starting with the most important thing, without which it makes no sense to continue further conversation - with the definition of the phenomenon that we will discuss, namely, the concept of the term "Insider".
The term "insider"
In order not to make the reader rummage through reference books and dictionaries, I tried to search for the definition of this term on the Internet.
The first link found ( Insider - Wikipedia ) pleased with its fullness.
The term "insider" is defined there as "a member of a group of people with access to information that is not accessible to the general public. The term is used in a context related to secret, hidden or any other proprietary information or knowledge: an insider is a member of a group possessing information that is available only to that group. ”
The following definition given by the Internet (by Orders) was: “INSIDER (eng, insider, from inside - literally inside) - a person who, due to his official or family status, has access to confidential information about the affairs of the company. This refers to officers, directors, and major shareholders of a corporation with broad ownership of shares and their immediate family. ”
Once again: the keywords in both definitions are “having access to information”. Already these definitions allow us to reformulate the problem of "insiders."
So, one should not put everything in one heap, but understand that there is a problem of an internal attacker. Moreover, it is divided into
It is important that the concept of information sounded in both definitions we found.
The concept of "information"
The concept of "Information" is inherently highly controversial. In each field of knowledge this is understood in its own way. This leads to the fact that the concept itself begins to be perceived by many intuitively.
But for further discussion, we will need a clear understanding of this term. So, I suggest that
Information - this is an explanation, a teaching, some kind of information.
I propose not to mix the concept of "information" with the concept
Data - This is a presentation of facts and ideas in a formalized form, suitable for transmission and processing in some information process.
Now, for a constructive continuation of the dialogue, let's finally deal with these concepts. The easiest way to do this is with the following examples:
Fact Data Information
The company is preparing to release a new product. Technical documentation, advertising materials, distribution, product source code. The product is not yet ready / not tested, the release dates will be broken / sustained.
The company seeks to raise the value of its shares. An action plan aimed at increasing ..., forecasts for the value of shares, etc. The company is just getting ready for sale.
The company is gaining new employees Ads on servers for applicants The company is preparing to release a new service / will soon open a new branch
I hope that I was able to demonstrate the difference between these concepts.
Understanding this difference is simply necessary if only to understand that we are going to protect (data or information) and what is needed for this
Why are insiders afraid
So. According to our definitions, we can understand that an insider is usually directors and senior managers, as well as company owners.
The insider image created today is associated with the fact that insiders
By the way, practically nowhere does the threat of destruction or deliberate distortion of data flicker ... No one pays attention to this, or are there simply no methods to protect against these threats yet?
But even if you repeat only the most popular threats like a mantra, it becomes scary. And the fears are really not in vain: the world statistics of incidents says that both the damage and the loss of customers are real. But it is important to remember that now we have learned to distinguish between the concept of an insider and an ordinary employee.
But let's try to figure it out. We have 4 options:
Data Information
employee employee tries to make data employee tries to make data
insider insider tries to make data insider tries to make data
The tasks that we can set for ourselves in the fight against insiders are simply formulated:
Fighting insiders with technical means and its results
If the company just wants to meet certain requirements that the state or the professional community imposes on it, then the task is not even to acquire and implement any means of protection, but to correctly document security processes in the organization.
Next, we come to the most interesting phase - the fight against leaks.
By the very definition of the information that we gave, stopping the leak of information is possible only in the following ways:
You can deal with problematic data leakage (files, databases, hard copies of documents, etc.). But you can fight. This problem cannot be defeated either, and that is why. No matter how we restrict people's access to information:
The solution to the problems of monitoring leak channels - this is precisely where technical tools can create the soil: to collect complete statistics of resource accesses, correlate the fact of accessing, say, a file with sending the same file by mail, etc. The only trouble is that technical means can give too much information, which people will have to check and analyze, all the same. Those. once again: the technical means will not yield a result.
If we talk about the proof of non-involvement, then the ability to solve this problem by technical means is also a big question. But the reason for this is even more political than technical. Imagine: one day there is an article stating that another company has leaked at XXX. Journalists are discussing this topic in every way, interviewing security experts about the reasons, recalling the history of leaks, wondering about the reasons for this, etc. Sensation ... Your statements that the company is not involved, and the information has not leaked from you - few people are interested, and if they are published, then the next day, when interest in the topic has already subsided.
In addition, to give a 100% guarantee that the leak did not come from you - no one can. You can only show how, including by technical means, you care about their safety.
What insiders do not say
Any remedies create inconvenience - this is an axiom. Any implemented protective equipment must be serviced in one way or another - the law of life. Those. to establish a remedy and not to monitor what results it gives is silly.
Now about the results.
Imagine that you have a network of about 1000 computers, on each of which at least once a day a USB flash drive / mobile phone / camera is inserted into the USB port. So you have to daily analyze at least 1000 events related to the use of these devices. I do not think that patience is enough for more than 2 days.
The decision to ban everything is also not always the most correct. After a few minutes, the boss will ask why his flash drive is not readable, and the employee of the advertising department will ask how he will now be transferred to the printing house the layout of leaflets, etc.
You can try to say that if we control, say, all accesses to a data file, then it is protected. At least we can find the last one who divulged this file. This is so if we grabbed his hand, for example, when trying to send a file by mail. Otherwise, it is like self-deception.
If access to the file is shared by everyone, then those who don’t need it will be the first to be suspected. But there are no guarantees here, and without an experienced operative we will not figure it out
If the access to the file was differentiated, you will find out that the information was used by those who were allowed to it ... This is valuable, but, as it were, useless. Some features can be identified: for example, someone turned to a file in the middle of the night. This is probably unusual, but still does not mean anything, especially if the owner of the account does not deny the fact of the appeal.
Speaking of control, we must understand that we will not protect ourselves from an insider, and this file must be closed from an employee.
So tracking or demarcation
The golden and therefore unenforceable rule is that security measures must be implemented in accordance with security policies.
Of course, it’s not bad that the introduction of an e-mail control system pushed the organization to figure out what could be sent to whom, what information should be considered confidential.
But if the idea of what was possible and what could not have been formed in advance, the company could have chosen a more satisfying solution, if at all it would have agreed that it needed this tool.
But that is not all.
It is important that people working in the organization and responsible for its security decide for themselves once and for all that they need and easier:
The second way is painstaking work to analyze what anyone needs, time-consuming settings of access control mechanisms, etc.
Everyone chooses his own path, but the first is more like finding a coin under a lantern: they are looking for it there not because they lost it, but because it is lighter there.
Sly Incident Statistics
If any topic is being developed by pen professionals, then everything starts to fall into a heap.
I would like to note that in no way do they fall under the concept of “insider threats”, and therefore they are not blocked by technical means of monitoring information:
You can take his phone book from him at the exit, but how to take the existing relationship with the customer, the years of joint studies at the institute, etc.?
It is important not to allow yourself to be drawn into the solution of a problem that does not exist, or that is not solved in principle.
conclusions
It is impossible to make any concrete conclusion on the problem. The truth of life is that there are a lot of problems associated with insiders. Some security specialists, sadly, are sometimes limited in their views on a particular problem precisely because of their professionalism.
Example: information for them is files and databases (the first mistake is a confusion of the concepts of data and information). And he begins to deal with these leaks as best he can: again, rejection of alienated media, control of mail, control over the number of printed copies of the document and registering them, checking portfolios at the exit from the building and more and more ... At the same time, this is a real insider who , by the way, often in the know about these controls, will use it to send a document by fax.
So maybe before rushing into the pool of struggle with the problem, is it worth evaluating this problem, comparing it with others and making a more informed choice?
Source - NPC "Informzaschita"
Recently, all publications that publish information security materials are simply awash with reports and analytical articles that INSIDERS are becoming the worst threat today. This topic is discussed at conferences on information security. Manufacturers of protective equipment are beginning to vying with each other to assure that their protective equipment was practically developed to deal with this particular threat.
In part, the general concern about this problem is understandable: according to world statistics (for example, the FBI's Computer Crime and Security Survey reports) the maximum damage to the company is precisely from this threat.
However, with a careful analysis of all publications, speeches and statements, you notice some absurdities:
- The term insider is everywhere given without definition, as something taken for granted
- The concept of an insider and an intruder inside the network has practically merged
- They talk about insider threats, give examples of lost laptops with information
- Speaking about insiders, they get lost on the topic of ordinary attacks such as password cracking, attempts to use someone else's login, hacking a colleague's computer, etc.
The main theme of the topic of insiders is the desire to fight them with all available means.
By the way, the current situation is a bit like the epic of the fight against spam, which was actively conducted two years ago. No one denies there is a spam problem. But it mostly concerns providers who are forced to store significant volumes of letters on their servers than corporate users, but many were almost forced to accept this idea.
How to understand the subject, understand and evaluate the risks that insiders bear specifically for your company and choose really adequate protection measures?
I suggest starting with the most important thing, without which it makes no sense to continue further conversation - with the definition of the phenomenon that we will discuss, namely, the concept of the term "Insider".
The term "insider"
In order not to make the reader rummage through reference books and dictionaries, I tried to search for the definition of this term on the Internet.
The first link found ( Insider - Wikipedia ) pleased with its fullness.
The term "insider" is defined there as "a member of a group of people with access to information that is not accessible to the general public. The term is used in a context related to secret, hidden or any other proprietary information or knowledge: an insider is a member of a group possessing information that is available only to that group. ”
The following definition given by the Internet (by Orders) was: “INSIDER (eng, insider, from inside - literally inside) - a person who, due to his official or family status, has access to confidential information about the affairs of the company. This refers to officers, directors, and major shareholders of a corporation with broad ownership of shares and their immediate family. ”
Once again: the keywords in both definitions are “having access to information”. Already these definitions allow us to reformulate the problem of "insiders."
So, one should not put everything in one heap, but understand that there is a problem of an internal attacker. Moreover, it is divided into
- an insider who has access to information
- an employee trying to gain such access.
It is important that the concept of information sounded in both definitions we found.
The concept of "information"
The concept of "Information" is inherently highly controversial. In each field of knowledge this is understood in its own way. This leads to the fact that the concept itself begins to be perceived by many intuitively.
But for further discussion, we will need a clear understanding of this term. So, I suggest that
Information - this is an explanation, a teaching, some kind of information.
I propose not to mix the concept of "information" with the concept
Data - This is a presentation of facts and ideas in a formalized form, suitable for transmission and processing in some information process.
Now, for a constructive continuation of the dialogue, let's finally deal with these concepts. The easiest way to do this is with the following examples:
Fact Data Information
The company is preparing to release a new product. Technical documentation, advertising materials, distribution, product source code. The product is not yet ready / not tested, the release dates will be broken / sustained.
The company seeks to raise the value of its shares. An action plan aimed at increasing ..., forecasts for the value of shares, etc. The company is just getting ready for sale.
The company is gaining new employees Ads on servers for applicants The company is preparing to release a new service / will soon open a new branch
I hope that I was able to demonstrate the difference between these concepts.
Understanding this difference is simply necessary if only to understand that we are going to protect (data or information) and what is needed for this
Why are insiders afraid
So. According to our definitions, we can understand that an insider is usually directors and senior managers, as well as company owners.
The insider image created today is associated with the fact that insiders
- make customer lists
- take out documents
- take out databases
- carry out information.
By the way, practically nowhere does the threat of destruction or deliberate distortion of data flicker ... No one pays attention to this, or are there simply no methods to protect against these threats yet?
But even if you repeat only the most popular threats like a mantra, it becomes scary. And the fears are really not in vain: the world statistics of incidents says that both the damage and the loss of customers are real. But it is important to remember that now we have learned to distinguish between the concept of an insider and an ordinary employee.
But let's try to figure it out. We have 4 options:
Data Information
employee employee tries to make data employee tries to make data
insider insider tries to make data insider tries to make data
The tasks that we can set for ourselves in the fight against insiders are simply formulated:
- Compliance with regulatory requirements and standards
- Information Security
- Data security
- Leakage channel identification
- Proof of innocence
Fighting insiders with technical means and its results
If the company just wants to meet certain requirements that the state or the professional community imposes on it, then the task is not even to acquire and implement any means of protection, but to correctly document security processes in the organization.
Next, we come to the most interesting phase - the fight against leaks.
By the very definition of the information that we gave, stopping the leak of information is possible only in the following ways:
- Self-control by insiders, so as not to accidentally disclose this information
- Appointments to senior positions of responsible, trusted, morally sustainable people
- The focus of these people on the fact that not all information is intended for the general public.
You can deal with problematic data leakage (files, databases, hard copies of documents, etc.). But you can fight. This problem cannot be defeated either, and that is why. No matter how we restrict people's access to information:
- A person can show the document on the monitor / printout to a colleague to whom it is not intended.
- A person can forget the document in the printer, in the dining room, leave unattended an office or case or safe
- A person can write from the screen on a piece of paper
- A person can read on the phone or speak a voice recorder
- You can take a picture of the monitor screen on a cell phone camera
- In the end, a person can simply remember the contents of a document.
The solution to the problems of monitoring leak channels - this is precisely where technical tools can create the soil: to collect complete statistics of resource accesses, correlate the fact of accessing, say, a file with sending the same file by mail, etc. The only trouble is that technical means can give too much information, which people will have to check and analyze, all the same. Those. once again: the technical means will not yield a result.
If we talk about the proof of non-involvement, then the ability to solve this problem by technical means is also a big question. But the reason for this is even more political than technical. Imagine: one day there is an article stating that another company has leaked at XXX. Journalists are discussing this topic in every way, interviewing security experts about the reasons, recalling the history of leaks, wondering about the reasons for this, etc. Sensation ... Your statements that the company is not involved, and the information has not leaked from you - few people are interested, and if they are published, then the next day, when interest in the topic has already subsided.
In addition, to give a 100% guarantee that the leak did not come from you - no one can. You can only show how, including by technical means, you care about their safety.
What insiders do not say
Any remedies create inconvenience - this is an axiom. Any implemented protective equipment must be serviced in one way or another - the law of life. Those. to establish a remedy and not to monitor what results it gives is silly.
Now about the results.
Imagine that you have a network of about 1000 computers, on each of which at least once a day a USB flash drive / mobile phone / camera is inserted into the USB port. So you have to daily analyze at least 1000 events related to the use of these devices. I do not think that patience is enough for more than 2 days.
The decision to ban everything is also not always the most correct. After a few minutes, the boss will ask why his flash drive is not readable, and the employee of the advertising department will ask how he will now be transferred to the printing house the layout of leaflets, etc.
You can try to say that if we control, say, all accesses to a data file, then it is protected. At least we can find the last one who divulged this file. This is so if we grabbed his hand, for example, when trying to send a file by mail. Otherwise, it is like self-deception.
If access to the file is shared by everyone, then those who don’t need it will be the first to be suspected. But there are no guarantees here, and without an experienced operative we will not figure it out
If the access to the file was differentiated, you will find out that the information was used by those who were allowed to it ... This is valuable, but, as it were, useless. Some features can be identified: for example, someone turned to a file in the middle of the night. This is probably unusual, but still does not mean anything, especially if the owner of the account does not deny the fact of the appeal.
Speaking of control, we must understand that we will not protect ourselves from an insider, and this file must be closed from an employee.
So tracking or demarcation
The golden and therefore unenforceable rule is that security measures must be implemented in accordance with security policies.
Of course, it’s not bad that the introduction of an e-mail control system pushed the organization to figure out what could be sent to whom, what information should be considered confidential.
But if the idea of what was possible and what could not have been formed in advance, the company could have chosen a more satisfying solution, if at all it would have agreed that it needed this tool.
But that is not all.
It is important that people working in the organization and responsible for its security decide for themselves once and for all that they need and easier:
- Store all data in a common heap and try to find the one who sent it outside the organization
- Limit access to data so that it is available only to those who need it.
The second way is painstaking work to analyze what anyone needs, time-consuming settings of access control mechanisms, etc.
Everyone chooses his own path, but the first is more like finding a coin under a lantern: they are looking for it there not because they lost it, but because it is lighter there.
Sly Incident Statistics
If any topic is being developed by pen professionals, then everything starts to fall into a heap.
I would like to note that in no way do they fall under the concept of “insider threats”, and therefore they are not blocked by technical means of monitoring information:
- Losses of laptops, flash drives, etc. - this is negligence.
- Theft of laptops, computers, hard drives with backups is something like hacking
- Virus Leak
- Information leakage during network hacking, even by an employee
You can take his phone book from him at the exit, but how to take the existing relationship with the customer, the years of joint studies at the institute, etc.?
It is important not to allow yourself to be drawn into the solution of a problem that does not exist, or that is not solved in principle.
conclusions
It is impossible to make any concrete conclusion on the problem. The truth of life is that there are a lot of problems associated with insiders. Some security specialists, sadly, are sometimes limited in their views on a particular problem precisely because of their professionalism.
Example: information for them is files and databases (the first mistake is a confusion of the concepts of data and information). And he begins to deal with these leaks as best he can: again, rejection of alienated media, control of mail, control over the number of printed copies of the document and registering them, checking portfolios at the exit from the building and more and more ... At the same time, this is a real insider who , by the way, often in the know about these controls, will use it to send a document by fax.
So maybe before rushing into the pool of struggle with the problem, is it worth evaluating this problem, comparing it with others and making a more informed choice?
Source - NPC "Informzaschita"
Original message
Проблематика защиты от инсайдеров
В последнее время все издания, публикующие материалы по информационной безопасности просто наводнены сообщениями и аналитическими статьями о том, что самой страшной угрозой сегодня становятся ИНСАЙДЕРЫ. Эта тема обсуждается на конференциях по ИБ. Производители средств защиты начинают наперебой уверять, что их средство защиты практически разрабатывалось для борьбы именно с этой угрозой.
Отчасти, общая озабоченность этой проблемой вполне объяснима: по данным мировой статистики (например, отчеты ФБР «Computer Crime and Security Survey») максимальный ущерб компании несут именно от этой угрозы.
Однако, при внимательном анализе всех публикаций, выступлений и заявлений, замечаешь некоторые несуразности:
Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.
Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.
Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?
Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно — понятия термина «Инсайдер».
Термин «инсайдер»
Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.
Первая же найденная ссылка (Инсайдер — Википедия) порадовала своей полнотой.
Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер — это член группы, обладающий информацией, имеющейся только у этой группы».
Следующее определение, которое дал Интернет (Приказами) звучало так: «ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»
Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».
Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на
Немаловажно, что в обоих найденных нами определениях звучало понятие информации.
Понятие «информации»
Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.
Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что
Информация — это пояснение, научение, какое то сведение.
Предлагаю не смешивать понятие «информации» с понятием
Данные — это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.
Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:
Факт Данные Информация
Компания готовится выпустить новый продукт Техническая документация, рекламные материалы, дистрибутив, исходный код продукта Продукт еще не готов/не оттестирован, сроки выхода будут сорваны/выдержаны
Компания стремиться поднять стоимость своих акций План мероприятий, направленных на повышение… , прогнозы по стоимости акций и т.п. Компанию просто готовят к продаже
Компания набирает новых сотрудников Объявления на серверах для соискателей Компания готовится выпустить новую услугу/вскоре открывает новый филиал
Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.
Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо
Почему боятся инсайдеров
Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.
Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры
Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?
Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.
Вот только давайте попробуем разобраться. У нас есть 4 варианта:
Данные Информация
сотрудник сотрудник пытается вынести данные сотрудник пытается вынести информацию
инсайдер инсайдер пытается вынести данные инсайдер пытается вынести информацию
Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:
Борьба с инсайдерами техническими средствами и ее результаты
Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.
Дальше мы подходим к наиболее интересной фазе – к борьбе с утечками.
По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:
С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:
Решение проблем отслеживания каналов утечки — вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.
Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.
Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.
О чем не говорят борцы с инсайдерами
Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.
Теперь о результатах.
Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.
Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.
Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.
Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся
Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.
Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.
Так слежение или разграничение
Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.
Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.
Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.
Но и это еще не все.
Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:
Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.
Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.
Лукавая статистика инцидентов
Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.
Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:
Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?
Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.
Выводы
Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.
Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.
Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?
Источник — НИП «Информзащита»
В последнее время все издания, публикующие материалы по информационной безопасности просто наводнены сообщениями и аналитическими статьями о том, что самой страшной угрозой сегодня становятся ИНСАЙДЕРЫ. Эта тема обсуждается на конференциях по ИБ. Производители средств защиты начинают наперебой уверять, что их средство защиты практически разрабатывалось для борьбы именно с этой угрозой.
Отчасти, общая озабоченность этой проблемой вполне объяснима: по данным мировой статистики (например, отчеты ФБР «Computer Crime and Security Survey») максимальный ущерб компании несут именно от этой угрозы.
Однако, при внимательном анализе всех публикаций, выступлений и заявлений, замечаешь некоторые несуразности:
- Термин инсайдера везде дается без определения, как нечто само собой разумеющееся
- Понятие инсайдера и злоумышленника, находящегося внутри сети практически слились
- Рассказывают про угрозы инсайдеров, приводят примеры потерянных ноутбуков с информацией
- Говоря о инсайдерах сбиваются на тему обычных атак типа побора пароля, попытки воспользоваться чужим логином, взлом компьютера коллеги и т.п.
Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.
Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.
Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?
Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно — понятия термина «Инсайдер».
Термин «инсайдер»
Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.
Первая же найденная ссылка (Инсайдер — Википедия) порадовала своей полнотой.
Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер — это член группы, обладающий информацией, имеющейся только у этой группы».
Следующее определение, которое дал Интернет (Приказами) звучало так: «ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»
Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».
Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на
- инсайдера, имеющего доступ к информации
- сотрудника, пытающегося такой доступ получить.
Немаловажно, что в обоих найденных нами определениях звучало понятие информации.
Понятие «информации»
Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.
Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что
Информация — это пояснение, научение, какое то сведение.
Предлагаю не смешивать понятие «информации» с понятием
Данные — это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.
Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:
Факт Данные Информация
Компания готовится выпустить новый продукт Техническая документация, рекламные материалы, дистрибутив, исходный код продукта Продукт еще не готов/не оттестирован, сроки выхода будут сорваны/выдержаны
Компания стремиться поднять стоимость своих акций План мероприятий, направленных на повышение… , прогнозы по стоимости акций и т.п. Компанию просто готовят к продаже
Компания набирает новых сотрудников Объявления на серверах для соискателей Компания готовится выпустить новую услугу/вскоре открывает новый филиал
Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.
Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо
Почему боятся инсайдеров
Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.
Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры
- выносят списки клиентов
- выносят документы
- выносят базы данных
- выносят информацию.
Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?
Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.
Вот только давайте попробуем разобраться. У нас есть 4 варианта:
Данные Информация
сотрудник сотрудник пытается вынести данные сотрудник пытается вынести информацию
инсайдер инсайдер пытается вынести данные инсайдер пытается вынести информацию
Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:
- Соответствие требованиям нормативных актов и стандартов
- Сохранность информации
- Сохранность данных
- Выявление каналов утечки
- Доказательство непричастности
Борьба с инсайдерами техническими средствами и ее результаты
Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.
Дальше мы подходим к наиболее интересной фазе – к борьбе с утечками.
По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:
- Самоконтроля инсайдеров, дабы случайно не разгласить эту информацию
- Назначения на руководящие должности ответственных, проверенных, морально устойчивых людей
- Акцентирования внимания этих людей на том, что не вся информация предназначается для широкой публики.
С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:
- Человек может показать документ на мониторе/в распечатке коллеге, которому он не предназначен.
- Человек может забыть документ в принтере, в столовой, оставить без присмотра кабинет или кейс или сейф
- Человек может выписать с экрана на листочек
- Человек может зачитать по телефону или наговорить на диктофон
- Можно сфотографировать экран монитора на фотокамеру сотового телефона
- Человек в конце концов может просто запомнить содержания документа.
Решение проблем отслеживания каналов утечки — вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.
Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.
Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.
О чем не говорят борцы с инсайдерами
Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.
Теперь о результатах.
Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.
Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.
Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.
Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся
Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.
Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.
Так слежение или разграничение
Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.
Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.
Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.
Но и это еще не все.
Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:
- Хранить все данные в общей куче и пытаться найти того, кто ее отослал за пределы организации
- Разграничить доступ к данным так, чтобы они были доступны только тем кому они нужны.
Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.
Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.
Лукавая статистика инцидентов
Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.
Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:
- Потери ноутбуков, флешек и т.п. – это халатность.
- Кражи ноутбуков, компьютеров, винчестеров с резервными копиями – это что-то сродни взлома
- Утечка информации от действия вирусов
- Утечки информации при взломе сети, пусть даже сотрудником
Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?
Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.
Выводы
Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.
Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.
Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?
Источник — НИП «Информзащита»
