Information Protection and Control (IPC) je technologie pro ochranu důvěrných informací před vnitřními hrozbami . Řešení třídy IPC jsou navržena tak, aby chránila informace před interními hrozbami, zabraňovala různým typům úniků informací, podnikové špionáži a business intelligence . Termín IPC spojuje dvě hlavní technologie: šifrování informačních médií na všech místech sítě a kontrolu technických kanálů úniku informací pomocí technologií Data Loss Prevention ( DLP ). Řízení přístupu k síti, aplikacím a datům je možná třetí technologie v systémech třídy IPC. IPC zahrnuje řešení třídy Data Loss Prevention (DLP), systémy pro šifrování podnikových informací a řízení přístupu k nim. Termín IPC byl jedním z prvních, který použil analytik IDC Brian Burke ve své zprávě Information Protection and Control Survey: Data Loss Prevention and Encryption Trends .
Technologie IPC je logickým pokračováním technologie DLP a umožňuje chránit data nejen před úniky technickými kanály, tedy insidery, ale také před neoprávněným přístupem uživatelů k síti, informacím, aplikacím a v případech, kdy přímé paměťové médium se dostane do rukou třetích osob. To pomáhá předcházet únikům i v případech, kdy k přímému paměťovému médiu získá přístup zasvěcená osoba nebo osoba, která nemá legální přístup k datům. Pokud například vyjmete pevný disk z osobního počítače, zasvěcenec nebude moci číst informace na něm. To umožňuje zabránit kompromitaci důvěrných dat i v případě ztráty, krádeže nebo zabavení (například při pořádání provozních akcí specialisty speciálních služeb, bezohlednými konkurenty nebo nájezdníky).
Hlavním úkolem IPC systémů je zabránit přenosu důvěrných informací mimo podnikový informační systém. Takový přenos (únik) může být úmyslný nebo neúmyslný. Praxe ukazuje, že k většině (více než 75 %) úniků nedochází kvůli nekalým úmyslům, ale kvůli chybám, nepozornosti, nedbalosti, nedbalosti zaměstnanců – takové případy je mnohem snazší identifikovat. Zbytek souvisí se zlými úmysly provozovatelů a uživatelů podnikových informačních systémů, zejména průmyslové špionáže, konkurenčního zpravodajství. Je zřejmé, že zlomyslní zasvěcenci mají tendenci pokoušet se oklamat analyzátory IPC a další řídicí systémy.
Technologie DLP v IPC podporuje kontrolu následujících technických kanálů úniku důvěrných informací:
Technologie DLP v IPC podporují řízení včetně následujících komunikačních protokolů:
Podpisy
Nejjednodušší způsob ovládání je prohledat v datovém toku určitou sekvenci znaků. Někdy se zakázaná posloupnost znaků nazývá „stop výraz“, ale v obecnějším případě může být reprezentována nikoli slovem, ale libovolnou sadou znaků, například určitým štítkem. Pokud je systém nakonfigurován pouze na jedno slovo, pak je výsledkem jeho práce určení 100% shody, tzn. metodu lze klasifikovat jako deterministickou. Častěji se však při analýze textu stále používá hledání konkrétní sekvence znaků. V naprosté většině případů jsou podpisové systémy konfigurovány tak, aby vyhledávaly několik slov a četnost výskytu výrazů.
Mezi výhody této metody patří jednoduchost doplňování slovníku zakázaných výrazů a samozřejmost principu fungování a také to, že je to nejjistější způsob, pokud potřebujete najít 100% shodu slova nebo výrazu. Nevýhody se projeví po zahájení průmyslového využití této technologie při záchytu netěsností a nastavení filtračních pravidel. Většina výrobců DLP systémů pracuje pro západní trhy a anglický jazyk je velmi „podpisový“ – tvary slov se nejčastěji tvoří pomocí předložek, aniž by se slovo samotné měnilo. V ruštině je všechno mnohem složitější, protože máme předpony, koncovky, přípony. Můžete si například vzít slovo „klíč“, což může znamenat „šifrovací klíč“, „klíč od bytu“, „jaro“, „klíč ke kreditní kartě nebo PIN“ a mnoho dalších významů. V ruštině lze z kořene „klíč“ vytvořit několik desítek různých slov. To znamená, že pokud na Západě stačí specialistovi na ochranu informací před zasvěcenými zadat jedno slovo, v Rusku bude muset specialista zadat několik desítek slov a poté je změnit v šesti různých kódováních. Vlastní aplikace této metody vyžaduje přítomnost lingvisty nebo týmu lingvistů jak ve fázi implementace, tak během provozu a aktualizace databáze. Nepochybnou nevýhodou je, že „podpisy“ jsou nestabilní vůči primitivnímu kódování, například nahrazením znaků podobnými.
" Digitální otisky prstů " (Digital Fingerprints nebo DG)
Západní vývojáři systémů DLP staví různé typy hashovacích funkcí pro vzorky důvěrných dokumentů jako nové slovo na trhu ochrany proti úniku, ačkoli samotná technologie existuje již od 70. let. Na Západě se této metodě někdy říká „ digitální otisky prstů “. Podstata všech metod je stejná, i když specifické algoritmy pro každého výrobce se mohou lišit. Některé algoritmy jsou dokonce patentovány, což pomáhá při propagaci „nové patentované technologie DG“. Obecný scénář akce je následující: shromažďuje se databáze vzorků důvěrných dokumentů. Podstata práce DG je poměrně jednoduchá a často tím zaujme: určitá standardní šablona dokumentu se přenese do systému DLP / IPC, vytvoří se z ní digitální tisk a zaznamená se do databáze DF. Dále se v pravidlech filtrování obsahu konfiguruje procentuální shoda se šablonou z databáze. Pokud například nastavíte 75% shodu s „digitálním otiskem“ smlouvy o dodávce , pak s filtrováním obsahu DLP zjistí téměř všechny smlouvy v této formě. Někdy tato technologie zahrnuje i systémy jako „Anti-plagiátorství“, avšak ten druhý pracuje pouze s textovými informacemi, zatímco technologie „digitálních tisků“ v závislosti na implementaci může pracovat s různým mediálním obsahem a používá se k ochraně autorských práv. a zabránit náhodnému nebo úmyslnému porušení zákonů a předpisů o bezpečnosti informací.
Mezi výhody technologie Digital Fingerprints patří snadné přidávání nových šablon, poměrně vysoký stupeň detekce a transparentnost technologického algoritmu pro zaměstnance oddělení informační bezpečnosti. Specialisté na bezpečnost a informační bezpečnost nemusejí myslet na „stop výrazy“ a další lingvistiku, trávit spoustu času analýzou potenciálně nebezpečných slovních forem a vhánět je do databáze, utrácet prostředky na implementaci a údržbu jazykové základny. Hlavní nevýhodou, která na první pohled není patrná a skrytá za „patentovanými technologiemi“, je, že přes veškerou jednoduchost a prakticky absenci jazykových metod je nutné neustále aktualizovat databázi „digitálních otisků prstů“. A pokud v případě „podpisů“ tato metoda nevyžaduje neustálou aktualizaci databáze slov, pak vyžaduje aktualizaci databáze „digitálních otisků prstů“. Nevýhody „digitálních otisků prstů“ zahrnují skutečnost, že ve skutečnosti podpora DLP v efektivním stavu přechází od „ doplňování slovního základu “ k „ vyhledávání a indexování nových a změněných souborů “, což je obtížnější úkol, i když toto se provádí poloautomaticky systémem DLP. Velké společnosti, ve kterých se každý pracovní den objevují až desítky tisíc nových a aktualizovaných dokumentů pouze na serverových úložištích, to vše jednoduše nejsou schopny sledovat v reálném čase, o osobních počítačích nemluvě. V tomto případě je použití DG neúčinné, takže „digitální otisky“ ve většině DLP jsou určeny pro společnosti v sektoru SMB (méně než 500 uživatelů). Kromě toho digitální otisky prstů zabírají přibližně 10–15 % velikosti důvěrných dokumentů a základna neustále roste, což vyžaduje další investice do zvyšování systémů ukládání informací a výkonu serverů DLP. Nízkoúrovňové hašovací funkce (včetně DG) navíc nejsou odolné vůči primitivnímu kódování, které bylo uvažováno ve vztahu k „podpisům“.
"značky"
Podstatou této metody je umístění speciálních „tagů“ do souborů obsahujících důvěrné informace. Tato metoda na jednu stranu poskytuje stabilní a nejpřesnější informace pro systém DLP, na druhou stranu vyžaduje spoustu poměrně silných změn v síťové infrastruktuře. Lídři trhu DLP a IPC tuto metodu neimplementují, takže nemá příliš smysl se jí podrobně zabývat. Lze pouze poznamenat, že i přes zjevnou výhodu „tagů“ - kvalitu detekce, existuje mnoho významných nevýhod : od potřeby významné restrukturalizace infrastruktury v síti po zavedení mnoha nových pravidel a formátů souborů pro uživatelů. Ve skutečnosti se zavedení takové technologie mění v zavedení zjednodušeného systému správy dokumentů.
Regulární výrazy
Známou metodou pro detekci potřebného obsahu je také vyhledávání podle regulárních výrazů („masky“), ale DLP se používá poměrně nedávno. Tato metoda je často označována jako „textové identifikátory“. Regulární výrazy umožňují najít shodu ve formě dat, neumí přesně specifikovat přesnou hodnotu dat, na rozdíl od „podpisů“. Tato metoda detekce je účinná pro vyhledávání:
Vyhledávání podle „masek“ umožňuje systému DLP nebo IPC vyhovět stále oblíbenějšímu standardu PCI DSS , který vyvinuly mezinárodní platební systémy Visa a MasterCard pro finanční instituce.
Mezi výhody technologie regulárních výrazů patří především skutečnost, že umožňují detekovat typ obsahu specifického pro každou organizaci, od kreditních karet až po názvy schémat vybavení specifických pro každou společnost. Formy základních citlivých dat se navíc mění velmi zřídka, takže jejich údržba nebude vyžadovat téměř žádné časové prostředky. Mezi nevýhody regulárních výrazů patří jejich omezený rozsah v systémech DLP a IPC, protože mohou najít důvěrné informace pouze určité formy. Regulární výrazy nelze používat nezávisle na jiných technologiích, ale mohou efektivně doplňovat jejich možnosti.
Lingvistické metody (morfologie, stemming)
Nejběžnější metodou analýzy v systémech DLP/IPC je dnes lingvistická textová analýza. Je tak populární, že se často hovorově nazývá „filtrování obsahu“, to znamená, že nese vlastnosti celé třídy metod analýzy obsahu. Lingvistika jako věda se skládá z mnoha disciplín – od morfologie po sémantiku a lingvistické metody analýzy se od sebe liší. Existují technologie, které používají pouze „stop výrazy“, které jsou zavedeny pouze na kořenové úrovni, a systém sám již sestavuje kompletní slovník; existují pojmy založené na rozložení vah, se kterými se v textu setkáváme. Existují lingvistické metody a jejich otisky založené na statistice; například se vezme dokument, spočítá se padesát nejpoužívanějších slov, pak se vybere 10 nejpoužívanějších slov v každém odstavci. Takový "slovník" je téměř jedinečnou charakteristikou textu a umožňuje najít smysluplné citace v "klonech". Analýza všech jemností lingvistické analýzy není v rámci tohoto článku, ale je nutné si povšimnout šíře možností této technologie v rámci systémů IPC.
Mezi výhody lingvistických metod v DLP patří skutečnost, že v morfologii a dalších lingvistických metodách je vysoká míra efektivity, srovnatelná s podpisy, s mnohem nižšími mzdovými náklady na implementaci a podporu (95% snížení mzdových nákladů ve vztahu k „podpisům“). . Zároveň v případě použití lingvistických metod detekce není potřeba sledovat vzhled nových dokumentů a zasílat je k analýze do systému IPC, protože účinnost lingvistických metod pro určování důvěrných informací nezávisí na počet důvěrných dokumentů, četnost jejich výskytu a výkon systému filtrování obsahu. Nevýhody lingvistických metod jsou také zcela zřejmé, první z nich je jazyková závislost – pokud má organizace zastoupení ve více zemích, bude nutné vytvořit databáze důvěrných slov a výrazů zvlášť pro každý jazyk a zemi, s přihlédnutím ke všem specifika. V tomto případě bude obvyklá účinnost této metody v průměru 85%. Pokud jsou zapojeni profesionální lingvisté, může se efektivita zvýšit až o 95 % – více může poskytnout pouze ruční ověření nebo „podpisy“, ale pokud jde o efektivitu a náklady na pracovní sílu, lingvistické metody dosud nebyly shledány rovnocennými.
Manuální detekce ("karanténa")
Manuální ověření citlivých informací se někdy nazývá „karanténa“. Jakékoli informace, které spadají pod pravidla ručního ověřování, například slovo „klíč“, vstoupí do konzole specialisty na bezpečnost informací. Ten pak tyto informace ručně kontroluje a rozhoduje, zda data přeskočit, zablokovat nebo pozdržet. Pokud jsou data zablokována nebo zpožděna, je odesílateli odeslána příslušná zpráva. Za nepochybnou výhodu této metody lze považovat největší efektivitu. Tato metoda je však v reálném podnikání použitelná pouze na omezené množství dat, protože je zapotřebí velké množství lidských zdrojů, protože pro kvalitativní analýzu všech informací, které přesahují společnost, by se počet zaměstnanců informační bezpečnosti měl přibližně shodovat s počtem ostatních zaměstnanců úřadu. A to je nemožné ani v donucovacích a vojenských strukturách. Skutečnou aplikací této metody je analýza dat vybraných zaměstnanců, kde je potřeba jemnější práce než automatické vyhledávání vzorů, „digitálních otisků prstů“ nebo shod se slovy z databáze.
Povinnou součástí IPC je archiv udržovaný pro vybrané informační toky (pakety, zprávy). Veškeré informace o činnostech zaměstnanců jsou uloženy v jedné a několika přidružených databázích. Přední IPC systémy archivují všechny únikové kanály, které mohou kontrolovat. Archiv IPC uchovává kopie dokumentů a textů nahraných na internet, e-maily, tištěné dokumenty a soubory nahrané na periferních zařízeních. Správce IS má kdykoli přístup k libovolnému dokumentu nebo textu v archivu pomocí jazykového vyhledávání informací v jednom archivu (nebo ve všech distribuovaných archivech současně). V případě potřeby lze zobrazit nebo přeposlat jakýkoli dopis a zobrazit nebo zkopírovat jakýkoli soubor nebo dokument nahraný na internet, zaznamenaný na externím zařízení nebo vytištěný soubor nebo dokument. To umožňuje retrospektivní analýzu možných úniků a v některých případech dodržení regulačních dokumentů, například standardu Bank of Russia STO BR IBBS-1.0-2008 (nepřístupný odkaz) .
Technologie IPC zahrnuje schopnost šifrovat informace ve všech klíčových bodech sítě. Předměty ochrany informací jsou:
Technologie IPC využívají různé zásuvné kryptografické moduly, včetně nejúčinnějších algoritmů DES, Triple DES, RC5, RC6, AES, XTS-AES. Nejpoužívanějšími algoritmy v řešeních IPC jsou RC5 a AES , jejichž účinnost lze otestovat na projektu [distributed.net]. Jsou nejúčinnější pro řešení úloh šifrování velkých objemů dat na serverových úložištích a zálohách. Řešení IPC podporují integraci s ruským algoritmem GOST 28147-89 , který umožňuje použití modulů IPC šifrování ve vládních organizacích
Dvoufaktorová autentizace je implementace řízení přístupu, což je identifikace uživatele na základě toho, co zná a co vlastní. Nejběžnější formou autentizace jsou často jednoduchá hesla, která si uživatel uchovává v paměti. Hesla vytvářejí slabé zabezpečení, protože je lze snadno prolomit nebo uhodnout (jedno z nejběžnějších hesel je „heslo“). Politika zabezpečení pouze pomocí hesla činí organizaci zranitelnou, takže IPC používá dvoufaktorové ověřování pomocí běžných tokenů USB .
Informační síť moderních organizací je ve většině případů heterogenní. To znamená, že servery s různými operačními systémy a velkým počtem aplikací koexistují ve stejné síti. V závislosti na typu činnosti podniku to mohou být e-mailové a skupinové pracovní aplikace, CRM -, ERP -, Sharepoint - systémy, systémy pro správu elektronických dokumentů, finanční a účetní systémy a tak dále. Počet hesel, která si běžný uživatel potřebuje zapamatovat, může v organizaci dosahovat v průměru 3 až 7. Uživatelé píší hesla na kousky papíru a lepí je na nápadná místa, čímž anulují veškeré snahy o ochranu informací, nebo je neustále pletou a zapomínají. hesla, což způsobuje zvýšené zatížení interní IT služby. Využití IPC v tomto případě umožňuje řešit i sekundární problém – zjednodušení života řadových zaměstnanců spolu se zvýšením úrovně zabezpečení.
Systémy IPC mají agenty ve všech klíčových bodech sítě: servery, úložiště, brány, PC (stolní počítače a notebooky), periferní zařízení a síťová uživatelská zařízení. Technologie IPC jsou implementovány pro Windows , Linux , Sun Solaris , Novell . Je podporována interoperabilita s Microsoft Active Directory , Novell eDirectory a dalšími LDAP . Většina komponent může efektivně pracovat v pracovních skupinách.