Владимирский государственный университет Кафедра информатики и защиты информации Жабин С.А., Каратыгин С.А. гр. КЗИ-104 Экспериментальное исследование механизмов защиты от инсайдерских атак Цель и задачи работы Цель работы: Экспериментально исследовать механизмы защиты от инсайдерских атак Задачи работы: Разработать методику проведения эксперимента Определить механизмы защиты и критерии методов испытания Подсчитать суммарный коэффициент производительности Применить методику для исследуемых программных решений Проанализировать полученные результаты Актуальность По данным всех опросов 70 – 80% потерь от ИТ-инцидентов происходит по вине легальных пользователей. Рынок внутренней информационной безопасности демонстрирует устойчивый рост, однако это еще очень молодой сегмент, на котором просто не успело сформироваться единое видение решения. С другой стороны, ежегодный рост числа утечек конфиденциальной информации, каждая из которых наносит существенный ущерб организации в виде упущенной выгоды и прямых потерь, заставляет специалистов в области безопасности акцентировать свое внимание именно на внутренних угрозах. К тому же многие организации уже имеют периметровые средства защиты, обеспечивающие приемлемый уровень защиты от нападений извне. Распределение утечек по носителям информации (2008 год) Утечки через сеть разделяются примерно поровну между случаями, когда веб-сервер был скомпрометирован (намеренно – хакером или случайно – вирусом) и когда работник случайно открыл общий доступ к конфиденциальной информации. Именно эти два носителя конфиденциальной информации стали лидирующими в прошедшем году. В 33% случаев носитель не выявлен. Распределение инцидентов по типу организации Классификация инсайдеров Тип Умысел Корысть Постановка задачи Действия невозможности информацию при похитить Халатный Нет Нет Нет Сообщение Манипулируемый Нет Нет Нет Сообщение Саботаж Да Нет Сам Отказ Нелояльный Да Нет Сам Имитация Злонамеренный Да Да Сам/Извне Отказ/Имитация/взлом Мотивированный извне Да Да Извне Взлом Любое нарушение легальным сотрудником политики безопасности организации автоматически делает его внутренним нарушителем. Подобные действия можно разделить на умышленные и неумышленные. Классификация инсайдерских угроз Угроза утечки конфиденциальной информации Обход средств защиты от утечки конфиденциальной информации Кража конфиденциальной информации по неосторожности Нарушение авторских прав на информацию Мошенничество Нецелевое использование информационных ресурсов компании Саботаж ИТ-инфраструктуры Наиболее опасной угрозой является утечка корпоративных секретов, в то время как остальные риски наносят значительно меньший ущерб. Утечка конфиденциальной информации приводит к снижению конкурентоспособности и ухудшению имиджа организации, а остальные угрозы зачастую причиняют лишь финансовый ущерб Средства защиты Системы выявления и предотвращения утечек Средства внутреннего контроля Системы сильной аутентификации (ЗА) Предотвращение нецелевого использования ИТ-ресурсов Архивирование корпоративной корреспонденции Механизмы защиты от внутренних угроз 1. 2. 3. 4. 5. 6. Сильная аутентификация Контекстный анализ Шифрование данных Архивирование данных Мониторинг и контроль трафика Мониторинг и контроль подключаемых устройств Критерии оценки механизмов Мониторинг каналов утечки данных. (сетевые: email,web, IM, рабочие станции: мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM) Унифирцированный менеджмент (средства управления политикой ИБ, средства управления аутентификации, формирование анализов и отчетов по всем событиям каналов мониторнига) Активная защита. (блокировать, изолировать, отслеживать, шифровать и архивировать важные данные) Учет как содержания и контекста.(Анализ содержания: ключевые слова, регулярные выражения, отпечатки, содержание. Контекст – тип приложения, протокол, активность, отправитель) Исследуемые продукты Праймтек «Insider» InfoWatch IW «Traffic Monitor» InfoWatch IW «Crypto Storage» Lumension Security «Sanctuary Device Control» Smart Protection Labs Software «SecrecyKeeper» SecurIT «Zlock» SpectorSoft «Spector 360» АтомПарк Софтваре «StaffCop» WebSense «Websense Content Protection» Информзащита «Security Studio» Инфосистемы Джет «Дозор Джет (СКВТ)» Инфосистемы Джет «Дозор Джет (СМАП)» Смарт Лайн Инк «DeviceLock» Мониторинг каналов утечки Компания Продукт Мониторинг каналов утечки Сетевые каналы Рабочие станции e-mail web IM Файловые операции Работа с буфером обмена Контроль email, web, IM “Праймтек” Insider 6 5 6 8 7 5 InfoWatch IW Traffic Monitor 9 8 8 8 6 8 InfoWatch IW Crypto Storage 1 1 1 5 1 1 0 0 0 4 4 3 7 6 6 6 5 4 Lumension Security Smart Protection Labs Software Sanctuary Device Control SecrecyKeeper Мониторинг каналов утечки Компания Продукт Мониторинг каналов утечки Сетевые каналы Рабочие станции e-mail web IM Файловые операции Работа с буфером обмена Контроль email, web, IM SecurIT Zlock 0 0 0 0 0 2 SpectorSoft Spector 360 7 7 6 5 6 4 АтомПарк Софтваре StaffCop 4 5 4 5 4 6 WebSense Websense Content Protection 9 9 7 8 8 8 Информзащита Security Studio 5 6 6 7 4 7 Инфосистемы Джет Дозор Джет (СКВТ) 3 3 2 3 2 3 Инфосистемы Джет Дозор Джет (СМАП) 5 4 5 1 1 4 Смарт Лайн Инк DeviceLock 0 0 0 5 4 0 Унифицированный менеджмент Компания Продукт Унифицированный менеджмент Средства управления политикой ИБ Средства управления аутентификацией Формирование анализов и отчетов по событиям каналов мониторинга “Праймтек” Insider 7 2 6 InfoWatch IW Traffic Monitor 7 2 7 InfoWatch IW Crypto Storage 0 0 2 Sanctuary Device Control 5 0 3 Lumension Security 5 2 4 Smart Protection Labs Software SecrecyKeeper SecurIT Zlock 0 1 0 SpectorSoft Spector 360 6 1 6 Унифицированный менеджмент Компания Продукт Унифицированный менеджмент Средства управления политикой ИБ Средства управления аутентификацией Формирование анализов и отчетов по событиям каналов мониторинга 5 1 4 8 3 7 5 1 6 АтомПарк Софтваре StaffCop WebSense Websense Content Protection Информзащита Security Studio Инфосистемы Джет Дозор Джет (СКВТ) 1 0 3 Инфосистемы Джет Дозор Джет (СМАП) 1 0 3 Смарт Лайн Инк DeviceLock 0 0 0 Активная защита Компания Продукт Активная защита Блокирован ие Изол. Отслеживан ия Шифрование данных Архивирование данных и аудит 8 7 7 3 0 “Праймтек” Insider InfoWatch IW Traffic Monitor 7 6 8 0 8 InfoWatch IW Crypto Storage 3 3 5 9 1 Sanctuary Device Control 2 2 2 0 0 Lumension Security Smart Protection Labs Software 6 4 6 0 0 SecrecyKeeper 1 1 2 0 0 SecurIT Zlock 6 6 6 0 0 SpectorSoft Spector 360 Активная защита Компания Продукт Активная защита Блокирова ние Изоля ция Отслежива ния Шифрование данных Архивирование данных и аудит 4 4 4 0 0 9 7 8 5 8 5 3 6 0 0 АтомПарк Софтваре StaffCop WebSense Websense Content Protection Информзащита Security Studio Инфосистемы Джет Дозор Джет (СКВТ) 4 6 7 0 7 Инфосистемы Джет Дозор Джет (СМАП) 6 5 6 0 7 2 2 2 0 7 Смарт Лайн Инк DeviceLock Учет содержания и контекста Компания Продукт Учет содержания и контекста Анализ содержания Ключевые слова и выражения Полное содержание Анализ контекста Поддержка разных форматов обрабатываемых файлов “Праймтек” Insider 0 0 0 0 InfoWatch IW Traffic Monitor 9 6 8 7 InfoWatch IW Crypto Storage 0 0 0 0 Sanctuary Device Control 0 0 0 0 Lumension Security 6 2 5 3 Smart Protection Labs Software SecrecyKeeper Учет содержания и контекста Компания Продукт Учет содержания и контекста Анализ содержания Ключевые слова и выражения Полное содержание Анализ контекста Поддержка разных форматов обрабатываемых файлов SecurIT Zlock 0 0 0 0 SpectorSoft Spector 360 3 0 3 2 АтомПарк Софтваре StaffCop 2 0 1 1 WebSense Websense Content Protection 9 7 8 9 Информзащита Security Studio 3 0 2 2 Инфосистемы Джет Дозор Джет (СКВТ) 6 5 2 5 Инфосистемы Джет Дозор Джет (СМАП) 3 1 3 3 Смарт Лайн Инк DeviceLock 0 0 0 0 Таблица весов для критериев Мониторинг каналов утечки Сетевые каналы Рабочие станции e-mail web IM Файловые операции Работа с буфером обмена Контроль e-mail, web, IM 0,7 0,8 0,5 0,9 0,3 0,8 Унифицированный менеджмент Средства управления политикой ИБ Средства управления аутентификацией Формирование анализов и отчетов по событиям каналов мониторинга 0,9 0,4 0,6 Учет содержания и контекста Анализ содержания Ключевые слова и выражения Полное содержание 0,7 0,8 Анализ контекста Поддержка разных форматов обрабатываемых файлов 0,6 0,4 Активная защита Блокирование Изоляция Отслеживания Шифрование данных Архивирование данных и аудит 0,8 0,5 0,8 0,7 0,5 Подсчет суммарного показателя S Pi Vi Суммарный показатель равен сумме всех критериев исследуемой системы умноженный на вес соответствующего критерия Диаграмма сравнения суммарного показателя 1.Insider 2. Traffic Monitor 3. Crypto Storage 4. Sanctuary Device Control 5.SecrecyKeeper 6. Zlock 7. Spector 360 8. StaffCop 9. Websense Content Protection 10. Security Studio 11. Дозор Джет (СКВТ) 12. Дозор Джет СМАП) 13. DeviceLock Выводы: Разработана методика проведения эксперимента Определены механизмы защиты от внутренних угроз Выделены критерии исследования механизмов защиты Проведено сравнение систем защиты от инсайдеров по заданным критериям