Владимирский государственный университет Кафедра информатики и защиты информации Жабин С.А.,

Владимирский государственный университет
Кафедра информатики и защиты информации
Жабин С.А.,
Каратыгин С.А. гр. КЗИ-104
Экспериментальное
исследование механизмов
защиты от инсайдерских атак
Цель и задачи работы
Цель работы:
 Экспериментально исследовать механизмы защиты от инсайдерских атак
Задачи работы:
 Разработать методику проведения эксперимента
 Определить механизмы защиты и критерии методов испытания
 Подсчитать суммарный коэффициент производительности
 Применить методику для исследуемых программных решений
 Проанализировать полученные результаты
Актуальность
По данным всех опросов 70 – 80% потерь от ИТ-инцидентов
происходит по вине легальных пользователей. Рынок внутренней
информационной безопасности демонстрирует устойчивый рост,
однако это еще очень молодой сегмент, на котором просто не успело
сформироваться единое видение решения.
С
другой
стороны,
ежегодный
рост
числа
утечек
конфиденциальной информации, каждая из которых наносит
существенный ущерб организации в виде упущенной выгоды и
прямых потерь, заставляет специалистов в области безопасности
акцентировать свое внимание именно на внутренних угрозах. К тому
же многие организации уже имеют периметровые средства защиты,
обеспечивающие приемлемый уровень защиты от нападений извне.
Распределение утечек по носителям
информации (2008 год)
Утечки через сеть разделяются
примерно
поровну
между
случаями, когда веб-сервер был
скомпрометирован (намеренно –
хакером или случайно – вирусом) и
когда работник случайно открыл
общий доступ к конфиденциальной
информации. Именно эти два
носителя
конфиденциальной
информации стали лидирующими в
прошедшем году.
В 33% случаев носитель не
выявлен.
Распределение инцидентов по типу
организации
Классификация инсайдеров
Тип
Умысел
Корысть
Постановка
задачи
Действия
невозможности
информацию
при
похитить
Халатный
Нет
Нет
Нет
Сообщение
Манипулируемый
Нет
Нет
Нет
Сообщение
Саботаж
Да
Нет
Сам
Отказ
Нелояльный
Да
Нет
Сам
Имитация
Злонамеренный
Да
Да
Сам/Извне
Отказ/Имитация/взлом
Мотивированный
извне
Да
Да
Извне
Взлом
Любое нарушение легальным сотрудником политики безопасности
организации автоматически делает его внутренним нарушителем. Подобные
действия можно разделить на умышленные и неумышленные.
Классификация инсайдерских угроз







Угроза утечки конфиденциальной информации
Обход средств защиты от утечки конфиденциальной информации
Кража конфиденциальной информации по неосторожности
Нарушение авторских прав на информацию
Мошенничество
Нецелевое использование информационных ресурсов компании
Саботаж ИТ-инфраструктуры
Наиболее опасной угрозой является утечка корпоративных секретов, в то
время как остальные риски наносят значительно меньший ущерб.
Утечка конфиденциальной информации приводит к снижению
конкурентоспособности и ухудшению имиджа организации, а остальные
угрозы зачастую причиняют лишь финансовый ущерб
Средства защиты





Системы выявления и предотвращения
утечек
Средства внутреннего контроля
Системы сильной аутентификации (ЗА)
Предотвращение нецелевого
использования ИТ-ресурсов
Архивирование корпоративной
корреспонденции
Механизмы защиты от внутренних угроз
1.
2.
3.
4.
5.
6.
Сильная аутентификация
Контекстный анализ
Шифрование данных
Архивирование данных
Мониторинг и контроль трафика
Мониторинг и контроль подключаемых
устройств
Критерии оценки механизмов




Мониторинг каналов утечки данных. (сетевые: email,web, IM, рабочие станции: мониторинг файловых
операций, работы с буфером обмена данными, а также
контроль e-mail, Web и IM)
Унифирцированный менеджмент (средства управления
политикой ИБ, средства управления аутентификации,
формирование анализов и отчетов по всем событиям
каналов мониторнига)
Активная защита. (блокировать, изолировать,
отслеживать, шифровать и архивировать важные
данные)
Учет как содержания и контекста.(Анализ содержания:
ключевые слова, регулярные выражения, отпечатки,
содержание. Контекст – тип приложения, протокол,
активность, отправитель)
Исследуемые продукты













Праймтек «Insider»
InfoWatch IW «Traffic Monitor»
InfoWatch IW «Crypto Storage»
Lumension Security «Sanctuary Device Control»
Smart Protection Labs Software «SecrecyKeeper»
SecurIT «Zlock»
SpectorSoft «Spector 360»
АтомПарк Софтваре «StaffCop»
WebSense «Websense Content Protection»
Информзащита «Security Studio»
Инфосистемы Джет «Дозор Джет (СКВТ)»
Инфосистемы Джет «Дозор Джет (СМАП)»
Смарт Лайн Инк «DeviceLock»
Мониторинг каналов утечки
Компания
Продукт
Мониторинг каналов утечки
Сетевые каналы
Рабочие станции
e-mail
web
IM
Файловые
операции
Работа с
буфером
обмена
Контроль email, web, IM
“Праймтек”
Insider
6
5
6
8
7
5
InfoWatch
IW Traffic
Monitor
9
8
8
8
6
8
InfoWatch
IW Crypto
Storage
1
1
1
5
1
1
0
0
0
4
4
3
7
6
6
6
5
4
Lumension
Security
Smart Protection
Labs Software
Sanctuary
Device Control
SecrecyKeeper
Мониторинг каналов утечки
Компания
Продукт
Мониторинг каналов утечки
Сетевые каналы
Рабочие станции
e-mail
web
IM
Файловые
операции
Работа с
буфером
обмена
Контроль email, web, IM
SecurIT
Zlock
0
0
0
0
0
2
SpectorSoft
Spector 360
7
7
6
5
6
4
АтомПарк Софтваре
StaffCop
4
5
4
5
4
6
WebSense
Websense Content
Protection
9
9
7
8
8
8
Информзащита
Security Studio
5
6
6
7
4
7
Инфосистемы Джет
Дозор Джет (СКВТ)
3
3
2
3
2
3
Инфосистемы Джет
Дозор Джет (СМАП)
5
4
5
1
1
4
Смарт Лайн Инк
DeviceLock
0
0
0
5
4
0
Унифицированный менеджмент
Компания
Продукт
Унифицированный менеджмент
Средства
управления
политикой ИБ
Средства управления
аутентификацией
Формирование анализов
и отчетов по событиям
каналов мониторинга
“Праймтек”
Insider
7
2
6
InfoWatch
IW Traffic Monitor
7
2
7
InfoWatch
IW Crypto Storage
0
0
2
Sanctuary Device
Control
5
0
3
Lumension Security
5
2
4
Smart Protection Labs
Software
SecrecyKeeper
SecurIT
Zlock
0
1
0
SpectorSoft
Spector 360
6
1
6
Унифицированный менеджмент
Компания
Продукт
Унифицированный менеджмент
Средства управления
политикой ИБ
Средства управления
аутентификацией
Формирование анализов
и отчетов по событиям
каналов мониторинга
5
1
4
8
3
7
5
1
6
АтомПарк Софтваре
StaffCop
WebSense
Websense Content
Protection
Информзащита
Security Studio
Инфосистемы Джет
Дозор Джет (СКВТ)
1
0
3
Инфосистемы Джет
Дозор Джет
(СМАП)
1
0
3
Смарт Лайн Инк
DeviceLock
0
0
0
Активная защита
Компания
Продукт
Активная защита
Блокирован
ие
Изол.
Отслеживан
ия
Шифрование
данных
Архивирование данных и
аудит
8
7
7
3
0
“Праймтек”
Insider
InfoWatch
IW Traffic Monitor
7
6
8
0
8
InfoWatch
IW Crypto Storage
3
3
5
9
1
Sanctuary Device
Control
2
2
2
0
0
Lumension Security
Smart Protection Labs
Software
6
4
6
0
0
SecrecyKeeper
1
1
2
0
0
SecurIT
Zlock
6
6
6
0
0
SpectorSoft
Spector 360
Активная защита
Компания
Продукт
Активная защита
Блокирова
ние
Изоля
ция
Отслежива
ния
Шифрование
данных
Архивирование данных и
аудит
4
4
4
0
0
9
7
8
5
8
5
3
6
0
0
АтомПарк
Софтваре
StaffCop
WebSense
Websense Content
Protection
Информзащита
Security Studio
Инфосистемы
Джет
Дозор Джет (СКВТ)
4
6
7
0
7
Инфосистемы
Джет
Дозор Джет (СМАП)
6
5
6
0
7
2
2
2
0
7
Смарт Лайн
Инк
DeviceLock
Учет содержания и контекста
Компания
Продукт
Учет содержания и контекста
Анализ содержания
Ключевые слова
и выражения
Полное
содержание
Анализ
контекста
Поддержка разных
форматов обрабатываемых
файлов
“Праймтек”
Insider
0
0
0
0
InfoWatch
IW Traffic Monitor
9
6
8
7
InfoWatch
IW Crypto Storage
0
0
0
0
Sanctuary Device
Control
0
0
0
0
Lumension Security
6
2
5
3
Smart Protection Labs
Software
SecrecyKeeper
Учет содержания и контекста
Компания
Продукт
Учет содержания и контекста
Анализ содержания
Ключевые
слова и
выражения
Полное
содержание
Анализ
контекста
Поддержка разных
форматов
обрабатываемых файлов
SecurIT
Zlock
0
0
0
0
SpectorSoft
Spector 360
3
0
3
2
АтомПарк Софтваре
StaffCop
2
0
1
1
WebSense
Websense Content
Protection
9
7
8
9
Информзащита
Security Studio
3
0
2
2
Инфосистемы Джет
Дозор Джет (СКВТ)
6
5
2
5
Инфосистемы Джет
Дозор Джет
(СМАП)
3
1
3
3
Смарт Лайн Инк
DeviceLock
0
0
0
0
Таблица весов для критериев
Мониторинг каналов утечки
Сетевые каналы
Рабочие станции
e-mail
web
IM
Файловые операции
Работа с буфером
обмена
Контроль e-mail, web, IM
0,7
0,8
0,5
0,9
0,3
0,8
Унифицированный менеджмент
Средства управления политикой ИБ
Средства управления аутентификацией
Формирование анализов и отчетов по
событиям каналов мониторинга
0,9
0,4
0,6
Учет содержания и контекста
Анализ содержания
Ключевые слова и выражения
Полное содержание
0,7
0,8
Анализ контекста
Поддержка разных форматов
обрабатываемых файлов
0,6
0,4
Активная защита
Блокирование
Изоляция
Отслеживания
Шифрование данных
Архивирование данных и аудит
0,8
0,5
0,8
0,7
0,5
Подсчет суммарного показателя
S 
 Pi  Vi
Суммарный показатель равен сумме всех
критериев исследуемой системы умноженный на
вес соответствующего критерия
Диаграмма сравнения суммарного
показателя
1.Insider
2. Traffic
Monitor
3. Crypto
Storage
4. Sanctuary
Device Control
5.SecrecyKeeper
6. Zlock
7. Spector 360
8. StaffCop
9. Websense
Content
Protection
10. Security
Studio
11. Дозор Джет
(СКВТ)
12. Дозор Джет
СМАП)
13. DeviceLock
Выводы:




Разработана методика проведения
эксперимента
Определены механизмы защиты от
внутренних угроз
Выделены критерии исследования
механизмов защиты
Проведено сравнение систем защиты от
инсайдеров по заданным критериям