Quanto mais sucesso a humanidade alcança na luta contra as ameaças cibernéticas externas, mais decisivamente vêm à tona as ameaças internas, que, segundo as estatísticas, estão associadas a mais de 70% de todos os incidentes de segurança. Este artigo resume a experiência de uma empresa integradora russa na área de criação de sistemas complexos para evitar o vazamento de informações confidenciais. Esses sistemas complexos são vitais para o funcionamento de muitas empresas e organizações modernas. As empresas usam todo um arsenal de maneiras de monitorar os funcionários: revisar correspondências de e-mail, ouvir conversas telefônicas, instalar câmeras de vigilância e monitorar o tráfego de sites na Internet. Essas ações são legais? Atualmente, informações confidenciais e dados pessoais são processados ​​nos sistemas automatizados de quase todas as empresas. Naturalmente, essas informações precisam ser protegidas. Mas como protegê-lo, qual a diferença entre os meios de proteção de um computador doméstico e os computadores em aplicações corporativas, quais tarefas de proteção da informação e como devem ser resolvidas de forma abrangente para garantir a proteção eficaz das informações confidenciais? Ninguém está imune à sabotagem da infraestrutura de TI. Qualquer funcionário pode, mesmo pelos motivos mais triviais, ficar ofendido pela direção ou pelos colegas e depois cometer uma verdadeira sabotagem: destruir informações extremamente importantes para a empresa, enviar cartas obscenas aos clientes da empresa, etc. variam desde um clima de trabalho deteriorado até perdas directas multimilionárias. As preocupações das empresas sobre a segurança interna de TI e a proteção dos seus ativos de informação são constantemente confirmadas por pesquisas realizadas por organizações líderes. De acordo com a Pesquisa de Crimes Informáticos do FBI de 2005, publicada em janeiro de 2006, 44% das empresas americanas sofreram graves incidentes internos de segurança de TI durante o ano, com pessoas internas roubando documentos confidenciais de empregadores, tentando deturpar informações para fins de fraude financeira, de equipamentos de escritório. , etc. Atualmente, no mercado de sistemas destinados a proteger informações confidenciais contra vazamentos (DLP), existem diversas tecnologias básicas de detecção, incluindo análise linguística e contextual, bem como impressões digitais e etiquetas. Muitos funcionários de organizações comerciais estão familiarizados com uma manifestação de controle corporativo como a grampeamento de telefones comerciais. Isso geralmente é realizado por agentes de segurança de organizações de grande e médio porte em nome da administração, e a escuta pode ser pública ou secreta. Como determinar quais funcionários da organização e candidatos a emprego estão causando ou podem prejudicar seus interesses? Como identificar potenciais alcoólatras, pessoas propensas ao roubo e aquelas que nunca trabalharão de forma produtiva? Afinal, todos eles podem se tornar funcionários da sua empresa. Compreender isso corretamente não é uma tarefa fácil. Este artigo fala sobre o papel do fator humano na garantia da segurança de uma organização, algumas fontes potenciais de riscos pessoais e medidas para proteger a organização delas. A proteção de informações corporativas contra ameaças internas nos últimos anos deixou de ser uma tendência da moda para empresas selecionadas e se tornou uma área completamente independente de segurança da informação. Os gestores de topo estão gradualmente a começar a reconsiderar a sua atitude em relação ao financiamento e a considerar a protecção de dados contra ameaças internas não apenas como uma fonte de despesas, mas também como uma vantagem competitiva da empresa. Muitas organizações formaram grupos e departamentos especiais para proteger segredos comerciais, dados pessoais e outras informações confidenciais. O valor da informação como um dos componentes de qualquer negócio dificilmente pode ser superestimado: segundo especialistas, a perda de apenas um quarto das informações classificadas como segredo comercial de uma organização em poucos meses leva à falência de metade destas. mesmas organizações que vazaram tais informações. No campo da tecnologia da informação, mais do que em qualquer outro campo, o sucesso de uma empresa baseia-se muitas vezes inteiramente num know-how de sucesso, num movimento tecnológico, numa estratégia de marketing ou mesmo apenas numa ideia original. Além disso, as informações mais valiosas sobre essas decisões, movimentos e ideias existem nas mentes dos funcionários da empresa. Não podemos deixar de concordar que o repositório está longe de ser o mais confiável em termos de proteção de informações confidenciais contra acesso ilegal ou indesejado de terceiros, ou contra uso injusto pelo próprio funcionário, por exemplo, para criar seu próprio desenvolvimento competitivo. A seguir discutiremos como um empregador pode controlar a divulgação de informações comercialmente importantes dentro e fora da empresa, como os direitos do empregado podem ser respeitados e que compensação ele deve receber por uma restrição conhecida desses direitos. E também como um funcionário é responsável por divulgar informações secretas de seu empregador. “Passe de mim este cálice!” Afastando de nós mesmos os pensamentos mais desagradáveis, pronunciamos esse feitiço secreto em vários momentos de nossas vidas. Seja uma ida a um mercado de roupas infestado de batedores de carteira ou um retorno tardio para casa. Às vezes não nos sentimos seguros, mesmo em nosso próprio apartamento. Os relatórios policiais lembram uma crônica de operações militares. Segundo as estatísticas, um roubo ocorre a cada 3,5 minutos na Rússia. Via de regra, não é possível detectar intrusos. Mas será que tal incômodo pode ser evitado? Especialistas da empresa Promet, fornecedora e fabricante líder de cofres domésticos e móveis metálicos, respondem a esta pergunta de forma bastante definitiva: um cofre fornecerá proteção confiável para suas economias. Recentemente, o problema da proteção contra ameaças internas tornou-se um verdadeiro desafio para o mundo compreensível e estabelecido da segurança da informação corporativa. A imprensa fala sobre insiders, pesquisadores e analistas alertam sobre possíveis perdas e problemas, e os feeds de notícias estão repletos de relatos sobre mais um incidente que levou ao vazamento de centenas de milhares de registros de clientes devido a um erro ou descuido de um funcionário. Vamos tentar descobrir se este problema é tão sério, se precisa ser resolvido e quais ferramentas e tecnologias disponíveis existem para resolvê-lo. Hoje em dia, cada vez mais organizações utilizam soluções DLP (Data Loss Prevention) para proteger informações corporativas contra vazamentos. Antes de implementar o DLP, cada empresa avalia os riscos e constrói um modelo de ameaças que especifica as classes de informações protegidas, os cenários de utilização dos dados e as ameaças associadas. Na maioria dos casos, unidades externas, impressoras, e-mail corporativo e diversos serviços web são reconhecidos como canais potenciais para vazamento de dados, e poucas pessoas pensam em proteger os dados gravados em fitas magnéticas ou outras mídias de backup, que são, em última análise, armazenados e transportados de forma desprotegida. . Estudando a segurança da informação das empresas e a eficácia das medidas para a garantir, actualmente implementadas nos sistemas de informação corporativa (CIS) dos bancos, chama-se inevitavelmente a atenção para um inquérito realizado em 2011 pela Sailpoint Technologies, num aspecto um pouco afastado das definições de “proteger um computador contra acesso não autorizado” e “acesso não autorizado às informações do computador” (USD) - os analistas avaliaram a lealdade dos funcionários da empresa à ética corporativa em termos de trabalho com informações restritas. Hoje, a ameaça interna é uma questão urgente para os serviços de segurança das empresas. As organizações fornecem aos seus funcionários temporários e permanentes acesso a informações críticas, o que representa uma séria ameaça à segurança da organização. É mais fácil para o pessoal da empresa roubar ou abusar de informações existentes do que para qualquer outra pessoa, uma vez que têm acesso direto aos ativos de informação da organização. De acordo com um estudo da Trustwave, 80% dos incidentes de segurança da informação ocorrem como resultado do uso de senhas fracas. Os insiders se tornaram a principal causa dos recentes incidentes no Departamento de Saúde dos estados de Utah e Carolina do Sul, nos Estados Unidos. A utilização de autenticação por palavra-passe nos sistemas de informação de empresas e organizações está a tornar-se obsoleta. Ao continuarem a aplicar esta metodologia tradicional de acesso aos seus próprios recursos de informação, as empresas estão, na verdade, a pôr em risco a rentabilidade e, talvez, a própria existência da empresa. Um dia, quase todas as organizações começam a perceber que precisam de proteção confiável das informações corporativas. Uma das formas mais eficazes de proteger seus dados é instalar um sistema DLP em sua empresa. Na maioria dos casos, a organização motiva a sua decisão pelo facto de estes sistemas protegerem de forma fiável as informações confidenciais e permitirem-lhes cumprir os requisitos das autoridades reguladoras. Quantas cópias foram quebradas no debate sobre se os insiders representam uma ameaça real aos negócios ou não. O setor bancário, estando na vanguarda das tecnologias modernas, sempre foi um dos primeiros a testar as mais recentes inovações no mundo das TI e no domínio da segurança da informação em particular. Autenticação de dois fatores, sistemas biométricos e muito mais. Tudo isso repercutiu onde as pessoas práticas preferem guardar suas economias. Mas é assim que funciona a nossa mentalidade eslava: “até que o trovão ressoe”. Portanto, vamos dissipar os principais mitos que ainda se encontram no setor bancário. Nos últimos dois anos, as três grandes operadoras já sofreram duas vezes grandes escândalos com mensagens SMS. Pela primeira vez, Yandex “ajudou” e, em princípio, o vazamento pode ser classificado como vazamento “negligente”. Mas desta vez... O Serviço de Segurança Federal informou que foi descoberto um grupo de invasores que receberam arquivos de correspondência SMS de três altos funcionários de Moscou de funcionários da MTS e da VimpelCom, após o que a VimpelCom confirmou o fato do vazamento de informações, e MTS, pelo contrário, refutou. Deixemos a busca dos culpados para a investigação e prestemos atenção aos materiais do caso: funcionários não identificados de centros técnicos de operadoras móveis transferiram informações confidenciais a terceiros. Na linguagem dos especialistas em segurança, ocorreram ações internas. Prevenir o vazamento de informações e o acesso não autorizado é uma das tarefas mais importantes do serviço de segurança da informação de qualquer organização. Se houver informações confidenciais (estado, segredos comerciais, dados pessoais), também existe o problema de protegê-las contra roubo, exclusão, modificação, visualização. À medida que uma empresa cresce, aumenta o risco de roubo de informações, inclusive por parte dos funcionários, aumentam os riscos financeiros e de reputação, o que leva a políticas e sistemas de controle mais rígidos. Hoje em dia, a informação é de grande valor. Possuí-lo oferece enormes oportunidades nos negócios, economia, política e outras áreas. Não é sem razão que dizem que quem possui a informação é o dono do mundo, e quem possui a informação alheia está muito melhor preparado para a competição do que os seus rivais. Existem muitos formatos de arquivo diferentes nos quais as informações de texto são armazenadas, incluindo TXT, RTF, DOC, DOCX, HTML, PDF e muitos outros. etc. Porém, nem uma única empresa, nem em nosso país nem em todo o mundo, ofereceu proteção para documentação XML. Vamos dar uma olhada mais de perto no que são os arquivos XML, por que eles precisam ser protegidos e como a proteção para esse formato foi criada pela primeira vez.

Com a proliferação generalizada de todos os tipos de dispositivos de armazenamento removíveis, o problema do insiderismo, que antes era bastante relevante, adquiriu uma escala verdadeiramente global. E não há absolutamente nada de surpreendente nisso. Hoje, qualquer funcionário que tenha acesso a informações confidenciais pode copiá-las facilmente e, o mais importante, silenciosamente para si mesmo e usá-las no futuro para diversos fins. E também é bom que por trás disso haja o desejo de simplesmente trabalhar com contratos em casa. Embora tal ação, independentemente das intenções do infrator, ainda aumente drasticamente o risco de comprometimento dos dados (os computadores domésticos geralmente são menos seguros, diferentes pessoas podem usá-los e a unidade pode ser perdida). Mas um funcionário pode copiar informações para transferi-las a concorrentes ou utilizá-las para fins pessoais. O exemplo mais simples e óbvio disso é copiar uma base de clientes (ou contratos com eles) antes da demissão, a fim de atraí-los para outra empresa.

O principal problema é que é impossível se proteger contra esse método de roubo de informações por meios padrão, ou seja, integrados aos sistemas operacionais. Tomemos, por exemplo, unidades flash USB. Eles são em miniatura, baratos e muito espaçosos. Com a ajuda deles, os funcionários podem “remover” silenciosamente gigabytes de informações do sistema de informações corporativo. No entanto, você não pode simplesmente desabilitar as portas USB nas estações de trabalho - hoje elas são necessárias para conectar muitos dispositivos: impressoras, teclados, mouses, chaves para execução de software, etc. usando CD/DVDs, telefones celulares, etc. Até mesmo uma impressora comum pode se tornar uma ameaça. Afinal, o funcionário tem a oportunidade de imprimir informações confidenciais e levar as impressões para casa. Porém, você também não poderá desligá-los, pois normalmente todos esses dispositivos são necessários para que os funcionários desempenhem suas funções profissionais.

A única maneira de proteger uma empresa contra roubo de informações confidenciais através de diversas unidades removíveis é implementar um sistema de restrição e controle sobre seu uso. É implementado usando software especial. Por alguma razão, muitas empresas têm certeza de que tais produtos são muito complexos e sua implementação e manutenção requerem algum tipo de qualificação especial. No entanto, isso não é absolutamente verdade. O sistema para diferenciar direitos de acesso a dispositivos de computador externos e internos é tão simples que não apenas um administrador qualificado, mas até mesmo um usuário de PC experiente pode lidar com ele. E para confirmar essas palavras, hoje veremos um exemplo de implementação do produto Zlock da SecurIT em um IP corporativo. É importante notar que não pode proteger contra vazamento de informações confidenciais via Internet (por exemplo, via e-mail via ICQ, etc.), isso requer outros produtos com um princípio de operação completamente diferente (por exemplo, Zgate do mesmo desenvolvedor) . Mas Zlock lida com sucesso com a tarefa de monitorar todos os tipos de unidades removíveis e impressoras.

Estrutura Zlock

Antes de começar a falar sobre o procedimento de instalação do sistema em questão, é preciso entender sua estrutura. Zlock consiste em cinco partes.

· Console de gerenciamento. Um programa que permite ao administrador gerenciar totalmente o sistema, incluindo instalação em estações de trabalho, alteração de políticas de acesso, trabalho com servidores de log e configuração, etc.

· Módulo cliente. Um utilitário instalado em estações de trabalho. É ela quem controla e bloqueia o acesso de acordo com políticas específicas. Além disso, o módulo cliente interage com o servidor de log, verifica a integridade do Zlock, etc.

· Servidor de registros. Um sistema para receber, armazenar e processar informações sobre eventos transmitidos por módulos clientes. Fornece acesso conveniente de administrador a todos os dados.

· Servidor de configuração. Sistema de gerenciamento de configuração centralizado Zlock.

· Módulo de configuração Zlock via políticas de grupo. Um módulo para instalação e atualização do sistema através de políticas de grupo.

Primeiro de tudo, você precisa descobrir onde quais módulos estão instalados. Fica claro que o console de gerenciamento deve ser instalado no computador do administrador ou funcionário responsável pela segurança da informação da empresa. Este processo não é diferente da instalação de qualquer outro software e, portanto, não iremos nos alongar nele em detalhes.

O servidor de log e o servidor de configuração não são, em princípio, necessários para o funcionamento do sistema. Zlock pode lidar com sucesso com as tarefas atribuídas a ele sem eles. Entretanto, o servidor de log é muito conveniente para visualizar eventos em todas as estações de trabalho ao mesmo tempo. Pois bem, o servidor de configuração é indispensável em grandes redes corporativas. Com sua ajuda, você pode gerenciar facilmente as configurações dos módulos clientes em um grande número de estações de trabalho. Eles são instalados novamente como software normal. Este procedimento é realizado localmente a partir da distribuição incluída no Zlock.

A etapa final de instalação do sistema em questão é a instalação dos módulos clientes em todos os computadores que necessitam de monitoramento. Isso pode ser feito de duas maneiras (não consideramos a opção de instalação manual por motivos óbvios). A primeira delas envolve o uso do console de gerenciamento. Após iniciá-lo, vários grupos ficam localizados no painel esquerdo da janela principal. Você precisa encontrar entre eles e abrir a árvore “Computadores e Aplicativos” e, em seguida, abrir o ramo “Sem Aplicativos”. Ele conterá uma lista completa de computadores da rede local que não possuem o sistema Zlock instalado.

Para iniciar o procedimento de instalação das partes clientes, o administrador precisa selecionar um computador ou computadores de destino (você também pode especificar um domínio inteiro) e clicar no botão “Instalar ou atualizar o Zlock...” localizado na barra de ferramentas. Na janela que se abre, você deve especificar a pasta com a distribuição do programa (a melhor opção seria uma pasta de rede à qual todos os usuários tenham acesso), e também selecionar a opção de instalação. São três: com reinicialização manual ou forçada dos computadores, bem como sem reinicialização. É importante notar que a última e mais conveniente opção não pode ser usada para atualizar peças de clientes instaladas anteriormente. Concluindo, resta selecionar os PCs nos quais será realizada a instalação (talvez você não queira instalar o Zlock em todos os computadores da rede), e também especificar um usuário com direitos de administrador local. Além disso, em caso de autoridade insuficiente, o programa pode solicitar que outro usuário insira dados.

Outra opção para implantar um sistema de proteção em estações de trabalho corporativas é utilizar políticas de grupo. Para isso, o Zlock vem com um pacote de instalação especial. O procedimento de instalação em si é familiar a quase todos os administradores de sistema. Primeiro de tudo, você precisa criar uma pasta de rede e copiar os arquivos Zlock30 para ela. msi e Zlockmsi. ini e fornecer acesso a ele a todos os usuários do domínio. Se você já possui um arquivo de configuração, pode colocá-lo no mesmo diretório. Neste caso, será aplicado automaticamente a todos os módulos clientes instalados. Se não existir tal arquivo, o sistema aplicará uma política padrão, que precisará ser configurada no futuro.

Depois disso, nas propriedades do domínio corporativo (acessado através do console do Active Directory), você precisa ir até a aba “Política de Grupo” e criar uma nova política. Na janela desta política, você precisa expandir a árvore "Configuração do Computador", selecionar "Instalar programas" e criar um novo pacote, em cujas propriedades especifique o caminho de rede para o Zlock30. msi. Como resultado, a instalação do sistema Zlock é realizada usando ferramentas padrão do sistema operacional.

Configurando políticas de acesso

Talvez a operação mais importante no processo de implementação do sistema de segurança Zlock seja a definição de políticas de acesso. Eles determinam a capacidade de todos os usuários de trabalhar com determinados dispositivos. Cada política consiste em três partes. A primeira é uma lista de dispositivos ou seus grupos, para cada um dos quais são especificados os direitos de acesso de diferentes usuários. A segunda parte da política são as configurações para cópia de sombra de arquivos copiados para várias unidades. Bem, a terceira parte determina as configurações para cópia de sombra de documentos impressos em impressoras. Além disso, cada apólice possui uma série de propriedades adicionais, que discutiremos a seguir.

O princípio de funcionamento das políticas é o seguinte. Cada estação de trabalho contém uma ou mais políticas atribuídas pelo administrador. Quando ocorre algum evento controlado pelo sistema de proteção (conectar um dispositivo, tentar copiar um arquivo para um dispositivo de armazenamento removível, imprimir um documento, etc.), o módulo cliente verifica a conformidade com todas as políticas por sua vez (o pedido é definido pelo sistema de prioridades) e aplica o primeiro que lhe corresponder. Ou seja, o Zlock não possui o sistema de exclusão usual. Se, por exemplo, você precisar bloquear todas as unidades flash USB, exceto uma específica, será necessário usar duas políticas. A primeira, de baixa prioridade, proíbe o uso de unidades removíveis. E a segunda, de nível superior, permite a utilização de uma instância específica. Além daquelas criadas pelo administrador, existe também uma política padrão. Define direitos de acesso aos dispositivos que não estão descritos em outras políticas.

Bem, agora vamos ver o procedimento para criar uma política. Para iniciá-lo, você precisa selecionar a estação de trabalho desejada na árvore do console de gerenciamento e estabelecer uma conexão com ela. Depois disso, você precisa selecionar o item “Adicionar” no menu “Política”. A janela que se abre consiste em cinco guias. O primeiro é denominado “Acesso”. Especifica o nome da política que está sendo criada, sua prioridade e direitos de acesso aos dispositivos. Há quatro opções disponíveis: acesso total para todos os usuários, acesso somente leitura aos dispositivos para todos os usuários, negar acesso aos dispositivos para todos os usuários e configurar individualmente os direitos de acesso do dispositivo para usuários e grupos. Os propósitos dos três primeiros ficam claros em seus nomes. Mas a última opção vale a pena observar separadamente. Com sua ajuda, você pode definir direitos diferentes para usuários individuais, o que é muito conveniente, pois muitas vezes diferentes funcionários podem trabalhar no mesmo computador. Para inserir os direitos de acesso, deve-se clicar no botão “Editar” e adicionar as contas necessárias (computador local ou domínio) na janela que se abre, definindo as permissões para cada uma delas.

Depois de inserir os parâmetros básicos, você precisa especificar uma lista de dispositivos e grupos aos quais a política será aplicada. Para fazer isso, use a guia "Dispositivos". Existem quatro maneiras de inserir equipamentos no Zlock.

· Dispositivos típicos. Esta opção envolve a seleção de todos os dispositivos de um determinado tipo, por exemplo, todas as unidades removíveis, unidades de CD/DVD, discos rígidos, etc.

· Dispositivo USB com características específicas. Permite definir dispositivos USB por tipo, fabricante, nome do produto, número de série do dispositivo, etc.

· Impressoras. Usado para inserir impressoras locais ou de rede específicas.

Usando esses métodos, você pode criar uma lista de dispositivos muito precisa e flexível. Vale ressaltar que você pode escolher não apenas o equipamento que está conectado ao PC no momento, mas também aquele que já foi utilizado nele (muito importante para unidades removíveis). Além disso, o administrador pode criar um chamado diretório de dispositivos. Este é um arquivo que lista todos os dispositivos conectados aos computadores da rede corporativa. Ele pode ser criado manualmente ou automaticamente, verificando todas as estações de trabalho.

Em princípio, depois disto já temos uma política completamente viável. No entanto, o Zlock oferece uma série de configurações adicionais que expandem a funcionalidade do sistema de proteção. Assim, por exemplo, se você criar uma política que não deveria estar em vigor o tempo todo, será necessário definir um cronograma para sua operação. Isso é feito na guia de mesmo nome. Aqui você pode definir os intervalos durante os quais a política estará em vigor. O administrador pode inserir a data de expiração da política, horário, dias da semana ou dias do mês em que ela estará ativa.

Se o computador para o qual a política está sendo criada puder ser desconectado da rede corporativa e/ou conectado a ela via Internet, você poderá definir parâmetros especiais para ele. Para fazer isso, vá até a aba "Regras de aplicação". Ele lista três pontos de possível status do PC em relação ao domínio corporativo: o domínio está disponível localmente, o domínio está disponível via VPN, o domínio está indisponível. Para desabilitar a política de qualquer um deles, basta desativar a caixa de seleção correspondente. Por exemplo, se você deseja impossibilitar a impressão de algo de um computador desconectado da rede corporativa, basta criar uma política que proíba o uso de impressoras e ativar os itens “Domínio indisponível” e “Domínio acessível via VPN” em as regras de aplicação.

Depois de criar uma ou mais políticas em um computador, você poderá distribuí-las rapidamente para outros PCs. Para isso, no console de gerenciamento é necessário estabelecer uma conexão com todas as estações necessárias e selecionar o item “Configuração de distribuição” no menu “Serviço”. Na janela que se abre, verifique as políticas e os computadores necessários, ative a caixa de seleção “Propagação de política em segundo plano” e selecione a ação que o programa deve executar ao detectar políticas com nomes correspondentes (perguntar, substituir ou não substituir). Depois disso, clique no botão “OK” e aguarde até que o processo seja concluído.

Qualquer política pode ser alterada no futuro. Para isso, basta conectar-se ao computador onde foi criado originalmente, localizá-lo na “árvore” e clicar duas vezes nele com o mouse. Isso abrirá uma janela já familiarizada com o procedimento de criação de uma política, na qual você poderá alterar determinados parâmetros. Observe que se a política que você editou já foi distribuída para outros computadores, antes de alterá-la você deve primeiro estabelecer uma conexão com todos esses PCs. Neste caso, ao salvar as alterações, o próprio programa Zlock se oferecerá para sincronizar políticas desatualizadas com a nova. A exclusão de políticas é feita da mesma maneira.

Configurando registro e sombreamento

O sistema Zlock possui um sistema de registro. Graças a ele, um administrador ou outro responsável pela segurança da informação pode visualizar e analisar todos os eventos monitorados. Para habilitá-lo, você precisa selecionar o item “Configurações” no menu “Ferramentas” e ir até a aba “Logging” na janela que se abre. Ele lista todos os eventos possíveis (bloqueio de gravação em um dispositivo, alteração de acesso à rede, alteração de configuração, aplicação de políticas de acesso, etc.), bem como seu status em termos de registro.

Para habilitar o registro de um ou mais eventos, você precisa clicar no sinal de mais e selecionar uma opção de registro: gravar em um arquivo (log de eventos do sistema ou um arquivo arbitrário no formato TXT ou XML), em um banco de dados no servidor SQL ou servidor de registro, enviando uma carta por e-mail.

Depois disso, na janela que se abre, é necessário configurar os parâmetros de log (dependem da opção selecionada: nome do arquivo, parâmetros de acesso ao banco de dados, etc.), marcar os eventos necessários e clicar no botão “OK”.

O registro em diário de operações de arquivo é configurado separadamente. Eles se referem a ações como criar, alterar e editar arquivos, criar e excluir diretórios, etc. É claro que faz sentido manter esses registros apenas ao usar unidades removíveis. Portanto, esse tipo de registro está vinculado a políticas de acesso. Para configurá-lo, você precisa selecionar “Operações de Arquivo” no menu “Ferramentas” do console de gerenciamento. Na janela que se abre, em primeiro lugar, você precisa selecionar as políticas para as quais o log será realizado. Faz sentido selecionar aqueles que controlam o uso de unidades removíveis: dispositivos USB, unidades de CD/DVD, etc. Depois disso, você precisa inserir as ações que o sistema executará quando operações de arquivo forem detectadas. Para adicionar cada um deles, você precisa clicar no sinal de mais e selecionar a opção desejada. Três ações estão relacionadas ao registro: registrar informações sobre um evento em um arquivo, em um banco de dados ou enviar um e-mail. A última opção é executar o programa ou script especificado.

Em seguida, você pode configurar a cópia de sombra. Esta é uma função muito importante do sistema Zlock que não deve ser negligenciada. Ele fornece duplicação imperceptível de arquivos copiados ou impressos em um armazenamento especial. A cópia de sombra é necessária quando os funcionários precisam usar impressoras ou dispositivos de armazenamento removíveis para desempenhar suas funções profissionais. Nestes casos, é quase impossível evitar a fuga de informação por meios técnicos. Mas a cópia de sombra permitirá que você responda rapidamente e interrompa futuros incidentes.

Para definir os parâmetros de cópia de sombra, você deve selecionar o item de mesmo nome no menu “Ferramentas”. Primeiro de tudo, você pode configurar o armazenamento local. Para fazer isso, você precisa especificar a pasta na qual os arquivos serão salvos, inserir o volume disponível (em megabytes ou porcentagem de espaço livre no disco rígido), e também selecionar uma ação quando estiver cheio (sobrescrever arquivos no armazenamento, proibir ou permitir cópia e impressão).

Se necessário, você pode configurar a cópia de sombra para armazenamento de rede. Para fazer isso, vá até a aba "Copiando para o servidor" e ative a caixa de seleção "Transferir informações sobre cópia de sombra e arquivos para o servidor". Caso a transferência deva ser realizada imediatamente, deve-se selecionar a opção “Transferir arquivos o mais rápido possível”. Outra opção é possível - o sistema copiará os arquivos em uma frequência especificada. Depois disso, você precisa selecionar uma pasta de rede na qual os arquivos serão gravados. Observe que faz sentido selecionar um diretório ao qual apenas o administrador tenha acesso. Caso contrário, o funcionário poderá fazer login e excluir ou pelo menos visualizar os arquivos salvos. Ao selecionar tal pasta, você deve inserir o login e a senha de um usuário que tenha autoridade para gravar informações nela.

Bem, para concluir a configuração, basta ir até a guia “Políticas” e especificar as políticas sob as quais a cópia de sombra funcionará.

Sistema de autorização temporária

Em princípio, nós, queridos leitores, já discutimos o processo de implementação do Zlock. Após sua conclusão, o sistema de proteção interna funcionará, auxiliando a empresa a evitar vazamento de informações comerciais e pessoais. Porém, o Zlock possui outro recurso muito interessante que facilita muito a vida do administrador. Estamos a falar de um sistema de emissão de autorizações temporárias de utilização de determinados dispositivos.

Por que você deseja focar a atenção neste ponto específico? Tudo é muito simples. A prática mostra que muitas vezes surgem situações em que um dos funcionários precisa utilizar um dispositivo que normalmente lhe é proibido. Além disso, tal necessidade pode surgir com urgência. Como resultado, surge o pânico; procura-se com urgência um administrador, que deve alterar a política de acesso e, o mais importante, lembrar de alterá-la novamente mais tarde. Claro, isso é muito inconveniente. É muito melhor usar um sistema de autorização temporária.

Para usá-lo, primeiro você precisa gerar um certificado de administrador. Para isso, selecione o item “Certificado…” no menu “Serviço” e, na janela que se abre, clique no botão “Alterar certificado”. Depois disso, no assistente você deve selecionar o botão de opção “Criar um novo certificado” e inserir seu nome. Resta então conectar-se a computadores remotos, selecionar “Configurações” no menu “Ferramentas”, ir até a aba “Geral” na janela que se abre e clicar no botão “Instalar”.

No Zlock, as licenças temporárias podem ser usadas de duas maneiras – por e-mail e por telefone. No primeiro caso, a criação de uma solicitação é feita da seguinte forma. O usuário deve clicar com o botão direito no ícone do Zlock na bandeja do sistema e selecionar “Criar solicitação” no menu suspenso. Na janela que se abre, ele precisa selecionar o dispositivo desejado e os direitos de acesso (somente leitura ou acesso total), inserir o endereço do administrador e, se necessário, um breve comentário. Neste caso, uma carta com um arquivo de solicitação anexado será gerada no cliente de e-mail instalado por padrão no sistema. Ao recebê-lo, o administrador deve clicar duas vezes nele com o mouse. Isso abrirá uma janela com informações sobre a solicitação. Se o administrador concordar em processá-lo, ele precisará clicar no botão “Avançar”. Isto abrirá a janela para criação de uma nova política, na qual o dispositivo necessário já foi inserido. O administrador só pode definir o agendamento operacional para esta política. Pode ser permanente ou único. No segundo caso, a política vigorará apenas até o usuário encerrar a sessão do Windows ou até que o dispositivo seja removido (dependendo da escolha do administrador). Esta política pode ser transferida para o computador do funcionário da forma usual ou através de um arquivo especial via e-mail (será protegido por um certificado de administrador). Ao recebê-lo, basta o usuário iniciá-lo, após o que terá acesso ao dispositivo desejado.

O sistema de autorização por telefone funciona de maneira semelhante. O usuário deve primeiro criar uma solicitação. Este procedimento é quase idêntico ao que discutimos acima. Somente na última etapa não é gerado um e-mail, mas um código especial composto por cinco blocos de números e letras. O funcionário deve ligar para o administrador e ditar esse conjunto de caracteres para ele. O administrador é obrigado a inserir este código em uma janela especial (ele é acessado através do item “Process request” do menu “Política”). Ao mesmo tempo, informações detalhadas sobre a solicitação aparecerão na tela. A seguir, o administrador pode criar uma política de uma maneira que já conhecemos. A única diferença é que na última etapa o sistema irá gerar outro código. Seu administrador deve ditá-lo a um funcionário, que, ao inseri-lo em um campo especial, poderá ativar o acesso ao dispositivo.

Vamos resumir

Assim, como vemos, o procedimento para implementar um sistema de proteção contra pessoas internas não é, em princípio, complicado. Para executá-lo você não precisa ter nenhuma habilidade especial. Qualquer administrador de sistema com conhecimento básico de tecnologias de rede pode lidar com isso. No entanto, vale ressaltar que a eficácia da proteção depende inteiramente da competência e da integridade das políticas de acesso. É este momento que deve ser abordado com a maior seriedade e este trabalho deve ser realizado por um funcionário responsável.

Zlock: Controle o acesso a dispositivos USB

Testando Zlock

As principais vantagens esperadas do sistema, juntamente com as principais características funcionais, devem ser a facilidade de implementação e a clareza intuitiva das etapas de instalação e configuração.

Figura 1. Política de acesso padrão

Depois, você precisa pensar nas políticas de acesso do próprio serviço Zlock, que também se aplicará quando instalado nos sites dos clientes. Edite a política de acesso para as configurações da parte cliente do programa, permitindo ou proibindo que os usuários vejam o ícone e recebam avisos sobre alterações na política de acesso. Por um lado, estes avisos são convenientes, pois ao enviar um pedido de acesso ao administrador, o utilizador será notificado se a política alterada for aplicada ao seu posto de trabalho. Por outro lado, os administradores de sistema muitas vezes preferem não fornecer aos usuários confirmação visual desnecessária dos serviços de segurança em execução na estação de trabalho.

Em seguida, a política criada (neste caso, ela permanece local para a estação de trabalho do console) é salva como um arquivo denominado default. zcfg para a pasta com a distribuição da parte do cliente.

Todos. Isto completa a preparação global do sistema para instalação em massa. O produto impressiona pela facilidade de criação de políticas associadas ao uso do princípio padrão de criação de direitos de usuário, como ACL.

Para instalar em todos os computadores, uma mensagem pop-up foi enviada aos usuários solicitando que ligassem todas as estações de trabalho da rede que estavam próximas, mas não em uso no momento. Depois de selecionar todas as estações de trabalho da rede da lista de computadores para conectar (ou melhor, selecionar todos e depois excluir os servidores), iniciei o processo de conexão para posterior instalação da parte cliente. A conexão a um número tão grande de computadores (150), é claro, demorou relativamente, pois é realizada de forma sequencial e, se o computador for desligado, ocorre o tempo limite da conexão. Porém, o procedimento só deverá ser realizado durante a instalação inicial, então as políticas serão controladas com base nas necessidades pessoais dos usuários. Quando tentei instalar “de uma só vez” a parte cliente em todos os 150 computadores da rede local, encontrei pequenos problemas em diversas estações de trabalho, mas o sistema foi instalado automaticamente na maioria dos computadores. Na verdade, houve apenas um problema com a instalação - a incompatibilidade do Zlock com versões desatualizadas do driver de proteção de CD - StarForce. Para uma interação correta, você precisa atualizar o driver StarForce baixando-o do site do fabricante. Isso também foi feito remotamente usando um serviço de instalação remota. A explicação do motivo dessa incompatibilidade, na minha opinião, tem direito à vida - afinal, o Zlock interage com o subsistema de E/S em um nível inferior às funções de aplicação do SO - assim como a proteção contra cópia de CD.

Depois de selecionar as estações de trabalho, você será solicitado a indicar de onde deseja executar a distribuição do instalador. É esta função que permite instalar outros programas desta forma sem sair do local de trabalho. Tenha cuidado ao escolher a opção de instalação - “Com reinicialização” ou “Reinicialização necessária”. Se você selecionar "Com reinicialização" - após a conclusão da instalação, as estações de trabalho clientes serão reinicializadas automaticamente sem solicitar confirmação ao usuário.

Isso conclui a instalação inicial e, após a reinicialização, o cliente Zlock começará a executar a política de segurança prescrita. Ao mesmo tempo, o ícone do serviço Zlock aparece na bandeja, dando aos usuários a oportunidade de criar solicitações de acesso, bem como editar as próprias políticas, se, é claro, isso lhes for permitido pela política padrão que criamos.

Esforçando-se pela total confidencialidade...

Depois disso, de fato, começa o ajuste fino do sistema Zlock. Se na sua empresa os funcionários muitas vezes precisam salvar algo em mídia removível e você gostaria de manter a política de segurança no nível mais rigoroso, então coordene seu horário de trabalho para que você possa estar presente no local de trabalho com a maior frequência possível na semana seguinte a instalação. Para manter o máximo rigor da política de acesso, recomenda-se a criação de regras para dispositivos removíveis específicos, pois o Zlock permite conceder acesso aos dispositivos até mesmo com base em suas características completas, como marca, modelo, número de série, etc. A situação é mais complicada nas empresas de TI, pois os funcionários precisam constantemente gravar todo tipo de informação em discos CD/DVD-R/RW. Neste caso, podemos recomendar a utilização de estações de trabalho dedicadas com unidades de gravação, nas quais as políticas de segurança do sistema criarão regras que não permitirão o acesso à rede a partir desses computadores. No entanto, tais sutilezas estão além do escopo de um artigo dedicado ao Zlock.

Como isso funciona na prática?

Agora vamos ver como tudo fica em ação. Deixe-me lembrá-lo de que a política de acesso que criei permite que os usuários leiam em todos os dispositivos removíveis e proíbe a gravação neles. Um funcionário do departamento de serviço chega ao escritório para enviar relatórios e registrar tarefas em disco. Quando um dispositivo removível é conectado, o sistema restringe o acesso e emite um aviso correspondente (ver Fig. 2).

Figura 2. Aviso de restrição de acesso

O funcionário lê as informações que lhe são trazidas e, em seguida, tenta, sem sucesso, anotar as tarefas recebidas do gestor. Caso seja necessário obter acesso, ele entra em contato com o administrador por telefone ou cria uma solicitação automática através do Applet Zlock Tray, indicando o dispositivo ao qual deseja obter acesso, nomeia sua conta e motiva a necessidade desse acesso.

O administrador, ao receber tal solicitação, decide conceder/não conceder tal acesso e, se a decisão for positiva, altera a política desta estação de trabalho. Neste caso, a solicitação criada contém todas as informações sobre o dispositivo, incluindo fabricante, modelo, número de série, etc., e o sistema Zlock permite criar quaisquer políticas com base nesses dados. Desta forma podemos conceder permissão de escrita a um usuário específico em um dispositivo específico, se necessário mantendo um registro de todas as operações do arquivo (ver Fig. 3).

Figura 3. Criando uma política baseada em uma solicitação do usuário

Assim, o processo de criação de políticas de permissão adicionais é extremamente facilitado para o administrador e se reduz ao princípio Check&Click, o que sem dúvida agrada.

Problemas

Não é possível abrir portas no firewall para administração remota do Zlock?

Para administrar remotamente o Zlock no firewall, basta abrir uma porta. Por padrão, esta é a porta 1246, mas pode ser alterada se este número não for adequado por algum motivo. A propósito, isso diferencia nosso produto de alguns análogos que utilizam o serviço Remote Procedure Calls (RPC) para administração, que por padrão requer a abertura de muitas portas e é bastante vulnerável a ataques externos. Como você sabe, a maioria dos vírus modernos usa vulnerabilidades no RPC para se infiltrar em um computador e obter privilégios administrativos nele.

2) Problema

Temos a seguinte situação. Em um departamento, dois funcionários trabalham em um computador. Todo mundo tem um pen drive. A tarefa é garantir que o pen drive do primeiro funcionário esteja legível, mas o pen drive do segundo funcionário não. O principal problema é que essas unidades flash têm os mesmos números (VID_058F e PID_6387 têm 256 MB e 1 Gb). Por favor me diga o que fazer nesta situação? Muito obrigado.

Os números dos quais você está falando são ID do produto e ID do fornecedor. Para restringir o acesso a dispositivos com os mesmos identificadores de produto e fabricante nas políticas Zlock, você deve especificar seu número de série. É importante notar que nem todos os fabricantes de unidades USB atribuem números de série exclusivos aos seus produtos; normalmente, os fabricantes sem nome são culpados de não ter números de série;

II. Revisão do SecurITZgate

Nesta revisão, começamos uma história detalhada sobre o SecurIT Zgate, uma solução empresarial projetada para analisar o tráfego da Internet no nível do gateway, a fim de detectar e bloquear tentativas de vazamento de dados confidenciais ou outras ações não autorizadas por parte dos funcionários.

Introdução

De acordo com o conceito de proteção abrangente contra ameaças internas promovido pelas empresas SecurIT, o produto gateway SecurIT Zgate é uma parte importante do sistema IPC. O conceito IPC inclui DLP (Data Loss Prevention) e soluções para proteção de dados durante o armazenamento. A combinação de tecnologias aparentemente diferentes foi proposta pela primeira vez pelo analista da IDC Brian Burke no relatório Pesquisa de Proteção e Controle de Informações: Prevenção de Perda de Dados e Tendências de Criptografia.

Os sistemas IPC controlam a lista de canais padrão para sistemas DLP: e-mail, recursos Web (Web mail, redes sociais, blogs), ICQ, dispositivos USB e impressoras. O IPC adiciona criptografia de dados a esses recursos em servidores, fitas e terminais de rede, como PCs, laptops e dispositivos móveis de armazenamento. Além da lista de canais controlados e meios de armazenamento criptografados, os IPCs diferem significativamente na gama de métodos de detecção de dados confidenciais.

Assim, o sistema SecurIT Zgate, que permite evitar vazamentos de informações confidenciais pelos canais de rede, é uma parte importante, senão fundamental, de um sistema IPC unificado. O SecurIT Zgate analisa todos os dados transmitidos pelos funcionários fora da rede de informação da organização. O SecurIT Zgate utiliza modernas tecnologias de detecção automática que determinam com precisão o nível de confidencialidade das informações transmitidas, levando em consideração as características do negócio e os requisitos de diversos padrões do setor.

1. Requisitos do sistema

Os requisitos mínimos de sistema para a solução SecurIT Zgate são apresentados na tabela abaixo.

2. Principais características do SecurIT Zgate:

Filtragem de tráfego de entrada, saída e interno.

Análise de conteúdo de mensagens e arquivos transmitidos usando qualquer combinação de métodos de categorização automática.

Compatível com qualquer sistema de correio (MTA) que utilize o protocolo SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, etc.

Trabalhe em modo de monitoramento passivo com cópia dos dados transmitidos ou em modo ativo de bloqueio de incidentes em tempo real.

Políticas flexíveis para verificação, bloqueio e arquivamento de dados com capacidade de configurar até 30 parâmetros.

Aplique políticas com base no tempo de transmissão, na direção do tráfego e na localização do usuário.

Ferramentas convenientes para gerenciar dicionários que descrevem diversas categorias de documentos.

Capacidade de verificar manualmente mensagens e arquivos suspeitos.

Modificação de mensagens e capacidade de notificar os usuários sobre a filtragem dos resultados.

Integração com aplicativos de terceiros para processamento adicional por sistemas antivírus e anti-spam.

A capacidade de manter um arquivo completo de dados transmitidos, incluindo arquivos anexos, no Microsoft SQL Server ou Oracle Database.

Arquitetura escalável e modular para atender aos requisitos de desempenho mais rigorosos.

Instalação e gerenciamento através de um único console para todos os produtos SECURIT.

Amplas possibilidades para separar funções de administrador.

Suporte para importação de informações estatísticas para vários designers de relatórios, por exemplo, Crystal Reports ou FastReport.

3. Instalação do SecurIT Zgate

Importante! Se você planeja usar as ferramentas de processamento de correio SecurIT Zgate dentro do Microsoft Exchange 2007/2010, a parte do servidor SecurIT Zgate deve ser instalada no mesmo computador onde o Microsoft Exchange está instalado.

SecurIT Zgate usa InstallShield padrão para instalação. Vale ressaltar que toda a instalação é simples e não causa dificuldades.

Figura 1: Iniciando a instalação do SecurIT Zgate

Observe na Figura 2 que o servidor de log não é instalado por padrão. Ele pode ser implantado em outro computador. O log de eventos pode ser armazenado em um arquivo XML, usando um servidor de log separado ou um banco de dados (MSSQL Server ou Oracle Database).

Figura 2: Seleção de módulos para instalação do SecurIT Zgate

O trabalho com o SecurIT Zgate é realizado através do console de gerenciamento. Para se comunicar com o servidor SecurIT Zgate, o console de gerenciamento utiliza o protocolo TCP/IP e a porta 1246. Não se esqueça de abrir esta porta no firewall. Você pode alterar esta porta posteriormente, se necessário.

Se quiser usar o SecurIT Zgate nos modos sniffer, você precisa instalar o driver WinPcap em um computador com o servidor SecurIT Zgate já instalado. O driver WinPcap está incluído no kit de distribuição SecurIT Zgate.

O console de gerenciamento pode ser instalado no mesmo computador onde o SecurIT Zgate já está instalado ou em um computador separado.

Então, vamos começar a trabalhar com o Zgate SecurIT.

4. Introdução e configuração inicial do SecurIT Zgate

Figura 3: Visão geral do console de gerenciamento SecurIT Zgate

Para começar, você precisa estabelecer uma conexão com o computador no qual a parte servidor do sistema está localizada. A lista de computadores está localizada no lado esquerdo do console de gerenciamento, no elemento da árvore "Sem aplicativos". Em nosso exemplo, instalamos o servidor SecurIT Zgate no computador VM-2003TEST, que iremos selecionar.

Depois de selecionarmos o computador que precisamos e a conexão com ele ser bem-sucedida, ele é transferido da seção “Sem aplicativos” para os nós dos aplicativos que estão instalados nele (no nosso caso, este é o SecurIT Zgate) e uma árvore Uma lista semelhante a configurações e recursos é aberta (Figura 4).

Figura 4: Conexão bem-sucedida ao computador – novas opções disponíveis

Deve-se observar que a lista de computadores em um domínio é determinada através do NetBIOS ou carregada do Active Directory. Se você tiver um grande número de computadores na rede, poderá usar a opção de pesquisa.

Se o computador não estiver na lista "Sem aplicativos", a conexão poderá ser estabelecida manualmente. Para fazer isso, abra o menu “Conexão” no console de gerenciamento e selecione “Criar uma conexão”. Na janela que se abre, insira o nome do computador, endereço IP, porta (padrão 1246) e informações do usuário (Figura 5). Por padrão, os direitos de acesso para configuração do SecurIT Zgate são configurados de forma que os usuários pertencentes ao grupo de administradores locais tenham acesso total a todas as funções do sistema.

Figura 5: Criando uma conexão manualmente

Então, vamos dar uma olhada nas configurações do servidor SecurIT Zgate uma por uma.

São comuns. Nesta seção (Figura 6) você define as configurações do servidor de correio interno, a porta do servidor de correio interno, o modo de operação do servidor, o diretório para armazenamento temporário de mensagens processadas e o tamanho máximo deste diretório.

Figura 6: Configurações gerais do servidor de e-mail no SecurIT Zgate

Como pode ser visto na figura, os modos de operação “Filtragem de correio dentro do Microsoft Exchange 2007/2010” e “Registro de correio dentro do Microsoft Exchange 2007/2010” não estão disponíveis, pois atualmente não temos o Microsoft Exchange instalado e configurado. O modo de espelhamento (análise de uma cópia do tráfego transmitido) está disponível porque o driver WinPcap está instalado.

O espelhamento de mensagens enviadas usando tráfego SMTP criptografado (criado usando o protocolo TLS com o comando STARTTTLS) e usando a extensão do protocolo XEXCH50 Exchange ESMTP não é suportado.

Recepção. Esta seção configura a recepção de correio para funcionar em vários modos de operação do servidor (Figura 7).

Figura 7: Configurando a recepção de e-mail para funcionar em modo proxy (logging)

Ao configurar a filtragem ou registro no modo proxy, defina a interface de rede e o número da porta (padrão 25) para receber mensagens de fora do sistema SecurIT Zgate; interface de rede e número da porta usada para receber mensagens do servidor de correio interno; diretório para mensagens recebidas e seu tamanho máximo. O diretório da caixa de entrada armazena e-mails recebidos pelo SecurIT Zgate até que sejam processados ​​ou encaminhados.

Na mesma aba, você pode configurar a proteção contra ataques de negação de serviço. Como pode ser visto na Figura 7, a proteção contra ataques a serviços consiste em uma série de condições, caso não sejam atendidas a mensagem não será aceita. Essas condições podem ser ativadas ou desativadas dependendo da necessidade ou inutilidade de uma verificação específica.

Se o servidor SecurIT Zgate operar em modo de análise de tráfego espelhado (habilitado na aba de configurações São comuns), então a guia Recepção tem o seguinte formato (Figura 8).

Figura 8: Configurando a recepção de e-mail no modo de análise de tráfego espelhado

Nas configurações deste modo de operação, você especifica a interface de rede na qual o tráfego espelhado é recebido, o endereço IP do servidor de e-mail espelhado, as portas que o servidor espelhado usa para receber e enviar e-mails, bem como o diretório para armazenar mensagens recebidas. mensagens e seu volume.

Importante! Para que o SecurIT Zgate opere em modo de espelhamento, é necessário que o switch de rede ao qual o computador com SecurIT Zgate está conectado suporte a função de espelhamento. O Port Mirroring permite que o tráfego seja copiado para uma porta de controle para que possa ser analisado sem interferir no fluxo.

Porém, a presença de um switch com capacidade de espelhamento de porta não é necessária se o SecurIT Zgate estiver instalado no servidor proxy da organização ou se o SecurIT Zgate estiver instalado no computador a partir do qual o tráfego está sendo monitorado.

Quando selecionado na guia São comuns modos de operação do servidor Filtragem de correio no Microsoft Exchange 2007/2010 ou Registro de correio no Microsoft Exchange 2007/2010, guias Recepção E Transmissão são substituídos Guia Microsoft Exchange.

Na aba Microsoft Exchange são configurados o diretório de mensagens recebidas e enviadas e seu volume máximo (os diretórios são projetados para organizar uma fila de mensagens enviadas para processamento ou para o servidor de e-mail do destinatário). Você também pode selecionar a opção "Monitorar correio interno" nesta guia. Neste modo, também serão verificadas as mensagens internas entre clientes do servidor de correio controlado. Esse recurso é muito importante, pois torna possível controlar a correspondência interna dos colaboradores.

A parte inferior da guia exibe informações sobre erros ou avisos.

Transmissão. As configurações de transmissão de correio não dependem do modo de operação do servidor e são as mesmas para filtragem e registro no modo proxy e para espelhamento (Figura 9).

Figura 9: Configurações de transferência de correio no SecurIT Zgate

Aqui são configurados os seguintes parâmetros: o número máximo de conexões de saída simultâneas; padrões de tentativa de conexão; uma lista de domínios de correio servidos pelo servidor de correio interno; servidor de entrega, para o qual o correio enviado externamente é transferido (se o servidor de entrega não for especificado e o domínio do destinatário não for interno, então o correio é entregue pelo próprio SecurIT Zgate, conectando-se diretamente ao servidor de correio do destinatário); um host inteligente para o qual as cartas são encaminhadas aos destinatários de domínios aceitos, mas não nas listas de licenciamento; diretório para mensagens de saída e seu tamanho máximo. Além disso, cartas são enviadas ao host inteligente para as quais o SecurIT Zgate não conseguiu determinar o endereço do servidor de e-mail via DNS ou o servidor de e-mail relatou que o destinatário não existe.

O diagrama de conexão com o servidor de correio do destinatário consiste em séries. Uma série consiste em um determinado número de tentativas de conexão ao servidor do destinatário da mensagem e no intervalo em minutos entre as tentativas. Se a conexão não puder ser estabelecida de acordo com o esquema, a carta será excluída e uma mensagem correspondente será exibida no log. Neste caso, uma mensagem de erro é enviada ao remetente.

Guia Zgate Web foi projetado para evitar vazamentos de informações pela Internet, por exemplo, no caso de funcionários enviarem intencionalmente ou acidentalmente dados confidenciais por meio de seu webmail, publicarem em um fórum ou blog ou enviarem via ICQ.

O funcionamento do Zgate Web é garantido pelo espelhamento de portas no switch ou pela interceptação do tráfego de rede no computador no qual o SecurIT Zgate está instalado. Para usar o Zgate Web, o driver WinPcap deve estar instalado no computador no qual o servidor SecurIT Zgate está instalado.

Na versão atual, o Zgate Web intercepta o tráfego transmitido utilizando os seguintes protocolos e recursos:

Protocolo de mensagens instantâneas AOL ICQ;

Protocolo de transferência de arquivos FTP;

Protocolo de transferência de dados HTTP;

serviços de correio: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

serviços de envio de mensagens SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

fóruns implementados com base nos softwares PhpBb, IpBoard, Vbulletin.

Como você pode ver, as capacidades de controle de tráfego são impressionantes.

Para cada mensagem, o módulo de interceptação Zgate Web gera uma carta contendo informações sobre a mensagem e um conjunto de parâmetros adicionais relacionados ao serviço utilizado. Esta carta é colocada nas mensagens recebidas e processada pelo sistema SecurIT Zgate da mesma forma que uma carta normal recebida através do protocolo SMTP.

As configurações do Zgate Web são mostradas na Figura 10.

Figura 10: Configurações da Web do Zgate

Nesta guia você pode ativar ou desativar o Zgate Web, bem como especificar a interface de rede da qual o tráfego é copiado, visualizar e editar a lista de intervalos de endereços dos pacotes analisados ​​​​(você pode adicionar seus próprios intervalos), selecionar um diretório para armazenar arquivos temporários e seu tamanho, e selecione os módulos de análise necessários para o trabalho.

Para adicionar seu intervalo de endereços para pacotes analisados, você precisa clicar no botão “+”, que está localizado à direita da lista de pacotes analisados, a seguinte janela será aberta (Figura 11).

Figura 11: Adicionando um intervalo de endereços para pacotes analisados ​​no SecurIT Zgate

Após especificar os endereços e portas que necessitamos, bem como selecionar uma ação (analisar ou excluir da análise), clique em OK. A nova gama está pronta para ser lançada.

Arquivo. O arquivo destina-se ao armazenamento centralizado de cópias de cartas, sua visualização e encaminhamento. Além disso, as cartas em quarentena são armazenadas no arquivo. O arquivo na forma de banco de dados pode ser organizado usando Oracle ou Microsoft SQL Server (Figura 12). Algumas das configurações relacionadas às configurações de arquivo estão localizadas na guia Avançado (item Configurações no menu Ferramentas).

Figura 12: Selecionando um banco de dados e configurando parâmetros de arquivo no SecurIT Zgate

Para utilizar o arquivo, precisamos instalar e configurar o MSSQL Express ou Oracle (especificado nos requisitos mínimos do sistema).

Depois de especificarmos as configurações e o usuário necessários para acessar o banco de dados, podemos testar a conexão com o próprio banco de dados. O botão “Verificar conexão” destina-se a esta finalidade (Figura 13). Você também pode especificar a capacidade de compactar dados. Escolha o “meio-termo” entre velocidade e volume de dados.

Figura 13: Tudo está pronto para funcionar com o banco de dados - a conexão está estabelecida

Licença. O objetivo da guia fica claro pelo próprio nome. O número de endereços de e-mail licenciados, o período de validade da licença e a lista de módulos licenciados do SecurIT Zgate - Email Control (Zgate Mail) e Web Traffic Control (Zgate Web) são exibidos aqui. Os módulos licenciados são marcados com uma marca de seleção verde (Figura 14).

Figura 14: Visualize e gerencie licenças no SecurIT Zgate

Estatisticas. Tudo fica claro com esta guia também. As estatísticas de operação do servidor SecurIT Zgate são exibidas aqui (Figura 15).

Figura 15: Estatísticas de desempenho do servidor SecurIT Zgate

Adicionalmente. Esta guia exibe configurações adicionais do sistema (Figura 16). Uma descrição detalhada de cada parâmetro pode ser encontrada na documentação do produto.

Figura 16: Configurações para parâmetros adicionais de operação do SecurIT Zgate

Acesso. O sistema SecurIT Zgate oferece a capacidade de diferenciar direitos de acesso para gerenciar e trabalhar com arquivos de mensagens entre vários usuários. Esta aba permite configurar o acesso ao sistema (Figura 17).

Figura 17: Controle de acesso ao sistema SecurIT Zgate

Como já dissemos, por padrão os direitos de acesso para configuração do SecurIT Zgate são configurados de forma que os usuários pertencentes ao grupo de administradores locais tenham acesso total a todas as funções.

Para adicionar um usuário ou grupo de usuários à lista de acesso, clique no botão “+” e selecione a conta ou grupo desejado. Em seguida, na parte inferior da janela, especifique os direitos que deseja atribuir à conta especificada. O ícone “V” significa que o usuário tem permissão para realizar esta operação, e o ícone “X” significa que o usuário não tem acesso a esta função. Os direitos do usuário e do grupo ao qual ele pertence são resumidos de forma semelhante ao sistema de controle de acesso aceito no Windows.

Como exemplo, selecionamos o usuário Guest e demos a ele o direito de visualizar parâmetros e estatísticas (Figura 18).

Figura 18: Selecionando um usuário e atribuindo-lhe os direitos apropriados

Exploração madeireira. O sistema SecurIT Zgate permite implementar processamento adicional das operações que realiza através de um mecanismo de processamento de eventos. Uma opção para tal processamento é registrar a operação do SecurIT Zgate no log do sistema Windows, em um arquivo ou em um Microsoft SQL Server.

Por padrão, o log de eventos está desabilitado (Figura 19). Você pode ativar de forma independente o registro de um evento específico e escolher exatamente como o registro de eventos será mantido.

Figura 19: Lista de eventos que serão monitorados no SecurIT Zgate

Habilitar o registro de um evento é muito simples. Para fazer isso, precisamos selecionar o evento que precisamos e clicar no botão “+” à direita da lista de eventos e, a seguir, selecionar a opção de registro desejada. Vamos, como exemplo, escolher a opção “journaling” (Figura 20).

Figura 20: Configurando opções de log de eventos para um arquivo ou log do sistema

Pode-se observar que neste caso você pode selecionar a opção de registrar no log do sistema, e pode selecionar qualquer computador na rede local para armazenar este log, ou pode selecionar a opção de registrar em um arquivo. Além disso, três opções estão disponíveis para o formato do arquivo: texto ANSI, texto Unicode e XML. A diferença entre escrever um log no formato XML e escrever em um arquivo de texto é que um arquivo de log no formato XML pode ser analisado usando o sistema SecurIT Zgate. Esta opção não é possível para arquivos de texto.

Você também pode selecionar o local do arquivo de log e os direitos do usuário em cujo nome o registro será realizado.

Figura 21: Selecionando eventos para efetuar login no SecurIT Zgate

Depois de selecionar os eventos desejados, basta clicar no botão “Concluir”. O resultado é visível na Figura 22. Próximo aos eventos registrados, apareceram ícones correspondentes indicando os parâmetros de registro e o local onde o registro será gravado.

Figura 22: Você pode ver três eventos registrados em um arquivo XML

Você também pode fazer logon em um servidor de log e no Microsoft SQL Server. O log no servidor SQL, o registro das informações sobre o evento é realizado pelo módulo de processamento em um banco de dados organizado pelo Microsoft SQL Server.

Ao escolher o login no Microsoft SQL Server, você precisará selecionar o servidor com MSSQL, especificar os parâmetros do usuário e verificar a conexão com o banco de dados. Se tudo estiver correto, ao verificar a conexão será solicitado a criação de um novo banco de dados, cujo nome é indicado pelo sistema SecurIT Zgate (Figura 23).

Figura 23: Selecionando um servidor de banco de dados e especificando parâmetros de conexão para ele

Figura 24: Confirmação de criação de estrutura interna de banco de dados para armazenamento de logs

Figura 25: Especificando os eventos que serão registrados

Figura 26: Vemos eventos que serão registrados no servidor SQL especificado

Roteiros. Outro tipo de processamento adicional de operações realizadas pelo SecurIT Zgate pode ser a execução de scripts (scripts) e o lançamento de arquivos executáveis.

Quando o evento selecionado ocorrer, o aplicativo especificado será iniciado ou o script especificado será executado. A lista de eventos é semelhante à lista de eventos para criação de log.

Esta opção pode ser utilizada, por exemplo, para enviar um SMS sobre um evento ou para bloquear uma estação de trabalho até a chegada de um segurança.

Figura 27: Selecionando um arquivo executável

Na mesma janela, você pode especificar o caminho para o arquivo de script e especificar o usuário em cujo nome o arquivo ou script será executado. Observe que, por padrão, os aplicativos são iniciados na conta SYSTEM.

Figura 28: Lista de eventos que irão acionar a aplicação

Neste ponto completamos a etapa de configuração preliminar do sistema SecurIT e passamos à configuração dos subsistemas de filtragem.

Configurando análise e filtragem de conteúdo

Agora vamos ver as opções para configurar um sistema de análise de conteúdo.

Dicionários. Os dicionários em Zgate são entendidos como grupos de palavras unidas por alguma característica (categoria). Via de regra, a presença em uma carta de palavras de um dicionário específico com alto grau de probabilidade permite classificar a letra na categoria caracterizada por este dicionário. Dicionários no sistema Zgate são usados ​​para filtragem nos métodos de Análise de Dicionário e Processamento Bayesiano.

Figura 29: Janela de gerenciamento de dicionário no SecurIT Zgate

Como o SecurIT Zgate utiliza os mesmos dicionários tanto na análise de uma mensagem de e-mail quanto no processamento pelo método bayesiano, na criação de dicionários, dois parâmetros são sempre atribuídos a uma palavra: peso na categoria e peso na anticategoria. Por padrão, ambos os parâmetros são definidos como 50.

Para adicionar um dicionário, você precisa clicar no botão “+” na janela de gerenciamento de dicionário, e para adicionar palavras ao dicionário, você precisa selecionar o dicionário desejado e clicar no botão “lápis” (Figura 30, 31) .

Figura 30: Adicionando um dicionário ao SecurIT Zgate

Figura 31: Adicionando uma palavra ao dicionário no SecurIT Zgate

Ao inserir palavras, você pode usar caracteres especiais:

qualquer número de letras ou números;

Qualquer caractere (letra ou número);

^ - um caractere delimitador (espaço, tabulação, avanço de linha);

Um caractere separador ou sinal de pontuação;

# - caractere de um dígito;

@ - caractere de uma letra.

Os caracteres corretos para o dicionário são os caracteres (,),<, >, (, ), - , _, caracteres especiais e caracteres especiais como caracteres simples (qualquer caractere especial pode se tornar um caractere regular adicionando uma barra invertida). Por exemplo, teste* significa que a palavra teste* está no dicionário. E teste* significa que o dicionário contém todas as palavras que começam com teste - teste, testes, testes, etc.

Além de criar e preencher um dicionário manualmente, você pode criar um dicionário importando palavras de um arquivo pré-preparado, e também existe a possibilidade de gerar um dicionário automaticamente.

Ao importar palavras de um arquivo, cada palavra importada receberá uma categoria padrão e um peso anticategoria. Os caracteres incorretos para o dicionário são substituídos por padrão por um delimitador (espaço) durante a importação.

A geração automática de um dicionário a partir de um arquivo é possível usando um arquivo de texto especialmente preparado com um conjunto apropriado de palavras, bem como documentos reais que pertencem ou não a uma categoria ou outra.

Além dos métodos de análise linguística, você pode usar o método de “impressão digital”, popular para esta classe de produtos - um método de busca de cópias de documentos controlados ou partes de documentos em uma mensagem postal. Neste caso, o texto pesquisado pode ser modificado ou apenas parte dele pode estar presente na carta.

O método de impressão digital envolve a criação de uma “impressão digital” de todos os documentos confidenciais. As impressões digitais recebidas são armazenadas em um banco de dados atualizado (automaticamente) e reabastecido. Caso seja necessária a verificação de algum documento, é calculada uma “impressão digital” para ele, a seguir é pesquisada uma impressão digital semelhante entre as impressões digitais de documentos confidenciais armazenados no banco de dados. Se a impressão digital do arquivo que está sendo verificado for semelhante à impressão digital armazenada no banco de dados, será emitido um aviso (notificação) correspondente.

Para começar a trabalhar com o banco de dados de impressões digitais, você precisa ir ao menu "Ferramentas" e executar o comando "Impressões digitais".

Figura 32: Gerenciamento de banco de dados de impressões digitais no SecurIT Zgate

Para adicionar uma nova categoria de documentos para impressão digital, você deve clicar

botão "+". Para editar, pressione o botão “lápis” e o botão “X” para excluir uma categoria.

Figura 33: Criando uma categoria de documento no SecurIT Zgate

Além disso, ao criar uma categoria, é indicado o tempo de atualização do banco de dados de impressões digitais, são especificados os parâmetros do usuário em nome de quem os arquivos serão acessados ​​e são adicionados arquivos que contêm palavras comumente usadas e excluídas da verificação.

Os seguintes formatos de arquivo podem ser usados ​​para criar impressões:. TXT,. doutor,. docx,. xls,. xlsx,. ppt,. pptx,. pdf,.html,. rtf,. estranho,. ah,. odp,. dbf,. wps,. xml* (o formato xml é analisado como um documento de texto normal).

A categoria criada pode ser submetida a testes de verificação. Uma verificação de arquivo de teste usando o método de impressão digital tem como objetivo determinar a exatidão das configurações da impressão digital e a exatidão das descrições das categorias. Durante a verificação, é determinado se a impressão digital do arquivo (documento) verificado é semelhante à impressão digital de um documento armazenado em um banco de dados previamente criado de uma determinada categoria. A busca por documentos semelhantes é realizada levando-se em consideração o fato de que alguns ou todos os caracteres russos do documento verificado podem ser substituídos por caracteres ingleses com grafia semelhante e vice-versa.

Para realizar uma verificação, é necessário clicar no botão “Verificar” na parte inferior da janela de gerenciamento do banco de dados de impressões digitais e selecionar o arquivo a verificar, indicando o percentual de probabilidade de similaridade.

Esse sistema de categorização desenvolvido permite criar categorias separadas para diferentes conteúdos de mensagens. Por sua vez, isto permite categorizar corretamente as notificações de incidentes no registo e permite ao responsável pela segurança definir prioridades e responder rapidamente aos eventos.

Figura 35: Configurando parâmetros de verificação de tráfego no SecurIT Zgate

Figura 36: Resultado do teste

Proteção contra pessoas internas usando uma combinação de Zgate e Zlock

Hoje, existem dois canais principais para o vazamento de informações confidenciais: dispositivos conectados ao computador (todos os tipos de dispositivos de armazenamento removíveis, incluindo unidades flash, unidades de CD/DVD, etc., impressoras) e a Internet (e-mail, ICQ, redes sociais, etc.). E, portanto, quando uma empresa está “madura” para implementar um sistema de proteção contra eles, é aconselhável abordar esta solução de forma abrangente. O problema é que diferentes abordagens são usadas para cobrir diferentes canais. Num caso, o método de proteção mais eficaz será o controle sobre o uso de unidades removíveis e, no segundo, várias opções de filtragem de conteúdo, permitindo bloquear a transferência de dados confidenciais para uma rede externa. Portanto, as empresas têm que utilizar dois produtos para proteção contra infiltrados, que juntos formam um sistema de segurança abrangente. Naturalmente, é preferível usar ferramentas de um desenvolvedor. Nesse caso, o processo de implantação, administração e treinamento dos funcionários é simplificado. Como exemplo podemos citar os produtos da SecurIT: Zlock e Zgate.

Zlock: proteção contra vazamentos através de unidades removíveis

O programa Zlock já está no mercado há algum tempo. E já descrevemos suas principais capacidades. Em princípio, não adianta me repetir. Porém, desde a publicação do artigo, foram lançadas duas novas versões do Zlock, que adicionaram uma série de recursos importantes. Vale a pena falar sobre isso, mesmo que brevemente.

Em primeiro lugar, vale destacar a possibilidade de atribuir diversas políticas a um computador, que são aplicadas de forma independente dependendo se o computador está conectado diretamente à rede corporativa, via VPN, ou funciona de forma autônoma. Isto permite, em particular, bloquear automaticamente portas USB e unidades de CD/DVD quando o PC é desconectado da rede local. No geral, esse recurso aumenta a segurança das informações armazenadas em laptops, que os funcionários podem levar para fora do escritório quando viajam ou para trabalhar em casa.

A segunda novidade é fornecer aos funcionários da empresa acesso temporário a dispositivos bloqueados ou mesmo grupos de dispositivos por telefone. O princípio de seu funcionamento é a troca de códigos secretos gerados pelo programa entre o usuário e o funcionário responsável pela segurança da informação. Vale ressaltar que a permissão de uso pode ser emitida não apenas de forma permanente, mas também temporária (por determinado tempo ou até o final da sessão de trabalho). Esta ferramenta pode ser considerada um leve relaxamento no sistema de segurança, mas permite aumentar a capacidade de resposta do departamento de TI às solicitações do negócio.

A próxima inovação importante nas novas versões do Zlock é o controle sobre o uso de impressoras. Após a configuração, o sistema de segurança registrará todas as solicitações do usuário aos dispositivos de impressão em um registro especial. Mas isso não é tudo. Zlock agora oferece cópia de sombra de todos os documentos impressos. São escritos em formato PDF e são uma cópia completa das páginas impressas, independente do arquivo enviado à impressora. Isso ajuda a evitar o vazamento de informações confidenciais em folhas de papel quando alguém de dentro imprime os dados para retirá-los do escritório. O sistema de segurança também inclui cópia de sombra de informações gravadas em discos CD/DVD.

Uma inovação importante foi o aparecimento do componente de servidor Zlock Enterprise Management Server. Ele fornece armazenamento centralizado e distribuição de políticas de segurança e outras configurações do programa e facilita significativamente a administração do Zlock em sistemas de informação grandes e distribuídos. Também é impossível não mencionar o surgimento de um sistema de autenticação próprio, que, se necessário, permite abandonar o uso de usuários de domínio e locais do Windows.

Além disso, a versão mais recente do Zlock possui várias funções menos perceptíveis, mas também bastante importantes: monitoramento da integridade do módulo cliente com a capacidade de bloquear o login do usuário quando for detectada adulteração, capacidades expandidas para implementação de um sistema de segurança, suporte para o Oracle SGBD, etc.

Zgate: proteção contra vazamentos de Internet

Então, Zgate. Como já dissemos, este produto é um sistema de proteção contra vazamento de informações confidenciais pela Internet. Estruturalmente, o Zgate consiste em três partes. O principal deles é o componente servidor, que realiza todas as operações de processamento de dados. Ele pode ser instalado em um computador separado e em nós já em execução no sistema de informação corporativo - gateway de Internet, controlador de domínio, gateway de correio, etc. Este módulo, por sua vez, é composto por três componentes: monitoramento do tráfego SMTP, monitoramento do correio interno do servidor Microsoft Exchange 2007/2010, além do Zgate Web (é responsável pelo monitoramento do tráfego HTTP, FTP e IM).

A segunda parte do sistema de segurança é o servidor de registro. Ele é usado para coletar informações de eventos de um ou mais servidores Zgate, processá-las e armazená-las. Este módulo é especialmente útil em sistemas corporativos grandes e distribuídos geograficamente, pois fornece acesso centralizado a todos os dados. A terceira parte é o console de gerenciamento. Ele usa um console padrão para produtos SecurIT e, portanto, não iremos nos alongar sobre isso. Observamos apenas que com a ajuda deste módulo você pode controlar o sistema não apenas localmente, mas também remotamente.

Console de gerenciamento

O sistema Zgate pode operar em vários modos. Além disso, a sua disponibilidade depende do método de implementação do produto. Os dois primeiros modos envolvem trabalhar como servidor proxy de correio. Para implementá-los, o sistema é instalado entre o servidor de correio corporativo e o “mundo exterior” (ou entre o servidor de correio e o servidor de envio, se estiverem separados). Nesse caso, o Zgate pode filtrar o tráfego (atrasar mensagens infratoras e questionáveis) e apenas registrá-lo (passar todas as mensagens, mas salvá-las no arquivo).

O segundo método de implementação envolve o uso do sistema de proteção em conjunto com o Microsoft Exchange 2007 ou 2010. Para fazer isso, você precisa instalar o Zgate diretamente no servidor de e-mail corporativo. Existem também dois modos disponíveis: filtragem e registro. Além disso, existe outra opção de implementação. Estamos falando de registrar mensagens no modo de tráfego espelhado. Naturalmente, para utilizá-lo é necessário garantir que o computador no qual o Zgate está instalado receba esse mesmo tráfego espelhado (geralmente isso é feito através de equipamentos de rede).

Selecionando o modo de operação Zgate

O componente Zgate Web merece uma história separada. Ele é instalado diretamente no gateway de Internet corporativo. Ao mesmo tempo, este subsistema ganha a capacidade de monitorar o tráfego HTTP, FTP e IM, ou seja, processá-lo de forma a detectar tentativas de envio de informações confidenciais através de interfaces de web mail e ICQ, publicando-as em fóruns, servidores FTP e redes sociais. redes etc. A propósito, sobre o ICQ. A função de bloqueio de mensageiros IM está disponível em muitos produtos similares. No entanto, não há “ICQ” neles. Simplesmente porque é nos países de língua russa que é mais difundido.

O princípio de funcionamento do componente Zgate Web é bastante simples. Cada vez que uma informação for enviada para algum dos serviços controlados, o sistema irá gerar uma mensagem especial. Ele contém as próprias informações e alguns dados de serviço. Ele é enviado ao servidor Zgate principal e processado de acordo com as regras especificadas. Naturalmente, o envio de informações não está bloqueado no próprio serviço. Ou seja, o Zgate Web funciona apenas no modo de registro. Com sua ajuda, você não pode evitar vazamentos isolados de dados, mas pode detectá-los rapidamente e interromper as atividades de um invasor voluntário ou involuntário.

Estudos recentes no domínio da segurança da informação, como o inquérito anual CSI/FBI sobre crimes informáticos e segurança, demonstraram que as perdas financeiras para as empresas decorrentes da maioria das ameaças estão a diminuir ano após ano. No entanto, existem vários riscos a partir dos quais as perdas estão a aumentar. Um deles é o roubo deliberado de informações confidenciais ou a violação das regras de tratamento por parte dos funcionários cujo acesso aos dados comerciais é necessário para o desempenho de suas funções oficiais. Eles são chamados de internos.

Na grande maioria dos casos, o roubo de informações confidenciais é realizado por meio de mídias móveis: CDs e DVDs, dispositivos ZIP e, o mais importante, todos os tipos de unidades USB. Foi a sua distribuição em massa que levou ao florescimento do insiderismo em todo o mundo. Os dirigentes da maioria dos bancos estão bem conscientes dos perigos que podem surgir se, por exemplo, uma base de dados com os dados pessoais dos seus clientes ou, ainda, as transacções das suas contas cair nas mãos de estruturas criminosas. E estão tentando combater o possível roubo de informações usando os métodos organizacionais de que dispõem.

No entanto, os métodos organizacionais neste caso são ineficazes. Hoje você pode organizar a transferência de informações entre computadores usando um pen drive em miniatura, um telefone celular, um TZ-plssr, uma câmera digital... Claro, você pode tentar proibir que todos esses dispositivos sejam trazidos para o escritório, mas isso, em primeiro lugar, afetará negativamente as relações com os funcionários e, em segundo lugar, ainda é muito difícil estabelecer um controle realmente eficaz sobre as pessoas - um banco não é uma “caixa de correio”. E mesmo desabilitar todos os dispositivos em computadores que podem ser usados ​​para gravar informações em mídia externa (discos FDD e ZIP, unidades de CD e DVD, etc.) e portas USB não ajudará. Afinal, os primeiros são necessários para o trabalho e os segundos estão conectados a diversos periféricos: impressoras, scanners, etc. E ninguém pode impedir uma pessoa de desligar a impressora por um minuto, inserir uma unidade flash USB na porta livre e copiar informações importantes para ela. É claro que você pode encontrar maneiras originais de se proteger. Por exemplo, um banco tentou este método para resolver o problema: preencheram a junção da porta USB e do cabo com resina epóxi, “amarrando” firmemente este último ao computador. Mas, felizmente, hoje existem métodos de controle mais modernos, confiáveis ​​e flexíveis.

O meio mais eficaz de minimizar os riscos associados aos insiders é um software especial que gerencia dinamicamente todos os dispositivos e portas de computador que podem ser usados ​​para copiar informações. O princípio de seu trabalho é o seguinte. As permissões para usar várias portas e dispositivos são definidas para cada grupo de usuários ou para cada usuário individualmente. A maior vantagem desse software é a flexibilidade. Você pode inserir restrições para tipos específicos de dispositivos, seus modelos e instâncias individuais. Isso permite implementar políticas de distribuição de direitos de acesso muito complexas.

Por exemplo, você pode permitir que alguns funcionários usem impressoras ou scanners conectados a portas USB. Contudo, todos os outros dispositivos inseridos nesta porta permanecerão inacessíveis. Se o banco usar um sistema de autenticação de usuário baseado em tokens, nas configurações você poderá especificar o modelo de chave usado. Assim, os usuários poderão usar apenas dispositivos adquiridos pela empresa, e todos os outros serão inúteis.

Com base no princípio de funcionamento dos sistemas de proteção descritos acima, você pode entender quais pontos são importantes na escolha de programas que implementam o bloqueio dinâmico de dispositivos de gravação e portas de computador. Em primeiro lugar, é versatilidade. O sistema de proteção deve cobrir toda a gama de portas e dispositivos de entrada/saída possíveis. Caso contrário, o risco de roubo de informações comerciais permanece inaceitavelmente elevado. Em segundo lugar, o software em questão deve ser flexível e permitir criar regras utilizando uma grande quantidade de informações diversas sobre os dispositivos: seus tipos, fabricantes de modelos, números exclusivos que cada instância possui, etc. E em terceiro lugar, o sistema de proteção interna deve ser capaz de se integrar com o sistema de informação do banco, em particular com o Active Directory. Caso contrário, o administrador ou responsável pela segurança terá que manter dois bancos de dados de usuários e computadores, o que não só é inconveniente, mas também aumenta o risco de erros.

Para proteger eficazmente contra pessoas internas, primeiro é necessário garantir o controle de todos os canais de comunicação - desde uma impressora normal de escritório até uma unidade flash comum e uma câmera de telefone celular.

Métodos de proteção contra pessoas internas:

• * autenticação de hardware de funcionários (por exemplo, usando uma chave USB ou cartão inteligente);
• * auditoria de todas as ações de todos os usuários (incluindo administradores) na rede;
• * uso de software e hardware poderosos para proteger informações confidenciais de pessoas internas;
• * treinamento dos funcionários responsáveis ​​pela segurança da informação;
• *aumentar a responsabilidade pessoal dos funcionários;
• * trabalho constante com pessoal que tem acesso a informações confidenciais (briefing, treinamento, teste de conhecimento de regras e responsabilidades pelo cumprimento da segurança da informação, etc.);
• * conformidade do nível salarial com o nível de confidencialidade das informações (dentro de limites razoáveis!);
• * criptografia de dados confidenciais;
• * Mas o mais importante, claro, é o factor humano: embora os humanos sejam o elo mais fraco do sistema de segurança, são também o mais importante! A luta contra os infiltrados não deve transformar-se numa vigilância total de todos. A empresa deve ter um clima moral saudável que promova o cumprimento do código de honra corporativo!

De acordo com os resultados da pesquisa anual do Computer Security Institute (CSI, Computer Security Institute), em 2007 os especialistas em segurança identificaram os três principais problemas que tiveram de enfrentar durante o ano: 59% reconheceram os insiders como a ameaça número 1, 52 % - vírus e 50% - perda de mídia móvel (laptop, pen drive). Assim, pela primeira vez, o problema dos atacantes domésticos na América começou a prevalecer sobre o problema dos vírus. Infelizmente, não temos essa informação sobre a Rússia, mas há razões para afirmar que a situação no nosso país é pelo menos semelhante. Assim, durante uma mesa redonda sobre o problema do vazamento de informações por ações de insiders, realizada em outubro na conferência anual Aladdin, foram divulgados os resultados de uma pesquisa com administradores de sistemas de instituições governamentais, que, como se sabe, possuem um baixo nível de renda, foram apresentados. Quando questionados sobre quantos dados confidenciais poderiam ser obtidos deles, apenas 10% dos entrevistados responderam que nunca cometeriam tal prevaricação, cerca de metade dos entrevistados estão dispostos a correr riscos por muito dinheiro e aproximadamente 40% estão dispostos a fazer isso. isso por qualquer recompensa. Como se costuma dizer, comentários são desnecessários. A principal dificuldade em organizar a proteção contra um insider é que ele é um usuário legítimo do sistema e, por dever, tem acesso a informações confidenciais. É muito difícil acompanhar como um funcionário gerencia esse acesso no âmbito da autoridade oficial ou fora dela. Consideremos as principais tarefas de combate aos infratores internos (ver tabela).

Estudos recentes sobre segurança da informação, como o anual CSI/FBI ComputerCrimeAndSecuritySurvey, mostraram que as perdas financeiras para as empresas decorrentes da maioria das ameaças estão diminuindo ano após ano. No entanto, existem vários riscos a partir dos quais as perdas estão a aumentar. Um deles é o roubo deliberado de informações confidenciais ou a violação das regras de tratamento por parte dos funcionários cujo acesso aos dados comerciais é necessário para o desempenho de suas funções oficiais. Eles são chamados de internos.

Na grande maioria dos casos, o roubo de informações confidenciais é realizado por meio de mídias móveis: CDs e DVDs, dispositivos ZIP e, o mais importante, todos os tipos de unidades USB. Foi a sua distribuição em massa que levou ao florescimento do insiderismo em todo o mundo. Os dirigentes da maioria dos bancos estão bem conscientes dos perigos de, por exemplo, uma base de dados com dados pessoais dos seus clientes ou, ainda, de as transacções das suas contas caírem nas mãos de estruturas criminosas. E estão tentando combater o possível roubo de informações usando os métodos organizacionais de que dispõem.

No entanto, os métodos organizacionais neste caso são ineficazes. Hoje você pode organizar a transferência de informações entre computadores usando um pen drive em miniatura, celular, mp3 player, câmera digital... Claro, você pode tentar proibir que todos esses dispositivos sejam trazidos para o escritório, mas isso, em primeiro lugar, afetará negativamente as relações com os funcionários e, em segundo lugar, ainda é muito difícil estabelecer um controle realmente eficaz sobre as pessoas - um banco não é uma “caixa de correio”. E mesmo desabilitar todos os dispositivos em computadores que podem ser usados ​​para gravar informações em mídia externa (discos FDD e ZIP, unidades de CD e DVD, etc.) e portas USB não ajudará. Afinal, os primeiros são necessários para o trabalho e os segundos estão conectados a diversos periféricos: impressoras, scanners, etc. E ninguém pode impedir uma pessoa de desligar a impressora por um minuto, inserir uma unidade flash na porta livre e copiar informações importantes para ela. É claro que você pode encontrar maneiras originais de se proteger. Por exemplo, um banco tentou este método para resolver o problema: preencheram a junção da porta USB e do cabo com resina epóxi, “amarrando” firmemente este último ao computador. Mas, felizmente, hoje existem métodos de controle mais modernos, confiáveis ​​e flexíveis.

O meio mais eficaz de minimizar os riscos associados aos insiders é um software especial que gerencia dinamicamente todos os dispositivos e portas de computador que podem ser usados ​​para copiar informações. O princípio de seu trabalho é o seguinte. As permissões para usar várias portas e dispositivos são definidas para cada grupo de usuários ou para cada usuário individualmente. A maior vantagem desse software é a flexibilidade. Você pode inserir restrições para tipos específicos de dispositivos, seus modelos e instâncias individuais. Isso permite implementar políticas de distribuição de direitos de acesso muito complexas.

Por exemplo, você pode permitir que alguns funcionários usem impressoras ou scanners conectados a portas USB. Contudo, todos os outros dispositivos inseridos nesta porta permanecerão inacessíveis. Se o banco usar um sistema de autenticação de usuário baseado em tokens, nas configurações você poderá especificar o modelo de chave usado. Assim, os usuários poderão usar apenas dispositivos adquiridos pela empresa, e todos os outros serão inúteis.

Com base no princípio de funcionamento dos sistemas de proteção descritos acima, você pode entender quais pontos são importantes na escolha de programas que implementam o bloqueio dinâmico de dispositivos de gravação e portas de computador. Em primeiro lugar, é versatilidade. O sistema de proteção deve cobrir toda a gama de portas e dispositivos de entrada/saída possíveis. Caso contrário, o risco de roubo de informações comerciais permanece inaceitavelmente elevado. Em segundo lugar, o software em questão deve ser flexível e permitir criar regras utilizando uma grande quantidade de informações diversas sobre os dispositivos: seus tipos, fabricantes de modelos, números exclusivos que cada instância possui, etc. E em terceiro lugar, o sistema de proteção interna deve ser capaz de se integrar com o sistema de informação do banco, em particular com o ActiveDirectory. Caso contrário, o administrador ou responsável pela segurança terá que manter dois bancos de dados de usuários e computadores, o que não só é inconveniente, mas também aumenta o risco de erros.