Экспериментальное исследование механизмов защиты от инсайдерских атак Владимирский государственный университет Кафедра информатики и защиты информации Жабин С.А., Каратыгин С.А. гр. КЗИ-104

Цель и задачи работы Цель работы: Экспериментально исследовать механизмы защиты от инсайдерских атак Экспериментально исследовать механизмы защиты от инсайдерских атак Задачи работы: Разработать методику проведения эксперимента Разработать методику проведения эксперимента Определить механизмы защиты и критерии методов испытания Определить механизмы защиты и критерии методов испытания Подсчитать суммарный коэффициент производительности Подсчитать суммарный коэффициент производительности Применить методику для исследуемых программных решений Применить методику для исследуемых программных решений Проанализировать полученные результаты Проанализировать полученные результаты

Актуальность По данным всех опросов 70 – 80% потерь от ИТ-инцидентов происходит по вине легальных пользователей. Рынок внутренней информационной безопасности демонстрирует устойчивый рост, однако это еще очень молодой сегмент, на котором просто не успело сформироваться единое видение решения. По данным всех опросов 70 – 80% потерь от ИТ-инцидентов происходит по вине легальных пользователей. Рынок внутренней информационной безопасности демонстрирует устойчивый рост, однако это еще очень молодой сегмент, на котором просто не успело сформироваться единое видение решения. С другой стороны, ежегодный рост числа утечек конфиденциальной информации, каждая из которых наносит существенный ущерб организации в виде упущенной выгоды и прямых потерь, заставляет специалистов в области безопасности акцентировать свое внимание именно на внутренних угрозах. К тому же многие организации уже имеют периметровые средства защиты, обеспечивающие приемлемый уровень защиты от нападений извне.

Распределение утечек по носителям информации (2008 год) Утечки через сеть разделяются примерно поровну между случаями, когда веб-сервер был скомпрометирован (намеренно – хакером или случайно – вирусом) и когда работник случайно открыл общий доступ к конфиденциальной информации. Именно эти два носителя конфиденциальной информации стали лидирующими в прошедшем году. В 33% случаев носитель не выявлен.

Распределение инцидентов по типу организации

Классификация инсайдеров ТипУмыселКорыстьПостановка задачи Действия при невозможности похитить информацию ХалатныйНет Сообщение МанипулируемыйНет Сообщение СаботажДаНетСамОтказ НелояльныйДаНетСамИмитация ЗлонамеренныйДа Сам/ИзвнеОтказ/Имитация/взлом Мотивированный извне Да ИзвнеВзлом Любое нарушение легальным сотрудником политики безопасности организации автоматически делает его внутренним нарушителем. Подобные действия можно разделить на умышленные и неумышленные.

Классификация инсайдерских угроз Угроза утечки конфиденциальной информации Угроза утечки конфиденциальной информации Обход средств защиты от утечки конфиденциальной информации Обход средств защиты от утечки конфиденциальной информации Кража конфиденциальной информации по неосторожности Кража конфиденциальной информации по неосторожности Нарушение авторских прав на информацию Нарушение авторских прав на информацию Мошенничество Мошенничество Нецелевое использование информационных ресурсов компании Нецелевое использование информационных ресурсов компании Саботаж ИТ-инфраструктуры Саботаж ИТ-инфраструктуры Наиболее опасной угрозой является утечка корпоративных секретов, в то время как остальные риски наносят значительно меньший ущерб. Утечка конфиденциальной информации приводит к снижению конкурентоспособности и ухудшению имиджа организации, а остальные угрозы зачастую причиняют лишь финансовый ущерб

Средства защиты Системы выявления и предотвращения утечек Системы выявления и предотвращения утечек Средства внутреннего контроля Средства внутреннего контроля Системы сильной аутентификации (ЗА) Системы сильной аутентификации (ЗА) Предотвращение нецелевого использования ИТ-ресурсов Предотвращение нецелевого использования ИТ-ресурсов Архивирование корпоративной корреспонденции Архивирование корпоративной корреспонденции

Механизмы защиты от внутренних угроз 1. Сильная аутентификация 2. Контекстный анализ 3. Шифрование данных 4. Архивирование данных 5. Мониторинг и контроль трафика 6. Мониторинг и контроль подключаемых устройств

Критерии оценки механизмов Мониторинг каналов утечки данных. (сетевые: e- mail,web, IM, рабочие станции: мониторинг файловых операций, работы с буфером обмена данными, а также контроль , Web и IM) Мониторинг каналов утечки данных. (сетевые: e- mail,web, IM, рабочие станции: мониторинг файловых операций, работы с буфером обмена данными, а также контроль , Web и IM) Унифирцированный менеджмент (средства управления политикой ИБ, средства управления аутентификации, формирование анализов и отчетов по всем событиям каналов мониторнига) Унифирцированный менеджмент (средства управления политикой ИБ, средства управления аутентификации, формирование анализов и отчетов по всем событиям каналов мониторнига) Активная защита. (блокировать, изолировать, отслеживать, шифровать и архивировать важные данные) Активная защита. (блокировать, изолировать, отслеживать, шифровать и архивировать важные данные) Учет как содержания и контекста.(Анализ содержания: ключевые слова, регулярные выражения, отпечатки, содержание. Контекст – тип приложения, протокол, активность, отправитель) Учет как содержания и контекста.(Анализ содержания: ключевые слова, регулярные выражения, отпечатки, содержание. Контекст – тип приложения, протокол, активность, отправитель)

Исследуемые продукты Праймтек «Insider» Праймтек «Insider» InfoWatch IW «Traffic Monitor» InfoWatch IW «Traffic Monitor» InfoWatch IW «Crypto Storage» InfoWatch IW «Crypto Storage» Lumension Security «Sanctuary Device Control» Lumension Security «Sanctuary Device Control» Smart Protection Labs Software «SecrecyKeeper» Smart Protection Labs Software «SecrecyKeeper» SecurIT «Zlock» SecurIT «Zlock» SpectorSoft «Spector 360» SpectorSoft «Spector 360» АтомПарк Софтваре «StaffCop» АтомПарк Софтваре «StaffCop» WebSense «Websense Content Protection» WebSense «Websense Content Protection» Информзащита «Security Studio» Информзащита «Security Studio» Инфосистемы Джет «Дозор Джет (СКВТ)» Инфосистемы Джет «Дозор Джет (СКВТ)» Инфосистемы Джет «Дозор Джет (СМАП)» Инфосистемы Джет «Дозор Джет (СМАП)» Смарт Лайн Инк «DeviceLock» Смарт Лайн Инк «DeviceLock»

Мониторинг каналов утечки КомпанияПродуктМониторинг каналов утечки Сетевые каналыРабочие станции webIMФайловые операции Работа с буфером обмена Контроль e- mail, web, IM ПраймтекInsider InfoWatchIW Traffic Monitor InfoWatchIW Crypto Storage Lumension Security Sanctuary Device Control Smart Protection Labs Software SecrecyKeeper

Мониторинг каналов утечки КомпанияПродуктМониторинг каналов утечки Сетевые каналыРабочие станции webIMФайловые операции Работа с буфером обмена Контроль e- mail, web, IM SecurITZlock SpectorSoftSpector АтомПарк СофтвареStaffCop WebSense Websense Content Protection ИнформзащитаSecurity Studio Инфосистемы ДжетДозор Джет (СКВТ) Инфосистемы ДжетДозор Джет (СМАП) Смарт Лайн ИнкDeviceLock

Унифицированный менеджмент КомпанияПродуктУнифицированный менеджмент Средства управления политикой ИБ Средства управления аутентификацией Формирование анализов и отчетов по событиям каналов мониторинга ПраймтекInsider 726 InfoWatchIW Traffic Monitor727 InfoWatchIW Crypto Storage002 Lumension Security Sanctuary Device Control 503 Smart Protection Labs Software SecrecyKeeper 524 SecurITZlock 010 SpectorSoftSpector

Унифицированный менеджмент КомпанияПродуктУнифицированный менеджмент Средства управления политикой ИБ Средства управления аутентификацией Формирование анализов и отчетов по событиям каналов мониторинга АтомПарк СофтвареStaffCop 514 WebSense Websense Content Protection 837 ИнформзащитаSecurity Studio 516 Инфосистемы ДжетДозор Джет (СКВТ)103 Инфосистемы ДжетДозор Джет (СМАП) 103 Смарт Лайн ИнкDeviceLock 000

Активная защита КомпанияПродуктАктивная защита Блокирован ие Изол.Отслеживан ия Шифрование данных Архивирование данных и аудит ПраймтекInsider InfoWatchIW Traffic Monitor76808 InfoWatchIW Crypto Storage33591 Lumension Security Sanctuary Device Control Smart Protection Labs Software SecrecyKeeper SecurITZlock SpectorSoftSpector

Активная защита КомпанияПродуктАктивная защита Блокирова ние Изоля ция Отслежива ния Шифрование данных Архивирование данных и аудит АтомПарк Софтваре StaffCop WebSense Websense Content Protection ИнформзащитаSecurity Studio Инфосистемы Джет Дозор Джет (СКВТ)46707 Инфосистемы Джет Дозор Джет (СМАП)65607 Смарт Лайн Инк DeviceLock 22207

Учет содержания и контекста КомпанияПродуктУчет содержания и контекста Анализ содержанияАнализ контекста Поддержка разных форматов обрабатываемых файлов Ключевые слова и выражения Полное содержание ПраймтекInsider 0000 InfoWatchIW Traffic Monitor9687 InfoWatchIW Crypto Storage0000 Lumension Security Sanctuary Device Control 0000 Smart Protection Labs Software SecrecyKeeper 6253

Учет содержания и контекста КомпанияПродуктУчет содержания и контекста Анализ содержанияАнализ контекста Поддержка разных форматов обрабатываемых файлов Ключевые слова и выражения Полное содержание SecurITZlock 0000 SpectorSoftSpector АтомПарк СофтвареStaffCop 2011 WebSense Websense Content Protection 9789 ИнформзащитаSecurity Studio 3022 Инфосистемы ДжетДозор Джет (СКВТ)6525 Инфосистемы ДжетДозор Джет (СМАП) 3133 Смарт Лайн ИнкDeviceLock 0000

Таблица весов для критериев Мониторинг каналов утечки Сетевые каналыРабочие станции webIMФайловые операцииРабота с буфером обмена Контроль , web, IM 0,70,80,50,90,30,8 Унифицированный менеджмент Средства управления политикой ИБСредства управления аутентификациейФормирование анализов и отчетов по событиям каналов мониторинга 0,90,40,6 Активная защита БлокированиеИзоляцияОтслеживанияШифрование данныхАрхивирование данных и аудит 0,80,50,80,70,5 Учет содержания и контекста Анализ содержанияАнализ контекстаПоддержка разных форматов обрабатываемых файлов Ключевые слова и выраженияПолное содержание 0,70,80,60,4

Подсчет суммарного показателя Суммарный показатель равен сумме всех критериев исследуемой системы умноженный на вес соответствующего критерия

Диаграмма сравнения суммарного показателя 1.Insider 2. Traffic Monitor 3. Crypto Storage 4. Sanctuary Device Control 5.SecrecyKeeper 6. Zlock 7. Spector StaffCop 9. Websense Content Protection 10. Security Studio 11. Дозор Джет (СКВТ) 12. Дозор Джет СМАП) 13. DeviceLock

Выводы: Разработана методика проведения эксперимента Разработана методика проведения эксперимента Определены механизмы защиты от внутренних угроз Определены механизмы защиты от внутренних угроз Выделены критерии исследования механизмов защиты Выделены критерии исследования механизмов защиты Проведено сравнение систем защиты от инсайдеров по заданным критериям Проведено сравнение систем защиты от инсайдеров по заданным критериям