» ГЛАВНАЯ > К содержанию номера
 » Все публикации автора

Журнал научных публикаций
«Наука через призму времени»

Май, 2018 / Международный научный журнал
«Наука через призму времени» №5 (14) 2018

Автор: Чуб Вадим Сергеевич, студент
Рубрика: Технические науки
Название статьи: Программные комплексы анализа каналов утечки информации

Статья просмотрена: 1085 раз
Дата публикации: 20.04.2018

УДК 004.056:004.89

ПРОГРАММНЫЕ КОМПЛЕКСЫ АНАЛИЗА КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ

Чуб Вадим Сергеевич

студент

Донской Государственный Технический Университет, г.Ростов-на-Дону

 

Аннотация. В последнее время вырос интерес к вопросам защиты информации. Это связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для несанкционированного доступа к передаваемой информации. 

Ключевые слова: утечки информации, методы и средства защиты, программные комплексы

 

К угрозам, создающим опасность конфиденциальности информации, относится утечка информации, под которой понимается неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к ней или получения защищаемой информации заинтересованными субъектами (заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо).

Отметим, что одной из главных проблем защиты конфиденциальной информации являются технические каналы утечки. Под техническим каналом утечки информации понимают совокупность объекта разведки, технического средства разведки, с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. 

Утечка - бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка (информации) по техническому каналу - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Структура технического канала утечки информации представлена на рисунке 1.

G:\Downloads\Диаграмма без названия (27).png

Рисунок 1. Структура технического канала утечки информации

 

Реализация угроз целостности нарушает вид и качество информации, заранее определенные системой. На рисунке 2 изображена схема степени ценности компонентов информационной среды предприятия с точки зрения обеспечения целостности хранимой информации.

Рисунок. 2. Степень ценности компонентов информационной системы

Как видно из рисунка, самым ценным ресурсом являются документы. Это объясняется содержанием в них конфиденциальной информации, для безопасности которой организована вся система политики безопасности.

Вторым по важности объектом становится сервер БД, то есть среда хранения документов.

Третий сектор – это сервер ОС и ЭД. К нему относятся операционная система, оболочка информационного пространства (интерфейс), протоколы передачи данных и т.д. Стоит отметить, что при выходе из строя данных компонентов целостность данных не нарушается.

Четвертый, самый некритичный сектор включает аппаратную систему, в составе которой рассматриваются  аппаратный межсетевой экран и каналы связи между компонентами. Выход из строя аппаратной системы не  приводит к потере документов, а устраняется заменой неисправных комплектующих на новые.

Доступ к хранимой и обрабатываемой информации в любой момент времени характеризует угрозы доступности. При этом к наиболее частым и опасным в вопросе размера ущерба следует отнести непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, которые осуществляют обслуживание компонентов информационной среды.

DLP (Data Leak Prevention, системы предотвращения утечек данных) обеспечивают полную защиту от утраты конфиденциальной информации. Сегодня они настраиваются в основном на работу с угрозами внутри периметра, то есть исходящими от пользователей корпоративной сети, а не от хакеров. Системы применяют широкий набор приемов выявления точек утраты или преобразования информации и способны блокировать любое несанкционированное проникновение или передачу данных, автоматически проверяя все каналы их отправки. Они анализируют трафик почты пользователя, содержимое локальных папок, сообщения в мессенджерах и при выявлении попытки переправить данные блокируют ее.

Практическое применение DLP систем является наиболее актуальным для тех организаций, где утечка конфиденциальных данных может повлечь за собой огромные финансовые потери, существенный удар по репутации, а также потерю клиентской базы и личной информации. Наличие таких систем обязательно для тех компаний и организаций, которые устанавливают высокие требования к «информационной гигиене» своих сотрудников.

Лучшим инструментом для защиты таких данных, как номера банковских карт клиентов, их банковские счета, сведения об условиях тендеров, заказы на выполнения работ и услуг станут DLP системы – экономическая эффективность такого решение безопасности вполне очевидна.

Средства, применяемые для предотвращения утечек информации, можно разделить на несколько ключевых категорий:

1.                  стандартные инструменты безопасности;

2.                  интеллектуальные меры защиты данных;

3.                  шифрование данных и контроль доступа;

4.                  специализированные DLP системы безопасности.

К стандартному набору безопасности, который должен использоваться каждой компанией, относятся антивирусные программы, встроенные межсетевые экраны, системы выявления несанкционированных вторжений.

Интеллектуальные средства защиты информации предусматривают использование специальных сервисов и современных алгоритмов, которые позволят вычислить неправомерный доступ к данным, некорректное использование электронной переписки и пр. Кроме этого, такие современные инструменты безопасности позволяют анализировать запросы к информационной системе, поступающие извне от различных программ и сервисов, которые могут играть роль своего рода шпионов. Интеллектуальные средства защиты позволяют осуществлять более глубокую и детальную проверку информационной системы на предмет возможной утечки информации различными способами.

Шифрование важной информации и использование ограничения доступа к определенным данным – это еще один эффективный шаг к тому, чтобы минимизировать вероятность потери конфиденциальной информации.

Специализированная система предотвращения утечек информации DLP представляет собой сложный многофункциональный инструмент, который способен выявить и предупредить факты несанкционированного копирования и передачи важной информации за пределы корпоративной среды. Эти решения позволят выявить факты доступа к информации без наличия на это разрешения или с использованием полномочий тех лиц, которые такое разрешение имеют.

Специализированные системы используют для своей работы такие инструменты, как:

·                     механизмы определения точного соответствия данных;

·                     различные статистические методы анализа;

·                     использование методик кодовых фраз и слов;

·                     структурированная дактилоскопия и пр.;

Рассмотрим сравнение DLP систем Network DLP и Endpoint DLP.

Network DLP – это специальное решение на аппаратном или программном уровне, которое применяется в тех точках сетевой структуры, которые расположены вблизи «периметра информационной среды». С помощью этого набора инструментов происходит тщательный анализ конфиденциальной информации, которую стараются отправить за пределы корпоративной информационной среды с нарушением установленных правил информационной безопасности.

Endpoint DLP представляют собой специальные системы, которые применяются на рабочей станции конечного пользователя, а также на серверных системах небольших организаций. Конечная информационная точка для этих систем может применяться для контроля как с внутренней, так и внешней стороны «периметра информационной среды». Система позволяет анализировать информационный трафик, посредством которого происходит обмен данными как между отдельными пользователями, так и группами пользователей. Защита DLP систем такого типа ориентирована на комплексную проверку процесса обмена данными, включая электронные сообщения, общение в социальных сетях и прочую информационную активность.

SIEM-системы (Security Information and Event Management) управляют информационными потоками и событиями в сети, при этом под событием понимается любая ситуация, которая может повлиять на сеть и ее безопасность. При ее возникновении система самостоятельно предлагает решение об устранении угрозы.

Программные технические средства могут решать отдельные проблемы, а могут и обеспечивать комплексную безопасность компьютерных сетей.

Перед системой SIEM ставятся следующие задачи.

·                     Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Заглянув в любой стандарт ИБ, вы увидите технические требования по сбору и анализу событий. Они нужны не только для того, чтобы выполнить требование стандарта. Бывают ситуации, когда инцидент увидели поздно, а события уже давно затерты или журналы событий почему-либо недоступны, и причины инцидента выявить фактически невозможно. Кроме того, соединение с каждым источником и просмотр событий займет уйму времени. В противном случае, без анализа событий, есть риск узнать об инциденте в вашей компании из новостных лент.

·                     Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. Часть продуктов класса SIEM унифицирует события и делает их более читабельными, а интерфейс визуализирует только важные информационные события, акцентирует на них внимание, позволяет отфильтровывать некритические события.

·                     Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — «login failed»: один случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытках подбора. В простейшем случае в SIEM правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.

·                     Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе HelpDesk, а также своевременно информировать о событии.

Если анализировать реальное использование SIEM на практике, то приходится признать, что в большинстве случаев работа таких систем направлена на консолидацию журналов событий от различных источников. Фактически — используется только функционал SIM. Если и есть заданные правила корреляции, они не пополняются.

Вывод.

Программные средства анализа утечки информации - наиболее значимая группа, так как с ее помощью можно избежать проникновения в информационные сети посторонних лиц, блокировать хакерские атаки, предотвратить перехват информации. Среди них необходимо отметить специальные программы, обеспечивающие системную защиту информации. Это DLP-системы и SIEM-системы, наиболее часто применяемые для создания механизмов комплексной информационной безопасности.



Список литературы:

  1. Бузов Г.А. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия-Телеком, 2011. – 225с.
  2. Букин С.О. Безопасность банковской деятельности: Учебное пособие. – СПб.: Питер, 2011. – 245 с.
  3. Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2012. - 768 с.
  4. Каторин Ю.Ф. и др. Энциклопедия промышленного шпионажа. - СПб.: Полигон, 2011. - 896с.
  5. Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие. - Юнити-Дана, 2011 г. - 135 с.
  6. Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. - 678 с.
  7. Платонов В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. Учебное пособие. — М.: Академия, 2013. — 240 с.
  8. Скиба В.Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2011 г.- 320 с.
  9. Технические средства и методы защиты информации: Учебник для вузов/ Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П.Зайцева. – М.:ООО «Издательство Машиностроение», 2012. – 508с.
  10. Хорев А.А. Технические каналы утечки информации. – М.:Аналитика, 2008. – 435с.
  11. Хорошко В. А., Чекатков А. А. Методы и средства защиты информации. - К.: Юниор, 2013г. - 504с.
  12. Стандарты информационной безопасности [Электронный ресурс] URL: http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html


Комментарии:

Фамилия Имя Отчество:
Комментарий: