Information Protection and Control (IPC) är en teknik för att skydda konfidentiell information från insiderhot . IPC-klasslösningar är designade för att skydda information från interna hot, förhindra olika typer av informationsläckor, företagsspionage och business intelligence . Termen IPC kombinerar två huvudteknologier: kryptering av informationsmedia på alla punkter i nätverket och kontroll av tekniska kanaler för informationsläckage med hjälp av DLP -teknik (Data Loss Prevention). Nätverks-, applikations- och dataåtkomstkontroll är en möjlig tredje teknik i IPC-klasssystem. IPC inkluderar lösningar av klassen Data Loss Prevention (DLP), system för att kryptera företagsinformation och kontrollera åtkomsten till den. Termen IPC var en av de första som användes av IDC- analytikern Brian Burke i sin rapport Information Protection and Control Survey: Data Loss Prevention and Encryption Trends .
IPC-tekniken är en logisk fortsättning på DLP-tekniken och låter dig skydda data inte bara från läckor genom tekniska kanaler, det vill säga insiders, utan också från obehörig användares åtkomst till nätverket, information, applikationer och i de fall där direktlagringsmediet faller i händerna på tredje part. Detta hjälper till att förhindra läckor även i de fall en insider eller en person som inte har laglig tillgång till data får tillgång till ett direkt lagringsmedium. Genom att till exempel ta bort en hårddisk från en persondator kommer en insider inte att kunna läsa informationen på den. Detta gör det möjligt att förhindra att konfidentiell data kompromitteras även i händelse av förlust, stöld eller beslag (till exempel när man organiserar operationella evenemang av specialtjänstespecialister, skrupelfria konkurrenter eller anfallare).
IPC-systemens huvuduppgift är att förhindra överföring av konfidentiell information utanför företagets informationssystem. Sådan överföring (läckage) kan vara avsiktlig eller oavsiktlig. Praxis visar att majoriteten (mer än 75%) av läckorna inte uppstår på grund av uppsåt, utan på grund av misstag, ouppmärksamhet, slarv, försumlighet hos anställda - det är mycket lättare att identifiera sådana fall. Resten är kopplat till operatörers och användares illvilliga avsikter av företagsinformationssystem, särskilt industrispionage, konkurrensunderrättelser. Uppenbarligen tenderar illvilliga insiders att försöka lura IPC-analysatorer och andra kontrollsystem.
DLP-teknik i IPC stöder kontrollen av följande tekniska kanaler för konfidentiell informationsläckage:
DLP-tekniker i IPC stöder kontroll inklusive följande kommunikationsprotokoll:
Signaturer
Den enklaste kontrollmetoden är att söka i dataströmmen efter en viss sekvens av tecken. Ibland kallas en förbjuden sekvens av tecken för ett "stopputtryck", men i ett mer allmänt fall kan det inte representeras av ett ord, utan av en godtycklig uppsättning tecken, till exempel en viss etikett. Om systemet är konfigurerat för endast ett ord, är resultatet av dess arbete bestämningen av en 100% matchning, dvs. metod kan klassificeras som deterministisk. Men oftare används fortfarande sökningen efter en specifik sekvens av tecken i textanalys. I de allra flesta fall är signatursystem konfigurerade för att söka efter flera ord och hur ofta termer förekommer.
Fördelarna med den här metoden inkluderar enkelheten att fylla på ordboken över förbjudna termer och uppenbarheten i funktionsprincipen, såväl som det faktum att detta är det säkraste sättet om du behöver hitta en 100% matchning av ett ord eller uttryck. Nackdelarna blir uppenbara efter den industriella användningen av denna teknik för att fånga upp läckor och sätta upp filtreringsregler. De flesta tillverkare av DLP-system arbetar för västerländska marknader, och det engelska språket är väldigt "signatur" - ordformer bildas oftast med hjälp av prepositioner utan att själva ordet ändras. På ryska är allt mycket mer komplicerat, eftersom vi har prefix, ändelser, suffix. Till exempel kan du ta ordet "nyckel", som kan betyda "krypteringsnyckel", "lägenhetsnyckel", "fjäder", "kreditkortsnyckel eller PIN" och många andra betydelser. På ryska kan flera dussin olika ord bildas från roten "nyckel". Detta innebär att om det i väst räcker för en specialist på skydd av information från insiders att skriva in ett ord, i Ryssland måste en specialist ange ett par dussin ord och sedan ändra dem i sex olika kodningar. Den faktiska tillämpningen av denna metod kräver närvaron av en lingvist eller ett team av lingvister både vid implementeringsstadiet och under driften och uppdateringen av databasen. Den otvivelaktiga nackdelen är att "signaturerna" är instabila mot primitiv kodning, till exempel genom att ersätta tecken med liknande.
" Digital Fingerprints " (Digital Fingerprints eller DG)
Olika typer av hashfunktioner för prover av konfidentiella dokument positioneras av västerländska utvecklare av DLP-system som ett nytt ord på läckageskyddsmarknaden, även om själva tekniken har funnits sedan 70-talet. I väst kallas denna metod ibland " digitala fingeravtryck ". Kärnan i alla metoder är densamma, även om specifika algoritmer för varje tillverkare kan skilja sig åt. Vissa algoritmer patenteras till och med, vilket hjälper till att främja den "nya patenterade DG-tekniken". Det allmänna handlingsscenariot är följande: en databas med prover av konfidentiella dokument håller på att samlas in. Kärnan i GD-arbetet är ganska enkel och lockar ofta av detta: en viss standarddokumentmall överförs till DLP / IPC-systemet, en digital utskrift skapas från den och registreras i DF-databasen. Vidare, i reglerna för innehållsfiltrering, konfigureras procentandelen matchning till mallen från databasen. Om du till exempel ställer in 75 % överensstämmelse med det "digitala fingeravtrycket" i leveransavtalet , kommer DLP med innehållsfiltrering att upptäcka nästan alla avtal i denna form. Ibland inkluderar denna teknik även system som "Anti-plagiat", men det senare fungerar bara med textinformation, medan tekniken för "digitala utskrifter", beroende på implementeringen, kan fungera med olika medieinnehåll och används för att skydda upphovsrätten och förhindra oavsiktlig eller avsiktlig överträdelse av informationssäkerhetslagar och -föreskrifter.
Fördelarna med Digital Fingerprints-tekniken inkluderar enkelheten att lägga till nya mallar, en ganska hög grad av upptäckt och transparensen i teknikalgoritmen för anställda på informationssäkerhetsavdelningar. Säkerhets- och informationssäkerhetsspecialister behöver inte tänka på "stopputtryck" och annan lingvistik, lägger ner mycket tid på att analysera potentiellt farliga ordformer och köra in dem i databasen, lägga resurser på att implementera och underhålla den språkliga basen. Den största nackdelen, som vid första anblicken inte är uppenbar och gömd bakom "patenterade teknologier", är att, trots all enkelhet och den virtuella frånvaron av språkliga metoder, är det nödvändigt att ständigt uppdatera databasen med "digitala fingeravtryck". Och om i fallet med "signaturer" kräver denna metod inte konstant uppdatering av databasen med ord, då kräver den uppdatering av databasen med "digitala fingeravtryck". Nackdelarna med "digitala fingeravtryck" inkluderar det faktum att DLP-stöd i ett effektivt tillstånd faktiskt går från " ordbastillägg " till " sökning och indexering av nya och ändrade filer ", vilket är en svårare uppgift, även om detta görs halvautomatiskt av DLP-systemet. Stora företag där upp till tiotusentals nya och uppdaterade dokument dyker upp varje arbetsdag endast på serverlagringar kan ofta helt enkelt inte spåra allt detta i realtid, för att inte tala om persondatorer. I det här fallet är användningen av DG ineffektiv, så de "digitala fingeravtrycken" i de flesta DLP är designade för företag i SMB-sektorn (färre än 500 användare). Utöver detta upptar digitala fingeravtryck ungefär 10-15 % av storleken på konfidentiella dokument, och basen växer ständigt, vilket kräver ytterligare investeringar i att öka informationslagringssystem och prestanda hos DLP-servrar. Dessutom är hashfunktioner på låg nivå (inklusive generaldirektorat) inte resistenta mot primitiv kodning, vilket ansågs i relation till "signaturer".
"Märken"
Kärnan i denna metod är att placera speciella "taggar" i filer som innehåller konfidentiell information. Å ena sidan ger denna metod stabil och mest korrekt information för DLP-systemet, å andra sidan kräver den en hel del ganska kraftiga förändringar i nätverksinfrastrukturen. Ledarna för DLP- och IPC-marknaderna implementerar inte denna metod, så det är inte mycket meningsfullt att överväga det i detalj. Man kan bara notera att, trots den uppenbara fördelen med "taggar" - kvaliteten på upptäckten, finns det många betydande nackdelar : från behovet av en betydande omstrukturering av infrastrukturen inom nätverket till införandet av många nya regler och filformat för användare. Faktum är att införandet av sådan teknik förvandlas till införandet av ett förenklat dokumenthanteringssystem.
Vanliga uttryck
Sökning med reguljära uttryck ("masker") är också en välkänd metod för att upptäcka nödvändigt innehåll, men DLP har använts relativt nyligen. Denna metod kallas ofta för "textidentifierare". Reguljära uttryck låter dig hitta matchningar i form av data, det kan inte exakt specificera det exakta värdet av datan, till skillnad från "signaturer". Denna detekteringsmetod är effektiv för att söka:
Sökning med "masker" gör att DLP- eller IPC-systemet kan följa den alltmer populära PCI DSS- standarden , utvecklad av de internationella betalningssystemen Visa och MasterCard för finansinstitut.
Fördelarna med teknik för reguljära uttryck inkluderar i första hand det faktum att de låter dig upptäcka en typ av innehåll som är specifik för varje organisation, från kreditkort till namnen på utrustningssystem som är specifika för varje företag. Dessutom ändras former av grundläggande känsliga data mycket sällan, så deras underhåll kommer att kräva nästan inga tidsresurser. Nackdelarna med reguljära uttryck inkluderar deras begränsade omfattning i DLP- och IPC-system, eftersom de bara kan hitta konfidentiell information av en viss form. Reguljära uttryck kan inte användas oberoende av andra tekniker, men kan effektivt komplettera deras kapacitet.
Språkliga metoder (morfologi, stemming)
Den vanligaste analysmetoden i DLP/IPC-system idag är språklig textanalys. Det är så populärt att det ofta kallas för "innehållsfiltrering", det vill säga att det bär egenskaperna hos hela klassen av innehållsanalysmetoder. Lingvistik som vetenskap består av många discipliner - från morfologi till semantik , och språkliga analysmetoder skiljer sig från varandra. Det finns teknologier som bara använder "stopputtryck", som bara introduceras på rotnivån, och systemet självt sammanställer redan en komplett ordbok; det finns termer baserade på fördelningen av vikter som påträffas i texten. Det finns språkliga metoder och deras avtryck baserade på statistik; till exempel tas ett dokument, de femtio mest använda orden räknas, sedan väljs de 10 mest använda orden i varje stycke. En sådan "ordbok" är en nästan unik egenskap hos texten och låter dig hitta meningsfulla citat i "kloner". Analys av alla finesser av språklig analys ligger inte inom ramen för denna artikel, men det är nödvändigt att notera bredden av denna tekniks möjligheter inom IPC-system.
Fördelarna med språkliga metoder i DLP inkluderar det faktum att inom morfologi och andra språkliga metoder en hög grad av effektivitet, jämförbar med signaturer, med mycket lägre arbetskostnader för implementering och stöd (95 % minskning av arbetskostnaderna i förhållande till "signaturer") . Samtidigt, vid användning av språkliga detektionsmetoder, finns det inget behov av att spåra utseendet på nya dokument och skicka dem för analys till IPC-systemet, eftersom effektiviteten av språkliga metoder för att fastställa konfidentiell information inte beror på antal konfidentiella dokument, hur ofta de inträffar och hur innehållsfiltreringssystemet fungerar. Nackdelarna med språkliga metoder är också ganska uppenbara, den första av dem är språkberoende - om en organisation är representerad i flera länder måste databaser med konfidentiella ord och uttryck skapas separat för varje språk och land, med hänsyn till alla detaljer. I detta fall kommer den vanliga effektiviteten för denna metod att vara i genomsnitt 85%. Om professionella lingvister är inblandade kan effektiviteten öka med upp till 95 % - endast manuell verifiering eller "signaturer" kan ge mer, men när det gäller effektivitet och arbetskostnader har språkliga metoder ännu inte befunnits vara lika.
Manuell upptäckt ("karantän")
Manuell verifiering av känslig information kallas ibland för "karantän". All information som faller under reglerna för manuell verifiering, till exempel ordet "nyckel" förekommer i den, kommer in i konsolen för en informationssäkerhetsspecialist. Den senare granskar i sin tur manuellt sådan information och beslutar om den ska hoppa över, blockera eller fördröja data. Om data blockeras eller försenas skickas ett lämpligt meddelande till avsändaren. Den otvivelaktiga fördelen med denna metod kan anses vara den största effektiviteten. Denna metod i verkliga affärer är dock endast tillämplig på en begränsad mängd data, eftersom en stor mängd mänskliga resurser krävs, eftersom för en kvalitativ analys av all information som går utöver företaget bör antalet anställda inom informationssäkerhet ungefär sammanfalla. med antalet övriga kontorsanställda. Och detta är omöjligt även i brottsbekämpande och militära strukturer. Den verkliga applikationen för denna metod är analysen av data från utvalda anställda, där mer subtilt arbete krävs än automatisk sökning efter mönster, "digitala fingeravtryck" eller matchningar med ord från databasen.
En obligatorisk komponent i IPC är ett arkiv som underhålls för utvalda informationsflöden (paket, meddelanden). All information om anställdas agerande lagras i en och flera tillhörande databaser. Ledande IPC-system arkiverar alla läckkanaler de kan kontrollera. IPC-arkivet lagrar kopior av dokument och text som laddats upp till Internet, e-post, utskrivna dokument och filer inspelade på kringutrustning. IS-administratören kan när som helst komma åt vilket dokument eller text som helst i arkivet med hjälp av språklig sökning efter information i ett enda arkiv (eller alla distribuerade arkiv samtidigt). Vid behov kan vilket brev som helst ses eller vidarebefordras, och alla filer eller dokument som laddas upp till Internet, spelas in på en extern enhet eller utskrivna filer eller dokument kan ses eller kopieras. Detta möjliggör en retrospektiv analys av möjliga läckor och, i vissa fall, för att följa regulatoriska dokument, till exempel Standard of the Bank of Russia STO BR IBBS-1.0-2008 (otillgänglig länk) .
IPC-tekniken inkluderar möjligheten att kryptera information på alla nyckelpunkter i nätverket. Objekten för informationsskydd är:
IPC-tekniker använder olika plug-in kryptografiska moduler, inklusive de mest effektiva algoritmerna DES, Triple DES, RC5, RC6, AES, XTS-AES. De mest använda algoritmerna i IPC-lösningar är RC5 och AES , vars effektivitet kan testas i projektet [distributed.net]. De är mest effektiva för att lösa datakrypteringsuppgifter för stora mängder data på serverlagringar och säkerhetskopior. IPC-lösningar stöder integration med den ryska GOST 28147-89-algoritmen , som tillåter användning av IPC-krypteringsmoduler i statliga organisationer
Tvåfaktorsautentisering är en implementering av åtkomstkontroll, vilket är identifieringen av en användare baserat på vad han vet och vad han äger. Den vanligaste formen av autentisering är ofta enkla lösenord som användaren har i minnet. Lösenord skapar svag säkerhet, eftersom de lätt kan knäckas eller gissas (ett av de vanligaste lösenorden är "lösenord"). En säkerhetspolicy för endast lösenord gör en organisation sårbar, så IPC använder tvåfaktorsautentisering med vanliga USB-tokens .
Moderna organisationers informationsnätverk är i de flesta fall heterogent. Detta innebär att servrar som kör olika operativsystem och ett stort antal applikationer samexisterar i samma nätverk. Beroende på verksamhetens typ av verksamhet kan dessa vara e-post- och grupparbetsapplikationer, CRM- , ERP- , Sharepoint- system, elektroniska dokumenthanteringssystem, ekonomi- och redovisningssystem och så vidare. Antalet lösenord som en vanlig användare behöver komma ihåg kan i genomsnitt uppgå till 3 till 7 i en organisation. Användare skriver lösenord på papperslappar och klistrar dem på framträdande ställen, vilket omintetgör alla ansträngningar för att skydda information, eller de förvirrar och glömmer hela tiden lösenord, vilket orsakar ökad belastning på den interna IT-tjänsten. Användningen av IPC i det här fallet gör det också möjligt att lösa ett sekundärt problem - att förenkla livet för vanliga anställda tillsammans med att öka säkerhetsnivån.
IPC-system har agenter på alla viktiga nätverkspunkter: servrar, lagringar, gateways, PC (stationära och bärbara datorer), kringutrustning och nätverksanvändarenheter. IPC-tekniker implementeras för Windows , Linux , Sun Solaris , Novell . Interoperabilitet med Microsoft Active Directory , Novell eDirectory och andra LDAP:er stöds . De flesta komponenter kan fungera effektivt i arbetsgrupper.