Тechnology of security confidential information from inside threats
The review of methods and program means of security confidential information in particular Information Protection and Control (IPC) – the technologies of security confidential information from inside threats are carried out. The methods of control of technical channels of leakeg with help of technol...
Збережено в:
| Дата: | 2025 |
|---|---|
| Автори: | , , |
| Формат: | Стаття |
| Мова: | Ukrainian |
| Опубліковано: |
PROBLEMS IN PROGRAMMING
2025
|
| Теми: | |
| Онлайн доступ: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/800 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Репозитарії
Problems in programming| id |
pp_isofts_kiev_ua-article-800 |
|---|---|
| record_format |
ojs |
| resource_txt_mv |
ppisoftskievua/ad/b587d45189e68b622d9125ebf84ce8ad.pdf |
| spelling |
pp_isofts_kiev_ua-article-8002025-09-02T15:47:58Z Тechnology of security confidential information from inside threats Технології захисту конфіденційної інформації від внутрішніх загроз Antoniuk, A.A. Portyanoy, V.S. Shylin, V.P. UDC 681.3.06 УДК 681.3.06 The review of methods and program means of security confidential information in particular Information Protection and Control (IPC) – the technologies of security confidential information from inside threats are carried out. The methods of control of technical channels of leakeg with help of technologies Data Loss Prevention (DLP) are considered. The methods of detect of confidential information are detail analyzed. The description of one of the wide-spread program product of the family InfoWatch are presented.Prombles in programming 2011; 1: 78-88 Проведено огляд методів та програмних засобів захисту конфіденційної інформації, зокрема, Information Protection and Control (IPC) – технології захисту конфіденційної інформації від внутрішніх загроз. Розглянуто методи контролю технічних каналів витоку інформації за допомогою технологій Data Loss Prevention (DLP). Детально проаналізовано методи детектування конфіденційної інформації. Подано опис одного з розповсюджених програмних продуктів сімейства InfoWatch.Prombles in programming 2011; 1: 78-88 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2025-08-28 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/800 PROBLEMS IN PROGRAMMING; No 1 (2011); 78-88 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 1 (2011); 78-88 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 1 (2011); 78-88 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/800/852 Copyright (c) 2025 PROBLEMS IN PROGRAMMING |
| institution |
Problems in programming |
| baseUrl_str |
https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| datestamp_date |
2025-09-02T15:47:58Z |
| collection |
OJS |
| language |
Ukrainian |
| topic |
UDC 681.3.06 |
| spellingShingle |
UDC 681.3.06 Antoniuk, A.A. Portyanoy, V.S. Shylin, V.P. Тechnology of security confidential information from inside threats |
| topic_facet |
UDC 681.3.06 УДК 681.3.06 |
| format |
Article |
| author |
Antoniuk, A.A. Portyanoy, V.S. Shylin, V.P. |
| author_facet |
Antoniuk, A.A. Portyanoy, V.S. Shylin, V.P. |
| author_sort |
Antoniuk, A.A. |
| title |
Тechnology of security confidential information from inside threats |
| title_short |
Тechnology of security confidential information from inside threats |
| title_full |
Тechnology of security confidential information from inside threats |
| title_fullStr |
Тechnology of security confidential information from inside threats |
| title_full_unstemmed |
Тechnology of security confidential information from inside threats |
| title_sort |
тechnology of security confidential information from inside threats |
| title_alt |
Технології захисту конфіденційної інформації від внутрішніх загроз |
| description |
The review of methods and program means of security confidential information in particular Information Protection and Control (IPC) – the technologies of security confidential information from inside threats are carried out. The methods of control of technical channels of leakeg with help of technologies Data Loss Prevention (DLP) are considered. The methods of detect of confidential information are detail analyzed. The description of one of the wide-spread program product of the family InfoWatch are presented.Prombles in programming 2011; 1: 78-88 |
| publisher |
PROBLEMS IN PROGRAMMING |
| publishDate |
2025 |
| url |
https://pp.isofts.kiev.ua/index.php/ojs1/article/view/800 |
| work_keys_str_mv |
AT antoniukaa technologyofsecurityconfidentialinformationfrominsidethreats AT portyanoyvs technologyofsecurityconfidentialinformationfrominsidethreats AT shylinvp technologyofsecurityconfidentialinformationfrominsidethreats AT antoniukaa tehnologíízahistukonfídencíjnoíínformacíívídvnutríšníhzagroz AT portyanoyvs tehnologíízahistukonfídencíjnoíínformacíívídvnutríšníhzagroz AT shylinvp tehnologíízahistukonfídencíjnoíínformacíívídvnutríšníhzagroz |
| first_indexed |
2025-09-17T09:23:15Z |
| last_indexed |
2025-09-17T09:23:15Z |
| _version_ |
1843502509224624128 |
| fulltext |
Програмні системи захисту інформації
УДК 681.3.06
А.О. Антонюк, В.С. Портяной, В.П. Шилін
ТЕХНОЛОГІЇ ЗАХИСТУ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ
ВІД ВНУТРІШНІХ ЗАГРОЗ
Проведено огляд методів та програмних засобів захисту конфіденційної інформації, зокрема,
Information Protection and Control (IPC) – технології захисту конфіденційної інформації від внутрішніх
загроз. Розглянуто методи контролю технічних каналів витоку інформації за допомогою технологій
Data Loss Prevention (DLP). Детально проаналізовано методи детектування конфіденційної інформації.
Подано опис одного з розповсюджених програмних продуктів сімейства InfoWatch.
Вступ
За статистикою левову долю вито-
ків інформації складають витоки, що по-
в'язані з ІТ-інфраструктурою організації,
тобто внутрішні загрози. Як правило, під
внутрішньою загрозою мається на увазі
навмисний інсайд, коли один із співробіт-
ників свідомо виносить корпоративний се-
крет назовні. Велику небезпеку представ-
ляють також ненавмисні внутрішні інци-
денти.
78
З концептуальної точки зору існує
два канали витоку – по-перше, це глобаль-
на мережа і, по-друге, мобільні пристрої.
Декомпозицію можна продовжити і далі,
розділивши канал Internet на підканали:
електронна пошта, ftp і p2p-мережі; а канал
мобільні пристрої – на підканали – ноут-
буки, флеш-накопичувачі й т. д. Звичайно,
кожен витік має власну причину. Поняття
«причина» і «канал» взаємозв'язані, проте
ототожнювати їх не можна. Як правило,
причина витоку дозволяє припустити, який
канал при цьому використовувався і на-
впаки. Причини витоків бувають зовніш-
німи і внутрішніми. Такий розподіл є умо-
вним, оскільки деякі інциденти (назвемо їх
змішаними) мають і ту й іншу причину. До
змішаних витоків можна віднести, напри-
клад, хакерське вторгнення з елементами
соціальної інженерії або атаку з боку ко-
лишнього співробітника [1]. Як протистоя-
ти таким порушенням безпеки?
Саме для захисту від подібних ви-
токів інформації сьогодні широке розпо-
всюдження отримали спеціалізовані про-
дукти, до яких, зокрема, слід віднести
Information Protection and Control (IPC) –
технологію захисту конфіденційної інфор-
мації від внутрішніх загроз [2]. Рішення
класу IPC призначені для захисту інфор-
мації від внутрішніх загроз, запобігання
різних видів витоків інформації, корпора-
тивного шпигунства і бізнес-розвідки.
IPC-система поєднує у собі дві ос-
новні технології:
• шифрування носіїв інформації у
всіх точках мережі;
• контроль технічних каналів ви-
току інформації за допомогою технологій
Data Loss Prevention (DLP).
Контроль доступу до мережі, про-
грам та даних є можливою третьою техно-
логією у системах класу IPC.
Технологія IPC є логічним продов-
женням технології DLP і дозволяє захища-
ти дані не тільки від витоку технічними
каналами, тобто інсайдерів, а й від несанк-
ціонованого доступу користувачів до ме-
режі, інформації, додатків і в тих випадках,
коли безпосередній носій інформації по-
трапляє у руки третіх осіб. Це дозволяє не
допускати витоку і в тих випадках, коли
інсайдер або не має легального доступу до
даних або людина отримує доступ до без-
посереднього носія інформації (втрата,
крадіжка або вилучення (наприклад, не-
добросовісними конкурентами або рейде-
рами)). Далі більш детально розглядається
саме технологія ІРС.
Завдання
Основним завданням IPC-систем є
запобігання передачі конфіденційної
© А.О. Антонюк, В.С. Портяной, В.П. Шилін, 2011
ISSN 1727-4907. Проблеми програмування. 2011. № 1
Програмні системи захисту інформації
79
налізатори IPC та
інші си
Додаткові завдання систем класу
IPC:
аму,
еротик за
ину інформаційної системи
організації
сів і ресурсів ме-
режі в
кана-
лів, зм
го часу і присутно-
сті на р о
х поглядів, пе-
рекона , з
вого видалення або псування ори-
гіналу;
ного порушення внутрішніх нормати-
вів;
аційної безпеки і
чинног
інформації за межі корпоративної інфор-
маційної системи. Така передача (витік)
може бути навмисною або ненавмисною.
Практика показує, що більша частина
(понад 75%) витоків відбувається не зі
злого наміру, а через помилки,
неуважність, недолугості, недбалості
працівників – виявляти подібні випадки
набагато простіше. Інша частина пов'язана
зі злим умислом операторів і користувачів
інформаційних систем підприємства,
зокрема, промисловим шпигунством,
конкурентної розвідкою. Очевидно, що
зловмисні інсайдери, як правило,
намагаються обдурити а
стеми контролю.
• запобігання передачі зовні не
тільки конфіденційної, а й іншої небажаної
інформації (образливих виразів, сп
и, йвих обсягів даних і т. п.);
• запобігання передачі небажаної
інформації не тільки зсередини назовні, а й
зовні всеред
;
• запобігання використання пра-
цівниками Internet-ресур
особистих цілях;
• захист від спаму;
• захист від вірусів;
• оптимізація завантаження
еншення нецільового трафіку;
• облік робочо
об чому місці;
• відстеження благонадійності
співробітників, їх політични
нь бір компромату;
• архівація інформації на випадок
випадко
• захист від випадкового або на-
вмис
• забезпечення відповідності ста-
ндартів у галузі інформ
о законодавства.
Як було раніше сказано, IPC
включає у себе рішення класу DLP, яка в
IPC підтримує контроль наступних техніч-
них каналів витоку конфіденційної інфор-
мації:
; • електронна пошта
• Веб-пошта;
• соціальні мережі й блоги;
• файлообмінні мережі;
• форуми та інші інтернет-ресур-
си, у тому числі виконані на AJAX-техно-
логії;
• IM (ICQ, агент Mail.ru, Skype,
AOL AIM, Google Talks, Yahoo Messenger,
MSN та інше);
• p2p-клієнти;
• периферійні пристрої (USB,
LPT, COM, WiFi, Bluetooth й інше);
• локальні та мережеві принтери.
Технології DLP в IPC підтримують
контроль, у тому числі наступних
протоколів даними: обміну
• HTTP;
• HTTPS (SSL);
• FTP;
• FTP-over-HTTP;
• FTPS;
• SMTP.
Крім того, відзначимо, що
обов'язковою компонентою IPC є архів,
який ведеться для обраних потоків
інформації (пакетів, повідомлень). Вся
інформація про дії співробітників
зберігається в одній або декількох
пов'язаних між собою базах даних.
Лідируючі IPC-системи дозволяють
архівувати всі канали витоку, які вони
можуть контролювати. В архіві IPC
зберігаються копії закачаних в Internet
документів і текстів, електронних листів,
роздрукованих документів і файлів,
записаних на периферійні пристрої. У
будь-який момент адміністратор ІБ може
отримати доступ до будь-якого документа
або тексту в архіві, використовуючи
лінгвістичний пошук інформації за єдиним
архівом (або за всіма розподіленими
архівами водночас). Будь-які повідомлення
за необхідності можна подивитися або
переслати, а будь-який закачаний в
Internet, записаний або роздрукований на
http://www.wikisec.ru/index.php?title=HTTPS&action=edit&redlink=1
http://www.wikisec.ru/index.php?title=FTP&action=edit&redlink=1
http://www.wikisec.ru/index.php?title=FTP-over-HTTP&action=edit&redlink=1
http://www.wikisec.ru/index.php?title=FTPS&action=edit&redlink=1
http://www.wikisec.ru/index.php?title=SMTP&action=edit&redlink=1
Програмні системи захисту інформації
80
. Це дозволяє
провод
є в
себе ування
інформації всіх ключових точках
мережі
верів;
річки;
-ray;
різ-
ні спіл
с
периферійні та
мережеві пристрої для користувача. Тех-
нології ІРС indows,
Linux, Sun Solaris, Novell.
-
них «к
овним, оскільки під нього
цілком г ст
за є ключовою, такою, що відо-
кремлю
тною. Даний
принц і
ого
ПЗ. Пр
що йдуть по каналах. У цілому
можна
зовнішній пристрій файл або документ,
переглянути або скопіювати
ити ретроспективний аналіз можли-
вих витоків.
Технологія IPC також включа
можливості щодо шифр
на
:
• жорсткі диски сер
• SAN;
• NAS;
• магнітні ст
• диски CD/DVD/Blue
• персональні комп'ютери;
• ноутбуки;
• зовнішні пристрої.
Технології IPC використовують
ьні криптографічні модулі, в тому
числі найбільш ефективні алгоритми DES,
Triple DES, RC5, RC6, AES, XTS-AES.
IPC – системи мають агенти в усіх
ключових точках мережі: ервери, схови-
ща, шлюзи, ПК/ноутбуки,
реалізовані для W
Що таке DLP?
Нині немає чіткого розуміння цього
терміну [3]. Дійсно, DLP-системою можна
назвати навіть антивірус, оскільки він до-
зволяє уникнути установки троянів, які по-
силають інформацію з локального при-
строю своїм творцям або замовникам, і
програму для блокування USB-портів,
оскільки вона бореться з витоками через
USB-накопи-чувачі. Проте антивірус і сис-
тема блокування портів не захищають ор-
ганізацію від витоків – вони лише закри-
вають один з каналів або усувають одну з
причин. Теоретично за допомогою подіб
лаптевих» рішень можна запобігти
витокам, проте для крупних організацій
такий підхід категорично неприйнятний.
Тому під DLP-системою зазвичай
розуміють комплексне рішення
корпоративного масштабу, яке бореться з
витоками для різних каналів і причин. Це
визначення є неп
підходить іпотетична си ема, яка
фізично блокує всі порти і перекриває до-
ступ до Internet.
Сучасним організаціям потрібні
Internet і доступ до мобільних накопичува-
чів. Перекривати ці канали не можна – а
значить, доступ до них слід контролювати.
Іншими словами, DLP-система зобов'язана
аналізувати трафік, який проходить по ка-
налах і «голосно кричати» адміністратору,
якщо цей трафік виявився секретним.
Остання те
є функціонал DLP-систем від бі-
льшості других рішень з інформаційної
безпеки.
У рамках окремого узятого каналу
DLP-система працює як «чорний ящик»,
куди на вхід подається інформація, що йде
по каналу, а на виході формується вердикт,
чи є вхідна інформація секре
ип не залежить в д специфіки кана-
лу, яка, втім, може бути використана в ал-
горитмі винесення вердикту.
Таким чином, основна цінність
DLP-системи полягає в алгоритмі, на ос-
нові якого працює «чорний ящик». Архіте-
ктура і навіть список підтримуваних кана-
лів є вторинними характеристиками дан
оте, з погляду кінцевого замовника,
дані чинники також дуже важливі, оскіль-
ки без них додаток практично марний.
На даний момент у галузі не існує
стандартного алгоритму аналізу трафіку,
більш того – не існує навіть стандартної
технології. Кожна, представлена на ринку
компанія, сповідає власний спосіб фільт-
рації даних,
говорити про два концептуально
різних підходи, що мають як переваги, так
і недоліки.
Перший підхід базується на
фільтрації контенту, тобто змістовного
наповнення інформації. Це означає,
наприклад, що при перевірці на
секретність стандартних офісних
документів у форматі .doc система
спочатку переведе їх в текстовий формат, а
потім, використовуючи заздалегідь
підготовлені дані, винесе по цьому тексту
вердикт. Другий підхід (контекстна
Програмні системи захисту інформації
81
ізу контенту сис-
тема
и
перши
ика показує, що навіть
комбін
безперешкодно покинути мережу
компан
с
тний п
му пі-
дході м
иводить до створення корпоративних
політи
мітку та застосувати поло-
ження
тні фа
блему,
застос
отно
спрост
фільтрація) використовує принципово ін-
шу схему: замість анал
перевіряє контекст, в якому
передається інформація, а саме, вилучає
метадані файлу, дивиться на його розмір
або аналізує поведінку користувача.
Перші системи (їх можна назват
м поколінням), що з'явилися на рин-
ку, використовували саме алгоритми кон-
тентної фільтрації, до яких поступово до-
давалися функції по роботі з контекстом.
Проте у всіх без виключення мето-
дів є один основний недолік – низька точ-
ність визначення, оскільки жоден з наяв-
них методів не може забезпечити захист
усіх типів конфіденційної інформації. На-
віть у рамках одного типу є численні об-
меження. Практ
ація декілька контентних і контекс-
тних алгоритмів рідко забезпечує прийня-
тну точність за умов обмеженої продукти-
вності системи.
За даними компанії Perimetrix ефек-
тивність фільтрації із застосуванням кон-
тентних технологій досягає лише 80 %. Це
означає, що 20 % корпоративних секретів
можуть
ії. Крім того, система фільтрації
контента допускає помилки другого типу,
визнаючи деякі легітимні відомості секре-
тними.
Проте, не дивлячись на очевидні
обмеження, контентно-контекстні истеми
першого покоління, як і раніше, домінують
на DLP-ринку. Оскільки спочатку контен-
ідхід використовувався у більшості
систем, більшість традиційних гравців
DLP-ринку не наважуються змінити осно-
вну технологію, яка розроблялася роками.
Після того, як неефективність кла-
сичних контентних методів стала очевид-
ною, деякі компанії почали упроваджувати
принципово інший, детерміністський під-
хід (друге покоління DLP-систем). Такий
підхід припускає, що всі конфіденційні
файли мають бути спеціальним чином по-
мічені. Розмітка файлів близька до кон-
текстної фільтрації (а мітки близькі до ме-
таданих), проте насправді ці підходи
принципово різні. У детерміністсько
ітки спеціально вбудовуються в до-
кумент самою DLP-системою, тоді як кла-
сичний контекстний аналіз оперує незале-
жним від DLP-системи контекстом.
Технологічно мітка може вбудову-
ватися в документ по-різному. В деяких
продуктах ця мітка може бути «вшита» в
ім'я файлу. В цьому випадку кожне ім'я
файлу має починатися, наприклад, з класу
конфіденційності або рівня секретності,
що пр
к іменування файлів. Природно, на
практиці це дуже незручно, не прозоро і
заважає співробітникам ефективно працю-
вати.
Тим часом є більш тонкі методи ро-
боти з документами, які не припускають
таке грубе вбудовування. Наприклад, мітка
може бути інкапсульована всередину фай-
лу, скажімо, в один з його службових заго-
ловків. Коли такий документ покидає кор-
поративну мережу через мережеві канали,
наприклад, електронною поштою, фільтру
не слід аналізувати контент. Досить лише
проаналізувати
політики безпеки. Іншими словами,
знаючи мітку, система захисту може без-
помилково визначити, є файл секретним
або відкритим.
Очевидно, що для впровадження
детерміністської системи слід провести
повну класифікацію всіх електронних до-
кументів в організації і помітити всі секре-
йли відповідним чином. Також зро-
зуміло, що ефективність захисту поміче-
них файлів дорівнює 100 % (звичайно, за
умови захисту від несанкціонованої зміни).
Головний недолік детерміністських
методів полягає у тому, що помітити всі
конфіденційні документи, як правило, не-
можливо. Ще важче постійно підтримува-
ти базу помічених документів у актуаль-
ному стані. Щоб вирішити цю про
овуються різні способи. Наприклад,
можна переносити мітки в нові файли із
старих документів і таким чином іст
ити керування платформою.
Програмні системи захисту інформації
82
методів
у разі
LP-системи
мають
ист і так
далі) д
жна більшість рішень класу DLP не
може забез
фільтрацію
кований функціонал для того,
щоб:
з витоку інформації, а не дві;
егро-
вані
доку
У цілому детерміністські методи
мають право на існування, проте в більшо-
сті випадків вони також неефективні.
Сьогодні сучасний ринок потребує
нових рішень, що належать до класу DLP-
систем третього покоління. Можливим ва-
ріантом тут є використання комплексного
підходу, а саме, детерміністських
помічених документів і контентної
фільтрації для решти файлів. При цьому
поєднуються плюси обох підходів: точ-
ність і гнучкість фільтрації контента. За
даними компанії Perimetrix ефективність
такого поєднання досягає 99,6 %.
Проте проста інтеграція підходів не
може бути підставою для появи чергового
покоління продуктів. Розвиток галузі пока-
зав, що концептуально нові D
підтримувати функціонал шифру-
вання для захисту інформації на мобільних
носіях. Жоден з традиційних DLP-підходів
не може забезпечити захист від крадіжки
ноутбука, а цей захист украй необхідний
для повноцінної DLP-системи.
Практично половина (49 %) сучас-
них витоків відбувається в результаті кра-
діжки мобільних пристроїв. Єдиним спо-
собом захисту тоді є шифрування – решта
всіх підходів (паролі, фізичний зах
авно показала власну неспромож-
ність. Проблема полягає лише в тому, що
перева
печити шифрування, а рішення
по шифруванню не можуть здійснювати
витікаючого трафіку.
Підприємствам і організаціям необ-
хідний уніфі
• отримати одну систему захисту
від всіх загро
• використовувати єдині інт
політики для фільтрації і шифрування
ментів;
• забезпечити просту і швидку
відповідність різним нормативним актам і
стандартам.
Технології детектування
конфіденційної інформації
Діяльність наведених технологій
базується на технології детектування кон-
фіденційної інформації [4]. Розглянемо
найбільш розвинуті та розповсюджені тех-
нології детектування.
Сигнатури. Найпростіший метод
контролю – пошук у потоці даних певної
послідовності символів. Іноді заборонену
послідовність символів називають «стоп-
виразом», але в більш загальному випадку
вона може бути представлена не словом, а
довільним набором символів, наприклад,
певною міткою. Якщо система настроєна
тільки на одне слово, то результат її робо-
ти – визначення 100 % збігу, тобто метод
можна віднести до детерміністського. Од-
нак частіше пошук певної послідовності
символів все ж таки застосовують при ана-
лізі тексту. В переважній більшості випад-
ків сигнатурні системи налаштовані на
пошук декількох слів і частоту зустрічаль-
ності термінів.
До переваг цього методу можна ві-
днести простоту поповнення словника за-
боронених термінів і очевидність принци-
пу роботи, а також те, що це найбільш на-
дійний спосіб, якщо необхідно знайти від-
повідність слова або виразу на 100 %.
Недоліки стають очевидними після
початку промислового використання такої
технології при визначенні витоків і налаш-
туванні правил фільтрації. Більшість виро-
бників DLP-систем працюють для західних
ринків, а англійська мова дуже «сигнатур-
на» – форми слів найчастіше утворюються
за допомогою прийменників без зміни са-
мого слова. В російській мові, наприклад,
все набагато складніше, тому що у ній є
приставки, закінчення, суфікси. Для при-
кладу можна взяти слово «ключ», яке може
означати як «ключ шифрування», «ключ
від квартири», «джерело», «ключ або PIN-
код від кредитної картки», так і безліч ін-
ших значень. У російській ові з кореня
«ключ» можна утворити кілька десятків
різних слів. Це означає, що якщо на заході
фахівця із захисту інформації від інсайде-
рів досить ввести одне слово, в Росії фахі-
вцеві доведеться вводити пару десятків
м
слів і потім ще змінювати їх в шести різ-
Програмні системи захисту інформації
83
і лінгвіста
або ко
у
ологія «цифрових
відбит
исту інфор-
мації.
»
ється, що ви-
магає
них кодуваннях. Реальне застосування
цього методу вимагає наявност
манди лінгвістів як на етапі впрова-
дження, так і в процесі експлуатації та
оновлення бази. Безсумнівним недоліком є
і те, що «сигнатури» нестійкі до примітив-
ного кодування, наприклад, заміною сим-
волів на схожі за зображенням.
«Цифрові відбитки» (Digital Fin-
gerprints або DG). Різного типу хеш-
функції зразків конфіденційних докумен-
тів позиціонуються західними розробни-
ками DLP-систем як нове слово на ринку
захисту від витоків, хоча сама технологія
існує з 70-х років. На заході цей метод іно-
ді називається «digital fingerprints». Суть
всіх методів одна й та сама, хоча конкретні
алгоритми у кожного виробника можуть
відрізнятися. Деякі алгоритми навіть пате-
нтуються, що допомагає у просуванні «но-
вої запатентованої технології DG». Загаль-
ний сценарій дії такий: набирається база
зразків конфіденційних док ментів. Суть
роботи DG досить проста і часто цим і
приваблює: DLP/IPC-системі передається
якийсь стандартний документ-шаблон, з
нього створюється «цифровий відбиток» і
записується в базу даних DF. Далі в прави-
лах контентної фільтрації настроюється
процентна відповідність шаблону з бази.
Наприклад, якщо налаштувати 75 % відпо-
відності «цифровому відбитку» договору
поставки, то при контентній фільтрації
DLP виявить практично всі договори цієї
форми. Іноді, до цієї технології відносять і
системи на зразок «антиплагіат», однак
остання працює тільки з текстовою інфор-
мацією, водночас як техн
ків», у залежності від реалізації, мо-
же працювати і різним медійним контен-
том і застосовуватися для захисту авторсь-
ких прав і перешкоди випадкового або на-
вмисного порушення законів і нормативів
інформаційної безпеки.
До переваг технології «цифрових
відбитків» (Digital Fingerprints) можна від-
нести простоту додавання нових шаблонів,
досить високий ступінь детектування і
прозорість алгоритму технології для спів-
робітників підрозділів по зах
Спеціалістам СБ і ІБ не треба думати
про «стоп-вирази» та іншу лінгвістику, ви-
трачати багато часу на аналіз потенційно
небезпечних словоформ і вбивати їх в ба-
зу, витрачати ресурси на впровадження та
підтримку лінгвістичної бази.
Основним недоліком, який на пер-
ший погляд неочевидний і схований за
«патентованими технологіями», є те, що,
незважаючи на всю простоту і фактичну
відсутність лінгвістичних методів, необ-
хідно постійно оновлювати базу даних
«цифрових відбитків». І якщо у випадку з
«сигнатурами», такий метод не вимагає
постійного оновлення бази словами, то він
вимагає оновлення бази «цифрових відби-
тків». До недоліків «цифрових відбитків»
можна віднести те, що фактично від «роз-
ширення бази словами» підтримка DLP в
ефективному стані переходить на «пошук
та індексування нових і змінених файлів ,
що є більш складним завданням, навіть
якщо це робиться DLP-системою напівав-
томатично. Великі компанії, в яких з'явля-
ється до десятка тисяч нових і оновлених
документів кожен робочий день тільки на
серверних сховищах часто просто не в
змозі відслідковувати все це в режимі реа-
льного часу, не кажучи вже про персона-
льні комп'ютери і ноутбуки. У такому разі
застосування DG малоефективне, тому
«цифрові відбитки» в більшості DLP роз-
раховані на компанії SMB-сектора (менш
500 користувачів). На додаток до цього
цифрові відбитки займають приблизно 10–
15 % від розміру конфіденційних докумен-
тів, і база постійно розроста
додаткових інвестицій у збільшення
систем зберігання інформації і продуктив-
ність DLP-серверів. Крім того, низькорів-
неві хеш-функції (у тому числі й DG) не-
стійкі до примітивного кодування, що роз-
глядалося щодо «сигнатур».
«Мітки». Суть цього методу поля-
гає у призначенні спеціальних «міток»
всередині файлів, що містять конфіденцій-
ну інформацію. З одного боку, такий метод
дає стабільні та максимально точні відомо-
сті для DLP-системи, з іншого – потрібно
досить сильні зміни в інфраструктурі ме-
Програмні системи захисту інформації
84
обхідності значної перебудови ін-
фрастр
в н о
ивають «текстовими ідентифіка-
торами улярні вирази дозволяють
знаход за формою даних, у ньому
не мож
метод
мках DLP/IPC-систем, так як знайти
за доп
м
о уні-
кально
а а
е
режі. У лідерів DLP/IPC-ринку реалізація
даного методу не зустрічається, тому роз-
глядати її докладно не має особливого сен-
су. Можна лише зауважити, що, незважа-
ючи на явне достоїнство «міток» – якість
детектування, є багато суттєвих недоліків:
від не
уктури всередині мережі до введен-
ня безлічі нових правил і форматів файлів
для користувачів. Фактично впровадження
такої технології перетворюється у впрова-
дження спрощеної системи документо-
обігу.
Регулярні вирази. Пошук за регу-
лярними виразами («масками») є також
давно відомим способом детектування не-
обхідного вмісту, однак в DLP він став за-
стосову атися відносно едавно. Част цей
метод наз
». Рег
ити збіги
на точно зазначити точне значення
даних, на відміну від «сигнатур». Такий
детектування ефективний для
пошуку:
• ІПН;
• КПП;
• номерів рахунків, кредитних карт,
телефонів, паспортів, клієнтських номерів.
До переваг технології регулярних
виразів у першу чергу варто віднести те,
що вони дозволяють детектувати специфі-
чний для кожної організації тип контенту,
починаючи від кредитних карток і закін-
чуючи назвами схем обладнання, специфі-
чних для кожної компанії. Крім того, фор-
ми основних конфіденційних даних змі-
нюються вкрай рідко, тому їх підтримка
практично не вимагатиме часових ресур-
сів. До недоліків регулярних виразів мож-
на віднести їх обмежену сферу застосуван-
ня в ра
омогою них можна тільки конфіден-
ційну інформацію лише певної форми. Ре-
гулярні вирази не ожуть застосовуватися
незалежно від інших технологій, однак
можуть ефективно доповнювати їх можли-
вості.
Лінгвістичні методи (морфологія,
стеммінг). Найбільш поширеним на сьо-
годнішній день методом аналізу в
DLP/IPC-системах є лінгвістичний аналіз
тексту. Він настільки популярний, що час-
то саме він у просторіччі іменується «те-
матичною фільтрацією», тобто несе на собі
характеристику всього класу методів ана-
лізу вмісту. Мовознавство як наука скла-
дається з багатьох дисциплін – від морфо-
логії до семантики, і лінгвістичні методи
аналізу різняться між собою. Є технології,
які використовують лише «стоп-вирази»,
що вводять тільки на рівні коріння, а сама
система вже становить повний словник; є
що базуються на розставленні ваг на тер-
міни, що найчастіше зустрічаються в текс-
ті. Є у лінгвістичних методах і свої відбит-
ки, що базуються на статистиці; напри-
клад, береться документ, рахується п'ятде-
сят найбільш уживаних слів, потім вибира-
ється з 10 найуживаніших з них у кожному
абзаці. Такий «словник» є практичн
ю характеристикою тексту і дозво-
ляє знаходити в «клони» значущі цитати.
Аналіз всіх тонкощів лінгвістичного аналі-
зу не входить до рамок цієї статті, однак
необхідно зауважити ширину можливостей
цієї технології у рамках IPC-систем.
До достоїнств лінгвістичних мето-
дів у DLP можна віднести те, що в морфо-
логії та інших лінгвістичних методах висо-
кий ступінь ефективності, порівняно з сиг-
натурами, при набагато менших трудовит-
ратах на впровадження і підтримку (зни-
ження трудовитрат н 95 % з відношен-
ням до «сигнатур»). При цьому у випадку з
використанням лінгвістичних методів де-
тектування немає необхідності відстежува-
ти появу нових документів і направляти їх
на аналіз у IPC-систему, так як ефектив-
ність лінгвістичних методів визначення
конфіденційної інформації не залежить від
кількості конфіденційних документів, час-
тоти їх появи і продуктивності системи фі-
льтрації вмісту. Недоліки лінгвістичних
методів також досить очевидні, п рший з
них – залежність від мови – якщо організа-
ція представлена в декількох країнах, бази
конфіденційних слів і виразів доведеться
створювати окремо для кожної мови і кра-
їни, з огляду на всю специфіку. При цьому
Програмні системи захисту інформації
85
дньому 85 %. Якщо залучати
профес лі
ч
иво
н .
Р
а
тичний п
відбит а з
основні
власти
в
можна знайти в [5–6].
ими законами
та стан
робочих
станці
мпетентним особам і поміщає підо-
зрілі о
Monitor або система) – це розподі-
лена б т
ля виконання даного завдання в
систем е
ься за допомогою
інтеграції із Proxy-сервером MS ISA
Server.
звичайна ефективність такого методу
складе в сере
ійних нгвістів, то ефективність
може зрости до 95 % – більше може забез-
печити лише ру на перевірка або «сигна-
тури», проте щодо ефективності і трудови-
трат рівних лінгвістичним методам поки
не знайшли.
Ручне детектування («Каран-
тин»). Ручна перевірка конфіденційної ін-
формації іноді називається «Карантин».
Будь-яка інформація, яка потрапляє під
правила ручної перевірки, наприклад, у ній
зустрічається слово «ключ», потрапляє у
консоль фахівця інформаційної безпеки.
Останній по черзі вручну переглядає таку
інформацію та приймає рішення про про-
пуск, блокування або затримку даних. Як-
що дані блокуються або затримуються, ві-
дправнику надсилається відповідне повід-
омлення. Безперечною перевагою такого
методу можна вважати найбільшу ефекти-
вність. Проте, такий метод у реальному
бізнесі можна застосовувати лише для об-
меженого обсягу даних, тому що потрібно
велика кількість людських ресурсів, так як
для якісного аналізу всієї інформації, що
виходить за межі компанії, кількість спів-
робітників інформаційної безпеки має
приблизно збігатися з кількістю інших
офісних співробітників. А це неможл
авіть у силових і військових структурах
еальне застосування для такого методу –
наліз даних обраних співробітників, де
потрібна більш тонка робота, ніж автома-
ошук за шаблонами, «цифрових
ків» бо збігів і словами з бази.
Забезпечення захисту конфіден-
ційної інформації від витоків за
допомогою програмних продуктів
компанії InfoWatch
Як приклад розглянемо
вості сімейства програмних продук-
тів компанії InfoWatch – одного з пошире-
них продукті забезпечення захисту кон-
фіденційної інформації третього поколін-
ня. Більш детальну інформацію про них
Сімейство продуктів InfoWatch
являє собою досить збалансований засіб
для ефективного керування
інформаційною безпекою компанії, без
якого немислимо безперервне ведення су-
часного бізнесу.
InfoWatch допомагає зберегти
репутацію замовника, мінімізувати
фінансові ризики, пов'язані із втратою
конфіденційності даних і привести
інформаційну систему у відповідність із
національними й міжнародн
дартами.
Рішення компанії InfoWatch забез-
печують контроль над найпоширенішими
шляхами витоку, моніторинг доступу спів-
робітників до корпоративних інформацій-
них ресурсів і зберігання докладного архі-
ву операцій з документами.
InfoWatch у масштабі реального ча-
су фільтрує поштовий і Веб-трафік і конт-
ролює операції з документами на
ях, запобігаючи виводу конфіден-
ційних даних за межі інформаційної сис-
теми. У випадку виявлення фактів пору-
шення корпоративної політики ІТ безпеки
система оперативно повідомляє про інци-
дент ко
б'єкти в область карантину.
InfoWatch Traffic Monitor (далі
Traffic
ага окомпонентна система, призна-
чена для контролю за трафіком вихідних
листів, переданих за протоколами SMTP і
HTTP.
Д
і п редбачені два види перехоплю-
вачів:
• Mail Monitor – призначений для
перехоплення SMTP-трафіку. Перехоплен-
ня SMTP-трафіку здійснюється за допомо-
гою інтеграції з поштовим сервером
Postfix;
• Web Monitor – призначений для
перехоплення HTTP-трафіка. Поставляєть-
ся у вигляді окремого компонента – Traffic
Monitor ISA Server Plugin. Перехоплення
HTTP-трафіка здійснюєт
Програмні системи захисту інформації
86
ликий обсяг да-
них. За а
єю системи Traffic
Monito
r
входят
Monitor Server (сервер
пошто ф
Traffic Monitor ISA Server
Plugin д
інтерфейсу:
dmin-
istrator
o Traffic Monitor Analyser;
Monitor Server (далі Traffic
Monito
з потоку електронної
коресп д
ів, що ві-
дповід ть
• збереження затриманих листів,
що поруш
ержува-
чам);
щ
відність корпо-
ративній політиці безпеки, причому вико-
нуєтьс
пе
ін. З пере-
хоплен
ої політики безпе-
ки, про
итів, перенаправляються в
чергу
а ч а
програми
Traffic
езпеки.
ів і бази контентно-
го ана
У процесі роботи системи Traffic
Monitor накопичується ве
вд ння зберігання отриманих даних
вирішується інтеграці
r із СУБД Oracle.
До складу системи Traffic Monito
ь такі компоненти:
• Traffic
вої ільтрації);
•
(мо уль фільтрації POST-запитів);
• компоненти користувальниць-
кого
o Traffic Monitor Security A
;
o Traffic Monitor Security Officer;
o Traffic Monitor DB Administra-
tor;
o Traffic Monitor Eraser.
Traffic
r Server або сервер поштової фільт-
рації) призначений для виконання функ-
цій:
• здійснення тематичної класифі-
кації листів;
• виділення
он енції листів, що містять ознаки
конфіденційної інформації;
• збереження копій лист
аю корпоративній політиці безпе-
ки в архів;
• модифікація заголовків листів,
списків одержувачів, відповідно до вимог
корпоративної політики безпеки;
ують корпоративну політику
безпеки в карантин (з можливістю відкла-
деного прийняття Офіцером безпеки рі-
шення про відправлення листа од
• створення архіву листів шляхом
експорту листів з бази даних у зазначене
місце (з можливістю імпорту створеного
архіву листів назад у базу даних).
Кожний електронний лист, о про-
ходить через сервер поштової фільтрації,
перевіряється на його відпо
я перевірка атрибутів листа на від-
повідність або невідповідність певним
умовам, а також аналізується зміст самого
листа та вкладених файлів.
Traffic Monitor ISA Server Plugin
(далі Traffic Monitor ISA Server Plugin або
модуль фільтрації POST-запитів) здійснює
перехоплення таких POST-запитів, струк-
тура яких дає можливість ретворювати
їх в SMTP-листи. До таких POST-запитів
належать листи, що відправляються на
сайти Web-пошти, форуми й т.
их POST-запитів формуються
SMTP-листи, які перевіряються сервером
контентної фільтрації, що є частиною
сервера поштової фільтрації.
Після проходження процедури фі-
льтрації запити, у яких не знайдено ознак
порушення корпоративн
пускаються на зовнішній сервер для
відправлення зазначеним адресатам. Від-
правлення запитів з виявленими ознаками
порушень блокуються.
Всі листи, сформовані з перехопле-
них POST-зап
повідомлень (локальне сховище по-
відомлень сервера поштової фільтрації),
що очікують запису в базу даних (ар-
хів/карантин).
Фільтрація листів сервером контен-
тної фільтрації здійснюється за умови, що
конфігурація з зна еного сервер настроє-
на належним чином.
Завдання забезпечення необхідної
конфігурації сервера контентної фільтрації
вирішуються за допомогою
Monitor Security Administrator.
Право на запуск даної програми має кори-
стувач, якому призначена роль Адмініст-
ратора інформаційної б
Програма призначена для керування
настроюваннями параметрів фільтрації й
завантаження даних параметрів на сервер
контентної фільтрації.
У процесі роботи Адміністратор ін-
формаційної безпеки вирішує завдання
створення бази профіл
лізу, підтримки зазначених баз в ак-
туальному стані, завантаження бази профі-
Програмні системи захисту інформації
87
йдені ознаки порушен-
ня кор р
ffic Monitor
Securi O
може вирішувати
наступ
дійсно лист
містит
ена для виконання ря-
ду завдань а-
во на р о
стувач
.
Крім т в
су над сегментом даних
можна
, що зберіга-
ються ба
ується опціонально. Право на
роботу д -
вач, якому .
Основ
тів з бази даних.
у, редагування та видалення існую-
чих по
ливість звільнення місця
на жо
Eraser.
t
ережних дій п алізація такої
стратегії допом ояти промис-
ловому
ної інформації
лів і бази контентного аналізу на сервер
контентної фільтрації.
Листи, у яких сервером поштової
фільтрації були зна
по ативної політики безпеки, відо-
бражаються в програмі Tra
ty fficer. За допомогою даної про-
грами Офіцер безпеки
ні завдання:
• аналіз листів, затриманих сер-
вером контентної фільтрації;
• ухвалення рішення про достав-
ку затриманих листів.
За результатами аналізу Офіцер
безпеки робить висновок, чи
ь ознаки конфіденційної інформації
або мало місце помилкове спрацьовування
сервера контентної фільтрації. Залежно від
винесеного вердикту Офіцер безпеки може
приймати відповідні рішення.
Програма Traffic Monitor DB Ad-
ministrator признач
адміністрування системи. Пр
об ту з даною програмою має кори-
, якому призначена роль Адмініст-
ратора сховища. Основні функції Адміні-
стратора сховища:
• розподіл ролей користувачів;
• настроювання ротації сегментів.
Усі облікові записи створюються,
редагуються та видаляються Адміністра-
тором сховища, який контролює стан облі-
кових записів і при необхідності може за-
блокувати обліковий запис користувача
ого, якщо в СУБД Oracle ключений
аудит входу користувачів у систему, то
Адміністратор сховища може переглядати
дані журналу аудита через інтерфейс про-
грами Traffic Monitor DB Administrator.
Настроювання ротації сегментів
здійснюється Адміністратором сховища з
метою побудови безперервного циклу
прийому й обробки листів. Усі листи над-
ходять у сегмент даних, де потім обробля-
ються для подальшого використання. Сег-
мент даних – це логічна частина БД. У ко-
жний момент ча
робити тільки одну операцію: або
прийом нових листів, або переіндексацію
отриманих листів. Адміністратор сховища
задає періодичність, з якої виконується ро-
тація сегментів.
Програма Traffic Monitor Analyzer
призначена для аналізу листів
в зі даних. Установка даної про-
грами викон
з аною програмою має користу
призначена роль Аналітика
ні завдання Аналітика:
• пошук листів по реквізитах і
контексту;
• перегляд і збереження листів;
• видалення лис
Для пошуку листів у програмі пе-
редбачені функції роботи з пошуковими
запитами: створення нового пошукового
запит
шукових запитів.
Також завданням програми Traffic
Monitor Analyzer є забезпечення можливо-
сті перегляду та збереження знайдених ли-
стів.
Існує мож
рсткому диску шляхом видалення
тих листів, подальше зберігання яких у ба-
зі даних не потрібно. Для виконання дано-
го завдання призначена програма Traffic
Monitor
Працювати із програмою Traffic
Monitor Eraser може користувач, якому
призначена роль Чистильника, основною
функцією якого є видалення листів з бази
даних.
Рішення InfoWa ch забезпечують
ефективний контроль і аудит стану інфра-
структури внутрішньої ІТ-безпеки органі-
зації. Завдяки багаторівневому моніторин-
гу дій користувачів InfoWatch дозволяє
створити комплексний захист конфіден-
ційної інформації проти навмисних і необ-
ерсоналу. Ре
агає протист
шпигунству та внутрішньому сабо-
тажу, мінімізувати операційні ризики, по-
в'язані із втратою конфіденційності даних.
Висновки
Наведений аналіз сучасних техно-
логій захисту конфіденцій
Програмні системи захисту інформації
88
від витоків
дійних і
ефекти и з
-
тектув ня
звиток технологій захисту
інформації
ції має здійснюватися
комплексно;
сте
від
1.
дозволяє зробити наступні ви-
сновки:
• на сьогодні не існує на
вн х методів ахисту конфіденцій-
ної інформації від витоків;
• жоден з наведених методів де
ан конфіденційної інформації не
може вважатися цілком надійним;
• ро
від витоків має здійснюватися в
напрямку більш детальної спеціалізації;
• розробка засобів захисту конфі-
денційної інформа
• найважливішою складовою си-
ми захисту конфіденційної інформації
витоків слід вважати наявність якісної
політики безпеки.
2006 CSI/FBI Computer Crime and Security
Survey
http://www.infowatch.ru/threats?chapter=147
151396&id=2926721
2.
loads/docs/iw2
Внутренние ИТ-угрозы в России 2005
http://www.infowatch.ru/down
005.pdf
Cyber Cop Scanner 3.
/edition2/nhttp://www.nss.co.uk/grouptests/va
ai_cybercop_scanner/nai_cybercop_scanner.h
tm
4. World Wide Digital Security
http://www.pcworld.com/article/id,143371-
c,privacysecurity/article.html
5. продуктів
http://www.infowatch.r
Сімейство InfoWatch
u/solution
6. Traffic Monitor
http://www.infowatch.ru/solution?chapter=20
4274952
Отримано 30.03.2010
Про авторів:
Антонюк Анатолій Олександрович,
кандидат фізико-математичних наук,
доцент кафедри інтелектуальних систем
прийняття рішень,
Портяной Володимир Семенович,
головний конструктор,
Шилін Володимир Петрович,
старший науковий спеціаліст.
Місце роботи авторів:
Національний університет державної
податкової служби України,
08201, м. Ірпінь, Київської області
вул. К. Маркса, 31.
Тел.: (04597) 53220
e-mail: tolik__@ukr.net
Інститут програмних систем
НАН України,
03187, Київ-187,
Проспект Академіка Глушкова, 40.
Тел.: (044) 526 4579
e-mail: v.portyanoy@isofts.kiev.ua
e-mail: shilin@isofts.kiev.ua
http://www.nss.co.uk/grouptests/va/edition2/nai_cybercop_scanner/nai_cybercop_scanner.htm
http://www.nss.co.uk/grouptests/va/edition2/nai_cybercop_scanner/nai_cybercop_scanner.htm
http://www.pcworld.com/article/id,143371-c,privacysecurity/article.html
http://www.pcworld.com/article/id,143371-c,privacysecurity/article.html
http://www.infowatch.ru/solution
http://www.infowatch.ru/solution
http://www.infowatch.ru/solution?chapter=204274952
http://www.infowatch.ru/solution?chapter=204274952
mailto:tolik__@ukr.net
mailto:v.portyanoy@isofts.kiev.ua
|