08/02/2011www.computerworld.ru №03(724),32cтраницы

Международныйкомпьютерныйеженедельник россия

computerworldAtom на перепутьеНынешний год будет непростым для процессорного семейства In-tel Atom, поскольку рынок нет-буков сейчас переживает не луч-шие времена, а проникновение на новые рынки сопряжено с не-малыми сложностями. Стр. 10

Под угрозой кибертерроризмаУгрожает ли России кибертерро-ризм? Ответить на этот вопрос по-пытались участники круглого сто-ла, организованного Symantec со-вместно с Фондом содействия на-учным исследованиям проблем безопасности «Наука-XXI». Стр. 26

Попробуй Exadata Компания «Инфосистемы Джет» и российское представительство корпорации Oracle объявили 21 ян-варя о вводе в действие демон-страционного центра на осно-ве машины баз данных Oracle Exa-data Database Machine. Стр. 12

Почему в HP меняют директоров?В совете директоров Hewlett-Pack-ard произошли перестановки. Руко-водящий орган компании пополнил-ся технологическими экспертами и ветеранами бизнеса. Таким обра-зом в HP пытаются дистанцировать-ся от прошлых скандалов. Стр. 11

От двух до пяти в Глобальной сетиДети приобретают навыки владе-ния компьютером раньше, чем об-учаются более традиционным уме-ниям, таким как катание на вело-сипеде и плавание, — об этом го-ворят результаты опроса, прове-денного компанией AVG. Стр. 25

Руководство медиаимперии News Corp. провело презентацию The Daily, первой газеты но-востей, предназначенной специально для отображения на планшетном компьютере iPad. В Apple к выпуску The Daily приурочили ввод в действие системы оплаты по подписке. Стр. 4

Где живут данные

С2000годадевизомкорпорацииEMCсталаобразнаяфразаWhereInformationLives.Действи-тельно,потребительнуюстоимостьимеетинформация,анеданные,нофизическимносителеминформацииявляютсяданные,вотони-тои«живут»всистемаххранения,которымбылапосвя-щенасериямероприятийкорпорацииEMC,прошедшихподобщимназваниемRecordBreakersEvent.Масштабноепредставлениеобновленныхиабсолютноновыхпродуктов,осуществлен-ноевянварепоследовательно,синтерваломводиндень,вНью-Йорке,ЛондонеиСингапуре,вполнезаслуженноназвали«мегазапуском».Технологическиммероприятиямсопутствова-лимаркетинговые,вчастности—помпезноеустановлениечетырехрекордовдляКнигиГин-несса,втомчислепрыжокнамотоциклечерезстоящиевряднакопителиSymmetrix.Стр.6

14индустрия/подробности

валеРий кОРжОвComputerworld Россия

Чтобы не допустить подобных инцидентов, компаниям приходится использовать спе-циальные технические и организационные меры по защите от утечки данных (Data

Leakage Protection, DLP).«О каких бы утечках мы ни говорили, — от-

мечает Владимир Бычек, руководитель направ-ления контент-безопасности компании «Алад-дин Р.Д.», — выбору специального программно-го средства должна предшествовать очень серьез-ная работа по классифицированию информации, обрабатываемой и хранимой в компании, анали-зу информационных потоков и т. д.». Организа-ция должна самостоятельно определить, какие именно данные являются конфиденциальными, где они хранятся и кто может получить к ним доступ. Только после этого можно приступать к их защите.

модель угрозЛюбая информация в любой информационной

системе должна храниться, передаваться и обра-батываться. На каждом из этих этапов данные могут быть украдены, поэтому нужно предусмо-треть соответствующие средства защиты. Соб-ственно, с хранением и передачей все более или менее ясно — в этих двух случаях наиболее на-дежным способом защиты является шифрование. Поэтому стандартные средства шифрования дис-ков, баз данных и каналов связи ограждают ком-пании от этого типа угроз.

Утечки данных при обработке в приложениях должны предотвращать системы контроля досту-па, которые встроены в любое приложение, базу данных или операционную систему. Дыры систем контроля доступа можно закрыть с помощью про-грамм для контроля периферийных устройств. Алек-сандр Ковалев, директор по маркетингу SecurIT, отмечает следующее: «Если говорить о традици-онном видении DLP, то большая часть компаний пока ограничивается лишь защитой от утечек че-рез подключаемые накопители и принтеры. Спрос на DLP, контролирующие электронную почту, веб-сервисы, интернет-пейджеры, торренты и другие сетевые каналы утечки, пока существенно мень-ше, но он довольно уверенно растет».

Впрочем, не исключена также возможность, что в самой программе может быть встроена за-кладка, с помощью которой посторонние могут получить доступ к секретным данным. Именно поэтому закон «О персональных данных» (ФЗ-152) содержит требования по сертификации си-стемы контроля от несанкционированного до-ступа и на отсутствие недекларированных воз-можностей. Требования по шифрованию дан-ных и каналов связи также содержатся в доку-ментах, связанных с ФЗ-152. Там же есть требо-вания по установке межсетевых экранов, анти-вирусного ПО, систем обнаружения вторжений и даже систем предотвращения утечек инфор-

мации с помощью побочного электромагнитно-го излучения. Дмитрий Курашев, директор ком-пании Entensys, отмечает: «В нашей стране лю-ди зачастую не делают что-то правильное толь-ко потому, что это разумно. Очень важно нали-чие «кнута» в виде закона или чего-то подобно-го. Раньше надлежащим образом задумывались о безопасности персональных данных лишь осо-бые организации, такие как силовые структуры, банки и т. д. Сейчас круг заинтересованных лиц резко расширяется». При этом требования зако-на покрывают практически все возможные пу-ти утечки конфиденциальной информации из си-стем, которые их обрабатывают.

Следует отметить, что перечисленные в законе меры защищают только от внешних злоумышлен-ников, которые пытаются получить доступ к дан-ным, не имея на это полномочий. В то же время они практически не могут защитить от тех со-трудников, которые на законном основании име-ют доступ к конфиденциальным данным. В этом случае и шифрование, и системы контроля досту-па, и все другие защитные механизмы не стано-вятся препятствием для доступа к информации. В то же время сам сотрудник в некоторых слу-чаях может случайно или сознательно передать конфиденциальную информацию вовне. Для об-наружения и предотвращения подобных инци-дентов разработаны специальные механизмы за-щиты, которые практически не рассматриваются в ФЗ-152. Поэтому вполне возможно, что системы защиты, которые полностью соответствуют тре-бованиям закона «О персональных данных», мо-гут допустить утечку секретной информации.

Для решения подобных проблем создан спе-циальный класс продуктов, которые контроли-руют передачу данных за пределы компании. Если в этом потоке обнаружатся конфиденци-альные данные, то их передача будет заблоки-рована. Андрей Митрофанов, менеджер компа-нии SafeLine, так сформулировал основные цели работы подобных решений: «Современные про-граммные и программно-аппаратные средства позволяют анализировать сетевую активность пользователей и оперативно реагировать на не-санкционированные попытки передачи данных за периметр предприятия. Варианты реакций на такие действия гибко настраиваются в соответ-ствии с принятыми политиками безопасности: от 'беспрепятственно пропустить' до 'заблокиро-вать соединение и отправить оповещение служ-бе безопасности'».

Правда, фильтрация происходит только в том случае, если данные передаются по открытым протоколам: с помощью почты, FTP, Web, IM и др. Именно такие продукты принято называть сред-ствами предотвращения утечек (Data Leak Preven-tion). Современное состояние рынка DLP-решений в России описал Рустэм Хайретдинов, заместитель генерального директора InfoWatch: «Как и весь рос-сийский рынок информационной безопасности, рынок продуктов DLP начал догонять отложен-ный за 2009 год спрос, поэтому объемы продаж в 2010 году существенно увеличились. Несмотря на то что о наличии DLP-функционала стали за-являть практически все производители средств информационной безопасности, лидеры россий-ского DLP-рынка не изменились. Тема модная, все пытаются к ней прислониться».

Следует отметить, что классические DLP в основном защищают от случайных утечек, по-скольку профессиональные шпионы вряд ли бу-

Неупустисвоиданные

ПРОдукты для ПРедОтвРащения утечек становят-ся все более популярными в России

Конфиденциальныеданныенередкоявляютсянаиболееценнымиактивамипредприятия,иихутечкаможетпри-вестикухудшениюрыночногоположениякомпании.Внекоторыхслучаяхутечкиперсональныхданныхмогутповредитьнесамимкомпаниям,аихклиентам,чтотак-жеотрицательносказываетсянарепутации

ComputerworldРоссия,8февраля2011

подробности/индустрия15

дут пользоваться открытыми каналами переда-чи информации. Люди, проникшие в компанию с целью получить доступ к секретным сведениям и передать их «наружу», скорее всего будут поль-зоваться для этого скрытыми каналами, которые предлагает стеганография, шифрование или нео-бычные протоколы связи. В любом случае для соз-дания закрытых каналов передачи данных злоу-мышленники используют специальное программ-ное обеспечение. Борьба с ним аналогична работе антивирусов, которые выявляют действия по соз-данию скрытых каналов передачи данных за пре-делы организации. Это направление принято назы-вать защитой от утечек посредством вредоносных программ (Malware Data Leak Prevention, MDLP).

классические dlPИзначально средства DLP не предотвращали

утечки, а только их фиксировали, но с совершен-ствованием технологий были разработаны и ме-тоды блокирования утечек. Тем не менее некото-рые системы до сих пор занимаются только фик-сацией факта передачи конфиденциальной ин-формации — это нужно учитывать при постро-ении систем защиты. Предотвращение утечек возможно с помощью контроля действий поль-зователей при работе с данными на локальном компьютере или оперативном выявлении кон-фиденциальных данных в потоке, который про-ходит через шлюз. Для реализации этих техно-логий были разработаны методы обнаружения конфиденциальной информации с помощью от-печатков, которые позволили ускорить процесс сравнения настолько, что оказалось возможным вырезать данные в реальном времени. Впрочем, системы противодействия утечкам могут пред-упреждать пользователя о нарушении политики обращения с конфиденциальной информацией уже при попытке отослать сообщение или ско-пировать данные в буфер обмена.

В результате современная система DLP может содержать не только модули, которые контроли-руют каналы передачи данных, но также компо-ненты, устанавливаемые на клиентские и сервер-ные машины и следящие за работой систем кон-троля доступа в применении к конфиденциальной информации. Фактически такие системы уже вы-полняют функции не просто предотвращения уте-чек информации, а мониторинга за соблюдением правил корпоративной политики безопасности.

mdlPЗащита от утечек с помощью специализирован-

ных программ аналогична работе антивирусных средств с поиском программ-невидимок и другой вредоносной активности. Они могут узнавать про-граммы для создания тайных каналов по сигна-турам или по попыткам получить доступ к кон-фиденциальным данным. Такие средства обнару-жения хорошо встраиваются в концепцию совре-менных антивирусных систем защиты класса In-ternet Security. В них уже есть встроенная систе-ма контроля за приложениями, которая получи-ла название HIPS. Как только какая-нибудь про-грамма пытается выполнить подозрительную по-следовательность действий, защита поднимает тревогу и начинает блокировать системные вы-зовы приложения.

Следует отметить, что современные анти-вирусы в большинстве своем уже находят тро-янцев и червей, которые создают тайные кана-лы для отправки информации, и удаляют их, то

есть фактически выполняют роль MDLP, однако пока в них нет систем проактивной защиты, ко-торые позволяли бы обнаружить и блокировать попытки доступа к конфиденциальным данным для неизвестных программ.

«Средний бизнес пока не готов вкладывать в полноценные DLP-решения, — отмечает Алек-сей Демин, управляющий продажами в корпора-тивном секторе G Data Software. — Для них бо-лее приемлемым является решение с функция-ми DLP. Отсюда и появление модулей DLP в про-граммных продуктах, которых раньше на рынке не было. Например, как составная часть корпора-тивных антивирусных решений модули защиты от утечки информации уже никого не удивляют».

Об аналогичных разработках рассказал и Сер-гей Голованов, эксперт «Лаборатории Касперско-

го». Его компания ведет разработки технологии, которая базируется на уже используемой в Kasper-sky Internet Security системе HIPS и будет блоки-ровать неправомочный доступ к конфиденциаль-ным данным. Подобные технологии есть также у McAfee, Trend Micro и других производителей антивирусов.

Николай Романов, ведущий технический кон-сультант Trend Micro в России и СНГ, отметил следующую тенденцию развития современных DLP-систем: большинство продуктов использу-ют цифровые отпечатки для выявления конфи-денциальной информации и построены по ги-бридному принципу, то есть включают шлюзо-вые фильтры, агенты на клиентских машинах, блокирование периферийных устройств и шиф-рование конфиденциальной информации. Все пе-речисленные механизмы защиты в комплексе мо-гут обеспечить приемлемый уровень безопасно-сти конфиденциальных данных. Дмитрий Михе-ев, эксперт центра информационной безопасно-сти компании «Инфосистемы Джет», прогнозиру-ет: «В ближайшее время ожидается выход новых версий продуктов, и, скорее всего, в них будет от-ражена реакция на существующие потребности и запросы российских пользователей. Кроме то-го, они будут осуществлять поддержку характер-ных для местных компаний данных».

Панацеи нетСтопроцентной защиты от утечек не разрабо-

тал еще ни один производитель. Проблемы с ис-пользованием DLP-продуктов Хайретдинов сфор-мулировал так: «Для того чтобы эффективно ис-пользовать многолетний опыт борьбы с утечка-ми, реализованный в программном обеспечении DLP-систем, компаниям придется принять, что существенная часть работы по обеспечению за-щиты от утечек должна быть сделана на стороне заказчика, поскольку никто лучше него не зна-ет его собственных информационных потоков».

Демин также считает, что гарантированно защититься от утечек нельзя: «Надо понимать, что предотвратить утечку информации невоз-можно. Если информация имеет для кого-нибудь ценность, рано или поздно она будет получена. Программные средства могут сделать процесс получения этой информации более дорогостоя-щим и требующим больших временных затрат, что может значительно снизить выгоду облада-ния информацией, а также ее актуальность». По-этому и эффективность работы DLP-систем сто-ит контролировать.

Если утечка все-таки произошла, то секретные данные с большой вероятностью появятся в Ин-тернете в виде предложений об их продаже либо в виде общедоступной базы данных или сообще-ний в СМИ. Чтобы реагировать на подобные ин-циденты, надо постоянно сканировать Интернет для поиска собственных конфиденциальных све-дений. В России есть несколько компаний, кото-рые предлагают услуги по поиску и даже монито-рингу конфиденциальных данных клиентов в от-крытых источниках. Покупка подобных услуг по-зволит компании вовремя заметить утечку и ми-нимизировать ущерб от подобных действий зло-умышленников с помощью оперативного юри-дического вмешательства или незамедлительно проведенной PR-кампании. Организациям нужно не только обеспечить техническую защиту соб-ственно данных, но и попытаться минимизиро-вать ущерб от произошедшей утечки.

ЗащитапутемсравненияКлючевым элементом технологии DLP являет-ся механизм поиска конфиденциальной инфор-мации. Традиционно при инсталляции DLP ком-пания должна указать системе, какая информа-ция собственно является конфиденциальной. Это можно сделать с помощью определения регуляр-ных выражений, слов или словосочетаний, кото-рые служат признаком секретной информации, например метки «Конфиденциально» или «Для служебного пользования», помещенной в доку-мент. Развитием этого метода являются лингви-стические методы анализа, настройку которых можно автоматизировать с помощью специаль-ного программного обеспечения.

Есть также метод определения уровня кон-фиденциальности информации с помощью спе-циальных пометок в файле. При создании ново-го файла пользователь должен определить его уровень секретности, а при копировании дан-ных из одного файла в другой уровень секретно-сти также копируется. Как только система кон-троля утечек замечает, что из компании переда-ется файл с меткой высокого уровня секретно-сти, такая передача блокируется. Правда, подоб-ный метод контроля утечек может быть реализо-ван только с помощью специального агентского ПО, которое контролирует целостность меток се-кретности при работе с данными. Такие решения есть, но они постепенно уступают место техноло-гии отпечатков.

Так называемый метод отпечатков становит-ся сейчас наиболее популярной технологией за-щиты конфиденциальности данных. Он обраба-тывает файлы с конфиденциальными данными и с помощью специальной хеш-функции генери-рует их отпечатки. Поток контролируемой инфор-мации также хешируется с помощью той же функ-ции и сравнивается с базой отпечатков. Если они похожи, то и передаваемые похитителем фай-лы могут содержать фрагменты конфиденциаль-ной информации. Для работы этого метода хеш-функция должна, с одной стороны, работать бы-стро, а с другой — быть не очень чувствительной к добавлению шумовой информации и простых преобразований данных. Сейчас практически все DLP-решения используют отпечатки, хотя могут включать и другие технологии определения кон-фиденциальности данных.

ComputerworldРоссия,8февраля2011