30 сентября 2015

ИБ-специальности на фоне остальных профессий, связанных с ИТ

IТ-специальности в наше время очень популярны, ведь они позволяют специалистам, которые их выбирают, в будущем надеяться на серьезные заработки и постоянный карьерный рост. В особенности это касается специальностей, которые сопряжены с обеспечением информбезопасности. Однако что ожидает «безопасников» в нашей стране в ближайшем будущем?
Нельзя сказать, что в наше время российские специалисты в области IT как-то опасаются опасения по поводу собственного профессионального будущего. Скорее их интересует грядущий второй виток мирового кризиса в экономике, поскольку IT серьезно зависит от тех ситуаций, которые складываются к настоящему времени на других территориях. Впрочем, в экономике кризисы всегда были и всегда будут, потому сейчас стоит поговорить о трендах.
Согласно HeadHunter, количество тех вакансий, которые связаны с информтехнологиями, только лишь в Москве за прошлые пару лет выросло на 78%. Скорее всего, и в 2015-м, даже несмотря на кризисы, рынок труда для специалистов сферы IT должен также чувствовать себя хорошо.
Не является секретом, что рост количества вакансий сопряжен с новыми областями использования информационных технологий. Всё большее количество фирм и компаний внедряют разнообразные автоматизированные системы (такие как ERP, SCADA, CRM), очень быстрыми темпами происходит информатизация госучреждений, увеличивается популярность различных платформ для облегчения бизнеса (как примеры можно вспомнить мобильные бизнес-устройства, а также облачные вычисления и т.д.). Это довольно долгосрочный тренд, так что IT-специалистам не следует бояться, что их могут уволить, или что они просто станут менее востребованными.
Наиболее популярной профессией в мире IT сегодня по-прежнему остается профессия программиста, и в будущем ситуация вряд ли поменяется, ведь как раз труд программистов и обеспечивает создание всех остальных рабочих мест в IT-сфере. Неплохим спросом у работодателей сегодня пользуются и специалисты по продажам, а также руководители проектов, системные администраторы и консультанты.
Тем не менее, нужно учитывать, что разные сектора IT-сектора демонстрируют и разную динамику. Если IT-специалист хочет добиться больших успехов в финансовом и в карьерном плане, то ему нужно подобрать отрасль, работа в которой сможет позволить ему рассчитывать на все это. Сегодня информбезопасность можно назвать одной из наиболее быстрорастущих ветвей во всей IT-индустрии: в наше время темпы роста рынка ИБ насчитывают примерно 25-30% за год, тогда как весь IT-рынок демонстрирует гораздо меньшие темпы (примерно 5% ежегодно).
Что же это значит для специалиста, который работает на компанию, чья деятельность сосредоточена в сфере информбезопасности? Это значит, что карьерный рост такого специалиста будет проводиться гораздо быстрее, нежели у его коллеги, который трудится, к примеру, над бухгалтерским софтом. Также стоит знать, что в случаях, когда профессия подразумевает получение сотрудником процента от выручки компании (к примеру, так работают менеджеры по продажам или же некоторые из линейных управленцев), тогда насобирать на обеспеченную старость получится гораздо быстрее, нежели при помощи продажи мебели. Прогнозы аналитиков гласят, что по причине увеличения количества угроз, сфера информбезопасности продолжит свой рост столь же быстрыми темпами. И потому тем, кто сегодня не очень доволен собственными карьерными перспективами, необходимо призадуматься о переходе в фирму, которая работает именно на рынке информационной безопасности.

28 сентября 2015

Комплексные системы - наше будущее

Комплексные системы информационной безопасности - будущее рынка не только DLP, но и ИБ в целом. И мы все, включая нашу компанию, семимильными шагами движемся к этому будущему. Но чем более сложной и комплексной является система, чем большее число возможных каналов утечки она может охватить, чем больше сведений о том, что происходит в корпоративной информационной сети, мы имеем, - тем больше данных вынуждена обрабатывать наша система.
В связи с большим объемом информации, на сегодняшний день очень критичным параметром является наличие мощного аналитического (поискового) модуля, позволяющего быстро и качественно отслеживать и пресекать инцеденты -  в нашем случае, попытки утечек конфиденциальной информации.
Это всё усугубляется эффектом масштаба самих корпоративных сетей. В крупных компаниях имеющих разветвленную структуру, важным является возможность головной компании контролировать ситуацию в своих «дочках». Причем контролировать надо как сотрудников, просто работающих в дочерних компаниях, так и непосредственно сотрудников, отвечающих за информационную безопасность на местах. Принимаемые в головной компании стандарты и политики безопасности должны в обязательном порядке применяться на местах, и контроль их исполнения одна из основных задач службы безопасности головной компании.
На самом деле, это большая проблема - для таких компаний критично, дабы архитектура системы изначально проектировалась таким образом, чтобы максимально эффективно решать задачи в компаниях имеющих распределенные офисы и большое количество дочерних компаний. Потому что эффективной ИБ-система становится только тогда, когда её инструментарий позволяет контролировать качество работы служб информационной безопасности в дочерних компаниях. Это всё проявлятся в мелочах, например: система оповещений должна иметь возможность наследования политик безопасности утвержденных в головной компании. При этом во всех дочерних компаниях применяются как политики безопасности головной компании, так и их собственные. И это только один пример из множества.
Естественно, такие системы, которые охватывают всё и вся, будут сложными в настройке, во внедрении, и весьма дорогостоящими. Но зато они позволят:
•    Ввести единые стандарты для работы служб безопасности во всей компании.
•    Сэкономить значительные средства на внедрение системы и обучение персонала
•    Сократить издержки на обслуживание системы
•    Получать консолидированную информацию об инцидентах ИБ в едином формате 
А всё это, в конечном итоге, выведет обеспечение ИБ в компании на качественно новый уровень.

26 сентября 2015

Современные анти-герои

Люди, о которых пойдет речь ниже – это те, к кому питают жгучую ненависть множество пользователей сети интернет. Это те люди, которые рассылают по почтовым ящикам обычных пользователей просто тонны спама. Они не любят популярности, однако время от времени имена спамеров предаются огласке. В данной статье мы расскажем о самых известных спамерах, чьи «подвиги» сделали их знаменитыми на просторах Всемирной паутины.
В свободное от анализа утечек информации время аналитический центр компании SearchInform подготовил подборку самых известных в мире спамеров.

Гэри Туэрк
Человек, уже попавший на полосы газет, а кроме того, имеющий шансы попасть и в учебники истории. Его роль в развитии интернета невероятно велика, ведь именно Гэри Туэрк стал первым в мире спамером. В свое время этот человек отправил по сети ARPAnet, которая объединяла университетские и правительственные компьютеры в США, информацию о презентации новых компьютеров фирмой, в которой он работал. Охват адресатов по сегодняшним меркам был очень маленьким – всего 600 человек. С другой стороны, и пользователей у ARPAnet было всего несколько тысяч. Первая в мире массовая рассылка получила резко отрицательную реакцию сетевого сообщества, и, тем не менее, рассылка была действенной – как поведали некоторые покупатели новых компьютеров, узнали они об этих устройствах как раз из рассылки Туэрка. Соответственно, это и повлияло на дальнейшее развитие спама в мировых масштабах.

Вардан Кушнир
Человек, о котором пойдет речь ниже, в свое время смог стать наиболее известным спамером в Рунете. Известность он смог получить благодаря организации «Центра американского английского», эта компания делала рекламу своим услугам по преподаванию английского при помощи довольно агрессивных рассылок спама. Как утверждают эксперты, с 2003-го года и до момента смерти хозяина компании «Центр» каждый день отправлял до 25 млн. рекламных писем – и это при том, что в начале 2004 года постоянная аудитория Рунета насчитывала всего 8 млн. человек. Именно благодаря спаму «Центр американского английского» явился нарицательным именем на русскоязычных блогах и сайтах, тогда как его деятельность по отправке спама смогла привлечь внимание и Антимонопольного комитета России. В 2005 году Кушнира убили, по версии милиции, убийство было совершено с целью ограбления. Однако некоторые обстоятельства его смерти заставляют сомневаться в вердикте следствия.

Эдвард Дэвидсон
Третий спамер в нашем списке – один из самых известных, в новостях о нем говорили гораздо больше, чем о двух перечисленных выше людях вместе взятых, причем писали о нем несколько лет назад и в газетах, и на новостных порталах. В апреле текущего года Дэвидсона посадили в тюрьму власти США. Поводом для ареста послужило обвинение в мошенничестве – не секрет, что американские законы весьма строго подходят к организаторам массовых рассылок. Однако в тюрьме этот человек провел сравнительно немного времени. Дэвидсону удалось совершить побег в середине лета, забрать свою семью и увезти ее по направлению к Денверу. Однако до города внедорожник Дэвидсона не доехал – спустя несколько часов полицейскими была обнаружена машина, в которой находились трупы членой семьи спамера и его самого с пулевыми ранениями. Спастись смогла лишь его дочь-подросток. По версии полиции, Дэвидсон расстрелял членов своей семьи и сам застрелился. Но почему он это сделала, никто из официальных лиц сказать пока не может.

Кристофер Смит
Эдварда Дэвидсона посадили в тюрьму только на 21 месяц, а вот следующий спамер в нашем списке, Кристофер Смит, который также известен под псевдонимом Rizer, является спамером, получившим на сегодняшний день самый большой срок тюремного заключения из всех, которые грозили когда-либо спамерам. В августе 2007 года Rizer был приговорен судом аж к 30 годам заключения. Но стоит отметить, что такой срок обусловлен не только спамом Смита, но и тем, что очень многие «лекарства», рекламировавшиеся им, официально признаны вредящими здоровью покупателей. А при проведении судебного процесса Кристофер грозился убить ребёнка одного из тех свидетелей, что выступали против него. В том числе и такое поведение спамера стало основанием для вынесения ему настолько сурового приговора.

Лаура Беттерли
Как видим, «королей спама» сегодня много – да и вообще этот гордый титул журналисты сегодня присваивают абсолютно каждому спамеру, который является хоть сколько-нибудь финансово успешным. А вот титул «королевы спама» очень долгое время удерживается Лаурой Беттерли. Заметим, что эта леди оставила спамерство достаточно давно – в 2005-году. Однако для спамера «отмыть репутацию» бывает довольно сложно, что и доказывает история Беттерли. Лаура получила известность благодаря интервью, данному ей Wall Street Journal, в этом интервью Беттерли сама и попросила звать ее «королевой спама». Также известно, что Лаура увлекается сайентологией, в 2002 году она вышла замуж за своего подчинённого.

24 сентября 2015

Каналы утечки информации

Для успешной борьбы с утечками информации, вызванными как халатностью, так и целенаправленными действиями сотрудников, необходимо  контролировать все каналы, через которые может произойти утечка информации. В противном случае можно оказаться в ситуации, когда у вас  в чистом поле стоят ворота, которые охраняет грозный волк, но вместо реальной защиты вы получаете перенаправление всего потока информации в единственную "дырку".
Какие каналы сегодня наиболее важны для контроля?

Электронная почта
Это наиболее популярный среди офисных работников канал обмена информацией, по которому чаще всего происходят утечки конфиденциальных данных. Её, надо сказать, и так контролируют в большинстве компаний, но далеко не везде.

Skype
Хоть он иногда и лежит, но, как показывает опыт, в остальное время именно Skype как общеизвестно защищенных канал очень и очень часто используется недобросовестными работниками для передачи корпоративных секретов за пределы организации посредством текстовых и голосовых сообщений, пересылаемых файлов.

Социальные сети, форумы, блоги и весь остальной HTTP-трафик
Сегодня, пожалуй, нет более разрекламированного средства сделать утечку информации, чем "Одноклассники" или "Инстаграм". Вспомните все крупные скандалы последнего времени, связанными с информацией об общественных деятелях, звездах, политиках - все они "родом" оттуда. Также важно то, что их используют для распространения порочащих компанию слухов.

Viber, ICQ и прочие мессенджеры
Интернет-мессенджеры, они же средства мгновенного обемена сообщениями, служат средством деловых коммуникаций, но к ним применимо все то же, что сказано о соцсетях.

Внешние носители
Когда сотрудник переписал информацию на "флэшку", ему легче легкого вынести данные за пределы организации под предлогом служебной необходимости. Вот почему важно отслеживать запись данных на распространенные сегодня виды носителей: CD/DVD диски, USB «флэшки» и внешние винчестеры.

"Облака"
Облачный сервис - это "флэшка" 21-го века и сивол доступа в интернет на недоступных доселе скоростях. Поэтому сегодня "облака" - столь же важное направление защиты данных, как и все то, что было перечислено выше.

Принтеры
Если не удается передать информацию в электронном виде, ее можно распечатать и также вынести из организации. Чтобы избежать подобной неприятности, необходимо контролировать все имеющиеся в организации принтеры: локальные и сетевые.   
Это, конечно, далеко не все каналы, которые сегодня может охватить "Контур информационной безопасности SearchInform" в своей беспощадной борьбе с инсайдерами. Но в 80% случаев средней организации хватит и этого.
А какие каналы контролируете вы? Каким образом?

22 сентября 2015

Допустим, утечка персональных данных все же случилась...

Как я уже неоднократно говорил и даже писал, даже самая долгая и тщательная процедура «отсева» компаний, в которые вы обращаетесь, не гарантирует вам сохранности ваших персональных данных. А значит, нужно быть готовым к тому, что придется самостоятельно «расхлебывать» последствия утечки информации, допущенной компанией. К чему именно вам стоит приготовиться в таком случае?
Всё зависит, конечно, от самих утекших данных. Если скомпрометированными оказались паспортные данные, то лучше всего будет поменять паспорт, чтобы на ваше имя не оформили какой-нибудь кредит, за который потом, возможно, вас попробуют заставить расплачиваться. Если же утекли только логин-пароль от какого-нибудь личного кабинета, то и заменить нужно будет только их (а также пароли на всех других сайтах, где вы использовали ту же комбинацию так что работы совсем немало, да-да).
Ну и помните, что скромность вас в данном случае не украсит, поэтому смело требуйте от компании, допустившей утечку, компенсации хорошо, если в досудебном порядке, но уж если нет, то что поделать. Помните, что спасение утопающих - дело рук самих утопающих, и не пускайте всё на самотёк. Опять же, и компаниям не вредно будет знать, что за утечку чужих данных они несут ответственность.
Впрочем, все равно это не отменяет того факта, что тщательное и ответственное отношение к выбору оператора персональных данных может позволить избежать попадания в достаточно грустную статистику. Правила предельно просты - нужно, по сути, просто немного внимательнее взглянуть на компанию, услугами которой вы планируете воспользоваться. Но это, конечно, не панацея, так что лучше приготовиться к самым разным вариантам развития событий, включая и самый худший из них.

18 сентября 2015

Какую информацию о вас может узнать владелец сайта, который вы посещаете?

XXI век можно назвать веком шпионажа. Еще до Сноудена было известно, что социальные сети и мобильные гаджеты собирают колоссальные объемы данных о своих пользователях, и эти данные могут быть использованы не только для того, чтобы более точно подбирать рекламу, по которой пользователь захочет кликнуть. Формальный ответ на вынесенный в заголовок вопрос звучит так: любому веб-сайту известна информация о вашем браузере и операционной системе. Если у вас имеется аккаунт на данном сайте, то также будут известны имя пользователя и адрес электронной почты. Вряд ли будет доступна информация о вашем пароле, так как она, как правило, кодируется в такой степени, что владелец сайта не в состоянии ее узнать. Конечно, вы не защищены на сто процентов от злоумышленников среди владельцев, которые могут взломать простые пароли с помощью «грубой силы» (брутфорс-атаки). Но, в целом, это очень, очень редкая ситуация.
А теперь начинается самое интересное: если на сайте функционирует система объявлений, то, как правило, запускаются целевые рекламные объявления. Для того, чтобы запустить целевые рекламные объявления, необходимо отследить ваши интересы. Кроме того, если на сайте размещено много контента и необходимо решить, какой именно контент стоит показать вам, то следует выяснить, кто вы такой и чем интересуетесь.
Можно проверить, что, где и как долго вы делаете на данном сайте. Данная информация сама по себе не является полезной, если веб-сайт не является огромным интернет-магазином или сайтом социальных медиа. Только в этом случае можно извлечь много полезной информации о том, чем вы занимаетесь.
Тем не менее, большинству крупных рекламных сетей уже многое о вас известно. Поисковая система Google и многие другие отслеживают вас посредством задаваемых запросов, чтобы знать, какая информация, где и когда вам необходима; и объявления, которые вам показывают, могли бы, пусть и незначительно, но заинтересовать вас.
Ваше местоположение может быть также известно, если вы включили функцию его определения на вашем устройстве. Некоторые сайты, если эта функция, отключена, будут предлагать включить её, и будут весьма настойчивы.
Если вы являетесь обычным пользователем, и за вами следят на обычном сайте, то известна лишь эта информация. Её собирают и обрабатывают роботы, и, как правило, владельцам сайта нет нужды интересоваться данными конкретно взятого пользователя. Их больше интересует статистика, которая позволит получить больше дохода от рекламы, а в ней данные пользователей обезличены.
Некоторые веб-сайты могут попытаться установить незаметное неспециалисту вредоносное ПО, чтобы попытаться выяснить ваши учетные данные на различных сервисах. Поэтому важно иметь качественный антивирус на вашем лэптопе или Android-устройстве (для iOS, к счастью, это не актуально), который предупредит вас о подобного рода попытках.
Ситуация меняется, если у кого-то есть основания, чтобы следить именно за вами, в этом случае вы, скорее всего, столкнётесь со сбором информации не роботами, а живыми людьми – социальными инженерами.
Хороший социальный инженер может узнать о вас практически все – причем совершенно из ничего. Он будет в состоянии назвать имя вашего лечащего доктора, имя первого человека, которого вы поцеловали, и даже те продукты, которые вы ели вчера.  Не существует того, чего они не знают о вас.
Если вы совершаете покупки через интернет, социальному инженеру известно что, где и когда вы покупаете; если вы размещаете в социальных сетях фотографии со смартфона, он сможет сказать, где сейчас находитесь. Заметьте, что все эти данные вы оставляете в Сети совершенно добровольно и самостоятельно, а значит, никакого состава преступления в действиях социального инженера нет и быть не может.
Поэтому главная угроза вашей безопасности в Сети – вовсе не владелец сайта, который захочет собрать данные о вас во вред вам и на пользу себе, а, как то ни странно, вы сами. Помните об этом, когда захотите в следующий раз запостить фотографию в Инстаграме.

16 сентября 2015

Мы против статистики или статистика против нас?

"В первой половине 2015 года количество утечек информации в компаниях по всему миру выросло на 10%, до 888 случаев. Причиной стали несовременные способы защиты данных, считают в компании Gemalto, проводившей исследование".
Такие исследования периодически публикуются на разных языках и затрагивают разные рынки, мы тоже не остаемся в стороне и вносим свою лепту в увеличение информационной энтропии на DLP-рынке. То, что объединяет похожие публикации - это вывод исследователей  о том, что число инцидентов, количество жертв и прочие количественные показатели неизменно растут год за годом.
Меня в новости об исследовании Gemalto заинтересовало совсем другое: "По данным исследовательской компании IDC, организации во всем мире потратили на информационную безопасность $32,6 млрд, из которых $20,2 млрд вложили в системы для защиты от утечек". Речь идет, судя по всему, о 2014-м, но здесь не так важен рассматриваемый период, как соотношение инвестиций в ИБ вообще и в защиту от утечек информации.
Согласитесь, это поразительно. При всем многообразии угроз, с которыми сегодня сталкивается и бизнес, и государственные организации, две трети бюджетов на ИБ "съедаются" защитой от утечек информации. Так что же, такие вещи, как вредоносное ПО и поиск уязвимостей отходят на второй план? Конечно, здесь многое зависит от того, что авторы исследования включили в понятие "защиты от утечек", но, очевидно, бизнес все-таки приходит к выводу, что на первом месте находятся люди, а значит, и инвестировать нужно в решения, которые связаны с людьми, а не с "железом" или "софтом".
Важный вопрос: такой колоссальный объем инвестиций способен радикально повлиять на ситуацию с утечками данных в мире? На мой взгляд, нет, потому что защита - это только реакция бизнеса на условия среды, в которой он работает. Саму  среду защита не меняет. Люди, как и прежде, не придают внимания тому, что они выкладывают в Сеть, не интересуются тем, по каким ссылкам переходят, работодатели в большинстве своем игнорируют необходимость предварительной проверки соискателей хотя бы самыми простыми методами... В общем, как говорил Воланд, люди все те же, так с чего бы утечкам кануть в небытие?
И вот все эти размышления наталкивают на мысль, вынесенную мною в заголовок поста. Мы против статистики или статистика против нас? Рост числа утечек - благо для ИБ-рынка или зло? Что вы про это думаете?

14 сентября 2015

Реальна ли DLP в облаке?

Сегодня многие ИТ-продукты получают вторую жизнь в виде облачных сервисов. Насколько это реально для такого специфического решения как DLP-система, защищающего компанию от утечек конфиденциальных данных?
Поскольку на российском рынке подобных облачных DLP пока нет, мы решили обратиться к зарубежному опыту в виде обсуждений на сервисе вопросов и ответов Quora, которое приводим тут в виде перевода с комментариями.
Возможно ли создание приложения, основанного на облачном хранении данных, которое сканирует определенную информацию о конечных точках пользователей организации? Очевидно, что подобное решение должно удовлетворять нескольким критериям:
1. Пользователи не должны устанавливать что попало. Следует про-сто пройти на веб-страницу, ввести информацию о своих основных дисковых накопителях, после чего начнется их сканирование.
2. Приложение должно функционировать на операционных системах Windows и OS X, а также на мобильных устройствах персонала.
Можно ли это реализовать, спрашивает пользователь Quora.
Анонимный пользователь говорит в ответ: «я думаю, что ваша идея не очень удачная». Вот его аргументация:
1. Вы говорите, что пользователь может перейти на сайт, ввести информацию о своих основных дисковых накопителях, после чего начнется сканирование, но это невозможно, потому что это будет предупреждено специально выделенной средой для безопасного исполнения компьютерных программ «песочницей» веб-браузера. Только представьте, что было бы, если бы любая веб-страница смогла бы просканировать ваш жесткий диск.
2. Каким образом вы сможете убедить пользователя, что хранение файлов на вашем сервере безопаснее, нежели хранение на их собственном компьютере? Вы кодируете соединения и хранилище? Отвечаете нормативным требованиям? Продадите ли вы список своих клиентов на торгах участнику аукциона, который предложит самую высокую цену? Стоит ли АНБ (Агентство национальной безопасности) за вашей компанией? Если вы не можете ответить на эти вопросы, то ваша бизнес-модель не является конкурентоспособной.
3. Хранение всех файлов на сервере будет очень затратным. Документация предприятий, в отличие от вашей коллекции фильмов, скорее всего, представлена в одном экземпляре, и, следовательно, модель дедупликации облачного хранилища Dropbox вряд ли подойдет для хранения. Если вы не можете сделать хранение на вашем сервере дешевле, тогда почему бы ва-шим потенциальным клиентам вместо этого не хранить свои файлы в он-лайновой веб-службе Amazon Simple Storage Service (Amazon S3) или онлайн-хранилище Glacier? Я храню все свои коллекции фотографий и видео (около 120 ГБ) в Glacier, и это мне обходится примерно в 1,2 американских доллара в месяц. Я уже упоминал о том, что они предлагают +99,999999999% продолжительность срока службы?
4. На мой взгляд, «приложение, основанное на облачном хранении данных, которое сканирует определенную информацию о конечных точках пользователей организации предприятия» звучит также ужасно, как и компьютерный червь Stuxnet.
Поэтому я бы сказал, что технология - последняя вещь, которая меня тревожит как владельца бизнеса.
Собственно, вопросы, которые задает один пользователь Quora другому – это и есть основные препятствия на пути создания облачной DLP. Очевидно, что все эти препятствия имеют не технический характер, они связаны с самой природой DLP-решений, которая плохо сочетается с модными сегодня «облаками». Поэтому можно с уверенностью говорить о том, что облачные DLP – это дело не самого близкого будущего. Во вся-ком случае, они появятся не раньше, чем вендоры смогут решить все описанные выше проблемы.

11 сентября 2015

Эффективность DLP: на что еще обратить внимание?

Важной характеристикой DLP-решений является и наличие в них архива всех действий пользователей. Ведь утечка информации может быть выявлена только «задним числом». В таких случаях крайне важно произвести расследование и выяснить, как именно произошла утечка, что невозможно сделать без архива. Производители, чьи продукты не имеют архива, аргументируют его отсутствие, во-первых, тем, что он будет слишком велик, а во-вторых тем, что их решение исключает возможность утечки. Второй аргумент звучит редко по причине его очевидной абсурдности. Размеры же архива не будут несоразмерными, во-первых, если через заданное время он будет уничтожаться, а во-вторых, если на основании самих перехваченных документов создается их индекс. Он, с одной стороны, сохраняет всю необходимую информацию, а с другой его размер составляет лишь треть от размера самого архива. Индекс также позволяет производить поиск значительно быстрее, чем по самой базе перехваченных документов.
Также следует оценить, позволяет ли выбранное DLP-решение разделять пользователей на группы. Если такой функции не предусмотрено, то может сложиться ситуация, когда один человек например, системный администратор будет иметь доступ ко всем документам, циркулирующим на предприятии, в том числе и к переписке топ-менеджеров. Очевидно, что в таком случае вместо одной угрозы создается другая.
Стоимость решения играет ключевую роль при расчете эффективности затрат на информационную безопасность. Причем немаловажно учесть количество сотрудников, которое будет занято в обслуживании DLP-системы, в какую сумму обойдется инсталляция и отладка, продление лицензии, обновление версии и техподдержка.
Таким образом, подводя итог вышесказанному, для адекватного расчета эффективности внедрения систем ИБ, необходимо оценить возможные убытки от утечек информации, определить какой функционал DLP-решения требуется, чтобы исключить утечки, а затем сопоставить возможные убытки со стоимостью решения (включая его инсталляцию и обслуживание).

09 сентября 2015

DLP: методы обнаружения защищаемых данных - краеугольный камень системы

Механизм, который используется в конкретном DLP-решении для установления фактов нарушения политики ИБ предприятия, должен привлечь пристальное внимание при ее выборе. Сегодня существует несколько принципов, на которых построены DLP-решения.
Наименее эффективным считается «метод меток». То есть конфиденциальные документы просто маркируются, после чего попытки передачи такого документа за пределы сети блокируются. Метод прост, но эффективен только при наивной попытке кражи важных данных. Сколько-нибудь квалифицированным злоумышленником не составит труда обойти DLP-решение, использующее этот принцип перехвата данных.
Несколько лучше метод «цифровых отпечатков», которые снимаются с конфиденциальных документов. Однако и в случае использования этой технологии злоумышленнику будет достаточно несколько изменить текст конфиденциального документа, и система в большинстве случаев не зарегистрирует нарушения при его передаче за пределы предприятия.
Одним из лучших принципов выявления нарушений политики ИБ является так называемый «поиск похожих». Этот метод осуществляет логический анализ документов и обнаруживает конфиденциальные документы, даже если каждое слово в них было заменено синонимом. Метод позволяет искать в огромных массивах данных; такая система к тому же является лингвистически независимой, и может применяться для поиска по документам, написанным на любом языке. «Поиск похожих» имеет еще одно преимущество сотрудник, отвечающий за ИБ, легко сможет настроить поисковую машину и этот процесс не потребует привлечения специалистов компании-разработчика.
Кроме надежности при поиске конфиденциальных документов этот метод хорош еще и малым количеством ложных срабатываний, что позволяет сократить количество специалистов по безопасности необходимых для управления решениями на основе этого метода.

08 сентября 2015

Половина компаний Киева сталкивались с утечками данных



И несмотря на это, практически четверть из них не подписывают с сотрудниками NDA (соглашения о неразглашении), тогда как чаще всего секреты работодателей стараются продать руководители подразделений компании и ее менеджеры. Об этих, а также о других интересных фактах об утечках информации, с которыми имеет дело киевский бизнес, было рассказано в исследовании, проведенном SearchInform.
В исследовании принимали участие представители свыше ста двадцати киевских фирм, которые работают в разных отраслях экономики и относятся как к небольшому, так и к серьезному бизнесу. Что их на самом деле объединяет – это равнодушие к тем вопросам, которые напрямую касаются обеспечения информбезопасности фирмы. При этом в среднем ущерб от одной лишь утечки данных через год после совершения инцидента насчитывает приблизительно 3,8 млн. долларов – деньги довольно большие для многих украинских компаний. Несмотря на это, только в 23% организаций имеется выделенный отдел, который отвечает за информбезопасность. В большинстве компаний Киева за защиту от утечек информации отвечают только «айтишники», которые сами занимают третье место на лестнице организаторов утечек данных.
Очень печальна и удивительна ситуация с организационными мерами, предпринимаемыми ИТ-отделами в борьбе с утечками информации. В 25% компаний, которые располагаются в Киеве, не подписывается Соглашение о неразглашении конфиденциальной корпоративной информации. В 46% фирм не устанавливается никаких запретов на применение тех информационных ресурсов, которые могут применять сотрудники для хищения секретов компании.
Не удивительно, что утечки данных в киевских компаниях сегодня уже стали обыденным явлением. Только 35% компаний уверенно заявляют о том, что у них совсем не происходило утечек конфиденциальной корпоративной информации. При этом примерно в 39% случаев утечки данных тем или иным образом связаны с сотрудниками, которые были уволены или сокращены.
Обычно виновниками в утечках данных в компаниях Киева становятся менеджеры, реже всего это бывают секретари. Как ответные меры компании обычно задействуют увольнения провинившихся сотрудников, а также лишение их премий, штрафы или выговоры. Но 6% сотрудников, кто допустили утечки информации, удается избегать наказания полностью.
Техническая сторона борьбы с утечками информации в компаниях Киева тоже не на высоте: в 55% компаний система защиты от утечек информации (Data Leakage Prevention, DLP) до сих пор не внедрена. Там же, где она есть, зачастую предпочитают не информировать сотрудников о том, что система ведет за ними молчаливое наблюдение.
В целом, сложно не согласиться с известным киевским экспертом по информационной безопасности Владимиром Безмалым, сертифицированным специалистом Microsoft, который считает, что «к проблеме утечек, особенно после заявлений Э. Сноудена, просто привыкли. Сегодня сложно найти телефон, планшет, браузер или ОС, которые не сливают о тебе огромное количество мегабайт информации в реальном времени». Умеренный оптимизм, впрочем, внушает тот факт, что 16% компаний всё же планируют внедрение DLP-решений, несмотря не на самые простые условия в экономике страны.
Но этот небольшой штрих в целом не влияет на ситуацию с обеспечением информационной безопасности в организациях Киева. Внедрение азов информационной безопасности – разграничения доступа к конфиденциальным документам, подписание NDA, инструктаж персонала – не потребует от компаний больших усилий, но уже позволит привлечь внимание персонала к важности проблемы утечек информации. Впрочем, если что-то мешало компаниям реализовать на практике эти простые приемы до сих пор, нет никакой гарантии, что им удастся устранить эти загадочные препятствия и в обозримом будущем.

04 сентября 2015

Пользовательский фактор в ИБ и уязвимости



Далеко не всегда пользователю нужно кликать по ссылке или открывать вложенный в письмо документ, чтобы заполучить «трояна» или «червя», крадущего данные или рассылающего спам. Сегодня многие вредоносные программы ориентированы на распространение через уязвимости во вполне нормальном программном обеспечении, таком, например, как браузеры или программы для чтения PDF-документов. Зачастую пользователю достаточно добавить рассылающий вредоносов контакт в мессенджере, чтобы стать жертвой заражения.
Конечно, далеко не всякая вредоносная программа может похвастаться возможностью распространяться через уязвимости, особенно если это ещё неизвестные раньше уязвимости «нулевого дня». Уязвимость «нулевого дня»   уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.
Правда, стоит отметить, что подобным способом распространения пользуются как раз наиболее опасные вредоносные программы, которые направлены не против конкретного пользователя, а против всей организации, в которой тот работает.  К примеру, именно так распространялся нашумевший троян Stuxnet,  предназначенный для проведения атак на SCADA-системы, использующиеся для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей «нулевого дня». По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.
Другой, более свежий пример трояна, распространяющегося с использованием неизвестных ранее уязвимостей, ‑ это троян Sykipot, который неоднократно атаковал компьютеры различных компаний, большинство из которых принадлежало к оборонной промышленности. Основная цель трояна – похищение интеллектуальной собственности (чертежей, бизнес-планов, различной технической документации) и передача на удаленный сервер.
Виноват ли в распространении Stuxnet или Sykipot пользователь, из-за действий которого эти трояны, вообще говоря, попали в корпоративную сеть? Вряд ли можно согласиться с таким мнением, хотя на постсоветском пространстве немало таких компаний, которые именно конечного пользователя и постараются сделать виноватым в подобной ситуации. В случае с уязвимостью нулевого дня уместнее, конечно, говорить о вине разработчика программного обеспечения, который, к сожалению, в соответствии с принятым в индустрии ПО принципом распространения программ «как есть» (AS IS), не несет за такие уязвимости никакой ответственности.
Единственный способ защититься от этого - готовить пользователей к воздействию приемов социнженерии. Например, тот же  Stuxnet попал на закрытый иранский ядерный объект с помощью флэшки, которую подбросили одному из сотрудников.
Из этого следует важный вывод: инвестиции в ПО и его обновления не спасут вас от необходимости инвестиций в контроль персонала и его обучение.