Системы мониторинга и фильтрация контента

Алексей Плешков,
начальник отдела защиты информационных технологий, "Газпромбанк" (Открытое акционерное общество)

На пороге 21-го века, когда развитие "движения Интернет-пользователей" в России не носило эпидемического характера, а подключение к Интернету являлось прерогативой людей, по роду своей деятельности близких или вхожих в среду специалистов по ИТ, об автоматизированных системах поточной фильтрации Интернет-трафика, по большому счету, никто не задумывался. Шли годы, количество пользователей Глобальной сети росло в геометрической прогрессии, развивались технологии, изменялись форматы и характер ведения бизнеса, претерпевали модификацию технологические процессы, высокоскоростные коммуникации и надежная связь все активнее внедрялись в повседневную работу любой организации. В итоге Интернет, как международная сеть, объединяющая воедино информационные ресурсы, относящиеся к разным направлениям деятельности, стал одним из основных инструментов ведения успешного бизнеса.

Риски для бизнеса

У любой медали - две стороны. Наряду с очевидной пользой для бизнеса всеобщая информатизация и повышение компьютерной грамотности привели к появлению принципиально новых, ранее не принимаемых во внимание рисков для бизнеса.

Не требуется разбираться в структуре php-кода или периодически компилировать новое ядро *nux операционных систем, чтобы купить необходимое для подключения к Интернету оборудование, установить на свой домашний компьютер дополнительное программное обеспечение и настроить доступ в Глобальную сеть в соответствии с прилагаемой инструкцией. А дальше новый член движения Интернет-пользователей получает реальную возможность для саморазвития и поиска интересующей его информации любыми доступными ему способами. Способов этих, как известно, очень и очень много.

Представим теперь, что тот же человек является сотрудником крупной организации, централизованно подключенной к сети Интернет. Сотрудники по отношению к организации могут занимать две позиции: либо лояльно относиться к своей работе, либо нелояльно. Говорить о нейтралитете нелогично. К сожалению, в настоящее время, даже будучи лояльно настроенным, сотрудник, используя ресурсы Глобальной сети на рабочем месте без должного контроля и защиты, рискует нанести существенный урон организации, сам того не желая.

Для иллюстрации данного факта можно обратиться к статистике 2008-2009 гг., подготовленной ведущими в области информационной безопасности аналитическими агентствами. Более 50% всех доказанных и опубликованных утечек информации непосредственно с рабочих мест сотрудников на территории организаций по всему миру в 2008 г. были осуществлены случайно, т.е. без умысла со стороны сотрудников. В большинстве случаев были зафиксированы следы работы программ с потенциально опасными последствиями, а также факты использования на рабочем месте несанкционированно установленного программного обеспечения с недокументированными возможностями.

Менталитет российских организаций таков, что руководство предпочитает публикациям молчание, поэтому получить точную статистику по России достаточно проблематично.

Что уж говорить о нелояльно настроенных сотрудниках, цель которых - получить максимальную выгоду от своей организации, используя для этого любые доступные способы и каналы выноса информации. В условиях, когда использование периферийных портов на служебных компьютерах сотрудников повсеместно контролируется, права пользователя в операционной системе ограничены, а внос-вынос носителей информации регламентирован, единственным доступным и возможным способом "увода" информации остается сеть общего пользования - Интернет.

Обладая минимальными техническими знаниями, сотрудник, допущенный по роду своей деятельности к информации ограниченного доступа, используя базовые инструменты и средства сети Интернет, потенциально обладает возможностью совершить попытку несанкционированного "увода" информации за пределы охраняемой зоны. Это риск, который неизбежен. Вероятность реализации такого риска совпадает с вероятностью реализации рискового события, связанного с поэтапным физическим запоминанием сотрудником доступной ему информации и выносом ее с территории. Защититься здесь практически невозможно.

Поэтому одной из основных задач, которые ставятся перед подразделением, ответственным за обеспечение информационной безопасности в организации, является минимизация до приемлемого уровня вероятности реализации рисков нарушения конфиденциальности информации ограниченного доступа, в том числе недопущение фактов компрометации информации инсайдерами.

Инсайдер, и/или потенциальный внутренний нарушитель информационной безопасности, - это лицо, обладающее служебными полномочиями в отношении информационных активов и/или знаниями особенностей организационно-технической среды и способное использовать их нежелательным для организации образом.

К инсайдерам относятся следующие лица:

• сотрудники организации, работающие по трудовому договору или договору подряда;
• сотрудники внешних организаций, которые согласно договору и/или предписанию выполняют работы на территории организации или используют доступ к автоматизированным системам;
• лица, не работающие по трудовому договору или договору подряда, выполняющие специальные поручения руководства и/или находящиеся с ним в родственных отношениях.

Задачи контроля посещения сотрудниками в рабочее и нерабочее время сайтов, содержание (например, наличие на странице ActiveX-компонентов или исполняемых файлов JavaScript, при запуске которых на рабочую станцию через HTTP загружается, а затем и устанавливается часть полиморфного вируса) или сервисы (например, электронная конференция, форум или файловый сервер) которых потенциально могут привести к компрометации информации и/или нарушению работоспособности внутренней инфраструктуры, лежат в зоне ответственности подразделения, ответственного за обеспечение информационной безопасности. При этом отходит на второй план прикладное содержание страниц - социальные сети, Интернет-игры или сайты с содержанием, не относящимся напрямую к выполнению сотрудниками служебных обязанностей. С точки зрения применяемой технологии поточной фильтрации Интернет-трафика не имеет значения, какие сайты (URL-адреса сайтов) блокировать.

Основные угрозы ИБ

В общем случае при работе сотрудников организации в Интернете можно выделить следующие классы угроз информационной безопасности.

• Угроза нарушения конфиденциальности: утечка сведений ограниченного доступа (коммерческая, банковская, служебная тайна, персональные данные) через доступные для размещения информации ресурсы в Интернет (внешняя "freeware" электронная почта, форумы, конференции, файловые хранилища, сервисы общения в режиме реального времени, социальные сети, HTTPS-туннелирование и т.д.).
• Перехват, пассивное (sniffering) или активное (men-in-the-midle) подслушивание или выманивание информации ограниченного доступа у пользователей Глобальной сети с помощью методов социальной инженерии и технических инструментов (например, подмена адреса доверенного объекта доступа - phishing).
• Угроза нарушения доступности/целостности: несанкционированное распространение во внутренней локальной вычислительной сети полученных из Интернета программ с потенциально опасными последствиями.

Здесь можно вспомнить не только вредоносное программное обеспечение, но и "чистое ПО", не имеющее подтверждений наличия юридически должным образом оформленных отношений с разработчиком и/или правообладателем.

Также всегда нужно помнить и рассматривать репутацион-ные риски от использования сотрудниками ресурсов Интернета в личных целях и/или в ущерб интересам организации, в том числе для получения нелицензионных мультимедиа-файлов, а также файлов другого рода, доступных в Интернете и защищенных авторскими правами на территории Российской Федерации.

Требования к системам фильтрации

Вероятность реализации перечисленных выше угроз и рисков может быть снижена путем внедрения в организации программно-аппаратного комплекса защиты на базе системы поточной фильтрации содержимого проходящего Интернет-трафика (далее - СФ).

Общий принцип работы СФ подробно описывается в рекламной документации производителей и на сайтах компаний -системных интеграторов и по этой причине не является предметом рассмотрения данной статьи.

Однако хотелось бы более подробно остановиться на этапе проектирования и составления требований по информационной безопасности к такого рода системам. Наряду с требованиями к внедряемой автоматизированной системе подразделений, ответственных за информационное обеспечение организации, к СФ должны предъявляться комплексные требования по информационной безопасности, к которым в общем случае относятся:

1. Обеспечение комплексного подхода к организации подсистемы антивирусной защиты:

• проверка файлов на наличие вредоносного программного кода должна выполняться несколькими (более одного), работающими последовательно продуктами, представленными ведущими мировыми компаниями - производителями антивирусных решений;
• база вирусных сигнатур должна обладать возможностью ручного добавления (полуавтоматического импорта) объектов;
• обновление баз данных вирусных сигнатур должно производиться на регулярной основе не реже одного раза в 12 часов;
• весь текст HTML-страницы любого сайта должен проверяться на предмет наличия в нем вредоносного кода, в том числе динамически полиморфного кода, содержащего элементы высокоуровневого программирования;
• должна присутствовать возможность создания групп для проведения антивирусных проверок, а также должен быть реализован интерфейс для назначения и управления антивирусными проверками для групп пользователей.

2. Наличие подсистемы фильтрации, в которой должны быть реализованы перечисленные ниже потенциальные возможности:

• поддержка и обработка следующих протоколов: HTTP, HTTPS, FTP, ICQ, SMTP/POP3;
• категорирование сайтов - динамическая (в автоматическом и полуавтоматическом режимах с использование встроенных инструментов, средств) категоризация сайтов, а также фильтрация ресурсов по различным признакам, в том числе по категориям URL, спискам доменных имен, адресов и т.д.;
• интерактивность - разграничение доступа по категориям сайтов на уровне пользователей Интернета и вывод предупреждающих сообщений на экран пользователю о нарушении им политики информационной безопасности в организации;
• групповые политики - разграничение доступа на уровне групп пользователей, создание типовых профилей, а также назначение политик доступа отдельным объектам: пользователю, группе, типу протокола, IP-адресу и др.;
• тонкая настройка - создание собственных, отличных от типовых, категорий сайтов, схем категоризации, последовательностей анализа и т.д.

3. Гибкая политики лицензирования:

• при истечении срока лицензии проходящий через системы фильтрации поток трафика не должен блокироваться;
• политика лицензирования программно-аппаратного решения, включающего антивирусную подсистему и URL-фильтрацию, должна базироваться на принципе учета одновременно работающих с системой пользователей.

4. Наличие подсистемы журналирования событий и интерфейсов формирования отчетности. Количество событий и глубина протоколирования определяются спецификой работы организации.

5. Наличие реализованных интерфейсов для интеграции СФ со следующими классами систем, используемых в организации:

• межсетевые экраны;
• служба каталогов;
• система обнаружения вторжений;
• антивирусные решения;
• SNMP-управление и мониторинг состояния;
• системы SMTP/SNMP/SMS-оповещения.

Комплексный подход

Необходимо понимать, что даже с учетом выполнения разработчиками всех перечисленных выше требований к функциональности и уровню обеспечения информационной безопасности СФ не гарантирует стопроцентную защиту и снижение рисков до минимально возможного значения. Для любого средства защиты рано или поздно будут найдены обходные пути, которые позволят, пренебрегая требованиями политики информационной безопасности, несанкционированно выполнять действия в Интернете.

Таким образом, необходимо, чтобы подходы к обеспечению безопасности при работе сотрудников в сети Интернет были комплексными. Недостаточно просто фильтровать трафик, анализируя контент на предмет наличия в нем шаблонных (сигнатурных) элементов или проверять URL-адреса по черным спискам, пусть даже динамически обновляемым. Существуют ошибки первого и второго рода, которые не позволят с уверенностью говорить о корректной работе системы фильтрации.
На основе имеющегося опыта можно предложить развертывание комплексного решения по предоставлению доступа в Интернет для сотрудников крупной организации, состоящего из следующих основных частей (см. рис.):

1) комплекс межсетевого экранирования;

2) система терминального доступа (клиент - сервер);

3) файловые серверы для получения, промежуточного хранения, проверки на наличие вредоносного кода и односторонней передачи полученной информации;

4) система поточной фильтрации в кластерном исполнении:

• proxy-сервер прикладного уровня;
• сервер URL-фильтрации;
• потоковое антивирусное средство.

Предложенное решение призвано обеспечить приемлемый уровень защищенности информации, хранимой и обрабатываемой во внутренней сети организации.