Na straży tajemnicy

Jeśli prawdą jest, że największe zagrożenie dla bezpieczeństwa danych to włamania dokonywane przez pracowników, wypadałoby rozejrzeć się za narzędziami, które pozwolą zminimalizować zagrożenie. W tej dziedzinie dzieje się ostatnio bardzo wiele.

Jeśli prawdą jest, że największe zagrożenie dla bezpieczeństwa danych to włamania dokonywane przez pracowników, wypadałoby rozejrzeć się za narzędziami, które pozwolą zminimalizować zagrożenie. W tej dziedzinie dzieje się ostatnio bardzo wiele.

Wiele firm obawiających się włamań dokonywanych przez pracowników lub występujących w "ich imieniu" złodziei tożsamości dawno wdrożyło rozwiązania zabezpieczające, nie chwaląc się tym przed nikim. Ambicją każdego niemal administratora jest zdobycie doświadczenia w konfiguracji narzędzi w rodzaju snorta lub - jeśli firmę stać - rozwiązania IPS ze stajni Check Point lub Juniper Networks.

Ani pakiety IPS rodem z open source, ani rozwiązania ww. firm komercyjnych nie rozwiązują kompleksowo kwestii zabezpieczania danych przed kradzieżą danych. Warto wiedzieć, że w dziedzinie zapobiegania włamaniom powstało w ostatnim czasie co najmniej kilka alternatywnych produktów, które można określić rozwiązaniami trzeciej generacji. Jeśli nie mają one jeszcze dystrybutorów na polskim rynku, z pewnością wkrótce będą je mieć.

Oakley Networks SureView 3.3

Oakley Networks to firma, o której mało kto słyszał, ale nic dziwnego, firma od dłuższego czasu zajmuje się wspomaganiem w zabezpieczaniu kluczowych systemów w amerykańskim Ministerstwie Obrony. Owa nie byle jaka referencja ma związek z architekturą rozwiązań oferowanych przez firmę, jak również z jej specyficznym podejściem do konfiguracji reguł zabezpieczeń. Opracowane przez Oakley Networks oprogramowanie SureView (aktualnie w wersji 3.3) to rozwiązanie oparte nie na sondach sieciowych, lecz na koncepcji programów-agentów działających na kluczowych serwerach, jak serwery poczty, bramy internetowe czy serwery plików, a jednocześnie na komputerach użytkowników.

Koncepcja HIDS (Host-based IDS) nie jest nowa, ale rozwiązania tego rodzaju można było dotychczas podziwiać głównie na prezentacjach, a nie w świecie rzeczywistym. Jej realizacja w formie komercyjnie dostępnego oprogramowania z czytelnym, łatwym do opanowania interfejsem użytkownika zasługuje na uwagę. Tym bardziej, że narzędzia dostępne dla administratora nie są jedynie kolekcją kolorowych wykresów wyświetlanych w przeglądarce. Narzędzie wyświetla naruszenia reguł pogrupowane według usług, np. poczta, komunikator internetowy, klient ftp itd. Grupy rozwijają się do list z sesjami, które można odtworzyć, tak jakby oglądało się film wideo.

Interesujący jest zakres typów naruszeń obsługiwanych przez SureView. Oprócz poczty, WWW, FTP i komunikatorów oprogramowanie obsługuje drukowanie, kopiowanie danych na urządzenia USB lub płyty CD/DVD. Rejestruje też wszystkie przypadki szyfrowania danych, kopiując zarówno dane przed zaszyfrowaniem, jak i zaszyfrowane. Drugi ważny szczegół to możliwość bardzo elastycznego określania przedmiotu i sposobu naruszenia reguł. Można definiować m.in. słowa kluczowe, wzorce zawartości plików, specyficzne metadane, określone działanie w systemie lub aplikacjach itp., a wszystko to dodatkowo osadzić na osi czasu. Możliwości są naprawdę imponujące.

Jeśli chodzi o reagowanie na wykryte przypadki naruszenia reguł, SureView również zapewnia sporo opcji - od zwykłego informowania, poprzez kopiowanie sesji, aż po blokowanie (w sposób widoczny lub nie) działań uznanych za szkodliwe. Oprogramowanie jest oferowane wraz z dedykowaną platformą sprzętową zdolną obsłużyć dane spływające od maksymalnie 500 użytkowników. Urządzenia mogą pracować w klastrze równoważącym obciążenie, ale można nimi centralnie zarządzać. Jedyny mankament SureView to brak narzędzi pozwalających ograniczyć wścibskość administratorów - nic się przed nimi nie ukryje, co może być niepożądane.

Reconnex iGuard 2.1

U podstaw działania oprogramowa

nia iGuard 2.1 firmy Reconnex jest śledzenie kluczowych zasobów składowanych w sieci. To realistyczne o tyle, że firmy obawiające się kradzieży danych raczej nie pozwalają ich przechowywać na lokalnych dyskach komputerów. Po wstępnym skanowaniu zasobów dane, w tym przede wszystkim dokumenty, podlegają klasyfikacji. Wszelkie zmiany w dokumentach dokonane przez osoby do tego nieupoważnione są natychmiast przekazywane do specjalistów ds. bezpieczeństwa.

Reconnex iGuard 2.1 oferuje sporo atrakcyjnych funkcji. Gdy miejsce miała próba wysłania danych pocztą lub innym protokołem sieciowym, oprogramowanie od razu dokonuje translacji adresów IP serwerów docelowych, wskazując nie tylko nazwę domeny, ale także kraj, do którego dane miały być wysłane. Pakiet iGuard świetnie nadaje się jako narzędzie do upominania niesfornych użytkowników firmowych komputerów zanim wyrządzą szkodę sobie lub całej firmie. Oprogramowanie pokazuje zbiorczo, jakie problemy zdarzają się najczęściej, którzy użytkownicy powodują najwięcej kłopotów itd.

Z danych ogólnych bardzo łatwo można przejść do danych szczegółowych. Oprogramowanie automatycznie rejestruje nie tylko adres IP, ale także nazwy NetBIOS komputerów i nazwy użytkowników. Jeśli zajdzie potrzeba ustalenia ponad wszelką wątpliwość, czy działanie wykonane przez użytkownika rzeczywiście jest szkodliwe, iGuard udostępnia łącza do podejrzanych załączników, pokazuje fragment poufnej treści wysłanej przez komunikator internetowy itp. Jedną z bardzo użytecznych opcji jest możliwość opatrywania reguł atrybutami wskazującymi próg, od którego problem jest uznawany za istotny, co jest całkiem sensowną próbą ograniczenia fałszywych alarmów.

Podobnie jak SureView, iGuard to rozwiązanie wsparte akceleracją na dedykowanym sprzęcie. W wersji 2.1 pojawiła się możliwość zadawania pytań do wbudowanej w rozwiązanie bazy SQL zawierającej wszystkie metadane dotyczące naruszeń. Urządzenie przechowuje całą historię naruszeń wraz kopiami całych plików lub ich fragmentów będących przedmiotem naruszeń reguł, pozwala jednak administratorowi ustalić "kroczące okno czasowe", po przekroczeniu którego dane są kasowane. W najbliższym czasie Reconnex zamierza wzbogacić iGuard o możliwość wskazania chronionego pliku lub jego fragmentu i zlecenie poszukiwania jego kopii w zasobach sieci.

W przeciwieństwie do SureView, iGuard zawiera mechanizmy pozwalające na ograniczenie zapędów ciekawskich administratorów. Administrator może mieć prawo przeglądać tylko określone typy zdarzeń lub też sprawdzać szczegóły tylko do pewnego poziomu. Producent dostarcza własne narzędzia administracyjne, ale iGuard można zintegrować z platformą do zarządzania bezpieczeństwem lub zarządzania infrastrukturą.

Tabulus Content Alarm 3.0

Content Alarm 3.0 to pakiet rozwiązań łączący kilka architektur, wiele narzędzi zawierających szereg unikalnych, a przy tym użytecznych funkcji. Content Alarm NW 3.0 jest skanerem protokołów, czy też, jak kto woli, filtrem treści. W tej dziedzinie oprogramowanie zapewnia możliwość skanowania dokumentów tylko określonego typu lub przynależących do określonej grupy użytkowników. Ułatwia przy tym utrzymanie poufności. Przykładowo, informacje o próbie nadużycia finansowego za pomocą aplikacji mogą być udostępnione tylko wtajemniczonym pracownikom działu finansowego, zaś próba kradzieży danych osobowych może być udostępniona tylko działowi kadrowemu.

Uzupełnieniem Content Alarm NW 3.0 jest narzędzie Content Alarm DT. Oprogramowanie instaluje programy agenckie na komputerach podłączonych do sieci, uniemożliwiając użytkownikom kopiowanie wrażliwych danych na urządzenia USB lub na nośniki optyczne. Przy okazji Content Alarm DT dba o to, aby do poufnych danych dostęp możliwy był jedynie poprzez zaufane aplikacje - jeśli, dajmy na to, użytkownik będzie chciał edytować dokument zarażony koniem trojańskim, oprogramowanie Tabulus do tego nie dopuści. Content Alarm DT pozwala ponadto na zmianę traktowania użytkownika, jeśli ten przekroczy próg zaufania. Na przykład dwie próby naruszenia reguł następujące po sobie mogą oznaczać niemożność skorzystania z komputera.

Strategia firmy Tabulus łączy dwa podejścia: skanowanie protokołów i pilnowanie użytkowników za pomocą aplikacji zainstalowanych na komputerach. W bezpieczeństwie, jak w żadnej innej dziedzinie, liczy się kompleksowość i sprawdzanie informacji w kilku źródłach. Skłonność do obstawiania wielu koni jednocześnie widać także w dziedzinie informowania administratorów o naruszeniach reguł - agenci i skaner mogą jednocześnie pokazywać alerty na konsoli, wysyłać wiadomości e-mail, SMS, a także udostępniać na żywo kanały RSS. Wszystko po to, aby ważny incydent na pewno nie uszedł ich uwadze. Zasady informowania można oczywiście skonfigurować według własnego uznania.

Na podstawie artykułu "Guard your data against insider threats", który ukazał się w amerykańskim wydaniu tygodnika InfoWorld w grudniu 2005 r.

Nadchodzi nowa fala

Oakley Networks SureView, Reconnex iGuard i Tabulus Content Alarm to przedstawiciele nowej fali narzędzi do ochrony danych przed nieuczciwymi pracownikami lub działającymi bez ich wiedzy złodziejami tożsamości. Oprócz ww. narzędzi warto jeszcze spojrzeć na kilka innych - również bardzo obiecujących. Jednym z nich jest pakiet narzędzi Vontu firmy o tej samej nazwie. Interesujące mogą okazać się także produkty firm Verdasys i Orchestria.


TOP 200