Табуны троянских коней Вопросы защиты конфиденциальной информации от внутренних ИТ-угроз
advertisement
Табуны троянских коней Вопросы защиты конфиденциальной информации от внутренних ИТ-угроз Андрей Щеглов, доктор технических наук, НПП «Информационные технологии в бизнесе», info@npp-itb.spb.ru До настоящего времени в качестве основной задачи защиты конфиденциальной информации общепри­ нято было рассматривать ее защиту от внешних угроз. Как следствие, это привело к кардинальному пере­ распределению источников угроз — доминировать стали внутренние угрозы, что очень наглядно иллюст­ рирует исследование Infowatch о внутренних ИТ-угрозах в России, опубликованное на сайте: www.itsec.ru 22 ноября 2005 года. Заметим, что проведенные исследования основаны на опросе представителей 387 государственных и коммерчес­ ких организаций Российской Федерации, что, с одной сторо­ ны, позволяет говорить об объективности полученных оценок, с другой — об актуальности и понимании специалистами и потребителями средств защиты информации рассматривае­ мых проблем. № 1 [64] • январь–февраль 2006 Обратимся к этому исследованию и приведем основные сформулированные в нем тезисы. Исследование «Внутренние ИТ-угрозы в России — 2004» выявило целый ряд исключительно интересных фактов, кото­ рые могут представлять профессиональный интерес для спе­ циалистов в области информационной безопасности (ИБ), маркетинга и продаж: проблема безопасности — в России только начинает формироваться культура про­ фессионального отношения к ИБ: лишь 16% респондентов имеет выделенные отделы ИБ. В 94% случаев эти отделы были сформированы в течение последних двух лет; — 62% респондентов считают, что действия инсайдеров являются самой большой угрозой для российских органи­ заций; — 98% считает, что нарушение конфиденциальности инфор­ мации — самая большая внутренняя ИТ-угроза; — 89% считают электронную почту самым распространен­ ным путем утечки конфиденциальной информации; — 67% не осведомлены о наличии инцидентов в сети орга­ низации, связанных с утечкой данных; — 99,4% допускают возможность наличия незарегистриро­ ванных инцидентов внутренней ИБ; — 87% считают технические средства эффективным спосо­ бом защиты, однако всего 1% респондентов использует их, в то время как 68% вообще не предпринимают никаких действий; — российские организации осознают опасность внутренних ИТ-угроз, но не знают как с ней бороться: 58% не осведом­ лены о существующих технологических решениях; — 76% планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие два года; — чем больше организация, тем выше озабоченность угро­ зой утечки конфиденциальной информации. В порядке иллюстрации приведем из настоящего иссле­ дования некоторые статистические данные и попытаемся дать им оценку. Мнения респондентов практически совпадают в части определения наиболее опасных ИТ-угроз, что проиллюстри­ ровано на рис. 1. Вместе с тем, на практике сегодня широко применяются средства защиты, отнюдь не предназначенные для противодействия этим угрозам, что иллюстрирует рис. 2. Естественно, что эти результаты исследований напрямую зависимы — из рис. 2 следуют результаты, представленные на рис. 1. В чем же причина сложившейся ситуации, почему большие средства затрачиваются на решение второсте­ пенных задач защиты информации, а наиболее актуаль­ ные для сегодняшнего дня задачи продолжают оставаться нерешенными? Ответ на этот вопрос в большой части следует из иссле­ дования, проиллюстрированного на рис. 3, из которого мы видим, что большая часть респондентов просто не знает, как подойти к решению данных задач, при этом заметим, что доминирующая их часть вполне обоснованно считает, что решение состоит в использовании технических средств защиты компьютерной информации, что проиллюстрировано на рис. 4 (а как еще защищать информацию от нарушения ее конфиденциальности, или, попросту, хищения санкциониро­ ванными пользователями, т. е. теми сотрудниками предприя­ тия, которые должны обрабатывать эту информацию в рамках выполнения своей служебной деятельности?). Возникает вопрос: возможно, респонденты просто недо­ статочно осведомлены о возможных путях утечки конфиден­ циальной информации либо о возможностях существующих средств защиты информации, а может быть, эти задачи могут быть решены встроенными средствами защиты современных ОС, например Windows, и проблемы надуманы (хотя, объек­ тивности ради, сразу можем отметить, что если все было бы так просто, не появилось бы и подобного исследования)? Чтобы ответить на эти вопросы, рассмотрим, какие угрозы респонденты считают самыми опасными, что проиллюстриро­ вано на рис. 5, а пути утечки данных — наиболее вероятными, что проиллюстрировано на рис. 6. Рис. 1. Наиболее опасные ИТ-угрозы Рис. 2. Наиболее популярные системы ИТ-безопасности Рис. 3. Препятствия для внедрения защиты от утечки данных Рис. 4. Пути защиты от утечки данных безопасность • достоверность • информация А. Щеглов. Табуны троянских коней Рис. 5. Самые опасные внутренние ИТ-угрозы Рис. 6. Пути утечки данных В порядке замечания отметим, что если внутренние ИТугрозы априори всегда будут доминировать над внешними, так как решение задачи защиты информации от санкциони­ рованного пользователя на порядки сложнее, чем от внеш­ них угроз, то пути утечки данных определяются возможнос­ тями средств защиты, поэтому, естественно, со временем их вероятность будет перераспределяться в соответствии с изменением возможностей средств защиты информации. Из рис. 5 и 6 мы можем заключить, что все проблемы респондентами прекрасно осознаны, приоритеты расстав­ лены. Тогда в чем же дело, почему на практике сегодня не решаются (либо решаются, но в недостаточной мере) наиболее актуальные задачи защиты конфиденциальной информации? Тому есть ряд причин. Во-первых, в основе архитектуры защиты современных универсальных ОС (в частности, ОС семейств Windows и Unix) лежит принцип «полного дове­ рия к пользователю» (не будем в данной работе технически обосновывать данный тезис, что потребует не один десяток страниц, так как это касается практически любого меха­ низма защиты современных ОС, однако отметим, что его объективно подтверждает само наличие представленного исследования). Во-вторых, в требованиях к добавочным средствам защиты, в частности, сформулированных в соот­ ветствующих нормативных документах в области защиты информации, задача защиты информации от несанкцио­ нированных пользователей не определена как таковая, поэтому и требования не адаптированы к решению данной задачи. Отчасти это иллюстрируют и исследования, приве­ денные на рис. 3 (5% респондентов отметили: «отсутствие стандартов»). Как следствие, разработчики средств доба­ № 1 [64] • январь–февраль 2006 вочной защиты, реализуя данные требования, что явля­ ется для них обязательным, подчас не пытаются решать рассматриваемые в работе наиболее актуальные задачи защиты конфиденциальной информации. В-третьих, как мы уже отмечали, задача защиты от санкционированного поль­ зователя на порядки сложнее, чем от внешних угроз. Ее эффективное решение требует совершенно новых подхо­ дов при построении системы защиты, проведения серь­ езных исследований, разработки и внедрения новых тех­ нологий и технических решений по реализации основных механизмов защиты. Однако далеко не все разработчики средств защиты (а точнее сказать, подавляющая их часть) обладают подобными технологиями и проводят необхо­ димые исследования в данном направлении. Результатом этого является то, что создаваемые ими добавочные средс­ тва защиты в той или иной мере повторяют (а то и просто используют) возможности встроенных в ОС механизмов защиты, в результате чего разрабатываемые ими добавоч­ ные средства защиты становятся бесполезными в части решения рассматриваемых здесь задач защиты информации от возможности ее хищения санкционированными пользо­ вателями — на сегодняшний день наиболее актуальных задач защиты конфиденциаль­ной информации. Проиллюстрируем два последних тезиса на примере. Априори раскрытию конфиденциальности информации про­ тиводействуют методы криптографической защиты. Однако в части противодействия внутренним ИТ-угрозам (в части противодействия несанкционированному раскрытию кон­ фиденциальной информации санкционированным пользо­ вателем, лицом, допущенным к обработке этой информации на вычислительном средстве предприятия) к средству крип­ тографической защиты могут быть выдвинуты следующие дополнительные противоречивые требования: — ключ шифрования не должен храниться вместе с зашиф­ рованными им данными; — ключ шифрования должен принадлежать пользователю для его ввода при доступе к зашифрованным данным; — ключ шифрования не должен быть известен пользова­ телю, в противном случае невозможно воспрепятство­ вать санкционированному пользователю в несанкцио­ нированном раскрытии конфиденциальной информа­ ции (в хищении конфиденциальных данных). Видим нетривиальность самой постановки задачи, как следствие, невозможность ее решения без использова­ ния соответствующих новых технологий. В подтверждение того, что данная задача решаема (представленные противо­ речия разрешимы), рассмотрим одну из таких технологий. С этой целью рассмотрим возможные политики хранения и ввода ключевой информации. Локальные политики хранения и ввода ключевой информации 1. Политика использования одного ключа шифрования. Это наиболее широко применяемая сегодня на прак­ тике ключевая политика. Суть ее заключается в следующем. Ключ шифрования присваивается файловому объекту (это позволяет использовать возможность шифрования данных как дополнительный атрибут доступа к файловым объек­ там), при доступе к которому сохраняемые и считывае­ мые в нем и из него файлы автоматически преобразуются с использованием данного ключа. Также данный ключ может использоваться для идентификации пользователя с целью предоставления запрашиваемого им доступа к файловому объекту (функция контроля доступа). Следуя тому, что ключ шифрования не должен храниться вместе с зашифрованны­ ми им данными, ключ должен располагаться на каком-либо внешнем носителе, например на flash-устройстве, подключаемом при доступе к объекту, либо вво­ диться пользователем с клавиатуры. К недостаткам данной политики можно отнести следующее: • эта политика не обеспечивает защиту от несанкционированного доступа к зашифрованным данным в случае утери (хищения) у пользователя носителя с ключевой информацией. В части замечания отметим, что данный недоста­ ток преодолевается за счет использования специальных электронных клю­ чей, требующих прохождения авторизации пользователем для считывания ключевой информации. Однако использование подобных ключей приводит к значительному удорожанию системы защиты данных; • данная политика не обеспечивает выполнения требования в части того, что ключ шифрования должен быть неизвестен пользователю, как следствие, при ее применении невозможно воспрепятствовать пользователю в хище­ нии конфиденциальных данных (у пользователя существуют все условия несанкционированного доступа к конфиденциальным данным: собственно зашифрованные данные, например на внешнем носителе, и ключ, которым они были зашифрованы, как следствие, могут быть расшифрованы). 2. Политики использования двух или более ключей шифрования. Суть данных политик заключается в том, что для шифрования (расшифрова­ ния) данных используется два ключа — основной и дополнительный. При этом основной ключ предназначен для шифрования (расшифровывания) собственно данных, дополнительный — для шифрования (расшифровывания) основного ключа. Рассмотрим эти политики в соответствии с их назначением. • Защита ключевой информации от утери (хищения) носителя. Данная политика реализуется следующим образом. Основной ключ шифрования должен храниться в файле внешнего устройства — на носителе (например, в файле на flash-устройстве), которое может быть утеряно либо похищено у пользователя. Для защиты ключевой информации, хранящейся в файле устройства (именно им шифруются файловые объекты — данные), данный ключ, так же как файловый объект, шифруется другим ключом (дополнитель­ ным), например в режиме ввода ключа с клавиатуры — парольная фраза (здесь может использоваться любой из предоставляемых системой защиты способов хранения и ввода ключа). При этом файл с защищаемой ключе­ вой информацией (основной ключ) должен быть включен в группу объек­ тов, шифруемых дополнительным ключом. Основной ключ при хранении будет зашифрован дополнительным ключом. Для прочтения зашифрованных данных потребуется сначала с использованием дополнительного ключа расшифровать основной ключ (осуществив идентификацию пользователя для группы объектов, в которую включен основной ключ шифрования), затем идентифицировать ключом из файла (при этом основной ключ уже будет счи­ тан в расшифрованном виде) пользователя для доступа к группе объектов, где хранятся защищаемые данные. Таким образом, при реализации такой политики ключ, шифрующий данные, зашифрован другим ключом, например парольной фразой, т. е. его утеря или хищение не приведут к несанкциони­ рованному прочтению данных. В отличие от предыдущей политики, в части защиты данных от утери (хище­ ния) ключа шифрования здесь не требуется использовать дорогостоящих ключей, реализующих функцию, так называемой, двухфакторной авториза­ ции. • Доступ к защищаемым данным по двум ключам. Суть реализации этой политики та же, что и предыдущей политики. Особенность заключается в том, что ключи (основной и дополнительный) должны быть у различных пользователей (заметим, один ключ — обязательно в файловом объекте, например на flash-устройстве, другой — может храниться любым предо­ ставляемым системой защиты способом). При этом доступ к данным (соот­ ветственно, преобразование данных) возможен только в присутствии обоих пользователей (каждый должен осуществить идентификацию для доступа к объектам соответствующей группы по своему ключу). Одного из двух клю­ чей для преобразования защищаемых данных будет недостаточно. Таким образом, может быть реализован доступ к защищаемым данным по любому числу ключей, при этом доступ к данным будет возможен лишь в присутс­ твии всех пользователей, имеющих соответствующие ключи. Данная политика может быть использована на практике для обеспечения контроля доступа к особо важным данным, осуществляемого, например, А. Щеглов. Табуны троянских коней ФБР отчиталось о компьютерных преступлениях Федеральное бюро расследований США выпусти­ ло очередной ежегодный отчет о компьютерных преступлениях, наиболее часто встречавшихся в 2005 году, — FBI 2005 Computer Crime Survey. По словам чиновников из ФБР, минувший 2005 год стал в известном смысле необычным. Если предыдущие годы были довольно разнообразными в плане сферы компью­ терных преступлений, то две трети компьютерных преступ­ лений 2005 года были связаны с отъемом денег у конеч­ ных пользователей. Кроме того, в 2005 году американские компании несли самые значительные финансовые потери из-за компьютерных угроз. В ФБР рассчитали, что если сум­ марный убыток от компьютерных преступлений поделить на общее число компаний, получится, что средняя компа­ ния в США потеряла 24 тысячи долларов. Данная сумма в общем-то невелика, но только если речь идет о крупной компании, вроде Walmart или General Motors, а если гово­ рить о небольших компаниях, которых в США около 72%, то для них эта цифра ощутима. В ФБР опросили 2066 различных компаний с целью получения статистических данных о средствах ИТ-защиты в реальных бизнес-условиях. Полученные данные говорят о том, что 98,2% компаний повсеместно используют антиви­ русы, а брандмауэрами пользуются 90,7%. И все же, замеча­ ют в ФБР, каждую десятую компанию не спасают и эти меры. По словам специалистов ФБР, внедрение технических средств безопасности происходит волнообразно. Новые решения внедряются не по мере их появления, а по мере их доступности. В частности, помимо антивирусов и бранд­ мауэров, примерно три четверти компаний используют антишпионское и антиспамовое ПО. Еще меньше компаний, около 50%, используют частные виртуальные сети и списки контроля доступа, а также физическую защиту компью­ теров и серверов. Такие вещи, как шифрование данных, программ­ные идентификаторы и системы фильтрации кон­ тента используют лишь 25% компаний. А вот такую «экзоти­ ку», как смарт-карты и биометрические системы использует лишь каждая двадцатая американская компания. И несмотря на это, ИТ-угрозы продолжают распростра­ няться. 87% опрошенных компаний заявили, что на протя­ жении 2005 года подвергались тем или иным компьютерным угрозам. Всего же, по данным ФБР, на территории США в 2005 году было проведено 5 тысяч крупных компьютерных атак, повлекших серьезные убытки. Более 75% опрошенных компаний указали на то, что на протяжении минувшего года им приходилось иметь дело с компьютерными вирусами и шпионскими модулями. 22,7% компаний заметили, что в 2005 году у них имели место случаи кражи или преднамеренной порчи бизнес-данных, 14,2% опрошенных рассказали, что сталкивались со случая­ ми проникновения в свои компьютерные сети. ФБР также приводит географические данные источ­ ников ИТ-угроз, согласно которым, наибольшую опас­ ность для США представляет… США. 26,1% случаев нападений — это внутренние угрозы. На втором месте находится Китай — 23,9%. Примерно каждая двадцатая ком­ пания утверждает, что ей известно о попытках взлома хаке­ рами из Южной Кореи, Германии, России и Румынии. По материалам www.biometrics.ru 10 № 1 [64] • январь–февраль 2006 • пользователем только в присутствии начальника под­ разделения, т. е. обеспечивает техническими средствами возможность реализации дополнительных организаци­ онных мер защиты обработки особо важных данных. Защита ключевой информации от несанкциони­ рованного прочтения пользователем. Суть реали­ зации данной политики та же, что и суть предыдущей политики. Особенность заключается в том, что ключи (основной и дополнительный) должны распределяться следующим образом: дополнительный ключ — у поль­ зователя (может храниться любым предоставляемым системой защиты способом), основной (которым собс­ твенно шифруются данные) — в отдельном файле на компьютере. При реализации подобной политики обеспечивается возможность расшифровывать защи­ щаемые данные пользователем только на том ком­ пьютере, в файле которого находится основной ключ, который не может быть похищен, так как зашифрован дополнительным ключом пользователя. При этом нали­ чие ключа и носителя с зашифрованными данными не позволят пользователю несанкционированно (в час­ тности, на другом компьютере) прочитать данные. Сетевая политика хранения и ввода ключевой информации Суть данной политики заключается в том, что для шиф­ рования (расшифровывания) данных используются два ключа — основной и дополнительный. При этом основной ключ, предназначенный для шифрования (расшифровы­ вания) собственно данных, располагается на удаленном компьютере в сети, дополнительный, предназначенный для шифрования (расшифровывания) основного ключа, — у пользователя. Данная политика по своей сути является политикой использования двух или более ключей шифрования и анало­ гичным образом реализуется. Отличительной особенностью политики является то, что основной ключ, собственно шиф­ рующий данные, т. е. вводимый из файла (соответственно, из файла на внешнем носителе, например располагаемого на flash-устройстве), располагается на удаленном компьюте­ ре и на этом компьютере разделен в сети для соответствую­ щего пользователя. На данном компьютере могут быть рас­ положены в отдельных файлах (разделенных в сети) ключи шифрования для всех групп объектов всех компьютеров в сети. В этом случае в сети реализуется ключевой сервер, в файлах которого располагаются (либо вводятся с внешне­ го носителя, например с flash-устройства, например адми­ нистратором) все ключи шифрования для всех компьютеров в сети. Дополнительные ключи вводятся пользователями на своих компьютерах, где идентифицируются пользователи для доступа к группам объектов и чтения с сервера основ­ ных ключей шифрования. Так как основные ключи шифру­ ются дополнительными ключами, основные ключи хранятся на сервере (либо на внешнем носителе, с которого вводятся на сервере) в зашифрованном виде и в зашифрованном же виде передаются по сети. При реализации такой политики не только наличие ключа и носителя с зашифрованными данными, но и хищение собственно компьютера, на кото­ ром хранятся зашифрованные конфиденциальные данные, не позволит пользователю несанкционированно (на другом либо на этом же компьютере) прочитать эти данные. Таким образом, реализация рассмотренных политик ввода и хранения ключевой информации не позволяет несанкционированно раскрыть конфиденциальную инфор­ мацию даже пользователем, ее обрабатывающим, что акту­ ально с учетом того, что конечный пользователь несет в себе угрозу хищения (с возможностью раскрытия) конфиденциальных данных. Все это указывает на то, что средство криптографической защиты компьютерной информации в части противодействия внутренним ИТ-угрозам должно поддерживать ключевую поли­ тику с двумя ключами шифрования. Требования корректности реализации ключевой политики c двумя ключами шифрования В части реализации ключевой политики с двумя ключами шифрования существует одна принципиальная проблема, которая заключается в следующем. Основной ключ (правда, в зашифрованном виде) хранится в файле (локальном либо разделенном в сети). При этом, с одной стороны, необходимо обеспечить к этому файлу доступ пользователю «на чтение» (ключ ему необходимо сосчи­ тать), с другой стороны, пользователь не должен иметь возможности раскрытия ключа, в противном случае, он будет иметь оба ключа, что сделает уязвимыми со стороны пользователя рассмотренные ключевые политики с двумя ключами шифрования. Очевидно, что встроенными в ОС средствами контроля доступа к файловым объектам подобное противоречие не разрешить. С этой целью должна быть использована возможность механизма конт­ роля доступа к ресурсам, состоящая в задании правил и контроле доступа для субъекта «процесс» (в современных ОС и большинстве добавочных средств защиты информации в качестве субъекта доступа, для которого формируется разграничительная политика доступа к ресурсам, выступает «пользователь»). При этом к файловому объекту, содержащему ключ шифрования, доступ должен разрешаться пользователю только соответствующим процессом системы защиты данных, тогда пользователь не может ни похитить ключ (раскрыть содержимое файла), ни его модифицировать (подобных возможностей процесс системы защи­ ты ему предоставлять не должен). Отметим, что в части реализации подобных требований сегодня на рынке можно выделить разработки ЗАО «НПП “Информационные технологии в бизнесе“»: комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000 / XP / 2003 и система защиты данных (СЗД) «Панцирь» для ОС Windows 2000 / XP / 2003, и это неслучайно, так как данные средства защиты изначально создава­ лись с целью обеспечения эффективной защиты конфиденциальной информации от возможности ее хищения санкционированными пользователями. КСЗИ «Панцирь-К» для ОС Windows 2000 / XP / 2003 не только оказывает эффективное противодействие потенциально возможным атакам инсайдеров, но и в общем виде решает задачу предотвращения запуска на защищаемом вычислительном средстве вредоносных программ («троянов», «червей», виру­ сов и т. д.), оказывает эффективное противодействие хакерским атакам (в том числе, за счет устранения архитектурных недостатков встроенной в ОС защиты, например в общем виде обеспечивает противодействие атакам на расширение привилегий за счет устранения привилегий системных пользователей, в частнос­ ти System), снижает вероятность угроз, связанных с халатностью сотрудников, исключая, в принципе, рядовых сотрудников (пользователей) из схемы адми­ нистрирования средств защиты (в частности, как таковая исключается сущность «владелец» объекта в механизмах контроля доступа к ресурсам). Таким образом, следуя рис. 1, можно утверждать, что данное средство нацелено на решение наиболее актуальных задач защиты конфиденциальной информации. СЗД «Панцирь» для ОС Windows 2000 / XP / 2003, поставляемое разработчиком и как самостоятельное средство защиты, и в качестве компонента КСЗИ «Панцирь-К» для ОС Windows 2000 / XP / 2003, реализует функции шифрования и расшифровыва­ ния данных «на лету», при этом защищаемыми объектами (для которых устанавли­ вается атрибут «шифрование») могут выступать любые объекты файловой системы (диски, каталоги, папки, файлы) на жестком диске и внешних накопителях, причем как локальные, так и разделенные в сети (при шифровании или расшифровывании удаленных объектов данные по сети передаются в зашифрованном виде). При­ нципиальное отличие (кроме функциональных возможностей) данного средства от аналогов заключается в реализуемых ключевых политиках, адаптированных к защите информации от инсайдеров. Реализуемые в СЗД «Панцирь» для ОС Windows 2000 / XP / 2003 политики хранения и ввода ключевой информации (приведенные выше) не позволят злоумышленнику, даже имея зашифрованные данные, ключ шиф­ рования и средство защиты, несанкционированно раскрыть (расшифровать) эти данные, даже в случае хищения с предприятия собственно компьютера, на котором хранятся и обрабатываются эти данные.
