Важной задачей в составе комплекса мер для предотвращения несанкционированного доступа к конфиденциальной информации является защита от физического доступа к данным, размещенным на корпоративных серверах. Особенно актуальна она для хранилищ DLP-систем, в которых собирается огромное количество критически важной информации. Часто эту задачу пытаются решить только организационными мерами. Однако надежным такой способ не назовешь. Оптимальным вариантом является использование криптографической защиты, например, продукта Zecurion Zserver Suite.
2. Применение Zserver Suite для защиты хранилищ DLP-системы
Введение
На сегодняшний день несанкционированный доступ к конфиденциальной информации является одной из наиболее серьезных угроз для бизнеса с точки зрения информационной безопасности. Все дело заключается в последствиях. Ведь именно несанкционированный доступ очень часто приводит к утечке данных. Это может быть практически любая информация, начиная с персональных данных сотрудников и клиентов и заканчивая условиями сотрудничества с другими организациями, различными ноу-хау, полной бухгалтерской базой, а также хранилище DLP-системы (в процессе работы DLP-решения в нем собирается большое количество конфиденциальной информации и персональных данных). Последнее по какой-то причине очень часто ускользает от внимания специалистов по информационной безопасности.
Несанкционированный доступ к конфиденциальной информации и хранилищу DLP-системы может быть получен разными способами. Но если провести небольшой опрос среди читателей, то наверняка подавляющее большинство в первую очередь вспомнит всевозможное вредоносное ПО, хакерские атаки и пр. И действительно, сетевые угрозы на сегодняшний день максимально популяризованы. В результате, практически во всех компаниях, которые действительно озабочены защитой своей информации от несанкционированного доступа, развернуты антивирусные средства, межсетевые экраны с функцией предотвращения сетевых атак. Между тем существует целая группа угроз, связанных с непосредственным доступом к компьютерному оборудованию и носителям информации. И, к сожалению, чаще всего им оказывают недостаточно внимания.
В современных условиях практически вся конфиденциальная информация сосредоточена в централизованных хранилищах. В небольшой компании это может быть один сервер, играющий целый ряд ролей в сетевой инфраструктуре, в организациях побольше – несколько серверов или NAS-хранилищ. В крупных компаниях это вообще может быть собственный дата-центр. При этом считается, что все оборудование размещается в охраняемой зоне, а регулярный доступ к нему есть только у ИТ-персонала из числа сотрудников компании. Поэтому и угрозы из описываемой группы не актуальны, достаточно нескольких стандартных организационных мер, чтобы предотвратить несанкционированный доступ к информации.
Однако на самом деле все намного сложнее. Дело в том, что простого приказа о доступе в серверную и инструкции для системных администраторов недостаточно для надежной защиты информации. Во-первых, всегда нужно учитывать возможность подкупа сотрудников компании. Причем это может быть не только ИТ- или ИБ-персонал, имеющий высокие привилегии в корпоративной сети, но и простой охранник, который ночью может пустить злоумышленника для копирования информации или сделает это самостоятельно. Ситуация еще больше осложняется при использовании облачных сервисов и размещении серверов в "чужих" дата-центрах. В этом случае физический доступ к оборудованию, на котором находится конфиденциальная информация, имеют сотрудники сторонних организаций. А владелец данных не может их проконтролировать.
Во-вторых, всегда существуют лица, которые имеют временный доступ в помещение с серверным оборудованием. Это уборщицы, электромонтеры, специалисты по обслуживанию климатической техники и т.д. Естественно, внутренние инструкции требуют от системных администраторов постоянного присутствия в серверной при посторонних. Однако выполняются они далеко не всегда.
В-третьих, существует вероятность изъятия сервера или сетевого хранилища вместе со всей информацией на нем. Причем, оно может быть, как незаконным, так и вполне легитимным. В первом случае речь идет о банальной краже. Всегда, несмотря на охрану, есть риск выноса оборудования за пределы офиса. Второй случай подразумевает изъятие сервера или хранилища правоохранительными органами, например, для проведения экспертизы при подозрении на использование контрафактного программного обеспечения или в качестве улики по какому-то делу. Между тем, с точки зрения информационной безопасности, это события одного порядка, поскольку с большой степенью вероятности могут стать причиной несанкционированного доступа к конфиденциальной информации сторонних лиц.
Помимо этого, существует еще и большое количество других угроз, связанных с прямым доступом к серверному оборудованию или носителям информации. Это вывод "железа" из эксплуатации и его списание, ремонт за пределами офиса и пр. Также нельзя забывать про резервные копии, которые обычно записываются на магнитные ленты или оптические диски. Во многих случаях они хранятся без достаточной охраны, а зачастую, еще и без должного контроля.
Многие угрозы прямого доступа к серверам и хранилищам усугубляются еще одним немаловажным фактором. Речь идет о сложности обнаружения утечки. Факт копирования данных отследить практически невозможно. Даже утеря магнитной ленты или оптического диска, хранящихся без серьезного контроля, может никогда не открыться или открыться только по прошествии большого количества времени.
Ситуация еще более усугубляется повсеместным внедрением DLP-решений. Вне всякого сомнения, контроль каналов утечки конфиденциальной информации очень важен. И позволяет существенно снизить количество "утекающих на сторону" корпоративных и персональных данных. Однако внедрение DLP-защиты может усилить риски компании, связанные с угрозами прямого доступа к серверам и сетевым хранилищам.
Проблема заключается в том, что в процессе работы DLP-решение собирает в своей базе значительный объем перехваченных данных. И многие из них является конфиденциальными, относятся к коммерческой тайне или персональным данным, оператором которых является организация. Сбор перехваченной информации необходим, без этого DLP-продукт просто-напросто не может работать. Но при этом сама база этого решения оказывается для злоумышленников очень лакомым кусочком. Ведь в ней содержится большой объем интересующей их информации, которая любезно собрана в одном месте.
Кроме самой перехваченной информации, находящейся в хранилище DLP-системы, ценность представляет сами факты, которые могут свидетельствовать о произошедшей или предотвращенной утечке конфиденциальных данных. Такая информация по определению взрывоопасна и может наделать много шума при передаче ее третьим лицам или умышленной публикации.
Все вышесказанное говорит о том, что угрозы прямого доступа к серверам, сетевым хранилищам и носителям резервных копий весьма актуальны и могут привести к очень серьезным последствиям. А поэтому защищаться от них с помощью одних лишь организационных мер неправильно. Нужна надежная система защиты, основанная на использовании криптографических технологий. В качестве примера такого решения мы рассмотрим Zserver Suite от компании Zecurion.
Применение Zserver Suite для защиты хранилищ DLP-системы
Zecurion Zserver Suite – продукт для криптографической защиты информации, находящейся на различных серверах (файловых, почтовых, серверах баз данных и пр.). В его основе лежит принцип прозрачного шифрования, который сочетает в себе максимальные надежность и удобство для конечных пользователей. Сам принцип довольно прост. Один или несколько выбранных администратором безопасности разделов жесткого диска зашифровываются целиком. После этого они воспринимаются операционной системой не как диски, а как неразмеченное место (к слову, это хорошо, поскольку позволяет скрыть сам факт хранения на накопителе конфиденциальной информации).
Ситуация меняется, когда в память сервера загружается ключ шифрования. После этого защищенные разделы становятся видны, как и обычные. При чтении с них данные расшифровываются, а при записи – зашифровываются автоматически. Высокая надежность такого решения обеспечивается тем, что информация на накопителе всегда, даже при непосредственной работе с ней, находится только в зашифрованном виде. А удобство для конечных пользователей заключается в том, что защита работает абсолютно незаметно для них, они могут даже и не подозревать, что на самом деле вся информация на сервере зашифрована (поэтому и говорят о "прозрачном шифровании").
Описанный подход позволяет использовать Zserver Suite для защиты любых серверов – файловых, почтовых, серверов приложений и т.п. И, что очень важно, хранилищ с базой данных DLP-системы.
Для любого криптографического продукта самым важным аспектом является надежность. Обычно она складывается из двух аспектов. Это используемые алгоритмы и способ хранения ключа шифрования. В самом Zserver Suite нет реализованных криптографических технологий. В данном решении используются внешние криптопровайдеры: встроенные в ОС (например, в операционных системах семействах Windows есть криптопровайдер), собственный модуль разработки компании Zecurion, сертифицированные ФСБ России поставщики алгоритма ГОСТ 28147-89. Это позволяет любой организации подобрать нужную технологию с приемлемой длиной ключа шифрования.
Кстати, сам ключ генерируется непосредственно в оперативной памяти сервера (то есть никогда не записывается на жесткий диск) на основе данных с физических источников, которыми могут служить, к примеру, хаотичные движения мыши оператором или фоновый шум с микрофона. Такой подход обеспечивает большую степень случайности ключа и, соответственно, его высокое качество. Из оперативной памяти ключевая информация записывается только на USB-токен или смарт-карту. Это обеспечивает его надежную защиту практически от всех угроз и двухфакторную аутентификацию пользователей.
Общая схема защиты сервера выглядит следующим образом. Администратор безопасности выбирает разделы сервера, которые содержат защищенную информацию. Важно, что на этих разделах могут содержаться не только папки с файлами, но и вообще любые данные, включая СУБД, установленное программное обеспечение и пр. Это позволяет защищать любую информацию: базу данных DLP-системы или CRM-системы, бухгалтерию и т.п. Далее выбирается нужный алгоритм и его параметры, генерируется ключ и сохраняется на защищенном токене или смарт-карте, после чего разделы шифруются. Сам процесс кодирования осуществляется в фоновом атомарном режиме. Это значит, что работа пользователей не прерывается, а сбои в электропитании не приведут к повреждению информации.
В дальнейшем процесс работы с защищенными разделами выглядит следующим образом. Администратор безопасности запускает на своем рабочем компьютере консоль управления, подключает к ПК токен или вставляет в считыватель смарт-карту, вводит PIN-код и загружает ключ шифрования в оперативную память сервера. При этом зашифрованные разделы становятся доступными для работы. Сама смарт-карта извлекается из считывателя и остается у ответственного сотрудника или помещается в защищенное хранилище (сейф). Отключение закрытых разделов осуществляется при выключении сервера (ключ удаляется из оперативной памяти), по команде администратора безопасности или при наступлении чрезвычайных событий (о них мы поговорим дальше).
Особенности Zserver Suite
Среди всех функций Zecurion Zserver Suite можно выделить особенности, которые могут быть востребованы в решении задачи защиты хранилища DLP-системы.
Экстренное отключение защищенных разделов. Экстренное отключение зашифрованных разделов выполняется путем удаления из оперативной памяти ключа шифрования. Это позволяет сразу, моментально отключить все диски. Для пользователей это будет выглядеть, как будто сервер выключился или произошел какой-то сбой. Подать сигнал "тревога" можно с рабочей станции по локальной сети, удаленно через Интернет, с помощью так называемой "красной кнопки" (проводные или беспроводные устройства с кнопкой для подачи сигнала "тревога"). Помимо этого возможны такие "экзотические" способы, как интеграция с системой физической безопасности. В некоторых случаях они могут оказаться весьма полезны. Например, можно сделать так, чтобы при срабатывании сигнализации в офисе автоматически отключались все диски с конфиденциальной информацией.
Ввод PIN-кода под принуждением. При вводе PIN-кода наоборот система удаляет хранящиеся на смарт-карте или токене ключи шифрования. Это нужно в тех случаях, когда уполномоченного сотрудника принуждают угрозами подключить зашифрованные диски.
Кворум ключей шифрования. Данная возможность позволяет разделить ключ шифрования на несколько частей и записать эти части на разные смарт-карты. Для подключения диска необходимо предоставить указанное количество этих частей (например, для подключения нужно 3 части ключа из 5). Это позволяет существенно снизить риск компрометации ключа, а также не позволит коррумпированному администратору безопасности единолично несанкционированно подключить разделы для копирования данных.
Журналирование действий администратора безопасности. Все действия администратора безопасности с системой защиты записываются и сохраняются в Windows Event Log или могут быть экспортированы в файлы разных форматов для последующего анализа. Это позволяет организовать контроль самих администраторов безопасности.
COM-интерфейс. У Zserver Suite есть собственный COM-интерфейс, который позволяет встроить управление системой защиты практически в любое программное обеспечение. Это обеспечивает высокую степень интеграции и простоту управления. Для доверенных, но далеких от ИТ сотрудников можно в максимально простой и привычной им форме обеспечить возможность подключения и отключения дисков буквально одной кнопкой без использования консоли администратора. Например, с помощью COM-интерфейса можно встроить управление зашифрованными дисками сервера с базой данных DLP-системы в панель управления этой системой.
Модуль Zbackup. Данный модуль используется для криптографической защиты резервных копий, записываемых на магнитные ленты или оптические диски. Zbackup работает в прозрачном режиме, автоматически зашифровывая данные при записи и расшифровывая при считывании. Это позволяет надежно защитить резервные копии вне зависимости от условий их хранения.
Модуль Zserver Enterprise Key Server. Данный модуль используется для централизованного управления ключами шифрования. Больше всего они подходит для крупных организаций с большим количеством серверов, так как позволяет автоматизировать процессы использования системы защиты и надежного хранения ключей шифрования, а не передавать их на хранение в филиалы.
Модуль Zserver Script Pack. Позволяет подключать к системе защиты внешние сценарии, написанные на языках JScript и VBcript, которые будут срабатывать при наступлении тех или иных событий (например, при подключении или отключении разделов, наступления "тревоги" и пр.). С их помощью можно автоматизировать те или иные операции, например, корректно закрывать сессии подключения к серверу и автоматически завершать работы DLP-системы при отключении диска, на котором размещена ее база данных. Скрипты также могут использоваться и как инструменты защиты. Например, при тревоге осуществлять подмену диска – размонтировать диск с настоящей конфиденциальной информацией и вместо него подключить специально подготовленный "подставной".
Модуль Zserver Disk Access Control. Данный модуль позволяет защитить информацию, расположенную на зашифрованных разделах, от несанкционированного доступа в то время, когда они подключены. Этот модуль весьма актуален для серверов, на которых размещаются базы данных с критически важной информацией, доступ к которой должен осуществляться круглосуточно и только для специальных приложений (база DLP-решения, база 1С и т.д.).
Например, если на защищенном диске хранится база DLP-системы, то можно разрешить доступ к ней только этому приложению. Все же остальные, включая и "Проводник" Windows, прочитать информацию не смогут. То есть, никто не сможет скопировать базу целиком. Кроме того, в модуле реализовано управление папками общего доступа, которое позволяет контролировать доступ не системным администраторам и администраторам домена, а администраторам безопасности через консоль управления Zserver. Модуль Zserver Phone Alarm. Данный модуль позволяет подавать сигнал "тревога" путем звонка на специальный номер телефона и вводы в тональном режиме четырехзначного PIN-кода. Это позволяет экстренно блокировать доступ к данным практически из любой точки земного шара.
Выводы
Подведем итоги. Угроза физического доступа к серверу или сетевому хранилищу не абстрактна. Это вполне реальная и довольно актуальная угроза, которая с большой долей вероятности может привести к несанкционированному доступу к конфиденциальной информации. В частности, как это не смешно звучит, жертвой несанкционированного доступа и утечки может стать отдел информационной безопасности, использующий хранилище DLP-системы.
Единственным на сегодняшний день действительно надежным способом защиты от физического доступа к хранилищу DLP-системы является криптография. Шифрование не может предотвратить сам факт доступа к оборудованию, однако позволяет обезопасить конфиденциальную информацию на нем, что, собственно говоря, и требуется сделать. Однако важно понимать, что криптографическая защита не должна препятствовать свободному течению бизнес-процессов компании. В этом плане именно "прозрачное шифрование" является оптимальным решением поставленной задачи.
Защита информации именно на сервере накладывает определенную специфику. Поэтому системы, предназначенные для обеспечения безопасности данных на рабочих станциях, не подходят. Они просто-напросто не обладают достаточным функционалом. Только специальные продукты, например, Zserver Suite, который мы сегодня рассмотрели, позволяет полноценно решить поставленную задачу.
Такие решения можно рассматривать как часть системы защиты от утечек конфиденциальных данных. Если использовать для этих целей только DLP-систему, то, безусловно, можно добиться контроля потенциально опасных каналов передачи информации. Однако собираемые при этом данные могут сами оказаться легкой добычей инсайдеров, получивших прямой доступ к серверу или сетевому хранилищу, на котором они размещаются. В результате, один инцидент может стать причиной утечки весьма значительного объема конфиденциальной информации. В связи с этим можно порекомендовать защищать сервера и хранилища, используемые DLP-системой, с помощью шифрования. Совместное внедрение этих продуктов позволит значительно снизить вероятность утечки конфиденциальных данных.
