Choix des lecteurs
Articles populaires
Protection contre les initiés et les fuites d'informations
Des recherches récentes dans le domaine de la sécurité de l'information, telles que l'enquête annuelle CSI / FBI sur la criminalité informatique et la sécurité, ont montré que les pertes financières des entreprises dues à la plupart des menaces diminuent d'année en année. Cependant, il existe plusieurs risques, dont les pertes augmentent. L'un d'eux est le vol délibéré d'informations confidentielles ou la violation des règles de traitement par les employés dont l'accès aux données commerciales est nécessaire à l'exercice de leurs fonctions officielles. On les appelle des initiés.
Dans la grande majorité des cas, le vol d'informations confidentielles est réalisé à l'aide de supports mobiles : CD et DVD, périphériques ZIP et, surtout, toutes sortes de clés USB. C'est leur diffusion massive qui a conduit à l'épanouissement des initiés à travers le monde. Les dirigeants de la plupart des banques sont bien conscients de ce qui pourrait être menacé, par exemple, l'obtention d'une base de données contenant les données personnelles de leurs clients ou, plus encore, les transactions sur leurs comptes entre les mains de structures criminelles. Et ils essaient de faire face à un éventuel vol d'informations avec les méthodes d'organisation à leur disposition.
Cependant, les méthodes d'organisation sont inefficaces dans ce cas. Aujourd'hui, vous pouvez organiser le transfert d'informations entre ordinateurs à l'aide d'une clé USB miniature, d'un téléphone portable, d'un TRZ-plssra, d'un appareil photo numérique... premièrement, affectera négativement les relations avec les employés et deuxièmement, il est encore très difficile d'établir un contrôle vraiment efficace sur les personnes - une banque n'est pas une "boîte aux lettres". Et même la désactivation de tous les périphériques sur les ordinateurs pouvant être utilisés pour écrire des informations sur des supports externes (disques FDD et ZIP, lecteurs de CD et DVD, etc.) et les ports USB n'aidera pas. Après tout, les premiers sont nécessaires au travail, tandis que les seconds sont connectés à divers périphériques : imprimantes, scanners, etc. Et personne ne peut empêcher une personne d'éteindre l'imprimante pendant une minute, d'insérer une clé USB dans le port libéré et d'y copier des informations importantes. Vous pouvez, bien sûr, trouver des méthodes de protection originales. Par exemple, dans une banque, ils ont essayé cette méthode pour résoudre le problème: ils ont rempli la jonction du port USB et du câble avec de la résine époxy, étroitement "attaché" ce dernier à l'ordinateur. Mais, heureusement, il existe aujourd'hui des méthodes de contrôle plus modernes, plus fiables et plus flexibles.
Le moyen le plus efficace de minimiser les risques associés aux initiés est un logiciel spécial qui gère dynamiquement tous les périphériques et ports d'un ordinateur pouvant être utilisés pour copier des informations. Le principe de leur travail est le suivant. Pour chaque groupe d'utilisateurs ou pour chaque utilisateur séparément, des autorisations sont définies pour utiliser divers ports et périphériques. Le plus grand avantage de ce type de logiciel est sa flexibilité. Vous pouvez imposer des restrictions pour des types spécifiques d'appareils, leurs modèles et des instances individuelles. Cela permet de mettre en œuvre des politiques de distribution des droits d'accès très complexes.
Par exemple, certains employés peuvent être autorisés à utiliser des imprimantes et des scanners connectés aux ports USB. Tous les autres appareils insérés dans ce port resteront inaccessibles. Si la banque utilise un système d'authentification d'utilisateur basé sur des jetons, vous pouvez spécifier le modèle de clé utilisé dans les paramètres. Ensuite, les utilisateurs seront autorisés à utiliser uniquement les appareils achetés par l'entreprise, et tous les autres seront inutiles.
Sur la base du principe des systèmes de protection décrits ci-dessus, vous pouvez comprendre quels points sont importants lors du choix de programmes mettant en œuvre un blocage dynamique des périphériques d'enregistrement et des ports d'ordinateur. Tout d'abord, c'est la polyvalence. Le système de protection doit couvrir toute la gamme des ports et dispositifs d'entrée-sortie possibles. Dans le cas contraire, le risque de vol d'informations commerciales reste inacceptablement élevé. Deuxièmement, le logiciel en question doit être flexible et permettre de créer des règles en utilisant une grande quantité d'informations diverses sur les appareils : leurs types, les fabricants de modèles, les numéros uniques de chaque instance, etc. Et, troisièmement, le système de protection des initiés doit pouvoir s'intégrer au système d'information de la banque, notamment avec Active Directory. Sinon, l'administrateur ou le responsable de la sécurité devra maintenir deux bases de données d'utilisateurs et d'ordinateurs, ce qui est non seulement gênant, mais augmente également le risque d'erreurs.
"Consultant", 2011, n° 9
"À qui appartient l'information, possède le monde" - ce célèbre aphorisme de Winston Churchill est plus que jamais d'actualité dans la société moderne. Les connaissances, les idées et la technologie sont au premier plan, et le leadership du marché dépend de la capacité d'une entreprise à gérer son capital intellectuel.
Dans ces conditions, la sécurité de l'information de l'organisation revêt une importance particulière.
Toute fuite d'informations vers des concurrents ou la divulgation d'informations sur les processus internes affecte instantanément les positions que l'entreprise occupe sur le marché.
Un système de sécurité de l'information doit offrir une protection contre diverses menaces : techniques, organisationnelles et celles causées par le facteur humain.
Comme le montre la pratique, les initiés sont le principal canal de fuite d'informations.
L'ennemi est à l'arrière
Il est généralement d'usage d'appeler un initié un employé d'une entreprise qui lui porte préjudice en divulguant des informations confidentielles.
Cependant, si l'on considère les trois conditions principales, dont la fourniture est l'objectif de la sécurité de l'information - confidentialité, intégrité, disponibilité - cette définition peut être élargie.
Un initié peut être appelé un employé qui a un accès officiel légitime aux informations confidentielles d'une entreprise, ce qui devient la raison de la divulgation, de la distorsion, des dommages ou de l'inaccessibilité des informations.
Une telle généralisation est admissible, car dans le monde moderne, la violation de l'intégrité et de la disponibilité des informations entraîne souvent des conséquences beaucoup plus graves pour l'entreprise que la divulgation d'informations confidentielles.
Pour de nombreuses entreprises, l'arrêt des processus métier, même pour une courte période, menace de pertes financières tangibles, et l'interruption du fonctionnement en quelques jours peut frapper si fort que les conséquences peuvent être fatales.
Diverses organisations qui étudient le risque commercial publient régulièrement les résultats de leurs recherches. Selon eux, l'initié s'est toujours classé au premier rang de la liste des raisons des violations de la sécurité de l'information depuis de nombreuses années.
En raison de la croissance constante du nombre total d'incidents, on peut conclure que l'urgence du problème augmente tout le temps.
Modèle de menace
Afin de construire un système de sécurité de l'information en couches fiable qui aidera à traiter efficacement le problème, il est tout d'abord nécessaire de créer un modèle de menace.
Vous devez comprendre qui sont les initiés et ce qui les motive, pourquoi ils prennent certaines mesures.
Il existe différentes approches pour créer de tels modèles, mais à des fins pratiques, vous pouvez utiliser la classification suivante, qui comprend tous les principaux types d'initiés.
"hacker" interne
En règle générale, un tel employé a un diplôme d'ingénieur supérieur au niveau moyen, comprend la structure des ressources de l'entreprise, l'architecture des systèmes informatiques et des réseaux.
Hacking agit par curiosité, intérêt sportif, explorant les limites de ses propres capacités.
Habituellement, il est conscient des dommages possibles de ses actions, il apporte donc rarement des dommages tangibles.
Le degré de danger est moyen, car ses actions peuvent provoquer un arrêt temporaire de certains des processus en cours dans l'entreprise. L'identification de l'activité est possible principalement par des moyens techniques.
Employé irresponsable et peu qualifié
Peut avoir diverses compétences et travailler dans n'importe quelle division de l'entreprise.
Il est dangereux car il n'a pas tendance à penser aux conséquences de ses actes, il peut travailler avec les ressources informationnelles de l'entreprise "par essais et erreurs", détruire et déformer involontairement les informations.
Habituellement, il ne se souvient pas de la séquence de ses actions et, après avoir découvert des conséquences négatives, il peut simplement les garder silencieux.
Peut divulguer des informations constituant un secret commercial lors d'une conversation personnelle avec un ami ou même lors d'une communication sur des forums Internet et des réseaux sociaux.
Le niveau de danger est très élevé, d'autant plus que ce type d'intrus est plus fréquent que d'autres. Les conséquences de ses activités peuvent être beaucoup plus graves que celles d'un agresseur conscient.
Afin de prévenir les conséquences de ses actes, il est nécessaire de prendre toute une série de mesures différentes, à la fois techniques (autorisation, répartition obligatoire des séances de travail par les comptes) et organisationnelles (contrôle constant par la direction du processus et du résultat de travailler).
Personne psychologiquement instable
Tout comme un représentant du type précédent, il peut occuper n'importe quel poste et avoir des qualifications très différentes. Il est dangereux en raison d'une tendance aux actions faiblement motivées dans des conditions d'inconfort psychologique : dans des situations extrêmes, pression psychologique d'autres employés, ou simplement irritation grave.
Dans un état affectif, il peut divulguer des informations confidentielles, endommager des données, perturber le cours habituel du travail d'autrui.
La gravité est moyenne, mais ce type d'intrus n'est pas si fréquent.
Pour éviter les conséquences négatives de ses actions, il est plus efficace d'utiliser des mesures administratives - pour identifier ces personnes au stade de l'entretien, délimiter l'accès à l'information et maintenir un climat psychologique confortable dans l'équipe.
Employé offensé, offensé
Le groupe le plus large de contrevenants potentiels au régime de sécurité de l'information.
En théorie, la grande majorité des salariés sont capables de commettre des actes hostiles à l'entreprise.
Cela peut arriver lorsque la direction manque de respect pour la personnalité ou les qualités professionnelles du salarié, et lorsque cela affecte le niveau de rémunération.
Potentiellement, ce type d'initié présente un danger très élevé - à la fois des fuites et des dommages aux informations sont possibles, et le préjudice qui en résulte sera garanti tangible pour l'entreprise, car l'employé l'inflige délibérément et connaît bien toutes les vulnérabilités.
Des mesures administratives et techniques sont nécessaires pour identifier les activités.
Employé impur
Un employé qui essaie de compléter son bien-être personnel au détriment des biens de l'entreprise dans laquelle il travaille. Les éléments attribués peuvent inclure divers supports de stockage d'informations confidentielles (disques durs, clés USB, ordinateurs portables d'entreprise).
Dans ce cas, il existe un risque d'obtenir des informations à des personnes auxquelles elles n'étaient pas destinées, avec publication ou transmission ultérieure à des concurrents.
Le danger est moyen, mais ce type n'est pas rare.
Pour identifier, tout d'abord, des mesures administratives sont nécessaires.
Représentant du concurrent
En règle générale, il est hautement qualifié et occupe des postes offrant de nombreuses possibilités d'obtenir des informations, y compris des informations confidentielles. Il s'agit soit d'un salarié actif recruté, surenchéri par des concurrents (le plus souvent), soit d'un initié spécialement présenté à l'entreprise.
Le degré de danger est très élevé, car le mal est fait délibérément et avec une compréhension profonde de la valeur de l'information, ainsi que des vulnérabilités de l'entreprise.
Des mesures administratives et techniques sont nécessaires pour identifier les activités.
Qu'est-ce qu'on kidnappe ?
Il est impossible de comprendre le problème des initiés sans tenir compte de la nature des informations volées.
Selon les statistiques, les données personnelles des clients, ainsi que les informations sur les entreprises clientes et partenaires, sont les plus demandées, elles sont volées dans plus de la moitié des cas. Les détails des transactions, les termes des contrats et les livraisons suivent. Les états financiers sont également d'un grand intérêt.
Lors de la constitution d'un ensemble de mesures de protection pour chaque entreprise, la question se pose inévitablement : quelles informations spécifiques nécessitent des mesures de protection particulières, et lesquelles n'en ont pas besoin ?
Bien entendu, la base de telles décisions est constituée des données obtenues à la suite de l'analyse des risques. Cependant, une entreprise dispose souvent de ressources financières limitées pouvant être consacrées à un système de sécurité de l'information, et elles peuvent ne pas être suffisantes pour minimiser tous les risques.
Deux approches
Malheureusement, il n'y a pas de réponse toute faite à la question : « Que protéger en premier ».
La solution à ce problème peut être abordée de deux côtés.
Le risque est un indicateur complexe qui prend en compte à la fois la probabilité d'une menace particulière et les dommages possibles qui en découlent. Ainsi, lors de la définition des priorités de sécurité, on peut se concentrer sur l'un de ces indicateurs. Cela signifie que la première chose à protéger est l'information la plus facile à voler (par exemple, si un grand nombre d'employés y ont accès), et dont le vol ou le blocage entraînera les conséquences les plus graves.
Un aspect important du problème des initiés est le canal de communication. Plus les possibilités physiques de transfert non autorisé d'informations à l'extérieur de l'entreprise sont grandes, plus la probabilité que cela se produise est élevée.
Mécanismes de transmission
Les mécanismes de transmission peuvent être classés comme suit :
- transmission orale (conversation personnelle);
- canaux de transmission de données techniques (téléphone, télécopie, courrier électronique, systèmes de messagerie, divers services Internet sociaux, etc.);
- supports portables et appareils mobiles (téléphones portables, disques durs externes, ordinateurs portables, clés USB, etc.).
Selon les recherches, à notre époque, les canaux de transmission de données confidentielles les plus fréquents sont (par ordre décroissant) : le courrier électronique, les appareils mobiles (y compris les ordinateurs portables), les réseaux sociaux et autres services Internet (tels que les systèmes de messagerie instantanée), etc.
Pour contrôler les canaux techniques, différents moyens peuvent être utilisés, dans une large gamme actuellement présentée sur le marché de la sécurité.
Par exemple, systèmes de filtrage de contenu (systèmes de blocage dynamique), moyens de restreindre l'accès aux supports d'information (CD, DVD, Bluetooth).
Des mesures administratives sont également appliquées : filtrage du trafic Internet, blocage des ports physiques des postes de travail, garantie du régime administratif et de la protection physique.
Lors du choix des moyens techniques de protection des informations confidentielles, il est nécessaire d'appliquer une approche systématique. C'est le seul moyen d'obtenir la plus grande efficacité de leur mise en œuvre.
Il faut aussi comprendre que les tâches de chaque entreprise sont uniques et qu'il est souvent tout simplement impossible d'utiliser les solutions utilisées par d'autres organisations.
La lutte contre les informations privilégiées ne doit pas être menée seule, c'est une composante importante du processus global de l'entreprise visant à assurer le régime de sécurité de l'information.
Elle doit être réalisée par des professionnels et prévoir un cycle complet d'activités : élaboration d'une politique de sécurité de l'information, définition d'un périmètre, analyse des risques, sélection des contre-mesures et leur mise en œuvre, ainsi qu'un audit du système de sécurité de l'information.
Si une entreprise n'assure pas la sécurité des informations dans l'ensemble du complexe, les risques de pertes financières dues à des fuites et à des dommages aux informations augmentent fortement.
Minimiser les risques
Examen
- Une sélection approfondie des candidats postulant à n'importe quel poste dans l'entreprise. Il est recommandé de collecter un maximum d'informations sur le candidat, notamment le contenu de ses pages sur les réseaux sociaux. Il peut également être utile de demander un témoignage sur un emploi précédent.
- Les candidats aux postes d'ingénieurs informatiques doivent être particulièrement scrutés. La pratique montre que plus de la moitié de tous les initiés sont des administrateurs système et des programmeurs.
- Lors de la candidature à un emploi, au moins un examen psychologique minimal des candidats doit être effectué. Cela aidera à identifier les candidats avec une psyché instable.
Droit d'accès
- Système de partage d'accès aux ressources de l'entreprise. L'entreprise doit créer une documentation réglementaire qui classe les informations en fonction du niveau de confidentialité et prescrit clairement les droits d'accès à celles-ci. L'accès à toutes les ressources doit être personnalisé.
- Les droits d'accès aux ressources devraient être attribués sur la base du principe de « suffisance minimale ». L'accès à la maintenance des équipements techniques, même avec des droits d'administrateur, ne doit pas toujours s'accompagner d'un accès à la visualisation des informations elles-mêmes.
- Surveillance approfondie autant que possible des actions des utilisateurs, avec autorisation obligatoire et enregistrement des informations sur les opérations effectuées dans le journal. Plus les journaux sont conservés avec soin, plus la direction maîtrise la situation dans l'entreprise. Il en va de même pour les actions des employés lors de l'utilisation de l'accès au service à Internet.
Norme de communication
- Au sein de l'organisation, il faut adopter son propre standard de communication, qui exclurait toute forme de comportement incorrect des employés les uns par rapport aux autres (agression, violence, familiarité excessive). Tout d'abord, cela s'applique à la relation « gestionnaire-subordonné ».
En aucun cas un salarié ne doit avoir le sentiment d'être traité injustement, pas assez apprécié, excessivement exploité, trompé.
Le respect de cette règle simple évitera la grande majorité des situations qui provoquent les employés à l'intérieur.
Confidentialité
Un accord de confidentialité ne doit pas être une simple formalité. Il doit être signé par tous les employés qui ont accès aux ressources d'information importantes de l'entreprise.
De plus, même au stade de l'entretien, il faut expliquer aux employés potentiels comment l'entreprise contrôle la sécurité de l'information.
Contrôle des fonds
C'est le contrôle des moyens techniques utilisés par un salarié à des fins de travail.
Par exemple, l'utilisation d'un ordinateur portable personnel n'est pas souhaitable, car lors du licenciement d'un employé, il ne sera très probablement pas possible de savoir quelles informations y sont stockées.
Pour la même raison, il n'est pas souhaitable d'utiliser des boîtes e-mail sur des ressources externes.
Régulations internes
L'entreprise doit se conformer au règlement intérieur.
Il est nécessaire d'avoir des informations sur le temps passé par les employés sur le lieu de travail.
Aussi, le contrôle du mouvement des biens matériels doit être assuré.
Le respect de toutes les règles ci-dessus réduira le risque de dommages ou de fuite d'informations par l'intermédiaire de l'initié, ce qui signifie qu'il contribuera à éviter des pertes financières ou de réputation importantes.
Partenaire de gestion
Groupe d'entreprises de la communauté d'accueil
Avec la prolifération omniprésente de toutes sortes de disques amovibles, le problème de l'initié, et avant cela était assez urgent, a acquis une ampleur véritablement mondiale. Et cela n'a absolument rien d'étonnant. Aujourd'hui, tout employé qui a accès à des informations confidentielles peut facilement et surtout se les copier discrètement et les utiliser à l'avenir à diverses fins. Et c'est aussi bien si derrière cela il y a une volonté de travailler simplement avec des contrats à la maison. Bien qu'une telle action, quelles que soient les intentions de l'intrus, augmente considérablement le risque de compromission des données (les ordinateurs personnels sont généralement moins protégés, différentes personnes peuvent s'asseoir dessus et le lecteur peut être perdu). Mais après tout, un employé peut copier des informations afin de les transférer à des concurrents ou de les utiliser à ses propres fins. L'exemple le plus simple et le plus évident est de copier une base de clients (ou des contrats avec eux) avant de les licencier afin de les attirer vers une autre entreprise.
Le principal problème est qu'il est impossible de se protéger contre cette méthode de vol d'informations en utilisant des moyens standard, c'est-à-dire intégrés aux systèmes d'exploitation. Prenez, par exemple, les clés USB. Ils sont minuscules, bon marché et très volumineux. Avec leur aide, les employés peuvent "sortir" imperceptiblement des gigaoctets d'informations du système d'information de l'entreprise. Cependant, il est impossible de simplement désactiver les ports USB sur les postes de travail - ils sont aujourd'hui nécessaires pour connecter de nombreux appareils : imprimantes, claviers, souris, touches pour le fonctionnement des logiciels, etc. DVD, téléphones portables, etc. Même une imprimante ordinaire peut être une menace . Après tout, l'employé a la possibilité d'imprimer des informations confidentielles et d'emporter les impressions chez lui. Cependant, il ne sera pas non plus possible de les éteindre, car généralement tous ces dispositifs sont nécessaires aux employés pour exercer leurs fonctions officielles.
Le seul moyen de protéger une entreprise du vol d'informations confidentielles via différents disques amovibles est de mettre en place un système permettant de limiter et de contrôler leur utilisation. Il est implémenté à l'aide d'un logiciel spécial. Pour une raison quelconque, de nombreuses entreprises sont convaincues que ces produits sont très complexes et que certaines qualifications spéciales sont nécessaires pour les mettre en œuvre et les entretenir. Cependant, ce n'est pas du tout le cas. Le système de différenciation des droits d'accès aux périphériques informatiques externes et internes est si simple que non seulement un administrateur qualifié, mais même un utilisateur de PC expérimenté peut le gérer. Et à l'appui de ces propos, nous considérerons aujourd'hui un exemple d'introduction du produit Zlock de SecurIT dans un SI d'entreprise. Il est à noter qu'il ne peut pas protéger contre la fuite d'informations confidentielles via Internet (par exemple, par e-mail via ICQ, etc.) ; cela nécessite d'autres produits avec un principe de fonctionnement complètement différent (par exemple, Zgate du même développeur). Mais Zlock s'acquitte avec succès de la tâche de surveiller toutes sortes de lecteurs amovibles et d'imprimantes.
Structure Zlock
Avant de commencer une conversation sur la procédure d'installation du système en question, vous devez comprendre sa structure. Zlock a cinq parties.
· Console de gestion... Un programme qui permet à l'administrateur de gérer entièrement le système, y compris son installation sur les postes de travail, la modification des politiques d'accès, l'utilisation des serveurs de journaux et de configuration, etc.
· Module client... Un utilitaire installé sur les postes de travail. C'est elle qui contrôle et bloque l'accès conformément aux politiques spécifiées. De plus, le module client interagit avec le serveur de log, vérifie l'intégrité du Zlock, etc.
· Serveur de journaux... Un système pour recevoir, stocker et traiter des informations sur des événements qui sont transmis par des modules clients. Fournit un accès administrateur pratique à toutes les données.
· Serveur de configuration... Système de gestion de configuration centralisé Zlock.
· Module de configuration Zlock via des stratégies de groupe... Module d'installation et de mise à jour du système via des stratégies de groupe.
Tout d'abord, vous devez déterminer où les modules sont installés. Il est clair que la console de gestion doit être installée sur l'ordinateur de l'administrateur ou de l'employé responsable de la sécurité de l'information de l'entreprise. Ce processus n'est pas différent de l'installation de tout autre logiciel, c'est pourquoi nous ne nous y attarderons pas en détail.
Le serveur de journal et le serveur de configuration ne sont en principe pas nécessaires au fonctionnement du système. Zlock peut faire face avec succès aux tâches qui lui sont assignées et sans elles. Cependant, le serveur de journaux est très pratique pour afficher les événements sur tous les postes de travail à la fois. Eh bien, le serveur de configuration est indispensable dans les grands réseaux d'entreprise. Avec son aide, vous pouvez facilement gérer les paramètres des modules clients sur un grand nombre de postes de travail. Encore une fois, ils sont installés comme des logiciels normaux. Cette procédure est effectuée localement à partir du kit de distribution inclus avec Zlock.
L'étape finale de l'installation du système en question est l'installation de modules clients sur tous les ordinateurs nécessitant une surveillance. Cela peut être fait de deux manières (pour des raisons évidentes, nous n'envisageons pas l'option avec une installation manuelle). La première consiste à utiliser la console de gestion. Après son lancement, plusieurs groupes sont situés dans le volet gauche de la fenêtre principale. Vous devez les trouver et ouvrir l'arborescence "Ordinateurs et applications", puis ouvrir la branche "Aucune application". Il fournira une liste complète des ordinateurs inclus dans le réseau local, sur lesquels le système Zlock n'est pas installé.
Pour lancer la procédure d'installation des parties clientes, l'administrateur doit sélectionner le ou les ordinateurs (dont tout le domaine) de la destination et cliquer sur le bouton "Installer ou mettre à jour Zlock..." situé dans la barre d'outils. Dans la fenêtre qui s'ouvre, vous devez spécifier le dossier avec le kit de distribution du programme (la meilleure option serait un dossier réseau auquel tous les utilisateurs ont accès), et également sélectionner l'option d'installation. Il y en a trois : avec redémarrage manuel ou forcé des ordinateurs, ainsi que sans redémarrage. Il convient de noter que la dernière option la plus pratique ne peut pas être utilisée pour mettre à jour les parties clientes précédemment installées. En conclusion, il ne reste plus qu'à sélectionner les PC sur lesquels l'installation sera effectuée (vous ne voulez peut-être pas installer Zlock sur tous les ordinateurs du réseau), ainsi que de spécifier un utilisateur avec des droits d'administrateur local. De plus, le programme, en cas d'absence d'autorité, peut demander la saisie de données à un autre utilisateur.
Une autre option pour déployer un système de protection sur les postes de travail d'entreprise consiste à utiliser des stratégies de groupe. Pour cela, un package d'installation spécial est inclus dans le kit de livraison Zlock. La procédure d'installation elle-même est familière à presque tous les administrateurs système. Tout d'abord, vous devez créer un dossier réseau, copier le Zlock30. msi et Zlockmsi. ini et y donner accès à tous les utilisateurs du domaine. Si vous avez déjà un fichier de configuration, il peut être placé dans le même répertoire. Dans ce cas, il sera automatiquement appliqué à tous les modules clients installés. S'il n'y a pas de tel fichier, le système appliquera la politique par défaut, qui devra être configurée à l'avenir.
Après cela, dans les propriétés du domaine d'entreprise (elles sont accessibles via la console Active Directory), accédez à l'onglet "Stratégie de groupe" et créez une nouvelle stratégie. Dans la fenêtre de cette politique, il est nécessaire de développer l'arborescence "Configuration de l'ordinateur", de sélectionner l'élément "Installer des programmes" et de créer un nouveau package, dans les propriétés duquel spécifier le chemin réseau vers le fichier Zlock30. msi. En conséquence, le système Zlock est installé à l'aide d'outils OS standard.
Configuration des politiques d'accès
L'étape la plus importante dans la mise en œuvre du système de sécurité Zlock est peut-être la mise en place de politiques d'accès. Ils déterminent la capacité de tous les utilisateurs à travailler avec certains appareils. Chaque politique comporte trois parties. La première est une liste d'appareils ou de leurs groupes, pour chacun desquels les droits d'accès pour différents utilisateurs sont enregistrés. La deuxième partie de la stratégie concerne les paramètres de cliché instantané des fichiers copiés sur divers lecteurs. Eh bien, la troisième partie définit les paramètres de cliché instantané des documents imprimés sur des imprimantes. De plus, chaque politique a un certain nombre de propriétés supplémentaires, dont nous parlerons ci-dessous.
Le principe de fonctionnement des politiques est le suivant. Chaque poste de travail contient une ou plusieurs stratégies attribuées par l'administrateur. Lorsqu'un événement contrôlé par le système de sécurité se produit (connexion de l'appareil, tentative de copie d'un fichier sur un périphérique de stockage amovible, impression d'un document, etc.), le module client vérifie à son tour la conformité avec toutes les politiques (l'ordre est défini par le système de priorité) et applique le premier de ceux auxquels il correspond. C'est-à-dire qu'il n'y a pas de système d'exceptions familier à tout le monde dans Zlock. Si, par exemple, vous devez interdire toutes les clés USB sauf une en particulier, vous devez utiliser deux stratégies. Le premier, de faible priorité, interdit l'utilisation de disques amovibles. Et la seconde, avec une plus haute, permet l'utilisation d'une instance spécifique. En plus de celles créées par l'administrateur, il existe également une politique par défaut. Il définit les droits d'accès à ces appareils qui ne sont pas décrits dans d'autres politiques.
Voyons maintenant la procédure de création d'une stratégie. Pour le démarrer, vous devez sélectionner le poste de travail requis dans l'arborescence de la console de gestion et établir une connexion avec celui-ci. Après cela, vous devez sélectionner l'élément "Ajouter" dans le menu "Politique". La fenêtre qui s'ouvre en même temps se compose de cinq onglets. Le premier s'appelle "Accès". Il précise le nom de la politique créée, sa priorité et les droits d'accès aux appareils. Quatre options sont disponibles ici : Accès complet pour tous les utilisateurs, Accès en lecture seule aux appareils pour tous les utilisateurs, Refuser l'accès aux appareils pour tous les utilisateurs et Personnaliser les droits d'accès aux appareils pour les utilisateurs et les groupes. Les objectifs des trois premiers sont clairs d'après leurs noms. Mais la dernière option doit être notée séparément. Avec son aide, vous pouvez définir différents droits pour les utilisateurs individuels, ce qui est très pratique, car souvent différents employés peuvent travailler sur le même ordinateur. Pour saisir les droits d'accès, cliquez sur le bouton "Modifier" et ajoutez les comptes souhaités (ordinateur local ou domaine) dans la fenêtre qui s'ouvre en définissant l'autorité pour chacun d'eux.
Après avoir entré les paramètres principaux, vous devez spécifier une liste d'appareils et de groupes auxquels la politique s'appliquera. Pour ce faire, utilisez l'onglet "Périphériques". Il y a quatre façons d'entrer des équipements dans Zlock.
· Appareils typiques. Cette option suppose la sélection de tous les périphériques d'un certain type, par exemple, tous les lecteurs amovibles, lecteurs de CD/DVD, disques durs, etc.
· Périphérique USB spécifié. Vous permet de spécifier les périphériques USB par type, fabricant, nom de produit, numéro de série de périphérique, etc.
· Imprimantes. Utilisé pour entrer des imprimantes locales ou réseau spécifiques.
En utilisant ces méthodes, vous pouvez créer une liste d'appareils très précise et flexible. Il est à noter que vous pouvez choisir non seulement l'équipement qui est connecté au PC pour le moment, mais aussi celui qui y a déjà été utilisé (très important pour les disques amovibles). De plus, l'administrateur peut créer un catalogue d'appareils. Il s'agit d'un fichier qui répertorie tous les appareils connectés aux ordinateurs du réseau d'entreprise. Il peut être créé manuellement ou automatiquement en scannant tous les postes de travail.
En principe, après cela, nous avons déjà une politique tout à fait réalisable. Cependant, Zlock fournit un certain nombre de paramètres supplémentaires qui étendent les fonctionnalités du système de protection. Ainsi, par exemple, si une politique est en cours de création qui ne devrait pas être en vigueur de manière permanente, il est alors nécessaire de définir un calendrier pour son travail. Cela se fait sur l'onglet du même nom. Sur celui-ci, vous pouvez définir les intervalles pendant lesquels la politique est en vigueur. L'administrateur peut saisir la durée de la politique, l'heure, les jours de la semaine ou le jour du mois où elle sera active.
Si l'ordinateur pour lequel la politique est créée peut se déconnecter du réseau d'entreprise et/ou s'y connecter via Internet, vous pouvez alors définir des paramètres spécifiques pour lui. Pour ce faire, rendez-vous dans l'onglet "Règles d'application". Il liste trois points de l'état possible du PC par rapport au domaine de l'entreprise : le domaine est disponible localement, le domaine est disponible via VPN, le domaine n'est pas disponible. Afin de désactiver l'action d'une politique pour l'un d'entre eux, il vous suffit de désactiver la case à cocher correspondante. Par exemple, si vous souhaitez empêcher l'impression de quelque chose depuis un ordinateur déconnecté du réseau de l'entreprise, il vous suffit de créer une politique interdisant l'utilisation d'imprimantes et d'activer les rubriques "Domaine non disponible" et "Domaine accessible via VPN" dans les règles d'application.
Après avoir créé une ou plusieurs stratégies sur l'un des ordinateurs, vous pouvez rapidement les distribuer sur d'autres ordinateurs. Pour ce faire, dans la console de commande, vous devez établir une connexion avec toutes les stations nécessaires et sélectionner l'élément "Distribuer la configuration" dans le menu "Service". Dans la fenêtre qui s'ouvre, cochez les politiques et ordinateurs requis avec les "cases à cocher", activez la case à cocher "Propagation de la politique en arrière-plan" et sélectionnez l'action que le programme doit effectuer lorsqu'il détecte des politiques avec des noms correspondants (demandez s'il faut écraser ou non ). Après cela, cliquez sur le bouton "OK" et attendez la fin du processus.
Toute politique peut être modifiée à l'avenir. Pour cela, il suffit de se connecter à l'ordinateur sur lequel il a été créé à l'origine, de le trouver dans "l'arborescence" et de double-cliquer dessus avec la souris. Cela ouvrira une fenêtre déjà familière de la procédure de création d'une politique, dans laquelle vous pouvez modifier certains paramètres. Veuillez noter que si la politique que vous avez modifiée a été étendue à un moment donné à d'autres ordinateurs, alors avant de la modifier, vous devez d'abord établir une connexion avec tous ces PC. Dans ce cas, lors de l'enregistrement des modifications, le programme Zlock lui-même proposera de synchroniser les politiques obsolètes avec les nouvelles. La suppression des stratégies se fait de la même manière.
Configuration de la journalisation et des clichés instantanés
Le système Zlock a un système de journalisation. Grâce à lui, l'administrateur ou toute autre personne responsable de la sécurité de l'information peut visualiser et analyser tous les événements surveillés. Pour l'activer, sélectionnez l'item "Paramètres" dans le menu "Service" et allez dans l'onglet "Logging" dans la fenêtre qui s'ouvre. Il répertorie tous les événements possibles (interdiction d'écrire sur l'équipement, changement d'accès au réseau, changement de configuration, application de politiques d'accès, etc.), ainsi que leur état en termes de journalisation.
Pour activer la journalisation d'un ou plusieurs événements, cliquez sur le signe plus et sélectionnez l'option de journalisation : écriture dans un fichier (journal des événements système ou fichier TXT ou XML arbitraire), dans une base de données sur un serveur SQL ou un serveur de journalisation, envoyer une lettre par courrier électronique.
Après cela, dans la fenêtre qui s'ouvre, vous devez configurer les paramètres du journal (ils dépendent de l'option sélectionnée : nom de fichier, paramètres d'accès à la base de données, etc.), marquer les événements nécessaires et cliquer sur le bouton "OK".
La journalisation des opérations sur les fichiers est configurée séparément. Ils désignent des actions telles que la création, la modification et l'édition de fichiers, la création et la suppression de répertoires, etc. Il est clair qu'il est logique de conserver ces journaux uniquement lors de l'utilisation de lecteurs amovibles. Par conséquent, ce type de journalisation est lié aux politiques d'accès. Pour le configurer, sélectionnez l'item « Opérations sur les fichiers » dans le menu « Service » de la console de contrôle. Dans la fenêtre qui s'ouvre, vous devez tout d'abord marquer les politiques pour lesquelles la journalisation sera effectuée. Il est logique de sélectionner ceux qui contrôlent l'utilisation des périphériques de stockage amovibles : périphériques USB, lecteurs de CD / DVD, etc. Après cela, vous devez saisir les actions que le système effectuera lorsque des opérations sur les fichiers seront détectées. Pour ajouter chacun d'eux, vous devez cliquer sur le "plus" et sélectionner l'option souhaitée. Trois actions sont liées à la journalisation : l'écriture d'informations sur l'événement dans un fichier, dans une base de données ou l'envoi d'un message électronique. La dernière option consiste à exécuter le programme ou le script spécifié.
Ensuite, vous pouvez procéder à la configuration du cliché instantané. C'est une caractéristique très importante du système Zlock qu'il ne faut pas négliger. Il fournit une duplication transparente des fichiers copiés ou imprimés dans une installation de stockage spéciale pour l'utilisateur. Le cliché instantané est nécessaire lorsque les employés doivent utiliser des imprimantes ou des lecteurs amovibles pour accomplir leurs tâches professionnelles. Dans de tels cas, il est presque impossible d'empêcher les fuites d'informations par des moyens techniques. Mais les clichés instantanés vous permettront d'y répondre rapidement et d'éviter de futurs incidents.
Pour définir les paramètres du cliché instantané, sélectionnez l'élément du même nom dans le menu "Service". Tout d'abord, vous pouvez configurer le stockage local. Pour ce faire, vous devez spécifier le dossier dans lequel les fichiers seront enregistrés, saisir la taille disponible (en mégaoctets ou en pourcentage d'espace libre sur le disque dur), et également sélectionner une action en cas de débordement (écraser les fichiers dans le stockage, interdire ou autoriser la copie et l'impression).
Si nécessaire, vous pouvez configurer le cliché instantané sur le stockage connecté au réseau. Pour cela, allez dans l'onglet "Copier sur le serveur" et cochez la case "Envoyer des informations sur les clichés instantanés et les fichiers sur le serveur". Si le transfert doit être effectué immédiatement, vous devez sélectionner l'élément "Transférer les fichiers dès que possible". Une autre option est également possible - le système copiera les fichiers à une fréquence spécifiée. Après cela, vous devez sélectionner un dossier réseau dans lequel les fichiers seront écrits. Notez qu'il est judicieux de choisir un répertoire auquel seul l'administrateur a accès. Dans le cas contraire, l'employé pourra le saisir et supprimer ou au moins visualiser les fichiers sauvegardés. Lors du choix d'un tel dossier, vous devez saisir le login et le mot de passe d'un utilisateur autorisé à y écrire des informations.
Eh bien, à la fin de la configuration, il reste à aller dans l'onglet "Politiques" et à spécifier ces politiques, sous lesquelles les clichés instantanés fonctionneront.
Système d'autorisation temporaire
En principe, chers lecteurs, nous avons déjà analysé le processus d'implémentation de Zlock. Une fois terminé, le système de protection des initiés sera opérationnel, aidant l'entreprise à éviter les fuites d'informations commerciales et personnelles. Cependant, il existe une autre fonctionnalité très intéressante dans Zlock qui facilite grandement la vie de l'administrateur. Il s'agit d'un système de délivrance de permis temporaires pour l'utilisation de certains appareils.
Pourquoi voulez-vous vous concentrer sur ce moment particulier ? Tout est très simple. La pratique montre qu'il arrive assez souvent que l'un des employés ait besoin d'utiliser un appareil qui lui est habituellement interdit. De plus, un tel besoin peut survenir en urgence. Du coup, la panique s'installe, un administrateur est recherché en urgence, qui doit changer la politique d'accès et, surtout, ne pas oublier de la restituer plus tard. Bien sûr, c'est très gênant. Il est préférable d'utiliser un système de permis temporaire.
Pour l'utiliser, vous devez d'abord générer un certificat administrateur. Pour cela, sélectionnez l'item "Certificat..." dans le menu "Service", et dans la fenêtre qui s'ouvre, cliquez sur le bouton "Changer de certificat". Après cela, dans l'assistant, vous devez sélectionner le bouton radio "Créer un nouveau certificat" et entrer son nom. Ensuite, il ne reste plus qu'à se connecter aux ordinateurs distants, sélectionnez l'élément "Paramètres" dans le menu "Service", allez dans l'onglet "Général" dans la fenêtre qui s'ouvre et cliquez sur le bouton "Installer".
À Zlock, les permis temporaires peuvent être utilisés de deux manières : par e-mail et par téléphone. Dans le premier cas, la création d'une requête s'effectue comme suit. L'utilisateur doit cliquer avec le bouton droit sur l'icône Zlock dans la barre d'état système et sélectionner "Créer une demande" dans le menu déroulant. Dans la fenêtre qui s'ouvre, il doit sélectionner l'appareil et les droits d'accès souhaités (lecture seule ou accès complet), saisir l'adresse de l'administrateur et, si nécessaire, un bref commentaire. Dans ce cas, le client de messagerie installé par défaut dans le système générera une lettre avec un fichier de demande en pièce jointe. Après l'avoir reçu, l'administrateur doit double-cliquer dessus avec la souris. Cela ouvrira une fenêtre avec des informations sur la demande. Si l'administrateur accepte de le traiter, il doit alors cliquer sur le bouton "Suivant". Cela ouvrira la fenêtre de création d'une nouvelle politique, dans laquelle l'appareil requis a déjà été saisi. L'administrateur peut uniquement définir une planification pour cette stratégie. Il peut être permanent ou ponctuel. Dans le second cas, la politique ne sera en vigueur que jusqu'à ce que l'utilisateur termine la session Windows ou jusqu'à ce que l'appareil soit supprimé (selon le choix de l'administrateur). Cette politique peut être transférée sur l'ordinateur de l'employé de la manière habituelle, ou à l'aide d'un fichier spécial par e-mail (elle sera protégée par le certificat de l'administrateur). Dès sa réception, l'utilisateur n'a plus qu'à le lancer, après quoi il aura accès à l'appareil souhaité.
Le système d'autorisation téléphonique fonctionne de manière similaire. L'utilisateur doit d'abord créer une demande. Cette procédure est presque identique à celle dont nous avons parlé ci-dessus. Ce n'est qu'à la dernière étape que ce n'est pas un e-mail qui est généré, mais un code spécial composé de cinq blocs de chiffres et de lettres. L'employé doit appeler l'administrateur et lui dicter ce jeu de caractères. L'administrateur doit saisir ce code dans une fenêtre spéciale (il est appelé à l'aide de la rubrique "Traiter la demande" du menu "Politique"). Dans ce cas, l'écran affichera des informations détaillées sur la demande. Ensuite, l'administrateur peut créer une politique d'une manière qui nous est déjà familière. La seule différence est qu'à la dernière étape, le système générera un autre code. Son administrateur doit dicter à l'employé, qui, en le saisissant dans un champ spécial, peut activer l'accès à l'appareil.
En résumé
Ainsi, comme on peut le voir, la procédure de mise en place d'un système de protection des initiés n'est, en principe, pas compliquée. Pour l'exécuter, vous n'avez pas besoin d'avoir de compétences particulières. Tout administrateur système ayant des connaissances de base sur les technologies de réseau peut y faire face. Cependant, il convient de noter que l'efficacité de la protection dépend entièrement de la compétence et de l'intégralité de l'élaboration des politiques d'accès. C'est à ce moment qu'il vaut la peine d'aborder avec le plus grand sérieux et un employé responsable devrait faire ce travail.
Zlock : contrôlez l'accès aux périphériques USB
Tester Zlock
Les principaux avantages attendus du système, ainsi que les principales caractéristiques fonctionnelles, devraient être la facilité de mise en œuvre et la clarté intuitive des actions pour son installation et sa configuration.
Figure 1. Stratégie d'accès par défaut
Après cela, vous devez réfléchir aux politiques d'accès pour le service Zlock lui-même, qui sera également distribué lors de l'installation sur les sites clients. Modifiez la politique d'accès aux paramètres du côté client de l'application, en autorisant ou en empêchant les utilisateurs de voir l'icône et de recevoir des avertissements concernant les modifications apportées à la politique d'accès. D'une part, ces avertissements sont pratiques, car en envoyant une demande d'accès à l'administrateur, l'utilisateur sera averti si la politique modifiée est appliquée à son poste de travail. D'un autre côté, les administrateurs système préfèrent souvent ne pas fournir aux utilisateurs une confirmation visuelle inutile des services de protection exécutés sur un poste de travail.
Ensuite, la stratégie créée (dans ce cas, elle reste locale sur le poste de travail de la console pour le moment) est enregistrée en tant que fichier nommé default. zcfg dans le dossier contenant le kit de distribution côté client.
Tout. Ceci termine la préparation globale du système pour une installation de masse. Le produit est impressionné par la simplicité de création de politiques associée à l'application du principe standard de création de droits d'utilisateur tels que ACL.
Pour l'installation sur tous les ordinateurs, un message contextuel a été envoyé aux utilisateurs avec une demande d'allumer tous les postes de travail sur le réseau qui sont à proximité, mais ne sont pas actuellement utilisés. Après avoir sélectionné tous les postes du réseau dans la liste des ordinateurs à connecter (ou plutôt, avoir tous sélectionné puis exclu les serveurs), j'ai lancé le processus de connexion pour poursuivre l'installation de la partie cliente. La connexion à un tel nombre d'ordinateurs (150) a bien sûr pris un temps relativement long, car elle est effectuée de manière séquentielle et si l'ordinateur est éteint, il attend une temporisation de connexion. Cependant, la procédure ne devra être effectuée que lors de l'installation initiale, d'autres politiques seront contrôlées en fonction des besoins personnels des utilisateurs. Lorsque j'ai essayé d'installer "en une fois" la partie cliente sur les 150 ordinateurs du réseau local, j'ai rencontré des problèmes mineurs sur plusieurs postes de travail, mais le système s'est installé automatiquement sur la plupart des ordinateurs. Il n'y avait en fait qu'un seul problème d'installation - l'incompatibilité de Zlock avec les versions obsolètes du pilote de protection de CD StarForce. Pour une interaction correcte, vous devez mettre à jour le pilote StarForce en le téléchargeant à partir du site Web du fabricant. Cela a également été fait à distance en utilisant le service RIS. L'explication de la raison de cette incompatibilité, à mon avis, a droit à la vie - après tout, Zlock interagit avec le sous-système d'E / S à un niveau inférieur aux fonctions d'application du système d'exploitation, tout comme la protection contre la copie de CD.
Après avoir sélectionné les postes de travail, vous serez invité à spécifier à partir de quel emplacement vous souhaitez exécuter la distribution du programme d'installation. C'est cette fonction qui permet d'installer d'autres programmes de cette manière, sans quitter le lieu de travail. Soyez prudent lorsque vous choisissez l'option d'installation - "Redémarrer" ou "Redémarrer requis". Si vous sélectionnez "Avec redémarrage" - une fois l'installation terminée, les postes de travail clients redémarreront automatiquement sans demander la confirmation de l'utilisateur.
Ceci termine l'installation initiale et après un redémarrage, la partie client Zlock commencera à exécuter la politique de sécurité prescrite. En même temps, l'icône du service Zlock apparaît dans la barre d'état, permettant aux utilisateurs de créer des demandes d'accès, ainsi que de modifier indépendamment les politiques, si, bien sûr, la politique par défaut que nous avons créée les y autorise.
A la recherche d'une confidentialité totale...
Après cela, en fait, le réglage fin du système Zlock commence. Si, dans votre entreprise, les employés ont souvent besoin de sauvegarder quelque chose sur un support amovible et que vous souhaitez maintenir la politique de sécurité au niveau le plus strict, coordonnez votre horaire de travail afin que vous puissiez être le plus souvent possible sur le lieu de travail dans la semaine suivant le installation. Pour maintenir la rigueur maximale de la politique d'accès, il est recommandé de créer des règles pour des périphériques amovibles spécifiques, car Zlock vous permet de fournir un accès aux périphériques même en fonction de leurs caractéristiques complètes, telles que la marque, le modèle, le numéro de série, etc. La situation est plus compliquée dans les entreprises informatiques, car les employés doivent constamment enregistrer toutes sortes d'informations sur des disques CD / DVD-R / RW. Dans ce cas, nous pouvons recommander d'utiliser des postes de travail dédiés avec des lecteurs d'enregistrement, sur lesquels les politiques de sécurité du système créeront des règles qui n'autorisent pas l'accès au réseau à partir de ces ordinateurs. Cependant, de telles subtilités dépassent le cadre de l'article de Zlock.
Comment ça marche en pratique ?
Voyons maintenant à quoi tout cela ressemble au travail. Permettez-moi de vous rappeler que la politique d'accès que j'ai créée permet aux utilisateurs de lire à partir de tous les périphériques amovibles et interdit d'y écrire. Un employé du service après-vente vient au bureau pour soumettre des rapports et écrire des tâches sur le disque. Lorsqu'un périphérique amovible est connecté, le système restreint l'accès et émet un avertissement correspondant (voir Fig. 2).
Figure 2. Avertissement concernant la restriction d'accès
L'employé lit les informations qui lui sont fournies, après quoi il essaie en vain d'écrire les tâches reçues du responsable. S'il est nécessaire d'y accéder, il contacte soit l'administrateur par téléphone, soit fait une demande automatique à l'aide de l'applet Zlock Tray en indiquant l'appareil auquel il souhaite accéder, nomme son compte et motive la nécessité d'un tel accès.
L'administrateur, ayant reçu une telle demande, prend une décision sur l'octroi / non-octroi d'un tel accès et, si la décision est positive, modifie la politique de ce poste de travail. Dans le même temps, la demande créée contient toutes les informations sur l'appareil, y compris le fabricant, le modèle, le numéro de série, etc., et le système Zlock vous permet de créer des politiques basées sur ces données. Ainsi, nous avons la possibilité d'accorder le droit d'écrire à un utilisateur spécifique sur le périphérique spécifié, si nécessaire, en conservant un journal de toutes les opérations sur les fichiers (voir Fig. 3).
Figure 3. Création d'une stratégie basée sur une demande d'utilisateur
Ainsi, le processus de création de politiques permissives supplémentaires est facilité au maximum pour l'administrateur et se réduit au principe Check & Click, ce qui est sans aucun doute agréable.
Problèmes
Impossible d'ouvrir les ports sur le pare-feu pour l'administration à distance de Zlock ?
Pour l'administration à distance de Zlock dans le pare-feu, il suffit d'ouvrir un port. Par défaut, ce port est 1246, mais il peut être modifié si ce numéro ne convient pas pour une raison quelconque. Soit dit en passant, notre produit se compare avantageusement à certains analogues qui utilisent le service Remote Procedure Calls (RPC) pour l'administration, qui par défaut nécessite l'ouverture de nombreux ports et est assez vulnérable aux attaques externes. Comme vous le savez, la plupart des virus modernes n'utilisaient que les vulnérabilités de RPC pour s'injecter dans un ordinateur et y obtenir des privilèges d'administrateur.
2) Problème
Nous avons la situation suivante. Dans un département, deux employés travaillent sur un ordinateur. Tout le monde a une clé USB. La tâche consiste à faire en sorte que le lecteur flash du premier employé soit lisible, mais pas le lecteur flash du second. Le principal problème est que ces lecteurs flash ont les mêmes numéros (VID_058F & PID_6387), les lecteurs flash Transcend 256Mb et 1Gb. Merci de me dire quoi faire dans cette situation ? Merci beaucoup.
Les numéros dont vous parlez sont les ID de produit et les ID de fournisseur. Pour différencier l'accès des appareils avec les mêmes identifiants de produit et de fabricant, vous devez spécifier leur numéro de série dans les politiques Zlock. Il convient de noter que tous les fabricants de clés USB n'attribuent pas de numéros de série uniques à leurs produits, généralement les fabricants sans nom sont coupables du manque de numéros de série.
II. Présentation de SecurITZgate
Dans cette revue, nous commençons une histoire détaillée sur SecurIT Zgate, une solution d'entreprise conçue pour analyser le trafic Internet au niveau de la passerelle afin de détecter et de bloquer les tentatives de fuite de données confidentielles ou d'autres actions non autorisées des employés.
introduction
Selon le concept de protection complète contre les menaces internes promu par SecurIT, SecurIT Zgate est une partie importante du système IPC. Le concept IPC comprend le DLP (Data Loss Prevention) et des solutions de protection des données au stockage. La combinaison de technologies apparemment différentes a été proposée pour la première fois par l'analyste d'IDC Brian Burke dans l'enquête sur la protection et le contrôle de l'information : tendances en matière de prévention des pertes de données et de chiffrement.
Dans les systèmes IPC, une liste de canaux standard pour les systèmes DLP est contrôlée : courrier électronique, ressources Web (courriel Web, réseaux sociaux, blogs), ICQ, périphériques USB et imprimantes. IPC ajoute le chiffrement à ces fonctionnalités sur les serveurs, les bandes et les points de terminaison du réseau tels que les PC, les ordinateurs portables et les lecteurs mobiles. En plus de la liste des canaux surveillés et des supports cryptés, les IPC diffèrent considérablement dans l'ensemble des méthodes de détection des données confidentielles.
Ainsi, le système SecurIT Zgate, qui permet d'empêcher la fuite d'informations confidentielles via les canaux du réseau, est un élément important, voire essentiel, d'un système IPC unifié. SecurIT Zgate analyse toutes les données transmises par les employés en dehors du réseau d'information de l'organisation. SecurIT Zgate utilise des technologies de détection automatique de pointe qui déterminent avec précision le niveau de confidentialité des informations transmises, en tenant compte des spécificités de l'entreprise et des exigences des différentes normes de l'industrie.
1. Configuration requise
La configuration système minimale requise pour la solution SecurIT Zgate est indiquée dans le tableau ci-dessous.
2. Principales caractéristiques de SecurIT Zgate :
Filtrage du trafic entrant, sortant et interne.
Analyse du contenu des messages et fichiers transmis en utilisant n'importe quelle combinaison de méthodes de catégorisation automatique.
Compatible avec tout système de messagerie (MTA) utilisant le protocole SMTP : Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, etc.
Travaillez en mode de surveillance passive avec prise de copie des données transmises ou en mode actif de blocage des incidents en temps réel.
Politiques flexibles pour vérifier, bloquer et archiver les données avec la possibilité de configurer jusqu'à 30 paramètres.
Application de la politique basée sur le temps de transmission, la direction du trafic et l'emplacement de l'utilisateur.
Des outils pratiques pour gérer les dictionnaires décrivant diverses catégories de documents.
La possibilité de vérifier manuellement les messages et fichiers suspects.
Modification des messages et possibilité d'informer les utilisateurs des résultats du filtrage.
Intégration avec des applications tierces pour un traitement supplémentaire par les systèmes antivirus et anti-spam.
La possibilité de conserver une archive complète des données transmises, y compris les fichiers joints, dans Microsoft SQL Server ou Oracle Database.
Évolutivité et architecture modulaire pour répondre aux exigences de performances les plus exigeantes.
Installation et gestion via une console unique pour tous les produits SECURIT.
De nombreuses possibilités de séparation des rôles des administrateurs.
Prise en charge de l'importation d'informations statistiques dans divers concepteurs de rapports, par exemple Crystal Reports ou FastReport.
3. Installation de SecurIT Zgate
Important! Si vous prévoyez d'utiliser les outils de traitement de courrier SecurIT Zgate dans Microsoft Exchange 2007/2010, le serveur SecurIT Zgate doit être installé sur le même ordinateur que celui sur lequel Microsoft Exchange est installé.
SecurIT Zgate utilise InstallShield standard pour l'installation. Il est à noter que l'ensemble de l'installation est simple et ne pose pas de difficultés.
Figure 1 : Démarrage de l'installation de SecurIT Zgate
Remarquez dans la figure 2 que le serveur de journaux n'est pas installé par défaut. Il peut être déployé sur un autre ordinateur. Le journal des événements peut être stocké dans un fichier XML, utiliser un serveur de journaux distinct ou utiliser une base de données (MSSQL Server ou Oracle Database).
Figure 2 : Sélection des modules pour l'installation de SecurIT Zgate
SecurIT Zgate est exploité via la console de gestion. La console de gestion utilise le protocole TCP/IP et le port 1246 pour communiquer avec le serveur SecurIT Zgate.N'oubliez pas d'ouvrir ce port dans votre pare-feu. À l'avenir, vous pourrez modifier ce port si nécessaire.
Si vous souhaitez utiliser SecurIT Zgate en mode renifleur, vous devez installer le pilote WinPcap sur l'ordinateur sur lequel le serveur SecurIT Zgate est déjà installé. Le pilote WinPcap est inclus avec la distribution SecurIT Zgate.
La console de gestion peut être installée sur le même ordinateur où SecurIT Zgate est déjà installé, ou sur un autre.
Commençons donc à travailler avec Zgate SecurIT.
4. Prise en main et configuration initiale de SecurIT Zgate
Figure 3 : Vue générale de la console de gestion SecurIT Zgate
Pour commencer, vous devez établir une connexion avec l'ordinateur sur lequel se trouve la partie serveur du système. La liste des ordinateurs est située sur le côté gauche de la console de gestion sous l'élément d'arborescence Aucune application. Dans notre exemple, nous avons installé le serveur SecurIT Zgate sur l'ordinateur VM-2003TEST, que nous sélectionnerons.
Une fois que nous avons sélectionné l'ordinateur dont nous avons besoin et que la connexion avec celui-ci a réussi, il est transféré de la section "Aucune application" vers les nœuds des applications qui y sont installées (dans notre cas, il s'agit de SecurIT Zgate) et un une liste arborescente de paramètres et de capacités s'ouvre ( Figure 4).
Figure 4 : La connexion à l'ordinateur a réussi - de nouvelles options sont disponibles
Il convient de noter que la liste des ordinateurs du domaine est déterminée soit via NetBIOS, soit téléchargée depuis Active Directory. Si vous avez un grand nombre d'ordinateurs sur le réseau, vous pouvez utiliser l'option de recherche.
Si votre ordinateur ne figure pas dans la liste Aucune application, vous pouvez établir manuellement une connexion. Pour cela, ouvrez le menu "Connexion" dans la console de gestion et sélectionnez l'item "Créer une connexion". Dans la fenêtre qui s'ouvre, saisissez le nom de l'ordinateur, l'adresse IP, le port (1246 par défaut) et les données utilisateur (Figure 5). Par défaut, les droits d'accès pour la configuration de SecurIT Zgate sont configurés de manière à ce que les utilisateurs appartenant au groupe des administrateurs locaux aient un accès complet à toutes les fonctions du système.
Figure 5 : Création manuelle d'une connexion
Jetons donc un coup d'œil aux paramètres du serveur SecurIT Zgate un par un.
Général... Dans cette section (Figure 6), les paramètres du serveur de messagerie interne, le port du serveur de messagerie interne, le mode de fonctionnement du serveur, le répertoire de stockage temporaire des messages traités sont spécifiés et la taille maximale de ce répertoire est indiquée.
Figure 6 : Paramètres généraux du serveur pour le serveur de messagerie dans SecurIT Zgate
Comme vous pouvez le voir sur la figure, les modes "Filtrage du courrier dans Microsoft Exchange 2007/2010" et "Consignation du courrier dans Microsoft Exchange 2007/2010" ne sont pas disponibles, car Microsoft Exchange n'est actuellement pas installé et configuré. Le mode miroir (analyse d'une copie du trafic transmis) est disponible car le pilote WinPcap est installé.
La mise en miroir des messages envoyés à l'aide du trafic SMTP chiffré (créé à l'aide de TLS avec la commande STARTTTLS) et à l'aide de l'extension XEXCH50 Exchange ESMTP n'est pas prise en charge.
accueil... Dans cette section, vous configurez la réception du courrier pour qu'elle fonctionne dans divers modes de fonctionnement du serveur (Figure 7).
Figure 7 : Configuration de la réception de courrier pour travailler en mode proxy (logging)
Lors de la configuration du filtrage ou de la connexion en mode proxy, définissez l'interface réseau et le numéro de port (par défaut 25) pour recevoir du courrier de l'extérieur par le système SecurIT Zgate ; interface réseau et numéro de port utilisé pour recevoir le courrier du serveur de messagerie interne ; répertoire des messages entrants et sa taille maximale. Le répertoire de la boîte de réception stocke les e-mails reçus par SecurIT Zgate avant qu'ils ne soient traités ou envoyés.
La protection contre les attaques par déni de service est configurée dans le même onglet. Comme vous pouvez le voir sur la figure 7, la protection contre les attaques en service consiste en un certain nombre de conditions, si elles ne sont pas remplies, le message ne sera pas accepté. Ces conditions peuvent être activées ou désactivées en fonction du besoin ou de l'inutilité d'un contrôle particulier.
Si le serveur SecurIT Zgate s'exécute en mode d'analyse du trafic en miroir (activé dans l'onglet Paramètres Général), puis l'onglet accueil a la forme suivante (Figure 8).
Figure 8 : Configuration de la réception des e-mails en mode d'analyse du trafic en miroir
Les paramètres de ce mode de fonctionnement spécifient l'interface réseau vers laquelle le trafic en miroir est reçu, l'adresse IP du serveur de messagerie en miroir, les ports que le serveur en miroir utilise pour recevoir et envoyer du courrier, ainsi que le répertoire de stockage des messages entrants et ses le volume.
Important! Pour que SecurIT Zgate fonctionne en mode miroir, le commutateur réseau auquel l'ordinateur avec SecurIT Zgate est connecté doit prendre en charge la fonction de miroir. La mise en miroir des ports permet de copier le trafic vers un port de contrôle afin qu'il puisse être analysé sans interférer avec le flux.
Cependant, la présence d'un commutateur doté de la fonction de mise en miroir des ports n'est pas requise si SecurIT Zgate est installé sur le serveur proxy d'une organisation ou si SecurIT Zgate est installé sur l'ordinateur à partir duquel le trafic est surveillé.
Lorsqu'il est sélectionné dans l'onglet Général modes de fonctionnement du serveur Filtrage du courrier dans Microsoft Exchange 2007/2010 ou journalisation du courrier dans Microsoft Exchange 2007/2010, onglets accueil et Diffuser remplacé Onglet Microsoft Exchange.
Dans l'onglet Microsoft Exchange les catalogues de messages entrants et sortants et leur taille maximale sont paramétrés (les catalogues sont destinés à organiser une file d'attente de messages envoyés pour traitement ou vers le serveur de messagerie du destinataire). Également sur cet onglet, vous pouvez sélectionner l'option "Surveiller le courrier interne". Dans ce mode, les messages internes entre les clients du serveur de messagerie surveillé seront également vérifiés. Cette opportunité est très importante, puisqu'il devient possible de contrôler la correspondance interne des salariés.
Des informations sur les erreurs ou les avertissements sont affichées en bas de l'onglet.
Diffuser... Les paramètres de transfert de messagerie ne dépendent pas du mode de fonctionnement du serveur et sont les mêmes pour le filtrage et la connexion en mode proxy et pour la mise en miroir (Figure 9).
Figure 9 : Paramètres de transfert de messagerie SecurIT Zgate
Ici, vous pouvez configurer les paramètres suivants : nombre maximum de connexions sortantes simultanées ; schémas de tentatives de connexion ; liste des domaines de messagerie servis par le serveur de messagerie interne ; le serveur de distribution auquel le courrier envoyé à l'extérieur est transmis (si le serveur de distribution n'est pas spécifié et que le domaine du destinataire n'est pas interne, alors le courrier est distribué par SecurIT Zgate lui-même, en se connectant directement au serveur de messagerie du destinataire) ; un hôte intelligent auquel les e-mails sont transférés pour les destinataires des domaines acceptés, mais pas sur les listes de licences ; répertoire des messages sortants et sa taille maximale. De plus, des lettres sont transmises à l'hôte intelligent pour lequel SecurIT Zgate n'a pas pu déterminer l'adresse du serveur de messagerie via DNS, ou le serveur de messagerie a signalé que le destinataire n'existe pas.
Le schéma de connexion avec le serveur de messagerie du destinataire se compose de séries. La série est constituée d'un certain nombre de tentatives de connexion au serveur du destinataire du message et de l'intervalle en minutes entre les tentatives. S'il n'a pas été possible d'établir une connexion selon le schéma, le message est supprimé et un message correspondant s'affiche dans le journal. Dans ce cas, une lettre avec un message d'erreur est envoyée à l'expéditeur.
Onglet Web Zgate est conçu pour empêcher les fuites d'informations sur Internet, par exemple, dans le cas où les employés envoient intentionnellement ou accidentellement des données confidentielles via leur messagerie Web, publient sur un forum ou un blog, ou envoient via ICQ.
Le fonctionnement de Zgate Web est assuré par la mise en miroir des ports sur le commutateur ou par l'interception du trafic réseau sur l'ordinateur sur lequel SecurIT Zgate est installé. Pour utiliser Zgate Web, le pilote WinPcap doit être installé sur l'ordinateur sur lequel le serveur SecurIT Zgate est installé.
Dans la version actuelle, Zgate Web intercepte le trafic transmis à l'aide des protocoles et ressources suivants :
Protocole de messagerie instantanée AOL ICQ ;
protocole de transfert de fichiers FTP;
protocole de transfert de données HTTP ;
services de messagerie : Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com ;
Services de messagerie SMS/MMS : Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms ;
forums basés sur les logiciels PhpBb, IpBoard, Vbulletin.
Comme vous pouvez le voir, les capacités de contrôle du trafic sont impressionnantes.
Pour chaque message, le module d'interception Web de Zgate génère une lettre contenant des informations sur le message et un ensemble de paramètres supplémentaires liés au service utilisé. Cette lettre est placée dans les messages entrants et traitée par le système SecurIT Zgate de la même manière qu'une lettre ordinaire reçue via le protocole SMTP.
Les paramètres Web de Zgate sont illustrés à la figure 10.
Figure 10 : Paramètres Web de Zgate
Sur cet onglet, vous pouvez activer ou désactiver Zgate Web, ainsi que spécifier l'interface réseau à partir de laquelle le trafic est copié, afficher et modifier la liste des plages d'adresses des paquets analysés (vous pouvez ajouter vos propres plages), sélectionner un répertoire pour stocker les fichiers temporaires et sa taille, ainsi que sélectionner les modules d'analyse nécessaires au travail.
Afin d'ajouter votre propre plage d'adresses pour les paquets analysés, vous devez cliquer sur le bouton "+", qui se trouve à droite de la liste des paquets analysés, une telle fenêtre s'ouvrira (Figure 11).
Figure 11 : Ajout d'une plage d'adresses de paquets analysées à SecurIT Zgate
Après avoir spécifié les adresses et les ports dont nous avons besoin, ainsi que choisir une action (analyser ou exclure de l'analyse), cliquez sur le bouton OK. La nouvelle gamme est prête à partir.
archiver... L'archive est destinée au stockage centralisé des copies de courriers, à leur consultation et à leur transmission. De plus, l'archive stocke les lettres mises en quarantaine. Une archive sous forme de base de données peut être organisée au moyen d'Oracle ou de Microsoft SQL Server (Figure 12). Certains des paramètres liés aux paramètres d'archivage se trouvent dans l'onglet Supplémentaire (l'élément Paramètres dans le menu Service).
Figure 12 : Sélection d'une base de données et configuration des paramètres d'archivage dans SecurIT Zgate
Pour utiliser l'archive, nous devons installer et configurer MSSQL Express ou Oracle (spécifié dans la configuration minimale requise).
Après avoir spécifié les paramètres nécessaires et l'utilisateur pour accéder à la base de données, nous pouvons tester la connexion à la base de données elle-même. Pour ce faire, utilisez le bouton "Vérifier la connexion" (Figure 13). Vous pouvez également spécifier la possibilité de compresser les données. Choisissez le « juste milieu » entre la vitesse de travail et la quantité de données.
Figure 13 : Tout est prêt à fonctionner avec la base de données - la connexion est établie
Licence... Le but de l'onglet est clair à partir du nom lui-même. Cela affiche le nombre d'adresses e-mail sous licence, la date d'expiration de la licence et une liste de modules sous licence pour SecurIT Zgate - Email Control (Zgate Mail) et Web Traffic Control (Zgate Web). Les modules sous licence sont marqués d'une coche verte (Figure 14).
Figure 14 : Affichage et gestion des licences dans SecurIT Zgate
Statistiques... Tout est clair avec cet onglet aussi. Les statistiques du serveur SecurIT Zgate sont affichées ici (Figure 15).
Figure 15 : Statistiques du serveur SecurIT Zgate
aditionellement... Cet onglet affiche des paramètres système supplémentaires (Figure 16). Une description détaillée de chacun des paramètres se trouve dans la documentation du produit.
Figure 16 : Paramètres avancés de SecurIT Zgate
Accéder... Le système SecurIT Zgate offre la possibilité de différencier les droits d'accès pour la gestion et l'utilisation de l'archive de messages entre plusieurs utilisateurs. Cet onglet permet de configurer l'accès au système (Figure 17).
Figure 17 : Contrôle d'accès SecurIT Zgate
Comme nous l'avons dit, par défaut, les droits d'accès pour la configuration de SecurIT Zgate sont configurés de manière à ce que les utilisateurs appartenant au groupe des administrateurs locaux aient un accès complet à toutes les fonctions.
Pour ajouter un utilisateur ou un groupe d'utilisateurs à la liste d'accès, cliquez sur le bouton "+" et sélectionnez le compte ou le groupe souhaité. Ensuite, en bas de la fenêtre, spécifiez les droits que vous souhaitez accorder au compte spécifié. L'icône "V" signifie que l'utilisateur a droit à cette opération, "X" signifie que l'utilisateur se voit refuser l'accès à cette fonction. Les droits de l'utilisateur et du groupe auquel il appartient sont résumés de la même manière que le système de contrôle d'accès accepté dans Windows.
A titre d'exemple, nous avons sélectionné l'utilisateur Invité et lui avons donné le droit de visualiser les paramètres et les statistiques (Figure 18).
Figure 18 : Sélection d'un utilisateur et attribution des droits correspondants
Journalisation... SecurIT Zgate permet un traitement supplémentaire de ses opérations via un mécanisme de traitement des événements. L'une des options pour un tel traitement est la journalisation de SecurIT Zgate dans le journal système Windows, dans un fichier ou sur Microsoft SQL Server.
Par défaut, la journalisation des événements est désactivée (Figure 19). Vous pouvez activer indépendamment la journalisation de l'un ou l'autre événement et choisir comment exactement la journalisation des événements sera effectuée.
Figure 19 : Liste des événements à surveiller dans SecurIT Zgate
L'activation de la journalisation pour un événement est très simple. Pour ce faire, sélectionnez l'événement dont nous avons besoin et cliquez sur le bouton "+" à droite de la liste des événements, puis sélectionnez l'option de journalisation souhaitée. Prenons l'option « logging » comme exemple (Figure 20).
Figure 20 : Configuration des paramètres de consignation d'un événement dans un fichier ou dans le journal système
On peut voir que dans ce cas, vous pouvez sélectionner l'option de journalisation dans le journal système et vous pouvez sélectionner n'importe quel ordinateur du réseau local pour stocker ce journal, ou vous pouvez sélectionner l'option de journalisation dans un fichier. De plus, il existe trois options pour le format de fichier : texte ANSI, texte Unicode et XML. La différence entre l'écriture d'un journal au format XML et l'écriture dans un fichier texte est qu'un fichier journal au format XML peut être analysé à l'aide du système SecurIT Zgate. Cette possibilité est exclue pour les fichiers texte.
Vous pouvez également sélectionner l'emplacement du fichier journal et les droits de l'utilisateur au nom duquel la journalisation sera effectuée.
Figure 21 : Sélection d'événements pour la connexion dans SecurIT Zgate
Après avoir sélectionné les événements souhaités, il ne reste plus qu'à cliquer sur le bouton "Terminer". Le résultat est visible sur la Figure 22. Des icônes correspondantes sont apparues à côté des événements enregistrés, indiquant les paramètres de journalisation et l'emplacement où le journal sera écrit.
Figure 22 : Trois événements visibles sont enregistrés dans un fichier XML
Vous pouvez également vous connecter au serveur de journaux et à Microsoft SQL Server. Connexion à un serveur SQL, l'enregistrement d'informations sur un événement est effectué par le module de traitement dans une base de données organisée au moyen de Microsoft SQL Server.
Lorsque vous sélectionnez la connexion sur Microsoft SQL Server, vous devez sélectionner le serveur avec MSSQL lui-même, spécifier les paramètres utilisateur et vérifier la connexion à la base de données. Si tout est correct, alors lors de la vérification de la connexion, vous serez invité à créer une nouvelle base de données, le nom est indiqué par le système SecurIT Zgate (Figure 23).
Figure 23 : Sélection d'un serveur de base de données et spécification des paramètres pour s'y connecter
Figure 24 : Confirmation de la création de la structure de base de données interne pour le stockage du journal
Figure 25 : Spécification des événements à consigner
Figure 26 : Nous voyons les événements qui seront enregistrés sur le serveur SQL spécifié
Scénarios... Un autre type de traitement supplémentaire des opérations effectuées par SecurIT Zgate peut être l'exécution de scripts (scripts) et le lancement de fichiers exécutables.
Lorsque l'événement sélectionné se produit, l'application spécifiée sera lancée ou le script spécifié sera exécuté. La liste des événements est similaire à la liste des événements pour la journalisation.
Cette option peut être utilisée, par exemple, pour envoyer un SMS sur un événement ou bloquer un poste de travail jusqu'à l'arrivée d'un responsable de la sécurité.
Figure 27 : Sélection du fichier exécutable
Dans la même fenêtre, vous pouvez spécifier le chemin d'accès au fichier de script, spécifier l'utilisateur au nom duquel le fichier ou le script sera exécuté. Veuillez noter que par défaut les applications sont lancées sous le compte SYSTEM.
Figure 28 : Liste des événements, à la survenance desquels l'application sera lancée
Ceci conclut l'étape de configuration préliminaire du système SecurIT et procède à la configuration des sous-systèmes de filtrage.
Configuration de l'analyse et du filtrage de contenu
Voyons maintenant les possibilités de configuration du système d'analyse de contenu.
Dictionnaires... Les dictionnaires dans Zgate signifient des groupes de mots, unis par un attribut (catégorie). En règle générale, la présence dans une lettre de mots d'un dictionnaire spécifique avec un degré de probabilité élevé permet de classer la lettre dans la catégorie caractérisée par ce dictionnaire. Les dictionnaires dans Zgate sont utilisés pour le filtrage dans l'analyse de dictionnaire et le traitement bayésien.
Figure 29 : Fenêtre de gestion du dictionnaire SecurIT Zgate
Étant donné que SecurIT Zgate utilise les mêmes dictionnaires à la fois lors de l'analyse d'un message électronique et lors de son traitement à l'aide de la méthode bayésienne, lors de la création de dictionnaires, un mot se voit toujours attribuer deux paramètres : poids dans une catégorie et poids dans une anti-catégorie. Par défaut, les deux paramètres sont définis sur 50.
Pour ajouter un dictionnaire, appuyez sur le bouton "+" dans la fenêtre de gestion des dictionnaires, et afin d'ajouter des mots au dictionnaire, sélectionnez le dictionnaire souhaité et appuyez sur le bouton "crayon" (Figure 30, 31).
Figure 30 : Ajout d'un dictionnaire à SecurIT Zgate
Figure 31 : Ajout d'un mot au dictionnaire dans SecurIT Zgate
Lors de la saisie de mots, vous pouvez utiliser des caractères spéciaux :
n'importe quel nombre de n'importe quelles lettres ou chiffres ;
N'importe quel caractère (lettre ou chiffre) ;
^ - un caractère de séparation (espace, tabulation, saut de ligne);
Un caractère de séparation ou un signe de ponctuation ;
# - un caractère-chiffre ;
@ est un caractère d'une lettre.
Les symboles valides pour le dictionnaire sont les symboles (,),<, >, (,), -, _, caractères spéciaux et caractères spéciaux en tant que caractères simples (tout caractère spécial peut devenir un caractère ordinaire en ajoutant une barre oblique inverse). Par exemple, test * signifie que le mot test * est dans le dictionnaire. Et test * signifie que le dictionnaire contient tous les mots commençant par test - test, tests, test, etc.
En plus de créer et de remplir le dictionnaire manuellement, vous pouvez créer un dictionnaire en important des mots à partir d'un fichier pré-préparé, et il y a aussi la possibilité de génération automatique du dictionnaire.
Lors de l'importation de mots à partir d'un fichier, chaque mot importé se verra attribuer un poids en catégorie et anti-catégorie par défaut. Les caractères incorrects du dictionnaire sont remplacés par un séparateur (espace) par défaut lors de l'importation.
La génération automatique d'un dictionnaire à partir d'un fichier est possible à l'aide d'un fichier texte spécialement préparé avec un ensemble de mots correspondant, ainsi que de vrais documents appartenant ou non à une catégorie ou à une autre.
En plus des méthodes d'analyse linguistique, on peut utiliser la méthode des "impressions numériques", qui est populaire pour cette classe de produits - il s'agit d'une méthode de recherche de copies de documents contrôlés ou de parties de documents dans un message électronique. Dans ce cas, le texte souhaité peut être modifié ou seule une partie de celui-ci peut être présente dans la lettre.
La méthode d'empreintes digitales est que tous les documents confidentiels sont « empreintes numériques ». Les impressions reçues sont stockées dans une base de données mise à jour (en mode automatique) et réapprovisionnée. S'il est nécessaire de contrôler un document, une "empreinte numérique" est calculée pour celui-ci, puis une empreinte similaire est recherchée parmi les empreintes de documents confidentiels stockés dans la base de données. Si l'empreinte digitale du fichier contrôlé est similaire à l'empreinte digitale stockée dans la base de données, un avertissement (notification) correspondant est émis.
Pour commencer à travailler avec la base d'impressions, vous devez aller dans le menu "Service" et exécuter la commande "Impressions".
Figure 32 : Gestion de la base de données d'empreintes digitales dans SecurIT Zgate
Pour ajouter une nouvelle catégorie de documents pour la prise d'empreintes digitales, vous devez cliquer sur
le bouton "+". Pour éditer, appuyez sur le bouton "crayon" et le bouton "X" - pour supprimer la catégorie.
Figure 33 : Création d'une catégorie de document dans SecurIT Zgate
De plus, lors de la création d'une catégorie, l'heure de mise à jour de la base de données d'empreintes digitales est indiquée, les paramètres de l'utilisateur au nom duquel les fichiers seront consultés sont spécifiés et les fichiers contenant des mots courants exclus de l'analyse sont ajoutés.
Vous pouvez utiliser les formats de fichiers suivants pour créer des impressions :. SMS ,. doc,. docx,. xls ,. xlsx ,. ppt,. pptx,. pdf, .html ,. rtf,. bizarre,. ods ,. odp ,. dbf,. wps ,. xml * (le format .xml est analysé comme un document texte normal).
La catégorie créée peut être soumise à un test de contrôle. La vérification du fichier de test à l'aide de la méthode des empreintes digitales est conçue pour déterminer l'exactitude des paramètres des empreintes digitales numériques et l'exactitude des descriptions des catégories. Lors du contrôle, il est déterminé si l'empreinte numérique du fichier (document) en cours de contrôle est similaire à l'empreinte numérique d'un document stocké dans une base de données préalablement créée d'une certaine catégorie. La recherche de documents similaires est effectuée en tenant compte du fait que certains ou tous les caractères russes du document vérifié pourraient être remplacés par des caractères anglais d'orthographe similaire, et vice versa.
Pour vérifier, il faut appuyer sur le bouton "Vérifier" en bas de la fenêtre de gestion de la base de données d'empreintes digitales et sélectionner le fichier à vérifier, en indiquant le pourcentage de probabilité de similitude.
Ce système de catégorisation avancé vous permet de créer des catégories distinctes pour différents contenus de message. À son tour, cela permet de catégoriser correctement les notifications d'incidents dans le journal et permettra au responsable de la sécurité de hiérarchiser et de répondre rapidement aux événements.
Figure 35 : Définition des paramètres d'analyse du trafic dans SecurIT Zgate
Figure 36 : Résultat du test
Protection contre les initiés avec une combinaison de Zgate et Zlock
Il existe aujourd'hui deux principaux canaux de fuite d'informations confidentielles : les appareils connectés à un ordinateur (toutes sortes de lecteurs amovibles, y compris les lecteurs flash, CD/DVD, etc., imprimantes) et Internet (e-mail, ICQ, réseaux sociaux, etc.) ? d.). Et donc, lorsqu'une entreprise « mûrit » pour mettre en place un système de protection contre eux, il convient d'aborder la solution de ce problème de manière globale. Le problème est que différentes approches sont utilisées pour chevaucher différents canaux. Dans un cas, le moyen de protection le plus efficace sera le contrôle de l'utilisation de lecteurs amovibles et, dans le second, diverses options de filtrage de contenu, ce qui vous permet de bloquer le transfert de données confidentielles vers le réseau externe. Par conséquent, les entreprises doivent utiliser deux produits pour se protéger des initiés, qui forment ensemble un système de sécurité complet. Naturellement, il est préférable d'utiliser les outils d'un seul développeur. Dans ce cas, le processus de leur mise en œuvre, de leur administration et de la formation des employés est facilité. Les exemples incluent les produits Zlock et Zgate de SecurIT.
Zlock : protection contre les fuites grâce aux disques amovibles
Zlock est sur le marché depuis longtemps. Et nous avons déjà décrit ses principales caractéristiques. En principe, cela n'a aucun sens de me répéter. Cependant, depuis la publication de l'article, deux nouvelles versions de Zlock ont été publiées, dans lesquelles un certain nombre de fonctions importantes sont apparues. Cela vaut la peine d'en parler, même très brièvement.
Tout d'abord, il convient de noter la possibilité d'affecter plusieurs politiques à un ordinateur, qui sont appliquées indépendamment selon que l'ordinateur est connecté au réseau de l'entreprise directement, via un VPN, ou fonctionne de manière autonome. Cela permet notamment de bloquer automatiquement les ports USB et les lecteurs CD/DVD lorsque le PC est déconnecté du réseau local. En général, cette fonctionnalité augmente la sécurité des informations affichées sur les ordinateurs portables, que les employés peuvent emporter du bureau sur la route ou pour travailler à domicile.
La deuxième nouveauté est de fournir aux employés de l'entreprise un accès temporaire à des appareils verrouillés ou même à des groupes d'appareils par téléphone. Le principe de son fonctionnement est d'échanger des codes secrets générés par le programme entre l'utilisateur et l'employé responsable de la sécurité de l'information. Il est à noter que l'autorisation d'utilisation peut être délivrée non seulement de manière permanente, mais également temporaire (pour un certain temps ou jusqu'à la fin d'une session de travail). Cet outil peut être considéré comme une sorte d'assouplissement du système de sécurité, mais il permet d'améliorer la réactivité de la DSI face aux demandes métiers.
La prochaine innovation majeure des nouvelles versions de Zlock est le contrôle de l'utilisation des imprimantes. Après l'avoir configuré, le système de protection enregistrera tous les appels des utilisateurs aux périphériques d'impression dans un journal spécial. Mais ce n'est pas tout. Zlock introduit le cliché instantané de tous les documents imprimés. Ils sont rédigés au format PDF et constituent une copie complète des pages imprimées, quel que soit le fichier envoyé à l'imprimeur. Cela permet d'éviter la fuite d'informations confidentielles sur des feuilles de papier lorsqu'un initié imprime les données dans le but de les sortir du bureau. Également dans le système de protection, il y avait un cliché instantané des informations enregistrées sur des disques CD / DVD.
Une innovation importante a été l'émergence du composant serveur Zlock Enterprise Management Server. Il fournit un stockage et une distribution centralisés des politiques de sécurité et d'autres paramètres de programme et facilite grandement l'administration de Zlock dans des systèmes d'information étendus et distribués. Aussi, on ne peut manquer de mentionner l'émergence de son propre système d'authentification, qui, si nécessaire, permet d'abandonner l'utilisation du domaine et des utilisateurs locaux de Windows.
De plus, dans la dernière version de Zlock, plusieurs fonctions moins visibles, mais aussi assez importantes sont apparues : contrôle de l'intégrité du module client avec la possibilité de bloquer la connexion de l'utilisateur lorsqu'une falsification est détectée, capacités avancées pour la mise en œuvre d'un système de sécurité , prise en charge du SGBD Oracle, etc. ?
Zgate : protection contre les fuites Internet
Donc Zgate. Comme nous l'avons déjà dit, ce produit est un système de protection contre les fuites d'informations confidentielles sur Internet. Structurellement, Zgate a trois parties. Le composant principal est le composant serveur, qui effectue toutes les opérations de traitement des données. Il peut être installé à la fois sur un ordinateur distinct et sur des nœuds déjà opérationnels dans le système d'information de l'entreprise - une passerelle Internet, un contrôleur de domaine, une passerelle de messagerie, etc. Ce module, à son tour, se compose de trois composants : pour contrôler le trafic SMTP, contrôler le courrier interne du serveur Microsoft Exchange 2007/2010 et Zgate Web (il est chargé de contrôler le trafic HTTP, FTP et IM).
La deuxième partie du système de sécurité est le serveur de journalisation. Il est utilisé pour collecter des informations sur les événements d'un ou plusieurs serveurs Zgate, les traiter et les stocker. Ce module est particulièrement utile dans les grands systèmes d'entreprise dispersés géographiquement, car il fournit un accès centralisé à toutes les données. La troisième partie est la console de gestion. Il utilise une console standard pour les produits SecurIT, et donc nous ne nous y attarderons pas en détail. Nous notons seulement qu'en utilisant ce module, vous pouvez contrôler le système non seulement localement, mais aussi à distance.
Console de gestion
Le système Zgate peut fonctionner selon plusieurs modes. De plus, leur disponibilité dépend du mode de mise en œuvre du produit. Les deux premiers modes sont censés fonctionner comme un serveur proxy de messagerie. Pour les mettre en œuvre, le système est installé entre le serveur de messagerie de l'entreprise et le "monde extérieur" (ou entre le serveur de messagerie et le serveur d'envoi, s'ils sont séparés). Dans ce cas, Zgate peut soit filtrer le trafic (retarder les messages incriminés et douteux), soit uniquement l'enregistrer (ignorer tous les messages, mais les enregistrer dans l'archive).
La deuxième méthode d'implémentation implique l'utilisation d'un système de sécurité en conjonction avec Microsoft Exchange 2007 ou 2010. Pour ce faire, vous devez installer Zgate directement sur le serveur de messagerie de l'entreprise. Parallèlement, deux modes sont également disponibles : le filtrage et la journalisation. De plus, il existe une autre option de mise en œuvre. Nous parlons de la journalisation des messages en mode de trafic miroir. Naturellement, pour l'utiliser, il est nécessaire de s'assurer que ce trafic en miroir circule vers l'ordinateur sur lequel Zgate est installé (généralement cela se fait au moyen d'un équipement réseau).
Sélection du mode de fonctionnement Zgate
Le composant Web de Zgate mérite une histoire distincte. Il s'installe directement sur la passerelle Internet de l'entreprise. Dans le même temps, ce sous-système a la capacité de contrôler le trafic HTTP, FTP et IM, c'est-à-dire de le traiter afin de détecter les tentatives d'envoi d'informations confidentielles via des interfaces de messagerie Web et ICQ, de les publier sur des forums, des serveurs FTP et réseaux sociaux, etc.. Au fait, à propos d'ICQ. La fonction de blocage des messagers IM est disponible dans de nombreux produits similaires. Cependant, il n'y a pas d'ICQ en eux. Tout simplement parce que c'est dans les pays russophones qu'elle est la plus répandue.
Le principe de fonctionnement du composant Web de Zgate est assez simple. Chaque fois que des informations sont envoyées à l'un des services surveillés, le système génère un message spécial. Il contient les informations elles-mêmes et certaines données de service. Il est envoyé au serveur principal Zgate et traité selon les règles spécifiées. Naturellement, l'envoi d'informations dans le service lui-même n'est pas bloqué. C'est-à-dire que Zgate Web ne fonctionne qu'en mode journalisation. Il ne peut pas empêcher les fuites de données uniques, mais il peut les détecter rapidement et supprimer les activités d'un attaquant volontaire ou involontaire.
J'espère que l'article lui-même et en particulier sa discussion aideront à identifier diverses nuances d'utilisation des outils logiciels et deviendront le point de départ du développement d'une solution au problème décrit pour les spécialistes de la sécurité de l'information.
nahna
Depuis longtemps, la division marketing d'Infovatch a convaincu toutes les parties intéressées - les informaticiens, ainsi que les responsables informatiques les plus avancés que la plupart des dommages causés par la violation de la sécurité des informations de l'entreprise incombent aux initiés - les employés révélant des secrets commerciaux. L'objectif est clair - il est nécessaire de créer une demande pour le produit manufacturé. Et les arguments semblent assez solides et convaincants.
Formulation du problème
Construire un système de protection des informations contre le vol par le personnel dans un réseau local basé sur Active Directory Windows 2000/2003. Postes de travail des utilisateurs sous Windows XP. Gestion et comptabilité d'entreprise basées sur les produits 1C.Les informations secrètes sont stockées de trois manières :
- DB 1C - accès réseau via RDP (accès terminal);
- dossiers partagés sur les serveurs de fichiers - accès réseau ;
- localement sur le PC de l'employé ;
Qu'est-ce qu'il y a sur le marché
J'ai divisé les systèmes considérés en trois classes :- Systèmes basés sur des analyseurs de contexte - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, etc.
- Systèmes basés sur le verrouillage statique des appareils - DeviceLock, ZLock, InfoWatch Net Monitor.
- Systèmes basés sur le blocage dynamique des appareils - SecrecyKeeper, Guardian, Accord, SecretNet.
Systèmes basés sur des analyseurs de contexte
Principe d'opération:Des mots clés sont recherchés dans les informations transmises, sur la base des résultats de la recherche, une décision est prise sur la nécessité de bloquer la transmission.
À mon avis, InfoWatch Traffic Monitor (www.infowatch.ru) a les capacités maximales parmi les produits répertoriés. La base est prise par le moteur éprouvé Kaspersky Antispam, qui prend le plus pleinement en compte les particularités de la langue russe. Contrairement à d'autres produits, InfoWatch Traffic Monitor, lors de l'analyse, prend en compte non seulement la présence de certaines lignes dans les données numérisées, mais également le poids prédéterminé de chaque ligne. Ainsi, lors de la prise de décision finale, non seulement l'occurrence de certains mots est prise en compte, mais aussi les combinaisons dans lesquelles ils apparaissent, ce qui rend l'analyseur plus flexible. D'autres fonctionnalités sont standard pour ce type de produits - analyse d'archives, documents MS Office, possibilité de bloquer le transfert de fichiers de format inconnu ou d'archives protégées par mot de passe.
Inconvénients des systèmes considérés sur la base de l'analyse du contexte :
- Seuls deux protocoles sont surveillés - HTTP et SMTP (pour InfoWatch Traffic Monitor, et pour le trafic HTTP, seules les données transmises via les requêtes POST sont vérifiées, ce qui permet d'organiser un canal de fuite en utilisant le transfert de données à l'aide de la méthode GET) ;
- Les périphériques de transfert de données tels que les disquettes, les CD, les DVD, les clés USB, etc. ne sont pas contrôlés. (InfoWatch a le produit InfoWatch Net Monitor pour ce cas).
- pour contourner les systèmes construits sur la base de l'analyse de contenu, il suffit d'utiliser l'encodage de texte le plus simple (par exemple : secret -> c1e1k1p1e1t), ou la stéganographie ;
- le problème suivant n'est pas résolu par la méthode d'analyse de contenu - une description formelle appropriée ne vient pas à l'esprit, je vais donc donner juste un exemple : il y a deux fichiers Excel - dans le premier prix de détail (information publique), dans le second - prix de gros pour un client spécifique (information fermée), le contenu des fichiers ne diffère que par le nombre. Ces fichiers ne peuvent pas être distingués à l'aide de l'analyse de contenu.
l'analyse de contexte ne convient que pour créer des archives de trafic et contrer les fuites d'informations accidentelles et ne résout pas le problème.
Systèmes basés sur le blocage statique des appareils
Principe d'opération:les utilisateurs se voient attribuer des droits d'accès aux périphériques surveillés, similaires aux droits d'accès aux fichiers. En principe, presque le même effet peut être obtenu en utilisant les mécanismes Windows standard.
Zlock (www.securit.ru) - le produit est apparu relativement récemment, il a donc des fonctionnalités minimales (je ne pense pas qu'il y ait de petites choses), et il ne diffère pas du débogage, par exemple, la console de gestion se bloque parfois en essayant pour enregistrer les paramètres.
DeviceLock (www.smartline.ru) est un produit plus intéressant, il est sur le marché depuis longtemps, il fonctionne donc beaucoup plus stable et a des fonctionnalités plus diverses. Par exemple, il permet le cliché instantané des informations transmises, ce qui peut aider à l'enquête sur l'incident, mais pas à sa prévention. De plus, une telle enquête sera très probablement effectuée lorsque la fuite sera connue, c'est-à-dire après une période de temps significative après qu'il se soit produit.
InfoWatch Net Monitor (www.infowatch.ru) se compose de modules - DeviceMonitor (analogue à Zlock), FileMonitor, OfficeMonitor, AdobeMonitor et PrintMonitor. DeviceMonitor est analogue à Zlock, fonctionnalité standard, pas de raisins secs. FileMonitor - contrôle d'accès aux fichiers. OfficeMonitor et AdobeMonitor vous permettent de contrôler le travail avec les fichiers dans leurs applications respectives. Il est actuellement assez difficile de proposer une application utile et non un jouet pour FileMonitor, OfficeMonitor et AdobeMonitor, mais dans les versions futures, il sera possible de contextualiser les données en cours de traitement. Peut-être alors ces modules révéleront-ils leur potentiel. Bien qu'il faille noter que la tâche d'analyse contextuelle des opérations sur les fichiers n'est pas triviale, surtout si la base de données de filtrage de contenu est la même que dans Traffic Monitor, c'est-à-dire réseau.
Séparément, il faut parler de la protection de l'agent contre un utilisateur avec des droits d'administrateur local.
ZLock et InfoWatch Net Monitor n'ont tout simplement pas une telle protection. Ceux. l'utilisateur peut arrêter l'agent, copier les données et redémarrer l'agent.
DeviceLock a une telle protection, ce qui est un avantage certain. Il est basé sur l'interception des appels système pour travailler avec le registre, le système de fichiers et le contrôle des processus. Un autre avantage est que la protection fonctionne également en mode sans échec. Mais il y a aussi un inconvénient - pour désactiver la protection, il suffit de restaurer la table de descripteur de service, ce qui peut être fait en téléchargeant un simple pilote.
Inconvénients des systèmes considérés basés sur le blocage statique des appareils :
- La transmission des informations au réseau n'est pas contrôlée.
- -N'est pas capable de distinguer les informations classifiées des informations non secrètes. Il fonctionne sur le principe que soit tout est possible, soit rien n'est impossible.
- La protection contre le déchargement des agents est absente ou facilement contournée.
il n'est pas conseillé d'introduire de tels systèmes, car ils ne résolvent pas la tâche assignée.
Systèmes basés sur le verrouillage dynamique des appareils
Principe d'opération:l'accès aux canaux de transmission est bloqué en fonction du niveau d'accès de l'utilisateur et du degré de secret des informations avec lesquelles le travail est effectué. Pour mettre en œuvre ce principe, ces produits utilisent le mécanisme de contrôle d'accès faisant autorité. Ce mécanisme n'est pas très courant, je vais donc m'y attarder plus en détail.
Le contrôle d'accès autoritaire (forcé), contrairement au descriptif (implémenté dans le système de sécurité de Windows NT et supérieur), est que le propriétaire d'une ressource (par exemple, un fichier) ne peut pas affaiblir les exigences d'accès à cette ressource, mais peut renforcez-les seulement à votre niveau. Seul un utilisateur doté de pouvoirs spéciaux - un agent ou un administrateur de la sécurité de l'information - peut assouplir les exigences.
L'objectif principal du développement de produits tels que Guard, Accord, SecretNet, DallasLock et quelques autres était la possibilité de certification des systèmes d'information dans lesquels ces produits seront installés, conformément aux exigences de la Commission technique d'État (maintenant FSTEK). Une telle certification est obligatoire pour les systèmes d'information dans lesquels l'état est traité. secret, qui assurait essentiellement la demande de nourriture des entreprises d'État.
Par conséquent, l'ensemble des fonctions mises en œuvre dans ces produits a été déterminé par les exigences des documents pertinents. Ceci, à son tour, a conduit au fait que la plupart des fonctionnalités implémentées dans les produits dupliquent la fonctionnalité standard de Windows (nettoyage des objets après suppression, nettoyage de la RAM), ou l'utilise implicitement (contrôle d'accès descriptif). Et les développeurs de DallasLock sont allés encore plus loin en implémentant un contrôle d'accès obligatoire de leur système via le mécanisme de contrôle de descripteur Windows.
L'utilisation pratique de tels produits est extrêmement gênante, par exemple, DallasLock pour l'installation nécessite un repartitionnement du disque dur, qui, de plus, doit être effectué à l'aide d'un logiciel tiers. Très souvent, après certification, ces systèmes ont été supprimés ou désactivés.
SecrecyKeeper (www.secrecykeeper.com) est un autre produit qui implémente un mécanisme de contrôle d'accès faisant autorité. Selon les développeurs, SecrecyKeeper a été développé spécifiquement pour résoudre un problème spécifique - empêcher le vol d'informations dans une organisation commerciale. Par conséquent, toujours d'après les mots des développeurs, une attention particulière a été accordée à la simplicité et à la facilité d'utilisation lors du développement, à la fois pour les administrateurs système et pour les utilisateurs ordinaires. C'est au consommateur d'en juger dans quelle mesure il a réussi, c'est-à-dire NOUS. De plus, SecrecyKeeper implémente un certain nombre de mécanismes qui sont absents des autres systèmes mentionnés - par exemple, la possibilité de définir le niveau de secret pour les ressources avec accès à distance et le mécanisme de protection de l'agent.
Le contrôle du mouvement des informations dans SecrecyKeeper est mis en œuvre sur la base du niveau de sécurité de l'information, des niveaux d'accès des utilisateurs et des niveaux de sécurité informatique, qui peuvent prendre les valeurs public, secret et top secret. Le niveau de secret de l'information permet de classer les informations traitées dans le système en trois catégories :
public - pas d'informations secrètes, il n'y a aucune restriction lorsque vous travaillez avec ;
secret - informations secrètes, lors de leur utilisation, des restrictions sont introduites en fonction des niveaux d'accès de l'utilisateur ;
top secret est une information top secrète ; lorsque vous travaillez avec, des restrictions sont imposées en fonction des niveaux d'autorisation de l'utilisateur.
Le niveau de sécurité des informations peut être défini pour un fichier, un lecteur réseau et un port de l'ordinateur sur lequel un service est exécuté.
Les niveaux d'autorisation de l'utilisateur vous permettent de déterminer comment l'utilisateur peut déplacer les informations, en fonction de son niveau de confidentialité. Les niveaux d'autorisation utilisateur suivants existent :
Niveau d'autorisation de l'utilisateur - limite le niveau de confidentialité maximal des informations auxquelles un employé peut accéder ;
Niveau d'accès au réseau - limite le niveau de confidentialité maximal des informations qu'un employé peut transmettre sur le réseau ;
Niveau d'accès au support amovible - limite le niveau maximum de confidentialité des informations qu'un employé peut copier sur un support externe.
Niveau de sécurité de l'imprimante - limite le niveau de sécurité maximum des informations qu'un employé peut imprimer.
Niveau de sécurité informatique - définit le niveau de sécurité maximum des informations pouvant être stockées et traitées sur un ordinateur.
L'accès aux informations avec un niveau de sécurité public peut être effectué par un employé avec n'importe quel niveau de sécurité. Ces informations peuvent être transmises sans restrictions sur le réseau et copiées sur des supports externes. L'historique de travail avec des informations avec le niveau de sécurité publique n'est pas suivi.
L'accès aux informations avec un niveau de secret secret ne peut être obtenu que par des employés ayant un niveau de sécurité égal ou supérieur à secret. Seuls les employés dont le niveau d'accès au réseau est secret ou supérieur peuvent transmettre ces informations au réseau. Seuls les employés dont le niveau d'accès aux supports amovibles est secret ou supérieur peuvent copier ces informations sur des supports externes. Seuls les employés dont le niveau d'accès à l'imprimante est secret ou supérieur peuvent imprimer ces informations. L'histoire du travail avec des informations avec un niveau de secret secret, c'est-à-dire les tentatives d'accès, les tentatives de transmission sur le réseau, les tentatives de copie sur un support externe ou d'impression - sont enregistrées.
L'accès aux informations de niveau top secret ne peut être obtenu que par des employés dont le niveau de sécurité est égal à top secret. Seuls les employés dont le niveau d'accès au réseau est égal au top secret peuvent transmettre ces informations au réseau. Seuls les employés dont le niveau d'accès aux supports amovibles est égal à top secret peuvent copier ces informations sur des supports externes. Seuls les employés dont le niveau d'accès à l'imprimante est égal à top secret peuvent imprimer ces informations. L'histoire du travail avec des informations de niveau top secret, c'est-à-dire les tentatives d'accès, les tentatives de transmission sur le réseau, les tentatives de copie sur un support externe ou d'impression - sont enregistrées.
Exemple : Donner à un employé une habilitation de sécurité de niveau top secret, une habilitation de réseau de secret, une habilitation de support amovible public et une habilitation d'imprimante de niveau top secret ; dans ce cas, un employé peut accéder à un document avec n'importe quel niveau de secret, un employé peut transférer des informations avec un niveau de secret non supérieur à secret sur le réseau, copier, par exemple, sur des disquettes, un employé ne peut que des informations avec un niveau de secret public et un employé peut imprimer n'importe quelle information sur une imprimante...
Pour contrôler la distribution des informations à l'entreprise, chaque ordinateur affecté à un employé se voit attribuer un niveau de sécurité informatique. Ce niveau limite le niveau de sécurité maximal des informations auquel tout employé peut accéder à partir de cet ordinateur, quels que soient les niveaux de sécurité de l'employé. Ce. si un employé a un niveau d'accès égal à top secret et que l'ordinateur sur lequel il travaille actuellement a un niveau de sécurité égal à public, alors l'employé ne pourra pas accéder aux informations avec un niveau secret supérieur à public depuis ce poste de travail.
Armés de la théorie, essayons d'utiliser SecrecyKeeper pour résoudre le problème. Pour simplifier la description des informations traitées dans le système d'information de l'entreprise abstraite considérée (voir la problématique), vous pouvez utiliser le tableau suivant :
Les employés de l'entreprise et le domaine de leurs intérêts professionnels sont décrits à l'aide du deuxième tableau :
Laissez l'entreprise utiliser les serveurs suivants :
Serveur 1C
Serveur de fichiers avec boules :
SecretDocs - contient des documents secrets
PublicDocs - contient des documents publics
Notez que les capacités standard du système d'exploitation et du logiciel d'application sont utilisées pour organiser le contrôle d'accès standard. afin d'empêcher, par exemple, l'accès d'un responsable aux données personnelles des employés, aucun système de sécurité supplémentaire ne doit être mis en place. Il s'agit précisément de contrer la diffusion d'informations auxquelles le salarié a légalement accès.
Passons à la configuration directe de SecrecyKeeper.
Je ne décrirai pas le processus d'installation de la console de gestion et des agents, tout est aussi simple que possible - consultez la documentation du programme.
La configuration du système comprend les étapes suivantes.
Étape 1. Installez les agents sur tous les PC à l'exception des serveurs - cela vous permet immédiatement d'empêcher l'accès aux informations pour lesquelles le niveau de confidentialité est supérieur à public.
Étape 2. Attribuez les niveaux d'habilitation des employés selon le tableau suivant :
| Niveau d'autorisation de l'utilisateur | Niveau d'autorisation du réseau | Niveau d'autorisation des supports amovibles | Niveau d'autorisation de l'imprimante | |
| réalisateur | secret | secret | secret | secret |
| directeur | secret | Publique | Publique | secret |
| agent du personnel | secret | Publique | Publique | secret |
| comptable | secret | Publique | secret | secret |
| secrétaire | Publique | Publique | Publique | Publique |
Étape 3. Attribuez les niveaux de sécurité informatique comme suit :
Étape 4. Configurez les niveaux de confidentialité sur les serveurs :
Étape 5. Configurez les niveaux de confidentialité des informations sur les PC des employés pour les fichiers locaux. C'est la partie la plus chronophage, car il est nécessaire de comprendre clairement qui des employés travaille avec quelle information et à quel point cette information est critique. Si une organisation a effectué un audit de sécurité de l'information, les résultats peuvent grandement faciliter la tâche.
Étape 6. Si nécessaire, SecrecyKeeper vous permet de restreindre la liste des programmes autorisés à s'exécuter par les utilisateurs. Ce mécanisme est mis en œuvre indépendamment de la politique de restriction logicielle de Windows et peut être utilisé si, par exemple, il est nécessaire d'imposer des restrictions aux utilisateurs disposant de droits d'administrateur.
Ainsi, avec l'aide de SecrecyKeeper, il est possible de réduire considérablement le risque de diffusion non autorisée d'informations classifiées - à la fois les fuites et le vol.
Défauts:
- Difficulté avec le réglage initial des niveaux de confidentialité pour les fichiers locaux ;
Conclusion générale :
Les possibilités maximales de protection des informations contre les initiés sont fournies par un logiciel capable de réguler dynamiquement l'accès aux canaux de transmission de l'information, en fonction du degré de confidentialité des informations avec lesquelles le travail est effectué et du niveau d'accès de l'employé.
Compagnie est un service unique pour les acheteurs, les développeurs, les revendeurs et les partenaires affiliés. En outre, c'est l'un des meilleurs magasins de logiciels en ligne en Russie, en Ukraine et au Kazakhstan, qui offre aux clients un large assortiment, de nombreux modes de paiement, un traitement rapide (souvent instantané) des commandes, un suivi du processus d'exécution des commandes dans la section personnelle.
Plus l'humanité remporte de succès dans la lutte contre les cybermenaces externes, plus les menaces internes deviennent décisives, auxquelles, selon les statistiques, plus de 70 % de tous les incidents de sécurité sont associés. Cet article résume l'expérience d'une entreprise russe - un intégrateur dans le domaine de la création de systèmes complexes pour empêcher la fuite d'informations confidentielles. Ces systèmes complexes sont essentiels au fonctionnement de nombreuses entreprises et organisations modernes. Les entreprises utilisent toute une gamme de moyens pour surveiller les employés : elles consultent les e-mails, écoutent les conversations téléphoniques, installent des caméras de surveillance et surveillent le trafic des sites Web sur Internet. Ces actions sont-elles légales ? Actuellement, les informations confidentielles et les données personnelles sont traitées dans le système automatisé de presque toutes les entreprises. Naturellement, ces informations doivent être protégées. Mais voici comment le protéger, quelle est la différence entre les moyens de protéger un ordinateur personnel et les ordinateurs des applications d'entreprise, quelles tâches de protection des informations et comment les résoudre ensemble pour assurer une protection efficace des informations confidentielles ? Personne n'est à l'abri du sabotage de l'infrastructure informatique. Tout salarié peut s'offusquer de la direction ou de ses collègues, même pour la plus insignifiante raison, puis commettre un véritable sabotage : détruire des informations extrêmement importantes pour l'entreprise, envoyer des lettres obscènes aux clients de l'entreprise, etc. Évidemment, les dégâts dans ce cas peut varier d'un climat de travail détérioré à des pertes directes de plusieurs millions de dollars. Les préoccupations des entreprises concernant la sécurité informatique interne et la protection de leurs actifs informationnels sont constamment confirmées par des recherches menées par des organisations de premier plan. Selon l'enquête 2005 du FBI sur la criminalité informatique, publiée en janvier 2006, 44% des entreprises américaines ont été touchées au cours de l'année à la suite d'incidents graves dans la sécurité informatique interne, tandis que des initiés ont volé des documents confidentiels de l'employeur, tenté de déformer des informations dans le but de fraude financière, provenant du matériel de bureau, etc. Actuellement, sur le marché des systèmes conçus pour protéger les informations confidentielles contre les fuites (DLP), il existe plusieurs technologies de base de détection de base, notamment l'analyse linguistique et contextuelle, ainsi que les empreintes digitales et les étiquettes. De nombreuses personnes dans les organisations commerciales sont familiarisées avec le contrôle des entreprises, comme les écoutes téléphoniques sur les téléphones de bureau. Habituellement, cela est fait par les agents de sécurité des grandes et moyennes organisations au nom de la direction, et les écoutes téléphoniques peuvent être à la fois publiques et privées. Comment déterminer lequel des employés de l'organisation et de ceux qui entrent dans le travail cause ou peut nuire à ses intérêts? Comment identifier les alcooliques potentiels, les personnes sujettes au vol et celles qui ne seront jamais productives ? Après tout, ils peuvent tous devenir des employés de votre entreprise. Comprendre cela avec compétence n'est pas une tâche facile. Cet article décrit le rôle du facteur humain dans la garantie de la sécurité de l'organisation, certaines sources potentielles de risques pour le personnel et les mesures pour en protéger l'organisation. Ces dernières années, la protection des informations d'entreprise contre les menaces internes est passée d'une tendance à la mode pour certaines entreprises à un domaine complètement indépendant de la sécurité de l'information. Les top managers commencent progressivement à reconsidérer leur attitude vis-à-vis du financement et considèrent la protection des données contre les menaces internes non seulement comme une source de coûts, mais aussi comme un avantage concurrentiel pour l'entreprise. De nombreuses organisations ont formé des équipes et des départements spéciaux pour protéger les secrets commerciaux, les données personnelles et autres informations confidentielles. La valeur de l'information comme l'une des composantes de toute entreprise ne peut guère être surestimée : selon les experts, la perte d'un quart seulement des informations classées comme secret commercial d'une organisation, en quelques mois entraîne la faillite de la moitié des ces organisations qui ont divulgué de telles informations. En informatique, plus que dans tout autre domaine, le succès de l'entreprise repose souvent entièrement sur un bon savoir-faire, des progrès technologiques, une stratégie marketing, ou même simplement une idée originale. De plus, les informations les plus précieuses sur ces décisions, mouvements et idées existent dans l'esprit des employés de l'entreprise. Force est de constater que le stockage est loin d'être le plus fiable en termes de protection des informations confidentielles contre les accès non autorisés ou indésirables par des tiers, ou contre leur utilisation déloyale par le salarié lui-même, par exemple, pour créer son propre développement concurrentiel. Ci-dessous, nous expliquerons comment l'employeur peut contrôler la diffusion d'informations commercialement importantes à l'intérieur et à l'extérieur de l'entreprise, comment les droits de l'employé peuvent être respectés et quelle compensation il devrait recevoir pour une restriction connue de ces droits. Et aussi comment le salarié est responsable de la divulgation des informations secrètes de son employeur. "Que cette coupe me dépasse !" Chassant de nous-mêmes les pensées les plus désagréables, nous prononçons ce sortilège secret aux moments les plus différents de notre vie. Qu'il s'agisse d'un voyage dans un marché de vêtements à la tire ou d'un retour tardif à la maison. Le sentiment de sécurité ne surgit pas en nous, parfois, même dans notre propre appartement. Les rapports de police ressemblent à la chronique des hostilités. Selon les statistiques, il y a un cambriolage toutes les 3,5 minutes en Russie. En règle générale, il n'est pas possible de détecter les intrus. Mais une telle nuisance peut-elle être évitée ? Les spécialistes de la société Promet, fournisseur et fabricant leader de coffres-forts domestiques et de meubles métalliques, répondent à cette question avec certitude : un coffre-fort deviendra une protection fiable de votre épargne. Récemment, le problème de la protection contre les menaces internes est devenu un véritable défi pour le monde compréhensible et bien établi de la sécurité de l'information d'entreprise. La presse parle d'initiés, les chercheurs et les analystes mettent en garde contre d'éventuelles pertes et problèmes, et les fils d'actualité regorgent de messages sur le prochain incident qui a conduit à la fuite de centaines de milliers d'enregistrements de clients en raison d'une erreur ou d'une inattention des employés. Essayons de déterminer si ce problème est si grave, s'il doit être traité et quels sont les moyens et les technologies disponibles pour le résoudre. Aujourd'hui, de plus en plus d'organisations utilisent des solutions DLP (Data Loss Prevention) pour protéger les informations de l'entreprise contre les fuites. Avant de mettre en œuvre la DLP, chaque entreprise évalue les risques et construit un modèle de menace, qui spécifie les classes d'informations protégées, les scénarios d'utilisation des données et les menaces associées. Dans la plupart des cas, les lecteurs externes, les imprimantes, la messagerie d'entreprise et divers services Web sont reconnus comme des canaux potentiels de fuite de données, et peu de gens pensent à protéger les données écrites sur des bandes magnétiques ou d'autres supports de sauvegarde, qui, par conséquent, sont stockées et transportées. sous une forme non protégée. L'étude de la sécurité de l'information des entreprises et de l'efficacité des mesures pour l'assurer, actuellement mises en œuvre dans les systèmes d'information d'entreprise (SIC) des banques, attire inévitablement l'attention d'une enquête menée en 2011 par Sailpoint Technologies, sous un aspect quelque peu éloigné des définitions de "protection des ordinateurs contre les accès non autorisés" et" accès non autorisés aux informations informatiques "(NSD) - les analystes ont évalué la fidélité des employés des entreprises à l'éthique des entreprises en termes de travail avec des informations à usage limité. Aujourd'hui, la menace interne est un problème urgent pour les services de sécurité de l'entreprise. Les organisations fournissent à leurs employés temporaires et permanents un accès à des informations critiques, ce qui constitue une menace sérieuse pour la sécurité de l'organisation. Il est plus facile pour le personnel de l'entreprise de voler ou d'abuser des informations existantes que n'importe qui d'autre, puisqu'il a un accès direct aux actifs informationnels de l'organisation. Selon une étude de Trustwave, 80% des incidents de sécurité de l'information se produisent à la suite de l'utilisation de mots de passe faibles. Les initiés ont été la principale cause d'incidents récents au ministère de la Santé de l'Utah et de la Caroline du Sud aux États-Unis. L'utilisation de l'authentification par mot de passe dans les SI des entreprises et des organisations devient obsolète. En continuant d'appliquer cette méthodologie d'accès traditionnelle à leurs propres actifs informationnels, les entreprises mettent effectivement en péril la rentabilité et, éventuellement, l'existence même de l'entreprise. Un jour, presque toutes les organisations commencent à réaliser qu'elles ont besoin d'une protection fiable des informations d'entreprise. L'un des moyens les plus efficaces de protéger vos données est d'installer un système DLP dans votre entreprise. Dans la plupart des cas, l'organisation motive sa décision par le fait que ces systèmes protègent de manière fiable les informations confidentielles et leur permettent de se conformer aux exigences des autorités réglementaires. Combien d'exemplaires ont été brisés dans le débat sur la question de savoir si les initiés constituent une menace réelle pour les entreprises ou non. Le secteur bancaire, étant à la pointe des technologies modernes, a toujours été l'un des premiers à tester les nouveautés du monde informatique et du secteur de la sécurité de l'information en particulier. Authentification à deux facteurs, systèmes biométriques et plus encore. Tout cela a résonné là où les gens pratiques préfèrent garder leurs économies. Mais c'est ainsi que s'arrange notre mentalité slave, cela « jusqu'à ce que le tonnerre éclate ». Et donc, dissipons les principaux mythes qui sont encore non, non, oui, et que l'on retrouve dans le secteur bancaire. Au cours des deux dernières années, les opérateurs des "trois grands" se sont déjà déshonorés à deux reprises sur les messages SMS. Pour la première fois, Yandex "a aidé" et, en principe, la fuite peut être classée comme une fuite "par négligence". Mais cette fois ... Le Service fédéral de sécurité a signalé qu'un groupe de malfaiteurs avait été découvert qui avait reçu des archives de correspondance par SMS de trois hauts fonctionnaires moscovites de la part des employés de MTS et de VimpelCom, après quoi VimpelCom a confirmé le fait de la fuite d'informations. , tandis que MTS, au contraire, a nié. Laissons à l'enquête la recherche des coupables et prêtons attention aux pièces du dossier : des employés non identifiés des centres techniques des opérateurs mobiles ont transféré des informations confidentielles à des tiers. Dans le langage des « hommes de la sécurité », il y avait des actions d'initiés. La prévention des fuites d'informations, l'accès non autorisé est l'une des tâches les plus importantes du service de sécurité de l'information de toute organisation. S'il existe des informations confidentielles (état, secret commercial, données personnelles), alors se pose le problème de leur protection contre le vol, la suppression, la modification, la visualisation. Avec la croissance de l'entreprise, le risque de vol d'informations, y compris par les employés, augmente, les risques financiers et de réputation augmentent, ce qui conduit à un resserrement des politiques et des systèmes de contrôle. À notre époque, l'information est d'une grande valeur. Sa possession offre d'énormes opportunités dans les domaines des affaires, de l'économie, de la politique et d'autres. Pas étonnant qu'ils disent à qui appartient l'information possède le monde, et qui possède l'information des autres est bien mieux préparé pour la compétition que ses rivaux. Il existe de nombreux formats de fichiers différents qui stockent des informations textuelles, notamment TXT, RTF, DOC, DOCX, HTML, PDF, etc. etc. Cependant, pas une seule entreprise, tant dans notre pays que dans le monde entier, n'offrait la protection de la documentation XML. Examinons de plus près ce que sont les fichiers XML, pourquoi ils doivent être protégés et comment la protection a d'abord été créée pour ce format.
| Articles Liés: | |
|
Protection contre les initiés et les fuites d'informations
Des recherches récentes en sécurité de l'information, par exemple... FastStone Image Viewer - Logiciel gratuit de visualisation et d'édition d'images
Igor. Mise à jour : 22 avril 2019. Bonjour chéri ... Comment faire une capture d'écran d'une page
Voyons à quoi ressemble une capture d'écran... | |
