Правый суд для мира ИТ

     ЗАЩИТА ДАННЫХ

     Система должна сама выявлять подозрительный контент в контексте

Дать определение "подозрительному трафику" я не берусь, но узнаю его с первого взгляда. К сожалению, такая человеческая особенность - да простит меня почивший судья Поттер Стюарт, полагавшийся на нее при определении порнографии, - не очень-то подходит для корпоративной среды. Слишком много здесь конфиденциальной информации, требующей непрерывного строгого контроля за доступом и пересылкой. В результате корпоративная и личная репутация (не говоря о все большей опасности судебных преследований) становится заложницей придуманных и развернутых нами систем. Именно они должны автоматически оценивать информацию в контексте и быстро сообщать нам обо всех подозрительных моментах, нисколько не вмешиваясь при этом в нашу с вами работу.

На оборону по периметру надеяться не приходится: и незначительные нарушения, и опасные утечки нередко случаются по вине тех, кому предоставлены все необходимые права. Нельзя также полагаться на политику защиты информации или подготовку служащих, так как очень многие проблемы возникают из-за их ошибок. Что же касается межсетевых экранов, антивирусных сканеров, противоспамовых программ и других подобных средств, то они защищают лишь от универсального зла, нисколько не вдаваясь в конкретные обстоятельства.

"Нынешний инструментарий я бы назвал угрозоцентричным, - услышал я недавно от старшего директора фирмы PortAuthority Technologies Шарона Бессера (его имя звучит так же, как фамилия Ариэля Шарона, но никак не имя Шэрон Стоун) в разговоре об опасности утечки данных и путях ее устранения. - Разные организации получают примерно одинаковые вирусы; мало чем различается и спам, но контент - дело совсем другое. И у вас, и у меня есть контракты, мы оба владеем коммерческой тайной, однако на этом сходство между нами и заканчивается, поскольку мы имеем дело с совершенно разными документами".

По мнению Бессера, необходим такой способ обнаружения утечек информации, который давал бы минимум ложных тревог, не мешая выполнению бизнес-процессов. Особое значение, считает он, должно придаваться роли каждого пользователя. Начальник отдела кадров, например, может часто запрашивать номера карточек социального страхования, тогда как врачу приходится обсуждать применение виагры. Ни одно из сообщений такого рода не должно удаляться или задерживаться только потому, что программа заподозрит нежелательный контент или найдет в тексте запретные слова.

С моей точки зрения, совершенно ясно, что такую задачу необходимо автоматизировать: мы не можем позволить себе отвлекать людей на непродуктивный труд, да и о возможности операторских ошибок забывать не стоит - очень уж велика их вероятность. К тому же процесс должен выполняться совершенно незаметно для пользователей, ведь они обязательно найдут способ обойти любую систему, которая создает дополнительную нагрузку, нисколько не помогая работать.

Труднее всего реализовать глубокий анализ того, что действительно передается по проводам, не полагаясь на такие легко фальсифицируемые признаки, как расширение имени файла. Дело в том, что пользователи часто применяют сокращения, помогающие быстрее выполнить работу, нисколько не тревожась о том, что у них могут быть и другие общепринятые значения. Что даст, скажем, проверка приложения к письму на наличие расширений .zip или .exe? Стоило мне написать в поисковике выражение "rename zip firewall", как в пятой строке появилась ссылка на довольно полезный ресурс - игровой форум, участник которого интересовался, как пропустить exe’шный файл через брандмауэр. В ответ он получил несколько интересных и даже ценных предложений, одно из которых звучало примерно так: декодировать бинарный файл по base64 и отправить его по почте в виде текста. А во избежание повреждений - сжать его перед отправкой. Неплохой совет, вполне подходящий для большинства корпоративных систем (если только в них не ограничен предельный размер электронного письма).

Ну а если пользователь может в считанные секунды получить такую рекомендацию, через пару минут загрузить необходимое, а еще через часок освоить нужный инструментарий, то ни один способ защиты информации долго не продержится. Подход здесь должен быть только многовекторным. Конфиденциальные документы, например, можно снабжать "отпечатками пальцев" - этот термин применяет PortAuthority в отношении своего приложения многократного хэширования.

И наконец, не обойтись без наглядного отображения ошибок и нарушений, для чего в версии PortAuthority 3.5 предусмотрены специальные средства выявления тенденций развития проблемы. Что ж, мы опять возвращаемся к правилу судьи Стюарта: чтобы узнать, нужно иметь возможность посмотреть. Будем надеяться только, что посмотреть мы сможем на более высоком уровне.