Реферати українською » Информатика, программирование » Проблеми виявлення прихованої передачі мережами


Реферат Проблеми виявлення прихованої передачі мережами

Олексій Миколаїв, фахівець із захисту інформації ВАТ "Концерн Вега"

Інсайдер – обличчя, має у свого службового чи подружнього стану доступом до конфіденційної комп'ютерної інформації про справи компанії, і навіть обличчя, видобувне конфіденційну інформацію про діяльність компанії та що використовує їх у цілях свого особистого збагачення.

У сфері інформаційних технологій компанії зіштовхуються із низкою проблем безпеки. Однією з цих проблем є можливість влучення конфіденційної комп'ютерної інформації в локальні обчислювальні мережі (ЛВС) компаній, які передбачають доступом до ресурсів Інтернету, що зумовлює появі ризиків, що з можливістю витоку цієї інформації.

Рівень матеріальних збитків компаній (як потенційно можливого, і фактичного шкоди) від прихованої просочування інформації дуже високий. Він також призводить і до збитку репутації постраждалих компаній. На думку фахівців, втрата 20% інформації, що є конфіденційної, в $60 випадках із 100 призводить до банкрутства компанії. До того ж багато дослідницькі компанії відзначають – більш 80% всіх інцидентів, пов'язаних із порушенням інформаційну безпеку, викликані внутрішніми погрозами. Джерелами таких загроз, які спричинили у себе порушення конфіденційності інформації, є інсайдери.

Результати досліджень Результатів аналізу інцидентів за 9-ї місяць 2008 р., представлені компанією InfoWatch, показали, що витоку з допомогою мереж, зокрема Інтернету, склали 41% від усіх навмисних інцидентів (табл. 1). Преднамеренные причини витоку склали 36,9% за ж місяць, і при тому, що 13,3% витоків за своїм статусом не визначено (табл. 2).

Така статистика свідчить, що є дуже актуальна проблема прихованої передачі конфіденційної комп'ютерної інформації через мережу.

Основні канали витоку конфіденційної комп'ютерної інформації Досвід свідчить, що приховану передачу інформації знайти складніша. Зазвичай, канал просочування інформації шляхом її прихованої передачі можна знайти лише після його тривалої експлуатації инсайдером. Отже, найнебезпечнішій загрозою вважатимуться приховану відплив конфіденційної комп'ютерної інформації, яка може бути тривалої.

Що стосується коли об'єднання комп'ютерів в ЛВС передбачає підключення цієї мережі до зовнішніх мереж, виникає чимало можливостей освіти прихованих каналів витоку конфіденційної комп'ютерної інформації.

Основні канали витоку конфіденційної комп'ютерної інформації, характерні для таких мереж:

- несанкціоноване копіювання конфіденційної комп'ютерної інформації на зовнішні носії, її винесення межі контрольованій зони;

- висновок на печатку конфіденційної інформації та її винесення на роздрукованих документах межі контрольованій зони;

- несанкціонована передача конфіденційної комп'ютерної інформації через мережу в зовнішні мережі межі контрольованій зони;

- розкрадання носіїв конфіденційної комп'ютерної інформації.

Способи прихованої передачі Боротьба навмисними витіками – завдання дуже складна. Ефективність такий боротьби переважно явно нижче, ніж боротьби з випадковими витіками, через те що потрібно протидіяти зловмисним хитруванням інсайдерів, на озброєнні яких є низка цікавих можливостей прихованої передачі, і навіть програмних і навіть апаратних засоби її реалізації.

Дедалі більшу небезпека набувають такі способи прихованої передачі:

- можливість прихованого каналу просочування інформації виникає під час використання інсайдерами анонімних https- та інших захищених проксисерверов: туннелирование, що дозволяє зловмиснику, використовуючи дозволений протокол, передавати у ній конфіденційну інформацію, минаючи міжмережевий екран;

- стеганографические способи приховування інформацією різних файлах шляхом камуфлирования;

- шифрування инсайдером конфіденційної комп'ютерної інформації перед її відправкою;

- використання инсайдером шкідливих програм для реалізації прихованої передачі.

Варіанти закриття каналів просочування інформації - ізолювання ЛВС до роботи з конфіденційної інформацією;

- використання системи віддаленого і локального моніторингу робочих станцій користувачів;

- використання коштів криптографічного і антивірусної захисту;

- застосування коштів контентного аналізу переданих даних як на зовнішній мережу, що з зовнішньої мережі в ЛВС компанії;

- застосування засобів контролю доступу до зовнішніх носіям.

Рішення проблеми Можна скористатися нагодою детектувати його присутність серед загальному потоці даних зашифрованности і стеганографической закамуфлированности конфіденційної комп'ютерної інформації у тому, аби виявити приховані канали витікання інформації та перекрити їх у основі результатів стало. Проте є проблема вибору оптимальний рівень продуктивності комп'ютера при реалізації такої контролю та аналізу, у режимі реального часу – потрібна велика продуктивність аналізаторів трафіку. Суть у цьому, такі алгоритми можуть істотно затримувати передачу інформації, що дуже негативно б'є по бізнесі компанії. На все 100% контролювати зовнішню мережу дуже важко. На локальному рівні такий глибокий контроль наштовхує на низку незручностей, викликаних необхідністю використання прихованих відеокамер, кейлоггеров, віддаленого моніторингу, закриття портів, а таких умовах співробітникам вже стає працюватиме, як мінімум незручно.

Лише часткове розв'язання проблеми шляхом контролю та аналізу трафіку перестав бути панацеєю. Простіше ізолювати локальну мережу з обробкою конфіденційної комп'ютерної інформації, ніж контролювати передачу інформації на зовнішні сервери. Тому буде надійніше, тоді як компанії передбачуватиметься і реалізована спеціально виділена ізольована локальна мережу в обробці конфіденційної комп'ютерної інформації у межах контрольованій зони, а роботи із відкритою інформацією – зовнішня мережу, має підключення до Інтернету. Моніторинг комп'ютерів зовнішньої мережі здійснює адміністратор безпеки, який контролювати з різних засобів захисту комп'ютери співробітників, що працюють у такий мережі. Отже, ефективніше поряд з іншими способами захисту використовувати комплексний підхід з ізолюванням сегмента ЛВС в обробці конфіденційної інформації та застосовувати у своїй кошти на боротьби з інсайдерами для зовнішнього сегмента компанії, що дозволить скоротити погрози та мінімізувати ризики просочування інформації.

Прихована передача конфіденційної комп'ютерної інформації зловмисником з допомогою найрізноманітніших коштів – більш загрозливо безпеки компанії.

Таблиця 1. Розподіл по носіям для навмисних витоків (9-ї міс. 2008 р.)

Носії Кількість Частка
Мобільні носії інформації 14 15%
Стаціонарний комп'ютер чи диск 13 14%
Мережа (зокрема Інтернет) 38 41%
Paper document 2%
Інше 6 7%
Не встановлено 21%

Таблиця 2. Причини просочування інформації (9-ї міс. 2008 р.)

Причина витоку Кількість інцидентів Частка від загальної кількості
Навмисні 92 36,9%
Випадкові 124
Не встановлено 33 13,3%

***

Коментар експерта

Євген Мельников, начальник відділу інформаційну безпеку департаменту ІТ ДК ЗАТ "Тандер" Євген Іванов, Ганна Орєхова, фахівці з інформаційну безпеку департаменту ІТ ДК ЗАТ "Тандер"

Витік інформації, так само як її розкрадання (несанкціоноване копіювання) є серйозними проблемами інформаційну безпеку у створенні будь-якого масштабу. У кількох випадках, якщо вона, необхідно виявити її канал і допустити повторення інциденту.

***

Прихована передача інформації

При прихованої передачі інформації приховується сам собою факт її передачі. Виявити такий канал витоку дуже непросто. Отже, зловмисник може знову і знову використовувати його на своїх цілях. Можливостей приховано передавати інформацію нескінченно багато, не так важко проявити фантазію. Організувати приховану передачу інформації може виглядати як зловмисник ззовні, і співробітник компанії. Зовсім необов'язково мати правами адміністратора, достатньо лиш мати доступом до інформації, бажання її продати й духовності людини, готового її купити.

Можна навести простий приклад. Два користувача домовляються, що, якщо слово у міжнародному сполученні містить парне кількість літер, передається біт, рівний 1, і якщо парне – 0. Що стосується як у ролі зловмисника виступає адміністратор, можливо впровадження программы-закладки, яка прихованим чином передавати інформацію чи дозволить управляти мережею ззовні.

Трапляється, що головні розробники програмного забезпечення не впроваджують у код недокументированные функції, виконання яких можуть призвести спричиняє порушення цілісності корпоративної інформації.

***

Способи організації прихованих каналів

Останнім часом дедалі більше можна почути про про прихованих каналах передачі. Саме це поняття існує з 1973 р., де прихованим хтось називає каналом, який проектувався і передбачався передачі інформацією електронної системі обробки даних. Для організації прихованого каналу потрібна наявність закладання в програмному чи апаратній забезпеченні.

Одне з способів організації прихованого каналу – перестановка мережевих пакетів належним чином. У цьому з урахуванням заздалегідь обумовлених ознак передається послідовність біт.

Ще одна спосіб організації прихованого каналу – використання алгоритмів електронного цифрового підпису. С.В. Белим і А.М. Федосєєв 2007 р. здійснили дослідження довели можливість створення прихованих каналів у межах алгоритму електронного цифрового підпису ГОСТ Р 34.10–2001.

У роботах іноземних авторів показано реалізація прихованих каналів для цифрових підписів Онга-Шнорра-Шамира, Эль-Гамаля, ESIGN і DSA.

Звісно, прості користувачі, бажаючі продати інформацію конкурентам, шукатимуть простіші засоби її розкрадання. Однак у рамках інформаційну безпеку (захисту комерційної таємниці організації) то цієї проблеми актуальна. Оскільки більшість використовуваного апаратного та програмного забезпечення є імпортним, то ймовірність впровадження закладок збільшується. Використовуючи прихований канал, зловмисник може отримати доступом до конфіденційної (службової) інформації, а й впровадити шкідливий код або команду виконання.

У Росії її про розробку наукової методології організації боротьби з прихованими каналами в інформаційних мережах заявив наприкінці 2006 р. Російські вчені розробили математичну модель побудови прихованих каналів, оцінки їхньої пропускну здатність і методів боротьби із нею.

Торішнього серпня 2006 р. незалежний експерт з питань інформаційну безпеку Роберт Мерфі представив програмний продукт VoodooNet. Тут для прихованої передачі використовується протокол IPv6. Багато продукти забезпечення безпеки не контролюють дані, передані у цій протоколу, тоді як стандарт підтримується програмним забезпеченням маршрутизаторів. Аби вирішити проблеми прихованої передачі даним способом необхідно використовувати мережні устрою, контролюючі дані, передані за протоколом IPv6.

Ще однією способом прихованої передачі є передача даних з урахуванням хаотичної синхронізації. А. Короновский, Про. Москаленко, П. Попов, А. Храмов в 2008 р. запропонували новий спосіб, характеризується сталістю до шумів і флуктуаціям в каналі зв'язку.

Укладання

Отже, підіб'ємо підсумки. У разі жорсткої конкурентності використовуються будьякі засоби і нові методи добування інформації, розголошення якій у змозі завдати компанії масу проблем, починаючи з перевірок правоохоронні органи, втрати довіри клієнтів, інвесторів і кредиторів.

У межах кризи проблема витоку конфіденційної (службової) інформації лише зростає. Усе це вимагає пильної уваги адміністраторів безпеки, і навіть наукового підходи до проблеми. Необхідно впровадження організаційних методів (розробка регламентів забезпечення інформаційну безпеку з обов'язковим доведенням до всіх співробітників), перевірка установлюваного програмного забезпечення на наявність недекларируемых можливостей, екранування мережі, наявність грамотно налаштованої системи антивірусної захисту, і навіть постійний контроль користувачів з використання коштів зберігання інформації (використання мобільних пристроїв).

***

Дмитро Козирєв, експерт ТОВ "ИНФОРИОН"

Стеганография – наука про утаємничення даних. Як метод, використовуваний під час передачі даних, стеганография приховує сама наявність переданої інформації. На відміну від криптографічних методів, коли повідомлення передається зашифрованим текстом, методи стеганографии дозволяють вбудовувати приховану інформацію в поширені типи повідомлень те щоб не можна було запідозрити (знайти) існування инкапсулированной інформації.

Нині є безліч утиліт і коштів на реалізації стеганографического приховування інформації. У зв'язку з цим гостро виникають проблеми виявлення передачі прихованої інформацією каналах зв'язку й, зокрема, виявлення витоків конфіденційних даних. Найчастіше при приховуванні переданої інформації використовуються відомі універсальні алгоритми стеганографии. Але у усією їхньою простоті є безліч реалізацій методів впровадження, та й найменші зміни алгоритмів істотно ускладнюють пошук і освоєння виявлення прихованої інформації.

Сучасні спеціалізовані методи виявлення стеганографического приховування інформації засновані на виявленні відхилення статистичних характеристик що спостерігається інформації (типів файлів, повідомлень) від неї очікуваної моделі. Загальний недолік статистичних методів стегоанализа у тому, що побудова точної математичну модель контейнера – можливого носія прихованої інформації – є лише складною і нині невирішеною завданням. З іншого боку, основним обмеженням існуючих методів і те, що вони дозволяють виявляти приховану інформацію постфактум.

Методи виявлення инкапсулированной інформації вимагають високі транспортні витрати, обчислювальних ресурсів, і з урахуванням обсягу потенційних об'єктів аналізу їх реалізація дуже складною. Насправді такі методи нині не реалізовані жодним виробником систем DLP, а питання пошуку інформації, прихованої стеганографическими методами, залишається питанням відкритим. Отже, і сьогодні завдання виявлення витоків конфіденційних даних в прихованих каналах передачі є як і актуальною.

Список літератури

Information Security №1, лютий-березень 2009


Схожі реферати:

Навігація