понедельник, 24 июня 2013 г.

Прикручивание клавиатурного почерка к DLP-шке

Современная тенденция к конвергенции ИТ захватывает и ИБ решения. Антивирусы уже давно не только антивирусы, как сложные комплексы со всякими МЭ и HIPS на борту. DLP-систем это тоже касается. Кстати, недавно смотрел обзор Dozor Jet - встретилась интересная фича - когда пользователь пытается отправить "потенциально конфиденциальную" информацию, ему высвечивается сообщение о том, что он, возможно, делает нехорошее дело... и т.к. абсолютное большинство утечек случайны - то такая фича может быть полезной.

Мой бывший коллега в своей диссертационной работе предлагает ввинтить в DLP-шку еще иклавиатурного почерка для скрытой аутентификации. Технически большой проблемы внедрить такой модуль при наличие клиентской части DLP я не вижу... главным становится вопрос "Зачем?". И тут уже начались наши совместные размышления...

Во-первых, таким модулем мы пытаемся защититься от отказывающих признавать свои действия. Во-вторых, защищаемся от тех злоумышленников, которые для отправки конфиденциальных сведений воспользуются чужой учеткой. Вот только все это работает только если о "клавиатурном модуле" не известно широкой общественности.

Начнем с модели нашего нарушителя. Будем рассматривать нарушителей 3-х типов:
  1. Администраторы — лица или обладающие легитимным доступом в защищаемые системы, либо способные без особых проблем получить такой доступ
  2. Высококвалифицированные специалисты, способные тем или иным способом выудить пароли от защищаемой информации
    1. с установкой аппаратных или программных шпионов на компьютер легитимного пользователя
    2. с перехватом пароля, передаваемого в открытом виде по сети, к ресурсам общего доступа (в нормальных организациях, конечно, таких систем нет... но они точно есть - видел :))
  3. С использованием методов агентурной разведки (подкуп, шантаж, грамотное общение за кружкой пенного)
Причем последних крайне мизерный процент, т.к. имея возможность воздействовать на легитимного пользователя проще заставить его самого стать инсайдером. И защита от этого уже, пожалуй, за пределами технических решений...

Если принять, что лояльность и осведомленность в ИБ всех сотрудников компании примерно одинакова, то доля наших инсайдеров:
([количество админов в компании] + [количество крутых ИТ-шников в компании]) / [общее число сотрудников]
Таким образом, процент таких инсайдеров для компании в 1000 человек, навскидку, я бы взял всего около 2-3% от общего числа инсайдеров (если речь идет не о компании работающей в ИТ или ИБ сферах, конечно). И, опять же, я не рассматриваю компании без парольной политики (и у половины по полгода пароль qwerty) и где пароли прячут под клавиатурой. Но последнее - крайне распространенное явление.

Теперь экономическое обоснование... Обнаружение такого злостного инсайдера, скрывающего
свою личину, весьма полезно для защиты информации компании от будущих утечек. Таким образом реальное снижение рисков будет, даже в типичной коммерческой компании с правильно построенной системой аутентификации и распространения аутентификационной информации (что, правда, для типичной компании совсем не типично) будет не 2-3%, а раза в два выше. Что при минимальных затратах на внедрение не так уж и плохо.

Но у этой штуки есть и другие плюсы. Во-первых, мы избегаем такого риска, как обвинить невиновного. Последствия для атмосферы в коллективе в целом и отношения к Службе информационной безопасности в частности могут быть весьма негативными. Что в свою очередь, если верить системно-динамической модели внутреннего нарушителя ведет к увеличению числа инсайдеров в компании.

Другое интересное применение - клавиатурный почерк довольно сильно зависит от психофизического состояния человека. Если система выдала алерт о том, что "почерки не сходятся", весьма возможно, что у человека стресс, или он с похмелья, или приболел по другим причинам... в любом случае, нужно понимать, что его эффективность наверняка снижена. Осталось придумать, как эту информацию можно этично использовать :)

P.S. Кстати, о проектах друзей. Мои знакомые сделали симпатичный календарик :)