Sistem avansat de protecţie a conţinutului digital
Este mai simplu să ataci din exterior sau din interior ? Acces autorizat !!! Conţinut digital Aplicaţii Sistem de operare Intranet/Extranet B2B,B2C,fuziuni Scopul strategic al dezvoltării sistemului este protecţia faţă de abuzurile utilizatorilor din reţeua organizaţiei. Presa se ocupă prea mult de hackerii care atentează la siguranţa datelor prin conexiuni Internet, dar sursa reală a pericolului este alta Utilizatorul are acces la bazele de date ale organizaţiei, în timp ce pentru hacker accesul este îngreunat de o serie de soluţii de tip IDS şi firewall (desigur, dacă ştie exact ce doreşte să obţină). Fapt regretabil, criminalitatea bazată pe abuzuri privind utilizarea ilegală a dreptului de acces la informaţii clasificate este forma cea mai răspândită şi mai eficientă în lumea întreagă; 80% din prejudicii se datorează comerţului cu informaţii. Internet
Rolul aplicaţiei Isee în securitatea IT a organizaţiei P r o t e c ţ i e ? Client / server Sistem de operare Alte componente software Alte componente hardware Control manual Conţinut digital Pentru protecţia datelor ne stau la dispoziţie numeroase soluţii care acoperă câte un segment din domeniile protejate prin politicile de securitate stabilite la nivel de organizaţie. Dar s-au găsit oare soluţii pentru toate problemele ? Zilnic apar în presă informaţii scurse din interiorul diverselor instituţii şi societăţi, care pot zgudui din temelii imaginea organizaţiei respective sau pot să le fie chiar fatale. Putem constata că în „cetatea” în care ne păstrăm valorile există numeroase breşe de securitate. ISee este soluţia eficientă pentru „astuparea” acestora. P o l i t i c a d e s e c u r i t a t e IT
Rolul aplicaţiei ISee : controlul fluxului de date pe canalele output La nivel de sistem de operare La nivel de aplicaţii Control ISee Previne: Accesul neautorizat, controlul conţinutului copyright Secrete de stat, Secrete de afaceri, secrete de serviciu, bancare, etc. Control ISee Previne: Gestiunea frauduloasă a datelor, hackingul din interior, actele de sabotaj Rezultat : Flux controlat de date pe canalele de output Aplicaţia ISee este un instrument de protecţie a datelor, oferă soluţii eficiente pentru securizarea conţinutului digital în conformitate cu regulamentele organizaţiei. Constituie un firewall logic pe două niveluri: Sistem de operare Aplicaţii La nivel de aplicaţii se pot preveni prejudicii provocate de modificări şi coruperi de date. Componenta firewall la nivelul sistemului de operare se previn vandalizările, sabotajul. Prin combinarea celor două niveluri de securizare se pot stabili în mod riguros conţinutul şi forma fluxurilor de informaţii înspre canalele de output. Previne: Scurgerea de informaţii
Funcţii principale 1. Preventivă Protecţie automată în timp real prin reguli predefinite. Scop: Îndeplinirea politicii de securitate a organizaţiei Client Conţinut digital 1. Restricţii 2. De analiză Off-line: Reconstituire de activităţi pe baza evenimentelor înregistrate On-line (detecţie): Identificare de puncte vulnerabile (breşe de securitate) 3. Control Informaţii 2. Analiză Detecţie 3. De control Management centralizat Off-line: Definire de restricţii On-line: Intervenţii de la distanţă
Acţiune manuală de la distanţă (remote access) Cum funcţionează ? Componentă client Baze de date Componentă server Interfaţă management Logică de funcţionare Încărcare reguli Definire reguli Jurnalizare evenimente Evaluare evenimente Sistemul este structurat pe trei componente majore. Management Interfaţa management (Inspector) are rolul de a stabili ansamblul de reguli care va guverna sistemul, precum rolul de a evalua evenimentele în derulare. Ansamblul de reguli se stochează pe componenta server. Server Logica de funcţionare A működési logika központi tárolására, illetve a rendszerben keletkező események tárolására szolgáló relációs adatbázis-kezelőből és egy alkalmazásból álló komponens. Ez az Agent. Kliens A kliens számítógépekre feltelepülő, a háttérben működő, a file rendszerben nem látható minialkalmazás, amely saját intelligenciával rendelkezik. Az alkalmazást az ISee terminológiában Sniffernek hívjuk. Telepítés után önállóan, hálózatról leválasztott üzemmódban is működik (pl. notebook). Sniffer Acţiune manuală de la distanţă (remote access)
Logica de funcţionare a protecţiei fişierelor Cine, la ce nivel de autorizare ? Care fişiere ? Cu ce fel de aplicaţie ? Ce operaţie vrea să facă ? Pe care din periferice ? Utilizator local sau la distanţă ? Administrator sau altă persoană cu autoritate similară ? Protejate (RO/WO) ? Toate fişierele cu extensia .doc Dosar întreg Cu cale specificată Fişierele .doc numai cu Word for Windows Oricare aplicaţie este autorizată Copiere, salvare sub alt nume, ştergere redenumire Ataşament e-mail Tipărire Clipboard Printscreen Medii de stocare locale Medii de stocare amovibile Plug-n-play (USB, wireless, etc.) NU NU NU NU NU Cum operează aplicaţia înainte de a autoriza accesul ? Galben: condiţii logice Verde: condiţii şi scenarii programabile conform regulilor de securitate pe care aplicaţia le analizează Albastru: nivel decizional, sunt îndeplinite sau nu condiţiile impuse, pasul următor se autorizează sau nu Arhivare Arhivare Arhivare Autorizarea operaţiei Restricţionarea operaţiei
Logica de funcţionare a protecţiei aplicaţiilor Cine, la ce nivel de autorizare ? Care aplicaţii ? Ce operaţie vrea să facă ? - Utilizator local sau la distanţă ? Administrator sau altă persoană cu nivel de autorizări similare ? - Nu figurează în inventarul de soft - Soft cu nume specificat ? - Rulată dintr-o altă locaţie, ex: NU din C:\Program files - Este componentă sistem ? - Ştergere, redenumire, etc. - Rularea programului NU Arhivare Restricţionarea operaţiei Autorizarea operaţiei Cum operează aplicaţia înainte de a autoriza accesul ? Galben: condiţii logice Verde: condiţii şi scenarii programabile conform regulilor de securitate pe care aplicaţia le analizează Albastru: nivel decizional, sunt îndeplinite sau nu condiţiile impuse, pasul următor se autorizează sau nu
Definirea politicilor de securitate Structură - arbore: Defalcarea pe evenimente elementare a principiilor directoare stabilite prin politica de securitate --Reguli la nivel de fişiere --Citire --Ştergere --Redenumire --Copiere --Citire foldere --Ştergere foldere --Redenumire foldere --Copiere foldere --Reguli la nivel de reţea --Citire foldere partajateţ --Ştergere foldere partajate --Redenumire foldere partajate --Copiere foldere partajate --Reguli la nivel de procese --Deschidere aplicaţie monitorizată --Închidere aplicaţie monitorizată --Tentativă de deschidere a unei aplicaţii cu acces restricţionat --Reguli privind securitatea reţelei --Administrator LOGIN --Adminisrator LOGOUT --Inspector LOGIN --Inspector LOGOUT --Restricţionare LOGIN --Restricţionare generală (ANYONE) --Reguli la nivel de cuvinte-cheie şi expresii --Tastare cuvinte-cheie sau expresii --Reguli generale (RULES) Iată o imagine a aplicaţiei Inspector Center. Politica locală de securitate se transpune prin Term Tree Editor într-o structură arborescentă de termeni. Este primul pas în parametrizarea sistemului. În limbaj liber se definesc acele evenimentele pentru care în etapa următoare se stabileşte setul de reguli de securitate. Structura arbore se poate alcătui în mod liber, se poate defini, de exemplu, propoziţia „fişier protejat faţă de accesul unui utilizator neautorizat”. Aceasta se descompune în continuare în definirea mulţimii fişierelor neautorizate şi a definirii exacte a accesului neautorizat. Această etapă se parcurge de către utilizator chiar la instalarea sistemului, împreună cu furnizorul.
Reguli elementare Reguli globale, de grup şi individuale Reguli în limbaj accesibil asociate conceptelor de securitate Copiere fişiere Administrator LOGIN Tastare cuvinte-cheie Sniffer action Pentru termenii definiţi în structura arbore se stabilesc reguli elementare în Rule Editor. Referitor la exemplul anterior, aici se poate defini domeniul „fişierelor protejate”. Pe lângă reguli referitoare la fişiere se pot defini şi reguli pentru aplicaţii, cuvinte-cheie, reţele şi de securitate. Cu ocazia stabilirii acestor reguli se poate seta domeniul de aplicare al fiecăreia în parte: pentru întreaga organizaţie, pentru anumite grupuri, sau pentru anumiţi operatori. În acest fel, soluţiile de securitate devin personalizate.
Reguli ISee asociate fişierelor Opţiuni de autorizare a diferitelor operaţii cu fişiere Fişier, director, unitate de stocare (locală, partajată) Niveluri de securitate la care regulile de autorizare devin active Opţiuni speciale Fişierele se pot deschide numai cu aceste aplicaţii Copiere fişier Un exemplu de definire a regulilor la nivel de fişiere. Ce reprezintă fiecare câmp în parte ? Rule path: Se defineşte calea pentru accesarea fişierului. Se poate utiliza şi simbolul * , precum şi o unitate de stocare partajată în reţea. Task: Journal: dacă sistemul să arhiveze sau nu evenimentele. Permit/denied: se defineşte dacă opţiunile selectate din grupul „Options enable” se referă la autorizare sau restricţionare. Options enable: Operaţii cu fişiere Quick options. Opţiuni rapide. Process list: Care aplicaţii pot accesa fişierele respective ? Rule level: La ce nivel de protecţie să fie îndeplinite regulile de securitate definite ?
Expresii logice pentru monitorizarea evenimentelor Dacă utilizatorul este on-line sau off-line… Şi se produce acest eveniment… În acest interval de timp… Atunci execută operaţia... ON Staţie pornită Lipsă eveniment Lipsă eveniment 0 s Autorizare staţie de lucru ANYTIME Pornire Iexplorer Tastare cuvinte cheie Lipsă eveniment 180 s Restricţie a accesului ANYTIME Administrator Log-in Aplicaţie monitorizată Lipsă eveniment 300 s Jurnal tastatură OFF Administrator Log-in Aplicaţie monitorizată Lipsă eveniment 300 s Părăsire sistem O funcţie importantă constă în posibilitatea definirii de şiruri logice de evenimente, cu ajutorul cărora putem stabili diverse acţiuni în cazul îndeplinirii condiţiilor complexe din aceste expresii logice. De exemplu: „Dacă utilizatorul nu se găseşte la locul de muncă şi procedează la copierea de fişiere securizate pe un mediu de stocare amovibil, atunci restricţionează această operaţie”.
Inspector Center: Event Manager – gestiunea evenimentelor Alertări în timp real pe trei niveluri de securitate Structura reţelei Cluj Napoca Test Oradea Event Manager se utilizează pentru gestiunea evenimentelor din reţea. Evenimentele sunt monitorizate în timp real. Cele trei niveluri de siguranţă (Action, Warning, Alert) semnalează supervizorului gradul de importanţă a fiecărui eveniment. Prin dublu-clic pe oricare din câmpurile care reprezintă aceste evenimente se obţin informaţii detaliate şi se pot iniţia acţiuni instantanee de la distanţă.
Caracteristici tehnice ISee Topologia reţelei Încărcare distribuită: Fermă de staţii Inspector Încărcare distribuită: Fermă de staţii Agent (server) Comunicaţie securizată Lărgime de bandă necesară : 10 K LAN Internet ~ Încărcarea distribuită permite gestiunea reţelelor mari. Comunicaţia este securizată cu ajutorul unei chei unice. Ca urmare, o altă licenţă ISee nu poate monitoriza reţeaua astfel securizată, respectiv informaţia clasificată nu poate ajunge în medii neautorizate. Sniffer-ul client este funcţional şi în mod off-line (ex. notebook). Regulile de securizare funcţionează în continuare, arhivarea datelor realizându-se pe unitatea locală. Clienţi Microsoft Windows NT, Windows 2000 Aplicaţie funcţională şi în modul de lucru off-line Off-line
Fucţie Detectiv Taste rapide pentru intervenţie manuală imediată Din structura reţelei se poate selecta operatorul-ţintă Screen – cam (controale video) Vizualizarea simultană a mai multor operatori Taste rapide pentru intervenţie manuală imediată Urmărire în timp real Cluj Napoca Test Oradea În unele organizaţii funcţia detectiv poate încălca dreptul persoanei la intimitate, de aceea este accesibilă numai la cel mai înalt nivel, utilizatorului cu acces nelimitat la resurse, rspectiv se poate inactiva, restricţiona. Interfaţa detectiv permite vizualizarea on-line a unui client sau a unui grup de clienţi.
Funcţii detectiv : Captură ecran În format comprimat Posibilităţi de zoom Captură automată de ecran la intervale predefinite Reluarea secvenţială a înregistrărilor Aplicaţia permite arhivarea capturilor de ecran pe bază de automatisme predefinite sau on-line.
Funcţii detectiv : Secvenţe de taste Lista de cuvinte-cheie: @concurenta.ro Autobiografie, CV Stimate „HR manager” Sex.com Plan de afaceri … Comutare spre un nivel sporit de siguranţă ! Predefinrea listei de cuvinte-cheie, a secvenţelor de taste, adreselor de e-mail, etc.
Funcţii detectiv : Urmărire conţinut Clipboard Decuparea şi transferul datelor în Clipboard Date compilate din mai multe surse 2. Copierea datelor selectate în procesorul de texte Aplicaţia are posibilitatea de a urmări cuvintele-cheie şi în fişiere temporare de tip clipboard. Exemplu: Angajaţii unei organizaţii îşi concep o afacere pe baza comercializării de informaţii compilate din surse autorizate ale firmei într-un procesor de texte, rezultând astfel o marfă vandabilă. Această operaţie se poate preveni prin scanarea conţinutului fişierelor temporare şi autorizarea selectivă a accesului la ele, sau prin restricţionarea accesului, intervenţii asigurate în mod automat de Isee.
Funcţii speciale ISee : colaborare cu diverse periferice Firewall Proxy Telefon Video Biometrie O funcţie specială a aplicaţiei ISee este posibilitatea de comunicare cu periferice care îndeplinesc diverse sarcini legate de securitatea organizaţiei, pe baza protocolului TCP/IP. Exemplu: Un terminal capabil de interpretări biometrice asigură controlul accesului într-un anumit obiectiv. Prin conectarea la acest periferic ISee „ştie” întotdeauna care angajat anume se găseşte în incinta respectivului obiectiv şi restricţionează tentativa de acces în numele altui angajat. Comanda perifericelor Stocarea datelor externe în baze de date proprii
Domenii de utilizare : Gestiune preventivă în timp real Instrumentul asigură aplicarea politicii de securitate True Read Only File, foldere locale / la distanţă, controlul şi protecţia partiţiilor de reţele Controlul strict al accesului privilegiat din reţea sau de la distanţă. Ex: outsourcing, B2B, B2C. Controlul proprietăţii în urma fuziunii mai multor societăţi. Controlul comenzilor printscreen, print, copy / paste. Controlul mediilor de stocare plug-n-play. Modificări de configuraţie hard. Monitorizarea îndepărtării mediilor de stocare purtătoare de conţinut digital. Structurarea bibliotecilor de fişiere după extensie (doc, xls, etc.) sau după aplicaţiile pe care rulează. …
Domenii de utilizare : Exemple de sortări în baze de date Rapoarte ale Managerului IT Inventar complet soft şi hard. Detectarea automată a modificărilor. Utilizarea legală a softului, modificări ale configuraţiei hard. Gradul de utilizare a softului. Ce aplicaţii se utilizează pe fiecare staţie de lucru, în care intervale orare şi cât de frecvent ? Este cu adevărat nevoie de acel număr de licenţe ? Care sunt perioadele zilei de lucru când lucrează simultan cei mai mulţi operatori ? Evaluarea perioadelor de suprasarcină din cursul unei zile (defalcare pe intervale de 30 min.), unei săptămâni, luni Care staţie de lucru necesită upgrade: cine utilizează simultan mai multe aplicaţii ? (utilizare efectivă, nu doar accesare). Care imprimantă trebuie schimbată pentru a se face faţă volumului crescut de tipăriri ? De unde să rutăm sarcini de tipărire către o altă imprimantă ? Unde avem trafic intens de fişiere, copieri şi descărcări frecvente ? Deoarece datele generate ajung să fie organizate în baze de date relaţionale (Oracle), se pot defini cu uşurinţă interogări în mod direct, sau prin intermediul soluţiilor de inteligenţă a afacerilor pentru care furnizorul îşi asumă responsabilitatea. Este esenţial faptul că aplicaţia ISee nu înregistrează nici o activitate pentru care nu a primit instrucţiuni din partea utilizatorului, de aceea pentru generarea de rapoarte detaliate este necesară parametrizarea amănunţită a funcţiilor de monitorizare. Să vedem ce rapoarte pot fi puse la dispoziţia managerului IT.
Domenii de utilizare : Exemple de sortări în baze de date Suport pentru HR manager Evaluarea eficienţei muncii Unde trebuie angajată o nouă persoană sau redirijată forţa de muncă pentru a face faţă noilor cerinţe ? (inclusiv soluţii temporare) De unde se poate elibera forţă de muncă ? Unde sunt justificate orele suplimentare ? Pe durata acestor ore efectiv se lucrează ? Pe parcursul unei săptămâni sau unei luni, când şi unde trebuie concentrată forţa de muncă ? (preluare comenzi suplimentare, închidere contabilă, etc.) Managerul de resurse umane.
Domenii de utilizare : Exemple de sortări în baze de date Rapoarte pentru proprietari Rapoarte cu privire la securitatea sistemului Rapoarte de evaluare a eficienţei muncii Defalcarea orelor de lucru pe intervale de 30 min. Când lucrează un anumit angajat cel mai puţin ? Când utilizează angajaţii în cea mai mică măsură staţia de lucru ? Care zi a săptămânii este cea mai solicitantă ? Graficul săptămânal, lunar al intervalelor de încărcări maxime Etc. Proprietarul. Se pot genera rapoarte cu privire la eficienţa muncii în urma monitorizării intensive a activităţii utilizatorilor, operaţie din care rezultă baze de date disponibile spre evaluare.
Funcţii înglobate în protecţia reţelei Posibilitatea definirii de reguli individuale pe fiecare componentă a reţelei (off-line, acces neautorizat, etc.) Monitorizarea permanentă a integrităţii. Sniffer-ul este invizibil în structura de fişiere. Sniffer-ul este înglobat la nivel de kernel : poate fi detectat numai de informaticieni experimentaţi. Dacă se reuşeşte detectarea acestuia, Sniffer-ul alertează la nivel de Inspector şi se autoreplică. Sniffer-ul funcţionează şi în mod off-line. Nu necesită resurse locale sau lărgimi de bandă mari (thin-client) Atât serverul (Agent) cât şi Inspectorul este prevăzut cu propriul Snifferr. Activitatea unui Inspector (sau a mai mulţi Inspectori) poate fi monitorizată de SuperInspector. … În rândul angajaţilor soluţia ISee nu va cuceri premiul de popularitate. De aceea au fost asigurate funcţii de protecţie împotriva sabotajului.
Aplicaţia ISee este eficientă deoarece... Este prezentă în momentul formării informaţiei direct la sursa acesteia Nu impune alte restricţii (parole suplimentare, noi prevederi în Fişa postului, etc.), deci nu influenţează în mod negativ eficienţa muncii Asigură managementul centralizat şi pentru reţele cu număr mare de staţii de lucru Este flexibilă, se poate dezvolta simultan cu cerinţele instituţiei, afacerilor
Planificarea unui proiect ISee Proiect standard (2-7 luni): Prezentare, instruire (3 zile) Întocmire Caiet de sarcini (1-2 luni) Dezvoltare plug-in (1-2 luni) Adaptare plug-in (1 zi) Instalare test (2 săptămâni) Implementare (2 săptămâni) Parametrizare (2 săptămâni) Testare sistem (1 lună) Pilot (2-8 săptămâni): Instruire Pregătire Pilot scope - Implementare Parametrizare Testare sistem Etapele unui proiect. Intervalul de timp necesar derulării proiectului depinde în mare măsură de complexitatea problemelor care trebuie rezolvate, de necesitatea de a dezvolta plugin-uri suplimentare, etc. O estimare corectă se poate face numai după studiul detaliat al fiecărei situaţii în parte.