Содержание к диссертации
Введение
ГЛАВА 1 Обзор угроз в области компьютерных преступлений 11
1.1 Каналы утечки в области компьютерных преступлений. 11
1.2 Обзор статистики по современным угрозам и связанными с ними утечками информации. 13
1.3 Модель внутреннего нарушителя 17
1.4 Обзор основных особенностей систем сбора информации о действиях сотрудников за персональным компьютером 18
1.4.1 Журналирование и его основные принципы. 18
1.4.2 Последствия недостаточного контроля действий сотрудников 21
1.5 Актуальность систем разграничения доступа 25
1.5.1 Разграничение доступа и его основные принципы 25
1.5.2 Последствия не достаточного разграничения доступа 27
1.6 Выводы по первой главе и постановка задач исследования 29
ГЛАВА 2 Анализ существующих решений в области предотвращения компьютерных преступлений и образования доказательной базы при их совершении 31
2.1 Системы защиты от внешних угроз 31
2.1.1 Межсетевые экраны 31
2.1.2 Антивирусы 31
2.2 Системы регистрации действий пользователя на персональном компьютере 32
2.2.1 Контроль и фильтрация трафика 32
2.2.2 Контролирование событий операционной системы 32
2.2.3 Контроль изображения экрана персонального компьютера сотрудника компании 33
2.3 Сравнительный анализ существующих готовых программных комплексов для регистрации действий сотрудника на компьютере 34
2.4 Недостатки существующих решений 38
2.5 Выводы по второй главе 40
ГЛАВА 3 Разработка метода обеспечения информационной безопасности для предотвращения компьютерных преступлений и образования доказательной базы при их совершении . 41
3.1 Устранение недостатков существующих систем 41
3.2 Модель системы контроля изображения на экране персонального компьютера сотрудника, разработанной по данному методу 41
3.3 Кодирование видеопотока информации 43
3.3.1 Основные преимущества кодирования видео потока и выбор кодека для сжатия . 43
3.3.2 Обеспечение передачи видеозаписи на сервер 44
3.3.3 Контролирование состояния клиентского компьютера 44
3.4 Создание защищенного канала связи с сервером 45
3.4.1 Доступные средства создания виртуальной частной сети (VPN) 46
3.4.2 Криптографические возможности OpenVPN 51
3.4.3 Создание защищенного канала связи с помощью OpenVPN 51
3.5 Обеспечение целостности и достоверности данных 54
3.5.1 Ограничение доступа к данным 54
3.5.2 Контролирование целостности файлов 54
3.6 Учет файлов и событий в базе данных 55
3.6.1 Особенности использования SQL баз данных 55
3.6.2 Данные для записи в базу данных 55
3.7 Выводы по третьей главе 56
ГЛАВА 4 Анализ и оценка полученной системы предотвращения компьютерных преступлений и образования доказательной базы при их совершении 57
4.1 Правовые особенности слежения за работой сотрудника на основе законодательства РФ 57
4.2 Сбор данных экспериментальных исследований 58
4.3 Анализ и оценка размера файлов и занимаемого ими места на жестком диске сервера 60
4.4 Анализ и оценка качества изображения 61
4.4.1 Оценка информативности и качества изображения 61
4.4.2 Соотношение сигнал/шум 62
4.4.3 Использование автоматизированной системы сбора данных для анализа изображения 62
4.5 Анализ и оценка эффективности системы 63
4.5.1 Вероятные сценарии компьютерных преступлений 63
4.5.2 Оценка эффективности системы по вероятности фиксации преступления 63
4.5.3 Зависимость эффективности системы от периода сохранения изображений экрана сотрудника 64
4.5.4 Зависимость эффективности системы от объема данных архива с записями изображений, хранящимися на сервере. 65
4.6 Выводы по четвертой главе 66
Заключение 67
Список использованных источников 68
- Обзор основных особенностей систем сбора информации о действиях сотрудников за персональным компьютером
- Системы регистрации действий пользователя на персональном компьютере
- Основные преимущества кодирования видео потока и выбор кодека для сжатия
- Оценка информативности и качества изображения
Обзор основных особенностей систем сбора информации о действиях сотрудников за персональным компьютером
В области компьютерных преступлений каналы утечки связанны непосредственно либо с действиями внутреннего нарушителя над компьютером или копированием конфиденциальных данных, либо с удаленным вмешательством внешнего нарушителя, как в локальные ресурсы компании, так и в ресурсы расположенные в сети Интернет на отдельных серверах [1,2].
Одним из самых простых каналов утечки является копирование фай лов на съемные носители информации [4]. Распространнные и недорогие запоминающие FLASH устройства позволяют незаметно вынести в кар мане большие объемы конфиденциальной информации. В качестве внеш него съемного носителя информации также можно использовать различ ные плееры и другие устройства со встроенной памятью. Используя такие носители информации по своим служебным обязанностям, сотрудник дол жен предельно внимательно относиться к сохранности данных на таком носителе и не хранить их на нем, если в этом больше нет необходимости.
Печать бумажных копий документов на принтере усложняет незаметное копирование большого объема информации, но данный канал утечки в первую очередь связан с легкомысленным отношением к распечатанным конфиденциальным данным. В случае отсутствия необходимости хранить данные документы они могут не быть уничтожены надлежащим образом. При выкидывании таких документов в мусор их могут получить злоумышленники, поэтому перед этим их обязательно следует уничтожить.
Утечка файлов через сеть подразумевает использование различных сетевых хранилищ и внешних серверов компании, заражение компьютера вирусами через браузер или запуск скаченных небезопасных приложений, доступ внешнего нарушителя через уязвимость на компьютере и другие варианты передачи данных через сеть без использования почтовых программ и сервисов мгновенных сообщений [5]. Данный канал утечки является достаточно важным и для его защиты разработано множество средств защиты (антивирусы и межсетевые экраны), а так же идет постоянное обнаружение новых уязвимостей в системах и их устранение для предотвращения взломов. Данный канал утечки связан как с внешним нарушителем, так и с внутренним. Сотрудник компании может сам выложить конфиденциальные документы в открытый доступ на не защищенный сервер в сети Интернет и при этом даже не осознавать опасность таких действий.
Канал утечки по электронной почте выделен отдельно от канала утечки по сети, так как он имеет свои отличительные особенности [6]. Электронная почта является распространнным способом передачи информации через интернет, она достаточно удобна и понятна большинству людей. Но необходимо хорошо обеспечить безопасность использования электронной почты. Необходимо использовать надежные и защищенные сервера с поддержкой зашифрованных соединений, использовать цифровые подписи и надежные пароли. От сотрудников компании требуется особое внимание к адресу получателя и к содержимому электронного письма, так как в большинстве случаев отправку письма с конфиденциальными документами не по тому адресу отменить не возможно. И даже следуя всем этим рекомендациям, утечка данных может быть совершена сотрудником умышленно, поэтому данный канал утечки так же требует особого внимания. Канал утечки через сервисы мгновенных сообщений тоже выделен отдельно от канала утечки по сети из-за своих особенностей. Сервисы мгновенных сообщений могут поддерживать передачу текста, голоса и видео. Любым из указанных способов может быть передана конфиденциальная информация. Также такие сервисы могут поддерживать передачу файлов по своим протоколам и ее необходимо контролировать.
Мобильные устройства, так же как и съемные носители информации, могут быть использованы для хранения и передачи документов [3]. Важной особенностью современных мобильных устройств является их многофункциональность. На нем могут быть сохранены удаленные доступы к ресурсам компании и различные документы. При этом мобильные устройства обычно находятся рядом с его владельцами и могут быть подвергнуты взлому на расстоянии для получения удаленного доступа.
Отдельного внимания заслуживает канал утечки связанный с кражей или потерей оборудования. Это могут быть как мобильные устройства и ноутбуки, так и другие устройства, хранящие конфиденциальную информацию или данные для доступа к ней. Важно помнить, что при обслуживании и ремонте такого оборудования, человек, допущенный к нему, также может украсть конфиденциальные данные и к этому нужно относиться с особым вниманием.
Обзор статистики по современным угрозам и связанными с ними утечками информации. Российский аналитический центр InfoWatch ежегодно проводит различные исследования информационной безопасности, анализируя как отечественные компании, так и международный опыт противодействия угрозам. Глобальное исследование аналитического центра InfoWatch по утечкам конфиденциальной информации в 2013 году основывалось на собственной базе данных, которая ведется и пополняется с 2004 года специалистами аналитического центра InfoWatch [7].
Системы регистрации действий пользователя на персональном компьютере
Журналирование, слежение и проверка могут привести к раннему обнаружению и расследованию подозрительных действий внутреннего нарушителя [10].
Если политики безопасности учетных записей и паролей находятся на своем месте и обязательны для выполнения, организация имеет хорошие шансы, чтобы ясно соотнести действия в сети с сотрудником, который их совершил. Журналирование, слежение и проверка предоставляют организации возможность изучить и расследовать подозрительные действия внутреннего нарушителя до того, как последуют более серьезные последствия [11].
Проверку в финансовых кругах относят к изучению и подтверждению финансовой информации. В сфере технической безопасности ее относят к изучению и подтверждению различных сетевых, системных и программ ных журналов или данных. Для того чтобы предотвратить или обнаружить внутренние угрозы, важно учитывать, что проверка включает рассмотрение и подтверждение изменений любых критических активов организации. Множество методологий управления рисками основаны на защите критических активов. Например, смотрите основанную на анализе рисков технику стратегической оценки и планирования OCTAVE (Оперативная оценка критических угроз, активов и уязвимостей) для безопасности [10]. Более того проверка должна изучать и подтверждать целостность так же как правомерность записанного в журнал доступа.
Автоматическая проверка целостности должна быть продуманной для отмечания требующих ручного рассмотрения подозрительных операций, которые не соотнесены с предустановленными правилами поведения. Внутренние угрозы чаще всего обнаруживаются комбинацией автоматическим журналированием и ручным слежением или проверкой. Например, проверка целостности журнала создания компьютерных учетных записей включает автоматическое журналирование комбинированное с ручной проверкой, что каждая новая учетная запись была связана с правомерным пользователем системы, и этот пользователь был осведомлен о существовании учетной записи.
Автоматические инструменты могут обнаружить создание типичной нелегальной учетной записи – записи системного администратора не связанной с текущим сотрудником. К сожалению, обнаружение нелегальных учетных записей не может быть полностью автоматизировано. Например, один внутренний нарушитель создал учетную запись VPN для трех правомерных текущих сотрудников и просто не сказал им, что учетная запись была создана. После увольнения, он использовал эти нелегальные учетные записи, чтобы получать удаленный доступ по ночам в течение двух недель. Он настраивал его атаку в течение этих двух недель прямо под носом подрядчика, которого наняли специально для слежения за сетью для его удаленного доступа. Более того, проверка данных обычно включает ручные процедуры, такие как сравнение истории изменения электронных данных с бумажными записями или изучение электронных записей на подозрительные отличия.
Проверка должна быть и постоянной, и случайной [9]. Если сотрудники осведомлены о том, что слежение и проверка регулярные, постоянно протекающие процедуры, и что они наиболее приоритетны для лиц, которые за них отвечают, то это может служить как сдерживающее средство против внутренних угроз. Например, если недовольный системный администратор осведомлен, что все новые компьютерные учетные записи часто просматриваются, тогда менее вероятно, что он или она создадут нелегальную учетную запись для последующего злоумышленного использования.
С другой стороны, возможно, не практично вводить ежедневное слежение за каждой финансовой сделкой в финансовом учреждении. Ежемесячная или ежеквартальная проверка дает один слой защиты против внутренних нарушителей, но это также обеспечивает предсказуемый цикл, на котором внутренний нарушитель может спроектировать схему мошенничества, которая может пройти необнаруженной в течение большого периода времени [12]. Случайная проверка всех сделок для отдельно взятого сотрудника, например, может добавить достаточную непредсказуемость в процесс, чтобы отпугнуть внутреннего нарушителя от запуска задуманной атаки.
И наконец, стоит упомянуть, что два внутренних нарушителя в деле из библиотеки CERT атаковали другую внешнюю организацию с их компьютеров на работе [10]. Судебные и следственные мероприятия, которые пришлось вынести организации, к которой относились эти служащие, в результате были очень разрушительными для ее штатных служащих и операций. 1.4.2 Последствия недостаточного контроля действий сотрудников
Большие международные компании, предпочитая наблюдение за удаленным доступом, заметили, что бывший консультант получил несанкционированный доступ к ее сети и создал административную учетную запись. Это подтолкнуло к расследованию предыдущей сетевой активности бывшего внутреннего нарушителя, раскрыв, что он запускал несколько разных программ взлома паролей в сети компании пять раз в течение десятимесячного периода [10]. Первоначально, он сохранил взломанные пароли в файле на сервере компании. Позже он установил более сложную программу взлома паролей на системе компании. Эта программа позволяла ему периодически автоматически передавать все учетные записи и пароли, которые могли быть взломаны, на удаленный компьютер. Пять тысяч паролей для сотрудников компании были успешно переданы. Этот случай иллюстрирует важность журналирования и профилактического слежения. Из-за этих правил эксплуатация, эти действия внутреннего нарушителя были обнаружены до того как любая злоумышленная активность была совершена используя учетные записи и пароли или нелегальную учетную запись.
Другая атака внутреннего нарушителя дает противоположный пример - тот, в котором недостаток проверок позволил внутреннему нарушителю провести атаку, которая была менее технически сложной, но которая позволила ему украсть почти $260000 у его работодателя за двухлетний период [10]. Внутренний нарушитель был управляющим склада. Атака была совершена следующим образом:
Основные преимущества кодирования видео потока и выбор кодека для сжатия
Для обеспечения передачи видеозаписи сервер должен вести учет клиентских компьютеров и ожидать подключения от них [43]. После установки соединения сервер опрашивает клиент на наличие сделанных видеозаписей в локальном архиве клиента до установки соединения с сервером. Если такие записи есть, то клиент передает их на сервер, а сервер проверяет целостность и цифровую подпись файлов и сохраняет их в архив с пометкой о том, что они были сделаны в момент отсутствия связи между сервером и клиентом.
Далее идет передача видео потока в режиме реального времени от клиента к серверу. Данные дополнительно дублируются на защищенной области диска клиента. В случае неполадок с сетью, может быть запрошена локальная копия видеофайлов с клиента.
Контролирование состояния клиентского компьютера Клиент и сервер постоянно контролируют наличие связи друг с другом. В случае потери связи сервер определяет, как было разорвано соединение и учитывает промежуток времени, в который произошел разрыв. Разрыв связи может быть инициирован клиентским компьютером в случае перезагрузки или выключения, а может произойти внезапно в случае неполадок с сетью.
Если разрыв был инициирован клиентом в связи с выключением компьютера в конце рабочего времени, то такой случай просто регистрируется и не требует особого внимания.
Если разрыв связи был в рабочее время, то в зависимости от того был ли он совершен корректно или нет, данный компьютер помечается разным приоритетом проверки. При некорректном разрыве связи специалист службы безопасности должен как можно быстрее выяснить причину разрыва и помочь восстановить систему контролирования изображения на экране компьютера пользователя [19].
3.4 Создание защищенного канала связи с сервером
В настоящее время, проблема создания компьютерной сети компании может быть эффективно решена за счет локализации всего предприятия в пределах одного здания, находящегося в собственности или арендуемого владельцем, все более актуальной является задача организации сети охватывающей большие расстояния. Современное расположение корпораций может включать в себя множество различных: отделений, партнеров, клиентов, поставщиков; размещенных на разных территориях и в некоторых случаях не ограничивается пределами одной и более стран. Наиболее сложной задачей является организация расширенной корпоративной сети, которая будет включать в себя различные офисы и отделения, находящиеся на большом расстоянии друг от друга или же расположенных разных странах и городах [25].
Вследствие активного развития интернета и использования его в различных областях, наблюдается прогрессивное развитие в сфере свободного доступа и распространения информации среди пользователей сети. Пользователи получили дешевые и доступные каналы связи. Они все чаще прибегают к возможности получения информации через каналы связи, отличающиеся своей доступностью и дешевизной. Как результат: Многие ком-45 пании стремятся максимально сократить расходы за счет использование подобных каналов связи с целью обмена или передачи информации в коммерческой, управленческой и других областях своей деятельности.
В начале 90-х годов, в связи с участившимися сетевыми атаками, с целью обеспечения безопасности и активного введения открытых сетей в бизнес-коммуникациях, была заработана и внедрена в эксплуатацию с целью дальнейшего развития, концепция построения виртуальных частных сетей - VPN (Virtual Private Network) [25].
Основная концепция при построении виртуальных сетей VPN основана на простой идее: Между двумя узлами находящимися в сети, созданными для обмена информацией, нужно создать виртуальный тоннель с целью защиты конфиденциальности и сохранения информации, передаваемой с помощью открытых сетей. Для всех наблюдателей (активных и пассивных) необходимо максимально затруднить доступ к этому виртуальному тоннелю.
Виртуальные тоннели созданные для компаний имеют ряд преимуществ – они заключаются в большой экономии денежных средств, так как в данном варианте компания может обойтись без построения или взятия в аренду дорогостоящих отдельных каналов связи с целью образования собственных сетей и использовать для этого экономичные интернет-каналы, надежность и скорость передачи данных через которые стоит наравне с выделенными линиями. Польза, экономия и удобство внедрения VPN-технологий подталкивает компании к активному их внедрению.
Оценка информативности и качества изображения
Работодатель имеет право требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка;»
Для информирования о слежении за действиями сотрудника на работе и сборе информации с компьютера следует описать данную процедуру во внутреннем трудовом распорядке и дать ознакомиться с ним и получить согласие сотрудников.
Ст. 189 ТК РФ. Дисциплина труда и трудовой распорядок: «Правила внутреннего трудового распорядка - локальный нормативный акт, регламентирующий в соответствии с настоящим Кодексом и иными федеральными законами порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы, время отдыха, применяемые к работникам меры поощ-57 рения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя.»
Также желательно описать данную процедуру в трудовом договоре. Если работник не согласен на изменение условий трудового договора, после выполнения предварительных процедур (письменное уведомление о предстоящих изменениях, предложение другой работы) трудовой договор с ним может быть расторгнут. Ст. 77 ТК РФ. Общие основания прекращения трудового договора: «…7) отказ работника от продолжения работы в связи с изменением определенных сторонами условий трудового договора (часть четвертая статьи 74 настоящего Кодекса);» Собранные данные должны быть обязательно должным образом помечены служебной информацией о том когда, кем и в каких условиях была осуществлена запись [50]. Ст. 77 ГПК РФ. Аудио- и видеозаписи: Лицо, представляющее аудио- и (или) видеозаписи на электронном или ином носителе либо ходатайствующее об их истребовании, обязано указать, когда, кем и в каких условиях осуществлялись записи
Сбор данных экспериментальных исследований
Для определения оптимального варианта передачи и хранения данных с экрана пользователя было проведено сравнение следующих способов сжатия и передачи изображения [38,39]: изображения JPG 1 раз/сек. (высокое и низкое качество); изображение GIF 1 раз/сек. (высокое и низкое число цветов); видео поток, сжатый с помощью популярного кодека H.264. видео поток, сжатый с помощью кодека VP8. По данным сетевой статистики сейчас наиболее часто среди пользователей используется одно из 3-х разрешений экрана [51]: 1. 1366x768 (26%) 2. 1280x1024 (11.4%) 3. 1280x800 (9.5%) В качестве разрешения экрана для проведения тестов лучше выбрать 1280x1024, так как оно весит больше всего из представленных, а отражает ближайшие к максимальным требования к сжатию, величине канала связи и объему диска для архива.
Для исследования количества необходимого трафика для передачи видео потока с изображением экрана выше перечисленными способами, было выбрано следующее бесплатное программное обеспечение: 1. CamStudio Recorder v2.7.2 для записи видео потока с экрана; 2. VirtualDub 1.8.6 для сжатия оригинального видео потока кодеками; 3. MSU Video Quality Measurement Tool 3.0 для удобства покадрового сравнения полученных результатов по соотношению сигнал/шум [52].
Исследование проводилось в момент работы команды tracert google.com в консоли. Работа с консолью является типичной для рабочего компьютера, и поэтому она была выбрана для теста способов хранения данных. Так как наибольшее количество рабочего времени на экране компьютера сотрудника компании меняются не большие участки изображения, результаты данного теста будут отличаться от уже проведенных тестов кодеков при сжатии фильмов, в которых зачастую быстро меняются значительные участки изображения.
Видеозапись работы консоли велась 60 секунд со скоростью 60 кадров в секунду в не сжатом виде. Полученный фрагмент с помощью VirtualDub сжимался кодеками VP8 и H.264, а так же отдельные кадры сохранялись в форматах BMP, GIF и JPG. При сжатии видео потока кодеками были выбраны стандартные рекомендованные настройки.
Дополнительно был произведен расчет объема данных об изображении на экране наколенного за год работы 1 сотрудника в зависимости от периода сохранения кадров для типичной системы контроля действий сотрудника на компьютере, разработанной коммерческими фирмами, и для системы контроля экрана, разработанной по данному методу [53]. Результаты расчетов представлены в виде графика (Рисунок 4.3.1).
При этом считалось, что типичная система контроля настроена на сохранение изображений в формате JPG высокого качества (HIGH), а система, разработанная по данному методу, использует кодирование видео потока с помощью кодека VP8.
Похожие диссертации на Методы обеспечения информационной безопасности для предотвращения компьютерных преступлений и образования доказательной базы при их совершении
