Контроль содержимого почтового и интернет–трафика компании.

hlam on [hlam.on @gmail.com]

Одной из интереснейших частей защиты периметра компании является Контент–защита. Она состоит из mail и web – контента, то есть контроля содержимого почтового и интернет трафика.

Система mail-контент.

Система представляет собой набор политик, правил, фильтров для анализа входящего и исходящего почтового трафика.

Существует два способа работы системы:

•  «в разрыве»;
• «в ответвлении».

В «разрыве» – это режим, при котором вся входящая и исходящая корреспонденция обязательно проходит сквозь контент - систему, которая, работая в online режиме, осуществляет анализ почты и принимает решения: отправка/задержка итд.

В «ответвлении» – это режим, при котором система получает копию почтового потока. Анализ содержимого и реакция на нарушение политик идет как постфактум.

Система mail-контент состоит из двух групп серверов:

• разбора почтового потока;
• хранения почтовых сообщений.

В идеальном случае (случае большого бюджета) и те и другие сервера могут быть мощными (например, SUN. Архитектура этих серверов позволяет не только хорошо обрабатывать почтовые потоки, но хранить и обрабатывать сообщения с помощью средств Oracle). В случае экономии средств, мощной серверной группой делается одна из групп: сервера разбора почты («разрыв»), или сервера хранения сообщений («ответвление»).

Каждый режим имеет свои плюсы и минусы: в первом случае – режим «разрыва», когда идет online проверка, должна быть высокая надежность системы, стабильная работа, высокая скорость и, соответственно, качество ее обслуживания. Здесь высокая скорость необходима для online анализа содержимого – разобрать всё письмо до последних составляющих, проверить на соответствие политикам, отреагировать в случае нарушения правил и не задержать на долго эту и другую электронную корреспонденцию.

Во втором случае (режим «ответвление») мы имеем систему другого класса, где высокие требования предъявляются к хранилищу писем и скорости его работы, так как именно с ним и происходит основная работа – поиск писем по заданным условиям. Например, по дате получения письма от определенного домена со словом «отчет» в теме письма.

Вот простой пример политики:

Входящая корреспонденция проходит обязательные фильтры:

• антиспама (только входящая почта);
• антивируса (входящая и исходящая);

далее происходит контент-проверка:

• письма от Топ менеджмента (акционеры и руководители компании) не проходят проверку и не складываются в общую базу писем;
• письма от начальников подразделений проходят все фильтры и с соответствующими метками и/или уведомлениями администратору складываются в базу (для возможного последующего расследования инцидента и/или нарушения);
• письма остальных сотрудников проходят все фильтры и, при определенных условиях задерживаются, администратор системы получает уведомление с копией письма для дальнейшего расследования нарушения.

Расскажем поподробнее о фильтрах:

- фильтры на принадлежность отправителя к определенным группам пользователей (в нашем примере это ТОР менеджеры, начальники, рядовые сотрудники);

• письма, в которых используется защита и/или криптография – имеется в виду использование PGP, закрытые паролем архивы и файлы;
• фильтры на получателя: разрешение на отправку корреспонденции в представительства и дружественные компании писем, содержащих метки «конфиденциально» и «использование криптографии»;
• фильтры на содержание конфиденциальных слов и словосочетаний;
• фильтры поиска работы (отправка резюме);
• фильтры общения с конкурентами;
• прочие специфические фильтры (отвечающие бизнесу компании).

реакции системы:

• задержание письма и уведомление ответственных лиц о нарушении;
• отправка письма и уведомление ответственных лиц о нарушении;
• вырезание нежелательного элемента письма и уведомление ответственных лиц о нарушении;

Отдельно отметим, что при больших почтовых потоках компании, мы имеем дело с большой нагрузкой на сервера контент – анализа. С указанными простыми правилами, фильтрами и реакциями системы мы имеем нагрузку в 6 раз превышающую нагрузку на обычные почтовые сервера.

Система web – контент.

Согласно основному постулату информационной безопасности, мы должны обеспечить конфиденциальность и доступность. То есть, должны быть доступны необходимые ресурсы для определенных групп пользователей. Группы возьмем стандартные: ТОП менеджеры, начальники, рядовые сотрудники.

Система представляет собой набор политик, правил работы, фильтров. В отличие от mail – контента, web – контент может быть установлен только в разрыв. Система также состоит из двух групп серверов:

• анализ содержимого web – трафика (а так же кэширование потока);
• хранение журналов (логов и отчетов).

При большом бюджете данные сервера могут быть разнесены, но при небольших нагрузках и потоке, могут быть совмещены. Отдельно отметим, что первая группа серверов должна быть кластером – для повышения отказоустойчивости и надежности.

Приведем пример политик:

Для групп пользователей, определенных выше:

• для Топ менеджмента компании нет никаких ограничений на посещаемые сайты и на объем трафика;
• для начальников подразделений ограничения по трафику нет, но существует правила, по которым запрещена группа сайтов, связанная с хакерскими и почтовыми сервисами;
• для рядовых сотрудников существуют ограничения на посещение определнных сайтов и на трафик (по объему и типу скачиваемых файлов);
• другие специфические для бизнеса компании группы

категории сайтов и правила работы:

• обязательна проверка на антивирус и отсечение сайтов с баннерами;
• почтовые сервисы (mail.ru, pochta.ru и.т.д.) и сервисы, связанные с интернет - пейджерами (icq и прочие) – запрещены для всех, кроме первой группы (дабы исключить утечку конфиденциальной информации);
• сайты с доступом по https – запрещены все те, что не разрешены явно: например сайт сотового оператора MTS должен быть разрешенным, так как там SSL протоколом закрыты данные по счету пользователя. Отметим, что указанные сайты представляют опасность связанную с тем, что контент – система не может определить что идет в шифрованном потоке – ни проверить на вирус, ни определить тип данных и содержание;
• сайты с порнографическим содержанием – закрыты;
• сайты, связанные с поиском работы – открыты только для сотрудников отдела подбора персонала, для остальных – закрыты;
• развлекательные сайты (юмор, музыкальные, мобильные телефоны, интернет магазины) – закрыты в рабочее время, доступ к ним открыт до начала рабочего дня и после его окончания;
• сайты для работы (отвечающие специфике бизнеса компании) – доступ на эти сайты открыт всегда и у сотрудников есть возможность скачивать с них файлы любого типа. Данный список постояно пополняется по просьбам пользователей;
• сайты, связанные с хакерской направленностью (анонимайзеры, сайты с вредоносным ПО) – закрыты.

Дополнительные, тонкие моменты:

• для категоризации сайтов должны использоваться как списки, постоянно пополняемые в ручную, так и специальные сервисы в интернете (как правило платные);
• ложные срабатывания – их много не только в период отладки систем, но и в период обычной работы. Увы, этого не избежать так быстро, как хотелось бы, но достигнуть можно постоянным совершенствованием фильтров, списков, правил.
• наличие внутри компании внутреннего сервера Microsoft Update и настроенной политикой обновления ПО на серверах и рабочих станциях – это повысит уровень безопасности и уменьшит интернет-трафик;
• интеграция систем антиспама и антивируса в систему контент анализа почты позволит эффективней бороться с вирусами и спамом, так как письмо разбирается один раз и результаты разбора используются сразу тремя системами;
• необходимо иметь несколько почтовых серверов – внешний кластер почтовых серверов и внутренний – для внешней и внутренней переписки. Дабы не смешивать два потока – необходимо разделить их по нескольким причинам:

o внутренняя переписка как правило носит конфиденциальный характер и в данном случае она не находится на внешнем сервере, тем самым не является возможной добычей недоброжелателей;

o разгружается внешние сервера от «ненужной» почты – по оценкам специалистов около 30% всего почтового объема – это внутренняя переписка;

• защищенный документооборот фирмы – немаловажная часть, а именно защищенный оборот документов + наличие программного комплекса, отвечающего за хранение, обработку вывод на печать документов – учет чтения, невозможности копирования, учета количества распечатанных и кем распечатанных копий документов. При наличии такого комплекса возможна установка определенных меток на конфиденциальные документы, которые в последствии могла бы обрабатывать система контент;
• теперь о самом слабом звене: человеческий фактор. Здесь необходимо проводить воспитательные работы: обязательная подпись пользователем документов о не разглашении конфиденциальной тайны, инструктажи по информационной безопасности, специальные инструкции для пользователей-чайников. Проводить оповещения и разъяснения о «фишинге» и других интернет – мошенничествах, например о социальном хакинге.

В заключении, на «сладкое» - возможные обходы систем контент и борьба с ними.

В принципе, в указанных в данной статье фильтрах, учтены многие хитрые дыры контент-mail анализа для сокрытия передачи данных, такие как: использование криптографии, закрытые паролем файлы офисных программ и архивы, закрытые паролем. Но скажу из личного опыта, что определить криптографию очень сложно и все известные мне программы mail-контента не отслеживают криптографию – максимум использование PGP и то – по заголовку, или того хуже – по расширению. Поэтому, написать фильтры и правила, чтобы выделить в почтовом потоке криптографию – сложно. Могу рекомендовать следующий способ: задерживать ВСЕ файлы, заголовки и содержимое которых (а так же расширения) не соответствует известным – ведь все стандартные файлы, к примеру, офисных приложений, картинки различных программ – все эти форматы имеют свои хорошие описания, которые можно использовать для их определения. Но данный способ очень ресурсоемок для оборудования и к тому же очень много ложных срабатываний. Так же я столкнулся со следующей проблемой контент анализа известных мне систем: многотомные архивы – определить их несложно, но при большом потоке очень ресурсоемко ждать и запоминать, что «ждешь» следующее письмо с таким – то или таким –то куском архива от nn-ого письма. Опять же таки, мне, к сожалению, не известны системы с грамотной обработкой таких файлов. Выход, увы, один – отслеживать многотомные архивы, что повышает загрузку сотрудника, отслеживающего работу системы. И, наконец, способ, которым можно «железно» обойти систему «контент» - это стеганография. Но и с ней можно «бороться» следующим способом: существует масса программ, которые собирают данные об установленных на компьютерах сети программах – имея полный список программ можно отслеживать установленные программы и утилиты, использующие стеганографию.

Что касается дыр в web – контенте, то они известны и уже много тем на форумах посвящены им. Перечислю основные в своем использовании:

• использование анонимных прокси-серверов (интернет-серверов);
• использование программ, которые позволяют создавать туннели через обыкновенные http-прокси (например httport).

Как бороться с ними? - Анонимные сервера регулярно появляются и, как я написал, необходимо обновлять списки указанных серверов вручную и автоматически. А httport можно побороть частично – закрытием SSL, но это, как известно, не панацея.