В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Одной из главных тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии США (DNC) с хищением переписки огромного объема. Как утверждают демократы и чиновники, взлом был произведен из Румынии и в деле участвовали российские хакеры или спецслужбы. Однако эксперты и аналитики с многолетним опытом теперь приводят аргументы, опровергающие официальную версию ключевых событий прошлого года: никакого удаленного взлома серверов ни россиянами, ни кем бы то ни было попросту не было. Банальная утечка через флешку или другой USB-накопитель и ничего более, а приведенные ранее "доказательства" взлома являются сфабрикованными.
Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике, а результаты и доводы были опубликованы на независимых ресурсах consortiumnews.com и www.disobedient-media.com. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 г. с сервера DNC было загружено 1976 Мбайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 Мбит/с. При этом нет ни одного поставщика интернет-услуг, которого мог бы использовать хакер 2016 г., т.е. поставщика, имевшего возможность передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 г. были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 Мбит/с соответственно. Пиковые, более высокие, скорости регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 Мбит/с. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.
В то же время скорость в 23 Мбит/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод: хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB-накопитель.
Анализ утечки почтовой переписки с сервера DNC прямо говорит о том, что тенденция последних лет – забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, – категорически ошибочна и даже вредна. Сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации. Их использование для хищения конфиденциальной информации все еще актуально, и более того, намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту.
В нашей российской действительности даже беглый анализ маркетинговых материалов, листовок и сайтов большинства российских разработчиков, прямо или косвенно позиционирующих себя в сегменте DLP, показывает, что фокус в развитии решений, предназначенных для защиты информации от несанкционированной утечки, делается на чем угодно, но не на предотвращении утечки, а скорее на мониторинге и использовании психологической "защиты" вместо технических мер. При этом, как ни удивительно, контроль порта USB, по-прежнему являющегося "лучшим выбором" для случайной или предумышленной утечки, реализован на откровенно слабом уровне.
Многие решения, продаваемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне или препятствуя старту драйвера устройства. Такая "защита" является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности. Для пользователя отключение такого контроля – задача на несколько секунд, не требующая особой квалификации.
Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных техническим способом. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации, исходящих от обычных пользователей и доступных на большинстве компьютеров. Нейтрализация достигается посредством гибкого сочетания функций мониторинга и контроля доступа ко всем потенциальным каналам утечки информации, и в том числе обязательно – для устройств, подключаемых через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройства хранения данных, но теоретически и практически являющихся каналом утечки данных.
Среди представленных на мировом рынке продуктов одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным функционалом, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также каналы печати, электронную почту, мессенджеры, файлообменные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2017