Мониторинг электронной почты
Дата: 04.10.2004Источник: www.crime-research.ru
Автор: Ярослав Поляков
Принципиально слежение за электронной почтой мало отличается от слежения и записи телефонных переговоров. За исключением того, что e-mail удобнее для «шпиона». Проще отправить письмо с присоединенным к нему файлом, чем зачитывать объемный секретный документ по телефону, под удивленные взгляды коллег. Да и кажется это более безопасным для «шпиона», ведь телефонные переговоры очень часто пишутся, а вот средств перехвата электронной почты не так много и они не столь распространены. Информационная защита организации не может быть полной, если неконтролируемым остается такой удобный и популярный канал передачи информации, как электронная почта.Цели статьи:
• Показать, как можно противодействовать утечкам информации через e-mail.
• Показать, как противодействовать перехвату корпоративной почты.
Автор – разработчик системы пассивного слежения за SMTP трафиком MailRecon (http://www.mailrecon.com).
Цели мониторинга электронной почты
1. Обнаружить и предотвратить передачу конфиденциальной информации за пределы сети компании (случайную или намеренную), а так же своевременно выявить злоумышленников.
o Фильтр, входящий в пакет всех систем мониторинга, позволяет отсеять обычный деловой или личный трафик и записать остальной, «подозрительный» трафик, для дальнейшего просмотра «компетентными органами» организации.
o Имеет смысл установить полную запись почты сотрудников на испытательном сроке, или подавших заявление об увольнении - то есть тех, кто входит в «группу риска» и наименее лоялен к организации.
o Установка фильтров на адреса конкурентов (*@competitor.com), кадровых агентств и отделов кадров (job@*, resume@*, cv@*, …) позволит заранее определить сотрудников, собирающихся сменить работу, и принять соответствующие меры (увеличить мотивацию сотрудника, не назначать его на проект, где неожиданный уход сотрудника будет болезненным для организации).
o Своевременное обнаружение «шпиона» позволяет вести «игру», скармливая ему дезинформацию, для введения конкурентов в заблуждение.
2. Повысить эффективность работы сотрудников, ограничив использование электронной почты в личных целях.
o Экономическая эффективность этого шага зависит от того, какую часть рабочего времени сотрудники тратят на работу, а какую – на личную переписку. К сожалению, оценить это до установления контроля над почтой проблематично. Есть оценки, что порядка одного часа в день (то есть, для каждого сотрудника, при зарплате в $400/месяц при восьмичасовом дне, $50 из них не отрабатываются).
o Если личная переписка административно запрещена, и этот запрет технически подкреплен контролем над почтой, сотрудник не тратит время на обдумывание и написание писем, на то, чтобы вновь вникнуть в рабочую задачу после отправки письма, не вынужден больше отвлекаться несколько раз в течение дня, чтобы проверить почту. Экономия времени особенно эффективна для сотрудников, находящихся на «горящих» проектах.
o Возможно, разрешить личную переписку в определенное время, скажем, в течение часа после завершения рабочего дня.
3. Своевременное обнаружение массовых рассылок рекламного и вирусного характера из внутренней сети (например, со взломанных и зараженных машин). Подсчет потребления почтового трафика для каждой внутренней машины или email адреса. (Наиболее актуально для ISP).
4. Ведение архива переписки. Поиск по архиву позволит найти нужную информацию, если она была когда-то передана в электронной почте, даже если сотрудник временно недоступен или больше не работает в организации.
5. Получение реальной, объективной информации о состоянии дел в фирме. Не всегда сотрудник может написать директору о существующих или ожидаемых проблемах.
Методы
Для контроля почтового трафика, нужно иметь возможность читать этот трафик. Здесь возможны два пути:
1. Реконфигурация почтового сервера, чтобы он передавал проходящую почту контролирующей программе
2. Прослушивание сетевого трафика и перехват чтение сообщений «с проводов».
Каждый метод имеет свои плюсы и минусы.
Интеграция контролирующего модуля в ПО почтового сервера.
Достоинства:
• Гарантированная проверка всех писем проходящих через сервер.
• Возможность заблокировать отсылку письма.
Недостатки:
• Контролируется только «правильный» трафик. Если письмо отправлено не через корпоративный почтовый сервер, то модуль контроля не увидит его.
• Требует перенастройки почтового сервера, может затруднить переход на новую версию или на другой почтовый сервер, если его интерфейс не совместим с модулем контроля.
• Невозможно использовать отдельно от почтового сервера, а значит, полный контроль за перехватом сообщений и архивом сообщений в руках администратора почтового сервера (а так же тех, кто, возможно, взломает сервер).
• В случае сбоя в программе контроля, это может остановить всю почтовую систему.
Автономный (пассивный) мониторинг почтового трафика
Достоинства:
• Контролируется весь «слышимый» почтовый трафик, в том числе и письма, отправленные на чужие почтовые сервера.
• Не требуется никакая реконфигурация ни почтовых клиентов, ни серверов. Если это требуется, то можно установить мониторинг незаметно.
• Контролирующую машину (если используется выделенная машина для контроля) можно защитить гораздо сильнее, чем почтовый сервер. Вплоть до того, что вообще не присваивать ей IP адрес, чтобы полностью исключить удаленную работу с ней. Кроме того, она требует практически нулевого времени на обслуживание. При необходимости, можно исключить доступ даже сотрудников отдела ИТ к серверу мониторинга.
• Отсутствие риска для функциональности почтовой системы в случае любых сбоев в системе мониторинга.
Недостатки:
• Невозможность заблокировать отсылку письма.
• В случае использования слабого или сильно загруженного сервера для мониторинга, и высокого объема почтового трафика (например, в пиковые моменты), некоторые сообщения могут быть пропущены монитором.
Методы описания конфиденциальной информации
Как правило, система мониторинга имеет в своем составе фильтр, позволяющим заранее отбросить большое количество разрешенного почтового трафика, и оставить только «подозрительные» письма для просмотра человеком. Это позволяет повысить соотношение «сигнал/шум» и избежать ситуации, когда одно сообщение, которое нужно обнаружить теряется в сотнях обычных писем. Фильтры работают на основе правил, составленных администратором. Обычно можно создавать составные правила. Распространенные способы автоматической проверки включают в себя:
• Проверку текста письма на наличие определенных слов.
Например, наличие в письме названия проекта (и дополнительная проверка, что письмо уходит не заказчику проекта) позволяет отловить все сообщения «куда не надо» с данными, которые, скорее всего, не должны туда уходить. Можно создать правило, которое будет пропускать, не записывая, все письма с определенным «магическим» словом, чтобы переписка директора не могла быть перехвачена даже сотрудниками службы безопасности.
• Проверку адресов отправителя и получателя.
Как уже описывалось выше, имеет смысл контролировать всю переписку с конкурирующими организациями, письма неблагонадежных сотрудников. Аналогично, проверку можно использовать для того, чтобы не записывать письма определенных доверенных отправителей или получателей.
• Проверка IP адресов отправителя и получателя.
Аналогично предыдущему пункту, но сработает, даже если письмо отправлено с другого почтового адреса.
• Проверка названий файлов вложений.
Самая простая проверка, позволяющая отловить высылку конфиденциальных файлов за пределы сетей фирмы.
• Проверка контрольных сумм файлов вложений.
Более сложная проверка, как правило, на основе алгоритма MD5. Сработает, даже если файл был переименован. (Но не изменен).
• Проверка содержимого файлов вложений.
Пожалуй, самый надежный способ. Если секретный документ имеет определенные характеристики, например, содержит слово КОНФИДЕНЦИАЛЬНО, то можно автоматически проверять (например, с помощью утилит catdoc и grep) файлы на предмет наличия этого слова. Даже если файл был изменен, но этот признак сохранился, проверка по-прежнему будет работать. Кроме самого текста документа, можно также проверять техническую информацию, содержащуюся в документе. Например, записывать все сообщения, содержащие документы, созданные на машинах бухгалтерии.
• Проверка письма внешними программами.
Позволяет как угодно расширять набор доступных проверок.
Этическая и юридическая сторона вопроса
Замечу сразу, что автор не считает себя экспертом ни в этике, не в юриспруденции. С этической точки зрения (и частично – с юридической), было бы хорошо взять с сотрудников расписку либо о том, что они знают об автоматической записи почтового трафика, и/или о том, что обязуются не использовать корпоративную переписку в личных целях. Перехват же службой безопасности компании письма по делам компании, написанного в офисе компании, на компьютере компании, отправленного через сеть компании, думаю, не может считаться неэтичным.
С юридической точкой зрения интересны статья 138 УК РФ и комментарии к ней
(http://www.az-design.ru/Projects/AZLibrCD/Law/CrimnLaw/UKRF97/ukrf138.shtml), а также статья 57 ТК РФ (http://www.hro.org/docs/rlex/tk/10.htm).
Эта тема так же затронута в статье Савелиева М.С. «С утечкой информации нужно бороться!». - http://www.infosec.ru/themes/default/publication.asp?folder=1988&matID=1820.
Меры противодействия перехвату почты
Меры противодействия...
