Pitanje sprječavanja curenja povjerljivih podataka (Data Loss Prevention, DLP) jedno je od najhitnijih pitanja za IT danas. Međutim, u ovoj oblasti postoji primetna konceptualna konfuzija, koja je pogoršana pojavom mnogih sličnih pojmova, posebno, Prevencija curenja podataka (DLP), Prevencija curenja informacija (ILP), Zaštita od curenja informacija (ILP), Detekcija curenja informacija i Prevencija (ILDP), praćenje i filtriranje sadržaja (CMF), sistem za prevenciju ekstruzije (EPS).
Od kojih funkcionalnih modula treba da se sastoji kompletno DLP rešenje? Gdje treba instalirati DLP sisteme: na nivou gateway-a ili na krajnjim informacionim resursima (računari ili mobilni uređaji)? Da li je važno kako je DLP sistem implementiran: kao samostalno rešenje ili kao deo šireg spektra bezbednosnih proizvoda? Da biste odgovorili na ova i druga pitanja, prvo morate razumjeti šta je DLP sistem, od čega se sastoji i kako funkcioniše.
Za početak, napominjemo da su povjerljive informacije informacije kojima je pristup ograničen u skladu sa zakonodavstvom zemlje i stepenom pristupa informacijskom resursu. Povjerljive informacije se stavljaju na raspolaganje ili otkrivaju samo ovlaštenim licima, entitetima ili procesima.
Postoji jasan pristup klasifikaciji tipova povjerljivih informacija:
- podaci o klijentima - lični podaci kao što su brojevi kreditnih kartica, pasoši, brojevi osiguranja, poreski identifikacioni brojevi, vozačke dozvole, itd.;
- korporativni podaci - finansijski podaci, podaci o spajanjima i akvizicijama, lični podaci zaposlenih i dr.;
- intelektualno vlasništvo - izvorni kodovi, projektna dokumentacija, informacije o cijenama, itd.
Na osnovu ovoga, možemo reći da je sistem za sprečavanje curenja povjerljivih informacija integrirani skup alata za sprječavanje ili kontrolu kretanja povjerljivih informacija iz informacionog sistema kompanije prema van.
Savremeni DLP sistemi zasnovani su na analizi tokova podataka koji prelaze perimetar zaštićenog informacionog sistema. Ako se u toku otkriju povjerljive informacije, aktivira se zaštita, a prijenos poruke (paket, tok, sesija) se blokira ili nadzire.
Pored svoje glavne funkcije, DLP rješenja pomažu u odgovoru na tri jednostavna, ali vrlo važna pitanja: “Gdje su moji povjerljivi podaci?”, “Kako se ti podaci koriste?” i „Koji je najbolji način da ih zaštitite od gubitka?“ Da bi im odgovorio, DLP sistem vrši dubinsku analizu sadržaja informacija, organizuje automatsku zaštitu poverljivih podataka u konačnim informacionim resursima, na nivou gateway-a i u statičkim sistemima za skladištenje podataka, a takođe pokreće procedure reagovanja na incidente koje treba preduzeti. odgovarajuće mere.
Pogledajmo funkcionalnost DLP rješenja na primjeru Symantecovog softverskog proizvoda - DLP 9.0 (Vontu DLP), koji je integrirani i centralno upravljani skup alata za praćenje i sprječavanje curenja povjerljivih podataka iz zaštićenog informacionog kola. Uključuje sljedeće glavne DLP komponente.
Endpoint DLP je modul za kontrolu kretanja informacija na računarima i laptopima. Omogućava vam praćenje u realnom vremenu, i ako se otkrije zabranjeni sadržaj, blokira pokušaje kopiranja informacija na prenosivi medij za pohranu, štampanje i slanje faksom, e-poštom itd. Kontrola se vrši i kada je PC povezan na korporativnu mrežu, i van mreže ili kada radite na daljinu. Pored tihe kontrole i prevencije curenja, sistem može informisati korisnika o nezakonitosti njegovih radnji, što omogućava obuku osoblja u pravilima rada s povjerljivim informacijama.
Skladištenje DLP je modul za praćenje usklađenosti sa procedurama za čuvanje povjerljivih podataka. U režimu planiranog skeniranja, omogućava vam da otkrijete statički pohranjene povjerljive podatke na fajlovima, pošti, web serverima, sistemima za upravljanje dokumentima, serverima baza podataka, itd. Analizira legitimnost pohranjivanja podataka na njihovoj trenutnoj lokaciji i prenosi ih, ako je potrebno, na sigurnost skladištenje.
Mrežni DLP - modul za kontrolu kretanja informacija kroz gatewaye za prenos podataka. Omogućava vam da nadgledate prijenos informacija preko bilo kojeg TCP/IP ili UDP kanala. Sistem kontroliše razmjenu informacija putem IM i peer-to-peer sistema, a također vam omogućava da blokirate prijenos informacija putem HTTP(ova), FTP(ova) i SMTP kanala uz mogućnost informiranja korisnika o kršenju korporativnih politika.
Enforce Platform je centralizovani sistem upravljanja za sve sistemske module. Omogućava vam da upravljate performansama samog sistema, nadgledate njegove performanse i opterećenje, i administrirate pravila i politike u smislu kontrole kretanja povjerljivih podataka. Sistem je u potpunosti baziran na Web tehnologijama i sadrži sve alate za organizaciju punog životnog ciklusa procesa upravljanja sigurnosnim politikama za rukovanje povjerljivim podacima u kompaniji, uključujući klasifikaciju, indeksiranje, digitalizaciju itd. Platforma uključuje i modul za izvještavanje koji vam omogućava da jednostavno i efikasno izvršite analizu trenutnog stanja sigurnosti skladištenja i kretanja informacija, kao i konstruisanje složenih uzoraka pomoću regresijske i progresivne analize.
Symantec DLP koristi dva mehanizma pomoću kojih tim za bezbednost informacija može klasifikovati podatke i dodeliti ih određenim grupama važnosti. Prvi, filtriranje sadržaja, je mogućnost da se u toku prenesenih informacija istaknu oni dokumenti ili podaci koji sadrže određene riječi, izraze, određene vrste datoteka, kao i kombinacije slova i brojeva određene pravilima (na primjer, pasoš broj, kreditna kartica itd.). Druga, metoda digitalnog otiska prsta, omogućava vam da zaštitite određene slike informacija, blokirajući pokušaje da ih razrijedite, koristite fragmente teksta itd.
Ako smo sasvim dosljedni u našim definicijama, možemo reći da je sigurnost informacija započela upravo pojavom DLP sistema. Prije toga, svi proizvodi koji su se bavili „informacionom sigurnošću“ zapravo su štitili ne informacije, već infrastrukturu – mjesta na kojima se podaci pohranjuju, prenose i obrađuju. Računar, aplikacija ili kanal koji hostuje, obrađuje ili prenosi osjetljive informacije zaštićeni su ovim proizvodima na isti način kao infrastruktura koja rukuje inače bezazlenim informacijama. Odnosno, s pojavom DLP proizvoda informacijski sistemi su konačno naučili da razlikuju povjerljive informacije od nepovjerljivih informacija. Možda će integracijom DLP tehnologija u informatičku infrastrukturu kompanije moći mnogo uštedjeti na zaštiti informacija - na primjer, koristiti šifriranje samo u slučajevima kada se povjerljive informacije pohranjuju ili prenose, a ne šifriraju informacije u drugim slučajevima.
Međutim, ovo je pitanje budućnosti, a u sadašnjosti se ove tehnologije uglavnom koriste za zaštitu informacija od curenja. Tehnologije kategorizacije informacija čine jezgro DLP sistema. Svaki proizvođač svoje metode otkrivanja povjerljivih informacija smatra jedinstvenim, štiti ih patentima i za njih osmišljava posebne žigove. Na kraju krajeva, preostali elementi arhitekture koji se razlikuju od ovih tehnologija (presretači protokola, parseri formata, upravljanje incidentima i skladištenje podataka) su identični za većinu proizvođača, a za velike kompanije su čak integrirani s drugim sigurnosnim proizvodima informacijske infrastrukture. U osnovi, za kategorizaciju podataka u proizvodima za zaštitu korporativnih informacija od curenja, koriste se dvije glavne grupe tehnologija - lingvistička (morfološka, semantička) analiza i statističke metode (Digitalni otisci prstiju, DNK dokumenta, antiplagijat). Svaka tehnologija ima svoje prednosti i slabosti, koje određuju opseg njene primjene.
Lingvistička analiza
Upotreba stop riječi (“tajno”, “povjerljivo” i slično) za blokiranje odlaznih poruka e-pošte na serverima pošte može se smatrati prapočetkom modernih DLP sistema. Naravno, to ne štiti od napadača - uklanjanje stop riječi, koja se najčešće stavlja u poseban dio dokumenta, nije teško, a značenje teksta se uopće neće promijeniti.
Podsticaj razvoju lingvističkih tehnologija početkom ovog stoljeća dali su kreatori filtera za e-poštu. Prije svega, za zaštitu e-pošte od neželjene pošte. Sada su metode reputacije koje preovlađuju u anti-spam tehnologijama, ali početkom stoljeća došlo je do pravog jezičkog rata između projektila i oklopa - spamera i anti-spamera. Sjećate li se najjednostavnijih metoda za zavaravanje filtera zasnovanih na zaustavnim riječima? Zamjena slova sličnim slovima iz drugih kodiranja ili brojeva, transliteracija, nasumični razmaci, podvlačenje ili prijelom redova u tekstu. Anti-spameri brzo su naučili da se nose s takvim trikovima, ali tada su se pojavili grafički neželjeni sadržaji i druge lukave vrste neželjene prepiske.
Međutim, nemoguće je koristiti anti-spam tehnologije u DLP proizvodima bez ozbiljnih modifikacija. Na kraju krajeva, za borbu protiv neželjene pošte, dovoljno je podijeliti tok informacija u dvije kategorije: spam i ne-spam. Bayesova metoda, koja se koristi za otkrivanje neželjene pošte, daje samo binarni rezultat: “da” ili “ne”. Ovo nije dovoljno za zaštitu korporativnih podataka od curenja – ne možete jednostavno podijeliti informacije na povjerljive i nepovjerljive. Morate znati klasificirati informacije po funkcionalnoj pripadnosti (finansijska, proizvodna, tehnološka, komercijalna, marketinška), a unutar klasa - kategorizirati ih po nivou pristupa (za slobodnu distribuciju, za ograničen pristup, za službenu upotrebu, tajna, strogo povjerljiva , i tako dalje).
Većina savremenih sistema lingvističke analize koristi ne samo kontekstualnu analizu (tj. u kom kontekstu, u kombinaciji sa kojim drugim rečima se koristi određeni termin), već i semantičku analizu teksta. Ove tehnologije rade efikasnije što je veći fragment koji se analizira. Analiza se vrši preciznije na velikom fragmentu teksta, a kategorija i klasa dokumenta će se vjerovatnije odrediti. Kada se analiziraju kratke poruke (SMS, Internet messengeri), ništa bolje od stop riječi još nije izmišljeno. Autor se sa takvim zadatkom suočio u jesen 2008. godine, kada je na Internet sa radnih mesta poslato na hiljade poruka poput „otpuštaju nas“, „oduzeće nam dozvolu“, „odliv štediša“. mnoge banke putem instant messengera, koje su odmah morale biti blokirane od svojih klijenata.
Prednosti tehnologije
Prednosti lingvističkih tehnologija su u tome što rade direktno sa sadržajem dokumenata, odnosno nije im bitno gdje i kako je dokument nastao, na kakvom je pečatu ili kako se datoteka zove - dokumenti. su odmah zaštićeni. Ovo je važno, na primjer, kada se obrađuju nacrti povjerljivih dokumenata ili za zaštitu ulazne dokumentacije. Ako se dokumenti kreirani i korišćeni u okviru kompanije mogu na neki način imenovati, pečati ili označiti na specifičan način, onda ulazni dokumenti mogu imati pečate i oznake koje organizacija ne prihvata. Nacrti (osim ako, naravno, nisu kreirani u sigurnom sistemu za upravljanje dokumentima) također mogu već sadržavati povjerljive informacije, ali još uvijek ne sadrže potrebne pečate i naljepnice.
Još jedna prednost lingvističkih tehnologija je njihova sposobnost učenja. Ako ste barem jednom u životu kliknuli na dugme „Nije neželjena pošta“ u svom klijentu e-pošte, tada već možete zamisliti klijentski deo sistema za obuku jezičkih mašina. Dozvolite mi da napomenem da apsolutno ne morate biti sertifikovani lingvista i znati šta će se tačno promeniti u bazi podataka kategorija - samo ukažite sistemu lažno pozitivan rezultat, a on će sam uraditi ostalo.
Treća prednost lingvističkih tehnologija je njihova skalabilnost. Brzina obrade informacije je proporcionalna njenoj količini i apsolutno je nezavisna od broja kategorija. Donedavno je izgradnja hijerarhijske baze podataka kategorija (povijesno se zvala BKF - baza podataka za filtriranje sadržaja, ali ovaj naziv više ne odražava pravo značenje) izgledala je kao svojevrsni šamanizam profesionalnih lingvista, pa je postavljanje BKF-a lako moglo. smatrati nedostatkom. Ali izdavanjem nekoliko “autolingvističkih” proizvoda 2010. godine, izgradnja primarne baze podataka kategorija postala je krajnje jednostavna – sistemu se prikazuju mjesta na kojima se pohranjuju dokumenti određene kategorije, a on sam određuje jezičke karakteristike ove kategorije, a u slučaju lažno pozitivnih, uči samostalno. Tako je sada prednostima lingvističkih tehnologija dodata jednostavnost podešavanja.
I još jedna prednost lingvističkih tehnologija koju želim da napomenem u članku je mogućnost otkrivanja kategorija u tokovima informacija koje nisu vezane za dokumente koji se nalaze unutar kompanije. Alat za praćenje sadržaja tokova informacija može identificirati kategorije kao što su nezakonite aktivnosti (piraterija, distribucija zabranjene robe), korištenje infrastrukture kompanije u vlastite svrhe, nanošenje štete imidžu kompanije (na primjer, širenje klevetničkih glasina) i tako dalje.
Nedostaci tehnologije
Glavni nedostatak lingvističkih tehnologija je njihova ovisnost o jeziku. Nije moguće koristiti lingvistički mehanizam dizajniran za jedan jezik za analizu drugog. To je bilo posebno uočljivo kada su američki proizvođači ušli na rusko tržište - nisu bili spremni suočiti se s ruskim stvaranjem riječi i prisustvom šest kodiranja. Nije bilo dovoljno prevesti kategorije i ključne riječi na ruski - na engleskom je tvorba riječi prilično jednostavna, a padeži se stavljaju u prijedloge, odnosno kada se promijeni padež mijenja se prijedlog, a ne sama riječ. Većina imenica u engleskom jeziku postaju glagoli bez promjene riječi. I tako dalje. Na ruskom nije sve tako - jedan korijen može dovesti do desetina riječi u različitim dijelovima govora.
U Njemačkoj su se američki proizvođači lingvističkih tehnologija suočili s još jednim problemom - takozvanim "složenicama", složenicama. U njemačkom je uobičajeno da se glavne riječi dodaju definicije, što rezultira riječima koje se ponekad sastoje od desetak korijena. Ne postoji to u engleskom jeziku, gdje je riječ niz slova između dva razmaka, tako da engleski lingvistički stroj nije bio u stanju obraditi nepoznate dugačke riječi.
Iskreno rečeno, treba reći da su ove probleme sada u velikoj mjeri riješili američki proizvođači. Jezički motor je morao biti prilično redizajniran (i ponekad prepisan), ali velika tržišta Rusije i Njemačke su svakako vrijedna toga. Također je teško obraditi višejezične tekstove korištenjem lingvističkih tehnologija. Međutim, većina motora se i dalje nosi s dva jezika, obično nacionalni jezik + engleski - za većinu poslovnih zadataka to je sasvim dovoljno. Iako je autor naišao na povjerljive tekstove koji sadrže, na primjer, kazahstanski, ruski i engleski istovremeno, ovo je prije izuzetak nego pravilo.
Još jedan nedostatak lingvističkih tehnologija za kontrolu čitavog spektra korporativnih povjerljivih informacija je to što nisu sve povjerljive informacije u obliku koherentnih tekstova. Iako se u bazama podataka informacije pohranjuju u tekstualnom obliku, te nema problema pri izdvajanju teksta iz DBMS-a, primljene informacije najčešće sadrže vlastita imena - puna imena, adrese, nazive firmi, kao i digitalne informacije - brojeve računa, kreditne kartice, njihova stanja, itd. Obrada takvih podataka pomoću lingvistike neće donijeti veliku korist. Isto se može reći i za CAD/CAM formate, odnosno crteže koji često sadrže intelektualnu svojinu, programske kodove i medijske (video/audio) formate - iz njih se mogu izdvojiti neki tekstovi, ali je i njihova obrada neefikasna. Prije samo tri godine to se odnosilo i na skenirane tekstove, ali su vodeći proizvođači DLP sistema brzo dodali optičko prepoznavanje i riješili se ovaj problem.
Ali najveći i najčešće kritikovani nedostatak lingvističkih tehnologija i dalje je probabilistički pristup kategorizaciji. Ako ste ikada pročitali e-poštu sa kategorijom "Vjerovatno SPAM", znat ćete na šta mislim. Ako se to dogodi sa neželjenom poštom, gdje postoje samo dvije kategorije (spam/ne spam), možete zamisliti šta će se dogoditi kada se nekoliko desetina kategorija i klasa privatnosti učita u sistem. Iako obuka sistema može postići 92-95% tačnosti, za većinu korisnika to znači da će svaki deseti ili dvadeseti pokret informacija biti greškom raspoređen u pogrešnu klasu, sa svim poslovnim posljedicama koje slijede (curenje ili prekid legitimnog procesa).
Obično nije uobičajeno da se složenost razvoja tehnologije smatra nedostatkom, ali se ne može zanemariti. Razvoj ozbiljnog lingvističkog motora sa kategorizacijom tekstova u više od dvije kategorije je proces koji zahtijeva znanje i prilično je tehnološki složen. Primijenjena lingvistika je nauka koja se brzo razvija, koja je dobila snažan zamah u svom razvoju sa širenjem internet pretraživanja, ali danas na tržištu postoji samo nekoliko funkcionalnih motora za kategorizaciju: za ruski jezik postoje samo dva, a za neki jezici jednostavno još nisu razvijeni. Dakle, postoji samo nekoliko kompanija na DLP tržištu koje su u stanju da potpuno kategoriziraju informacije u hodu. Može se pretpostaviti da će Google lako ući na njega kada DLP tržište poraste na više milijardi dolara. Sa sopstvenim lingvističkim motorom, testiranim na trilionima upita za pretragu u hiljadama kategorija, neće mu biti teško da odmah uhvati ozbiljan deo ovog tržišta.
Statističke metode
Zadatak kompjuterskog traženja značajnih citata (zašto upravo „značajnih” - malo kasnije) zanimao je lingviste još 70-ih godina prošlog stoljeća, ako ne i ranije. Tekst je razbijen na komade određene veličine, a iz svakog od njih je uzet heš. Ako se određeni niz hešova pojavio u dva teksta u isto vrijeme, onda su se s velikom vjerovatnoćom tekstovi u ovim područjima poklopili.
Nusproizvod istraživanja u ovoj oblasti je, na primjer, „alternativna hronologija“ Anatolija Fomenka, uglednog naučnika koji je radio na „tekstualnim korelacijama“ i svojevremeno upoređivao ruske hronike iz različitih istorijskih perioda. Iznenađen koliko se kronike različitih stoljeća poklapaju (više od 60%), krajem 70-ih iznio je teoriju da je naša hronologija nekoliko stoljeća kraća. Stoga, kada neka DLP kompanija uđe na tržište nudi „revolucionarnu tehnologiju za traženje ponuda“, može se sa velikom vjerovatnoćom reći da kompanija nije stvorila ništa osim novog brenda.
Statističke tehnologije ne tretiraju tekstove kao koherentan niz riječi, već kao proizvoljan niz znakova, te stoga jednako dobro funkcioniraju s tekstovima na bilo kojem jeziku. Budući da je svaki digitalni objekat - bilo da je to slika ili program - također niz simbola, iste metode se mogu koristiti za analizu ne samo tekstualnih informacija, već i svih digitalnih objekata. A ako se hešovi u dva audio fajla poklapaju, jedan od njih vjerovatno sadrži citat drugog, pa su statističke metode efikasna sredstva zaštite od curenja zvuka i videa, aktivno se koriste u muzičkim studijima i filmskim kompanijama.
Vrijeme je da se vratimo konceptu "smislenog citata". Ključna karakteristika složenog heša preuzetog sa zaštićenog objekta (koji se u različitim proizvodima naziva ili digitalni otisak prsta ili dokument DNK) je korak u kojem se heš uzima. Kao što se može razumjeti iz opisa, takav "otisak" je jedinstvena karakteristika objekta i istovremeno ima svoju veličinu. Ovo je važno jer ako uzimate otiske iz miliona dokumenata (što je kapacitet skladištenja prosječne banke), trebat će vam dovoljna količina prostora na disku da pohranite sve otiske. Veličina takvog otiska prsta ovisi o hash koraku - što je korak manji, to je veći otisak prsta. Ako uzmete heš u koracima od jednog znaka, veličina otiska prsta će premašiti veličinu samog uzorka. Ako povećate veličinu koraka (na primjer, 10.000 znakova) da biste smanjili "težinu" otiska prsta, tada se u isto vrijeme povećava vjerovatnoća da će dokument koji sadrži citat iz uzorka od 9.900 znakova biti povjerljiv, ali će proklizati kroz nezapaženo.
S druge strane, ako napravite vrlo mali korak, nekoliko simbola, da povećate točnost detekcije, tada možete povećati broj lažnih pozitivnih rezultata na neprihvatljivu vrijednost. Što se tiče teksta, to znači da ne biste trebali uklanjati heš iz svakog slova – sve riječi se sastoje od slova, a sistem će prisustvo slova u tekstu uzeti kao sadržaj citata iz uzorka teksta. Tipično, sami proizvođači preporučuju neki optimalni korak za uklanjanje hashova kako bi veličina citata bila dovoljna, a istovremeno i težina samog otiska bila mala - od 3% (tekst) do 15% (komprimirani video). U nekim proizvodima, proizvođači vam dozvoljavaju da promijenite veličinu značaja citata, odnosno povećate ili smanjite hash korak.
Prednosti tehnologije
Kao što možete razumjeti iz opisa, da biste otkrili citat, potreban vam je uzorak objekta. A statističke metode mogu sa dobrom tačnošću (do 100%) reći da li datoteka koja se provjerava sadrži značajan citat iz uzorka ili ne. Odnosno, sistem ne preuzima odgovornost za kategorizaciju dokumenata – takav posao u potpunosti leži na savjesti osobe koja je kategorizirala fajlove prije uzimanja otisaka prstiju. Ovo uvelike olakšava zaštitu informacija ako preduzeće skladišti rijetko promijenjene i već kategorizirane datoteke na nekom mjestu(ima). Tada je dovoljno uzeti otisak prsta sa svakog od ovih fajlova, a sistem će, u skladu sa postavkama, blokirati prenos ili kopiranje fajlova koji sadrže značajne citate iz uzoraka.
Neovisnost statističkih metoda od jezika teksta i netekstualnih informacija je također neosporna prednost. Oni su dobri u zaštiti statičnih digitalnih objekata bilo koje vrste - slike, audio/video, baze podataka. Govorit ću o zaštiti dinamičkih objekata u odjeljku "nedostaci".
Nedostaci tehnologije
Kao što je slučaj sa lingvistikom, nedostaci tehnologije su suprotna strana prednosti. Lakoća obučavanja sistema (označite fajl sistemu, a on je već zaštićen) prebacuje odgovornost za obuku sistema na korisnika. Ako iznenada povjerljivi fajl završi na pogrešnom mjestu ili nije indeksiran zbog nemara ili zlonamjerne namjere, sistem ga neće zaštititi. Shodno tome, kompanije koje brinu o zaštiti povjerljivih informacija od curenja moraju obezbijediti proceduru za kontrolu kako se povjerljive datoteke indeksiraju od strane DLP sistema.
Još jedan nedostatak je fizička veličina otiska. Autor je više puta vidio impresivne pilot projekte na otiscima, kada DLP sistem sa 100% vjerovatnoćom blokira prijenos dokumenata koji sadrže značajne citate iz tri stotine primjera dokumenata. Međutim, nakon godinu dana rada sistema u borbenom režimu, otisak prsta svakog odlaznog pisma se poredi ne sa tri stotine, već sa milionima uzoraka otisaka prstiju, što značajno usporava rad sistema pošte, uzrokujući kašnjenja od desetine minuta. .
Kao što sam gore obećao, opisat ću svoje iskustvo u zaštiti dinamičkih objekata korištenjem statističkih metoda. Vrijeme potrebno za uzimanje otiska prsta direktno ovisi o veličini i formatu datoteke. Za tekstualni dokument kao što je ovaj članak potrebno je djeliće sekunde, za sat i po MP4 film potrebno je desetine sekundi. Za fajlove koji se retko menjaju to nije kritično, ali ako se objekat menja svake minute ili čak sekunde, onda nastaje problem: posle svake promene objekta sa njega treba uzeti novi otisak prsta... Kod koji programer radi nije najveća složenost, mnogo je gore sa bazama podataka koje se koriste u naplati, osnovnom bankarstvu ili pozivnim centrima. Ako je vrijeme uzimanja otiska prsta duže od vremena da predmet ostane nepromijenjen, onda problem nema rješenja. Ovo nije tako egzotičan slučaj - na primjer, za snimanje otiska prsta baze podataka u kojoj se pohranjuju telefonski brojevi klijenata federalnog mobilnog operatera potrebno je nekoliko dana, ali se mijenja svake sekunde. Dakle, kada dobavljač DLP-a tvrdi da njihov proizvod može zaštititi vašu bazu podataka, mentalno dodajte riječ „kvazi-statičan“.
Jedinstvo i borba suprotnosti
Kao što se može vidjeti iz prethodnog odjeljka članka, snaga jedne tehnologije se manifestira tamo gdje je druga slaba. Lingvistici nisu potrebni uzorci, ona kategorizira podatke u hodu i može zaštititi informacije koje nisu uzete otiskom prstiju, bilo slučajno ili namjerno. Otisak prsta daje bolju preciznost i stoga je poželjniji za korištenje u automatskom načinu rada. Lingvistika odlično radi s tekstovima, otisci prstiju dobro funkcioniraju s drugim formatima za pohranu informacija.
Stoga većina vodećih kompanija u svom razvoju koristi obje tehnologije, pri čemu je jedna od njih glavna, a druga dodatna. To je zbog činjenice da su u početku proizvodi kompanije koristili samo jednu tehnologiju, u kojoj je kompanija dalje napredovala, a zatim je, prema potražnji tržišta, priključena druga. Na primjer, ranije je InfoWatch koristio samo licenciranu lingvističku tehnologiju Morph-OLogic, a Websense tehnologiju PreciseID, koja pripada kategoriji Digital Fingerprint, ali sada kompanije koriste obje metode. U idealnom slučaju, ove dvije tehnologije ne bi trebalo koristiti paralelno, već uzastopno. Na primjer, otisci prstiju će bolje odrediti vrstu dokumenta – da li je to ugovor ili bilans stanja, na primjer. Zatim možete povezati lingvističku bazu podataka kreiranu posebno za ovu kategoriju. Ovo značajno štedi računarske resurse.
Nekoliko drugih vrsta tehnologija koje se koriste u DLP proizvodima su izvan opsega ovog članka. To uključuje, na primjer, analizator strukture koji vam omogućava da pronađete formalne strukture u objektima (brojevi kreditnih kartica, pasoši, porezni identifikacijski brojevi, itd.) koji se ne mogu otkriti ni pomoću lingvistike ni otisaka prstiju. Također, tema različitih tipova oznaka nije pokrivena - od unosa u atributna polja datoteke ili jednostavno posebnog imena za datoteke do posebnih kriptokontejnera. Ova potonja tehnologija postaje zastarjela, budući da većina proizvođača ne preferira da sami izmišljaju točak, već da se integrišu sa proizvođačima DRM sistema, kao što su Oracle IRM ili Microsoft RMS.
DLP proizvodi su brzo rastuće područje sigurnosti informacija; neki proizvođači objavljuju nove verzije vrlo često, više od jednom godišnje. Radujemo se pojavi novih tehnologija za analizu korporativnog informacionog polja kako bi se povećala efikasnost zaštite povjerljivih informacija.
Prije detaljnog proučavanja i rasprave o tržištu DLP sistema, morate odlučiti šta to znači. DLP sistemi obično podrazumevaju softverske proizvode koji su kreirani da zaštite organizacije i preduzeća od curenja poverljivih informacija. Ovako je sama skraćenica DLP prevedena na ruski (u cijelosti - Data Leak Prevention) - „izbjegavanje curenja podataka“.
Takvi sistemi su u stanju da kreiraju digitalni siguran „perimetar“ za analizu svih odlaznih ili dolaznih informacija. Informacije koje kontroliše ovaj sistem je internet saobraćaj i brojni tokovi informacija: dokumenti koji se preuzimaju van zaštićenog „perimetra“ na spoljnim medijima, štampaju se na štampaču, šalju na mobilne uređaje preko Bluetooth-a. Kako je slanje i razmjena raznih vrsta informacija danas neizbježna potreba, važnost takve zaštite je očigledna. Što se više koriste digitalne i internet tehnologije, to je potrebno više sigurnosnih garancija na dnevnoj bazi, posebno u korporativnim okruženjima.
Kako radi?
Pošto DLP sistem mora da spreči curenje korporativnih poverljivih informacija, on, naravno, ima ugrađene mehanizme za dijagnostikovanje stepena poverljivosti bilo kog dokumenta pronađenog u presretnutom saobraćaju. U ovom slučaju postoje dva uobičajena načina za prepoznavanje stepena povjerljivosti datoteka: provjerom posebnih markera i analizom sadržaja.
Trenutno je relevantna druga opcija. Otporniji je na modifikacije koje se mogu izvršiti na fajlu prije slanja, a također omogućava jednostavno proširenje broja povjerljivih dokumenata sa kojima sistem može raditi.
Sekundarni DLP zadaci
Osim svoje osnovne funkcije, koja se odnosi na sprečavanje curenja informacija, DLP sistemi su pogodni i za rješavanje mnogih drugih zadataka usmjerenih na praćenje postupanja osoblja. DLP sistemi najčešće rješavaju niz sljedećih problema:
- punu kontrolu nad korištenjem radnog vremena, kao i radnih resursa od strane osoblja organizacije;
- praćenje komunikacije zaposlenih kako bi se otkrilo njihovo potencijalno nanošenje štete organizaciji;
- kontrola postupanja zaposlenih u pogledu zakonitosti (sprečavanje izrade falsifikovanih dokumenata);
- identificiranje zaposlenika koji šalju biografije kako bi brzo pronašli osoblje za upražnjeno mjesto.
Klasifikacija i poređenje DLP sistema
Svi postojeći DLP sistemi mogu se podijeliti prema određenim karakteristikama u nekoliko glavnih podtipova, od kojih će se svaki izdvojiti i imati svoje prednosti u odnosu na druge.
Ako je moguće blokirati informacije koje su prepoznate kao povjerljive, postoje sistemi s aktivnim ili pasivnim stalnim praćenjem radnji korisnika. Prvi sistemi su u stanju da blokiraju prenete informacije, za razliku od drugog. Oni se također mnogo bolje nose sa slučajnim odlaskom informacija u stranu, ali u isto vrijeme mogu zaustaviti tekuće poslovne procese kompanije, što nije njihov najbolji kvalitet u odnosu na ove druge.
Druga klasifikacija DLP sistema može se napraviti na osnovu njihove mrežne arhitekture. Gateway DLP-ovi rade na posrednim serverima. Nasuprot tome, domaćini koriste agente koji rade posebno na radnim stanicama zaposlenih. Trenutno je relevantnija opcija istovremena upotreba komponenti hosta i gatewaya, ali prve imaju određene prednosti.
Globalno moderno DLP tržište
Trenutno glavna mjesta na globalnom tržištu DLP sistema zauzimaju kompanije koje su nadaleko poznate u ovoj oblasti. To uključuje Symantec, TrendMicro, McAffee, WebSense.
Symantec
Symantec zadržava svoju vodeću poziciju na DLP tržištu, iako je ova činjenica iznenađujuća jer bi ga mnoge druge kompanije mogle zamijeniti. Rešenje se i dalje sastoji od modularnih komponenti koje mu omogućavaju da pruži najnovije mogućnosti dizajnirane za integraciju DLP sistema sa najboljim tehnologijama. Tehnološki plan za ovu godinu sastavljen je na osnovu informacija naših klijenata i danas je najprogresivniji dostupan na tržištu. Međutim, ovo je daleko od najboljeg izbora DLP sistema.
Prednosti:
- značajna poboljšanja Content-Aware DLP tehnologije za prenosive uređaje;
- Poboljšane mogućnosti pronalaženja sadržaja za podršku sveobuhvatnijem pristupu;
- poboljšanje integracije DLP mogućnosti sa drugim Symantec proizvodima (najupečatljiviji primer je Data Insight).
Na šta trebate obratiti pažnju (važni nedostaci u radu o kojima vrijedi razmisliti):
- unatoč činjenici da se Symantecova tehnološka mapa puta smatra progresivnom, njena implementacija se često događa s problemima;
- Iako je upravljačka konzola potpuno funkcionalna, nije tako konkurentna kao što tvrdi Symantec;
- Često se klijenti ovog sistema žale na vreme odziva službe podrške;
- cijena ovog rješenja je i dalje znatno viša od dizajna konkurenata, koji vremenom mogu zauzeti vodeću poziciju zahvaljujući malim promjenama u ovom sistemu.
Websense
Tokom proteklih nekoliko godina, programeri su redovno poboljšavali Websense DLP ponudu. Može se sa sigurnošću smatrati potpuno funkcionalnim rješenjem. Websense je savremenom korisniku pružio napredne mogućnosti.
Pobjedničke strane:
- Websense-ov prijedlog je korištenje potpuno opremljenog DLP rješenja koje podržava krajnje tačke i otkrivanje podataka.
- Koristeći DLP funkciju kapanja, moguće je otkriti postepeno curenje informacija koje traje prilično dugo.
Ono što zaslužuje posebnu pažnju:
- Možete uređivati podatke samo dok ste u mirovanju.
- Tehnološka mapa se odlikuje malom snagom.
McAfee DLP
McAfee DLP sigurnosni sistem je također uspio doživjeti mnoge pozitivne promjene. Ne karakteriše ga prisustvo posebnih funkcija, ali je implementacija osnovnih sposobnosti organizovana na visokom nivou. Ključna razlika, osim integracije sa drugim McAfee ePolicy Orchestrator (EPO) konzolnim proizvodima, je upotreba tehnologije skladištenja u centralizovanoj bazi podataka snimljenih. Ovaj okvir se može koristiti za optimizaciju novih pravila za testiranje protiv lažnih pozitivnih rezultata i smanjenje vremena implementacije.
Šta vas najviše privlači kod ovog rješenja?
Upravljanje incidentima se lako može nazvati jakošću McAfee rješenja. Uz njegovu pomoć prilažu se dokumenti i komentari koji obećavaju prednosti pri radu na bilo kojem nivou. Ovo rješenje može otkriti sadržaj koji nije tekstualni, na primjer, sliku. Moguće je da DLP sistemi implementiraju novo rješenje ovog programera za zaštitu krajnjih tačaka, na primjer, samostalne.
Funkcije usmjerene na razvoj platformi, predstavljene u obliku mobilnih komunikacijskih uređaja i društvenih mreža, pokazale su se prilično dobro. To im omogućava da nadmaše konkurentna rješenja. Nova pravila se analiziraju kroz bazu podataka koja sadrži uhvaćene informacije, što pomaže u smanjenju broja lažnih pozitivnih rezultata i ubrzavanju implementacije pravila. McAfee DLP pruža osnovnu funkcionalnost u virtuelnom okruženju. Planovi njihovog razvoja još nisu jasno formulisani.
Perspektive i savremeni DLP sistemi
Pregled različitih gore predstavljenih rješenja pokazuje da sva rade na isti način. Prema mišljenju stručnjaka, glavni trend razvoja je da „patch” sistemi koji sadrže komponente više proizvođača uključenih u rješavanje specifičnih problema budu zamijenjeni integriranim softverskim paketom. Ova tranzicija će se provesti zbog potrebe da se stručnjaci rasterete od rješavanja određenih problema. Osim toga, postojeći DLP sistemi, čiji analozi ne mogu pružiti isti nivo zaštite, stalno će se unapređivati.
Na primjer, kroz složene integrirane sisteme, utvrdit će se kompatibilnost različitih tipova komponenti sistema „zakrpa“ jedna s drugom. Ovo će olakšati laku promjenu postavki za ogromne nizove klijentskih stanica u organizacijama i, u isto vrijeme, odsustvo poteškoća s prijenosom podataka sa komponenti jednog integriranog sistema jedna na drugu. Programeri integrisanih sistema jačaju specifičnost zadataka koji imaju za cilj da obezbede sigurnost informacija. Niti jedan kanal ne smije ostati nekontrolisan, jer je često izvor vjerovatnog curenja informacija.
Šta će se dogoditi u bliskoj budućnosti?
Zapadni proizvođači koji su pokušavali da preuzmu tržište DLP sistema u zemljama ZND morali su da se suoče sa problemima u vezi sa podrškom za nacionalne jezike. Oni su prilično aktivno zainteresovani za naše tržište, pa nastoje da podrže ruski jezik.
DLP industrija vidi pomak prema modularnoj strukturi. Kupac će imati priliku da samostalno odabere komponente sistema koje su mu potrebne. Takođe, razvoj i implementacija DLP sistema zavisi od specifičnosti industrije. Najvjerovatnije će se pojaviti posebne verzije poznatih sistema, čija će adaptacija biti podređena radu u bankarskom sektoru ili državnim agencijama. Ovdje će se uzeti u obzir relevantni zahtjevi određenih organizacija.
Korporativna sigurnost
Upotreba laptopa u korporativnim okruženjima ima direktan uticaj na pravac razvoja DLP sistema. Ovaj tip laptop računara ima mnogo više ranjivosti, što zahteva povećanu zaštitu. Zbog specifičnosti prenosnih računara (mogućnost krađe informacija i samog uređaja), proizvođači DLP sistema razvijaju nove pristupe obezbeđivanju bezbednosti laptop računara.
(Sprečavanje gubitka podataka)
Sistemi za praćenje radnji korisnika, sistem za zaštitu poverljivih podataka od internih pretnji.
DLP sistemi se koriste za otkrivanje i sprečavanje prenosa poverljivih podataka u različitim fazama. (tokom kretanja, upotrebe i skladištenja). DLP sistem omogućava:
Kontrolisati rad korisnika, sprečavajući nekontrolisano gubljenje radnog vremena u lične svrhe.
Automatski, neprimijećeno od strane korisnika, bilježi sve radnje, uključujući poslane i primljene e-poruke, razgovore i trenutne poruke, društvene mreže, posjećene web stranice, podatke ukucane na tastaturi, prenesene, ispisane i sačuvane datoteke itd.
Pratite upotrebu kompjuterskih igrica na radnom mestu i vodite računa o količini radnog vremena provedenog na kompjuterskim igricama.
Pratite mrežnu aktivnost korisnika, uzmite u obzir obim mrežnog saobraćaja
Kontrolirajte kopiranje dokumenata na različite medije (izmjenjive medije, čvrste diskove, mrežne mape itd.)
Kontrolišite mrežno štampanje korisnika
Snimanje korisničkih zahtjeva za pretraživače itd.
Podaci u pokretu - podaci u pokretu - e-poruke, prijenos web prometa, datoteka itd.
Podaci u ostatku - pohranjeni podaci - informacije o radnim stanicama, serverima datoteka, USB uređajima itd.
Podaci u upotrebi - podaci u upotrebi - informacije koje se trenutno obrađuju.
Arhitektura DLP rješenja može varirati među različitim programerima, ali općenito postoje 3 glavna trenda:
Presretači i kontroleri za različite kanale prenosa informacija. Presretači analiziraju prolazne tokove informacija koji potiču iz perimetra kompanije, otkrivaju povjerljive podatke, klasifikuju informacije i prenose ih na upravljački server radi obrade mogućeg incidenta. Kontroleri otkrivanja podataka u mirovanju pokreću procese otkrivanja na mrežnim resursima za osjetljive informacije. Kontrolori za operacije na radnim stanicama distribuiraju sigurnosne politike do krajnjih uređaja (računara), analiziraju rezultate aktivnosti zaposlenih sa povjerljivim informacijama i prenose podatke o mogućim incidentima na upravljački server.
Agentski programi instalirani na krajnjim uređajima: primjećuju povjerljive podatke koji se obrađuju i nadgledaju usklađenost s pravilima kao što su čuvanje informacija na prenosivim medijima, slanje, štampanje, kopiranje putem međuspremnika.
Centralni server za upravljanje – upoređuje informacije primljene od presretača i kontrolora i pruža interfejs za obradu incidenata i generisanje izveštaja.
DLP rješenja nude širok spektar kombiniranih metoda otkrivanja informacija:
Digitalni otisci dokumenata i njihovih dijelova
Digitalni otisci baza podataka i druge strukturirane informacije koje je važno zaštititi od distribucije
Statističke metode (povećanje osjetljivosti sistema kada se kršenja ponavljaju).
Kada koristite DLP sisteme, nekoliko procedura se obično izvodi ciklično:
Osposobljavanje sistema o principima klasifikacije informacija.
Unošenje pravila reagovanja u odnosu na kategoriju otkrivenih informacija i grupe zaposlenih čije postupanje treba pratiti. Pouzdani korisnici su istaknuti.
Izvršavanje kontrolne operacije od strane DLP sistema (sistem analizira i normalizuje informacije, vrši poređenje sa principima detekcije i klasifikacije podataka, a kada se otkriju poverljive informacije, sistem ih upoređuje sa postojećim politikama koje su dodeljene detektovanoj kategoriji informacija i, ako je potrebno, stvara incident)
Obrada incidenata (na primjer, informiranje, pauziranje ili blokiranje slanja).
Značajke kreiranja i rada VPN-a iz sigurnosne perspektive
Opcije za izgradnju VPN-a:
Zasnovan na mrežnim operativnim sistemima
Zasnovano na ruteru
Na osnovu ITU
Zasnovan na specijalizovanom softveru i hardveru
Bazirano na specijalizovanom softveru
Da bi VPN radio ispravno i sigurno, morate razumjeti osnove interakcije između VPN-a i vatrozida:
VPN-ovi su u stanju da kreiraju end-to-end komunikacione tunele koji prolaze kroz perimetar mreže i stoga su izuzetno problematični u smislu kontrole pristupa sa firewall-a, koji otežava analizu šifrovanog saobraćaja.
Zahvaljujući svojim mogućnostima enkripcije, VPN-ovi se mogu koristiti za zaobilaženje IDS sistema koji nisu u stanju da otkriju upade iz šifriranih komunikacijskih kanala.
Ovisno o arhitekturi mreže, značajka prijevoda mrežne adrese (NAT) možda neće biti kompatibilna s nekim VPN implementacijama itd.
U suštini, kada donosi odluke o implementaciji VPN komponenti u mrežnu arhitekturu, administrator može ili izabrati VPN kao samostalni eksterni uređaj ili izabrati da integriše VPN u zaštitni zid kako bi obe funkcije obezbedio u jednom sistemu.
Unutar DMZ-a, između firewall-a i graničnog rutera
Unutar zaštićene mreže na ITU mrežnim adapterima
Unutar zaštićene mreže, iza zaštitnog zida
Paralelno sa ITU, na ulaznoj tački u zaštićenu mrežu.
Prilikom uspostavljanja sigurne veze između VPN uređaja (autentifikacija, razmjena ključeva, itd.)
Kašnjenja povezana s šifriranjem i dešifriranjem zaštićenih podataka, kao i transformacije potrebne za kontrolu njihovog integriteta
Kašnjenja povezana s dodavanjem novog zaglavlja poslanim paketima
ITU + odvojeni VPN. Opcije VPN hostinga:
Vatrozid + VPN, hostovan kao jedna jedinica - ovakvo integrisano rešenje je pogodnije za tehničku podršku od prethodne opcije, ne izaziva probleme povezane sa NAT-om (prevođenje mrežne adrese) i obezbeđuje pouzdaniji pristup podacima, za šta je zaštitni zid odgovoran. Nedostatak integriranog rješenja je visoka početna cijena kupovine takvog alata, kao i ograničene mogućnosti za optimizaciju odgovarajućih VPN i Firewall komponenti (odnosno, najzadovoljavajuće ITU implementacije možda neće biti prikladne za izgradnju VPN komponenti na njihovim VPN može imati značajan utjecaj na performanse mreže i kašnjenje se može pojaviti u sljedećim fazama:
Sigurnost e-pošte
Glavni protokoli pošte: (E)SMTP, POP, IMAP.
SMTP - jednostavan protokol za prijenos pošte, TCP port 25, bez autentifikacije. Proširena SMTP - autentifikacija klijenta je dodana.
POP - Post Office Protocol 3 - primanje pošte sa servera. Provjera autentičnosti jasnog teksta. APOP - sa mogućnošću provjere autentičnosti.
IMAP - protokol za pristup Internet porukama - je nešifrovani protokol za poštu koji kombinuje svojstva POP3 i IMAP. Omogućava vam da radite direktno sa svojim poštanskim sandučićem, bez potrebe da preuzimate pisma na računar.
Zbog nedostatka bilo kakvih normalnih sredstava za šifriranje informacija, odlučili smo koristiti SSL za šifriranje podataka ovih protokola. Odavde su nastale sljedeće sorte:
POP3 SSL - port 995, SMTP SSL (SMTPS) port 465, IMAP SSL (IMAPS) - port 993, sve TCP.
Napadač koji radi sa sistemom e-pošte može imati sljedeće ciljeve:
Presretanje lozinki u POP i IMAP sesijama, zbog čega napadač može primati i brisati poštu bez znanja korisnika
Presretanje lozinki u SMTP sesijama - kao rezultat toga napadač može biti nezakonito ovlašten da šalje poštu preko ovog servera
Napad na računar korisnika slanjem virusa e-pošte, slanjem lažnih mejlova (falsifikovanje adrese pošiljaoca u SMTP-u je trivijalan zadatak), čitanjem tuđih mejlova.
Napad na mail server korištenjem e-pošte s ciljem prodiranja u njegov operativni sistem ili uskraćivanja usluge
Korišćenje mail servera kao releja prilikom slanja neželjenih poruka (spam)
Presretanje lozinke:
Za rješavanje sigurnosnih problema sa POP, IMAP i SMTP protokolima najčešće se koristi SSL protokol koji vam omogućava šifriranje cijele komunikacijske sesije. Nedostatak: SSL je protokol koji zahtijeva velike resurse koji može značajno usporiti komunikaciju.
Spam i borba protiv njega
Vrste lažne neželjene pošte:
Lutrija - entuzijastična obavijest o dobicima u lutrijama u kojima primalac poruke nije učestvovao. Sve što trebate učiniti je posjetiti odgovarajuću web stranicu i unijeti broj svog računa i PIN kod kartice, koji su navodno potrebni za plaćanje usluge dostave.
Aukcije - ova vrsta obmane se sastoji u odsustvu robe koju prevaranti prodaju. Nakon uplate, klijent ne dobija ništa.
Phishing je pismo koje sadrži link do nekog resursa na kojem žele da dostavite podatke itd. Privlačenje lakovjernih ili nepažljivih korisnika ličnih i povjerljivih podataka. Prevaranti šalju mnogo pisama, obično prerušenih u službena pisma raznih institucija, koja sadrže linkove koji vode do lažnih stranica koje vizualno kopiraju web stranice banaka, trgovina i drugih organizacija.
Poštanska prevara je zapošljavanje osoblja za kompaniju kojoj je navodno potreban predstavnik u bilo kojoj zemlji koji može da se pobrine za slanje robe ili transfer novca stranoj kompaniji. Tu se po pravilu kriju šeme pranja novca.
Nigerijska pisma - tražite da položite mali iznos prije nego što primite novac.
Pisma sreće
Spam može biti masovni ili ciljani.
Masovna neželjena pošta nema određene ciljeve i koristi lažne tehnike društvenog inženjeringa protiv velikog broja ljudi.
Ciljana neželjena pošta je tehnika usmjerena na određenu osobu ili organizaciju, u kojoj napadač djeluje u ime direktora, administratora ili drugog zaposlenika organizacije u kojoj žrtva radi ili napadač predstavlja kompaniju sa kojom je ciljna organizacija osnovala odnos poverenja.
Prikupljanje adresa vrši se odabirom vlastitih imena, lijepih riječi iz rječnika, čestim kombinacijama riječi i brojeva, metodom analogije, skeniranjem svih dostupnih izvora informacija (pričaonice, forumi, itd.), krađom baza podataka itd.
Primljene adrese se provjeravaju (provjeravaju da su valjane) slanjem probne poruke, stavljajući u tekst poruke jedinstveni link na sliku sa brojačem preuzimanja ili link „odjavi se sa neželjenih poruka“.
Nakon toga, neželjena pošta se šalje ili direktno sa iznajmljenih servera, ili sa pogrešno konfigurisanih legitimnih servisa e-pošte, ili kroz skrivenu instalaciju zlonamernog softvera na računaru korisnika.
Napadač komplikuje rad anti-spam filtera uvođenjem nasumičnih tekstova, buke ili nevidljivih tekstova, upotrebom grafičkih slova ili promjenom grafičkih slova, fragmentiranih slika, uključujući korištenje animacije i prefraziranjem tekstova.
Anti-spam metode
Postoje 2 glavne metode filtriranja neželjene pošte:
Filtriranje prema formalnim karakteristikama e-mail poruke
Filtrirajte prema sadržaju
Fragmentacija po listama: crna, bijela i siva. Sive liste su metoda privremenog blokiranja poruka s nepoznatim kombinacijama adrese e-pošte i IP adrese servera za slanje. Kada se prvi pokušaj završi privremenim neuspjehom (po pravilu, spamer programi ne šalju ponovo pismo). Nedostatak ove metode je mogući dug vremenski interval između slanja i prijema pravne poruke.
Provjera da li je poruka poslana sa pravog ili lažnog (lažnog) mail servera sa domene navedenog u poruci.
“Povratni poziv” - po prijemu dolazne veze, server primaoca pauzira sesiju i simulira radnu sesiju sa serverom koji šalje. Ako pokušaj ne uspije, suspendirana veza se prekida bez daljnje obrade.
Filtriranje prema formalnim karakteristikama pisma: adresa pošiljaoca i primaoca, veličina, prisustvo i broj priloga, IP adresa pošiljaoca itd.
Formalna metoda
Prepoznavanje po sadržaju pisma - provjerava se prisutnost znakova neželjenog sadržaja u pismu: određeni skup i distribucija određenih fraza u pismu.
Prepoznavanje po uzorcima slova (metoda filtriranja zasnovana na potpisu, uključujući grafičke potpise)
Bayesovo filtriranje je striktno filtriranje riječi. Prilikom provjere dolaznog pisma, vjerovatnoća da je riječ o neželjenoj pošti se izračunava na osnovu obrade teksta, što uključuje izračunavanje prosječne „težine“ svih riječi u datom pismu. Pismo se klasifikuje kao neželjena pošta ili ne na osnovu toga da li njegova težina prelazi određeni prag koji je odredio korisnik. Nakon što se donese odluka o slovu, “težine” za riječi koje se nalaze u njemu se ažuriraju u bazi podataka.
Jezičke metode - rad sa sadržajem pisma
Autentifikacija u računarskim sistemima
Procesi autentifikacije mogu se podijeliti u sljedeće kategorije:
Ali na osnovu saznanja o nečemu (PIN, lozinka)
Na osnovu posjedovanja nečega (pametna kartica, USB ključ)
Nije zasnovano na inherentnim karakteristikama (biometrijskim karakteristikama)
Vrste autentifikacije:
Jednostavna autentifikacija pomoću lozinki
Snažna autentifikacija pomoću višefaktorskih provjera i kriptografskih metoda
Biometrijska autentifikacija
Glavni napadi na protokole za autentifikaciju su:
"Maskarada" - kada korisnik pokušava da se lažno predstavlja za drugog korisnika
Ponovni prijenos - kada se presretnuta lozinka šalje u ime drugog korisnika
Prinudno odlaganje
Da bi se spriječili takvi napadi, koriste se sljedeće tehnike:
Mehanizmi kao što su izazov-odgovor, vremenske oznake, nasumični brojevi, digitalni potpisi, itd.
Povezivanje rezultata provjere autentičnosti s naknadnim radnjama korisnika unutar sistema.
Periodično izvođenje postupaka provjere autentičnosti unutar već uspostavljene komunikacijske sesije.
Autentifikacija zasnovana na lozinkama za višekratnu upotrebu
Autentifikacija zasnovana na jednokratnim lozinkama – OTP (jednokratna lozinka) – jednokratne lozinke važe samo za jednu prijavu i mogu se generisati pomoću OTP tokena. Za to se koristi tajni ključ korisnika, koji se nalazi i unutar OTP tokena i na serveru za autentifikaciju.
Jednostavna autentifikacija
Jednostrano
Dvostrano
Tripartitni
Stroga autentifikacija uključuje da strana koja dokazuje svoju autentičnost dokazuje svoju autentičnost pouzdanoj strani demonstrirajući poznavanje određene tajne. Događa se:
Može se izvesti na osnovu pametnih kartica ili USB ključeva ili kriptografije.
Jaka autentifikacija se može implementirati korištenjem procesa verifikacije od dva ili tri faktora.
U slučaju dvofaktorske autentifikacije, korisnik mora dokazati da zna lozinku ili PIN kod i da posjeduje određeni lični identifikator (smart card ili USB ključ).
Trofaktorska autentifikacija zahtijeva od korisnika da pruži drugu vrstu identifikacije, kao što je biometrija.
Jaka autentifikacija pomoću kriptografskih protokola može se osloniti na simetrično i asimetrično šifriranje, kao i na hash funkcije. Dokazivač dokazuje znanje o tajni, ali sama tajna nije otkrivena. Jednokratni parametri se koriste (slučajni brojevi, vremenske oznake i redni brojevi) kako bi se izbjeglo ponavljanje prijenosa, osigurala jedinstvenost, nedvosmislenost i vremenske garancije poslanih poruka.
Biometrijska autentifikacija korisnika
Biometrijske karakteristike koje se najčešće koriste su:
Otisci prstiju
Uzorak vena
Geometrija ruke
Iris
Geometrija lica
Kombinacije gore navedenog
Kontrola pristupa koristeći shemu jedinstvene prijave s autorizacijom jedinstvene prijave (SSO).
SSO omogućava korisniku korporativne mreže da prođe samo jednu autentifikaciju kada se prijavi na mrežu, jednom prezentirajući samo jednu lozinku ili drugi potrebni autentifikator, a zatim, bez dodatne provjere autentičnosti, dobije pristup svim ovlaštenim mrežnim resursima koji su potrebni za izvođenje posao. Alati za digitalnu autentifikaciju kao što su tokeni, PKI digitalni sertifikati, pametne kartice i biometrijski uređaji se aktivno koriste. Primjeri: Kerberos, PKI, SSL.
Reagovanje na incidente u informacionoj bezbednosti
Među zadacima sa kojima se suočava svaki sistem upravljanja sigurnošću informacija, mogu se identifikovati dva najznačajnija:
Prevencija incidenata
Ukoliko do njih dođe, pravovremeno i korektno reagovati
Prvi zadatak u većini slučajeva zasniva se na kupovini raznih alata za sigurnost informacija.
Drugi zadatak zavisi od stepena pripremljenosti kompanije za ovakve događaje:
Prisustvo obučenog tima za reagovanje na incidente IS s već unaprijed dodijeljenim ulogama i odgovornostima.
Dostupnost promišljene i međusobno povezane dokumentacije o proceduri upravljanja incidentima u informacionoj bezbednosti, posebno o reagovanju i istrazi identifikovanih incidenata.
Dostupnost pripremljenih resursa za potrebe odgovornog tima (komunikacijski alati, ..., sigurno)
Dostupnost ažurne baze znanja o incidentima sigurnosti informacija koji su se dogodili
Visok nivo informisanosti korisnika u oblasti informacione bezbednosti
Kvalifikacija i koordinacija tima za odgovor
Proces upravljanja incidentima u informacijskoj sigurnosti sastoji se od sljedećih faza:
Priprema – sprečavanje incidenata, priprema timova za reagovanje, razvijanje politika i procedura, itd.
Detekcija – sigurnosna obavijest, obavijest korisnika, analiza sigurnosnog dnevnika.
Analiza – potvrđivanje da se incident dogodio, prikupljanje dostupnih informacija o incidentu, identifikacija ugroženih sredstava i klasifikacija incidenta po sigurnosti i prioritetu.
Odgovor – zaustavljanje incidenta i prikupljanje dokaza, preduzimanje mjera za zaustavljanje incidenta i očuvanje informacija zasnovanih na dokazima, prikupljanje informacija zasnovanih na dokazima, interakcija sa internim odjeljenjima, partnerima i pogođenim stranama, kao i privlačenje vanjskih stručnih organizacija.
Istraga – istraga okolnosti incidenata informacione bezbednosti, uključivanje spoljnih stručnih organizacija i interakcija sa svim pogođenim stranama, kao i sa agencijama za sprovođenje zakona i pravosudnim organima.
Oporavak – poduzimanje mjera za zatvaranje ranjivosti koje su dovele do incidenta, otklanjanje posljedica incidenta, vraćanje funkcionalnosti pogođenih usluga i sistema. Registracija obavijesti o osiguranju.
Analiza efikasnosti i modernizacija - analiza incidenta, analiza efektivnosti i modernizacija procesa istrage incidenata informacione bezbednosti i pratećih dokumenata, privatne instrukcije. Generisanje izvještaja o istrazi i potrebi modernizacije sigurnosnog sistema za upravljanje, prikupljanje informacija o incidentu, dodavanje u bazu znanja i pohranjivanje podataka o incidentu.
Efikasan sistem za upravljanje incidentima u oblasti bezbednosti informacija ima sledeće ciljeve:
Osiguravanje pravnog značaja prikupljenih dokaznih informacija o incidentima u informacijskoj sigurnosti
Osiguravanje blagovremenosti i ispravnosti radnji za reagovanje i istraživanje incidenata u informacijskoj sigurnosti
Osiguravanje sposobnosti da se identifikuju okolnosti i uzroci incidenata informacione sigurnosti u cilju dalje modernizacije sistema informacione sigurnosti
Pružanje istrage i pravne podrške za interne i eksterne incidente u informacijskoj sigurnosti
Osigurati mogućnost krivičnog gonjenja napadača i privođenja pravdi u skladu sa zakonom
Osiguravanje mogućnosti naknade štete od incidenta u informacionoj sigurnosti u skladu sa zakonom
Sistem upravljanja incidentima u sigurnosti informacija općenito je u interakciji i integrira se sa sljedećim sistemima i procesima:
Upravljanje sigurnošću informacija
Upravljanje rizicima
Osiguravanje kontinuiteta poslovanja
Integracija se izražava u konzistentnosti dokumentacije i formalizaciji redosleda interakcije između procesa (ulazne, izlazne informacije i uslovi tranzicije).
Proces upravljanja incidentima sigurnosti informacija je prilično složen i obiman. Zahtijeva akumulaciju, obradu i skladištenje ogromne količine informacija, kao i izvršavanje mnogih paralelnih zadataka, tako da na tržištu postoji mnogo alata koji vam omogućavaju automatizaciju određenih zadataka, na primjer tzv. SIEM sistemi (sigurnosne informacije i upravljanje događajima).
Chief Information Officer (CIO) – direktor informacionih tehnologija
Chief Information Security Officer (CISO) – rukovodilac odeljenja za bezbednost informacija, direktor informacione bezbednosti
Osnovni zadatak SIEM sistema nije samo prikupljanje događaja iz različitih izvora, već automatizacija procesa otkrivanja incidenata sa dokumentacijom u sopstvenom logu ili eksternom sistemu, kao i pravovremeno informisanje o događaju. SIEM sistem ima sljedeće zadatke:
Konsolidacija i pohrana logova događaja iz različitih izvora - mrežnih uređaja, aplikacija, OS logova, sigurnosnih alata
Prezentacija alata za analizu događaja i incidenata
Korelacija i obrada prema pravilima događaja koji su se desili
Automatsko obavještavanje i upravljanje incidentima
SIEM sistemi su sposobni da identifikuju:
Mrežni napadi na unutrašnjem i vanjskom perimetru
Epidemije virusa ili pojedinačne infekcije virusima, neuklonjeni virusi, backdoor i trojanci
Pokušaji neovlaštenog pristupa povjerljivim informacijama
Greške i kvarovi u radu IS-a
Ranjivosti
Greške u konfiguraciji, sigurnosnim mjerama i informacionim sistemima.
Glavni izvori SIEM-a
Antivirusna zaštita
Skeneri ranjivosti
Sistemi za vođenje računa o rizicima, kritičnosti pretnji i prioritizaciji incidenata
Ostali sistemi za zaštitu i kontrolu politika sigurnosti informacija:
DLP sistemi
Uređaji za kontrolu pristupa itd.
Kontrola pristupa i podaci za autentifikaciju
Dnevnici događaja servera i radne stanice
Mrežna aktivna oprema
Sistemi inventara
Sistemi knjigovodstva saobraćaja
Najpoznatiji SIEM sistemi:
QRadar SIEM (IBM)
KOMRAD (CJSC NPO ESHELON)
28.01.2014 Sergey Korablev
Odabir bilo kojeg poslovnog proizvoda je netrivijalan zadatak za tehničke stručnjake i donosioce odluka. Odabir sistema zaštite od curenja podataka (DLP) za sprječavanje gubitka podataka je još teži. Nedostatak jedinstvenog konceptualnog sistema, redovnih nezavisnih komparativnih studija i složenost samih proizvoda primoravaju potrošače da naručuju pilot projekte od proizvođača i samostalno provode brojne testove, određujući raspon vlastitih potreba i povezujući ih sa mogućnostima sistema koji se koriste. testirano
Takav pristup je svakako ispravan. Uravnotežena, au nekim slučajevima čak i teško dobivena odluka pojednostavljuje daljnju implementaciju i omogućava vam da izbjegnete razočaranje prilikom korištenja određenog proizvoda. Međutim, proces donošenja odluka u ovom slučaju može se odužiti, ako ne godinama, onda mjesecima. Osim toga, stalno širenje tržišta, pojava novih rješenja i proizvođača dodatno komplikuje zadatak ne samo odabira proizvoda za implementaciju, već i kreiranja preliminarne uže liste odgovarajućih DLP sistema. U takvim uslovima aktuelni pregledi DLP sistema su od nesumnjive praktične vrednosti za tehničke stručnjake. Da li je određeno rješenje vrijedno uključiti na listu za testiranje ili će biti previše složeno za implementaciju u maloj organizaciji? Može li se rješenje proširiti na kompaniju od 10 hiljada zaposlenih? Da li će DLP sistem moći da kontroliše CAD fajlove koji su kritični za poslovanje? Otvoreno poređenje nije zamjena za temeljito testiranje, ali će pomoći da se odgovori na osnovna pitanja koja se nameću u početnoj fazi odabira DLP-a.
Učesnici
Za učesnike su odabrani najpopularniji DLP sistemi na ruskom tržištu informacione sigurnosti kompanija InfoWatch, McAfee, Symantec, Websense, Zecurion i Infosystem Jet (prema analitičkom centru Anti-Malware.ru od sredine 2013. godine).
Za analizu su korištene komercijalno dostupne verzije DLP sistema u vrijeme pripreme pregleda, kao i dokumentacija i otvorene recenzije proizvoda.
Kriterijumi za poređenje DLP sistema odabrani su na osnovu potreba kompanija različitih veličina i različitih industrija. Osnovni zadatak DLP sistema je da spreče curenje poverljivih informacija kroz različite kanale.
Primjeri proizvoda ovih kompanija prikazani su na slikama 1-6.
.jpg) |
| Slika 3. Symantec proizvod |
.jpg) |
| Slika 4. InfoWatch proizvod |
.jpg) |
| Slika 5. Websense proizvod |
.jpg) |
| Slika 6. McAfee proizvod |
Načini rada
Dva glavna načina rada DLP sistema su aktivni i pasivni. Aktivan je obično glavni način rada, koji blokira radnje koje krše sigurnosne politike, kao što je slanje povjerljivih informacija u vanjsko poštansko sanduče. Pasivni način rada se najčešće koristi u fazi postavljanja sistema za provjeru i podešavanje postavki kada je udio lažnih pozitivnih rezultata visok. U ovom slučaju se evidentiraju kršenja politike, ali se ne nameću ograničenja kretanja informacija (Tabela 1).
.jpg) |
U ovom aspektu, svi razmatrani sistemi su se pokazali kao ekvivalentni. Svaki od DLP-ova može raditi u aktivnom i pasivnom režimu, što korisniku daje određenu slobodu. Nisu sve kompanije spremne odmah početi koristiti DLP u načinu blokiranja - to je preplavljeno poremećajima poslovnih procesa, nezadovoljstvom zaposlenih u kontroliranim odjelima i pritužbama (uključujući i opravdane) menadžmenta.
Tehnologije
Tehnologije detekcije omogućavaju klasifikaciju informacija koje se prenose elektronskim kanalima i identifikaciju povjerljivih informacija. Danas postoji nekoliko osnovnih tehnologija i njihovih varijanti, sličnih u suštini, ali različitih u implementaciji. Svaka tehnologija ima i prednosti i nedostatke. Osim toga, različite vrste tehnologija su pogodne za analizu različitih klasa informacija. Stoga proizvođači DLP rješenja pokušavaju integrirati maksimalan broj tehnologija u svoje proizvode (vidi tabelu 2).
Općenito, proizvodi pružaju veliki broj tehnologija koje, ako su pravilno konfigurirane, mogu pružiti visok postotak prepoznavanja povjerljivih informacija. DLP McAfee, Symantec i Websense su prilično slabo prilagođeni ruskom tržištu i ne mogu korisnicima ponuditi podršku za “jezičke” tehnologije – morfologiju, analizu transliteracije i maskirani tekst.
Kontrolisani kanali
Svaki kanal za prijenos podataka je potencijalni kanal za curenje. Čak i jedan otvoreni kanal može poništiti sve napore službe sigurnosti informacija koja kontroliše tokove informacija. Zbog toga je važno blokirati kanale koje zaposleni ne koriste za rad, a preostale kontrolisati pomoću sistema za sprečavanje curenja.
Uprkos činjenici da su najbolji moderni DLP sistemi sposobni da nadgledaju veliki broj mrežnih kanala (vidi tabelu 3), preporučljivo je blokirati nepotrebne kanale. Na primjer, ako zaposleni radi na računaru samo sa internom bazom podataka, ima smisla potpuno onemogućiti njegov pristup Internetu.
Slični zaključci vrijede i za lokalne kanale curenja. Istina, u ovom slučaju može biti teže blokirati pojedinačne kanale, jer se portovi često koriste za povezivanje perifernih uređaja, I/O uređaja itd.
Šifriranje igra posebnu ulogu u sprječavanju curenja kroz lokalne portove, mobilne diskove i uređaje. Alati za šifriranje su prilično jednostavni za korištenje i njihova upotreba može biti transparentna za korisnika. Ali u isto vrijeme, enkripcija omogućava eliminaciju cijele klase curenja povezanih s neovlaštenim pristupom informacijama i gubitkom mobilnih uređaja za pohranu podataka.
Situacija sa kontrolom lokalnih agenata je generalno gora nego sa mrežnim kanalima (vidi tabelu 4). Svi proizvodi uspješno kontroliraju samo USB uređaje i lokalne pisače. Takođe, uprkos važnosti enkripcije koja je gore pomenuta, ova karakteristika je prisutna samo u određenim proizvodima, a funkcija prinudne enkripcije zasnovane na analizi sadržaja prisutna je samo u Zecurion DLP-u.
Da bi se spriječilo curenje, važno je ne samo prepoznati povjerljive podatke tokom prijenosa, već i ograničiti širenje informacija u korporativnom okruženju. Da bi to uradili, proizvođači uključuju alate u DLP sisteme koji mogu da identifikuju i klasifikuju informacije pohranjene na serverima i radnim stanicama na mreži (vidi tabelu 5). Podatke koji krše politike sigurnosti informacija treba izbrisati ili premjestiti u sigurno skladište.
Za identifikaciju povjerljivih informacija o čvorovima korporativne mreže koriste se iste tehnologije kao i za kontrolu curenja putem elektronskih kanala. Glavna razlika je arhitektonska. Ako se analiziraju mrežni promet ili operacije datoteka kako bi se spriječilo curenje, tada se pohranjene informacije – sadržaj mrežnih radnih stanica i servera – ispituju kako bi se otkrile neovlaštene kopije povjerljivih podataka.
Od DLP sistema koji se razmatraju, samo InfoWatch i Dozor-Jet zanemaruju upotrebu alata za identifikaciju lokacija za skladištenje informacija. Ovo nije kritična karakteristika za sprečavanje elektronskog curenja, ali značajno ograničava sposobnost DLP sistema da proaktivno spreče curenje. Na primjer, kada se povjerljivi dokument nalazi unutar korporativne mreže, to nije curenje informacija. Međutim, ako lokacija ovog dokumenta nije regulirana, ako lokacija ovog dokumenta nije poznata vlasnicima informacija i službenicima sigurnosti, to može dovesti do curenja. Može doći do neovlaštenog pristupa informacijama ili se na dokument možda neće primijeniti odgovarajuća sigurnosna pravila.
Jednostavnost upravljanja
Karakteristike kao što su jednostavnost upotrebe i upravljanja ne mogu biti manje važne od tehničkih mogućnosti rješenja. Na kraju krajeva, zaista složen proizvod će biti teško implementirati, projekat će zahtijevati više vremena, truda i, shodno tome, financija. Već implementirani DLP sistem zahteva pažnju tehničkih stručnjaka. Bez pravilnog održavanja, redovnih revizija i podešavanja postavki, kvalitet prepoznavanja povjerljivih informacija će s vremenom značajno pasti.
Interfejs upravljanja na maternjem jeziku službenika obezbeđenja je prvi korak za pojednostavljenje rada sa DLP sistemom. Ne samo da će olakšati razumijevanje za šta je odgovorna ova ili ona postavka, već će i značajno ubrzati proces konfiguriranja velikog broja parametara koji se moraju konfigurirati za ispravan rad sistema. Engleski može biti koristan čak i za administratore koji govore ruski za jasno tumačenje specifičnih tehničkih koncepata (vidi tabelu 6).
Većina rješenja pruža prilično zgodno upravljanje sa jedne (za sve komponente) konzole sa web sučeljem (vidi tabelu 7). Izuzetak su ruski InfoWatch (bez jedne konzole) i Zecurion (bez web interfejsa). Istovremeno, oba proizvođača su već najavila pojavu web konzole u svojim budućim proizvodima. Nedostatak jedinstvene konzole za InfoWatch je zbog različite tehnološke osnove proizvoda. Razvoj vlastitog agentskog rješenja prekinut je nekoliko godina, a trenutni EndPoint Security je nasljednik EgoSecure (ranije poznatog kao cynapspro) proizvoda treće strane koji je kompanija kupila 2012. godine.
Još jedna stvar koja se može pripisati nedostacima InfoWatch rješenja je da je za konfiguraciju i upravljanje vodećim DLP proizvodom InfoWatch TrafficMonitor potrebno poznavanje posebnog skript jezika LUA, što otežava rad sistema. Ipak, za većinu tehničkih stručnjaka, mogućnost poboljšanja vlastitog profesionalnog nivoa i učenja dodatnog, iako ne baš popularnog, jezika treba doživljavati pozitivno.
Razdvajanje uloga administratora sistema je neophodno kako bi se minimizirali rizici od sprečavanja pojave superkorisnika sa neograničenim pravima i druge prevare koristeći DLP.
Evidentiranje i izvještavanje
DLP arhiva je baza podataka u kojoj se akumuliraju i pohranjuju događaji i objekti (fajlovi, pisma, http zahtjevi, itd.) koje su senzori sistema zabilježili tokom njegovog rada. Informacije prikupljene u bazi podataka mogu se koristiti u različite svrhe, uključujući analizu radnji korisnika, čuvanje kopija kritičnih dokumenata i kao osnova za istraživanje incidenata u informacijskoj sigurnosti. Osim toga, baza podataka o svim događajima je izuzetno korisna u fazi implementacije DLP sistema, jer pomaže analizirati ponašanje komponenti DLP sistema (na primjer, saznati zašto su određene operacije blokirane) i podešavati sigurnosna podešavanja (vidi tabelu 8).
.jpg) |
U ovom slučaju vidimo fundamentalnu arhitektonsku razliku između ruskih i zapadnih DLP-ova. Potonji uopće ne održavaju arhivu. U tom slučaju sam DLP postaje lakši za održavanje (nema potrebe za održavanjem, pohranjivanjem, backupom i proučavanjem ogromne količine podataka), ali ne i za rad. Na kraju krajeva, arhiva događaja pomaže u konfiguraciji sistema. Arhiva pomaže razumjeti zašto je prijenos informacija blokiran, provjeriti da li je pravilo ispravno funkcioniralo i izvršiti potrebne korekcije u sistemskim postavkama. Takođe treba napomenuti da DLP sistemi zahtevaju ne samo početnu konfiguraciju tokom implementacije, već i redovno „podešavanje“ tokom rada. Sistem koji nije pravilno podržan i održavan od strane tehničkih stručnjaka izgubiće mnogo u kvaliteti prepoznavanja informacija. Kao rezultat toga, i broj incidenata i broj lažnih alarma će se povećati.
Izvještavanje je važan dio svake aktivnosti. Sigurnost informacija nije izuzetak. Izvještaji u DLP sistemima obavljaju nekoliko funkcija odjednom. Prvo, koncizni i razumljivi izvještaji omogućavaju menadžerima službi sigurnosti informacija da brzo prate stanje sigurnosti informacija bez upuštanja u detalje. Drugo, detaljni izvještaji pomažu službenicima sigurnosti da prilagode sigurnosne politike i postavke sistema. Treće, vizuelni izveštaji se uvek mogu prikazati najvišim menadžerima kompanije kako bi se demonstrirali rezultati DLP sistema i samih stručnjaka za bezbednost informacija (vidi tabelu 9).
Gotovo sva konkurentska rješenja o kojima se govori u pregledu nude i grafičke izvještaje, pogodne za top menadžere i šefove službi za sigurnost informacija, i tabelarne izvještaje, pogodnije za tehničke stručnjake. Samo DLP InfoWatch nema grafičke izvještaje, zbog čega je dobio nižu ocjenu.
Certifikat
Pitanje potrebe za sertifikacijom alata za informatičku bezbednost i posebno DLP je otvoreno, a stručnjaci se na ovu temu često raspravljaju u profesionalnim zajednicama. Sumirajući mišljenja stranaka, treba priznati da sama certifikacija ne pruža ozbiljne konkurentske prednosti. Istovremeno, postoji niz kupaca, prvenstveno državnih organizacija, za koje je prisustvo jednog ili drugog sertifikata obavezno.
Osim toga, postojeća procedura sertifikacije nije u dobroj korelaciji sa ciklusom razvoja softvera. Kao rezultat toga, potrošači su suočeni s izborom: kupiti zastarjelu, ali certificiranu verziju proizvoda ili ažuriranu, ali necertificiranu verziju. Standardno rješenje u ovoj situaciji je kupovina certificiranog proizvoda “na polici” i korištenje novog proizvoda u stvarnom okruženju (vidi tabelu 10).
Rezultati poređenja
Hajde da sumiramo naše utiske o razmatranim DLP rešenjima. Sve u svemu, svi učesnici su ostavili povoljan utisak i mogu se koristiti za sprečavanje curenja informacija. Razlike između proizvoda nam omogućavaju da odredimo njihov opseg primjene.
InfoWatch DLP sistem se može preporučiti organizacijama za koje je od suštinske važnosti da imaju FSTEC sertifikat. Međutim, najnovija certificirana verzija InfoWatch Traffic Monitora testirana je krajem 2010. godine, a certifikat ističe krajem 2013. godine. Agentska rješenja bazirana na InfoWatch EndPoint Security (također poznata kao EgoSecure) su pogodnija za mala preduzeća i mogu se koristiti odvojeno od Traffic Monitora. Korištenje Traffic Monitora i EndPoint Security zajedno može uzrokovati probleme s skaliranjem u velikim poslovnim okruženjima.
Proizvodi zapadnih proizvođača (McAfee, Symantec, Websense), prema nezavisnim analitičkim agencijama, znatno su manje popularni od ruskih. Razlog je nizak nivo lokalizacije. Štaviše, nije čak ni riječ o složenosti sučelja ili nedostatku dokumentacije na ruskom jeziku. Karakteristike tehnologija za prepoznavanje poverljivih informacija, unapred konfigurisani šabloni i pravila „skrojeni“ su za korišćenje DLP-a u zapadnim zemljama i imaju za cilj ispunjavanje zapadnih regulatornih zahteva. Kao rezultat toga, u Rusiji je kvalitet prepoznavanja informacija osjetno lošiji, a usklađenost sa zahtjevima stranih standarda često je irelevantna. Istovremeno, sami proizvodi nisu nimalo loši, ali specifičnosti korištenja DLP sistema na ruskom tržištu vjerojatno neće omogućiti da u dogledno vrijeme postanu popularniji od domaćeg razvoja.
Zecurion DLP odlikuje dobra skalabilnost (jedini ruski DLP sistem sa potvrđenom implementacijom na više od 10 hiljada poslova) i visoka tehnološka zrelost. Međutim, iznenađujuće je da ne postoji web konzola koja bi pomogla da se pojednostavi upravljanje poslovnim rješenjem usmjerenim na različite segmente tržišta. Snage Zecurion DLP-a uključuju visokokvalitetno prepoznavanje povjerljivih informacija i punu liniju proizvoda za sprječavanje curenja, uključujući zaštitu na gateway-u, radnim stanicama i serverima, identifikaciju lokacija za skladištenje i alate za enkripciju podataka.
Dozor-Jet DLP sistem, jedan od pionira domaćeg DLP tržišta, rasprostranjen je među ruskim kompanijama i nastavlja da širi bazu klijenata zahvaljujući ekstenzivnim vezama sistem integratora Jet Infosystems, koji je i DLP developer. Iako DLP tehnološki pomalo zaostaje za svojim moćnijim kolegama, njegova upotreba može biti opravdana u mnogim kompanijama. Osim toga, za razliku od stranih rješenja, Dozor Jet omogućava održavanje arhive svih događaja i datoteka.
