Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Internet, Wi-Fi, lokalne mreže
  • DLP sustavi: kako to radi. Tehnologije za sprječavanje gubitka podataka za sprječavanje curenja povjerljivih informacija iz informacijskog sustava prema van

DLP sustavi: kako to radi. Tehnologije za sprječavanje gubitka podataka za sprječavanje curenja povjerljivih informacija iz informacijskog sustava prema van

10.08.2019 Internet, Wi-Fi, lokalne mreže

Pitanje sprječavanja curenja povjerljivih podataka (Data Loss Prevention, DLP) jedno je od najhitnijih pitanja za IT danas. Međutim, postoji primjetna konceptualna zbrka u ovom području, koja je pogoršana pojavom mnogih sličnih pojmova, posebice, Data Leak Prevention (DLP), Information Leak Prevention (ILP), Information Leak Protection (ILP), Information Leak Detection & Prevencija (ILDP), Praćenje i filtriranje sadržaja (CMF), Sustav za sprječavanje ekstruzije (EPS).

Od kojih bi se funkcionalnih modula trebalo sastojati cjelovito DLP rješenje? Gdje treba instalirati DLP sustave: na razini podatkovnog pristupnika ili na krajnjim informacijskim resursima (osobna računala ili mobilni uređaji)? Je li važno kako se DLP sustav implementira: kao samostalno rješenje ili kao dio šireg spektra sigurnosnih proizvoda? Da biste odgovorili na ova i druga pitanja, prvo morate razumjeti što je DLP sustav, od čega se sastoji i kako funkcionira.

Za početak, napominjemo da su povjerljive informacije informacije kojima je pristup ograničen u skladu sa zakonodavstvom zemlje i razinom pristupa izvoru informacija. Povjerljive informacije stavljaju se na raspolaganje ili se otkrivaju samo ovlaštenim osobama, subjektima ili procesima.

Postoji jasan pristup klasifikaciji vrsta povjerljivih informacija:

  • podaci o kupcima - osobni podaci kao što su brojevi kreditnih kartica, putovnica, brojevi osiguranja, porezni identifikacijski brojevi, vozačke dozvole itd.;
  • korporativni podaci - financijski podaci, podaci o spajanjima i akvizicijama, osobni podaci zaposlenika itd.;
  • intelektualno vlasništvo - izvorni kodovi, projektna dokumentacija, informacije o cijenama itd.

Na temelju toga možemo reći da je sustav za sprječavanje curenja povjerljivih informacija integrirani skup alata za sprječavanje ili kontrolu kretanja povjerljivih informacija iz informacijskog sustava tvrtke prema van.

Suvremeni DLP sustavi temelje se na analizi tokova podataka koji prolaze perimetrom zaštićenog informacijskog sustava. Ako se u toku otkriju povjerljive informacije, aktivira se zaštita, a prijenos poruke (paketa, protoka, sesije) se blokira ili nadzire.

Uz svoju glavnu funkciju, DLP rješenja pomažu odgovoriti na tri jednostavna, ali vrlo važna pitanja: “Gdje su moji povjerljivi podaci?”, “Kako se ti podaci koriste?” i "Koji je najbolji način da ih zaštitite od gubitka?" Kako bi odgovorio na njih, DLP sustav provodi dubinsku analizu sadržaja informacija, organizira automatsku zaštitu povjerljivih podataka u konačnim informacijskim izvorima, na razini podatkovnog pristupnika i u statičkim sustavima za pohranu podataka, a također pokreće postupke odgovora na incidente kako bi se odgovarajuće mjere.

Pogledajmo funkcionalnost DLP rješenja na primjeru Symantecovog softverskog proizvoda - DLP 9.0 (Vontu DLP), koji je integrirani i centralno upravljan skup alata za nadzor i sprječavanje curenja povjerljivih podataka iz kruga zaštićenih informacija. Uključuje sljedeće glavne DLP komponente.

Endpoint DLP je modul za kontrolu kretanja informacija na osobnim i prijenosnim računalima. Omogućuje praćenje u stvarnom vremenu, a ako se otkrije zabranjeni sadržaj, blokira pokušaje kopiranja informacija na prijenosne medije za pohranu, ispisa i slanja faksom, e-poštom itd. Kontrola se provodi i kada je računalo spojeno na korporativnu mrežu, i izvan mreže ili kada radite na daljinu. Osim tihe kontrole i sprječavanja curenja, sustav može obavijestiti korisnika o nezakonitostima njegovih radnji, što omogućuje obuku osoblja u pravilima rada s povjerljivim informacijama.

Storage DLP je modul za praćenje usklađenosti s procedurama za pohranjivanje povjerljivih podataka. U planiranom načinu skeniranja omogućuje vam otkrivanje statički pohranjenih povjerljivih podataka na datotekama, pošti, web poslužiteljima, sustavima za upravljanje dokumentima, poslužiteljima baza podataka itd. Analizira legitimnost pohranjivanja podataka na njihovoj trenutnoj lokaciji i prenosi ih, ako je potrebno, radi zaštite skladištenje.

Mrežni DLP - modul za kontrolu kretanja informacija kroz pristupnike za prijenos podataka. Omogućuje praćenje prijenosa informacija preko bilo kojeg TCP/IP ili UDP kanala. Sustav kontrolira razmjenu informacija putem IM i peer-to-peer sustava, a također vam omogućuje blokiranje prijenosa informacija putem HTTP(s), FTP(s) i SMTP kanala uz mogućnost informiranja korisnika o kršenju korporativnih politika.

Enforce Platforma je centralizirani sustav upravljanja svim modulima sustava. Omogućuje vam upravljanje performansama samog sustava, praćenje njegovih performansi i opterećenja, te administriranje pravila i politika u smislu kontrole kretanja povjerljivih podataka. Sustav se u potpunosti temelji na web tehnologijama i sadrži sve alate za organiziranje punog životnog ciklusa procesa upravljanja sigurnosnim politikama za rukovanje povjerljivim podacima u tvrtki, uključujući klasifikaciju, indeksiranje, digitalizaciju itd. Platforma također uključuje modul za izvještavanje koji vam omogućuje jednostavno i učinkovito provođenje analize trenutnog stanja sigurnosti pohrane i kretanja informacija, kao i konstruiranje složenih uzoraka korištenjem regresijske i progresivne analize.

Symantec DLP koristi dva mehanizma pomoću kojih tim za informacijsku sigurnost može klasificirati podatke i dodijeliti ih određenim grupama važnosti. Prvo, filtriranje sadržaja, jest mogućnost odabira u toku poslanih informacija onih dokumenata ili podataka koji sadrže određene riječi, izraze, određene vrste datoteka, kao i kombinacije slova i brojeva određene pravilima (primjerice, putovnica broj, kreditna kartica itd.). Druga, metoda digitalnog otiska prsta, omogućuje vam zaštitu određenih slika informacija, blokiranje pokušaja njihovog razvodnjavanja, korištenje fragmenata teksta itd.

Ako smo sasvim dosljedni u definicijama, možemo reći da je informacijska sigurnost započela upravo s pojavom DLP sustava. Prije toga, svi proizvodi koji su se bavili “informacijskom sigurnošću” zapravo nisu štitili informacije, već infrastrukturu - mjesta gdje se podaci pohranjuju, prenose i obrađuju. Računalo, aplikacija ili kanal koji hostira, obrađuje ili prenosi osjetljive informacije zaštićeni su ovim proizvodima na isti način kao i infrastruktura koja rukuje inače bezopasnim informacijama. Odnosno, s pojavom DLP proizvoda informacijski sustavi su konačno naučili razlikovati povjerljive informacije od informacija koje nisu povjerljive. Možda će integracijom DLP tehnologija u informacijsku infrastrukturu tvrtke moći mnogo uštedjeti na zaštiti informacija – primjerice, koristiti enkripciju samo u slučajevima kada se pohranjuju ili prenose povjerljive informacije, a ne šifrirati informacije u drugim slučajevima.

No, to je stvar budućnosti, au sadašnjosti se te tehnologije koriste uglavnom za zaštitu informacija od curenja. Tehnologije kategorizacije informacija čine srž DLP sustava. Svaki proizvođač svoje metode otkrivanja povjerljivih informacija smatra jedinstvenima, štiti ih patentima i za njih smišlja posebne robne marke. Uostalom, preostali elementi arhitekture koji se razlikuju od ovih tehnologija (presretači protokola, parseri formata, upravljanje incidentima i pohrana podataka) su za većinu proizvođača identični, a za velike tvrtke čak su integrirani s drugim sigurnosnim proizvodima informacijske infrastrukture. U osnovi, za kategorizaciju podataka u proizvodima za zaštitu korporativnih informacija od curenja koriste se dvije glavne skupine tehnologija - lingvistička (morfološka, ​​semantička) analiza i statističke metode (Digitalni otisci prstiju, DNK dokumenata, antiplagijat). Svaka tehnologija ima svoje snage i slabosti, koje određuju opseg njezine primjene.

Jezična analiza

Upotreba zaustavnih riječi ("tajno", "povjerljivo" i slično) za blokiranje odlaznih poruka e-pošte na poslužiteljima e-pošte može se smatrati praocem modernih DLP sustava. Naravno, to ne štiti od napadača - uklanjanje stop riječi, koja se najčešće nalazi u zasebnom odjeljku dokumenta, nije teško, a značenje teksta se neće nimalo promijeniti.

Poticaj razvoju lingvističkih tehnologija dali su početkom ovog stoljeća tvorci e-mail filtera. Prije svega, zaštititi e-poštu od spama. Sada u anti-spam tehnologijama prevladavaju reputacijske metode, no početkom stoljeća vodio se pravi lingvistički rat između projektila i oklopa – spamera i anti-spama. Sjećate se najjednostavnijih metoda za varanje filtara na temelju stop riječi? Zamjena slova sličnim slovima iz drugog kodiranja ili brojevima, transliteracija, nasumični razmaci, podcrtavanje ili prijelomi redaka u tekstu. Zaštita od neželjene pošte brzo se naučila nositi s takvim trikovima, ali onda su se pojavili grafički neželjeni sadržaji i druge lukave vrste neželjene korespondencije.

Međutim, nemoguće je koristiti antispam tehnologije u DLP proizvodima bez ozbiljnih izmjena. Uostalom, za borbu protiv spama dovoljno je podijeliti protok informacija u dvije kategorije: spam i ne-spam. Bayesova metoda, koja se koristi za otkrivanje neželjene pošte, daje samo binarni rezultat: "da" ili "ne". Za zaštitu korporativnih podataka od curenja to nije dovoljno - ne možete jednostavno podijeliti informacije na povjerljive i nepovjerljive. Informacije morate znati klasificirati po funkcionalnoj pripadnosti (financijske, proizvodne, tehnološke, komercijalne, marketinške), a unutar klasa - kategorizirati ih po stupnju pristupa (za slobodnu distribuciju, za ograničeni pristup, za službenu uporabu, tajno, strogo povjerljivo). , i tako dalje).

Većina modernih sustava lingvističke analize ne koristi samo kontekstualnu analizu (to jest, u kojem kontekstu, u kombinaciji s kojim drugim riječima se koristi određeni pojam), već i semantičku analizu teksta. Ove tehnologije rade učinkovitije što je veći fragment koji se analizira. Analiza se provodi točnije na velikom fragmentu teksta, a veća je vjerojatnost da će se odrediti kategorija i klasa dokumenta. Kada analiziramo kratke poruke (SMS, internetski messengeri), ništa bolje od stop riječi još nije izumljeno. Pred takvim se zadatkom autor našao u jesen 2008. godine, kada su se pojavile tisuće poruka poput “otpuštaju nas”, “oduzet će nam licencu”, “odljev štediša” koje je trebalo odmah blokirati iz klijenata, poslani su na internet s radnih mjesta mnogih banaka putem instant messengera.

Prednosti tehnologije

Prednosti lingvističkih tehnologija su u tome što rade izravno sa sadržajem dokumenata, odnosno nije im bitno gdje je i kako dokument nastao, na kakvom je pečatu ili kako se datoteka zove - dokumenti odmah su zaštićeni. To je važno, na primjer, kada se obrađuju nacrti povjerljivih dokumenata ili radi zaštite ulazne dokumentacije. Ako se dokumenti stvoreni i korišteni unutar tvrtke mogu na neki način imenovati, žigosati ili označiti na određeni način, tada dolazni dokumenti mogu imati pečate i oznake koje organizacija ne prihvaća. Nacrti (osim, naravno, ako nisu stvoreni u sigurnom sustavu za upravljanje dokumentima) također mogu već sadržavati povjerljive informacije, ali još ne sadrže potrebne pečate i oznake.

Još jedna prednost lingvističkih tehnologija je njihova sposobnost učenja. Ako ste barem jednom u životu kliknuli gumb "Nije neželjena pošta" u svom klijentu e-pošte, tada već možete zamisliti klijentski dio sustava za obuku lingvističkih motora. Napominjem da apsolutno ne morate biti certificirani lingvist i znati što će se točno promijeniti u bazi podataka kategorija - samo naznačite sustavu lažno pozitivno, a on će sam učiniti ostalo.

Treća prednost lingvističkih tehnologija je njihova skalabilnost. Brzina obrade informacija proporcionalna je njihovoj količini i apsolutno ne ovisi o broju kategorija. Donedavno je izgradnja hijerarhijske baze kategorija (povijesno se zvala BKF - content filtering database, no taj naziv više ne odražava pravo značenje) izgledala kao svojevrsni šamanizam profesionalnih lingvista, pa je postavljanje BKF-a vrlo lako moglo smatrati nedostatkom. No s izdavanjem nekoliko “autolingvističkih” proizvoda 2010. godine, izgradnja primarne baze podataka kategorija postala je krajnje jednostavna - sustavu se prikazuju mjesta na kojima su pohranjeni dokumenti određene kategorije, a on sam određuje jezična obilježja te kategorije, i u slučaju lažno pozitivnih rezultata, sam se trenira. Sada je jednostavnost postavljanja dodana prednostima lingvističkih tehnologija.

I još jedna prednost lingvističkih tehnologija koju bih želio istaknuti u članku je sposobnost otkrivanja kategorija u tokovima informacija koje nisu povezane s dokumentima koji se nalaze unutar tvrtke. Alat za praćenje sadržaja protoka informacija može identificirati kategorije kao što su ilegalne aktivnosti (piratstvo, distribucija zabranjene robe), korištenje infrastrukture tvrtke za vlastite potrebe, šteta za imidž tvrtke (primjerice, širenje klevetničkih glasina) i tako dalje.

Nedostaci tehnologije

Glavni nedostatak lingvističkih tehnologija je njihova ovisnost o jeziku. Nije moguće koristiti lingvistički mehanizam dizajniran za jedan jezik za analizu drugog. To je bilo osobito vidljivo kada su američki proizvođači ušli na rusko tržište - nisu bili spremni suočiti se s ruskom tvorbom riječi i prisutnošću šest kodiranja. Nije bilo dovoljno prevesti kategorije i ključne riječi na ruski - na engleskom je tvorba riječi prilično jednostavna, a padeži se stavljaju u prijedloge, odnosno kada se padež mijenja, mijenja se prijedlog, a ne sama riječ. Većina imenica u engleskom jeziku postaje glagol bez promjene riječi. I tako dalje. Na ruskom nije sve tako - jedan korijen može dati desetke riječi u različitim dijelovima govora.

U Njemačkoj su se američki proizvođači lingvističkih tehnologija suočili s još jednim problemom - takozvanim “složenicama”, složenicama. U njemačkom jeziku je uobičajeno priložiti definicije glavnoj riječi, što rezultira riječima koje se ponekad sastoje od desetak korijena. Toga nema u engleskom jeziku, gdje je riječ niz slova između dva razmaka, pa engleski lingvistički motor nije mogao obraditi nepoznate duge riječi.

Istine radi, treba reći da su ove probleme američki proizvođači sada uvelike riješili. Jezični mehanizam je morao biti prilično redizajniran (a ponekad i prepisan), ali velika tržišta Rusije i Njemačke svakako su vrijedna toga. Također je teško obraditi višejezične tekstove pomoću lingvističkih tehnologija. Međutim, većina motora još uvijek se nosi s dva jezika, obično nacionalni jezik + engleski - za većinu poslovnih zadataka to je sasvim dovoljno. Iako se autor susreo s povjerljivim tekstovima koji u isto vrijeme sadrže, primjerice, kazaški, ruski i engleski, to je prije iznimka nego pravilo.

Još jedan nedostatak lingvističkih tehnologija za kontrolu cjelokupnog raspona korporativnih povjerljivih informacija je taj što nisu sve povjerljive informacije u obliku koherentnih tekstova. Iako se u bazama podataka informacije pohranjuju u tekstualnom obliku, te nema problema s izvlačenjem teksta iz DBMS-a, primljene informacije najčešće sadrže vlastita imena - puna imena, adrese, nazive tvrtki, kao i digitalne podatke - brojeve računa, kreditnih kartica, njihove bilance itd. Obrada takvih podataka pomoću lingvistike neće donijeti puno koristi. Isto se može reći i za CAD/CAM formate, odnosno crteže koji često sadrže intelektualno vlasništvo, programske kodove i medijske (video/audio) formate – iz njih se može izdvojiti dio teksta, ali je i njihova obrada neučinkovita. Prije samo tri godine to se odnosilo i na skenirane tekstove, no vodeći proizvođači DLP sustava brzo su dodali optičko prepoznavanje i riješili ovaj problem.

No najveći i najčešće kritizirani nedostatak lingvističkih tehnologija i dalje je probabilistički pristup kategorizaciji. Ako ste ikada pročitali e-poštu s kategorijom "Vjerojatno SPAM", znat ćete na što mislim. Ako se to dogodi sa spamom, gdje postoje samo dvije kategorije (spam/not spam), možete zamisliti što će se dogoditi kada se u sustav učita nekoliko desetaka kategorija i klasa privatnosti. Iako se uvježbavanjem sustava može postići točnost od 92-95%, za većinu korisnika to znači da će svako deseto ili dvadeseto kretanje informacija biti greškom dodijeljeno krivoj klasi, sa svim posljedičnim poslovnim posljedicama (curenje ili prekid legitimnog procesa).

Obično nije uobičajeno smatrati složenost razvoja tehnologije nedostatkom, ali ne može se zanemariti. Razvoj ozbiljnog lingvističkog stroja s kategorizacijom tekstova u više od dvije kategorije proces je koji zahtijeva mnogo znanja i prilično je tehnološki složen. Primijenjena lingvistika je znanost koja se brzo razvija, a snažan zamah u razvoju dobila je širenjem internetskog pretraživanja, no danas na tržištu postoji samo nekoliko funkcionalnih kategorizacijskih mehanizama: za ruski jezik postoje samo dva, a za neki jezici jednostavno još nisu razvijeni. Stoga postoji samo nekoliko tvrtki na DLP tržištu koje mogu u potpunosti kategorizirati informacije u hodu. Može se pretpostaviti da će Google lako ući kada tržište DLP-a naraste do veličine od više milijardi dolara. S vlastitim lingvističkim motorom, testiranim na bilijunima upita za pretraživanje u tisućama kategorija, neće mu biti teško odmah ugrabiti ozbiljan dio ovog tržišta.

Statističke metode

Zadatak računalne pretrage značajnih citata (zašto baš "značajnih" - malo kasnije) zainteresirao je jezikoslovce još 70-ih godina prošlog stoljeća, ako ne i ranije. Tekst je razbijen na dijelove određene veličine, a iz svakog je uzet hash. Ako se određeni niz hasheva pojavio u dva teksta u isto vrijeme, tada su se tekstovi u tim područjima s velikom vjerojatnošću podudarali.

Nusprodukt istraživanja u ovom području je, primjerice, “alternativna kronologija” Anatolija Fomenka, cijenjenog znanstvenika koji je radio na “tekstualnim korelacijama” i svojedobno uspoređivao ruske kronike iz različitih povijesnih razdoblja. Iznenađen koliko se kronike različitih stoljeća podudaraju (više od 60%), krajem 70-ih iznio je teoriju da je naša kronologija nekoliko stoljeća kraća. Stoga, kada neka DLP tvrtka koja ulazi na tržište ponudi “revolucionarnu tehnologiju pretraživanja ponuda”, s velikom se vjerojatnošću može reći da je tvrtka stvorila samo novi brend.

Statističke tehnologije tretiraju tekstove ne kao koherentan niz riječi, već kao proizvoljan niz znakova, te stoga jednako dobro rade s tekstovima na bilo kojem jeziku. Budući da je svaki digitalni objekt - bila to slika ili program - također niz simbola, iste se metode mogu koristiti za analizu ne samo tekstualnih informacija, već i svih digitalnih objekata. A ako se hashovi u dvije audio datoteke podudaraju, jedna od njih vjerojatno sadrži citat druge, tako da su statističke metode učinkovita sredstva zaštite od curenja audio i video zapisa, aktivno se koriste u glazbenim studijima i filmskim kompanijama.

Vrijeme je da se vratimo konceptu "smislenog citata". Ključna karakteristika složenog hash-a preuzetog sa zaštićenog objekta (koji se u različitim proizvodima naziva ili digitalni otisak prsta ili DNK dokumenta) je korak u kojem se hash uzima. Kao što se može razumjeti iz opisa, takav "ispis" je jedinstvena karakteristika predmeta i istovremeno ima svoju veličinu. Ovo je važno jer ako uzimate ispise s milijuna dokumenata (što je kapacitet pohrane prosječne banke), trebat će vam dovoljno prostora na disku za pohranu svih ispisa. Veličina takvog otiska prsta ovisi o koraku raspršivanja – što je korak manji, otisak je veći. Ako uzmete hash u koracima od jednog znaka, veličina otiska prsta će premašiti veličinu samog uzorka. Ako povećate veličinu koraka (na primjer, 10.000 znakova) kako biste smanjili "težinu" otiska prsta, tada se istodobno povećava vjerojatnost da će dokument koji sadrži citat iz uzorka od 9.900 znakova biti povjerljiv, ali će skliznuti kroz nezapaženo.

S druge strane, ako poduzmete vrlo mali korak, nekoliko simbola, da povećate točnost detekcije, tada možete povećati broj lažno pozitivnih rezultata na neprihvatljivu vrijednost. Što se tiče teksta, to znači da ne biste trebali uklanjati hash sa svakog slova - sve riječi se sastoje od slova, a sustav će prisutnost slova u tekstu uzeti kao sadržaj citata iz uzorka teksta. Obično sami proizvođači preporučuju neki optimalni korak za uklanjanje hashova tako da je veličina citata dovoljna, a da je istovremeno težina samog ispisa mala - od 3% (tekst) do 15% (komprimirani video). U nekim proizvodima proizvođači vam dopuštaju promjenu veličine značenja citata, odnosno povećanje ili smanjenje koraka raspršivanja.

Prednosti tehnologije

Kao što možete razumjeti iz opisa, za otkrivanje citata potreban vam je ogledni objekt. A statističke metode mogu s dobrom točnošću (do 100%) reći sadrži li datoteka koja se provjerava značajan citat iz uzorka ili ne. Odnosno, sustav ne preuzima odgovornost za kategorizaciju dokumenata - takav posao u potpunosti leži na savjesti osobe koja je kategorizirala datoteke prije uzimanja otisaka prstiju. Ovo uvelike olakšava zaštitu informacija ako poduzeće pohranjuje rijetko mijenjane i već kategorizirane datoteke na neko mjesto(a). Zatim je dovoljno uzeti otisak prsta iz svake od ovih datoteka, a sustav će, u skladu s postavkama, blokirati prijenos ili kopiranje datoteka koje sadrže značajne citate iz uzoraka.

Neovisnost statističkih metoda o jeziku teksta i netekstualnih informacija također je neosporna prednost. Dobri su u zaštiti statičnih digitalnih objekata bilo koje vrste - slike, audio/video, baze podataka. Govorit ću o zaštiti dinamičkih objekata u odjeljku "nedostaci".

Nedostaci tehnologije

Kao što je slučaj s lingvistikom, nedostaci tehnologije naličje su prednosti. Lakoća osposobljavanja sustava (navedite datoteku sustavu i već je zaštićena) prebacuje odgovornost za osposobljavanje sustava na korisnika. Ako iznenada povjerljiva datoteka završi na krivom mjestu ili nije indeksirana zbog nemara ili zlonamjerne namjere, tada je sustav neće zaštititi. Sukladno tome, tvrtke koje brinu o zaštiti povjerljivih informacija od curenja moraju osigurati proceduru za kontrolu načina na koji DLP sustav indeksira povjerljive datoteke.

Drugi nedostatak je fizička veličina ispisa. Autor je više puta vidio impresivne pilot projekte na ispisima, kada DLP sustav sa 100% vjerojatnošću blokira prijenos dokumenata koji sadrže značajne citate iz tristo uzoraka dokumenata. Međutim, nakon godinu dana rada sustava u borbenom načinu, otisak prsta svakog odlaznog pisma uspoređuje se ne s tri stotine, već s milijunima uzoraka otisaka prstiju, što značajno usporava rad sustava pošte, uzrokujući kašnjenja od nekoliko desetaka minuta. .

Kao što sam gore obećao, opisat ću svoje iskustvo u zaštiti dinamičkih objekata korištenjem statističkih metoda. Vrijeme potrebno za uzimanje otiska prsta izravno ovisi o veličini i formatu datoteke. Za tekstualni dokument poput ovog članka potrebni su djelići sekunde, za sat i pol MP4 filma potrebni su deseci sekundi. Za datoteke koje se rijetko mijenjaju, to nije kritično, ali ako se objekt mijenja svake minute ili čak sekunde, tada nastaje problem: nakon svake promjene objekta potrebno je uzeti novi otisak s njega... Kod koji programer na kojem radi nije najveća složenost, mnogo je gore s bazama podataka koje se koriste u naplati, osnovnom bankarstvu ili pozivnim centrima. Ako je vrijeme uzimanja otiska dulje od vremena nepromijenjenog predmeta, onda problem nema rješenja. Ovo nije tako egzotičan slučaj - na primjer, otisak prsta baze podataka koja pohranjuje telefonske brojeve klijenata saveznog mobilnog operatera traje nekoliko dana da se uzme, ali se mijenja svake sekunde. Dakle, kada dobavljač DLP-a tvrdi da njihov proizvod može zaštititi vašu bazu podataka, mentalno dodajte riječ "kvazistatički".

Jedinstvo i borba suprotnosti

Kao što se može vidjeti iz prethodnog odjeljka članka, snaga jedne tehnologije očituje se tamo gdje je druga slaba. Lingvistika ne treba uzorke, ona kategorizira podatke u hodu i može zaštititi podatke koji nisu otisnuti prstima, bilo slučajno ili namjerno. Otisak prsta daje veću točnost i stoga je poželjniji za korištenje u automatskom načinu rada. Lingvistika odlično funkcionira s tekstovima, otisci prstiju dobro funkcioniraju s drugim formatima za pohranu informacija.

Stoga većina vodećih tvrtki u svom razvoju koristi obje tehnologije, pri čemu je jedna od njih glavna, a druga dodatna. To je zbog činjenice da su u početku proizvodi tvrtke koristili samo jednu tehnologiju, u kojoj je tvrtka dalje napredovala, a zatim je, prema zahtjevima tržišta, spojena druga. Primjerice, ranije je InfoWatch koristio samo licenciranu lingvističku tehnologiju Morph-OLogic, a Websense PreciseID tehnologiju koja spada u kategoriju Digital Fingerprint, a sada tvrtke koriste obje metode. U idealnom slučaju, ove dvije tehnologije ne bi se trebale koristiti paralelno, već uzastopno. Primjerice, otisci prstiju bolje će odrediti vrstu dokumenta – radi li se, primjerice, o ugovoru ili bilanci. Zatim možete povezati lingvističku bazu podataka stvorenu posebno za ovu kategoriju. Ovo uvelike štedi računalne resurse.

Nekoliko drugih vrsta tehnologija koje se koriste u DLP proizvodima izvan je opsega ovog članka. To uključuje, na primjer, analizator strukture koji vam omogućuje pronalaženje formalnih struktura u objektima (brojevi kreditnih kartica, putovnice, porezni identifikacijski brojevi, itd.) koji se ne mogu detektirati pomoću lingvistike ili otisaka prstiju. Također, nije pokrivena tema različitih vrsta oznaka - od unosa u atributnim poljima datoteke ili jednostavno posebnog naziva za datoteke do posebnih kripto spremnika. Potonja tehnologija postaje zastarjela, jer većina proizvođača radije ne želi sama izmišljati kotač, već se integrirati s proizvođačima DRM sustava, kao što su Oracle IRM ili Microsoft RMS.

DLP proizvodi su brzorastuće područje informacijske sigurnosti; neki proizvođači izdaju nove verzije vrlo često, više od jednom godišnje. Radujemo se pojavi novih tehnologija za analizu područja korporativnih informacija kako bismo povećali učinkovitost zaštite povjerljivih informacija.

Prije nego što detaljno proučite i raspravljate o tržištu DLP sustava, morate odlučiti što to znači. DLP sustavi obično znače softverske proizvode koji su stvoreni za zaštitu organizacija i poduzeća od curenja povjerljivih podataka. Ovako se sama kratica DLP prevodi na ruski (u cijelosti - Data Leak Prevention) - "izbjegavanje curenja podataka".

Takvi sustavi sposobni su stvoriti digitalni sigurni "perimetar" za analizu svih odlaznih ili dolaznih informacija. Informacije koje kontrolira ovaj sustav su internetski promet i brojni tokovi informacija: dokumenti uzeti izvan zaštićenog “perimetra” na eksternim medijima, ispisani na pisaču, poslani na mobilne uređaje putem Bluetootha. Budući da je slanje i razmjena raznih vrsta informacija neizbježna potreba u današnje vrijeme, važnost takve zaštite je očita. Što se više koriste digitalne i internetske tehnologije, potrebno je više sigurnosnih jamstava na dnevnoj bazi, posebice u korporativnim okruženjima.

Kako radi?

Budući da DLP sustav mora spriječiti curenje korporativnih povjerljivih informacija, on, naravno, ima ugrađene mehanizme za dijagnosticiranje stupnja povjerljivosti bilo kojeg dokumenta pronađenog u presretnutom prometu. U ovom slučaju postoje dva uobičajena načina za prepoznavanje stupnja povjerljivosti datoteka: provjerom posebnih oznaka i analizom sadržaja.

Trenutno je druga opcija relevantna. Otporniji je na izmjene koje se mogu izvršiti na datoteci prije slanja, a također omogućuje jednostavno proširenje broja povjerljivih dokumenata s kojima sustav može raditi.

Sekundarni DLP zadaci

Uz svoju glavnu funkciju, koja se odnosi na sprječavanje curenja informacija, DLP sustavi su također pogodni za rješavanje mnogih drugih zadataka usmjerenih na praćenje radnji osoblja. DLP sustavi najčešće rješavaju niz sljedećih problema:

  • punu kontrolu nad korištenjem radnog vremena, kao i radnih resursa od strane osoblja organizacije;
  • praćenje komunikacije zaposlenika kako bi se otkrio njihov potencijal da nanesu štetu organizaciji;
  • nadzor nad postupanjem djelatnika u pogledu zakonitosti (sprečavanje izrade krivotvorenih isprava);
  • identificiranje zaposlenika koji šalju životopise kako bi brzo pronašli osoblje za upražnjeno radno mjesto.

Klasifikacija i usporedba DLP sustava

Svi postojeći DLP sustavi mogu se podijeliti prema određenim karakteristikama u nekoliko glavnih podtipova, od kojih će se svaki istaknuti i imati svoje prednosti u odnosu na druge.

Ako je moguće blokirati informacije koje su prepoznate kao povjerljive, postoje sustavi s aktivnim ili pasivnim stalnim praćenjem radnji korisnika. Prvi sustavi mogu blokirati prenesene informacije, za razliku od drugog. Također se puno bolje nose sa slučajnim informacijama koje prolaze sa strane, ali u isto vrijeme mogu zaustaviti trenutne poslovne procese tvrtke, što nije njihova najbolja kvaliteta u usporedbi s potonjim.

Druga klasifikacija DLP sustava može se napraviti na temelju njihove mrežne arhitekture. Gateway DLP-ovi rade na srednjim poslužiteljima. Nasuprot tome, domaćini koriste agente koji rade posebno na radnim stanicama zaposlenika. Trenutačno je relevantnija opcija istodobna uporaba komponenti hosta i gatewaya, no prve imaju određene prednosti.

Globalno moderno DLP tržište

U ovom trenutku, glavna mjesta na globalnom tržištu DLP sustava zauzimaju tvrtke široko poznate u ovom području. To uključuje Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec zadržava svoju vodeću poziciju na DLP tržištu, iako je to iznenađujuće jer bi ga mnoge druge tvrtke mogle zamijeniti. Rješenje se i dalje sastoji od modularnih komponenti koje mu omogućuju da pruži najnovije mogućnosti dizajnirane za integraciju DLP sustava s najboljim tehnologijama. Tehnološki plan za ovu godinu sastavljen je korištenjem informacija naših klijenata i danas je najnapredniji dostupan na tržištu. Međutim, ovo je daleko od najboljeg izbora DLP sustava.

Snage:

  • značajna poboljšanja Content-Aware DLP tehnologije za prijenosne uređaje;
  • Poboljšane mogućnosti pronalaženja sadržaja za podršku sveobuhvatnijem pristupu;
  • poboljšanje integracije DLP mogućnosti s drugim Symantec proizvodima (najupečatljiviji primjer je Data Insight).

Na što trebate obratiti pozornost (važni nedostaci u radu o kojima vrijedi razmisliti):

  • usprkos činjenici da se Symantecov tehnološki plan smatra progresivnim, njegova se implementacija često odvija uz poteškoće;
  • Iako je upravljačka konzola potpuno funkcionalna, nije konkurentna kao što Symantec tvrdi;
  • Često se klijenti ovog sustava žale na vrijeme odziva službe podrške;
  • cijena ovog rješenja još uvijek je znatno viša od konkurentskih dizajna koji bi s vremenom mogli zauzeti vodeću poziciju zahvaljujući malim promjenama u ovom sustavu.

Websense

Tijekom proteklih nekoliko godina programeri su redovito poboljšavali Websense DLP ponudu. Sa sigurnošću se može smatrati potpuno funkcionalnim rješenjem. Websense je modernom korisniku pružio napredne mogućnosti.

Pobjedničke strane:

  • Websense nudi potpuno opremljeno DLP rješenje koje podržava krajnje točke i otkrivanje podataka.
  • Pomoću drip DLP funkcije moguće je detektirati postupno curenje informacija koje traje dosta dugo.

Ono što zaslužuje posebnu pažnju:

  • Podatke možete uređivati ​​samo dok mirujete.
  • Tehnološka karta karakterizira niska snaga.

McAfee DLP

McAfee DLP sigurnosni sustav također je uspio doživjeti mnoge pozitivne promjene. Ne karakterizira ga prisutnost posebnih funkcija, ali implementacija osnovnih sposobnosti organizirana je na visokoj razini. Ključna je razlika, osim integracije s drugim McAfee ePolicy Orchestrator (EPO) konzolnim proizvodima, korištenje tehnologije pohrane u centraliziranoj bazi podataka snimljenih podataka. Ovaj se okvir može koristiti za optimiziranje novih pravila za testiranje protiv lažno pozitivnih rezultata i smanjenje vremena implementacije.

Što vas najviše privlači kod ovog rješenja?

Upravljanje incidentima lako se može nazvati snagom McAfee rješenja. Uz njegovu pomoć priloženi su dokumenti i komentari koji obećavaju prednosti pri radu na bilo kojoj razini. Ovo rješenje može otkriti netekstualni sadržaj, na primjer, sliku. Moguće je da DLP sustavi implementiraju novo rješenje ovog programera za zaštitu krajnjih točaka, na primjer, samostalne.

Funkcije usmjerene na razvoj platformi, predstavljene u obliku mobilnih komunikacijskih uređaja i društvenih mreža, pokazale su se prilično dobro. To im omogućuje da pobijede konkurentska rješenja. Nova se pravila analiziraju putem baze podataka koja sadrži prikupljene informacije, što pomaže smanjiti broj lažno pozitivnih rezultata i ubrzati implementaciju pravila. McAfee DLP pruža temeljnu funkcionalnost u virtualnom okruženju. Planovi njihova razvoja još nisu jasno formulirani.

Perspektive i moderni DLP sustavi

Pregled različitih gore navedenih rješenja pokazuje da sva rade na isti način. Prema riječima stručnjaka, glavni razvojni trend je da će sustavi “krpanja” koji sadrže komponente nekoliko proizvođača uključenih u rješavanje specifičnih problema biti zamijenjeni integriranim programskim paketom. Ovaj prijelaz će se provesti zbog potrebe da se stručnjaci rasterete rješavanja određenih problema. Osim toga, postojeći DLP sustavi, čiji analozi ne mogu pružiti istu razinu zaštite, stalno će se poboljšavati.

Na primjer, kroz složene integrirane sustave utvrdit će se međusobna kompatibilnost različitih tipova komponenata sustava "zakrpe". To će olakšati jednostavnu promjenu postavki za velike nizove klijentskih stanica u organizacijama i, u isto vrijeme, izostanak poteškoća s prijenosom podataka iz komponenti jednog integriranog sustava jedne u drugu. Programeri integriranih sustava jačaju specifičnost zadataka usmjerenih na osiguranje informacijske sigurnosti. Niti jedan kanal ne smije ostati nekontroliran jer je često izvor vjerojatnog curenja informacija.

Što će se dogoditi u bliskoj budućnosti?

Zapadni proizvođači koji pokušavaju preuzeti tržište DLP sustava u zemljama ZND-a morali su se suočiti s problemima u vezi s podrškom za nacionalne jezike. Prilično su aktivno zainteresirani za naše tržište, pa nastoje podržati ruski jezik.

DLP industrija bilježi pomak prema modularnoj strukturi. Kupac će imati mogućnost samostalnog odabira komponenti sustava koje želi. Također, razvoj i implementacija DLP sustava ovisi o specifičnostima industrije. Najvjerojatnije će se pojaviti posebne verzije dobro poznatih sustava čija će prilagodba biti podređena radu u bankarskom sektoru ili državnim agencijama. Ovdje će se uzeti u obzir relevantni zahtjevi određenih organizacija.

Korporativna sigurnost

Korištenje prijenosnih računala u korporativnim okruženjima ima izravan utjecaj na smjer razvoja DLP sustava. Ova vrsta prijenosnog računala ima mnogo više ranjivosti, što zahtijeva povećanu zaštitu. Zbog specifičnosti prijenosnih računala (mogućnost krađe informacija i samog uređaja), proizvođači DLP sustava razvijaju nove pristupe osiguravanju sigurnosti prijenosnih računala.

(Sprečavanje gubitka podataka)

Sustavi za nadzor radnji korisnika, sustav za zaštitu povjerljivih podataka od internih prijetnji.

DLP sustavi koriste se za otkrivanje i sprječavanje prijenosa povjerljivih podataka u različitim fazama. (tijekom kretanja, uporabe i skladištenja). DLP sustav omogućuje:

    Kontrolirati rad korisnika, sprječavajući nekontrolirano trošenje radnog vremena u osobne svrhe.

    Automatski, neopaženo od strane korisnika, bilježi sve radnje, uključujući poslane i primljene e-poruke, chatove i izravne poruke, društvene mreže, posjećene web stranice, podatke upisane na tipkovnici, datoteke prenesene, ispisane i spremljene itd. .

    Pratiti korištenje računalnih igara na radnom mjestu i voditi računa o količini radnog vremena provedenog na računalnim igrama.

    Pratite mrežnu aktivnost korisnika, uzmite u obzir količinu mrežnog prometa

    Kontrolirajte kopiranje dokumenata na različite medije (prijenosne medije, tvrde diskove, mrežne mape itd.)

    Kontrolirajte korisnički mrežni ispis

    Snimanje zahtjeva korisnika tražilicama itd.

    Data-in-motion - podaci u pokretu - poruke e-pošte, prijenos web prometa, datoteka itd.

    Data-in-rest - pohranjeni podaci - informacije o radnim stanicama, poslužiteljima datoteka, USB uređajima itd.

    Podaci u upotrebi - podaci u upotrebi - podaci koji se trenutno obrađuju.

Arhitektura DLP rješenja može se razlikovati među različitim programerima, ali općenito postoje 3 glavna trenda:

    Presretači i kontroleri za različite kanale prijenosa informacija. Presretači analiziraju prolazne tokove informacija koji proizlaze iz perimetra tvrtke, otkrivaju povjerljive podatke, klasificiraju informacije i prenose ih upravljačkom poslužitelju radi obrade mogućeg incidenta. Kontroleri za otkrivanje podataka u mirovanju pokreću procese otkrivanja na mrežnim resursima za osjetljive informacije. Kontrolori za rad na radnim stanicama distribuiraju sigurnosne politike krajnjim uređajima (računalima), analiziraju rezultate aktivnosti zaposlenika s povjerljivim informacijama te prenose podatke o mogućim incidentima na upravljački poslužitelj.

    Agentski programi instalirani na krajnjim uređajima: primjećuju povjerljive podatke koji se obrađuju i nadziru usklađenost s pravilima kao što je spremanje informacija na prijenosni medij, slanje, ispis, kopiranje putem međuspremnika.

    Središnji upravljački poslužitelj – uspoređuje informacije primljene od presretača i kontrolora te pruža sučelje za obradu incidenata i generiranje izvješća.

DLP rješenja nude širok raspon kombiniranih metoda otkrivanja informacija:

    Digitalni ispis dokumenata i njihovih dijelova

    Digitalni otisci prstiju baza podataka i drugih strukturiranih informacija koje je važno zaštititi od distribucije

    Statističke metode (povećanje osjetljivosti sustava kada se kršenja ponavljaju).

Prilikom rada DLP sustava obično se ciklički izvodi nekoliko postupaka:

    Osposobljavanje sustava za principe klasifikacije informacija.

    Unos pravila reagiranja u odnosu na kategoriju detektiranih informacija i grupe djelatnika čije radnje treba pratiti. Istaknuti su korisnici od povjerenja.

    Izvršenje kontrolne operacije od strane DLP sustava (sustav analizira i normalizira informacije, vrši usporedbu s principima detekcije i klasifikacije podataka, a kada se otkrije povjerljiva informacija, sustav je uspoređuje s postojećim politikama dodijeljenim detektiranoj kategoriji informacija) i po potrebi stvara incident)

    Obrada incidenata (na primjer, obavijesti, pauziraj ili blokiraj slanje).

Značajke stvaranja i rada VPN-a iz sigurnosne perspektive

Opcije za izgradnju VPN-a:

    Zasnovano na mrežnim operativnim sustavima

    Temeljen na usmjerivaču

    Na temelju ITU-a

    Temeljen na specijaliziranom softveru i hardveru

    Na temelju specijaliziranog softvera

Da bi VPN radio ispravno i sigurno, morate razumjeti osnove interakcije između VPN-a i vatrozida:

    VPN-ovi su sposobni kreirati end-to-end komunikacijske tunele koji prolaze kroz mrežni perimetar, pa su stoga izuzetno problematični u smislu kontrole pristupa s vatrozida, koji otežava analizu kriptiranog prometa.

    Zahvaljujući mogućnostima enkripcije, VPN-ovi se mogu koristiti za zaobilaženje IDS sustava koji ne mogu otkriti upade iz šifriranih komunikacijskih kanala.

    Ovisno o mrežnoj arhitekturi, vrlo važna značajka prevođenja mrežne adrese (NAT) možda neće biti kompatibilna s nekim implementacijama VPN-a itd.

U suštini, pri donošenju odluka o implementaciji VPN komponenti u mrežnu arhitekturu, administrator može odabrati VPN kao samostalni vanjski uređaj ili odabrati integraciju VPN-a u vatrozid kako bi pružio obje funkcije u jednom sustavu.

    ITU + odvojeni VPN. Mogućnosti VPN hostinga:

    1. Unutar DMZ-a, između vatrozida i graničnog usmjerivača

      Unutar zaštićene mreže na ITU mrežnim adapterima

      Unutar zaštićene mreže, iza vatrozida

      Paralelno s ITU, na ulazu u zaštićenu mrežu.

    Vatrozid + VPN, hostiran kao jedna jedinica - takvo integrirano rješenje prikladnije je za tehničku podršku od prethodne opcije, ne uzrokuje probleme povezane s NAT-om (prijevod mrežne adrese) i pruža pouzdaniji pristup podacima, za što je vatrozid odgovoran. Nedostatak integriranog rješenja je visok početni trošak kupnje takvog alata, kao i ograničene mogućnosti za optimizaciju odgovarajućih VPN i Firewall komponenti (to jest, najzadovoljavajuće ITU implementacije možda neće biti prikladne za izgradnju VPN komponenti na svojim VPN može imati značajan utjecaj na performanse mreže i može doći do kašnjenja tijekom sljedećih faza:

    1. Prilikom uspostavljanja sigurne veze između VPN uređaja (autentifikacija, razmjena ključeva itd.)

      Kašnjenja povezana s šifriranjem i dekriptiranjem zaštićenih podataka, kao i transformacije potrebne za kontrolu njihovog integriteta

      Kašnjenja povezana s dodavanjem novog zaglavlja poslanim paketima

Sigurnost e-pošte

Glavni protokoli pošte: (E)SMTP, POP, IMAP.

SMTP - jednostavan protokol za prijenos pošte, TCP port 25, bez provjere autentičnosti. Prošireni SMTP - dodana je provjera autentičnosti klijenta.

POP - post Office Protocol 3 - primanje pošte s poslužitelja. Cleartext provjera autentičnosti. APOP - s mogućnošću provjere autentičnosti.

IMAP - protokol za pristup internetskim porukama - je nekriptirani protokol za poštu koji kombinira svojstva POP3 i IMAP. Omogućuje vam izravan rad s poštanskim sandučićem, bez potrebe za preuzimanjem pisama na vaše računalo.

Zbog nedostatka normalnog načina šifriranja informacija, odlučili smo koristiti SSL za šifriranje podataka ovih protokola. Odavde su nastale sljedeće sorte:

POP3 SSL - port 995, SMTP SSL (SMTPS) port 465, IMAP SSL (IMAPS) - port 993, svi TCP.

Napadač koji radi sa sustavom e-pošte može težiti sljedećim ciljevima:

    Napad na računalo korisnika slanjem virusa e-pošte, slanjem lažnih e-poruka (krivotvorenje adrese pošiljatelja u SMTP-u je trivijalan zadatak), čitanje e-pošte drugih ljudi.

    Napad na poslužitelj pošte korištenjem e-pošte s ciljem prodiranja u njegov operativni sustav ili uskraćivanja usluge

    Korištenje poslužitelja pošte kao releja pri slanju neželjenih poruka (spam)

    Presretanje lozinke:

    1. Presretanje lozinki u POP i IMAP sesijama, uslijed čega napadač može primati i brisati poštu bez znanja korisnika

      Presretanje lozinki u SMTP sesijama - uslijed čega napadač može biti nezakonito ovlašten za slanje pošte putem ovog poslužitelja

Za rješavanje sigurnosnih problema s POP, IMAP i SMTP protokolima najčešće se koristi SSL protokol koji omogućuje kriptiranje cijele komunikacijske sesije. Nedostatak - SSL je protokol koji zahtijeva mnogo resursa i može značajno usporiti komunikaciju.

Spam i borba protiv njega

Vrste lažne neželjene pošte:

    Lutrija - entuzijastična obavijest o dobicima na lutriji u kojoj primatelj poruke nije sudjelovao. Sve što trebate učiniti je posjetiti odgovarajuću web stranicu i unijeti broj računa i PIN kod kartice koji su navodno potrebni za plaćanje usluge dostave.

    Aukcije - ova vrsta prijevare sastoji se u nedostatku robe koju prevaranti prodaju. Nakon uplate, klijent ne dobiva ništa.

    Phishing je pismo koje sadrži poveznicu na neki izvor gdje žele da date podatke, itd. Mamljenje lakovjernih ili nepažljivih korisnika osobnih i povjerljivih podataka. Prevaranti šalju mnoštvo pisama, obično prerušenih u službena pisma raznih institucija, koja sadrže poveznice koje vode do lažnih stranica koje vizualno kopiraju stranice banaka, trgovina i drugih organizacija.

    Poštanska prijevara je regrutiranje osoblja za tvrtku kojoj je navodno potreban predstavnik u bilo kojoj zemlji koji bi se mogao pobrinuti za slanje robe ili prijenos novca stranoj tvrtki. Ovdje se u pravilu kriju sheme pranja novca.

    Nigerijska pisma - tražite uplatu malog iznosa prije primanja novca.

    Pisma sreće

Spam može biti masovni ili ciljani.

Masovna neželjena pošta nema specifične ciljeve i koristi prijevarne tehnike društvenog inženjeringa protiv velikog broja ljudi.

Ciljani spam je tehnika usmjerena na određenu osobu ili organizaciju, u kojoj napadač djeluje u ime direktora, administratora ili drugog zaposlenika organizacije u kojoj žrtva radi ili napadač predstavlja tvrtku s kojom je ciljna organizacija uspostavila povjerljivi odnos.

Prikupljanje adresa provodi se odabirom vlastitih imena, lijepih riječi iz rječnika, čestim kombinacijama riječi i brojeva, metodom analogije, skeniranjem svih dostupnih izvora informacija (pričaonice, forumi i sl.), krađom baza podataka i sl.

Primljene adrese se provjeravaju (provjeravaju da li su ispravne) slanjem testne poruke, postavljanjem u tekst poruke jedinstvenog linka na sliku sa brojačem preuzimanja ili linkom “odjava od spam poruka”.

Naknadno se spam šalje ili izravno s unajmljenih poslužitelja, ili s pogrešno konfiguriranih legitimnih servisa e-pošte, ili putem skrivene instalacije zlonamjernog softvera na računalu korisnika.

Napadač komplicira rad anti-spam filtara uvođenjem nasumičnog teksta, buke ili nevidljivog teksta, korištenjem grafičkih slova ili mijenjanjem grafičkih slova, fragmentiranih slika, uključujući korištenje animacija, te tekstova unaprijed.

Anti-spam metode

Postoje 2 glavne metode filtriranja neželjene pošte:

    Filtriranje po formalnim karakteristikama poruke e-pošte

    Filtriraj po sadržaju

    Formalna metoda

    1. Fragmentacija po listama: crna, bijela i siva. Sive liste metoda su privremenog blokiranja poruka s nepoznatim kombinacijama adrese e-pošte i IP adrese poslužitelja za slanje. Kada prvi pokušaj završi privremenim neuspjehom (u pravilu spameri programi ne šalju ponovno pismo). Nedostatak ove metode je mogući dug vremenski razmak između slanja i primanja legalne poruke.

      Provjera je li poruka poslana s pravog ili lažnog (lažnog) mail servera s domene navedene u poruci.

      “Povratni poziv” - nakon primanja dolazne veze, primateljski poslužitelj pauzira sesiju i simulira radnu sesiju s pošiljateljskim poslužiteljem. Ako pokušaj ne uspije, obustavljena veza se prekida bez daljnje obrade.

      Filtriranje prema formalnim karakteristikama pisma: adrese pošiljatelja i primatelja, veličina, prisutnost i broj privitaka, IP adresa pošiljatelja itd.

    Lingvističke metode – rad sa sadržajem pisma

    1. Prepoznavanje prema sadržaju pisma - provjerava se prisutnost znakova sadržaja neželjene pošte u pismu: određeni skup i distribucija određenih fraza u pismu.

      Prepoznavanje prema uzorcima slova (metoda filtriranja temeljena na potpisu, uključujući grafičke potpise)

      Bayesovo filtriranje je striktno filtriranje riječi. Prilikom provjere dolaznog pisma, vjerojatnost da se radi o neželjenoj pošti izračunava se na temelju obrade teksta, što uključuje izračunavanje prosječne “težine” svih riječi zadanog pisma. Pismo se klasificira kao spam ili ne kao spam na temelju toga prelazi li njegova težina određeni prag koji je odredio korisnik. Nakon donošenja odluke o pismu, "težine" za riječi uključene u pismo ažuriraju se u bazi podataka.

Autentikacija u računalnim sustavima

Procesi autentifikacije mogu se podijeliti u sljedeće kategorije:

    Ali na temelju saznanja o nečemu (PIN, lozinka)

    Na temelju posjedovanja nečega (smart kartica, USB ključ)

    Ne temelji se na inherentnim karakteristikama (biometrijske karakteristike)

Vrste autentifikacije:

    Jednostavna autentifikacija pomoću lozinki

    Snažna provjera autentičnosti pomoću provjera s više faktora i kriptografskih metoda

    Biometrijska autentifikacija

Glavni napadi na protokole provjere autentičnosti su:

    "Maškarada" - kada korisnik pokušava glumiti drugog korisnika

    Ponovno slanje - kada se presretnuta lozinka šalje u ime drugog korisnika

    Prisilno kašnjenje

Za sprječavanje takvih napada koriste se sljedeće tehnike:

    Mehanizmi kao što su izazov-odgovor, vremenske oznake, nasumični brojevi, digitalni potpisi itd.

    Povezivanje rezultata autentifikacije s kasnijim radnjama korisnika unutar sustava.

    Periodično izvođenje postupaka provjere autentičnosti unutar već uspostavljene komunikacijske sesije.

    Jednostavna provjera autentičnosti

    1. Autentifikacija temeljena na višekratnim lozinkama

      Autentifikacija temeljena na jednokratnim lozinkama - OTP (one time password) - jednokratne lozinke vrijede samo za jednu prijavu i mogu se generirati pomoću OTP tokena. Za to se koristi tajni ključ korisnika koji se nalazi unutar OTP tokena i na autentifikacijskom poslužitelju.

    Stroga autentifikacija uključuje dokaznu stranu koja dokazuje svoju autentičnost pouzdanoj strani demonstrirajući poznavanje određene tajne. Događa se:

    1. Jednostrano

      Dvostran

      Trodijelni

Može se provesti na temelju pametnih kartica ili USB ključeva ili kriptografije.

Snažna provjera autentičnosti može se implementirati korištenjem postupka provjere s dva ili tri faktora.

U slučaju dvofaktorske autentifikacije, korisnik mora dokazati da zna lozinku ili PIN kod te da posjeduje određeni osobni identifikator (smart karticu ili USB ključ).

Autentifikacija u tri faktora zahtijeva od korisnika da pruži drugu vrstu identifikacije, kao što je biometrija.

Snažna autentifikacija pomoću kriptografskih protokola može se oslanjati na simetričnu i asimetričnu enkripciju, kao i hash funkcije. Strana koja dokazuje dokazuje znanje tajne, ali se sama tajna ne otkriva. Koriste se jednokratni parametri (slučajni brojevi, vremenske oznake i redni brojevi) kako bi se izbjeglo ponavljanje prijenosa, osigurala jedinstvenost, jednoznačnost i vremenska jamstva poslanih poruka.

Biometrijska autentifikacija korisnika

Najčešće korištene biometrijske značajke su:

    Otisci prstiju

    Uzorak vene

    Geometrija ruke

    Iris

    Geometrija lica

    Kombinacije gore navedenog

Kontrola pristupa korištenjem jedinstvene sheme prijave s Single Sign-On (SSO) autorizacijom

SSO omogućuje korisniku korporativne mreže da prođe samo jednu provjeru autentičnosti kada se prijavi na mrežu, prikazujući samo jednu lozinku ili drugi potrebni autentifikator jednom, a zatim, bez dodatne provjere autentičnosti, dobije pristup svim ovlaštenim mrežnim resursima koji su potrebni za izvođenje posao. Aktivno se koriste alati za digitalnu autentifikaciju kao što su tokeni, PKI digitalni certifikati, pametne kartice i biometrijski uređaji. Primjeri: Kerberos, PKI, SSL.

Odgovor na incidente informacijske sigurnosti

Među zadacima koji stoje pred svakim sustavom upravljanja informacijskom sigurnošću, dva su najznačajnija:

    Prevencija incidenata

    Ukoliko se pojave, pravodobno i pravilno reagirati

Prvi zadatak u većini slučajeva temelji se na kupnji raznih alata za informacijsku sigurnost.

Drugi zadatak ovisi o stupnju spremnosti tvrtke za takve događaje:

        Prisutnost obučenog tima za odgovor na incidente IS-a s već unaprijed dodijeljenim ulogama i odgovornostima.

        Dostupnost dobro promišljene i međusobno povezane dokumentacije o postupku upravljanja informacijsko-sigurnosnim incidentima, posebice odgovoru i istraživanju identificiranih incidenata.

        Dostupnost pripremljenih resursa za potrebe interventnog tima (komunikacijski alati, ..., sigurno)

        Dostupnost ažurne baze znanja o incidentima informacijske sigurnosti koji su se dogodili

        Visoka razina svijesti korisnika u području informacijske sigurnosti

        Osposobljenost i koordinacija tima za intervenciju

Proces upravljanja incidentom informacijske sigurnosti sastoji se od sljedećih faza:

    Priprema – sprječavanje incidenata, priprema timova za odgovor, razvoj politika i procedura itd.

    Detekcija – sigurnosna obavijest, obavijest korisniku, analiza sigurnosnog dnevnika.

    Analiza – potvrda da se incident dogodio, prikupljanje dostupnih informacija o incidentu, identificiranje pogođene imovine i klasificiranje incidenta prema sigurnosti i prioritetu.

    Odgovor - zaustavljanje incidenta i prikupljanje dokaza, poduzimanje mjera za zaustavljanje incidenta i očuvanje podataka temeljenih na dokazima, prikupljanje podataka temeljenih na dokazima, interakcija s internim odjelima, partnerima i pogođenim stranama, kao i privlačenje vanjskih stručnih organizacija.

    Istraga – istraživanje okolnosti incidenata informacijske sigurnosti, uključivanje vanjskih stručnih organizacija i interakcija sa svim pogođenim stranama, kao i s agencijama za provođenje zakona i pravosudnim tijelima.

    Oporavak – poduzimanje mjera za zatvaranje ranjivosti koje su dovele do incidenta, otklanjanje posljedica incidenta, vraćanje funkcionalnosti zahvaćenih usluga i sustava. Registracija obavijesti o osiguranju.

    Analiza učinkovitosti i modernizacija - analiza incidenta, analiza učinkovitosti i modernizacija procesa istraživanja incidenata informacijske sigurnosti i povezanih dokumenata, privatne upute. Generiranje izvješća o istrazi i potrebi modernizacije sigurnosnog sustava za upravljanje, prikupljanje informacija o incidentu, njihovo dodavanje u bazu znanja i pohranjivanje podataka o incidentu.

Učinkovit sustav upravljanja incidentima informacijske sigurnosti ima sljedeće ciljeve:

    Osiguranje pravne važnosti prikupljenih dokaznih podataka o informacijsko-sigurnosnim incidentima

    Osiguravanje pravodobnosti i ispravnosti radnji za odgovor i istraživanje incidenata informacijske sigurnosti

    Osiguravanje sposobnosti identifikacije okolnosti i uzroka incidenata informacijske sigurnosti u svrhu daljnje modernizacije sustava informacijske sigurnosti

    Pružanje istrage i pravne podrške za interne i eksterne incidente informacijske sigurnosti

    Osigurati zakonom propisanu mogućnost procesuiranja napadača i privođenja pravdi

    Osiguravanje mogućnosti naknade štete od informacijsko sigurnosnog incidenta u skladu sa zakonom

Sustav upravljanja incidentima informacijske sigurnosti općenito je u interakciji i integrira se sa sljedećim sustavima i procesima:

    Upravljanje informacijskom sigurnošću

    Upravljanje rizicima

    Osiguravanje kontinuiteta poslovanja

Integracija se izražava u dosljednosti dokumentacije i formalizaciji redoslijeda interakcije između procesa (ulazne, izlazne informacije i prijelazni uvjeti).

Proces upravljanja incidentima informacijske sigurnosti prilično je složen i opsežan. Zahtijeva akumulaciju, obradu i pohranjivanje ogromne količine informacija, kao i izvršavanje mnogih paralelnih zadataka, pa na tržištu postoje mnogi alati koji vam omogućuju automatizaciju određenih zadataka, na primjer, tzv. SIEM sustavi (sigurnosne informacije i upravljanje događajima).

Chief Information Officer (CIO) – direktor informacijske tehnologije

Chief Information Security Officer (CISO) – voditelj odjela informacijske sigurnosti, direktor informacijske sigurnosti

Osnovna zadaća SIEM sustava nije samo prikupljanje događaja iz različitih izvora, već automatizacija procesa detekcije incidenata dokumentacijom u vlastitom dnevniku ili vanjskom sustavu, kao i pravovremeno informiranje o događaju. SIEM sustav ima sljedeće zadatke:

    Konsolidacija i pohrana zapisa događaja iz različitih izvora - mrežni uređaji, aplikacije, OS zapisnici, sigurnosni alati

    Predstavljanje alata za analizu događaja i analizu incidenata

    Korelacija i obrada prema pravilima događaja koji su se dogodili

    Automatsko obavještavanje i upravljanje incidentima

SIEM sustavi sposobni su identificirati:

    Mrežni napadi na unutarnjem i vanjskom perimetru

    Virusne epidemije ili pojedinačne virusne infekcije, neuklonjeni virusi, backdoor i trojanci

    Pokušaji neovlaštenog pristupa povjerljivim podacima

    Pogreške i kvarovi u radu IS-a

    Ranjivosti

    Greške u konfiguraciji, sigurnosnim mjerama i informacijskim sustavima.

Glavni izvori SIEM-a

    Podaci o kontroli pristupa i autentifikaciji

    Dnevnici događaja poslužitelja i radnih stanica

    Mrežna aktivna oprema

  1. Antivirusna zaštita

    Skeneri ranjivosti

    Sustavi za obračun rizika, kritičnosti prijetnji i prioriteta incidenta

    Ostali sustavi za zaštitu i kontrolu politika informacijske sigurnosti:

    1. DLP sustavi

      Uređaji za kontrolu pristupa itd.

    2. Sustavi inventara

    Sustavi obračuna prometa

Najpoznatiji SIEM sustavi:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

28.01.2014 Sergej Korablev

Odabir bilo kojeg proizvoda poslovne razine nije trivijalan zadatak za tehničke stručnjake i donositelje odluka. Odabir sustava za sprječavanje gubitka podataka (DLP) još je teži. Nedostatak jedinstvenog konceptualnog sustava, redovite neovisne komparativne studije i složenost samih proizvoda tjeraju potrošače da od proizvođača naručuju pilot projekte i samostalno provode brojna testiranja, utvrđujući raspon vlastitih potreba i povezujući ih s mogućnostima sustava koji se koriste. testiran

Takav je pristup svakako ispravan. Uravnotežena, au nekim slučajevima čak i teško donesena odluka, pojednostavljuje daljnju implementaciju i omogućuje vam da izbjegnete razočaranje pri korištenju određenog proizvoda. Međutim, proces donošenja odluke u ovom slučaju može se odužiti, ako ne godinama, onda mjesecima. Osim toga, stalno širenje tržišta, pojava novih rješenja i proizvođača dodatno kompliciraju zadatak ne samo odabira proizvoda za implementaciju, već i stvaranja preliminarnog užeg izbora odgovarajućih DLP sustava. U takvim uvjetima, trenutni pregledi DLP sustava su od nedvojbene praktične vrijednosti za tehničke stručnjake. Je li određeno rješenje vrijedno uključiti na popis testiranja ili će biti presloženo za implementaciju u maloj organizaciji? Može li se rješenje skalirati na tvrtku od 10 tisuća zaposlenih? Hoće li DLP sustav moći kontrolirati poslovne CAD datoteke? Otvorena usporedba nije zamjena za temeljito testiranje, ali će pomoći odgovoriti na osnovna pitanja koja se javljaju u početnoj fazi odabira DLP-a.

Sudionici

Kao sudionici odabrani su najpopularniji DLP sustavi na ruskom tržištu informacijske sigurnosti tvrtki InfoWatch, McAfee, Symantec, Websense, Zecurion i Infosystem Jet (prema analitičkom centru Anti-Malware.ru od sredine 2013.).

Za analizu su korištene komercijalno dostupne verzije DLP sustava u trenutku izrade recenzije te dokumentacija i otvorene recenzije proizvoda.

Kriteriji za usporedbu DLP sustava odabrani su na temelju potreba tvrtki različitih veličina i različitih industrija. Glavna zadaća DLP sustava je spriječiti curenje povjerljivih informacija kroz različite kanale.

Primjeri proizvoda ovih tvrtki prikazani su na slikama 1–6.
Slika 3. Symantec proizvod

Slika 4. InfoWatch proizvod

Slika 5. Websense proizvod

Slika 6. McAfee proizvod

Načini rada

Dva glavna načina rada DLP sustava su aktivni i pasivni. Aktivno je obično glavni način rada, koji blokira radnje koje krše sigurnosna pravila, poput slanja povjerljivih informacija u vanjski poštanski sandučić. Pasivni način rada najčešće se koristi u fazi postavljanja sustava za provjeru i podešavanje postavki kada je udio lažno pozitivnih rezultata visok. U ovom slučaju, kršenja pravila se bilježe, ali se ne nameću ograničenja kretanja informacija (Tablica 1).

U tom pogledu svi sustavi koji se razmatraju pokazali su se ekvivalentnima. Svaki od DLP-ova može raditi u aktivnom i pasivnom načinu rada, što korisniku daje određenu slobodu. Nisu sve tvrtke spremne odmah početi koristiti DLP u načinu blokiranja - to je prepuno poremećaja poslovnih procesa, nezadovoljstva zaposlenika kontroliranih odjela i pritužbi (uključujući opravdane) uprave.

Tehnologije

Tehnologije detekcije omogućuju klasificiranje informacija koje se prenose elektroničkim kanalima i identificiranje povjerljivih informacija. Danas postoji nekoliko osnovnih tehnologija i njihovih varijanti, sličnih u biti, ali različitih u implementaciji. Svaka tehnologija ima i prednosti i nedostatke. Osim toga, različite vrste tehnologija prikladne su za analizu različitih klasa informacija. Stoga proizvođači DLP rješenja nastoje integrirati najveći broj tehnologija u svoje proizvode (vidi tablicu 2).

Općenito, proizvodi pružaju velik broj tehnologija koje, ako su pravilno konfigurirane, mogu pružiti visok postotak prepoznavanja povjerljivih informacija. DLP McAfee, Symantec i Websense prilično su loše prilagođeni za rusko tržište i ne mogu korisnicima ponuditi podršku za "jezične" tehnologije - morfologiju, analizu transliteracije i maskirani tekst.

Kontrolirani kanali

Svaki kanal prijenosa podataka je potencijalni kanal curenja. Čak i jedan otvoreni kanal može poništiti sve napore službe informacijske sigurnosti koja kontrolira protok informacija. Zbog toga je jako važno blokirati kanale koje zaposlenici ne koriste za rad, a preostale kontrolirati sustavima za sprječavanje curenja.

Unatoč činjenici da su najbolji moderni DLP sustavi sposobni nadzirati veliki broj mrežnih kanala (vidi tablicu 3), preporučljivo je blokirati nepotrebne kanale. Na primjer, ako zaposlenik radi na računalu samo s internom bazom podataka, ima smisla potpuno onemogućiti njegov pristup Internetu.

Slični zaključci vrijede i za lokalne kanale propuštanja. Istina, u ovom slučaju može biti teže blokirati pojedinačne kanale, jer se portovi često koriste za povezivanje perifernih uređaja, I/O uređaja itd.

Enkripcija ima posebnu ulogu u sprječavanju curenja kroz lokalne priključke, mobilne diskove i uređaje. Alati za šifriranje prilično su jednostavni za korištenje i njihovo korištenje može biti transparentno korisniku. Ali u isto vrijeme, enkripcija omogućuje uklanjanje cijele klase curenja povezanih s neovlaštenim pristupom informacijama i gubitkom mobilnih uređaja za pohranu podataka.

Situacija s kontrolom lokalnih agenata općenito je lošija nego s mrežnim kanalima (vidi tablicu 4). Svi proizvodi uspješno kontroliraju samo USB uređaje i lokalne pisače. Također, unatoč gore navedenoj važnosti enkripcije, ova je značajka prisutna samo u određenim proizvodima, a značajka prisilne enkripcije na temelju analize sadržaja prisutna je samo u Zecurion DLP-u.

Kako bi se spriječilo curenje, važno je ne samo prepoznati povjerljive podatke tijekom prijenosa, već i ograničiti širenje informacija u korporativnom okruženju. Kako bi to učinili, proizvođači uključuju alate u DLP sustave koji mogu identificirati i klasificirati informacije pohranjene na poslužiteljima i radnim stanicama na mreži (vidi tablicu 5). Podatke koji krše politike informacijske sigurnosti treba izbrisati ili premjestiti u sigurnu pohranu.

Za identifikaciju povjerljivih informacija na mrežnim čvorovima poduzeća koriste se iste tehnologije kao i za kontrolu curenja putem elektroničkih kanala. Glavna razlika je arhitektonska. Ako se mrežni promet ili operacije datoteka analiziraju kako bi se spriječilo curenje, tada se pohranjene informacije – sadržaji mrežnih radnih stanica i poslužitelja – ispituju kako bi se otkrile neovlaštene kopije povjerljivih podataka.

Od razmatranih DLP sustava jedino InfoWatch i Dozor-Jet ignoriraju korištenje alata za identifikaciju mjesta pohrane informacija. Ovo nije kritična značajka za sprječavanje elektroničkog curenja, ali značajno ograničava sposobnost DLP sustava da proaktivno spriječe curenje. Na primjer, kada se povjerljivi dokument nalazi unutar korporativne mreže, to nije curenje informacija. Međutim, ako lokacija ovog dokumenta nije regulirana, ako lokacija ovog dokumenta nije poznata vlasnicima informacija i službenicima za sigurnost, to može dovesti do curenja. Može doći do neovlaštenog pristupa informacijama ili se na dokument možda neće primijeniti odgovarajuća sigurnosna pravila.

Jednostavnost upravljanja

Karakteristike poput jednostavnosti korištenja i upravljanja mogu biti ništa manje važne od tehničkih mogućnosti rješenja. Uostalom, doista složen proizvod bit će teško implementirati; potrebno je više vremena, truda i, shodno tome, financijskih sredstava. Već implementirani DLP sustav zahtijeva pažnju tehničkih stručnjaka. Bez pravilnog održavanja, redovitih revizija i podešavanja postavki, kvaliteta prepoznavanja povjerljivih informacija značajno će pasti tijekom vremena.

Upravljačko sučelje na materinjem jeziku zaštitara prvi je korak za pojednostavljenje rada s DLP sustavom. Ne samo da će olakšati razumijevanje za što je odgovorna ova ili ona postavka, već će također značajno ubrzati proces konfiguriranja velikog broja parametara koje je potrebno konfigurirati za ispravan rad sustava. Engleski može biti koristan čak i za administratore koji govore ruski za jasno tumačenje specifičnih tehničkih pojmova (vidi tablicu 6).

Većina rješenja pruža prilično praktično upravljanje s jedne (za sve komponente) konzole s web sučeljem (vidi tablicu 7). Izuzetak su ruski InfoWatch (nema jedinstvenu konzolu) i Zecurion (nema web sučelje). Istovremeno, oba proizvođača već su najavila pojavu web konzole u svojim budućim proizvodima. Nepostojanje jedinstvene konzole za InfoWatch posljedica je različite tehnološke osnove proizvoda. Razvoj vlastitog agentskog rješenja prekinut je nekoliko godina, a trenutni EndPoint Security nasljednik je proizvoda treće strane EgoSecure (prije poznatog kao cynapspro) koji je tvrtka kupila 2012.

Još jedna točka koja se može pripisati nedostacima rješenja InfoWatch je da je za konfiguriranje i upravljanje vodećim DLP proizvodom InfoWatch TrafficMonitor potrebno poznavanje posebnog skriptnog jezika LUA, što komplicira rad sustava. Ipak, za većinu tehničkih stručnjaka, mogućnost poboljšanja vlastite profesionalne razine i učenja dodatnog, iako ne baš popularnog, jezika treba percipirati pozitivno.

Razdvajanje uloga administratora sustava potrebno je kako bi se smanjili rizici sprječavanja pojave superkorisnika s neograničenim pravima i drugih prijevara korištenjem DLP-a.

Zapisivanje i izvješćivanje

DLP arhiva je baza podataka u kojoj se akumuliraju i pohranjuju događaji i objekti (datoteke, pisma, http zahtjevi, itd.) koje zabilježe senzori sustava tijekom njegovog rada. Informacije prikupljene u bazi podataka mogu se koristiti u različite svrhe, uključujući analizu radnji korisnika, spremanje kopija kritičnih dokumenata i kao temelj za istraživanje incidenata informacijske sigurnosti. Osim toga, baza podataka o svim događajima izuzetno je korisna u fazi implementacije DLP sustava, budući da pomaže analizirati ponašanje komponenti DLP sustava (na primjer, saznati zašto su određene operacije blokirane) i prilagoditi sigurnosne postavke (vidi tablicu 8).

U ovom slučaju vidimo temeljnu arhitektonsku razliku između ruskih i zapadnih DLP-ova. Potonji uopće ne vode arhivu. U tom slučaju sam DLP postaje lakši za održavanje (nema potrebe za održavanjem, pohranjivanjem, backupom i proučavanjem ogromne količine podataka), ali ne i za rad. Uostalom, arhiva događaja pomaže u konfiguraciji sustava. Arhiva pomaže razumjeti zašto je prijenos informacija blokiran, provjeriti je li pravilo ispravno radilo i izvršiti potrebne ispravke u postavkama sustava. Također treba napomenuti da DLP sustavi zahtijevaju ne samo početnu konfiguraciju tijekom implementacije, već i redovito "podešavanje" tijekom rada. Sustav koji nije pravilno podržan i održavan od strane tehničkih stručnjaka izgubit će puno na kvaliteti prepoznavanja informacija. Kao rezultat toga, povećat će se i broj incidenata i broj lažnih uzbuna.

Izvještavanje je važan dio svake aktivnosti. Sigurnost informacija nije iznimka. Izvješća u DLP sustavima obavljaju nekoliko funkcija odjednom. Prvo, sažeta i razumljiva izvješća omogućuju voditeljima službi informacijske sigurnosti brzo praćenje stanja informacijske sigurnosti bez ulaženja u detalje. Drugo, detaljna izvješća pomažu službenicima sigurnosti prilagoditi sigurnosne politike i postavke sustava. Treće, vizualna izvješća uvijek se mogu prikazati najvišim menadžerima tvrtke kako bi se demonstrirali rezultati DLP sustava i samih stručnjaka za informacijsku sigurnost (vidi tablicu 9).

Gotovo sva konkurentska rješenja o kojima se raspravlja u recenziji nude i grafička izvješća, prikladna za top menadžere i voditelje službi za informacijsku sigurnost, i tablična izvješća, prikladnija za tehničke stručnjake. Jedino DLP InfoWatch nema grafičkih izvješća, zbog čega je dobio nižu ocjenu.

Certifikacija

Pitanje potrebe za certifikacijom alata za informacijsku sigurnost, a posebno DLP-a je otvoreno, a stručnjaci se na tu temu često polemiziraju unutar stručne zajednice. Sažimajući mišljenja stranaka, treba priznati da sama certifikacija ne daje ozbiljne konkurentske prednosti. Istodobno, postoji niz kupaca, prvenstveno državnih organizacija, za koje je prisutnost jednog ili drugog certifikata obavezna.

Osim toga, postojeći postupak certificiranja nije u dobroj korelaciji s ciklusom razvoja softvera. Kao rezultat toga, potrošači su suočeni s izborom: kupiti zastarjelu, ali certificiranu verziju proizvoda ili ažuriranu, ali ne certificiranu. Standardno rješenje u ovoj situaciji je kupnja certificiranog proizvoda “na polici” i korištenje novog proizvoda u stvarnom okruženju (vidi tablicu 10).

Rezultati usporedbe

Rezimirajmo dojmove o razmatranim DLP rješenjima. Sve u svemu, svi su sudionici ostavili povoljan dojam i može se koristiti za sprječavanje curenja informacija. Razlike između proizvoda omogućuju nam da odredimo njihov opseg primjene.

InfoWatch DLP sustav može se preporučiti organizacijama za koje je temeljno važno imati FSTEC certifikat. No, posljednja certificirana verzija InfoWatch Traffic Monitora testirana je krajem 2010. godine, a certifikat ističe krajem 2013. godine. Agentska rješenja temeljena na InfoWatch EndPoint Security (također poznata kao EgoSecure) prikladnija su za mala poduzeća i mogu se koristiti odvojeno od Traffic Monitora. Korištenje Traffic Monitora i EndPoint Security zajedno može uzrokovati probleme s skaliranjem u velikim poslovnim okruženjima.

Proizvodi zapadnih proizvođača (McAfee, Symantec, Websense), prema neovisnim analitičkim agencijama, znatno su manje popularni od ruskih. Razlog je niska razina lokalizacije. Štoviše, nije čak ni riječ o složenosti sučelja ili nedostatku dokumentacije na ruskom. Značajke tehnologija za prepoznavanje povjerljivih informacija, unaprijed konfiguriranih predložaka i pravila "prilagođene" su za korištenje DLP-a u zapadnim zemljama i usmjerene su na ispunjavanje zapadnih regulatornih zahtjeva. Kao rezultat toga, u Rusiji je kvaliteta prepoznavanja informacija znatno lošija, a usklađenost sa zahtjevima stranih standarda često je irelevantna. U isto vrijeme, sami proizvodi uopće nisu loši, ali specifičnosti korištenja DLP sustava na ruskom tržištu vjerojatno im neće omogućiti da postanu popularniji od domaćeg razvoja u doglednoj budućnosti.

Zecurion DLP odlikuje se dobrom skalabilnosti (jedini ruski DLP sustav s potvrđenom implementacijom na više od 10 tisuća poslova) i visokom tehnološkom zrelošću. No, iznenađuje činjenica da ne postoji web konzola koja bi pomogla pojednostaviti upravljanje poslovnim rješenjem namijenjenim različitim tržišnim segmentima. Snage Zecurion DLP-a uključuju visokokvalitetno prepoznavanje povjerljivih informacija i punu liniju proizvoda za sprječavanje curenja, uključujući zaštitu na pristupniku, radnim stanicama i poslužiteljima, identifikaciju lokacija za pohranu i alate za enkripciju podataka.

DLP sustav Dozor-Jet, jedan od pionira domaćeg DLP tržišta, raširen je među ruskim tvrtkama i nastavlja širiti svoju bazu klijenata zahvaljujući širokim vezama sistemskog integratora Jet Infosystems, koji je također DLP programer. Iako DLP tehnološki nešto zaostaje za svojim snažnijim kolegama, njegova uporaba može biti opravdana u mnogim tvrtkama. Osim toga, za razliku od stranih rješenja, Dozor Jet omogućuje održavanje arhive svih događaja i datoteka.



Najbolji članci na temu

Recenzija-usporedba pametnih telefona LG L Fino i L Bello
Recenzija-usporedba pametnih telefona LG L Fino i L Bello
Instaliranje Simpla cms predložaka kako ga instalirati na hosting
Instaliranje Simpla cms predložaka kako ga instalirati na hosting
Pozicije modula u Joomla predlošcima
Pozicije modula u Joomla predlošcima
Kategorije:
© 2024 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.