Cum se configurează smartphone-uri și PC-uri. Portal informativ

Sisteme DLP: cum funcționează. Prevenirea pierderilor de date

10.08.2019 Internet, Wi-Fi, rețele locale

Prevenirea pierderii datelor (DLP) este una dintre cele mai presante probleme pentru IT astăzi. Cu toate acestea, există o confuzie conceptuală vizibilă în acest domeniu, care este exacerbată de apariția multor termeni similari, în special, Prevenirea scurgerilor de date (DLP), Prevenirea scurgerii de informații (ILP), Protecția scurgerilor de informații (ILP), Detectarea scurgerii de informații. & Prevenire (ILDP), Monitorizare și filtrare a conținutului (CMF), Sistem de prevenire a extrudarii (EPS).

Din ce module funcționale ar trebui să constea o soluție DLP completă? Unde ar trebui să instalați sisteme DLP: la nivelul gateway-urilor de transmisie a datelor sau la nivelul resurselor informaționale (PC-uri sau dispozitive mobile)? Contează modul în care este implementat DLP: ca soluție autonomă sau ca parte a unei game mai largi de produse de securitate? Pentru a răspunde la aceste întrebări și la alte întrebări, trebuie mai întâi să înțelegeți ce este un sistem DLP, în ce constă și cum funcționează.

Pentru început, observăm că informațiile confidențiale sunt informații, accesul la care este limitat în conformitate cu legislația țării și nivelul de acces la resursa informațională. Informațiile confidențiale devin disponibile sau dezvăluite numai persoanelor, obiectelor sau proceselor autorizate.

Există o abordare clară a clasificării tipurilor de informații confidențiale:

  • date despre clienți - date cu caracter personal precum numere de card de credit, pașapoarte, asigurări, TIN, permise de conducere etc.;
  • date corporative - date financiare, date despre fuziuni și achiziții, date personale ale angajaților etc.;
  • proprietate intelectuală - coduri sursă, documente de proiectare, informații despre prețuri etc.

Pe baza acestui fapt, putem spune că sistemul de prevenire a scurgerii de informații confidențiale este un set integrat de instrumente pentru prevenirea sau controlul mișcării informațiilor confidențiale din sistemul informațional al companiei către exterior.

Sistemele moderne DLP se bazează pe analiza fluxurilor de date care traversează perimetrul sistemului informațional protejat. Când sunt detectate informații confidențiale în flux, protecția este declanșată, iar transmiterea unui mesaj (pachet, flux, sesiune) este blocată sau monitorizată.

Pe lângă funcția sa principală, soluțiile DLP ajută să răspundă la trei întrebări simple, dar foarte importante: „Unde se află informațiile mele confidențiale?”, „Cum sunt utilizate aceste date?” și „Care este cel mai bun mod de a le proteja de pierderi?” Pentru a le răspunde, sistemul DLP realizează o analiză aprofundată a conținutului informațional, organizează protecția automată a datelor confidențiale la nivelul resurselor informaționale finale, la nivelul gateway-urilor de transmisie a datelor și în sistemele de stocare statică și, de asemenea, inițiază proceduri de răspuns la incident pentru a lua măsuri adecvate.

Să luăm în considerare funcționalitatea unei soluții DLP folosind exemplul produsului software Symantec - DLP 9.0 (Vontu DLP), care este un set integrat și controlat central de instrumente pentru monitorizarea și prevenirea scurgerii de date confidențiale din circuitul informațional protejat. Include următoarele componente DLP principale.

Endpoint DLP este un modul pentru controlul mișcării informațiilor pe computere și laptopuri. Vă permite să monitorizați în timp real și în cazul detectării conținutului interzis - și să blocați încercările de a copia informații pe suporturi amovibile, de a imprima și de a trimite prin fax, e-mail etc. offline sau când lucrați de la distanță. Pe lângă controlul silențios și prevenirea scurgerilor, sistemul poate informa utilizatorul despre ilegalitatea acțiunilor sale, ceea ce vă permite să instruiți personalul în regulile de lucru cu informații confidențiale.

Storage DLP este un modul de monitorizare a conformității cu procedurile de stocare a datelor confidențiale. Permite în modul de scanare programată să detecteze datele confidențiale stocate static pe fișiere, mail, servere Web, sisteme de gestionare a documentelor, servere de baze de date etc. Analizează legitimitatea stocării datelor în locația lor curentă și a transferului, dacă este necesar, în depozite protejate.

Network DLP este un modul pentru controlul mișcării informațiilor prin gateway-uri de transmisie a datelor. Vă permite să monitorizați transmiterea informațiilor pe orice canal TCP/IP sau UDP. Sistemul controlează schimbul de informații prin IM și sisteme peer-to-peer și, de asemenea, vă permite să blocați transferul de informații prin canale HTTP(e), FTP(e) și SMTP, cu posibilitatea de a informa utilizatorii despre încălcările corporative. politică.

Enforce Platform este un sistem de gestionare centralizată a tuturor modulelor de sistem. Vă permite să gestionați starea de sănătate a sistemului în sine, monitorizând performanța și încărcarea acestuia și să administrați reguli și politici în ceea ce privește controlul mișcării datelor sensibile. Sistemul se bazează complet pe tehnologii Web și conține toate instrumentele de organizare a întregului ciclu de viață al procesului de gestionare a politicilor de securitate pentru manipularea datelor confidențiale într-o companie, inclusiv clasificare, indexare, digitizare etc. Platforma include și un modul de raportare care vă permite să efectuați cu ușurință și eficient o analiză a stării actuale de securitate a stocării și mișcării informațiilor, precum și să construiți mostre complexe pentru analiză regresivă și progresivă.

Symantec DLP utilizează două mecanisme prin care securitatea informațiilor poate clasifica datele și le poate atribui unor grupuri de severitate specifice. Prima, filtrarea conținutului, este capacitatea de a selecta în fluxul de informații transmise acele documente sau date care conțin anumite cuvinte, expresii, anumite tipuri de fișiere, precum și anumite reguli de combinare a literelor și numerelor (de exemplu, numărul pașaportului, card de credit etc.). A doua, metoda amprentelor digitale, vă permite să protejați anumite imagini ale informațiilor prin blocarea încercărilor de a le dilua, de a folosi fragmente de text etc.

Pentru a fi destul de consecvenți în definiții, putem spune că securitatea informațiilor a început tocmai odată cu apariția sistemelor DLP. Înainte de aceasta, toate produsele care se ocupau de „securitatea informațiilor”, de fapt, protejau nu informațiile, ci infrastructura - locuri de stocare, transmitere și prelucrare a datelor. Calculatorul, aplicația sau canalul în care sunt localizate, prelucrate sau transmise informațiile confidențiale sunt protejate de aceste produse în același mod ca și infrastructura în care circulă informații complet inofensive. Adică, odată cu apariția produselor DLP, sistemele informaționale au învățat în sfârșit să distingă informațiile confidențiale de informațiile neconfidențiale. Poate că, odată cu integrarea tehnologiilor DLP în infrastructura informațională, companiile vor putea economisi mult pe protecția informațiilor - de exemplu, să folosească criptarea numai în cazurile în care informațiile confidențiale sunt stocate sau transmise, și nu criptează informațiile în alte cazuri.

Cu toate acestea, aceasta este o chestiune de viitor, iar în prezent, aceste tehnologii sunt utilizate în principal pentru a proteja informațiile de scurgeri. Tehnologiile de clasificare a informațiilor formează nucleul sistemelor DLP. Fiecare producător consideră că metodele sale de detectare a informațiilor confidențiale sunt unice, le protejează cu brevete și vine cu mărci comerciale speciale pentru ele. Până la urmă, restul elementelor de arhitectură, altele decât aceste tehnologii (interceptoare de protocol, parsere de format, management al incidentelor și depozite de date) sunt identice pentru majoritatea producătorilor, iar pentru companiile mari sunt chiar integrate cu alte produse de securitate a infrastructurii informaționale. Practic, pentru a clasifica datele din produsele de protejare a informațiilor corporative de scurgeri, se folosesc două grupe principale de tehnologii - analiza lingvistică (morfologică, semantică) și metodele statistice (Amprente digitale, ADN document, antiplagiat). Fiecare tehnologie are propriile puncte forte și puncte slabe, care determină domeniul lor de aplicare.

Analiza lingvistică

Folosirea cuvintelor oprite („secrete”, „confidențiale” și altele asemenea) pentru a bloca mesajele de e-mail trimise în serverele de e-mail poate fi considerată precursorul sistemelor moderne DLP. Desigur, acest lucru nu protejează împotriva intrușilor - nu este dificil să eliminați cuvântul stop, care este cel mai adesea plasat într-o ștampilă separată a documentului, iar sensul textului nu se va schimba deloc.

Impulsul dezvoltării tehnologiilor lingvistice a fost dat la începutul acestui secol de către creatorii filtrelor de e-mail. În primul rând, pentru a proteja e-mailul de spam. Acum predomină metodele reputaționale în tehnologiile anti-spam, iar la începutul secolului a existat un adevărat război lingvistic între proiectil și armură - spammeri și anti-spammeri. Îți amintești cele mai simple tehnici de păcălire a filtrelor bazate pe cuvinte oprite? Înlocuirea literelor cu litere similare din alte codificări sau numere, transliterare, spații aleatorii, subliniere sau întreruperi de rând în text. Antispammerii au învățat rapid cum să facă față unor astfel de trucuri, dar apoi au apărut spam-ul grafic și alte tipuri viclene de e-mail nedorite.

Cu toate acestea, este imposibil să utilizați tehnologii anti-spam în produsele DLP fără o revizuire serioasă. Într-adevăr, pentru a combate spam-ul, este suficient să împărțim fluxul de informații în două categorii: spam și non-spam. Metoda bayesiană, care este folosită pentru a detecta spam-ul, dă doar un rezultat binar: „da” sau „nu”. Acest lucru nu este suficient pentru a proteja datele corporative de scurgeri - nu puteți pur și simplu împărți informațiile în confidențiale și neconfidențiale. Trebuie să puteți clasifica informațiile după afiliere funcțională (financiară, de producție, tehnologică, comercială, de marketing) și, în cadrul claselor, să le clasificați după nivel de acces (pentru distribuție gratuită, pentru acces limitat, pentru uz oficial, secret, secret superior, și așa mai departe).

Majoritatea sistemelor moderne de analiză lingvistică utilizează nu numai analiza contextului (adică în ce context, în combinație cu ce alte cuvinte este folosit un anumit termen), ci și analiza semantică a textului. Cu cât fragmentul analizat este mai mare, cu atât mai eficient funcționează aceste tehnologii. Pe un fragment mare de text, analiza este efectuată cu mai multă acuratețe, este mai probabil să se determine categoria și clasa documentului. La analizarea mesajelor scurte (SMS, pagere de internet), nu a fost încă inventat nimic mai bun decât cuvintele scurte. Autorul s-a confruntat cu o astfel de sarcină în toamna anului 2008, când mii de mesaje de genul „ne vor tăia”, „ne vor lua licența”, „ieșirea deponenților”, care trebuiau blocate imediat de la clienții lor, a mers pe internet de la locurile de muncă ale multor bănci prin mesagerie instant.

Avantajele tehnologiei

Avantajele tehnologiilor lingvistice sunt că lucrează direct cu conținutul documentelor, adică nu le pasă unde și cum a fost creat documentul, ce ștampilă este pe el și cum se numește fișierul - documentele sunt protejate imediat. Acest lucru este important, de exemplu, atunci când procesați proiecte de documente confidențiale sau pentru a proteja documentele primite. Dacă documentele create și utilizate în cadrul companiei pot fi cumva denumite, ștampilate sau marcate într-un mod anume, atunci documentele primite pot avea ștampile și etichete care nu sunt acceptate în organizație. Ciornele (dacă, desigur, nu sunt create într-un sistem securizat de gestionare a documentelor) pot să conțină deja informații confidențiale, dar să nu conțină încă etichetele și mărcile necesare.

Un alt avantaj al tehnologiilor lingvistice este capacitatea lor de învățare. Dacă cel puțin o dată în viață ați apăsat butonul „Nu trimiteți spam” în clientul dvs. de e-mail, atunci reprezentați deja partea client a sistemului de instruire a motorului lingvistic. Rețineți că nu trebuie să fiți un lingvist certificat și să știți exact ce se va schimba în baza de categorii - este suficient să indicați sistemului un fals pozitiv, iar restul va face singur.

Al treilea avantaj al tehnologiilor lingvistice este scalabilitatea lor. Viteza de prelucrare a informațiilor este proporțională cu cantitatea acesteia și nu depinde deloc de numărul de categorii. Până nu demult, construirea unei baze ierarhice de categorii (în mod istoric se numește BKF - baza filtrării conținutului, dar acest nume nu mai reflectă sensul real) arăta ca un fel de șamanism al lingviștilor profesioniști, așa că înființarea BKF ar putea să fie atribuite în siguranță deficiențelor. Dar odată cu lansarea în 2010 a mai multor produse „autolingviști” simultan, construirea bazei de date primare de categorii a devenit extrem de simplă - sistemul indică locurile în care sunt stocate documentele unei anumite categorii și determină el însuși caracteristicile lingvistice ale această categorie, iar în caz de fals pozitive învață de la sine. Așa că acum ușurința de personalizare a fost adăugată avantajelor tehnologiilor lingvistice.

Și încă un avantaj al tehnologiilor lingvistice pe care aș dori să-l remarc în articol este capacitatea de a detecta categorii în fluxurile de informații care nu au legătură cu documentele din cadrul companiei. Un instrument de control al conținutului fluxurilor de informații poate identifica categorii precum activități ilegale (piraterie, distribuție de bunuri interzise), utilizarea infrastructurii companiei în scopuri proprii, deteriorarea imaginii companiei (de exemplu, răspândirea de zvonuri defăimătoare) și curând.

Dezavantajele tehnologiei

Principalul dezavantaj al tehnologiilor lingvistice este dependența lor de limbă. Nu este posibil să folosiți un motor lingvistic conceput pentru o limbă pentru a analiza alta. Acest lucru a fost vizibil mai ales când producătorii americani au intrat pe piața rusă - nu erau pregătiți să se confrunte cu formarea de cuvinte rusești și prezența a șase codificări. Nu a fost suficient să traducem categorii și cuvinte cheie în rusă - în engleză, formarea cuvintelor este destul de simplă, iar cazurile sunt puse în prepoziții, adică atunci când cazul se schimbă, prepoziția se schimbă și nu cuvântul în sine. Majoritatea substantivelor din engleză devin verbe fără modificări de cuvinte. etc. În rusă, totul nu este așa - o rădăcină poate genera zeci de cuvinte în diferite părți de vorbire.

În Germania, producătorii americani de tehnologii lingvistice s-au confruntat cu o altă problemă - așa-numitele „compuși”, cuvinte compuse. În germană, se obișnuiește să se atașeze definiții cuvântului principal, în urma cărora se obțin cuvinte, uneori formate dintr-o duzină de rădăcini. Nu există așa ceva în limba engleză, acolo cuvântul este o secvență de litere între două spații, respectiv, motorul lingvistic englez nu a putut procesa cuvinte lungi nefamiliare.

De dragul corectitudinii, trebuie spus că acum aceste probleme au fost în mare măsură rezolvate de producătorii americani. Motorul lingvistic a trebuit să fie aproape reproiectat (și uneori rescris), dar piețele mari din Rusia și Germania vor merita cu siguranță. De asemenea, este dificil să procesezi texte multilingve cu tehnologii lingvistice. Cu toate acestea, majoritatea motoarelor încă se descurcă cu două limbi, de obicei este limba națională + engleză - pentru majoritatea sarcinilor de afaceri acest lucru este destul de suficient. Deși autorul a întâlnit texte confidențiale care conțin, de exemplu, kazahă, rusă și engleză în același timp, aceasta este mai mult o excepție decât o regulă.

Un alt dezavantaj al tehnologiilor lingvistice pentru monitorizarea întregului spectru de informații confidențiale corporative este că nu toate informațiile confidențiale sunt sub formă de texte coerente. Deși informațiile din bazele de date sunt stocate sub formă de text și nu există probleme la extragerea textului din SGBD, informațiile primite conțin cel mai adesea nume proprii - nume complete, adrese, nume de companii, precum și informații digitale - numere de cont, carduri de credit, soldul acestora etc... Procesarea lingvistică a acestui tip de date nu va face prea mult bine. Același lucru se poate spune despre formatele CAD/CAM, adică desenele, care conțin adesea proprietate intelectuală, coduri de program și formate media (video/audio) - unele texte pot fi extrase din ele, dar procesarea lor este și ineficientă. În urmă cu trei ani, acest lucru se aplica și pentru textele scanate, dar producătorii de top de sisteme DLP au adăugat rapid recunoașterea optică și au făcut față acestei probleme.

Dar cel mai mare și cel mai des criticat neajuns al tehnologiilor lingvistice este încă abordarea probabilistică a categorizării. Dacă ați citit vreodată o scrisoare cu categoria „Probabil SPAM”, atunci veți înțelege la ce mă refer. Dacă acest lucru se întâmplă cu spam-ul, unde există doar două categorii (spam / nu spam), vă puteți imagina ce se va întâmpla când câteva zeci de categorii și clase de confidențialitate vor fi încărcate în sistem. Deși antrenarea sistemului poate atinge o acuratețe de 92-95%, pentru majoritatea utilizatorilor aceasta înseamnă că fiecare a zecea sau a douăzecea mișcare de informații va fi atribuită din greșeală clasei greșite, cu toate consecințele pentru afacere (scurgerea sau întreruperea unui proces legitim).

De obicei, nu este obișnuit să atribuiți complexitatea dezvoltării tehnologiei unor dezavantaje, dar nu poate fi ignorată. Dezvoltarea unui motor lingvistic serios cu clasificarea textelor în mai mult de două categorii este un proces tehnologic intensiv în știință și destul de complicat. Lingvistica aplicată este o știință în dezvoltare rapidă, care a primit un impuls puternic în dezvoltare odată cu răspândirea căutării pe Internet, dar astăzi există unități de motoare de clasificare funcționale pe piață: există doar două dintre ele pentru limba rusă și pentru unele limbi. pur și simplu nu au fost încă dezvoltate. Prin urmare, pe piața DLP, există doar câteva companii care sunt capabile să clasifice complet informațiile din mers. Se poate presupune că atunci când piața DLP crește la dimensiuni de mai multe miliarde de dolari, Google va intra cu ușurință în ea. Cu propriul motor lingvistic, testat pe trilioane de interogări de căutare în mii de categorii, nu îi va fi greu să apuce imediat o bucată serioasă din această piață.

Metode statistice

Problema căutării computerului pentru citate semnificative (de ce exact „semnificative” - puțin mai târziu) i-a interesat pe lingviști încă din anii 70 ai secolului trecut, dacă nu mai devreme. Textul a fost împărțit în bucăți de o anumită dimensiune și din fiecare dintre ele a fost luat un haș. Dacă o anumită secvență de hashuri a apărut în două texte în același timp, atunci cu o mare probabilitate textele din aceste zone au coincis.

Un produs secundar al cercetării în acest domeniu este, de exemplu, „cronologia alternativă” a lui Anatoly Fomenko, un savant respectat care a lucrat la „corelații de text” și a comparat cândva cronici rusești din diferite perioade istorice. Surprins de cât de mult coincid cronicile diferitelor secole (mai mult de 60%), la sfârșitul anilor 70 a prezentat teoria că cronologia noastră este cu câteva secole mai scurtă. Prin urmare, atunci când o companie DLP care intră pe piață propune o „tehnologie revoluționară de căutare a citatelor”, este foarte probabil ca compania să nu fi creat altceva decât un nou nume de marcă.

Tehnologiile statistice tratează textele nu ca pe o secvență coerentă de cuvinte, ci ca pe o secvență arbitrară de caractere, prin urmare funcționează la fel de bine cu textele în orice limbă. Deoarece orice obiect digital - chiar și o imagine, chiar și un program - este și o secvență de caractere, aceleași metode pot fi folosite pentru a analiza nu numai informații textuale, ci și orice obiect digital. Și dacă hashurile din două fișiere audio coincid, unul dintre ele conține probabil un citat din celălalt, așa că metodele statistice sunt mijloace eficiente de protecție împotriva scurgerilor audio și video, care sunt utilizate activ în studiourile de muzică și companiile de film.

Este timpul să revenim la conceptul de „citat semnificativ”. Caracteristica cheie a unui hash complex îndepărtat din obiectul protejat (care în diferite produse se numește fie Amprentă digitală, fie ADN de document) este pasul prin care hash-ul este îndepărtat. După cum se poate înțelege din descriere, o astfel de „amprentă” este o caracteristică unică a unui obiect și, în același timp, are propria dimensiune. Acest lucru este important deoarece, dacă luați printuri de la milioane de documente (și aceasta este capacitatea de stocare a unei bănci medii), atunci veți avea nevoie de suficient spațiu pe disc pentru a stoca toate imprimările. Mărimea unei astfel de amprente depinde de pasul hash - cu cât este mai mic pasul, cu atât este mai mare amprenta. Dacă luați un hash în pași de un caracter, atunci dimensiunea imprimării va depăși dimensiunea eșantionului în sine. Creșterea pasului (de exemplu, 10.000 de caractere) pentru a reduce „greutatea” tipăririi, apoi crește, în același timp, probabilitatea ca un document care conține un citat dintr-un eșantion de 9.900 de caractere lungime să fie confidențial, dar să treacă neobservat. .

Pe de altă parte, dacă faceți un pas foarte mic, mai multe simboluri pentru a crește acuratețea detectării, puteți crește numărul de fals pozitive la o valoare inacceptabilă. În ceea ce privește textul, aceasta înseamnă că nu ar trebui să eliminați hash-ul din fiecare literă - toate cuvintele constau din litere, iar sistemul va lua prezența literelor în text pentru conținutul unui citat din textul eșantionului. De obicei, producătorii înșiși recomandă un pas optim pentru eliminarea hashurilor, astfel încât dimensiunea citatului să fie suficientă și greutatea imprimării în sine să fie mică - de la 3% (text) la 15% (video comprimat). În unele produse, producătorii vă permit să modificați dimensiunea semnificației cotației, adică să creșteți sau să micșorați pasul hash.

Avantajele tehnologiei

După cum puteți vedea din descriere, este nevoie de un obiect eșantion pentru a detecta o cotație. Iar metodele statistice pot spune cu o bună acuratețe (până la 100%) dacă există o citare semnificativă din eșantion în fișierul verificat sau nu. Adică, sistemul nu își asumă responsabilitatea pentru clasificarea documentelor - această lucrare este în întregime pe conștiința persoanei care a clasificat fișierele înainte de a lua amprentele digitale. Acest lucru facilitează foarte mult protecția informațiilor în cazul în care fișierele care se schimbă rar și deja clasificate sunt stocate într-un(e) loc(e) din întreprindere. Apoi este suficient să luați o amprentă din fiecare dintre aceste fișiere, iar sistemul va bloca, în conformitate cu setările, transferul sau copierea fișierelor care conțin citate semnificative din mostre.

Independența metodelor statistice față de limbajul textului și a informațiilor non-textuale este, de asemenea, un avantaj incontestabil. Sunt bune pentru protejarea obiectelor digitale statice de orice tip - imagini, audio/video, baze de date. Despre protecția obiectelor dinamice vă voi spune în secțiunea „dezavantaje”.

Dezavantajele tehnologiei

Ca și în cazul lingvisticii, dezavantajele tehnologiei sunt de cealaltă parte a meritelor. Ușurința antrenării sistemului (a indicat fișierul sistemului și este deja protejat) transferă responsabilitatea antrenării sistemului către utilizator. Dacă dintr-o dată un fișier confidențial este în locul greșit sau nu a fost indexat din cauza neglijenței sau a intenției rău intenționate, sistemul nu îl va proteja. În consecință, companiile preocupate de protejarea informațiilor confidențiale împotriva scurgerilor ar trebui să ofere o procedură pentru controlul modului în care fișierele confidențiale sunt indexate de sistemul DLP.

Un alt dezavantaj este dimensiunea fizică a imprimării. Autorul a văzut în mod repetat proiecte-pilot impresionante în tipărituri în care un sistem DLP are 100% șanse să blocheze transmiterea documentelor care conțin citări semnificative din trei sute de documente eșantion. Cu toate acestea, după un an de funcționare a sistemului în modul de luptă, amprenta fiecărei scrisori trimise nu mai este comparată cu trei sute, ci cu milioane de mostre de amprente, ceea ce încetinește semnificativ activitatea sistemului de poștă, provocând întârzieri de zeci de minute.

După cum am promis mai sus, voi descrie experiența mea în protejarea obiectelor dinamice folosind metode statistice. Timpul necesar pentru a imprima direct depinde de dimensiunea și formatul fișierului. Pentru un document text ca acest articol, durează o fracțiune de secundă, pentru o oră și jumătate de film MP4 - zeci de secunde. Pentru fișierele rar modificate, acest lucru nu este critic, dar dacă un obiect se schimbă la fiecare minut sau chiar o secundă, atunci apare o problemă: după fiecare schimbare a obiectului, o nouă amprentă trebuie îndepărtată din el... Codul la care lucrează programatorul nu este cel mai dificil, mult mai rău cu bazele de date folosite în facturare, ABS sau call center. Dacă timpul de amprentă este mai mare decât timpul de invarianță al obiectului, atunci problema nu are soluție. Acesta nu este un caz atât de exotic - de exemplu, amprenta unei baze de date care stochează numerele de telefon ale clienților unui operator celular federal este luată timp de câteva zile și se modifică în fiecare secundă. Prin urmare, atunci când un furnizor de DLP susține că produsul său vă poate proteja baza de date, adăugați mental cuvântul „cvasi-static”.

Unitatea și lupta contrariilor

După cum puteți vedea din secțiunea anterioară a articolului, puterea unei tehnologii se manifestă acolo unde cealaltă este slabă. Lingvistica nu are nevoie de mostre, ea clasifică datele din mers și poate proteja informațiile care nu au fost amprentate accidental sau intenționat. Imprimarea oferă cea mai bună acuratețe și, prin urmare, este preferată pentru utilizare automată. Lingvistica funcționează excelent cu textele, printuri - cu alte formate de stocare a informațiilor.

Prin urmare, majoritatea companiilor lider folosesc ambele tehnologii în dezvoltarea lor, una dintre ele fiind cea principală, iar cealaltă suplimentară. Acest lucru se datorează faptului că inițial produsele companiei foloseau o singură tehnologie, în care compania a avansat mai departe, iar apoi, la cererea pieței, a fost conectată a doua. De exemplu, anterior InfoWatch folosea doar tehnologia lingvistică licențiată Morph-OLogic și tehnologia Websense - PreciseID, care aparține categoriei Digital Fingerprint, dar acum companiile folosesc ambele metode. În mod ideal, aceste două tehnologii ar trebui folosite nu în paralel, ci în serie. De exemplu, imprimările vor face o treabă mai bună de a determina tipul de document - fie că este vorba de un contract sau de un bilanţ, de exemplu. Apoi puteți conecta baza deja lingvistică, creată special pentru această categorie. Acest lucru economisește foarte mult resursele de calcul.

În afara articolului, există încă mai multe tipuri de tehnologii utilizate în produsele DLP. Acestea includ, de exemplu, un analizor de structură care vă permite să găsiți structuri formale în obiecte (numere de card de credit, pașapoarte, TIN și așa mai departe) care nu pot fi detectate nici folosind lingvistică, nici folosind amprentele digitale. De asemenea, subiectul diferitelor tipuri de etichete nu a fost dezvăluit - de la înregistrări în câmpurile de atribute ale unui fișier sau doar un nume de fișier special până la criptocontainere speciale. Tehnologia din urmă este depășită, deoarece majoritatea producătorilor preferă să nu reinventeze singuri roata, ci să se integreze cu producătorii de sisteme DRM precum Oracle IRM sau Microsoft RMS.

Produsele DLP sunt o industrie în dezvoltare rapidă a securității informațiilor; unii producători lansează noi versiuni foarte des, mai mult de o dată pe an. Așteptăm cu nerăbdare apariția noilor tehnologii de analiză a domeniului informațiilor corporative pentru a crește eficiența protejării informațiilor confidențiale.

Înainte de a studia și a discuta în detaliu piața sistemelor DLP, trebuie să decideți ce înseamnă aceasta. Sistemele DLP sunt de obicei înțelese ca produse software care sunt concepute pentru a proteja organizațiile și întreprinderile de scurgeri de informații clasificate. Așa este tradusă în rusă abrevierea DLP (complet - Data Leak Prevention) - „evitarea scurgerilor de date”.

Astfel de sisteme sunt capabile să creeze un „perimetru” digital securizat pentru analiza tuturor informațiilor primite sau trimise. Informația controlată de acest sistem este traficul pe Internet și numeroase fluxuri de informații: documentele care sunt scoase din „perimetrul” protejat pe medii externe, care sunt tipărite pe o imprimantă, sunt trimise către dispozitivele mobile prin Bluetooth. Deoarece distribuirea și schimbul de tot felul de informații este o necesitate inevitabilă în zilele noastre, importanța unei astfel de protecție este evidentă. Cu cât se folosesc mai multe tehnologii digitale și de internet, cu atât sunt necesare mai multe garanții de securitate în fiecare zi, mai ales într-un mediu corporativ.

Cum functioneaza?

Deoarece sistemul DLP trebuie să reziste la scurgerile de informații confidențiale corporative, acesta, desigur, are încorporate mecanisme de diagnosticare a gradului de confidențialitate al oricărui document din traficul interceptat. Des întâlnite în acest caz sunt două modalități de a recunoaște gradul de confidențialitate al fișierelor: prin verificarea markerilor speciali și prin analiza conținutului.

A doua opțiune este în prezent relevantă. Este mai rezistent la modificările care pot fi aduse fișierului în ajunul trimiterii acestuia și, de asemenea, face posibilă extinderea cu ușurință a numărului de documente confidențiale cu care sistemul poate funcționa.

Sarcini DLP secundare

Pe lângă funcția sa principală, care este legată de prevenirea scurgerii de informații, sistemele DLP sunt potrivite și pentru rezolvarea multor alte sarcini care vizează controlul acțiunilor personalului. Cel mai adesea, sistemele DLP rezolvă o serie dintre următoarele sarcini:

  • control deplin asupra utilizării timpului de lucru, precum și a resurselor de muncă de către personalul organizației;
  • monitorizarea comunicărilor angajaților pentru a depista posibilitatea acestora de a provoca prejudicii organizației;
  • controlul asupra acțiunilor angajaților din punct de vedere al legalității (prevenirea producerii de documente falsificate);
  • identificarea angajaților care trimit CV-uri pentru a găsi rapid personal pentru un post vacant.

Clasificarea și compararea sistemelor DLP

Toate sistemele DLP existente pot fi împărțite în funcție de anumite criterii în mai multe subtipuri principale, fiecare dintre ele va ieși în evidență și va avea propriile avantaje față de celelalte.

Ori de câte ori este posibilă blocarea informațiilor care sunt recunoscute ca confidențiale, există sisteme cu monitorizare constantă activă sau pasivă a acțiunilor utilizatorului. Primele sisteme sunt capabile să blocheze informațiile transmise, spre deosebire de al doilea. De asemenea, sunt mult mai capabili să facă față informațiilor care trec accidental în lateral, dar în același timp pot aranja să oprească procesele de afaceri curente ale companiei, ceea ce nu este cea mai bună calitate a lor în comparație cu cea din urmă.

O altă clasificare a sistemelor DLP poate fi efectuată pe baza arhitecturii lor de rețea. Gateway DLP funcționează pe servere intermediare. În schimb, agenții gazdă folosesc agenți care lucrează în mod specific pe stațiile de lucru ale angajaților. În momentul de față, opțiunea mai relevantă este utilizarea simultană a componentelor gazdă și gateway, dar primele au anumite avantaje.

Piața globală modernă DLP

În prezent, principalele locuri de pe piața mondială a sistemelor DLP sunt ocupate de companii larg cunoscute în acest domeniu. Acestea includ Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec menține o poziție de lider pe piața DLP, deși acest fapt este surprinzător, deoarece multe alte companii îl pot înlocui. Soluția constă în continuare din componente modulare care oferă cele mai noi capabilități concepute pentru a integra sistemele DLP cu cea mai bună tehnologie. Foaia de parcurs pentru anul în curs a fost întocmită folosind informațiile clienților săi și este astăzi cea mai progresivă de pe piață. Cu toate acestea, aceasta este departe de a fi cea mai bună alegere pentru un sistem DLP.

Puncte forte:

  • îmbunătățire semnificativă a tehnologiei Content-Aware DLP pentru dispozitivele portabile;
  • capabilități îmbunătățite de extragere a conținutului, motiv pentru care este acceptată cea mai cuprinzătoare abordare;
  • rafinamentul integrării capabilităților DLP cu alte produse Symantec (cel mai frapant exemplu este Data Insight).

La ce trebuie să acordați atenție (dezavantaje importante în muncă, la care merită să vă gândiți):

  • În timp ce foaia de parcurs Symantec este considerată progresivă, implementarea are loc adesea cu sughițuri;
  • chiar dacă consola de management este complet funcțională, nu este la fel de competitivă precum susține Symantec;
  • adesea, clienții acestui sistem se plâng de timpul de răspuns al serviciului de asistență;
  • prețul pentru această soluție este în continuare semnificativ mai mare decât cel al dezvoltărilor concurenților, care în timp pot lua o poziție de lider din cauza micilor modificări ale acestui sistem.

Websense

În ultimii câțiva ani, dezvoltatorii au îmbunătățit în mod regulat oferta DLP a Websense. Poate fi considerată în siguranță o soluție complet funcțională. Websense a oferit utilizatorului modern capabilități avansate.

Părțile câștigătoare:

  • Websense face o propunere pentru o soluție DLP cu funcții complete care acceptă punctele finale și descoperirea datelor.
  • Funcția DLP prin picurare poate detecta scurgeri graduale de informații care durează suficient de mult în timp.

Ce merită o atenție specială:

  • Puteți edita datele numai în repaus.
  • Harta tehnologică este caracterizată de putere slabă.

McAfee DLP

Sistemul de securitate McAfee DLP a suferit, de asemenea, multe schimbări pozitive. Nu are funcții speciale, dar implementarea capabilităților de bază este organizată la un nivel înalt. Diferența cheie, în afară de integrarea cu alte produse de consolă McAfee ePolicy Orchestrator (EPO), este utilizarea tehnologiei de stocare într-o bază de date centralizată a datelor capturate. Cu un astfel de cadru, ele pot fi aplicate pentru a optimiza noi reguli pentru testarea fals pozitive și pentru a reduce timpul de implementare.

Ce este cel mai atractiv în această decizie?

Gestionarea incidentelor este un punct forte al McAfee. Cu ajutorul acestuia, sunt atașate documente și comentarii care promit beneficii atunci când se lucrează la orice nivel. Această soluție este capabilă să detecteze conținut non-textual, cum ar fi o imagine. Este posibilă implementarea unei noi soluții prin sisteme DLP de la acest dezvoltator pentru a proteja punctele finale, de exemplu, de sine stătătoare.

Funcțiile care vizează platformele emergente sub formă de dispozitive mobile și rețelele sociale au funcționat suficient de bine. Acest lucru le permite să ocolească soluțiile competitive. Regulile noi sunt analizate prin baza de date care conține informațiile capturate, ceea ce ajută la reducerea rezultatelor false pozitive și la accelerarea aplicării regulilor. McAfee DLP oferă funcționalități de bază într-un mediu virtual. Planurile pentru dezvoltarea lor nu sunt încă formulate clar.

Perspective și sisteme DLP moderne

Privirea de ansamblu asupra diferitelor soluții prezentate mai sus arată că toate funcționează în același mod. Potrivit experților, principala tendință de dezvoltare este aceea că sistemele „patch” care conțin componente de la mai mulți producători implicați în rezolvarea anumitor probleme vor fi înlocuite cu un pachet software integrat. Această tranziție se va realiza din cauza necesității de a scăpa de specialiști de la rezolvarea unor probleme. În plus, sistemele DLP existente vor fi îmbunătățite constant, ai căror analogi nu pot oferi același nivel de protecție.

De exemplu, prin intermediul sistemelor integrate complexe, se va determina compatibilitatea diferitelor componente ale unui sistem „patch” între ele. Acest lucru va facilita o schimbare ușoară a setărilor pentru rețele la scară largă de stații client din organizații și, în același timp, absența dificultăților în transferul de date de către componentele unui singur sistem integrat între ele. Dezvoltatorii de sisteme integrate sporesc specificul sarcinilor care vizează asigurarea securității informațiilor. Niciun canal nu ar trebui lăsat necontrolat, deoarece este posibil să apară scurgeri de informații prin intermediul acestuia.

Ce se va întâmpla în viitorul apropiat?

Producătorii occidentali care încercau să ocupe piața sistemelor DLP din țările CSI au avut de înfruntat probleme legate de suportul limbilor naționale. Sunt interesați destul de activ de piața noastră, așa că se străduiesc să susțină limba rusă.

În spațiul DLP, există o schimbare către o structură modulară. Clientului i se va oferi posibilitatea de a selecta independent componentele sistemului cerute de el. De asemenea, dezvoltarea și implementarea sistemelor DLP depinde de specificul industriei. Cel mai probabil, vor exista versiuni speciale ale sistemelor cunoscute, a căror adaptare va fi subordonată activității în sectorul bancar sau agențiile guvernamentale. Aici vor fi luate în considerare solicitările relevante ale unor organizații specifice.

Securitatea corporativă

Utilizarea laptopurilor în mediul corporativ are un impact direct asupra direcției de dezvoltare a sistemelor DLP. Acest tip de laptop are mult mai multe vulnerabilități, ceea ce necesită întărirea protecției. Datorită specificului laptopurilor (posibilitatea de a sustrage informații și dispozitivul în sine), producătorii de sisteme DLP dezvoltă noi abordări pentru asigurarea securității computerelor laptop.

(Prevenirea pierderilor de date)

Sisteme de control al utilizatorilor, un sistem pentru protejarea datelor confidențiale de amenințările interne.

Sistemele DLP sunt utilizate pentru detectarea și prevenirea transmiterii datelor confidențiale în diferite etape. (la mișcare, utilizare și depozitare). Sistemul DLP permite:

    Controlați munca utilizatorilor, prevenind pierderea necontrolată a timpului de lucru în scopuri personale.

    În mod automat, invizibil pentru utilizator, înregistrați toate activitățile, inclusiv mesajele de e-mail trimise și primite, sistemele de chat și mesagerie instantanee, rețelele sociale, site-urile web vizitate, datele tastate, fișierele transmise, tastate și salvate etc.

    Monitorizați utilizarea jocurilor pe computer la locul de muncă și urmăriți timpul petrecut jucând jocuri pe computer.

    Controlați activitatea în rețea a utilizatorilor, luați în considerare volumul traficului din rețea

    Controlați copierea documentelor pe diverse medii (medii amovibile, hard disk, foldere de rețea etc.)

    Controlați imprimarea în rețea a unui utilizator

    Remediați interogările utilizatorilor către motoarele de căutare etc.

    Data-in-motion - date în mișcare - e-mailuri, trafic web, fișiere etc.

    Data-in-rest - date stocate - informații despre stații de lucru, servere de fișiere, dispozitive USB etc.

    Date-in-use - informații în curs de prelucrare în acest moment.

Arhitectura soluțiilor DLP de la diferiți dezvoltatori poate diferi, dar, în general, există 3 tendințe principale:

    Interceptoare și controlere pentru diferite canale de comunicație. Interceptorii analizează fluxurile de informații care trec din perimetrul companiei, detectează date confidențiale, clasifică informații și le transmit serverului de control pentru procesarea unui eventual incident. Pentru a detecta datele stocate, controlorii încep procesele de detectare a informațiilor confidențiale în resursele rețelei. Controlerele pentru operațiuni la stațiile de lucru distribuie politici de securitate către dispozitivele finale (calculatoare), analizează rezultatele activităților angajaților cu informații confidențiale și transmit datele unui posibil incident către serverul de control.

    Programe agent instalate pe dispozitivele terminale: observați datele confidențiale în procesare și monitorizați respectarea unor reguli precum salvarea pe suport amovibil, trimiterea, imprimarea, copierea prin clipboard.

    Server de control central – compară informațiile primite de la interceptori și controlori și oferă o interfață pentru procesarea incidentelor și generarea de rapoarte.

Soluțiile DLP oferă o gamă largă de metode combinate de descoperire a informațiilor:

    Imprimări digitale ale documentelor și părților acestora

    Imprimări digitale ale bazelor de date și ale altor informații structurate care sunt importante de protejat împotriva difuzării

    Metode statistice (creșterea sensibilității sistemului în caz de repetare a încălcărilor).

Când se operează sisteme DLP, mai multe proceduri sunt efectuate ciclic:

    Predarea sistemului la principiile clasificării informațiilor.

    Introducerea regulilor de răspuns în raport cu categoria de informații detectate și grupurile de angajați ale căror acțiuni ar trebui monitorizate. Sunt alocați utilizatori de încredere.

    Sistemul DLP efectuează operațiuni de control (sistemul analizează și normalizează informațiile, compară cu principiile de detectare și clasificare a datelor, iar atunci când sunt detectate informații confidențiale, sistemul compară cu politicile existente atribuite categoriei de informații detectate și, dacă este necesar, creează un incident)

    Gestionarea incidentelor (de exemplu, informarea, suspendarea sau blocarea unei trimiteri).

Caracteristici de creare și operare a unui VPN din punct de vedere al securității

Opțiuni de construire VPN:

    Bazat pe sisteme de operare în rețea

    Bazat pe router

    Bazat pe ITU

    Bazat pe software și hardware specializat

    Bazat pe software specializat

Pentru ca un VPN să funcționeze corect și în siguranță, trebuie să înțelegeți elementele de bază ale modului în care VPN și firewall-urile interacționează:

    VPN-urile sunt capabile să creeze tuneluri de legătură end-to-end care trec prin perimetrul rețelei și, prin urmare, sunt extrem de problematice în ceea ce privește controlul accesului de la firewall, care are dificultăți în analiza traficului criptat.

    Datorită capacităților sale de criptare, VPN-urile pot fi folosite pentru a ocoli sistemele IDS care nu pot detecta intruziunile din canalele de comunicații criptate.

    În funcție de arhitectura rețelei, este posibil ca caracteristica de traducere critică a adresei de rețea (NAT) să nu fie compatibilă cu unele implementări VPN etc.

În esență, atunci când decide dacă să implementeze componente VPN în arhitectura rețelei, administratorul poate fie să aleagă VPN-ul ca dispozitiv extern autonom, fie să aleagă să integreze VPN-ul în ITU pentru a oferi ambele funcții ale aceluiași sistem.

    ITU + VPN autonom. Opțiuni de găzduire VPN:

    1. În interiorul zonei demilitarizate, între ITU și routerul de frontieră

      În interiorul rețelei clientului pe adaptoarele de rețea ITU

      În interiorul unei rețele ecranate, în spatele ITU

      În paralel cu ITU, la punctul de intrare în rețeaua clientului.

    ITU + VPN găzduit ca o singură unitate - această soluție integrată este mai ușor de întreținut decât opțiunea anterioară, nu pune probleme asociate cu NAT (traducere adrese de rețea) și oferă un acces mai fiabil la date, care este responsabilitatea ITU. Dezavantajul unei soluții integrate este costul inițial ridicat al achiziționării unui astfel de instrument, precum și opțiunile limitate de optimizare pentru componentele VPN și Brandwall corespunzătoare (adică cele mai satisfăcătoare implementări ITU ar putea să nu fie potrivite pentru construirea de componente VPN pe lor. VPN poate avea un impact semnificativ asupra performanței rețelei, iar latența poate apărea în următoarele etape:

    1. Când se stabilește o conexiune securizată între dispozitivele VPN (autentificare, schimb de chei etc.)

      Întârzieri asociate cu criptarea și decriptarea datelor protejate, precum și transformările necesare pentru a controla integritatea acestora

      Întârzieri asociate cu adăugarea unui nou antet la pachetele transmise

Securitate e-mail

Protocoale de bază de e-mail: (E) SMTP, POP, IMAP.

SMTP - protocol simplu de transfer de e-mail, portul TCP 25, fără autentificare. SMTP extins - autentificare client adăugată.

POP - Post Office Protocol 3 - primirea mail de la server. Autentificare clară a textului. APOP - Autentificat.

IMAP - Internet Message Access Protocol - este un protocol de e-mail necriptat care combină proprietățile POP3 și IMAP. Vă permite să lucrați direct cu căsuța poștală, fără a fi nevoie să descărcați scrisori pe computer.

Din cauza lipsei oricăror mijloace normale de criptare a informațiilor, au decis să folosească SSL pentru a cripta datele acestor protocoale. De aici au apărut următoarele soiuri:

POP3 SSL - portul 995, SMTP SSL (SMTPS) portul 465, IMAP SSL (IMAPS) - portul 993, toate TCP.

Un atacator care utilizează un sistem de e-mail poate urmări următoarele obiective:

    Atacarea computerului unui utilizator prin trimiterea de viruși de e-mail, trimiterea de scrisori false (falsificarea adresei expeditorului în SMTP este o sarcină banală), citirea scrisorilor altora.

    Atacul asupra unui server de e-mail prin e-mail cu scopul de a infiltra sistemul de operare al acestuia sau de a refuza serviciul

    Utilizarea serverului de e-mail ca releu atunci când trimiteți mesaje nesolicitate (spam)

    Interceptarea parolelor:

    1. Interceptarea parolelor în sesiunile POP și IMAP, în urma căreia un atacator poate primi și șterge e-mail fără știrea utilizatorului

      Interceptarea parolelor în sesiunile SMTP - în urma căreia un atacator poate fi autorizat ilegal să trimită e-mail prin acest server

Pentru a rezolva problemele de securitate cu protocoalele POP, IMAP și SMTP, cel mai des folosit protocol este SSL, care vă permite să criptați întreaga sesiune de comunicare. Dezavantaj - SSL este un protocol care consumă mult resurse care poate încetini semnificativ comunicarea.

Spam și combaterea acestuia

Tipuri de spam fraudulos:

    Loterie - notificare entuziastă a câștigurilor la loterie la care destinatarul mesajului nu a participat. Tot ce trebuie să faceți este să vizitați site-ul web corespunzător și să introduceți acolo numărul de cont și PIN-ul cardului, care se presupune că sunt necesare pentru a plăti serviciile de livrare.

    Licitații - acest tip de înșelăciune constă în absența bunurilor care sunt vândute de escroci. Dupa plata, clientul nu primeste nimic.

    Phishingul este o scrisoare care conține un link către o resursă în care doresc să furnizezi date etc. Înșelarea datelor personale și confidențiale de la utilizatori creduli sau neatenți. Escrocii trimit o mulțime de scrisori, deghizate de obicei în scrisori oficiale ale diferitelor instituții, care conțin link-uri care duc la site-uri capcane care copiază vizual site-urile băncilor, magazinelor și altor organizații.

    Escrocheria poștală este recrutarea de personal pentru o anumită companie, care ar avea nevoie de un reprezentant în orice țară, capabil să se ocupe de trimiterea de bunuri sau de transferul de bani către o companie străină. De regulă, schemele de spălare a banilor sunt ascunse aici.

    Scrisori nigeriene - cerând o sumă mică înainte de a primi bani.

    Scrisori de fericire

Spamul poate fi masiv sau vizat.

Spam-ul în masă nu are ținte specifice și folosește tehnici frauduloase de inginerie socială împotriva multor oameni.

Spam-ul vizat este o tehnică care vizează o anumită persoană sau organizație în care atacatorul acționează în numele directorului, administratorului sau altui angajat al organizației în care lucrează victima sau atacatorul reprezintă o companie cu care organizația țintă are un relație de încredere.

Colectarea adreselor se realizează prin alegerea dintre dicționare de nume proprii, cuvinte frumoase, o combinație frecventă de cuvânt-număr, prin analogie, scanarea tuturor surselor de informații disponibile (chat-uri, forumuri etc.), furtul unei baze de date etc. .

Adresele primite sunt verificate (verificați dacă sunt valide) printr-o trimitere de probă a unui mesaj, prin plasarea în textul mesajului a unui link unic către o poză cu contor de descărcare sau a unui link „dezabonare de la mesajele spam”.

În viitor, spam-ul este trimis fie direct de pe serverele închiriate, fie de la servicii de poștă legală configurate eronat, fie prin instalarea în secret de software rău intenționat pe computerul utilizatorului.

Un atacator complică munca filtrelor anti-spam prin introducerea de texte aleatorii, zgomot sau texte invizibile, folosind litere de imagine sau schimbarea litere de imagine, imagini fragmentate, inclusiv utilizarea animației, prefrazarea textului.

Metode anti-spam

Există 2 metode principale de filtrare a spamului:

    Filtrarea după caracteristicile formale ale unui mesaj e-mail

    Filtrați după conținut

    Metoda formală

    1. Fragmentare pe liste: negru, alb și gri. Greylisting este o metodă de blocare temporară a mesajelor cu combinații necunoscute de adresa de e-mail și adresa IP a serverului de trimitere. Când prima încercare se termină cu un refuz temporar (de regulă, programele de spammer nu retrimit scrisoarea). Dezavantajul acestei metode este posibilul interval de timp lung între trimiterea și primirea unui mesaj legal.

      Verificarea dacă scrisoarea a fost trimisă de pe un server de mail real sau fals (fals) din domeniul specificat în mesaj.

      „Callback” - la primirea unei conexiuni de intrare, serverul de primire suspendă sesiunea și simulează o sesiune de lucru cu serverul expeditor. Dacă încercarea nu reușește, conexiunea suspendată se încheie fără procesare ulterioară.

      Filtrarea după semnele formale ale unei scrisori: adresele expeditorului și destinatarului, dimensiunea, prezența și numărul de atașamente, adresa ip a expeditorului etc.

    Metode lingvistice - Lucrul cu conținutul scrisorii

    1. Recunoașterea după conținutul scrisorii - verifică prezența semnelor de conținut spam în scrisoare: un anumit set și distribuție de fraze specifice în scrisoare.

      Recunoaștere prin litere eșantion (metodă de filtrare a semnăturilor care include semnături grafice)

      Filtrare bayesiană - filtrare strict după cuvinte. La verificarea unei scrisori primite, probabilitatea ca aceasta să fie spam este calculată pe baza procesării textului, care include calcularea „greutății” medii a tuturor cuvintelor din această scrisoare. O scrisoare este clasificată ca spam sau nu spam în funcție de greutatea acesteia depășește o anumită bară specificată de utilizator. După luarea unei decizii cu privire la scrisoare, „greutățile” pentru cuvintele incluse în aceasta sunt actualizate în baza de date.

Autentificare în sisteme informatice

Procesele de autentificare pot fi împărțite în următoarele categorii:

    Dar pe baza știrii a ceva (PIN, parolă)

    Bazat pe deținerea a ceva (card inteligent, dongle USB)

    Nu se bazează pe caracteristici inerente (caracteristici biometrice)

Tipuri de autentificare:

    Autentificare simplă folosind parole

    Autentificare puternică bazată pe utilizarea verificărilor multifactoriale și a metodelor criptografice

    Autentificare biometrică

Principalele atacuri asupra protocoalelor de autentificare sunt:

    „Masquerade” - atunci când un utilizator încearcă să se uzurpea identitatea altui utilizator

    Retransmitere - atunci când o parolă interceptată este trimisă în numele altui utilizator

    Întârziere forțată

Pentru a preveni astfel de atacuri, se folosesc următoarele tehnici:

    Mecanisme de cerere-răspuns, marcaje temporale, numere aleatorii, semnături digitale etc.

    Conectarea rezultatului autentificării cu acțiunile ulterioare ale utilizatorilor în cadrul sistemului.

    Executarea periodică a procedurilor de autentificare în cadrul unei sesiuni de comunicare deja stabilite.

    Autentificare simplă

    1. Autentificare bazată pe parolă reutilizabilă

      Autentificare unică bazată pe parolă - OTP (o singură parolă) - parolele unice sunt valabile pentru o singură autentificare și pot fi generate folosind un simbol OTP. Pentru aceasta se folosește cheia secretă a utilizatorului, care se află atât în ​​interiorul jetonului OTP, cât și pe serverul de autentificare.

    În cursul autentificării puternice, probatorul își dovedește identitatea părții care se bazează, demonstrând cunoașterea unui secret. S-a întâmplat:

    1. Unilateral

      Cu două fețe

      Tripartit

Poate fi bazat pe carduri inteligente sau chei USB sau criptografie.

Autentificarea puternică poate fi implementată printr-un proces de verificare cu doi și trei factori.

În cazul autentificării în doi factori, utilizatorul trebuie să dovedească că cunoaște parola sau codul pin și că are un identificator personal specific (smart card sau cheie usb).

Autentificarea în trei factori implică faptul că utilizatorul prezintă un alt tip de date de identificare, de exemplu, datele biometrice.

Autentificarea puternică folosind protocoale criptografice se poate baza pe criptarea simetrică și asimetrică, precum și pe funcții hash. Dovatorul dovedește cunoașterea secretului, dar secretul în sine nu este dezvăluit. Parametrii unici (numere aleatorii, marcaje temporale și numere de succesiune) sunt utilizați pentru a evita transmiterea repetată, pentru a asigura unicitatea, neambiguitatea și garanțiile temporare ale mesajelor transmise.

Autentificare biometrică a utilizatorului

Cele mai frecvent utilizate caracteristici biometrice sunt:

    Amprentele digitale

    Desenul venelor

    Geometria mâinii

    Iris

    Geometria feței

    Combinații ale celor de mai sus

Controlul accesului Single Sign-On (SSO).

SSO permite unui utilizator de rețea corporativă să treacă o singură autentificare atunci când se conectează la rețea, furnizând o singură parolă sau alt autentificator necesar și apoi, fără autentificare suplimentară, să obțină acces la toate resursele de rețea autorizate care sunt necesare pentru a face treaba. Instrumentele de autentificare digitală, cum ar fi jetoanele, certificatele digitale PKI, cardurile inteligente și dispozitivele biometrice sunt utilizate pe scară largă. Exemple: Kerberos, PKI, SSL.

Răspunsul la incident de securitate a informațiilor

Dintre sarcinile cu care se confruntă orice sistem de management al securității informațiilor, se pot distinge două dintre cele mai semnificative:

    Prevenirea incidentelor

    În cazul apariției acestora, un răspuns corect și în timp util

Prima sarcină în majoritatea cazurilor se bazează pe achiziționarea unei varietăți de instrumente de securitate a informațiilor.

A doua sarcină depinde de gradul de pregătire al companiei pentru astfel de evenimente:

        Disponibilitatea unei echipe de răspuns la incidente IS pregătite, cu roluri și responsabilități deja prestabilite.

        Disponibilitatea unei documentații bine gândite și interdependente privind procedura de gestionare a incidentelor de securitate a informațiilor, în special, implementarea răspunsului și investigarea incidentelor identificate.

        Disponibilitatea resurselor pregătite pentru nevoile echipei de răspuns (comunicații,..., sigure)

        Disponibilitatea unei baze de cunoștințe actualizate cu privire la incidentele de securitate a informațiilor care au avut loc

        Nivel ridicat de conștientizare a utilizatorilor în domeniul securității informațiilor

        Calificarea și coordonarea echipei de răspuns

Procesul de management al incidentelor de securitate a informațiilor constă din următoarele etape:

    Pregătire - prevenirea incidentelor, pregătirea echipei de răspuns, elaborarea politicilor și procedurilor etc.

    Descoperire - notificare de securitate, notificare utilizator, analiză jurnal de securitate.

    Analiză - Confirmarea faptului că a avut loc un incident, colectarea informațiilor disponibile despre incident, identificarea activelor afectate și clasificarea incidentului în funcție de siguranță și prioritate.

    Răspuns - oprirea incidentului și colectarea probelor, luarea de măsuri pentru oprirea incidentului și păstrarea informațiilor bazate pe dovezi, colectarea informațiilor bazate pe dovezi, interacțiunea cu departamentele interne, partenerii și părțile afectate, precum și implicarea organizațiilor de experți externi.

    Investigare - investigarea circumstanțelor incidentelor de securitate a informațiilor, implicarea organizațiilor de experți externi și interacțiunea cu toate părțile afectate, precum și cu agențiile de aplicare a legii și instanțele de judecată.

    Recuperare - luarea de măsuri pentru închiderea vulnerabilităților care au dus la producerea incidentului, eliminarea consecințelor incidentului, restabilirea operabilității serviciilor și sistemelor afectate. Înregistrarea avizului de asigurare.

    Analiza eficienței și modernizarea - analiza incidentului, analiza eficacității și modernizarea procesului de investigare a incidentelor de securitate a informațiilor și a documentelor aferente, instrucțiuni private. Formarea unui raport privind investigația și necesitatea modernizării sistemului de protecție a managementului, colectarea informațiilor despre incident, adăugarea acestora la baza de cunoștințe și stocarea datelor incidentului.

Un sistem eficient de management al incidentelor de securitate a informațiilor are următoarele obiective:

    Asigurarea semnificației juridice a informațiilor probatorii colectate privind incidentele de securitate a informațiilor

    Asigurarea oportunității și corectitudinii acțiunilor pentru răspunsul și investigarea incidentelor de securitate a informațiilor

    Asigurarea capacității de a identifica circumstanțele și cauzele incidentelor de securitate a informațiilor în vederea modernizării în continuare a sistemului de securitate a informațiilor

    Furnizarea de investigații și suport juridic al incidentelor interne și externe de securitate a informațiilor

    Asigurarea posibilității de urmărire penală a intrușilor și aducerea acestora în fața justiției în condițiile prevăzute de lege

    Asigurarea posibilității de despăgubire a prejudiciului cauzat de un incident de securitate a informațiilor în conformitate cu legislația

Sistemul de management al incidentelor de securitate a informațiilor interacționează în general și se integrează cu următoarele sisteme și procese:

    Managementul securității informațiilor

    Managementul riscurilor

    Asigurarea continuitatii afacerii

Integrarea se exprimă în consistența documentării și a formalizării ordinii de interacțiune între procese (informații de intrare, de ieșire și condiții de tranziție).

Procesul de gestionare a incidentelor de securitate a informațiilor este destul de complex și voluminos. Necesită acumularea, procesarea și stocarea unei cantități uriașe de informații, precum și executarea multor sarcini paralele, prin urmare, există multe instrumente pe piață care vă permit să automatizați anumite sarcini, de exemplu așa-numitul SIEM sisteme (informații de securitate și managementul evenimentelor).

Chief Information Officer (CIO) - Director de Tehnologia Informației

Chief Information Security Officer (CISO) - Șef Departament Securitate Informațională, Director Securitate Informațională

Sarcina principală a sistemelor SIEM nu este doar de a colecta evenimente din diferite surse, ci de a automatiza procesul de detectare a incidentelor cu documentație în propriul jurnal sau sistem extern, precum și de a informa despre eveniment în timp util. Sistemul SIEM are următoarele sarcini:

    Consolidarea și stocarea jurnalelor de evenimente din diverse surse - dispozitive de rețea, aplicații, jurnalele OS, instrumente de securitate

    Prezentarea instrumentelor pentru analiza evenimentelor și analiza incidentelor

    Corelarea si prelucrarea dupa regulile evenimentelor survenite

    Notificare automată și gestionarea incidentelor

Sistemele SIEM sunt capabile să detecteze:

    Atacurile de rețea în perimetrele interne și externe

    Focare de viruși sau infecții virale individuale, viruși care nu au fost eliminați, uși din spate și troieni

    Încercări de acces neautorizat la informații confidențiale

    Erori și eșecuri în activitatea IS

    Vulnerabilități

    Erori în sistemele de configurare, protecție și informații.

Principalele surse ale SIEM

    Date de control acces și autentificare

    Jurnalele de evenimente ale serverului și stației de lucru

    Echipamente active în rețea

  1. Protecție antivirus

    Scanere de vulnerabilitate

    Sisteme de contabilizare a riscurilor, criticitatea amenințărilor și prioritizarea incidentelor

    Alte sisteme de protecție și control al politicilor de securitate a informațiilor:

    1. sisteme DLP

      Dispozitive de control acces etc.

    2. Sisteme de inventariere

    Sisteme de contabilitate a traficului

Cele mai cunoscute sisteme SIEM:

QRadar SIEM (IBM)

TOVARĂD (NPO ECHELON CJSC)

28.01.2014 Serghei Korablev

Alegerea oricărui produs de calitate pentru întreprinderi nu este o sarcină banală pentru tehnicieni și factorii de decizie. Alegerea unui sistem de protecție a scurgerilor de date (DLP) este și mai dificilă. Lipsa unui singur sistem conceptual, studiile comparative independente regulate și complexitatea produselor în sine îi obligă pe consumatori să comande proiecte-pilot de la producători și să efectueze în mod independent numeroase teste, determinând gama propriilor nevoi și corelându-le cu capacitățile sistemelor care sunt testat.

Această abordare este cu siguranță corectă. O decizie echilibrată și, în unele cazuri, chiar câștigată cu greu, simplifică implementarea ulterioară și evită dezamăgirea în funcționarea unui anumit produs. Cu toate acestea, procesul de luare a deciziilor în acest caz poate fi amânat, dacă nu cu ani, atunci cu multe luni. În plus, expansiunea constantă a pieței, apariția de noi soluții și producători complică și mai mult sarcina de a alege nu numai un produs pentru implementare, ci și de a crea o listă scurtă preliminară de sisteme DLP adecvate. În astfel de condiții, revizuirile actuale ale sistemelor DLP sunt de o valoare practică fără îndoială pentru specialiștii tehnici. Ar trebui să includeți o soluție specifică pe lista de teste sau ar fi prea complex de implementat într-o organizație mică? Soluția poate fi scalată la o companie de 10 mii de angajați? Poate un sistem DLP să gestioneze fișierele CAD critice pentru afaceri? O comparație deschisă nu este un substitut pentru testarea riguroasă, dar va ajuta să răspundă la întrebările de bază care apar în etapa inițială a selecției DLP.

Participanții

Cele mai populare (conform centrului analitic Anti-Malware.ru de la jumătatea anului 2013) de pe piața rusă de securitate a informațiilor sisteme DLP de la InfoWatch, McAfee, Symantec, Websense, Zecurion și Jet Infosystems au fost selectate ca participanți.

Pentru analiză, am folosit versiunile disponibile comercial ale sistemelor DLP la momentul revizuirii, precum și documentația și recenziile deschise ale produselor.

Criteriile de comparare a sistemelor DLP au fost selectate în funcție de nevoile companiilor de diferite dimensiuni și diferite industrii. Sarcina principală a sistemelor DLP este de a preveni scurgerea informațiilor confidențiale prin diverse canale.

Exemple de produse de la aceste companii sunt prezentate în figurile 1-6.
Figura 3. Produs Symantec

Imaginea 4. Produs al companiei InfoWatch

Figura 5. Produs Websense

Figura 6. Produs McAfee

Moduri de operare

Există două moduri principale de funcționare a sistemelor DLP - activ și pasiv. Activ este de obicei principalul mod de operare, în care acțiunile care încalcă politicile de securitate sunt blocate, de exemplu, trimiterea de informații confidențiale către o cutie poștală externă. Modul pasiv este folosit cel mai adesea în timpul fazei de configurare a sistemului pentru a verifica și ajusta setările atunci când rata de fals pozitive este mare. În acest caz, încălcările politicii sunt înregistrate, dar nu sunt impuse restricții privind circulația informațiilor (Tabelul 1).

Sub acest aspect, toate sistemele luate în considerare s-au dovedit a fi echivalente. Fiecare DLP poate funcționa atât în ​​modul activ, cât și în modul pasiv, ceea ce oferă clientului o anumită libertate. Nu toate companiile sunt pregătite să înceapă să opereze DLP imediat în modul de blocare - acest lucru este plin de întreruperi ale proceselor de afaceri, nemulțumiri din partea angajaților departamentelor controlate și reclamații (inclusiv cele justificate) din partea conducerii.

Tehnologii

Tehnologiile de detectare fac posibilă clasificarea informațiilor care sunt transmise prin canale electronice și dezvăluirea informațiilor confidențiale. Astăzi există mai multe tehnologii de bază și varietățile lor, care sunt similare în esență, dar diferite în implementare. Fiecare dintre tehnologii are atât avantaje, cât și dezavantaje. În plus, diferite tipuri de tehnologii sunt potrivite pentru analiza informațiilor din diferite clase. Prin urmare, producătorii de soluții DLP încearcă să integreze un număr maxim de tehnologii în produsele lor (vezi tabelul 2).

În general, produsele oferă un număr mare de tehnologii care permit, dacă sunt configurate corespunzător, să ofere un procent ridicat de recunoaștere a informațiilor confidențiale. DLP McAfee, Symantec și Websense sunt destul de prost adaptate pentru piața rusă și nu pot oferi utilizatorilor suport pentru tehnologiile „lingvistice” - morfologie, transliterare și analiză de text mascat.

Canale controlate

Fiecare canal de transmisie a datelor este un canal potențial de scurgere. Chiar și un canal deschis poate anula toate eforturile serviciului de securitate a informațiilor care controlează fluxurile de informații. De aceea este atât de important să blocăm canalele care nu sunt folosite de angajați pentru muncă și să le controlăm pe cele rămase folosind sisteme de prevenire a scurgerilor.

În ciuda faptului că cele mai bune sisteme DLP moderne sunt capabile să controleze un număr mare de canale de rețea (vezi Tabelul 3), este recomandabil să blocați canalele inutile. De exemplu, dacă un angajat lucrează pe un computer doar cu o bază de date internă, este logic să-i dezactivezi complet accesul la Internet.

Concluzii similare sunt valabile pentru canalele locale de scurgere. Adevărat, în acest caz, poate fi mai dificil să blocați canalele individuale, deoarece porturile sunt adesea folosite pentru a conecta periferice, dispozitive I/O etc.

Criptarea joacă un rol special în prevenirea scurgerilor prin porturi locale, unități mobile și dispozitive. Instrumentele de criptare sunt suficient de simple pentru a fi operate, utilizarea lor poate fi transparentă pentru utilizator. Dar, în același timp, criptarea elimină o întreagă clasă de scurgeri asociate cu accesul neautorizat la informații și pierderea unităților mobile.

Situația cu controlul agenților locali este în general mai proastă decât în ​​cazul canalelor de rețea (vezi Tabelul 4). Doar dispozitivele USB și imprimantele locale sunt monitorizate cu succes de toate produsele. De asemenea, în ciuda importanței criptării menționate mai sus, această caracteristică este prezentă doar în anumite produse, iar funcția de criptare forțată bazată pe analiza de conținut este prezentă doar în Zecurion DLP.

Pentru a preveni scurgerile, este important nu numai să recunoașteți datele confidențiale în timpul transmiterii, ci și să restricționați difuzarea informațiilor în mediul corporativ. Pentru a face acest lucru, producătorii includ instrumente în sistemele DLP care pot identifica și clasifica informațiile stocate pe serverele și stațiile de lucru din rețea (vezi Tabelul 5). Datele care încalcă politicile de securitate a informațiilor ar trebui șterse sau mutate într-un spațiu de stocare securizat.

Pentru identificarea informațiilor confidențiale la nodurile rețelei corporative se folosesc aceleași tehnologii ca și pentru monitorizarea scurgerilor prin canale electronice. Principala diferență este arhitecturală. Dacă traficul de rețea sau operațiunile de fișiere sunt analizate pentru a preveni scurgerile, atunci informațiile stocate sunt examinate pentru a detecta copiile neautorizate ale datelor confidențiale - conținutul stațiilor de lucru și al serverelor de rețea.

Dintre sistemele DLP luate în considerare, doar InfoWatch și Dozor-Jet ignoră utilizarea mijloacelor de identificare a locațiilor de stocare a informațiilor. Aceasta nu este o caracteristică critică pentru prevenirea scurgerilor electronice, dar limitează sever capacitatea sistemelor DLP de a preveni în mod proactiv scurgerile. De exemplu, atunci când un document confidențial este localizat în rețeaua corporativă, aceasta nu este o scurgere de informații. Totuși, dacă locația de stocare a acestui document nu este reglementată, dacă deținătorii de informații și ofițerii de securitate nu știu despre locația acestui document, acest lucru poate duce la o scurgere. Accesul neautorizat la informații este posibil sau regulile de securitate corespunzătoare nu vor fi aplicate documentului.

Ușurință de gestionare

Caracteristici precum utilitatea și controlul pot fi la fel de importante ca și capacitățile tehnice ale soluțiilor. La urma urmei, un produs cu adevărat complex va fi dificil de implementat, proiectul va necesita mai mult timp, efort și, în consecință, finanțare. Un sistem DLP deja implementat necesită atenția specialiștilor tehnici. Fără întreținere adecvată, audituri regulate și ajustări ale setărilor, calitatea recunoașterii informațiilor confidențiale va scădea dramatic în timp.

Interfața de control în limba maternă pentru ofițerul de securitate este primul pas pentru a simplifica lucrul cu sistemul DLP. Nu numai că va face mai ușor de înțeles de ce este responsabilă această sau acea setare, dar va accelera semnificativ procesul de configurare a unui număr mare de parametri care trebuie configurați pentru ca sistemul să funcționeze corect. Engleza poate fi utilă chiar și pentru administratorii vorbitori de limbă rusă pentru interpretarea fără ambiguitate a conceptelor tehnice specifice (vezi tabelul 6).

Majoritatea soluțiilor asigură o gestionare destul de convenabilă de la o singură consolă (pentru toate componentele) cu o interfață web (vezi Tabelul 7). Singurele excepții sunt Russian InfoWatch (fără o singură consolă) și Zecurion (fără interfață web). În același timp, ambii producători au anunțat deja apariția unei console web în viitoarele lor produse. Lipsa unei singure console la InfoWatch se datorează bazei tehnologice diferite a produselor. Dezvoltarea propriei soluții de agent a fost întreruptă de câțiva ani, iar actualul EndPoint Security este succesorul produsului terț EgoSecure (cunoscut anterior ca cynapspro), pe care compania l-a achiziționat în 2012.

Un alt punct care poate fi atribuit dezavantajelor soluției InfoWatch este că pentru a configura și gestiona produsul emblematic DLP InfoWatch TrafficMonitor este necesară cunoașterea limbajului special de scripting LUA, ceea ce complică funcționarea sistemului. Cu toate acestea, pentru majoritatea specialiștilor tehnici, perspectiva de a-și ridica propriul nivel profesional și de a învăța un limbaj suplimentar, deși nu foarte popular, ar trebui să fie percepută pozitiv.

Separarea rolurilor de administrator de sistem este necesară pentru a minimiza riscurile de a preveni apariția unui superutilizator cu drepturi nerestricționate și alte șmecherii care utilizează DLP.

Înregistrare și raportare

Arhiva DLP este o bază de date care acumulează și stochează evenimente și obiecte (fișiere, scrisori, solicitări http etc.) înregistrate de senzorii sistemului în timpul funcționării acestuia. Informațiile colectate în baza de date pot fi utilizate în diverse scopuri, inclusiv pentru analizarea acțiunilor utilizatorului, pentru salvarea de copii ale documentelor critice, ca bază pentru investigarea incidentelor de securitate a informațiilor. În plus, baza de date a tuturor evenimentelor este extrem de utilă în etapa de implementare a unui sistem DLP, deoarece ajută la analizarea comportamentului componentelor sistemului DLP (de exemplu, pentru a afla de ce anumite operațiuni sunt blocate) și la ajustarea setărilor de securitate ( vezi Tabelul 8).

În acest caz, vedem o diferență arhitecturală fundamentală între DLP-urile rusești și cele occidentale. Aceștia din urmă nu păstrează deloc o arhivă. În acest caz, DLP-ul în sine devine mai simplu pentru întreținere (nu este nevoie de întreținere, stocare, rezervare și studiere a unei cantități uriașe de date), dar nu și pentru funcționare. La urma urmei, arhiva de evenimente ajută la configurarea sistemului. Arhiva ajută la înțelegerea de ce a fost blocat transferul de informații, pentru a verifica dacă regula a funcționat corect, pentru a face corecțiile necesare în setările sistemului. De asemenea, trebuie remarcat faptul că sistemele DLP au nevoie nu numai de reglarea inițială în timpul implementării, ci și de „ajustarea” regulată în timpul funcționării. Un sistem care nu este întreținut corespunzător, nu este ridicat de specialiști tehnici, va pierde foarte mult în calitatea recunoașterii informațiilor. Ca urmare, atât numărul de incidente, cât și numărul de fals pozitive vor crește.

Raportarea este o parte importantă a oricărei activități. Securitatea informațiilor nu face excepție. Rapoartele din sistemele DLP îndeplinesc mai multe funcții simultan. În primul rând, rapoartele concise și ușor de înțeles permit managerilor serviciilor de securitate a informațiilor să monitorizeze rapid starea securității informațiilor fără a intra în detalii. În al doilea rând, rapoartele detaliate îi ajută pe ofițerii de securitate să ajusteze politicile de securitate și setările sistemului. În al treilea rând, rapoartele vizuale pot fi întotdeauna prezentate managerilor de top ai companiei pentru a demonstra rezultatele sistemului DLP și specialiștilor în securitatea informațiilor înșiși (a se vedea Tabelul 9).

Aproape toate soluțiile concurente analizate în recenzie oferă atât grafice, convenabile pentru managerii de top și managerii de securitate a informațiilor, cât și tabelare, mai potrivite pentru specialiștii tehnici, rapoarte. Rapoartele grafice lipsesc doar în DLP InfoWatch, pentru care ratingul a fost retrogradat.

Certificare

Problema necesității certificării pentru securitatea informațiilor și în special DLP este deschisă, iar experții discută adesea pe această temă în cadrul comunităților profesionale. Rezumând punctele de vedere ale părților, ar trebui să se recunoască faptul că certificarea în sine nu oferă avantaje competitive serioase. În același timp, există un anumit număr de clienți, în primul rând organizații de stat, pentru care prezența unuia sau altuia este obligatorie.

În plus, ordinul de certificare actual nu se potrivește bine cu ciclul de dezvoltare a software-ului. Drept urmare, consumatorii se confruntă cu o alegere: să cumpere o versiune învechită, dar certificată a produsului, sau o versiune actualizată, dar necertificată. Metoda standard de ieșire în această situație este achiziționarea unui produs certificat „la raft” și utilizarea noului produs într-un mediu real (vezi Tabelul 10).

Rezultatele comparației

Să rezumăm impresiile soluțiilor DLP considerate. În general, toți participanții au făcut o impresie favorabilă și pot fi folosiți pentru a preveni scurgerile de informații. Diferențele dintre produse fac posibilă concretizarea domeniului lor de aplicare.

Sistemul DLP InfoWatch poate fi recomandat organizațiilor pentru care este esențial important să dețină un certificat FSTEC. Cu toate acestea, ultima versiune certificată a InfoWatch Traffic Monitor a fost testată la sfârșitul anului 2010, iar certificatul expiră la sfârșitul anului 2013. Soluțiile de agenți bazate pe InfoWatch EndPoint Security (cunoscute și ca EgoSecure) sunt mai potrivite pentru întreprinderile mici și pot fi utilizate separat de Traffic Monitor. Utilizarea combinată a Traffic Monitor și EndPoint Security poate cauza probleme cu scalarea în condițiile companiilor mari.

Produsele producătorilor occidentali (McAfee, Symantec, Websense), potrivit agențiilor de analiză independente, sunt mult mai puțin populare decât cele rusești. Motivul este nivelul scăzut de localizare. Iar ideea nu este nici măcar complexitatea interfeței sau lipsa documentației în limba rusă. Caracteristicile tehnologiilor de recunoaștere a informațiilor confidențiale, șabloanele și regulile preconfigurate sunt „ascuțite” pentru utilizarea DLP în țările occidentale și vizează îndeplinirea cerințelor de reglementare occidentale. Drept urmare, calitatea recunoașterii informațiilor în Rusia se dovedește a fi semnificativ mai proastă, iar conformitatea cu cerințele standardelor străine este adesea irelevantă. În același timp, produsele în sine nu sunt deloc rele, dar specificul utilizării sistemelor DLP pe piața rusă cu greu le va permite să devină mai populare decât evoluțiile interne în viitorul apropiat.

Zecurion DLP se distinge prin scalabilitate bună (singurul sistem DLP rusesc cu o implementare confirmată pentru peste 10 mii de locuri de muncă) și maturitate tehnologică ridicată. Surprinzător este însă lipsa unei console web, care ar ajuta la simplificarea managementului unei soluții de întreprindere care vizează diferite segmente de piață. Punctele forte ale Zecurion DLP includ recunoașterea informațiilor confidențiale de înaltă calitate și o linie completă de produse de prevenire a scurgerilor, inclusiv protecția gateway-ului, stațiilor de lucru și serverelor, identificarea locației de stocare și instrumente de criptare a datelor.

Sistemul Dozor-Jet DLP, unul dintre pionierii pieței interne DLP, este larg răspândit în rândul companiilor ruse și continuă să-și crească baza de clienți datorită conexiunilor extinse ale Jet Infosystems, un integrator de sisteme și un dezvoltator DLP. Deși din punct de vedere tehnologic DLP rămâne în urmă față de omologii săi mai puternici, utilizarea sa poate fi justificată în multe companii. În plus, spre deosebire de soluțiile străine, „Dozor Jet” vă permite să păstrați o arhivă a tuturor evenimentelor și fișierelor.



Top articole similare

Cele mai bune programe pentru crearea muzicii de bază și electronice
Cele mai bune programe pentru crearea muzicii de bază și electronice
Structura generală a fișierelor teme
Structura generală a fișierelor teme
Principii de bază ale utilizării culorii în design web
Principii de bază ale utilizării culorii în design web
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.