Η επιλογή ενός συγκεκριμένου συστήματος DLP εξαρτάται από το απαιτούμενο επίπεδο ασφάλειας δεδομένων και επιλέγεται πάντα μεμονωμένα. Για βοήθεια στην επιλογή ενός συστήματος DLP και στον υπολογισμό του κόστους εφαρμογής του στην υποδομή πληροφορικής της εταιρείας, αφήστε ένα αίτημα και θα επικοινωνήσουμε μαζί σας το συντομότερο δυνατό.

Τι είναι ένα σύστημα DLP

Σύστημα DLP(Data Leak Prevention στα αγγλικά - μέσο αποτροπής διαρροής δεδομένων) είναι οι τεχνολογίες και τεχνικές συσκευές, που εμποδίζουν τη διαρροή εμπιστευτικών πληροφοριών από συστήματα πληροφοριών.

Τα συστήματα DLP αναλύουν τις ροές δεδομένων και ελέγχουν την κίνησή τους εντός μιας συγκεκριμένης περιμέτρου του πληροφοριακού συστήματος, το οποίο προστατεύεται. Αυτές μπορεί να είναι συνδέσεις ftp, εταιρική και διαδικτυακή αλληλογραφία, τοπικές συνδέσεις, καθώς και αποστολή άμεσων μηνυμάτων και δεδομένων στον εκτυπωτή. Σε περίπτωση μετατροπής εμπιστευτικών πληροφοριών στη ροή, ενεργοποιείται το στοιχείο του συστήματος, το οποίο εμποδίζει τη μετάδοση της ροής δεδομένων.

Με άλλα λόγια, Συστήματα DLPφυλάξτε εμπιστευτικά και στρατηγικά σημαντικά έγγραφα, η διαρροή των οποίων από τα συστήματα πληροφοριών προς τα έξω μπορεί να προκαλέσει ανεπανόρθωτη ζημιά στην εταιρεία, καθώς και παραβίαση των ομοσπονδιακών νόμων αριθ. Σχετικά με τα Προσωπικά Δεδομένα». Η προστασία των πληροφοριών από διαρροή αναφέρεται επίσης στο GOST. "ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών» - GOST R ISO/IEC 17799-2005.

Κατά κανόνα, η διαρροή εμπιστευτικών πληροφοριών μπορεί να πραγματοποιηθεί τόσο ως αποτέλεσμα πειρατείας και διείσδυσης, όσο και ως αποτέλεσμα απροσεξίας, αμέλειας των υπαλλήλων της επιχείρησης, καθώς και των προσπαθειών εμπιστευτικών πληροφοριών - σκόπιμη μεταφορά εμπιστευτικών πληροφοριών από υπαλλήλους της επιχείρησης. Επομένως, τα συστήματα DLP είναι οι πιο αξιόπιστες τεχνολογίες για προστασία από διαρροή εμπιστευτικών πληροφοριών - ανιχνεύουν προστατευμένες πληροφορίες ανά περιεχόμενο, ανεξάρτητα από τη γλώσσα, το σενάριο, τα κανάλια μετάδοσης και τη μορφή του εγγράφου.

Επίσης, Σύστημα DLPελέγχει απολύτως όλα τα κανάλια που χρησιμοποιούνται καθημερινά για τη μετάδοση πληροφοριών σε ηλεκτρονική μορφή. Οι ροές πληροφοριών επεξεργάζονται αυτόματα με βάση την καθιερωμένη πολιτική ασφάλειας. Εάν, ωστόσο, οι ενέργειες εμπιστευτικών πληροφοριών έρχονται σε αντίθεση με την πολιτική ασφαλείας που έχει θεσπίσει η εταιρεία, τότε η μεταφορά δεδομένων μπλοκάρεται. Ταυτόχρονα, το εξουσιοδοτημένο πρόσωπο της εταιρείας που είναι υπεύθυνο για την ασφάλεια πληροφοριών λαμβάνει ένα άμεσο μήνυμα με μια προειδοποίηση για απόπειρα μεταφοράς εμπιστευτικών πληροφοριών.

Εφαρμογή συστήματος DLP, πρώτα απ 'όλα, διασφαλίζει τη συμμόρφωση με μια σειρά από απαιτήσεις του προτύπου PCI DSS σχετικά με το επίπεδο ασφάλεια πληροφοριώνεπιχειρήσεις. Επίσης, τα συστήματα DLP ελέγχουν αυτόματα τις προστατευμένες πληροφορίες, ανάλογα με τη θέση τους και παρέχουν αυτοματοποιημένο έλεγχο, σύμφωνα με τους κανόνες μεταφοράς εμπιστευτικών πληροφοριών στην εταιρεία, επεξεργασίας και αποτροπής περιστατικών παράνομης αποκάλυψης μυστικών πληροφοριών. Το σύστημα πρόληψης διαρροής δεδομένων, βασισμένο σε αναφορές συμβάντων, παρακολουθεί το συνολικό επίπεδο των κινδύνων και επίσης, με τρόπους αναδρομικής ανάλυσης και άμεσης απόκρισης, ελέγχει τη διαρροή πληροφοριών.

Τα συστήματα DLP εγκαθίστανται τόσο σε μικρές όσο και σε μεγάλες επιχειρήσεις, αποτρέποντας τη διαρροή πληροφοριών, προστατεύοντας έτσι την εταιρεία από οικονομικούς και νομικούς κινδύνους που προκύπτουν όταν χάνονται ή μεταφέρονται σημαντικές εταιρικές ή εμπιστευτικές πληροφορίες.

Τα κανάλια διαρροής που οδηγούν στην αφαίρεση πληροφοριών εκτός του συστήματος πληροφοριών της εταιρείας μπορεί να είναι διαρροές δικτύου (για παράδειγμα, e-mail ή ICQ), τοπικά (χρήση εξωτερικών μονάδων USB), αποθηκευμένα δεδομένα (βάσεις δεδομένων). Ξεχωριστά, μπορείτε να επισημάνετε την απώλεια πολυμέσων (μνήμη flash, φορητός υπολογιστής). Ένα σύστημα μπορεί να αποδοθεί στην κλάση DLP εάν πληροί τα ακόλουθα κριτήρια: πολυκαναλικό (παρακολούθηση πολλών πιθανών καναλιών διαρροής δεδομένων). ενοποιημένη διαχείριση (ενοποιημένα εργαλεία διαχείρισης για όλα τα κανάλια παρακολούθησης). ενεργητική προστασία (συμμόρφωση με την πολιτική ασφαλείας). λαμβάνοντας υπόψη τόσο το περιεχόμενο όσο και το πλαίσιο.

Το ανταγωνιστικό πλεονέκτημα των περισσότερων συστημάτων είναι η ενότητα ανάλυσης. Οι κατασκευαστές τονίζουν τόσο πολύ αυτήν την ενότητα που συχνά ονομάζουν τα προϊόντα τους από αυτό, για παράδειγμα, «Λύση DLP με βάση την ετικέτα». Επομένως, ο χρήστης συχνά επιλέγει λύσεις που δεν βασίζονται στην απόδοση, την επεκτασιμότητα ή άλλα κριτήρια που είναι παραδοσιακά για την αγορά εταιρικής ασφάλειας πληροφοριών, αλλά με βάση τον τύπο της ανάλυσης εγγράφων που χρησιμοποιείται.

Προφανώς, δεδομένου ότι κάθε μέθοδος έχει τα πλεονεκτήματα και τα μειονεκτήματά της, η χρήση μόνο μιας μεθόδου ανάλυσης εγγράφων καθιστά τη λύση τεχνολογικά εξαρτημένη από αυτήν. Οι περισσότεροι κατασκευαστές χρησιμοποιούν διάφορες μεθόδους, αν και μία από αυτές είναι συνήθως η «εμβληματική» μέθοδος. Αυτό το άρθρο είναι μια προσπάθεια ταξινόμησης των μεθόδων που χρησιμοποιούνται στην ανάλυση εγγράφων. Τα δυνατά και τα αδύνατα σημεία τους αξιολογούνται με βάση την εμπειρία από την πρακτική εφαρμογή πολλών τύπων προϊόντων. Το άρθρο ουσιαστικά δεν εξετάζει συγκεκριμένα προϊόντα, επειδή. Το κύριο καθήκον του χρήστη κατά την επιλογή τους είναι να εξαλείψει τα συνθήματα μάρκετινγκ όπως «θα προστατεύσουμε τα πάντα από τα πάντα», «μοναδική πατενταρισμένη τεχνολογία» και να συνειδητοποιήσει τι θα του μείνει όταν φύγουν οι πωλητές.

Ανάλυση κοντέινερ

Αυτή η μέθοδος αναλύει τις ιδιότητες ενός αρχείου ή άλλου κοντέινερ (αρχείο, κρυπτοδίσκος κ.λπ.) που περιέχει πληροφορίες. Η καθομιλουμένη ονομασία για τέτοιες μεθόδους είναι "λύσεις σε ετικέτες", που αντικατοπτρίζει πλήρως την ουσία τους. Κάθε κοντέινερ περιέχει μια ετικέτα που προσδιορίζει μοναδικά τον τύπο του περιεχομένου που περιέχεται στο κοντέινερ. Οι αναφερόμενες μέθοδοι πρακτικά δεν απαιτούν υπολογιστικούς πόρους για την ανάλυση των πληροφοριών που μετακινούνται, καθώς η ετικέτα περιγράφει πλήρως τα δικαιώματα του χρήστη να μετακινεί περιεχόμενο σε οποιαδήποτε διαδρομή. Σε μια απλοποιημένη μορφή, ένας τέτοιος αλγόριθμος ακούγεται ως εξής: "υπάρχει μια ετικέτα - την απαγορεύουμε, δεν υπάρχει ετικέτα - την παρακάμπτουμε."

Τα πλεονεκτήματα αυτής της προσέγγισης είναι προφανή: η ταχύτητα ανάλυσης και πλήρης απουσίαΣφάλματα τύπου II (όταν ανοιχτό έγγραφοτο σύστημα εσφαλμένα αναγνωρίζει ως εμπιστευτικό). Τέτοιες μέθοδοι ονομάζονται «ντετερμινιστικές» σε ορισμένες πηγές.

Τα μειονεκτήματα είναι επίσης προφανή - το σύστημα ενδιαφέρεται μόνο για τις πληροφορίες με ετικέτα: εάν η ετικέτα δεν έχει οριστεί, το περιεχόμενο δεν προστατεύεται. Είναι απαραίτητο να αναπτυχθεί μια διαδικασία για την επισήμανση νέων και εισερχόμενων εγγράφων, καθώς και ένα σύστημα για την αντιμετώπιση της μεταφοράς πληροφοριών από ένα δοχείο με ετικέτα σε ένα χωρίς ετικέτα μέσω λειτουργιών buffer, λειτουργιών αρχείων, αντιγραφής πληροφοριών από προσωρινά αρχεία κ.λπ.

Η αδυναμία τέτοιων συστημάτων εκδηλώνεται και στην οργάνωση της επισήμανσης. Εάν τοποθετηθούν από τον συντάκτη του εγγράφου, τότε από κακόβουλη πρόθεση έχει τη δυνατότητα να μην σημαδέψει τις πληροφορίες που πρόκειται να κλέψει. Ελλείψει κακόβουλης πρόθεσης, αργά ή γρήγορα θα εμφανιστεί αμέλεια ή απροσεξία. Εάν απαιτείται να επισημάνετε έναν συγκεκριμένο υπάλληλο, για παράδειγμα, έναν υπεύθυνο ασφάλειας πληροφοριών ή διαχειριστής συστήματος, τότε δεν θα μπορεί πάντα να διακρίνει το εμπιστευτικό περιεχόμενο από το ανοιχτό περιεχόμενο, αφού δεν γνωρίζει πλήρως όλες τις διαδικασίες στην εταιρεία. Άρα, το "λευκό" υπόλοιπο θα πρέπει να αναρτηθεί στον ιστότοπο της εταιρείας και το "γκρι" ή "μαύρο" υπόλοιπο δεν μπορεί να αφαιρεθεί από το πληροφοριακό σύστημα. Αλλά μόνο ο αρχιλογιστής μπορεί να διακρίνει το ένα από το άλλο, δηλ. ένας από τους συγγραφείς.

Οι ετικέτες συνήθως χωρίζονται σε χαρακτηριστικά, μορφή και εξωτερικές. Όπως υποδηλώνει το όνομα, τα πρώτα τοποθετούνται σε χαρακτηριστικά αρχείου, τα δεύτερα τοποθετούνται στα πεδία του ίδιου του αρχείου και τα τρίτα συνδέονται (συσχετίζονται) με το αρχείο από εξωτερικά προγράμματα.

Κατασκευές κοντέινερ σε IB

Μερικές φορές τα πλεονεκτήματα των λύσεων που βασίζονται σε ετικέτες είναι επίσης απαιτήσεις χαμηλών επιδόσεων για αναχαιτιστές, επειδή ελέγχουν μόνο ετικέτες, δηλ. ενεργήστε σαν τουρνικέ στο μετρό: "αν έχετε εισιτήριο - περάστε". Ωστόσο, μην ξεχνάτε ότι θαύματα δεν συμβαίνουν - σε αυτήν την περίπτωση, το υπολογιστικό φορτίο μετατοπίζεται σε σταθμούς εργασίας.

Ο τόπος λήψης αποφάσεων στις ετικέτες, όποιες κι αν είναι αυτές, είναι η προστασία των αποθηκευτικών χώρων εγγράφων. Όταν μια εταιρεία διαθέτει χώρο αποθήκευσης εγγράφων, ο οποίος, αφενός, αναπληρώνεται αρκετά σπάνια και, αφετέρου, η κατηγορία και το επίπεδο εμπιστευτικότητας κάθε εγγράφου είναι επακριβώς γνωστά, τότε είναι πιο εύκολο να οργανωθεί η προστασία του χρησιμοποιώντας ετικέτες. Μπορείτε να οργανώσετε την τοποθέτηση ετικετών σε έγγραφα που εισέρχονται στο αποθετήριο χρησιμοποιώντας μια οργανωτική διαδικασία. Για παράδειγμα, πριν από την αποστολή ενός εγγράφου στο αποθετήριο, ο υπάλληλος που είναι υπεύθυνος για τη λειτουργία του μπορεί να επικοινωνήσει με τον συγγραφέα και τον ειδικό με το ερώτημα ποιο επίπεδο εμπιστευτικότητας να οριστεί για το έγγραφο. Αυτή η εργασία επιλύεται ιδιαίτερα επιτυχώς με τη βοήθεια σημάτων μορφής, δηλ. κάθε εισερχόμενο έγγραφο αποθηκεύεται σε ασφαλή μορφή και στη συνέχεια εκδίδεται κατόπιν αιτήματος του υπαλλήλου, υποδεικνύοντας ότι επιτρέπεται η ανάγνωση. Οι σύγχρονες λύσεις σάς επιτρέπουν να εκχωρείτε δικαιώματα πρόσβασης για περιορισμένο χρονικό διάστημα και μετά τη λήξη του κλειδιού, το έγγραφο απλώς σταματά να διαβάζεται. Σύμφωνα με αυτό το σύστημα, για παράδειγμα, οργανώνεται η έκδοση τεκμηρίωσης για διαγωνισμούς δημοσίων συμβάσεων στις Ηνωμένες Πολιτείες: το σύστημα διαχείρισης προμηθειών δημιουργεί ένα έγγραφο που μπορεί να διαβαστεί χωρίς τη δυνατότητα αλλαγής ή αντιγραφής μόνο του περιεχομένου της προσφοράς συμμετέχοντες που αναφέρονται σε αυτό το έγγραφο. Το κλειδί πρόσβασης ισχύει μόνο μέχρι τη λήξη της προθεσμίας υποβολής εγγράφων στον διαγωνισμό, μετά την οποία παύει να διαβάζεται το έγγραφο.

Επίσης, με τη βοήθεια λύσεων που βασίζονται σε ετικέτες, οι εταιρείες οργανώνουν την κυκλοφορία εγγράφων σε κλειστά τμήματα του δικτύου στα οποία κυκλοφορούν πνευματική ιδιοκτησία και κρατικά μυστικά. Πιθανώς, τώρα, σύμφωνα με τις απαιτήσεις του Ομοσπονδιακού Νόμου "Περί Προσωπικών Δεδομένων", θα οργανωθεί επίσης η ροή εγγράφων στα τμήματα προσωπικού μεγάλων εταιρειών.

Ανάλυση περιεχομένου

Κατά την εφαρμογή των τεχνολογιών που περιγράφονται σε αυτήν την ενότητα, σε αντίθεση με αυτές που περιγράφηκαν προηγουμένως, αντιθέτως, είναι εντελώς αδιάφορο σε ποιο δοχείο αποθηκεύεται το περιεχόμενο. Ο σκοπός αυτών των τεχνολογιών είναι η εξαγωγή ουσιαστικού περιεχομένου από ένα κοντέινερ ή η αναχαίτιση μιας μετάδοσης μέσω ενός καναλιού επικοινωνίας και η ανάλυση των πληροφοριών για απαγορευμένο περιεχόμενο.

Οι κύριες τεχνολογίες για την ανίχνευση απαγορευμένου περιεχομένου σε κοντέινερ είναι ο έλεγχος υπογραφής, ο έλεγχος βάσει κατακερματισμού και οι γλωσσικές μέθοδοι.

Υπογραφές

Η απλούστερη μέθοδος ελέγχου είναι η αναζήτηση στη ροή δεδομένων για κάποια ακολουθία χαρακτήρων. Μερικές φορές μια απαγορευμένη ακολουθία χαρακτήρων ονομάζεται "stop word", αλλά σε μια γενικότερη περίπτωση μπορεί να αντιπροσωπεύεται όχι από μια λέξη, αλλά από ένα αυθαίρετο σύνολο χαρακτήρων, για παράδειγμα, από την ίδια ετικέτα. Γενικά, αυτή η μέθοδος δεν μπορεί να αποδοθεί στην ανάλυση περιεχομένου σε όλες τις υλοποιήσεις της. Για παράδειγμα, στις περισσότερες συσκευές της κατηγορίας UTM, η αναζήτηση για απαγορευμένες υπογραφές στη ροή δεδομένων πραγματοποιείται χωρίς εξαγωγή του κειμένου από το κοντέινερ, όταν αναλύεται η ροή "ως έχει". Ή, εάν το σύστημα έχει ρυθμιστεί για μία μόνο λέξη, τότε το αποτέλεσμα της εργασίας του είναι ο προσδιορισμός 100% αντιστοίχισης, δηλ. Η μέθοδος μπορεί να ταξινομηθεί ως ντετερμινιστική.

Ωστόσο, πιο συχνά η αναζήτηση για μια συγκεκριμένη ακολουθία χαρακτήρων εξακολουθεί να χρησιμοποιείται στην ανάλυση κειμένου. Στη συντριπτική πλειονότητα των περιπτώσεων, τα συστήματα υπογραφής έχουν ρυθμιστεί ώστε να αναζητούν πολλές λέξεις και τη συχνότητα εμφάνισης των όρων, π.χ. Θα συνεχίσουμε να παραπέμπουμε αυτό το σύστημα σε συστήματα ανάλυσης περιεχομένου.

Τα πλεονεκτήματα αυτής της μεθόδου περιλαμβάνουν την ανεξαρτησία από τη γλώσσα και την ευκολία αναπλήρωσης του λεξικού των απαγορευμένων όρων: εάν θέλετε να χρησιμοποιήσετε αυτήν τη μέθοδο για να αναζητήσετε μια λέξη στα Πάστο στη ροή δεδομένων, δεν χρειάζεται να γνωρίζετε αυτήν τη γλώσσα, απλώς πρέπει να ξέρετε πώς γράφεται. Είναι επίσης εύκολο να προσθέσετε, για παράδειγμα, μεταγραμμένο ρωσικό κείμενο ή "αλβανική" γλώσσα, κάτι που είναι σημαντικό, για παράδειγμα, κατά την ανάλυση κειμένων SMS, μηνυμάτων ICQ ή αναρτήσεων ιστολογίου.

Τα μειονεκτήματα γίνονται εμφανή όταν χρησιμοποιείτε μια μη αγγλική γλώσσα. Δυστυχώς, οι περισσότεροι κατασκευαστές συστημάτων ανάλυσης κειμένου εργάζονται για την αμερικανική αγορά και η αγγλική γλώσσα είναι πολύ "υπογραφή" - οι μορφές λέξεων σχηματίζονται συχνότερα χρησιμοποιώντας προθέσεις χωρίς να αλλάζουν την ίδια τη λέξη. Στα ρωσικά, όλα είναι πολύ πιο περίπλοκα. Πάρτε, για παράδειγμα, τη λέξη «μυστικό» που είναι αγαπητή στην καρδιά ενός αξιωματικού ασφάλειας πληροφοριών. Στα αγγλικά σημαίνει τόσο το ουσιαστικό "secret", το επίθετο "secret" και το ρήμα "to keep secret". Στα ρωσικά, πολλές δεκάδες διαφορετικές λέξεις μπορούν να σχηματιστούν από τη ρίζα "μυστικό". Εκείνοι. Εάν σε έναν αγγλόφωνο οργανισμό αρκεί ένας υπάλληλος ασφάλειας πληροφοριών να εισάγει μία λέξη, σε έναν ρωσόφωνο οργανισμό θα πρέπει να εισάγει μερικές δεκάδες λέξεις και στη συνέχεια να τις αλλάζει σε έξι διαφορετικές κωδικοποιήσεις.

Επιπλέον, τέτοιες μέθοδοι είναι ασταθείς στην πρωτόγονη κωδικοποίηση. Σχεδόν όλοι υποχωρούν στο αγαπημένο κόλπο των αρχάριων spammers - αντικαθιστώντας χαρακτήρες με παρόμοιους. Ο συγγραφέας έδειξε επανειλημμένα στους αξιωματικούς ασφαλείας ένα στοιχειώδες τέχνασμα - τη διέλευση εμπιστευτικού κειμένου μέσω φίλτρων υπογραφών. Λαμβάνεται ένα κείμενο που περιέχει, για παράδειγμα, τη φράση "άκρως απόρρητο" και έχει ρυθμιστεί ένας υποκλοπής αλληλογραφίας για αυτήν τη φράση. Εάν το κείμενο ανοίγει στο MS Word, τότε μια λειτουργία δύο δευτερολέπτων: Ctrl + F, "εύρεση "o" (ρωσική διάταξη)", "αντικατάσταση με "o" (αγγλική διάταξη)", "αντικατάσταση όλων", "αποστολή έγγραφο" - κάνει το έγγραφο απολύτως αόρατο σε αυτό το φίλτρο. Είναι ακόμη πιο απογοητευτικό το γεγονός ότι μια τέτοια αντικατάσταση πραγματοποιείται με τακτικά μέσα του MS Word ή οποιουδήποτε άλλου επεξεργαστής κειμένου, δηλ. είναι διαθέσιμα στον χρήστη, ακόμα κι αν δεν έχει δικαιώματα τοπικού διαχειριστή και τη δυνατότητα εκτέλεσης προγραμμάτων κρυπτογράφησης.

Τις περισσότερες φορές, ο έλεγχος ροής βάσει υπογραφών περιλαμβάνεται στη λειτουργικότητα των συσκευών UTM, π.χ. λύσεις που καθαρίζουν την κυκλοφορία από ιούς, ανεπιθύμητα μηνύματα, εισβολές και οποιεσδήποτε άλλες απειλές που εντοπίζονται από τις υπογραφές. Δεδομένου ότι αυτή η δυνατότητα είναι "δωρεάν", οι χρήστες συχνά αισθάνονται ότι αυτό είναι αρκετό. Τέτοιες λύσεις προστατεύουν πραγματικά από τυχαίες διαρροές, π.χ. σε περιπτώσεις που το εξερχόμενο κείμενο δεν αλλάζει από τον αποστολέα προκειμένου να παρακάμψει το φίλτρο, αλλά είναι ανίσχυροι απέναντι σε κακόβουλους χρήστες.

μάσκες

Μια επέκταση της λειτουργικότητας της αναζήτησης υπογραφών ενδιάμεσων λέξεων είναι η αναζήτηση για τις μάσκες τους. Είναι μια αναζήτηση τέτοιου περιεχομένου που δεν μπορεί να προσδιοριστεί με ακρίβεια στη βάση των "stop words", αλλά μπορεί να προσδιοριστεί το στοιχείο ή η δομή του. Αυτές οι πληροφορίες πρέπει να περιλαμβάνουν οποιουσδήποτε κωδικούς που χαρακτηρίζουν ένα άτομο ή επιχείρηση: ΑΦΜ, αριθμούς λογαριασμού, έγγραφα κ.λπ. Είναι αδύνατο να τα αναζητήσετε χρησιμοποιώντας υπογραφές.

Δεν είναι λογικό να ορίσετε τον αριθμό μιας συγκεκριμένης τραπεζικής κάρτας ως αντικείμενο αναζήτησης, αλλά θέλετε να βρείτε οποιονδήποτε αριθμό πιστωτική κάρτα, όπως κι αν γράφτηκε - με κενά ή μαζί. Αυτό δεν είναι απλώς μια επιθυμία, αλλά μια απαίτηση του προτύπου PCI DSS: απαγορεύεται η αποστολή μη κρυπτογραφημένων αριθμών πλαστικών καρτών μέσω ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, δηλ. Είναι ευθύνη του χρήστη να βρει τέτοιους αριθμούς στο e-mail και να απορρίψει τα απαγορευμένα μηνύματα.

Εδώ, για παράδειγμα, είναι μια μάσκα που καθορίζει μια λέξη τερματισμού, όπως το όνομα μιας εμπιστευτικής ή μυστικής παραγγελίας, ο αριθμός της οποίας ξεκινά από το μηδέν. Η μάσκα λαμβάνει υπόψη όχι μόνο έναν αυθαίρετο αριθμό, αλλά και κάθε περίπτωση, ακόμη και την αντικατάσταση των λατινικών γραμμάτων από ρωσικά. Η μάσκα είναι γραμμένη στην τυπική σημείωση "REGEXP", αν και διαφορετικά συστήματα DLP μπορεί να έχουν τη δική τους, πιο ευέλικτη σημειογραφία. Η κατάσταση είναι ακόμη χειρότερη με τους αριθμούς τηλεφώνου. Αυτές οι πληροφορίες ταξινομούνται ως προσωπικά δεδομένα και μπορείτε να τις γράψετε με δώδεκα τρόπους - χρησιμοποιώντας διάφορους συνδυασμούς χώρων, ΔΙΑΦΟΡΕΤΙΚΟΙ ΤΥΠΟΙπαρενθέσεις, συν και πλην, κ.λπ. Εδώ, ίσως, μια μόνο μάσκα είναι απαραίτητη. Για παράδειγμα, σε συστήματα anti-spam, όπου πρέπει να λύσετε ένα παρόμοιο πρόβλημα, να εντοπίσετε αριθμός τηλεφώνουχρησιμοποιήστε πολλές δεκάδες μάσκες ταυτόχρονα.

Πολλοί διαφορετικοί κωδικοί που εγγράφονται στις δραστηριότητες των εταιρειών και των υπαλλήλων τους προστατεύονται από πολλούς νόμους και αντιπροσωπεύουν εμπορικά μυστικά, τραπεζικά μυστικά, προσωπικά δεδομένα και άλλες νομικά προστατευμένες πληροφορίες, επομένως το πρόβλημα της ανίχνευσης τους στην κυκλοφορία αποτελεί προϋπόθεση για οποιαδήποτε λύση.

Λειτουργίες κατακερματισμού

Διάφοροι τύποι συναρτήσεων κατακερματισμού για δείγματα εμπιστευτικών εγγράφων θεωρούνταν κάποτε ως νέα λέξη στην αγορά προστασίας από διαρροές, αν και η ίδια η τεχνολογία υπάρχει από τη δεκαετία του 1970. Στη Δύση, αυτή η μέθοδος ονομάζεται μερικές φορές «ψηφιακά δακτυλικά αποτυπώματα», δηλ. «ψηφιακά δακτυλικά αποτυπώματα», ή «shindles» στην επιστημονική αργκό.

Η ουσία όλων των μεθόδων είναι η ίδια, αν και οι συγκεκριμένοι αλγόριθμοι για κάθε κατασκευαστή μπορεί να διαφέρουν σημαντικά. Ορισμένοι αλγόριθμοι έχουν ακόμη και πατενταριστεί, γεγονός που επιβεβαιώνει τη μοναδικότητα της υλοποίησης. Το γενικό σενάριο δράσης έχει ως εξής: συλλέγεται μια βάση δεδομένων με δείγματα εμπιστευτικών εγγράφων. Ένα «αποτύπωμα» λαμβάνεται από καθένα από αυτά, δηλ. Το ουσιαστικό περιεχόμενο εξάγεται από το έγγραφο, το οποίο περιορίζεται σε κάποια κανονική μορφή κειμένου, για παράδειγμα (αλλά όχι απαραίτητα) και, στη συνέχεια, αφαιρούνται οι κατακερματισμοί όλου του περιεχομένου και των μερών του, όπως παράγραφοι, προτάσεις, πέντε λέξεις κ.λπ. , η λεπτομέρεια εξαρτάται από τη συγκεκριμένη υλοποίηση. Αυτά τα δακτυλικά αποτυπώματα αποθηκεύονται σε ειδική βάση δεδομένων.

Το υποκλαπόμενο έγγραφο απαλείφεται από τις πληροφορίες υπηρεσίας με τον ίδιο τρόπο και φέρεται σε κανονική μορφή και, στη συνέχεια, αφαιρούνται τα δακτυλικά αποτυπώματα-βλάβες χρησιμοποιώντας τον ίδιο αλγόριθμο. Οι ληφθείσες εκτυπώσεις αναζητούνται στη βάση δεδομένων των εκτυπώσεων εμπιστευτικών εγγράφων και, εάν βρεθούν, το έγγραφο θεωρείται εμπιστευτικό. Δεδομένου ότι αυτή η μέθοδος χρησιμοποιείται για την εύρεση άμεσων εισαγωγικών από ένα δείγμα εγγράφου, η τεχνολογία μερικές φορές ονομάζεται "αντιλογοκλοπή".

Τα περισσότερα από τα πλεονεκτήματα αυτής της μεθόδου είναι και τα μειονεκτήματά της. Πρώτα απ 'όλα, αυτή είναι η απαίτηση χρήσης δειγμάτων εγγράφων. Από τη μία πλευρά, ο χρήστης δεν χρειάζεται να ανησυχεί για λέξεις διακοπής, σημαντικούς όρους και άλλες πληροφορίες που είναι εντελώς μη συγκεκριμένες για τους αξιωματικούς ασφαλείας. Από την άλλη πλευρά, το "χωρίς μοτίβο, καμία προστασία" δημιουργεί τα ίδια προβλήματα με τα νέα και εισερχόμενα έγγραφα όπως και με τις τεχνολογίες που βασίζονται σε ετικέτες. Ένα πολύ σημαντικό πλεονέκτημα αυτής της τεχνολογίας είναι η εστίασή της στην εργασία με αυθαίρετες ακολουθίες χαρακτήρων. Από αυτό προκύπτει, πρώτα απ 'όλα, η ανεξαρτησία από τη γλώσσα του κειμένου - ακόμη και ιερογλυφικά, ακόμη και Πάστο. Επιπλέον, μία από τις κύριες συνέπειες αυτής της ιδιότητας είναι η δυνατότητα λήψης δακτυλικών αποτυπωμάτων από μη κειμενικές πληροφορίες - βάσεις δεδομένων, σχέδια, αρχεία πολυμέσων. Αυτές είναι οι τεχνολογίες που χρησιμοποιούν τα στούντιο του Χόλιγουντ και τα στούντιο ηχογράφησης παγκοσμίως για την προστασία του περιεχομένου πολυμέσων στις ψηφιακές αποθήκες τους.

Δυστυχώς, οι συναρτήσεις κατακερματισμού χαμηλού επιπέδου δεν είναι ανθεκτικές στην πρωταρχική κωδικοποίηση που συζητήθηκε στο παράδειγμα υπογραφής. Αντιμετωπίζουν εύκολα την αλλαγή της σειράς των λέξεων, την αναδιάταξη παραγράφων και άλλα κόλπα των "λογοκλοπών", αλλά, για παράδειγμα, η αλλαγή γραμμάτων σε όλο το έγγραφο καταστρέφει το μοτίβο κατακερματισμού και ένα τέτοιο έγγραφο γίνεται αόρατο στον υποκλοπή.

Η χρήση μόνο αυτής της μεθόδου περιπλέκει την εργασία με τις φόρμες. Έτσι, ένα κενό έντυπο αίτησης δανείου είναι ένα έγγραφο που διανέμεται ελεύθερα και ένα συμπληρωμένο είναι εμπιστευτικό, καθώς περιέχει προσωπικά δεδομένα. Εάν απλώς λάβετε ένα δακτυλικό αποτύπωμα από μια κενή φόρμα, τότε το συμπληρωμένο έγγραφο που υποκλαπεί θα περιέχει όλες τις πληροφορίες από την κενή φόρμα, π.χ. Οι εκτυπώσεις θα ταιριάζουν σε μεγάλο βαθμό. Έτσι το σύστημα είτε θα παρακάμψει εμπιστευτικές πληροφορίες, ή να αποτρέψετε την ελεύθερη διανομή κενών μορφών.

Παρά τις ελλείψεις που αναφέρθηκαν, αυτή η μέθοδος χρησιμοποιείται ευρέως, ειδικά σε μια επιχείρηση που δεν μπορεί να αντέξει οικονομικά καταρτισμένους υπαλλήλους, αλλά λειτουργεί με την αρχή "βάλτε όλες τις εμπιστευτικές πληροφορίες σε αυτόν τον φάκελο και κοιμηθείτε καλά". Υπό αυτή την έννοια, η απαίτηση συγκεκριμένων εγγράφων για την προστασία τους είναι κάπως παρόμοια με λύσεις που βασίζονται σε ετικέτες, που αποθηκεύονται μόνο χωριστά από δείγματα και διατηρούνται κατά την αλλαγή της μορφής αρχείου, την αντιγραφή μέρους του αρχείου κ.λπ. Ωστόσο μεγάλη δουλειά, η οποία έχει εκατοντάδες χιλιάδες έγγραφα σε κυκλοφορία, συχνά απλώς δεν είναι σε θέση να παράσχει δείγματα εμπιστευτικών εγγράφων, επειδή οι επιχειρηματικές διαδικασίες της εταιρείας δεν το απαιτούν. Το μόνο πράγμα που υπάρχει (ή, πιο ειλικρινά, θα έπρεπε να είναι) σε κάθε επιχείρηση είναι η "Κατάλογος πληροφοριών που συνιστούν εμπορικό μυστικό". Η δημιουργία μοτίβων από αυτό δεν είναι μια ασήμαντη εργασία.

Η ευκολία της προσθήκης δειγμάτων σε μια βάση δεδομένων ελεγχόμενου περιεχομένου συχνά κάνει κόλπα στους χρήστες. Αυτό οδηγεί σε σταδιακή αύξησηβάση δακτυλικών αποτυπωμάτων, η οποία επηρεάζει σημαντικά την απόδοση του συστήματος: όσο περισσότερα δείγματα, τόσο περισσότερες συγκρίσεις για κάθε μήνυμα που υποκλαπεί. Δεδομένου ότι κάθε εκτύπωση καταλαμβάνει από 5 έως 20% του πρωτοτύπου, η βάση των εκτυπώσεων μεγαλώνει σταδιακά. Οι χρήστες παρατηρούν μια απότομη πτώση στην απόδοση όταν η βάση αρχίζει να υπερβαίνει την ένταση μνήμη τυχαίας προσπέλασηςδιακομιστής φίλτρου. Συνήθως το πρόβλημα επιλύεται με τον τακτικό έλεγχο δειγμάτων εγγράφων και την αφαίρεση παλαιών ή διπλών δειγμάτων, π.χ. εξοικονόμηση στην υλοποίηση, οι χρήστες χάνουν κατά τη λειτουργία.

Γλωσσικές Μέθοδοι

Η πιο διαδεδομένη μέθοδος ανάλυσης σήμερα είναι η γλωσσική ανάλυση του κειμένου. Είναι τόσο δημοφιλές που συχνά αναφέρεται στην καθομιλουμένη ως «φιλτράρισμα περιεχομένου». φέρει τα χαρακτηριστικά ολόκληρης της κατηγορίας των μεθόδων ανάλυσης περιεχομένου. Από την άποψη της ταξινόμησης, τόσο η ανάλυση κατακερματισμού όσο και η ανάλυση υπογραφής και η ανάλυση μάσκας είναι «φιλτράρισμα περιεχομένου», δηλ. φιλτράρισμα επισκεψιμότητας με βάση την ανάλυση περιεχομένου.

Όπως υποδηλώνει το όνομα, η μέθοδος λειτουργεί μόνο με κείμενα. Δεν θα το χρησιμοποιήσετε για την προστασία μιας βάσης δεδομένων που αποτελείται μόνο από αριθμούς και ημερομηνίες, ειδικά σχέδια, σχέδια και μια συλλογή αγαπημένων τραγουδιών. Αλλά με τα κείμενα, αυτή η μέθοδος κάνει θαύματα.

Η γλωσσολογία ως επιστήμη αποτελείται από πολλούς κλάδους - από τη μορφολογία έως τη σημασιολογία. Επομένως, οι γλωσσικές μέθοδοι ανάλυσης διαφέρουν επίσης μεταξύ τους. Υπάρχουν μέθοδοι που χρησιμοποιούν μόνο λέξεις τερματισμού, που εισάγονται μόνο σε επίπεδο ρίζας και το ίδιο το σύστημα συντάσσει ήδη ένα πλήρες λεξικό. υπάρχουν όροι που βασίζονται στην κατανομή των βαρών που συναντώνται στο κείμενο. Υπάρχουν γλωσσικές μέθοδοι και τα αποτυπώματά τους που βασίζονται σε στατιστικές. Για παράδειγμα, λαμβάνεται ένα έγγραφο, μετρώνται οι πενήντα λέξεις που χρησιμοποιούνται περισσότερο και, στη συνέχεια, επιλέγονται οι 10 λέξεις που χρησιμοποιούνται περισσότερο σε κάθε παράγραφο. Ένα τέτοιο "λεξικό" είναι ένα σχεδόν μοναδικό χαρακτηριστικό του κειμένου και σας επιτρέπει να βρείτε ουσιαστικά αποσπάσματα σε "κλώνους".

Η ανάλυση όλων των λεπτοτήτων της γλωσσικής ανάλυσης δεν εμπίπτει στο πεδίο εφαρμογής αυτού του άρθρου, επομένως θα επικεντρωθούμε στα πλεονεκτήματα και τα μειονεκτήματα.

Το πλεονέκτημα της μεθόδου είναι η πλήρης έλλειψη ευαισθησίας στον αριθμό των εγγράφων, δηλ. σπάνια για την επεκτασιμότητα της ασφάλειας εταιρικών πληροφοριών. Η βάση φιλτραρίσματος περιεχομένου (ένα σύνολο βασικών κατηγοριών λεξιλογίου και κανόνων) δεν αλλάζει σε μέγεθος ανάλογα με την εμφάνιση νέων εγγράφων ή διαδικασιών στην εταιρεία.

Επιπλέον, οι χρήστες σημειώνουν σε αυτή τη μέθοδο την ομοιότητα με τις "stop words" στο ότι εάν το έγγραφο καθυστερήσει, τότε είναι αμέσως σαφές γιατί συνέβη αυτό. Εάν ένα σύστημα που βασίζεται σε δακτυλικά αποτυπώματα αναφέρει ότι ένα έγγραφο είναι παρόμοιο με ένα άλλο, τότε ο υπεύθυνος ασφαλείας θα πρέπει να συγκρίνει ο ίδιος τα δύο έγγραφα και στη γλωσσική ανάλυση θα λάβει ήδη επισημασμένο περιεχόμενο. Τα γλωσσικά συστήματα μαζί με το φιλτράρισμα υπογραφών είναι τόσο κοινά επειδή σας επιτρέπουν να ξεκινήσετε να εργάζεστε χωρίς αλλαγές στην εταιρεία αμέσως μετά την εγκατάσταση. Δεν χρειάζεται να ασχοληθείτε με την επισήμανση και τη λήψη δακτυλικών αποτυπωμάτων, την απογραφή εγγράφων και την εκτέλεση άλλων μη ειδικών εργασιών για έναν αξιωματικό ασφαλείας.

Τα μειονεκτήματα είναι εξίσου προφανή και το πρώτο είναι η γλωσσική εξάρτηση. Σε κάθε χώρα της οποίας η γλώσσα υποστηρίζεται από τον κατασκευαστή, αυτό δεν αποτελεί μειονέκτημα, ωστόσο, από την άποψη των παγκόσμιων εταιρειών που διαθέτουν, εκτός από μία μόνο γλώσσα εταιρικής επικοινωνίας (για παράδειγμα, τα αγγλικά), υπάρχουν ακόμα πολλές έγγραφα σε τοπικές γλώσσεςσε κάθε χώρα, αυτό είναι ένα σαφές μειονέκτημα.

Ένα άλλο μειονέκτημα είναι το υψηλό ποσοστό σφαλμάτων τύπου ΙΙ, το οποίο απαιτεί προσόντα στον τομέα της γλωσσολογίας (για λεπτό συντονισμόβάσεις φίλτρων). Οι τυπικές βάσεις δεδομένων του κλάδου δίνουν συνήθως 80-85% ακρίβεια φιλτραρίσματος. Αυτό σημαίνει ότι κάθε πέμπτο ή έκτο γράμμα παρεμποδίζεται κατά λάθος. Η ρύθμιση της βάσης σε μια αποδεκτή ακρίβεια 95-97% συνήθως συνδέεται με την παρέμβαση ενός ειδικά εκπαιδευμένου γλωσσολόγου. Και παρόλο που για να μάθετε πώς να προσαρμόζετε τη βάση φιλτραρίσματος, αρκεί να έχετε δύο ημέρες ελεύθερου χρόνου και να μιλάτε τη γλώσσα σε επίπεδο αποφοίτου λυκείου, δεν υπάρχει κανείς να κάνει αυτή τη δουλειά, εκτός από έναν αξιωματικό ασφαλείας, και συνήθως θεωρεί μια τέτοια εργασία μη βασική. Η προσέλκυση ενός ατόμου από έξω είναι πάντα επικίνδυνη - τελικά, θα πρέπει να εργαστεί με εμπιστευτικές πληροφορίες. Η διέξοδος από αυτήν την κατάσταση είναι συνήθως η αγορά μιας πρόσθετης ενότητας - ενός "αυτογλωσσολόγου" που μαθαίνει μόνος του, ο οποίος "τροφοδοτείται" με ψευδώς θετικά στοιχεία και προσαρμόζει αυτόματα την τυπική βάση του κλάδου.

Οι γλωσσικές μέθοδοι επιλέγονται όταν θέλουν να ελαχιστοποιήσουν την παρέμβαση στην επιχείρηση, όταν η υπηρεσία ασφάλειας πληροφοριών δεν διαθέτει τον διοικητικό πόρο για να αλλάξει τις υπάρχουσες διαδικασίες για τη δημιουργία και την αποθήκευση εγγράφων. Λειτουργούν πάντα και παντού, αν και με τα μειονεκτήματα που αναφέρθηκαν.

Δημοφιλή κανάλια τυχαίας διαρροής μέσων αποθήκευσης για κινητά

Οι αναλυτές του InfoWatch πιστεύουν ότι τα φορητά μέσα (φορητοί υπολογιστές, μονάδες flash, συσκευές επικοινωνίας κινητών, κ.λπ.) παραμένουν το πιο δημοφιλές κανάλι για τυχαίες διαρροές, καθώς οι χρήστες τέτοιων συσκευών συχνά παραμελούν τα εργαλεία κρυπτογράφησης δεδομένων.

Αλλο Κοινή αιτίαΤα μέσα χαρτιού γίνονται τυχαίες διαρροές: είναι πιο δύσκολο να ελεγχθεί από τα ηλεκτρονικά μέσα, καθώς, για παράδειγμα, αφού ένα φύλλο φύγει από τον εκτυπωτή, μπορεί να παρακολουθηθεί μόνο "χειροκίνητα": ο έλεγχος στα μέσα χαρτιού είναι πιο αδύναμος από τον έλεγχο των πληροφοριών υπολογιστή. Πολλά εργαλεία προστασίας από διαρροές (δεν μπορείτε να τα ονομάσετε ολοκληρωμένα συστήματα DLP) δεν ελέγχουν το κανάλι εξόδου των πληροφοριών στον εκτυπωτή, επομένως τα εμπιστευτικά δεδομένα διαρρέουν εύκολα από τον οργανισμό.

Αυτό το πρόβλημα μπορεί να λυθεί με πολυλειτουργικά συστήματα DLP που εμποδίζουν την αποστολή μη εξουσιοδοτημένων πληροφοριών για εκτύπωση και ελέγχουν την αντιστοιχία της ταχυδρομικής διεύθυνσης και του παραλήπτη.

Επιπλέον, η αυξανόμενη δημοτικότητα των φορητών συσκευών καθιστά πολύ πιο δύσκολη την προστασία από διαρροές, επειδή δεν υπάρχουν ακόμη αντίστοιχοι πελάτες DLP. Επιπλέον, είναι πολύ δύσκολο να ανιχνευθεί διαρροή σε περίπτωση κρυπτογραφίας ή στεγανογραφίας. Ένας εσωτερικός χρήστης, προκειμένου να παρακάμψει κάποιο είδος φίλτρου, μπορεί πάντα να στραφεί στο Διαδίκτυο για «βέλτιστες πρακτικές». Δηλαδή, τα μέσα DLP προστατεύουν πολύ άσχημα από μια οργανωμένη σκόπιμη διαρροή.

Η αποτελεσματικότητα των εργαλείων DLP μπορεί να παρεμποδιστεί από τα προφανή ελαττώματα τους: οι σύγχρονες λύσεις προστασίας από διαρροές δεν σας επιτρέπουν να ελέγχετε και να αποκλείετε όλα τα διαθέσιμα κανάλια πληροφόρησης. Τα συστήματα DLP θα ελέγχουν εταιρική αλληλογραφία, χρήση πόρων Ιστού, στιγμιαία ανταλλαγήανταλλαγή μηνυμάτων, εργασία με εξωτερικά μέσα, εκτύπωση εγγράφων και τα περιεχόμενα των σκληρών δίσκων. Αλλά το Skype παραμένει εκτός ελέγχου για συστήματα DLP. Μόνο η Trend Micro κατάφερε να δηλώσει ότι μπορεί να ελέγξει τη λειτουργία αυτού του προγράμματος επικοινωνίας. Οι υπόλοιποι προγραμματιστές υπόσχονται ότι θα παρέχεται η αντίστοιχη λειτουργικότητα επόμενη έκδοσητο λογισμικό ασφαλείας τους.

Ωστόσο, εάν το Skype υπόσχεται να ανοίξει τα πρωτόκολλά του σε προγραμματιστές DLP, άλλες λύσεις, όπως τα Microsoft Collaboration Tools για την οργάνωση της συνεργασίας, παραμένουν κλειστές για προγραμματιστές τρίτων. Πώς να ελέγξετε τη μετάδοση πληροφοριών μέσω αυτού του καναλιού; Εν τω μεταξύ μέσα σύγχρονος κόσμοςη πρακτική αναπτύσσεται όταν οι ειδικοί ενώνονται εξ αποστάσεως σε ομάδες για να εργαστούν σε ένα κοινό έργο και διαλύονται μετά την ολοκλήρωσή του.

Οι κύριες πηγές διαρροών εμπιστευτικών πληροφοριών κατά το πρώτο εξάμηνο του 2010 εξακολουθούν να είναι εμπορικοί (73,8%) και κυβερνητικοί (16%) οργανισμοί. Περίπου το 8% των διαρροών προέρχεται από εκπαιδευτικά ιδρύματα. Η φύση της διαρροής εμπιστευτικών πληροφοριών είναι προσωπικά δεδομένα (σχεδόν το 90% όλων των διαρροών πληροφοριών).

Οι ηγέτες στις διαρροές στον κόσμο είναι παραδοσιακά οι Ηνωμένες Πολιτείες και η Μεγάλη Βρετανία (Ο Καναδάς, η Ρωσία και η Γερμανία βρίσκονται επίσης στις πέντε πρώτες χώρες με τον μεγαλύτερο αριθμό διαρροών, με σημαντικά χαμηλότερα ποσοστά), γεγονός που οφείλεται στην ιδιαιτερότητα της νομοθεσίας από αυτές τις χώρες, κάτι που απαιτεί αναφορά όλων των περιστατικών διαρροής εμπιστευτικών δεδομένων. Οι αναλυτές της Infowatch προβλέπουν μείωση του ποσοστού των τυχαίων διαρροών και αύξηση του ποσοστού των σκόπιμων διαρροών το επόμενο έτος.

Δυσκολίες υλοποίησης

Εκτός από τις προφανείς δυσκολίες, η υλοποίηση του DLP παρεμποδίζεται επίσης από τη δυσκολία επιλογής της σωστής λύσης, καθώς διάφοροι προμηθευτές συστημάτων DLP δηλώνουν τις δικές τους προσεγγίσεις για την οργάνωση της προστασίας. Ορισμένοι έχουν κατοχυρώσει με δίπλωμα ευρεσιτεχνίας αλγόριθμους ανάλυσης περιεχομένου για λέξεις-κλειδιά, και κάποιος προσφέρει μια μέθοδο ψηφιακών εκτυπώσεων. Πώς να επιλέξετε το καλύτερο προϊόν σε αυτές τις συνθήκες; Τι είναι πιο αποτελεσματικό; Είναι πολύ δύσκολο να απαντηθούν αυτά τα ερωτήματα, αφού υπάρχουν πολύ λίγες υλοποιήσεις συστημάτων DLP σήμερα, και υπάρχουν ακόμη λιγότερες πραγματικές πρακτικές για τη χρήση τους (στις οποίες θα μπορούσε κανείς να βασιστεί). Αλλά αυτά τα έργα που ωστόσο υλοποιήθηκαν έδειξαν ότι η παροχή συμβουλών αντιπροσωπεύει περισσότερο από το ήμισυ του εύρους εργασίας και του προϋπολογισμού, και αυτό συνήθως προκαλεί μεγάλο σκεπτικισμό στη διοίκηση. Επιπλέον, κατά κανόνα, οι υπάρχουσες επιχειρηματικές διαδικασίες της επιχείρησης πρέπει να αναδιαρθρωθούν για να ανταποκριθούν στις απαιτήσεις του DLP και οι εταιρείες δυσκολεύονται να το κάνουν αυτό.

Σε ποιο βαθμό η εισαγωγή του DLP βοηθά στη συμμόρφωση με τις τρέχουσες απαιτήσεις των ρυθμιστικών αρχών; Στη Δύση, η εισαγωγή συστημάτων DLP υποκινείται από νόμους, πρότυπα, απαιτήσεις του κλάδου και άλλους κανονισμούς. Σύμφωνα με τους ειδικούς, οι σαφείς νομικές απαιτήσεις που διατίθενται στο εξωτερικό, οι κατευθυντήριες γραμμές για τη διασφάλιση των απαιτήσεων είναι η πραγματική κινητήρια δύναμη της αγοράς DLP, καθώς η εισαγωγή ειδικών λύσεων εξαλείφει τις αξιώσεις από τις ρυθμιστικές αρχές. Έχουμε μια εντελώς διαφορετική κατάσταση σε αυτόν τον τομέα και η εισαγωγή συστημάτων DLP δεν βοηθά στη συμμόρφωση με τη νομοθεσία.

Κάποιο κίνητρο για την εισαγωγή και χρήση του DLP σε εταιρικό περιβάλλον μπορεί να είναι η ανάγκη προστασίας των εμπορικών μυστικών των εταιρειών και η συμμόρφωση με τις απαιτήσεις του ομοσπονδιακού νόμου "Περί εμπορικών μυστικών".

Σχεδόν κάθε επιχείρηση έχει υιοθετήσει έγγραφα όπως οι «Κανονισμοί για τα εμπορικά απόρρητα» και «Κατάλογος πληροφοριών που συνιστούν εμπορικό μυστικό» και θα πρέπει να τηρούνται οι απαιτήσεις τους. Υπάρχει η άποψη ότι ο νόμος "Περί εμπορικών μυστικών" (98-FZ) δεν λειτουργεί, ωστόσο, τα στελέχη της εταιρείας γνωρίζουν καλά ότι είναι σημαντικό και απαραίτητο να προστατεύουν τα εμπορικά τους μυστικά. Επιπλέον, αυτή η επίγνωση είναι πολύ υψηλότερη από την κατανόηση της σημασίας του νόμου «Περί Προσωπικών Δεδομένων» (152-FZ) και είναι πολύ πιο εύκολο για οποιονδήποτε διαχειριστή να εξηγήσει την ανάγκη εισαγωγής εμπιστευτικής διαχείρισης εγγράφων παρά να μιλήσει για την προστασία των προσωπικών δεδομένων.

Τι εμποδίζει τη χρήση του DLP στη διαδικασία αυτοματοποίησης της προστασίας εμπορικών μυστικών; Σύμφωνα με τον Αστικό Κώδικα της Ρωσικής Ομοσπονδίας, για να εισαχθεί ένα καθεστώς προστασίας εμπορικού μυστικού, είναι απαραίτητο μόνο οι πληροφορίες να έχουν κάποια αξία και να περιλαμβάνονται στον κατάλληλο κατάλογο. Στην περίπτωση αυτή, ο κάτοχος τέτοιων πληροφοριών υποχρεούται από το νόμο να λάβει μέτρα για την προστασία των εμπιστευτικών πληροφοριών.

Ταυτόχρονα, είναι προφανές ότι το DLP δεν θα μπορέσει να λύσει όλα τα ζητήματα. Ειδικότερα, καλύπτουν την πρόσβαση τρίτων σε εμπιστευτικές πληροφορίες. Υπάρχουν όμως και άλλες τεχνολογίες για αυτό. Πολλές σύγχρονες λύσεις DLP μπορούν να ενσωματωθούν μαζί τους. Στη συνέχεια, κατά την κατασκευή αυτής της τεχνολογικής αλυσίδας, μπορεί να αποκτηθεί ένα λειτουργικό σύστημα για την προστασία των εμπορικών μυστικών. Ένα τέτοιο σύστημα θα είναι πιο κατανοητό για την επιχείρηση και είναι η επιχείρηση που θα μπορεί να ενεργεί ως πελάτης του συστήματος προστασίας από διαρροές.

Ρωσία και Δύση

Σύμφωνα με αναλυτές, η Ρωσία έχει διαφορετική στάση απέναντι στην ασφάλεια και διαφορετικό επίπεδο ωριμότητας των εταιρειών που παρέχουν λύσεις DLP. Η ρωσική αγορά επικεντρώνεται σε ειδικούς σε θέματα ασφάλειας και σε εξαιρετικά εξειδικευμένα προβλήματα. Πρόληψη παραβίασης δεδομένων Οι άνθρωποι δεν καταλαβαίνουν πάντα ποια δεδομένα είναι πολύτιμα. Στη Ρωσία, μια «μιλιταριστική» προσέγγιση για την οργάνωση συστημάτων ασφαλείας: ισχυρή περίμετρος με τείχη προστασίας και καταβάλλεται κάθε προσπάθεια για να αποτραπεί η διείσδυση στο εσωτερικό.

Τι γίνεται όμως αν ένας υπάλληλος της εταιρείας έχει πρόσβαση σε πολλές πληροφορίες που δεν απαιτούνται για την εκτέλεση των καθηκόντων του; Από την άλλη, αν δούμε την προσέγγιση που έχει διαμορφωθεί στη Δύση τα τελευταία 10-15 χρόνια, μπορούμε να πούμε ότι δίνεται μεγαλύτερη προσοχή στην αξία της πληροφορίας. Οι πόροι κατευθύνονται εκεί όπου βρίσκονται πολύτιμες πληροφορίες και όχι σε όλες τις πληροφορίες στη σειρά. Ίσως αυτή είναι η μεγαλύτερη πολιτισμική διαφορά μεταξύ της Δύσης και της Ρωσίας. Ωστόσο, οι αναλυτές λένε ότι η κατάσταση αλλάζει. Οι πληροφορίες αρχίζουν να γίνονται αντιληπτές ως επιχειρηματικό περιουσιακό στοιχείο και θα χρειαστεί λίγος χρόνος για να εξελιχθεί.

Δεν υπάρχει ολοκληρωμένη λύση

100% προστασία από διαρροές δεν έχει αναπτυχθεί ακόμη από κανέναν κατασκευαστή. Προβλήματα με τη χρήση προϊόντων DLP, ορισμένοι ειδικοί διατυπώνουν κάτι σαν αυτό: αποτελεσματική χρήσηΗ εμπειρία ελέγχου διαρροών με συστήματα DLP απαιτεί την κατανόηση ότι μεγάλο μέρος της δουλειάς για τη διασφάλιση της προστασίας από διαρροές πρέπει να γίνει από την πλευρά του πελάτη, καθώς κανείς δεν γνωρίζει καλύτερα από αυτόν ροές πληροφοριών.

Άλλοι πιστεύουν ότι είναι αδύνατο να προστατευτείτε από διαρροές: είναι αδύνατο να αποφευχθεί η διαρροή πληροφοριών. Δεδομένου ότι οι πληροφορίες έχουν αξία για κάποιον, θα ληφθούν αργά ή γρήγορα. Λογισμικόμπορεί να κάνει τη λήψη αυτών των πληροφοριών πιο δαπανηρή και χρονοβόρα. Αυτό μπορεί να μειώσει σημαντικά το όφελος από την κατοχή πληροφοριών, τη συνάφειά τους. Αυτό σημαίνει ότι η αποτελεσματικότητα των συστημάτων DLP θα πρέπει να παρακολουθείται.

»

28.01.2014 Σεργκέι Κοράμπλεφ

Η επιλογή οποιουδήποτε προϊόντος σε επίπεδο επιχείρησης δεν είναι τετριμμένο έργο για τους ειδικούς τεχνικούς και τους υπεύθυνους λήψης αποφάσεων. Επιλογή συστήματος πρόληψης διαρροών ΔεδομέναΗ προστασία από διαρροές (DLP) είναι ακόμα πιο δύσκολη. Η έλλειψη ενός ενιαίου εννοιολογικού συστήματος, οι τακτικές ανεξάρτητες συγκριτικές μελέτες και η πολυπλοκότητα των ίδιων των προϊόντων αναγκάζουν τους καταναλωτές να παραγγέλνουν πιλοτικά έργα από κατασκευαστές και να διεξάγουν ανεξάρτητα πολυάριθμες δοκιμές, προσδιορίζοντας το εύρος των δικών τους αναγκών και συσχετίζοντας τις με τις δυνατότητες των συστημάτων. δοκιμασμένο

Μια τέτοια προσέγγιση είναι ασφαλώς σωστή. Μια ισορροπημένη, και σε ορισμένες περιπτώσεις ακόμη και μια δύσκολη απόφαση απλοποιεί την περαιτέρω εφαρμογή και αποφεύγει την απογοήτευση στη λειτουργία ενός συγκεκριμένου προϊόντος. Ωστόσο, η διαδικασία λήψης αποφάσεων σε αυτή την περίπτωση μπορεί να καθυστερήσει, αν όχι για χρόνια, τότε για πολλούς μήνες. Επιπλέον, η συνεχής επέκταση της αγοράς, η εμφάνιση νέων λύσεων και κατασκευαστών περιπλέκουν περαιτέρω το έργο όχι μόνο της επιλογής ενός προϊόντος για υλοποίηση, αλλά και της δημιουργίας μιας προκαταρκτικής λίστας κατάλληλων συστημάτων DLP. Υπό αυτές τις συνθήκες, οι ενημερωμένες αναθεωρήσεις των συστημάτων DLP έχουν αναμφισβήτητη πρακτική αξία για τους ειδικούς τεχνικούς. Πρέπει μια συγκεκριμένη λύση να περιλαμβάνεται στη λίστα δοκιμών ή θα ήταν πολύ περίπλοκη για να εφαρμοστεί σε έναν μικρό οργανισμό; Μπορεί η λύση να κλιμακωθεί σε μια εταιρεία 10.000 εργαζομένων; Μπορεί ένα σύστημα DLP να ελέγχει αρχεία CAD κρίσιμα για τις επιχειρήσεις; Μια ανοιχτή σύγκριση δεν θα αντικαταστήσει τις διεξοδικές δοκιμές, αλλά θα βοηθήσει να απαντηθούν βασικά ερωτήματα που προκύπτουν στο αρχικό στάδιο της διαδικασίας επιλογής DLP.

Μέλη

Ως συμμετέχοντες επιλέχθηκαν τα πιο δημοφιλή (σύμφωνα με το αναλυτικό κέντρο Anti-Malware.ru από τα μέσα του 2013) συστήματα DLP των εταιρειών InfoWatch, McAfee, Symantec, Websense, Zecurion και Jet Infosystem στη ρωσική αγορά ασφάλειας πληροφοριών.

Για την ανάλυση, χρησιμοποιήθηκαν εμπορικά διαθέσιμες εκδόσεις συστημάτων DLP κατά την προετοιμασία της αναθεώρησης, καθώς και τεκμηρίωση και ανοιχτές κριτικέςπροϊόντα.

Τα κριτήρια σύγκρισης συστημάτων DLP επιλέχθηκαν με βάση τις ανάγκες εταιρειών διαφόρων μεγεθών και βιομηχανιών. Το κύριο καθήκον των συστημάτων DLP είναι να αποτρέπουν διαρροές εμπιστευτικών πληροφοριών μέσω διαφόρων καναλιών.

Παραδείγματα προϊόντων από αυτές τις εταιρείες φαίνονται στα Σχήματα 1-6.
Εικόνα 3 Προϊόν Symantec

Εικόνα 4. Προϊόν InfoWatch

Εικόνα 5. Προϊόν Websense

Εικόνα 6. Προϊόν McAfee

Τρόποι λειτουργίας

Δύο βασικοί τρόποι λειτουργίας των συστημάτων DLP είναι ο ενεργητικός και ο παθητικός. Ενεργός - συνήθως ο κύριος τρόπος λειτουργίας, ο οποίος αποκλείει ενέργειες που παραβιάζουν τις πολιτικές ασφαλείας, όπως η αποστολή ευαίσθητων πληροφοριών σε ένα εξωτερικό γραμματοκιβώτιο. Η παθητική λειτουργία χρησιμοποιείται συχνότερα στο στάδιο της διαμόρφωσης του συστήματος για τον έλεγχο και την προσαρμογή των ρυθμίσεων όταν το ποσοστό των ψευδώς θετικών είναι υψηλό. Σε αυτή την περίπτωση, καταγράφονται παραβάσεις πολιτικής, αλλά δεν επιβάλλονται περιορισμοί στη διακίνηση πληροφοριών (Πίνακας 1).

Από αυτή την άποψη, όλα τα εξεταζόμενα συστήματα αποδείχθηκαν ισοδύναμα. Κάθε ένα από τα DLP μπορεί να λειτουργήσει τόσο σε ενεργή όσο και σε παθητική λειτουργία, γεγονός που δίνει στον πελάτη μια συγκεκριμένη ελευθερία. Δεν είναι όλες οι εταιρείες έτοιμες να ξεκινήσουν τη λειτουργία του DLP αμέσως σε λειτουργία αποκλεισμού - αυτό είναι γεμάτο με διαταραχές των επιχειρηματικών διαδικασιών, δυσαρέσκεια από την πλευρά των υπαλλήλων ελεγχόμενων τμημάτων και αξιώσεις (συμπεριλαμβανομένων των δικαιολογημένων) από τη διοίκηση.

Τεχνολογία

Οι τεχνολογίες ανίχνευσης καθιστούν δυνατή την ταξινόμηση πληροφοριών που μεταδίδονται μέσω ηλεκτρονικών καναλιών και τον εντοπισμό εμπιστευτικών πληροφοριών. Σήμερα, υπάρχουν αρκετές βασικές τεχνολογίες και οι ποικιλίες τους, παρόμοιες στην ουσία, αλλά διαφορετικές στην εφαρμογή. Κάθε τεχνολογία έχει και πλεονεκτήματα και μειονεκτήματα. Επιπλέον, διαφορετικοί τύποι τεχνολογιών είναι κατάλληλοι για την ανάλυση πληροφοριών διαφορετικών κατηγοριών. Ως εκ τούτου, οι κατασκευαστές λύσεων DLP προσπαθούν να ενσωματωθούν στα προϊόντα τους μέγιστο ποσότεχνολογίες (βλ. πίνακα 2).

Γενικά, τα προϊόντα παρέχουν μεγάλο αριθμό τεχνολογιών που, εάν διαμορφωθούν σωστά, παρέχουν υψηλό ποσοστό αναγνώρισης εμπιστευτικών πληροφοριών. Το DLP McAfee, η Symantec και το Websense είναι μάλλον ανεπαρκώς προσαρμοσμένα για τη ρωσική αγορά και δεν μπορούν να προσφέρουν στους χρήστες υποστήριξη για τεχνολογίες "γλώσσας" - μορφολογία, ανάλυση μεταγραφής και συγκαλυμμένο κείμενο.

Ελεγχόμενα κανάλια

Κάθε κανάλι μετάδοσης δεδομένων είναι ένα πιθανό κανάλι για διαρροές. Ακόμη και ένα ανοιχτό κανάλι μπορεί να αναιρέσει όλες τις προσπάθειες της υπηρεσίας ασφάλειας πληροφοριών που ελέγχει τις ροές πληροφοριών. Γι' αυτό είναι τόσο σημαντικό να μπλοκάρετε κανάλια που δεν χρησιμοποιούνται από τους εργαζόμενους για εργασία και να ελέγχετε τα υπόλοιπα με τη βοήθεια συστημάτων πρόληψης διαρροών.

Παρά το γεγονός ότι τα καλύτερα σύγχρονα συστήματα DLP είναι ικανά να παρακολουθούν μεγάλο αριθμό καναλιών δικτύου (βλ. Πίνακα 3), συνιστάται να αποκλείονται τα περιττά κανάλια. Για παράδειγμα, εάν ένας υπάλληλος εργάζεται σε υπολογιστή μόνο με εσωτερική βάση δεδομένων, είναι λογικό να απενεργοποιηθεί εντελώς η πρόσβασή του στο Διαδίκτυο.

Παρόμοια συμπεράσματα ισχύουν και για τοπικά κανάλια διαρροής. Είναι αλήθεια ότι σε αυτή την περίπτωση μπορεί να είναι πιο δύσκολο να αποκλείσετε μεμονωμένα κανάλια, καθώς οι θύρες χρησιμοποιούνται συχνά για τη σύνδεση περιφερειακών, συσκευών I/O κ.λπ.

Η κρυπτογράφηση διαδραματίζει ιδιαίτερο ρόλο στην αποτροπή διαρροών μέσω τοπικών θυρών, μονάδων κινητής τηλεφωνίας και συσκευών. Τα εργαλεία κρυπτογράφησης είναι αρκετά εύχρηστα, η χρήση τους μπορεί να είναι διαφανής στον χρήστη. Αλλά ταυτόχρονα, η κρυπτογράφηση σάς επιτρέπει να αποκλείσετε ολόκληρη η τάξηδιαρροές που σχετίζονται με μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες και απώλεια μονάδων κινητής τηλεφωνίας.

Η κατάσταση με τον έλεγχο των τοπικών πρακτόρων είναι γενικά χειρότερη από ό,τι με τα κανάλια δικτύου (βλ. Πίνακα 4). Ελέγχεται επιτυχώς από όλα τα προϊόντα μόνο συσκευές USB και τοπικούς εκτυπωτές. Επίσης, παρά τη σημασία της κρυπτογράφησης που σημειώθηκε παραπάνω, μια τέτοια δυνατότητα υπάρχει μόνο σε ορισμένα προϊόντα και η λειτουργία αναγκαστικής κρυπτογράφησης που βασίζεται στην ανάλυση περιεχομένου υπάρχει μόνο στο Zecurion DLP.

Για την αποφυγή διαρροών, είναι σημαντικό όχι μόνο να αναγνωρίζουμε ευαίσθητα δεδομένα κατά τη μετάδοση, αλλά και να περιορίζουμε τη διανομή των πληροφοριών σε ένα εταιρικό περιβάλλον. Για να γίνει αυτό, οι κατασκευαστές περιλαμβάνουν εργαλεία σε συστήματα DLP που μπορούν να αναγνωρίσουν και να ταξινομήσουν πληροφορίες που είναι αποθηκευμένες σε διακομιστές και σταθμούς εργασίας στο δίκτυο (βλ. Πίνακα 5). Τα δεδομένα που παραβιάζουν τις πολιτικές ασφάλειας πληροφοριών πρέπει να διαγραφούν ή να μετακινηθούν σε ασφαλή αποθήκευση.

Για την αποκάλυψη ευαίσθητων πληροφοριών για τους οικοδεσπότες εταιρικό δίκτυοχρησιμοποιούνται οι ίδιες τεχνολογίες όπως για τον έλεγχο διαρροών μέσω ηλεκτρονικών καναλιών. Η κύρια διαφορά είναι η αρχιτεκτονική. Εάν η κυκλοφορία δικτύου ή οι λειτουργίες αρχείων αναλύονται για την αποφυγή διαρροής, τότε οι αποθηκευμένες πληροφορίες, τα περιεχόμενα των σταθμών εργασίας και των διακομιστών δικτύου εξετάζονται για τον εντοπισμό μη εξουσιοδοτημένων αντιγράφων εμπιστευτικών δεδομένων.

Από τα εξεταζόμενα συστήματα DLP, μόνο το InfoWatch και το Dozor-Jet αγνοούν τη χρήση μέσων για τον εντοπισμό τοποθεσιών αποθήκευσης πληροφοριών. Αυτό δεν είναι ένα κρίσιμο χαρακτηριστικό για την πρόληψη ηλεκτρονικών διαρροών, αλλά περιορίζει σημαντικά την ικανότητα των συστημάτων DLP να αποτρέπουν προληπτικά τις διαρροές. Για παράδειγμα, όταν ένα εμπιστευτικό έγγραφο βρίσκεται σε ένα εταιρικό δίκτυο, δεν πρόκειται για διαρροή πληροφοριών. Ωστόσο, εάν η τοποθεσία αυτού του εγγράφου δεν ρυθμίζεται, εάν οι κάτοχοι πληροφοριών και οι υπεύθυνοι ασφαλείας δεν γνωρίζουν τη θέση αυτού του εγγράφου, αυτό μπορεί να οδηγήσει σε διαρροή. Είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες ή δεν θα εφαρμοστούν οι κατάλληλοι κανόνες ασφαλείας στο έγγραφο.

Ευκολία διαχείρισης

Χαρακτηριστικά όπως η ευκολία χρήσης και ο έλεγχος μπορεί να είναι εξίσου σημαντικά με τις τεχνικές δυνατότητες των λύσεων. Μετά από όλα, ένα πραγματικά πολύπλοκο προϊόν θα είναι δύσκολο να εφαρμοστεί, το έργο θα χρειαστεί περισσότερο χρόνο, προσπάθεια και, κατά συνέπεια, οικονομικά. Ένα ήδη εφαρμοσμένο σύστημα DLP απαιτεί προσοχή από ειδικούς τεχνικούς. Χωρίς σωστή συντήρηση, τακτικό έλεγχο και προσαρμογή των ρυθμίσεων, η ποιότητα της αναγνώρισης των εμπιστευτικών πληροφοριών θα μειωθεί σημαντικά με την πάροδο του χρόνου.

Η διεπαφή ελέγχου στη μητρική γλώσσα του υπεύθυνου ασφαλείας είναι το πρώτο βήμα για την απλοποίηση της εργασίας με το σύστημα DLP. Όχι μόνο θα διευκολύνει την κατανόηση για ποιο λόγο ευθύνεται αυτή ή εκείνη η ρύθμιση, αλλά θα επιταχύνει επίσης σημαντικά τη διαδικασία διαμόρφωσης μεγάλου αριθμού παραμέτρων που πρέπει να ρυθμιστούν για να λειτουργεί σωστά το σύστημα. αγγλική γλώσσαμπορεί να είναι χρήσιμο ακόμη και για ρωσόφωνους διαχειριστές για μια ξεκάθαρη ερμηνεία συγκεκριμένων τεχνικών εννοιών (βλ. πίνακα 6).

Οι περισσότερες λύσεις παρέχουν αρκετά βολικός έλεγχοςαπό μία κονσόλα (για όλα τα στοιχεία) με διεπαφή ιστού (βλ. Πίνακα 7). Οι εξαιρέσεις είναι το Russian InfoWatch (δεν υπάρχει ενιαία κονσόλα) και το Zecurion (δεν υπάρχει διεπαφή ιστού). Ταυτόχρονα, και οι δύο κατασκευαστές έχουν ήδη ανακοινώσει την εμφάνιση μιας διαδικτυακής κονσόλας στα μελλοντικά τους προϊόντα. Η έλλειψη μιας ενιαίας κονσόλας στο InfoWatch οφείλεται στη διαφορετική τεχνολογική βάση των προϊόντων. Η ανάπτυξη της δικής μας λύσης πρακτορείου σταμάτησε για αρκετά χρόνια, και η τρέχουσα EndPoint Securityείναι ο διάδοχος ενός προϊόντος τρίτου μέρους, του EgoSecure (παλαιότερα γνωστό ως cynapspro), που εξαγοράστηκε από την εταιρεία το 2012.

Ένα άλλο σημείο που μπορεί να αποδοθεί στα μειονεκτήματα της λύσης InfoWatch είναι ότι για να διαμορφώσετε και να διαχειριστείτε το κορυφαίο προϊόν DLP InfoWatch TrafficMonitor, πρέπει να γνωρίζετε ένα ειδικό σενάριο Γλώσσα LUAγεγονός που δυσχεραίνει τη λειτουργία του συστήματος. Ωστόσο, για τους περισσότερους τεχνικούς ειδικούς, η προοπτική βελτίωσης του επαγγελματικού τους επιπέδου και εκμάθησης μιας πρόσθετης, αν και όχι πολύ συνηθισμένης, γλώσσας θα πρέπει να εκλαμβάνεται θετικά.

Ο διαχωρισμός των ρόλων διαχειριστή συστήματος είναι απαραίτητος για την ελαχιστοποίηση των κινδύνων αποτροπής της εμφάνισης ενός υπερχρήστη με απεριόριστα δικαιώματα και άλλες μηχανορραφίες που χρησιμοποιούν DLP.

Καταγραφή και αναφορά

Το αρχείο DLP είναι μια βάση δεδομένων που συγκεντρώνει και αποθηκεύει συμβάντα και αντικείμενα (αρχεία, γράμματα, αιτήματα http κ.λπ.) που καταγράφονται από τους αισθητήρες του συστήματος κατά τη λειτουργία του. Οι πληροφορίες που συλλέγονται στη βάση δεδομένων μπορούν να χρησιμοποιηθούν για διάφορους σκοπούς, συμπεριλαμβανομένης της ανάλυσης ενεργειών των χρηστών, για την αποθήκευση αντιγράφων κρίσιμων εγγράφων, ως βάση για τη διερεύνηση περιστατικών ασφάλειας πληροφοριών. Επιπλέον, η βάση δεδομένων όλων των συμβάντων είναι εξαιρετικά χρήσιμη στο στάδιο της υλοποίησης ενός συστήματος DLP, καθώς βοηθά στην ανάλυση της συμπεριφοράς των στοιχείων του συστήματος DLP (για παράδειγμα, για να μάθετε γιατί ορισμένες λειτουργίες είναι αποκλεισμένες) και στην προσαρμογή των ρυθμίσεων ασφαλείας (βλ. Πίνακα 8).

Σε αυτή την περίπτωση, βλέπουμε μια θεμελιώδη αρχιτεκτονική διαφορά μεταξύ των ρωσικών και των δυτικών DLP. Οι τελευταίοι δεν αρχειοθετούν καθόλου. Σε αυτήν την περίπτωση, το ίδιο το DLP γίνεται πιο εύκολο στη συντήρηση (δεν χρειάζεται να διατηρείτε, να αποθηκεύετε, να δημιουργείτε αντίγραφα ασφαλείας και να μελετάτε τεράστιο όγκο δεδομένων), αλλά όχι και να λειτουργεί. Εξάλλου, το αρχείο συμβάντων βοηθά στη διαμόρφωση του συστήματος. Το αρχείο βοηθά να κατανοήσουμε γιατί μπλοκαρίστηκε η μετάδοση πληροφοριών, να ελέγξουμε αν ο κανόνας λειτούργησε σωστά και να γίνουν οι απαραίτητες διορθώσεις στις ρυθμίσεις του συστήματος. Θα πρέπει επίσης να σημειωθεί ότι τα συστήματα DLP δεν χρειάζονται μόνο αρχική διαμόρφωση κατά την υλοποίηση, αλλά και τακτικό «συντονισμό» κατά τη λειτουργία. Ένα σύστημα που δεν συντηρείται σωστά, δεν αναπτύσσεται από τεχνικούς ειδικούς, θα χάσει πολλά στην ποιότητα της αναγνώρισης πληροφοριών. Ως αποτέλεσμα, τόσο ο αριθμός των περιστατικών όσο και ο αριθμός των ψευδώς θετικών θα αυξηθούν.

Η αναφορά είναι ένα σημαντικό μέρος οποιασδήποτε δραστηριότητας. Η ασφάλεια των πληροφοριών δεν αποτελεί εξαίρεση. Οι αναφορές σε συστήματα DLP εκτελούν πολλές λειτουργίες ταυτόχρονα. Πρώτον, οι συνοπτικές και κατανοητές αναφορές επιτρέπουν στους επικεφαλής των υπηρεσιών ασφάλειας πληροφοριών να παρακολουθούν γρήγορα την κατάσταση της ασφάλειας των πληροφοριών χωρίς να υπεισέρχονται σε λεπτομέρειες. Δεύτερον, οι λεπτομερείς αναφορές βοηθούν τους αξιωματικούς ασφαλείας να προσαρμόσουν τις πολιτικές ασφαλείας και τις ρυθμίσεις συστήματος. Τρίτον, οι οπτικές αναφορές μπορούν πάντα να εμφανίζονται σε ανώτατα στελέχη της εταιρείας για να επιδείξουν τα αποτελέσματα του συστήματος DLP και τους ίδιους τους ειδικούς ασφάλειας πληροφοριών (βλ. Πίνακα 9).

Σχεδόν όλες οι ανταγωνιστικές λύσεις που συζητήθηκαν στην ανασκόπηση προσφέρουν τόσο γραφικές, βολικές για κορυφαία στελέχη και επικεφαλής υπηρεσιών ασφάλειας πληροφοριών, όσο και πινακικές αναφορές, πιο κατάλληλες για τεχνικούς ειδικούς. Οι αναφορές γραφικών λείπουν μόνο στο DLP InfoWatch, για το οποίο μειώθηκαν.

Πιστοποίηση

Το ζήτημα της ανάγκης πιστοποίησης για εργαλεία ασφάλειας πληροφοριών και ειδικότερα για το DLP είναι ανοιχτό, και οι ειδικοί συχνά διαφωνούν για αυτό το θέμα στις επαγγελματικές κοινότητες. Συνοψίζοντας τις απόψεις των μερών, θα πρέπει να αναγνωριστεί ότι η ίδια η πιστοποίηση δεν δίνει σοβαρά αποτελέσματα ανταγωνιστικό πλεονέκτημα. Ταυτόχρονα, υπάρχει ένας αριθμός πελατών, κυρίως κρατικοί οργανισμοί, για τους οποίους η παρουσία συγκεκριμένου πιστοποιητικού είναι υποχρεωτική.

Επιπλέον, η υπάρχουσα διαδικασία πιστοποίησης δεν συσχετίζεται καλά με τον κύκλο ανάπτυξης λογισμικού. Ως αποτέλεσμα, οι καταναλωτές έρχονται αντιμέτωποι με μια επιλογή: να αγοράσουν μια ήδη ξεπερασμένη, αλλά πιστοποιημένη έκδοση του προϊόντος ή μια ενημερωμένη, αλλά όχι πιστοποιημένη έκδοση. Η τυπική διέξοδος σε αυτήν την περίπτωση είναι να αγοράσετε ένα πιστοποιημένο προϊόν "στο ράφι" και να χρησιμοποιήσετε το νέο προϊόν σε πραγματικό περιβάλλον (βλ. Πίνακα 10).

Αποτελέσματα σύγκρισης

Ας συνοψίσουμε τις εντυπώσεις από τις εξεταζόμενες λύσεις DLP. Γενικά, όλοι οι συμμετέχοντες έκαναν θετική εντύπωση και μπορούν να χρησιμοποιηθούν για την αποφυγή διαρροών πληροφοριών. Οι διαφορές στα προϊόντα σας επιτρέπουν να καθορίσετε το εύρος της εφαρμογής τους.

Το σύστημα InfoWatch DLP μπορεί να προταθεί σε οργανισμούς για τους οποίους είναι θεμελιωδώς σημαντικό να διαθέτουν πιστοποιητικό FSTEC. Ωστόσο, το τελευταίο πιστοποιημένη έκδοσηΤο InfoWatch Traffic Monitor δοκιμάστηκε στα τέλη του 2010 και το πιστοποιητικό λήγει στα τέλη του 2013. Οι λύσεις που βασίζονται σε πράκτορες που βασίζονται στο InfoWatch EndPoint Security (γνωστές και ως EgoSecure) είναι πιο κατάλληλες για μικρές επιχειρήσεις και μπορούν να χρησιμοποιηθούν ξεχωριστά από το Traffic Monitor. ΜοιρασιάΤο Traffic Monitor και το EndPoint Security μπορεί να προκαλέσουν προβλήματα κλιμάκωσης σε μεγάλες εταιρείες.

Τα προϊόντα δυτικών κατασκευαστών (McAfee, Symantec, Websense), σύμφωνα με ανεξάρτητους αναλυτικούς φορείς, είναι πολύ λιγότερο δημοφιλή από τα ρωσικά. Ο λόγος είναι το χαμηλό επίπεδο εντοπισμού. Και δεν είναι καν η πολυπλοκότητα της διεπαφής ή η έλλειψη τεκμηρίωσης στα ρωσικά. Τα χαρακτηριστικά των τεχνολογιών για την αναγνώριση εμπιστευτικών πληροφοριών, τα προρυθμισμένα πρότυπα και οι κανόνες «ακονίζονται» για τη χρήση του DLP στις δυτικές χώρες και στοχεύουν στην εκπλήρωση δυτικών κανονιστικών απαιτήσεων. Ως αποτέλεσμα, η ποιότητα της αναγνώρισης πληροφοριών στη Ρωσία αποδεικνύεται αισθητά χειρότερη και η συμμόρφωση με τις απαιτήσεις των ξένων προτύπων είναι συχνά άσχετη. Ταυτόχρονα, τα ίδια τα προϊόντα δεν είναι καθόλου κακά, αλλά οι ιδιαιτερότητες της χρήσης συστημάτων DLP στη ρωσική αγορά είναι απίθανο να τους επιτρέψουν να γίνουν πιο δημοφιλή από τις εγχώριες εξελίξεις στο άμεσο μέλλον.

Το Zecurion DLP διακρίνεται για την καλή επεκτασιμότητα (το μόνο ρωσικό σύστημα DLP με επιβεβαιωμένη εφαρμογή για περισσότερους από 10.000 χώρους εργασίας) και την υψηλή τεχνολογική ωριμότητα. Αυτό που προκαλεί έκπληξη, ωστόσο, είναι η έλλειψη μιας διαδικτυακής κονσόλας που θα βοηθούσε στην απλούστευση της διαχείρισης μιας επιχειρηματικής λύσης που απευθύνεται σε διάφορα τμήματα της αγοράς. Τα δυνατά σημεία του Zecurion DLP περιλαμβάνουν την αναγνώριση εμπιστευτικών πληροφοριών υψηλής ποιότητας και μια πλήρη σειρά προϊόντων πρόληψης διαρροών, συμπεριλαμβανομένης της προστασίας στην πύλη, τους σταθμούς εργασίας και τους διακομιστές, τον εντοπισμό τοποθεσίας και τα εργαλεία κρυπτογράφησης δεδομένων.

Το σύστημα Dozor-Jet DLP, ένας από τους πρωτοπόρους της εγχώριας αγοράς DLP, χρησιμοποιείται ευρέως μεταξύ Ρωσικές εταιρείεςκαι συνεχίζει να διευρύνει τη βάση πελατών της λόγω των εκτεταμένων συνδέσεων του προγράμματος ενοποίησης συστήματος Jet Infosystems, του προγραμματιστή μερικής απασχόλησης και του DLP. Αν και τεχνολογικά το DLP είναι κάπως πίσω από τα πιο ισχυρά αντίστοιχά του, η χρήση του μπορεί να δικαιολογηθεί σε πολλές εταιρείες. Επιπλέον, σε αντίθεση με τις ξένες λύσεις, το Dozor Jet σάς επιτρέπει να αρχειοθετείτε όλα τα συμβάντα και τα αρχεία.


Η επιχειρηματική απόδοση σε πολλές περιπτώσεις εξαρτάται από τη διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Επί του παρόντος, μία από τις πιο πιεστικές απειλές στον τομέα της ασφάλειας πληροφοριών (IS) είναι η προστασία των εμπιστευτικών δεδομένων από μη εξουσιοδοτημένες ενέργειες των χρηστών.
Αυτό οφείλεται στο γεγονός ότι τα περισσότερα από τα παραδοσιακά εργαλεία προστασίας, όπως τα antivirus, τείχη προστασίαςΤο (Firewall) και τα συστήματα αποτροπής εισβολής (IPS) δεν είναι σε θέση να παρέχουν αποτελεσματική προστασία έναντι εμπιστευτικών πληροφοριών (insiders), σκοπός των οποίων μπορεί να είναι η μεταφορά πληροφοριών εκτός εταιρείας για μεταγενέστερη χρήση - πώληση, μεταφορά σε τρίτους, δημοσίευση σε ανοιχτή πρόσβασηκαι τα λοιπά. Για την επίλυση του προβλήματος των τυχαίων και σκόπιμων διαρροών εμπιστευτικών δεδομένων, σχεδιάστηκε Συστήματα πρόληψης απώλειας δεδομένων (DLP)..
Τέτοια συστήματα δημιουργούν μια ασφαλή «ψηφιακή περίμετρο» γύρω από τον οργανισμό, αναλύοντας όλες τις εξερχόμενες, και σε ορισμένες περιπτώσεις, τις εισερχόμενες πληροφορίες. Οι ελεγχόμενες πληροφορίες δεν είναι μόνο η κίνηση στο Διαδίκτυο, αλλά και μια σειρά από άλλες ροές πληροφοριών: έγγραφα που λαμβάνονται εκτός του προστατευμένου βρόχου ασφαλείας σε εξωτερικά μέσα, εκτυπώνονται σε εκτυπωτή, αποστέλλονται σε μέσα κινητής τηλεφωνίας μέσω Bluetooth, WiFi κ.λπ.
Τα συστήματα DLP αναλύουν τις ροές δεδομένων που διασχίζουν την περίμετρο του προστατευμένου συστήματος πληροφοριών. Όταν εντοπίζονται εμπιστευτικές πληροφορίες σε αυτήν τη ροή, το ενεργό συστατικόσύστημα και η μετάδοση ενός μηνύματος (πακέτο, ροή, περίοδος λειτουργίας) είναι μπλοκαρισμένη. Η αναγνώριση εμπιστευτικών πληροφοριών σε ροές δεδομένων πραγματοποιείται με ανάλυση του περιεχομένου και εντοπισμό ειδικών χαρακτηριστικών: την υπογραφή του εγγράφου, ειδικά εισαγόμενες ετικέτες, τιμές συνάρτησης κατακερματισμού από ένα συγκεκριμένο σύνολο κ.λπ.
Τα σύγχρονα συστήματα DLP έχουν τεράστιο αριθμό παραμέτρων και χαρακτηριστικών που πρέπει να ληφθούν υπόψη κατά την επιλογή μιας λύσης για την οργάνωση της προστασίας εμπιστευτικών πληροφοριών από διαρροές. Ίσως το πιο σημαντικό από αυτά είναι η αρχιτεκτονική δικτύου που χρησιμοποιείται. Σύμφωνα με αυτή την παράμετρο, τα προϊόντα της εξεταζόμενης κατηγορίας χωρίζονται σε δύο μεγάλες ομάδες: πύλη (Εικ. 1) και κεντρικός υπολογιστής (Εικ. 2).
Η πρώτη ομάδα χρησιμοποιεί έναν μόνο διακομιστή στον οποίο κατευθύνεται όλη η εξερχόμενη κίνηση δικτύου του εταιρικού συστήματος πληροφοριών. Αυτή η πύλη την επεξεργάζεται προκειμένου να ανιχνεύσει πιθανές διαρροές εμπιστευτικών δεδομένων.

Ρύζι. 1. Λειτουργικό διάγραμμα λύσης DLP πύλης

Η δεύτερη επιλογή βασίζεται στη χρήση ειδικά προγράμματα– πράκτορες που είναι εγκατεστημένοι στους τερματικούς κόμβους του δικτύου – σταθμοί εργασίας, διακομιστές εφαρμογών κ.λπ.

Ρύζι. 2. Λειτουργικό διάγραμμα της λύσης ξενιστή DLP

Πρόσφατα, υπήρξε μια ισχυρή τάση προς την καθολικότητα των συστημάτων DLP. Δεν υπάρχουν ή σχεδόν καθόλου λύσεις στην αγορά που θα μπορούσαν να ονομαστούν αμιγώς λύσεις κεντρικού υπολογιστή ή πύλης. Ακόμη και εκείνοι οι προγραμματιστές που αναπτύσσουν μόνο μία κατεύθυνση για μεγάλο χρονικό διάστημα προσθέτουν ενότητες του δεύτερου τύπου στις λύσεις τους.
Υπάρχουν δύο λόγοι για τη μετάβαση στην καθολικότητα των λύσεων DLP. Το πρώτο από αυτά είναι διαφορετικοί τομείς εφαρμογής για διαφορετικούς τύπους συστημάτων. Όπως αναφέρθηκε παραπάνω, οι λύσεις φιλοξενίας DLP σάς επιτρέπουν να ελέγχετε όλα τα είδη τοπικών και δικτυακών καναλιών Διαδικτύου για τη διαρροή εμπιστευτικών πληροφοριών. Με βάση το γεγονός ότι στη συντριπτική πλειοψηφία των περιπτώσεων ένας οργανισμός χρειάζεται πλήρη προστασία, χρειάζεται και τα δύο. Ο δεύτερος λόγος για την καθολικότητα είναι ορισμένα τεχνολογικά χαρακτηριστικά και περιορισμοί που δεν επιτρέπουν στα αμιγώς gateway συστήματα DLP να ελέγχουν πλήρως όλα τα απαραίτητα κανάλια Διαδικτύου.
Δεδομένου ότι δεν είναι δυνατό να απαγορευθεί πλήρως η χρήση δυνητικά επικίνδυνων καναλιών μετάδοσης δεδομένων, είναι δυνατό να τεθούν υπό έλεγχο. Η ουσία του ελέγχου είναι η παρακολούθηση όλων των μεταδιδόμενων πληροφοριών, ο εντοπισμός εμπιστευτικών πληροφοριών μεταξύ τους και η εκτέλεση ορισμένων λειτουργιών που καθορίζονται από την πολιτική ασφαλείας του οργανισμού. Προφανώς, η κύρια, πιο σημαντική και χρονοβόρα εργασία είναι η ανάλυση δεδομένων. Από την ποιότητά του εξαρτάται η αποτελεσματικότητα ολόκληρου του συστήματος DLP.

Μέθοδοι ανάλυσης ροής δεδομένων για DLP

Το έργο της ανάλυσης της ροής δεδομένων για τον εντοπισμό εμπιστευτικών πληροφοριών μπορεί με ασφάλεια να ονομαστεί μη τετριμμένο. Δεδομένου ότι η αναζήτηση των απαραίτητων δεδομένων περιπλέκεται από πολλούς παράγοντες που πρέπει να ληφθούν υπόψη. Ως εκ τούτου, μέχρι σήμερα, έχουν αναπτυχθεί αρκετές τεχνολογίες για τον εντοπισμό προσπαθειών μεταφοράς εμπιστευτικών δεδομένων. Καθένα από αυτά διαφέρει από τα άλλα ως προς την αρχή λειτουργίας του.
Συμβατικά, όλες οι μέθοδοι ανίχνευσης διαρροών μπορούν να χωριστούν σε δύο ομάδες. Η πρώτη περιλαμβάνει εκείνες τις τεχνολογίες που βασίζονται στην ανάλυση των κειμένων των ίδιων των μεταδιδόμενων μηνυμάτων ή εγγράφων (μορφολογικές και στατιστικές αναλύσεις, πρότυπα). Κατ' αναλογία με προστασία από ιούςμπορούν να ονομαστούν προληπτικά. Η δεύτερη ομάδα αποτελείται από αντιδραστικές μεθόδους (ψηφιακές εκτυπώσεις και σημάδια). Ανιχνεύουν διαρροές από τις ιδιότητες των εγγράφων ή την παρουσία ειδικών σημάτων σε αυτά.

Μορφολογική ανάλυση

Η μορφολογική ανάλυση είναι μια από τις πιο κοινές μεθόδους περιεχομένου για τον εντοπισμό διαρροών εμπιστευτικών πληροφοριών. Η ουσία αυτής της μεθόδου είναι η αναζήτηση συγκεκριμένων λέξεων ή/και φράσεων στο μεταδιδόμενο κείμενο.
Το κύριο πλεονέκτημα αυτής της μεθόδου είναι η ευελιξία της. Από τη μία πλευρά, η μορφολογική ανάλυση μπορεί να χρησιμοποιηθεί για τον έλεγχο οποιωνδήποτε καναλιών επικοινωνίας, ξεκινώντας από τα αρχεία που αντιγράφονται αφαιρούμενες μονάδες δίσκουκαι τελειώνει με μηνύματα σε ICQ, Skype, στα κοινωνικά δίκτυα, και από την άλλη πλευρά, μπορεί να χρησιμοποιηθεί για την ανάλυση τυχόν κειμένων και την παρακολούθηση οποιασδήποτε πληροφορίας. Ταυτόχρονα, τα εμπιστευτικά έγγραφα δεν χρειάζονται καμία προκαταρκτική επεξεργασία. Και η προστασία τίθεται σε ισχύ αμέσως μετά την ενεργοποίηση των κανόνων επεξεργασίας και ισχύει για όλα τα καθορισμένα κανάλια επικοινωνίας.
Το κύριο μειονέκτημα της μορφολογικής ανάλυσης είναι η σχετικά χαμηλή αποτελεσματικότητα ανίχνευσης εμπιστευτικών πληροφοριών. Επιπλέον, εξαρτάται τόσο από τους αλγόριθμους που χρησιμοποιούνται στο σύστημα προστασίας όσο και από την ποιότητα του σημασιολογικός πυρήνας, το οποίο χρησιμοποιείται για την περιγραφή των προστατευόμενων δεδομένων.

Στατιστική ανάλυση

Η αρχή λειτουργίας των στατιστικών μεθόδων έγκειται στην πιθανολογική ανάλυση του κειμένου, η οποία μας επιτρέπει να υποθέσουμε την εμπιστευτικότητα ή τη διαφάνεια του. Η εργασία τους συνήθως απαιτεί προκαταρκτική εκπαίδευση του αλγορίθμου. Κατά τη διάρκειά του, υπολογίζεται η πιθανότητα εύρεσης συγκεκριμένων λέξεων, καθώς και φράσεων σε απόρρητα έγγραφα.
Το πλεονέκτημα της στατιστικής ανάλυσης είναι η ευελιξία της. Παράλληλα, αξίζει να σημειωθεί ότι αυτή η τεχνολογίαλειτουργεί στην κανονική λειτουργία μόνο στο πλαίσιο της διατήρησης της συνεχούς εκμάθησης του αλγορίθμου. Έτσι, για παράδειγμα, εάν κατά τη διαδικασία εκμάθησης προσφέρθηκε στο σύστημα ανεπαρκής αριθμός συμβάσεων, τότε δεν θα μπορεί να προσδιορίσει το γεγονός της μεταφοράς τους. Δηλαδή, η ποιότητα της στατιστικής ανάλυσης εξαρτάται από την ορθότητα των ρυθμίσεών της. Ταυτόχρονα, είναι απαραίτητο να ληφθεί υπόψη η πιθανολογική φύση αυτής της τεχνολογίας.

Κανονικές εκφράσεις (μοτίβα)

Η ουσία της μεθόδου είναι η εξής: ο διαχειριστής ασφαλείας ορίζει ένα πρότυπο συμβολοσειράς για εμπιστευτικά δεδομένα: τον αριθμό των χαρακτήρων και τον τύπο τους (γράμμα ή αριθμός). Μετά από αυτό, το σύστημα αρχίζει να αναζητά συνδυασμούς στα αναλυμένα κείμενα που το ικανοποιούν και εφαρμόζει τις ενέργειες που καθορίζονται στους κανόνες στα αρχεία ή τα μηνύματα που βρέθηκαν.
Το κύριο πλεονέκτημα των προτύπων είναι η υψηλή αποτελεσματικότητα στον εντοπισμό της μεταφοράς εμπιστευτικών πληροφοριών. Όσον αφορά τα περιστατικά τυχαίας διαρροής, τείνει στο 100%. Οι περιπτώσεις με σκόπιμες μεταγραφές είναι πιο περίπλοκες. Γνωρίζοντας τις δυνατότητες του χρησιμοποιούμενου συστήματος DLP, ένας εισβολέας μπορεί να το αντιμετωπίσει, ειδικότερα, διαχωρίζοντας χαρακτήρες με διαφορετικούς χαρακτήρες. Ως εκ τούτου, οι μέθοδοι που χρησιμοποιούνται για την προστασία των εμπιστευτικών πληροφοριών πρέπει να παραμένουν μυστικές.
Τα μειονεκτήματα των προτύπων περιλαμβάνουν, πρώτα απ 'όλα, το περιορισμένο πεδίο εφαρμογής τους. Μπορούν να χρησιμοποιηθούν μόνο για τυποποιημένες πληροφορίες, όπως η προστασία προσωπικών δεδομένων. Ένα άλλο μειονέκτημα της υπό εξέταση μεθόδου είναι η σχετικά υψηλή συχνότητα των ψευδώς θετικών. Για παράδειγμα, ένας αριθμός διαβατηρίου αποτελείται από έξι ψηφία. Αλλά, αν ορίσετε ένα τέτοιο μοτίβο, τότε θα λειτουργεί κάθε φορά που βρίσκονται 6 ψηφία στη σειρά. Και αυτός μπορεί να είναι ο αριθμός συμβολαίου που αποστέλλεται στον πελάτη, το ποσό κ.λπ.

Ψηφιακές εκτυπώσεις

Στην περίπτωση αυτή, ένα ψηφιακό αποτύπωμα νοείται ως ένα σύνολο χαρακτηριστικών στοιχείων ενός εγγράφου, με το οποίο μπορεί να προσδιοριστεί με μεγάλη βεβαιότητα στο μέλλον. Οι σύγχρονες λύσεις DLP είναι σε θέση να ανιχνεύουν όχι μόνο ολόκληρα αρχεία, αλλά και θραύσματά τους. Σε αυτή την περίπτωση, μπορείτε ακόμη και να υπολογίσετε τον βαθμό συμμόρφωσης. Τέτοιες λύσεις σας επιτρέπουν να δημιουργήσετε διαφοροποιημένους κανόνες που περιγράφουν διαφορετικές ενέργειεςγια διαφορετικά ποσοστά αντιστοιχίας.
Ένα σημαντικό χαρακτηριστικό των ψηφιακών εκτυπώσεων είναι ότι μπορούν να χρησιμοποιηθούν όχι μόνο για κείμενο, αλλά και για έγγραφα υπολογιστικού φύλλουκαι επίσης για εικόνες. Αυτό ανοίγει ένα ευρύ πεδίο για την εφαρμογή της υπό εξέταση τεχνολογίας.

Ψηφιακές ετικέτες

Αρχή αυτή τη μέθοδοεπόμενο: εφαρμόζονται ειδικά σημάδια στα επιλεγμένα έγγραφα, τα οποία είναι ορατά μόνο στις μονάδες πελάτη της χρησιμοποιούμενης λύσης DLP. Ανάλογα με την παρουσία τους, το σύστημα επιτρέπει ή απαγορεύει ορισμένες ενέργειες με αρχεία. Αυτό επιτρέπει όχι μόνο να αποτρέψει τη διαρροή εμπιστευτικών εγγράφων, αλλά και να περιορίσει την εργασία των χρηστών μαζί τους, κάτι που αποτελεί αναμφισβήτητο πλεονέκτημα αυτής της τεχνολογίας.
Τα μειονεκτήματα αυτής της τεχνολογίας περιλαμβάνουν, πρώτα απ 'όλα, το περιορισμένο πεδίο εφαρμογής της. Μπορεί μόνο να προστατευτεί έγγραφα κειμένουκαι τα ήδη υπάρχοντα. Αυτό δεν ισχύει για έγγραφα που δημιουργήθηκαν πρόσφατα. Εν μέρει, αυτό το μειονέκτημα ισοπεδώνεται με μεθόδους αυτόματης δημιουργίας ετικετών, για παράδειγμα, με βάση ένα σύνολο λέξεων-κλειδιών. Ωστόσο, αυτή η πτυχή υποβιβάζει την τεχνολογία των ψηφιακών ετικετών στην τεχνολογία της μορφολογικής ανάλυσης, δηλαδή, στην πραγματικότητα, στην επικάλυψη τεχνολογιών.
Ένα άλλο μειονέκτημα της τεχνολογίας ψηφιακών ετικετών είναι ότι μπορεί εύκολα να παρακαμφθεί. Αρκεί να πληκτρολογήσετε με μη αυτόματο τρόπο το κείμενο του εγγράφου στο γράμμα (μην το αντιγράψετε από το πρόχειρο, αλλά πληκτρολογήστε το) και αυτή τη μέθοδοθα είναι ανίσχυρος. Επομένως, είναι καλό μόνο σε συνδυασμό με άλλες μεθόδους προστασίας.

Κύριες λειτουργίες των συστημάτων DLP:

Οι κύριες λειτουργίες των συστημάτων DLP απεικονίζονται στο παρακάτω σχήμα (Εικ. 3)

  • έλεγχος μεταφοράς πληροφοριών μέσω του Διαδικτύου με χρήση E-Mail, HTTP, HTTPS, FTP, Skype, ICQ και άλλων εφαρμογών και πρωτοκόλλων·
  • έλεγχος αποθήκευσης πληροφοριών σε εξωτερικά μέσα - CD, DVD, flash, Κινητά τηλέφωνακαι τα λοιπά.;
  • προστασία των πληροφοριών από διαρροή με τον έλεγχο της παραγωγής των δεδομένων προς εκτύπωση·
  • αποκλεισμός προσπαθειών αποστολής / αποθήκευσης εμπιστευτικών δεδομένων, ενημέρωση διαχειριστών ασφάλειας πληροφοριών για περιστατικά, δημιουργία σκιωδών αντιγράφων, χρήση φακέλου καραντίνας.
  • αναζήτηση εμπιστευτικών πληροφοριών σε σταθμούς εργασίας και διακομιστές αρχείωνμε λέξεις-κλειδιά, ετικέτες εγγράφων, χαρακτηριστικά αρχείων και ψηφιακά δακτυλικά αποτυπώματα.
  • πρόληψη διαρροών πληροφοριών μέσω ελέγχου κύκλος ζωήςκαι διακίνηση εμπιστευτικών πληροφοριών.

Ρύζι. 3. Κύριες λειτουργίες των συστημάτων DLP

Η προστασία των εμπιστευτικών πληροφοριών σε ένα σύστημα DLP πραγματοποιείται σε τρία επίπεδα:

Επίπεδο 1 - Δεδομένα σε κίνηση– δεδομένα που μεταδίδονται μέσω καναλιών δικτύου:

  • web (πρωτόκολλα HTTP/HTTPS)·
  • υπηρεσίες ανταλλαγής άμεσων μηνυμάτων (ICQ, QIP, Skype, MSN, κ.λπ.)
  • εταιρική και προσωπική αλληλογραφία (POP, SMTP, IMAP, κ.λπ.)
  • ασύρματα συστήματα (WiFi, Bluetooth, 3G, κ.λπ.);
  • ftp - συνδέσεις.

Επίπεδο 2 - Δεδομένα σε κατάσταση ηρεμίας- δεδομένα που αποθηκεύονται στατικά σε:

  • διακομιστές?
  • σταθμοί εργασίας?
  • φορητοί υπολογιστές?
  • συστήματα αποθήκευσης δεδομένων (SHD).

Επίπεδο 3 - Δεδομένα σε χρήση– δεδομένα που χρησιμοποιούνται σε σταθμούς εργασίας.

Το σύστημα κλάσης DLP περιλαμβάνει τα ακόλουθα στοιχεία:

  • κέντρο ελέγχου και παρακολούθησης·
  • πράκτορες σε σταθμούς εργασίας χρήστη·
  • Η πύλη δικτύου DLP είναι εγκατεστημένη στην άκρη του Διαδικτύου.

Στα συστήματα DLP, οι εμπιστευτικές πληροφορίες μπορούν να προσδιοριστούν από μια σειρά από διαφορετικά χαρακτηριστικά, καθώς και διαφορετικοί τρόποι, τα κυριότερα είναι:

  • Μορφολογική ανάλυση πληροφοριών·
  • στατιστική ανάλυση πληροφοριών·
  • κανονικές εκφράσεις (πρότυπα).
  • μέθοδος ψηφιακών δακτυλικών αποτυπωμάτων.
  • μέθοδος ψηφιακής ετικέτας.

Η εισαγωγή των συστημάτων DLP εδώ και πολύ καιρό δεν ήταν απλώς μόδα, αλλά ανάγκη, γιατί η διαρροή εμπιστευτικών δεδομένων μπορεί να οδηγήσει σε τεράστια ζημιά στην εταιρεία και, το σημαντικότερο, να έχει μακροπρόθεσμο αντίκτυπο στις επιχειρήσεις της εταιρείας. Σε αυτή την περίπτωση, η ζημιά μπορεί να είναι όχι μόνο άμεση, αλλά και έμμεση. Γιατί πέρα ​​από την κύρια ζημιά, ειδικά στην περίπτωση αποκάλυψης πληροφοριών για το περιστατικό, η εταιρεία σας «χάνει πρόσωπο». Είναι πολύ, πολύ δύσκολο να εκτιμήσεις τη ζημιά από την απώλεια φήμης σε χρήματα! Ωστόσο, ο απώτερος στόχος της δημιουργίας ενός συστήματος ασφάλειας τεχνολογίας πληροφοριών είναι να αποτραπεί ή να ελαχιστοποιηθεί η ζημιά (άμεση ή έμμεση, υλική, ηθική ή άλλη) που προκαλείται στα υποκείμενα των σχέσεων πληροφοριών μέσω ανεπιθύμητων επιπτώσεων στις πληροφορίες, τους φορείς και τις διαδικασίες επεξεργασίας.

Το σύστημα D LP χρησιμοποιείται όταν είναι απαραίτητο για την προστασία εμπιστευτικών δεδομένων από εσωτερικές απειλές. Και αν οι ειδικοί στην ασφάλεια πληροφοριών έχουν κατακτήσει επαρκώς και εφαρμόζουν εργαλεία για την προστασία από εξωτερικούς εισβολείς, τότε τα πράγματα δεν είναι τόσο ομαλά με τους εσωτερικούς.

Η χρήση ενός συστήματος DLP στη δομή ασφάλειας πληροφοριών προϋποθέτει ότι ο ειδικός σε θέματα ασφάλειας πληροφοριών κατανοεί:

  • πώς οι υπάλληλοι της εταιρείας μπορούν να διαρρεύσουν εμπιστευτικά δεδομένα·
  • ποιες πληροφορίες πρέπει να προστατεύονται από την απειλή παραβίασης του απορρήτου.

Η ολοκληρωμένη γνώση θα βοηθήσει τον ειδικό να κατανοήσει καλύτερα τις αρχές της εργασίας Τεχνολογίες DLPκαι διαμορφώστε την προστασία από διαρροές με τον σωστό τρόπο.

Ένα σύστημα DLP πρέπει να μπορεί να διακρίνει μεταξύ εμπιστευτικών και μη εμπιστευτικών πληροφοριών. Εάν αναλύσετε όλα τα δεδομένα στο σύστημα πληροφοριών του οργανισμού, υπάρχει πρόβλημα υπερβολικού φόρτου στους πόρους και το προσωπικό πληροφορικής. Το DLP λειτουργεί κυρίως σε συνδυασμό με έναν υπεύθυνο ειδικό, ο οποίος όχι μόνο «διδάσκει» στο σύστημα να λειτουργεί σωστά, εισάγει νέους και διαγράφει άσχετους κανόνες, αλλά παρακολουθεί επίσης τρέχοντα, μπλοκαρισμένα ή ύποπτα συμβάντα στο πληροφοριακό σύστημα.

Για τη διαμόρφωση των παραμέτρων "SearchInform CIB" χρησιμοποιούνται- κανόνες για την αντιμετώπιση περιστατικών ασφάλειας πληροφοριών. Το σύστημα διαθέτει 250 προκαθορισμένες πολιτικές που μπορούν να προσαρμοστούν στις ανάγκες της εταιρείας.

Η λειτουργικότητα ενός συστήματος DLP είναι χτισμένη γύρω από τον "πυρήνα" - έναν αλγόριθμο λογισμικού που είναι υπεύθυνος για τον εντοπισμό και την κατηγοριοποίηση πληροφοριών που πρέπει να προστατεύονται από διαρροές. Στον πυρήνα των περισσότερων λύσεων DLP βρίσκονται δύο τεχνολογίες: η γλωσσική ανάλυση και η τεχνολογία που βασίζεται σε στατιστικές μεθόδους. Επίσης, λιγότερο κοινές τεχνικές μπορούν να χρησιμοποιηθούν στον πυρήνα, όπως η χρήση ετικετών ή επίσημων μεθόδων ανάλυσης.

Οι προγραμματιστές συστημάτων πρόληψης διαρροών συμπληρώνουν τον μοναδικό αλγόριθμο λογισμικού με πράκτορες συστήματος, μηχανισμούς διαχείρισης περιστατικών, αναλυτές, αναλυτές πρωτοκόλλου, παρεμποδιστές και άλλα εργαλεία.

Τα πρώιμα συστήματα DLP βασίστηκαν σε μία μέθοδο στον πυρήνα: είτε τη γλωσσική είτε τη στατιστική ανάλυση. Στην πράξη, οι ελλείψεις των δύο τεχνολογιών αντισταθμίστηκαν δυνάμειςτο ένα το άλλο, και η εξέλιξη του DLP οδήγησε στη δημιουργία συστημάτων που είναι καθολικά ως προς τον «πυρήνα».

Γλωσσική μέθοδος ανάλυσηςλειτουργεί απευθείας με τα περιεχόμενα του αρχείου και του εγγράφου. Αυτό σας επιτρέπει να αγνοήσετε παραμέτρους όπως το όνομα αρχείου, την παρουσία ή την απουσία σφραγίδας στο έγγραφο, ποιος δημιούργησε το έγγραφο και πότε. Η τεχνολογία γλωσσικής ανάλυσης περιλαμβάνει:

  • μορφολογική ανάλυση - αναζήτηση όλων των πιθανών μορφών λέξεων πληροφοριών που πρέπει να προστατεύονται από διαρροή.
  • σημασιολογική ανάλυση - αναζήτηση για εμφανίσεις σημαντικών (βασικών) πληροφοριών στα περιεχόμενα ενός αρχείου, ο αντίκτυπος των περιστατικών στα ποιοτικά χαρακτηριστικά του αρχείου, αξιολόγηση του πλαισίου χρήσης.

Η γλωσσική ανάλυση δείχνει υψηλή ποιότητα εργασίας με μεγάλο όγκο πληροφοριών. Για μαζικό κείμενο, ένα σύστημα DLP με αλγόριθμο γλωσσικής ανάλυσης θα επιλέξει με μεγαλύτερη ακρίβεια τη σωστή κλάση, θα την αντιστοιχίσει στην επιθυμητή κατηγορία και θα εκτελέσει τον διαμορφωμένο κανόνα. Για μικρά έγγραφα, είναι καλύτερο να χρησιμοποιήσετε την τεχνική stop words, η οποία έχει αποδειχθεί αποτελεσματικά στην καταπολέμηση των ανεπιθύμητων μηνυμάτων.

Η μάθηση σε συστήματα με αλγόριθμο γλωσσικής ανάλυσης υλοποιείται στις υψηλό επίπεδο. Τα πρώιμα συστήματα DLP είχαν δυσκολία με την κατηγοριοποίηση και άλλα βήματα «μάθησης», αλλά μέσα σύγχρονα συστήματαΚαθορίζονται καθιερωμένοι αλγόριθμοι αυτομάθησης: αναγνώριση σημείων κατηγοριών, ικανότητα ανεξάρτητου σχηματισμού και αλλαγής των κανόνων απόκρισης. Για εγκατάσταση πληροφοριακά συστήματαπαρόμοιος συστήματα λογισμικούΗ προστασία δεδομένων δεν απαιτείται πλέον για τη συμμετοχή γλωσσολόγων.

Τα μειονεκτήματα της γλωσσικής ανάλυσης περιλαμβάνουν τη δέσμευση σε μια συγκεκριμένη γλώσσα, όταν είναι αδύνατο να χρησιμοποιηθεί ένα σύστημα DLP με «αγγλικό» πυρήνα για την ανάλυση των ροών πληροφοριών στη ρωσική γλώσσα και το αντίστροφο. Ένα άλλο μειονέκτημα σχετίζεται με τη δυσκολία μιας σαφούς κατηγοριοποίησης χρησιμοποιώντας μια πιθανολογική προσέγγιση, η οποία διατηρεί την ακρίβεια της απόκρισης εντός 95%, ενώ η διαρροή οποιουδήποτε όγκου εμπιστευτικών πληροφοριών μπορεί να είναι κρίσιμη για μια εταιρεία.

Στατιστικές μέθοδοι ανάλυσης, αντίθετα, επιδεικνύουν ακρίβεια κοντά στο 100%. Το μειονέκτημα του στατιστικού πυρήνα σχετίζεται με τον ίδιο τον αλγόριθμο της ανάλυσης.

Στο πρώτο στάδιο, το έγγραφο (κείμενο) χωρίζεται σε τμήματα αποδεκτού μεγέθους (όχι χαρακτήρα ανά χαρακτήρα, αλλά αρκετά για να διασφαλιστεί η ακρίβεια της λειτουργίας). Ένας κατακερματισμός αφαιρείται από τα θραύσματα (στα συστήματα DLP συναντάται ως ο όρος Digital Fingerprint). Στη συνέχεια, ο κατακερματισμός συγκρίνεται με τον κατακερματισμό του τμήματος αναφοράς που λαμβάνεται από το έγγραφο. Εάν υπάρχει αντιστοιχία, το σύστημα επισημαίνει το έγγραφο ως εμπιστευτικό και ενεργεί σύμφωνα με τις πολιτικές ασφαλείας.

Το μειονέκτημα της στατιστικής μεθόδου είναι ότι ο αλγόριθμος δεν είναι σε θέση να μάθει, να σχηματίσει κατηγορίες και να πληκτρολογήσει μόνος του. Ως αποτέλεσμα, εξαρτάται από την ικανότητα ενός ειδικού και την πιθανότητα να ορίσετε έναν κατακερματισμό τέτοιου μεγέθους ώστε η ανάλυση να δώσει έναν υπερβολικό αριθμό ψευδώς θετικών αποτελεσμάτων. Δεν είναι δύσκολο να εξαλείψετε το μειονέκτημα εάν ακολουθήσετε τις συστάσεις του προγραμματιστή για τη ρύθμιση του συστήματος.

Ένα άλλο μειονέκτημα σχετίζεται με το σχηματισμό κατακερματισμών. Σε προηγμένα συστήματα πληροφορικής που δημιουργούν μεγάλες ποσότητες δεδομένων, η βάση δεδομένων δακτυλικών αποτυπωμάτων μπορεί να φτάσει σε τέτοιο μέγεθος που ο έλεγχος της κυκλοφορίας για αντιστοιχίσεις με το πρότυπο θα επιβραδύνει σοβαρά ολόκληρο το σύστημα πληροφοριών.

Το πλεονέκτημα των λύσεων είναι ότι η αποτελεσματικότητα της στατιστικής ανάλυσης δεν εξαρτάται από τη γλώσσα και την παρουσία μη κειμενικών πληροφοριών στο έγγραφο. Ο κατακερματισμός αφαιρείται εξίσου καλά από την αγγλική φράση και από την εικόνα και από το απόσπασμα του βίντεο.

Οι γλωσσικές και στατιστικές μέθοδοι δεν είναι κατάλληλες για την ανίχνευση δεδομένων συγκεκριμένης μορφής για οποιοδήποτε έγγραφο, όπως αριθμούς λογαριασμού ή διαβατήρια. Για τον εντοπισμό τέτοιων τυπικών δομών στη συστοιχία πληροφοριών, οι επίσημες τεχνολογίες ανάλυσης δομής εισάγονται στον πυρήνα του συστήματος DLP.

Μια λύση DLP υψηλής ποιότητας χρησιμοποιεί όλα τα εργαλεία ανάλυσης που λειτουργούν διαδοχικά, συμπληρώνοντας το ένα το άλλο.

Μπορείτε να προσδιορίσετε ποιες τεχνολογίες υπάρχουν στον πυρήνα.

Εξίσου σημαντικά με τη λειτουργικότητα του πυρήνα είναι τα επίπεδα ελέγχου στα οποία λειτουργεί το σύστημα DLP. Υπάρχουν δύο από αυτά:

Οι προγραμματιστές των σύγχρονων προϊόντων DLP έχουν εγκαταλείψει τη χωριστή εφαρμογή της προστασίας στρώματος, καθώς τόσο οι τελικές συσκευές όσο και το δίκτυο πρέπει να προστατεύονται από διαρροές.

Έλεγχος επιπέδου δικτύουΤαυτόχρονα, θα πρέπει να παρέχει τη μέγιστη δυνατή κάλυψη πρωτοκόλλων και υπηρεσιών δικτύου. Δεν μιλάμε μόνο για "παραδοσιακά" κανάλια (, FTP,), αλλά και για νεότερα συστήματα ανταλλαγής δικτύου (Instant Messengers,). Δυστυχώς, δεν είναι δυνατός ο έλεγχος της κρυπτογραφημένης κίνησης σε επίπεδο δικτύου, αλλά αυτό το πρόβλημαστα συστήματα DLP επιλύεται σε επίπεδο κεντρικού υπολογιστή.

Έλεγχος επιπέδου κεντρικού υπολογιστήσας επιτρέπει να επιλύετε περισσότερες εργασίες παρακολούθησης και ανάλυσης. Στην πραγματικότητα, η υπηρεσία ασφάλειας πληροφοριών λαμβάνει ένα εργαλείο για τον πλήρη έλεγχο των ενεργειών των χρηστών σταθμός εργασίας. Το DLP με αρχιτεκτονική κεντρικού υπολογιστή σάς επιτρέπει να παρακολουθείτε τι, ποια έγγραφα, τι πληκτρολογείται στο πληκτρολόγιο, ηχογραφείτε υλικό ήχου και κάνετε. Η κρυπτογραφημένη κίνηση παρεμποδίζεται στο επίπεδο τερματικού σταθμού εργασίας () και τα δεδομένα που υποβάλλονται σε επεξεργασία και αποθηκεύονται αυτήν τη στιγμή στον υπολογιστή του χρήστη είναι ανοιχτά για επαλήθευση.

Εκτός από την επίλυση κοινών εργασιών, τα συστήματα DLP με έλεγχο σε επίπεδο κεντρικού υπολογιστή παρέχουν πρόσθετα μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών: έλεγχος εγκατάστασης και τροποποίησης λογισμικού, αποκλεισμός θυρών I/O κ.λπ.

Τα μειονεκτήματα μιας υλοποίησης κεντρικού υπολογιστή είναι ότι τα συστήματα με ένα εκτεταμένο σύνολο λειτουργιών είναι πιο δύσκολα στη διαχείριση, είναι πιο απαιτητικά για τους πόρους του ίδιου του σταθμού εργασίας. Ο διακομιστής ελέγχου καλεί τακτικά τη μονάδα "agent" στην τελική συσκευή για να ελέγξει τη διαθεσιμότητα και τη συνάφεια των ρυθμίσεων. Επιπλέον, μέρος των πόρων του σταθμού εργασίας χρήστη θα «φαγωθεί» αναπόφευκτα από τη μονάδα DLP. Επομένως, ακόμη και στο στάδιο της επιλογής μιας λύσης για την αποφυγή διαρροής, είναι σημαντικό να δίνετε προσοχή στις απαιτήσεις υλικού.

Η αρχή του διαχωρισμού των τεχνολογιών στα συστήματα DLP ανήκει στο παρελθόν. Μοντέρνο λύσεις λογισμικούγια την αποφυγή διαρροών, χρησιμοποιούνται μέθοδοι που αντισταθμίζουν τις ελλείψεις του άλλου. Χάρη σε μια ολοκληρωμένη προσέγγιση, τα εμπιστευτικά δεδομένα εντός της περιμέτρου της ασφάλειας πληροφοριών γίνονται πιο ανθεκτικά στις απειλές.