Wybór konkretnego systemu DLP zależy od wymaganego poziomu bezpieczeństwa danych i zawsze dobierany jest indywidualnie. Aby uzyskać pomoc w wyborze systemu DLP i kalkulacji kosztów jego wdrożenia w infrastrukturze IT firmy zostaw zgłoszenie, a skontaktujemy się z Tobą jak najszybciej.
Co to jest system DLP
System DLP(Data Leak Prevention w tłumaczeniu z języka angielskiego - środki zapobiegające wyciekowi danych) to technologie i urządzenia techniczne, które zapobiegają wyciekowi poufnych informacji z systemów informatycznych.
Systemy DLP analizują przepływy danych i kontrolują ich przemieszczanie w określonym obszarze chronionego systemu informatycznego. Mogą to być połączenia FTP, poczta firmowa i internetowa, połączenia lokalne, a także wysyłanie wiadomości błyskawicznych i danych do drukarki. W przypadku przekształcenia informacji poufnych w strumieniu, aktywowany jest komponent systemu, który blokuje transmisję strumienia danych.
Innymi słowy, Systemy DLP czuwać nad poufnymi i strategicznie ważnymi dokumentami, których wyciek z systemów informatycznych na zewnątrz może spowodować nieodwracalne szkody dla firmy, a także naruszać ustawy federalne nr 98-FZ „O tajemnicach handlowych” i nr 152-FZ” o danych osobowych”. Ochrona informacji przed wyciekiem jest również wymieniona w GOST. "Technologia informacyjna. Praktyczne zasady zarządzania bezpieczeństwem informacji” - GOST R ISO/IEC 17799-2005.
Co do zasady wyciek informacji poufnych może nastąpić zarówno w wyniku włamania i penetracji, jak i w wyniku nieuwagi, zaniedbania pracowników przedsiębiorstwa, a także wysiłków osób poufnych - celowego przekazywania informacji poufnych przez pracowników przedsiębiorstwa. Dlatego systemy DLP są najbardziej niezawodnymi technologiami ochrony poufnych informacji przed wyciekiem - wykrywają chronione informacje po treści, niezależnie od języka, skryptu, kanałów transmisji i formatu dokumentu.
Również, System DLP kontroluje absolutnie wszystkie kanały używane na co dzień do przesyłania informacji w formie elektronicznej. Przepływy informacji są automatycznie przetwarzane na podstawie ustalonej polityki bezpieczeństwa. Jeżeli jednak działania informacji poufnych są sprzeczne z polityką bezpieczeństwa ustaloną przez firmę, wówczas transfer danych jest blokowany. Jednocześnie upoważniona osoba firmy odpowiedzialna za bezpieczeństwo informacji otrzymuje natychmiastową wiadomość z ostrzeżeniem o próbie przekazania poufnych informacji.
Wdrożenie systemu DLP zapewnia przede wszystkim spełnienie szeregu wymagań standardu PCI DSS dotyczących poziomu bezpieczeństwa informacji przedsiębiorstwa. Ponadto systemy DLP przeprowadzają automatyczny audyt chronionych informacji, zgodnie z ich lokalizacją i zapewniają automatyczną kontrolę, zgodnie z zasadami przenoszenia informacji poufnych w firmie, przetwarzania i zapobiegania przypadkom bezprawnego ujawnienia informacji niejawnych. System zapobiegania wyciekom danych, oparty na raportach o incydentach, monitoruje ogólny poziom ryzyka, a także, w trybach analizy retrospektywnej i natychmiastowej reakcji, kontroluje wyciek informacji.
Systemy DLP są instalowane zarówno w małych, jak i dużych przedsiębiorstwach, zapobiegając wyciekom informacji, chroniąc w ten sposób firmę przed ryzykiem finansowym i prawnym, które powstaje w przypadku utraty lub przekazania ważnych informacji korporacyjnych lub poufnych.
Kanałami wycieku prowadzącymi do wyprowadzenia informacji poza system informatyczny firmy mogą być wycieki sieciowe (np. e-mail lub ICQ), wycieki lokalne (wykorzystanie zewnętrznych dysków USB), przechowywane dane (bazy danych). Oddzielnie możesz podkreślić utratę nośnika (pamięć flash, laptop). Do klasy DLP można zaliczyć system, który spełnia następujące kryteria: wielokanałowy (monitorowanie kilku możliwych kanałów wycieku danych); ujednolicone zarządzanie (ujednolicone narzędzia zarządzania dla wszystkich kanałów monitorowania); ochrona aktywna (zgodność z polityką bezpieczeństwa); biorąc pod uwagę zarówno treść, jak i kontekst.
Przewagą konkurencyjną większości systemów jest moduł analizy. Producenci tak bardzo kładą nacisk na ten moduł, że często nazywają po nim swoje produkty, na przykład „Label-Based DLP Solution”. Dlatego też użytkownik często wybiera rozwiązania nie w oparciu o wydajność, skalowalność czy inne kryteria tradycyjne dla rynku bezpieczeństwa informacji korporacyjnej, ale w oparciu o rodzaj wykorzystywanej analizy dokumentów.
Oczywiście, ponieważ każda metoda ma swoje zalety i wady, zastosowanie tylko jednej metody analizy dokumentów uzależnia od niej technologicznie rozwiązanie. Większość producentów stosuje kilka metod, choć jedna z nich jest zwykle metodą „flagową”. Artykuł jest próbą klasyfikacji metod stosowanych w analizie dokumentów. Ich mocne i słabe strony oceniamy w oparciu o doświadczenia praktycznego zastosowania kilku rodzajów produktów. Artykuł zasadniczo nie uwzględnia konkretnych produktów, ponieważ. głównym zadaniem użytkownika przy ich wyborze jest wyeliminowanie haseł marketingowych typu „ochronimy wszystko przed wszystkim”, „unikalna opatentowana technologia” i uświadomienie sobie, z czym zostanie, gdy odejdą sprzedawcy.
Analiza kontenera
Ta metoda analizuje właściwości pliku lub innego kontenera (archiwum, kryptodysku itp.), który zawiera informacje. Potoczna nazwa takich metod to „rozwiązania na etykietach”, co dość w pełni oddaje ich istotę. Każdy pojemnik zawiera etykietę, która jednoznacznie identyfikuje rodzaj zawartości zawartej w pojemniku. Wspomniane metody praktycznie nie wymagają zasobów obliczeniowych do analizy przenoszonych informacji, ponieważ etykieta w pełni opisuje uprawnienia użytkownika do przenoszenia treści dowolną drogą. W uproszczeniu taki algorytm brzmi tak: „jest etykieta - zabraniamy, nie ma etykiety - pomijamy ją”.
Zalety tego podejścia są oczywiste: szybkość analizy i całkowity brak błędów drugiego rodzaju (kiedy otwórz dokument system błędnie wykrywa jako poufne). W niektórych źródłach takie metody nazywane są „deterministycznymi”.
Wady są również oczywiste - system dba tylko o otagowane informacje: jeśli tag nie jest ustawiony, treść nie jest chroniona. Konieczne jest opracowanie procedury etykietowania nowych i przychodzących dokumentów oraz systemu przeciwdziałania transferowi informacji z kontenera z etykietą do kontenera bez etykiety poprzez operacje buforowe, operacje plikowe, kopiowanie informacji z plików tymczasowych itp.
Słabość takich systemów przejawia się również w organizacji etykietowania. Jeśli umieszcza je autor dokumentu, to w złych zamiarach ma możliwość nie zaznaczania informacji, które zamierza ukraść. W przypadku braku złych zamiarów prędzej czy później pojawią się zaniedbania lub niedbalstwo. Jeśli zobowiążesz się do oznaczenia konkretnego pracownika, na przykład inspektora bezpieczeństwa informacji lub administratora systemu, to nie zawsze będzie on w stanie odróżnić treści poufne od otwartych, ponieważ nie zna dogłębnie wszystkich procesów w firmie. Bilans „biały” powinien więc być umieszczony na stronie internetowej firmy, a salda „szarego” czy „czarnego” nie można wyjmować z systemu informatycznego. Ale tylko główny księgowy może odróżnić jedno od drugiego, tj. jeden z autorów.
Etykiety zazwyczaj dzieli się na atrybut, format i zewnętrzne. Jak sama nazwa wskazuje, te pierwsze są umieszczane w atrybutach pliku, te drugie są umieszczane w polach samego pliku, a trzecie są dołączane (skojarzone) z plikiem przez zewnętrzne programy.
Konstrukcje kontenerowe w IB
Czasami zaletami rozwiązań opartych na tagach są również niskie wymagania wydajnościowe dla interceptorów, ponieważ sprawdzają one tylko tagi, tj. zachowuj się jak kołowrotki w metrze: „jeśli masz bilet – przejdź”. Nie zapominaj jednak, że cuda się nie zdarzają – w tym przypadku obciążenie obliczeniowe zostaje przesunięte na stacje robocze.
Miejscem decyzji na etykietach, czymkolwiek by one nie były, jest ochrona przechowywania dokumentów. Kiedy firma dysponuje magazynem dokumentów, który z jednej strony jest dość rzadko uzupełniany, a z drugiej strony jest dokładnie znana kategoria i stopień poufności każdego dokumentu, to najłatwiej zorganizować jego ochronę za pomocą etykiet. Możesz zorganizować umieszczanie etykiet na dokumentach wprowadzanych do repozytorium za pomocą procedury organizacyjnej. Np. przed wysłaniem dokumentu do repozytorium pracownik odpowiedzialny za jego funkcjonowanie może skontaktować się z autorem i specjalistą z pytaniem jaki poziom poufności ustawić dla dokumentu. Zadanie to jest szczególnie skutecznie rozwiązywane za pomocą znaczników formatu, tj. każdy przychodzący dokument jest przechowywany w bezpiecznym formacie, a następnie wydawany na żądanie pracownika, wskazując go jako dopuszczony do odczytu. Nowoczesne rozwiązania pozwalają na przypisanie uprawnień dostępu na ograniczony czas, a po wygaśnięciu klucza dokument po prostu przestaje być czytany. To według tego schematu organizowane jest np. wydawanie dokumentacji przetargów na zamówienia publiczne w Stanach Zjednoczonych: system zarządzania zamówieniami generuje dokument, który można odczytać bez możliwości zmiany lub kopiowania treści tylko przetargu uczestnicy wymienieni w tym dokumencie. Klucz dostępu jest ważny tylko do upływu terminu składania dokumentów do konkursu, po którym dokument przestaje być odczytywany.
Również za pomocą rozwiązań opartych na tagach firmy organizują obieg dokumentów w zamkniętych segmentach sieci, w których krąży własność intelektualna i tajemnice państwowe. Prawdopodobnie teraz, zgodnie z wymogami ustawy federalnej „O danych osobowych”, zostanie również zorganizowany przepływ dokumentów w działach personalnych dużych firm.
Analiza treści
Wdrażając technologie opisane w tym punkcie, w przeciwieństwie do opisanych wcześniej, zupełnie obojętne jest, w jakim kontenerze jest przechowywana zawartość. Celem tych technologii jest wyodrębnienie znaczącej treści z kontenera lub przechwycenie transmisji przez kanał komunikacyjny i przeanalizowanie informacji pod kątem treści zabronionych.
Główne technologie wykrywania zabronionych treści w kontenerach to kontrola podpisów, kontrola oparta na hashowaniu i metody językowe.
Podpisy
Najprostszą metodą sterowania jest wyszukiwanie w strumieniu danych pewnej sekwencji znaków. Czasami niedozwoloną sekwencję znaków nazywa się „słowo stop”, ale w bardziej ogólnym przypadku może być reprezentowana nie przez słowo, ale przez dowolny zestaw znaków, na przykład przez tę samą etykietę. Generalnie tej metody nie można przypisać analizie treści we wszystkich jej implementacjach. Na przykład w większości urządzeń klasy UTM wyszukiwanie niedozwolonych sygnatur w strumieniu danych odbywa się bez wyodrębniania tekstu z kontenera, podczas analizy strumienia „tak jak jest”. Lub, jeśli system jest skonfigurowany tylko na jedno słowo, to wynikiem jego pracy jest ustalenie 100% dopasowania, tj. metodę można zaklasyfikować jako deterministyczną.
Jednak coraz częściej w analizie tekstu nadal stosuje się poszukiwanie określonego ciągu znaków. W zdecydowanej większości przypadków systemy podpisu są skonfigurowane do wyszukiwania kilku słów i częstotliwości występowania terminów, tj. nadal będziemy odnosić ten system do systemów analizy treści.
Zaletami tej metody są niezależność od języka i łatwość uzupełniania słownika terminów zabronionych: jeśli chcesz użyć tej metody do wyszukiwania słowa w paszto w strumieniu danych, nie musisz znać tego języka, po prostu trzeba wiedzieć, jak to jest napisane. Łatwo też dodać np. transliterowany tekst rosyjski czy język „albański”, co ma znaczenie np. przy analizie tekstów SMS, wiadomości ICQ czy postów na blogach.
Wady stają się widoczne, gdy używa się języka innego niż angielski. Niestety większość producentów systemów analizy tekstu działa na rynek amerykański, a język angielski jest bardzo „sygnaturowy” – formy wyrazowe najczęściej tworzy się przy użyciu przyimków bez zmiany samego wyrazu. W języku rosyjskim wszystko jest znacznie bardziej skomplikowane. Weźmy na przykład słowo „tajemnica” bliskie sercu oficera bezpieczeństwa informacji. W języku angielskim oznacza to zarówno rzeczownik „sekret”, przymiotnik „sekret”, jak i czasownik „zachować tajemnicę”. W języku rosyjskim z rdzenia „sekret” można utworzyć kilkadziesiąt różnych słów. Tych. jeśli w organizacji anglojęzycznej wystarczy, aby funkcjonariusz ds. bezpieczeństwa informacji wpisał jedno słowo, w organizacji rosyjskojęzycznej będzie musiał wprowadzić kilkadziesiąt słów, a następnie zmienić je w sześciu różnych kodowaniach.
Ponadto takie metody są niestabilne w stosunku do prymitywnego kodowania. Prawie wszyscy poddają się ulubionej sztuczce początkujących spamerów - zastępowaniu postaci podobnymi. Autor wielokrotnie zademonstrował funkcjonariuszom bezpieczeństwa elementarną sztuczkę - przechodzenie poufnego tekstu przez filtry podpisów. Pobierany jest tekst zawierający na przykład frazę „ściśle tajne” i skonfigurowany dla tej frazy przechwytywacz poczty. Jeśli tekst jest otwarty w MS Word, następuje dwusekundowa operacja: Ctrl + F, „znajdź „o” (układ rosyjski)”, „zamień na „o” (układ angielski)”, „zamień wszystko”, „wyślij dokument" - sprawia, że dokument jest całkowicie niewidoczny dla tego filtra. Tym bardziej rozczarowuje, że takiej zamiany dokonuje się za pomocą zwykłego MS Worda lub dowolnego innego edytora tekstu, tj. są dostępne dla użytkownika, nawet jeśli nie ma on uprawnień administratora lokalnego i możliwości uruchamiania programów szyfrujących.
Najczęściej kontrola przepływu oparta na sygnaturach jest zawarta w funkcjonalności urządzeń UTM, tj. rozwiązania, które oczyszczają ruch z wirusów, spamu, włamań i wszelkich innych zagrożeń wykrytych przez sygnatury. Ponieważ ta funkcja jest „bezpłatna”, użytkownicy często uważają, że to wystarczy. Takie rozwiązania naprawdę chronią przed przypadkowymi wyciekami, tj. w przypadkach, gdy tekst wychodzący nie jest zmieniany przez nadawcę w celu ominięcia filtra, ale są one bezsilne wobec złośliwych użytkowników.
maski
Rozszerzeniem funkcjonalności wyszukiwania sygnatur odrzucanych słów jest wyszukiwanie ich masek. Jest to poszukiwanie takiej treści, której nie da się dokładnie określić w bazie „słów stop”, ale można określić jej element lub strukturę. Informacje takie powinny zawierać wszelkie kody charakteryzujące osobę lub przedsiębiorstwo: NIP, numery kont, dokumenty itp. Nie można ich wyszukiwać za pomocą sygnatur.
Nie ma sensu ustawiać numeru konkretnej karty bankowej jako obiektu wyszukiwania, ale chcesz znaleźć dowolny numer karta kredytowa, bez względu na to, jak zostało napisane - ze spacjami lub razem. To nie tylko chęć, ale wymóg standardu PCI DSS: zabrania się przesyłania niezaszyfrowanych numerów kart plastikowych za pośrednictwem e-mail, tj. Obowiązkiem użytkownika jest znalezienie takich numerów w wiadomości e-mail i usunięcie zabronionych wiadomości.
Tutaj na przykład jest maska, która określa takie słowo stop, jak nazwa poufnego lub tajnego zamówienia, którego numer zaczyna się od zera. Maska uwzględnia nie tylko dowolną liczbę, ale także każdy przypadek, a nawet zastąpienie liter rosyjskich literami łacińskimi. Maska jest napisana w standardowej notacji „REGEXP”, chociaż różne systemy DLP mogą mieć własną, bardziej elastyczną notację. Sytuacja jest jeszcze gorsza z numerami telefonów. Informacje te są klasyfikowane jako dane osobowe i można je zapisać na kilkanaście sposobów – używając różnych kombinacji spacji, różne rodzaje nawiasy, plus i minus itp. Tutaj być może nieodzowna jest jedna maska. Na przykład w systemach antyspamowych, gdzie trzeba rozwiązać podobne zadanie, do wykrycia numeru telefonu stosuje się jednocześnie kilkadziesiąt masek.
Wiele różnych kodów wpisanych w działalność firm i ich pracowników jest chronionych wieloma przepisami i reprezentuje tajemnice handlowe, tajemnice bankowe, dane osobowe i inne informacje prawnie chronione, więc problem ich wykrycia w ruchu jest warunkiem koniecznym każdego rozwiązania.
Funkcje haszujące
Różne rodzaje funkcji skrótu dla próbek poufnych dokumentów były kiedyś uważane za nowe słowo na rynku ochrony przed wyciekami, chociaż sama technologia istnieje od lat 70. XX wieku. Na Zachodzie ta metoda jest czasami nazywana „cyfrowymi odciskami palców”, tj. „cyfrowe odciski palców” lub „palec” w naukowym slangu.
Istota wszystkich metod jest taka sama, chociaż konkretne algorytmy dla każdego producenta mogą się znacznie różnić. Niektóre algorytmy są nawet opatentowane, co potwierdza wyjątkowość implementacji. Ogólny scenariusz działania jest następujący: gromadzona jest baza danych próbek poufnych dokumentów. Z każdego z nich pobierany jest „odcisk”, tj. z dokumentu wyodrębniana jest sensowna treść, która zostaje sprowadzona do jakiejś normalnej, na przykład (ale niekoniecznie) postaci tekstowej, następnie usuwane są skróty całej treści i jej części, takie jak akapity, zdania, piątki słów itp. , szczegóły zależą od konkretnej implementacji. Te odciski palców są przechowywane w specjalnej bazie danych.
Przechwycony dokument jest w ten sam sposób usuwany z informacji serwisowych i przywracany do normalnej postaci, a następnie usuwane są z niego odciski palców przy użyciu tego samego algorytmu. Otrzymane odbitki są przeszukiwane w bazie odbitek dokumentów poufnych, a jeśli zostaną odnalezione, dokument uznaje się za poufny. Ponieważ ta metoda jest używana do wyszukiwania bezpośrednich cytatów z przykładowego dokumentu, technologia ta jest czasami nazywana „antyplagiatową”.
Większość zalet tej metody to także jej wady. Przede wszystkim jest to wymóg korzystania z przykładowych dokumentów. Z jednej strony użytkownik nie musi martwić się słowami stop, istotnymi terminami i innymi informacjami, które są zupełnie niespecyficzne dla pracowników ochrony. Z drugiej strony „brak wzorca, brak ochrony” stwarza te same problemy w przypadku nowych i przychodzących dokumentów, co w przypadku technologii opartych na etykietach. Bardzo ważną zaletą tej technologii jest skupienie się na pracy z dowolnymi sekwencjami znaków. Z tego wynika przede wszystkim niezależność od języka tekstu – nawet hieroglifów, nawet paszto. Ponadto jedną z głównych konsekwencji tej właściwości jest możliwość pobierania odcisków palców z informacji nietekstowych – baz danych, rysunków, plików multimedialnych. To właśnie te technologie wykorzystują hollywoodzkie studia i światowe studia nagraniowe do ochrony treści multimedialnych w swoich cyfrowych magazynach.
Niestety funkcje skrótu niskiego poziomu nie są odporne na kodowanie prymitywne omówione w przykładzie z podpisem. Z łatwością radzą sobie ze zmianą kolejności słów, przestawianiem akapitów i innymi sztuczkami „plagiatów”, ale np. zmiana liter w całym dokumencie niszczy wzór hash i taki dokument staje się niewidoczny dla przechwytującego.
Korzystanie tylko z tej metody komplikuje pracę z formularzami. Czyli pusty wniosek o pożyczkę jest dokumentem swobodnie rozpowszechnianym, a wypełniony jest poufny, ponieważ zawiera dane osobowe. Jeśli po prostu pobierzesz odcisk palca z pustego formularza, wówczas przechwycony wypełniony dokument będzie zawierał wszystkie informacje z pustego formularza, tj. Wydruki będą w dużej mierze pasować. Więc system albo pominie poufna informacja lub uniemożliwić swobodne rozpowszechnianie pustych formularzy.
Pomimo wspomnianych niedociągnięć, metoda ta jest powszechnie stosowana, zwłaszcza w biznesie, którego nie stać na wykwalifikowanych pracowników, ale działa na zasadzie „umieszczaj wszystkie poufne informacje w tym folderze i śpij spokojnie”. W tym sensie wymaganie określonych dokumentów w celu ich ochrony jest nieco podobne do rozwiązań opartych na etykietach, przechowywanych tylko oddzielnie od próbek i zachowywanych podczas zmiany formatu pliku, kopiowania części pliku itp. Jednak duża firma, która ma w obiegu setki tysięcy dokumentów, często po prostu nie jest w stanie dostarczyć próbek poufnych dokumentów, ponieważ. procesy biznesowe firmy tego nie wymagają. Jedyną rzeczą, która jest (a raczej powinna być) w każdym przedsiębiorstwie jest „Lista informacji stanowiących tajemnicę handlową”. Tworzenie z niego wzorów nie jest banalnym zadaniem.
Łatwość dodawania próbek do kontrolowanej bazy danych treści często płata użytkownikom figle. To prowadzi do stopniowy wzrost baza odcisków palców, która znacząco wpływa na wydajność systemu: im więcej próbek, tym więcej porównań każdej przechwyconej wiadomości. Ponieważ każdy wydruk zajmuje od 5 do 20% oryginału, baza wydruków stopniowo się powiększa. Użytkownicy zauważają gwałtowny spadek wydajności, gdy baza danych zaczyna przekraczać pamięć RAM serwera filtrującego. Zwykle problem jest rozwiązywany poprzez regularne audytowanie przykładowych dokumentów i usuwanie nieaktualnych lub duplikatów próbek, tj. oszczędność na wdrożeniu, użytkownicy tracą na działaniu.
Metody językowe
Najpopularniejszą obecnie metodą analizy jest analiza językowa tekstu. Jest tak popularny, że często określany jest potocznie jako „filtrowanie treści”. nosi cechy całej klasy metod analizy treści. Z punktu widzenia klasyfikacji zarówno analiza skrótów, jak i analiza sygnatur oraz analiza masek to „filtrowanie treści”, czyli tzw. filtrowanie ruchu na podstawie analizy treści.
Jak sama nazwa wskazuje, metoda działa tylko z tekstami. Nie użyjesz go do ochrony bazy danych składającej się tylko z liczb i dat, zwłaszcza rysunków, rysunków i zbioru ulubionych piosenek. Ale w przypadku tekstów ta metoda działa cuda.
Językoznawstwo jako nauka składa się z wielu dyscyplin – od morfologii po semantykę. Dlatego też językowe metody analizy również różnią się od siebie. Istnieją metody, które wykorzystują tylko słowa stop, wprowadzane tylko na poziomie głównym, a sam system już kompiluje kompletny słownik; istnieją terminy oparte na rozkładzie wag napotkanym w tekście. Istnieją metody językowe i ich odciski oparte na statystykach; na przykład pobierany jest dokument, zliczanych jest pięćdziesiąt najczęściej używanych słów, a następnie wybieranych jest 10 najczęściej używanych słów w każdym akapicie. Taki „słownik” jest niemal unikalną cechą tekstu i pozwala znaleźć sensowne cytaty w „klonach”.
Analiza wszystkich subtelności analizy językowej nie jest objęta zakresem tego artykułu, więc skupimy się na zaletach i wadach.
Zaletą metody jest całkowita niewrażliwość na ilość dokumentów, tj. rzadkie dla skalowalności bezpieczeństwa informacji korporacyjnych. Baza filtrowania treści (zestaw kluczowych klas słownictwa i reguł) nie zmienia się pod względem wielkości w zależności od pojawiania się nowych dokumentów lub procesów w firmie.
Ponadto użytkownicy zauważają w tej metodzie podobieństwo do „słów stop” w tym, że jeśli dokument jest opóźniony, natychmiast staje się jasne, dlaczego tak się stało. Jeśli system oparty na odciskach palców zgłosi, że dokument jest podobny do innego, pracownik ochrony będzie musiał sam porównać oba dokumenty, a w analizie językowej otrzyma już oznaczoną treść. Systemy lingwistyczne wraz z filtrowaniem sygnatur są tak powszechne, że pozwalają rozpocząć pracę bez zmian w firmie zaraz po instalacji. Nie ma potrzeby zawracania sobie głowy tagowaniem i pobieraniem odcisków palców, inwentaryzacją dokumentów i wykonywaniem innych niespecyficznych prac dla pracownika ochrony.
Wady są równie oczywiste, a pierwszą z nich jest zależność językowa. W każdym kraju, którego język jest obsługiwany przez producenta, nie jest to wadą, jednak z punktu widzenia globalnych firm, które mają oprócz jednego języka komunikacji korporacyjnej (np. angielski), wciąż jest ich wiele dokumenty w lokalne języki w każdym kraju jest to wyraźna wada.
Kolejną wadą jest wysoki odsetek błędów II typu, co wymaga kwalifikacji z zakresu językoznawstwa (dla strojenie podstawy filtrów). Standardowe bazy danych branżowych zwykle zapewniają dokładność filtrowania na poziomie 80-85%. Oznacza to, że co piąta lub szósta litera jest przechwytywana przez pomyłkę. Ustawienie podstawy na akceptowalną dokładność 95-97% wiąże się zwykle z interwencją specjalnie przeszkolonego językoznawcy. I choć aby nauczyć się dostosowywać bazę filtracyjną, wystarczą dwa dni wolnego czasu i znajomość języka na poziomie maturzystów, to nie ma nikogo, kto mógłby się tym zająć, poza pracownikiem ochrony, a zwykle uważa taką pracę za non-core. Przyciągnięcie osoby z zewnątrz jest zawsze ryzykowne – w końcu będzie musiał pracować z poufnymi informacjami. Wyjściem z tej sytuacji jest zwykle zakup dodatkowego modułu – samouczącego się „autolingwisty”, który jest „karmiony” fałszywymi alarmami i automatycznie dostosowuje się do standardowej bazy branżowej.
Metody lingwistyczne wybierane są, gdy chcą zminimalizować ingerencję w biznes, gdy służba bezpieczeństwa informacji nie posiada zasobu administracyjnego do zmiany istniejących procesów tworzenia i przechowywania dokumentów. Działają zawsze i wszędzie, choć z wymienionymi wadami.
Popularne kanały przypadkowych wycieków mobilnych nośników pamięci
Analitycy InfoWatch uważają, że media mobilne (laptopy, pendrive'y, komunikatory mobilne itp.) pozostają najpopularniejszym kanałem przypadkowych wycieków, ponieważ użytkownicy takich urządzeń często zaniedbują narzędzia do szyfrowania danych.
Inne popularny przypadek nośniki papierowe stają się przypadkowymi wyciekami: jest trudniejsze do kontrolowania niż nośniki elektroniczne, ponieważ np. arkusz opuszcza drukarkę, można go monitorować tylko „ręcznie”: kontrola nad nośnikami papierowymi jest słabsza niż kontrola nad informacją komputerową. Wiele narzędzi do ochrony przed wyciekami (nie można ich nazwać pełnoprawnymi systemami DLP) nie kontroluje kanału wyjściowego informacji do drukarki, więc poufne dane łatwo wyciekają z organizacji.
Problem ten mogą rozwiązać wielofunkcyjne systemy DLP, które blokują przesyłanie nieautoryzowanych informacji do druku oraz sprawdzają korespondencję adresu pocztowego i adresata.
Ponadto rosnąca popularność urządzeń mobilnych znacznie utrudnia ochronę przed wyciekami, ponieważ nie ma jeszcze odpowiednich klientów DLP. Ponadto bardzo trudno jest wykryć wyciek w przypadku kryptografii lub steganografii. Wtajemniczony, aby ominąć jakiś filtr, zawsze może zwrócić się do Internetu po „najlepsze praktyki”. Oznacza to, że środki DLP dość słabo chronią przed zorganizowanym celowym wyciekiem.
Skuteczność narzędzi DLP mogą ograniczać ich oczywiste wady: nowoczesne rozwiązania ochrony przed wyciekami nie pozwalają na kontrolowanie i blokowanie wszystkich dostępnych kanałów informacyjnych. Systemy DLP będą sterować poczta firmowa korzystanie z zasobów internetowych, natychmiastowa wymiana przesyłanie wiadomości, praca z nośnikami zewnętrznymi, drukowanie dokumentów i zawartości dysków twardych. Ale Skype pozostaje poza kontrolą systemów DLP. Tylko firmie Trend Micro udało się zadeklarować, że może sterować działaniem tego programu komunikacyjnego. Pozostali programiści obiecują, że odpowiednia funkcjonalność zostanie udostępniona w następnej wersji ich oprogramowania zabezpieczającego.
Ale jeśli Skype obiecuje udostępnić swoje protokoły programistom DLP, inne rozwiązania, takie jak Microsoft Collaboration Tools do organizowania współpracy, pozostają zamknięte dla programistów innych firm. Jak kontrolować transmisję informacji tym kanałem? Tymczasem we współczesnym świecie praktyka rozwija się, gdy specjaliści zdalnie łączą się w zespoły, by pracować nad wspólnym projektem i rozpadają się po jego zakończeniu.
Głównymi źródłami wycieków poufnych informacji w pierwszej połowie 2010 roku są nadal organizacje komercyjne (73,8%) i rządowe (16%). Około 8% przecieków pochodzi z instytucji edukacyjnych. Charakter wycieku informacji poufnych to dane osobowe (prawie 90% wszystkich wycieków informacji).
Liderami przecieków na świecie są tradycyjnie Stany Zjednoczone i Wielka Brytania (Kanada, Rosja i Niemcy również znajdują się w pierwszej piątce pod względem największej liczby przecieków, ze znacznie niższymi wskaźnikami), co wynika ze specyfiki ustawodawstwa tych krajów, co wymaga zgłaszania wszystkich przypadków wycieku poufnych danych. Analitycy Infowatch przewidują spadek udziału wycieków przypadkowych i wzrost udziału wycieków celowych w przyszłym roku.
Trudności wdrożeniowe
Oprócz oczywistych trudności, wdrożenie DLP utrudnia również trudność wyboru odpowiedniego rozwiązania, ponieważ różni dostawcy systemów DLP wyznają własne podejście do organizacji ochrony. Niektórzy mają opatentowane algorytmy analizy treści dla słowa kluczowe, a ktoś oferuje metodę wydruków cyfrowych. Jak wybrać najlepszy produkt w tych warunkach? Co jest bardziej wydajne? Odpowiedź na te pytania jest bardzo trudna, ponieważ wdrożeń systemów DLP jest dziś bardzo niewiele, a realnych praktyk ich stosowania jest jeszcze mniej (na których można polegać). Ale te projekty, które jednak zostały zrealizowane, pokazały, że ponad połowa zakresu prac i budżetu w nich to doradztwo, a to zwykle powoduje duży sceptycyzm wśród kierownictwa. Ponadto, co do zasady, istniejące procesy biznesowe przedsiębiorstwa muszą zostać zrestrukturyzowane w celu spełnienia wymagań DLP, a firmy mają z tym trudności.
W jakim stopniu wprowadzenie DLP pomaga dostosować się do obecnych wymagań regulatorów? Na Zachodzie wprowadzenie systemów DLP jest motywowane przepisami prawa, normami, wymaganiami branżowymi i innymi przepisami. Według ekspertów, jasne wymagania prawne dostępne za granicą, wytyczne do zapewnienia wymagań są prawdziwym motorem rynku DLP, ponieważ wprowadzenie specjalnych rozwiązań eliminuje roszczenia regulatorów. Mamy w tym zakresie zupełnie inną sytuację, a wprowadzenie systemów DLP nie pomaga w przestrzeganiu prawa.
Pewną zachętą do wprowadzenia i stosowania DLP w środowisku korporacyjnym może być potrzeba ochrony tajemnic handlowych firm i spełnienie wymogów prawa federalnego „O tajemnicach handlowych”.
Niemal każde przedsiębiorstwo przyjęło takie dokumenty jak „Regulamin o tajemnicy handlowej” oraz „Wykaz informacji stanowiących tajemnicę handlową” i należy się do nich stosować. Istnieje opinia, że ustawa „O tajemnicach handlowych” (98-FZ) nie działa, jednak kierownictwo firm doskonale zdaje sobie sprawę, że ważne i konieczne jest dla nich ochrona tajemnicy handlowej. Co więcej, ta świadomość jest znacznie wyższa niż zrozumienie znaczenia ustawy „O danych osobowych” (152-FZ), a każdemu menedżerowi znacznie łatwiej jest wyjaśnić potrzebę wprowadzenia zarządzania dokumentami poufnymi niż mówić o ochronie danych osobowych.
Co uniemożliwia wykorzystanie DLP w procesie automatyzacji ochrony tajemnic handlowych? Zgodnie z Kodeksem Cywilnym Federacji Rosyjskiej, aby wprowadzić system ochrony tajemnicy handlowej, konieczne jest jedynie, aby informacje miały pewną wartość i zostały umieszczone w odpowiednim wykazie. W takim przypadku właściciel takich informacji jest prawnie zobowiązany do podjęcia środków w celu ochrony informacji poufnych.
Jednocześnie oczywiste jest, że DLP nie rozwiąże wszystkich problemów. W szczególności obejmują dostęp do informacji poufnych osobom trzecim. Ale są do tego inne technologie. Wiele nowoczesnych rozwiązań DLP może się z nimi integrować. Następnie, budując ten łańcuch technologiczny, można uzyskać działający system ochrony tajemnic handlowych. Taki system będzie bardziej zrozumiały dla biznesu i to biznes będzie mógł pełnić rolę klienta systemu ochrony przed wyciekami.
Rosja i Zachód
Według analityków inny stosunek do bezpieczeństwa ma Rosja i inny poziom dojrzałości firm dostarczających rozwiązania DLP. Rynek rosyjski skupia się na specjalistach ds. bezpieczeństwa i wysoko wyspecjalizowanych problemach. Ludzie zajmujący się zapobieganiem naruszeniom danych nie zawsze rozumieją, jakie dane są cenne. W Rosji „militarne” podejście do organizacji systemów bezpieczeństwa: silny obwód z zaporami ogniowymi i dokłada się wszelkich starań, aby zapobiec penetracji do wewnątrz.
Ale co, jeśli pracownik firmy ma dostęp do takiej ilości informacji, która nie jest wymagana do wykonywania jego obowiązków? Z drugiej strony, jeśli przyjrzymy się podejściu, które ukształtowało się na Zachodzie w ciągu ostatnich 10-15 lat, możemy powiedzieć, że więcej uwagi poświęca się wartości informacji. Zasoby są kierowane tam, gdzie znajdują się cenne informacje, a nie do wszystkich informacji z rzędu. Być może jest to największa różnica kulturowa między Zachodem a Rosją. Jednak analitycy twierdzą, że sytuacja się zmienia. Informacje zaczynają być postrzegane jako aktywa biznesowe, a ich ewolucja zajmie trochę czasu.
Nie ma kompleksowego rozwiązania
100% ochrona przed wyciekiem nie została jeszcze opracowana przez żadnego producenta. Problemy z używaniem produktów DLP, niektórzy eksperci formułują coś takiego: efektywne wykorzystanie Doświadczenie w radzeniu sobie z wyciekami stosowane w systemach DLP wymaga zrozumienia, że dużo pracy nad zapewnieniem ochrony przed wyciekami należy wykonać po stronie klienta, ponieważ nikt nie zna lepiej od niego własnych przepływów informacji.
Inni uważają, że nie da się chronić przed wyciekami: nie da się zapobiec wyciekowi informacji. Ponieważ informacja ma dla kogoś wartość, prędzej czy później zostanie odebrana. Oprogramowanie może sprawić, że uzyskanie tych informacji będzie bardziej kosztowne i czasochłonne. Może to znacznie zmniejszyć korzyści płynące z posiadania informacji, jej znaczenie. Oznacza to, że należy monitorować wydajność systemów DLP.
»28.01.2014 Siergiej Korablew
Wybór dowolnego produktu na poziomie przedsiębiorstwa nie jest trywialnym zadaniem dla specjalistów technicznych i decydentów. Wybór systemu ochrony przed wyciekiem danych (DLP) jest jeszcze trudniejszy. Brak jednolitego systemu koncepcyjnego, regularne niezależne badania porównawcze oraz złożoność samych produktów zmuszają konsumentów do zamawiania projektów pilotażowych u producentów i samodzielnego przeprowadzania licznych testów, określając zakres własnych potrzeb i korelując je z możliwościami prowadzonych systemów. przetestowany
Takie podejście jest z pewnością słuszne. Wyważona, a w niektórych przypadkach nawet ciężko podjęta decyzja ułatwia dalsze wdrażanie i pozwala uniknąć rozczarowania w działaniu konkretnego produktu. Jednak proces decyzyjny w tym przypadku może się opóźnić, jeśli nie o lata, to o wiele miesięcy. Dodatkowo nieustanny rozwój rynku, pojawianie się nowych rozwiązań i producentów dodatkowo komplikują zadanie nie tylko wyboru produktu do wdrożenia, ale także stworzenia wstępnej krótkiej listy odpowiednich systemów DLP. W takich warunkach aktualne przeglądy systemów DLP mają niewątpliwą wartość praktyczną dla specjalistów technicznych. Czy dane rozwiązanie powinno znaleźć się na liście testowej, czy byłoby zbyt skomplikowane do wdrożenia w małej organizacji? Czy rozwiązanie można skalować do firmy zatrudniającej 10 000 pracowników? Czy system DLP może kontrolować krytyczne dla firmy pliki CAD? Otwarte porównanie nie zastąpi dokładnych testów, ale pomoże odpowiedzieć na podstawowe pytania, które pojawiają się na początkowym etapie procesu selekcji DLP.
Członkowie
Jako uczestników wybrano najpopularniejsze (według danych centrum analitycznego Anti-Malware.ru z połowy 2013 r.) systemy DLP firm InfoWatch, McAfee, Symantec, Websense, Zecurion i Jet Infosystem na rosyjskim rynku bezpieczeństwa informacji.
Do analizy wykorzystano komercyjnie dostępne wersje systemów DLP w momencie sporządzania recenzji, a także dokumentację i otwarte recenzje produkty.
Kryteria porównywania systemów DLP zostały wybrane w oparciu o potrzeby firm różnej wielkości i branż. Głównym zadaniem systemów DLP jest zapobieganie wyciekom poufnych informacji różnymi kanałami.
Przykłady produktów tych firm pokazano na rysunkach 1-6.
.jpg) |
| Rysunek 3 Produkt firmy Symantec |
.jpg) |
| Rysunek 4. Produkt InfoWatch |
.jpg) |
| Rysunek 5. Produkt Websense |
.jpg) |
| Rysunek 6. Produkt McAfee |
Tryby pracy
Dwa główne tryby pracy systemów DLP to aktywny i pasywny. Aktywny - zwykle główny tryb działania, który blokuje działania naruszające zasady bezpieczeństwa, takie jak wysyłanie poufnych informacji do zewnętrznej skrzynki pocztowej. Tryb pasywny jest najczęściej używany na etapie konfiguracji systemu do sprawdzania i dostosowywania ustawień, gdy odsetek fałszywych alarmów jest wysoki. W takim przypadku naruszenia zasad są rejestrowane, ale nie nakłada się ograniczeń na przepływ informacji (tabela 1).
.jpg) |
W tym aspekcie wszystkie rozważane systemy okazały się równoważne. Każdy z DLP może pracować zarówno w trybie aktywnym, jak i pasywnym, co daje klientowi pewną swobodę. Nie wszystkie firmy są gotowe do natychmiastowego uruchomienia DLP w trybie blokowania – jest to obarczone zakłóceniami procesów biznesowych, niezadowoleniem ze strony pracowników kontrolowanych działów oraz roszczeniami (w tym uzasadnionymi) ze strony kierownictwa.
Technologia
Technologie wykrywania umożliwiają klasyfikację informacji przesyłanych kanałami elektronicznymi oraz identyfikację informacji poufnych. Obecnie istnieje kilka podstawowych technologii i ich odmian, w istocie podobnych, ale różniących się sposobem wykonania. Każda technologia ma zarówno zalety, jak i wady. Ponadto różne rodzaje technologii nadają się do analizy informacji różnych klas. Dlatego producenci rozwiązań DLP starają się integrować w swoich produktach maksymalną liczbę technologii (patrz Tabela 2).
Ogólnie rzecz biorąc, produkty oferują dużą liczbę technologii, które odpowiednio skonfigurowane zapewniają wysoki procent rozpoznawania poufnych informacji. DLP McAfee, Symantec i Websense są raczej słabo przystosowane do rynku rosyjskiego i nie mogą zaoferować użytkownikom wsparcia dla technologii „językowych” – morfologii, analizy transliteracji i zamaskowanego tekstu.
Kontrolowane kanały
Każdy kanał transmisji danych jest potencjalnym kanałem wycieków. Nawet jeden otwarty kanał może zniweczyć wszystkie wysiłki służby bezpieczeństwa informacji kontrolującej przepływ informacji. Dlatego tak ważne jest blokowanie kanałów, które nie są wykorzystywane przez pracowników do pracy, a resztę kontrolowanie za pomocą systemów zapobiegania wyciekom.
Pomimo tego, że najlepsze nowoczesne systemy DLP są w stanie monitorować dużą liczbę kanałów sieciowych (patrz Tabela 3), wskazane jest blokowanie niepotrzebnych kanałów. Na przykład, jeśli pracownik pracuje na komputerze tylko z wewnętrzną bazą danych, sensowne jest całkowite wyłączenie jego dostępu do Internetu.
Podobne wnioski dotyczą również lokalnych kanałów wycieku. To prawda, że w tym przypadku może być trudniej zablokować poszczególne kanały, ponieważ porty są często używane do podłączania urządzeń peryferyjnych, urządzeń I / O itp.
Szyfrowanie odgrywa szczególną rolę w zapobieganiu wyciekom przez porty lokalne, dyski mobilne i urządzenia. Narzędzia szyfrujące są dość łatwe w użyciu, ich użycie może być niewidoczne dla użytkownika. Ale jednocześnie szyfrowanie pozwala wykluczyć cała klasa wycieki związane z nieautoryzowanym dostępem do informacji i utratą dysków mobilnych.
Sytuacja z kontrolą agentów lokalnych jest generalnie gorsza niż w przypadku kanałów sieciowych (patrz Tabela 4). Tylko urządzenia USB i drukarki lokalne są z powodzeniem kontrolowane przez wszystkie produkty. Ponadto, pomimo znaczenia szyfrowania, o którym wspomniano powyżej, taka możliwość występuje tylko w niektórych produktach, a funkcja wymuszonego szyfrowania oparta na analizie treści występuje tylko w Zecurion DLP.
Aby zapobiec wyciekom ważne jest nie tylko rozpoznawanie wrażliwych danych podczas transmisji, ale także ograniczenie dystrybucji informacji w środowisku korporacyjnym. W tym celu producenci umieszczają w systemach DLP narzędzia, które potrafią identyfikować i klasyfikować informacje przechowywane na serwerach i stacjach roboczych w sieci (patrz Tabela 5). Dane naruszające zasady bezpieczeństwa informacji muszą zostać usunięte lub przeniesione do bezpiecznego magazynu.
Aby ujawnić poufne informacje na temat hostów sieć korporacyjna stosowane są te same technologie, co do kontroli wycieków za pośrednictwem kanałów elektronicznych. Główna różnica polega na architekturze. Jeśli ruch sieciowy lub operacje na plikach są analizowane w celu zapobiegania wyciekom, przechowywane informacje, zawartość stacji roboczych i serwerów sieciowych są badane w celu wykrycia nieautoryzowanych kopii poufnych danych.
Spośród rozważanych systemów DLP tylko InfoWatch i Dozor-Jet ignorują użycie środków do identyfikacji lokalizacji przechowywania informacji. Nie jest to krytyczna funkcja elektronicznego zapobiegania wyciekom, ale znacznie ogranicza zdolność systemów DLP do proaktywnego zapobiegania wyciekom. Na przykład, gdy poufny dokument znajduje się w sieci firmowej, nie jest to wyciek informacji. Jeśli jednak lokalizacja tego dokumentu nie jest uregulowana, jeśli właściciele informacji i funkcjonariusze ochrony nie wiedzą o lokalizacji tego dokumentu, może to prowadzić do wycieku. Nieuprawniony dostęp do informacji jest możliwy lub odpowiednie zasady bezpieczeństwa nie zostaną zastosowane do dokumentu.
Łatwość zarządzania
Cechy takie jak łatwość obsługi i sterowania mogą być równie ważne, jak możliwości techniczne rozwiązań. W końcu naprawdę złożony produkt będzie trudny do wdrożenia, projekt zajmie więcej czasu, wysiłku i odpowiednio finansów. Wdrożony już system DLP wymaga uwagi specjalistów technicznych. Bez odpowiedniej konserwacji, regularnych audytów i dostosowywania ustawień jakość rozpoznawania poufnych informacji z czasem znacznie się pogorszy.
Interfejs sterowania w języku ojczystym oficera bezpieczeństwa to pierwszy krok do uproszczenia pracy z systemem DLP. Ułatwi to nie tylko zrozumienie, za co odpowiada to lub inne ustawienie, ale także znacznie przyspieszy proces konfigurowania dużej liczby parametrów, które należy skonfigurować, aby system działał poprawnie. język angielski może być przydatny nawet dla administratorów rosyjskojęzycznych do jednoznacznej interpretacji określonych koncepcji technicznych (patrz tabela 6).
Większość rozwiązań zapewnia dość wygodne zarządzanie z jednej (dla wszystkich komponentów) konsoli z interfejsem WWW (patrz Tabela 7). Wyjątkami są rosyjski InfoWatch (nie ma jednej konsoli) i Zecurion (nie ma interfejsu webowego). Jednocześnie obaj producenci zapowiedzieli już pojawienie się konsoli internetowej w swoich przyszłych produktach. Brak jednej konsoli w InfoWatch wynika z odmiennej bazy technologicznej produktów. Rozwój własnego rozwiązania agencyjnego został wstrzymany na kilka lat, a obecny Bezpieczeństwo punktów końcowych jest następcą produktu innej firmy, EgoSecure (wcześniej znanego jako cynapspro), przejętego przez firmę w 2012 roku.
Kolejnym punktem, który można przypisać wadom rozwiązania InfoWatch jest to, że aby skonfigurować i zarządzać flagowym produktem DLP InfoWatch TrafficMonitor, trzeba znać specjalny skrypt Język LUA co komplikuje działanie systemu. Niemniej jednak dla większości specjalistów technicznych perspektywa podniesienia własnego poziomu zawodowego i nauczenia się dodatkowego, choć niezbyt powszechnego języka, powinna być postrzegana pozytywnie.
Rozdzielenie ról administratora systemu jest konieczne, aby zminimalizować ryzyko zapobiegania pojawieniu się superużytkownika z nieograniczonymi uprawnieniami i innych machinacji przy użyciu DLP.
Logowanie i raportowanie
Archiwum DLP to baza danych, która gromadzi i przechowuje zdarzenia i obiekty (pliki, listy, żądania http itp.) zarejestrowane przez czujniki systemu podczas jego działania. Informacje gromadzone w bazie danych mogą być wykorzystywane do różnych celów, m.in. do analizy działań użytkowników, do zapisywania kopii krytycznych dokumentów, jako podstawa do badania incydentów bezpieczeństwa informacji. Ponadto baza wszystkich zdarzeń jest niezwykle przydatna na etapie wdrażania systemu DLP, ponieważ pomaga analizować zachowanie elementów systemu DLP (np. dowiedzieć się, dlaczego pewne operacje są blokowane) oraz dostosować ustawienia zabezpieczeń (patrz Tabela 8).
.jpg) |
W tym przypadku widzimy fundamentalną różnicę architektoniczną między rosyjskimi i zachodnimi DLP. Te ostatnie w ogóle nie archiwizują. W takim przypadku samo DLP staje się łatwiejsze w utrzymaniu (nie ma potrzeby utrzymywania, przechowywania, tworzenia kopii zapasowych i badania ogromnej ilości danych), ale nie w obsłudze. W końcu archiwum zdarzeń pomaga w konfiguracji systemu. Archiwum pomaga zrozumieć, dlaczego transmisja informacji została zablokowana, sprawdzić, czy reguła zadziałała poprawnie i wprowadzić niezbędne poprawki w ustawieniach systemowych. Należy również zauważyć, że systemy DLP wymagają nie tylko wstępnej konfiguracji podczas wdrożenia, ale także regularnego „dostrajania” podczas pracy. System, który nie jest odpowiednio utrzymywany, nie wprowadzony przez specjalistów technicznych, wiele straci na jakości rozpoznawania informacji. W rezultacie wzrośnie zarówno liczba incydentów, jak i liczba fałszywych trafień.
Sprawozdawczość jest ważną częścią każdej działalności. Bezpieczeństwo informacji nie jest wyjątkiem. Raporty w systemach DLP pełnią jednocześnie kilka funkcji. Po pierwsze, zwięzłe i zrozumiałe raporty pozwalają szefom służb bezpieczeństwa informacji na szybkie monitorowanie stanu bezpieczeństwa informacji bez wchodzenia w szczegóły. Po drugie, szczegółowe raporty pomagają specjalistom ds. bezpieczeństwa dostosować zasady bezpieczeństwa i ustawienia systemu. Po trzecie, raporty wizualne mogą być zawsze pokazywane menedżerom najwyższego szczebla firmy, aby zademonstrować wyniki systemu DLP i samych specjalistów ds. bezpieczeństwa informacji (patrz Tabela 9).
Niemal wszystkie konkurencyjne rozwiązania omawiane w przeglądzie oferują zarówno graficzne, wygodne dla menedżerów najwyższego szczebla i szefów służb bezpieczeństwa informacji, jak i raporty tabelaryczne, bardziej odpowiednie dla specjalistów technicznych. Raportów graficznych brakuje tylko w DLP InfoWatch, dla którego zostały obniżone.
Orzecznictwo
Pytanie o potrzebę certyfikacji narzędzi bezpieczeństwa informacji, aw szczególności DLP, jest otwarte, a eksperci często spierają się na ten temat w środowiskach zawodowych. Podsumowując opinie stron, należy uznać, że sama certyfikacja nie daje poważnego rezultatu przewaga konkurencyjna. Jednocześnie istnieje szereg klientów, przede wszystkim organizacje rządowe, dla których obecność określonego certyfikatu jest obowiązkowa.
Ponadto istniejąca procedura certyfikacji nie koreluje dobrze z cyklem rozwoju oprogramowania. W efekcie konsumenci stają przed wyborem: kupić już przestarzałą, ale certyfikowaną wersję produktu lub wersję aktualną, ale nie certyfikowaną. Standardowym wyjściem w tej sytuacji jest zakup certyfikowanego produktu „na półce” i użytkowanie nowego produktu w realnym środowisku (patrz Tabela 10).
Wyniki porównania
Podsumujmy wrażenia z rozważanych rozwiązań DLP. Ogólnie rzecz biorąc, wszyscy uczestnicy zrobili pozytywne wrażenie i mogą być wykorzystywani do zapobiegania wyciekom informacji. Różnice w produktach pozwalają określić zakres ich zastosowania.
System InfoWatch DLP można polecić organizacjom, dla których fundamentalne znaczenie ma posiadanie certyfikatu FSTEC. Jednak ostatni wersja certyfikowana InfoWatch Traffic Monitor został przetestowany pod koniec 2010 roku, a certyfikat wygasa z końcem 2013 roku. Rozwiązania oparte na agentach oparte na InfoWatch EndPoint Security (znane również jako EgoSecure) są bardziej odpowiednie dla małych firm i mogą być używane niezależnie od Traffic Monitor. Połączone użycie Traffic Monitor i EndPoint Security może powodować problemy ze skalowaniem w dużych firmach.
Produkty zachodnich producentów (McAfee, Symantec, Websense) według niezależnych agencji analitycznych są znacznie mniej popularne niż rosyjskie. Powodem jest niski poziom lokalizacji. I nie chodzi tu nawet o złożoność interfejsu czy brak dokumentacji w języku rosyjskim. Funkcje technologii rozpoznawania poufnych informacji, wstępnie skonfigurowane szablony i reguły są „dopracowane” pod kątem korzystania z DLP w krajach zachodnich i mają na celu spełnienie zachodnich wymogów prawnych. W efekcie jakość rozpoznawania informacji w Rosji okazuje się zauważalnie gorsza, a zgodność z wymaganiami norm zagranicznych często nie ma znaczenia. Jednocześnie same produkty wcale nie są złe, ale specyfika korzystania z systemów DLP na rynku rosyjskim raczej nie pozwoli im w przewidywalnej przyszłości stać się bardziej popularnymi niż rozwiązania krajowe.
Zecurion DLP wyróżnia się dobrą skalowalnością (jedyny rosyjski system DLP z potwierdzoną implementacją dla ponad 10 000 miejsc pracy) oraz wysoką dojrzałością technologiczną. Zaskakujący jest jednak brak konsoli internetowej, która pomogłaby uprościć zarządzanie rozwiązaniem korporacyjnym skierowanym do różnych segmentów rynku. Mocne strony Zecurion DLP obejmują wysokiej jakości rozpoznawanie poufnych informacji oraz pełną gamę produktów do zapobiegania wyciekom, w tym ochronę w bramie, stacjach roboczych i serwerach, wykrywanie lokalizacji i narzędzia do szyfrowania danych.
System Dozor-Jet DLP, jeden z pionierów krajowego rynku DLP, jest szeroko rozpowszechniony wśród rosyjskich firm i stale powiększa swoją bazę klientów dzięki rozległym powiązaniom integratora systemów Jet Infosystems, dewelopera w niepełnym wymiarze godzin i DLP. Choć technologicznie DLP jest nieco w tyle za mocniejszymi odpowiednikami, jego zastosowanie może być w wielu firmach uzasadnione. Dodatkowo, w przeciwieństwie do rozwiązań zagranicznych, Dozor Jet pozwala na archiwizację wszystkich zdarzeń i plików.
Wyniki biznesowe w wielu przypadkach zależą od zachowania poufności, integralności i dostępności informacji. Obecnie jednym z najpilniejszych zagrożeń w dziedzinie bezpieczeństwa informacji (IS) jest ochrona poufnych danych przed nieuprawnionymi działaniami użytkowników.
Wynika to z faktu, że większość tradycyjnych narzędzi ochrony, takich jak antywirusy, zapory ogniowe(Firewall) i systemy zapobiegania włamaniom (IPS) nie są w stanie zapewnić skutecznej ochrony przed intruzami wewnętrznymi (insiderami), których celem może być przekazanie informacji na zewnątrz firmy w celu późniejszego wykorzystania - sprzedaż, przekazanie osobom trzecim, publikacja w domena publiczna itp. Aby rozwiązać problem przypadkowych i celowych wycieków poufnych danych, zaprojektowano: Systemy zapobiegania utracie danych (DLP).
Takie systemy tworzą bezpieczny „cyfrowy obwód” wokół organizacji, analizując wszystkie wychodzące, aw niektórych przypadkach przychodzące informacje. Kontrolowane informacje to nie tylko ruch internetowy, ale także szereg innych przepływów informacji: dokumenty, które są wyprowadzane poza chronioną pętlę bezpieczeństwa na nośnikach zewnętrznych, drukowane na drukarce, wysyłane na nośniki mobilne przez Bluetooth, WiFi itp.
Systemy DLP analizują przepływy danych przekraczające granicę chronionego systemu informacyjnego. Po wykryciu w tym strumieniu informacji poufnych aktywowany jest aktywny składnik systemu, a transmisja wiadomości (pakiet, strumień, sesja) zostaje zablokowana. Identyfikacja informacji poufnych w strumieniach danych odbywa się poprzez analizę treści i identyfikację cech szczególnych: podpisu dokumentu, specjalnie wprowadzonych etykiet, wartości funkcji skrótu z określonego zestawu itp.
Nowoczesne systemy DLP mają ogromną liczbę parametrów i cech, które należy wziąć pod uwagę przy wyborze rozwiązania do organizowania ochrony poufnych informacji przed wyciekami. Być może najważniejszym z nich jest zastosowana architektura sieciowa. Zgodnie z tym parametrem produkty rozważanej klasy dzielą się na dwie duże grupy: brama (rys. 1) i host (rys. 2).
Pierwsza grupa korzysta z jednego serwera, do którego kierowany jest cały wychodzący ruch sieciowy korporacyjnego systemu informatycznego. Ta brama przetwarza je w celu wykrycia ewentualnych wycieków poufnych danych.
Ryż. 1. Schemat funkcjonalny rozwiązania Gateway DLP
Druga opcja polega na wykorzystaniu specjalnych programów - agentów instalowanych na końcowych węzłach sieci - stacjach roboczych, serwerach aplikacji itp.
Ryż. 2. Schemat funkcjonalny hosta rozwiązania DLP
Ostatnio obserwuje się silny trend w kierunku uniwersalizacji systemów DLP. Na rynku nie ma lub prawie nie ma rozwiązań, które można by nazwać rozwiązaniami czysto hostowymi lub bramowymi. Nawet ci programiści, którzy od dłuższego czasu rozwijają się tylko w jednym kierunku, dodają do swoich rozwiązań moduły drugiego typu.
Przejście na uniwersalizację rozwiązań DLP ma dwa powody. Pierwszym z nich są różne obszary zastosowań dla różnych typów systemów. Jak wspomniano powyżej, rozwiązania DLP hosta pozwalają kontrolować wszelkiego rodzaju kanały lokalne i sieciowe – internetowe w celu wycieku poufnych informacji. Ze względu na to, że w zdecydowanej większości przypadków organizacja potrzebuje pełnej ochrony, potrzebuje obu. Drugim powodem uniwersalizacji są pewne cechy technologiczne i ograniczenia, które nie pozwalają na pełną kontrolę wszystkich niezbędnych kanałów internetowych w systemach DLP będących wyłącznie bramkami.
Ponieważ nie można całkowicie zabronić korzystania z potencjalnie niebezpiecznych kanałów transmisji danych, możliwe jest objęcie ich kontrolą. Istotą kontroli jest monitorowanie wszystkich przesyłanych informacji, identyfikowanie wśród nich informacji poufnych oraz wykonywanie określonych operacji określonych w polityce bezpieczeństwa organizacji. Oczywiście głównym, najważniejszym i czasochłonnym zadaniem jest analiza danych. Od jego jakości zależy wydajność całego systemu DLP.
Metody analizy przepływu danych dla DLP
Zadanie analizy przepływu danych w celu zidentyfikowania informacji poufnych można śmiało nazwać nietrywialnym. Ponieważ poszukiwanie potrzebnych danych komplikuje wiele czynników, które należy wziąć pod uwagę. Dlatego do tej pory opracowano kilka technologii służących do wykrywania prób przesyłania poufnych danych. Każdy z nich różni się od innych zasadą działania.
Konwencjonalnie wszystkie metody wykrywania nieszczelności można podzielić na dwie grupy. Pierwsza obejmuje te technologie, które opierają się na analizie tekstów przesyłanych wiadomości lub samych dokumentów (analizy morfologiczne i statystyczne, szablony). Przez analogię z ochrona antywirusowa można je nazwać proaktywnymi. Druga grupa to metody reaktywne (druki cyfrowe i znaki). Wykrywają przecieki na podstawie właściwości dokumentów lub obecności w nich specjalnych znaków.
Analiza morfologiczna
Analiza morfologiczna jest jedną z najczęstszych metod wykrywania treści w celu wykrywania wycieków poufnych informacji. Istotą tej metody jest wyszukiwanie określonych słów i/lub fraz w przesyłanym tekście.
Główną zaletą tej metody jest jej wszechstronność. Z jednej strony analiza morfologiczna może być wykorzystywana do kontrolowania dowolnych kanałów komunikacji, od plików kopiowanych na dyski wymienne po wiadomości w ICQ, Skype, sieciach społecznościowych, a z drugiej strony można analizować dowolny tekst i śledzić wszelkie informacje. Jednocześnie poufne dokumenty nie wymagają wstępnego przetwarzania. Ochrona zaczyna działać natychmiast po włączeniu reguł przetwarzania i dotyczy wszystkich określonych kanałów komunikacji.
Główną wadą analizy morfologicznej jest stosunkowo niska skuteczność wykrywania informacji poufnych. Ponadto zależy to zarówno od algorytmów zastosowanych w systemie ochrony, jak i od jakości rdzeń semantyczny, który służy do opisu chronionych danych.
Analiza statystyczna
Zasada działania metod statystycznych polega na analizie probabilistycznej tekstu, co pozwala założyć jego poufność lub jawność. Ich praca zwykle wymaga wstępnego przeszkolenia algorytmu. Podczas niej obliczane jest prawdopodobieństwo znalezienia określonych słów, a także fraz w poufnych dokumentach.
Zaletą analizy statystycznej jest jej wszechstronność. Jednocześnie warto zauważyć, że ta technologia działa w trybie normalnym tylko w ramach utrzymywania ciągłego uczenia się algorytmu. Jeśli więc np. w procesie uczenia się systemowi zaoferowano niewystarczającą liczbę umów, to nie będzie w stanie określić faktu ich przeniesienia. Oznacza to, że jakość analizy statystycznej zależy od poprawności jej ustawień. Jednocześnie należy wziąć pod uwagę probabilistyczny charakter tej technologii.
Wyrażenia regularne (wzory)
Istota metody jest następująca: administrator bezpieczeństwa definiuje szablon ciągu dla danych poufnych: liczbę znaków i ich rodzaj (litera lub cyfra). Następnie system zaczyna szukać w analizowanych tekstach spełniających go kombinacji i stosuje określone w regułach akcje do znalezionych plików lub wiadomości.
Główną zaletą szablonów jest wysoka skuteczność wykrywania transferu poufnych informacji. Jeśli chodzi o incydenty przypadkowych wycieków, ma to tendencję do 100%. Sprawy z celowymi transferami są bardziej skomplikowane. Wiedząc o możliwościach wykorzystywanego systemu DLP, atakujący może temu przeciwdziałać, w szczególności rozdzielając znaki o różnych charakterach. Dlatego metody stosowane do ochrony poufnych informacji muszą być utrzymywane w tajemnicy.
Wady szablonów to przede wszystkim ograniczony zakres ich zastosowania. Mogą być wykorzystywane wyłącznie do standardowych informacji, takich jak ochrona danych osobowych. Kolejną wadą rozważanej metody jest stosunkowo wysoka częstość fałszywych trafień. Na przykład numer paszportu składa się z sześciu cyfr. Ale jeśli ustawisz taki wzór, zadziała za każdym razem, gdy znajdzie się 6 cyfr z rzędu. A może to być numer umowy wysłany do klienta, kwota itp.
Wydruki cyfrowe
W tym przypadku nadruk cyfrowy rozumiany jest jako cały zestaw charakterystycznych elementów dokumentu, dzięki którym można go z dużą pewnością określić w przyszłości. Nowoczesne rozwiązania DLP są w stanie wykryć nie tylko całe pliki, ale także ich fragmenty. W takim przypadku możesz nawet obliczyć stopień zgodności. Takie rozwiązania pozwalają tworzyć zróżnicowane reguły opisujące różne działania dla różnych procentów dopasowania.
Ważną cechą wydruków cyfrowych jest to, że można ich używać nie tylko do tekstu, ale także do dokumentów w arkuszach kalkulacyjnych, a także do obrazów. Otwiera to szerokie pole do zastosowania rozważanej technologii.
Tagi cyfrowe
Zasada Ta metoda następnie: na wybrane dokumenty nanoszone są specjalne oznaczenia, które są widoczne tylko dla modułów klienckich używanego rozwiązania DLP. W zależności od ich obecności system zezwala lub zabrania pewnych działań na plikach. Pozwala to nie tylko zapobiegać wyciekowi poufnych dokumentów, ale także ograniczać pracę z nimi użytkowników, co jest niewątpliwą zaletą tej technologii.
Wady tej technologii to przede wszystkim ograniczony zakres jej zastosowania. Może służyć do ochrony tylko dokumentów tekstowych i już istniejących. Nie dotyczy to nowo tworzonych dokumentów. Częściowo tę wadę niwelują metody automatycznego tworzenia tagów, np. na podstawie zestawu słów kluczowych. Aspekt ten sprowadza jednak technologię etykiet cyfrowych do technologii analizy morfologicznej, czyli de facto do powielania technologii.
Inną wadą technologii znaczników cyfrowych jest to, że można ją łatwo ominąć. Wystarczy ręcznie wpisać tekst dokumentu w liście (nie kopiuj go przez schowek, tylko wpisz), oraz Ta metoda będzie bezsilny. Dlatego jest dobry tylko w połączeniu z innymi metodami ochrony.
Główne funkcje systemów DLP:
Główne funkcje systemów DLP zilustrowano na poniższym rysunku (rys. 3)
- kontrola przesyłania informacji przez Internet z wykorzystaniem E-Mail, HTTP, HTTPS, FTP, Skype, ICQ oraz innych aplikacji i protokołów;
- kontrola zapisu informacji na nośnikach zewnętrznych - CD, DVD, flash, Telefony komórkowe itp.;
- ochrona informacji przed wyciekiem poprzez kontrolę wyprowadzania danych do druku;
- blokowanie prób przesyłania/zapisywania poufnych danych, informowanie administratorów bezpieczeństwa informacji o incydentach, tworzenie kopii shadow, korzystanie z folderu kwarantanny;
- wyszukiwanie poufnych informacji na stacjach roboczych i serwery plików według słów kluczowych, znaczników dokumentów, atrybutów plików i cyfrowych odcisków palców;
- zapobieganie wyciekom informacji poprzez kontrolę koło życia oraz przepływ informacji poufnych.
Ryż. 3. Główne funkcje systemów DLP
Ochrona informacji poufnych w systemie DLP odbywa się na trzech poziomach:
Poziom 1 - Dane w ruchu– dane przesyłane kanałami sieciowymi:
- WWW (protokoły HTTP/HTTPS);
- usługi wiadomości błyskawicznych (ICQ, QIP, Skype, MSN itp.);
- poczta firmowa i osobista (POP, SMTP, IMAP itp.);
- systemy bezprzewodowe (WiFi, Bluetooth, 3G itp.);
- ftp - połączenia.
Poziom 2 - Dane w spoczynku- dane przechowywane statycznie na:
- serwery;
- stanowiska pracy;
- laptopy;
- systemy przechowywania danych (SHD).
Poziom 3 - Dane w użyciu– dane wykorzystywane na stacjach roboczych.
W skład systemu klasy DLP wchodzą następujące elementy:
- centrum kontroli i monitoringu;
- agenty na stacjach roboczych użytkowników;
- Brama sieciowa DLP zainstalowana na brzegu Internetu.
W systemach DLP informacje poufne można określić za pomocą wielu różnych funkcji, a także na różne sposoby, z których najważniejsze to:
- analiza morfologiczna informacji;
- analiza statystyczna informacji;
- wyrażenia regularne (szablony);
- metoda cyfrowego odcisku palca;
- metoda etykiet cyfrowych.
Wprowadzenie systemów DLP od dawna stało się nie tylko modą, ale koniecznością, ponieważ wyciek poufnych danych może doprowadzić do ogromnych szkód dla firmy, a co najważniejsze, mieć długofalowy wpływ na działalność firmy. W takim przypadku szkoda może być nie tylko bezpośrednia, ale także pośrednia. Bo oprócz głównych szkód, szczególnie w przypadku ujawnienia informacji o incydencie, Twoja firma „traci twarz”. Bardzo, bardzo trudno jest ocenić szkody wynikające z utraty reputacji w pieniądzu! Jednak ostatecznym celem stworzenia systemu bezpieczeństwa informatycznego jest zapobieganie lub minimalizowanie szkód (bezpośrednich lub pośrednich, materialnych, moralnych lub innych) wyrządzonych podmiotom relacji informacyjnych poprzez niepożądany wpływ na informację, jej nośniki i procesy przetwarzania.
System D LP jest stosowany, gdy konieczne jest zabezpieczenie poufnych danych przed zagrożeniami wewnętrznymi. A jeśli specjaliści ds. bezpieczeństwa informacji dostatecznie opanowali i stosują narzędzia do ochrony przed zewnętrznymi intruzami, to z wewnętrznymi sprawa nie jest już tak gładka.
Zastosowanie systemu DLP w strukturze bezpieczeństwa informacji zakłada, że specjalista ds. bezpieczeństwa informacji rozumie:
- jak pracownicy firmy mogą ujawnić poufne dane;
- jakie informacje należy chronić przed zagrożeniem naruszenia poufności.
Wszechstronna wiedza pomoże specjaliście lepiej zrozumieć zasady pracy Technologie DLP i prawidłowo skonfiguruj ochronę przed wyciekami.
System DLP musi być w stanie odróżnić informacje poufne od niepoufnych. W przypadku analizy wszystkich danych w systemie informatycznym organizacji pojawia się problem nadmiernego obciążenia zasobów IT i personelu. DLP współpracuje głównie z odpowiedzialnym specjalistą, który nie tylko „uczy” poprawnej pracy systemu, wprowadza nowe i usuwa nieistotne reguły, ale także monitoruje bieżące, zablokowane lub podejrzane zdarzenia w systemie informatycznym.
Do konfiguracji używane są "SearchInform CIB"- zasady reagowania na incydenty bezpieczeństwa informacji. System posiada 250 wstępnie ustawionych polis, które można dostosować do potrzeb firmy.
Funkcjonalność systemu DLP zbudowana jest wokół „rdzenia” – algorytmu oprogramowania odpowiedzialnego za wykrywanie i kategoryzowanie informacji, które należy chronić przed wyciekami. U podstaw większości rozwiązań DLP znajdują się dwie technologie: analiza lingwistyczna oraz technologia oparta na metodach statystycznych. Ponadto w jądrze można zastosować mniej popularne techniki, takie jak użycie etykiet lub formalne metody analizy.
Twórcy systemów zapobiegania wyciekom uzupełniają unikalny algorytm oprogramowania o agentów systemowych, mechanizmy zarządzania incydentami, parsery, analizatory protokołów, przechwytywacze i inne narzędzia.
Wczesne systemy DLP opierały się na jednej metodzie: analizie lingwistycznej lub statystycznej. W praktyce wady obu technologii zostały zniwelowane przez wzajemne mocne strony, a ewolucja DLP doprowadziła do stworzenia systemów uniwersalnych pod względem „rdzenia”.
Językowa metoda analizy działa bezpośrednio z zawartością pliku i dokumentu. Pozwala to zignorować takie parametry jak nazwa pliku, obecność lub brak stempla w dokumencie, kto i kiedy utworzył dokument. Technologia analizy językowej obejmuje:
- analiza morfologiczna - wyszukiwanie wszystkich możliwych form słownych informacji, które należy chronić przed wyciekiem;
- analiza semantyczna - wyszukiwanie wystąpień ważnych (kluczowych) informacji w treści pliku, wpływ wystąpień na cechy jakościowe pliku, ocena kontekstu użycia.
Analiza językowa wykazuje wysoką jakość pracy przy dużej ilości informacji. W przypadku tekstu masowego system DLP z algorytmem analizy językowej dokładniej wybierze odpowiednią klasę, przypisze ją do żądanej kategorii i uruchomi skonfigurowaną regułę. W przypadku małych dokumentów lepiej zastosować technikę słów stop, która sprawdziła się skutecznie w walce ze spamem.
Nauka w systemach z algorytmem analizy językowej jest zaimplementowana na wysokim poziomie. Wczesne systemy DLP miały trudności z kategoryzacją i innymi etapami „uczenia się”, ale nie nowoczesne systemy określa się ugruntowane algorytmy samouczące się: identyfikowanie znaków kategorii, umiejętność samodzielnego tworzenia i zmiany reguł odpowiedzi. Aby skonfigurować w systemy informacyjne podobny systemy oprogramowania ochrona danych nie jest już wymagana do zaangażowania lingwistów.
Wady analizy lingwistycznej obejmują powiązanie z określonym językiem, gdy nie można użyć systemu DLP z rdzeniem „angielskim” do analizy przepływów informacji w języku rosyjskim i odwrotnie. Kolejna wada związana jest z trudnością jasnej kategoryzacji przy użyciu podejścia probabilistycznego, które utrzymuje dokładność odpowiedzi w granicach 95%, podczas gdy wyciek jakiejkolwiek ilości poufnych informacji może być krytyczny dla firmy.
Statystyczne metody analizy wręcz przeciwnie, wykazują dokładność bliską 100%. Wada jądra statystycznego związana jest z samym algorytmem analizy.
W pierwszym etapie dokument (tekst) dzielony jest na fragmenty o akceptowalnej wielkości (nie znak po znaku, ale wystarczający do zapewnienia poprawności działania). Z fragmentów usuwany jest skrót (w systemach DLP występuje jako termin Digital Fingerprint). Następnie hash jest porównywany z hashem fragmentu referencyjnego pobranego z dokumentu. W przypadku dopasowania system oznacza dokument jako poufny i działa zgodnie z polityką bezpieczeństwa.
Wadą metody statystycznej jest to, że algorytm nie jest w stanie samodzielnie się uczyć, tworzyć kategorii i pisać. W efekcie zależy to od kompetencji specjalisty i prawdopodobieństwa ustawienia hasha o takiej wielkości, że analiza da nadmierną liczbę fałszywych trafień. Nie jest trudno wyeliminować tę wadę, jeśli zastosujesz się do zaleceń programisty dotyczących konfiguracji systemu.
Kolejna wada związana jest z tworzeniem haszy. W zaawansowanych systemach informatycznych generujących duże ilości danych baza odcisków palców może osiągnąć taki rozmiar, że sprawdzanie ruchu pod kątem dopasowań ze standardem poważnie spowolni działanie całego systemu informatycznego.
Zaletą rozwiązań jest to, że skuteczność analizy statystycznej nie zależy od języka i obecności w dokumencie informacji nietekstowych. Hash jest równie dobrze usunięty z angielskiej frazy, z obrazu i fragmentu wideo.
Metody językowe i statystyczne nie nadają się do wykrywania danych o określonym formacie dla jakiegokolwiek dokumentu, takiego jak numery kont czy paszporty. Aby zidentyfikować takie typowe struktury w tablicy informacyjnej, do rdzenia systemu DLP wprowadzane są formalne technologie analizy struktur.
Wysokiej jakości rozwiązanie DLP wykorzystuje wszystkie narzędzia analityczne, które działają sekwencyjnie, uzupełniając się nawzajem.
Możesz określić, które technologie są obecne w jądrze.
Równie ważne jak funkcjonalność rdzenia są poziomy kontroli, na których działa system DLP. Są dwa z nich:
Twórcy nowoczesnych produktów DLP zrezygnowali z oddzielnej implementacji ochrony warstwowej, ponieważ zarówno urządzenia końcowe, jak i sieć muszą być chronione przed wyciekiem.
Kontrola poziomu sieci jednocześnie powinna zapewniać maksymalny możliwy zasięg protokołów i usług sieciowych. Mówimy nie tylko o „tradycyjnych” kanałach (FTP), ale także o nowszych systemach wymiany sieci (Instant Messengers). Niestety nie jest możliwe kontrolowanie ruchu szyfrowanego na poziomie sieci, ale ten problem w systemach DLP jest rozwiązywany na poziomie hosta.
Kontrola poziomu hosta pozwala na rozwiązywanie większej liczby zadań związanych z monitorowaniem i analizą. W rzeczywistości służba bezpieczeństwa informacji otrzymuje narzędzie do pełnej kontroli nad działaniami użytkownika na stacji roboczej. DLP z architekturą hosta pozwala śledzić, co, jakie dokumenty, co jest wpisywane na klawiaturze, nagrywać materiały audio i robić. Zaszyfrowany ruch jest przechwytywany na poziomie końcowej stacji roboczej (), a dane, które są aktualnie przetwarzane i przechowywane na komputerze użytkownika, są otwarte do weryfikacji.
Oprócz rozwiązywania typowych zadań, systemy DLP z kontrolą na poziomie hosta zapewniają dodatkowe środki zapewniające bezpieczeństwo informacji: kontrolę instalacji i modyfikacji oprogramowania, blokowanie portów I/O itp.
Wadą implementacji hosta jest to, że systemy z rozbudowanym zestawem funkcji są trudniejsze w administrowaniu, bardziej obciążają zasoby samej stacji roboczej. Serwer sterowania regularnie wywołuje moduł „agenta” na urządzeniu końcowym, aby sprawdzić dostępność i aktualność ustawień. Ponadto część zasobów stacji roboczej użytkownika nieuchronnie zostanie „zjedzony” przez moduł DLP. Dlatego już na etapie wyboru rozwiązania zapobiegającego wyciekom należy zwrócić uwagę na wymagania sprzętowe.
Zasada separacji technologii w systemach DLP to już przeszłość. Nowoczesny rozwiązania programowe aby zapobiec wyciekom, stosuje się metody, które kompensują sobie nawzajem niedociągnięcia. Dzięki zintegrowanemu podejściu poufne dane w obszarze bezpieczeństwa informacji stają się bardziej odporne na zagrożenia.