Šiomis dienomis dažnai galima išgirsti apie tokias technologijas kaip DLP sistemos. Kas tai yra ir kur jis naudojamas? Tai programinė įranga, skirta užkirsti kelią duomenų praradimui, nustatant galimus duomenų perdavimo ir filtravimo pažeidimus. Be to, tokios paslaugos stebi, aptinka ir blokuoja jo naudojimą, judėjimą (tinklo srautą) ir saugojimą.

Konfidencialių duomenų nutekėjimas paprastai įvyksta dėl to, kad nepatyrę vartotojai naudoja įrangą, arba tai yra kenkėjiškų veiksmų rezultatas. Tokiai informacijai asmeninės ar įmonės informacijos, intelektinės nuosavybės (IP), finansinės ar medicininės informacijos, kredito kortelių informacijos ir panašiai forma būtinos sustiprintos apsaugos priemonės, kurias gali pasiūlyti šiuolaikinės informacinės technologijos.

Sąvokos „duomenų praradimas“ ir „duomenų nutekėjimas“ yra susijusios ir dažnai vartojamos pakaitomis, nors jos šiek tiek skiriasi. Informacijos praradimo atvejai virsta informacijos nutekėjimu, kai šaltinis, kuriame yra konfidenciali informacija, dingsta ir vėliau patenka į neleistinos šalies rankas. Tačiau duomenų nutekėjimas įmanomas neprarandant duomenų.

DLP kategorijos

Technologinius įrankius, naudojamus kovojant su duomenų nutekėjimu, galima suskirstyti į šias kategorijas: standartinės saugumo priemonės, intelektualios (pažangios) priemonės, prieigos kontrolė ir šifravimas, taip pat specializuotos DLP sistemos (kas tai yra išsamiai aprašyta žemiau).

Standartinės priemonės

Standartinės saugos priemonės, tokios kaip įsibrovimo aptikimo sistemos (IDS) ir antivirusinė programinė įranga, yra įprasti mechanizmai, apsaugantys kompiuterius nuo pašalinių ir viešai neatskleistų atakų. Pavyzdžiui, prijungus užkardą neleidžiama pašaliniams asmenims prisijungti prie vidinio tinklo, o įsilaužimo aptikimo sistema aptinka bandymus įsilaužti. Vidinių atakų galima išvengti patikrinus su antivirusine programa, kuri aptinka asmeniniuose kompiuteriuose įdiegtas konfidencialią informaciją siunčiančias programas, taip pat naudojant paslaugas, kurios veikia kliento-serverio architektūroje be jokių asmeninių ar konfidencialių duomenų, saugomų kompiuteryje.

Papildomos saugumo priemonės

Papildomos saugos priemonės naudoja labai specializuotas paslaugas ir laiko algoritmus, kad nustatytų neįprastą prieigą prie duomenų (t. y. duomenų bazių ar informacijos paieškos sistemų) arba neįprastus apsikeitimus el. Be to, tokios šiuolaikinės informacinės technologijos identifikuoja programas ir užklausas, turinčias piktų kėslų, ir atlieka gilų kompiuterinių sistemų nuskaitymą (pavyzdžiui, atpažįsta klavišų paspaudimus ar garsiakalbių garsus). Kai kurios tokios paslaugos netgi gali stebėti vartotojo veiklą, kad aptiktų neįprastą prieigą prie duomenų.

Individualiai sukurtos DLP sistemos – kas tai?

Sukurti informacijos saugumui, DLP sprendimai yra skirti aptikti ir užkirsti kelią neteisėtiems bandymams kopijuoti ar perkelti jautrius duomenis (tyčia ar netyčia) be leidimo ar prieigos, paprastai naudotojų, turinčių prieigos prie jautrių duomenų teises.

Siekdamos klasifikuoti tam tikrą informaciją ir reguliuoti prieigą prie jos, šios sistemos naudoja tokius mechanizmus kaip tikslus duomenų atitikimas, struktūrinis pirštų atspaudų ėmimas, taisyklių ir reguliariųjų posakių priėmimas, publikacijos. kodo frazės, konceptualūs apibrėžimai ir raktiniai žodžiai. DLP sistemų tipus ir palyginimą galima pateikti taip.

Tinklo DLP (taip pat žinomas kaip judantys duomenys arba DiM)

Paprastai tai yra aparatinės įrangos sprendimas arba programinė įranga, įdiegta tinklo taškuose, esančiuose netoli perimetro. Jis analizuoja tinklo srautą, kad nustatytų pažeidžiant siunčiamus slaptus duomenis

Galinis taškas DLP (duomenys naudojant )

Tokios sistemos veikia įvairių organizacijų galutinių vartotojų darbo vietose arba serveriuose.

Kaip ir kitose tinklo sistemose, galutinis taškas gali susidurti su vidiniu ir išoriniu ryšiu, todėl gali būti naudojamas valdyti informacijos srautą tarp vartotojų tipų ar grupių (pvz., ugniasienės). Jie taip pat gali stebėti el. paštą ir momentinius pranešimus. Tai vyksta taip – ​​prieš atsisiunčiant žinutes į įrenginį, tarnyba juos patikrina, o jei juose yra nepalanki užklausa, blokuoja. Dėl to jie tampa nepataisomi ir jiems netaikomos duomenų saugojimo įrenginyje taisyklės.

DLP sistemos (technologijos) pranašumas yra tas, kad ji gali valdyti ir valdyti prieigą prie fizinių įrenginių (pavyzdžiui, mobiliųjų įrenginių su saugojimo galimybėmis), o kartais prieiti prie informacijos prieš ją užšifruojant.

Kai kurios galutiniais taškais pagrįstos sistemos taip pat gali teikti taikomųjų programų valdymą, kad būtų užblokuoti bandymai perduoti neskelbtiną informaciją ir teikti nedelsiant Atsiliepimas su vartotoju. Tačiau jų trūkumas yra tas, kad jie turi būti įdiegti kiekvienoje tinklo darbo vietoje ir negali būti naudojami mobiliuosiuose įrenginiuose (pvz., Mobilieji telefonai ir PDA) arba ten, kur jų praktiškai neįmanoma įdiegti (pavyzdžiui, darbo vietoje interneto kavinėje). Į šią aplinkybę reikia atsižvelgti renkantis DLP sistemą bet kokiam tikslui.

Duomenų identifikavimas

DLP sistemos apima kelis metodus, kuriais siekiama nustatyti slaptą ar konfidencialią informaciją. Šis procesas kartais painiojamas su iššifravimu. Tačiau duomenų identifikavimas yra procesas, kurio metu organizacijos naudoja DLP technologiją, kad nustatytų, ko ieškoti (judančios, ramybės ar naudojimo).

Duomenys klasifikuojami kaip struktūrizuoti arba nestruktūruoti. Pirmasis tipas saugomas fiksuotuose failo laukuose (pvz., skaičiuoklėje), o nestruktūrizuotas reiškia laisvos formos tekstą (formoje tekstinius dokumentus arba PDF failus).

Ekspertų teigimu, 80% visų duomenų yra nestruktūrizuoti. Atitinkamai 20 proc. yra pagrįsta turinio analize, orientuota į struktūrizuotą informaciją ir kontekstinę analizę. Tai atliekama toje vietoje, kur buvo sukurta programa ar sistema, kurioje buvo gauti duomenys. Taigi, atsakymas į klausimą "DLP sistemos - kas tai yra?" pasitarnaus informacijos analizės algoritmui nustatyti.

Naudoti metodai

Šiandien yra daugybė jautraus turinio apibūdinimo metodų. Juos galima suskirstyti į dvi kategorijas: tikslius ir netikslius.

Tikslūs metodai yra tie, kurie apima turinio analizę ir sumažina klaidingai teigiamus atsakymus į užklausas iki beveik nulio.

Visi kiti yra netikslūs ir gali apimti: žodynus, raktinius žodžius, reguliariąsias išraiškas, išplėstines reguliariąsias išraiškas, duomenų metažymes, Bajeso analizę, statistinę analizę ir kt.

Analizės veiksmingumas tiesiogiai priklauso nuo jos tikslumo. Aukštą įvertinimą turinti DLP sistema pasižymi dideliu našumu šis parametras. DLP identifikavimo tikslumas yra būtinas norint išvengti klaidingų teigiamų ir neigiamų pasekmių. Tikslumas gali priklausyti nuo daugelio veiksnių, kai kurie iš jų gali būti susiję su situacija arba technologiniais. Tikslumo testai gali užtikrinti DLP sistemos patikimumą – beveik nulis klaidingų teigiamų rezultatų.

Informacijos nutekėjimo aptikimas ir prevencija

Kartais duomenų platinimo šaltinis suteikia slaptą informaciją trečiosioms šalims. Po kurio laiko dalis jų greičiausiai bus rasta neleistinoje vietoje (pavyzdžiui, internete arba kito vartotojo nešiojamame kompiuteryje). Tada DLP sistemos, kurių kainą pateikia kūrėjai pagal pageidavimą ir gali svyruoti nuo kelių dešimčių iki kelių tūkstančių rublių, turi ištirti, kaip buvo nutekinti duomenys – iš vienos ar kelių trečiųjų šalių, ar tai buvo padaryta nepriklausomai viena nuo kitos, ar nuotėkis buvo užtikrintas bet kuriuo tada kitomis priemonėmis ir pan.

Duomenys ramybės būsenoje

„Duomenys ramybės būsenoje“ reiškia seną archyvuotą informaciją, saugomą bet kurioje kietieji diskai kliento asmeniniame kompiuteryje, nuotoliniame failų serveryje, diske.Šis apibrėžimas taip pat taikomas sistemoje saugomiems duomenims Rezervinė kopija(flash diskuose ar kompaktiniuose diskuose). Ši informacija yra labai svarbi įmonėms ir vyriausybinėms agentūroms vien todėl, kad didelis duomenų kiekis yra nenaudojamas saugojimo įrenginiuose ir yra labiau tikėtina, kad juos prieis neįgalioti asmenys už tinklo ribų.

D LP sistema naudojama tada, kai reikia apsaugoti konfidencialius duomenis nuo vidinių grėsmių. O jei specialistai informacijos saugumas Jeigu jie pakankamai įvaldę ir naudoja priemones apsisaugoti nuo išorinių įsibrovėlių, tai su vidiniais ne viskas taip sklandžiai.

DLP sistemos naudojimas informacijos saugos struktūroje daro prielaidą, kad informacijos saugos specialistas supranta:

• kaip įmonės darbuotojai gali nutekėti konfidencialius duomenis;
• kokia informacija turėtų būti apsaugota nuo grėsmės konfidencialumui.

Išsamios žinios padės specialistui geriau suprasti DLP technologijos veikimo principus ir teisingai sukonfigūruoti apsaugą nuo nuotėkio.

DLP sistema turi gebėti atskirti konfidencialią informaciją nuo nekonfidencialios informacijos. Jei analizuojate visus organizacijos informacinės sistemos duomenis, iškyla per didelio IT išteklių ir personalo apkrovimo problema. DLP daugiausia dirba „kartu“ su atsakingu specialistu, kuris ne tik „moko“ sistemą tinkamai veikti, įveda naujas ir ištrina neaktualias taisykles, bet ir stebi esamus, užblokuotus ar įtartinus įvykius informacinėje sistemoje.

Norėdami sukonfigūruoti „SearchInform CIB“, naudokite- reagavimo į informacijos saugumo incidentus taisyklės. Sistema turi 250 iš anksto nustatytų strategijų, kurias galima koreguoti, kad atitiktų įmonės tikslus.

DLP sistemos funkcionalumas yra pagrįstas „šerdimi“ - programinės įrangos algoritmu, kuris yra atsakingas už informacijos, kurią reikia apsaugoti nuo nutekėjimo, aptikimą ir skirstymą į kategorijas. Daugumos DLP sprendimų pagrindas yra dvi technologijos: lingvistinė analizė ir technologija, pagrįsta statistiniais metodais. Branduolys taip pat gali naudoti mažiau paplitusius metodus, tokius kaip ženklinimas arba formalūs analizės metodai.

Apsaugos nuo nutekėjimo sistemų kūrėjai unikalų programinės įrangos algoritmą papildo sistemos agentais, incidentų valdymo mechanizmais, analizatoriais, protokolų analizatoriais, perėmėtojais ir kitais įrankiais.

Ankstyvosios DLP sistemos buvo pagrįstos vienu metodu: kalbine arba statistine analize. Praktiškai abiejų technologijų trūkumai buvo kompensuoti stiprybės vienas kitą, o DLP raida paskatino sukurti sistemas, kurios yra universalios „šerdies“ požiūriu.

Lingvistinis analizės metodas veikia tiesiogiai su failo ir dokumento turiniu. Tai leidžia nepaisyti tokių parametrų kaip failo pavadinimas, antspaudo buvimas ar nebuvimas dokumente, kas ir kada sukūrė dokumentą. Lingvistinės analizės technologija apima:

• morfologinė analizė – visų įmanomų žodžių formų paieška informacijos, kurią reikia apsaugoti nuo nutekėjimo;
• semantinė analizė – svarbios (pagrindinės) informacijos pasikartojimų paieška bylos turinyje, įvykių įtaka kokybinėms bylos savybėms, naudojimo konteksto įvertinimas.

Lingvistinė analizė rodo aukštą darbo kokybę su dideliu informacijos kiekiu. Dideliam tekstui DLP sistema su lingvistinės analizės algoritmu tiksliau parinks tinkamą klasę, priskirs ją norimai kategorijai ir paleis sukonfigūruotą taisyklę. Mažiems dokumentams geriau naudoti stop žodžio techniką, kuri pasirodė veiksminga kovojant su šiukšlėmis.

Mokymosi galimybės sistemose su lingvistinės analizės algoritmu yra įgyvendintos aukštu lygiu. Ankstyvosiose DLP sistemose kilo sunkumų nustatant kategorijas ir kitus „mokymosi“ etapus, tačiau šiuolaikinės sistemos turi gerai veikiančius savarankiško mokymosi algoritmus: kategorijų atributų identifikavimą, galimybę savarankiškai formuoti ir keisti atsako taisykles. Norint konfigūruoti tokias duomenų apsaugos programines sistemas informacinėse sistemose, nebereikia įtraukti kalbininkų.

Lingvistinės analizės trūkumai yra susiejimas su konkrečia kalba, kai neįmanoma naudoti DLP sistemos su „anglišku“ branduoliu analizuojant rusų kalbos informacijos srautus ir atvirkščiai. Kitas trūkumas yra susijęs su sunkumu aiškiai suskirstyti į kategorijas naudojant tikimybinį metodą, dėl kurio atsakymo tikslumas yra 95%, o bet kokio konfidencialios informacijos nutekėjimas gali būti labai svarbus įmonei.

Statistiniai analizės metodai, priešingai, demonstruoja beveik 100 procentų tikslumą. Statistinės šerdies trūkumas siejamas su pačiu analizės algoritmu.

Pirmajame etape dokumentas (tekstas) suskirstomas į priimtino dydžio fragmentus (ne po ženklą, bet pakankamai, kad būtų užtikrintas veikimo tikslumas). Iš fragmentų pašalinama maiša (DLP sistemose ji žinoma kaip terminas Digital Fingerprint). Tada maiša lyginama su nuorodos fragmento, paimto iš dokumento, maiša. Jei sutampa, sistema pažymi dokumentą kaip konfidencialų ir veikia pagal saugumo politiką.

Statistinio metodo trūkumas yra tas, kad algoritmas negali savarankiškai mokytis, formuoti kategorijų ir rinkti. Dėl to atsiranda priklausomybė nuo specialisto kompetencijų ir tikimybė, kad bus nurodyta tokio dydžio maiša, kad analizė sukels per daug klaidingų teigiamų rezultatų. Trūkumą pašalinti nėra sunku, jei laikotės kūrėjo rekomendacijų dėl sistemos nustatymo.

Yra dar vienas trūkumas, susijęs su maišos formavimu. Sukurtose IT sistemose, kurios generuoja didelius duomenų kiekius, pirštų atspaudų duomenų bazė gali pasiekti tokį dydį, kad tikrinant srautą, ar jie atitinka standartą, labai sulėtės visos informacinės sistemos darbas.

Sprendimų pranašumas yra tas, kad statistinės analizės efektyvumas nepriklauso nuo kalbos ir netekstinės informacijos buvimo dokumente. Maišą vienodai gerai galima pašalinti iš angliškos frazės, iš vaizdo ar vaizdo įrašo fragmento.

Kalbiniai ir statistiniai metodai netinka aptikti bet kokio dokumento konkretaus formato duomenis, tokius kaip sąskaitos numeris ar pasas. Norint nustatyti panašias tipines struktūras informacijos masyve, į DLP sistemos branduolį įtraukiamos formalių struktūrų analizės technologijos.

Aukštos kokybės DLP sprendimas naudoja visus analizės įrankius, kurie veikia nuosekliai, papildydami vienas kitą.

Galite nustatyti, kurios technologijos yra branduolyje.

Ne mažiau nei branduolio funkcionalumas yra svarbūs valdymo lygiai, kuriais veikia DLP sistema. Yra du iš jų:

Šiuolaikinių DLP produktų kūrėjai atsisakė atskiro sluoksninės apsaugos diegimo, nes nuo nutekėjimo reikia apsaugoti ir galutinius įrenginius, ir tinklą.

Tinklo valdymo sluoksnis Kartu ji turi užtikrinti maksimalią įmanomą tinklo protokolų ir paslaugų aprėptį. Kalbame ne tik apie „tradicinius“ kanalus (, FTP,), bet ir apie naujesnes tinklo mainų sistemas (Instant Messengers,). Deja, neįmanoma valdyti šifruoto srauto tinklo lygiu, tačiau ši problema DLP sistemose išsprendžiama pagrindinio kompiuterio lygiu.

Prieglobos lygio valdymas leidžia išspręsti daugiau stebėjimo ir analizės užduočių. Tiesą sakant, informacijos saugos tarnyba gauna įrankį, leidžiantį visiškai kontroliuoti vartotojo veiksmus darbo vietoje. DLP su pagrindine architektūra leidžia sekti, kas, kokius dokumentus, kas parašyta klaviatūra, įrašyti garso medžiagą ir daryti. Pabaigos darbo stoties lygiu užšifruotas srautas () yra perimamas, o duomenys, kurie šiuo metu apdorojami ir ilgą laiką saugomi vartotojo kompiuteryje, yra atviri patikrinti.

Be įprastų problemų sprendimo, DLP sistemos su valdymu pagrindinio kompiuterio lygmeniu suteikia papildomų priemonių informacijos saugumui užtikrinti: instaliacijų ir programinės įrangos pakeitimų stebėjimas, I/O prievadų blokavimas ir kt.

Pagrindinio kompiuterio diegimo trūkumai yra tai, kad sistemas su dideliu funkcijų rinkiniu yra sunkiau administruoti ir jos reikalauja daugiau pačios darbo vietos išteklių. Valdymo serveris reguliariai susisiekia su „agento“ moduliu galutiniame įrenginyje, kad patikrintų nustatymų prieinamumą ir tinkamumą. Be to, kai kuriuos vartotojo darbo vietos išteklius neišvengiamai „suvalgys“ DLP modulis. Todėl net renkantis sprendimą, kad būtų išvengta nuotėkio, svarbu atkreipti dėmesį į techninės įrangos reikalavimus.

Technologijų atskyrimo principas DLP sistemose yra praeitis. Modernus programinės įrangos sprendimai Siekiant išvengti nutekėjimų, naudojami metodai, kurie kompensuoja vienas kito trūkumus. Dėl integruoto požiūrio konfidencialūs duomenys informacijos saugumo perimetro tampa atsparesni grėsmėms.

Net ir madingiausi IT terminai turi būti vartojami tinkamai ir kuo teisingiau. Bent jau tam, kad neklaidintų vartotojų. Neabejotinai tapo madinga laikyti save DLP sprendimų gamintoju. Pavyzdžiui, neseniai vykusioje parodoje CeBIT-2008 ant ne tik pasaulyje mažai žinomų antivirusinių ir tarpinių serverių, bet net ir ugniasienių gamintojų stendų buvo galima išvysti užrašą „DLP sprendimas“. Kartais apimdavo jausmas, kad už kito kampo matai kažkokį kompaktinių diskų išmetiklį (programą, kuri valdo CD įrenginio atidarymą) su išdidžiu įmonės DLP sprendimo šūkiu. Ir, kaip bebūtų keista, kiekvienas iš šių gamintojų, kaip taisyklė, turėjo daugiau ar mažiau logišką paaiškinimą tokiam savo gaminio pozicionavimui (natūralu, kad be noro gauti „naudą“ iš madingo termino).

Prieš svarstydami DLP sistemų gamintojų rinką ir jos pagrindinius žaidėjus, turėtume nuspręsti, ką turime omenyje sakydami DLP sistemą. Buvo daug bandymų apibrėžti šią informacinių sistemų klasę: ILD&P – informacijos nutekėjimo aptikimas ir prevencija („informacijos nutekėjimo identifikavimas ir prevencija“, terminą IDC pasiūlė 2007 m.), ILP – informacijos nutekėjimo apsauga („apsauga nuo informacijos“). nutekėjimai“, Forrester , 2006), ALS – apsaugos nuo nutekėjimo programinė įranga („apsaugos nuo nuotėkio programinė įranga“, E&Y), turinio stebėjimas ir filtravimas (CMF, Gartner), išspaudimo prevencijos sistema (panaši į įsibrovimo prevencijos sistemą).

Tačiau 2005 m. pasiūlytas pavadinimas DLP – duomenų praradimo prevencija (arba duomenų nutekėjimo prevencija, apsauga nuo duomenų nutekėjimo) vis dėlto įsitvirtino kaip dažnai vartojamas terminas. Kaip rusiškas (o ne vertimas, bet panašus terminas) frazė „ konfidencialios apsaugos sistemos“ buvo priimti duomenys iš viešai neatskleistų grėsmių“. Tuo pačiu metu vidinės grėsmės suprantamos kaip piktnaudžiavimas (tyčinis ar atsitiktinis) organizacijos darbuotojų, turinčių juridines teises prieiti prie atitinkamų duomenų ir savo įgaliojimus.

Darniausius ir nuosekliausius priklausymo DLP sistemoms kriterijus iškėlė tyrimų agentūra „Forrester Research“, kasmet tirdama šią rinką. Jie pasiūlė keturis kriterijus, pagal kuriuos sistema gali būti klasifikuojama kaip DLP. 1.

Daugiakanalis. Sistema turi turėti galimybę stebėti kelis galimus duomenų nutekėjimo kanalus. Tinklo aplinkoje tai bent jau el. paštas, žiniatinklis ir IM (momentiniai pasiuntiniai), o ne tik pašto srauto ar duomenų bazės veiklos nuskaitymas. Darbo vietoje - failų operacijų stebėjimas, darbas su iškarpine, taip pat el. pašto, žiniatinklio ir IM valdymas. 2.

Vieningas valdymas. Sistema turi turėti vieningus informacijos saugumo politikos valdymo įrankius, analizę ir įvykių ataskaitų teikimą visuose stebėjimo kanaluose. 3.

Aktyvi apsauga. Sistema turėtų ne tik aptikti saugumo politikos pažeidimus, bet ir prireikus priversti jos laikytis. Pavyzdžiui, blokuokite įtartinus pranešimus. 4.

Remiantis šiais kriterijais, 2008 m. Forrester peržiūrai ir įvertinimui atrinko 12 gamintojų sąrašą. programinė įranga(jie išvardyti toliau abėcėlės tvarka, skliausteliuose nurodant įmonės, kurią šis pardavėjas įsigijo norėdamas patekti į DLP sistemų rinką, pavadinimą):

1. Kodas Žalias;
2. InfoWatch;
3. McAfee („Onigma“);
4. Orkestras;
5. Reconnex;
6. RSA/EMC („Tablus“);
7. Symantec („Vontu“);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Darbo pasidalijimas.

Šiandien iš minėtų 12 pardavėjų Rusijos rinkoje vienu ar kitu laipsniu atstovauja tik „InfoWatch“ ir „Websense“. Likusieji arba visai neveikia Rusijoje, arba tik paskelbė apie ketinimus pradėti pardavinėti DLP sprendimus („Trend Micro“).

Atsižvelgdami į DLP sistemų funkcionalumą, analitikai (Forrester, Gartner, IDC) pristato apsaugos objektų kategoriją – stebimų informacinių objektų tipus. Toks skirstymas į kategorijas leidžia iš pradžių įvertinti konkrečios sistemos taikymo sritį. Yra trys stebėjimo objektų kategorijos.

1. Duomenų judėjimas (data in motion) – el. pašto žinutės, interneto gavikliai, lygiaverčiai tinklai, failų perdavimas, interneto srautas, taip pat kitų tipų pranešimai, kurie gali būti perduodami ryšio kanalais. 2. Duomenys ramybės būsenoje (saugomi duomenys) – informacija apie darbo vietas, nešiojamus kompiuterius, failų serveriai, specializuotuose saugojimo įrenginiuose, USB įrenginiuose ir kitų tipų saugojimo įrenginiuose.

3. Duomenys naudojami (data in use) – šiuo metu tvarkoma informacija.

Šiuo metu mūsų rinkoje yra apie dvi dešimtis vietinių ir užsienio produktų, turinčių kai kurias DLP sistemų savybes. Trumpa informacija apie juos pagal aukščiau pateiktą klasifikaciją pateikta lentelėje. 1 ir 2. Taip pat lentelėje. 1 įvedė tokį parametrą kaip „centralizuotas duomenų saugojimas ir auditas“, reiškiantį sistemos galimybę išsaugoti duomenis viename saugykloje (visiems stebėjimo kanalams) tolesnei analizei ir auditui. Ši funkcija atsiranda Pastaruoju metu ypač svarbus ne tik dėl įvairių teisės aktų reikalavimų, bet ir dėl savo populiarumo tarp užsakovų (remiantis įgyvendintų projektų patirtimi). Visa šiose lentelėse esanti informacija yra paimta iš viešųjų šaltinių ir atitinkamų įmonių rinkodaros medžiagos.

Remiantis 1 ir 2 lentelėse pateiktais duomenimis, galime daryti išvadą, kad šiandien Rusijoje pristatomos tik trys DLP sistemos (iš įmonių InfoWatch, Perimetrix ir WebSence). Tai taip pat apima neseniai paskelbtą integruotą Jet Infosystem produktą (SKVT+SMAP), nes jis apims kelis kanalus ir turės vieningą saugos politikos valdymą.

Gana sunku kalbėti apie šių gaminių rinkos dalis Rusijoje, nes dauguma minėtų gamintojų neatskleidžia pardavimo apimčių, klientų ir saugomų darbo vietų skaičiaus, apsiribodami tik rinkodaros informacija. Galime tik tvirtai pasakyti, kad pagrindiniai tiekėjai šiuo metu yra:

• „Dozor“ sistemos, esančios rinkoje nuo 2001 m.;
• InfoWatch produktai parduodami nuo 2004 m.;
• WebSense CPS (pradėta parduoti Rusijoje ir visame pasaulyje 2007 m.);
• Perimetrix (jauna įmonė, kurios pirmoji gaminių versija buvo paskelbta jos svetainėje 2008 m. pabaigoje).

Baigdamas noriu pridurti, kad tai, ar kas nors priklauso DLP sistemų klasei, nepadaro gaminių blogesnio ar geresnio – tai tiesiog klasifikavimo ir nieko daugiau.

1 lentelė. Rusijos rinkoje pateikiami produktai, turintys tam tikras DLP sistemų savybes

Bendrovė	Produktas	Prekės savybės
		Duomenų judėjimo apsauga	Naudojamų duomenų apsauga	Ramybės duomenų (data-at-rest) apsauga	Centralizuotas saugojimas ir auditas
InfoWatch	IW eismo monitorius	Taip	Taip	Nr	Taip
	IW CryptoStorage	Nr	Nr	Taip	Nr
Perimetriksas	Saugi erdvė	Taip	Taip	Taip	Taip
Reaktyvinės informacinės sistemos	Dozor Jet (SKVT)	Taip	Nr	Nr	Taip
	„Jet Watch“ (SMAP)	Taip	Nr	Nr	Taip
„Smart Line Inc.	Įrenginio užraktas	Nr	Taip	Nr	Taip
SecurIT	Zlockas	Nr	Taip	Nr	Nr
	Paslapčių saugotojas	Nr	Taip	Nr	Nr
SpectorSoft	Spectorius 360	Taip	Nr	Nr	Nr
Lumension apsauga	Sanctuary Device Control	Nr	Taip	Nr	Nr
WebSense	„Websense“ turinio apsauga	Taip	Taip	Taip	Nr
Informzashita	Apsaugos studija	Nr	Taip	Taip	Nr
Primetek	Insaideris	Nr	Taip	Nr	Nr
AtomPark programinė įranga	StaffCop	Nr	Taip	Nr	Nr
SoftInform	SearchInform Server	Taip	Taip	Nr	Nr

2 lentelė. Rusijos rinkoje pateikiamų gaminių atitikimas priklausymo DLP sistemų klasei kriterijams

Bendrovė	Produktas	Priklausymo DLP sistemoms kriterijai
		Daugiakanalis	Vieningas valdymas	Aktyvi apsauga	Atsižvelgiant į turinį ir kontekstą
InfoWatch	IW eismo monitorius	Taip	Taip	Taip	Taip
Perimetriksas	Saugi erdvė	Taip	Taip	Taip	Taip
„Jet Infosystems“	„Dozor Jet“ (SKVT)	Nr	Nr	Taip	Taip
	„Dozor Jet“ (SMAP)	Nr	Nr	Taip	Taip
„Smart Line Inc“	Įrenginio užraktas	Nr	Nr	Nr	Nr
SecurIT	Zlockas	Nr	Nr	Nr	Nr
„Smart Protection Labs“ programinė įranga	Paslapčių saugotojas	Taip	Taip	Taip	Nr
SpectorSoft	Spectorius 360	Taip	Taip	Taip	Nr
Lumension apsauga	Sanctuary Device Control	Nr	Nr	Nr	Nr
WebSense	„Websense“ turinio apsauga	Taip	Taip	Taip	Taip
„Informazhita“	Apsaugos studija	Taip	Taip	Taip	Nr
"Primtek"	Insaideris	Taip	Taip	Taip	Nr
„AtomPark programinė įranga“	StaffCop	Taip	Taip	Taip	Nr
„SoftInform“	SearchInform Server	Taip	Taip	Nr	Nr
„Informacijos apsauga“	"Infoperimetras"	Taip	Taip	Nr	Nr

Nutekėjimo kanalai, dėl kurių informacija perduodama už įmonės informacinės sistemos ribų, gali būti tinklo nutekėjimai (pavyzdžiui, el. paštas arba ICQ), vietiniai (naudojant išorinius USB įrenginius) arba saugomi duomenys (duomenų bazės). Atskirai galime pabrėžti žiniasklaidos (flash atminties, nešiojamojo kompiuterio) praradimą. Sistema gali būti priskirta DLP klasei, jei ji atitinka šiuos kriterijus: daugiakanalinė (stebima keli galimi duomenų nutekėjimo kanalai); vieningas valdymas (vieningi valdymo įrankiai visuose stebėjimo kanaluose); aktyvi apsauga (saugumo politikos laikymasis); atsižvelgiant ir į turinį, ir į kontekstą.

Daugumos sistemų konkurencinis pranašumas yra analizės modulis. Gamintojai taip pabrėžia šį modulį, kad savo gaminius dažnai pavadina juo, pavyzdžiui, „žymėmis pagrįstas DLP sprendimas“. Todėl vartotojas sprendimus dažnai renkasi ne pagal efektyvumą, mastelį ar kitus įmonių informacijos saugumo rinkai tradicinius kriterijus, o pagal naudojamos dokumentų analizės tipą.

Akivaizdu, kad kiekvienas metodas turi savų privalumų ir trūkumų, todėl tik vieno dokumento analizės metodo naudojimas padaro sprendimą technologiškai nuo jo priklausomą. Dauguma gamintojų naudoja kelis metodus, nors vienas iš jų dažniausiai yra „flagmanas“. Šis straipsnis yra bandymas klasifikuoti dokumentų analizėje naudojamus metodus. Jų stipriosios ir silpnosios pusės įvertinamos remiantis kelių rūšių gaminių praktinio pritaikymo patirtimi. Straipsnyje iš esmės neaptariami konkretūs produktai, nes Pagrindinis vartotojo uždavinys juos renkantis – išfiltruoti tokius rinkodaros šūkius kaip „viską nuo visko saugosime“, „unikali patentuota technologija“ ir suprasti, kas jam liks, kai pardavėjai išeis.

Konteinerio analizė

Šiuo metodu analizuojamos failo ar kito konteinerio (archyvo, kriptodisko ir kt.), kuriame yra informacija, savybės. Tokių metodų šnekamoji pavadinimas yra „sprendimai dėl ženklų“, kurie visiškai atspindi jų esmę. Kiekviename konteineryje yra etiketė, kuri vienareikšmiškai identifikuoja konteineryje esančio turinio tipą. Minėtiems būdams praktiškai nereikia kompiuterinių išteklių, kad būtų galima analizuoti perkeliamą informaciją, nes etiketė visiškai apibūdina vartotojo teises perkelti turinį bet kokiu maršrutu. Supaprastinta forma toks algoritmas skamba taip: „yra etiketė - mes ją draudžiame, etiketės nėra - mes ją perduodame“.

Šio metodo pranašumai yra akivaizdūs: analizės greitis ir visiškas antrojo tipo klaidų nebuvimas (kai atidaryti dokumentą sistema neteisingai aptinka jį kaip konfidencialų). Tokie metodai kai kuriuose šaltiniuose vadinami „deterministiniais“.

Trūkumai taip pat akivaizdūs – sistemai rūpi tik pažymėta informacija: jei ženklas nenustatytas, turinys neapsaugotas. Būtina sukurti naujų ir gaunamų dokumentų žymėjimo tvarką, taip pat sistemą, kuri kovotų su informacijos perkėlimu iš pažymėto konteinerio į nepažymėtą atliekant buferio operacijas, failų operacijas, informacijos kopijavimą iš laikinųjų failų ir kt.

Tokių sistemų silpnumas pasireiškia ir etikečių išdėstymo organizavimu. Jei juos įdeda dokumento autorius, tai dėl piktavališkų ketinimų jis turi galimybę nežymėti informacijos, kurią ketina pavogti. Nesant piktų kėslų, aplaidumas ar neatsargumas anksčiau ar vėliau atsiras. Jei jums reikia pažymėti konkretų darbuotoją, pavyzdžiui, informacijos saugos pareigūną arba sistemos administratorius, tada jis ne visada galės atskirti konfidencialų turinį nuo atviro turinio, nes gerai neišmano visų įmonėje vykstančių procesų. Taigi „baltasis“ balansas turi būti patalpintas įmonės interneto svetainėje, o „pilkas“ ar „juodas“ likutis negali būti išneštas už informacinės sistemos ribų. Bet tik vyriausiasis buhalteris gali atskirti vieną nuo kito, t.y. vienas iš autorių.

Etiketės paprastai skirstomos į atributus, formatus ir išorines. Kaip rodo pavadinimas, pirmieji dedami į failo atributus, antrieji – į paties failo laukus, o trečiieji – prie failo (susiję su juo) išorinėmis programomis.

Informacijos saugumo konteinerių struktūros

Kartais žymomis pagrįstų sprendimų privalumais laikomi ir maži našumo reikalavimai perėmėjams, nes jie tik tikrina žymas, t.y. elkis kaip turniketas metro: „jei turi bilietą, eik pro šalį“. Tačiau nereikia pamiršti, kad stebuklų nebūna – skaičiavimo apkrova tokiu atveju perkeliama į darbo vietas.

Sprendimų vieta etiketėse, kad ir kokie jie būtų, yra dokumentų saugojimo apsauga. Kai įmonė turi dokumentų saugyklą, kuri, viena vertus, pildoma gana retai, kita vertus, tiksliai žinoma kiekvieno dokumento kategorija ir konfidencialumo lygis, tuomet lengviausia organizuoti jos apsaugą naudojant žymės. Etikečių talpinimą ant dokumentų, patenkančių į saugyklą, galite organizuoti organizacine tvarka. Pavyzdžiui, prieš siųsdamas dokumentą į saugyklą, už jo veikimą atsakingas darbuotojas gali kreiptis į autorių ir specialistą su klausimu, kokį dokumento konfidencialumo lygį nustatyti. Ši problema ypač sėkmingai išspręsta pasitelkus formato žymas, t.y. Kiekvienas gaunamas dokumentas išsaugomas saugiu formatu ir išduodamas darbuotojo prašymu, nurodant, kad jis patvirtintas skaityti. Šiuolaikiniai sprendimai leidžia priskirti prieigos teises ribotam laikui, o pasibaigus rakto galiojimui dokumentas tiesiog nustoja skaityti. Būtent pagal šią schemą, pavyzdžiui, JAV organizuojamas viešųjų pirkimų konkursų dokumentacijos išdavimas: pirkimų valdymo sistema sugeneruoja dokumentą, kurį galima skaityti, neturint galimybės keisti ar kopijuoti turinio, tik šiame dokumente išvardytų konkurso dalyvių. Prieigos raktas galioja tik iki dokumentų pateikimo konkursui termino pabaigos, po kurio dokumento skaityti nebegalima.

Taip pat, pasitelkdamos žymėmis pagrįstus sprendimus, įmonės organizuoja dokumentų srautą uždaruose tinklo segmentuose, kuriuose platinama intelektinė nuosavybė ir valstybės paslaptys. Tikėtina, kad dabar, vadovaujantis federalinio įstatymo „Dėl asmens duomenų“ reikalavimais, dokumentų srautas bus organizuojamas ir didelių įmonių personalo skyriuose.

Turinio analizė

Diegiant šiame skyriuje aprašytas technologijas, priešingai nei aprašytos anksčiau, visiškai nesvarbu, kurioje talpykloje saugomas turinys. Šių technologijų tikslas – iš konteinerio išgauti prasmingą turinį arba perimti perdavimą ryšio kanalu ir išanalizuoti informaciją, ar nėra draudžiamo turinio.

Pagrindinės technologijos identifikuojant draudžiamą turinį konteineriuose yra parašų stebėjimas, maišos funkcija pagrįstas stebėjimas ir kalbiniai metodai.

Parašai

Paprasčiausias valdymo būdas – duomenų sraute ieškoti tam tikros simbolių sekos. Kartais draudžiama simbolių seka vadinama „stabdomuoju žodžiu“, bet apskritai ji gali būti pavaizduota ne žodžiu, o savavališku simbolių rinkiniu, pavyzdžiui, ta pačia etikete. Apskritai šis metodas, ne visi jo įgyvendinimai, gali būti priskirti turinio analizei. Pavyzdžiui, daugumoje UTM klasės įrenginių draudžiamų parašų paieška duomenų sraute vyksta neišimant teksto iš konteinerio, analizuojant srautą „toks, koks yra“. Arba, jei sistema sukonfigūruota tik vienam žodžiui, tai jos darbo rezultatas yra 100% atitikimo nustatymas, t.y. Metodas gali būti klasifikuojamas kaip deterministinis.

Tačiau dažniau analizuojant tekstą vis dar naudojama konkrečios simbolių sekos paieška. Didžioji dauguma atvejų parašų sistemos sukonfigūruotos ieškoti kelių žodžių ir terminų atsiradimo dažnumo, t.y. šią sistemą vis tiek priskirsime turinio analizės sistemai.

Šio metodo pranašumai yra nepriklausomybė nuo kalbos ir paprastas draudžiamų terminų žodyno papildymas: jei norite naudoti šį metodą duomenų sraute ieškoti puštoniško žodžio, jums nereikia kalbėti šia kalba, tereikia žinoti, kaip tai parašyti. Taip pat lengva pridėti, pavyzdžiui, transliteruotą rusišką tekstą arba „albanų“ kalbą, o tai svarbu, pavyzdžiui, analizuojant SMS tekstus, ICQ žinutes ar tinklaraščio įrašus.

Trūkumai tampa akivaizdūs naudojant ne anglų kalbą. Deja, dauguma teksto analizės sistemų gamintojų dirba Amerikos rinkai, ir Anglų kalba labai „parašas“ - žodžių formos dažniausiai formuojamos naudojant prielinksnius, nekeičiant paties žodžio. Rusų kalba viskas daug sudėtingiau. Pavyzdžiui, informacijos saugumo pareigūno širdžiai mielą žodį „slaptas“. Anglų kalboje tai reiškia ir daiktavardį „secret“, būdvardį „slaptas“, ir veiksmažodį „slaptas“. Rusų kalboje iš šaknies „paslaptis“ galima sudaryti kelias dešimtis skirtingų žodžių. Tie. Jei angliškai kalbančioje organizacijoje informacijos saugos pareigūnui tereikia įvesti vieną žodį, rusakalbėje organizacijoje jis turės įvesti porą dešimčių žodžių, o vėliau juos pakeisti šešiomis skirtingomis koduotėmis.

Be to, tokie metodai nėra patikimi primityviam kodavimui. Beveik visi jie pasiduoda mėgstamai pradedančiųjų šiukšlių siuntėjų technikai – simbolių pakeitimui panašiais. Autorius saugumo pareigūnams ne kartą demonstravo pagrindinę techniką – slapto teksto perdavimą per parašo filtrus. Paimamas tekstas, kuriame, pavyzdžiui, yra frazė „visiškai slapta“ ir šiai frazei sukonfigūruotas el. pašto perėmėjas. Jei tekstas atidaromas MS Word, tada dviejų sekundžių operacija: Ctrl+F, „rasti „o“ (išdėstymas rusiškai)“, „pakeisti į „o“ (angliškas išdėstymas)“, „pakeisti viską“, „siųsti“. dokumentas“ – daro dokumentą visiškai nematomą šiam filtrui. Juo labiau apmaudu, kad toks pakeitimas atliekamas įprastomis priemonėmis MS Word ar bet kuri kita teksto redaktorius, t.y. jie yra prieinami vartotojui, net jei jis neturi vietinio administratoriaus teisių ir galimybės paleisti šifravimo programas.

Dažniausiai į UTM įrenginių funkcionalumą įtraukiamas parašu pagrįstas srauto valdymas, t.y. sprendimai, kurie išvalo srautą nuo virusų, šiukšlių, įsibrovimų ir bet kokių kitų grėsmių, kurios aptinkamos naudojant parašus. Kadangi ši funkcija yra „nemokama“, vartotojai dažnai mano, kad to pakanka. Tokie sprendimai tikrai apsaugo nuo atsitiktinių nutekėjimų, t.y. tais atvejais, kai siunčiamo teksto nekeičia siuntėjas, norėdamas apeiti filtrą, tačiau jie yra bejėgiai prieš piktybinius vartotojus.

Kaukės

Sustabdomųjų žodžių parašų paieškos funkcijos plėtinys yra jų kaukių paieška. Tai turinio, kurio negalima tiksliai nurodyti stop žodžių duomenų bazėje, paieška, tačiau galima nurodyti jo elementą ar struktūrą. Tokioje informacijoje turėtų būti visi kodai, apibūdinantys asmenį ar įmonę: TIN, sąskaitų numeriai, dokumentai ir kt. Jų neįmanoma ieškoti naudojant parašus.

Neprotinga nurodyti konkretų skaičių banko kortelė kaip paieškos objektą, bet noriu rasti bet kokį numerį kreditine kortele, nesvarbu, kaip parašyta – su tarpais ar kartu. Tai ne tik noras, bet ir PCI DSS standarto reikalavimas: nešifruoti numeriai plastikines korteles draudžiama siųsti iki paštu, t.y. Naudotojas yra atsakingas už tai, kad el. laiške surastų tokius numerius ir iš naujo nustatytų draudžiamus pranešimus.

Pavyzdžiui, čia yra kaukė, nurodanti stabdymo žodį, pvz., konfidencialaus arba slapto užsakymo pavadinimą, kurio skaičius prasideda nuliu. Kaukė atsižvelgia ne tik į savavališką skaičių, bet ir į bet kokį atvejį ir netgi į rusiškų raidžių pakeitimą lotyniškomis raidėmis. Kaukė parašyta standartiniu „REGEXP“ žymėjimu, nors skirtingos DLP sistemos gali turėti savo lankstesnius žymėjimus. Su telefono numeriais situacija dar blogesnė. Ši informacija priskiriama asmens duomenims, o rašoma gali būti keliolika būdų – naudojant įvairūs deriniai erdvės, skirtingi tipai skliausteliuose, pliusuose ir minusuose ir kt. Čia, ko gero, vienos kaukės neužtenka. Pavyzdžiui, antispam sistemose, kur reikia išspręsti panašią problemą, aptikti telefono numeris vienu metu naudokite kelias dešimtis kaukių.

Daugelis skirtingų kodų, įtrauktų į įmonių ir jų darbuotojų veiklą, yra saugomi daugelio įstatymų ir atstovauja komercinėms paslaptims, banko paslaptims, asmens duomenims ir kitai įstatymų saugomai informacijai, todėl jų aptikimo eisme problema yra būtina bet kokio sprendimo sąlyga.

Maišos funkcijos

Įvairios konfidencialių dokumentų pavyzdžių maišos funkcijos vienu metu buvo laikomos naujovėmis apsaugos nuo nuotėkio rinkoje, nors pati technologija egzistuoja nuo 1970 m. Vakaruose šis metodas kartais vadinamas „skaitmeniniais pirštų atspaudais“, t.y. „skaitmeniniai pirštų atspaudai“ arba „shinddės“ moksliniu slengu.

Visų metodų esmė ta pati, nors konkretūs kiekvieno gamintojo algoritmai gali labai skirtis. Kai kurie algoritmai yra net patentuoti, o tai patvirtina įgyvendinimo unikalumą. Bendras scenarijus yra toks: surenkama konfidencialių dokumentų pavyzdžių duomenų bazė. Iš kiekvieno iš jų paimamas „atspaudas“, t.y. Iš dokumento išgaunamas reikšmingas turinys, kuris redukuojamas iki kokios nors normalios, pavyzdžiui (bet nebūtinai) teksto formos, tada paimamos viso turinio ir jo dalių maišos, pvz., pastraipos, sakiniai, penki žodžiai ir pan., detalė. priklauso nuo konkretaus įgyvendinimo. Šie pirštų atspaudai saugomi specialioje duomenų bazėje.

Sulaikytas dokumentas pašalinamas oficialią informaciją ir įvedamas į normalią formą, tada iš jo pagal tą patį algoritmą paimami pirštų atspaudai. Gautų pirštų atspaudų ieškoma konfidencialių dokumentų pirštų atspaudų duomenų bazėje, o jei randama, dokumentas laikomas konfidencialiu. Kadangi šis metodas naudojamas ieškant tiesioginių citatų iš pavyzdinio dokumento, ši technologija kartais vadinama „antiplagiatu“.

Dauguma šio metodo privalumų yra ir jo trūkumai. Visų pirma, tai yra reikalavimas naudoti pavyzdinius dokumentus. Viena vertus, vartotojui nereikia jaudintis dėl saugių žodžių, reikšmingų terminų ir kitos informacijos, kuri nėra visiškai specifinė apsaugos pareigūnams. Kita vertus, „nėra pavyzdžio, nėra saugumo“, dėl to kyla tos pačios problemos su naujais ir gaunamais dokumentais, kaip ir naudojant žymomis pagrįstas technologijas. Labai svarbus šios technologijos pranašumas yra dėmesys darbui su savavališkomis simbolių sekomis. Iš to visų pirma išplaukia nepriklausomybė nuo teksto kalbos - ar tai būtų hieroglifai, ar puštūnų kalba. Be to, viena iš pagrindinių šios savybės pasekmių yra galimybė paimti pirštų atspaudus iš netekstinės informacijos – duomenų bazių, brėžinių, medijos failų. Būtent šias technologijas naudoja Holivudo studijos ir pasaulinės įrašų studijos, kad apsaugotų medijos turinį savo skaitmeninėje saugykloje.

Deja, žemo lygio maišos funkcijos nėra patikimos primityviam kodavimui, aptartam parašo pavyzdyje. Jie nesunkiai susidoroja su žodžių tvarkos keitimu, pastraipų pertvarkymu ir kitais „plagiatų“ triukais, tačiau, pavyzdžiui, raidžių keitimas visame dokumente sunaikina maišos raštą ir toks dokumentas pasiklausėjui tampa nematomas.

Naudojant tik šį metodą, dirbti su formomis tampa sunkiau. Taigi tuščia paskolos paraiškos forma yra laisvai platinamas dokumentas, o užpildyta yra konfidenciali, nes joje yra asmens duomenų. Jei tiesiog paimsite piršto atspaudą iš tuščios formos, perimtame užpildytame dokumente bus visa informacija iš tuščios formos, t.y. spaudiniai iš esmės sutaps. Taigi sistema arba nutekės neskelbtina informacija, arba neleis laisvai platinti tuščių formų.

Nepaisant minėtų trūkumų, šis metodas yra plačiai paplitęs, ypač įmonėse, kurios negali sau leisti kvalifikuotų darbuotojų, bet veikia pagal principą „įdėkite visą konfidencialią informaciją į šį aplanką ir gerai išsimiegok“. Šia prasme reikalavimas juos apsaugoti konkretiems dokumentams yra šiek tiek panašus į sprendimus, pagrįstus ženklais, tik saugomi atskirai nuo pavyzdžių ir išsaugomi pakeitus failo formatą, nukopijavus dalį bylos ir pan. Tačiau didelės įmonės, kurių apyvartoje yra šimtai tūkstančių dokumentų, dažnai tiesiog negali pateikti konfidencialių dokumentų pavyzdžių, nes įmonės veiklos procesai to nereikalauja. Vienintelis dalykas, kurį turi (arba, tiesą sakant, turėtų turėti) kiekviena įmonė, yra „Komercinę paslaptį sudarančios informacijos sąrašas“. Padaryti mėginius iš jo yra nebanali užduotis.

Lengvas pavyzdžių įtraukimas į kontroliuojamo turinio duomenų bazę dažnai sukelia žiaurų pokštą vartotojams. Tai veda prie laipsniško pirštų atspaudų bazės didėjimo, o tai labai paveikia sistemos veikimą: kuo daugiau pavyzdžių, tuo daugiau palyginimų kiekvieno perimto pranešimo. Kadangi kiekvienas spaudinys užima nuo 5 iki 20% originalo, spaudinių duomenų bazė palaipsniui auga. Vartotojai praneša apie staigų našumo sumažėjimą, kai bazė pradeda viršyti tūrį laisvosios kreipties atmintis filtro serveris. Dažniausiai problema išsprendžiama reguliariai tikrinant dokumentų pavyzdžius ir pašalinant pasenusius ar pasikartojančius pavyzdžius, t.y. Sutaupę diegimo metu vartotojai praranda veiklą.

Lingvistiniai metodai

Šiandien labiausiai paplitęs analizės metodas yra kalbinė teksto analizė. Jis toks populiarus, kad dažnai šnekamojoje kalboje vadinamas „turinio filtravimu“, t.y. turi visos turinio analizės metodų klasės ypatybes. Klasifikavimo požiūriu tiek maišos analizė, tiek parašo analizė, tiek maskavimo analizė yra „turinio filtravimas“, t.y. srauto filtravimas, pagrįstas turinio analize.

Kaip rodo pavadinimas, metodas veikia tik su tekstais. Jūs nenaudosite jo, kad apsaugotumėte duomenų bazę, kurią sudaro tik skaičiai ir datos, o tuo labiau brėžiniai, piešiniai ir mėgstamų dainų rinkinys. Tačiau su tekstais šis metodas daro stebuklus.

Lingvistika kaip mokslas susideda iš daugybės disciplinų – nuo ​​morfologijos iki semantikos. Todėl lingvistiniai analizės metodai taip pat skiriasi vienas nuo kito. Yra metodų, kurie naudoja tik stabdymo žodžius, tik įvedamus šaknies lygmenyje, o pati sistema jau sudaro pilną žodyną; yra pagrįsti tekste rastų terminų svorių išdėstymu. Lingvistiniai metodai taip pat turi savo atspaudus, pagrįstus statistika; pavyzdžiui, paimamas dokumentas, suskaičiuojama penkiasdešimt dažniausiai vartojamų žodžių, tada kiekvienoje pastraipoje parenkama 10 dažniausiai vartojamų iš jų. Toks „žodynas“ reprezentuoja beveik unikalią teksto savybę ir leidžia „klonuose“ rasti prasmingų citatų.

Visų kalbinės analizės subtilybių analizė nepatenka į šio straipsnio taikymo sritį, todėl mes sutelksime dėmesį į privalumus ir trūkumus.

Metodo privalumas – visiškas nejautrumas dokumentų skaičiui, t.y. mastelio keitimas retas įmonės informacijos saugumui. Turinio filtravimo bazė (pagrindinių žodyno klasių ir taisyklių rinkinys) nesikeičia priklausomai nuo naujų dokumentų ar procesų atsiradimo įmonėje.

Be to, vartotojai pažymi, kad šis metodas yra panašus į „stabdymo žodžius“, nes jei dokumentas vėluoja, iškart aišku, kodėl taip atsitiko. Jei pirštų atspaudais paremta sistema praneš, kad dokumentas panašus į kitą, tai apsaugos darbuotojas turės pats palyginti du dokumentus, o atlikęs lingvistinę analizę gaus jau pažymėtą turinį. Kalbinės sistemos kartu su parašų filtravimu yra tokios dažnos, nes leidžia pradėti dirbti be pasikeitimų įmonėje iškart po įdiegimo. Nereikia vargti tvarkant žymes ir imant pirštų atspaudus, inventorizuojant dokumentus ir atliekant kitus ne tik apsaugos pareigūnui darbus.

Trūkumai taip pat akivaizdūs, o pirmasis – priklausomybė nuo kalbos. Kiekvienoje šalyje, kurios kalbą palaiko gamintojas, tai nėra trūkumas, o pasaulinių įmonių požiūriu, kurios, be vienos įmonės bendravimo kalbos (pavyzdžiui, anglų), taip pat turi daug dokumentų vietine kalba. kalbų kiekvienoje šalyje, tai yra aiškus trūkumas.

Kitas trūkumas yra didelis II tipo klaidų procentas, kurį sumažinti reikia lingvistikos srities kvalifikacijos (pvz. tikslus derinimas filtravimo bazės). Pramonės standartinės duomenų bazės paprastai užtikrina 80–85 % filtravimo tikslumą. Tai reiškia, kad kas penkta ar šešta raidė buvo perimta per klaidą. Norint nustatyti pagrindą priimtinu 95–97% tikslumu, paprastai reikia specialiai apmokyto kalbininko įsikišimo. Ir nors norint išmokti reguliuoti filtravimo bazę, užtenka turėti dvi dienas laisvo laiko ir susikalbėti abituriento lygiu, šiam darbui atlikti nėra nieko kito, išskyrus apsaugos pareigūną, ir jis. paprastai tokį darbą laiko nepagrindiniu. Įtraukti žmogų iš išorės visada rizikinga – juk jam teks dirbti su konfidencialia informacija. Išeitis iš šios situacijos paprastai yra įsigyti papildomą modulį - savarankiškai besimokantį „autolingvistą“, kuriam „paduodama“ klaidingi teigiami rezultatai ir jis automatiškai pritaiko standartinę pramonės bazę.

Kalbiniai metodai pasirenkami tada, kai norima kuo labiau sumažinti trukdžius versle, kai informacijos saugos tarnyba neturi administracinių resursų keisti esamus dokumentų kūrimo ir saugojimo procesus. Jie veikia visada ir visur, nors ir su minėtais trūkumais.

Populiarūs atsitiktinio nutekėjimo kanalai: mobilioji medija

„InfoWatch“ analitikai mano, kad populiariausias atsitiktinio nutekėjimo kanalas išlieka mobiliosios laikmenos (nešiojamieji kompiuteriai, „flash drives“, mobilieji komunikatoriai ir kt.), nes tokių įrenginių vartotojai dažnai nepaiso duomenų šifravimo įrankių.

Kita dažna atsitiktinio nutekėjimo priežastis yra popierinė laikmena: ją valdyti sunkiau nei elektroninę, nes, pavyzdžiui, iš spausdintuvo išėjus lapui, jį galima stebėti tik „rankiniu būdu“: popierinės laikmenos valdymas yra silpnesnis nei kompiuterio informacijos valdymas. Daugelis apsaugos nuo nuotėkio įrankių (negalite jų vadinti visavertėmis DLP sistemomis) nekontroliuoja informacijos išvesties į spausdintuvą kanalo - taip konfidencialūs duomenys lengvai palieka organizaciją.

Šią problemą gali išspręsti daugiafunkcinės DLP sistemos, kurios blokuoja neleistinos informacijos siuntimą spausdinti ir tikrina pašto adreso ir adresato atitikimą.

Be to, apsaugos nuo nutekėjimo užtikrinimą gerokai apsunkina augantis mobiliųjų įrenginių populiarumas, nes kol kas nėra atitinkamų DLP klientų. Be to, labai sunku aptikti nutekėjimą, kai naudojama kriptografija arba steganografija. Viešai neatskleistas asmuo, norėdamas apeiti tam tikrą filtrą, visada gali kreiptis į internetą ir ieškoti „geriausios praktikos“. Tai yra, DLP įrankiai gana prastai apsaugo nuo organizuoto tyčinio nutekėjimo.

DLP įrankių veiksmingumą gali apsunkinti akivaizdūs jų trūkumai: šiuolaikiniai apsaugos nuo nuotėkio sprendimai neleidžia stebėti ir blokuoti visų turimų informacijos kanalų. DLP sistemos stebės įmonės el. paštą, žiniatinklio išteklių naudojimą, momentinių pranešimų siuntimą, darbą su išorine laikmena, dokumentų spausdinimą ir standžiųjų diskų turinį. Tačiau „Skype“ išlieka nevaldomas DLP sistemoms. Tik „Trend Micro“ pavyko pareikšti, kad gali kontroliuoti šios komunikacijos programos veikimą. Likę kūrėjai žada, kad atitinkamos funkcijos bus pateiktos kitoje jų saugos programinės įrangos versijoje.

Tačiau nors „Skype“ žada atverti savo protokolus DLP kūrėjams, kiti sprendimai, pavyzdžiui, „Microsoft Collaboration Tools“ bendradarbiavimui, lieka uždaryti trečiųjų šalių programuotojams. Kaip kontroliuoti informacijos perdavimą šiuo kanalu? Tuo tarpu šiuolaikiniame pasaulyje formuojasi praktika, kai specialistai nuotoliniu būdu susijungia į komandas dirbti prie bendro projekto ir jį užbaigus išsiskirsto.

Pagrindiniai konfidencialios informacijos nutekėjimo šaltiniai 2010 m. pirmąjį pusmetį ir toliau yra komercinės (73,8 proc.) ir valstybinės (16 proc.) organizacijos. Apie 8% nutekėjimų patenka iš švietimo įstaigų. Nutekėjusios konfidencialios informacijos pobūdis yra asmens duomenys (beveik 90 proc. visų informacijos nutekinimo atvejų).

Pasaulyje nutekėjimo lyderės tradiciškai yra JAV ir Didžioji Britanija (daugiausiai nutekėjusių šalių penketuke taip pat yra Kanada, Rusija ir Vokietija, kurių rodikliai gerokai mažesni), o tai lemia teisės aktų ypatumai. šių šalių, todėl reikalaujama pranešti apie visus konfidencialių duomenų nutekėjimo atvejus. „Infowatch“ analitikai prognozuoja, kad kitais metais sumažės atsitiktinių nutekėjimų dalis ir padidės tyčinių.

Įgyvendinimo sunkumai

Be akivaizdžių sunkumų, DLP diegimą apsunkina ir sunkumai renkantis tinkamą sprendimą, nes įvairūs DLP sistemų tiekėjai turi savo požiūrį į saugumo organizavimą. Kai kurie turi patentuotus turinio analizės algoritmus raktinius žodžius, ir kažkas siūlo skaitmeninį pirštų atspaudų metodą. Kaip tokiomis sąlygomis išsirinkti optimalų produktą? Kas efektyviau? Labai sunku atsakyti į šiuos klausimus, nes šiandien yra labai mažai DLP sistemų įdiegimų, o realios jų naudojimo praktikos (kuria galima pasikliauti) dar mažiau. Tačiau tie projektai, kurie vis dėlto buvo įgyvendinti, parodė, kad juose daugiau nei pusė darbo apimties ir biudžeto buvo konsultavimas, o tai dažniausiai keldavo didelį vadovybės skepticizmą. Be to, kaip taisyklė, esami įmonės verslo procesai turi būti pertvarkyti, kad atitiktų DLP reikalavimus, o įmonės tai daro sunkiai.

Kaip DLP įgyvendinimas padeda atitikti dabartinius reguliavimo reikalavimus? Vakaruose DLP sistemas diegti motyvuoja įstatymai, standartai, pramonės reikalavimai ir kiti reglamentai. Ekspertų teigimu, aiškūs teisiniai reikalavimai ir užsienyje galiojančių reikalavimų užtikrinimo gairės yra tikrasis DLP rinkos variklis, nes specialių sprendimų įgyvendinimas pašalina pretenzijas iš reguliuotojų. Mūsų situacija šioje srityje visiškai kitokia, o DLP sistemų įdiegimas nepadeda laikytis įstatymų.

Tam tikra paskata diegti ir naudoti DLP įmonės aplinkoje gali būti poreikis apsaugoti įmonės komercines paslaptis ir laikytis reikalavimų. federalinis įstatymas"Apie komercines paslaptis".

Beveik kiekviena įmonė yra priėmusi tokius dokumentus kaip „Komercinių paslapčių nuostatai“ ir „Komercinę paslaptį sudarančios informacijos sąrašas“ ir jų reikalavimų turi būti laikomasi. Yra nuomonė, kad įstatymas „Dėl komercinių paslapčių“ (98-FZ) neveikia, tačiau įmonių vadovai puikiai žino, kad jiems svarbu ir būtina saugoti savo komercines paslaptis. Be to, šis supratimas yra daug didesnis nei Asmens duomenų įstatymo (152-FZ) svarbos supratimas, o bet kuriam vadovui daug lengviau paaiškinti būtinybę diegti konfidencialų dokumentų srautą, nei kalbėti apie apsaugą. asmens duomenų.

Kas trukdo naudoti DLP komercinių paslapčių apsaugos automatizavimo procesuose? Remiantis Rusijos Federacijos civiliniu kodeksu, norint įvesti komercinės paslapties apsaugos režimą, tereikia, kad informacija turėtų tam tikrą vertę ir būtų įtraukta į atitinkamą sąrašą. Tokiu atveju tokios informacijos savininkas pagal įstatymą privalo imtis priemonių apsaugoti konfidencialią informaciją.

Tuo pačiu metu akivaizdu, kad DLP nepajėgs išspręsti visų problemų. Visų pirma, siekiant aprėpti trečiųjų šalių prieigą prie konfidencialios informacijos. Tačiau tam yra ir kitų technologijų. Daugelis šiuolaikinių DLP sprendimų gali būti integruoti su jais. Tada kuriant šią technologinę grandinę galima gauti veikiančią komercinių paslapčių apsaugos sistemą. Tokia sistema bus suprantamesnė verslui, o verslas galės veikti kaip apsaugos nuo nuotėkio sistemos užsakovas.

Rusija ir Vakarai

Anot analitikų, Rusijoje kitoks požiūris į saugumą ir kitoks DLP sprendimus tiekiančių įmonių brandos lygis. Rusijos rinka yra orientuota į saugumo specialistus ir labai specializuotas problemas. Žmonės, užsiimantys duomenų nutekėjimo prevencija, ne visada supranta, kokie duomenys yra vertingi. Rusija laikosi „militaristinio“ požiūrio į saugumo sistemų organizavimą: stiprus perimetras su ugniasienėmis ir dedamos visos pastangos, kad būtų išvengta įsiskverbimo.

Bet ką daryti, jei įmonės darbuotojas turi prieigą prie informacijos kiekio, kurio nereikia jo pareigoms atlikti? Kita vertus, pažvelgus į požiūrį, kuris Vakaruose susiformavo per pastaruosius 10-15 metų, galima teigti, kad informacijos vertei skiriama daugiau dėmesio. Ištekliai nukreipiami ten, kur yra vertinga informacija, o ne į visą informaciją. Galbūt tai yra didžiausias Vakarų ir Rusijos kultūrinis skirtumas. Tačiau analitikai teigia, kad situacija keičiasi. Informacija pradedama suvokti kaip verslo turtas, o ši raida užtruks šiek tiek laiko.

Visapusiško sprendimo nėra

Nė vienas gamintojas dar nesukūrė 100% apsaugos nuo nuotėkio. Kai kurie ekspertai suformuluoja DLP produktų naudojimo problemas maždaug taip: veiksmingai panaudoti DLP sistemose naudojamą patirtį kovojant su nuotėkiais reikia suprasti, kad užsakovo pusėje turi būti atliktas didelis darbas siekiant užtikrinti apsaugą nuo nuotėkio, nes niekas to nežino. jų pačių geriau nei klientas.informacijos srautai.

Kiti mano, kad neįmanoma apsisaugoti nuo nutekėjimo: neįmanoma užkirsti kelio informacijos nutekėjimui. Kadangi informacija kažkam turi vertę, ji anksčiau ar vėliau bus gauta. Programinė įrangaŠios informacijos gavimas gali būti brangesnis ir užtruks daug laiko. Tai gali žymiai sumažinti informacijos naudą ir jos aktualumą. Tai reiškia, kad reikia stebėti DLP sistemų efektyvumą.

»

Įvadas

Apžvalga skirta visiems besidomintiems DLP sprendimų rinka ir pirmiausia tiems, kurie nori išsirinkti tinkamą DLP sprendimą savo įmonei. Apžvalgoje nagrinėjama DLP sistemų rinka plačiąja šio termino prasme ir pateikiama Trumpas aprašymas pasaulinėje rinkoje ir, tiksliau, Rusijos segmente.

Vertingų duomenų apsaugos sistemos egzistavo nuo pat jų atsiradimo. Per šimtmečius šios sistemos vystėsi ir vystėsi kartu su žmonija. Prasidėjus kompiuterių erai ir civilizacijai pereinant į postindustrinę erą, informacija pamažu tapo pagrindine valstybių, organizacijų ir net asmenų vertybe. O kompiuterinės sistemos tapo pagrindiniu jos saugojimo ir apdorojimo įrankiu.

Valstybės visada saugojo savo paslaptis, tačiau valstybės turi savo priemones ir metodus, kurie, kaip taisyklė, neturėjo įtakos rinkos formavimuisi. Poindustrinėje eroje bankai ir kitos finansinės institucijos tapo dažnomis vertingos informacijos nutekėjimo aukomis. Pasaulinei bankų sistemai pirmoji prireikė teisinės informacijos apsaugos. Privatumo apsaugos poreikis buvo pripažintas ir medicinoje. Dėl to, pavyzdžiui, JAV buvo priimtas Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA), Sarbanes-Oxley įstatymas (SOX), o Bazelio bankų priežiūros komitetas paskelbė keletą rekomendacijų, pavadintų „Bazelio susitarimais“. Tokie žingsniai davė galingą impulsą kompiuterinės informacijos apsaugos sistemų rinkos plėtrai. Po augančios paklausos pradėjo atsirasti įmonių, siūlančių pirmąsias DLP sistemas.

Kas yra DLP sistemos?

Yra keletas visuotinai priimtų termino DLP apibrėžimų: duomenų praradimo prevencija, duomenų nutekėjimo prevencija arba duomenų nutekėjimo apsauga, kurie į rusų kalbą gali būti išversti kaip „duomenų praradimo prevencija“, „duomenų nutekėjimo prevencija“, „apsauga nuo duomenų nutekėjimo“. Šis terminas plačiai paplito ir rinkoje įsitvirtino apie 2006 m. O pirmosios DLP sistemos atsirado kiek anksčiau būtent kaip priemonė užkirsti kelią vertingos informacijos nutekėjimui. Jie buvo sukurti siekiant aptikti ir blokuoti informacijos, identifikuotos pagal raktinius žodžius ar posakius ir iš anksto sukurtus konfidencialių dokumentų skaitmeninius pirštų atspaudus, perdavimą tinkle.

Tolimesnis vystymas DLP sistemas lėmė incidentai, viena vertus, ir valstybės teisės aktai, kita vertus. Palaipsniui iškilę apsaugos nuo įvairių grėsmių poreikiai įmones privedė prie būtinybės kurti visapusiškas apsaugos sistemas. Šiuo metu sukurti DLP produktai, be tiesioginės apsaugos nuo duomenų nutekėjimo, suteikia apsaugą nuo vidinių ir net išorinių grėsmių, seka darbuotojų darbo valandas ir stebi visus jų veiksmus darbo vietose, įskaitant ir nuotolinį darbą.

Tuo pačiu metu kai kuriuose šiuolaikiniuose sprendimuose, kuriuos kūrėjai priskyrė šiai rinkai, konfidencialių duomenų perdavimo blokavimo, kanoninės DLP sistemų funkcijos, nebėra. Tokie sprendimai yra tinkami išskirtinai įmonės informacinei aplinkai stebėti, tačiau dėl terminologijos manipuliavimo jie pradėti vadinti DLP ir vadinti šią rinką plačiąja prasme.

Šiuo metu pagrindinis DLP sistemų kūrėjų interesas yra nukreiptas į galimų informacijos nutekėjimo kanalų aprėptį ir analitinių priemonių, skirtų incidentų tyrimui ir analizei, kūrimą. Naujausi DLP produktai perima dokumentų peržiūrą, spausdinimą ir kopijavimą į išorines laikmenas, programų paleidimą darbo vietose ir išorinių įrenginių prijungimą prie jų, o šiuolaikinė perimto tinklo srauto analizė leidžia aptikti nutekėjimus net naudojant kai kuriuos tuneliavimo ir šifruotus protokolus.

Šiuolaikinės DLP sistemos ne tik tobulina savo funkcijas, bet ir suteikia daug galimybių integruotis su įvairiais susijusiais ir net konkuruojančiais produktais. Pavyzdžiai apima platų tarpinių serverių teikiamo ICAP protokolo palaikymą ir „DeviceSniffer“ modulio, „SearchInform Information Security Circuit“ dalies, integravimą su „Lumension Device Control“. Tolesnis DLP sistemų tobulinimas leidžia jas integruoti su IDS/IPS produktais, SIEM sprendimais, dokumentų valdymo sistemomis ir darbo vietų apsauga.

DLP sistemos išsiskiria duomenų nutekėjimo aptikimo metodu:

• kai naudojami (Data-in-Use) – vartotojo darbo vietoje;
• perdavimo metu (Data-in-Motion) – įmonės tinkle;
• saugojimo metu (Data-at-Rest) – įmonės serveriuose ir darbo vietose.

DLP sistemos gali atpažinti svarbius dokumentus:

• pagal formalius kriterijus patikimas, tačiau reikalauja išankstinio dokumentų registravimo sistemoje;
• pagal turinio analizę – tai gali duoti klaidingus teigiamus rezultatus, tačiau leidžia aptikti svarbią informaciją bet kuriame dokumente.

Laikui bėgant keitėsi ir grėsmių pobūdis, ir DLP sistemų klientų bei pirkėjų sudėtis. Šiuolaikinė rinka šioms sistemoms kelia šiuos reikalavimus:

• kelių duomenų nutekėjimo aptikimo metodų palaikymas (naudojami duomenys, judantys duomenys, ramybės būsenos duomenys);
• visų populiarių tinklo duomenų perdavimo protokolų palaikymas: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, įvairūs P2P protokolai;
• integruoto svetainių katalogo buvimas ir teisingas joms perduodamo srauto apdorojimas (interneto paštas, socialinė žiniasklaida, forumai, tinklaraščiai, darbo paieškos svetainės ir kt.);
• Pageidautina palaikyti tuneliavimo protokolus: VLAN, MPLS, PPPoE ir panašiai;
• skaidrus saugių SSL/TLS protokolų valdymas: HTTPS, FTPS, SMTPS ir kiti;
• palaikymas VoIP telefonijos protokolams: SIP, SDP, H.323, T.38, MGCP, SKINNY ir kt.;
• hibridinės analizės buvimas – kelių vertingos informacijos atpažinimo metodų palaikymas: pagal formalias charakteristikas, pagal raktinius žodžius, derinant turinį su reguliaria išraiška, remiantis morfologine analize;
• pageidautina galimybė pasirinktinai kritiškai blokuoti perdavimą svarbi informacija per bet kurį kontroliuojamą kanalą realiuoju laiku; atrankinis blokavimas (atskiriems vartotojams, grupėms ar įrenginiams);
• Pageidautina turėti galimybę kontroliuoti vartotojo veiksmus per svarbius dokumentus: peržiūrą, spausdinimą, kopijavimą į išorines laikmenas;
• Pageidautina turėti galimybę valdyti tinklo protokolus darbui su pašto serveriai Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync ir kt. pranešimų analizei ir blokavimui realiu laiku naudojant protokolus: (MAPI, S/MIME, NNTP, SIP ir kt.);
• pageidautina perimti, įrašyti ir atpažinti balso srautą: Skype, IP telefonija, Microsoft Lync;
• Grafikos atpažinimo (OCR) ir turinio analizės modulio prieinamumas;
• dokumentų analizės keliomis kalbomis palaikymas;
• tvarkyti išsamius archyvus ir žurnalus, kad būtų lengviau ištirti incidentą;
• Pageidautina turėti parengtus renginių ir jų sąsajų analizės įrankius;
• galimybė kurti įvairias ataskaitas, įskaitant grafines ataskaitas.

Dėl naujų plėtros tendencijų informacines technologijas, naujos DLP produktų funkcijos taip pat tampa paklausios. Plačiai naudojant virtualizaciją įmonių informacinėse sistemose, atsiranda poreikis ją palaikyti DLP sprendimuose. Plačiai paplitęs mobiliųjų įrenginių kaip verslo įrankio naudojimas paskatino mobiliojo DLP atsiradimą. Tiek įmonių, tiek viešųjų „debesų“ kūrimui reikėjo jų apsaugos, įskaitant DLP sistemas. Ir, kaip logiškas tęsinys, tai paskatino „debesų“ informacijos saugumo paslaugų atsiradimą (saugumas kaip paslauga - SECaaS).

DLP sistemos veikimo principas

Šiuolaikinė apsaugos nuo informacijos nuotėkio sistema, kaip taisyklė, yra paskirstytas programinės ir techninės įrangos kompleksas, susidedantis iš daugybės įvairios paskirties modulių. Kai kurie moduliai veikia tam skirtuose serveriuose, kai kurie – įmonės darbuotojų, kiti – apsaugos pareigūnų darbo vietose.

Tokiems moduliams, kaip duomenų bazė, o kartais ir informacijos analizės moduliai, gali prireikti specialių serverių. Tiesą sakant, šie moduliai yra pagrindinis ir nė viena DLP sistema negali išsiversti be jų.

Duomenų bazė reikalinga informacijai saugoti nuo valdymo taisyklių iki Detali informacija apie incidentus ir baigiant visais dokumentais, kurie tam tikrą laikotarpį pateko į sistemos akiratį. Kai kuriais atvejais sistema netgi gali saugoti viso įmonės tinklo srauto, perimto per tam tikrą laikotarpį, kopijas.

Informacijos analizės moduliai yra atsakingi už kitų modulių iš įvairių šaltinių išgautų tekstų analizę: tinklo srautą, dokumentus bet kuriuose įmonės informacijos saugojimo įrenginiuose. Kai kurios sistemos turi galimybę išskirti tekstą iš vaizdų ir atpažinti užfiksuotus vaizdus. balso žinutes. Visi analizuojami tekstai lyginami su iš anksto nustatytomis taisyklėmis ir atitinkamai pažymimi, kai randama atitiktis.

Norint stebėti darbuotojų veiksmus, jų darbo vietose gali būti įrengti specialūs agentai. Toks agentas turi būti apsaugotas nuo vartotojo kišimosi į savo darbą (praktikoje taip būna ne visada) ir gali atlikti tiek pasyvią savo veiksmų stebėseną, tiek aktyviai kištis į tuos, kuriuos vartotojui draudžia įmonės saugumo politika. Kontroliuojamų veiksmų sąrašas gali apsiriboti vartotojo prisijungimu/atsijungimu ir USB įrenginių prijungimu ir gali apimti tinklo protokolų perėmimą ir blokavimą, šešėlinį dokumentų kopijavimą į bet kokią išorinę laikmeną, dokumentų spausdinimą į vietinius ir tinklo spausdintuvus, informacijos perdavimą per Wi- Fi ir Bluetooth Ir daug daugiau. Kai kurios DLP sistemos gali įrašyti visus klavišų paspaudimus (raktų registravimas) ir išsaugoti ekrano kopijas (ekrano kopijas), tačiau tai nepatenka į visuotinai priimtą praktiką.

Paprastai DLP sistemoje yra valdymo modulis, skirtas stebėti sistemos veikimą ir jį administruoti. Šis modulis leidžia stebėti visų kitų sistemos modulių veikimą ir juos konfigūruoti.

Kad saugumo analitiko darbas būtų patogesnis, DLP sistemoje gali būti atskiras modulis, leidžiantis sukonfigūruoti įmonės saugumo politiką, stebėti jos pažeidimus, atlikti išsamų jų tyrimą ir generuoti reikiamas ataskaitas. Kaip bebūtų keista, jei visi kiti dalykai yra vienodi, šiuolaikinėje DLP sistemoje išryškėja galimybė analizuoti incidentus, atlikti visavertį tyrimą ir pranešti.

Pasaulinė DLP rinka

DLP sistemų rinka pradėjo formuotis jau šiame amžiuje. Kaip minėta straipsnio pradžioje, pati „DLP“ sąvoka paplito apie 2006 m. Daugiausia DLP sistemas sukūrusių įmonių atsirado JAV. Šių sprendimų paklausa ir palanki aplinka tokiam verslui kurti ir plėtoti buvo didžiausia.

Beveik visos įmonės, pradėjusios kurti DLP sistemas ir sulaukusios reikšmingos sėkmės šioje srityje, buvo nupirktos arba įsisavintos, o jų produktai ir technologijos integruotos į didesnes. Informacinės sistemos. Pavyzdžiui, Symantec įsigijo Vontu (2007), Websense įsigijo PortAuthority Technologies Inc. (2007), EMC Corp. įsigijo „RSA Security“ (2006 m.), o „McAfee“ perėmė daugybę įmonių: „Onigma“ (2006 m.), „SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

Šiuo metu pasaulyje pirmaujantys DLP sistemų gamintojai yra: Symantec Corp., RSA (EMC Corp. padalinys), Verdasys Inc., Websense Inc. (2013 m. nusipirko privati ​​įmonė Vista Equity Partners), McAfee (2011 m. įsigijo Intel). Rinkoje reikšmingą vaidmenį vaidina „Fidelis Cybersecurity Solutions“ (2012 m. „General Dynamics“ įsigijo), CA Technologies ir GTB Technologies. Akivaizdi jų padėties rinkoje iliustracija viename iš skyrių gali būti magiškas analitinės bendrovės „Gartner“ kvadrantas 2013 m. pabaigoje (1 pav.).

1 pav. PaskirstymaspozicijųDLP-sistemos pasaulinėje rinkojeAutoriusGartner

Rusijos DLP rinka

Rusijoje DLP sistemų rinka pradėjo formuotis beveik kartu su pasauline rinka, tačiau su savo ypatybėmis. Tai atsitiko palaipsniui, kilus incidentams ir bandant juos spręsti. Jet Infosystems buvo pirmoji įmonė Rusijoje, kuri 2000 m. pradėjo kurti DLP sprendimą (iš pradžių tai buvo pašto archyvas). Kiek vėliau, 2003 m., „InfoWatch“ buvo įkurta kaip „Kaspersky Lab“ dukterinė įmonė. Būtent šių dviejų įmonių sprendimai nustatė gaires kitiems žaidėjams. Šiek tiek vėliau tarp jų buvo įmonės Perimetrix, SearchInform, DeviceLock, SecureIT (2011 m. pervadintos į Zecurion). Kadangi valstybė kuria teisės aktus, susijusius su informacijos apsauga (Rusijos Federacijos civilinis kodeksas, 857 straipsnis „Bankų paslaptis“, 395-1-FZ „Dėl bankų ir bankinės veiklos“, 98-FZ „Dėl komercinių paslapčių“, 143). -FZ „Dėl civilinės būklės aktų“, 152-FZ „Dėl asmens duomenų“ ir kiti, iš viso apie 50 rūšių paslapčių), apsaugos priemonių poreikis išaugo ir DLP sistemų paklausa. O po kelerių metų į rinką atėjo „antroji kūrėjų banga“: Falcongaze, MFI Soft, Trafica. Verta paminėti, kad visos šios įmonės DLP srityje plėtojo daug anksčiau, tačiau pakaitalai rinkoje pasirodė palyginti neseniai. Pavyzdžiui, bendrovė „MFI Soft“ savo DLP sprendimą pradėjo kurti dar 2005 m., o apie save rinkoje paskelbė tik 2011 m.

Dar vėliau, Rusijos rinka tapo įdomus ir užsienio įmonėms. 2007–2008 m. mums tapo prieinami Symantec, Websense ir McAfee produktai. Visai neseniai, 2012 m., GTB Technologies pristatė savo sprendimus mūsų rinkai. Kiti pasaulio rinkos lyderiai taip pat neatsisako bandymų patekti į Rusijos rinką, tačiau kol kas be pastebimų rezultatų. Pastaraisiais metais Rusijos DLP rinka jau keletą metų demonstruoja stabilų augimą (per 40 proc. kasmet), o tai pritraukia naujų investuotojų ir kūrėjų. Kaip pavyzdį galime įvardyti įmonę Iteranet, kuri nuo 2008 metų DLP sistemos elementus kuria vidiniams, vėliau – verslo klientams. Šiuo metu bendrovė siūlo savo „Business Guardian“ sprendimą Rusijos ir užsienio pirkėjams.

Įmonė atsiskyrė nuo Kaspersky Lab 2003 m. 2012 m. pabaigoje „InfoWatch“ užėmė daugiau nei trečdalį Rusijos DLP rinkos. „InfoWatch“ klientams siūlo visą DLP sprendimų asortimentą – nuo ​​vidutinio verslo iki didelių korporacijų ir vyriausybinių agentūrų. Populiariausias sprendimas rinkoje yra InfoWatch Traffic Monitor. Pagrindiniai jų sprendimų privalumai: pažangus funkcionalumas, unikalios patentuotos srauto analizės technologijos, hibridinė analizė, kelių kalbų palaikymas, integruotas žiniatinklio išteklių katalogas, mastelio keitimas, daugybė iš anksto nustatytų konfigūracijų ir strategijų skirtingoms pramonės šakoms. Išskirtinės InfoWatch sprendimo ypatybės – viena valdymo pultas, įtarimų keliančių darbuotojų veiksmų stebėjimas, intuityvi sąsaja, saugumo politikos kūrimas nenaudojant Būlio algebros, vartotojų vaidmenų (saugos pareigūno, įmonės vadovo, personalo direktoriaus ir kt.) kūrimas. Trūkumai: nekontroliuojama vartotojo veiksmai darbo vietose, InfoWatch Traffic Monitor yra sunkus vidutiniam verslui, didelė kaina.

Įmonė buvo įkurta dar 1991 metais ir šiandien yra vienas iš Rusijos DLP rinkos ramsčių. Iš pradžių įmonė sukūrė sistemas, skirtas apsaugoti organizacijas nuo išorinių grėsmių ir jos įėjimas į DLP rinką yra logiškas žingsnis. Bendrovė „Jet Infosystems“ yra svarbi Rusijos informacijos saugumo rinkos žaidėja, teikianti sistemų integravimo paslaugas ir kurianti savo programinę įrangą. Visų pirma, paties Dozor-Jet DLP sprendimas. Pagrindiniai jos privalumai: mastelio keitimas, didelis našumas, galimybė dirbti su dideliais duomenimis, didelis perėmėjų rinkinys, integruotas žiniatinklio išteklių katalogas, hibridinė analizė, optimizuota saugojimo sistema, aktyvus stebėjimas, darbas „tarpelyje“, greitos incidentų paieškos ir analizės įrankiai, pažangūs Techninė pagalba, įskaitant ir regionus. Kompleksas taip pat turi galimybę integruotis su SIEM, BI, MDM, Security Intelligence, System ir Network Management klasių sistemomis. Mūsų pačių žinios yra „Dokumentų“ modulis, skirtas incidentams tirti. Trūkumai: nepakankamas agentų funkcionalumas darbo stotims, prastai išvystyta vartotojo veiksmų kontrolė, sprendimas orientuotas tik į dideles įmones, didelė kaina.

Amerikiečių įmonė, savo veiklą pradėjusi 1994 m. kaip informacijos saugos programinės įrangos gamintoja. 1996 m. ji pristatė savo pirmąjį patentuotą plėtrą – Interneto patikrinimo sistemą, skirtą personalo veiksmams internete stebėti. Vėliau įmonė tęsė darbą informacijos saugumo srityje, plėtodama naujus segmentus ir plėsdama produktų bei paslaugų asortimentą. 2007 m. įmonė sustiprino savo pozicijas DLP rinkoje įsigydama PortAuthority. 2008 metais Websense įžengė į Rusijos rinką. Šiuo metu bendrovė siūlo visapusišką produktą Websense Triton, skirtą apsaugoti nuo konfidencialių duomenų nutekėjimo, taip pat išoriniai vaizdai grasinimai. Pagrindiniai privalumai: vieninga architektūra, našumas, mastelio keitimas, kelios pristatymo parinktys, iš anksto nustatytos strategijos, pažangūs ataskaitų teikimo ir įvykių analizės įrankiai. Trūkumai: nepalaikoma daugybės IM protokolų, nepalaikoma rusų kalbos morfologijos.

„Symantec Corporation“ yra pripažinta pasaulinė DLP sprendimų rinkos lyderė. Tai atsitiko 2007 metais įsigijus didelę DLP sistemų gamintoją „Vontu“. Nuo 2008 m. Symantec DLP oficialiai atstovaujama Rusijos rinkoje. 2010 m. pabaigoje Symantec buvo pirmoji užsienio įmonė, lokalizavusi savo DLP produktą mūsų rinkai. Pagrindiniai šio sprendimo privalumai: galingas funkcionalumas, daugybė analizės metodų, galimybė blokuoti nutekėjimą bet kokiu kontroliuojamu kanalu, integruotas svetainės katalogas, mastelio galimybė, sukurtas agentas, skirtas analizuoti įvykius darbo vietos lygiu. , turtinga tarptautinė diegimo patirtis ir integracija su kitais Symantec produktais. Sistemos trūkumai yra didelė kaina ir kai kurių populiarių MP protokolų valdymo galimybių trūkumas.

Ši Rusijos įmonė buvo įkurta 2007 metais kaip informacijos saugos priemonių kūrėja. Pagrindiniai Falcongaze SecureTower sprendimo privalumai: diegimo ir konfigūravimo paprastumas, patogi sąsaja, didesnio duomenų perdavimo kanalų skaičiaus valdymas, pažangūs informacijos analizės įrankiai, galimybė stebėti darbuotojų veiksmus darbo vietose (įskaitant darbalaukio ekrano kopijų peržiūrą), grafikų analizatorius personalo santykių, mastelio, Greita paieška remiantis perimtais duomenimis, vaizdinė ataskaitų sistema, pagrįsta įvairiais kriterijais.

Trūkumai: nenumatytas darbas tarp šliuzo lygmens, ribotos galimybės blokuoti konfidencialių duomenų perdavimą (tik SMTP, HTTP ir HTTPS), trūksta modulio, skirto konfidencialių duomenų paieškai įmonės tinkle.

Amerikos įmonė, įkurta 2005 m. Dėl savo pačios plėtros informacijos saugumo srityje ji turi didelį plėtros potencialą. 2012 m. ji įžengė į Rusijos rinką ir sėkmingai įgyvendino keletą įmonių projektų. Jo sprendimų privalumai: didelis funkcionalumas, kelių protokolų ir galimo duomenų nutekėjimo kanalų valdymas, originalios patentuotos technologijos, moduliškumas, integracija su IRM. Trūkumai: dalinė rusiška lokalizacija, nėra rusiškos dokumentacijos, morfologinės analizės trūkumas.

Rusijos įmonė, įkurta 1999 m. kaip sistemų integratorius. 2013 metais ji reorganizuota į valdą. Viena iš veiklos sričių – plataus spektro paslaugų ir produktų, skirtų informacijos saugumui, teikimas. Vienas iš bendrovės produktų yra savos konstrukcijos Business Guardian DLP sistema.

Privalumai: didelis greitis informacijos apdorojimas, moduliškumas, teritorinis mastelio keitimas, morfologinė analizė 9 kalbomis, įvairių tuneliavimo protokolų palaikymas.

Trūkumai: ribotos informacijos perdavimo blokavimo galimybės (palaikomos tik MS Exchange, MS ISA/TMG ir Squid įskiepių), ribotas šifruotų tinklo protokolų palaikymas.

MFI Soft yra Rusijos įmonė, kurianti informacijos apsaugos sistemas. Istoriškai įmonė specializuojasi kompleksiniuose sprendimuose telekomunikacijų operatoriams, todėl didelį dėmesį skiria duomenų apdorojimo spartai, atsparumui gedimams ir efektyviam saugojimui. MFI Soft plėtoja informacijos saugumo srityje nuo 2005 m. Bendrovė rinkoje siūlo Garda Enterprise agropramoninio komplekso DLP sistemą, skirtą didelėms ir vidutinėms įmonėms. Sistemos privalumai: paprastas diegimas ir konfigūravimas, didelis našumas, lankstūs aptikimo taisyklių nustatymai (įskaitant galimybę įrašyti visą srautą), plačios ryšio kanalų stebėjimo galimybės (be standartinio rinkinio, įskaitant VoIP telefoniją, P2P ir tuneliavimą). protokolai). Trūkumai: tam tikrų tipų ataskaitų trūkumas, galimybių blokuoti informacijos perdavimą ir ieškoti vietų, kuriose būtų saugoma konfidenciali informacija, trūkumas įmonės tinkle.

Rusijos įmonė, įkurta 1995 m., iš pradžių besispecializuojanti informacijos saugojimo ir gavimo technologijų kūrime. Vėliau bendrovė pritaikė savo patirtį ir pasiekimus informacijos saugumo srityje ir sukūrė DLP sprendimą „Informacijos saugos grandinė“. Šio sprendimo privalumai: plačios galimybės perimti srautą ir analizuoti įvykius darbo vietose, stebėti darbuotojų darbo laiką, moduliškumas, mastelio keitimas, pažangūs paieškos įrankiai, apdorojimo greitis paieškos užklausos, darbuotojų prisijungimo grafikas, nuosavas patentuotas paieškos algoritmas „Ieškoti panašių“, savo Švietimo centras analitikų ir klientų techninių specialistų rengimui. Trūkumai: ribotos galimybės blokuoti informacijos perdavimą, vienos valdymo konsolės nebuvimas.

Rusijos įmonė, įkurta 1996 m., kuri specializuojasi kuriant DLP ir EDPC sprendimus. Į DLP gamintojų kategoriją įmonė persikėlė 2011 m., prie visame pasaulyje žinomo DeviceLock sprendimo EDPC kategorijoje (įrenginių ir prievadų valdymas Windows darbo stotyse) papildė komponentus, užtikrinančius tinklo kanalų valdymą bei turinio analizės ir filtravimo technologijas. Šiandien DeviceLock DLP įdiegia visus duomenų nutekėjimo aptikimo metodus (DiM, DiU, DaR). Privalumai: lanksti architektūra ir modulinis licencijavimas, paprastas diegimas ir DLP strategijų valdymas, įskaitant. per grupės politika AD, originalios patentuotos mobiliųjų įrenginių stebėjimo technologijos, virtualizuotų aplinkų palaikymas, Windows ir Mac OS agentų buvimas, visiška mobiliųjų darbuotojų kontrolė už įmonės tinklo ribų, nuolatinis OCR modulis (naudojamas, be kita ko, nuskaitant duomenų saugojimo vietas ). Trūkumai: trūksta DLP agento, skirto Linux; agento versija, skirta Mac kompiuteriams, įgyvendina tik kontekstinio valdymo metodus.

Jauna Rusijos įmonė, kurios specializacija yra gilios tinklo srauto analizės technologijos (Deep Packet Inspection – DPI). Remdamasi šiomis technologijomis, bendrovė kuria savo DLP sistemą, pavadintą „Monitorium“. Sistemos privalumai: paprastas diegimas ir konfigūravimas, patogi vartotojo sąsaja, lankstus ir intuityvus politikos kūrimo mechanizmas, tinkantis net ir mažoms įmonėms. Trūkumai: ribotos analizės galimybės (nėra hibridinės analizės), ribotos valdymo galimybės darbo vietos lygmeniu, galimybės ieškoti vietų, kuriose įmonės tinkle saugomos neteisėtos konfidencialios informacijos kopijos, nebuvimas.

išvadas

Tolesnė DLP produktų plėtra nukreipta į konsolidavimą ir integraciją su produktais susijusiose srityse: personalo kontrolės, apsaugos nuo išorinių grėsmių ir kitų informacijos saugumo segmentų. Tuo pačiu metu beveik visos įmonės kuria lengvas savo produktų versijas mažoms ir vidutinėms įmonėms, kuriose DLP sistemos diegimo paprastumas ir naudojimo paprastumas yra svarbesni už sudėtingą ir galingą funkcionalumą. Taip pat tęsiamas DLP kūrimas mobiliesiems įrenginiams, virtualizacijos technologijų palaikymas ir SECaaS debesyse.

Atsižvelgiant į visa tai, kas pasakyta, galima daryti prielaidą, kad sparti pasaulinės, o ypač Rusijos DLP rinkų plėtra pritrauks naujų investicijų ir naujų įmonių. O tai savo ruožtu turėtų paskatinti toliau didinti siūlomų DLP produktų ir paslaugų kiekį ir kokybę.