28.01.2014 Sergei Korablev

Selecionar qualquer produto de nível empresarial não é uma tarefa trivial para especialistas técnicos e tomadores de decisão. Escolher um sistema de prevenção contra perda de dados Data Leak Protection (DLP) é ainda mais difícil. A falta de um sistema conceitual unificado, estudos comparativos independentes regulares e a complexidade dos próprios produtos forçam os consumidores a solicitar projetos-piloto aos fabricantes e a realizar numerosos testes de forma independente, determinando a gama de suas próprias necessidades e correlacionando-as com as capacidades dos sistemas sendo testado

Tal abordagem é certamente correta. Uma decisão equilibrada e, em alguns casos, até duramente conquistada, simplifica a implementação adicional e permite evitar decepções ao usar um determinado produto. No entanto, o processo de tomada de decisão neste caso pode arrastar-se, se não por anos, pelo menos por muitos meses. Além disso, a constante expansão do mercado, o surgimento de novas soluções e fabricantes complicam ainda mais a tarefa não apenas de escolher um produto para implementação, mas também de criar uma lista preliminar de sistemas DLP adequados. Nessas condições, as revisões atuais dos sistemas DLP são de valor prático indiscutível para especialistas técnicos. Vale a pena incluir uma solução específica na lista de testes ou será muito complexa para ser implementada em uma organização pequena? A solução pode ser dimensionada para uma empresa com 10 mil funcionários? Um sistema DLP será capaz de controlar arquivos CAD críticos para os negócios? Uma comparação aberta não substitui testes completos, mas ajudará a responder questões básicas que surgem no estágio inicial de escolha de um DLP.

Participantes

Os mais populares (de acordo com o centro analítico Anti-Malware.ru em meados de 2013) no mercado russo foram selecionados como participantes. segurança da informação Sistemas DLP da InfoWatch, McAfee, Symantec, Websense, Zecurion e Infosystem Jet.

Para a análise foram utilizadas versões de sistemas DLP disponíveis comercialmente no momento da elaboração da revisão, bem como documentação e revisões abertas dos produtos.

Os critérios de comparação de sistemas DLP foram selecionados com base nas necessidades de empresas de diversos portes e diferentes setores. A principal tarefa dos sistemas DLP é evitar vazamentos de informações confidenciais por meio de diversos canais.

Exemplos de produtos dessas empresas são mostrados nas Figuras 1–6.

Figura 3. Produto Symantec

Figura 4. Produto InfoWatch

Figura 5. Produto Websense

Figura 6. Produto McAfee

Modos de operação

Os dois principais modos de operação dos sistemas DLP são ativo e passivo. Ativo - geralmente o modo operacional principal, que bloqueia ações que violam as políticas de segurança, por exemplo, o envio de informações confidenciais para um externo Caixa de correio. O modo passivo é mais frequentemente usado na fase de configuração do sistema para verificar e ajustar as configurações quando a proporção de falsos positivos é alta. Nesse caso, as violações da política são registradas, mas não são impostas restrições à circulação de informações (Tabela 1).

Neste aspecto, todos os sistemas considerados revelaram-se equivalentes. Cada um dos DLPs pode operar nos modos ativo e passivo, o que dá ao cliente uma certa liberdade. Nem todas as empresas estão prontas para começar a usar DLP imediatamente em modo de bloqueio - isso está repleto de interrupções nos processos de negócios, insatisfação por parte dos funcionários dos departamentos controlados e reclamações (inclusive justificadas) da administração.

Tecnologias

As tecnologias de detecção permitem classificar as informações transmitidas por canais eletrônicos e identificar informações confidenciais. Hoje existem diversas tecnologias básicas e suas variedades, semelhantes em essência, mas diferentes em implementação. Cada tecnologia tem vantagens e desvantagens. Além do mais, tipos diferentes as tecnologias são adequadas para analisar informações de várias classes. Portanto, os fabricantes de soluções DLP tentam integrar o máximo de tecnologias em seus produtos (ver Tabela 2).

Em geral, os produtos disponibilizam um grande número de tecnologias que, se configuradas corretamente, podem proporcionar um alto percentual de reconhecimento de informações confidenciais. DLP McAfee, Symantec e Websense estão mal adaptados para o mercado russo e não podem oferecer aos usuários suporte para tecnologias de “linguagem” - morfologia, análise de transliteração e texto mascarado.

Canais controlados

Todo canal de transmissão de dados é um potencial canal de vazamento. Mesmo sozinho canal aberto pode anular todos os esforços do serviço de segurança da informação que controla fluxos de informação. Por isso é tão importante bloquear os canais não utilizados pelos funcionários para trabalhar e controlar os restantes através de sistemas de prevenção de vazamentos.

Apesar de os melhores sistemas DLP modernos serem capazes de monitorar um grande número de canais de rede (ver Tabela 3), é aconselhável bloquear canais desnecessários. Por exemplo, se um funcionário trabalha em um computador apenas com banco de dados interno, faz sentido desabilitar completamente seu acesso à Internet.

Conclusões semelhantes são válidas para canais de vazamento locais. É verdade que, neste caso, pode ser mais difícil bloquear canais individuais, uma vez que as portas são frequentemente utilizadas para conectar periféricos, dispositivos de E/S, etc.

A criptografia desempenha um papel especial na prevenção de vazamentos através de portas locais, unidades móveis e dispositivos. As ferramentas de criptografia são bastante fáceis de usar e seu uso pode ser transparente para o usuário. Mas, ao mesmo tempo, a criptografia permite eliminar toda uma classe de vazamentos associados ao acesso não autorizado a informações e à perda de dispositivos móveis de armazenamento.

A situação com o controlo dos agentes locais é geralmente pior do que com os canais de rede (ver Tabela 4). Somente dispositivos USB e impressoras locais são controlados com êxito por todos os produtos. Além disso, apesar da importância da criptografia mencionada acima, esse recurso está presente apenas em determinados produtos, e o recurso de criptografia forçada com base na análise de conteúdo está presente apenas no Zecurion DLP.

Para evitar vazamentos, é importante não apenas reconhecer os dados confidenciais durante a transmissão, mas também limitar a disseminação das informações no ambiente corporativo. Para isso, os fabricantes incluem ferramentas nos sistemas DLP que podem identificar e classificar informações armazenadas em servidores e estações de trabalho na rede (ver Tabela 5). Os dados que violam as políticas de segurança da informação devem ser excluídos ou movidos para armazenamento seguro.

Para identificar informações confidenciais nos nós da rede corporativa, são utilizadas as mesmas tecnologias utilizadas para controlar vazamentos por canais eletrônicos. A principal diferença é arquitetônica. Se o tráfego de rede ou as operações de arquivos forem analisados ​​para evitar vazamentos, as informações armazenadas – o conteúdo das estações de trabalho e servidores da rede – serão examinadas para detectar cópias não autorizadas de dados confidenciais.

Dos sistemas DLP em consideração, apenas o InfoWatch e o Dozor-Jet ignoram o uso de ferramentas para identificação de locais de armazenamento de informações. Este não é um recurso crítico para evitar vazamentos eletrônicos, mas limita significativamente a capacidade dos sistemas DLP de evitar vazamentos de forma proativa. Por exemplo, quando um documento confidencial está localizado dentro de uma rede corporativa, não se trata de vazamento de informações. No entanto, se a localização deste documento não for regulamentada, se a localização deste documento não for conhecida pelos proprietários das informações e agentes de segurança, isso pode levar a um vazamento. Pode ocorrer acesso não autorizado às informações ou regras de segurança apropriadas podem não ser aplicadas ao documento.

Facilidade de gerenciamento

Características como facilidade de utilização e gestão não podem ser menos importantes que as capacidades técnicas das soluções. Afinal, um produto verdadeiramente complexo será difícil de implementar; o projeto exigirá mais tempo, esforço e, consequentemente, dinheiro. Um sistema DLP já implementado requer atenção de especialistas técnicos. Sem manutenção adequada, auditorias regulares e ajustes nas configurações, a qualidade do reconhecimento das informações confidenciais cairá significativamente ao longo do tempo.

A interface de gerenciamento no idioma nativo do responsável pela segurança é o primeiro passo para simplificar o trabalho com o sistema DLP. Isso não apenas facilitará a compreensão da responsabilidade de uma configuração específica, mas também acelerará significativamente o processo de configuração. grande quantidade parâmetros que precisam ser configurados para que o sistema funcione corretamente. língua Inglesa pode ser útil até mesmo para administradores que falam russo para uma interpretação inequívoca de conceitos técnicos específicos (ver Tabela 6).

A maioria das soluções fornece gerenciamento bastante conveniente a partir de um único console (para todos os componentes) com uma interface web (consulte a Tabela 7). As exceções são o InfoWatch russo (sem console único) e o Zecurion (sem interface web). Ao mesmo tempo, ambos os fabricantes já anunciaram o aparecimento de um console web em seus futuros produtos. A falta de um console único para o InfoWatch se deve às diferentes bases tecnológicas dos produtos. O desenvolvimento de sua própria solução de agente foi descontinuado por vários anos, e o atual EndPoint Security é o sucessor do produto de terceiros EgoSecure (anteriormente conhecido como cynapspro) que a empresa adquiriu em 2012.

Outro ponto que pode ser atribuído às desvantagens da solução InfoWatch é que para configurar e gerenciar o principal produto DLP InfoWatch TrafficMonitor, é necessário conhecimento da linguagem de script especial LUA, o que complica a operação do sistema. No entanto, para a maioria dos especialistas técnicos, a perspectiva de melhorar o seu próprio nível profissional e aprender uma língua adicional, embora não muito popular, deve ser percebida de forma positiva.

A separação das funções de administrador do sistema é necessária para minimizar os riscos de impedir o surgimento de um superusuário com direitos ilimitados e outras fraudes usando DLP.

Registro e relatórios

O arquivo DLP é um banco de dados no qual são acumulados e armazenados eventos e objetos (arquivos, cartas, solicitações http, etc.) registrados pelos sensores do sistema durante sua operação. As informações coletadas no banco de dados podem ser utilizadas para diversos fins, incluindo análise de ações do usuário, salvamento de cópias de documentos críticos e como base para investigação de incidentes de segurança da informação. Além disso, o banco de dados de todos os eventos é extremamente útil na fase de implementação de um sistema DLP, pois ajuda a analisar o comportamento dos componentes do sistema DLP (por exemplo, descobrir porque certas operações estão bloqueadas) e ajustar as configurações de segurança (ver Tabela 8).

Neste caso, vemos uma diferença arquitetônica fundamental entre os DLPs russos e ocidentais. Estes últimos não mantêm nenhum arquivo. Nesse caso, o próprio DLP torna-se mais fácil de manter (não há necessidade de manter, armazenar, fazer backup e estudar uma grande quantidade de dados), mas não de operação. Afinal, o arquivo de eventos ajuda a configurar o sistema. O arquivo ajuda a entender por que a transferência de informações foi bloqueada, verificar se a regra funcionou corretamente e fazer as correções necessárias nas configurações do sistema. Deve-se notar também que os sistemas DLP requerem não apenas configuração inicial durante a implementação, mas também “ajustes” regulares durante a operação. Um sistema que não for devidamente suportado e mantido por especialistas técnicos perderá muito na qualidade do reconhecimento da informação. Como resultado, tanto o número de incidentes como o número de alarmes falsos aumentarão.

Os relatórios são uma parte importante de qualquer atividade. A segurança da informação não é exceção. Os relatórios em sistemas DLP executam várias funções ao mesmo tempo. Em primeiro lugar, relatórios concisos e compreensíveis permitem que os gestores de serviços de segurança da informação monitorizem rapidamente o estado da segurança da informação sem entrar em detalhes. Em segundo lugar, os relatórios detalhados ajudam os agentes de segurança a ajustar as políticas de segurança e as configurações do sistema. Em terceiro lugar, os relatórios visuais podem sempre ser mostrados aos gestores de topo da empresa para demonstrar os resultados do sistema DLP e aos próprios especialistas em segurança da informação (ver Tabela 9).

Quase todas as soluções concorrentes discutidas na revisão oferecem relatórios gráficos, convenientes para gerentes de topo e chefes de serviços de segurança da informação, e relatórios tabulares, mais adequados para especialistas técnicos. Apenas o DLP InfoWatch carece de relatórios gráficos, por isso recebeu uma classificação mais baixa.

Certificação

A questão da necessidade de certificação para ferramentas de segurança da informação e DLP em particular é aberta, e os especialistas discutem frequentemente sobre este tema nas comunidades profissionais. Resumindo as opiniões das partes, deve reconhecer-se que a certificação em si não proporciona vantagens competitivas sérias. Ao mesmo tempo, existem vários clientes, principalmente organizações governamentais, para os quais a presença de um ou outro certificado é obrigatória.

Além disso, o procedimento de certificação existente não se correlaciona bem com o ciclo de desenvolvimento produtos de software. Como resultado, os consumidores se deparam com uma escolha: comprar uma versão desatualizada, mas certificada, do produto ou uma versão atualizada, mas não certificada. A solução padrão nesta situação é comprar um produto certificado “na prateleira” e utilizar o novo produto num ambiente real (ver Tabela 10).

Resultados de comparação

Vamos resumir nossas impressões sobre as soluções DLP consideradas. No geral, todos os participantes causaram uma impressão favorável e podem ser usados ​​para evitar vazamentos de informações. As diferenças entre produtos permitem-nos especificar o seu âmbito de aplicação.

O sistema InfoWatch DLP pode ser recomendado para organizações para as quais é de fundamental importância possuir um certificado FSTEC. No entanto, a última versão certificada do InfoWatch Traffic Monitor foi testada no final de 2010 e o certificado expira no final de 2013. As soluções de agente baseadas no InfoWatch EndPoint Security (também conhecido como EgoSecure) são mais adequadas para pequenas empresas e podem ser usadas separadamente do Traffic Monitor. Usar o Traffic Monitor e o EndPoint Security juntos pode causar problemas de dimensionamento em ambientes corporativos de grande porte.

Os produtos de fabricantes ocidentais (McAfee, Symantec, Websense), segundo agências analíticas independentes, são significativamente menos populares que os russos. O motivo é o baixo nível de localização. Além disso, não se trata nem da complexidade da interface ou da falta de documentação em russo. Recursos de tecnologias para reconhecimento de informações confidenciais, modelos e regras pré-configurados são “adaptados” para o uso de DLP em países ocidentais e visam atender aos requisitos regulatórios ocidentais. Como resultado, na Rússia, a qualidade do reconhecimento da informação é visivelmente pior e o cumprimento dos requisitos das normas estrangeiras é muitas vezes irrelevante. Ao mesmo tempo, os produtos em si não são nada ruins, mas é improvável que as especificidades do uso de sistemas DLP no mercado russo permitam que eles se tornem mais populares do que os desenvolvimentos nacionais em um futuro próximo.

O Zecurion DLP se distingue pela boa escalabilidade (o único sistema DLP russo com implementação confirmada em mais de 10 mil empregos) e alta maturidade tecnológica. No entanto, é surpreendente que não exista uma consola web, o que ajudaria a simplificar a gestão de uma solução empresarial dirigida a diversos segmentos de mercado. Entre forças Zecurion DLP – alta qualidade reconhecimento de informações confidenciais e uma linha completa de produtos de prevenção de vazamentos, incluindo proteção de gateways, estações de trabalho e servidores, detecção de locais de armazenamento e ferramentas de criptografia de dados.

O sistema Dozor-Jet DLP, um dos pioneiros no mercado nacional de DLP, é muito difundido entre as empresas russas e continua a expandir sua base de clientes devido às extensas conexões do integrador de sistemas Jet Infosystems, que também é desenvolvedor de DLP. Embora o DLP esteja tecnologicamente um pouco atrás de seus equivalentes mais poderosos, seu uso pode ser justificado em muitas empresas. Além disso, ao contrário das soluções estrangeiras, o Dozor Jet permite manter um arquivo de todos os eventos e arquivos.

Oferecemos uma variedade de marcadores para ajudá-lo a aproveitar ao máximo qualquer sistema DLP.

DLP-sistemas: o que é isso?

Lembramos que os sistemas DLP (Data Loss/Leak Prevention) permitem controlar todos os canais de comunicação em rede de uma empresa (correio, Internet, sistemas de mensagens instantâneas, pen drives, impressoras, etc.). A proteção contra vazamento de informações é obtida com a instalação de agentes em todos os computadores dos funcionários, que coletam informações e as transmitem ao servidor. Às vezes, as informações são coletadas através de um gateway usando tecnologias SPAN. As informações são analisadas, após o que o sistema ou responsável pela segurança toma decisões sobre o incidente.

Então, sua empresa implementou um sistema DLP. Que medidas precisam ser tomadas para que o sistema funcione de forma eficaz?

1. Configure corretamente as regras de segurança

Vamos imaginar que num sistema que atende 100 computadores, foi criada uma regra “Corrigir toda a correspondência com a palavra “acordo”.” Tal regra provocará um grande número de incidentes, nos quais um vazamento real pode se perder.

Além disso, nem toda empresa pode se dar ao luxo de ter uma equipe completa de funcionários monitorando incidentes.

Ferramentas para criar regras eficazes e acompanhar os resultados do seu trabalho ajudarão a aumentar a utilidade das regras. Todo sistema DLP possui funcionalidades que permitem fazer isso.

Em geral, a metodologia envolve a análise da base de dados acumulada de incidentes e a criação de diversas combinações de regras que idealmente levam ao aparecimento de 5 a 6 incidentes verdadeiramente urgentes por dia.

2. Atualize as regras de segurança em intervalos regulares

Uma diminuição ou aumento acentuado no número de incidentes é um indicador de que são necessários ajustes nas regras. Os motivos podem ser que a regra tenha perdido relevância (os usuários pararam de acessar determinados arquivos) ou os funcionários aprenderam a regra e não realizam mais ações proibidas pelo sistema (DLP - sistema de aprendizagem). No entanto, a prática mostra que se uma regra for aprendida, num local vizinho os riscos potenciais de fuga aumentam.

Você também deve estar atento à sazonalidade na operação do empreendimento. Durante o ano, os principais parâmetros relacionados às especificidades do trabalho da empresa podem mudar. Por exemplo, para um fornecedor atacadista de pequenos equipamentos, as bicicletas serão relevantes na primavera e as scooters de neve no outono.

3. Considere um algoritmo para responder a incidentes

Existem várias abordagens para resposta a incidentes. Ao testar e executar sistemas DLP, as pessoas geralmente não são notificadas sobre alterações. Os participantes dos incidentes são apenas observados. Quando uma massa crítica se acumula, um representante do departamento de segurança ou do departamento de recursos humanos comunica-se com eles. No futuro, o trabalho com os usuários geralmente será deixado para os representantes do departamento de segurança. Surgem miniconflitos e a negatividade se acumula na equipe. Pode resultar em sabotagem deliberada dos funcionários em relação à empresa. É importante manter um equilíbrio entre a exigência de disciplina e a manutenção de um clima saudável na equipe.

4. Verifique o funcionamento do modo de bloqueio

Existem dois modos de resposta a um incidente no sistema – fixação e bloqueio. Se todo fato de enviar uma carta ou anexar um arquivo anexado a uma unidade flash for bloqueado, isso criará problemas para o usuário. Os funcionários costumam atacar administrador do sistema solicitações para desbloquear algumas funções, a gerência também pode ficar insatisfeita com tais configurações. Como resultado, o sistema DLP e a empresa recebem feedback negativo, o sistema fica desacreditado e desmascarado.

5. Verifique se o regime de segredo comercial foi introduzido

Oferece a capacidade de tornar certas informações confidenciais e também obriga qualquer pessoa que tenha conhecimento delas a assumir total responsabilidade legal por sua divulgação. Em caso de vazamento grave de informações sob o atual regime de segredo comercial na empresa, o infrator poderá ser recuperado pelo valor do dano real e moral através do tribunal de acordo com 98-FZ “Sobre Segredos Comerciais”.

Esperamos que essas dicas ajudem a reduzir o número de vazamentos não intencionais nas empresas, pois são justamente esses que os sistemas DLP são projetados para combater com sucesso. No entanto, não devemos esquecer o sistema abrangente de segurança da informação e o facto de as fugas intencionais de informação exigirem uma atenção especial e atenta. Existem soluções modernas que permitem complementar a funcionalidade Sistemas DLP e reduzir significativamente o risco de vazamentos intencionais. Por exemplo, um dos desenvolvedores oferece uma tecnologia interessante - quando arquivos confidenciais são acessados ​​com frequência suspeita, a webcam liga automaticamente e começa a gravar. Foi esse sistema que possibilitou registrar como o infeliz ladrão estava ativamente tirando screenshots usando uma câmera móvel.

Oleg Necheukhin, especialista em defesa sistemas de informação, "Contorno.Segurança"

O termo DLP geralmente significa Prevenção contra perda de dados ou Prevenção contra vazamento de dados – evitando vazamentos de dados. Conseqüentemente, os sistemas DLP são ferramentas de software e hardware para resolver o problema de prevenção de vazamento de dados.

Combater vazamentos de informações canais técnicos pode ser dividido em duas tarefas: a luta contra uma ameaça externa e a luta contra um intruso interno.

Dados corporativos valiosos que sua organização está tentando proteger firewalls e as senhas literalmente escapam dos dedos dos insiders. Isso acontece acidentalmente e como resultado de ações deliberadas - cópia ilegal de informações de computadores de trabalho para pen drives, smartphones, computadores tablet e outras mídias de armazenamento. Além disso, os dados podem ser compartilhados incontrolavelmente por pessoas internas via e-mail, mensagens instantâneas, formulários da web, fóruns, etc. mídia social. Interfaces sem fio – Wi-Fi e Bluetooth – juntamente com canais para sincronização local de dados com dispositivos móveis, abrem caminhos adicionais para vazamento de informações dos computadores dos usuários de uma organização.

Além das ameaças internas, outro cenário perigoso de vazamento ocorre quando os computadores são infectados malware, que pode gravar texto inserido no teclado ou certos tipos de dados armazenados em memória de acesso aleatório dados do computador e posteriormente transmiti-los para a Internet.

Como um sistema DLP evita vazamentos de informações?

Embora nenhuma das vulnerabilidades descritas acima seja abordada por mecanismos tradicionais de segurança de rede ou controles integrados de sistema operacional, o software DeviceLock DLP evita efetivamente vazamentos de informações de computadores corporativos usando um conjunto completo de mecanismos de controle contextual para operações de dados, bem como tecnologia de seu conteúdo. filtragem.

O suporte para ambientes virtuais e de terminal no sistema DeviceLock DLP expande significativamente as capacidades dos serviços de segurança da informação na solução do problema de prevenção de vazamento de informações ao usar várias soluções virtualização de ambientes de trabalho criados na forma de máquinas virtuais locais e sessões de desktop de terminal ou aplicativos publicados em hipervisores.

Para atender à definição de um sistema DLP “completo” (ou completo), ele deve atender aos seguintes critérios funcionais básicos:

1. Disponibilidade de função de bloqueio seletivo de canais locais de transmissão de dados e canais de comunicação de rede.
2. Um subsistema desenvolvido para monitorar todos os canais de vazamento de informações em todos os cenários de usuário.
3. Inspeção do conteúdo dos dados móveis em tempo real com capacidade de bloquear tal tentativa ou enviar um alarme.
4. Descubra documentos com conteúdo crítico em vários locais de armazenamento de dados.
5. Notificações de alarme sobre eventos significativos em tempo real.
6. Implementação de políticas específicas tanto dentro do perímetro corporativo (no escritório) quanto fora dele.
7. Disponibilidade de ferramentas analíticas para analisar tentativas evitadas de ações ilegais e incidentes ocorridos.
8. Proteção contra ações intencionais ou acidentais do usuário que visem interferir na operação do sistema DLP.

Controle de contexto e filtragem de conteúdo em um sistema DLP

Uma abordagem eficaz para proteger contra vazamentos de informações de computadores começa com o uso de mecanismos de controle contextual - controle de transferência de dados para usuários específicos, dependendo dos formatos de dados, tipos de interfaces e dispositivos, protocolos de rede, direção de transmissão, hora do dia, etc.

No entanto, em muitos casos, é necessário um nível de controlo mais profundo - por exemplo, verificar o conteúdo dos dados transmitidos quanto à presença de informações confidenciais em condições em que os canais de transmissão de dados não devem ser bloqueados para não perturbar os processos de produção, mas os utilizadores individuais são em risco porque são suspeitos de envolvimento em violações da política corporativa. Nessas situações, além do controle contextual, é necessário utilizar tecnologias de análise de conteúdo para identificar e impedir a transferência de dados não autorizados, sem interferir na troca de informações no âmbito das atribuições dos colaboradores.

O pacote de software DeviceLock DLP usa métodos de controle contextuais e baseados em análise de conteúdo, fornecendo proteção confiável contra vazamentos de informações de computadores de usuários e servidores IP corporativos. Os mecanismos contextuais DeviceLock DLP implementam controle granular do acesso do usuário a uma ampla variedade de dispositivos periféricos e canais de E/S, incluindo comunicações de rede.

Um aumento adicional no nível de proteção é alcançado através do uso de métodos de análise de conteúdo e filtragem de dados, o que ajuda a evitar sua cópia não autorizada para unidades externas e dispositivos Plug-and-Play, bem como transmissão via protocolos de rede fora da rede corporativa.

Como administrar e gerenciar um sistema DLP?

Juntamente com os métodos de controle ativo, a eficácia do DeviceLock DLP é garantida por meio do registro detalhado das ações dos usuários e do pessoal administrativo, bem como pela cópia seletiva de sombra dos dados transmitidos para análise posterior, incluindo o uso de métodos de pesquisa de texto completo.

Para administradores de segurança da informação, o DeviceLock DLP oferece a abordagem mais racional e conveniente para gerenciar um sistema DLP - usando objetos políticas de grupo Domínio Microsoft Active Directory e integrado ao Editor de Política de Grupo do Windows. Ao mesmo tempo, as políticas DeviceLock DLP são distribuídas automaticamente através do diretório como parte integrante de suas políticas de grupo para todos os computadores do domínio, bem como para ambientes virtuais. Esta solução permite que o serviço de segurança da informação gerencie de forma centralizada e rápida as políticas DLP em toda a organização, e sua execução por agentes DeviceLock distribuídos garante uma correspondência exata entre as funções de negócios dos usuários e seus direitos de transferir e armazenar informações nos computadores de trabalho.

Tecnologia DLP

O Processamento Digital de Luz (DLP) é uma tecnologia avançada inventada pela Texas Instruments. Graças a ele, foi possível criar projetores multimídia muito pequenos, muito leves (3 kg - isso é mesmo peso?) e, no entanto, bastante potentes (mais de 1000 ANSI Lm).

Breve história da criação

Há muito tempo atrás, em uma galáxia distante...

Em 1987, o Dr. Larry J. Hornbeck inventou dispositivo multiespelho digital(Dispositivo Microespelho Digital ou DMD). Esta invenção coroou dez anos de pesquisa da Texas Instruments em micromecânica dispositivos de espelho deformáveis(Dispositivos de espelho deformável ou DMD novamente). A essência da descoberta foi o abandono dos espelhos flexíveis em favor de uma matriz de espelhos rígidos com apenas duas posições estáveis.

Em 1989, a Texas Instruments tornou-se uma das quatro empresas selecionadas para implementar a parte “projetor” do programa dos EUA. Display de alta definição, financiado pela Advanced Research Projects Administration (ARPA).

Em maio de 1992, a TI demonstra o primeiro sistema baseado em DMD para suportar um moderno padrão de resolução ARPA.

Uma versão do DMD para TV de alta definição (HDTV) baseada em três DMDs de alta definição foi transmitida em fevereiro de 1994.

As vendas em massa de chips DMD começaram em 1995.

Tecnologia DLP

O elemento-chave dos projetores multimídia criados com a tecnologia DLP é uma matriz de espelhos microscópicos (elementos DMD) feita de liga de alumínio, que possui uma refletividade muito alta. Cada espelho é fixado a um substrato rígido, que é conectado à base da matriz por meio de placas móveis. Eletrodos conectados às células de memória CMOS SRAM são colocados em ângulos opostos dos espelhos. Sob a influência de um campo elétrico, o substrato com o espelho assume uma de duas posições, diferindo exatamente 20° graças aos limitadores localizados na base da matriz.

Essas duas posições correspondem à reflexão do fluxo de luz recebido, respectivamente, na lente e a um absorvedor de luz eficaz, proporcionando remoção confiável de calor e reflexão mínima de luz.

O barramento de dados e a própria matriz são projetados para fornecer até 60 ou mais quadros de imagem por segundo com resolução de 16 milhões de cores.

A matriz espelhada, juntamente com o CMOS SRAM, constitui o cristal DMD - a base da tecnologia DLP.

O pequeno tamanho do cristal é impressionante. A área de cada espelho da matriz é de 16 mícrons ou menos e a distância entre os espelhos é de cerca de 1 mícron. O cristal, e mais de um, cabe facilmente na palma da sua mão.

No total, se a Texas Instruments não nos engana, são produzidos três tipos de cristais (ou chips) com resoluções diferentes. Esse:

• SVGA: 848x600; 508.800 espelhos
• XGA: 1024×768 com abertura preta (espaço entre fendas); 786.432 espelhos
• SXGA: 1280x1024; 1.310.720 espelhos

Então temos uma matriz, o que podemos fazer com ela? E, claro, iluminá-lo com um fluxo luminoso mais potente e colocar um sistema óptico no caminho de uma das direções de reflexão dos espelhos, focando a imagem na tela. No caminho inverso, é aconselhável colocar um absorvedor de luz para que a luz desnecessária não cause transtornos. Agora podemos projetar imagens de uma única cor. Mas onde está a cor? Onde está o brilho?

Mas isso, ao que parece, foi invenção do camarada Larry, que foi discutido no primeiro parágrafo da seção sobre a história da criação do DLP. Se ainda não entende o que se passa, prepare-se, porque agora pode acontecer-lhe um choque :), porque esta solução evidentemente elegante e bastante óbvia é hoje a mais avançada e tecnologicamente avançada no domínio da projecção de imagens.

Lembre-se do truque infantil com uma lanterna giratória, cuja luz em algum momento se funde e se transforma em um círculo luminoso. Essa piada da nossa visão nos permite finalmente abandonar os sistemas de imagem analógicos em favor dos totalmente digitais. Afinal, mesmo os monitores digitais no último estágio são de natureza analógica.

Mas o que acontece se forçarmos o espelho a mudar de uma posição para outra em alta frequência? Se negligenciarmos o tempo de comutação do espelho (e devido às suas dimensões microscópicas, este tempo pode ser completamente negligenciado), então o brilho visível cairá pelo menos pela metade. Alterando a proporção de tempo durante o qual o espelho fica em uma posição e outra, podemos facilmente alterar o brilho aparente da imagem. E como a frequência do ciclo é muito, muito alta, não haverá nenhum vestígio de oscilação visível. Eureka. Embora nada de especial, tudo isto já é conhecido há muito tempo :)

Bem, agora o toque final. Se a velocidade de comutação for alta o suficiente, podemos colocar filtros de luz sequencialmente ao longo do caminho do fluxo de luz e, assim, criar uma imagem colorida.

Essa, na verdade, é toda a tecnologia. Acompanharemos seu desenvolvimento evolutivo usando o exemplo dos projetores multimídia.

Projeto de projetor DLP

A Texas Instruments não fabrica projetores DLP, muitas outras empresas o fazem, como 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, A maioria dos projetores produzidos são portáteis, pesando de 1,3 a 8 kg e com potência de até 2.000 ANSI lumens. Os projetores são divididos em três tipos.

Projetor de matriz única

O tipo mais simples que já descrevemos é - projetor de matriz única, onde um disco giratório com filtros coloridos - azul, verde e vermelho - é colocado entre a fonte de luz e a matriz. A velocidade de rotação do disco determina a taxa de quadros com a qual estamos acostumados.

A imagem é formada alternadamente por cada uma das cores primárias, resultando em uma imagem colorida regular.

Todos, ou quase todos, os projetores portáteis são construídos usando um tipo de matriz única.

Um desenvolvimento adicional deste tipo de projetor foi a introdução de um quarto filtro de luz transparente, que permite aumentar significativamente o brilho da imagem.

Projetor de três matrizes

O tipo mais complexo de projetor é projetor de três matrizes, onde a luz é dividida em três fluxos de cores e refletida em três matrizes ao mesmo tempo. Este projetor possui a cor e a taxa de quadros mais puras, não limitada pela velocidade de rotação do disco, como os projetores de matriz única.

A correspondência exata do fluxo refletido de cada matriz (convergência) é garantida por meio de um prisma, como você pode ver na figura.

Projetor de matriz dupla

Um tipo intermediário de projetor é projetor de matriz dupla. Nesse caso, a luz é dividida em dois fluxos: o vermelho é refletido em uma matriz DMD e o azul e o verde são refletidos na outra. O filtro de luz, portanto, remove alternadamente os componentes azuis ou verdes do espectro.

Um projetor de matriz dupla oferece qualidade de imagem intermediária em comparação com os tipos de matriz única e de três matrizes.

Comparação de projetores LCD e DLP

Comparados aos projetores LCD, os projetores DLP têm uma série de vantagens importantes:

Há alguma desvantagem na tecnologia DLP?

Mas teoria é teoria, mas na prática ainda há trabalho a ser feito. A principal desvantagem é a imperfeição da tecnologia e, consequentemente, o problema de aderência dos espelhos.

O fato é que com tamanhos tão microscópicos, peças pequenas tendem a “grudar”, e um espelho com base não é exceção.

Apesar dos esforços feitos pela Texas Instruments para inventar novos materiais que reduzam a aderência dos microespelhos, tal problema existe, como vimos ao testar um projetor multimídia Infocus LP340. Mas, devo observar, isso realmente não interfere na vida.

Outro problema não é tão óbvio e reside na seleção ideal dos modos de troca de espelhos. Cada empresa que produz projetores DLP tem sua opinião sobre o assunto.

Bem, uma última coisa. Apesar do tempo mínimo para troca dos espelhos de uma posição para outra, esse processo deixa um rastro quase imperceptível na tela. Uma espécie de antialiasing gratuito.

Desenvolvimento tecnológico

• Além da introdução de um filtro de luz transparente, trabalha-se constantemente para reduzir o espaço entre espelhos e a área da coluna que fixa o espelho ao substrato (o ponto preto no meio do elemento da imagem).
• Ao dividir a matriz em blocos separados e expandir o barramento de dados, a frequência de comutação do espelho aumenta.
• Estão em andamento trabalhos para aumentar o número de espelhos e reduzir o tamanho da matriz.
• A potência e o contraste do fluxo luminoso aumentam constantemente. Atualmente, já existem projetores de três matrizes com potência superior a 10.000 ANSI Lm e relação de contraste superior a 1000:1, que encontraram sua aplicação em cinemas ultramodernos que utilizam mídia digital.
• A tecnologia DLP está totalmente pronta para substituir a tecnologia CRT na exibição de imagens em home theaters.

Conclusão

Isso não é tudo o que se pode dizer sobre a tecnologia DLP, por exemplo, não tocamos no tema do uso de matrizes DMD na impressão; Mas vamos esperar até que a Texas Instruments confirme as informações disponíveis em outras fontes, para não mentir para você. Espero que este conto seja suficiente para obter, se não o mais completo, mas suficiente entendimento da tecnologia e não atormentar os vendedores com dúvidas sobre as vantagens dos projetores DLP sobre outros.

Agradecimentos a Alexey Slepynin pela ajuda na preparação do material

Hoje em dia, você pode ouvir falar com frequência sobre tecnologias como sistemas DLP. O que é e onde é usado? Esse Programas, projetado para evitar a perda de dados, detectando possíveis irregularidades na transmissão e filtragem de dados. Além disso, tais serviços monitoram, detectam e bloqueiam seu uso, movimentação (tráfego de rede) e armazenamento.

Via de regra, o vazamento de dados confidenciais ocorre devido à operação dos equipamentos por usuários inexperientes ou é resultado de ações maliciosas. Essas informações na forma de informações privadas ou corporativas, propriedade intelectual (PI), informações financeiras ou médicas, cartões de crédito e similares precisam de medidas de proteção reforçadas que os modernos tecnologia da Informação.

Os termos “perda de dados” e “vazamento de dados” estão relacionados e são frequentemente usados ​​de forma intercambiável, embora sejam um pouco diferentes. Casos de perda de informações se transformam em vazamento de informações quando uma fonte contendo informações confidenciais desaparece e posteriormente acaba nas mãos de terceiros não autorizados. No entanto, o vazamento de dados é possível sem perda de dados.

Categorias DLP

As ferramentas tecnológicas utilizadas para combater o vazamento de dados podem ser divididas nas seguintes categorias: medidas de segurança padrão, medidas inteligentes (avançadas), controle de acesso e criptografia, bem como sistemas DLP especializados (o que são descritos em detalhes abaixo).

Medidas padrão

Medidas de segurança padrão, como sistemas de detecção de intrusão (IDS) e software antivírus, são mecanismos comumente disponíveis que protegem os computadores contra ataques externos e internos. Conectar um firewall, por exemplo, evita que pessoas não autorizadas acessem a rede interna, e um sistema de detecção de intrusão detecta tentativas de intrusão. Os ataques internos podem ser evitados verificando-se com um antivírus que detecta aqueles instalados em PCs que enviam informações confidenciais, bem como utilizando serviços que operam em uma arquitetura cliente-servidor sem quaisquer dados pessoais ou confidenciais armazenados no computador.

Medidas Adicionais de Segurança

Medidas de segurança adicionais utilizam serviços altamente especializados e algoritmos de temporização para detectar acesso anormal a dados (ou seja, bancos de dados ou sistemas de recuperação de informações) ou comunicações anormais por email. Além disso, essas modernas tecnologias de informação identificam programas e solicitações com intenções maliciosas e realizam varreduras profundas em sistemas de computador (por exemplo, reconhecendo pressionamentos de teclas ou sons de alto-falantes). Alguns desses serviços podem até monitorar a atividade do usuário para detectar acesso incomum a dados.

Sistemas DLP personalizados – o que é isso?

Projetadas para segurança da informação, as soluções DLP são projetadas para detectar e impedir tentativas não autorizadas de copiar ou transferir dados confidenciais (intencionalmente ou não) sem permissão ou acesso, normalmente por usuários que têm direitos de acesso aos dados confidenciais.

Para classificar determinadas informações e regular o acesso a elas, esses sistemas utilizam mecanismos como correspondência exata de dados, impressão digital estruturada, aceitação de regras e expressões regulares, publicações frases de código, definições conceituais e palavras-chave. Os tipos e comparação de sistemas DLP podem ser apresentados a seguir.

DLP de rede (também conhecido como dados em movimento ou DiM)

Via de regra, é uma solução de hardware ou software instalada em pontos de rede originados próximos ao perímetro. Ele analisa o tráfego de rede para detectar dados confidenciais enviados em violação de

Endpoint DLP (dados ao usar )

Esses sistemas operam em estações de trabalho ou servidores de usuários finais em diversas organizações.

Tal como acontece com outros sistemas de rede, um terminal pode enfrentar comunicações internas e externas e, portanto, pode ser usado para controlar o fluxo de informações entre tipos ou grupos de usuários (por exemplo, firewalls). Eles também são capazes de monitorar e-mail e mensagens instantâneas. Isso acontece da seguinte maneira - antes de as mensagens serem baixadas para o dispositivo, elas são verificadas pelo serviço e, se contiverem uma solicitação desfavorável, são bloqueadas. Com isso, eles ficam sem correção e não estão sujeitos às regras de armazenamento de dados no dispositivo.

Um sistema (tecnologia) DLP tem a vantagem de poder controlar e gerenciar o acesso a dispositivos físicos (por exemplo, dispositivos móveis com capacidade de armazenamento) e, às vezes, acessar informações antes que elas sejam criptografadas.

Alguns sistemas baseados em terminais também podem fornecer controle de aplicativos para bloquear tentativas de transmissão de informações confidenciais e fornecer informações imediatas. opinião com o usuário. No entanto, eles têm a desvantagem de que devem ser instalados em todas as estações de trabalho da rede e não podem ser usados ​​em dispositivos móveis(por exemplo, em celulares e PDAs) ou onde não possam ser praticamente instalados (por exemplo, numa estação de trabalho num cibercafé). Esta circunstância deve ser levada em consideração na escolha de um sistema DLP para qualquer finalidade.

Identificação de Dados

Os sistemas DLP incluem vários métodos destinados a identificar informações secretas ou confidenciais. Este processo às vezes é confundido com descriptografia. No entanto, a identificação de dados é o processo pelo qual as organizações utilizam a tecnologia DLP para determinar o que procurar (em movimento, em repouso ou em uso).

Os dados são classificados como estruturados ou não estruturados. O primeiro tipo é armazenado em campos fixos dentro de um arquivo (como uma planilha), enquanto o não estruturado refere-se ao texto de formato livre (no formato documentos de texto ou arquivos PDF).

Segundo especialistas, 80% de todos os dados não são estruturados. Assim, 20% estão estruturados. baseia-se na análise de conteúdo focada em informações estruturadas e na análise contextual. É feito no local onde foi criada a aplicação ou sistema de origem dos dados. Assim, a resposta à pergunta “Sistemas DLP - o que é?” servirá para determinar o algoritmo de análise da informação.

Métodos usados

Os métodos para descrever conteúdo sensível são numerosos hoje em dia. Eles podem ser divididos em duas categorias: precisos e imprecisos.

Métodos precisos são aqueles que envolvem análise de conteúdo e reduzem a praticamente zero as respostas falso-positivas às consultas.

Todos os outros são imprecisos e podem incluir: dicionários, palavras-chave, expressões regulares, expressões regulares estendidas, meta tags de dados, análise bayesiana, análise estatística, etc.

A eficácia da análise depende diretamente da sua precisão. Um sistema DLP com uma classificação alta tem alto desempenho em termos de este parâmetro. A precisão da identificação do DLP é essencial para evitar falsos positivos e consequências negativas. A precisão pode depender de muitos fatores, alguns dos quais podem ser situacionais ou tecnológicos. Os testes de precisão podem garantir a confiabilidade do sistema DLP – quase zero falsos positivos.

Detecção e prevenção de vazamentos de informações

Às vezes, a fonte de distribuição de dados disponibiliza informações confidenciais a terceiros. Depois de algum tempo, parte dele provavelmente será encontrada em um local não autorizado (por exemplo, na Internet ou no laptop de outro usuário). Os sistemas DLP, cujo preço é fornecido pelos desenvolvedores mediante solicitação e pode variar de várias dezenas a vários milhares de rublos, devem então investigar como os dados foram vazados - de um ou mais terceiros, se foi feito independentemente um do outro, se o vazamento foi fornecido por qualquer outro meio, etc.

Dados em repouso

"Dados em repouso" referem-se a informações arquivadas antigas armazenadas em qualquer Discos rígidos PC cliente, no controle remoto servidor de arquivos, no disco Esta definição também se refere aos dados armazenados no sistema Cópia de reserva(em pen drives ou CDs). Estas informações são de grande interesse para empresas e agências governamentais simplesmente porque uma grande quantidade de dados permanece sem uso em dispositivos de armazenamento e é mais provável que sejam acessados ​​por pessoas não autorizadas fora da rede.