Günümüzde DLP sistemleri gibi teknolojileri sıklıkla duyabilirsiniz. Nedir ve nerede kullanılır? Veri aktarımında ve filtrelemede olası düzensizlikleri tespit ederek veri kaybını önlemek amacıyla tasarlanmış bir yazılımdır. Ayrıca bu tür hizmetler, kullanımını, hareketini (ağ trafiğini) ve depolamayı izler, tespit eder ve engeller.

Kural olarak, gizli verilerin sızması, ekipmanın deneyimsiz kullanıcılar tarafından çalıştırılması nedeniyle veya kötü niyetli eylemlerin sonucu olarak ortaya çıkar. Kişisel veya kurumsal bilgiler, fikri mülkiyet (IP), finansal veya tıbbi bilgiler, kredi kartı bilgileri ve benzerleri şeklindeki bu tür bilgiler, modern bilgi teknolojilerinin sunabileceği gelişmiş koruma önlemlerini gerektirir.

"Veri kaybı" ve "veri sızıntısı" terimleri birbiriyle ilişkilidir ve biraz farklı olsalar da sıklıkla birbirinin yerine kullanılır. Bilgi kaybı vakaları, gizli bilgi içeren kaynağın ortadan kaybolması ve daha sonra yetkisiz kişilerin eline geçmesiyle bilgi sızıntısına dönüşür. Ancak veri kaybı olmadan veri sızıntısı da mümkündür.

Veri Kaybını Önleme kategorileri

Veri sızıntısıyla mücadelede kullanılan teknolojik araçlar şu kategorilere ayrılabilir: standart güvenlik önlemleri, akıllı (gelişmiş) önlemler, erişim kontrolü ve şifrelemenin yanı sıra özel DLP sistemleri (bunların neler olduğu aşağıda ayrıntılı olarak açıklanmaktadır).

Standart önlemler

İzinsiz giriş tespit sistemleri (IDS) ve antivirüs yazılımı gibi standart güvenlik önlemleri, bilgisayarları dışarıdan ve içeriden gelen saldırılara karşı koruyan yaygın olarak bulunan mekanizmalardır. Örneğin bir güvenlik duvarının bağlanması, yetkisiz kişilerin dahili ağa erişmesini engeller ve bir izinsiz giriş tespit sistemi, izinsiz giriş girişimlerini tespit eder. Gizli bilgi gönderen bilgisayarlarda yüklü olanları tespit eden bir antivirüs ile kontrol yapılabileceği gibi, bilgisayarda herhangi bir kişisel veya gizli veri saklanmadan istemci-sunucu mimarisinde çalışan hizmetler kullanılarak dahili saldırılar önlenebilir.

Ek Güvenlik Önlemleri

Ek güvenlik önlemleri, anormal veri erişimini (yani veritabanları veya bilgi alma sistemleri) veya anormal e-posta alışverişlerini tespit etmek için son derece uzmanlaşmış hizmetler ve zamanlama algoritmaları kullanır. Ayrıca, bu tür modern bilgi teknolojileri, kötü niyetli programları ve istekleri tespit eder ve bilgisayar sistemlerinde derinlemesine taramalar gerçekleştirir (örneğin, tuş vuruşlarını veya hoparlör seslerini tanımak). Bu tür hizmetlerden bazıları, olağandışı veri erişimini tespit etmek için kullanıcı etkinliğini bile izleyebilir.

Özel tasarlanmış DLP sistemleri – nedir?

Bilgi güvenliği için tasarlanan DLP çözümleri, genellikle hassas verilere erişim haklarına sahip kullanıcılar tarafından, izin veya erişim olmadan hassas verileri (kasıtlı veya kasıtsız olarak) kopyalamaya veya aktarmaya yönelik yetkisiz girişimleri tespit etmek ve önlemek için tasarlanmıştır.

Bu sistemler, belirli bilgileri sınıflandırmak ve bunlara erişimi düzenlemek için tam veri eşleştirme, yapılandırılmış parmak izi alma, kuralların ve düzenli ifadelerin kabulü, yayınlar gibi mekanizmalar kullanır. kod ifadeleri, kavramsal tanımlar ve anahtar kelimeler. DLP sistemlerinin çeşitleri ve karşılaştırılması şu şekilde sunulabilir.

Ağ DLP'si (hareket halindeki veri veya DiM olarak da bilinir)

Kural olarak, çevreye yakın olan ağ noktalarına kurulan bir donanım çözümü veya yazılımdır. Kuralları ihlal ederek gönderilen hassas verileri tespit etmek için ağ trafiğini analiz eder.

Uç nokta DLP (kullanırken veriler )

Bu tür sistemler çeşitli kuruluşlardaki son kullanıcı iş istasyonlarında veya sunucularında çalışır.

Diğer ağ sistemlerinde olduğu gibi, bir uç nokta hem iç hem de dış iletişimle karşı karşıya kalabilir ve bu nedenle kullanıcı türleri veya grupları (örneğin güvenlik duvarları) arasındaki bilgi akışını kontrol etmek için kullanılabilir. Ayrıca e-posta ve anlık mesajlaşmayı da izleyebilirler. Bu şu şekilde gerçekleşir - mesajlar cihaza indirilmeden önce servis tarafından kontrol edilir ve olumsuz bir istek içeriyorsa engellenir. Sonuç olarak, düzeltilmezler ve cihazda veri saklama kurallarına tabi değildirler.

Bir DLP sistemi (teknolojisi), fiziksel cihazlara (örneğin, depolama kapasitesine sahip mobil cihazlar) erişimi kontrol edip yönetebilmesi ve bazen bilgilere şifrelenmeden önce erişebilmesi avantajına sahiptir.

Bazı uç nokta tabanlı sistemler, hassas bilgileri iletme girişimlerini engellemek ve anında bilgi sağlamak için uygulama kontrolü de sağlayabilir. geri bildirim kullanıcıyla birlikte. Ancak ağdaki her iş istasyonuna kurulmaları gerektiği ve mobil cihazlarda (örneğin, cep telefonları ve PDA'lar) veya pratik olarak kurulamayacakları yerlerde (örneğin, bir İnternet kafedeki iş istasyonunda). Herhangi bir amaç için DLP sistemi seçerken bu durum dikkate alınmalıdır.

Veri Tanımlama

DLP sistemleri, gizli veya gizli bilgilerin tanımlanmasını amaçlayan çeşitli yöntemler içerir. Bu işlem bazen şifre çözme ile karıştırılır. Ancak veri tanımlama, kuruluşların neyi arayacağını (hareket halindeyken, dururken veya kullanımdayken) belirlemek için DLP teknolojisini kullandığı süreçtir.

Veriler yapılandırılmış ve yapılandırılmamış olarak sınıflandırılır. İlk tür, bir dosyanın (elektronik tablo gibi) içindeki sabit alanlarda depolanırken, yapılandırılmamış, serbest biçimli metni (formda) ifade eder. metin belgeleri veya PDF dosyaları).

Uzmanlara göre tüm verilerin %80'i yapılandırılmamış. Buna göre %20 yapılandırılmıştır. yapılandırılmış bilgi ve bağlamsal analize odaklanan içerik analizine dayanmaktadır. Verinin kaynaklandığı uygulama veya sistemin oluşturulduğu yerde yapılır. Böylece “DLP sistemleri – nedir?” sorusunun cevabı ortaya çıkıyor. bilgi analiz algoritmasının belirlenmesine hizmet edecektir.

Kullanılan yöntemler

Günümüzde hassas içeriği tanımlamaya yönelik yöntemler çoktur. Bunları iki kategoriye ayırabiliriz: doğru ve yanlış.

Doğru yöntemler, içerik analizini içeren ve sorgulara verilen hatalı pozitif yanıtları neredeyse sıfıra indiren yöntemlerdir.

Diğerleri kesin değildir ve şunları içerebilir: sözlükler, anahtar kelimeler, düzenli ifadeler, genişletilmiş düzenli ifadeler, veri meta etiketleri, Bayes analizi, istatistiksel analiz vb.

Analizin etkinliği doğrudan doğruluğuna bağlıdır. Derecelendirmesi yüksek bir DLP sistemi, bu parametre. Yanlış pozitiflerden ve olumsuz sonuçlardan kaçınmak için DLP tanımlamasının doğruluğu çok önemlidir. Doğruluk, bazıları durumsal veya teknolojik olabilecek birçok faktöre bağlı olabilir. Doğruluk testleri, DLP sisteminin güvenilirliğini garanti edebilir; neredeyse sıfır hatalı pozitif sonuç.

Bilgi sızıntılarının tespiti ve önlenmesi

Bazen veri dağıtım kaynağı hassas bilgileri üçüncü tarafların kullanımına sunar. Bir süre sonra bunların bir kısmı büyük ihtimalle yetkisiz bir yerde (örneğin internette veya başka bir kullanıcının dizüstü bilgisayarında) bulunacaktır. Fiyatı talep üzerine geliştiriciler tarafından sağlanan ve birkaç on ila birkaç bin ruble arasında değişebilen DLP sistemleri, daha sonra verilerin bir veya daha fazla üçüncü taraftan nasıl sızdırıldığını, birbirlerinden bağımsız olarak yapılıp yapılmadığını araştırmalıdır. sızıntı herhangi bir şekilde başka yollarla sağlandı vb.

Kullanılmayan veriler

"Hareketsiz veriler", herhangi bir yerde depolanan eski arşivlenmiş bilgileri ifade eder. sabit sürücüler istemci PC, uzak bir dosya sunucusunda, bir diskte. Bu tanım aynı zamanda sistemde depolanan verileri de ifade eder. Kopyayı rezerve et(flash sürücülerde veya CD'lerde). Bu bilgiler, işletmelerin ve devlet kurumlarının büyük ilgisini çekmektedir çünkü büyük miktarda veri, depolama cihazlarında kullanılmadan durmaktadır ve ağ dışındaki yetkisiz kişilerin bunlara erişme olasılığı daha yüksektir.

D LP sistemi, gizli verilerin iç tehditlerden korunmasının gerekli olduğu durumlarda kullanılır. Ve eğer uzmanlar bilgi Güvenliği Yeterince ustalaşmışlarsa ve kendilerini dışarıdan gelen davetsiz misafirlere karşı korumak için gerekli araçları kullanıyorlarsa, o zaman içsel olanlarla işler o kadar da pürüzsüz değildir.

Bilgi güvenliği yapısında DLP sisteminin kullanılması, bilgi güvenliği uzmanının aşağıdakileri anladığını varsayar:

• şirket çalışanlarının gizli verileri nasıl sızdırabileceği;
• Hangi bilgilerin gizliliğe yönelik tehditlerden korunması gerektiği.

Kapsamlı bilgi, bir uzmanın DLP teknolojisinin çalışma prensiplerini daha iyi anlamasına ve sızıntı korumasını doğru şekilde yapılandırmasına yardımcı olacaktır.

DLP sistemi, gizli bilgileri gizli olmayan bilgilerden ayırt edebilmelidir. Bir kurumun bilgi sistemindeki tüm verileri analiz ettiğinizde BT kaynakları ve personeli üzerinde aşırı yük oluşması sorunu ortaya çıkar. DLP, yalnızca sisteme doğru çalışmayı "öğreten", yeni kurallar getiren ve ilgisiz kuralları silen, aynı zamanda bilgi sistemindeki mevcut, engellenen veya şüpheli olayları izleyen sorumlu bir uzmanla "birlikte" çalışır.

“SearchInform CIB”yi yapılandırmak için şunu kullanın:- Bilgi güvenliği olaylarına yanıt verme kuralları. Sistem, şirketin hedeflerine uyacak şekilde ayarlanabilen 250 önceden belirlenmiş politikaya sahiptir.

DLP sisteminin işlevselliği, sızıntılara karşı korunması gereken bilgilerin tespit edilmesinden ve sınıflandırılmasından sorumlu bir yazılım algoritması olan "çekirdek" etrafında inşa edilmiştir. Çoğu DLP çözümünün temelinde iki teknoloji vardır: dilsel analiz ve istatistiksel yöntemlere dayalı teknoloji. Çekirdek ayrıca etiketleme veya resmi analiz yöntemleri gibi daha az yaygın olan teknikleri de kullanabilir.

Sızıntı önleyici sistem geliştiricileri, benzersiz yazılım algoritmasını sistem aracıları, olay yönetimi mekanizmaları, ayrıştırıcılar, protokol analizörleri, önleyiciler ve diğer araçlarla destekler.

İlk DLP sistemleri özünde tek bir yönteme dayanıyordu: dilsel veya istatistiksel analiz. Uygulamada iki teknolojinin eksiklikleri giderildi güçlü DLP'nin evrimi, “çekirdek” açısından evrensel olan sistemlerin oluşmasına yol açmıştır.

Dilbilimsel analiz yöntemi doğrudan dosya ve belgenin içeriğiyle çalışır. Bu, dosya adı, belgede damganın bulunup bulunmadığı, belgeyi kimin ve ne zaman oluşturduğu gibi parametreleri göz ardı etmenize olanak tanır. Dilsel analiz teknolojisi şunları içerir:

• morfolojik analiz - sızıntıdan korunması gereken bilgiler için olası tüm kelime formlarının aranması;
• anlamsal analiz - bir dosyanın içeriğinde önemli (anahtar) bilgilerin oluşumlarının araştırılması, oluşumların dosyanın niteliksel özellikleri üzerindeki etkisi, kullanım bağlamının değerlendirilmesi.

Dilsel analiz, büyük miktarda bilgi içeren yüksek kaliteli çalışmayı gösterir. Hacimli metinler için, dilsel analiz algoritmasına sahip bir Veri Kaybını Önleme sistemi, doğru sınıfı daha doğru bir şekilde seçecek, onu istenen kategoriye atayacak ve yapılandırılmış kuralı başlatacaktır. Küçük belgeler için spam ile mücadelede etkili olduğu kanıtlanmış stopword tekniğini kullanmak daha iyidir.

Dilsel analiz algoritmasına sahip sistemlerde öğrenme yeteneği yüksek düzeyde uygulanır. İlk DLP sistemleri, kategorileri ve "eğitimin" diğer aşamalarını belirlemede zorluklar yaşadı, ancak modern sistemler iyi işleyen kendi kendine öğrenen algoritmalara sahiptir: kategori niteliklerini belirleme, yanıt kurallarını bağımsız olarak oluşturma ve değiştirme yeteneği. Bilgi sistemlerinde bu tür veri koruma yazılım sistemlerini yapılandırmak için artık dil uzmanlarını dahil etmeye gerek yok.

Dilsel analizin dezavantajları arasında, Rusça bilgi akışlarını analiz etmek için “İngilizce” çekirdekli bir DLP sisteminin kullanılmasının imkansız olduğu ve bunun tersinin de geçerli olduğu belirli bir dile bağlı olmak yer alır. Diğer bir dezavantaj ise, yanıtın doğruluğunu %95 dahilinde tutan olasılıksal bir yaklaşım kullanılarak net bir kategorizasyonun zorluğuyla ilgilidir; herhangi bir miktarda gizli bilginin sızması şirket için kritik olabilir.

İstatistiksel analiz yöntemleri tam tersine yüzde 100'e yakın bir doğruluk gösteriyor. İstatistiksel çekirdeğin dezavantajı analiz algoritmasının kendisiyle ilişkilidir.

İlk aşamada, belge (metin) kabul edilebilir boyuttaki parçalara bölünür (karakter karakter değil, ancak işlemin doğruluğunu sağlamak için yeterli). Parçalardan bir karma kaldırılır (DLP sistemlerinde bu, Dijital Parmak İzi terimi olarak bilinir). Daha sonra karma, belgeden alınan referans parçasının karma değeriyle karşılaştırılır. Eşleşme olması durumunda sistem belgeyi gizli olarak işaretler ve güvenlik politikalarına uygun hareket eder.

İstatistiksel yöntemin dezavantajı, algoritmanın bağımsız olarak öğrenme, kategori oluşturma ve yazma yeteneğine sahip olmamasıdır. Sonuç olarak, uzmanın yeterliliklerine bağımlılık ve analizin aşırı sayıda yanlış pozitif üreteceği büyüklükte bir karma belirleme olasılığı vardır. Sistemi kurarken geliştiricinin tavsiyelerine uyarsanız eksikliği gidermek zor değildir.

Karmaların oluşumuyla ilgili başka bir dezavantaj daha vardır. Büyük miktarda veri üreten gelişmiş BT sistemlerinde, parmak izi veri tabanı öyle bir boyuta ulaşabilir ki, trafiğin standartla eşleşmesi açısından kontrol edilmesi, tüm bilgi sisteminin çalışmasını ciddi şekilde yavaşlatacaktır.

Çözümlerin avantajı, istatistiksel analizin etkinliğinin dile ve belgede metin dışı bilgilerin varlığına bağlı olmamasıdır. Karma, İngilizce bir ifadeden, bir görüntüden veya bir video parçasından eşit derecede iyi bir şekilde kaldırılabilir.

Dilsel ve istatistiksel yöntemler, herhangi bir belgeye ait hesap numarası veya pasaport gibi belirli bir formattaki verileri tespit etmek için uygun değildir. Benzerlerini belirlemek için tipik yapılar Resmi yapıları analiz etmeye yönelik teknolojiler DLP sisteminin çekirdeğine dahil ediliyor.

Kaliteli bir DLP çözümü, sıralı olarak çalışan ve birbirini tamamlayan tüm analiz araçlarını kullanır.

Çekirdekte hangi teknolojilerin mevcut olduğunu belirleyebilirsiniz.

DLP sisteminin çalıştığı kontrol seviyeleri, çekirdeğin işlevselliğinden daha az önemli değildir. Bunlardan iki tane var:

Modern DLP ürünlerinin geliştiricileri, hem uç cihazların hem de ağın sızıntıya karşı korunması gerektiğinden, katman korumasının ayrı uygulanmasından vazgeçti.

Ağ kontrol katmanı Aynı zamanda ağ protokollerinin ve hizmetlerinin mümkün olan maksimum kapsamını sağlamalıdır. Sadece “geleneksel” kanallardan (, FTP) değil, aynı zamanda daha yeni ağ değişim sistemlerinden (Anlık Mesajlaşma Sistemleri) bahsediyoruz. Ağ düzeyinde şifreli trafiği kontrol etmek ne yazık ki mümkün değildir ancak DLP sistemlerinde bu sorun host düzeyinde çözülmektedir.

Ana bilgisayar seviyesi kontrolü daha fazla izleme ve analiz görevi çözmenize olanak tanır. Aslında bilgi güvenliği hizmeti, iş istasyonundaki kullanıcı eylemleri üzerinde tam kontrol sağlayan bir araç alır. Ana bilgisayar mimarisine sahip DLP, neyi, hangi belgeleri, klavyede ne yazıldığını izlemenize, ses materyallerini kaydetmenize ve ne yaptığınıza olanak tanır. Son iş istasyonu düzeyinde, şifrelenmiş trafik () kesilir ve kullanıcının bilgisayarında halihazırda işlenmekte olan ve uzun süredir saklanan veriler doğrulamaya açıktır.

Ana bilgisayar düzeyinde kontrole sahip DLP sistemleri, sıradan sorunları çözmenin yanı sıra, bilgi güvenliğini sağlamak için ek önlemler sağlar: kurulumların ve yazılım değişikliklerinin izlenmesi, G/Ç bağlantı noktalarının engellenmesi vb.

Ana bilgisayar uygulamasının dezavantajları, kapsamlı işlevlere sahip sistemlerin yönetilmesinin daha zor olması ve iş istasyonunun kaynaklarının daha fazla tüketilmesidir. Yönetim sunucusu, ayarların kullanılabilirliğini ve uygunluğunu kontrol etmek için düzenli olarak uç cihazdaki "aracı" modülüyle iletişim kurar. Ek olarak, kullanıcı iş istasyonunun bazı kaynakları kaçınılmaz olarak DLP modülü tarafından "tüketilecektir". Bu nedenle sızıntıyı önlemek için çözüm seçme aşamasında bile donanım gereksinimlerine dikkat etmek önemlidir.

DLP sistemlerinde teknoloji ayrımı ilkesi artık geçmişte kaldı. Modern Yazılım çözümleri Sızıntıları önlemek için birbirlerinin eksikliklerini telafi eden yöntemler kullanılır. Entegre bir yaklaşım sayesinde bilgi güvenliği kapsamındaki gizli veriler tehditlere karşı daha dayanıklı hale gelir.

En moda BT terimlerinin bile mümkün olduğunca uygun ve doğru kullanılması gerekir. En azından tüketiciyi yanıltmamak adına. Kendinizi DLP çözümleri üreticisi olarak görmek kesinlikle moda oldu. Örneğin, son CeBIT-2008 fuarında, yalnızca dünyada az bilinen antivirüs ve proxy sunucularının değil, hatta güvenlik duvarlarının üreticilerinin stantlarında "DLP çözümü" yazısı sıklıkla görülebiliyordu. Bazen, bir sonraki köşede, kurumsal bir DLP çözümünün gururlu sloganıyla bir tür CD ejektörünün (CD sürücüsünün açılmasını kontrol eden bir program) görebileceğiniz hissi vardı. Ve garip bir şekilde, bu üreticilerin her birinin, kural olarak, ürünlerinin bu şekilde konumlandırılması için az çok mantıklı bir açıklaması vardı (doğal olarak, moda bir terimden "fayda" elde etme arzusuna ek olarak).

DLP sistemi üreticilerinin pazarını ve ana oyuncularını düşünmeden önce DLP sistemiyle ne kastettiğimize karar vermeliyiz. Bu bilgi sistemleri sınıfını tanımlamak için birçok girişimde bulunulmuştur: ILD&P - Bilgi Sızıntısının Tespiti ve Önlenmesi ("bilgi sızıntılarının belirlenmesi ve önlenmesi", bu terim IDC tarafından 2007'de önerilmiştir), ILP - Bilgi Sızıntısı Koruması ("bilgiye karşı koruma") sızıntıları”, Forrester, 2006), ALS - Sızıntı Önleyici Yazılım (“sızıntı önleyici yazılım”, E&Y), İçerik İzleme ve Filtreleme (CMF, Gartner), Ekstrüzyon Önleme Sistemi (İzinsiz Girişi önleme sistemine benzer).

Ancak 2005 yılında önerilen DLP - Veri Kaybını Önleme (veya Veri Sızıntısını Önleme, veri sızıntılarına karşı koruma) adı yine de Rusça olarak (çeviri yerine benzer bir terim) " ifadesinde yaygın olarak kullanılan bir terim olarak yerleşmiştir. gizli koruma sistemleri” içeriden gelen tehditlerden elde edilen verilerdir. Aynı zamanda altında iç tehditlerİlgili verilere erişim konusunda yasal haklara sahip kuruluş çalışanları tarafından yetkilerinin (kasıtlı veya kazara) kötüye kullanılması anlamına gelir.

DLP sistemlerine ait olmak için en uyumlu ve tutarlı kriterler, Forrester Research araştırma ajansının bu pazara yönelik yıllık araştırması sırasında ortaya kondu. Bir sistemin DLP olarak sınıflandırılabileceği dört kriter önerdiler. 1.

Çok kanallı. Sistem, olası birkaç veri sızıntısı kanalını izleyebilmelidir. Bir ağ ortamında bu, en azından e-posta, Web ve IM'dir (anlık mesajlaşma programları) ve yalnızca posta trafiğinin veya veritabanı etkinliğinin taranması değildir. İş istasyonunda - dosya işlemlerinin izlenmesi, panoyla çalışmanın yanı sıra e-posta, Web ve IM'nin kontrolü. 2.

Birleşik yönetim. Sistem, tüm izleme kanallarında birleşik bilgi güvenliği politikası yönetim araçlarına, analizine ve olay raporlamasına sahip olmalıdır. 3.

Aktif koruma. Sistem yalnızca güvenlik politikasının ihlallerini tespit etmekle kalmamalı, aynı zamanda gerekirse buna uyulmasını da sağlamalıdır. Örneğin şüpheli mesajları engelleyin. 4.

Forrester, bu kriterleri temel alarak 2008 yılında inceleme ve değerlendirme için 12 üreticiden oluşan bir liste seçti. yazılım(aşağıda bu satıcının DLP sistemleri pazarına girmek için satın aldığı şirketin adı parantez içinde belirtilmiş olacak şekilde alfabetik sırayla listelenmiştir):

1. Yeşil Kod;
2. InfoWatch;
3. McAfee (Onigma);
4. Orkestra;
5. Reconnex;
6. RSA/EMC (Tablo);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. İş paylaşımı.

Bugün, yukarıda belirtilen 12 satıcıdan yalnızca InfoWatch ve Websense, Rusya pazarında bir dereceye kadar temsil edilmektedir. Geri kalanı ya Rusya'da hiç çalışmıyor ya da yalnızca DLP çözümleri (Trend Micro) satmaya başlama niyetlerini açıkladılar.

Analistler (Forrester, Gartner, IDC), DLP sistemlerinin işlevselliğini göz önünde bulundurarak, koruma nesnelerinin (izlenecek bilgi nesneleri türleri) bir kategorizasyonunu sunar. Bu tür bir sınıflandırma, ilk yaklaşıma göre belirli bir sistemin uygulama kapsamının değerlendirilmesini mümkün kılar. İzleme nesnelerinin üç kategorisi vardır.

1. Hareket halindeki veriler (hareket halindeki veriler) - e-posta mesajları, İnternet çağrı cihazları, eşler arası ağlar, dosya aktarımları, Web trafiği ve ayrıca iletişim kanalları üzerinden iletilebilen diğer mesaj türleri. 2. Atıl veriler (depolanan veriler) - iş istasyonları, dizüstü bilgisayarlar, dosya sunucuları, özel depolama aygıtlarında, USB aygıtlarında ve diğer depolama aygıtı türlerinde.

3. Kullanımdaki veriler (kullanımdaki veriler) - işlenen bilgiler şu an.

Şu anda piyasada DLP sistemlerinin bazı özelliklerini taşıyan iki düzineye yakın yerli ve yabancı ürün bulunmaktadır. Yukarıdaki sınıflandırmanın ruhuna uygun olarak bunlar hakkında kısa bilgiler tabloda listelenmiştir. 1 ve 2. Ayrıca tabloda. 1, sistemin daha fazla analiz ve denetim için verileri tek bir depoya (tüm izleme kanalları için) kaydetme yeteneğini ima eden "merkezi veri depolama ve denetim" gibi bir parametreyi tanıttı. Bu işlevsellik geliyor Son zamanlarda yalnızca çeşitli yasal düzenlemelerin gereklilikleri nedeniyle değil, aynı zamanda müşteriler arasındaki popülerliği nedeniyle (uygulanan projelerin deneyimlerine dayanarak) özellikle önemlidir. Bu tablolarda yer alan tüm bilgiler, ilgili şirketlerin kamuya açık kaynaklarından ve pazarlama materyallerinden alınmıştır.

Tablo 1 ve 2'de sunulan verilere dayanarak, bugün Rusya'da yalnızca üç DLP sisteminin sunulduğu sonucuna varabiliriz (InfoWatch, Perimetrix ve WebSence şirketlerinden). Bunlar aynı zamanda Jet Infosystem'in kısa süre önce duyurulan entegre ürününü de (SKVT+SMAP) içeriyor çünkü bu ürün birçok kanalı kapsayacak ve güvenlik politikalarının birleşik yönetimine sahip olacak.

Söz konusu üreticilerin çoğu satış hacimlerini, müşteri sayısını ve korunan iş istasyonlarını açıklamadığından, kendilerini yalnızca pazarlama bilgileriyle sınırladığından, bu ürünlerin Rusya'daki pazar paylarından bahsetmek oldukça zordur. Şu anda ana tedarikçilerin şunlar olduğunu kesin olarak söyleyebiliriz:

• 2001 yılından bu yana piyasada bulunan “Dozor” sistemleri;
• 2004 yılından bu yana satışı yapılan InfoWatch ürünleri;
• WebSense CPS (2007 yılında Rusya'da ve dünya çapında satışa başladı);
• Perimetrix (ürünlerinin ilk versiyonu 2008 yılı sonunda web sitesinde duyurulan genç bir şirket).

Sonuç olarak şunu eklemek isterim ki, bir kişinin DLP sistemleri sınıfına ait olup olmaması, ürünleri daha kötü veya daha iyi hale getirmez; bu sadece bir sınıflandırma meselesidir, başka bir şey değildir.

Tablo 1. Rusya pazarında sunulan ve DLP sistemlerinin belirli özelliklerine sahip ürünler

Şirket	Ürün	Ürün Özellikleri
		Hareket halindeki veri koruması	Kullanımdaki veri koruması	"Hareket halindeki verilerin" korunması (kullanılmayan veriler)	Merkezi depolama ve denetim
InfoWatch	IW Trafik Monitörü	Evet	Evet	HAYIR	Evet
	IW CryptoStorage	HAYIR	HAYIR	Evet	HAYIR
Perimetrix	Güvenli Alan	Evet	Evet	Evet	Evet
Jet Bilgi Sistemleri	Dozor Jet (SKVT)	Evet	HAYIR	HAYIR	Evet
	Jet İzleme (SMAP)	Evet	HAYIR	HAYIR	Evet
Akıllı Hat A.Ş.	Cihaz Kilidi	HAYIR	Evet	HAYIR	Evet
GüvenlikIT	Zlock	HAYIR	Evet	HAYIR	HAYIR
	Sır tutan	HAYIR	Evet	HAYIR	HAYIR
SpectorSoft	Spector 360	Evet	HAYIR	HAYIR	HAYIR
Lumension Güvenliği	Sığınak Cihaz Kontrolü	HAYIR	Evet	HAYIR	HAYIR
WebSense	Websense İçerik Koruması	Evet	Evet	Evet	HAYIR
Informzashita	Güvenlik Stüdyosu	HAYIR	Evet	Evet	HAYIR
Primetek	İçeriden bilgi	HAYIR	Evet	HAYIR	HAYIR
AtomPark Yazılımı	Personel Polisi	HAYIR	Evet	HAYIR	HAYIR
SoftInform	SearchInform Sunucusu	Evet	Evet	HAYIR	HAYIR

Tablo 2. Rusya pazarında sunulan ürünlerin DLP sistemleri sınıfına ait kriterlere uygunluğu

Şirket	Ürün	DLP sistemlerine ait olma kriterleri
		Çok kanallı	Birleşik yönetim	Aktif koruma	Hem içeriği hem de bağlamı göz önünde bulundurarak
InfoWatch	IW Trafik Monitörü	Evet	Evet	Evet	Evet
Perimetrix	Güvenli Alan	Evet	Evet	Evet	Evet
“Jet Bilgi Sistemleri”	“Dozer Jet” (SKVT)	HAYIR	HAYIR	Evet	Evet
	“Dozer Jet” (SMAP)	HAYIR	HAYIR	Evet	Evet
"Akıllı Hat A.Ş."	Cihaz Kilidi	HAYIR	HAYIR	HAYIR	HAYIR
GüvenlikIT	Zlock	HAYIR	HAYIR	HAYIR	HAYIR
Akıllı Koruma Laboratuvarları Yazılımı	Sır tutan	Evet	Evet	Evet	HAYIR
SpectorSoft	Spector 360	Evet	Evet	Evet	HAYIR
Lumension Güvenliği	Sığınak Cihaz Kontrolü	HAYIR	HAYIR	HAYIR	HAYIR
WebSense	Websense İçerik Koruması	Evet	Evet	Evet	Evet
“Informzashita”	Güvenlik Stüdyosu	Evet	Evet	Evet	HAYIR
"Primtek"	İçeriden bilgi	Evet	Evet	Evet	HAYIR
“AtomPark Yazılımı”	Personel Polisi	Evet	Evet	Evet	HAYIR
“Yumuşak Bilgi”	SearchInform Sunucusu	Evet	Evet	HAYIR	HAYIR
“Bilgi savunması”	“Bilgi perimetresi”	Evet	Evet	HAYIR	HAYIR

Bilgilerin şirketin bilgi sistemi dışına aktarılmasına yol açan sızıntı kanalları, ağ sızıntıları (örneğin e-posta veya ICQ), yerel (harici USB sürücüleri kullanan) veya depolanan veriler (veritabanları) olabilir. Ayrı olarak, medya kaybını (flaş bellek, dizüstü bilgisayar) vurgulayabiliriz. Bir sistem aşağıdaki kriterleri karşılıyorsa DLP sınıfı olarak sınıflandırılabilir: çok kanallı (birkaç olası veri sızıntısı kanalını izleme); birleşik yönetim (tüm izleme kanallarında birleşik yönetim araçları); aktif koruma (güvenlik politikasına uyum); Hem içeriği hem de bağlamı dikkate alarak.

Çoğu sistemin rekabet avantajı analiz modülüdür. Üreticiler bu modülü o kadar vurguluyorlar ki, ürünlerine sıklıkla bu modülün adını veriyorlar, örneğin “etiket tabanlı DLP çözümü”. Bu nedenle, kullanıcı genellikle çözümleri performans, ölçeklenebilirlik veya kurumsal bilgi güvenliği pazarı için geleneksel olan diğer kriterlere göre değil, kullanılan belge analizi türüne göre seçer.

Her yöntemin kendine göre avantaj ve dezavantajları olduğundan, doküman analizinde tek bir yöntemin kullanılmasının çözümü teknolojik olarak ona bağımlı hale getirdiği açıktır. Çoğu üretici birkaç yöntem kullanır, ancak bunlardan biri genellikle "amiral gemisi" dir. Bu makale belge analizinde kullanılan yöntemleri sınıflandırmaya yönelik bir girişimdir. Güçlü yönlerinin değerlendirilmesi ve zayıflıklarÇeşitli ürün türlerinin pratik kullanımındaki deneyime dayanmaktadır. Makale temel olarak belirli ürünleri tartışmıyor çünkü Kullanıcının bunları seçerken asıl görevi, “her şeyi her şeyden koruyacağız”, “benzersiz patentli teknoloji” gibi pazarlama sloganlarını filtreleyip, satıcılar gidince elinde ne kalacağını anlamaktır.

Konteyner Analizi

Bu yöntem, bilginin bulunduğu bir dosyanın veya başka bir kabın (arşiv, kriptodisk vb.) özelliklerini analiz eder. Bu tür yöntemlerin halk dilindeki adı, özlerini tam olarak yansıtan "markalara ilişkin çözümler" dir. Her kapsayıcı, kapsayıcının içerdiği içeriğin türünü benzersiz şekilde tanımlayan bir etiket içerir. Bahsedilen yöntemler, taşınan bilgilerin analiz edilmesi için neredeyse hiçbir bilgi işlem kaynağı gerektirmez, çünkü etiket, kullanıcının içeriği herhangi bir rota boyunca taşıma haklarını tam olarak açıklar. Basitleştirilmiş bir biçimde, böyle bir algoritma şuna benzer: "Bir etiket var - yasaklıyoruz, etiket yok - geçiyoruz."

Bu yaklaşımın avantajları açıktır: analiz hızı ve ikinci tip hataların tamamen yokluğu (ne zaman belgeyi aç sistem yanlışlıkla bunu gizli olarak algılar). Bu tür yöntemlere bazı kaynaklarda “deterministik” adı verilmektedir.

Dezavantajları da açıktır; sistem yalnızca işaretlenen bilgileri önemser: işaret ayarlanmamışsa içerik korunmaz. Yeni ve gelen belgelere işaret koymak için bir prosedürün yanı sıra, bilgilerin işaretli bir kaptan işaretsiz olana arabellek işlemleri, dosya işlemleri, geçici dosyalardan bilgi kopyalama vb. yoluyla aktarılmasını önleyecek bir sistem geliştirmek gerekir.

Bu tür sistemlerin zayıflığı, etiket yerleştirme organizasyonunda da kendini göstermektedir. Belgenin yazarı tarafından yerleştirilirlerse, kötü niyet nedeniyle çalacağı bilgileri işaretlememe olanağına sahip olur. Kötü niyetin yokluğunda ihmal veya dikkatsizlik er ya da geç ortaya çıkacaktır. Bilgi güvenliği görevlisi veya bilgi güvenliği görevlisi gibi belirli bir çalışanı etiketlemeniz gerekiyorsa sistem yöneticisi, şirketteki tüm süreçleri tam olarak bilmediği için gizli içeriği açık içerikten her zaman ayırt edemeyecektir. Bu nedenle “beyaz” bakiyenin şirketin internet sitesinde yayınlanması gerekir, “gri” veya “siyah” bakiyenin bilgi sistemi dışına çıkarılması mümkün değildir. Ancak yalnızca baş muhasebeci birini diğerinden ayırt edebilir, yani. yazarlardan biri.

Etiketler genellikle nitelik, format ve harici olarak ayrılır. Adından da anlaşılacağı gibi, birincisi dosya özniteliklerine, ikincisi dosyanın kendi alanlarına ve üçüncüsü ise harici programlar tarafından dosyaya (onunla ilişkili) eklenir.

Bilgi güvenliğinde konteyner yapıları

Bazen etiket tabanlı çözümlerin avantajlarının, yalnızca etiketleri kontrol etmeleri nedeniyle önleyiciler için düşük performans gereksinimleri olduğu da kabul edilir; metrodaki turnikeler gibi davranın: “biletiniz varsa geçin.” Ancak mucizelerin gerçekleşmediğini unutmamalıyız - bu durumda bilgi işlem yükü iş istasyonlarına aktarılır.

Etiket üzerindeki çözümlerin yeri ne olursa olsun belge saklamanın korunmasıdır. Bir şirketin bir yandan nadiren doldurulan bir belge deposu varsa ve diğer yandan her belgenin kategorisi ve gizlilik düzeyi tam olarak biliniyorsa, korumasını organize etmenin en kolay yolu onu kullanmaktır. Etiketler. Depoya giren belgeler üzerindeki etiketlerin yerleşimini organizasyonel bir prosedür kullanarak düzenleyebilirsiniz. Örneğin, bir belgeyi arşive göndermeden önce, belgenin işleyişinden sorumlu çalışan, belge için hangi düzeyde gizlilik ayarlanacağı sorusuyla yazar ve uzmanla iletişime geçebilir. Bu sorun özellikle format işaretlerinin yardımıyla başarılı bir şekilde çözüldü, yani. Gelen her belge güvenli bir formatta kayıt altına alınmakta ve çalışanın talebi üzerine okunmaya onaylandığı belirtilerek düzenlenmektedir. Modern çözümler sınırlı bir süre için erişim hakları atamanıza olanak tanır ve anahtarın süresi dolduktan sonra belgenin okunması durdurulur. Örneğin, Amerika Birleşik Devletleri'ndeki kamu alımları yarışmaları için belgelerin verilmesi bu şemaya göre düzenlenmektedir: satın alma yönetim sistemi, içeriği değiştirme veya kopyalama yeteneği olmadan yalnızca Bu belgede listelenen yarışmanın katılımcıları. Erişim anahtarı yalnızca belgelerin yarışmaya sunulması için son tarihe kadar geçerlidir ve bu tarihten sonra belge artık okunamaz.

Ayrıca etiketlere dayalı çözümler sayesinde şirketler, fikri mülkiyet ve devlet sırlarının dolaşıma girdiği ağın kapalı bölümlerinde belge akışını düzenliyor. Artık, “Kişisel Verilere İlişkin” Federal Kanunun gereklerine uygun olarak, büyük şirketlerin İK departmanlarında da belge akışının düzenlenmesi muhtemeldir.

İçerik analizi

Bu bölümde açıklanan teknolojileri uygularken, daha önce açıklananların aksine, içeriğin hangi kapta saklandığı tamamen farksızdır. Bu teknolojilerin amacı, bir taşıyıcıdan anlamlı içerik çıkarmak veya bir iletişim kanalı üzerinden aktarımı engellemek ve yasaklı içeriğin varlığına yönelik bilgileri analiz etmektir.

Konteynerlerdeki yasaklı içeriğin belirlenmesinde kullanılan ana teknolojiler imza izleme, karma işlevi tabanlı izleme ve dilsel yöntemlerdir.

İmzalar

En basit kontrol yöntemi, belirli bir karakter dizisi için veri akışında arama yapmaktır. Bazen yasaklanmış bir karakter dizisine "durdurma sözcüğü" adı verilir, ancak daha genel olarak, bir sözcükle değil, aynı etiket gibi rastgele bir karakter kümesiyle temsil edilebilir. Genel olarak bu yöntemin tüm uygulamaları olmasa da içerik analizi olarak sınıflandırılabilir. Örneğin, çoğu UTM sınıfı cihazda, bir veri akışında yasaklanmış imzaların aranması, akış "olduğu gibi" analiz edilirken kaptan metin çıkarılmadan gerçekleşir. Veya sistem yalnızca bir kelime için yapılandırılmışsa, çalışmasının sonucu% 100 eşleşmenin belirlenmesidir, yani. Yöntem deterministik olarak sınıflandırılabilir.

Bununla birlikte, metin analiz edilirken daha sıklıkla belirli bir karakter dizisinin aranması hâlâ kullanılmaktadır. Çoğu durumda, imza sistemleri birkaç kelimeyi ve terimlerin görülme sıklığını arayacak şekilde yapılandırılmıştır; biz yine de bu sistemi içerik analiz sistemi olarak sınıflandıracağız.

Bu yöntemin avantajları arasında dilden bağımsızlık ve yasaklı terimler sözlüğünü yenileme kolaylığı yer alır: Bu yöntemi bir Peştuca kelime için bir veri akışı aramak için kullanmak istiyorsanız, bu dili konuşmanıza gerek yoktur, sadece nasıl yazılacağını biliyorum. Örneğin, harf çevirisi yapılmış Rusça metni veya "Arnavutça" dilini eklemek de kolaydır; bu, örneğin SMS metinlerini, ICQ mesajlarını veya blog gönderilerini analiz ederken önemlidir.

İngilizce dışında bir dil kullanıldığında dezavantajlar açıkça ortaya çıkıyor. Ne yazık ki çoğu metin analiz sistemi üreticisi Amerika pazarı için çalışıyor ve ingilizce diliçok “imza” - kelime biçimleri çoğunlukla kelimenin kendisini değiştirmeden edatlar kullanılarak oluşturulur. Rusça'da her şey çok daha karmaşıktır. Örneğin, bir bilgi güvenliği görevlisinin kalbinde yer eden "sır" kelimesini ele alalım. İngilizce'de hem isim "sır", hem sıfat "sır", hem de "gizli" fiili anlamına gelir. Rusça'da "sır" kökünden birkaç düzine farklı kelime oluşturulabilir. Onlar. İngilizce konuşulan bir kuruluşta bir bilgi güvenliği görevlisinin yalnızca bir kelime girmesi gerekiyorsa, Rusça konuşulan bir kuruluşta birkaç düzine kelime girmesi ve ardından bunları altı farklı kodlamayla değiştirmesi gerekecektir.

Ayrıca bu tür yöntemler ilkel kodlamaya karşı dayanıklı değildir. Neredeyse hepsi acemi spam gönderenlerin favori tekniğine teslim oluyor - sembolleri benzerleriyle değiştirmek. Yazar, güvenlik görevlilerine defalarca temel bir teknik gösterdi: gizli metni imza filtrelerinden geçirmek. Örneğin "çok gizli" ifadesini ve bu ifade için yapılandırılmış bir e-posta önleyiciyi içeren bir metin alınır. Metin MS Word'de açılırsa, iki saniyelik bir işlem: Ctrl+F, “bul “o” (Rus düzeni)”, “”o” ile değiştir (İngilizce düzeni)”, “tümünü değiştir”, “gönder” belge” - belgeyi bu filtreye kesinlikle görünmez hale getirir. Böyle bir değişimin gerçekleştirilmesi daha da hayal kırıklığı yaratıyor düzenli araçlar MS Word veya başka herhangi bir şey Metin düzeltici, yani yerel yönetici haklarına ve şifreleme programlarını çalıştırma becerisine sahip olmasa bile kullanıcı tarafından kullanılabilir.

Çoğu zaman imza tabanlı akış kontrolü, UTM cihazlarının işlevselliğine dahil edilir; Trafiği virüslerden, istenmeyen postalardan, izinsiz girişlerden ve imzalar kullanılarak tespit edilen diğer tehditlerden temizleyen çözümler. Bu özellik “ücretsiz” olduğundan kullanıcılar çoğu zaman bunun yeterli olduğunu düşünüyor. Bu tür çözümler gerçekten kazara sızıntılara karşı koruma sağlar; Giden metnin gönderen tarafından filtreyi atlamak için değiştirilmediği ancak kötü niyetli kullanıcılara karşı güçsüz olduğu durumlarda.

Maskeler

Durdurma sözcük imzalarına yönelik arama işlevinin bir uzantısı, bunların maskelerinin aranmasıdır. Durdurma sözcüğü veritabanında kesin olarak belirlenemeyen ancak öğesi veya yapısı belirlenebilen içerik aramasıdır. Bu tür bilgiler, bir kişiyi veya kuruluşu karakterize eden tüm kodları içermelidir: TIN, hesap numaraları, belgeler vb. İmzaları kullanarak bunları aramak imkansızdır.

Belirli bir sayı belirtmek akıllıca değildir banka kartı bir arama nesnesi olarak, ancak herhangi bir sayıyı bulmak istiyorum kredi kartı nasıl yazılırsa yazılsın - boşluklarla veya birlikte. Bu sadece bir arzu değil, aynı zamanda PCI DSS standardının bir gereğidir: şifrelenmemiş sayılar plastik kartlar ile göndermek yasaktır e-posta, yani E-posta içerisinde bu numaraların bulunması ve yasaklı mesajların sıfırlanması kullanıcının sorumluluğundadır.

Burada örneğin numarası sıfırla başlayan gizli veya gizli bir emrin adı gibi bir durdurma sözcüğünü belirten bir maske var. Maske yalnızca rastgele bir sayıyı değil, aynı zamanda her durumu ve hatta Rus harflerinin Latin harfleriyle değiştirilmesini de dikkate alır. Maske standart "REGEXP" gösterimiyle yazılmıştır, ancak farklı DLP sistemlerinin kendilerine ait daha esnek gösterimleri olabilir. Telefon numaralarında durum daha da kötü. Bu bilgiler kişisel veri olarak sınıflandırılır ve çeşitli boşluk kombinasyonları kullanılarak bir düzine şekilde yazılabilir. farklı şekiller parantez, artı ve eksi vb. Burada belki tek bir maske yeterli olmayabilir. Örneğin, benzer bir sorunun çözülmesi gereken antispam sistemlerinde, telefon numarası aynı anda birkaç düzine maske kullanın.

Şirketlerin ve çalışanlarının faaliyetlerinde yer alan pek çok farklı kod, birçok yasa tarafından korunmakta olup ticari sırları, banka sırlarını, kişisel verileri ve yasalarla korunan diğer bilgileri temsil etmektedir, dolayısıyla bunların trafikte tespit edilmesi sorunu her türlü çözümün ön koşuludur.

Karma işlevler

Teknolojinin kendisi 1970'lerden bu yana var olmasına rağmen, gizli belge örneklerinin çeşitli karma işlevleri bir zamanlar sızıntı koruma pazarında yeni olarak kabul ediliyordu. Batı'da bu yönteme bazen "dijital parmak izi" denir, yani. Bilimsel argoda “dijital parmak izleri” veya “parmak izleri”.

Her üreticinin spesifik algoritmaları önemli ölçüde farklılık gösterse de, tüm yöntemlerin özü aynıdır. Hatta bazı algoritmalar patentlidir, bu da uygulamanın benzersizliğini doğrular. Genel senaryo şu şekildedir: gizli belge örneklerinden oluşan bir veri tabanı toplanır. Her birinden bir “baskı” alınır, yani. Belgeden önemli içerik çıkarılır ve bu, örneğin (ancak mutlaka değil) metin biçimi gibi normal bir biçime indirgenir, ardından tüm içeriğin karmaları ve parçaları alınır, örneğin paragraflar, cümleler, beş kelime vb. özel uygulamaya bağlıdır. Bu parmak izleri özel bir veritabanında saklanır.

Ele geçirilen belge temizlendi resmi bilgi ve normal forma getirilir, ardından aynı algoritma kullanılarak parmak izleri-parmaklar alınır. Ortaya çıkan parmak izleri, gizli belgelerin parmak izi veri tabanında aranır ve bulunması durumunda belge gizli kabul edilir. Bu yöntem örnek bir belgeden doğrudan alıntılar bulmak için kullanıldığından, teknolojiye bazen "intihal önleme" adı verilir.

Bu yöntemin avantajlarının çoğu aynı zamanda dezavantajlarıdır. Öncelikle örnek belge kullanmanın şartı budur. Bir yandan kullanıcının güvenli kelimeler, önemli terimler ve güvenlik görevlilerine tamamen özel olmayan diğer bilgiler konusunda endişelenmesine gerek kalmaz. Öte yandan, etiket tabanlı teknolojilerde olduğu gibi yeni ve gelen belgelerde de aynı sorunları yaratan “örnek yok, güvenlik yok”. Bu teknolojinin çok önemli bir avantajı, rastgele karakter dizileriyle çalışmaya odaklanmasıdır. Bundan, her şeyden önce, ister hiyeroglif ister Peştuca olsun, metnin dilinden bağımsızlık gelir. Ayrıca, bu özelliğin ana sonuçlarından biri, metin dışı bilgilerden (veritabanları, çizimler, medya dosyaları) parmak izi alma yeteneğidir. Hollywood stüdyolarının ve küresel kayıt stüdyolarının dijital depolama ortamlarındaki medya içeriğini korumak için kullandıkları teknolojiler budur.

Ne yazık ki, düşük seviyeli karma işlevleri, imza örneğinde tartışılan ilkel kodlamaya karşı dayanıklı değildir. Kelimelerin sırasını değiştirmek, paragrafları yeniden düzenlemek ve "intihalcilerin" diğer hileleriyle kolayca başa çıkabilirler, ancak örneğin, belge boyunca harfleri değiştirmek, karma modelini yok eder ve böyle bir belge, dinleyici için görünmez hale gelir.

Yalnızca bu yöntemin kullanılması formlarla çalışmayı zorlaştırır. Dolayısıyla boş bir kredi başvuru formu serbestçe dağıtılabilir bir belge iken, doldurulmuş bir kredi başvuru formu kişisel veriler içerdiğinden gizlidir. Boş bir formdan parmak izi alırsanız, ele geçirilen tamamlanmış belge boş formdaki tüm bilgileri içerecektir; baskılar büyük ölçüde aynı olacaktır. Böylece sistem ya hassas bilgileri sızdıracak ya da boş formların serbestçe dağıtılmasını engelleyecek.

Bahsedilen dezavantajlara rağmen, özellikle nitelikli eleman bulamayan, "tüm gizli bilgileri bu klasöre koyun ve iyi uyuyun" ilkesiyle hareket eden işletmelerde bu yöntem yaygındır. Bu anlamda, belirli belgelerin korunmasına yönelik gereklilik, işaretlere dayalı çözümlere bir şekilde benzer, yalnızca örneklerden ayrı olarak saklanır ve dosya formatı değiştirildiğinde, dosyanın bir kısmı kopyalandığında vb. korunur. Bununla birlikte, dolaşımda yüzbinlerce belge bulunan büyük işletmeler genellikle gizli belge örneklerini sağlayamıyor çünkü Şirketin iş süreçleri bunu gerektirmiyor. Her işletmenin sahip olduğu (veya daha doğrusu sahip olması gereken) tek şey “Ticari sır niteliğindeki bilgilerin listesi”dir. Ondan örnekler yapmak önemsiz bir iştir.

Kontrollü içerik veritabanına örnek ekleme kolaylığı, genellikle kullanıcılar üzerinde acımasız bir şaka yapar. Bu, parmak izi tabanında kademeli bir artışa yol açar ve bu da sistem performansını önemli ölçüde etkiler: ne kadar çok örnek olursa, ele geçirilen her mesajın karşılaştırması da o kadar fazla olur. Her baskı orijinalin %5 ila %20'sini kapladığından, baskı veritabanı giderek büyüyor. Kullanıcılar, taban hacmi aşmaya başladığında performansta keskin bir düşüş olduğunu bildiriyor rasgele erişim belleği filtre sunucusu Genellikle sorun, belge örneklerinin düzenli olarak denetlenmesi ve güncelliğini yitirmiş veya mükerrer örneklerin kaldırılmasıyla çözülür; Kullanıcılar uygulamadan tasarruf ederek operasyondan kaybederler.

Dilsel yöntemler

Günümüzde en yaygın analiz yöntemi dilsel metin analizidir. O kadar popülerdir ki, halk arasında sıklıkla “içerik filtreleme” olarak anılır. İçerik analizi yöntemlerinin tamamının özelliklerini taşır. Sınıflandırma açısından bakıldığında hem karma analizi, hem imza analizi hem de maske analizi "içerik filtrelemedir", yani. İçerik analizine dayalı trafik filtreleme.

Adından da anlaşılacağı gibi yöntem yalnızca metinlerle çalışır. Çizimler, çizimler ve en sevdiğiniz şarkılardan oluşan bir koleksiyon şöyle dursun, yalnızca sayılar ve tarihlerden oluşan bir veritabanını korumak için kullanmayacaksınız. Ancak metinlerde bu yöntem harikalar yaratıyor.

Bir bilim olarak dilbilim, morfolojiden anlambilime kadar birçok disiplinden oluşur. Bu nedenle dilbilimsel analiz yöntemleri de birbirinden farklıdır. Yalnızca kök düzeyinde girilen, yalnızca durdurma sözcüklerini kullanan yöntemler vardır ve sistemin kendisi zaten tam bir sözlük derlemektedir; metinde bulunan terimlerin ağırlıklarının düzenlenmesi esas alınır. Dilsel yöntemlerin de istatistiklere dayanan kendi izleri vardır; örneğin bir belge alınır, en çok kullanılan elli kelime sayılır, ardından her paragrafta bunlardan en çok kullanılan 10 tanesi seçilir. Böyle bir "sözlük", metnin neredeyse benzersiz bir özelliğini temsil eder ve "klonlarda" anlamlı alıntılar bulmayı sağlar.

Dilbilimsel analizin tüm inceliklerinin analizi bu makalenin kapsamı dışındadır, bu nedenle avantaj ve dezavantajlarına odaklanacağız.

Yöntemin avantajı belge sayısına tamamen duyarsız olmasıdır; kurumsal bilgi güvenliği için ölçeklenebilirlik nadirdir. İçerik filtreleme tabanının (bir dizi temel kelime sınıfı ve kuralı), şirketteki yeni belgelerin veya süreçlerin ortaya çıkmasına bağlı olarak boyutu değişmez.

Ayrıca kullanıcılar, bu yöntemin "sözcükleri durdurma" yöntemine benzediğini, çünkü bir belge gecikirse bunun neden gerçekleştiğinin hemen anlaşıldığını belirtiyor. Parmak izine dayalı bir sistem bir belgenin diğerine benzer olduğunu bildirirse, güvenlik görevlisinin iki belgeyi kendisi karşılaştırması gerekecek ve dil analiziyle önceden işaretlenmiş içeriği alacaktır. Dil sistemleri, imza filtrelemenin yanı sıra çok yaygındır çünkü kurulumdan hemen sonra şirkette değişiklik yapmadan çalışmaya başlamanıza olanak tanır. Etiketleri düzenlemek, parmak izi almak, belgelerin envanterini çıkarmak ve bir güvenlik görevlisine özel olmayan diğer işleri yapmakla uğraşmanıza gerek yok.

Dezavantajları da aynı derecede açıktır ve ilki dile bağımlılıktır. Dili üretici tarafından desteklenen her ülkede bu bir dezavantaj değil, ancak kurumsal iletişimde tek bir dilin (örneğin İngilizce) yanı sıra yerel olarak da birçok belgeye sahip olan küresel şirketler açısından bu bir dezavantaj değildir. Her ülkedeki dillerde bu açık bir dezavantajdır.

Diğer bir dezavantaj ise, dilbilim alanında yeterlilik gerektiren II. tip hataların yüzdesinin yüksek olmasıdır (örneğin, ince ayar filtreleme bazları). Endüstri standardı veritabanları genellikle %80-85 filtreleme doğruluğu sağlar. Bu, her beş veya altıncı harften birinin yanlışlıkla ele geçirildiği anlamına gelir. Tabanın kabul edilebilir %95-97 doğruluğa ayarlanması genellikle özel eğitimli bir dil uzmanının müdahalesini gerektirir. Filtreleme tabanının nasıl ayarlanacağını öğrenmek için iki günlük boş zamana sahip olmak ve lisans düzeyinde dilde uzmanlaşmak yeterlidir. lise, güvenlik görevlisi dışında bu işi yapacak kimse yok ve o genellikle bu tür işleri çekirdek olmayan bir iş olarak görüyor. Dışarıdan bir kişiyi dahil etmek her zaman risklidir; sonuçta gizli bilgilerle çalışmak zorunda kalacaktır. Bu durumdan çıkış yolu genellikle ek bir modül satın almaktır - kendi kendine öğrenen, yanlış pozitiflerle "beslenen" ve standart endüstri tabanını otomatik olarak uyarlayan bir "oto-dil uzmanı".

Dilsel yöntemler, iş dünyasındaki müdahaleyi en aza indirmek istediklerinde, bilgi güvenliği hizmetinin belge oluşturma ve depolamaya yönelik mevcut süreçleri değiştirecek idari kaynağa sahip olmadığı durumlarda seçilir. Bahsedilen dezavantajlara rağmen her zaman ve her yerde çalışırlar.

Yanlışlıkla yapılan sızıntılar için popüler kanallar: mobil medya

InfoWatch analistleri, kazara gerçekleşen sızıntılar için en popüler kanalın mobil depolama ortamları (dizüstü bilgisayarlar, flash sürücüler, mobil iletişim cihazları vb.) olmaya devam ettiğine inanıyor; çünkü bu tür cihazların kullanıcıları genellikle veri şifreleme araçlarını ihmal ediyor.

Kazara meydana gelen sızıntıların bir başka yaygın nedeni de kağıt medyadır: kontrol edilmesi elektronik medyadan daha zordur, çünkü örneğin yazıcıdan bir sayfa çıktıktan sonra yalnızca "manuel olarak" izlenebilir: kağıt medya üzerindeki kontrol, kağıt medyadan daha zayıftır. bilgisayar bilgileri üzerinde kontrol. Birçok sızıntı koruma aracı (bunlara tam teşekküllü DLP sistemleri diyemezsiniz) yazıcıya bilgi çıkışı için kanalı kontrol etmez - gizli veriler bu şekilde kuruluştan kolayca ayrılır.

Bu sorun, yetkisiz bilgilerin yazdırma için gönderilmesini engelleyen ve uyumluluğu kontrol eden çok işlevli DLP sistemleriyle çözülebilir. posta adresi ve muhatap.

Buna ek olarak, mobil cihazların artan popülaritesi nedeniyle sızıntılara karşı koruma sağlamak önemli ölçüde karmaşıklaşıyor çünkü henüz karşılık gelen DLP istemcileri yok. Ayrıca kriptografi veya steganografi kullanıldığında sızıntının tespit edilmesi oldukça zordur. İçeriden biri, bir tür filtreyi aşmak için "en iyi uygulamalar" için her zaman İnternet'e başvurabilir. Yani DLP araçları organize kasıtlı sızıntılara karşı oldukça zayıf koruma sağlıyor.

DLP araçlarının etkinliği, bariz kusurları nedeniyle sekteye uğrayabilir: Modern sızıntı koruma çözümleri, mevcut tüm bilgi kanallarının izlenmesine ve engellenmesine izin vermez. DLP sistemleri kurumsal e-postayı, web kaynaklarının kullanımını, anlık mesajlaşmayı, harici medyayla çalışmayı, belge yazdırmayı ve sabit disklerin içeriğini izleyecektir. Ancak Skype, DLP sistemleri için kontrol edilemez durumda. Yalnızca Trend Micro bu iletişim programının işleyişini kontrol edebildiğini beyan etmeyi başardı. Geri kalan geliştiriciler, ilgili işlevselliğin güvenlik yazılımlarının bir sonraki sürümünde sağlanacağına söz veriyor.

Ancak Skype, DLP geliştiricilerine yönelik protokollerini açmayı vaat ederse, kuruluşlar için Microsoft İşbirliği Araçları gibi diğer çözümler de kullanılabilir. işbirliği, üçüncü taraf programcılara kapalı kalın. Bu kanal üzerinden bilgi aktarımı nasıl kontrol edilir? Bu arada modern dünyada, uzmanların ortak bir proje üzerinde çalışmak üzere uzaktan ekipler halinde birleştiği ve projenin tamamlanmasının ardından dağıldığı bir uygulama gelişiyor.

2010 yılının ilk yarısında gizli bilgi sızıntılarının ana kaynakları ticari (%73,8) ve devlet (%16) kuruluşları olmaya devam ediyor. Sızıntıların yaklaşık %8'i eğitim kurumlarından geliyor. Sızan gizli bilgilerin niteliği kişisel verilerdir (tüm bilgi sızıntılarının neredeyse %90'ı).

Dünyadaki sızıntıların liderleri geleneksel olarak Amerika Birleşik Devletleri ve Büyük Britanya'dır (Kanada, Rusya ve Almanya da önemli ölçüde daha düşük rakamlarla en fazla sızıntı açısından ilk beş ülke arasında yer almaktadır), bu da mevzuatın tuhaflığından kaynaklanmaktadır. Bu ülkelerdeki tüm gizli veri sızıntısı olaylarının raporlanması gerekmektedir. Infowatch analistleri gelecek yıl kazara gerçekleşen sızıntıların payında azalma, kasıtlı sızıntıların payında ise artış öngörüyor.

Uygulama zorlukları

Açıkça görülen zorluklara ek olarak, çeşitli DLP sistem sağlayıcılarının güvenliği organize etme konusunda kendi yaklaşımları olduğundan, DLP'nin uygulanması uygun bir çözüm seçmenin zorluğu nedeniyle de engellenmektedir. Bazılarının içeriği analiz etmek için patentli algoritmaları vardır. anahtar kelimeler ve birisi dijital parmak izi yöntemini önerdi. Bu koşullar altında en uygun ürün nasıl seçilir? Daha etkili olan nedir? Günümüzde DLP sistemlerinin çok az uygulaması olduğundan ve bunların kullanımına ilişkin gerçek uygulamalar (güvenilebilecek) çok daha az olduğundan, bu soruları yanıtlamak çok zordur. Ancak yine de uygulanan projeler, iş hacminin ve bütçenin yarısından fazlasının danışmanlık olduğunu gösterdi ve bu genellikle yönetim arasında büyük şüphelere neden oldu. Ayrıca kural olarak bir işletmenin mevcut iş süreçlerinin DLP gereksinimlerini karşılayacak şekilde yeniden yapılandırılması gerekir ve şirketler bunu zorlukla gerçekleştirir.

DLP'nin uygulanması mevcut düzenleme gerekliliklerini karşılamanıza nasıl yardımcı olur? Batı'da DLP sistemlerinin uygulanması yasalar, standartlar, endüstri gereklilikleri ve diğer düzenlemelerle motive edilmektedir. Uzmanlara göre, özel çözümlerin uygulanması düzenleyici kurumların iddialarını ortadan kaldırdığından, yurt dışında mevcut gereksinimlerin sağlanmasına yönelik açık yasal gereklilikler ve yönergeler, DLP pazarının gerçek itici gücüdür. Bizim bu alandaki durumumuz tamamen farklı olup, DLP sistemlerinin devreye alınması hukuka uyum konusunda yardımcı olmamaktadır.

DLP'nin kurumsal bir ortamda uygulanması ve kullanılması için belirli bir teşvik, şirketin ticari sırlarını koruma ve "Ticari Sırlar Hakkında" federal yasanın gerekliliklerine uyma ihtiyacı olabilir.

Hemen hemen her işletme “Ticari Sırlara İlişkin Yönetmelik” ve “Ticari Sır Oluşturan Bilgiler Listesi” gibi belgeleri benimsemiştir ve bunların gerekliliklerine uyulması gerekmektedir. “Ticari Sırlar Kanunu” (98-FZ) yasasının işe yaramadığı yönünde bir görüş var, ancak şirket yöneticileri ticari sırlarını korumanın kendileri için önemli ve gerekli olduğunun bilincindeler. Üstelik bu farkındalık, “Kişisel Veriler Kanunu”nun (152-FZ) öneminin anlaşılmasından çok daha yüksektir ve herhangi bir yöneticinin, gizli belge akışının uygulanmasının gerekliliğini açıklaması, koruma hakkında konuşmaktan çok daha kolaydır. kişisel verilerden oluşur.

Ticari sırların korunmasını otomatikleştirme süreçlerinde DLP kullanımını engelleyen nedir? Rusya Federasyonu Medeni Kanunu'na göre, ticari sırların korunması rejimini uygulamak için yalnızca bilgilerin bir miktar değere sahip olması ve uygun listede yer alması gerekir. Bu durumda bu tür bilgilerin sahibinin gizli bilgilerin korunmasına yönelik tedbirleri alması kanunen zorunludur.

Aynı zamanda DLP'nin tüm sorunları çözemeyeceği de aşikar. Özellikle gizli bilgilerin üçüncü şahıslara erişimini kapsamaktadır. Ancak bunun için başka teknolojiler de var. Birçok modern DLP çözümü bunlarla entegre olabilir. Daha sonra bu teknolojik zinciri kurarken ticari sırların korunmasına yönelik bir çalışma sistemi elde edilebilir. Böyle bir sistem işletmeler için daha anlaşılır olacak ve işletmeler kaçak koruma sisteminin müşterisi gibi hareket edebilecektir.

Rusya ve Batı

Analistlere göre Rusya'nın güvenliğe karşı farklı bir tutumu ve DLP çözümleri sağlayan şirketlerin olgunluk düzeyi farklı. Rusya pazarı güvenlik uzmanlarına ve son derece uzmanlaşmış sorunlara odaklanmıştır. Veri sızıntısını önlemeyle ilgilenen kişiler her zaman hangi verilerin değerli olduğunu anlamazlar. Rusya'nın güvenlik sistemlerini organize etme konusunda "militarist" bir yaklaşımı var: güvenlik duvarlarıyla güçlü bir çevre ve sızmayı önlemek için her türlü çaba gösteriliyor.

Peki ya bir şirket çalışanı, görevlerini yerine getirmek için gerekli olmayan miktarda bilgiye erişime sahipse? Öte yandan Batı'da son 10-15 yılda oluşan yaklaşıma bakıldığında bilginin değerine daha fazla önem verildiğini söyleyebiliriz. Kaynaklar bilginin tamamına değil, değerli bilginin olduğu yere yönlendirilir. Belki de Batı ile Rusya arasındaki en büyük kültürel fark budur. Ancak analistler durumun değiştiğini söylüyor. Bilgi bir iş varlığı olarak algılanmaya başlıyor ve bu değişim biraz zaman alacak.

Kapsamlı bir çözüm yok

Henüz hiçbir üretici %100 sızıntı koruması geliştirmedi. Bazı uzmanlar DLP ürünlerinin kullanımıyla ilgili sorunları şu şekilde formüle ediyor: DLP sistemlerinde kullanılan sızıntılarla mücadele deneyiminin etkin kullanımı, sızıntılara karşı korumayı sağlamak için önemli çalışmaların müşteri tarafında yapılması gerektiğinin anlaşılmasını gerektirir, çünkü kimse bilmiyor kendilerine ait bilgi akışı müşteriden daha iyidir.

Diğerleri sızıntılara karşı korunmanın imkansız olduğuna inanıyor: bilgi sızıntılarını önlemek imkansız. Bilginin birileri için değeri olduğundan er ya da geç alınacaktır. Yazılım bu bilginin elde edilmesini daha maliyetli ve zaman alıcı hale getirebilir. Bu, bilgiye sahip olmanın faydasını ve onun alaka düzeyini önemli ölçüde azaltabilir. Bu, DLP sistemlerinin verimliliğinin izlenmesi gerektiği anlamına gelir.

»

giriiş

İnceleme, DLP çözümleri pazarıyla ilgilenen herkese ve her şeyden önce şirketleri için doğru DLP çözümünü seçmek isteyenlere yöneliktir. İnceleme, DLP sistemleri pazarını terimin geniş anlamıyla inceliyor ve şunları sağlıyor: Kısa Açıklama dünya pazarı ve daha ayrıntılı olarak Rusya segmenti.

Değerli verileri korumaya yönelik sistemler başlangıcından bu yana mevcuttur. Yüzyıllar boyunca bu sistemler insanlıkla birlikte gelişmiş ve gelişmiştir. Bilgisayar çağının başlaması ve uygarlığın sanayi sonrası döneme geçişiyle birlikte bilgi giderek devletlerin, kuruluşların ve hatta bireylerin temel değeri haline geldi. Ve bilgisayar sistemleri onu depolamak ve işlemek için ana araç haline geldi.

Devletler her zaman sırlarını korumuşlardır, ancak devletlerin kural olarak pazarın oluşumunu etkilemeyen kendi araç ve yöntemleri vardır. Post-endüstriyel çağda, bankalar ve diğer finansal kurumlar, değerli bilgilerin bilgisayardan sızdırılmasının sık sık kurbanı haline geldi. Küresel bankacılık sistemi, bilgilerinin yasal olarak korunmasına ihtiyaç duyan ilk sistem oldu. Mahremiyetin korunması ihtiyacı tıpta da kabul edilmiştir. Sonuç olarak, örneğin ABD'de Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Sarbanes-Oxley Yasası (SOX) kabul edildi ve Basel Bankacılık Denetim Komitesi, "Basel Anlaşmaları" adı verilen bir dizi tavsiye yayınladı. Bu tür adımlar, bilgisayar bilgi koruma sistemleri pazarının gelişmesine güçlü bir ivme kazandırdı. Artan talebin ardından ilk DLP sistemlerini sunan firmalar ortaya çıkmaya başladı.

DLP sistemleri nelerdir?

DLP teriminin genel kabul görmüş birkaç tanımı vardır: Veri Kaybını Önleme, Veri Sızıntısını Önleme veya Veri Sızıntısını Koruma; bunlar Rusça'ya "veri kaybını önleme", "veri sızıntısını önleme", "veri sızıntısını önleme" olarak çevrilebilir. Terim yaygınlaştı ve 2006 yılı civarında piyasada yerini aldı. Ve ilk DLP sistemleri, değerli bilgilerin sızmasını önlemenin bir yolu olarak biraz daha erken ortaya çıktı. Anahtar kelimeler veya ifadelerle ve gizli belgelerin önceden oluşturulmuş dijital "parmak izleri" ile tanımlanan bilgilerin ağ üzerinden aktarımını tespit etmek ve engellemek için tasarlandılar.

Daha fazla gelişme DLP sistemleri bir yandan olaylara, diğer yandan eyalet mevzuatına göre belirlendi. Yavaş yavaş korunma ihtiyacı çeşitli türler Tehditler, şirketleri kapsamlı güvenlik sistemleri oluşturma ihtiyacına yöneltmiştir. Şu anda geliştirilen DLP ürünleri, veri sızıntısına karşı doğrudan korumanın yanı sıra, iç ve hatta dış tehditlere karşı koruma sağlamakta, çalışanların çalışma saatlerini takip etmekte ve uzaktan çalışma da dahil olmak üzere iş istasyonlarındaki tüm hareketlerini izlemektedir.

Aynı zamanda, DLP sistemlerinin kanonik bir işlevi olan gizli verilerin aktarımının engellenmesi, geliştiricilerin bu pazara atfettiği bazı modern çözümlerde ortadan kalktı. Bu tür çözümler yalnızca kurumsal izleme için uygundur bilgi ortamı ancak terminolojinin manipülasyonu sonucunda DLP olarak anılmaya ve bu pazarı geniş anlamda ifade etmeye başladılar.

Şu anda, DLP sistemi geliştiricilerinin ana ilgi alanı, potansiyel bilgi sızıntısı kanallarının kapsamının genişliğine ve olay araştırması ve analizi için analitik araçların geliştirilmesine doğru kaymıştır. En yeni DLP ürünleri, belgelerin görüntülenmesini, yazdırılmasını ve harici ortama kopyalanmasını, iş istasyonlarında uygulamaların başlatılmasını ve bunlara harici aygıtların bağlanmasını engeller ve ele geçirilen ağ trafiğinin modern analizi, bazı tünel ve şifreli protokoller aracılığıyla bile sızıntıları tespit etmenize olanak tanır.

Modern DLP sistemleri, kendi işlevselliklerini geliştirmenin yanı sıra, çeşitli ilgili ve hatta rakip ürünlerle entegrasyon için geniş fırsatlar sağlar. Örnekler arasında proxy sunucular tarafından sağlanan ICAP protokolü için yaygın destek ve SearchInform Bilgi Güvenliği Devresinin bir parçası olan DeviceSniffer modülünün Lumension Cihaz Kontrolü ile entegrasyonu yer alıyor. DLP sistemlerinin daha da geliştirilmesi, bunların IDS/IPS ürünleri, SIEM çözümleri, belge yönetim sistemleri ve iş istasyonu korumasıyla entegrasyonuna yol açar.

DLP sistemleri veri sızıntılarını tespit etme yöntemiyle ayırt edilir:

• kullanıldığında (Kullanımdaki Veriler) - kullanıcının iş yerinde;
• iletim sırasında (Hareket Halinde Veri) - şirket ağında;
• depolama sırasında (Durgun Veri) - şirketin sunucularında ve iş istasyonlarında.

DLP sistemleri kritik belgeleri tanıyabilir:

• resmi kriterlere göre güvenilirdir, ancak belgelerin sisteme ön kaydını gerektirir;
• içerik analizi yoluyla - bu yanlış pozitif sonuçlar verebilir ancak herhangi bir belgedeki kritik bilgileri tespit etmenize olanak tanır.

Zamanla hem tehditlerin doğası hem de DLP sistemlerinin müşterilerinin ve alıcılarının yapısı değişti. Modern pazar bu sistemlere aşağıdaki gereksinimleri getirmektedir:

• veri sızıntılarını tespit etmeye yönelik çeşitli yöntemler için destek (Kullanımdaki Veri, Hareket Halindeki Veri, Duran Veri);
• tüm popüler ağ veri aktarım protokollerini destekler: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, çeşitli P2P protokolleri;
• yerleşik bir web siteleri dizininin varlığı ve bunlara iletilen trafiğin doğru şekilde işlenmesi (web postası, sosyal medya, forumlar, bloglar, iş arama siteleri vb.);
• Tünel protokollerinin desteklenmesi arzu edilir: VLAN, MPLS, PPPoE ve benzerleri;
• güvenli SSL/TLS protokollerinin şeffaf kontrolü: HTTPS, FTPS, SMTPS ve diğerleri;
• VoIP telefon protokolleri desteği: SIP, SDP, H.323, T.38, MGCP, SKINNY ve diğerleri;
• hibrit analizin varlığı - değerli bilgilerin tanınmasına yönelik çeşitli yöntemlerin desteklenmesi: biçimsel özelliklere göre, anahtar kelimelere göre, içeriği morfolojik analize dayalı olarak düzenli bir ifadeyle eşleştirerek;
• İletimi kritik olarak seçici olarak bloke etme yeteneği arzu edilir önemli bilgi gerçek zamanlı olarak herhangi bir kontrollü kanal aracılığıyla; seçici engelleme (bireysel kullanıcılar, gruplar veya cihazlar için);
• Kritik belgeler üzerindeki kullanıcı eylemlerinin kontrol edilebilmesi arzu edilir: görüntüleme, yazdırma, harici ortama kopyalama;
• İle çalışmak için ağ protokollerini kontrol edebilmek arzu edilir. posta sunucuları Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync vb. protokolleri kullanarak mesajları gerçek zamanlı olarak analiz etmek ve engellemek için: (MAPI, S/MIME, NNTP, SIP, vb.);
• ses trafiğinin dinlenmesi, kaydedilmesi ve tanınması arzu edilir: Skype, IP telefonu, Microsoft Lync;
• Grafik tanıma (OCR) ve içerik analiz modülünün kullanılabilirliği;
• birden çok dilde belge analizi desteği;
• Olay soruşturmasını kolaylaştırmak için ayrıntılı arşivler ve günlükler tutmak;
• Olayları ve bunların bağlantılarını analiz etmek için geliştirilmiş araçlara sahip olmak arzu edilir;
• Grafiksel raporlar da dahil olmak üzere çeşitli raporlar oluşturma yeteneği.

Yeni geliştirme trendleri sayesinde Bilişim Teknolojileri DLP ürünlerinin yeni fonksiyonları da talep görmeye başladı. Sanallaştırmanın kurumsal bilgi sistemlerinde kullanımının yaygınlaşmasıyla birlikte DLP çözümlerinde de desteklenmesine ihtiyaç duyulmaktadır. Mobil cihazların bir iş aracı olarak yaygın kullanımı, mobil DLP'nin ortaya çıkmasını teşvik etti. Hem kurumsal hem de halka açık "bulutların" oluşturulması, DLP sistemleri de dahil olmak üzere bunların korunmasını gerektiriyordu. Ve mantıksal bir devamı olarak, “bulut” bilgi güvenliği hizmetlerinin (hizmet olarak güvenlik - SECaaS) ortaya çıkmasına yol açtı.

DLP sisteminin çalışma prensibi

Modern bir bilgi sızıntısı koruma sistemi, kural olarak, çok sayıda modülden oluşan dağıtılmış bir yazılım ve donanım kompleksidir. çeşitli amaçlar için. Modüllerin bir kısmı tahsis edilmiş sunucularda, bir kısmı şirket çalışanlarının iş istasyonlarında, bir kısmı da güvenlik görevlilerinin iş istasyonlarında çalışmaktadır.

Veritabanı gibi modüller ve bazen de bilgi analizi modülleri için özel sunucular gerekebilir. Bu modüller aslında temeldir ve hiçbir DLP sistemi onlarsız yapamaz.

Kontrol kurallarından çeşitli bilgileri depolamak için bir veritabanına ihtiyaç vardır. detaylı bilgi olaylar hakkında ve belirli bir süre boyunca sistemin görüşüne çıkan tüm belgelerle sonlandırılması. Bazı durumlarda sistem, belirli bir süre içinde ele geçirilen tüm şirket ağ trafiğinin bir kopyasını bile saklayabilir.

Bilgi analizi modülleri, diğer modüller tarafından çeşitli kaynaklardan alınan metinlerin analiz edilmesinden sorumludur: ağ trafiği, şirket içindeki herhangi bir bilgi depolama cihazındaki belgeler. Bazı sistemler görüntülerden metin çıkarma ve çekilen görüntüleri tanıma özelliğine sahiptir. sesli mesajlar. Analiz edilen tüm metinler önceden tanımlanmış kurallarla karşılaştırılır ve bir eşleşme bulunduğunda buna göre işaretlenir.

Çalışanların eylemlerini izlemek için iş istasyonlarına özel ajanlar kurulabilir. Böyle bir aracı, işine kullanıcı müdahalesinden korunmalıdır (pratikte bu her zaman böyle değildir) ve hem eylemlerini pasif olarak izleyebilir hem de şirketin güvenlik politikası tarafından kullanıcıya yasaklananlara aktif olarak müdahale edebilir. Kontrollü eylemlerin listesi, kullanıcı oturum açma/çıkış yapma ve USB aygıtlarını bağlama ile sınırlı olabilir ve ağ protokollerinin ele geçirilmesi ve engellenmesini, belgelerin herhangi bir harici ortama gölge kopyalanmasını, belgelerin yerel ve ağ yazıcılarına yazdırılmasını, bilgilerin Wi-Fi aracılığıyla aktarılmasını içerebilir. Fi ve Bluetooth Ve çok daha fazlası. Bazı DLP sistemleri tüm tuş vuruşlarını kaydetme (tuş kaydetme) ve ekran görüntülerini (ekran görüntüleri) kaydetme kapasitesine sahiptir, ancak bu genel kabul görmüş uygulamaların kapsamı dışındadır.

Tipik olarak bir DLP sistemi, sistemin çalışmasını izlemek ve yönetmek için tasarlanmış bir kontrol modülü içerir. Bu modül, diğer tüm sistem modüllerinin performansını izlemenize ve yapılandırmanıza olanak tanır.

Bir güvenlik analistinin işini daha rahat hale getirmek için DLP sistemi, şirketin güvenlik politikasını yapılandırmanıza, ihlallerini izlemenize, bunlar hakkında ayrıntılı bir araştırma yapmanıza ve gerekli raporlamayı oluşturmanıza olanak tanıyan ayrı bir modüle sahip olabilir. İşin garibi, modern bir DLP sisteminde, diğer her şey eşit olduğunda, olayları analiz edebilme, tam teşekküllü bir soruşturma yürütebilme ve raporlama yeteneği ön plana çıkıyor.

Küresel DLP pazarı

DLP sistemleri pazarı bu yüzyılda şekillenmeye başladı. Yazının başında da belirttiğimiz gibi “DLP” kavramı 2006 yılı civarında yaygınlaştı. DLP sistemleri oluşturan en fazla sayıda şirket Amerika Birleşik Devletleri'nde ortaya çıktı. Bu çözümlere en büyük talep ve böyle bir işin yaratılması ve geliştirilmesi için uygun bir ortam vardı.

DLP sistemleri oluşturmaya başlayan ve bu konuda önemli başarılar elde eden şirketlerin neredeyse tamamı satın alındı ​​veya absorbe edildi, ürün ve teknolojileri daha büyük şirketlere entegre edildi. Bilgi sistemi. Örneğin Symantec, Vontu'yu (2007) satın aldı, Websense, PortAuthority Technologies Inc.'i satın aldı. (2007), EMC Corp. RSA Security'yi (2006) satın aldı ve McAfee bir dizi şirketi bünyesine kattı: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

Şu anda dünyanın önde gelen DLP sistemleri üreticileri şunlardır: Symantec Corp., RSA (EMC Corp.'un bir bölümü), Verdasys Inc., Websense Inc. (2013'te özel şirket Vista Equity Partners tarafından satın alındı), McAfee (2011'de Intel tarafından satın alındı). Fidelis Siber Güvenlik Çözümleri (2012 yılında General Dynamics tarafından satın alındı), CA Technologies ve GTB Technologies pazarda önemli bir rol oynuyor. Bölümlerden birinde, pazardaki konumlarının açık bir örneği, analitik şirketi Gartner'ın 2013 sonundaki sihirli çeyreği olabilir (Şekil 1).

Şekil 1. DağılımpozisyonlarVeri Kaybını Önleme-Dünya pazarındaki sistemlerİleGartner'ın

Rusya DLP pazarı

Rusya'da DLP sistemleri pazarı, dünya pazarıyla neredeyse aynı anda ancak kendine has özellikleriyle oluşmaya başladı. Bu, olaylar ortaya çıktıkça ve bunlarla baş etmeye çalışıldıkça yavaş yavaş gerçekleşti. Jet Infosystems, Rusya'da 2000 yılında DLP çözümü geliştirmeye başlayan ilk şirketti (ilk başta bir posta arşiviydi). Kısa bir süre sonra, 2003 yılında Kaspersky Lab'in bir yan kuruluşu olarak InfoWatch kuruldu. Diğer oyuncular için kuralları belirleyen şey bu iki şirketin kararlarıydı. Bunlara kısa bir süre sonra Perimetrix, SearchInform, DeviceLock, SecureIT (2011'de adı Zecurion olarak değiştirildi) şirketleri dahil edildi. Devlet, bilgilerin korunmasına ilişkin yasal düzenlemeler oluşturduğundan (Rusya Federasyonu Medeni Kanunu, Madde 857 “Bankacılık Gizliliği”, 395-1-FZ “Bankalar ve bankacılık", 98-FZ "Ticari Sırlar Hakkında", 143-FZ "Medeni Durum İşlemleri Hakkında", 152-FZ "Kişisel Veriler Hakkında" ve diğerleri, toplamda yaklaşık 50 tür sır), koruma araçlarına olan ihtiyaç arttı ve DLP sistemlerine olan talep arttı. Ve birkaç yıl sonra geliştiricilerin "ikinci dalgası" piyasaya çıktı: Falcongaze, MFI Soft, Trafica. Bu şirketlerin hepsinin DLP alanında çok daha erken gelişmelere sahip olduğunu, ancak piyasada nispeten yakın zamanda yenilerinin ortaya çıkmaya başladığını belirtmekte fayda var. Örneğin, MFI Soft şirketi DLP çözümünü 2005 yılında geliştirmeye başladı ve kendisini yalnızca 2011 yılında piyasaya duyurdu.

Daha sonra bile Rusya pazarı yabancı şirketlerin de ilgisini çekmeye başladı. 2007-2008 yıllarında Symantec, Websense ve McAfee ürünleri kullanımımıza sunuldu. Daha yakın zamanda, 2012 yılında GTB Technologies, çözümlerini pazarımıza sundu. Diğer dünya pazarı liderleri de Rusya pazarına girme girişimlerinden vazgeçmiyorlar, ancak şu ana kadar gözle görülür sonuçlar elde edilemedi. Son yıllarda, Rusya DLP pazarı birkaç yıldır istikrarlı bir büyüme gösteriyor (yılda %40'ın üzerinde), bu da yeni yatırımcıların ve geliştiricilerin ilgisini çekiyor. Örnek olarak, 2008'den beri dahili amaçlar için bir DLP sisteminin unsurlarını geliştiren Iteranet şirketini, daha sonra kurumsal müşteriler için adlandırabiliriz. Şirket şu anda Business Guardian çözümünü Rus ve yabancı alıcılara sunuyor.

Şirket 2003 yılında Kaspersky Lab'den ayrıldı. InfoWatch, 2012 yılı sonunda Rusya DLP pazarının üçte birinden fazlasını işgal ediyordu. InfoWatch, orta ölçekli işletmelerden büyük şirketlere ve devlet kurumlarına kadar müşterilere çok çeşitli DLP çözümleri sunmaktadır. Piyasadaki en popüler çözüm InfoWatch Traffic Monitor'dür. Çözümlerinin ana avantajları: gelişmiş işlevsellik, benzersiz patentli trafik analiz teknolojileri, hibrit analiz, birden fazla dil desteği, yerleşik web kaynakları dizini, ölçeklenebilirlik, çok sayıda Farklı endüstriler için önceden tanımlanmış konfigürasyonlar ve politikalar. InfoWatch çözümünün ayırt edici özellikleri; tek yönetim konsolu, şüpheli çalışanların hareketlerini izleme, sezgisel arayüz, Boolean cebirini kullanmadan güvenlik politikaları oluşturma, kullanıcı rolleri oluşturma (güvenlik görevlisi, şirket yöneticisi, İK direktörü vb.). Dezavantajları: İş istasyonlarındaki kullanıcı eylemleri üzerinde kontrol eksikliği, InfoWatch Traffic Monitor orta ölçekli işletmeler için ağırdır, maliyeti yüksektir.

Şirket 1991 yılında kuruldu ve bugün Rusya DLP pazarının temel direklerinden biridir. Şirket başlangıçta kuruluşları dış tehditlerden korumak için sistemler geliştirdi ve DLP pazarına girmesi mantıklı bir adımdı. Jet Infosystems şirketi, sistem entegrasyon hizmetleri sağlayan ve kendi yazılımını geliştiren Rusya bilgi güvenliği pazarında önemli bir oyuncudur. Özellikle Dozor-Jet'in kendi DLP çözümü. Başlıca avantajları: ölçeklenebilirlik, yüksek performans, Büyük Veri ile çalışma yeteneği, geniş bir önleyici seti, yerleşik bir web kaynakları dizini, hibrit analiz, optimize edilmiş bir depolama sistemi, aktif izleme, "boşlukta" çalışma, Olayların hızlı aranması ve analizi için araçlar, gelişmiş teknik Destek bölgeler de dahil. Kompleks ayrıca SIEM, BI, MDM, Güvenlik İstihbaratı, Sistem ve Ağ Yönetimi sınıflarındaki sistemlerle entegrasyon yeteneğine de sahiptir. Bizim kendi bilgi birikimimiz, olayları araştırmak için tasarlanmış “Dosya” modülüdür. Dezavantajları: İş istasyonları için aracıların yetersiz işlevselliği, kullanıcı eylemleri üzerinde zayıf kontrol gelişimi, çözüm yalnızca büyük şirketlere yöneliktir, yüksek maliyet.

1994 yılında bilgi güvenliği yazılımı üreticisi olarak faaliyetine başlayan bir Amerikan şirketi. 1996 yılında personelin internetteki hareketlerini izlemeye yönelik ilk özel geliştirmesi olan İnternet Tarama Sistemi'ni piyasaya sürdü. Daha sonra şirket bilgi güvenliği alanında çalışmalarına devam ederek yeni segmentler geliştirerek ürün ve hizmet yelpazesini genişletti. Şirket, 2007 yılında PortAuthority'yi satın alarak DLP pazarındaki konumunu güçlendirdi. 2008 yılında Websense Rusya pazarına girdi. Şirket şu anda gizli veri sızıntılarına karşı koruma sağlamak için kapsamlı bir ürün olan Websense Triton'u sunuyor. dış görünümler tehditler. Ana avantajlar: birleşik mimari, performans, ölçeklenebilirlik, çoklu dağıtım seçenekleri, önceden tanımlanmış politikalar, gelişmiş raporlama ve olay analizi araçları. Dezavantajları: Bir dizi IM protokolü için destek yok, Rus dilinin morfolojisi için destek yok.

Symantec Corporation, DLP çözümleri pazarında tanınmış bir küresel liderdir. Bu, büyük bir DLP sistemi üreticisi olan Vontu'nun 2007 yılında satın alınmasından sonra gerçekleşti. Symantec DLP, 2008 yılından bu yana resmi olarak Rusya pazarında temsil edilmektedir. 2010 yılı sonunda Symantec, DLP ürününü pazarımıza yerelleştiren ilk yabancı şirket oldu. Bu çözümün ana avantajları şunlardır: güçlü işlevsellik, çok sayıda analiz yöntemi, kontrollü herhangi bir kanaldan sızıntıları engelleme yeteneği, yerleşik bir web sitesi dizini, ölçeklendirme yeteneği, iş istasyonu düzeyinde olayları analiz etmek için geliştirilmiş bir aracı. , zengin uluslararası uygulama deneyimi ve diğer Symantec ürünleriyle entegrasyon. Sistemin dezavantajları arasında yüksek maliyet ve bazı popüler IM protokolleri için kontrol özelliklerinin olmayışı yer almaktadır.

Bu Rus şirketi 2007 yılında bilgi güvenliği araçları geliştiricisi olarak kuruldu. Falcongaze SecureTower çözümünün ana avantajları: kurulum ve konfigürasyon kolaylığı, kullanıcı dostu arayüz, daha fazla sayıda veri iletim kanalının kontrolü, gelişmiş bilgi analiz araçları, çalışanların iş istasyonlarındaki eylemlerini izleme yeteneği (masaüstü ekran görüntülerinin görüntülenmesi dahil), personel ilişkilerinin grafik analizörü, ölçeklenebilirlik, hızlı arama Ele geçirilen verilere dayalı, çeşitli kriterlere dayalı görsel raporlama sistemi.

Dezavantajları: Ağ geçidi seviyesinde bir boşlukta çalışmaya yönelik bir hüküm yoktur, gizli verilerin (yalnızca SMTP, HTTP ve HTTPS) aktarımını engellemeye yönelik sınırlı yetenekler, kurumsal ağda gizli verileri aramaya yönelik bir modülün bulunmaması.

2005 yılında kurulan Amerikan şirketi. Bilgi güvenliği alanında kendi geliştirdiği gelişmeler sayesinde büyük bir gelişme potansiyeline sahiptir. 2012 yılında Rusya pazarına girerek birçok kurumsal projeyi başarıyla hayata geçirdi. Çözümlerinin avantajları: yüksek işlevsellik, çoklu protokollerin ve olası veri sızıntısı kanallarının kontrolü, orijinal patentli teknolojiler, modülerlik, IRM ile entegrasyon. Dezavantajları: kısmi Rusça yerelleştirmesi, Rusça belgelerinin olmaması, morfolojik analiz eksikliği.

Rus şirketi 1999 yılında sistem entegratörü olarak kuruldu. 2013 yılında holding olarak yeniden düzenlendi. Faaliyet alanlarından biri de bilgi güvenliğine yönelik geniş bir hizmet ve ürün yelpazesinin sağlanmasıdır. Şirketin ürünlerinden biri de kendi tasarımı olan Business Guardian DLP sistemidir.

Avantajları: yüksek hız bilgi işleme, modülerlik, bölgesel ölçeklenebilirlik, 9 dilde morfolojik analiz, çok çeşitli tünel protokolleri desteği.

Dezavantajları: bilgi aktarımını engelleme konusunda sınırlı yetenekler (yalnızca MS Exchange, MS ISA/TMG ve Squid eklentileri tarafından desteklenir), şifreli ağ protokolleri için sınırlı destek.

MFI Soft, bilgi güvenliği sistemleri geliştiren bir Rus şirketidir. Geçmişte şirket telekom operatörlerine yönelik karmaşık çözümlerde uzmanlaşmıştır, bu nedenle veri işleme hızına, hata toleransına ve verimli depolamaya büyük önem vermektedir. MFI Soft, 2005 yılından bu yana bilgi güvenliği alanında gelişme göstermektedir. Şirket, büyük ve orta ölçekli işletmeleri hedefleyen Garda Enterprise tarımsal sanayi kompleksinin DLP sistemini piyasaya sunuyor. Sistemin avantajları: dağıtım ve yapılandırma kolaylığı, yüksek performans, algılama kuralları için esnek ayarlar (tüm trafiği kaydetme yeteneği dahil), iletişim kanallarını izlemeye yönelik kapsamlı yetenekler (VoIP telefonu, P2P ve tünellemeyi içeren standart sete ek olarak) protokoller). Dezavantajları: belirli türdeki raporların eksikliği, bilgi aktarımını engelleme yeteneğinin olmaması ve kurumsal ağda gizli bilgilerin saklanacağı yerlerin aranması.

1995 yılında kurulan ve başlangıçta bilgi depolama ve almaya yönelik teknolojilerin geliştirilmesinde uzmanlaşmış bir Rus şirketi. Daha sonra şirket bilgi güvenliği alanındaki tecrübe ve gelişmeleri uygulayarak “Bilgi Güvenliği Devresi” adı verilen bir DLP çözümü oluşturdu. Bu çözümün avantajları: iş istasyonlarındaki trafiği yakalama ve olayları analiz etme, çalışanların çalışma süresini izleme, modülerlik, ölçeklenebilirlik, gelişmiş arama araçları, işlem hızı için kapsamlı yetenekler arama sorguları, çalışan bağlantı grafiği, kendi patentli arama algoritması “Benzerini ara”, kendi Eğitim merkezi müşterilerin analistlerini ve teknik uzmanlarını eğitmek için. Dezavantajları: bilgi aktarımını engelleme konusunda sınırlı yetenekler, tek bir yönetim konsolunun olmaması.

1996 yılında kurulan ve DLP ve EDPC çözümlerinin geliştirilmesinde uzmanlaşmış bir Rus şirketi. Şirket, 2011 yılında DLP üreticisi kategorisine geçerek, dünyaca ünlü DeviceLock çözümüne EDPC kategorisinde (Windows iş istasyonlarındaki cihazların ve portların kontrolü) ağ kanallarının kontrolünü ve içerik analizi ve filtreleme teknolojilerini sağlayan bileşenleri ekledi. Bugün DeviceLock DLP, tüm veri sızıntısı tespit yöntemlerini (DiM, DiU, DaR) uygulamaktadır. Avantajları: esnek mimari ve modüler lisanslama, DLP politikalarının kurulum ve yönetim kolaylığı, dahil. başından sonuna kadar grup politikaları AD, mobil cihazların izlenmesi için orijinal patentli teknolojiler, sanallaştırılmış ortamlar için destek, Windows ve Mac OS için aracıların kullanılabilirliği, dışarıdaki mobil çalışanların tam kontrolü Şirket ağı, yerleşik OCR modülü (diğer şeylerin yanı sıra, veri depolama konumlarını tararken kullanılır). Dezavantajları: Linux için bir DLP aracısının olmaması; aracının Mac bilgisayarlara yönelik sürümü yalnızca bağlamsal kontrol yöntemlerini uygular.

Ağ trafiğinin derinlemesine analizine yönelik teknolojiler (Derin Paket Denetimi - DPI) konusunda uzmanlaşmış genç bir Rus şirketi. Şirket, bu teknolojilere dayanarak Monitorium adı verilen kendi DLP sistemini geliştiriyor. Sistemin avantajları: kurulum ve konfigürasyon kolaylığı, kullanışlı kullanıcı arayüzü, politika oluşturma için esnek ve sezgisel mekanizma, küçük şirketler için bile uygundur. Dezavantajları: sınırlı analiz yetenekleri (hibrit analiz yok), iş istasyonu düzeyinde sınırlı kontrol yetenekleri, gizli bilgilerin izinsiz kopyalarının kurumsal ağda depolandığı yerleri arama yeteneğinin olmaması.

sonuçlar

DLP ürünlerinin daha da geliştirilmesi, ilgili alanlardaki ürünlerle konsolidasyon ve entegrasyon yönündedir: personel kontrolü, dış tehditlere karşı koruma ve bilgi güvenliğinin diğer bölümleri. Aynı zamanda neredeyse tüm şirketler, DLP sisteminin kurulum kolaylığı ve kullanım kolaylığının karmaşık ve güçlü işlevsellikten daha önemli olduğu küçük ve orta ölçekli işletmeler için ürünlerinin hafif versiyonlarını oluşturmaya çalışıyor. Ayrıca mobil cihazlar için DLP, sanallaştırma teknolojileri desteği ve bulutlarda SECaaS geliştirmeleri de devam ediyor.

Tüm söylenenleri göz önünde bulundurarak küresel ve özellikle Rusya DLP pazarlarının hızlı gelişiminin yeni yatırımları ve yeni şirketleri çekeceğini varsayabiliriz. Bu da sunulan DLP ürün ve hizmetlerinin nicelik ve kalitesinin daha da artmasına yol açacaktır.