Internet Windows Android
Extinde
Acasă

Comparația sistemelor DLP. Sisteme DLP - ce este? Alegerea unui sistem DLP Structuri de containere în securitatea informației

În zilele noastre, puteți auzi adesea despre tehnologii precum sistemele DLP. Ce este și unde se folosește? Acesta este un software conceput pentru a preveni pierderea datelor prin detectarea posibilelor încălcări în timpul trimiterii și filtrarii datelor. În plus, astfel de servicii monitorizează, detectează și blochează când este utilizat, când se mișcă (trafic de rețea) și când este stocat.

De regulă, scurgerea datelor confidențiale are loc din cauza utilizatorilor neexperimentați care lucrează cu echipamente sau este rezultatul unor acțiuni rău intenționate. Astfel de informații sub formă de informații private sau corporative, proprietate intelectuală (IP), informații financiare sau medicale, informații despre cardul de credit și altele asemenea necesită securitatea sporită pe care o poate oferi tehnologia informațională modernă.

Termenii „pierdere de date” și „scurgere de date” sunt legați și sunt adesea folosiți interschimbabil, deși sunt ușor diferiți. Cazurile de pierdere de informații se transformă în scurgerea acesteia atunci când sursa care conține informații confidențiale dispare și, ulterior, ajunge la o parte neautorizată. Cu toate acestea, scurgerea de date este posibilă fără pierderi.

Categorii DLP

Instrumentele tehnologice utilizate pentru combaterea scurgerilor de date pot fi împărțite în următoarele categorii: măsuri de securitate standard, măsuri inteligente (avansate), control acces și criptare, precum și sisteme DLP specializate (care sunt descrise în detaliu mai jos).

Măsuri standard

Măsurile standard de securitate, cum ar fi sistemele de detectare a intruziunilor (IDS) și software-ul antivirus, sunt mecanisme comune disponibile care țin computerele în siguranță de atacurile din exterior, precum și de atacurile din interior. Conectarea unui firewall, de exemplu, împiedică accesul persoanelor neautorizate la rețeaua internă, iar un sistem de detectare a intruziunilor detectează încercările de intruziune. Atacurile din interior pot fi prevenite prin scanări antivirus care detectează instalate pe PC care trimit informații confidențiale, precum și prin utilizarea serviciilor care funcționează într-o arhitectură client-server fără date personale sau confidențiale stocate pe computer.

Măsuri suplimentare de securitate

Măsurile de securitate suplimentare folosesc servicii foarte specializate și algoritmi de sincronizare pentru a detecta accesul anormal la date (adică baze de date sau sisteme de recuperare a informațiilor) sau schimburile anormale de e-mail. În plus, astfel de tehnologii informaționale moderne detectează programe și solicitări care vin cu intenții rău intenționate și efectuează verificări profunde asupra sistemelor informatice (de exemplu, recunoașterea tastelor sau a sunetelor difuzoarelor). Unele dintre aceste servicii sunt chiar capabile să monitorizeze activitatea utilizatorului pentru a detecta accesul neobișnuit la date.

Sisteme DLP proiectate personalizat - ce este?

Conceput pentru securitatea informațiilor, soluțiile DLP sunt folosite pentru a detecta și a preveni încercările neautorizate de a copia sau transfera date sensibile (intenționat sau neintenționat) fără permisiunea sau accesul, de obicei de la utilizatorii care au dreptul de a accesa date confidențiale.

Pentru a clasifica anumite informații și a reglementa accesul la acestea, aceste sisteme folosesc mecanisme precum potrivirea exactă a datelor, amprentarea structurată, acceptarea regulilor și a expresiilor regulate, publicarea frazelor de cod, definiții conceptuale și cuvinte cheie. Tipurile și compararea sistemelor DLP pot fi reprezentate după cum urmează.

Network DLP (cunoscut și ca data-in-motion sau DiM)

De regulă, este o soluție hardware sau software care este instalată în punctele de rețea care provin din apropierea perimetrului. Acesta analizează traficul de rețea pentru a detecta datele sensibile trimise cu încălcarea

Endpoint DLP (date la utilizare )

Astfel de sisteme funcționează pe stațiile de lucru ale utilizatorilor finali sau pe servere din diferite organizații.

Ca și în cazul altor sisteme de rețea, un punct final se poate adresa atât comunicațiilor interne, cât și externe și, prin urmare, poate fi utilizat pentru a controla fluxul de informații între tipuri sau grupuri de utilizatori (de exemplu, „firewall-uri”). De asemenea, sunt capabili să monitorizeze e-mailul și mesageria instantanee. Acest lucru se întâmplă după cum urmează - înainte ca mesajele să fie descărcate pe dispozitiv, acestea sunt verificate de serviciu, iar dacă conțin o solicitare nefavorabilă, sunt blocate. Ca urmare, acestea devin netrimite și nu sunt supuse regulilor de păstrare a datelor pe dispozitiv.

Sistemul DLP (tehnologia) are avantajul că poate controla și gestiona accesul la dispozitive de tip fizic (de exemplu, dispozitive mobile cu capacități de stocare) și uneori să acceseze informații înainte de a fi criptate.

Unele sisteme bazate pe puncte finale pot oferi, de asemenea, controlul aplicațiilor pentru a bloca încercările de a transmite informații sensibile, precum și pentru a oferi feedback imediat utilizatorului. Cu toate acestea, au dezavantajul că trebuie instalate pe fiecare stație de lucru din rețea și nu pot fi utilizate pe dispozitive mobile (de exemplu, telefoane mobile și PDA-uri) sau acolo unde nu pot fi instalate practic (de exemplu, la o stație de lucru dintr-un Internet cafe) . Această circumstanță trebuie luată în considerare atunci când alegeți un sistem DLP pentru orice scop.

Identificarea datelor

Sistemele DLP includ mai multe metode care vizează identificarea informațiilor secrete sau confidențiale. Uneori, acest proces este confundat cu decriptarea. Cu toate acestea, identificarea datelor este procesul prin care organizațiile folosesc tehnologia DLP pentru a determina ce să caute (în mișcare, în repaus sau în uz).

Datele sunt clasificate ca structurate sau nestructurate. Primul tip este stocat în câmpuri fixe dintr-un fișier (cum ar fi foile de calcul), în timp ce nestructurat se referă la text cu formă liberă (sub formă de documente text sau PDF).

Experții estimează că 80% din toate datele sunt nestructurate. În consecință, 20% sunt structurate. bazată pe analiza de conținut concentrată pe informații structurate și pe analiza contextuală. Se realizează la locul creării aplicației sau sistemului din care provin datele. Astfel, răspunsul la întrebarea „Sisteme DLP - ce este?” va servi drept definiție a algoritmului de analiză a informațiilor.

Metode utilizate

Metodele de descriere a conținutului sensibil astăzi sunt numeroase. Ele pot fi împărțite în două categorii: exacte și inexacte.

Metodele exacte sunt cele care au legătură cu analiza conținutului și practic anulează răspunsurile fals pozitive la interogări.

Toate celelalte sunt imprecise și pot include: dicționare, cuvinte cheie, expresii regulate, expresii regulate extinse, metaetichete de date, analiză bayesiană, analiză statistică etc.

Eficacitatea analizei depinde direct de acuratețea acesteia. Un sistem DLP cu o evaluare mare are scoruri ridicate pentru acest parametru. Acuratețea identificării DLP este esențială pentru a evita falsele pozitive și consecințele negative. Precizia poate depinde de mulți factori, dintre care unii pot fi situaționali sau tehnologici. Testarea de precizie poate asigura fiabilitatea sistemului DLP - aproape zero fals pozitive.

Detectarea și prevenirea scurgerilor de informații

Uneori, sursa de distribuire a datelor pune la dispoziția terților informații confidențiale. După ceva timp, o parte din ea va fi găsită cel mai probabil într-un loc neautorizat (de exemplu, pe Internet sau pe laptopul altui utilizator). Sistemele DLP, al căror preț este furnizat de dezvoltatori la cerere și poate varia de la câteva zeci la câteva mii de ruble, trebuie apoi să investigheze modul în care s-au scurs datele - de la una sau mai multe terțe părți, dacă a fost independent unul de celălalt, dacă scurgerea a fost furnizat de orice atunci prin alte mijloace etc.

Date în repaus

„Date în repaus” se referă la informațiile arhivate vechi stocate pe oricare dintre hard disk-urile computerului client, pe un server de fișiere la distanță, pe un disc. De asemenea, această definiție se referă la datele stocate într-un sistem de backup (pe unități flash sau CD-uri) . Aceste informații prezintă un mare interes pentru întreprinderi și guverne pur și simplu pentru că o cantitate mare de date este stocată neutilizată în dispozitivele de stocare și este mai probabil să fie accesată de persoane neautorizate din afara rețelei.

Introducere

Review-ul este destinat tuturor celor care sunt interesați de piața soluțiilor DLP și, în primul rând, celor care doresc să aleagă soluția DLP potrivită pentru compania lor. Revizuirea ia în considerare piața sistemelor DLP în sensul larg al termenului, oferă o scurtă descriere a pieței globale și o descriere mai detaliată a segmentului rus.

Sisteme pentru protejarea datelor valoroase au existat încă de la începuturile lor. De-a lungul secolelor, aceste sisteme s-au dezvoltat și au evoluat împreună cu umanitatea. Odată cu începutul erei computerelor și tranziția civilizației la era post-industrială, informația a devenit treptat principala valoare a statelor, organizațiilor și chiar indivizilor. Și sistemele informatice au devenit instrumentul principal pentru stocarea și procesarea acestuia.

Statele și-au protejat întotdeauna secretele, dar statele au propriile mijloace și metode, care, de regulă, nu au influențat formarea pieței. În epoca post-industrială, băncile și alte organizații financiare au devenit victime frecvente ale scurgerii de informații valoroase pe computer. Sistemul bancar mondial a fost primul care a avut nevoie de protecție legală a informațiilor sale. Necesitatea de a proteja confidențialitatea a fost recunoscută și în medicină. Drept urmare, de exemplu, Statele Unite au adoptat Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA), Legea Sarbanes-Oxley (SOX), iar Comitetul de supraveghere bancară de la Basel a emis o serie de recomandări numite „Acordurile de la Basel”. Astfel de pași au dat un impuls puternic dezvoltării pieței sistemelor informatice de protecție a informațiilor. În urma cererii în creștere, au început să apară companii care oferă primele sisteme DLP.

Ce sunt sistemele DLP?

Există mai multe interpretări general acceptate ale termenului DLP: prevenirea pierderii datelor, prevenirea scurgerii de date sau protecția scurgerii de date, care pot fi traduse în rusă ca „prevenirea pierderii de date”, „prevenirea scurgerii de date”, „protecția scurgerii de date”. Termenul a devenit larg răspândit și s-a impus pe piață în jurul anului 2006. Și primele sisteme DLP au apărut puțin mai devreme tocmai ca un mijloc de a preveni scurgerea de informații valoroase. Acestea au fost concepute pentru a detecta și bloca transmiterea în rețea a informațiilor identificabile prin cuvinte cheie sau expresii și „amprentele digitale” pre-create ale documentelor confidențiale.

Dezvoltarea în continuare a sistemelor DLP a fost determinată de incidente, pe de o parte, și de actele legislative ale statelor, pe de altă parte. Treptat, nevoia de a se proteja împotriva diferitelor tipuri de amenințări a determinat companiile să creeze sisteme de protecție cuprinzătoare. În prezent, produsele DLP dezvoltate, pe lângă protecția directă împotriva scurgerilor de date, oferă protecție împotriva amenințărilor interne și chiar externe, urmărirea timpului angajaților, controlul tuturor acțiunilor acestora pe stațiile de lucru, inclusiv munca de la distanță.

În același timp, blocarea transferului de date confidențiale, funcția canonică a sistemelor DLP, a devenit absentă în unele soluții moderne atribuite de dezvoltatori acestei piețe. Astfel de soluții sunt potrivite doar pentru monitorizarea mediului informațional corporativ, dar, ca urmare a manipulării terminologiei, au început să fie numite DLP și se referă la această piață în sens larg.

În prezent, interesul principal al dezvoltatorilor de sisteme DLP s-a îndreptat către lărgimea de acoperire a potențialelor canale de scurgere de informații și dezvoltarea instrumentelor analitice pentru investigarea și analiza incidentelor. Cele mai recente produse DLP interceptează vizualizarea documentelor, imprimarea și copierea pe medii externe, rularea aplicațiilor pe stațiile de lucru și conectarea dispozitivelor externe la acestea, precum și analiza modernă a traficului de rețea interceptat poate detecta scurgeri chiar și prin unele protocoale de tunel și criptare.

Pe lângă dezvoltarea propriei funcționalități, sistemele moderne DLP oferă oportunități ample de integrare cu diverse produse conexe și chiar concurente. Exemplele includ suportul larg răspândit pentru protocolul ICAP oferit de serverele proxy și integrarea modulului DeviceSniffer, care face parte din bucla de securitate a informațiilor SearchInform, cu Lumension Device Control. Dezvoltarea ulterioară a sistemelor DLP duce la integrarea acestora cu produsele IDS/IPS, soluțiile SIEM, sistemele de management al documentelor și protecția stațiilor de lucru.

Sistemele DLP se disting prin modul în care sunt detectate scurgerile de date:

  • la utilizare (Data-in-Use) - la locul de muncă al utilizatorului;
  • în timpul transmiterii (Data-in-Motion) - în rețeaua companiei;
  • la stocare (Data-at-Rest) - pe serverele și stațiile de lucru ale companiei.

Sistemele DLP pot recunoaște documentele critice:

  • din motive formale, acest lucru este de încredere, dar necesită înregistrarea prealabilă a documentelor în sistem;
  • analiza de conținut - aceasta poate da rezultate false pozitive, dar vă permite să detectați informații critice în orice document.

De-a lungul timpului, atât natura amenințărilor, cât și compoziția clienților și cumpărătorilor de sisteme DLP s-au schimbat. Piața modernă impune acestor sisteme următoarele cerințe:

  • suport pentru mai multe metode de detectare a scurgerilor de date (Date în uz, Date în mișcare, Date în repaus);
  • suport pentru toate protocoalele populare de transfer de date din rețea: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, diverse protocoale P2P;
  • prezența unui director încorporat de site-uri web și procesarea corectă a traficului transmis acestora (mail web, rețele sociale, forumuri, bloguri, site-uri de căutare de locuri de muncă etc.);
  • suportul pentru protocoalele de tunel este de dorit: VLAN, MPLS, PPPoE și altele asemenea;
  • control transparent al protocoalelor securizate SSL/TLS: HTTPS, FTPS, SMTPS și altele;
  • suport pentru protocoale de telefonie VoIP: SIP, SDP, H.323, T.38, MGCP, SKINNY și altele;
  • prezența analizei hibride - suport pentru mai multe metode de recunoaștere a informațiilor valoroase: prin trăsături formale, prin cuvinte cheie, prin potrivirea conținutului cu o expresie regulată, pe baza analizei morfologice;
  • este de dorit capacitatea de a bloca selectiv transmiterea informațiilor critice pe orice canal monitorizat în timp real; blocare selectivă (pentru utilizatori individuali, grupuri sau dispozitive);
  • abilitatea de a controla acțiunile utilizatorului asupra documentelor critice este de dorit: vizualizare, imprimare, copiere pe suport extern;
  • este de dorit abilitatea de a controla protocoalele de rețea pentru lucrul cu serverele de e-mail Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync etc. să analizeze și să blocheze mesajele în timp real folosind protocoale: (MAPI, S/MIME, NNTP, SIP etc.);
  • este de dorit interceptarea, înregistrarea și recunoașterea traficului vocal: Skype, telefonie IP, Microsoft Lync;
  • prezența unui modul de recunoaștere grafică (OCR) și analiză de conținut;
  • suport pentru analiza documentelor în mai multe limbi;
  • menținerea arhivelor și a jurnalelor detaliate pentru comoditatea investigării incidentelor;
  • este de dorit să fi dezvoltat instrumente de analiză a evenimentelor și a relațiilor lor;
  • capacitatea de a construi diverse rapoarte, inclusiv rapoarte grafice.

Datorită noilor tendințe în dezvoltarea tehnologiilor informaționale, noile funcții ale produselor DLP devin, de asemenea, solicitate. Odată cu utilizarea pe scară largă a virtualizării în sistemele informaționale corporative, a devenit necesară sprijinirea acesteia și în soluțiile DLP. Utilizarea omniprezentă a dispozitivelor mobile ca instrument de afaceri a alimentat apariția DLP-ului mobil. Crearea „norilor” atât corporativi, cât și publice a necesitat protecția acestora, inclusiv sistemele DLP. Și, ca o continuare logică, a dus la apariția serviciilor de securitate a informațiilor „cloud” (security as a service – SECaaS).

Cum funcționează un sistem DLP

Un sistem modern de protecție împotriva scurgerilor de informații, de regulă, este un complex software și hardware distribuit, constând dintr-un număr mare de module pentru diverse scopuri. Unele dintre module funcționează pe servere dedicate, altele - pe stațiile de lucru ale angajaților companiei, iar altele - pe locurile de muncă ale ofițerilor de securitate.

Servere dedicate pot fi necesare pentru module precum baza de date și uneori pentru modulele de analiză a informațiilor. Aceste module, de fapt, sunt nucleul și niciun sistem DLP nu se poate descurca fără ele.

Baza de date este necesară pentru stocarea informațiilor, de la reguli de control și informații detaliate despre incidente până la toate documentele care au intrat în câmpul vizual al sistemului pentru o anumită perioadă. În unele cazuri, sistemul poate chiar stoca o copie a întregului trafic de rețea al companiei interceptat într-o anumită perioadă de timp.

Modulele de analiză a informațiilor sunt responsabile de analizarea textelor extrase de alte module din diverse surse: trafic de rețea, documente de pe orice dispozitive de stocare a informațiilor din cadrul companiei. Unele sisteme au capacitatea de a extrage text din imagini și de a recunoaște mesajele vocale interceptate. Toate textele analizate sunt comparate cu reguli predefinite și marcate în consecință atunci când este găsită o potrivire.

Pentru a controla acțiunile angajaților, agenți speciali pot fi instalați pe stațiile de lucru ale acestora. Un astfel de agent trebuie să fie protejat de interferența utilizatorului în activitatea sa (în practică nu este întotdeauna cazul) și poate atât să-și monitorizeze pasiv acțiunile, cât și să le prevină activ pe cele care sunt interzise utilizatorului de politica de securitate a companiei. Lista acțiunilor controlate poate fi limitată la conectarea/deconectarea din sistem și conectarea dispozitivelor USB și poate include interceptarea și blocarea protocoalelor de rețea, copierea umbră a documentelor pe orice suport extern, imprimarea documentelor la imprimante locale și de rețea, transferul de informații prin Wi-Fi. -Fi și Bluetooth și multe altele. Unele sisteme DLP sunt capabile să înregistreze toate apăsările de taste (înregistrarea tastelor) și să salveze capturi de ecran (capturi de ecran), dar acest lucru este dincolo de practica obișnuită.

De obicei, ca parte a unui sistem DLP, există un modul de control conceput pentru a monitoriza funcționarea sistemului și administrarea acestuia. Acest modul vă permite să monitorizați performanța tuturor celorlalte module de sistem și să le configurați.

Pentru comoditatea unui analist de securitate, un sistem DLP poate avea un modul separat care vă permite să configurați politica de securitate a unei companii, să urmăriți încălcările acesteia, să efectuați investigația detaliată a acestora și să generați rapoartele necesare. Destul de ciudat, ceteris paribus, este capacitatea de a analiza incidente, de a efectua o investigație cu drepturi depline și de a raporta ceea ce iese în prim-plan în importanță într-un sistem DLP modern.

Piața globală DLP

Piața sistemelor DLP a început să prindă contur deja în acest secol. După cum am menționat la începutul articolului, conceptul însuși de „DLP” s-a răspândit în jurul anului 2006. Cel mai mare număr de companii care au creat sisteme DLP sunt originare din Statele Unite. A existat cea mai mare cerere pentru aceste soluții și un mediu favorabil pentru crearea și dezvoltarea unei astfel de afaceri.

Aproape toate companiile care au început sisteme DLP și au obținut un succes notabil în acest sens au fost cumpărate sau absorbite, iar produsele și tehnologiile lor au fost integrate în sisteme informaționale mai mari. De exemplu, Symantec a achiziționat Vontu (2007), Websense a achiziționat PortAuthority Technologies Inc. (2007), EMC Corp. a achiziționat RSA Security (2006), iar McAfee a achiziționat o serie de companii: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnectex (2008), TrustDigital (2010), tenCube (2010).

În prezent, cei mai importanți producători mondiali de sisteme DLP sunt: ​​Symantec Corp., RSA (o divizie a EMC Corp.), Verdasys Inc, Websense Inc. (cumpărat în 2013 de o companie privată Vista Equity Partners), McAfee (cumpărat în 2011 de Intel). Un rol semnificativ pe piață îl au Fidelis Cybersecurity Solutions (achiziționat de General Dynamics în 2012), CA Technologies și GTB Technologies. O ilustrare clară a poziției lor pe piață, într-una dintre secțiuni, poate servi drept cadranul magic al companiei de analiză Gartner la sfârșitul anului 2013 (Figura 1).

Figura 1. DistribuțiapozitiiDLP-sisteme de pe piata mondialaDeGartner

Piața DLP din Rusia

În Rusia, piața sistemelor DLP a început să prindă contur aproape simultan cu piața mondială, dar cu propriile sale particularități. Acest lucru s-a întâmplat treptat, pe măsură ce au apărut incidente și s-a încercat să le rezolve. În 2000, Jet Infosystems a fost prima companie din Rusia care a dezvoltat o soluție DLP (la început a fost o arhivă de corespondență). Puțin mai târziu, în 2003, InfoWatch a fost fondată ca subsidiară a Kaspersky Lab. Deciziile acestor două companii au fost cele care au stabilit reperele pentru restul jucătorilor. Puțin mai târziu, acestea au inclus Perimetrix, SearchInform, DeviceLock, SecureIT (redenumit Zecurion în 2011). Deoarece statul creează acte legislative referitoare la protecția informațiilor (Codul civil al Federației Ruse, articolul 857 „Secretul bancar”, 395-1-FZ „Cu privire la bănci și activități bancare”, 98-FZ „Cu privire la secretele comerciale”, 143-FZ „Cu privire la actele de stare civilă”, 152-FZ „Cu privire la datele personale” și altele, aproximativ 50 de tipuri de secrete în total), a crescut nevoia de instrumente de protecție și a crescut cererea pentru sisteme DLP. Și câțiva ani mai târziu, a venit pe piață „al doilea val” de dezvoltatori: Falcongaze, MFI Soft, Trafica. Este de remarcat faptul că toate aceste companii au avut evoluții în domeniul DLP mult mai devreme, dar au devenit substituții pe piață relativ recent. De exemplu, compania MFI Soft a început să-și dezvolte soluția DLP încă din 2005 și s-a anunțat pe piață abia în 2011.

Chiar și mai târziu, piața rusă a devenit interesantă și pentru companiile străine. În 2007-2008, produsele Symantec, Websense și McAfee au devenit disponibile pentru noi. Cel mai recent, în 2012, GTB Technologies și-a introdus soluțiile pe piața noastră. Alți lideri de pe piața mondială continuă să încerce să intre pe piața rusă, dar până acum fără rezultate notabile. În ultimii ani, piața rusă de DLP înregistrează de câțiva ani o creștere stabilă (peste 40% anual), ceea ce atrage noi investitori și dezvoltatori. Ca exemplu, putem numi compania Iteranet, care din 2008 dezvoltă elemente ale unui sistem DLP în scopuri interne, apoi pentru clienții corporate. Compania oferă în prezent soluția sa Business Guardian clienților ruși și străini.

Compania s-a separat de Kaspersky Lab în 2003. La sfârșitul anului 2012, InfoWatch ocupă mai mult de o treime din piața DLP din Rusia. InfoWatch oferă o gamă completă de soluții DLP pentru clienți, de la întreprinderi mijlocii până la corporații mari și agenții guvernamentale. Soluțiile InfoWatch Traffic Monitor sunt cele mai solicitate de pe piață. Principalele avantaje ale soluțiilor lor sunt: ​​funcționalitate avansată, tehnologii unice brevetate de analiză a traficului, analiză hibridă, suport pentru mai multe limbi, director de resurse web încorporat, scalabilitate, un număr mare de configurații prestabilite și politici pentru diferite industrii. Caracteristicile distinctive ale soluției InfoWatch sunt o singură consolă de management, monitorizarea acțiunilor angajaților suspectați, o interfață intuitivă, formarea politicilor de securitate fără utilizarea algebrei booleene, crearea de roluri de utilizator (ofițer de securitate, manager de companie, director de resurse umane). , etc.). Dezavantaje: lipsa controlului asupra acțiunilor utilizatorului pe stațiile de lucru, greutate mare a InfoWatch Traffic Monitor pentru întreprinderile mijlocii, cost ridicat.

Compania a fost fondată în 1991 și astăzi este unul dintre pilonii pieței DLP din Rusia. Inițial, compania a dezvoltat sisteme pentru protejarea organizațiilor de amenințările externe, iar intrarea sa pe piața DLP este un pas firesc. Jet Infosystems este un jucător important pe piața rusă de securitate a informațiilor, furnizând servicii de integrare a sistemelor și dezvoltând propriul software. În special, soluția DLP proprie a Dozor-Jet. Principalele sale avantaje sunt: ​​scalabilitate, performanță ridicată, capacitatea de a lucra cu Big Data, un set mare de interceptori, un director încorporat de resurse web, analiză hibridă, un sistem de stocare optimizat, monitorizare activă, lucru „în gol” , instrumente de căutare și analiză rapidă a incidentelor, suport tehnic avansat, inclusiv în regiuni. Complexul are, de asemenea, capacitatea de a se integra cu sisteme de clase SIEM, BI, MDM, Security Intelligence, System and Network Management. Know-how propriu - modulul „Dossier”, conceput pentru investigarea incidentelor. Dezavantaje: funcționalitatea insuficientă a agenților pentru stațiile de lucru, dezvoltarea slabă a controlului asupra acțiunilor utilizatorilor, soluția este concentrată doar pe companii mari, cost ridicat.

O companie americană care și-a început activitatea în 1994 ca producător de software de securitate a informațiilor. În 1996, ea a introdus prima sa dezvoltare proprie „Internet Screening System” pentru a controla acțiunile personalului pe Internet. Pe viitor, compania a continuat să lucreze în domeniul securității informațiilor, dezvoltând noi segmente și extinzând gama de produse și servicii. În 2007, compania și-a consolidat poziția pe piața DLP prin achiziționarea PortAuthority. În 2008, Websense a intrat pe piața rusă. Compania oferă în prezent un produs cuprinzător Websense Triton pentru a proteja împotriva scurgerilor de date confidențiale, precum și a amenințărilor externe. Principalele avantaje: arhitectură unificată, performanță, scalabilitate, opțiuni multiple de livrare, politici predefinite, instrumente avansate de raportare și analiză a evenimentelor. Dezavantaje: fără suport pentru un număr de protocoale IM, fără suport pentru morfologia limbii ruse.

Symantec Corporation este un lider global recunoscut pe piața soluțiilor DLP. Acest lucru s-a întâmplat după achiziționarea în 2007 a Vontu, un producător important de sisteme DLP. Din 2008, Symantec DLP este reprezentat oficial pe piața rusă. La sfârșitul anului 2010, Symantec a fost prima companie străină care și-a localizat produsul DLP pentru piața noastră. Principalele avantaje ale acestei soluții sunt: ​​funcționalitate puternică, un număr mare de metode de analiză, capacitatea de a bloca o scurgere prin orice canal controlat, un director de site-uri web încorporat, capacitatea de scalare, un agent dezvoltat pentru analizarea evenimentelor la nivelul nivel de stație de lucru, experiență bogată în implementare internațională și integrare cu alte produse Symantec. Dezavantajele sistemului includ costul ridicat și lipsa de control asupra unor protocoale IM populare.

Această companie rusă a fost fondată în 2007 ca dezvoltator de instrumente de securitate a informațiilor. Principalele avantaje ale soluției Falcongaze SecureTower sunt: ​​ușurință de instalare și configurare, interfață ușor de utilizat, controlul unui număr mai mare de canale de transmisie a datelor, instrumente avansate de analiză a informațiilor, capacitatea de a monitoriza acțiunile angajaților la stațiile de lucru (inclusiv vizualizarea capturilor de ecran ale desktop), un analizor grafic al relațiilor cu personalul, scalabilitate, căutare rapidă după date interceptate, sistem de raportare vizuală după diverse criterii.

Dezavantaje: nu oferă lucru într-un gol la nivel de gateway, opțiuni limitate pentru blocarea transferului de date confidențiale (doar SMTP, HTTP și HTTPS), absența unui modul de căutare a datelor confidențiale în rețeaua întreprinderii.

Companie americană fondată în 2005. Datorită propriilor dezvoltări în domeniul securității informațiilor, are un mare potențial de dezvoltare. Ea a intrat pe piața rusă în 2012 și a implementat cu succes mai multe proiecte corporative. Avantajele soluțiilor sale sunt: ​​funcționalitate ridicată, controlul mai multor protocoale și canale de posibile scurgeri de date, tehnologii originale brevetate, modularitate, integrare cu IRM. Dezavantaje: localizare parțială rusă, fără documentare rusă, fără analiză morfologică.

O companie rusă fondată în 1999 ca integrator de sisteme. În 2013 a fost reorganizată într-un holding. Una dintre activități este de a oferi o gamă largă de servicii și produse pentru securitatea informațiilor. Unul dintre produsele companiei este sistemul proprietar Business Guardian DLP.

Avantaje: viteză mare de procesare a informațiilor, modularitate, scalabilitate teritorială, analiză morfologică în 9 limbi, suport pentru o gamă largă de protocoale de tunel.

Dezavantaje: capacitatea limitată de a bloca transferul de informații (suportat doar de plug-in-uri pentru MS Exchange, MS ISA/TMG și Squid), suport limitat pentru protocoalele de rețea criptate.

MFI Soft este o companie rusă care dezvoltă sisteme de securitate a informațiilor. Din punct de vedere istoric, compania este specializată în soluții complexe pentru operatorii de telecomunicații, așa că acordă o mare atenție vitezei de procesare a datelor, toleranței la erori și stocării eficiente. Din 2005, MFI Soft se dezvoltă în domeniul securității informațiilor. Compania oferă pe piață sistemul DLP al APK-ului „Garda Enterprise”, axat pe întreprinderile mari și mijlocii. Avantajele sistemului: ușurință de implementare și configurare, performanță ridicată, setări flexibile pentru regulile de detectare (inclusiv capacitatea de a înregistra întregul trafic), control extins asupra canalelor de comunicație (în plus față de setul standard, inclusiv telefonie VoIP, P2P și protocoale de tunel). Dezavantaje: absența anumitor tipuri de rapoarte, lipsa oportunităților de blocare a transferului de informații și căutarea locurilor de stocare a informațiilor confidențiale în rețeaua întreprinderii.

Compania rusă, fondată în 1995, s-a specializat inițial în dezvoltarea tehnologiilor de stocare și recuperare a informațiilor. Ulterior, compania și-a aplicat experiența și evoluțiile în domeniul securității informațiilor, a creat o soluție DLP numită „Information Security Circuit”. Avantajele acestei soluții: posibilități largi de interceptare a traficului și analiza evenimentelor pe stațiile de lucru, monitorizarea orelor de lucru ale angajaților, modularitate, scalabilitate, instrumente avansate de căutare, viteza de procesare a cererilor de căutare, conexiuni grafice ale angajaților, algoritm propriu patentat de căutare „Similar Search” , centru de training propriu pentru formarea analistilor si specialistilor tehnici ai clientilor. Dezavantaje: capacitatea limitată de a bloca transferul de informații, lipsa unei singure console de management.

O companie rusă fondată în 1996 și specializată în dezvoltarea de soluții DLP și EDPC. Compania s-a mutat în categoria producătorilor de DLP în 2011, adăugând la soluția sa DeviceLock de renume mondial (controlul dispozitivelor și portului pe stațiile de lucru Windows) din categoria EDPC, componente care asigură controlul canalelor de rețea și tehnologiile de analiză și filtrare a conținutului. Astăzi, DeviceLock DLP implementează toate metodele de detectare a scurgerilor de date (DiM, DiU, DaR). Avantaje: arhitectură flexibilă și licențiere modulară, ușurință de instalare și gestionare a politicilor DLP, incl. prin politicile grupului AD, tehnologiile originale proprietare de control al dispozitivelor mobile, suportul pentru medii virtualizate, disponibilitatea agenților pentru Windows și Mac OS, controlul deplin al angajaților mobili din afara rețelei corporative, un modul OCR rezident (utilizat, printre altele, la scanarea datelor). locuri de depozitare). Dezavantaje: lipsa unui agent DLP pentru Linux, versiunea agentului pentru computere Mac implementează doar metode de control contextual.

O tânără companie rusă specializată în tehnologiile Deep Packet Inspection (DPI) pentru analiza traficului de rețea. Pe baza acestor tehnologii, compania dezvoltă propriul sistem DLP numit Monitorium. Avantajele sistemului: ușurință de instalare și configurare, interfață ușor de utilizat, mecanism flexibil și intuitiv de creare a politicilor, potrivit chiar și pentru companiile mici. Dezavantaje: capacități limitate de analiză (fără analiză hibridă), capacități limitate de control la nivel de stație de lucru, imposibilitatea de a căuta locații în care sunt stocate copii neautorizate ale informațiilor confidențiale în rețeaua corporativă.

concluzii

Dezvoltarea ulterioară a produselor DLP este în direcția consolidării și integrării cu produse din domenii conexe: controlul personalului, protecție împotriva amenințărilor externe și alte segmente de securitate a informațiilor. În același timp, aproape toate companiile lucrează la crearea de versiuni ușoare ale produselor lor pentru întreprinderile mici și mijlocii, unde ușurința implementării unui sistem DLP și ușurința în utilizare este mai importantă decât funcționalitatea complexă și puternică. De asemenea, continuă dezvoltarea DLP pentru dispozitive mobile, suport pentru tehnologii de virtualizare și SECaaS în „nori”.

Luând în considerare toate cele de mai sus, se poate presupune că dezvoltarea rapidă a piețelor globale, și în special a piețelor DLP din Rusia, va atrage atât noi investiții, cât și noi companii. Și acest lucru, la rândul său, ar trebui să conducă la creșterea în continuare a cantității și calității produselor și serviciilor DLP oferite.

Pentru a fi destul de consecvenți în definiții, putem spune că securitatea informațiilor a început tocmai odată cu apariția sistemelor DLP. Înainte de aceasta, toate produsele care erau implicate în „securitatea informațiilor” protejau de fapt nu informațiile, ci infrastructura - locuri pentru stocarea, transmiterea și procesarea datelor. Computerul, aplicația sau canalul care găzduiește, procesează sau transmite informații confidențiale este protejat de aceste produse în același mod în care infrastructura care circulă informații complet inofensive este protejată de aceste produse. Adică, odată cu apariția produselor DLP, sistemele informaționale au învățat în sfârșit să distingă informațiile confidențiale de cele neconfidențiale. Este posibil ca odată cu încorporarea tehnologiilor DLP în infrastructura informațională, companiile să poată economisi mult pe protecția informațiilor - de exemplu, să folosească criptarea doar atunci când informațiile confidențiale sunt stocate sau transmise și nu criptează informațiile în alte cazuri.

Cu toate acestea, aceasta este o chestiune de viitor, iar în prezent, aceste tehnologii sunt folosite în principal pentru a proteja informațiile de scurgeri. Tehnologiile de clasificare a informațiilor formează nucleul sistemelor DLP. Fiecare producător consideră că metodele sale de detectare a informațiilor confidențiale sunt unice, le protejează cu brevete și vine cu mărci comerciale speciale pentru ele. La urma urmei, restul elementelor de arhitectură care sunt diferite de aceste tehnologii (interceptoare de protocol, parsere de format, managementul incidentelor și stocarea datelor) sunt identice pentru majoritatea producătorilor, iar pentru companiile mari sunt chiar integrate cu alte produse de securitate a infrastructurii informaționale. Practic, două grupe principale de tehnologii sunt folosite pentru a clasifica datele în produsele pentru protejarea informațiilor corporative împotriva scurgerilor - analiză lingvistică (morfologică, semantică) și metode statistice (Amprente digitale, ADN document, antiplagiat). Fiecare tehnologie are propriile sale puncte forte și puncte slabe care determină domeniul de aplicare a acestora.

Analiza lingvistică

Folosirea cuvintelor oprite („secrete”, „confidențiale” și altele asemenea) pentru a bloca mesajele de e-mail trimise în serverele de e-mail poate fi considerată precursorul sistemelor moderne DLP. Desigur, acest lucru nu protejează împotriva intrușilor - nu este dificil să eliminați un cuvânt stop, cel mai adesea plasat într-o ștampilă separată a unui document, în timp ce sensul textului nu se va schimba deloc.

Impulsul dezvoltării tehnologiilor lingvistice a fost dat la începutul acestui secol de către creatorii filtrelor de e-mail. În primul rând, pentru a proteja e-mailul de spam. Acum, metodele reputaționale predomină în tehnologiile anti-spam, iar la începutul secolului a existat un adevărat război lingvistic între proiectil și armură - spammeri și anti-spammeri. Vă amintiți cele mai simple metode de a păcăli filtrele bazate pe cuvinte oprite? Înlocuirea literelor cu litere similare din alte codificări sau numere, transliterare, spații aleatorii, subliniere sau întreruperi de rând în text. Anti-spamerii au învățat rapid să se ocupe de astfel de trucuri, dar apoi au apărut spam-ul grafic și alte soiuri viclene de corespondență nedorită.

Cu toate acestea, este imposibil să utilizați tehnologii anti-spam în produsele DLP fără îmbunătățiri serioase. Într-adevăr, pentru a combate spam-ul, este suficient să împărțim fluxul de informații în două categorii: spam și non-spam. Metoda Bayes care este utilizată în detectarea spam-ului dă doar un rezultat binar: „da” sau „nu”. Acest lucru nu este suficient pentru a proteja datele corporative de scurgeri - nu puteți pur și simplu împărți informațiile în confidențiale și neconfidențiale. Trebuie să puteți clasifica informațiile după afiliere funcțională (financiară, industrială, tehnologică, comercială, marketing) și în cadrul claselor - să le clasificați după nivelul de acces (pentru distribuție gratuită, pentru acces limitat, pentru uz oficial, secret, top secret și așa mai departe).

Majoritatea sistemelor moderne de analiză lingvistică utilizează nu numai analiza contextuală (adică în ce context, în combinație cu ce alte cuvinte este folosit un anumit termen), ci și analiza semantică a textului. Aceste tehnologii funcționează mai eficient, cu cât fragmentul analizat este mai mare. Pe un fragment mare de text, analiza este efectuată mai precis, categoria și clasa documentului sunt mai probabil să fie determinate. Când se analizează mesajele scurte (SMS, pagere de internet), nu a fost încă inventat nimic mai bun decât cuvintele stop. Autorul s-a confruntat cu o astfel de sarcină în toamna anului 2008, când de la locurile de muncă ale multor bănci, prin mesagerie instant, mii de mesaje de genul „sem concediați”, „vor lua licența”, „ieșirea deponenților. ” a mers la Rețea, care a trebuit imediat blocată de clienții lor.

Avantajele tehnologiei

Avantajele tehnologiilor lingvistice sunt că lucrează direct cu conținutul documentelor, adică nu le pasă unde și cum a fost creat documentul, ce semnătură este pe el și cum se numește fișierul - documentele sunt protejate imediat. Acest lucru este important, de exemplu, atunci când procesați proiecte de documente confidențiale sau pentru protejarea documentelor primite. Dacă documentele create și utilizate în cadrul companiei pot fi în continuare denumite, ștampilate sau etichetate într-un mod specific, atunci documentele primite pot avea ștampile și mărci neacceptate în organizație. Ciornele (cu excepția cazului în care, desigur, sunt create într-un sistem de flux de lucru securizat) pot conține deja informații confidențiale, dar nu conțin încă ștampilele și mărcile necesare.

Un alt avantaj al tehnologiilor lingvistice este formabilitatea lor. Dacă cel puțin o dată în viață ai făcut clic pe butonul „Nu este spam” din clientul tău de e-mail, atunci îți imaginezi deja clientul ca parte a sistemului de învățare al motorului lingvistic. Observ că nu trebuie să fiți un lingvist certificat și să știți exact ce se va schimba în baza de date de categorii - este suficient să indicați un fals pozitiv pentru sistem, iar restul va face singur.

Al treilea avantaj al tehnologiilor lingvistice este scalabilitatea lor. Viteza de prelucrare a informațiilor este proporțională cu cantitatea acesteia și nu depinde absolut de numărul de categorii. Până de curând, construirea unei baze de date de categorii ierarhice (în mod istoric se numește BKF - baza de filtrare a conținutului, dar acest nume nu mai reflectă sensul real) arăta ca un fel de șamanism al lingviștilor profesioniști, astfel încât setarea BKF ar putea fi în siguranță. atribuite neajunsurilor. Dar odată cu lansarea în 2010 a mai multor produse „autolingvistice” simultan, construirea bazei de date primare a categoriilor a devenit extrem de simplă - sistemul indică locurile în care sunt stocate documentele unei anumite categorii și el însuși determină caracteristicile lingvistice ale acestei categorii, iar în caz de fals pozitive, învață de la sine. Așa că acum ușurința de personalizare a fost adăugată avantajelor tehnologiilor lingvistice.

Și încă un avantaj al tehnologiilor lingvistice, pe care aș dori să-l remarc în articol, este capacitatea de a detecta categorii în fluxurile de informații care nu au legătură cu documentele aflate în cadrul companiei. Un instrument de monitorizare a conținutului fluxurilor de informații poate defini categorii precum activități ilegale (piraterie, distribuție de bunuri interzise), utilizarea infrastructurii unei companii în scopuri proprii, afectarea imaginii companiei (de exemplu, răspândirea de zvonuri defăimătoare) și curând.

Deficiențe tehnologice

Principalul dezavantaj al tehnologiilor lingvistice este dependența lor de limbă. Nu este posibil să utilizați un motor de limbă conceput pentru o limbă pentru a analiza alta. Acest lucru a fost vizibil mai ales atunci când producătorii americani au intrat pe piața rusă - nu erau pregătiți să se confrunte cu formarea de cuvinte rusești și prezența a șase codificări. Nu a fost suficient să traduceți categorii și cuvinte cheie în rusă - formarea cuvintelor în engleză este destul de simplă, iar cazurile sunt scoase ca prepoziții, adică atunci când cazul se schimbă, prepoziția se schimbă și nu cuvântul în sine. Majoritatea substantivelor din engleză devin verbe fără schimbări de cuvinte. Și așa mai departe. În rusă, totul este diferit - o rădăcină poate da naștere la zeci de cuvinte în diferite părți de vorbire.

În Germania, producătorii americani de tehnologii lingvistice s-au întâmpinat cu o altă problemă - așa-numitele „compuși”, cuvinte compuse. În germană, se obișnuiește să se atașeze definiții cuvântului principal, rezultând cuvinte, uneori formate din o duzină de rădăcini. Nu există așa ceva în engleză, un cuvânt este o secvență de litere între două spații, așa că motorul lingvistic englez nu a putut procesa cuvinte lungi necunoscute.

Pentru dreptate, trebuie spus că acum aceste probleme sunt rezolvate în mare măsură de producătorii americani. Motorul lingvistic a trebuit să fie refăcut (și uneori rescris) destul de mult, dar piețele mari din Rusia și Germania merită cu siguranță. De asemenea, este dificil să procesezi texte multilingve cu tehnologii lingvistice. Cu toate acestea, majoritatea motoarelor încă se descurcă cu două limbi, de obicei este limba națională + engleză - acest lucru este suficient pentru majoritatea sarcinilor de afaceri. Deși autorul a dat peste texte confidențiale care conțin, de exemplu, kazahă, rusă și engleză în același timp, dar aceasta este mai mult o excepție decât o regulă.

Un alt dezavantaj al tehnologiilor lingvistice pentru controlul întregii game de informații confidențiale corporative este că nu toate informațiile confidențiale sunt sub formă de texte coerente. Deși informațiile sunt stocate în baze de date sub formă de text și nu există probleme la extragerea textului din SGBD, informațiile primite conțin cel mai adesea nume proprii - nume complete, adrese, nume de companii, precum și informații digitale - numere de cont, cărți de credit, echilibrul lor etc. Prelucrarea unor astfel de date cu ajutorul lingvisticii nu va aduce prea multe beneficii. Același lucru se poate spune despre formatele CAD/CAM, adică desenele care conțin adesea proprietate intelectuală, coduri de program și formate media (video/audio) – unele texte pot fi extrase din ele, dar procesarea lor este și ineficientă. În urmă cu trei ani, acest lucru se aplica și pentru textele scanate, dar producătorii de top de sisteme DLP au adăugat prompt recunoașterea optică și au făcut față acestei probleme.

Dar cel mai mare și cel mai des criticat neajuns al tehnologiilor lingvistice este încă abordarea probabilistică a categorizării. Dacă ați citit vreodată un e-mail cu categoria „Probabil SPAM”, veți înțelege la ce mă refer. Dacă acest lucru se întâmplă cu spam-ul, unde există doar două categorii (spam / nu spam), vă puteți imagina ce se va întâmpla când câteva zeci de categorii și clase de confidențialitate vor fi încărcate în sistem. Deși o acuratețe de 92-95% poate fi obținută prin antrenarea sistemului, pentru majoritatea utilizatorilor aceasta înseamnă că fiecare a zecea sau a douăzecea mișcare de informații va fi atribuită în mod eronat clasei greșite, cu toate consecințele de afaceri care decurg (scurgerea sau întreruperea unui proces legitim) .

De obicei, nu este obișnuit să atribuim complexitatea dezvoltării tehnologiei dezavantajelor, dar este imposibil să nu menționăm asta. Dezvoltarea unui motor lingvistic serios, cu categorizarea textelor în mai mult de două categorii, este un proces tehnologic intensiv în știință și destul de complex. Lingvistica aplicată este o știință în dezvoltare rapidă, care a primit un impuls puternic în dezvoltare odată cu răspândirea căutării pe Internet, dar astăzi există unități de motoare de clasificare funcționale pe piață: există doar două dintre ele pentru limba rusă și pentru unele limbi. pur și simplu nu au fost încă dezvoltate. Prin urmare, există doar câteva companii pe piața DLP care sunt capabile să clasifice complet informațiile din mers. Se poate presupune că atunci când piața DLP crește la dimensiuni de mai multe miliarde de dolari, Google va intra cu ușurință în ea. Cu propriul motor lingvistic, testat pe trilioane de interogări de căutare în mii de categorii, nu îi va fi greu să apuce imediat o bucată serioasă din această piață.

Metode statistice

Sarcina de a căuta pe computer citate semnificative (de ce exact „semnificative” – puțin mai târziu) i-a interesat pe lingviști încă din anii 70 ai secolului trecut, dacă nu mai devreme. Textul a fost rupt în bucăți de o anumită dimensiune, fiecare dintre ele fiind hashing. Dacă o anumită secvență de hashuri a apărut în două texte în același timp, atunci cu o mare probabilitate textele din aceste zone au coincis.

Un produs secundar al cercetării în acest domeniu este, de exemplu, „cronologia alternativă” a lui Anatoly Fomenko, un savant respectat care a lucrat la „corelații de text” și a comparat cândva cronici rusești din diferite perioade istorice. Surprins de cât de mult coincid analele diferitelor secole (cu mai mult de 60%), la sfârșitul anilor 70 a prezentat teoria că cronologia noastră este cu câteva secole mai scurtă. Așadar, atunci când o companie DLP intră pe piață cu o „tehnologie revoluționară de căutare a citatelor”, este sigur să spunem că compania nu a creat nimic altceva decât un nou nume de marcă.

Tehnologiile statistice tratează textele nu ca pe o secvență coerentă de cuvinte, ci ca pe o secvență arbitrară de caractere, astfel încât acestea funcționează la fel de bine cu textele în orice limbă. Deoarece orice obiect digital - chiar și o imagine, chiar și un program - este și o secvență de caractere, aceleași metode pot fi folosite pentru a analiza nu numai informații textuale, ci și orice obiect digital. Și dacă hashurile din două fișiere audio se potrivesc, unul dintre ele conține probabil un citat din celălalt, așa că metodele statistice sunt mijloace eficiente de protecție împotriva scurgerilor audio și video, care sunt utilizate activ în studiourile de muzică și companiile de film.

Este timpul să revenim la conceptul de „citat semnificativ”. Caracteristica cheie a unui hash complex preluat dintr-un obiect protejat (care în diferite produse se numește fie Amprentă digitală, fie ADN document) este pasul cu care este luat hașul. După cum se poate înțelege din descriere, o astfel de „amprentă” este o caracteristică unică a obiectului și, în același timp, are propria dimensiune. Acest lucru este important deoarece, dacă imprimați milioane de documente (care este capacitatea de stocare a unei bănci medii), atunci aveți nevoie de suficient spațiu pe disc pentru a stoca toate imprimările. Dimensiunea unui astfel de print depinde de pasul hash - cu cât este mai mic pasul, cu atât este mai mare imprimarea. Dacă luați un hash în trepte de un caracter, atunci dimensiunea imprimării va depăși dimensiunea eșantionului în sine. Dacă creșteți pasul pentru a reduce „greutatea” tipăririi (de exemplu, 10.000 de caractere), atunci, în același timp, crește probabilitatea ca un document care conține un citat dintr-un eșantion de 9.900 de caractere să fie confidențial, dar să alunece neobservat.

Pe de altă parte, dacă se face un pas foarte mic, câteva simboluri, pentru a crește acuratețea detectării, atunci numărul de fals pozitive poate fi crescut la o valoare inacceptabilă. În ceea ce privește textul, aceasta înseamnă că nu ar trebui să eliminați hash-ul din fiecare literă - toate cuvintele constau din litere, iar sistemul va lua prezența literelor în text ca conținut al unui citat din textul eșantion. De obicei, producătorii înșiși recomandă un pas optim de eliminare a hashului, astfel încât dimensiunea citatului să fie suficientă și, în același timp, greutatea imprimării în sine să fie mică - de la 3% (text) la 15% (video comprimat). În unele produse, producătorii vă permit să schimbați dimensiunea semnificației cotației, adică să creșteți sau să micșorați pasul hash.

Avantajele tehnologiei

După cum se poate înțelege din descriere, este nevoie de un obiect eșantion pentru a detecta o cotație. Și metodele statistice pot spune cu o bună acuratețe (până la 100%) dacă există o citare semnificativă din eșantion în fișierul verificat sau nu. Adică, sistemul nu își asumă responsabilitatea pentru clasificarea documentelor - o astfel de muncă ține în întregime de conștiința celui care a clasificat fișierele înainte de amprentarea. Acest lucru facilitează foarte mult protecția informațiilor în cazul în care fișierele care se schimbă rar și deja clasificate sunt stocate într-o întreprindere într-un loc (e). Apoi este suficient să eliminați amprenta din fiecare dintre aceste fișiere, iar sistemul va bloca, în conformitate cu setările, transferul sau copierea fișierelor care conțin citări semnificative din mostre.

Independența metodelor statistice față de limbajul textului și a informațiilor netextuale este, de asemenea, un avantaj incontestabil. Sunt buni la protejarea obiectelor digitale statice de orice tip - imagini, audio/video, baze de date. Despre protecția obiectelor dinamice voi vorbi în secțiunea „dezavantaje”.

Dezavantaje tehnologice

Ca și în cazul lingvisticii, dezavantajele tehnologiei sunt reversul avantajelor. Ușurința antrenării sistemului (a indicat fișierul sistemului și este deja protejat) transferă responsabilitatea antrenării sistemului către utilizator. Dacă dintr-o dată un fișier confidențial a fost în locul greșit sau nu a fost indexat din cauza neglijenței sau a intenției rău intenționate, atunci sistemul nu îl va proteja. În consecință, companiile cărora le pasă să protejeze informațiile confidențiale împotriva scurgerilor ar trebui să ofere o procedură pentru controlul modului în care fișierele confidențiale sunt indexate de sistemul DLP.

Un alt dezavantaj este dimensiunea fizică a imprimării. Autorul a văzut în repetate rânduri proiecte pilot impresionante pe tipărituri, când sistemul DLP cu 100% probabilitate blochează transferul documentelor care conțin citări semnificative din trei sute de documente eșantion. Cu toate acestea, după un an de funcționare a sistemului în modul de luptă, amprenta fiecărei scrisori trimise nu mai este comparată cu trei sute, ci cu milioane de mostre de amprente, ceea ce încetinește semnificativ sistemul de corespondență, provocând întârzieri de zeci de minute.

După cum am promis mai sus, voi descrie experiența mea în protejarea obiectelor dinamice folosind metode statistice. Timpul necesar pentru a imprima o imprimare depinde de dimensiunea și formatul fișierului. Pentru un document text ca acest articol, durează o fracțiune de secundă, pentru o oră și jumătate de film MP4, durează zeci de secunde. Pentru fișierele care se schimbă rar, acest lucru nu este critic, dar dacă un obiect se schimbă la fiecare minut sau chiar o secundă, atunci apare o problemă: după fiecare modificare a obiectului, o nouă amprentă trebuie îndepărtată de pe acesta... Codul pe care îl la care lucrează programatorul nu este cea mai mare complexitate, mult mai rău cu bazele de date folosite în facturare, ABS sau call center. Dacă timpul de amprentare este mai mare decât timpul de persistență al obiectului, atunci problema nu are soluție. Acesta nu este un caz atât de exotic - de exemplu, amprenta unei baze de date care stochează numerele de telefon ale clienților unui operator de telefonie mobilă federal este eliminată timp de câteva zile, dar se schimbă în fiecare secundă. Deci, atunci când un furnizor de DLP susține că produsul său vă poate proteja baza de date, adăugați mental cuvântul „cvasi-static”.

Unitatea și lupta contrariilor

După cum puteți vedea din secțiunea anterioară a articolului, puterea unei tehnologii se manifestă acolo unde cealaltă este slabă. Lingvistica nu are nevoie de modele, clasifică datele din mers și poate proteja informațiile care nu au fost imprimate accidental sau proiectat. Imprimarea oferă cea mai bună acuratețe și, prin urmare, este preferată pentru utilizare în modul automat. Lingvistica funcționează grozav cu texte, printuri - cu alte formate pentru stocarea informațiilor.

Prin urmare, majoritatea companiilor lider folosesc ambele tehnologii în dezvoltarea lor, una dintre ele fiind cea principală, iar cealaltă fiind suplimentară. Acest lucru se datorează faptului că inițial produsele companiei foloseau o singură tehnologie, în care compania a avansat mai departe, iar apoi, la cererea pieței, a fost conectată o a doua. De exemplu, InfoWatch folosea anterior doar tehnologia lingvistică licențiată Morph-OLogic, iar Websense folosea tehnologia PreciseID, care aparține categoriei Digital Fingerprint, dar acum companiile folosesc ambele metode. În mod ideal, aceste două tehnologii nu ar trebui folosite în paralel, ci în serie. De exemplu, imprimările vor face o treabă mai bună de identificare a tipului de document - este un contract sau un bilanţ, de exemplu. Apoi puteți conecta o bază de date lingvistică creată special pentru această categorie. Acest lucru economisește foarte mult resursele de calcul.

Mai sunt câteva tipuri de tehnologii utilizate în produsele DLP în afara articolului. Acestea includ, de exemplu, un analizor de structură care vă permite să găsiți structuri formale în obiecte (număr de carduri de credit, pașapoarte, TIN-uri și așa mai departe) care nu pot fi detectate nici folosind lingvistică, nici folosind amprentele digitale. De asemenea, subiectul diferitelor tipuri de etichete nu este dezvăluit - de la intrări în câmpurile de atribute ale unui fișier sau doar un nume de fișier special până la criptocontainere speciale. Ultima tehnologie devine învechită, deoarece majoritatea vânzătorilor aleg să nu reinventeze ei înșiși roata, ci mai degrabă să se integreze cu furnizorii de DRM precum Oracle IRM sau Microsoft RMS.

Produsele DLP reprezintă o industrie de securitate a informațiilor în creștere rapidă, unii furnizori lansând noi versiuni foarte frecvent, mai mult de o dată pe an. Așteptăm cu nerăbdare apariția noilor tehnologii de analiză a domeniului informațiilor corporative pentru a crește eficiența protejării informațiilor confidențiale.

Sistemul D LP este utilizat atunci când este necesar pentru a proteja datele confidențiale de amenințările interne. Și dacă specialiștii în securitatea informațiilor au stăpânit și au aplicat suficient instrumente de protecție împotriva intrușilor externi, atunci lucrurile nu stau atât de bine cu cei interni.

Utilizarea unui sistem DLP în structura de securitate a informațiilor presupune că specialistul în securitatea informațiilor înțelege:

  • modul în care angajații companiei pot scurge date confidențiale;
  • ce informații ar trebui protejate de amenințarea cu încălcarea confidențialității.

Cunoștințele cuprinzătoare îl vor ajuta pe specialist să înțeleagă mai bine principiile tehnologiei DLP și să configureze protecția împotriva scurgerilor în mod corect.

Un sistem DLP trebuie să poată face distincția între informațiile confidențiale și neconfidențiale. Dacă analizați toate datele din sistemul informațional al organizației, există o problemă de încărcare excesivă a resurselor IT și a personalului. DLP lucrează în principal împreună cu un specialist responsabil, care nu doar „învață” sistemul să funcționeze corect, introduce altele noi și șterge reguli irelevante, dar monitorizează și evenimentele curente, blocate sau suspecte din sistemul informațional.

Pentru a configura „SearchInform CIB” sunt utilizate- reguli de răspuns la incidentele de securitate a informațiilor. Sistemul are 250 de politici prestabilite care pot fi ajustate pentru a se potrivi nevoilor companiei.

Funcționalitatea unui sistem DLP este construită în jurul „nucleului” - un algoritm software care este responsabil pentru detectarea și clasificarea informațiilor care trebuie protejate de scurgeri. La baza majorității soluțiilor DLP se află două tehnologii: analiza lingvistică și tehnologia bazată pe metode statistice. De asemenea, în nucleu pot fi utilizate tehnici mai puțin obișnuite, cum ar fi utilizarea etichetelor sau a metodelor formale de parsare.

Dezvoltatorii de sisteme de prevenire a scurgerilor completează algoritmul software unic cu agenți de sistem, mecanisme de gestionare a incidentelor, analizoare, analizoare de protocol, interceptoare și alte instrumente.

Primele sisteme DLP s-au bazat pe o singură metodă de bază: fie analiză lingvistică, fie analiză statistică. În practică, deficiențele celor două tehnologii au fost compensate de punctele forte una ale celeilalte, iar evoluția DLP a condus la crearea unor sisteme care sunt universale în ceea ce privește „nucleul”.

Metoda lingvistică de analiză lucrează direct cu conținutul fișierului și documentului. Acest lucru vă permite să ignorați parametri precum numele fișierului, prezența sau absența unei ștampile în document, cine a creat documentul și când. Tehnologia de analiză lingvistică include:

  • analiza morfologică - căutarea tuturor formelor de cuvinte posibile de informații care trebuie protejate de scurgeri;
  • analiza semantică - căutarea aparițiilor de informații importante (cheie) în conținutul unui fișier, impactul aparițiilor asupra caracteristicilor calitative ale fișierului, evaluarea contextului de utilizare.

Analiza lingvistică arată o calitate înaltă a muncii cu o cantitate mare de informații. Pentru textul în bloc, un sistem DLP cu un algoritm de analiză lingvistică va selecta cu mai multă acuratețe clasa corectă, o va atribui categoriei dorite și va rula regula configurată. Pentru documentele mici, este mai bine să utilizați tehnica cuvintelor oprite, care s-a dovedit eficient în lupta împotriva spam-ului.

Învățarea în sisteme cu un algoritm de analiză lingvistică este implementată la un nivel înalt. Complexele DLP timpurii au avut dificultăți în stabilirea categoriilor și a altor etape de „învățare”, cu toate acestea, sistemele moderne au algoritmi de auto-învățare care funcționează bine: identificarea semnelor categoriilor, capacitatea de a forma și schimba în mod independent regulile de răspuns. Nu mai este necesar să se implice lingviști pentru a configura astfel de sisteme software de protecție a datelor în sistemele informaționale.

Dezavantajele analizei lingvistice includ legarea la o anumită limbă, atunci când este imposibil să utilizați un sistem DLP cu un nucleu „englez” pentru a analiza fluxurile de informații în limba rusă și invers. Un alt dezavantaj este legat de dificultatea unei categorizări clare folosind o abordare probabilistică, care menține acuratețea răspunsului la 95%, în timp ce scurgerea oricărei cantități de informații confidențiale poate fi critică pentru o companie.

Metode statistice de analiză, dimpotrivă, demonstrează o acuratețe apropiată de 100%. Dezavantajul nucleului statistic este legat de algoritmul analizei în sine.

În prima etapă, documentul (textul) este împărțit în fragmente de dimensiune acceptabilă (nu caracter cu caracter, dar suficient pentru a asigura acuratețea operațiunii). Un hash este eliminat din fragmente (în sistemele DLP se găsește ca termenul Digital Fingerprint). Apoi hash-ul este comparat cu hash-ul fragmentului de referință preluat din document. Dacă există o potrivire, sistemul marchează documentul ca fiind confidențial și acționează în conformitate cu politicile de securitate.

Dezavantajul metodei statistice este că algoritmul nu este capabil să învețe, să formeze categorii și să tasteze singur. Ca urmare, depinde de competența unui specialist și de probabilitatea de a seta un hash de o asemenea dimensiune încât analiza să dea un număr excesiv de fals pozitive. Nu este dificil să eliminați dezavantajul dacă urmați recomandările dezvoltatorului pentru configurarea sistemului.

Un alt dezavantaj este asociat cu formarea hashurilor. În sistemele IT avansate care generează cantități mari de date, baza de date a amprentelor poate atinge o astfel de dimensiune încât verificarea traficului pentru potriviri cu standardul va încetini serios întregul sistem informațional.

Avantajul soluțiilor este că eficiența analizei statistice nu depinde de limbaj și de prezența informațiilor non-textuale în document. Hașul este la fel de bine îndepărtat din expresia engleză, și din imagine și din fragmentul video.

Metodele lingvistice și statistice nu sunt potrivite pentru detectarea datelor de un anumit format pentru orice document, cum ar fi numerele de cont sau pașapoarte. Pentru a identifica astfel de structuri tipice în matricea de informații, tehnologiile de analiză a structurii formale sunt introduse în nucleul sistemului DLP.

O soluție DLP de înaltă calitate utilizează toate instrumentele de analiză care funcționează secvenţial, completându-se reciproc.

Puteți determina ce tehnologii sunt prezente în nucleu.

La fel de importante ca și funcționalitatea nucleului sunt nivelurile de control la care funcționează sistemul DLP. Sunt două dintre ele:

Dezvoltatorii de produse DLP moderne au abandonat implementarea separată a protecției layer, deoarece atât dispozitivele finale, cât și rețeaua trebuie protejate împotriva scurgerilor.

Control la nivel de rețeaîn același timp, ar trebui să ofere cea mai mare acoperire posibilă a protocoalelor și serviciilor de rețea. Vorbim nu numai despre canale „tradiționale” (, FTP,), ci și despre sisteme de schimb de rețea mai noi (Instant Messenger,). Din păcate, este imposibil să controlezi traficul criptat la nivel de rețea, dar această problemă a fost rezolvată în sistemele DLP la nivel de gazdă.

Control la nivel de gazdă vă permite să rezolvați mai multe sarcini de monitorizare și analiză. De fapt, serviciul de securitate a informațiilor primește un instrument de control complet asupra acțiunilor utilizatorului pe stația de lucru. DLP cu o arhitectură gazdă vă permite să urmăriți ce, ce documente, ce este tastat pe tastatură, să înregistrați materiale audio și să faceți. Traficul criptat este interceptat la nivelul stației de lucru finale (), iar datele care sunt în prezent procesate și stocate pe computerul utilizatorului sunt deschise pentru verificare.

Pe lângă rezolvarea sarcinilor obișnuite, sistemele DLP cu control la nivel de gazdă oferă măsuri suplimentare pentru asigurarea securității informațiilor: controlul instalării și modificării software-ului, blocarea porturilor I/O etc.

Dezavantajele unei implementări gazdă sunt că sistemele cu un set extins de funcții sunt mai greu de administrat, sunt mai solicitante cu resursele stației de lucru în sine. Serverul de control apelează în mod regulat modulul „agent” de pe dispozitivul final pentru a verifica disponibilitatea și relevanța setărilor. În plus, o parte din resursele stației de lucru ale utilizatorului vor fi inevitabil „mâncate” de modulul DLP. Prin urmare, chiar și în etapa de selectare a unei soluții pentru a preveni scurgerile, este important să acordați atenție cerințelor hardware.

Principiul separării tehnologiilor în sistemele DLP este de domeniul trecutului. Soluțiile software moderne pentru prevenirea scurgerilor folosesc metode care compensează neajunsurile reciproce. Datorită unei abordări integrate, datele confidențiale din perimetrul de securitate a informațiilor devin mai rezistente la amenințări.

Performanța afacerii depinde în multe cazuri de menținerea confidențialității, integrității și disponibilității informațiilor. În prezent, una dintre cele mai presante amenințări în domeniul securității informațiilor (IS) este protecția datelor confidențiale împotriva acțiunilor neautorizate ale utilizatorilor.
Acest lucru se datorează faptului că majoritatea instrumentelor tradiționale de protecție, cum ar fi antivirusurile, firewall-urile (Firewall) și sistemele de prevenire a intruziunilor (IPS) nu sunt capabile să ofere protecție eficientă împotriva persoanelor din interior (insiders), al căror scop poate fi transferul de informații. în afara companiei pentru utilizare ulterioară. – vânzări, transferuri către terți, publicații în domeniul public etc. Pentru a rezolva problema scurgerilor accidentale și intenționate de date confidențiale, concepute Sisteme de prevenire a pierderii datelor (DLP)..
Astfel de sisteme creează un „perimetru digital” securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de intrare. Informațiile controlate nu sunt doar traficul pe Internet, ci și o serie de alte fluxuri de informații: documente care sunt luate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise către mediile mobile prin Bluetooth, WiFi etc.
Sistemele DLP analizează fluxurile de date care traversează perimetrul sistemului informațional protejat. Atunci când în acest flux sunt detectate informații confidențiale, componenta activă a sistemului este declanșată și transmiterea unui mesaj (pachet, flux, sesiune) este blocată. Identificarea informațiilor confidențiale în fluxurile de date se realizează prin analiza conținutului și identificarea caracteristicilor speciale: semnătura documentului, etichete special introduse, valorile funcției hash dintr-un anumit set etc.
Sistemele DLP moderne au un număr mare de parametri și caracteristici care trebuie luate în considerare atunci când alegeți o soluție de organizare a protecției informațiilor confidențiale împotriva scurgerilor. Poate cea mai importantă dintre acestea este arhitectura de rețea folosită. Conform acestui parametru, produsele clasei luate în considerare sunt împărțite în două grupuri mari: gateway (Fig. 1) și gazdă (Fig. 2).
Primul grup utilizează un singur server către care este direcționat tot traficul de rețea de ieșire al sistemului de informații corporative. Acest gateway îl prelucrează pentru a detecta posibile scurgeri de date confidențiale.

Orez. 1. Diagrama funcțională a unei soluții gateway DLP

A doua opțiune se bazează pe utilizarea unor programe speciale - agenți care sunt instalați pe nodurile finale ale rețelei - stații de lucru, servere de aplicații etc.

Orez. 2. Diagrama funcțională a soluției gazdă DLP

Recent, a existat o tendință puternică spre universalizarea sistemelor DLP. Nu există sau aproape deloc soluții rămase pe piață care ar putea fi numite soluții pur gazdă sau gateway. Chiar și acei dezvoltatori care au dezvoltat o singură direcție de mult timp adaugă module de al doilea tip la soluțiile lor.
Există două motive pentru trecerea la universalizarea soluțiilor DLP. Prima dintre ele este diferite domenii de aplicare pentru diferite tipuri de sisteme. După cum am menționat mai sus, soluțiile de gazdă DLP vă permit să controlați toate tipurile de canale locale și de rețea - Internet pentru scurgerea de informații confidențiale. Pe baza faptului că în marea majoritate a cazurilor o organizație are nevoie de protecție deplină, are nevoie de ambele. Al doilea motiv pentru universalizare îl reprezintă unele caracteristici și limitări tehnologice care nu permit sistemelor DLP pur gateway să controleze pe deplin toate canalele de Internet necesare.
Deoarece nu este posibilă interzicerea completă a utilizării canalelor de transmisie a datelor potențial periculoase, este posibil să le puneți sub control. Esența controlului este monitorizarea tuturor informațiilor transmise, identificarea informațiilor confidențiale dintre acestea și efectuarea anumitor operațiuni specificate de politica de securitate a organizației. Evident, sarcina principală, cea mai importantă și consumatoare de timp este analiza datelor. De calitatea sa depinde eficiența întregului sistem DLP.

Metode de analiză a fluxului de date pentru DLP

Sarcina de a analiza fluxul de date pentru a identifica informațiile confidențiale poate fi numită în siguranță non-trivială. Deoarece căutarea datelor necesare este complicată de mulți factori care trebuie luați în considerare. Prin urmare, până în prezent, au fost dezvoltate mai multe tehnologii pentru a detecta încercările de transfer de date confidențiale. Fiecare dintre ele diferă de altele prin principiul său de funcționare.
În mod convențional, toate metodele de detectare a scurgerilor pot fi împărțite în două grupuri. Prima include acele tehnologii care se bazează pe analiza textelor mesajelor sau documentelor transmise în sine (anale morfologice și statistice, șabloane). Prin analogie cu protecția antivirus, acestea pot fi numite proactive. Al doilea grup este format din metode reactive (printuri și mărci digitale). Ele detectează scurgeri prin proprietățile documentelor sau prezența unor semne speciale în ele.

Analiza morfologică

Analiza morfologică este una dintre metodele de conținut cele mai comune pentru detectarea scurgerilor de informații confidențiale. Esența acestei metode este de a căuta anumite cuvinte și/sau expresii în textul transmis.
Principalul avantaj al acestei metode este versatilitatea sa. Pe de o parte, analiza morfologică poate fi folosită pentru a controla orice canale de comunicare, de la fișiere copiate la unități amovibile la mesaje în ICQ, Skype, rețele sociale, iar pe de altă parte, orice text poate fi analizat și orice informație urmărită. În același timp, documentele confidențiale nu necesită nicio prelucrare prealabilă. Și protecția intră în vigoare imediat după ce regulile de procesare sunt activate și se aplică tuturor canalelor de comunicare specificate.
Principalul dezavantaj al analizei morfologice este eficiența relativ scăzută de detectare a informațiilor confidențiale. Mai mult, depinde atât de algoritmii utilizați în sistemul de protecție, cât și de calitatea nucleului semantic folosit pentru a descrie datele protejate.

analize statistice

Principiul de funcționare al metodelor statistice constă în analiza probabilistică a textului, ceea ce ne permite să ne asumăm confidențialitatea sau deschiderea acestuia. Munca lor necesită, de obicei, pregătirea preliminară a algoritmului. În timpul acesteia, se calculează probabilitatea de a găsi anumite cuvinte, precum și fraze în documente confidențiale.
Avantajul analizei statistice este versatilitatea acesteia. În același timp, trebuie remarcat faptul că această tehnologie funcționează în modul normal doar ca parte a menținerii învățării constante a algoritmului. Deci, de exemplu, dacă în procesul de învățare sistemului i sa oferit un număr insuficient de contracte, atunci nu va putea determina faptul transferului acestora. Adică, calitatea analizei statistice depinde de corectitudinea setărilor acesteia. În același timp, este necesar să se țină cont de natura probabilistică a acestei tehnologii.

Expresii regulate (modele)

Esența metodei este următoarea: administratorul de securitate definește un șablon de șir pentru datele confidențiale: numărul de caractere și tipul acestora (litera sau numărul). După aceea, sistemul începe să caute combinații în textele analizate care să-l satisfacă și aplică acțiunile specificate în reguli fișierelor sau mesajelor găsite.
Principalul avantaj al șabloanelor este eficiența ridicată a detectării transferului de informații confidențiale. În ceea ce privește incidentele de scurgeri accidentale, aceasta tinde la 100%. Cazurile cu transferuri intenționate sunt mai complicate. Cunoscând capacitățile sistemului DLP folosit, un atacator îl poate contracara, în special, prin separarea personajelor cu caractere diferite. Prin urmare, metodele folosite pentru protejarea informațiilor confidențiale trebuie păstrate secrete.
Dezavantajele șabloanelor includ, în primul rând, domeniul limitat de aplicare a acestora. Acestea pot fi utilizate numai pentru informații standardizate, cum ar fi protecția datelor cu caracter personal. Un alt dezavantaj al metodei luate în considerare este frecvența relativ mare a rezultatelor fals pozitive. De exemplu, un număr de pașaport este format din șase cifre. Dar, dacă setați un astfel de model, atunci va funcționa de fiecare dată când se găsesc 6 cifre la rând. Și acesta poate fi numărul contractului trimis clientului, suma etc.

Printuri digitale

În acest caz, o amprentă digitală este înțeleasă ca un întreg ansamblu de elemente caracteristice ale unui document, prin care poate fi determinată cu mare siguranță în viitor. Soluțiile DLP moderne sunt capabile să detecteze nu numai fișiere întregi, ci și fragmente ale acestora. În acest caz, puteți chiar să calculați gradul de conformitate. Astfel de soluții vă permit să creați reguli diferențiate care descriu acțiuni diferite pentru diferite procente de potrivire.
O caracteristică importantă a printurilor digitale este că acestea pot fi utilizate nu numai pentru text, ci și pentru documente de foi de calcul, precum și pentru imagini. Aceasta deschide un câmp larg pentru aplicarea tehnologiei luate în considerare.

Etichete digitale

Principiul acestei metode este următorul: pe documentele selectate se aplică mărci speciale, care sunt vizibile numai modulelor client ale soluției DLP utilizate. În funcție de prezența acestora, sistemul permite sau interzice anumite acțiuni cu fișiere. Acest lucru permite nu numai prevenirea scurgerii documentelor confidențiale, ci și limitarea muncii utilizatorilor cu acestea, ceea ce este un avantaj incontestabil al acestei tehnologii.
Dezavantajele acestei tehnologii includ, în primul rând, domeniul limitat de aplicare a acesteia. Poate fi folosit pentru a proteja doar documentele text și pe cele deja existente. Acest lucru nu se aplică documentelor nou create. Parțial, acest dezavantaj este nivelat prin metode de creare automată a etichetelor, de exemplu, pe baza unui set de cuvinte cheie. Cu toate acestea, acest aspect reduce tehnologia etichetelor digitale la tehnologia analizei morfologice, adică, de fapt, la duplicarea tehnologiilor.
Un alt dezavantaj al tehnologiei etichetelor digitale este că poate fi ocolită cu ușurință. Este suficient să tastați manual textul documentului în scrisoare (nu-l copiați prin clipboard, ci tastați-l), iar această metodă va fi neputincioasă. Prin urmare, este bun numai în combinație cu alte metode de protecție.

Principalele funcții ale sistemelor DLP:

Principalele funcții ale sistemelor DLP sunt vizualizate în figura de mai jos (Fig. 3)

  • controlul transferului de informații prin Internet folosind E-Mail, HTTP, HTTPS, FTP, Skype, ICQ și alte aplicații și protocoale;
  • controlul salvării informațiilor pe medii externe - CD, DVD, flash, telefoane mobile etc.;
  • protecția informațiilor împotriva scurgerilor prin controlul ieșirii datelor pentru imprimare;
  • blocarea încercărilor de trimitere/salvare a datelor confidențiale, informarea administratorilor de securitate a informațiilor despre incidente, crearea de copii umbră, utilizarea unui folder de carantină;
  • căutarea de informații confidențiale pe stațiile de lucru și serverele de fișiere prin cuvinte cheie, etichete de documente, atribute ale fișierelor și amprente digitale;
  • prevenirea scurgerilor de informații prin controlul ciclului de viață și mișcarea informațiilor confidențiale.

Orez. 3. Principalele funcții ale sistemelor DLP

Protecția informațiilor confidențiale într-un sistem DLP se realizează la trei niveluri:

Nivelul 1 - Date în mișcare– date transmise pe canalele de rețea:

  • web (protocoale HTTP/HTTPS);
  • servicii de mesagerie instant (ICQ, QIP, Skype, MSN etc.);
  • corespondență corporativă și personală (POP, SMTP, IMAP etc.);
  • sisteme wireless (WiFi, Bluetooth, 3G etc.);
  • ftp - conexiuni.

Nivelul 2 - Date în repaus- date stocate static pe:

  • servere;
  • posturi de lucru;
  • laptopuri;
  • sisteme de stocare a datelor (SHD).

Nivelul 3 - Date în uz– date utilizate pe stațiile de lucru.

Sistemul de clasă DLP include următoarele componente:

  • centru de control și monitorizare;
  • agenți pe stațiile de lucru ale utilizatorilor;
  • Gateway de rețea DLP instalat pe marginea Internetului.

În sistemele DLP, informațiile confidențiale pot fi determinate de o serie de caracteristici diferite, precum și în diferite moduri, principalele sunt:

  • analiza morfologică a informațiilor;
  • analiza statistica a informatiilor;
  • expresii regulate (şabloane);
  • metoda amprentei digitale;
  • metoda etichetei digitale.

Introducerea sistemelor DLP a fost mult timp nu doar o modă, ci o necesitate, deoarece scurgerea de date confidențiale poate duce la pagube uriașe companiei și, cel mai important, poate avea un impact pe termen lung asupra afacerii companiei. În acest caz, prejudiciul poate fi nu numai direct, ci și indirect. Pentru că pe lângă paguba principală, mai ales în cazul dezvăluirii de informații despre incident, compania ta „pierde fața”. Este foarte, foarte greu de evaluat prejudiciul din pierderea reputației în bani! Dar scopul final al creării unui sistem de securitate al tehnologiei informației este de a preveni sau de a minimiza daunele (directe sau indirecte, materiale, morale sau de altă natură) cauzate subiecților relațiilor informaționale printr-un impact nedorit asupra informației, purtătorilor acesteia și proceselor de prelucrare.

Nu ai găsit un răspuns la întrebarea ta? Uita-te aici
Denwer (server web local)Denwer (server web local)
Caracteristicile generale ale scanerelorCaracteristicile generale ale scanerelor
Proceduri stocate în T-SQL - Creați, modificați, ștergețiProceduri stocate în T-SQL - Creați, modificați, ștergeți