Internet Windows Android
Extinde
Acasă

Tehnologia DLP. DLP - ce înseamnă? Actualizați regulile de securitate la intervale regulate

28.01.2014 Serghei Korablev

Alegerea oricărui produs la nivel de întreprindere nu este o sarcină banală pentru specialiștii tehnici și factorii de decizie. Alegerea unui sistem de prevenire a pierderii datelor de protecție a scurgerilor de date (DLP) este și mai dificilă. Lipsa unui sistem conceptual unificat, studiile comparative independente regulate și complexitatea produselor în sine îi obligă pe consumatori să comande proiecte-pilot de la producători și să efectueze în mod independent numeroase teste, determinând gama propriilor nevoi și corelând-le cu capacitățile sistemelor care sunt testat

O astfel de abordare este cu siguranță corectă. O decizie echilibrată și, în unele cazuri, chiar câștigată cu greu, simplifică implementarea ulterioară și evită dezamăgirea în funcționarea unui anumit produs. Cu toate acestea, procesul de luare a deciziilor în acest caz poate fi amânat, dacă nu cu ani, atunci cu multe luni. În plus, expansiunea constantă a pieței, apariția de noi soluții și producători complică și mai mult sarcina de a alege nu numai un produs pentru implementare, ci și de a crea o listă scurtă preliminară de sisteme DLP adecvate. În astfel de condiții, revizuirile actualizate ale sistemelor DLP sunt de o valoare practică fără îndoială pentru specialiștii tehnici. Ar trebui inclusă o anumită soluție în lista de teste sau ar fi prea complex de implementat într-o organizație mică? Soluția poate fi scalată la o companie de 10.000 de angajați? Poate un sistem DLP să controleze fișierele CAD critice pentru afaceri? O comparație deschisă nu va înlocui testarea amănunțită, dar va ajuta la răspunsul la întrebările de bază care apar în etapa inițială a procesului de selecție DLP.

Membrii

Cele mai populare (conform centrului analitic Anti-Malware.ru de la jumătatea anului 2013) au fost selectate ca participanți sisteme DLP ale companiilor InfoWatch, McAfee, Symantec, Websense, Zecurion și Jet Infosystem de pe piața rusă de securitate a informațiilor.

Pentru analiză, au fost utilizate versiuni disponibile comercial ale sistemelor DLP la momentul pregătirii revizuirii, precum și documentația și recenziile deschise ale produselor.

Criteriile de comparare a sistemelor DLP au fost selectate în funcție de nevoile companiilor de diferite dimensiuni și industrii. Sarcina principală a sistemelor DLP este de a preveni scurgerile de informații confidențiale prin diverse canale.

Exemple de produse de la aceste companii sunt prezentate în figurile 1-6.
Figura 3 Produsul Symantec

Figura 4. Produs InfoWatch

Figura 5. Produs Websense

Figura 6. Produs McAfee

Moduri de operare

Două moduri principale de operare ale sistemelor DLP sunt active și pasive. Activ - de obicei principalul mod de operare, care blochează acțiunile care încalcă politicile de securitate, cum ar fi trimiterea de informații sensibile către o cutie poștală externă. Modul pasiv este folosit cel mai adesea în etapa de configurare a sistemului pentru a verifica și ajusta setările atunci când proporția de fals pozitive este mare. În acest caz, încălcările politicii sunt înregistrate, dar nu sunt impuse restricții privind circulația informațiilor (Tabelul 1).

Sub acest aspect, toate sistemele luate în considerare s-au dovedit a fi echivalente. Fiecare dintre DLP-uri poate funcționa atât în ​​modul activ, cât și în modul pasiv, ceea ce oferă clientului o anumită libertate. Nu toate companiile sunt pregătite să înceapă să opereze DLP imediat în modul de blocare - acest lucru este plin de întreruperi ale proceselor de afaceri, nemulțumiri din partea angajaților departamentelor controlate și reclamații (inclusiv cele justificate) din partea conducerii.

Tehnologii

Tehnologiile de detectare fac posibilă clasificarea informațiilor transmise prin canale electronice și identificarea informațiilor confidențiale. Astăzi, există mai multe tehnologii de bază și varietățile lor, similare în esență, dar diferite în implementare. Fiecare tehnologie are atât avantaje, cât și dezavantaje. În plus, diferite tipuri de tehnologii sunt potrivite pentru analiza informațiilor din diferite clase. Prin urmare, producătorii de soluții DLP încearcă să integreze numărul maxim de tehnologii în produsele lor (vezi Tabelul 2).

În general, produsele oferă un număr mare de tehnologii care, dacă sunt configurate corespunzător, asigură un procent ridicat de recunoaștere a informațiilor confidențiale. DLP McAfee, Symantec și Websense sunt destul de prost adaptate pentru piața rusă și nu pot oferi utilizatorilor suport pentru tehnologiile „lingvistice” - morfologie, analiză transliterație și text mascat.

Canale controlate

Fiecare canal de transmisie a datelor este un canal potențial pentru scurgeri. Chiar și un canal deschis poate anula toate eforturile serviciului de securitate a informațiilor care controlează fluxurile de informații. De aceea este atât de important să blocăm canalele care nu sunt folosite de angajați pentru muncă și să controlezi restul cu ajutorul sistemelor de prevenire a scurgerilor.

În ciuda faptului că cele mai bune sisteme DLP moderne sunt capabile să monitorizeze un număr mare de canale de rețea (vezi Tabelul 3), este recomandabil să blocați canalele inutile. De exemplu, dacă un angajat lucrează pe un computer doar cu o bază de date internă, este logic să-i dezactivezi complet accesul la Internet.

Concluzii similare sunt valabile și pentru canalele locale de scurgere. Adevărat, în acest caz poate fi mai dificil să blocați canalele individuale, deoarece porturile sunt adesea folosite pentru a conecta periferice, dispozitive I/O etc.

Criptarea joacă un rol special în prevenirea scurgerilor prin porturi locale, unități mobile și dispozitive. Instrumentele de criptare sunt destul de ușor de utilizat, utilizarea lor poate fi transparentă pentru utilizator. Dar, în același timp, criptarea elimină o întreagă clasă de scurgeri asociate cu accesul neautorizat la informații și cu pierderea unităților mobile.

Situația cu controlul agenților locali este în general mai proastă decât în ​​cazul canalelor de rețea (vezi Tabelul 4). Doar dispozitivele USB și imprimantele locale sunt controlate cu succes de toate produsele. De asemenea, în ciuda importanței criptării menționate mai sus, o astfel de posibilitate este prezentă doar în anumite produse, iar funcția de criptare forțată bazată pe analiza de conținut este prezentă doar în Zecurion DLP.

Pentru a preveni scurgerile, este important nu numai să recunoașteți datele sensibile în timpul transmiterii, ci și să limitați distribuirea informațiilor într-un mediu corporativ. Pentru a face acest lucru, producătorii includ instrumente în sistemele DLP care pot identifica și clasifica informațiile stocate pe serverele și stațiile de lucru din rețea (vezi Tabelul 5). Datele care încalcă politicile de securitate a informațiilor trebuie șterse sau mutate într-un spațiu de stocare securizat.

Pentru a detecta informații confidențiale pe nodurile rețelei corporative, se folosesc aceleași tehnologii ca și pentru controlul scurgerilor prin canale electronice. Principala diferență este arhitecturală. Dacă traficul de rețea sau operațiunile de fișiere sunt analizate pentru a preveni scurgerile, atunci informațiile stocate, conținutul stațiilor de lucru și ale serverelor de rețea sunt examinate pentru a detecta copiile neautorizate ale datelor confidențiale.

Dintre sistemele DLP considerate, doar InfoWatch și Dozor-Jet ignoră utilizarea mijloacelor pentru identificarea locațiilor de stocare a informațiilor. Aceasta nu este o caracteristică critică pentru prevenirea scurgerilor electronice, dar limitează foarte mult capacitatea sistemelor DLP de a preveni în mod proactiv scurgerile. De exemplu, atunci când un document confidențial este localizat într-o rețea corporativă, aceasta nu este o scurgere de informații. Cu toate acestea, dacă locația acestui document nu este reglementată, dacă proprietarii de informații și ofițerii de securitate nu știu despre locația acestui document, acest lucru poate duce la o scurgere. Accesul neautorizat la informații este posibil sau regulile de securitate corespunzătoare nu vor fi aplicate documentului.

Ușurință de gestionare

Caracteristici precum ușurința în utilizare și control pot fi la fel de importante ca și capacitățile tehnice ale soluțiilor. La urma urmei, un produs cu adevărat complex va fi dificil de implementat, proiectul va necesita mai mult timp, efort și, în consecință, finanțe. Un sistem DLP deja implementat necesită atenția specialiștilor tehnici. Fără întreținere adecvată, auditare regulată și ajustare a setărilor, calitatea recunoașterii informațiilor confidențiale va scădea semnificativ în timp.

Interfața de control în limba maternă a ofițerului de securitate este primul pas pentru a simplifica lucrul cu sistemul DLP. Nu numai că va face mai ușor de înțeles de ce este responsabilă această sau acea setare, dar va accelera semnificativ procesul de configurare a unui număr mare de parametri care trebuie configurați pentru ca sistemul să funcționeze corect. Engleza poate fi utilă chiar și pentru administratorii vorbitori de limbă rusă pentru o interpretare fără ambiguitate a conceptelor tehnice specifice (vezi Tabelul 6).

Majoritatea soluțiilor oferă o gestionare destul de convenabilă de la o singură consolă (pentru toate componentele) cu o interfață web (vezi Tabelul 7). Excepțiile sunt InfoWatch-ul rusesc (nu există o singură consolă) și Zecurion (nu există interfață web). În același timp, ambii producători au anunțat deja apariția unei console web în viitoarele lor produse. Lipsa unei singure console în InfoWatch se datorează bazei tehnologice diferite a produselor. Dezvoltarea propriei soluții de agenție a fost întreruptă de câțiva ani, iar actualul EndPoint Security este succesorul unui produs terț, EgoSecure (cunoscut anterior ca cynapspro), achiziționat de companie în 2012.

Un alt punct care poate fi atribuit dezavantajelor soluției InfoWatch este că pentru a configura și gestiona produsul emblematic DLP InfoWatch TrafficMonitor, trebuie să cunoașteți un limbaj special de scripting LUA, care complică funcționarea sistemului. Cu toate acestea, pentru majoritatea specialiștilor tehnici, perspectiva de a-și îmbunătăți propriul nivel profesional și de a învăța o limbă suplimentară, deși nu foarte comună, ar trebui percepută pozitiv.

Separarea rolurilor de administrator de sistem este necesară pentru a minimiza riscurile de a preveni apariția unui superutilizator cu drepturi nelimitate și alte mașinațiuni care utilizează DLP.

Înregistrare și raportare

Arhiva DLP este o bază de date care acumulează și stochează evenimente și obiecte (fișiere, scrisori, solicitări http etc.) înregistrate de senzorii sistemului în timpul funcționării acestuia. Informațiile colectate în baza de date pot fi utilizate în diverse scopuri, inclusiv pentru analizarea acțiunilor utilizatorilor, pentru salvarea copiilor de documente critice, ca bază pentru investigarea incidentelor de securitate a informațiilor. În plus, baza de date a tuturor evenimentelor este extrem de utilă în etapa de implementare a unui sistem DLP, deoarece ajută la analizarea comportamentului componentelor sistemului DLP (de exemplu, pentru a afla de ce anumite operațiuni sunt blocate) și pentru a ajusta setările de securitate (vezi Tabelul 8).

În acest caz, vedem o diferență arhitecturală fundamentală între DLP-urile rusești și cele occidentale. Acestea din urmă nu arhivează deloc. În acest caz, DLP în sine devine mai ușor de întreținut (nu este nevoie să întreținem, să stocați, să faceți backup și să studiați o cantitate imensă de date), dar nu să funcționeze. La urma urmei, arhiva evenimentelor ajută la configurarea sistemului. Arhiva ajută la înțelegerea de ce a fost blocată transmiterea informațiilor, pentru a verifica dacă regula a funcționat corect și pentru a face corecțiile necesare la setările sistemului. De asemenea, trebuie remarcat faptul că sistemele DLP au nevoie nu numai de configurarea inițială în timpul implementării, ci și de „ajustare” regulată în timpul funcționării. Un sistem care nu este întreținut corespunzător, care nu este ridicat de specialiști tehnici, va pierde foarte mult în calitatea recunoașterii informațiilor. Ca urmare, atât numărul de incidente, cât și numărul de fals pozitive vor crește.

Raportarea este o parte importantă a oricărei activități. Securitatea informațiilor nu face excepție. Rapoartele din sistemele DLP îndeplinesc mai multe funcții simultan. În primul rând, rapoartele concise și ușor de înțeles le permit șefilor serviciilor de securitate a informațiilor să monitorizeze rapid starea securității informațiilor fără a intra în detalii. În al doilea rând, rapoartele detaliate îi ajută pe ofițerii de securitate să ajusteze politicile de securitate și setările sistemului. În al treilea rând, rapoartele vizuale pot fi întotdeauna prezentate managerilor de top ai companiei pentru a demonstra rezultatele sistemului DLP și specialiștilor în securitatea informațiilor înșiși (a se vedea Tabelul 9).

Aproape toate soluțiile concurente discutate în recenzie oferă atât grafice, convenabile pentru managerii de top și șefii serviciilor de securitate a informațiilor, cât și rapoarte tabelare, mai potrivite pentru specialiștii tehnici. Rapoartele grafice lipsesc doar în DLP InfoWatch, pentru care au fost coborâte.

Certificare

Problema necesității certificării instrumentelor de securitate a informațiilor și în special a DLP este deschisă, iar experții discută adesea pe această temă în cadrul comunităților profesionale. Rezumând opiniile părților, ar trebui să se recunoască faptul că certificarea în sine nu oferă avantaje competitive serioase. În același timp, există o serie de clienți, în primul rând organizații guvernamentale, pentru care prezența unui anumit certificat este obligatorie.

În plus, procedura de certificare existentă nu se corelează bine cu ciclul de dezvoltare a software-ului. Drept urmare, consumatorii se confruntă cu o alegere: să cumpere o versiune deja depășită, dar certificată a produsului sau o versiune actualizată, dar necertificată. Modul standard de ieșire în această situație este achiziționarea unui produs certificat „la raft” și utilizarea noului produs într-un mediu real (vezi Tabelul 10).

Rezultatele comparației

Să rezumăm impresiile soluțiilor DLP considerate. În general, toți participanții au făcut o impresie favorabilă și pot fi folosiți pentru a preveni scurgerile de informații. Diferențele dintre produse vă permit să specificați domeniul de aplicare al acestora.

Sistemul InfoWatch DLP poate fi recomandat organizațiilor pentru care este esențial important să dețină un certificat FSTEC. Cu toate acestea, cea mai recentă versiune certificată a InfoWatch Traffic Monitor a fost testată la sfârșitul anului 2010, iar certificatul expiră la sfârșitul anului 2013. Soluțiile bazate pe agenți bazate pe InfoWatch EndPoint Security (cunoscute și ca EgoSecure) sunt mai potrivite pentru întreprinderile mici și pot fi utilizate separat de Traffic Monitor. Utilizarea combinată a Traffic Monitor și EndPoint Security poate cauza probleme de scalare în companiile mari.

Produsele producătorilor occidentali (McAfee, Symantec, Websense), potrivit agențiilor de analiză independente, sunt mult mai puțin populare decât cele rusești. Motivul este nivelul scăzut de localizare. Și nici măcar nu este vorba de complexitatea interfeței sau de lipsa documentației în limba rusă. Caracteristicile tehnologiilor de recunoaștere a informațiilor confidențiale, șabloanele și regulile preconfigurate sunt „ascuțite” pentru utilizarea DLP în țările occidentale și au ca scop îndeplinirea cerințelor de reglementare occidentale. Drept urmare, calitatea recunoașterii informațiilor în Rusia se dovedește a fi semnificativ mai proastă, iar conformitatea cu cerințele standardelor străine este adesea irelevantă. În același timp, produsele în sine nu sunt deloc rele, dar specificul utilizării sistemelor DLP pe piața rusă este puțin probabil să le permită să devină mai populare decât evoluțiile interne în viitorul apropiat.

Zecurion DLP se remarcă prin scalabilitate bună (singurul sistem DLP rusesc cu implementare confirmată pentru peste 10.000 de locuri de muncă) și maturitate tehnologică ridicată. Ceea ce este surprinzător este însă lipsa unei console web care să ajute la simplificarea managementului unei soluții de întreprindere care vizează diverse segmente de piață. Punctele forte ale Zecurion DLP includ recunoașterea de înaltă calitate a informațiilor confidențiale și o gamă completă de produse pentru prevenirea scurgerilor, inclusiv protecție la gateway, stații de lucru și servere, instrumente de detectare a locației și criptare a datelor.

Sistemul Dozor-Jet DLP, unul dintre pionierii pieței interne DLP, este distribuit pe scară largă în rândul companiilor rusești și continuă să își crească baza de clienți datorită conexiunilor extinse ale integratorului de sisteme Jet Infosystems, part-time și dezvoltatorului DLP. Deși din punct de vedere tehnologic DLP este oarecum în spatele omologilor săi mai puternici, utilizarea sa poate fi justificată în multe companii. În plus, spre deosebire de soluțiile străine, Dozor Jet vă permite să arhivați toate evenimentele și fișierele.


Canalele de scurgere care duc la eliminarea informațiilor din afara sistemului informațional al companiei pot fi scurgeri de rețea (de exemplu, e-mail sau ICQ), locale (utilizarea unităților USB externe), date stocate (baze de date). Separat, puteți evidenția pierderea de medii (memorie flash, laptop). Un sistem poate fi atribuit clasei DLP dacă îndeplinește următoarele criterii: multicanal (monitorizarea mai multor canale posibile de scurgere de date); management unificat (instrumente de management unificat pentru toate canalele de monitorizare); protecție activă (respectarea politicii de securitate); luând în considerare atât conținutul cât și contextul.

Avantajul competitiv al majorității sistemelor este modulul de analiză. Producătorii subliniază acest modul atât de mult încât adesea își denumesc produsele după el, de exemplu, „Soluție DLP bazată pe etichete”. Prin urmare, utilizatorul alege adesea soluții care nu se bazează pe performanță, scalabilitate sau alte criterii tradiționale pentru piața de securitate a informațiilor corporative, ci pe baza tipului de analiză a documentului utilizat.

Evident, întrucât fiecare metodă are avantajele și dezavantajele ei, utilizarea unei singure metode de analiză a documentelor face ca soluția să fie dependentă tehnologic de aceasta. Majoritatea producătorilor folosesc mai multe metode, deși una dintre ele este de obicei metoda „flagship”. Acest articol este o încercare de a clasifica metodele utilizate în analiza documentelor. Punctele forte și punctele slabe ale acestora sunt evaluate pe baza experienței de aplicare practică a mai multor tipuri de produse. Articolul nu ia în considerare în mod fundamental produse specifice, deoarece. sarcina principală a utilizatorului atunci când le alege este să elimine sloganurile de marketing precum „vom proteja totul de orice”, „tehnologie unică brevetată” și să realizeze cu ce va rămâne atunci când vânzătorii vor pleca.

Analiza containerelor

Această metodă analizează proprietățile unui fișier sau alt container (arhivă, criptodisc etc.) care conține informații. Numele colocvial pentru astfel de metode este „soluții pe etichete”, care reflectă destul de pe deplin esența lor. Fiecare container conține o etichetă care identifică în mod unic tipul de conținut conținut în container. Metodele menționate practic nu necesită resurse de calcul pentru a analiza informațiile mutate, deoarece eticheta descrie pe deplin drepturile utilizatorului de a muta conținutul pe orice rută. Într-o formă simplificată, un astfel de algoritm sună astfel: „există o etichetă - o interzicem, nu există nicio etichetă - o omitem”.

Avantajele acestei abordări sunt evidente: viteza de analiză și absența completă a erorilor de al doilea fel (când sistemul detectează din greșeală un document deschis ca fiind confidențial). Astfel de metode sunt numite „deterministe” în unele surse.

Dezavantajele sunt și ele evidente - sistemului îi pasă doar de informațiile etichetate: dacă eticheta nu este setată, conținutul nu este protejat. Este necesar să se elaboreze o procedură de etichetare a documentelor noi și primite, precum și un sistem de contracarare a transferului de informații dintr-un container etichetat într-unul neetichetat prin operațiuni tampon, operațiuni cu fișiere, copierea informațiilor din fișiere temporare etc.

Slăbiciunea unor astfel de sisteme se manifestă și în organizarea etichetării. Dacă sunt plasate de autorul documentului, atunci din intenție rău intenționată acesta are posibilitatea să nu marcheze informațiile pe care urmează să le fure. În absența unei intenții rău intenționate, mai devreme sau mai târziu va apărea neglijența sau neatenția. Dacă obligați să etichetați un anumit angajat, de exemplu, un ofițer de securitate a informațiilor sau un administrator de sistem, atunci acesta nu va putea întotdeauna să distingă conținutul confidențial de conținutul deschis, deoarece nu cunoaște în detaliu toate procesele din companie. Așadar, balanța de „alb” ar trebui postată pe site-ul companiei, iar balanța de „gri” sau „negru” nu poate fi scoasă din sistemul informațional. Dar numai contabilul-șef poate distinge unul de celălalt, adică. unul dintre autori.

Etichetele sunt de obicei împărțite în atribut, format și extern. După cum sugerează și numele, primele sunt plasate în atributele fișierului, cele din urmă sunt plasate în câmpurile fișierului propriu-zis, iar cele trei sunt atașate fișierului (asociate cu) prin programe externe.

Structuri de containere în IB

Uneori, avantajele soluțiilor bazate pe etichete sunt și cerințe de performanță scăzute pentru interceptori, deoarece aceștia verifică doar etichetele, adică. acționează ca turnichete în metrou: „dacă ai bilet – treci prin”. Cu toate acestea, nu uitați că miracolele nu se întâmplă - în acest caz, sarcina de calcul este transferată la stațiile de lucru.

Locul deciziilor pe etichete, oricare ar fi acestea, este protecția depozitelor de documente. Atunci când o companie are un depozit de documente, care, pe de o parte, este completat destul de rar, iar pe de altă parte, categoria și nivelul de confidențialitate al fiecărui document sunt cunoscute cu precizie, atunci cel mai ușor este să-i organizezi protecția folosind etichete. Puteți organiza plasarea etichetelor pe documentele care intră în depozit folosind o procedură organizatorică. De exemplu, înainte de a trimite un document la depozit, angajatul responsabil de funcționarea acestuia poate contacta autorul și specialistul cu întrebarea ce nivel de confidențialitate să se stabilească pentru document. Această sarcină este rezolvată cu succes în special cu ajutorul mărcilor de format, adică. fiecare document primit este stocat într-un format securizat și apoi eliberat la cererea angajatului, indicându-l ca fiind permis să fie citit. Soluțiile moderne vă permit să atribuiți drepturi de acces pentru o perioadă limitată de timp, iar după expirarea cheii, documentul pur și simplu încetează să fie citit. Conform acestei scheme, de exemplu, se organizează eliberarea documentației pentru licitațiile de achiziții publice din Statele Unite: sistemul de management al achizițiilor generează un document care poate fi citit fără posibilitatea de a modifica sau copia doar conținutul licitației. participanții enumerați în acest document. Cheia de acces este valabilă doar până la data limită de depunere a documentelor la concurs, după care documentul încetează să mai fie citit.

De asemenea, cu ajutorul soluțiilor bazate pe etichete, companiile organizează circulația documentelor în segmente închise ale rețelei în care circulă proprietatea intelectuală și secretele de stat. Probabil că acum, conform cerințelor Legii federale „Cu privire la datele cu caracter personal”, va fi organizat și fluxul de documente în departamentele de personal ale companiilor mari.

Analiza continutului

La implementarea tehnologiilor descrise în această secțiune, spre deosebire de cele descrise mai devreme, dimpotrivă, este complet indiferent în ce container este stocat conținutul. Scopul acestor tehnologii este de a extrage conținut semnificativ dintr-un container sau de a intercepta o transmisie printr-un canal de comunicare și de a analiza informațiile pentru conținutul interzis.

Principalele tehnologii în detectarea conținutului interzis în containere sunt controlul semnăturilor, controlul bazat pe hash și metodele lingvistice.

Semnături

Cea mai simplă metodă de control este de a căuta în fluxul de date o anumită secvență de caractere. Uneori, o secvență interzisă de caractere este numită „cuvânt stop”, dar într-un caz mai general poate fi reprezentată nu printr-un cuvânt, ci printr-un set arbitrar de caractere, de exemplu, prin aceeași etichetă. În general, această metodă nu poate fi atribuită analizei de conținut în toate implementările sale. De exemplu, la majoritatea dispozitivelor din clasa UTM, căutarea semnăturilor interzise în fluxul de date are loc fără extragerea textului din container, la analizarea fluxului „ca atare”. Sau, dacă sistemul este configurat doar pentru un cuvânt, atunci rezultatul muncii sale este determinarea unei potriviri de 100%, adică. metoda poate fi clasificată ca deterministă.

Cu toate acestea, mai des căutarea unei anumite secvențe de caractere este încă folosită în analiza textului. În marea majoritate a cazurilor, sistemele de semnătură sunt configurate pentru a căuta mai multe cuvinte și frecvența de apariție a termenilor, de ex. vom referi în continuare acest sistem la sistemele de analiză a conținutului.

Avantajele acestei metode includ independența față de limbă și ușurința de a completa dicționarul de termeni interziși: dacă doriți să utilizați această metodă pentru a căuta un cuvânt în pașto în fluxul de date, nu trebuie să cunoașteți această limbă, doar trebuie sa stii cum este scris. De asemenea, este ușor să adăugați, de exemplu, text rusesc transliterat sau limba „albaneză”, ceea ce este important, de exemplu, atunci când analizați texte SMS, mesaje ICQ sau postări de blog.

Dezavantajele devin evidente atunci când se folosește o limbă care nu este engleză. Din păcate, majoritatea producătorilor de sisteme de analiză a textului lucrează pentru piața americană, iar limba engleză este foarte „semnătură” - formele de cuvinte sunt cel mai adesea formate folosind prepoziții fără a schimba cuvântul în sine. În rusă, totul este mult mai complicat. Luați, de exemplu, cuvântul „secret” drag inimii unui ofițer de securitate a informațiilor. În engleză, înseamnă atât substantivul „secret”, adjectivul „secret”, cât și verbul „to keep secret”. În rusă, din rădăcina „secret” pot fi formate câteva zeci de cuvinte diferite. Acestea. dacă într-o organizație vorbitoare de limba engleză este suficient ca un ofițer de securitate a informațiilor să introducă un cuvânt, într-o organizație vorbitoare de limbă rusă va trebui să introducă câteva zeci de cuvinte și apoi să le schimbe în șase codificări diferite.

În plus, astfel de metode sunt instabile pentru codarea primitivă. Aproape toți cedează trucului preferat al spammerilor începători - înlocuirea personajelor cu altele similare. Autorul a demonstrat în mod repetat ofițerilor de securitate un truc elementar - trecerea textului confidențial prin filtre de semnătură. Este preluat un text care conține, de exemplu, expresia „top secret” și este configurat un interceptor de e-mail pentru această expresie. Dacă textul este deschis în MS Word, atunci o operațiune de două secunde: Ctrl + F, „găsește „o” (dispoziție rusă)”, „înlocuiește cu „o” (aspect în limba engleză)”, „înlocuiește tot”, „trimite document" - face documentul absolut invizibil pentru acest filtru. Este cu atât mai dezamăgitor că o astfel de înlocuire este efectuată prin mijloace obișnuite de MS Word sau orice alt editor de text, de ex. acestea sunt disponibile utilizatorului, chiar dacă acesta nu are drepturi de administrator local și capacitatea de a rula programe de criptare.

Cel mai adesea, controlul fluxului bazat pe semnătură este inclus în funcționalitatea dispozitivelor UTM, de exemplu. soluții care curăță traficul de viruși, spam, intruziuni și orice alte amenințări care sunt detectate de semnături. Deoarece această funcție este „gratuită”, utilizatorii simt adesea că acest lucru este suficient. Astfel de soluții protejează cu adevărat împotriva scurgerilor accidentale, de exemplu. în cazurile în care textul trimis nu este schimbat de către expeditor pentru a ocoli filtrul, dar sunt neputincioși împotriva utilizatorilor rău intenționați.

măști

O extensie a funcționalității căutării semnăturilor de cuvinte oprite este căutarea măștilor acestora. Este o căutare a unui astfel de conținut care nu poate fi specificat cu exactitate în baza de „cuvinte stop”, dar poate fi specificat elementul sau structura acestuia. Astfel de informații ar trebui să includă orice coduri care caracterizează o persoană sau o întreprindere: TIN, numere de conturi, documente etc. Este imposibil să le cauți folosind semnături.

Este nerezonabil să setați numărul unui anumit card bancar ca obiect de căutare, dar doriți să găsiți orice număr de card de credit, indiferent de modul în care este scris - cu spații sau împreună. Aceasta nu este doar o dorință, ci o cerință a standardului PCI DSS: este interzisă trimiterea prin e-mail a numerelor de carduri din plastic necriptate, de ex. este responsabilitatea utilizatorului să găsească astfel de numere în e-mail și să renunțe la mesajele interzise.

Iată, de exemplu, o mască care specifică un cuvânt stop, cum ar fi numele unui ordin confidențial sau secret, al cărui număr începe de la zero. Masca ia în considerare nu numai un număr arbitrar, ci și orice caz și chiar înlocuirea literelor rusești cu cele latine. Masca este scrisă în notația standard „REGEXP”, deși diferite sisteme DLP pot avea o notație proprie, mai flexibilă. Situația este și mai gravă cu numerele de telefon. Aceste informații sunt clasificate ca date personale și le puteți scrie într-o duzină de moduri - folosind diferite combinații de spații, diferite tipuri de paranteze, plus și minus etc. Aici, poate, o singură mască este indispensabilă. De exemplu, în sistemele anti-spam, unde o sarcină similară trebuie rezolvată, câteva zeci de măști sunt folosite simultan pentru a detecta un număr de telefon.

Multe coduri diferite înscrise în activitățile companiilor și ale angajaților acestora sunt protejate de multe legi și reprezintă secrete comerciale, secrete bancare, date personale și alte informații protejate legal, astfel încât problema detectării lor în trafic este o condiție prealabilă pentru orice soluție.

Funcții hash

Diverse tipuri de funcții hash pentru mostre de documente confidențiale au fost la un moment dat considerate un cuvânt nou pe piața de protecție împotriva scurgerilor, deși tehnologia în sine există încă din anii 1970. În Occident, această metodă este uneori numită „amprente digitale”, adică. „amprentele digitale” sau „shindles” în argou științific.

Esența tuturor metodelor este aceeași, deși algoritmii specifici pentru fiecare producător pot diferi semnificativ. Unii algoritmi sunt chiar patentați, ceea ce confirmă unicitatea implementării. Scenariul general de acțiune este următorul: se colectează o bază de date cu mostre de documente confidențiale. De la fiecare dintre ele este luată o „amprentă”, adică. conținut semnificativ este extras din document, care este redus la o formă normală, de exemplu (dar nu neapărat) text, apoi hash-urile întregului conținut și părțile sale, cum ar fi paragrafe, propoziții, cinci cuvinte etc., sunt eliminate. , detaliul depinde de implementarea specifică. Aceste amprente sunt stocate într-o bază de date specială.

Documentul interceptat este șters de informațiile de serviciu în același mod și adus într-o formă normală, apoi amprentele digitale sunt îndepărtate din el folosind același algoritm. Printările primite sunt căutate în baza de date de printuri ale documentelor confidențiale, iar dacă este găsit, documentul este considerat confidențial. Deoarece această metodă este folosită pentru a găsi citate directe dintr-un document eșantion, tehnologia este uneori numită „anti-plagiat”.

Cele mai multe dintre avantajele acestei metode sunt și dezavantajele sale. În primul rând, aceasta este cerința de a utiliza documente eșantion. Pe de o parte, utilizatorul nu trebuie să-și facă griji cu privire la cuvintele stop, termenii semnificativi și alte informații care sunt complet nespecifice pentru ofițerii de securitate. Pe de altă parte, „fără model, fără protecție” pune aceleași probleme cu documentele noi și primite ca și în cazul tehnologiilor bazate pe etichete. Un avantaj foarte important al acestei tehnologii este concentrarea ei pe lucrul cu secvențe de caractere arbitrare. De aici rezultă, în primul rând, independența față de limba textului - chiar și hieroglife, chiar pașto. Mai mult, una dintre principalele consecințe ale acestei proprietăți este posibilitatea de a preleva amprente din informații non-textuale - baze de date, desene, fișiere media. Aceste tehnologii sunt pe care studiourile de la Hollywood și studiourile de înregistrări mondiale le folosesc pentru a proteja conținutul media din depozitele lor digitale.

Din păcate, funcțiile hash de nivel scăzut nu sunt robuste pentru codificarea primitivă discutată în exemplul de semnătură. Ei fac față cu ușurință schimbării ordinii cuvintelor, rearanjarea paragrafelor și alte trucuri ale „plagiatorilor”, dar, de exemplu, schimbarea literelor în întregul document distruge modelul hash și un astfel de document devine invizibil pentru interceptor.

Folosirea numai a acestei metode complică munca cu formulare. Deci, un formular de cerere de împrumut gol este un document distribuit gratuit, iar unul completat este confidențial, deoarece conține date personale. Dacă pur și simplu luați o amprentă dintr-un formular gol, atunci documentul completat interceptat va conține toate informațiile din formularul gol, adică. Imprimeurile se vor potrivi în mare măsură. Astfel, sistemul fie va lăsa informațiile confidențiale să treacă, fie va împiedica distribuirea liberă a formularelor goale.

În ciuda neajunsurilor menționate, această metodă este utilizată pe scară largă, mai ales într-o afacere care nu își poate permite angajați calificați, dar funcționează pe principiul „pune toate informațiile confidențiale în acest dosar și dormi bine”. În acest sens, solicitarea unor documente specifice pentru a le proteja este oarecum asemănătoare cu soluțiile bazate pe etichete, stocate doar separat de mostre și păstrate la schimbarea formatului fișierului, copierea unei părți a fișierului etc. Cu toate acestea, o afacere mare care are sute de mii de documente în circulație este adesea pur și simplu în imposibilitatea de a furniza mostre de documente confidențiale, deoarece. procesele de afaceri ale companiei nu o cer. Singurul lucru care este (sau, mai sincer, ar trebui să fie) în fiecare întreprindere este „Lista de informații care constituie un secret comercial”. A face modele din el nu este o sarcină banală.

Ușurința de a adăuga mostre la o bază de date de conținut controlată joacă adesea feste utilizatorilor. Acest lucru duce la o creștere treptată a bazei de amprentă, care afectează semnificativ performanța sistemului: cu cât mai multe mostre, cu atât mai multe comparații ale fiecărui mesaj interceptat. Deoarece fiecare imprimare ocupă de la 5 până la 20% din original, baza imprimeurilor crește treptat. Utilizatorii observă o scădere bruscă a performanței atunci când baza de date începe să depășească RAM-ul serverului de filtrare. De obicei, problema este rezolvată prin auditarea regulată a documentelor eșantioane și eliminarea mostrelor învechite sau duplicate, de ex. economisind la implementare, utilizatorii pierd din operare.

Metode lingvistice

Cea mai comună metodă de analiză astăzi este analiza lingvistică a textului. Este atât de populară încât este adesea menționată colocvial drept „filtrare de conținut”. poartă caracteristicile întregii clase de metode de analiză a conținutului. Din punct de vedere al clasificării, atât analiza hash, cât și analiza semnăturii, precum și analiza măștilor sunt „filtrare de conținut”, adică. filtrarea traficului pe baza analizei de conținut.

După cum sugerează și numele, metoda funcționează numai cu texte. Nu îl veți folosi pentru a proteja o bază de date formată doar din numere și date, în special desene, desene și o colecție de melodii preferate. Dar cu texte, această metodă face minuni.

Lingvistica ca știință constă din multe discipline - de la morfologie la semantică. Prin urmare, și metodele lingvistice de analiză diferă unele de altele. Există metode care folosesc doar cuvinte oprite, introduse doar la nivel de rădăcină, iar sistemul în sine alcătuiește deja un dicționar complet; există termeni bazați pe distribuția ponderilor întâlnite în text. Există metode lingvistice și amprentele lor bazate pe statistici; de exemplu, se ia un document, se numără cele cincizeci de cuvinte cele mai folosite, apoi se selectează cele 10 cuvinte cele mai folosite din fiecare paragraf. Un astfel de „dicționar” este o caracteristică aproape unică a textului și vă permite să găsiți citate semnificative în „clone”.

Analiza tuturor subtilităților analizei lingvistice nu intră în sfera acestui articol, așa că ne vom concentra asupra avantajelor și dezavantajelor.

Avantajul metodei este insensibilitatea totală la numărul de documente, adică. rar pentru scalabilitatea securității informațiilor corporative. Baza de filtrare a conținutului (un set de clase de vocabular cheie și reguli) nu se modifică în dimensiune în funcție de apariția documentelor sau proceselor noi în companie.

În plus, utilizatorii notează în această metodă asemănarea cu „cuvinte oprite” prin faptul că, dacă documentul este întârziat, atunci este imediat clar de ce s-a întâmplat acest lucru. Dacă un sistem bazat pe amprentă raportează că un document este similar cu altul, atunci ofițerul de securitate va trebui să compare el însuși cele două documente, iar în analiza lingvistică va primi conținut deja marcat. Sistemele lingvistice împreună cu filtrarea semnăturilor sunt atât de comune, deoarece vă permit să începeți să lucrați fără modificări în companie imediat după instalare. Nu este nevoie să vă deranjați cu etichetarea și amprentarea, inventarierea documentelor și alte lucrări nespecifice pentru un ofițer de securitate.

Dezavantajele sunt la fel de evidente, iar primul este dependența de limbă. În fiecare țară a cărei limbă este susținută de producător, acesta nu este un dezavantaj, ci din punctul de vedere al companiilor globale care au, pe lângă o singură limbă de comunicare corporativă (de exemplu, engleza), mult mai multe documente în local. limbi în fiecare țară, acesta este un dezavantaj clar.

Un alt dezavantaj este un procent mare de erori de tip II, care necesită o calificare în domeniul lingvisticii (pentru a regla baza de filtrare) pentru a o reduce. Bazele de date standard din industrie oferă de obicei o precizie de filtrare de 80-85%. Aceasta înseamnă că fiecare a cincea sau a șasea literă este interceptată din greșeală. Stabilirea bazei la o precizie acceptabilă de 95-97% este de obicei asociată cu intervenția unui lingvist special instruit. Și deși pentru a învăța cum să reglați baza de filtrare, este suficient să aveți două zile de timp liber și să vorbiți limba la nivelul unui absolvent de liceu, nu există nimeni care să facă această muncă, cu excepția unui ofițer de securitate și de obicei, el consideră că o astfel de muncă nu este de bază. Atragerea unei persoane din exterior este întotdeauna riscantă - la urma urmei, va trebui să lucreze cu informații confidențiale. Calea de ieșire din această situație este de obicei cumpărarea unui modul suplimentar - un „autolingvist”, care este „hrănit” cu false pozitive și adaptează automat baza standard de industrie.

Metodele lingvistice sunt alese atunci când doresc să minimizeze interferența în afacere, când serviciul de securitate a informațiilor nu dispune de resursa administrativă pentru a modifica procesele existente de creare și stocare a documentelor. Ele funcționează mereu și peste tot, deși cu dezavantajele menționate.

Canale populare de scurgeri accidentale medii de stocare mobile

Analiștii InfoWatch cred că mediile mobile (laptop-uri, unități flash, comunicatoare mobile etc.) rămân cel mai popular canal pentru scurgeri accidentale, deoarece utilizatorii unor astfel de dispozitive neglijează adesea instrumentele de criptare a datelor.

O altă cauză comună a scurgerilor accidentale este suportul de hârtie: este mai dificil de controlat decât suportul electronic, deoarece, de exemplu, după ce o coală părăsește imprimanta, poate fi monitorizată doar „manual”: controlul asupra suporturilor de hârtie este mai slab decât controlul asupra informatii de calculator. Multe instrumente de protecție împotriva scurgerilor (nu le puteți numi sisteme DLP cu drepturi depline) nu controlează canalul de ieșire a informațiilor către imprimantă, astfel încât datele confidențiale se scurg cu ușurință din organizație.

Această problemă poate fi rezolvată prin sisteme DLP multifuncționale care blochează trimiterea de informații neautorizate pentru tipărire și verifică corespondența adresei poștale și a destinatarului.

În plus, popularitatea în creștere a dispozitivelor mobile face mult mai dificilă protejarea împotriva scurgerilor, deoarece încă nu există clienți DLP corespunzători. În plus, este foarte dificil de detectat o scurgere în cazul criptografiei sau steganografiei. O persoană din interior, pentru a ocoli un fel de filtru, poate oricând să apeleze la Internet pentru „cele mai bune practici”. Adică, mijloacele DLP protejează destul de slab de o scurgere intenționată organizată.

Eficacitatea instrumentelor DLP poate fi împiedicată de defectele lor evidente: soluțiile moderne de protecție împotriva scurgerilor nu vă permit să controlați și să blocați toate canalele de informații disponibile. Sistemele DLP vor monitoriza e-mailul corporativ, utilizarea web, mesageria instantanee, mediile externe, imprimarea documentelor și conținutul hard diskului. Dar Skype rămâne scăpat de sub control pentru sistemele DLP. Doar Trend Micro a reușit să declare că poate controla funcționarea acestui program de comunicare. Dezvoltatorii rămași promit că funcționalitatea corespunzătoare va fi furnizată în următoarea versiune a software-ului lor de securitate.

Dar dacă Skype promite să-și deschidă protocoalele pentru dezvoltatorii DLP, alte soluții, precum Microsoft Collaboration Tools pentru organizarea colaborării, rămân închise programatorilor terți. Cum se controlează transmiterea informațiilor pe acest canal? Între timp, în lumea modernă, practica se dezvoltă atunci când specialiștii se unesc de la distanță în echipe pentru a lucra la un proiect comun și se dezintegrează după finalizarea acestuia.

Principalele surse de scurgere de informații confidențiale în prima jumătate a anului 2010 sunt în continuare organizațiile comerciale (73,8%) și guvernamentale (16%). Aproximativ 8% dintre scurgeri provin de la instituții de învățământ. Natura scurgerii de informații confidențiale sunt datele personale (aproape 90% din toate scurgerile de informații).

Liderii în materie de scurgeri din lume sunt în mod tradițional Statele Unite și Marea Britanie (Canada, Rusia și Germania sunt, de asemenea, în primele cinci țări după cel mai mare număr de scurgeri, cu rate semnificativ mai mici), ceea ce se datorează particularității legislației. din aceste țări, ceea ce necesită raportarea tuturor incidentelor de scurgere de date confidențiale. Analiștii de la Infowatch prevăd o scădere a ponderii scurgerilor accidentale și o creștere a ponderii scurgerilor intenționate anul viitor.

Dificultăți de implementare

Pe lângă dificultățile evidente, implementarea DLP este îngreunată și de dificultatea de a alege soluția potrivită, deoarece diverși furnizori de sisteme DLP își profesează propriile abordări în ceea ce privește organizarea protecției. Unii au algoritmi patentați pentru analiza conținutului după cuvinte cheie, în timp ce alții oferă o metodă de amprentă digitală. Cum să alegi cel mai bun produs în aceste condiții? Ce este mai eficient? Este foarte dificil să răspunzi la aceste întrebări, deoarece există foarte puține implementări ale sistemelor DLP astăzi și există și mai puține practici reale pentru utilizarea lor (pe care ne-ar putea baza). Dar acele proiecte care au fost totuși implementate au arătat că consultanța reprezintă mai mult de jumătate din sfera de activitate și buget, iar acest lucru provoacă de obicei un mare scepticism în rândul conducerii. În plus, de regulă, procesele de afaceri existente ale întreprinderii trebuie să fie restructurate pentru a îndeplini cerințele DLP, iar companiile întâmpină dificultăți în a face acest lucru.

În ce măsură introducerea DLP ajută la respectarea cerințelor actuale ale autorităților de reglementare? În Occident, introducerea sistemelor DLP este motivată de legi, standarde, cerințe ale industriei și alte reglementări. Potrivit experților, cerințele legale clare disponibile în străinătate, liniile directoare pentru asigurarea cerințelor sunt adevăratul motor al pieței DLP, deoarece introducerea de soluții speciale elimină pretențiile autorităților de reglementare. Avem cu totul altă situație în acest domeniu, iar introducerea sistemelor DLP nu ajută la respectarea legii.

Un stimulent pentru introducerea și utilizarea DLP într-un mediu corporativ poate fi nevoia de a proteja secretele comerciale ale companiilor și de a respecta cerințele legii federale „Cu privire la secretele comerciale”.

Aproape fiecare întreprindere a adoptat documente precum „Regulamentul privind secretele comerciale” și „Lista informațiilor care constituie un secret comercial”, iar cerințele acestora trebuie respectate. Există o opinie că legea „Cu privire la secretele comerciale” (98-FZ) nu funcționează, totuși, directorii companiei sunt bine conștienți că este important și necesar ca ei să-și protejeze secretele comerciale. Mai mult, această conștientizare este mult mai mare decât înțelegerea importanței legii „Cu privire la datele cu caracter personal” (152-FZ), și este mult mai ușor pentru orice manager să explice necesitatea introducerii managementului confidențial al documentelor decât să vorbească despre protecție. a datelor personale.

Ce împiedică utilizarea DLP în procesul de automatizare a protecției secretelor comerciale? Conform Codului civil al Federației Ruse, pentru a introduce un regim de protecție a secretelor comerciale, este necesar doar ca informațiile să aibă o anumită valoare și să fie incluse în lista corespunzătoare. În acest caz, proprietarul unor astfel de informații este obligat prin lege să ia măsuri pentru protejarea informațiilor confidențiale.

În același timp, este evident că DLP nu va putea rezolva toate problemele. În special, acoperă accesul la informații confidențiale către terți. Dar există și alte tehnologii pentru asta. Multe soluții moderne DLP se pot integra cu ele. Apoi, la construirea acestui lanț tehnologic, se poate obține un sistem de funcționare pentru protejarea secretelor comerciale. Un astfel de sistem va fi mai ușor de înțeles pentru afacere și afacerea este cea care va putea acționa ca client al sistemului de protecție împotriva scurgerilor.

Rusia și Occidentul

Potrivit analiștilor, Rusia are o atitudine diferită față de securitate și un alt nivel de maturitate al companiilor care furnizează soluții DLP. Piața rusă se concentrează pe specialiști în securitate și pe probleme de înaltă specializare. Oamenii de prevenire a încălcării datelor nu înțeleg întotdeauna ce date sunt valoroase. În Rusia, o abordare „militaristă” a organizării sistemelor de securitate: un perimetru puternic cu firewall-uri și se depun toate eforturile pentru a preveni pătrunderea în interior.

Dar ce se întâmplă dacă un angajat al companiei are acces la o cantitate de informații care nu sunt necesare pentru îndeplinirea sarcinilor sale? Pe de altă parte, dacă ne uităm la abordarea care s-a format în Occident în ultimii 10-15 ani, putem spune că se acordă mai multă atenție valorii informației. Resursele sunt direcționate către locul în care se află informațiile valoroase și nu către toate informațiile dintr-un rând. Poate că aceasta este cea mai mare diferență culturală dintre Occident și Rusia. Cu toate acestea, analiştii spun că situaţia se schimbă. Informația începe să fie percepută ca un activ al afacerii și va dura ceva timp pentru a evolua.

Nu există o soluție cuprinzătoare

Protecția 100% împotriva scurgerilor nu a fost încă dezvoltată de niciun producător. Problemele legate de utilizarea produselor DLP sunt formulate de unii experți după cum urmează: utilizarea eficientă a experienței de tratare a scurgerilor utilizate în sistemele DLP necesită înțelegerea faptului că trebuie făcută multă muncă pentru asigurarea protecției împotriva scurgerilor din partea clientului, deoarece nimeni nu cunoaște mai bine decât el fluxurile de informații.

Alții cred că este imposibil să se protejeze împotriva scurgerilor: este imposibil să se prevină scurgerile de informații. Deoarece informațiile sunt de valoare pentru cineva, vor fi primite mai devreme sau mai târziu. Instrumentele software pot face obținerea acestor informații mai costisitoare și consumatoare de timp. Acest lucru poate reduce semnificativ beneficiul deținerii de informații, relevanța acesteia. Aceasta înseamnă că eficiența sistemelor DLP ar trebui monitorizată.

»

Astăzi, piața sistemelor DLP este una dintre instrumentele de securitate a informațiilor cu cea mai rapidă creștere. Cu toate acestea, sfera internă de securitate a informațiilor nu a ținut pasul cu tendințele globale și, prin urmare, piața sistemelor DLP din țara noastră are propriile sale caracteristici.

Ce este DLP și cum funcționează?

Înainte de a vorbi despre piața sistemelor DLP, este necesar să decidem ce înseamnă, de fapt, atunci când vine vorba de astfel de soluții. Sistemele DLP sunt înțelese în mod obișnuit ca produse software care protejează organizațiile de scurgeri de informații confidențiale. Abrevierea DLP în sine înseamnă Data Leak Prevention, adică prevenirea scurgerilor de date.

Astfel de sisteme creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de intrare. Informațiile controlate ar trebui să fie nu numai traficul pe internet, ci și o serie de alte fluxuri de informații: documente care sunt preluate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise pe medii mobile prin Bluetooth etc.

Deoarece sistemul DLP trebuie să prevină scurgerea de informații confidențiale, acesta are în mod necesar mecanisme încorporate pentru a determina gradul de confidențialitate al unui document detectat în traficul interceptat. De regulă, două metode sunt cele mai comune: prin analizarea marcatorilor speciali de document și prin analizarea conținutului documentului. În prezent, a doua opțiune este mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care sistemul poate lucra.

Sarcini DLP „laterale”.

Pe lângă sarcina lor principală legată de prevenirea scurgerilor de informații, sistemele DLP sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de controlul acțiunilor personalului.

Cel mai adesea, sistemele DLP sunt folosite pentru a rezolva singure următoarele sarcini non-core:

  • monitorizarea utilizării timpului de lucru și a resurselor de lucru de către angajați;
  • monitorizarea comunicării angajaților pentru a identifica luptele „sub acoperire” care pot dăuna organizației;
  • controlul asupra legitimității acțiunilor angajaților (prevenirea tipăririi documentelor contrafăcute etc.);
  • identificarea angajatilor care trimit CV-uri pentru cautarea rapida a specialistilor pentru un post vacant.

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind o prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar în unele cazurile pot funcționa, de asemenea, ca un mijloc de a proteja organizația de scurgeri. Ceea ce deosebește astfel de programe de sistemele DLP cu drepturi depline este absența instrumentelor avansate pentru analiza datelor interceptate, care trebuie efectuate manual de un specialist în securitatea informațiilor, ceea ce este convenabil doar pentru organizațiile foarte mici (până la zece angajați controlați).

Tehnologia DLP

Digital Light Processing (DLP) este o tehnologie avansată inventată de Texas Instruments. Datorită acesteia, a fost posibil să se creeze proiectoare multimedia foarte mici, foarte ușoare (3 kg - este chiar greutatea?) Și, totuși, destul de puternice (mai mult de 1000 ANSI Lm).

Scurtă istorie a creației

Cu mult timp în urmă, într-o galaxie foarte departe...

În 1987 Dr. Larry J. Hornbeck a inventat dispozitiv digital multioglindă(Dispozitiv cu oglindă digitală sau DMD). Această invenție a completat decenii de cercetare Texas Instruments în domeniul micromecanic dispozitive oglinzi deformabile(Dispozitive cu oglindă deformabile sau din nou DMD). Esența descoperirii a fost respingerea oglinzilor flexibile în favoarea unei matrice de oglinzi rigide cu doar două poziții stabile.

În 1989, Texas Instruments devine una dintre cele patru companii selectate pentru a implementa porțiunea „proiector” a S.U.A. Display de înaltă definiție finanțat de Administrația Avansată de Cercetare și Dezvoltare (ARPA).

În mai 1992, TI demonstrează primul sistem bazat pe DMD care acceptă standardul modern de rezoluție pentru ARPA.

O versiune High-Definition TV (HDTV) a DMD bazată pe trei DMD-uri de înaltă definiție a fost prezentată în februarie 1994.

Vânzările în masă de cipuri DMD au început în 1995.

Tehnologia DLP

Un element cheie al proiectoarelor multimedia create folosind tehnologia DLP este o matrice de oglinzi microscopice (elementele DMD) realizate dintr-un aliaj de aluminiu cu o reflectivitate foarte mare. Fiecare oglindă este atașată de un substrat rigid, care este conectat la baza matricei prin plăci mobile. Electrozii conectați la celulele de memorie CMOS SRAM sunt plasați în unghiuri opuse ale oglinzilor. Sub acțiunea unui câmp electric, substratul cu oglindă ia una dintre cele două poziții care diferă cu exact 20° datorită limitatoarelor amplasate pe baza matricei.

Aceste două poziții corespund reflectării fluxului de lumină care intră în lentilă și, respectiv, un absorbant eficient de lumină care asigură o îndepărtare fiabilă a căldurii și o reflexie minimă a luminii.

Busul de date și matricea în sine sunt proiectate pentru a oferi până la 60 sau mai multe cadre de imagine pe secundă cu o rezoluție de 16 milioane de culori.

Matricea oglinzilor, împreună cu CMOS SRAM, alcătuiesc cipul DMD, baza tehnologiei DLP.

Dimensiunea mică a cristalului este impresionantă. Zona fiecărei oglinzi matrice este de 16 microni sau mai puțin, iar distanța dintre oglinzi este de aproximativ 1 micron. Cristalul, și nu unul, se potrivește cu ușurință în palma mâinii tale.

În total, dacă Texas Instruments nu ne înșală, sunt produse trei tipuri de cristale (sau cipuri) cu rezoluții diferite. Acest:

  • SVGA: 848×600; 508.800 de oglinzi
  • XGA: 1024×768 cu deschidere neagră (spațiu inter-slit); 786.432 oglinzi
  • SXGA: 1280×1024; 1.310.720 oglinzi

Deci, avem o matrice, ce putem face cu ea? Ei bine, bineînțeles, iluminați-l cu un flux luminos mai puternic și plasați un sistem optic în calea uneia dintre direcțiile de reflexie ale oglinzilor, care focalizează imaginea pe ecran. Pe calea cealaltă direcție, ar fi înțelept să plasați un absorbant de lumină, astfel încât lumina inutilă să nu cauzeze inconveniente. Aici putem proiecta deja imagini monocrome. Dar unde este culoarea? Unde este luminozitatea?

Dar aceasta, se pare, a fost invenția tovarășului Larry, despre care a fost discutată în primul paragraf al secțiunii despre istoria creării DLP. Dacă tot nu înțelegi care e treaba, pregătește-te, că acum ți se poate întâmpla un șoc :), pentru că această soluție elegantă și destul de evidentă este cea mai avansată și mai avansată tehnologic în domeniul proiecției imaginilor de astăzi.

Amintiți-vă de trucul copiilor cu o lanternă rotativă, lumina din care la un moment dat se îmbină și se transformă într-un cerc luminos. Această glumă a viziunii noastre ne permite să abandonăm complet sistemele de imagini analogice în favoarea celor complet digitale. La urma urmei, chiar și monitoarele digitale din ultima etapă au o natură analogică.

Dar ce se întâmplă dacă facem ca oglinda să treacă dintr-o poziție în alta cu o frecvență înaltă? Dacă neglijăm timpul de comutare al oglinzii (și datorită dimensiunilor sale microscopice, acest timp poate fi complet neglijat), atunci luminozitatea aparentă va scădea doar cu un factor de doi. Schimbând raportul de timp în care oglinda se află într-o poziție și alta, putem schimba cu ușurință luminozitatea aparentă a imaginii. Și, deoarece rata ciclului este foarte, foarte mare, nu va exista nicio pâlpâire vizibilă. Eureka. Deși nimic special, totul este cunoscut de mult timp :)

Ei bine, acum pentru atingerea finală. Dacă viteza de comutare este suficient de mare, atunci putem plasa filtre succesive pe calea fluxului de lumină și, prin urmare, putem crea o imagine color.

Aici, de fapt, este întreaga tehnologie. Vom urmări evoluția sa ulterioară pe exemplul proiectoarelor multimedia.

Dispozitiv proiector DLP

Texas Instruments nu produce proiectoare DLP, multe alte companii fac, cum ar fi 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, etc. Majoritatea proiectoarelor produse sunt portabile, cu o masă de 1,3 până la 8 kg și o putere de până la 2000 ANSI lumeni. Proiectoarele sunt împărțite în trei tipuri.

Proiector cu o singură matrice

Cel mai simplu tip pe care l-am descris deja este − proiector cu o singură matrice, unde un disc rotativ cu filtre de culoare - albastru, verde și roșu - este plasat între sursa de lumină și matrice. Frecvența de rotație a discului determină rata de cadre cu care suntem obișnuiți.

Imaginea este formată pe rând din fiecare dintre culorile primare, rezultând o imagine normală plină de culoare.

Toate, sau aproape toate, proiectoarele portabile sunt construite pe un tip cu o singură matrice.

O dezvoltare ulterioară a acestui tip de proiectoare a fost introducerea unui al patrulea filtru transparent de lumină, care face posibilă creșterea semnificativă a luminozității imaginii.

Proiector cu trei matrice

Cel mai complex tip de proiectoare este proiector cu trei matrice, unde lumina este împărțită în trei fluxuri de culoare și reflectată din trei matrice simultan. Un astfel de proiector are cea mai pură culoare și frecvență de cadre, nelimitată de viteza discului, ca în proiectoarele cu o singură matrice.

Potrivirea exactă a fluxului reflectat din fiecare matrice (convergență) este furnizată de o prismă, așa cum puteți vedea în figură.

Proiector dual matrix

Un tip intermediar de proiectoare este proiector dual matrix. În acest caz, lumina este împărțită în două fluxuri: roșu este reflectat dintr-o matrice DMD și albastru și verde din cealaltă. Filtrul de lumină, respectiv, îndepărtează componentele albastre sau verzi din spectru pe rând.

Un proiector cu matrice dublă oferă o calitate intermediară a imaginii în comparație cu tipurile cu o singură matrice și cu trei matrice.

Comparație dintre proiectoarele LCD și DLP

Comparativ cu proiectoarele LCD, proiectoarele DLP au o serie de avantaje importante:

Există dezavantaje ale tehnologiei DLP?

Dar teoria este teorie, dar în practică mai este de făcut. Principalul dezavantaj este imperfecțiunea tehnologiei și, ca urmare, problema lipirii oglinzilor.

Faptul este că, cu asemenea dimensiuni microscopice, piesele mici se străduiesc să se „lipească împreună”, iar o oglindă cu o bază nu face excepție.

În ciuda eforturilor depuse de Texas Instruments de a inventa noi materiale care să reducă aderența microoglinzilor, o astfel de problemă există, așa cum am văzut când am testat un proiector multimedia. Infocus LP340. Dar, trebuie să spun, ea nu interferează cu adevărat cu viața.

O altă problemă nu este atât de evidentă și constă în selecția optimă a modurilor de comutare a oglinzilor. Fiecare companie de proiectoare DLP are propria sa opinie în această privință.

Ei bine, ultimul. În ciuda timpului minim pentru comutarea oglinzilor dintr-o poziție în alta, acest proces lasă o urmă abia vizibilă pe ecran. Un fel de antialiasing gratuit.

Dezvoltarea tehnologiei

  • Pe lângă introducerea unui filtru de lumină transparent, se lucrează în mod constant pentru a reduce spațiul dintre oglinzi și zona coloanei care fixează oglinda de substrat (punct negru în mijlocul elementului de imagine).
  • Prin împărțirea matricei în blocuri separate și extinderea magistralei de date, frecvența de comutare în oglindă este crescută.
  • Se lucrează pentru creșterea numărului de oglinzi și reducerea dimensiunii matricei.
  • Puterea și contrastul fluxului luminos crește constant. Proiectoarele cu trei matrice cu o putere de peste 10.000 ANSI Lm și un raport de contrast de peste 1000:1 există deja astăzi și și-au găsit drumul în cinematografele de ultimă generație folosind medii digitale.
  • Tehnologia DLP este pe deplin pregătită să înlocuiască tehnologia de afișare CRT în sistemele home theater.

Concluzie

Nu este tot ce se poate spune despre tehnologia DLP, de exemplu, nu am atins subiectul folosirii matricelor DMD în tipărire. Dar vom aștepta până când Texas Instruments va confirma informațiile disponibile din alte surse, pentru a nu vă da un fals. Sper că această scurtă poveste este suficientă pentru a obține, dacă nu cea mai completă, dar suficientă idee despre tehnologie și să nu tortureze vânzătorii cu întrebări despre avantajele proiectoarelor DLP față de altele.


Mulțumim lui Alexey Slepynin pentru ajutor în pregătirea materialului

În zilele noastre, puteți auzi adesea despre tehnologii precum sistemele DLP. Ce este și unde se folosește? Acesta este un software conceput pentru a preveni pierderea datelor prin detectarea posibilelor încălcări în timpul trimiterii și filtrarii datelor. În plus, astfel de servicii monitorizează, detectează și blochează când este utilizat, când se mișcă (trafic de rețea) și când este stocat.

De regulă, scurgerea datelor confidențiale are loc din cauza utilizatorilor neexperimentați care lucrează cu echipamente sau este rezultatul unor acțiuni rău intenționate. Astfel de informații sub formă de informații private sau corporative, proprietate intelectuală (IP), informații financiare sau medicale, informații despre cardul de credit și altele asemenea necesită securitatea sporită pe care o poate oferi tehnologia informațională modernă.

Termenii „pierdere de date” și „scurgere de date” sunt legați și sunt adesea folosiți interschimbabil, deși sunt ușor diferiți. Cazurile de pierdere de informații se transformă în scurgerea acesteia atunci când sursa care conține informații confidențiale dispare și, ulterior, ajunge la o parte neautorizată. Cu toate acestea, scurgerea de date este posibilă fără pierderi.

Categorii DLP

Instrumentele tehnologice utilizate pentru combaterea scurgerilor de date pot fi împărțite în următoarele categorii: măsuri de securitate standard, măsuri inteligente (avansate), control acces și criptare, precum și sisteme DLP specializate (care sunt descrise în detaliu mai jos).

Măsuri standard

Măsurile standard de securitate, cum ar fi sistemele de detectare a intruziunilor (IDS) și software-ul antivirus, sunt mecanisme comune disponibile care țin computerele în siguranță de atacurile din exterior, precum și de atacurile din interior. Conectarea unui firewall, de exemplu, împiedică accesul persoanelor neautorizate la rețeaua internă, iar un sistem de detectare a intruziunilor detectează încercările de intruziune. Atacurile din interior pot fi prevenite prin scanări antivirus care detectează instalate pe PC care trimit informații confidențiale, precum și prin utilizarea serviciilor care funcționează într-o arhitectură client-server fără date personale sau confidențiale stocate pe computer.

Măsuri suplimentare de securitate

Măsurile de securitate suplimentare folosesc servicii foarte specializate și algoritmi de sincronizare pentru a detecta accesul anormal la date (adică baze de date sau sisteme de recuperare a informațiilor) sau schimburile anormale de e-mail. În plus, astfel de tehnologii informaționale moderne detectează programe și solicitări care vin cu intenții rău intenționate și efectuează verificări profunde asupra sistemelor informatice (de exemplu, recunoașterea tastelor sau a sunetelor difuzoarelor). Unele dintre aceste servicii sunt chiar capabile să monitorizeze activitatea utilizatorului pentru a detecta accesul neobișnuit la date.

Sisteme DLP proiectate personalizat - ce este?

Conceput pentru securitatea informațiilor, soluțiile DLP sunt folosite pentru a detecta și a preveni încercările neautorizate de a copia sau transfera date sensibile (intenționat sau neintenționat) fără permisiunea sau accesul, de obicei de la utilizatorii care au dreptul de a accesa date confidențiale.

Pentru a clasifica anumite informații și a reglementa accesul la acestea, aceste sisteme folosesc mecanisme precum potrivirea exactă a datelor, amprentarea structurată, acceptarea regulilor și a expresiilor regulate, publicarea frazelor de cod, definiții conceptuale și cuvinte cheie. Tipurile și compararea sistemelor DLP pot fi reprezentate după cum urmează.

Network DLP (cunoscut și ca data-in-motion sau DiM)

De regulă, este o soluție hardware sau software care este instalată în punctele de rețea care provin din apropierea perimetrului. Acesta analizează traficul de rețea pentru a detecta datele sensibile trimise cu încălcarea

Endpoint DLP (date la utilizare )

Astfel de sisteme funcționează pe stațiile de lucru ale utilizatorilor finali sau pe servere din diferite organizații.

Ca și în cazul altor sisteme de rețea, un punct final se poate adresa atât comunicațiilor interne, cât și externe și, prin urmare, poate fi utilizat pentru a controla fluxul de informații între tipuri sau grupuri de utilizatori (de exemplu, „firewall-uri”). De asemenea, sunt capabili să monitorizeze e-mailul și mesageria instantanee. Acest lucru se întâmplă după cum urmează - înainte ca mesajele să fie descărcate pe dispozitiv, acestea sunt verificate de serviciu, iar dacă conțin o solicitare nefavorabilă, sunt blocate. Ca urmare, acestea devin netrimite și nu sunt supuse regulilor de păstrare a datelor pe dispozitiv.

Sistemul DLP (tehnologia) are avantajul că poate controla și gestiona accesul la dispozitive de tip fizic (de exemplu, dispozitive mobile cu capacități de stocare) și uneori să acceseze informații înainte de a fi criptate.

Unele sisteme bazate pe puncte finale pot oferi, de asemenea, controlul aplicațiilor pentru a bloca încercările de a transmite informații sensibile, precum și pentru a oferi feedback imediat utilizatorului. Cu toate acestea, au dezavantajul că trebuie instalate pe fiecare stație de lucru din rețea și nu pot fi utilizate pe dispozitive mobile (de exemplu, telefoane mobile și PDA-uri) sau acolo unde nu pot fi instalate practic (de exemplu, la o stație de lucru dintr-un Internet cafe) . Această circumstanță trebuie luată în considerare atunci când alegeți un sistem DLP pentru orice scop.

Identificarea datelor

Sistemele DLP includ mai multe metode care vizează identificarea informațiilor secrete sau confidențiale. Uneori, acest proces este confundat cu decriptarea. Cu toate acestea, identificarea datelor este procesul prin care organizațiile folosesc tehnologia DLP pentru a determina ce să caute (în mișcare, în repaus sau în uz).

Datele sunt clasificate ca structurate sau nestructurate. Primul tip este stocat în câmpuri fixe dintr-un fișier (cum ar fi foile de calcul), în timp ce nestructurat se referă la text cu formă liberă (sub formă de documente text sau PDF).

Experții estimează că 80% din toate datele sunt nestructurate. În consecință, 20% sunt structurate. bazată pe analiza de conținut concentrată pe informații structurate și pe analiza contextuală. Se realizează la locul creării aplicației sau sistemului din care provin datele. Astfel, răspunsul la întrebarea „Sisteme DLP - ce este?” va servi drept definiție a algoritmului de analiză a informațiilor.

Metode utilizate

Metodele de descriere a conținutului sensibil astăzi sunt numeroase. Ele pot fi împărțite în două categorii: exacte și inexacte.

Metodele exacte sunt cele care au legătură cu analiza de conținut și practic anulează răspunsurile fals pozitive la solicitări.

Toate celelalte sunt imprecise și pot include: dicționare, cuvinte cheie, expresii regulate, expresii regulate extinse, metaetichete de date, analiză bayesiană, analiză statistică etc.

Eficacitatea analizei depinde direct de acuratețea acesteia. Un sistem DLP cu o evaluare mare are scoruri ridicate pentru acest parametru. Acuratețea identificării DLP este esențială pentru a evita falsele pozitive și consecințele negative. Precizia poate depinde de mulți factori, dintre care unii pot fi situaționali sau tehnologici. Testarea de precizie poate asigura fiabilitatea sistemului DLP - aproape zero fals pozitive.

Detectarea și prevenirea scurgerilor de informații

Uneori, sursa de distribuire a datelor pune la dispoziția terților informații confidențiale. După ceva timp, o parte din ea va fi găsită cel mai probabil într-un loc neautorizat (de exemplu, pe Internet sau pe laptopul altui utilizator). Sistemele DLP, al căror preț este furnizat de dezvoltatori la cerere și poate varia de la câteva zeci la câteva mii de ruble, trebuie apoi să investigheze modul în care s-au scurs datele - de la una sau mai multe terțe părți, dacă a fost independent unul de celălalt, dacă scurgerea a fost furnizat de orice atunci prin alte mijloace etc.

Date în repaus

„Date în repaus” se referă la informațiile arhivate vechi stocate pe oricare dintre hard disk-urile computerului client, pe un server de fișiere la distanță, pe un disc. De asemenea, această definiție se referă la datele stocate într-un sistem de backup (pe unități flash sau CD-uri) . Aceste informații sunt de mare interes pentru companii și guverne, pur și simplu pentru că o cantitate mare de date este stocată neutilizată în dispozitivele de stocare și este mai probabil să fie accesată de persoane neautorizate din afara rețelei.

Nu ai găsit un răspuns la întrebarea ta? Uita-te aici
Denwer (server web local)Denwer (server web local)
Caracteristicile generale ale scanerelorCaracteristicile generale ale scanerelor
Proceduri stocate în T-SQL - Creați, modificați, ștergețiProceduri stocate în T-SQL - Creați, modificați, ștergeți