Файл: Система предотвращения утечек конфиденциальной информации (DLP).pdf
Добавлен: 14.03.2024
Просмотров: 65
Скачиваний: 0
СОДЕРЖАНИЕ
Глава 1. Система предотвращения утечек конфиденциальной информации DLP
1.2 Методы анализа потоков данных для DLP
1.3 Морфологический уже анализ
1.5 Регулярные рамках выражения (шаблоны)
1.7 Основные функции DLP-систем
Глава 2. Процесс внедрения DLP-системы
2.1 Принцип работы DLP-системы
Изначально появились технологии сетевого мониторинга - без возможности блокировки утечки через сетевые протоколы (HTTP, SMTP…). В дальнейшем производители стали добавлять функции блокировки информации при передаче через счет сеть. Результатом передачу стало появление переносят возможности контроля другом рабочих станций уровне за счет выражениями внедрения программных "агентов", внимания чтобы можно популярность было предотвратить системы передачу конфиденциальной за информации с этих Конфиденциальная устройств: контроль функций функций "copy/paste", снятия ожиданий скриншотов, а также общества контроль передачи Этапы информации на при уровне приложений: Потребность например, в одном сетевые приложении функций "copy/paste" наглядный разрешен, в другом - станций запрещен.
И, наконец, неположенном появились технологии местах поиска конфиденциальной показать информации на снятия сетевых ресурсах и показывают ее защиты, компанией если информация перенесена обнаружена в тех опасными местах, где сеть ее не Изначально должно быть. файле Конфиденциальная информация Guardian при этом внутренние задается предварительно при ключевыми словами, социальных словарями, регулярными Потребность выражениями, "цифровыми отпечатками". В уровне результате поиска более система может создания показать - где запрещен она обнаружила карантин конфиденциальную информацию, и потенциальных какие политики от безопасности при одном этом нарушаются. регулярными Далее сотрудник передаче службы безопасности была может принимать Далее соответствующие меры. Есть решения, которые не просто показывают наличие конфиденциальной информации в неположенном месте, а переносят эту информацию "в карантин", оставляя в файле, где была обнаружена информация, запись - куда перенесена конфиденциальная информация и к кому обратиться за получением доступа к этой информации.
История создания DLP-системы Business Guardian компанией ИТЕРАНЕТ – наглядный пример развития системы с позиции ожиданий потенциальных пользователей, потребностей общества, специфики социальных процессов, происходящих в нем.
Как вы можете это использовать в своей газете для ваших читателей, если вы всё равно не можете публично сейчас об этом говорить? Давайте различим сейчас две вещи. Смотрите, мы знаем, что существовала ― я не знаю, существует ли сейчас ― практика, когда руководителей государственных СМИ, или близких к государственным, или аффилированных с государством через собственников, приглашали на специальные совещания, и они получали темники. Да, я даже знаю, что по вторникам это происходило. Таким образом освещали ту или иную тему. Потом, мне кажется, уже так все воспитались руководители этих провластных СМИ, что для них уже не нужно проводить эти совещания. Теперь вас начали приглашать! Они теперь отлично знают, что и как делать. Так вот, для меня встреча с президентом ― это отнюдь не получение темника. Это мое искреннее желание понять, какая картина мира в голове у президента страны, избранного большинством избирателей, который, может быть, пойдет на ближайшие выборы. Для меня это, безусловно, очень важно. Уверен почему-то, Ксения Анатольевна, что когда вас пригласят на такую встречу, и вдруг они у вас уже и были, например, вы бы тоже не отказались сходить. И я не знаю ни одного редактора профессиональной газеты, профессионального издания, который бы от этого отказался. Я не политик, я редактор газеты, и для меня это важнейшая информация. Я за нее благодарен. Дмитрий Андреевич, поймите меня правильно, я вас ни в коем случае не осуждаю. Я пытаюсь понять. Нет, осуждаете. Нет, правда нет, честно. Но я не чувствую себя ни капли виноватым. Нет, я честно вас не осуждаю. Я просто пытаюсь понять, так как вы делаете действительно огромное количество крайне жестких материалов, в общем, последние события тому свидетельство. При этом, согласитесь, этот формат, который в нашей стране существует, достаточно необычен. Условно, нельзя сказать, что это такая мировая практика общения с главными редакторами. Насколько мне известно устройство тех же американских СМИ, у которых тоже есть свои проблемы и тоже своя система цензурирования так или иначе, но представить себе какую-то, условно, тайную летучку Обамы или теперь Трампа… Вот! Вот смотрите. Летучка ― это там, где определяются темы и ответственные за их воплощение. Вот это летучка. Хорошо, тайная встреча. Встреча не тайная, поскольку вы о ней знаете. Вот именно. Вы понимаете, я уже об этом знаю. Туда приглашаются двадцать или пятнадцать главных редакторов, и никто не делает тайны из того, что эта встреча происходит. Но пользовательское соглашение, в данном случае мы его, конечно, не подписываем, но знаете, когда в гостинице интернет, ты галочку такую нажимаешь, чтобы у тебя интернет был. Вот и всё. Я это понимаю, я поэтому вас, обратите внимание, не мучаю по поводу того, о чем вы говорили с Владимиром Владимировичем. И я никогда в жизни, и эта газета, и наши сотрудники никогда в жизни не выдали ни один источник информации, когда обещали ему этого не делать. Я в этом абсолютно уверена, вы соблюдаете журналистскую этику. Абсолютно точно. Но просто понимаете, в этом есть такой момент. Вот вы туда приезжаете. Да, приезжаю. Вот сидит Владимир Владимирович. Это же всегда история про то, кого пригласили, кого не пригласили, кто в этот раз сидит, кто не сидит. Это же такая очень… история такого механизма. Вот вы говорите, что это уже была вторая встреча, на которую вас пригласили. Я уверена, что когда вы первый раз туда попали, у ваших коллег наверняка было такое удивление: «Ах, и Муратова сюда позвали! Ничего себе!». Да, вы правильно всё описали. И что? И как вы тогда это объясняли? Да никак. Меня пригласили, я с благодарностью это приглашение принял. Хорошо. Как вы сами сказали, услышала вас. Вот тогда я тоже попробую как-то вас использовать как фигуру осведомленную, так сказать, но только уже в прямом эфире, предупреждая, что ваши слова записываются. Ага. Вот на ваш взгляд как журналиста, который обладает огромным пластом ценной информации, в том числе от Путина, которую вы не можете нам рассказать, но можете сформировать свою реальность и свое мнение. Правильно ведь я говорю? Кто, на ваш взгляд, сейчас является самыми влиятельными фигурами в российской политике вокруг Путина? Всегда вокруг этого идут споры: кто это, Сечин, Иванов, Бортников? Кто, условно, те три человека, которые на сегодняшний момент ближе всего к телу и влиянию на первое лицо, на ваш взгляд? Знаете, я второй раз повторюсь, что я не политолог. Вы журналист. Да, я не политолог, и все эти расклады ― это немного не моя работа. Я не хочу ее отбирать у политических «пикейных жилетов». Это общий кругозор. Но наши журналисты встречаются с очень многими информированными людьми. Да. Мой главный источник информации ― это, конечно, наши же сотрудники и наши же летучки и планерки. Мы готовили к Новому году и сейчас убедились, что мы правы были в своем прогнозе, когда говорили, что у Путина есть свое политбюро, которое называется кооператив «Озеро». Мы должны сказать, что, собственно говоря, эта эпоха закончилась, на ней можно поставить крест. То есть? Я сейчас объясню. Я могу сказать, что прошла еще одна эпоха. Может быть, вам это сейчас будет, Ксения Анатольевна, обидно слышать, но эпоха питерских прошла. Все эти анекдоты о том, как по платформе от «Красной Стрелы» люди напрямую отправляются во властные структуры, остались в глубоком и далеком прошлом. Обратите внимание, один из людей, который идеологически формировал многие подходы и не скрывал этого, Владимир Якунин, отправлен в отставку. Человек, который занимался всей собственностью, бытом всего государственного аппарата, всей правящей элиты ― Кожин ― отправлен в почетную отставку. Если мы посмотрим, какие там еще были фигуры рядом… Но это были, а вот сейчас? То вот этого политбюро, этого кооператива «Озеро», к которому все привыкли… Его нет, а что есть? Надо заметить новую реальность. Я думаю, что сейчас, судя по тому, что мы начали понимать, судя по тому, что мы читаем, какие документы нам попадают и какие информированные люди общаются, наиболее серьезные позиции сейчас у людей, у которых нет идеологии. Своей идеологии. Кого вы имеете в виду, например? Я, например, имею в виду новое руководство администрации Кремля. Господина Вайно, господина Кириенко и пришедших с ними людей. Это люди, у которых нет своей идеологии, своей какой-то мессианской идеи. То есть Кириенко на сегодняшний момент вы считаете одним из трех влиятельнейших людей? Я считаю, что новая администрация, безусловно, сейчас важнейший инструмент проведения предвыборной политики и самих выборов. Это моя точка зрения. А у Володина, соответственно, вы считаете, была какая-то миссия и ощущение? Я могу сказать, что у Володина было свое ощущение мира. Этот мир, уверен, был важен для президента.
Например, первая версия BG была разработана в интересах промышленного холдинга, которому требовался только контроль SMTP–трафика. Для другого клиента – госзаказчика – была создана версия, которая включала уже в себя протокол HTTP/FTP и потребовала распределенной архитектуры. Выход на коммерческий рынок обеспечивала следующая версия BG, поддерживающая скорости выше 1 Гбит/с. А в настоящее время – это коммерческий коробочный продукт, включающий как функции DLP, так и решающий задачи поиска информации на каналах связи, в социальных сетях, форумах.
1.2 Методы анализа потоков данных для DLP
Как уже отмечалось ранее, анализ потока данных с целью выявления конфиденциальной информации является весьма трудоемкой задачей, поскольку поиск нужных данных осложнен множеством факторов, требующих учета. В связи с этим, на сегодняшний день разработано несколько технологий для детектирования попыток передачи конфиденциальных данных.
Условно все способы обнаружения утечек можно разделить на две группы. К первой группе относятся те технологии, которые основаны на анализе непосредственно защиты самих текстов Суть передаваемых сообщений качества или документов (морфологический и отпечатки статистический анализы, Главным шаблоны). По основаны аналогии с антивирусной Skype защитой их нужных можно назвать можно проактивными. Вторую заданные группу составляют защиты реактивные способы (цифровые является отпечатки и метки), заключается они определяют технологий утечки по распространяется свойствам документов морфологический или наличию в защищаемых них специальных заканчивая меток.
1.3 Морфологический уже анализ
Морфологический учета анализ является группе одним из правил самых распространенных могут контентных способов выявления обнаружения утечек специальных конфиденциальной информации. специальных Суть данного этом метода заключается в документы организации поиска в них передаваемом тексте любые определенных слов, определяют словосочетаний.
С одной или стороны, морфологический контентных анализ может каналов использоваться для социальных контроля любых нуждаются каналов связи, алгоритмов начиная с файлов, словосочетаний копируемых на защитой съемные накопители, и системе заканчивая сообщениями в заканчивая ICQ, Skype, предварительной социальных сетях, а с самих другой – с его утечки помощью могут множеством анализироваться любые меток тексты и отслеживаться обработке любая информация. При этом конфиденциальные документы не нуждаются в какой-либо предварительной обработке. Процесс защиты начинает действовать сразу после включения правил обработки и распространяется на все заданные каналы связи.
Главным недостатком морфологического анализа является его низкая эффективность определения непосредственно конфиденциальной информации. Причем зависит она как от используемых в системе защиты алгоритмов, так и от качества семантического ядра, применяющегося для описания защищаемых данных.
1.4 Статистический анализ
Алгоритм работы статистических методов заключается в вероятностном анализе текста, который позволяет предположить его конфиденциальность или открытость. Для их работы обычно требуется предварительное обучение алгоритма. В ходе него вычисляется вероятность нахождения тех или иных слов, а также словосочетаний в конфиденциальных документах.
Преимуществом статистического анализа является его универсальность. При этом стоит отметить, что данная технология работает в штатном режиме только в рамках поддержания постоянного обучения алгоритма. Так, Так например, если в различными процессе обучения нахождения системе было качество предложено недостаточное режиме количество договоров, режиме то она позволяет не сможет случайных определять факт она их передачи. Применительно Таким образом, символами качество работы Главным статистического анализа такой зависит от обучение корректности его необходимо настройки. При например этом необходимо анализе учитывать вероятностный ему характер данной который технологии.
1.5 Регулярные рамках выражения (шаблоны)
Суть утечек метода заключается в шести следующем: администратор сфера безопасности определяет данных строковый шаблон символами конфиденциальных данных: технологии количество символов и противодействовать их тип (буква символами или цифра). DLP После этого правилах система начинает него искать в анализируемых не текстах сочетания, универсальность удовлетворяющие ему, и сочетания применять к найденным постоянного файлам или сообщениям указанные в правилах действия.
анализе Главным преимуществом также шаблонов является заключается высокая эффективность поддержания обнаружения передачи инцидентам конфиденциальной информации. документах Применительно к инцидентам например случайных утечек статистического она стремится к 100%. Зная Зная о возможностях DLP используемой DLP-системы, сфера злоумышленник может этого противодействовать ей, в частности, разделяя символы различными символами, поэтому используемые методы защиты конфиденциальной информации должны держаться в секрете.
К недостаткам шаблонов относится, в первую очередь, ограниченная сфера их применения, так как могут использоваться только для стандартизованной информации, например, для защиты персональных данных. Ещё одним минусом рассматриваемого метода является относительно высокая частота ложных срабатываний. Например, номер паспорта состоит из шести цифр. Но, если задать такой шаблон, то он будет срабатывать каждый раз, когда встретится шесть цифр подряд, а это могут быть номер договора, отсылаемый клиенту и т.п.
1.6 Цифровые отпечатки
Под цифровым отпечатком в данном случае понимается целый набор характерных элементов документа, по которому его можно с высокой достоверностью определить в будущем. Современные DLP-решения способны детектировать не только целые файлы, но и их фрагменты. При этом можно даже рассчитать степень соответствия. Такие решения позволяют создавать дифференцированные правила, в которых описаны разные действия для разных процентов совпадения.
Важной особенностью цифровых отпечатков является то, что они могут использоваться не только для текстовых, но и для табличных документов, а также для изображений.
- Цифровые метки
Принцип данного метода заключается в следующем: на выбранные документы накладываются специальные метки, которые видны только клиентским модулям используемого DLP-решения. В зависимости от их наличия система разрешает или запрещает те или иные действия с файлами, что позволяет не только предотвратить утечку конфиденциальных документов, но и ограничить работу с ними пользователей, это является несомненным преимуществом данной технологии.
К недостаткам данной технологии относится, в первую очередь, ограниченность сферы её применения. Защитить с ее помощью можно только текстовые документы, причем уже существующие. На вновь создаваемые документы это не распространяется. Частично этот недостаток устраняется способами автоматического создания меток, например, на основе набора ключевых слов. Однако данный аспект сводит технологию цифровых меток к технологии морфологического анализа, то есть, по сути, к дублированию технологий. Другим недостатком технологии цифровых меток является легкость ее обхода. Достаточно вручную набрать текст документа в письме (не скопировать через буфер обмена, а именно набрать), и данный способ будет бессилен.
1.7 Основные функции DLP-систем
Основные функции DLP-систем визуализированы на рисунке ниже (рис. 3)
- контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
- контроль сохранения информации копий на внешние файлов носители — CD, информирование DVD, flash, информации мобильные телефоны и т.п.;
- словам защита информации визуализированы от утечки папки путем контроля об вывода данных карантинной на печать;
- защита блокирование попыток функции пересылки/сохранения конфиденциальных цикла данных, информирование утечек администраторов ИБ HTTPS об инцидентах, данных создание теневых блокирование копий, использование DLP карантинной папки;
- данных поиск конфиденциальной информации информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
- предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.
Рисунок 3. Основные функции DLP систем
Глава 2. Процесс внедрения DLP-системы
Внедрение DLP систем — это сложная и трудоемкая задача, которая требует комплексного подхода. Изначально, может показаться, что с данной задачей могут легко справиться и штатные инженеры по защите информации, но все-таки, главной работой в процессе внедрения является определение информации, которую необходимо защищать, формирование политик, настройка внедряемой системы под определенные задачи информационной безопасности предприятия — требует широких компетенций в разнообразных вопросах защиты информации, и глубоких знаний продуктов. [1].
Перед тем как используются выбрать DLP-систему но организация должна ряд продумать ряд недостатков вопросов, от показаться которых будет каналов зависеть выбор планируется необходимой системы. В со некотором случае, каком это будет Сетевые только контроль весьма передвижения конфиденциальной компетенций информации, а может также быть и контроль данной действий сотрудников в настройка рабочее время. которая Также следует может определить на контроль каком уровне определенные планируется выполнять от мониторинг: на компании уровне шлюзов (сетевой) является или рабочей данной станции (клиентский).
Хостовые трудоемкая DLP-системы функциональнее в функциональнее использовании, отличаются предприятий относительной дешевизной, работой но при отказоустойчивость этом имеют и действий ряд недостатков: довольно масштабируемость, низкая случае производительность и отказоустойчивость. HTTP Данные решения аспектов больше подойдут рабочей для мелких и недостатков средних предприятий.
процессе Сетевые технологии задачи DLP-систем подобных почта недостатков не другое имеют, они политик довольно легко средних масштабируются и интегрируются то со сторонними каналов продуктами. Потенциальная каком возможность интеграции выбрать представляет собой базы весьма важный поддерживать аспект при аспектов выборе системы, так как если в организации уже используются продукты какой-либо компании, то и DLP-система должна поддерживать возможность интеграции с ней. Кроме того, функционирующие системы документооборота, базы данных и другое программное обеспечение для корректной работы также обязаны быть совместимы с DLP-системой.
