Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем
Содержание:
ВВЕДЕНИЕ
В современности информация, если и не стало полноценным ресурсом то, как экономическое благо, обращённое на разные структуры нашего общества как факт невозможна, отрицать и вопрос сохранности встаёт особенно остро, поскольку игнорирование проблемы может привести к катастрофическим последствиям. Начиная дискредитация и потери прибыли заканчивая реальной угрозой для чужих жизней.
В данной работе будет поведён подробный анализ, который даст понять, для чего нужна DLP и как она работает, а также разберём связанные с этой технологией информационные ресурсы.
Поставленная цель достигается путём решения следующих задач:
1. Выявление роли DLP в защите
2. Разбор работы систем DLP защиты
3. Оценка эффективности средств DLP в защите информации
Глава 1.Информационные ресурсы и DLP-системы.
1.1 Понятие корпоративные информационные ресурсы.
Прежде всего, стоит разобраться в том, что представляет собой объект защиты.
Что такое корпоративные информационные ресурсы?
Собственные информационные ресурсы корпорации формируются внутренней информационной средой, т.е. совокупностью структурных подразделений, команд процессов и сотрудников, в процессе реализации технологических, социальных, экономических и других отношений внутри корпорации.
Знание о деятельности любой организационной структуры в настоящее время самый ценны из имеющихся ресурсов, будь то список сотрудников или данные научно-техническая и технологическая информации. Имея информацию об изменении ситуации в политической, социальной и других ситуациях можно оперативно подстраивается в любых изменениях внешней среды бизнеса, эффективно проектировать и осуществлять собственную деятельность на обеспечение финансовой защищённости.
Из чего можно сделать вывод что: Корпоративные информационные ресурсы (предприятия, организации) — это совокупность собственных, приобретаемых и поставляемых извне данных, зафиксированных как на бумажных, так и электронных носителях. А, в сущности, информационные ресурсы — это общий объем данных и знаний, циркулирующих на предприятии, входящих и исходящих из него, материализованных в каком-либо носителе.
1.2 Структура корпоративных информационных ресурсов.
Корпоративные информационные ресурсы делятся на три группы:
- Собственные.
- Внешние.
- Приобретаемые от сторонних организаций.
Они в свою очередь могут существовать в форме: бумажных документов, электронных документов, базы данных, базы знаний, веб-сайтов, не стандартизированные файлы (аудио, видео) и т.д.
Собственные — это те, что генерируются внутри предприятия, остальные поступают извне. Собственные информационные ресурсы могут быть либо структурированными, и тогда они подлежат арифметической, логической и другой обработке программными средствами, либо нет.
Структурируемые информационные ресурсы – это базы данных, хранилища данных, базы знаний.
Управленческие, а также организационно-распорядительные документы фиксируют все производственно-хозяйственные, финансовые и другие операции. Данный подкласс информационных ресурсов является неформализованным, однако их содержание и вид материальных (бумажных) носителей регламентируются государством
- Внешние информационные ресурсы могут быть как платными, так и предоставляемыми сторонними организациями в соответствии с договорённостями или обязательствами (получаемые ресурсы). Как те, так и другие могут иметь как бумажную форму представления, так и передаваться по каналам связи.
- Приобретаемые информационные ресурсы включают периодически выполняемые платные услуги аналитического характера.
Например, в различных консалтинговых фирмах можно заказать анализ динамики курса валют, кросс-курсы валют, динамики ценных бумаг, ставок привлекаемых рублёвых и других депозитов, информацию о конкурентах, тенденциях в изменениях в деловой среде и состоянии международных рынков и т.д.
В отличие от приобретаемых ресурсов, получаемые информационные ресурсы отражают деловые отношения с партнёрами, также отношения свыше или нижестоящими организациями.
Содержательно они отражают информацию, получаемую из банков, страховых, налоговых и прочих организаций. Особое место в данном классе занимают Интернет-ресурсы отдельных министерств и ведомств.
1.3 Важность информации как корпоративного ресурса.
Все корпоративные ресурсы в первую очередь являются залогом стабильной основой для экономической безопасности предприятия. Поскольку для обеспечения собственной экономической безопасности предприятие должны использоваться совокупность корпоративных ресурсов, и информация как корпоративный ресурс является одним из наиболее ценных и дорогостоящих ресурсов компании. Поскольку информация стала важнейшим фактором, влияющим на принятие обоснованных управленческих решений и эффективность деятельности.
Корпоративные информационные ресурсы на сегодняшний день считаются самыми доступным для атак звеном в любой организации. В первую очередь это обуславливается малым количеством экспертов на высшем уровне руководства способные дать должную оценку необходимости в необходимости создания собственной защиты. Причина этого кроется в малом количестве готовых решений под нужды конкретных сфер для быстрой реализации подобной защиты.
Кроме того несмотря на достаточно большое количество предложений в защите от утечек данных, которые активно используются самыми разными организациями, средств работы с внутрикорпоративными файлами на серверах имеет ряд значительных сложностей. Даже при применении в компании DLP-систему для борьбы с утечками информации, они часто не способны поддерживает контроль над действиями пользователей корпоративных информационных ресурсов. Конечно, нельзя не упомянуть, что производители DLP-систем сами не дают необходимого перечня возможностей профессионалам в области информационной безопасности. Обуславливается это тем, что защита от внешних угроз превалирует по потребностям на рынке, нежели процессы, протекающие внутри самой организации.
Глава 2. DLP-системы и их возможности.
2.1 Что такое DLP и как они работают.
Рынок DLP-систем в настоявшие время является одним из самых быстрорастущих среди всех средств в области организации информационной безопасности. Однако отечественный сектор информационной безопасности все ещё не совсем соответствует мировым тенденциям, поэтому рынок систем DLP в нашей стране имеет свои особенности.
Прежде чем говорить о рынке DLP-систем, необходимо определить, что, собственно, подразумевается, когда речь идёт о подобных решениях. Системы DLP обычно понимаются как программные продукты, которые защищают организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, или проще говоря, предотвращение утечек информации.
Такого рода концепции формируют безопасный цифровой «периметр» внутри компании. Целью, которого является поддержание анализа всей исходящую, а также в отдельных случаях и входящую информацию. Регулированием данных подвергается не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.
Таким образам DLP-система должна предотвращать распространение данных за пределы корпорации. И для этого она обязана, имеет у себя встроенные механизмы определения степени важности документов проходящие в отслеживаемом трафике. По информации, имеющиеся в свободном доступе, имеется два общеизвестных способа:
- Путём анализа специальных маркеров документа
- Путём анализа содержимого документа.
На сегодняшний день более распространён второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, но кроме того даёт возможность увеличивать количество конфиденциальных документов, с которыми может работать система.
«Побочные» задачи DLP
В дополнение к основным задачам, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.
Как правило, разработчики систем предоставляют, выполнение не только основных функций, но и побочные задачи DLP. В основном – концепция Money Loss Prevention(предотвращение финансовых потерь). Программа работает на упреждение ИБ-инцидентов, зачастую обходясь компаниям достаточна дорого, из-за чего предоставляется отдельно.
Классификация DLP-систем
Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокировки информации, возможности опознания как конфиденциальной выделяют системы с активным и пассивным контролем действий пользователя.
Активная система блокирует передачу информации, пока не будет предоставлено подтверждение. Позволяя предотвратить непреднамеренную утечку данных, но при этом повышается риск остановки рабочих процессов в организации.
Пассивная же не препятствует обмену информации напрямую, обеспечивая безопасность от случайных остановок в работе, но способна себя показать только в работе с систематическими утечками.
Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзы DLP работают на промежуточных серверах, в то время как хост используют агентами, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространённым вариантом является совместное использование шлюзовых и хост компонентов.
Может быть установлена на одной из двух платформ – сетевой или агентской. При этом основные функции программы доступны в обоих случаях в полном объёме.
Мировой рынок DLP
В наше время главными игроками всемирного рынка DLP продукции представляются как фирмы с другими, уже давно известными продуктами в области обеспечения информационной безопасности широкого курага. В первую очередь это, WebSense, Zecurion, McAffee, TrendMicro,. Мировой рынок DLP систем по общему объёму расценивается в 400млн. долларах, что в сравнении с рынком антивирусных программ является небольшими суммами. Но данный показатель лишь демонстрирует незначительность рисков при имеющихся перспективах, введу бурного роста информационной отрасли с глобализацией мирового рынка.
Перспективы и тенденции
Основной направление, как считают специалисты, представляется, как переход од систем-заплаток, чья концепция заключается в системе компонентов различных изготовителей берущую на себя каждую отдельную задачу. К целостным интегрированным программным продуктам.
Главный фактор такого перехода является возможность уберечь экспертов в области информационной безопасности от потребности находить решение проблем в совместимости и оптимизации разных «заплаточных» систем, что позволит без лишних трудозатрат настроить большие объёмы клиентских и рабочих станций для работы. Но кроме того дают возможность без сложностей осуществлять перенос данных с любого обще-единой интегрированной системы в другую систему. Вдобавок ко всему подход разработки интегрированных систем куда эффективней в решении контроля многоканальности, утечка информации без контроля даже один канал даст в сомнении защищённости организации от угроз в целом.
Иностранным производителям DLP-систем достаточно интересен рынок стран СНГ для инвестиций, несмотря на осложнения виде адаптации средств на национальные языки и политических ограничений. Сегодня они ведут активную работу по преодолению проблем по поддержки русского языка и санкций. Открывая вместо основных, дочерние компании на территории стран СНГ. Из проблем остаётся конкуренция с внутренними представителями рынка.
Ещё одной значимой направленностью в области DLP считается поэтапной трансформирование в модульную структуру. Позволяющие покупателю самостоятельно выбрать компоненты для системы необходимые в виду специфики его работы, обеспечивая большую экономию на функциональность по самостоятельному выбору. Немаловажную значимость в формирование DLP-систем оказывает отраслевая специфика. Позволяя достаточно уверено, ожидать выпуск систем, адаптированных специально под нужды банков, госучреждений и т.д., удовлетворяя потребности организаций.
Правильная DLP
Существенным причиной, оказывающим большое влияние в формирование DLP-систем, считается продвижение ноутбуков а также нетбуков в корпоративных сферах. Особенность лэптопов (деятельность за пределами коллективной сферы, допустимость кражи данных в совокупности с самим устройством и т.д.) вынуждает изготовителей DLP-систем создавать принципиально свежие комбинация для сохранности переносных устройств. Имеет смысл выделить, то, что на сегодняшний день только единицы продавцов могут представить клиенту функцию контролирования ноутбуков, нетбуков и других устройств собственной DLP-системой.
Также система должна учитываться в согласования стандарта для документации предприятия, которая должно соответствовать законам стран, где располагается фирмы. В данной работе это будет законодательство Российская Федерация, а именно Федеральный закон «Об информации, информационных технологиях и о защите информации». И в соответствии с Федеральным законом такой документ зафиксирован на материальном носителе информация с реквизитами, позволяющими её идентифицировать, что даёт ему два отличительных свойствами: многофункциональностью (регистрация информации, передача, обработка и хранение) и наличием юридической силы.
С момента тотальной компьютеризации прошло несколько десятилетий,
за которые множество компаний успели обзавестись большими объёмами
интеллектуальной собственности, персональных данных работников и т.д. Все
эти данные являются конфиденциальными, что приводит к необходимости их
защиты от утечек. Для такой задачи создан целый сегмент продуктов – DLP
системы.
Изначально, основной задачей DLP систем была защита от утечек
данных, путём анализа передаваемой информации по всем возможным каналам
и обнаружения несанкционированной передачи конфиденциальных данных. В
случае обнаружения – блокирование, запись в лог и оповещение
администратора безопасности. Однако со временем DLP-системы значительно
расширили круг решаемых задач. Появились возможности:
1. выявления, сбора и хранения информации (eDiscovery);
2. шифрования (Encryption);
3. контроля за действиями персонала и повышения его
производительности (Employee Management Software и Productivity
Control).
Наиболее интересной, с точки зрения данной работы, является
eDiscovery. Изначально этот термин применялся к судебным расследованиям и
означал процесс, с помощью которого организации находят, получают и
сохраняют электронные документы. Примерами можно назвать судебные
тяжбы между Apple и Samsung, антимонопольные обвинения в сторону
Microsoft, где главными уликами являлись электронные письма руководства.
Впоследствии, значение понятия расширилось и получило широкое
применение для обозначения отдельного модуля в составе DLP-систем,
отвечающего за поиск информации в локальной сети, рабочих станциях и
файловых серверах компании. Основная задача подобных модулей –
недопущение распространения КИ в локальной сети, что является серьёзной
проблемой. Причиной для этого, зачастую, является халатность персонала.
Примером может быть ситуация, когда сотрудник считает, что с документом
удобнее работать локально и в нарушение политики конфиденциальности
копирует документ, находящийся в защищённом хранилище, на рабочую
станцию. При этом существенно увеличивается круг лиц, получающих
возможность ознакомиться с информацией. В случае, если документ оказался
на рабочей станции, то, как правило, прочитать его может любой
авторизовавшийся сотрудник.
В итоге, с помощью eDiscovery-модулей DLP-систем решается
задача контроля информации внутри локальной сети организации.
2.2 Примеры и анализ существующих DLP систем.
Для начала стоит ознакомиться с особенностями выбора DLP-систем и оптимальным выбором. В решение DLP в первую очередь важна его способность предотвратить утечку информации по максимальному числу каналов передачи данных, которые используются на предприятии. Поэтому при выборе системы важно обращать внимание на возможности контроля не только классической электронной почты, файловой передачи и VoIP-звонков, но и популярные сегодня система мгновенного обмена сообщениями (мессенджеры) Discord, WhatsApp, Telegram, Viber и др., а также интернет сервисы.
Следующим значимый условие будет быстрота обрабатывания информации. Анализ по базе имеющихся данных должен осуществляется в максимально короткие сроки, не превышавшие по длительности запрос в интернет-поисковике. Большой компании необходимо сосредоточить интерес также на требования к аппаратной платформе, вследствие того что и те же функции у разных изготовителей DLP выполнены по своим критериям, влияя тем самым на ценовое решение. В целостном плане наиболее распространённые в обороте системы приблизительно схожим перечнем возможностей также как и концептуально одинаковым построением архитектуры верхних уровней безопасности. Рисунок 1.
Многочисленные решения DLP содержат систему контроля хранения, использования и перемещения любых документов в корпоративной среде.
К перечню возможностей блокировок передачи сведений или устанавливаемых соединений стоит относиться критически и перед его использованием тщательно изучить алгоритмы принятия соответствующих решений. Такое предостережение связано с тем, что зачастую политики безопасности строятся на основе лингвистических и статистических алгоритмов определения инцидентов безопасности, которые по определению не являются точными. Поэтому, излишне увлёкшись блокировками, есть риск получить огромное количество ложных срабатываний. Стоит отметить, что некоторые разработчики систем DLP применяют более точные методы при блокировках (например, на основе меток), которые, впрочем, также имеют свои ограничения к применению.
Отдельное внимание стоит уделить проработки системы в плане взаимодействия с пользователем, удобство работы консоли управления и решения аналитических возможностей. Последним, например, относятся интеллектуальная блокировка инцидентов, ликвидации «Личного дела» сотрудников, информацией об их активностях с автоматической привязкой всех учётных записей и построением связей, информативные отчёты о попытках нарушения политик информационной безопасности, настраиваемые средства визуализации результатов анализа, удобный поиск по событиям, гибкий конструктор политик. При этом очень важно, чтобы понимание всего разнообразия функций и возможностей был на интуитивно понятном уровне, доступным администратору на любом устройстве и не требовала большого времени на понимания его работы.
Кроме озвученного перечня возможностей также следует, учитывать особенности в развёртывания и последующей поддержи. Повседневная практика показывает, что укрепление и развитие структуры за счёт компании приводит росту трудозатрат и увеличению сроков реализации проекта. Внедрение сетевых компонентов потребует изменения существующей инфраструктуры или окажет негативное влияние на производительность в целом.
Также в конечном итоге, немаловажно дать оценку способности поставщикам DLP-систем, здесь следует взять во внимание его опыт в разработки, историю реализованных проектов, скорость реакции на обращения заказчиков, качество технической поддержки, стоимость самого внедрения и последующие затраты на его обслуживание. Все эти параметры проверяются каждым заказчикам в отдельности. Со стороны подобного рода оценку выполнить весьма затруднительно. В помощи определения стоит составить сравнительный список выбора путём объективного сравнения с самых распространённых DLP-систем на рынке по ключевым функциям.
Суммируя всё это можно составить следующий список требований и критерий для систем:
- Механизмы контроля каналов, пользователей
- Возможность интеграции
- Работа с собранными данными
- Возможности по хранение, отчётность и анализу событий
- Производительность
- Реакция на инциденты
- Аналитические возможности
- Системные требования
- Схемы поставки
Все рассматриваемые примеры будут затрагивать только российский рынок, поскольку на нём его предложения имеют определённые различия в архитектуре, политике лицензирования, функциональных возможностях и аналитических методах по сравнению с импортными аналогами. При этом ничем не уступая зарубежным, а в отдельных случаях даже превосходя их.
Наиболее известными представителями рынка DLP систем являются:
- «InfoWatch» — INFOWATCH TRAFFIC MONITOR
- «Falcongaze» — SecureTower
- «Ростелеком-Солар» — Solar Dozor
- «Zecurion» — Zecurion DLP(Zdiscovery, Zgate, Zlock, SWG, Zserver )
Важно отметить, что каждый производитель имеет собственную политику лицензирования и поставки продуктов, из-за чего некоторые их возможности распределены по отдельности. Обобщая вышесказанное составим таблицу по функционалу обозначенных систем.
Сравнительный анализ Российских DLP систем
|
infowatch traffic monitor |
Zecurion DLP |
SecureTower |
Solar Dozor |
Таблица 1. |
||
|
Общая информация |
||||||
|
5-7 дней |
1-3 дней |
В зависимости от масштаба внедрения |
1 день |
Срок внедрения |
||
|
Рассчитывается по запросам тарифного плана |
Процессор Pentium: 4; оперативная память: 1 ГБ; Объем жёсткого диска: 240 МБ; ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016; прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 – для хранения политик и настроек |
Процессор: 2,2 ГГц и выше (4 ядра и более); Сетевой адаптер: 1 Гбит (2 адаптера при централизованном перехвате); RAM: 6 ГБ и более; Жёсткий диск: 100 ГБ раздел для операционной системы и файлов SecureTower (RAID1/RAID10); Предустановленные компоненты: Windows.Net Framework 4.6 и выше, Microsoft Visual C++ версии 2008/2010/2013 и 2015 (x86/x64); ОС: Microsoft Windows Server 2008/2012 (x64) |
Процессор: 2.2 ГГц (6 ядер); Объем оперативной памяти 24ГБ; Объем жёсткого диска 600ГБ |
Минимальные системные требования для серверной части |
||
|
Не требует обязательного подключения к сети Интернет |
USB-токен + файл с лицензией (может быть получен по сети Интернет) |
Файл с лицензией (может быть получен по сети Интернет) |
Файл с лицензией |
Механизмы активации лицензии |
||
|
На диске или по доверенному каналу с возможностью локальной или удалённой установкой |
На диске или по доверенному каналу. Локальная установка |
На диске или по доверенному каналу. Локальная установка |
На диске или по доверенному каналу. Локальная установка |
Механизмы получения и инсталляции обновлений |
||
|
Сторонних СУБД (Oracle, MS SQL и иных), Сторонних ОС (MS Windows), OCR (ABBYY) |
Сторонних СУБД (MS SQL, Oracle), Сторонних ОС (MS Windows), OCR (ABBYY) |
Сторонних СУБД (MS SQL, Oracle), Сторонних ОС (MS Windows), OCR (ABBYY) |
Сторонних СУБД (Oracle) |
Требование к лицензии сторонних производителей |
||
|
~100 Мб/с |
Без ограничений |
Нет данных |
может ставиться в разрыв трафика |
Скорость анализа сетевого трафика |
||
|
30 дней с предоставлением полного функционала |
По запросу |
30 дней с предоставлением полного функционала |
По запросу |
сроки предоставления демонстрационной версии |
||
|
Оказание услуг по электронной почте, онлайн-чату, телефону; Предоставление доступа к ресурсу самообслуживания «База Знаний»; Выезд инженера к заказчику для решения проблем на месте (по согласованию сторон); Предоставление регулярных обновлений |
В зависимости от выбранного тарифного плана |
Оказание услуг по электронной почте, онлайн-чату, телефону; профилактические выезды к заказчику; предоставление регулярных обновлений |
Оказание услуг по электронной почте, телефону либо посредством автоматизированной системы оказания технической поддержки Предоставление регулярных обновлений |
Техническая поддержка |
||
|
Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, полный цикл консалтинга по внедрению и сопровождению DLP-проекта, совместные учебные центры с образовательными учреждениями |
Услуга по техническому внедрению системы, обучение администраторов работе с продуктом, полный цикл консалтинга, аудит по информационной безопасности |
Услуга по техническому внедрению системы |
Услуга по техническому внедрению системы, обучение администраторов работе с продуктом |
Дополнительные услуги от производителя |
||
|
Используемые технологии детектирования |
||||||
|
Есть |
Есть |
Отсутствует |
Отсутствует |
Поддержка анализа замаскированного текста |
||
|
Да + база контентной фильтрации (БКФ), содержащая слова и выражения, наличие, которых в документе позволяет определить тематику и степень конфиденциальности информации. |
Есть |
Есть |
Отсутствует |
Лингвистический анализ словоформы, синонимы, морфология и т.п. |
||
|
Есть |
Есть |
Есть |
Есть |
Анализ с использованием цифровых отпечатков |
||
|
Отсутствует |
Есть |
Есть |
Отсутствует |
Система для анализа ещё неклассифицированных данных (метод Байеса) |
||
|
шаблоны и отраслевые базы контентной фильтрации |
Есть |
Есть |
лексиконы в модуле idid |
Предустановленные шаблоны данных |
||
|
Режимы работы |
||||||
|
Агенты (поставляется в виде отдельных компонентов - Device Monitor и Person Monitor) и сетевая часть |
Агенты и сетевая часть идут как отдельно приобретаемые модулю: Zgate, Zlock, Zdiscovery, Zserver |
Агенты и сетевая часть |
Агенты и сетевая часть |
Исполнение подсистемы контроля (агенты + сетевая часть, только агенты) |
||
|
Есть |
Есть |
Есть |
Есть |
Работа в режиме мониторинга |
||
|
Есть |
Есть |
Есть |
Есть |
Работа в режиме блокировки |
||
|
Есть |
Есть |
Есть |
Есть |
Возможность контроля пользователей вне сети компании |
||
|
Есть |
Есть |
Есть |
Есть |
Шифрование передачи данных между агентами и сервером |
||
|
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Использование алгоритма согласно ГОСТ при шифровании передачи данных между агентами и сервером |
||
|
Есть |
Есть |
Есть |
Есть |
Поддержка IPv6 |
||
|
Производительность |
||||||
|
Да |
Да |
Да |
Да |
Кластеризация решения |
||
|
400 Мбит/с, по 200 Мбит/c на одно плечо кластера |
Пропускная способность ограничена в связи с архитектурными особенностями операционных систем Windows |
Пропускная способность ограничена в связи с архитектурными особенностями операционных систем Windows |
10 Гбит/с в кластере |
Максимальная пропускная способность подсистемы в перехвате сетевого трафика |
||
|
Интеграция |
||||||
|
Active Directory, Domino Directory, Novell eDirectory, Astra Linux Directory |
Active Directory |
Active Directory |
Active Directory и другие LDAP каталоги |
Поддержка каталогов LDAP |
||
|
MS Exchange, MDaemon, IBM Lotus Dominion и другими SMTP-, IMAP-серверами |
Собственный Zproxy; Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP: Blue Coat, Cisco ACNS |
Любой прокси-сервер, по ICAP |
Любой сервер, в том числе собственный Web Proxy |
Интеграция с прокси-серверами |
||
|
Есть, табличное представление и syslog |
Отсутствует |
Есть |
Есть |
Интеграция с SIEM решениями |
||
|
Microsoft Forefront TMG, Blue Coat ProxySG, Aladdin eSafe Web Security Gateway SSL, Cisco IronPort S-Series, SQUID и другие по ICAP |
MS Exchange, Lotus Domino |
MS Exchange, другие сервера по POP3, SMTP и IMAP (Lotus Domino, Postfix, Sendmail, Zimbra и др.) |
Microsoft Exchange, IBM Lotus Notes, CommuniGate |
Интеграция с почтовыми серверами |
||
|
Oracle Information Rights Management |
Отсутствует |
Отсутствует |
Microsoft SharePoint, Alfresco |
Интеграция с системами электронного документооборота |
||
|
Lumension Device Control, DeviceLock, WorksPad, с иными решениями по ICAP, dbAPI, DataExportAPI, pushAPI |
Есть собственная линейка решений: Zecurion Staff; Control; Zecurion PAM |
EtherSensor |
IAM, HR, MDM, BI, Office 365 |
Возможность интеграции сторонними решениями |
||
Проведённый сравнительный анализ позволяет выявить, что в процессе развития своих продуктов производители стараются перенимать лучшие практике друг у друга, обогащая функционал, как на основании общих тенденций рынка, так и с учётом пожеланий своих заказчиков. Однако есть минусы с интересными моментами, которые связанные с собственной уникальной технологической стратегией и особенностями позиционирования, характерные для каждого решения. Осветим некоторые из них.
Infowatch Traffic monitor.
Плюсы:
- Агенты под Astra Linux отечественного производства, также на мобильные устройства.
- Большое число технологий определения и разбора сведений.
- Поддержка морфологии огромного количества языков.
- Широкий пакет отделанных лингвистических словарей.
- Модуль поведенческой аналитики.
- Интеграция с альтернативными решениями.
- Наличие ряда глубоких консалтинговых компетенций.
Минусы:
- Политика лицензирования, никак не учитывает отдельные модули и технологии.
- Анализ доступных в прессе сведений о публичных поставках позволяет говорить о стоимости внедрения решения, как «выше рынка».
- Высокая модульность решения на текущий момент может частично препятствовать удобному управлению через единую консоль.
Zecurion DLP. (Zgate, Zlock, Zdiscovery)
Плюсы:
- Широкий набор зрелых технологий по распознаванию и анализу.
- Наличие в ассортименте производителя полного комплекса продуктов по направлениям близким к DLP и защите от внутренних угроз.
- Единственное (пока) отечественное решение на рынке с агентом под MacOS.
- Предоставление производителем полного спектра консалтинговых услуг по информационной безопасности.
- Единый веб-интерфейс анализа оперативной обстановки и отчетности.
- Тесная интеграция с большим числом собственных продуктов.
- Поведенческая аналитика.
Минусы:
- В состав комплексного DLP-решения входят отдельные продукты, каждый из которых, в общем случае, со своей системой лицензирования, установки и управления.
- Нет контроля IP-телефонии.
- Наличие сертификата ФСТЭК только на один (не основной) продукт в составе всего решения.
SecureTower.
Плюсы:
- Низкие системные требования.
- Интеграция с сетевым решение EtherSensor.
- Анализ общедоступных в сети данных об общественных поставках даёт возможность заявить о стоимости внедрения решения, как «ниже рынка».
- Высокая скорость внедрения при наличии всех классических технологий контроля.
- Наличие широких возможностей по блокировкам.
- Поддерживается контроль над мессенджерами, как современными, так и устаревшими.
- Удобная система лицензирования и масштабирования.
Минусы:
- Нет агентов под специализированные ОС (MacOS, мобильные платформы, *nix).
- Разные консоли управления для разных компонентов.
- Отсутствует подтверждение присутствия в реестре отечественного ПО.
Solar Dozor.
Плюсы:
- Единый веб-интерфейс управления, один из самых зрелых на рынке.
- Концептуально иной подход к работе с DLP, основанный на контроле оперативной обстановки и инцидент-менеджменте.
- Широкая поддержка агентом альтернативных системе Windows операционных систем.
- Интеграция с большим числом сторонних бизнес-решений.
- Тесная интеграция с собственными решениями по безопасности, а также с сервисом JSOC.
- Собственная интерпретация поведенческой аналитики, появившаяся в продукте раньше, чем у конкурентов.
- Большое число визуально-воспринимаемых и структурированных карт, диаграмм, отчётов.
Минусы:
- Отсутствие поддержки некоторых популярных протоколов.
- По сравнению с конкурентами, небольшое число технологий анализа.
- Недостаточно полный функционал по контролю рабочих мест пользователей.
Но не стоит забывать что, в силу широкого спектра решаемых DLP-системами задач невозможно сделать однозначный вывод о превосходстве того или иного продукта, можно только определится с необходимостью в каждом конкретном случаи. Ведь в работе любой фирмы учитывается, какие технологии или функциональные возможности для неё наиболее важны.
2.3 Политики конфиденциальности в DLP-системах.
Политика конфиденциальности – часть персональной безопасности организации, описывающая правила сбора, хранения и распространения конфиденциальной информации. Все эти документы необходимы, добавляют ключевые моменты, связанные со сбором личной информации о пользователях внутри системы и позволяет определить уровень ответственности, как клиентов, так и поставщика, чтобы в случай недобросовестного использования или несоответствия предоставленного уровня защиты можно было получить денежную компенсацию. Установление перечня правил, может быть, идти отдельно, но нередко описывается в документе «Положение об информационной политике». Наиболее часто политики конфиденциальности организации определяют информацию, составляющую коммерческую тайну в виде перечня, утверждаемого генеральным директором компании. Помимо перечня информации, генеральный директор указывает список лиц, осуществляющих контроль над соблюдением установленного порядка обращения с конфиденциальной информацией (как правило – администратор безопасности).
Типовые виды информации, содержащиеся в перечне КИ:
1. список конфиденциальной документации;
2. персональные данные сотрудников;
3. список ФИО сотрудников;
4. электронные ключи.
В дальнейшем, при использовании DLP-систем, администратор безопасности использует данный перечень для задания правил и шаблонов этих систем с использованием методов, рассмотренных выше. Для этого выполняется следующий набор действий:
1. задание шаблонов персональных данных (паспорт, ФИО, телефон);
2. задание отпечатков документации и прочих конфиденциальных файлов;
3. создание словарей на базе конфиденциальной документации;
4. задание таблицы замен;
5. задание политики DLP-системы и условия их срабатывания.
При работе с обширным числом актив рекомендуется уточнение модели формирования у сторонних экспертов.
2.4 Практические использования DLP.
Прежде чем начать заниматься аналитикой, необходимо понимать, что решения по DLP-система каждая компания решает сама, самостоятельно ставя перед собой определённые цели, но в процессе эксплуатации, в зависимости от желания и умения работать с системой, ориентиры могут меняться и ценность системы, соответственно, расти или падать.
Для начала стоит проверить правила настройки DLP-системы. Если настройками и анализом занимается один и тот же человек, то он будет знать, какие форматы документов перехватываются, а какие в принципе добавлены в исключения или же размер перехватываемых файлов может быть установлен до определённой величины. Если же за установку отвечает один сотрудник, а за аналитику другой, то возможно, что результаты работы аналитика из-за этого будут неполноценны.
В различных DLP-системах некоторые настройки могут быть вшиты в ядро, тогда эту информацию необходимо уточнять дополнительно.
Постоянный мониторинг работоспособности серверной части системы и агентов на компьютерах сотрудников, может сильно выручить вас и весь проект в целом, ведь будет очень неприятной новостью, что когда надо проводить расследование, в известное время и на известном компьютере по каким-то причинам нет информации.
Одной из ценностей DLP является хранение информации, с помощью которой можно расследовать инцидент, контролируйте её поступление и не терять.
Разобравшись с эти нюансами, проведём практическое применение на модели типовых ситуациях, с которыми может столкнуться любая организация.
Пример №1. Удаление файлов
У сотрудника на компьютере пропали очень важные документы по проекту, причём накануне они ещё были доступны.
Компьютер сотрудника известен. Заявку на восстановление файлов сотрудник уже направил. IT-поддержка к компьютеру подключалась, но проблему на этом этапе решить не смогла.
В ходе анализа переписки сотрудника выяснилось, что он занимается неким проектом и не успевает закончить его к необходимому сроку.
После просмотра снимков экрана сотрудника было установлено, что он сам, под своей учётной записью, выполнил удаление файлов. Было отчётливо видно, что в одной из папок находились как раз файлы по текущему проекту, а в другой переписка. Далее сотрудник попытался удалить папку с файлами по проекту вместе с содержимым.
Удаление производилось несколько раз, так как в первый раз у сотрудника возникли проблемы с удалением файлов в связи с тем, что они были открыты в офисной программе.
Далее сотрудник попытался удалить папку, содержащую переписку по проекту, но удаление произошло частично, некоторые письма были открыты в почтовой программе.
Можно ли было восстановить хронологию действий нерадивого сотрудника другими средствами? Возможно, но тут возможности DLP записывать действия на рабочем компьютере помогли очень быстро разобраться и установить истинную причину проблемы.
Пример №2. Обсуждение коллег
В ходе мониторинга событий DLP были выявлены сообщения из внутрикорпоративного коммуникатора двух сотрудников из категории «мошенничество», обсуждавших, что их коллега продаёт клиентам финансовые продукты без их него ведома.
Было установлено, что эти сотрудники работают в соседних офисах и тесно общаются.
В переписке они называли эту сотрудницу по прозвищу. При этом уточняли, что указание на осуществление подобных действий исходило от руководителя «КВ». Обсуждалось также и то, что она радует своими успехами начальника, так как выполняет планы по продажам.
Далее был установлен круг сотрудников, которые работают в данных офисах. Начальником одного из офисов являлся сотрудник с инициалами «КВ».
После подробного анализа переписки этих двух сотрудников за больший период были выявлены сообщения, в которых они упоминают эту сотрудницу уже по имени. Согласно штатной структуре единственная сотрудница с таким именем работала в одном из офисов, в котором работал один из участников переписки и где как раз руководителем был «КВ». Из переписки также стало понятно, что их рабочие места находятся рядом, то есть он видит, что она делает на рабочем месте.
С помощью перехваченных DLP логов коммуникатора по ключевым словам и штатной структуре был установлен сотрудник, который обманывает клиентов, таким образом, выполняет планы продаж, и начальник, который этому способствует, что несёт в себе риски ухудшения репутации для компании.
Пример №3. Увольнение
Сотрудник компании, находящийся в группе риска, а именно с известной датой увольнения, решил, что надо для нового места работы захватить с собой что-нибудь полезное.
Замысел он решил воплотить в жизнь в свой последний рабочий день, перед тем как забрать трудовую книжку. Так как основные каналы утечки у него уже были заблокированы по корпоративным правилам для увольняющихся сотрудников за несколько дней до этого, оставался один из возможных способов — отправить документы на печать.
Сотрудник безопасности, работающий в этом же офисе, сразу после получения уведомления о распечатке конфиденциального документа сотрудником, находящемся в группе риска, направился к нему и, можно сказать, поймал за руку, т. к. тот уже вынес документ и положил себе в автомобиль, а обходной лист со стороны СБ уже был согласован до факта печати.
Этот способ кражи информации является самым простым. Но для успешного пресечения таких действий важен комплекс мер включающие в себя предварительные работы по профилированию групп риска, способность DLP-системы в реальном времени фиксировать события, а также оперативная реакция офицера безопасности. В таких случаях счёт идёт на минуты.
Пример №4. Торги
В компании проводилась процедура по продаже списанного автомобиля, но в Службе безопасности усомнились в отсутствии заинтересованности со стороны ответственных за проведение данной процедуры сотрудников.
Были проанализированы коммуникации сотрудников на тему продажи этого автомобиля и установлено, что заинтересованность проявлял сотрудник подразделения, которое ранее занималось документальным сопровождением по данному автомобилю.
Под предлогом продления страховки он вызвался на осмотр автомобиля. Также в переписке было найдено упоминание устного разговора между ним и сотрудником, который должен продать автомобиль.
Затем поступила заявка на покупку данного автомобиля с внешнего электронного адреса, по названию которого сложно что-то сказать о принадлежности, и с документами человека абсолютно никак не связанного с компанией.
Был загружен архив на максимальную глубину, и нашлись письма более чем пятилетней давности, в которых с этого же внешнего адреса велась переписка с сотрудниками компании, а в подписи были указаны реквизиты сотрудника, проявившего интерес, а именно фамилия и инициалы.
Возможно, ли было узнать истинно заинтересованного в покупке человека? Да, можно и другими способами, но дольше и сложнее, а тут помог глубокий архив DLP с возможностью поиска, который может хранить информацию не один год.
Пример №5. Опасные увлечения
Обсуждения в корпоративном коммуникаторе эффекта от использования различных наркотических средств.
Проводился анализ коммуникаций сотрудников на предмет обсуждений, не связанных с рабочей деятельностью.
Была обнаружена переписка, где пара сотрудников делилась своим опытом употребления наркотиков, этот чат не попал в специальную категорию DLP по этой теме, так как в словаре отсутствовало упомянутое слово.
Данная пара сотрудников была поставлена на дополнительный мониторинг, и в течение пары недель были выявлены ещё несколько чатов между ними на эту тему.
Все понимают, какие риски для компании несут противозаконные действия сотрудников, поэтому оперативное выявление таких элементов и их изоляция помогут избежать серьёзных проблем.
ЗАКЛЮЧЕНИЕ
Проанализировав собранную информацию можно заключить что.
DLP в обеспечение сохранности корпоративных информационных ресурсов, да и информации от утечек в целом является крайне важным аспектом в любой организации и является залогом для успешной работы, и в среднесрочной перспективе даёт полную окупаемость и сверх прибыль в долгосрочной , не нуждается в сверхчеловеческих усилий со стороны внутренних или нанимаемых специалистов по информационной безопасности и от руководства компании в частности.
Подобным способом, финансовая защищённость в первую очередь, характеризуется более результативного применения корпоративных ресурсов с целью избегания угроз также предоставления устойчивого функционирования организации.
Имеет смысл отметить то, что с целью эффективного решения сложных задач и предотвращения потери данных необходимо собирать защиту не только из DLP, но и из других систем (DAG, IDM, СКУД, видеонаблюдение и т. д.) повышая безопасность всей индивидуальной собственности.
Минусы, безусловно, также имеется — приобретение, введение также владение DLP производятся дополнительные расходы, необходим наем дополнительных сотрудников с соответствующую квалификацию, чтобы они могли грамотно использовать систему без лишнего потери времени. Но всё это незначительно, поскольку без должного уровня зашиты, любая организация не сможет существовать, уже не говоря о том, чтобы конкурировать.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Валерий Васильев. Права сотрудников и безопасность корпоративных данных//Сетевая газета InfoSecurity.ru
- Андриянова Т.А., Саломатин С.Б. // Системный анализ и прикладная информатика. - 2017. – №4. - С. 52-57.
- Илья Степанов. Сравнительный обзор средств предотвращения утечек данных (DLP) // Статья https://safe-surf.ru/specialists/article/5233/609990/?sphrase_id=45492
- Официальный сайт InfoWatch. URL https://www.infowatch.ru/
- Официальный сайт Zecurion. URL http://www.zecurion.ru
- Официальный сайт Ростелеком Солар URL https://rt-solar.ru/
- Свободная энциклопедия-википедия URL https://ru.wikipedia.org/wiki
- Носиров З. А. Разработка DLP-системы с использованием алгоритмов глубокого анализа трафика // Молодой учёный. — 2017. — №30. — С. 10-12. — URL https://moluch.ru/archive/164/45229/ (дата обращения: 22.02.2020).
Рисунок 1.
- Формирование ассортимента товаров на предприятиях торговли (на примере торгового предприятия ООО «РОСИНКА»)(Понятие и сущность формирования ассортимента товаров)
- Формирование ассортимента товаров на предприятиях торговли (на примере торгового предприятия ООО «РОСИНКА»
- Управление развитием организации через механизм оптимизации компетенций персонала на основе внедрения формализованных бизнес-процессов (на примере ООО «Дизайн группа «СИНТЕЗ»
- Анализ конкурентов на рынке и определение собственной конкурентоспособности (на примере конкретной организации ОАО «Доломит»)
- Создание и разработка индивидуального (фирменного) стиля для компании
- Возникновение права (Теоретические аспекты исследования сущности права)
- Учетная политика организации: цель, задачи, формирование, применение (Теоретические основы формирования учетной политики организации для целей налогообложения)
- Организация общественной власти в первобытном обществе.
- Организация кассовой работы в банке (Теоретические аспекты организации кассовых операций в банке)
- Товарные запасы и управление ими в оптовой торговле (Теоретические аспекты управления товарными запасами в торговле)
- Авторское право (Генезис становления и развития авторского права)
- Система психофизиологического профессионального отбора и диагностики профпригодности (Теоретические аспекты профессионального отбора и профессиональной пригодности)