Системы предотвращения утечек конфиденциальной информации (DLP)
Содержание:
Введение
С развитием технологий в мире появляется все устройств и предназначенных для и передачи С одной это открывает возможности, так как сотрудникам компаний быть и решать вне зависимости от места нахождения. С стороны, отследить важных для компании данных в условиях становится сложно.
Какие данные к конфиденциальным, компания определяет Для одних это информация о продукте или для других - клиентской базы. Но суть одинакова - конфиденциальных данных прямой угрозой для и игнорирование может привести к последствиям.
Причинами утечек являются различные неосторожность или неграмотность сотрудников, кража информации как сотрудниками (инсайдерами), так и использующими различные проникновения в сеть (трояны, программы и
утечка конфиденциальная программный
Глава 1. Теоретическая часть
1.1 Системы утечек конфиденциальной информации
Существует множество борьбы с конфиденциальных данных, как на организационных процедур, так и на программных решений. из наиболее методов является системы защиты от конфиденциальных данных Data Leak (DLP) - предотвращения утечек информации из системы вовне, а технические устройства или программно-аппаратные) для предотвращения утечек строятся на потоков данных, периметр защищаемой системы. При в этом конфиденциальной информации активная компонента и передача (пакета, потока, блокируется.
Используются также термины, обозначающие то же
Data Leak (DLP),
Data Loss (DLP),
Data Leakage (DLP),
Information Protection and ,
Information Leak (ILP),
Information Leak (ILP),
Information Leak & Prevention
Content Monitoring and (CMF),
Extrusion Prevention (EPS).
1.2 Этапы развития DLP-
Необходимость защиты от угроз была на всех развития средств безопасности. Однако внешние угрозы более опасными. В годы на угрозы стали больше внимания, и DLP-систем возросла. их использования упоминаться в и нормативных (например, раздел Утечка информации" в ст ГОСТ ISO/IEC . Специализированные средства для от внутренних стали массово только после 2000
Первыми появились сетевого мониторинга - без блокировки утечки сетевые протоколы SMTP…). В производители добавляли блокировки информации при через сеть. появились возможности рабочих станций за счет программных "агентов", можно было передачу конфиденциальной с этих контроль функций снятия скриншотов, а контроль передачи на уровне например, в приложении функций разрешен, в - запрещен.
И, наконец, технологии поиска информации на ресурсах и ее если информация в тех где ее не быть. Конфиденциальная при этом предварительно ключевыми словарями, регулярными "цифровыми отпечатками". В поиска система показать - где она конфиденциальную информацию, и политики безопасности при этом Далее сотрудник безопасности принимать соответствующие Есть решения, не просто наличие конфиденциальной в неположенном а переносят эту "в карантин", в файле, где была информации, запись - куда конфиденциальная информация и к кому за получением к этой
1.3 Анализ информации
На текущий на рынке довольно много позволяющих определять и утечку конфиденциальной по тем или иным Однако действительно решений, покрывающих все каналы, значительно В этих чрезвычайно важным выбор технологии, защиту от конфиденциальной информации с эффективностью и количеством ложных
Первое, чему уделить внимание при DLP-решения - это как решение осуществляет передаваемой информации и технологии используются для наличия конфиденциальных
Всего существует пять анализа:
Поиск по (по совпадению слов, в случаях с морфологии)
Регулярные выражения. выражения - синтаксического разбора фрагментов по шаблону, основанная на записи образцов для Например, номера карт, телефонов, e-mail, номера лицензионные ключи…
Сравнение по файлов. безопасности может быть отправка вовне типов файлов. При этом если изменит расширение то система все должна "опознать" тип и предпринять действия. В решений используется компании Autonomy.
Статистический ( анализ по пользователям. Если имеет доступ к информации, и в то же он посещает сайты (web-storage, хакерские и то он в "группу и к нему применение дополнительных политик безопасности.
Технологии цифровых Наиболее и достаточно технологии, при производятся определенные преобразования исходного (алгоритмы преобразований не раскрываются). преобразования строится образом: исходный файл - модель файла - отпечаток. Такой позволяет существенно объем обрабатываемой (объем цифрового не более 0,01 от файла). Цифровые затем размещаются в базе (Oracle, MS SQL) и быть продублированы в памяти устройства, анализ информации. затем используются для и анализа информации. При этом передаваемого и файлов могут не обязательно на процент совпадения задаваться (или в ПО Технологии устойчивы к файлов и для защиты любых типов текстовых, аудио, видео. "ложных срабатываний" не единиц процентов (все технологии дают ложных срабатываний). Эта устойчива к текстовым кодировкам и используемым в
Также следует внимание на отчетности и преднастроенных политик представляемых DLP-решением, так как это избежать некоторых и сложностей при
1.4 Процесс DLP-системы
Основная проблема - это, как отсутствие классификации Поэтому на этапе внедрения DLP должна в организации в мониторинга до В этом на базе в соответствии с предприятия (промышленные медицинские или учреждения) политик система может выявить места и способы и передачи информации.
Для финансовых которые на момент являются потребителями DLP-решений, с классификацией нивелируется уже в наличии качественными преднастроенными предоставляемыми производителями
После принятия о завершении мониторинга, система в режим либо пользователей и безопасности, и/или в блокирования передачи информации.
Когда система DLP в режиме то количество срабатываний в силу адаптации политик насчитывать тысячи. применяемые политики настраиваются в с реальными и возможностями таким образом, уже в уведомления, а в и блокировки, ложных срабатываний не было и система только на информацию.
Таким образом, цикл внедрения может занять года в крупной организации.
1.5 Компоненты
Рассмотрим состав DLP на программного решения Symantec Data Loss (SDLP). SDLP обеспечивают для широкого типов конфиденциальных находящихся в и системах данных, а на компьютерах независимо от работают они в сети или вне ее.
Рисунок 1 - системы SDLP
Центральным компонентом для всей является платформа Symantec Data Loss Enforce Platform, позволяет определять и на другие решения политики по потери конфиденциальных Данный компонент предоставляет единый для управления и с решениями SDLP.
Symantec Data Loss Network Discover
Компонент Symantec Data Loss Network Discover незащищенные конфиденциальные сканируя такие ресурсы, как хранилища, базы почтовые серверы, и т.п.
Symantec Data Loss Prevention Data
Компонент Symantec Data Loss Data Insight отслеживать доступ к информации для определения владельцев этих что позволяет гибкость процессов конфиденциальных данных и ими.
Symantec Data Loss Network Protect
Компонент Symantec Data Loss Network Protect дополнением, расширяющим компонента Symantec Data Loss Network Discover в снижения риска незащищенных конфиденциальных путем переноса этих с публичных на сетевых в карантин или хранилища.
Компоненты SDLP Discover и SDLP Protect осуществляют от утери данных со информационных ресурсов:
сетевые файловые (CIFS, NFS, DFS и
локальные файловые на рабочих и ноутбуках;
локальные файловые (Windows, Linux, AIX,
БД Lotus
Microsoft Exchange;
Microsoft SharePoint;
Documentum и др.
Symantec Data Loss Endpoint Discover и Data Loss Endpoint Prevent
Эти компоненты двумя модулями:
Агент SDLP который устанавливается на станции пользователей (в том ноутбуки) и выполнение следующих
обнаружение незащищенных данных на рабочих станциях;
блокировка передачи данных (съемные информации, CD/DVD, средства обмена сообщениями и
Сервер SDLP Server, который связь агентов SLDP с платформой SDLP Enforce и позволяет политики мониторинга данных и их передачи с рабочих станций.
Агент SDLP предотвращает утечки данных с рабочих станций и ноутбуков при их передачи с
внешних накопителей (USB, SD, flash, FireWire);
записи на
сети (HTTP/, Email/SMTP, FTP, IM);
средств печати/факса;
копирования конфиденциальных в буфер
Symantec Data Loss Network Monitor
Компонент Symantec Data Loss Network Monitor в времени отслеживает трафик на конфиденциальной информации и уведомления при передачи такой за пределы сети.
Symantec Data Loss Network Prevent
Компонент Symantec Data Loss Network Prevent передачу конфиденциальной средствами почтовых и
Компоненты SDLP Monitor и SDLP Prevent обеспечивают от утечек данных при их передачи способами:
электронная почта
средства обмена сообщениями (IM);
веб-почта, форумы, соц. сети и т.д. HTTPS);
протокол передачи (FTP);
торренты (Peer-to-peer);
Telnet;
любые другие через любой порт TCP.
Глава 2. Решения, представленные на DeviceLock
2.1 DeviceLock
DeviceLock 6.4.1 - программное средство, для защиты и локальных и компьютеров путем неконтролируемых действий при обмене через компьютерные и устройства со носителями.
Использование неавторизованных представляет угрозу сетям и Причем не конфиденциальная информация "уйти" из сети через но и или троянские могут быть внутрь корпоративной минуя серверные экраны и Точно так же дело с записывающими
Обеспечивая контроль над имеющими доступ к и устройствам компьютера, DeviceLock закрывает потенциальную в защите и экономичным DeviceLock 6.4.1 интегрируется в безопасности Windows, на уровне ядра и обеспечивает для пользователя
Рисунок 2 - работы DeviceLock
Программный комплекс 6.4.1 обеспечивает ряда требований и нормативных по защите информации и данных. DeviceLock успешно применяется в сертифицированного средства информации от НСД при автоматизированных систем для с конфиденциальной а так же в системах любых для работы с данными.6.4.1 имеет сертификат ФСТЭК Сертификат №2144, на соответствие по Безопасности, требованиям руководящего "Защита от доступа к Часть 1. обеспечение средств информации. Классификация по контроля отсутствия возможностей" (Гостехкомиссия 1999) - по 4 контроля и оценочный уровень ОУД 2 в с руководящим "Безопасность информационных Критерии оценки информационных технологий" России, 2002).
2.2 SecureTower
Комплексное программное для защиты от персональных данных и конфиденциальной информации, в сети содержащейся в данных и r обеспечивает над всеми информации, передаваемыми по перехватывая и в базу трафик. Служба незамедлительно получает уведомления обо всех несанкционированной передачи данных, даже если они при использовании каналов, или подробные статистические о сетевой сотрудников (фотография дня), из видно кто и как корпоративные ресурсы, оценить эффективность персонала.
Типы контролируемых
электронные письма клиентов, использующих POP3, SMTP, IMAP MS Outlook, , The Bat!), электронные MS Exchange ;
весь веб-трафик, электронные письма почтовых служб mail.ru, rambler.ru и сообщения в посещенные страницы в сетях и веб-службах, использующих HTTP;
сообщения коммуникационных использующих протоколы мгновенными сообщениями (таких как MMP (таких как Агент), MSN как Windows и XMPP (таких как Google Talk, QIP PSI), а текстовые и сообщения в
файлы, передаваемые по FTP, FTPS, HTTP и а также в (ICQ, Windows и т.д.) или по почте в вложений
SSL-трафик, передаваемый по протоколам (включая FTPS, защищённые SSL для SMTP и
содержимое баз MS SQL Oracle, PostgreSQL,
данные, передаваемые на устройства (USB-устройства, жесткие диски, памяти, съемные CD/DVD и
печать данных на и сетевых
Решаемые задачи
Контроль случайной или утечки информации- программное решение для от преднамеренного или утечки по персональных данных и другой конфиденциальной циркулирующей в сети по максимальному каналов, а содержащейся в данных и
Обеспечение сохранности и конфиденциальных
Уникальной возможностью является функционал, надежную защиту от утечек информации из баз Это позволяет по цифровых отпечатков без операций контролировать хранилищ структурированной которые обычно конфиденциальные персональные ценные контактные абонентские базы и коммерческую информацию.
Программа поддерживает MS SQL Oracle, PostgreSQL, и легко быть адаптирован для с любой СУБД.
Метод анализа по цифровым вместе с традиционных лингвистических, и статистических не повышает эффективность над утечками информации, но и контролировать сохранность данных, в с Федеральным "О персональных
Оценка лояльности подробные и статистические отчеты о активности сотрудников, оценить лояльность и работы персонала, а узнать, насколько является использование корпоративных ресурсов трудозатраты по инцидентов утечки и повышает работы службы безопасности за счет процента ложных Это достигается гибким настройкам для создания как так и правил безопасности.
Формирование архива компании
Весь перехваченный анализируется и в базе Программа создаёт архив для "истории" внутрикорпоративных и событий. Это расследовать любой утечки конфиденциальной в ретроспективе. к определенному можно просмотреть всю общения абонентов.
2.3 Zgate
Система Zgate контроль и электронной почты в предприятия, минимизируя риск конфиденциальной информации и облегчая расследование
Сейчас уже не сомневается, что от утечек информации необходима организации - от компании до корпорации. Руководители что или кража данных ведет не к прямым убыткам, но и к доверия со клиентов, партнёров и Любая утечка даже отправка с конфиденциальными по ошибочному приводит к интересу со регулирующих органов и СМИ. Это риски финансовой за нарушение стандартов и регулирующих защиту данных и конфиденциальной информации.
Система Zgate SECURIT разрабатывалась с преимуществ и существующих DLP-решений. позволяет блокировать конфиденциальных данных по каналам. Для и блокировки в Zgate гибридный анализ, в себя современных технологий конфиденциальных данных. гибридного анализа повысить эффективность со среднестатистических для существующих DLP до 95% у все данные, сотрудниками за локальной сети и позволяет утечки конфиденциальной по сетевым - через почту, социальные интернет-мессенджеры и т.д. В используются современные которые безошибочно уровень конфиденциальности информации и документов с особенностей бизнеса, отраслевых стандартов и России, СНГ, и США.позволяет и архивировать:
Переписку в электронной почте.
Письма и отсылаемые через веб-почты.
Общение в сетях, на и блогах.
Сообщения интернет-пейджеров.
Файлы, передаваемые по FTP.
Для проведения расследований и утечек Zgate подробную информацию обо всех инцидентах - данные, сведения об получателе, канале и т.д. система отчетности полный набор для наглядного сохраненных данных и эффективность процесса решений по инцидентам. В к нескольким готовых отчетов в встроен специальный дающий возможность сохранять и неограниченное количество отчетов.
Решаемые задачи
Категоризация всей информации. Zgate сетевой трафик и пересылаемые данные по категориям.
Обнаружение и утечек конфиденциальных в реальном Большинство DLP-систем в "пассивном" то есть лишь о факте В отличие от них, действительно предотвращает в реальном
Предупреждение утечек Большую часть информации можно если своевременно подозрительную активность и политики безопасности. еще на стадии обнаруживает активность, что дополнительно сократить утечки конфиденциальных
Архивирование всей информации. Zgate корпоративную электронную сообщения и передаваемые через социальные сети, форумы, блоги и т.д. данные записываются в СУБД Database или SQL
Приведение политик в полное с требованиями стандартов и В частности, систем защиты от регламентируется стандартами России, Кодексом поведения ФСФР, PCI DSS, SOX, II и других документов.
Преимущества Zgate
Для обнаружения и блокировки утечек в Zgate гибридный анализ, более 10 технологий.
Zgate контролирует и файлы, через более чем 15 интернет-пейджеров и чем 250 веб-сервисов - от Mail.ru до YouTube.
Zgate может с Microsoft TMG (Microsoft ISA и любым поддерживающим протокол ICAP Content Adaptation - Blue Cisco ACNS, и т.д.
Система Zgate с любой системой (MTA) и письма и отправляемые через Exchange Server, IBM Domino, CommuniGate Pro и т.д.
Zgate поддерживает более 500 файлов, в том Microsoft Office, изображения, а обработку архивов уровня вложенности.
Все пересылаемые сообщения и помещаются в архив, не ограничений по и сроку данных.
В установку включено более 50 с помощью можно определять данные. Это сокращает при внедрении.
Для настройки информации в используются специальные безопасности, имеющие до 30 параметров.
Управление Zgate через единую управления DLP-решениями которая также управление Zlock и Suite.
Технологии обнаружения информации
DocuPrints. Технология работает по "цифровых отпечатков" и на сравнении документов с созданной базой отпечатков конфиденциальных В результате определяется вероятность что в присутствует конфиденциальная
Для начала технологии DocuPrints задать расположение документов, и самостоятельно создаст базу и будет поддерживать ее в виде.
MorphoLogic. Технология с использованием анализа проверяет данные на нахождения в них информации.
Технология MorphoLogic аналогично методам, в поисковых и даёт анализировать текст с различных грамматических
SmartID. Интеллектуальная SmartID - это компании SECURIT, уже после "обучения" может самостоятельно опознавать конфиденциальных данных.
В процессе работы SmartID "опыт" анализа и данных и с разом повышает категоризации.
Точность работы уже после недели работы составляет 95 %.
2.4 Zlock
Система Zlock гибко настроить доступа к и устройствам и риск утечки связанный с использованием внешних прежде всего,
По различным от 60 до 80 % направленных на информации ограниченного начинается из сети предприятия
Особенную актуальность внутренних угроз в связи с и повсеместным мобильных накопителей подключаемых через flash-диски, винчестеры с и т.д.
Для предотвращения корпоративных документов мобильные устройства, всего USB-накопители, использоваться разработка SECURIT - Zlock. Zlock предотвращать утечки информации через устройства с гибкой настройки доступа, анализа передаваемых файлов и несанкционированного копирования
Для каждого типа Zlock предполагает гибкой настройки прав на основе контроля доступа Для каждого или логического и для пользователя или пользователей из Directory можно либо полный либо чтение, либо доступ. Инструмент анализа позволяет контроль копирования на мобильные и с них по файлов и передаваемых документов.
Подключаемые устройства идентифицироваться по признакам, таким как устройства, код код устройства, номер и т.д. Это дает назначать разные доступа к одного класса, запретить использование но при этом использование USB-ключей для пользователей.
Система Zlock SECURIT позволяет надежную защиту компании от на внешних путем
разграничения доступа к внешним устройствам и рабочих станций.
Политики доступа
Разграничение доступа к устройствам в осуществляется на политик доступа. доступа - это понятие, которое описание устройств и прав к ним.
Права доступа иметь следующий вид:
полный доступ;
доступ только на
запрет доступа.
Права доступа применяться как для так и индивидуальные настройки для или групп на основе ACL разграничению прав к папкам или в Windows).
Политики доступа настраивать по файлов для операций с определенного формата (для Zlock поддерживает 500 наиболее в корпоративной форматов файлов, в том Microsoft Office и
При настройке по содержимому документов существует открыть полный к устройствам, запись, чтение или файлов, содержащих информацию (для и принтеров).
Политики могут временной интервал или быть Это позволяет, давать разные доступа в и нерабочее либо разрешить доступ к (доступ прекратится, как пользователь извлечет
В системе существует особый вид - это по умолчанию". Она права доступа к которые по тем или иным не попадают под других политик. можно с такой политики по запретить использовать все а с обычной политики - использовать какое-то устройство.
Дополнительно в реализована возможность специальные политики которые применяются в от того, ли компьютер к сети подключен через VPN или автономно. Это возможности по доступом к и позволяет, автоматически заблокировать ко всем устройствами на как только он от корпоративной
При этом в у каждой есть свой который позволяет какие права будут применяться, если одно описывается сразу в политиках и там разные доступа.
Поддерживаемые устройства
Система Zlock разграничивать доступ к видам
любые USB-устройства - цифровые камеры и карманные компьютеры и
локальные и принтеры;
внутренние устройства - Wi-Fi, Bluetooth, сетевые карты и FDD-, CD - и жесткие диски;
порты LPT, COM и IEEE
любые устройства, символическое имя.
В Zlock есть создать каталог который будет всю информацию об сети и создавать политики на этих данных.
Контентный анализ
При записи на USB-устройства, с них и на принтерах может анализировать файлов, обнаруживать в них данные и действия пользователя в выявления нарушений безопасности.
Для обнаружения информации в применяется гибридный - комплекс детектирования данных типа:
Технология MorphoLogic с морфологического анализа - исследовать текст и вновь документов с различных грамматических
Шаблоны регулярных - особенно при поиске информации, имеющей структуру, в персональных данных.
Поиск по - позволяет данные, относящиеся к категориям, существенным для разного рода
Анализ замаскированного и транслита.
Удаленное управление
Удаленное управление Zlock осуществляется единую консоль для SecurIT. C нее администратор устанавливать клиентские создавать и политики Zlock, мониторинг рабочих просматривать данные копирования.
При необходимости клиентских частей на места пользователей производиться без компьютеров, что ускорить внедрение и его незаметным для
В системе существует возможность доступа к управления для Это позволяет, в разделить функции безопасности, который весь комплекс по управлению и аудитора, имеет право на просмотр системой событий и теневого копирования.
В Zlock для пользователей предусмотрена послать администратору на доступ к устройству. На запроса администратор может создать разрешающую доступ к Это обеспечивает оперативное реагирование на пользователей и адаптации политики к нуждам
Взаимодействие с Directory
В Zlock тесная интеграция с Directory. Она в возможности доменной структуры и компьютеров корпоративной сети в Это позволяет удобство использования и повысить по масштабируемости.
Развертывание и Zlock можно не только из управления Zlock, но и с групповых политик policy) Active
Через групповые можно выполнять удаление и Zlock, а распространение политик и настроек
Данная возможность упростить внедрение и системы в корпоративных сетях. этого расширяются по администрированию в компаниях с службами информационных и информационной - сотруднику безопасности необязательно привилегии локального на компьютерах поскольку внедрение и системой осуществляется домена.
Мониторинг
В Zlock возможность мониторинга рабочих станций. функция предусматривает опрос клиентских Zlock и предупреждений в попытки несанкционированного Zlock на станции, изменения или политик
Реакция на эти может настраиваться с подключаемых сценариев на языках или Jscript. С таких сценариев выполнять любые - посылать по электронной запускать или приложения, и т.д.
Сбор событий и их
Система Zlock расширенный функционал по и анализу событий. В записываются все события, в том
подключение и устройств;
изменение политик
операции с (чтение, запись, и переименование на контролируемых
В состав входит средство для журналов, которое формирование запросов видов и результатов в HTML. Кроме использование для универсальных форматов данных позволяет любыми сторонними анализа и отчетов.
Предоставление доступа к по телефону
В Zlock возможность разрешить доступ к используя лишь связь с Zlock. Это в тех когда пользователю срочно получить к определенному или группе а он не в сети. В ситуации сотрудник и администратор обмениваются секретными в результате чего и применяются политики доступа.
При этом Zlock может как постоянно так и политику, которая действовать после устройства, завершения Windows или по заданного времени. Это более оперативно на запросы в безотлагательных и соблюдать баланс между и бизнесом.
Архив (теневое
В Zlock возможность автоматически архивирование (теневое - shadow файлов, которые записывают на накопители. Это контролировать даже в том если пользователю запись на устройства, поскольку безопасности всегда точно знать, информацию сотрудник на внешние
Вся информация, пользователем на носитель, незаметно для него в защищенное на локальной и потом на сервер. теневого копирования точные копии которые пользователь на устройства, и возможности аудита, проводить расследование инцидентов.
Теневое копирование отслеживать информацию для определенных групп пользователей и которые подпадают под конкретной политики Zlock. Это теневое копирование инструментом, применение позволяет службе предприятия получать ту информацию, ей нужна.
Дополнительно в реализовано теневое распечатываемых документов. Это дает контролировать действия даже в том если им использование принтеров, но точно знать, что, где и они печатали. В копии сохраняется вся информация и сам документ в PDF.
Сервер журналирования
В Zlock есть сохранять журналируемые на сервер Он позволяет и надежнее хранить и журналы событий
Клиентские модули записывают все события на журналирования, при если он информация о временно хранится на Когда соединение с восстанавливается, эта пересылается на
Сервер журналов записывать информацию о в базу Microsoft SQL Oracle Database или в Использование для событий Microsoft SQL или Oracle позволяет обеспечить высокую надежность и
Zlock Enterprise Server
Zlock EMS для централизованного и распространения и настроек Синхронизация с Enterprise Management происходит с администратором периодичностью и в себя текущих политик и агентов и их в случае Синхронизация происходит по каналу и распространяться как на всю так и на домены, группы или
Контроль целостности
В Zlock возможность контроля файлов и Zlock. Если компоненты Zlock были модифицированы, возможность в систему лишь у Это позволит Zlock от со стороны и вредоносных
2.5 McAfee Host Data Loss Prevention
Система защиты от утечек, основанная на агентском контроле использования конфиденциальной информации.Host DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.
Вычислительная часть решения McAfee Host DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа - агентский модуль McAfee Host DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.
Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности политике, на защищаемые документы "навешиваются" метки. Эти метки существуют в параллельных потоках NTFS и не видны невооруженным взглядом.
Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.
Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.
В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:
По результатам работы агентских программ статистика инцидентов централизованно собирается на управляющий сервер McAfee ePolicy для анализа.
Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:
1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
2. Clipboard Protection Rule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание "финансовый отчет" из программы Excel в Word может быть запрещено;
. Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;
4. Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;
. Network Protection Rule. Позволяет блокировать передачу конфиденциальной информации через сетевые протоколы TCP\IP;
. Printing Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов, если контент отправленных на печать документов содержит конфиденциальную информацию;
7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов в файл или формат PDF;
. Removable Storage Protection Rule. Позволяет детектировать и в случае необходимости блокировать передачу на внешний носитель конфиденциальной информации;
. Screen Capture Protection Rule. Позволяет блокировать выполнение операции "Print Screen" для определенных приложений;
. Webpost Protection Rule. Позволяет перехватывать post-запросы в Internet Explorer - например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).
Websense Data Security Suite (DSS)
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.
Решение состоит из нескольких модулей:
. Data Discover - модуль, осуществляющий сканирование корпоративной сети (компьютеров, серверов) и поиск разбросанной конфиденциальной информации;
2. Data Protect - модуль, осуществляющий анализ исходящего трафика по всем каналам передачи, мониторинг и блокирование утечки;
. Data Monitor - модуль, аналогичный Data Protect, только без блокирования;
. Data Endpoint - модуль, осуществляющий контроль конечных рабочих станций, ноутбуков на локальное перемещение конфиденциальной информации и контроль запуска приложений.
Схема работы Websense DSS не отличается от классической для DLP-систем:
Подготовка перечня секретной информации
Для того чтобы решение Websense DSS заработало у клиента, потребуется предварительно выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде следует разложить по файловым папкам.
Внедренная система Websense DSS обратится к хранилищу защищаемых документов и баз дынных, снимет цифровые отпечатки подготовленных документов.
Администратор безопасности настраивает правила реагирования на перемещение секретных документов.
Если в потоке трафика попадается конфиденциальный документ, то система Websense DSS безошибочно определит, из какого источника взят этот документ, кто из пользователей отвечает за обращение данного вида информации, какое действие должно быть предпринято по отношению к данной попытке нарушения безопасности.
Моментально о нарушении узнаёт ответственное лицо, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о досылке письма, либо возбуждении расследования.
Возможности решения далеко не ограничены рассмотренным сценарием. Например, система Websense DSS способна с высокой степенью вероятности обнаруживать стандартные структурированные документы, например, резюме сотрудников, финансовые отчеты, паспортные данные, - в том числе и русскоязычные.
Решение Websense DSS может быть встроено в инфраструктуру заказчика различными способами.
Рассмотрим один из распространенных вариантов. Для установки решения Websense DSS потребуется как минимум один сервер "DSS Manager" уровня HP DL380, который будет выполнять анализ всего корпоративного трафика. Дополнительно может быть рекомендован еще один сервер "DSS Protector" (перехватчик), уровня HP DL360. Итого, 2 сервера на предприятие до 5000 пользователей, передающих электронные сообщения через центральный офис.DSS может быть установлен и работать как в "прозрачном режиме" - для мониторинга трафика (без видоизменения, - отказоустойчивый вариант):
Рисунок 3 - "Прозрачный" режим работы Websense DSS
Так и в разрыв исходящего трафика (для мониторинга и предотвращения утечек):
Рисунок 4 - Режим разрыва исходящего трафика
На схемах сервера Websense обозначены как "Фильтр" и "Перехватчик". Для обеспечения контроля информации, сохраняемой на внешние носители, "перехватчиком" будет являться агентская программа Websense Data Endpoint, устанавливаемая непосредственно на рабочие станции пользователей или ноутбуки.
При необходимости обеспечения централизованной обработки трафика от нескольких территориально распределенных офисов холдинга заказчика, выстраивается иерархия из серверных компонент Websense.
Заключение
Как показывают опубликованные данные опроса Deloitte ведущих мировых финансовый компаний, 49% респондентов зафиксировали внутренние инциденты (связанные с IT-безопасностью). В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов.18% организаций стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор - 42%, операционные ошибки - 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов именно из-за того, что инсайдеры целенаправленно допустили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих, а 75% вводят различные ограничительные меры на использование тех или иных технологий либо устройств.
По данным исследовательского центра компании InfoWatch, специализирующейся на производстве и продаже систем DLP, за 2016 год - 42% утечек информации происходит неумышленно по неаккуратности или забывчивости пользователей, вследствие нарушений политик корпоративной безопасности организаций. Более 40% информации уходит по Интернет-каналам, и 30% - по мобильным устройствам. Более 65% информации утекает из коммерческих предприятий, около 20% из образовательных и 24% из государственных предприятий.
Системы DLP на сегодняшний день наиболее эффективный инструмент для защиты конфиденциальной информации, и актуальность данных решений будет со временем только увеличиваться. Согласно статье 19 ФЗ-№152 ("Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий") и пункту 11 Постановления РФ-№781 ("при обработке персональных данных в информационной системе должно быть обеспечено проведение мероприятий, направленных на предотвращение … передачи их лицам, не имеющим права доступа к такой информации") необходимо выполнить требования, которые именно системы DLP в состоянии наиболее эффективно решить.
С учетом представленных статистических данных и требований правовых актов, понятно, что востребованность и актуальность систем DLP очень высока и не уменьшается с течением времени.
Список используемой литературы
1. Websense Data Security Suite (DSS).
2. McAfee Host DLP.
3. Мастер-класс "Системы DLP: Ваша конфиденциальная информация не уйдет "на сторону". http://www.topsbi.ru/default. asp? trID=1206
4. Системы DLP - Who? What? Where? How? http://www.topsbi.ru/default. asp? artID=1675
5. Системы защиты от утечек (DLP). http://www.infokube.ru/index. php/products/categories/category/dlp
6. Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации.
7. Защита от утечек конфиденциальных данных Symantec DLP.
- Технология обслуживания клиентов в ресторане «Адачи»
- Организационно-правовые формы социального обеспечения
- Презумпции и фикции в праве
- Влияние процесса коммуникаций на эффективность управления организацией
- Классификация языков программирования высокого уровня
- Технологии фоpмиpовaния yпpaвленческих комaнд
- Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей
- Проектирование реализации операций бизнес-процесса «Учет ремонтных работ жилищно-коммунального хозяйства»
- Современные технические средства выявления инцидентов информационной безопасности
- Адаптация ребенка к школе по методике Васильевой Л.Л.
- Графические планшеты
- Проектирование реализации операций бизнес-процесса «Расчет заработной платы»