Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Системы предотвращения утечек конфиденциальной информации (DLP) (анализ систем предотвращения утечек конфиденциальных данных)

Содержание:

Введение

В современном мире существует огромное количество устройств и инструментов, предназначенных для хранения и передачи информации, с развитием информационных технологий. Это влечет за собой как положительные моменты, так и отрицательные. С одной стороны, это открывает широкие возможности, поскольку позволяет сотрудникам крупных корпораций и компаний быть мобильными и решать бизнес-процессы за пределами рабочего пространства, независимо от их местоположения. Что касается другой стороны, негативной, отследить передвижение значимых для бизнеса компании данных в этих условиях становится гораздо сложней.

Каждая компания определяет, какие данные являются конфиденциальными. Во-первых, это будут данные из клиентской базы, для последней - информация о новом продукте или технологии. Но суть всегда одна и та же: утечка конфиденциальной информации является прямой угрозой для бизнеса, и игнорирование этих проблем может привести к катастрофическим последствиям.

Факторы, которые являются причинами утечек информации, могут быть разнообразными: намеренная кража данных как собственными сотрудниками (инсайдерами), так и мошенниками, использующими различные способы проникновения в корпоративную информационную сеть (трояны, черви, шпионские ПО и т.п.), неосторожность в работе или низкая квалификация сотрудников.

Цель данной курсовой работы заключается в том, чтобы провести анализ систем предотвращения утечек конфиденциальных данных, выявить наиболее эффективные и гибкие системы для дальнейшего их внедрения на предприятии.

Задачи, необходимые для достижения нашей цели:

  • Изучить литературу в сфере информационной безопасности по системам DLP, рассмотреть основные понятия, ознакомиться с развитием данной технологии, выделить ключевые факторы и провести сравнительный анализ;
  • Исследовать возможности основных DLP-систем, которые предлагаются на рынке, выявить положительные и отрицательные стороны каждой.

ГЛАВА 1. ОПИСАНИЕ И АНАЛИЗ ТЕХНОЛОГИИ DLP

1.1 Системы предотвращения утечек конфиденциальной информации

Для борьбы с утечками конфиденциальных данных существует множество способов и систем, как на уровне организационных процедур, так и на уровне программных решений. Наиболее эффективным методом, одним из, является внедрение системы защиты от утечек конфиденциальной информации Data Leak Prevention (DLP) - технология предотвращения утечек конфиденциальных данных из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. Передача сообщения (сессии, пакета, потока) блокируется, как только при детектировании в этом потоке конфиденциальной информации включается активная компонента системы.

Можно применять следующие термины, которые обозначают приблизительно то же самое:

  • Data Leak Prevention (DLP),
  • Content Monitoring and Filtering (CMF),
  • Data Leakage Protection (DLP),
  • Data Loss Prevention (DLP),
  • Information Leak Detection & Prevention (ILDP),
  • Information Protection and Control (IPC),
  • Information Leak Prevention (ILP),
  • Information Leak Protection (ILP),
  • Extrusion Prevention System (EPS).

1.2 Этапы развития DLP-систем

На всех этапах разработки средств информационной безопасности очевидна необходимость защиты от внутренних угроз. Первоначально внешние угрозы считались более опасными. До недавнего времени внутренние угрозы стали уделять больше внимания, и популярность DLP-систем увеличилась. Необходимость в их применении стала уточняться в нормативных документах и стандартах (например, раздел "12.5.4 Утечка информации" в стандарте ГОСТ ISO/IEC 17799-2005). Только после 2000 года стали массово выпускаться специализированные технические средства для защиты от внутренних угроз.

Первыми их них появились технологии сетевого мониторинга - без способности блокировки утечки через сетевые протоколы (HTTP, SMTP…). В дальнейшем при передаче через сеть производители добавляли функции блокировки информации. Затем, за счет внедрения программных "агентов", появились возможности контроля рабочих станций, чтобы можно было предотвратить передачу конфиденциальной информации с этих устройств: снятия скриншотов, контроль функций "copy/paste", а также контроль передачи данных на уровне приложений: например, в одном приложении функций "copy/paste" запрещен, в другом - разрешен.

Ну и, в конце концов, появились технологии защиты и поиска конфиденциальных данных на сетевых ресурсах, если информация обнаружена в тех местах, где ее не должно быть. При этом конфиденциальная информация задается предварительно ключевыми регулярными выражениями, словами, словарями, "цифровыми отпечатками". В результате поиска система может показать - где она обнаружила конфиденциальную информацию, и какие политики безопасности при этом нарушаются. Далее работник службы безопасности (СБ) может принимать соответствующие меры. Есть решения, показывающие наличие конфиденциальной информации в неположенном месте, а затем переносят её "на карантин", оставляя в файле, где была обнаружена информация, запись - куда были отправлены конфиденциальные данные и к кому обратиться за получением доступа к этой ним.

Ниже приведены данные по объемам продаж различных производителей на рынке систем защиты от утечек в России, в процентах от общего объема рынка. По итогам 2017 года лидером DLP-рынка является компания InfoWatch с долей 30,83%. За ней следует Solar Secury с долей рынка 17,31%. Замыкает тройку лидеров SearchInform, контролирующий 14,91% рынка.  Очень близко от лидирующей тройки находятся Zecurion и DeviceLock с долями рынка 13,82% и 12,11% соответственно. На долю МФИ Софт приходится 2,89% рынка.

Рисунок 1. Доли рынка основных участников DLP-рынка в России в 2017 году

1.3 Анализ передаваемой информации

DLP-решения, позволяющие идентифицировать и предотвращать утечку конфиденциальной информации на тот или иной канал, сегодня на рынке довольно много. Но гораздо меньше - действительно сложные решения, охватывающие все существующие каналы. В этих условиях чрезвычайно важно выбрать технологию, обеспечивающую защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальное количество ложных срабатываний.

Первое, чему следует уделить внимание при выборе DLP-решения - это как данное решение осуществляет анализ передаваемой информации и какие технологии используются для определения наличия конфиденциальных данных.

Всего существует пять методов анализа:

  • Статистический ("поведенческий") анализ информации по пользователям. Суть заключается в том, что если пользователь имеет доступ к конфиденциальной информации, и в то же время он посещает определенные web-ресурсы (web-mail, web-storage, хакерские и т.д.), то он автоматически попадает в "группу риска" и к нему возможно применение дополнительных ограничений политики безопасности.
  • Поиск по словарям (точное совпадение слов, в некоторых случаях с учетом морфологии).
  • Регулярные выражения – это, основанная на системе записи образцов для поиска, система синтаксического разбора текстовых частей по формализованному шаблону. Например, номера банковских карт, счетов, телефонов, Email адреса, номера паспорта, лицензионные ключи и др.
  • Сравнение по типам файлов. Отправка некоторых типов файлов вовне, политиками безопасности может быть запрещена. Но если пользователь изменит расширение файла, то система все равно сможет "опознать" тип файла и предпринять необходимые действия. В основном здесь используется технология компании Autonomy.
  • Технологии цифровых отпечатков. Определенные математические преобразования исходного файла (алгоритмы преобразований производителями не раскрываются) производятся при наиболее перспективных и достаточно сложных технологиях. Процесс преобразования создается следующим образом: исходный файл - математическая модель файла - цифровой отпечаток. Этот процесс может значительно уменьшить объем обрабатываемой информации (объем цифровой печати составляет не более 0,01 от общего размера файла). Кроме того, цифровые отпечатки помещаются в базу данных (MS SQL, Oracle) и могут дублироваться в ОЗУ устройства, которое выполняет анализ информации. Затем отпечатки пальцев используются для анализа передаваемой информации и дальнейшего сравнения. При этом, процент совпадения может задаваться (или программироваться в ПО производителем), отпечатки "модельного" и передаваемого файлов не обязательно могут совпадать на 100%. Технологии можно применить для защиты практически любых типов файлов: текстовых, видео, аудио, графических; и они устойчивы к редактированию файлов. Количество "ложных срабатываний" не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). При использовании в тексте, эта технология устойчива к различным текстовым кодировкам и языкам.

Ещё следует обратить внимание на наборы ранее настроенных политик безопасности, представляемых DLP-решением и систему отчетности, так как это поможет избежать некоторые проблемы и сложности при внедрении.

1.4 Процесс внедрения DLP-системы

Главная проблема внедрения - это, чаще всего, отсутствие классификации данных. Поэтому на первых этапых внедрения система DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме система может помочь выявить места хранения и способы обработки и передачи конфиденциальной информации на базе преднастроенных в соответствии с типом предприятия (промышленные предприятия, медицинские или образовательные учреждения) политик безопасности.

Проблема с классификацией данных нивелируется уже имеющимися в наличии достаточно качественными преднастроенными политиками, предоставляемыми производителями DLP-решений для всех финансовых организаций, которые на текущий момент являются основными потребителями DLP-решений.

Система передается в режим уведомления либо пользователя, и сотрудника службы безопасности, и / или блокирует передачу конфиденциальной информации, после принятия решения о завершении фазы мониторинга.

Количество ложных срабатываний из-за отсутствия адаптации к политике может насчитывать тысячи, когда система DLP работает в режиме мониторинга. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, что уже в режиме уведомления, а в будущем и блокировании система реагирует только на конфиденциальную информацию, а количество ложных срабатываний также не «зашкаливающим».

В результате этого и в случае крупной организации, полный цикл внедрения решения может занять около года.

1.5 Компоненты системы

На примере программного решения линейки Symantec Data Loss Prevention (SDLP), рассмотрим состав системы DLP. Решения SDLP обеспечивают защиту для широкого спектра типов конфиденциальных данных, находящихся в сетях и системах хранения данных, а также на компьютерах сотрудников в независимости от того, работают они в корпоративной сети или вне ее.

Рисунок 2. Компоненты системы SDLP

Центральным компонентом для всей линейки продуктов является платформа Symantec Data Loss Prevention Enforce Platform, которая позволяет распространять другие компоненты и политические решения для предотвращения потери конфиденциальных данных. Этот компонент также предоставляет единый веб-интерфейс для работы с решениями линии SDLP и их управлением.

Symantec Data Loss Prevention Network Discover

Компонент Symantec Data Loss Prevention Network Discover обнаруживает незащищенные конфиденциальные данные, затем сканирует следующие информационные ресурсы: базы данных, веб-серверы, файловые хранилища, почтовые серверы и т.п.

Symantec Data Loss Prevention Data Insight

Чтобы значительно повысить гибкость в определении и управлении конфиденциальными данными, Symantec Data Loss Prevention Data Insight позволяет контролировать доступ к конфиденциальной информации, чтобы автоматически определять владельцев этих данных.

Symantec Data Loss Prevention Network Protect

Компонент Symantec Data Loss Prevention Network Protect является дополнением, расширяющим функциональность компонента Symantec Data Loss Prevention Network Discover в части снижения риска потери незащищенных конфиденциальных данных путем переноса этих данных с публичных хранилищ на сетевых серверах в карантин или защищенные хранилища.

Компоненты SDLP Network Protect и SDLP Network Discover с определенных информационных ресурсов осуществляют защиту от утери конфиденциальных данных. Рассмотрим их:

  • локальные файловые системы на рабочих станциях и ноутбуках;
  • локальные файловые системы (Windows, Linux, AIX, Solaris);
  • сетевые файловые системы (DFS, NFS, CIFS и др.);
  • Microsoft Exchange;
  • Microsoft SharePoint;
  • БД Lotus Notes;
  • Documentum и др.

Symantec Data Loss Prevention Endpoint Discover и Symantec Data Loss Prevention Endpoint Prevent

Эти компоненты представлены двумя модулями:

Агент SDLP Agent, который устанавливается на рабочие станции пользователей (в том числе ноутбуки) и обеспечивает выполнение следующих функций:

  • блокировка передачи конфиденциальных данных (съемные носители, CD / DVD, печать, обмен мгновенными сообщениями и т. д.);
  • обнаружение незащищенных конфиденциальных данных на пользовательских рабочих станциях.

Обеспечивает связь агентов SLDP Agent с платформой управления SDLP Enforce Platform сервер SDLP Endpoint Server. Мониторинга конфиденциальных данных и блокировку их передачи с пользовательских рабочих станций, также он позволяет определять политики.

SLDP Agent предотвращает утечку конфиденциальных данных с пользовательских рабочих станций и корпоративных ноутбуков при попытке их передачи, используя:

  • записи на CD/DVD;
  • внешних накопителей информации (USB, SD, Compact flash, FireWire);
  • средств печати/факса;
  • сети (HTTP/HTTPS, Email/SMTP, FTP, IM);
  • копирования конфиденциальных данных в буфер обмена.

Symantec Data Loss Prevention Network Monitor

При попытке передачи такой информации за пределы внутренней сети, компонент Symantec Data Loss Prevention Network Monitor в реальном времени отслеживает сетевой трафик на наличие конфиденциальной информации и формирует уведомления.

Symantec Data Loss Prevention Network Prevent

Компонент SDLP Network Prevent блокирует передачу конфиденциальной информации средствами почтовых и веб-коммуникаций.

Компоненты SDLP Network Monitor и SDLP Network Prevent обеспечивают защиту от утечек конфиденциальных данных при попытке их передачи следующими способами:

  • веб-почта, форумы, соц. сети и т.д. (HTTP, HTTPS);
  • электронная почта (SMTP);
  • торренты (Peer-to-peer);
  • Telnet;
  • средства обмена мгновенными сообщениями (IM);
  • протокол передачи файлов (FTP);
  • любые другие сессии через любой порт TCP.

ГЛАВА 2. ОБЗОР ПРОГРАММНЫХ РЕШЕНИЙ, ПРЕДСТАВЛЕННЫХ НА РЫНКЕ И ПРИНЦИП ИХ РАБОТЫ

2.1 SecureTower

Комплексное программное решение для защиты от утечки личных данных и любой конфиденциальной информации, циркулирующей в корпоративной сети, содержащейся в базах данных и документах. SecureTower обеспечивает контроль над всеми потоками информации, передаваемыми по сети, перехватыванием и хранением трафика в базе данных. Служба безопасности немедленно получает автоматические уведомления обо всех случаях несанкционированной передачи конфиденциальных данных, даже если они отправляются с использованием зашифрованных каналов или SSL-протоколов. Затем он генерирует подробные статистические отчеты о сетевой активности сотрудников (картина рабочего дня), из которых вы можете видеть, кто и как использовать корпоративные ресурсы, позволяя оценить эффективность персонала.

Типы контролируемых данных

  • электронные письма почтовых клиентов, использующих протоколы POP3, SMTP, IMAP (например, MS Outlook, Thunderbird, The Bat!), электронные сообщения MS Exchange Server;
  • веб-трафик, включая электронные письма внешних почтовых служб (gmail.com, mail.ru, rambler.ru и т.д.), сообщения в форумах, посещенные страницы в социальных сетях и других веб-службах, использующих протокол HTTP;
  • сообщения коммуникационных программ, использующих протоколы обмена мгновенными сообщениями OSCAR (таких как ICQ/AIM), MMP (таких как Mail.ru Агент), MSN (таких как Windows Messenger) и XMPP (Jabber) (таких как Miranda, Google Talk, QIP Infium, PSI), а также текстовые и голосовые сообщения в Skype
  • файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS, а также в программах-мессенджерах (ICQ, Windows Messenger и т.д.) или по электронной почте в качестве вложений
  • SSL-трафик, передаваемый по шифрованным протоколам (включая HTTPS, FTPS, защищённые протоколы SSL для POP3, SMTP и мессенджеров)
  • содержимое баз данных MS SQL Server, Oracle, PostgreSQL, SQLite
  • данные, передаваемые на внешние устройства (USB-устройства, съемные жесткие диски, карты памяти, съемные накопители, CD/DVD и флоппи-диски)
  • печать данных на локальных и сетевых принтерах.

Решаемые задачи

  • случайной или преднамеренной утечки информации- комплексное программное решение для защиты от преднамеренного хищения или утечки по неосторожности персональных данных и любой другой конфиденциальной информации, циркулирующей в сети предприятия по максимальному количеству каналов, а также содержащейся в базах данных и документах.
  • Обеспечение безопасности личных и конфиденциальных данных. Уникальной особенностью SecureTower является функциональность, обеспечивающая надежную защиту от возможной утечки информации непосредственно из баз данных. Это позволяет вам контролировать содержимое хранилищ структурированной информации, которые обычно содержат конфиденциальные личные данные, ценные контактные данные, базы подписчиков и другую коммерческую информацию, используя метод цифровых отпечатков без промежуточных операций. Программа поддерживает MS SQL Server, Oracle, PostgreSQL, SQLite и легко может быть адаптирована для работы с любой другой СУБД. Метод анализа данных о цифровых печатных изданиях, а также использование традиционных лингвистических, атрибутивных и статистических методов не только улучшает контроль над утечкой конфиденциальной информации, но также позволяет контролировать безопасность персональных данных в соответствии с Федеральным законом «О персональных данных».
  • Оценка лояльности сотрудников формирует подробные и наглядные статистические отчеты о сетевой активности сотрудников, позволяя оценить лояльность и эффективность работы персонала, а также узнать, насколько целевым является использование сотрудниками корпоративных ресурсов компании. Минимизирует трудозатраты по расследованию инцидентов утечки информации и повышает эффективность работы службы информационной безопасности за счет снижения процента ложных срабатываний. Это достигается благодаря гибким настройкам инструмента для создания как простых, так и многокомпонентных правил безопасности.
  • Формирование архива бизнес-коммуникаций компании. Весь перехваченный трафик анализируется и сохраняется в базе данных. Программа создает своего рода архив для ведения «истории» внутрикорпоративных бизнес-процессов и событий. Это позволяет в любой момент исследовать любой случай утечки конфиденциальной информации. Обратившись к определенному сообщению, можно просмотреть всю историю общения абонентов.

2.2 DeviceLock 6.4.1

DeviceLock 6.4.1 - новый программный инструмент, предназначенный для защиты и администрирования локальных и сетевых компьютеров путем предотвращения неконтролируемых действий пользователя при обмене информацией через компьютерные порты и устройства со съемными носителями.

Использование несанкционированных USB-устройств создает угрозу для корпоративных сетей и данных. И не только конфиденциальная информация может «убежать» из корпоративной сети через USB-порт, но и вирусы или троянские программы могут быть внедрены внутри корпоративной сети, минуя экраны сетевых серверов и антивирусы. Аналогично, ситуация с записью CD / DVD-дисков.

Предоставляя контроль над пользователями, имеющими доступ к портам и устройствам на локальном компьютере, DeviceLock 6.4.1 упрощает и экономически эффективную защиту потенциальной уязвимости. DeviceLock 6.4.1 полностью интегрирован в подсистему безопасности Windows, которая работает на уровне ядра системы и обеспечивает прозрачную защиту пользователей.

Рисунок 3 - Принцип работы DeviceLock 6.4.1

Программный пакет DeviceLock 6.4.1 обеспечивает выполнение ряда требований руководящих принципов и нормативных документов для защиты конфиденциальной информации и персональных данных. DeviceLock 6.4.1 успешно используется как сертифицированное средство защиты информации от несанкционированного доступа при построении автоматизированных систем для работы с конфиденциальной информацией, а также в информационных системах любых классов для работы с персональными данными. 6.4.1 имеет действующий сертификат ФСТЭК России Сертификат №2144, сертифицирован на соответствие Заданию по Безопасности, соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и имеет оценочный уровень доверия ОУД 2 в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002).

2.3 Zlock

Система Zlock позволяет гибко настраивать права доступа к портам и устройствам и минимизировать риск утечки информации, связанной с несанкционированным использованием внешних устройств, особенно USB-накопителей.

По различным оценкам, от 60 до 80 % атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети).

Проблема внутренних угроз особенно актуальна в связи с появлением и широким распространением мобильных устройств хранения данных, подключенных через USB-порты: флеш-диски, жесткие диски с интерфейсом USB и т.д.

Для предотвращения утечек корпоративных документов через мобильные устройства, прежде всего USB-накопители, может использоваться разработка компании SECURIT - DLP-система Zlock. Zlock позволяет предотвращать утечки конфиденциальной информации через периферийные устройства с помощью гибкой настройки политик доступа, анализа содержимого передаваемых файлов и блокирования несанкционированного копирования документов.

Для каждого типа устройств Zlock предлагает гибкую настройку прав доступа на основе списков управления доступом (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory вы можете либо разрешить полный доступ, либо читать, либо запрещать доступ. Инструмент анализа контента позволяет настраивать управление копированием файлов на мобильные диски и считывать с них типы файлов и содержимого передаваемых документов.

Подключаемые устройства могут быть идентифицированы с помощью любых характеристик, таких как класс устройства, код производителя, код устройства, серийный номер и т.д. Это позволяет назначать разные права доступа устройствам того же класса, например, запрещать использование USB-накопители, но в то же время разрешить использование USB-ключей для аутентификации пользователей.

Система Zlock компании SECURIT позволяет обеспечить надежную защиту данных компании от утечек на внешних носителях путем разграничения доступа к любым внешним устройствам и портам рабочих станций.

Политики доступа

Ограничение доступа к внешним устройствам в Zlock основано на политике доступа. Политика доступа - это логическая концепция, которая связывает описание устройств и права доступа к ним.

Права доступа могут иметь следующий вид:

  • полный доступ;
  • доступ только на чтение;
  • запрет доступа.

Права доступа могут использоваться для всех и иметь индивидуальные настройки для пользователей или групп пользователей на основе ACL (аналогично различию прав доступа к папкам или файлам в Windows).

Политики доступа могут быть настроены по типу файла для ограничения операций с документами определенного формата (для USB-устройств). Zlock поддерживает более 500 наиболее популярных форматов файлов в корпоративной среде, включая Microsoft Office и OpenOffice.org.

При настройке политик по содержимому передаваемых документов существует возможность открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров).

Политики могут иметь временной интервал или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).

В системе Zlock существует особый вид политики - это «политика по умолчанию». Он описывает права доступа к устройствам, которые по той или иной причине не подпадают под действие других политик. Например, вы можете использовать эту политику для запрета использования всех USB-устройств по умолчанию и использовать обычную политику для разрешения определенного устройства.

Кроме того, Zlock имеет возможность указывать специальные политики доступа, которые применяются в зависимости от того, подключен ли компьютер к сети напрямую, подключен через VPN или работает автономно. Это повышает способность контролировать доступ к устройствам и позволяет, например, автоматически блокировать доступ ко всем внешним устройствам на ноутбуке, как только он отключается от корпоративной сети.

В Zlock каждая политика имеет свой собственный приоритет, который позволяет вам определить, какие права доступа будут применяться, если одно устройство описано в нескольких политиках и имеет разные права доступа.

Поддерживаемые устройства

Система Zlock позволяет разграничивать доступ к следующим видам устройств:

  • любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т.д.;
  • и сетевые принтеры;
  • внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD - и DVD-дисководы, жесткие диски;
  • порты LPT, COM и IEEE 1394;
  • любые устройства, имеющие символическое имя.

В Zlock можно создать каталог устройств, который будет хранить всю информацию о сетевых устройствах и позволит вам создавать политики на основе этих данных.

Контентный анализ

При записи документов на USB-устройства, чтении на них и печати на принтерах Zlock может анализировать содержимое файлов, обнаруживать в них конфиденциальные данные и блокировать действия пользователя в случае нарушения политик безопасности.

Для обнаружения конфиденциальной информации в файлах применяется гибридный анализ - комплекс технологий детектирования данных разного типа:

  • Технология MorphoLogic с использованием морфологического анализа - позволяет исследовать текст динамических и вновь созданных документов с учетом различных грамматических словоформ.
  • Шаблоны регулярных выражений - особенно эффективны при поиске конфиденциальной информации, имеющей фиксированную структуру, в частности, персональных данных.
  • Поиск по словарям - позволяет обнаруживать данные, относящиеся к определенным категориям, существенным для организаций разного рода деятельности.
  • Анализ замаскированного текста и транслита.

Удаленное управление

Удаленное управление системой Zlock осуществляется через единую консоль для решений SecurIT. С его помощью администратор может устанавливать клиентские части, создавать и распространять политики Zlock, контролировать рабочие станции и просматривать данные теневого копирования.

При необходимости установка клиентских частей для рабочих станций пользователей может быть выполнена без перезагрузки компьютеров, что позволяет ускорить реализацию и сделать ее невидимой для пользователей.

В системе Zlock можно дифференцировать доступ к функциям управления для администраторов. Это позволяет, в частности, отделить функции администратора безопасности, который реализует весь набор действий для управления системой, и аудитора, который имеет право просматривать только собранные системой события и данные теневой копии.

В Zlock для обычных пользователей можно отправить администратору запрос на доступ к определенному устройству. На основе запроса администратор безопасности может создать политику, которая позволяет получить доступ к устройству. Это обеспечивает наиболее быструю реакцию на запросы пользователей и легкость адаптации политик безопасности к потребностям бизнес-процессов.

Взаимодействие с Active Directory

Zlock реализует тесную интеграцию с Active Directory. Он заключается в возможности загрузки доменной структуры и списка компьютеров корпоративной сети в Zlock. Это позволяет повысить удобство использования системы и повысить масштабируемость.

Развертывание и управление Zlock можно осуществлять не только из консоли управления Zlock, но и с помощью групповых политик (group policy) Active Directory.

С помощью групповой политики вы можете устанавливать, удалять и обновлять Zlock, а также распространять политики доступа и параметры системы.

Эта функция позволяет упростить внедрение и использование системы в крупных корпоративных сетях. Кроме того, административные возможности Zlock расширяются в компаниях с отдельными информационными технологиями и службами информационной безопасности - сотрудник службы безопасности не должен иметь права локального администратора на пользовательских компьютерах, поскольку система реализуется и управляется через домен.

Мониторинг

В Zlock вы можете управлять клиентскими рабочими станциями. Эта функция обеспечивает периодический опрос клиентских модулей Zlock и выдачу предупреждений, когда неавторизованный Zlock пытается получить доступ к рабочей станции, изменяя настройки или политики доступа.

Ответ на эти события можно настроить с помощью подключаемых скриптов (скриптов) на языках VBscript или Jscript. Используя такие скрипты, вы можете выполнять любые действия - отправлять уведомления по электронной почте, запускать или останавливать приложения и т.д.

Сбор событий и их анализ

Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события, в том числе:

  • подключение и отключение устройств;
  • изменение политик доступа;
  • операции с файлами (чтение, запись, удаление и переименование файлов) на контролируемых устройствах.

Zlock включает инструмент для анализа журналов, который обеспечивает генерацию запросов любого вида и вывод результатов в формате HTML. Кроме того, использование универсальных форматов хранения данных для журнала позволяет использовать любые сторонние инструменты анализа и отчетности.

Предоставление доступа к устройствам по телефону

Zlock реализовал возможность разрешать пользователям доступ к устройствам, используя только телефонное соединение с администратором Zlock. Это необходимо в случаях, когда пользователю необходимо немедленно получить доступ к определенному устройству или группе устройств, и он не входит в корпоративную сеть. В этой ситуации сотрудник компании и администратор просто обмениваются секретными кодами, в результате чего создаются и применяются новые политики доступа.

В этом случае администратор Zlock может создать как постоянную, так и временную политику, которая перестанет быть эффективной после того, как устройство выключено, сеанс Windows будет завершен или через определенное время. Это позволит быстрее реагировать на запросы пользователей в неотложных ситуациях и поддерживать разумный баланс между безопасностью и бизнесом.

Архив (теневое копирование)

В Zlock существует возможность автоматически выполнять архивирование (теневое копирование, - shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние накопители.

Вся информация, которую пользователь записывает на внешний носитель, незаметно копируется в защищенное хранилище на локальном компьютере и затем переносится на сервер. Функция «Теневое копирование» создает точную копию файлов, которые пользователь пишет на устройства, и расширяет возможности аудита, позволяя исследовать возможные инциденты.

Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые зависят от конкретной политики доступа к Zlock. Это делает теневую копию высокоточным инструментом, приложение которого позволяет службе безопасности предприятия получать только необходимую информацию.

Кроме того, Zlock реализует теневое копирование печатных документов. Это позволяет контролировать действия пользователей, даже если им разрешено использовать принтеры, но необходимо точно знать, где и когда они печатаются. Теневая копия сохраняет всю служебную информацию и сам печатный документ в формате PDF.

Сервер журналирования

В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.

Клиновые модули Zlock записывают все события, которые происходят на сервере регистрации, но, если они недоступны, информация о событиях временно сохраняется на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.

Сервер журнала может записывать информацию о событиях в базу данных Microsoft SQL Server, базу данных Oracle или файлы XML. Использование Microsoft SQL Server или Oracle Database для хранения событий позволяет обеспечить более высокую надежность и производительность.

Zlock Enterprise Management Server

Zlock EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с Zlock Enterprise Management Server происходит с интервалом, указанным администратором, и включает проверку текущих политик и настроек агента и их обновление при необходимости. Синхронизация происходит по защищенному каналу и может распространяться как на всю сеть, так и на определенные домены, группы или компьютеры.

Контроль целостности Zlock

В Zlock вы можете контролировать целостность файлов и настроек Zlock. Если какой-либо из компонентов Zlock был несанкционированно изменен, в систему может войти только администратор. Это защитит Zlock от изменений от пользователей и вредоносных программ.

2.4 Zgate

Система Zgate обеспечивает контроль и архивирование электронной почты на предприятии, сводя к минимуму риск утечки конфиденциальной информации и значительно облегчая расследование инцидентов.

Сейчас уже никто не сомневается, что защита от утечек конфиденциальной информации необходима любой организации - от небольшой компании до крупной корпорации. Руководители понимают, что потеря или кража конфиденциальных данных ведет не только к прямым финансовым убыткам, но и к снижению доверия со стороны клиентов, партнёров и инвесторов. Любая утечка данных, даже отправка письма с конфиденциальными документами по ошибочному адресу, приводит к повышенному интересу со стороны регулирующих органов и СМИ. Это увеличивает риск финансовой ответственности за нарушение отраслевых стандартов и законодательства, регулирующих защиту персональных данных и другой конфиденциальной информации.

Система Zgate компании SECURIT разрабатывалась с учетом преимуществ и недостатков существующих DLP-решений. Zgate позволяет блокировать утечки конфиденциальных данных по сетевым каналам. Для обнаружения и блокировки утечек в Zgate используется гибридный анализ, который включает в себя множество современных технологий для обнаружения конфиденциальных данных. Применение гибридного анализа позволило повысить эффективность детектирования, со среднестатистических 60-70% для существующих DLP до 95% у Zgate. Анализирует все данные, передаваемые сотрудниками вне локальной сети организации, и помогает предотвратить утечку конфиденциальной информации через сетевые каналы - через электронную почту, социальные сети, интернет-мессенджеры и т.д. Zgate использует современные технологии, которые точно определяют уровень конфиденциальности передаваемой информации и категории документов, с учетом специфики бизнеса, требований отраслевых стандартов и законодательства России, СНГ, Европы и США. Позволяет контролировать и архивировать:

  • Переписку в корпоративной электронной почте.
  • Письма и вложения, отсылаемые через сервисы веб-почты.
  • Общение в социальных сетях, на форумах и блогах.
  • Сообщения интернет-пейджеров.
  • Файлы, передаваемые по FTP.

Для проведения внутренних исследований и предотвращения утечек Zgate записывает подробную информацию обо всех инцидентах, которые происходят - переданные данные, информация о отправителе, получателе, канале передачи и т.д. Встроенная система отчетности предоставляет полный набор инструментов для визуального анализа хранимых данных и повышает эффективность процесса принятия решений для инцидентов. В дополнение к нескольким десяткам готовых отчетов Zgate имеет встроенный конструктор, который позволяет создавать, сохранять и публиковать неограниченное количество отдельных отчетов.

Решаемые задачи

  • Категоризация всей пересылаемой информации. Zgate анализирует сетевой трафик и анализирует данные, отправленные в разные категории.
  • Обнаружение и блокирование утечек конфиденциальных данных в режиме реального времени. Большинство DLP-систем работают в «пассивном» режиме, то есть сообщают только о факте утечки. Напротив, Zgate предотвращает утечку в реальном времени.
  • Предотвращение утечки информации. Большая часть утечки информации может быть предотвращена при своевременном обнаружении подозрительной деятельности и изменении политики безопасности. Zgate все еще находится на ранней стадии обнаружения подозрительной активности, что еще больше снижает риск утечки конфиденциальных данных.
  • Архивирование всей пересылаемой информации. Zgate архивирует корпоративную электронную почту, сообщения и файлы, передаваемые через интернет-пейджеры, социальные сети, веб-почту, форумы, блоги и т.д. Архивные данные записываются в Oracle Database или Microsoft SQL Server.
  • Приведение политик безопасности в полное соответствие с требованиями отраслевых стандартов и законодательства. В частности, использование систем защиты от утечек регламентируется стандартами Банка России, Кодексом корпоративного поведения ФСФР, PCI DSS, SOX, Basel II и множеством других документов.

Преимущества Zgate

  • Чтобы обнаружить и своевременно блокировать утечку информации, Zgate использует гибридный анализ, который использует более 10 специализированных технологий.
  • Zgate контролирует сообщения и файлы, отправленные через более чем 15 типов интернет-пейджеров и более 250 различных веб-сервисов - от Mail.ru до YouTube для обмена видео.
  • Zgate может интегрироваться с Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP (Internet Content Adaptation Protocol) - Blue Coat, Cisco ACNS, Squid и т.д.
  • Система Zgate совместима с любой почтовой системой (MTA) и контролирует письма и вложения, отправляемые через Microsoft Exchange Server, IBM Lotus Domino, CommuniGate Pro и т.д.
  • Zgate поддерживает анализ более 500 форматов файлов, в том числе Microsoft Office, OpenOffice.org, изображения, а также обработку архивов заданного уровня вложенности.
  • Все пересылаемые письма, сообщения и файлы помещаются в специальный архив, который не имеет ограничений на количество и срок хранения данных.
  • Установка Zgate включает более 50 шаблонов, с помощью которых вы можете определить конфиденциальные данные. Это значительно снижает затраты на рабочую силу при их внедрении.
  • Для настройки защиты информации в Zgate используются специальные политики безопасности, имеющие до 30 различных параметров.
  • Управление Zgate осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zlock и Zserver Suite.

Технологии обнаружения конфиденциальной информации

  • DocuPrints. Технология DocuPrints работает по принципу «цифровых отпечатков» и основана на сравнении анализируемых документов с заранее созданной базой данных цифровых отпечатков конфиденциальных документов. В результате сравнения определяется вероятность того, что документ содержит конфиденциальную информацию. Чтобы начать использовать технологию DocuPrints, достаточно установить расположение конфиденциальных документов, и Zgate самостоятельно создаст базу данных отпечатков пальцев и автоматически сохранит ее в своей текущей форме.
  • MorphoLogic. Технология MorphoLogic с использованием морфологического анализа проверяет пересылаемые данные на предмет нахождения в них конфиденциальной информации. Технология MorphoLogic реализована аналогично методам, используемым в поисковых системах, и позволяет анализировать текст с учетом различных грамматических форм слов.
  • SmartID. Интеллектуальная технология SmartID - это разработка компании SECURIT, которая уже после первоначального "обучения" может начать самостоятельно опознавать передачу конфиденциальных данных. В процессе работы SmartID накапливает «опыт» анализа и категоризации данных и повышает точность категоризации каждый раз. Точность работы SmartID уже после первой недели работы обычно составляет более 95 %.

2.5 McAfee Host Data Loss Prevention

Система защиты от утечек, основанная на агентском контроле за использованием конфиденциальной информации. Host DLP состоит из агентских программ, установленных на рабочих станциях сотрудников, и сервера управления.

Вычислительная часть решения McAfee Host DLP работает на уровне клиентских терминальных рабочих станций. С этой целью модуль программы-агента McAfee Host DLP централизованно распределяется и устанавливается на каждом компьютере. Агент устойчив к разгрузке, - его нельзя удалить, даже с правами администратора.

Чтобы узнать систему, вы должны выбрать папки (на файловом сервере), в которых будут находиться защищенные файлы. В соответствии с политикой безопасности, установленной администратором, ярлыки прикрепляются к защищенным документам. Эти метки существуют в параллельных потоках NTFS и не видны невооруженным глазом.

Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.

Локальные метки работают вместе с цифровыми отпечатками (для отслеживания не только контейнера, но и контента). При открытии или копировании секретного документа с сервера программа агента McAfee Host DLP отслеживает метку документа, удаляет локальные отпечатки пальцев и защищает контент от передачи вне станции в соответствии с установленными политиками безопасности. Поэтому даже копирование фрагмента защищенного документа будет отслеживаться, и новый документ, созданный на основе этого фрагмента, наследует метку.

В существующей инфраструктуре должны быть установлены модули агентов на каждой рабочей станции и установлен сервер управления.

Основываясь на результатах работы агентских программ, статистика инцидентов собирается централизованно на сервере управления McAfee ePolicy для анализа.

Основными особенностями решения являются 10 правил реакции, которые клиент может выполнять на рабочих станциях:

  1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
  2. Правило защиты буфера обмена. Позволяет заблокировать копию в буфер обмена для определенного содержимого. Например, копирование информации через буфер обмена, содержащий фразу «финансовый отчет» из Excel в Word, может быть запрещена;
  3. Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;
  4. Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;
  5. Network Protection Rule. Позволяет блокировать передачу конфиденциальной информации через сетевые протоколы TCP\IP;
  6. Printing Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов, если контент отправленных на печать документов содержит конфиденциальную информацию;
  7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов в файл или формат PDF;
  8. Removable Storage Protection Rule. Позволяет детектировать и в случае необходимости блокировать передачу на внешний носитель конфиденциальной информации;
  9. Screen Capture Protection Rule. Позволяет блокировать выполнение операции "Print Screen" для определенных приложений;
  10. Webpost Protection Rule. Позволяет перехватывать post-запросы в Internet Explorer - например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).

Websense Data Security Suite (DSS)

Система защиты от утечки информации, основанная на мониторинге исходящего сетевого трафика, поиск сохраненных данных, контроль агентства.

Решение состоит из нескольких модулей:

  • Data Discover - модуль, который сканирует корпоративную сеть (компьютеры, серверы) и ищет разбросанную конфиденциальную информацию;
  • Data Protect - модуль, осуществляющий анализ исходящего трафика по всем каналам передачи, мониторинг и блокирование утечки;
  • Data Monitor - модуль, аналогичный Data Protect, только без блокирования;
  • Data Endpoint - модуль, который контролирует конечные рабочие станции, ноутбуки для локального перемещения конфиденциальной информации и контроля за запуском приложений.

Схема работы Websense DSS не отличается от классической для DLP-систем:

Подготовка перечня секретной информации

Чтобы решение DSS Websense работало с клиентом, вы должны сначала выбрать и классифицировать конфиденциальную информацию, которую вы планируете защищать. Документы в электронной форме следует разложить на файлы.

Внедренная система WebSense DSS будет обращаться к хранилищу защищенных документов и баз данных и удалять цифровые отпечатки подготовленных документов.

Администратор безопасности настраивает правила реагирования на перемещение конфиденциальных документов.

Если конфиденциальный документ попадает в поток трафика, система Websense DSS безошибочно определяет, из какого источника этот документ берется, какой из пользователей несет ответственность за доступ к этому типу информации, какие действия следует предпринять в отношении этого нарушения безопасности попытка.

Сразу же нарушение узнается ответственным лицом, которое может прочитать письмо, отправленное его подчиненному, принять решение о отправке письма или инициировать расследование.

Возможности решения далеко не ограничены рассмотренным сценарием. Например, система DSS Websense, скорее всего, обнаружит стандартные структурированные документы, например, резюме сотрудников, финансовые отчеты, паспортные данные, в том числе документы на русском языке.

Решение Websense DSS может быть встроено в инфраструктуру заказчика различными способами.

Рассмотрим один из наиболее распространенных вариантов. Чтобы установить решение Websense DSS, вам понадобится хотя бы один сервер «DSS Manager» на уровне HP DL380, который проанализирует весь корпоративный трафик. Кроме того, может быть рекомендован еще один сервер «DSS Protector» (перехватчик), уровень HP DL360. Всего, 2 сервера на одно предприятие, до 5000 пользователей, передает электронные сообщения через центральный офис. DSS может быть установлен и запущен как в «прозрачном режиме» - для отслеживания трафика (без изменения, - переход на другой ресурс):

Рисунок 4. "Прозрачный" режим работы Websense DSS

Так и в разрыв исходящего трафика (для мониторинга и предотвращения утечек):

Рисунок 5. Режим разрыва исходящего трафика

Схемы сервера Websense обозначаются как «Фильтр» и «Перехватчик». Для управления информацией, хранящейся на внешнем носителе, «перехватчик» будет представлять собой агент агента конечных точек данных Websense, который устанавливается непосредственно на рабочие станции пользователей или ноутбуки.

Если необходимо обеспечить централизованную обработку трафика из нескольких территориально распределенных офисов холдинга клиента, иерархия формируется из компонентов сервера Websense.

Заключение

Информация – это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.

В современных условиях безопасность информационных ресурсов может обеспечиваться только интегрированной системой защиты информации. Комплексная система защиты информации должна быть: непрерывной, планируемой, целенаправленной, конкретной, активной и надежной.

Разнообразие условий, способствующих незаконному приобретению конфиденциальной информации, требует использования не менее разнообразных способов, сил и средств для обеспечения информационной безопасности.

49% респондентов зафиксировали внутренние инциденты (связанные с IT-безопасностью), как показывают опубликованные данные опроса Deloitte ведущих мировых финансовых компаний. Еще 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Пострадавшие от внутренней утечки организации, признались, что основная доля угроз не является злым умыслом инсайдеров, а следствием безалаберности или халатности служащих (человеческий фактор - 42%, операционные ошибки - 37%). Однако, 28% все же стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний именно из-за того, что инсайдеры целенаправленно допустили утечку, лишились приватной информации клиентов. Чтобы не допустить такие инциденты в дальнейшем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих, а 75% вводят различные ограничительные меры на использование большого разнообразия тех или иных технологий и устройств.

Вследствие нарушений политик корпоративной безопасности организаций, по данным исследовательского центра компании InfoWatch, специализирующейся на производстве и продаже систем DLP, за 2008 год - 43% утечек информации происходит неумышленно по неаккуратности или забывчивости пользователей. По Интернет-каналам уходит более 39% информации, и 28% - по мобильным устройствам. Из коммерческих предприятий утекает, более 65% информации, около 24% из государственных предприятий и 21% из образовательных.

На сегодняшний день DLP-системы являются наиболее эффективным инструментом защиты конфиденциальной информации, а релевантность этих решений будет только возрастать с течением времени. Именно системы DLP в состоянии наиболее эффективно и оперативно выполнить те требования, которые описаны в статье 19 ФЗ-№152 ("Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий") и пункте 11 Постановления РФ-№781 ("при обработке персональных данных в информационной системе должно быть обеспечено проведение мероприятий, направленных на предотвращение … передачи их лицам, не имеющим права доступа к такой информации").

Можно сделать вывод, что актуальность систем DLP очень высока и не уменьшается с течением времени, в соответствии с представленными статистическими данными и требованиями законодательства.

Список используемой литературы

  1. Системы защиты от утечек (DLP). https://asterit.ru/dlp_sistemi
  2. Умысков А. В., Тимофеев А. С. Рекомендации по внедрению систем предотвращения утечек конфиденциальной информации (DLP-систем) в информационные системы предприятий // Молодой ученый. — 2016. — №13. — С. 231-233.
  3. Защита от утечек конфиденциальных данных Symantec DLP. https://www.symantec.com/ru/ru/data-leak-prevention/
  4. Невский Н. Ю. Опыт использования возможностей DLP-системы в деловой игре при подготовке бакалавров по направлению «Информационная безопасность». // Интернет-журнал «Науковедение». https://naukovedenie.ru/PDF/28PVN115.pdf
  5. Websense Data Security Suite (DSS). http://www.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Websense_Data_Security_Suite
  6. McAfee Host DLP. http://www.itprotect.ru/product/mcafee/McAfee-DLP/
  7. Мастер-класс "Системы DLP: Ваша конфиденциальная информация не уйдет "на сторону". http://www.topsbi.ru/about-the-company/press-centr/master-klass/sistemy_dlp_vasha_konfidencialnaya_informaciya_ne_uydet_na_storonu/
  8. Системы DLP - Who? What? Where? How? http://www.topsbi.ru/about-the-company/press-centr/publikacii/sistemy_dlp_who_what_where_how/
  9. Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации. http://www.xakep.ru/post/55604/