Dlp системы в корпоративных сетях. Системы DLP: как это работает. Определение DLP систем

Dlp системы в корпоративных сетях. Системы DLP: как это работает. Определение DLP систем

Все более популярными на потребительском рынке видеотехники высокого разрешения становятся проекторы и телевизоры с использованием технологии цифрового проецирования – DLP (Digital Light Processing). Каковы основные преимущества и достоинства подобной техники, как работает данная технология можно узнать из этой статьи.

Новый тип видеопроекции

Основа любой проекционной системы DLP типа - оптическая полупроводниковая микросхема, известная также как DLP чип, изобретенный в 1987 году сотрудником известной американской компании Texas Instruments Ларри Хорнбеком.

Если попытаться кратко описать работу DLP чипа, то его можно назвать самым сложным в мире переключателем. Микросхема состоит из двух миллионов микроскопических зеркал, выстроенных в форме прямоугольника и изменяющих положение относительно источника света. Каждое такое микрозеркало размером не более одной пятой толщины человеческого волоса.

Если, использовать внешний источник света и проекционную линзу, а на вход DLP чипа подать оцифрованный видеосигнал, то можно проецировать на экран или другую поверхность видеофильмы и графические изображения. Использование DLP технологии в современной видео аппаратуре позволяет добиться совершенно нового уровня качества воспроизведения фильмов и видеороликов.

Картинка в оттенках серого

Микрозеркала в микросхеме могут занимать два положения, поворачиваясь к источнику света (On) и в противоположную от источника света сторону (Off). Таким образом, выполняется проецирование на экранную поверхность светлых и тёмных пикселей.

Поступающий на микросхему кодированный сигнал заставляет каждое зеркало изменять своё положение до нескольких тысяч раз в секунду. Когда зеркало принимает состояние «On» чаще, чем «Off», то на экране отображается более светлый пиксель, если же наоборот - то более тёмный.

Таким образом, зеркала в проекционной DLP системе могут отображать для каждого пикселя до 1024 оттенков серого, конвертируя поступающий на DLP чип видеосигнал или оцифрованную картинку в высокодетализированное изображение в оттенках серого цвета.

Добавляем цветность

В использующих DLP технологию проекционных системах белый свет лампы, прежде чем попасть на поверхность микросхемы, проходит через вращающийся цветной светофильтр. Из белого света светофильтры выделяют основные цвета (красный, зелёный и синий), что позволяет создавать минимум 16,7 миллионов цветов, используя лишь один DLP чип.

Технология BrilliantColor позволяет проецировать и дополнительные цвета, в том числе светло-голубой, пурпурный и жёлтый, расширяя цветовую палитру и делая цветопередачу ещё более живой. В более совершенных современных DLP проекторах вместо традиционных ламп применяются светодиодные источники света, раздельно излучающие базовые цвета, что позволяет избавиться от светофильтра и механизма для его вращения. Существуют проекционные системы с использованием трех DLP чипов. Такие проекторы отличаются повышенной яркостью и способны выводить на экран не менее 35 триллионов цветов, используются в кинотеатрах и театрально-концертных системах с большим размером проецируемого изображения.

Состояние каждого микрозеркала регулируется в зависимости от проецируемого в данный момент базового элемента цвета. Например, зеркало, проецирующее на экран пурпурный пиксель, отражает только лучи красного и синего цвета, которые смешиваясь создают на экране необходимый оттенок.

Варианты использования


Многие стандартные проекторы и проекционные HD-телевизоры на основе DLP технологии используют всего одну DLP микросхему.

Белый свет проекционной ламы проходит через фокусирующую линзу и вращающийся цветной светофильтр. Таким образом, поверхность DLP чипа последовательно освещается светом одного из базовых (красный, зелёный или синий) или дополнительных (жёлтый, светло-голубой, пурпурный) цветов. Смена состояний зеркал и время, проводимое в каждом положении, регулируются в зависимости от освещающего их цвета. Последовательно проецируемые цвета смешиваются и создают видимое нами на экране полноцветное изображение.


Технология DLP позволяет создавать проекторы очень высокой яркости, в том числе широкоформатные кинотеатрального типа. В таких проекторах используется конфигурация с тремя DLP микросхемами.

В трёх-чиповой конфигурации поток белого света разделяется призмой на три монохромных потока: красный, зелёный и синий. Каждый поток направляется на поверхность своего чипа; отражённые от микрозекал цветные лучи фокусируются на экран проекционной линзой.

Проекционные DLP системы, независимо от конструкции и сферы применения, постоянно совершенствуясь поднимают планку качества и характеристик проецируемой на экран картинки. Все начинается с миниатюрного изображения, отражаемого миллионами микрозеркал, которое затем превращается в изумительную широкоформатную картину!

Преимущества DLP технологии

Сверхчеткое изображение
Получаемые по DLP технологии видео и графика отличаются повышенной резкостью за счет минимизации промежутка между соседними пикселями изображения. Расстояние между ними составляет менее одного микрона, поэтому качество такого цифрового проецирования вплотную приближается к качеству аналогового проецирования с плёнки.

Выдающееся «голливудское» качество изображения
Невероятно высокое качество полностью цифрового изображения, получаемого по технологии DLP Cinema, изменяет привычное представление о посещении кинотеатра. Такими же достоинствами обладают проекторы и проекционные телевизоры на основе DLP технологии, демонстрирующие поразительно ясные фотокадры, потрясающее видео с невероятной яркостью и цветопередачей. Достоверность изображения такова, что вы забываете о том, что всё действие происходит только на экране.

Формат высокого разрешения 1080p
Технология DLP позволяет отображать на экране более двух миллионов пикселей при максимальном разрешении 1920х1080, что соответствует формату Full HD 1080p. DLP проектор или телевизор с разрешением 1080p позволяют в полной мере насладиться телепрограммами высокой чёткости, фильмами или играми с Blu-ray дисков.

Выдающееся качество изображения и не имеющий аналогов показатель времени отклика делают технологию DLP 1080p идеальным вариантом для видеоигр, просмотра спортивных программ и кинофильмов. При этом проекционные DLP телевизоры и проекторы обладают высокой надежностью и долговечностью.

Реальное изображение
Технология DLP передает изображение непревзойдённого качества с кристальной чистотой, резкостью и реальной динамичностью. Технология позволяет добиться крайне высоких значений контрастности (до 20000:1), что обеспечивает ярчайшие белые и богатейшие темные тона, картинка будто сходит с экрана!

Цифровая проекция обеспечивает абсолютную точность
Отражающий DLP чип имеет полностью цифровое управление. Миллионы управляемых в цифровом режиме микрозеркал передают абсолютно точное и живое изображение с богатой цветовой палитрой.

Идеальная передача динамических сцен
Сверхбыстрая DLP микросхема обладает непревзойдённым временем отклика в 16 миллисекунд. Проекторы и телевизоры на основе DLP технологии имеют точную и резкую картинку, необходимую для просмотра спортивных трансляций и динамических сюжетов, а также для видеоигр.

Потрясающее качество изображения и долговечность
Используя DLP технологию можно забыть о свойственном плазменным панелям и ЭЛТ телевизорам эффекте выгорания экранных пикселей. Так как данная технология не использует ни электроннолучевые трубки, ни фосфор, здесь нечему выгорать. Это означает, что можно не беспокоиться о том, что долго «висящий» на экране логотип телеканала или статичный элемент в заставке игры останется на экране выгоревшим контуром.

Подготовлен по материалам DLP.

Сегодня рынок DLP-систем являетсяодним из самых быстрорастущих среди всех средств обеспеченияинформационной безопасности . Впрочем, Беларусь пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP -систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как DataLeakPrevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и исходящую информацию. Контролируемой информацией должен быть не только интернет-трафик , но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации , DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала. Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

  • Контроль использования рабочего времени и рабочих ресурсов сотрудниками;
  • Мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
  • Контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
  • Выявление сотрудников, рассылающих резюме , для оперативного поиска специалистов на освободившуюся должность;

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников). Тем не менее, поскольку данные решения востребованы в Беларуси, они также включены в сравнительную таблицу, сопровождающую эту статью.

Классификация DLP-систем

Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя. Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками. Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLPработают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Об щий объём мирового рынка DLP-решений оценивается в 400 млн. долларов, что совсем немного по сравнению с тем же рынком антивирусов . Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

На рынок Беларуси огромное влияние имеет рынок её восточного соседа, России, уже достаточно большой и сформировавшийся. Основными игроками на нём сегодня являются российские компании: InfoWatch, «Инфосистемы Джет», SecurIT, SearchInform, Perimetrix и ряд других. Общий объём российского рынка DLP оценивается в 12?15 млн. долларов. Растет он при этом теми же темпами, что и мировой.

Главной из таких тенденций, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам . Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности : ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков (в случае Беларуси, впрочем, уместно говорить о поддержке русского, а не белорусского языка). Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLPявляется постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Немаловажным фактором, влияющим на развитие DLP-систем, является также распространение ноутбуков и нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

Применение DLP в Беларуси

В Беларуси DLP-системы применяются в сравнительно небольшом числе организаций, но их количество до начала кризиса уверенно росло. Тем не менее, собранную с помощью DLP-систем информацию белорусские организации вовсе не спешат предавать огласке, преследуя виновных в утечках информации сотрудников в судебном порядке. Несмотря на то, что белорусское законодательство содержит в себе нормы, позволяющие наказывать распространителей корпоративных секретов, подавляющее большинство организаций, использующих DLP-системы, предпочитают ограничиваться внутренними разбирательствами и дисциплинарными взысканиями, в крайнем случае увольняя провинившихся в особо крупных размерах сотрудников. Впрочем, традиция «не выносить сор из избы» характерна для всего постсоветского пространства, вотличие от западных стран, где об утечке данных сообщают всем, кто мог от неё пострадать.

Вадим СТАНКЕВИЧ

(Data Loss Prevention)

Системы контроля действий пользователей, система защиты конфиденциальных данных от внутренних угроз.

DLP-системы применяются для обнаружения и предотвращения передачи конфиденциальных данных на разных этапах. (при перемещении, использовании и хранении). DLP-система позволяет:

    Контроллировать работу пользователей, не давая бесконтрольно тратить рабочее время в личных целях.

    Автоматически, незаметно для пользователя, записывать все действия, включая отправляемые и принимаемые сообщения электройнной почты, общение в чатах и системах мгновенного обмена сообщениями, социальных сетях, посещаемые веб-сайты, набранные на клавиатуре данные, переданные, напечатанные и сохранённые файлы и т. д.

    Контроллировать использование компьютерных игр на рабочем месте и учитывать количество рабочего времени, потраченного на компьютерные игры.

    Контроллировать сетевую активность пользователей, учитывать объёмы сетевого трафика

    Контроллировать копирование документов на различные носители (съемные носители, жесткие диски, сетевые папки и т. д.)

    Контроллировать сетевую печать пользователя

    Фиксировать запросы пользователей поисковым машинам и т. д.

    Data-in-motion - данные в движении - сообщения email, передача веб-трафика, файлов и т. д.

    Data-in-rest - хранящиеся данные - информация на рабочих станциях, файловых серверах, usb-устройствах и т. д.

    Data-in-use - данные в использовании - информация, обрабатываемая в данный момент.

Архитектура DLP решений у разных разработчиков может различаться, но в целом выделяют 3 основных веяния:

    Перехватчики и контроллеры на разные каналы передачи информации. Перехватчики анализируют проходящие потоки информации, исходящие с периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства (компьютеры), анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцедента на управляющий сервер.

    Агентские программы, устанавливаемые на оконечные устройства: замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправке, распечатывании, копировании через буфер обмена.

    Центральный управляющий сервер - сопоставляет поступающие с перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчётности.

В решениях DLP имеется широкий набор комбинированных методов обнаружения информации:

    Цифровые отпечатки документов и их частей

    Цифровые отпечатки баз данных и другой структурированной информации, которую важно защитить от распространения

    Статистические методы (повышение чувствительности системы при повторении нарушений).

При эксплуатации DLP-систем характерно циклическое выполнение нескольких процедур:

    Обучение системы принципам классификации информации.

    Ввод правил реагирования в привязке к категории обнаруживаемой информации и групп сотрудников, контроль действий которых должен осуществляться. Выделяются доверенные пользователи.

    Выполнение DLP-системой операции контроля (система анализирует и нормализует информацию, выполняет сопоставление с принципами обнаружения и классификации данных, и при обнаружении конфиденциальной информации, система сопоставляет с существующими политиками, назначенными на обнаруженную категорию информации и, при необходимости, создаёт инцидент)

    Обработка инцидентов (например проинформировать, приостановить или заблокировать отправку).

Особенности создания и эксплуатации VPN с точки зрения безопасности

Варианты построения VPN:

    На базе сетевых операционных систем

    На базе маршрутизаторов

    На базе МСЭ

    На базе специализированного программно-аппаратного обеспечения

    На базе специализированного ПО

Для корректной и безопасной работы VPN необходимо понимать основы взаимодействия VPN и межсетевых экранов:

    VPN способны создавать сквозные связующие тунели, проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны межсетевого экрана, которому трудно анализировать зашифрованый трафик.

    Благодаря своим функциям шифрования передаваемых данных, VPN можно использовать для обхода IDS-систем, не способных обнаруживать вторжения со стороны зашифрованных каналов связи.

    В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов (NAT - network adress translation) может оказаться несовместима с некоторыми реализациями VPN и т. д.

По сути, во время принятия решений о внедрении VPN-компонентов в сетевую архитектуру, администратор может либо выбрать VPN в качестве обособленного внешнего устройства, либо выбрать интеграцию VPN в МСЭ, для обеспечения обеих функций одной системы.

    МСЭ + Обособленный VPN. Варианты размещения VPN:

    1. Внутри демилитаризованной зоны, между МСЭ и граничным маршрутизатором

      Вутри подзащитной сети на сетевых адаптерах МСЭ

      Внутри экранированной сети, позади МСЭ

      Параллельно с МСЭ, на точке входа в подзащитную сеть.

    МСЭ + VPN, размещенные как единое целое - подобное интегрированное решение более удобно при техническом сопровождении, чем предыдущий вариант, не вызывает проблем, связанных с NAT (трансляцией сетевых адресов) и обеспечивает более надёжный доступ к данным, за который отвечает МСЭ. Недостатком интегрированного решения является большая изначальная стоимость покупки такого средства, а так же ограниченность вариантов оптимизации соответствующих VPN и Брендмауэр-компонент (то есть максимально удовлетворяющие запросам реализации МСЭ могут оказаться не приспособленными к построению на их основе VPN-компонентов. VPN может оказывать существенное воздействие на производительность сети и задержки могут возникать на следующих этапах:

    1. При установлении защищённого соединения между VPN-устройствами (аутентификация, обмен ключами и т. д.)

      Задержки, связанные с зашифрованием и расшифрованием защищаемых данных, а так же преобразованиями, необходимыми для контроля их целостности

      Задержки, связанные с добавлением нового заголовка передаваемым пакетам

Безопасность электронной почты

Основные почтовые протоколы: (E)SMTP, POP, IMAP.

SMTP - simple mail transfer protocol, 25 порт TCP, нет аутентификации. Extended SMTP - добавлена аутентификация клиентов.

POP - post Office Protocol 3 - получение почты с сервера. Аутентификация в открытом виде. APOP - с возможностью аутентификации.

IMAP - internet message access protocol - незашифрованный почтовый протокол, который комбинирует свойства POP3 и IMAP. Позволяет работать напрямую с почтовым ящиком, без необходимости загрузки писем на компьютер.

Из-за отсутствия каких-либо нормальных средств шифровки информации, решили использовать SSL для шифровки данных этих протоколов. Отсюда появлились следующие разновидности:

POP3 SSL - 995 порт, SMTP SSL (SMTPS) 465 порт, IMAP SSL (IMAPS) - 993 порт, всё TCP.

Злоумышленник, работающий с системой электронной почты, может преследовать следующие цели:

    Атака на компьютер пользователя посредством рассылки почтовых вирусов, отправка поддельных писем (подделка адреса отправителя в SMTP - тривиальная задача), чтение чужих писем.

    Атака на почтовый сервер средствами электронной почты с целью проникновения в его операционную систему или отказ в обслуживании

    Использование почтового сервера в качестве ретранслятора при рассылке непрошенных сообщений (спама)

    Перехват паролей:

    1. Перехват паролей в POP и IMAP сеансах, в результате чего злоумышленник может получать и удалять почту без ведома пользователя

      Перехват паролей в SMTP сеансах - в результате чего злоумышленник может быть незаконно авторизован для отправки почты через данный сервер

Для решения проблем безопасности с протоколами POP, IMAP и SMTP, чаще всего используется протокол SSL, позволяющий зашифровать весь сеанс связи. Недостаток - SSL - ресурсоёмкий протокол, может существенно замедлить связь.

Спам и борьба с ним

Виды мошеннического спама:

    Лотерея - восторженное уведомление о выигрышах в лотереях, в которых получатель сообщения не участвовал. Всё, что нужно - посетить соответствующий сайт и ввести там номер своего счёта и пин-код карты, необходимых якобы для оплаты услуг доставки.

    Аукционы - заключается данный вид обмана в отсутствии товара, который продают жулики. Расплатившись, клиент ничего не получает.

    Фишинг - письмо, содержащее ссылку на некоторый ресурс, где от вас желают предоставления данных и т. д. Выманивание у доверчивых или невнимательных пользователей персональных и конфиденциальных данных. Мошенники рассылают массу писем, как правило замаскированных под официальные письма различных учреждений, содержащих ссылки, ведущие на сайты-ловушки, визуально копирующие сайты банков, магазинов и др. организаций.

    Почтовое жульничество - набор персонала для некоторой фирмы якобы нуждающейся в представителе в какой-либо стране, способного взять на себя заботы о пересылке товаров или переводе денег иностранной компании. Как правило, здесь скрываются схемы по отмыванию денег.

    Нигерийские письма - просят внести небольшую сумму перед получением денег.

    Письма счастья

Спам бывает массовым и целевым.

У массового спама отсутствуют конкретные цели и используется мошеннические методы социальной инженерии против множества людей.

Целевой спам - техника, направленная на конкретное лицо или организацию, при которой злоумышленник выступает от имени директора, администратора или иного сотрудника той организации, в которой работает жертва или злоумышленник представляет компанию, с которой у целевой организации сложились доверительные отношения.

Сбор адресов осуществляется подбором по словарям имён собственных, красивых слов, частое сочетание слово-цифра, методом аналогии, сканированием всех доступных источников информации (чаты, форумы и т. д.), воровством БД и т. д.

Полученные адреса верифицируются (проверяются, что действующие), путём пробной рассылки сообщения, помещением в текст сообщения, уникальной ссылки на картинку со счётчиком загрузок или ссылка «отписаться от спам-сообщений».

В дальнейшем спам рассылается либо напрямую с арендованных серверов, либо с ошибочно сконфигурированных легальных почтовых сервисов, либо путём скрытой установки на компьютер пользователя злонамеренного ПО.

Злоумышленник усложняет работу антиспам-фильтров путём внесения случайных текстов, шума или невидимых текстов, с помощью графических писем или изменяющихся графических писем, фрагментированные изображения, в том числе использование анимации, префразировка текстов.

Методы борьбы со спамом

Существует 2 основных метода фильтрации спама:

    Фильтрация по формальным признакам почтового сообщения

    Фильтрация по содержанию

    Формальный метод

    1. Фрагментация по спискам: чёрным, белым и серым. Серые списки - метод временного блокирования сообщений с неизвестными комбинациями почтового адреса и ip-адреса сервера-отправителя. Когда первая попытка заканчивается временным отказом (как правило, программы спамеров повторную посылку письма не осуществляют). Недостатком способа является возможный большой временной интервал между отправлением и получением легального сообщения.

      Проверка, было ли письмо отправлено с настоящего или ложного (поддельного) почтового сервера из указанного в сообщении домена.

      «Обратный звонок» (callback) - при получении входящего соединения, сервер-получатель приостанавливает сессию и имитирует рабочую сессию с сервером-отправителем. Если попытка не удалась, приостановленное соединение разрывается без дальнейшей обработки.

      Фильтрация по формальным признакам письма: адреса отправителя и получателя, размер, наличие и количество вложений, ip-адрес отправителя и т. д.

    Лингвистические методы - работающие с содержанием письма

    1. Распознавание по содержанию письма - проверяется наличие в письме признаков спамерского содержания: определённого набора и распределение по письму специфических словосочетаний.

      Распознавание по образцам писем (сигнатурный метод фильтрации, включающий в себя графические сигнатуры)

      Байесовская фильтрация - фильтрация строго по словам. При проверке пришедшего письма, вычисляется вероятность того, что оно спам, на основании обработки текста, включающей в себя вычисления усреднённого «веса» всех слов данного письма. Отнесение письма к спаму или не спаму, производится по тому, превышает ли его вес некоторую планку, заданную пользователем. После принятия решения по письму, в базе данных обновляются «веса» для вошедших в неё слов.

Аутентификация в компьютерных системах

Процессы аутентификации могут быть разделены на следующие категории:

    Но основе знания чего-либо (PIN, пароль)

    На основе обладания чем-либо (смарт-карта, usb-ключ)

    Не основе неотъемлимых характеристик (биометрические характеристики)

Типы аутентификации:

    Простая аутентификация, использующая пароли

    Строгая аутентификация на основе использования многофакторных проверок и криптографических методов

    Биометрическая аутентификация

Основными атаками на протоколы аутентификации являются:

    «Маскарад» - когда пользователь пытается выдать себя за другого пользователя

    Повторная передача - когда перехваченный пароль пересылается от имени другого пользователя

    Принудительная задержка

Для предотвращения таких атак сипользуются следующие приёмы:

    Механизмы типа запрос-ответ, метки времени, случайные числа, цифровые подписи и т. д.

    Привязка результата аутентификации к последующим действиям пользователей в рамках системы.

    Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи.

    Простая аутентификация

    1. Аутентификация на основе многоразовых паролей

      Аутентификация на основе одноразовых паролей - OTP (one time password) - одноразовые пароли действительны только для одного входа в систему и могут генерироваться с помощью OTP токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP токена, так и на сервере аутентификации.

    Строгая аутентификация в её ходе доказывающая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Бывает:

    1. Односторонней

      Двухсторонней

      Трёхсторонней

Может проводиться на основе смарт-карт или usb-ключей или криптографией.

Строгая аутентификация может быть реализована на основе двух- и трёхфакторного процесса проверки.

В случае двухфакторной аутентификации, пользователь должен доказать, что он знает пароль или пин-код и имеет определённый персональных идентификатор (смарт-карту или usb-ключ).

Трёхфакторная аутентификация подразумевает, что пользователь предъявляет еще один тип идентификационных данных, например, биометрические данные.

Строгая аутентификация, использующая криптографические протоколы может опираться на симметричное шифрование и асимметричное, а также на хеш-функции. Доказывающая сторона доказывает знание секрета, но сам секрет при этом не раскрывается. Используются одноразовые параметры (случайные числа, метки времени и номера последовательностей), позволяющие избежать повтора пеердачи, обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений.

Биометрическая аутентификация пользователя

В качестве наиболее часто используемых биометрических признаков, используются:

    Отпечатки пальцев

    Рисунок вен

    Геометрия руки

    Радужная оболочка

    Геометрия лица

    Комбинации вышеперечисленного

Управление доступом по схеме однократного входа с авторизацией Single Sign-On (SSO)

SSO даёт возможность пользователю корпоративной сети при их входе в сеть пройти только одну аутентификацию, предъявив только один раз пароль или иной требуемый аутентификатор и затем, без дополнительной аутентификации, получить доступ ко всем авторизованным сетевым ресурсам, которые нужны для выполнения работы. Активно применяются такие цифровые средства аутентификации как токены, цифровые сертификаты PKI, смарт-карты и биометрические устройства. Примеры: Kerberos, PKI, SSL.

Реагирование на инциденты ИБ

Среди задач, стоящих перед любой системой управления ИБ, можно выделить 2 наиболее значимые:

    Предотвращение инцидентов

    В случае их наступления, своевременная и корректная ответная реакция

Первая задача в большинстве случаев основывается на закупке разнообразных средств обеспечения ИБ.

Вторая задача находится в зависимости от степени подготовленности компании к подобного рода событиям:

        Наличие подготовленной группы реагирования на инцидент ИБ с уже заранее распределёнными ролями и обязанностями.

        Наличие продуманной и взаимосвязанной документации по порядку управления инцидентами ИБ, в частности, осуществлению реагирования и расследования выявленных инцидентов.

        Наличие заготовленных ресурсов для нужд группы реагирования (средств коммуникации, ..., сейфа)

        Наличие актуальной базы знаний по произошедшим инцидентам ИБ

        Высокий уровень осведомлённости пользователей в области ИБ

        Квалифицированность и слаженность работы группы реагирования

Процесс управления инцидентами ИБ состоит из следующих этапов:

    Подготовка – предотвращение инцидентов, подготовка группы реагирования, разработка политик и процедур и т.д.

    Обнаружение – уведомление от системы безопасности, уведомление от пользователей, анализ журналов средств безопасности.

    Анализ – подтверждение факта наступления инцидента, сбор доступной информации об инциденте, определение пострадавших активов и классификация инцидента по безопасности и приоритетности.

    Реагирование – остановка инцидента и сбор доказательств, принятие мер по остановке инцидента и сохранение доказательной информации, сбор доказательной информации, взаимодействие с внутренними подразделениями, партнёрами и пострадавшими сторонами, а так же привлечение внешних экспертных организаций.

    Расследование – расследование обстоятельств инцидентов информационной безопасности, привлечение внешних экспертных организаций и взаимодействие со всеми пострадавшими сторонами, а так же с правоохранительными органами и судебными инстанциями.

    Восстановление – принятие мер по закрытию уязвимостей, приведших к возникновению инцидента, ликвидация последствий инцидента, восстановление работоспособности затронутых сервисов и систем. Оформление страхового извещения.

    Анализ эффективности и модернизация – анализ произошедшего инцидента, анализ эффективности и модернизация процесса расследования инцидентов ИБ и сопутствующих документов, частных инструкций. Формирование отчёта о проведении расследования и необходимости модернизации системы защиты для руководства, сбор информации об инциденте, добавление в базу знаний и помещение данных об инциденте на хранение.

Перед эффективной системой управления инцидентами ИБ стоят следующие цели:

    Обеспечение юридической значимости собираемой доказательной информации по инцидентам ИБ

    Обеспечение своевременности и корректности действий по реагированию и расследованию инцидентов ИБ

    Обеспечение возможности выявления обстоятельств и причин возникновения инцидентов ИБ с целью дальнейшей модернизации системы информационной безопасности

    Обеспечение расследования и правового сопровождения внутренних и внешних инцидентов ИБ

    Обеспечение возможности преследования злоумышленников и привлечение их к ответственности, предусмотренной законодательством

    Обеспечение возможности возмещения ущерба от инцидента ИБ в соответствии с законодательством

Система управления инцидентами ИБ в общем случае взаимодействует и интегририруется со следующими системами и процессами:

    Управление ИБ

    Управление рисками

    Обеспечение непрерывности бизнеса

Интеграция выражается в согласованности документации и формализации порядка взаимодействия между процессами (входной, выходной информации и условий перехода).

Процесс управления инцидентами ИБ довольно сложен и объёмен. Требует накопления, обработки и хранения огромного количества информации, а так же выполнения множества параллельных задач, поэтому на рынке представлено множество средств, позволяющих автоматизировать те или иные задачи, например, так называемые SIEM-системы (security information and event management).

Chief Information Officer (CIO) – директор по информцаионным технологиям

Chief Information Security Officer (CISO) – руководитель отдела ИБ, директор по информационной безопасности

Основная задача SIEM-систем не просто собирать события из разных источников, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе, а так же своевременно информировать о событии. Перед SIEM-системой ставятся следующие задачи:

    Консолидация и хранение журналов событий от различных источников – сетевых устройств, приложений, журналов ОС, средств защиты

    Представление инструментов для анализа событий и разбора инцидентов

    Корреляция и обработка по правилам произошедших событий

    Автоматическое оповещение и управление инцидентами

SIEM-системы способны выявлять:

    Сетевые атаки во внутреннем и внешнем периметрах

    Вирусные эпидемии или отдельные вирусные заражения, неудалённые вирусы, бэкдоры и трояны

    Попытки несанкционированного доступа к конфиденциальной информации

    Ошибки и сбои в работе ИС

    Уязвимости

    Ошибки в конфигурации, средствах защиты и информационных системах.

Основные источники SIEM

    Данные контроля доступа и аутентификации

    Журналы событий серверов и рабочих станций

    Сетевое активное оборудование

  1. Антивирусная защита

    Сканеры уязвимостей

    Системы для учёта рисков, критичности угрозы и приоретизация инцидентов

    Прочие системы защиты и контроля политик ИБ:

    1. DLP-системы

      Устройства контроля доступа и т.д.

    2. Системы инвентаризации

    Системы учёта трафика

Наиболее известные SIEM-системы:

QRadar SIEM (IBM)

КОМРАД (ЗАО «НПО «ЭШЕЛОН»»)

Стремительное развитие информационных технологий способствует глобальной информатизации современных компаний и предприятий. С каждым днем объемы информации, передаваемые через корпоративные сети больших корпораций и маленьких компаний, стремительно растут. Несомненно, что с ростом информационных потоков растут и угрозы, которые могут привести к потере важной информации, ее искажению или краже. Оказывается, потерять информацию гораздо проще, нежели какую-либо материальную вещь. Для этого не обязательно, чтобы кто-то совершал специальные действия для овладения данными – порой бывает достаточно неаккуратного поведения при работе с информационными системами или неопытности пользователей.

Возникает естественный вопрос, как же защитить себя, чтобы исключить факторы потери и утечки важной для себя информации. Оказывается, решить эту задачу вполне реально и сделать это можно на высоком профессиональном уровне. Для этой цели используются специальные DLP системы.

Определение DLP систем

DLP – это система предотвращения утечек данных в информационной среде. Она представляет собой специальный инструмент, с помощью которого системные администраторы корпоративных сетей могут отслеживать и блокировать попытки несанкционированной передачи информации. Кроме того, что такая система может предотвращать факты незаконного завладения информацией, она также позволяет отслеживать действия всех пользователей сети, которые связаны с использованием социальных сетей, общением в чатах, пересылкой e-mail сообщений и пр. Основная цель, на которую нацелены системы предотвращения утечек конфиденциальной информации DLP, является поддержка и выполнение всех требований политики конфиденциальности и безопасности информации, которые существуют в той или иной организации, компании, предприятии.

Область применения

Практическое применение DLP систем является наиболее актуальным для тех организаций, где утечка конфиденциальных данных может повлечь за собой огромные финансовые потери, существенный удар по репутации, а также потерю клиентской базы и личной информации. Наличие таких систем обязательно для тех компаний и организаций, которые устанавливают высокие требования к «информационной гигиене» своих сотрудников.

Лучшим инструментом для защиты таких данных, как номера банковских карт клиентов, их банковские счета, сведения об условиях тендеров, заказы на выполнения работ и услуг станут DLP системы – экономическая эффективность такого решение безопасности вполне очевидна.

Виды DLP-систем

Средства, применяемые для предотвращения утечек информации, можно разделить на несколько ключевых категорий:

  1. стандартные инструменты безопасности;
  2. интеллектуальные меры защиты данных;
  3. шифрование данных и контроль доступа;
  4. специализированные DLP системы безопасности.

К стандартному набору безопасности, который должен использоваться каждой компанией, относятся антивирусные программы, встроенные межсетевые экраны, системы выявления несанкционированных вторжений.

Интеллектуальные средства защиты информации предусматривают использование специальных сервисов и современных алгоритмов, которые позволят вычислить неправомерный доступ к данным, некорректное использование электронной переписки и пр. Кроме этого, такие современные инструменты безопасности позволяют анализировать запросы к информационной системе, поступающие извне от различных программ и сервисов, которые могут играть роль своего рода шпионов. Интеллектуальные средства защиты позволяют осуществлять более глубокую и детальную проверку информационной системы на предмет возможной утечки информации различными способами.

Шифрование важной информации и использование ограничения доступа к определенным данным – это еще один эффективный шаг к тому, чтобы минимизировать вероятность потери конфиденциальной информации.

Специализированная система предотвращения утечек информации DLP представляет собой сложный многофункциональный инструмент, который способен выявить и предупредить факты несанкционированного копирования и передачи важной информации за пределы корпоративной среды. Эти решения позволят выявить факты доступа к информации без наличия на это разрешения или с использованием полномочий тех лиц, которые такое разрешение имеют.

Специализированные системы используют для своей работы такие инструменты, как:

  • механизмы определения точного соответствия данных;
  • различные статистические методы анализа;
  • использование методик кодовых фраз и слов;
  • структурированная дактилоскопия и пр.;

Сравнение этих систем по функциональности

Рассмотрим сравнение DLP систем Network DLP и Endpoint DLP.

Network DLP – это специальное решение на аппаратном или программном уровне, которое применяется в тех точках сетевой структуры, которые расположены вблизи «периметра информационной среды». С помощью этого набора инструментов происходит тщательный анализ конфиденциальной информации, которую стараются отправить за пределы корпоративной информационной среды с нарушением установленных правил информационной безопасности.

Endpoint DLP представляют собой специальные системы, которые применяются на рабочей станции конечного пользователя, а также на серверных системах небольших организаций. Конечная информационная точка для этих систем может применяться для контроля как с внутренней, так и внешней стороны «периметра информационной среды». Система позволяет анализировать информационный трафик, посредством которого происходит обмен данными как между отдельными пользователями, так и группами пользователей. Защита DLP систем такого типа ориентирована на комплексную проверку процесса обмена данными, включая электронные сообщения, общение в социальных сетях и прочую информационную активность.

Нужно ли внедрять эти системы на предприятия?

Внедрение DLP систем является обязательным для всех компаний, которые дорожат своей информацией и стараются сделать все возможное, чтобы предотвратить случаи ее утечки и потери. Наличие таких инновационных инструментов безопасности позволит компаниям исключить распространение важных данных за пределы корпоративной информационной среды по всем доступным каналам обмена данными. Установив у себя DLP-систему, компания получит возможность контролировать:

  • отправку сообщений с использованием корпоративной Web-почты;
  • использование FTP-соединений;
  • локальные соединения с использованием таких технологий беспроводной связи, как WiFi, Bluetooth, GPRS;
  • обмен мгновенными сообщениями при помощи таких клиентов, как MSN, ICQ, AOL и пр.;
  • применение внешних накопителей – USB, SSD, CD/DVD и пр..
  • документацию, которая отправляется на печать с применением корпоративных устройств печати.

В отличие от стандартных решений безопасности, компания, у которой установлена DLP система Securetower или ей подобная, сможет:

  • контролировать все виды каналов обмена важной информацией;
  • выявлять передачу конфиденциальной информации в независимости от того, каким способом и в каком формате она передается за пределы корпоративной сети;
  • блокировать утечку информации в любой момент времени;
  • автоматизировать процесс обработки данных в соответствии принятой на предприятии политикой безопасности.

Использование DLP-систем будет гарантировать предприятиям эффективное развитие и сохранение своих производственных секретов от конкурентов и недоброжелателей.

Как происходит внедрение?

Чтобы установить у себя на предприятии в 2017 году DLP систему следует пройти несколько этапов, после реализации которых предприятие получит эффективную защиту своей информационной среды от внешних и внутренних угроз.

На первом этапе внедрения осуществляется обследование информационной среды предприятия, что включает в себя следующие действия:

  • изучение организационно-распорядительной документации, которая регламентирует информационную политику на предприятии;
  • изучение информационных ресурсов, которые используются предприятием и его сотрудниками;
  • согласование перечня информации, которая может относиться к категории данных с ограниченным доступом;
  • обследование существующих способов и каналов передачи и приема данных.

По итогам обследования составляется техническое задание, которое будет описывать те политики безопасности, которые нужно будет реализовать, используя DLP-систему.

На следующем этапе следует регламентировать юридическую сторону использования DLP-систем на предприятии. Важно исключить все тонкие моменты, чтобы потом не было судебных исков со стороны сотрудников в плане того, что компания за ними следит.

Уладив все юридические формальности, можно приступать к выбору продукта информационной безопасности – это может быть, например, DLP система Infowatch или любая иная с подобного рода функциональными возможностями.

После выбора подходящей системы можно приступать к ее установке и настройке для продуктивной работы. Настраивать систему следует таким образом, чтобы обеспечить выполнение всех задач безопасности, обусловленных в техническом задании.

Заключение

Внедрение DLP-систем достаточно сложное и кропотливое занятие, которое требует достаточно много времени и ресурсов. Но не стоит останавливаться на полпути – важно пройти все этапы в полной мере и получить высокоэффективную и многофункциональную систему защиты своей конфиденциальной информации. Ведь потеря данных может обернуться огромным ущербом для предприятия или компании как в финансовом плане, так и в плане ее имиджа и репутации в потребительской среде.



Популярное в рубрике:
Как объединить слои в фотошопе в один или соединить их в группу Как объединить несколько слоев в фотошоп
Как объединить слои в фотошопе в один или соединить их в группу...
читать
Перенос контактов на новый телефон android
Перенос контактов на новый телефон android
читать
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note 4 перезагружается сам по себе
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note...
читать
Основные возможности Kaspersky Rescue Disk
Основные возможности Kaspersky Rescue Disk
читать

Последние Статьи
Макбук не подключается к wifi Макбук не видит...
читать
Как заработать на WebMoney
читать
"Супра", планшет: отзывы покупателей
читать
Местонахождения судов в реальном времени
читать
Лучшие программы для Android Запись звонков от...
читать
Удаляем не читателей в Твиттере
читать
Подключаем интернет на ноутбуке: все возможные...
читать
Samsung Galaxy S IV – новый флагман...
читать
Top