Tipy pro uživatele. poznámka. Porovnání technologií DLP a LCD projektorů

Tipy pro uživatele. poznámka. Porovnání technologií DLP a LCD projektorů

Zavedení

Recenze je určena všem zájemcům o trh DLP řešení a především těm, kteří si chtějí vybrat to správné DLP řešení pro svou společnost. Recenze zkoumá trh se systémy DLP v širokém slova smyslu, poskytuje stručný popis světového trhu a podrobnější popis ruského segmentu.

Systémy pro ochranu cenných dat existují od jejich počátku. V průběhu staletí se tyto systémy vyvíjely a vyvíjely spolu s lidstvem. S počátkem počítačové éry a přechodem civilizace do postindustriální éry se informace postupně staly hlavní hodnotou států, organizací a dokonce i jednotlivců. A hlavním nástrojem pro jeho ukládání a zpracování se staly počítačové systémy.

Státy vždy chránily svá tajemství, ale státy mají své prostředky a metody, které zpravidla neovlivňovaly formování trhu. V postindustriální éře se banky a další finanční instituce staly častou obětí počítačových úniků cenných informací. Globální bankovní systém jako první potřeboval legislativní ochranu svých informací. Potřeba ochrany soukromí byla uznána i v medicíně. V důsledku toho byl například v USA přijat zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), zákon Sarbanes–Oxley (SOX) a Basilejský výbor pro bankovní dohled vydal řadu doporučení nazvaných „Baselské dohody“. Tyto kroky daly silný impuls rozvoji trhu se systémy ochrany počítačových informací. Po rostoucí poptávce se začaly objevovat společnosti, které nabízely první DLP systémy.

Co jsou to DLP systémy?

Existuje několik obecně uznávaných definic termínu DLP: Prevence ztráty dat, Prevence úniku dat nebo Ochrana před únikem dat, což lze do ruštiny přeložit jako „prevence ztráty dat“, „prevence úniku dat“, „ochrana proti úniku dat“. Termín se rozšířil a etabloval se na trhu kolem roku 2006. A první DLP systémy vznikly o něco dříve právě jako prostředek k zamezení úniku cenných informací. Byly navrženy tak, aby detekovaly a blokovaly síťový přenos informací identifikovaných klíčovými slovy nebo výrazy a předem vytvořenými digitálními „otisky“ důvěrných dokumentů.

Další vývoj systémů DLP byl určován incidenty na jedné straně a legislativními akty států na straně druhé. Postupně potřeby ochrany před různými druhy hrozeb vedly firmy k potřebě vytvářet komplexní systémy ochrany. Aktuálně vyvinuté DLP produkty kromě přímé ochrany proti úniku dat poskytují ochranu před interními a dokonce i externími hrozbami, sledují pracovní dobu zaměstnanců a monitorují veškeré jejich akce na pracovních stanicích, včetně práce na dálku.

Blokování přenosu důvěrných dat, kanonická funkce systémů DLP, zároveň v některých moderních řešeních připisovaných vývojáři tomuto trhu chybí. Taková řešení jsou vhodná výhradně pro monitorování podnikového informačního prostředí, ale v důsledku manipulace s terminologií se jim začalo říkat DLP a označují tento trh v širokém slova smyslu.

V současné době se hlavní zájem vývojářů DLP systémů přesunul směrem k šíři pokrytí potenciálních kanálů úniku informací a vývoji analytických nástrojů pro vyšetřování a analýzu incidentů. Nejnovější produkty DLP zachycují prohlížení dokumentů, tisk a kopírování na externí média, spouštění aplikací na pracovních stanicích a připojování externích zařízení k nim a moderní analýza zachyceného síťového provozu umožňuje odhalit úniky i prostřednictvím některých tunelovacích a šifrovaných protokolů.

Kromě vývoje vlastních funkcí poskytují moderní systémy DLP dostatek příležitostí pro integraci s různými souvisejícími a dokonce i konkurenčními produkty. Mezi příklady patří široká podpora protokolu ICAP poskytovaná proxy servery a integrace modulu DeviceSniffer, který je součástí okruhu SearchInform Information Security Circuit, s Lumension Device Control. Další vývoj systémů DLP vede k jejich integraci s produkty IDS/IPS, řešeními SIEM, systémy správy dokumentů a ochranou pracovních stanic.

Systémy DLP se vyznačují metodou detekce úniků dat:

  • při použití (Data-in-Use) - na pracovišti uživatele;
  • při přenosu (Data-in-Motion) - ve firemní síti;
  • během ukládání (Data-at-Rest) - na serverech a pracovních stanicích společnosti.

Systémy DLP dokážou rozpoznat důležité dokumenty:

  • podle formálních kritérií je spolehlivý, ale vyžaduje předběžnou registraci dokumentů v systému;
  • analýzou obsahu – to může poskytnout falešné poplachy, ale umožní vám to zjistit kritické informace v jakémkoli dokumentu.

Postupem času se měnil jak charakter hrozeb, tak skladba zákazníků a kupců DLP systémů. Moderní trh klade na tyto systémy následující požadavky:

  • podpora několika metod detekce úniků dat (Data in-Use, Data-in-Motion, Data-at-Rest);
  • podpora všech oblíbených protokolů síťového přenosu dat: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, různé P2P protokoly;
  • přítomnost vestavěného adresáře webových stránek a správné zpracování provozu na ně přenášeného (webová pošta, sociální sítě, fóra, blogy, stránky pro hledání zaměstnání atd.);
  • Je žádoucí podpora tunelovacích protokolů: VLAN, MPLS, PPPoE a podobně;
  • transparentní ovládání bezpečných protokolů SSL/TLS: HTTPS, FTPS, SMTPS a další;
  • podpora protokolů VoIP telefonie: SIP, SDP, H.323, T.38, MGCP, SKINNY a další;
  • přítomnost hybridní analýzy - podpora několika metod rozpoznávání cenných informací: formálními charakteristikami, klíčovými slovy, shodou obsahu s regulárním výrazem na základě morfologické analýzy;
  • je žádoucí schopnost selektivně blokovat přenos kritických informací jakýmkoli řízeným kanálem v reálném čase; selektivní blokování (pro jednotlivé uživatele, skupiny nebo zařízení);
  • Je žádoucí mít možnost ovládat akce uživatele nad kritickými dokumenty: prohlížení, tisk, kopírování na externí média;
  • Žádoucí je schopnost řídit síťové protokoly pro práci s poštovními servery Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync atd. pro analýzu a blokování zpráv v reálném čase pomocí protokolů: (MAPI, S/MIME, NNTP, SIP atd.);
  • je žádoucí odposlech, záznam a rozpoznání hlasového provozu: Skype, IP telefonie, Microsoft Lync;
  • Dostupnost modulu pro rozpoznávání grafiky (OCR) a analýzu obsahu;
  • podpora analýzy dokumentů ve více jazycích;
  • udržování podrobných archivů a protokolů pro usnadnění vyšetřování incidentů;
  • Je žádoucí mít vyvinuté nástroje pro analýzu událostí a jejich souvislostí;
  • možnost vytvářet různé reporty včetně grafických reportů.

Díky novým trendům ve vývoji informačních technologií jsou nové funkce produktů DLP žádané. S rozšířeným používáním virtualizace v podnikových informačních systémech je potřeba ji podporovat v DLP řešeních. Rozšířené používání mobilních zařízení jako obchodního nástroje podnítilo vznik mobilního DLP. Vytvoření firemních i veřejných „cloudů“ si vyžádalo jejich ochranu, včetně systémů DLP. A jako logické pokračování to vedlo ke vzniku „cloudových“ služeb informační bezpečnosti (security as a service - SECaaS).

Princip fungování systému DLP

Moderní systém ochrany před únikem informací je zpravidla distribuovaný softwarový a hardwarový komplex skládající se z velkého počtu modulů pro různé účely. Některé moduly fungují na dedikovaných serverech, některé na pracovních stanicích zaměstnanců společnosti a některé na pracovních stanicích bezpečnostních pracovníků.

Pro moduly, jako je databáze a někdy pro moduly pro analýzu informací, mohou být vyžadovány vyhrazené servery. Tyto moduly jsou ve skutečnosti jádrem a neobejde se bez nich ani jeden systém DLP.

Databáze je potřebná pro ukládání informací, od kontrolních pravidel a detailních informací o incidentech až po všechny dokumenty, které se dostaly do systému za určité období. V některých případech může systém dokonce uložit kopii veškerého síťového provozu společnosti zachyceného během daného časového období.

Moduly pro analýzu informací jsou zodpovědné za analýzu textů extrahovaných jinými moduly z různých zdrojů: síťový provoz, dokumenty na jakýchkoli zařízeních pro ukládání informací v rámci společnosti. Některé systémy mají schopnost extrahovat text z obrázků a rozpoznat zachycené hlasové zprávy. Všechny analyzované texty jsou porovnávány s předdefinovanými pravidly a příslušně označeny, když je nalezena shoda.

Pro sledování akcí zaměstnanců lze na jejich pracovní stanice nainstalovat speciální agenty. Takový agent musí být chráněn před zásahy uživatele do své práce (v praxi tomu tak není vždy) a může provádět jak pasivní sledování svých akcí, tak aktivně zasahovat do těch, které jsou uživateli zakázány bezpečnostní politikou společnosti. Seznam řízených akcí může být omezen na přihlášení/odhlášení uživatele a připojení USB zařízení a může zahrnovat zachycení a blokování síťových protokolů, stínové kopírování dokumentů na jakékoli externí médium, tisk dokumentů na místní a síťové tiskárny, přenos informací přes Wi- Fi a Bluetooth a mnoho dalšího. Některé systémy DLP jsou schopny zaznamenávat všechny stisky kláves (protokolování kláves) a ukládat snímky obrazovky (snímky obrazovky), ale to je mimo rámec obecně uznávaných postupů.

Systém DLP typicky obsahuje řídicí modul určený k monitorování provozu systému a jeho správě. Tento modul umožňuje sledovat výkon všech ostatních modulů systému a konfigurovat je.

Aby byla práce bezpečnostního analytika pohodlnější, může mít systém DLP samostatný modul, který vám umožní konfigurovat bezpečnostní politiku společnosti, monitorovat její porušení, provádět jejich podrobné šetření a generovat potřebná hlášení. Kupodivu, když jsou všechny ostatní věci stejné, je to schopnost analyzovat incidenty, provádět plnohodnotné vyšetřování a hlášení, co se v moderním systému DLP dostává do popředí důležitosti.

Globální trh DLP

Trh se systémy DLP se začal formovat již v tomto století. Jak již bylo zmíněno na začátku článku, samotný pojem „DLP“ se rozšířil kolem roku 2006. Největší počet společností, které vytvořily DLP systémy, vznikl ve Spojených státech. Po těchto řešeních byla největší poptávka a příznivé prostředí pro vznik a rozvoj takového podnikání.

Téměř všechny společnosti, které začaly vytvářet DLP systémy a dosáhly v tom významných úspěchů, byly zakoupeny nebo akvizicemi a jejich produkty a technologie byly integrovány do větších informačních systémů. Například Symantec získal Vontu (2007), Websense získal PortAuthority Technologies Inc. (2007), EMC Corp. získala RSA Security (2006) a McAfee pohltil řadu společností: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

V současné době jsou předními světovými výrobci systémů DLP: Symantec Corp., RSA (divize EMC Corp.), Verdasys Inc., Websense Inc. (koupila soukromá společnost Vista Equity Partners v roce 2013), McAfee (koupila společnost Intel v roce 2011). Významnou roli na trhu hrají Fidelis Cybersecurity Solutions (získané společností General Dynamics v roce 2012), CA Technologies a GTB Technologies. Jasnou ukázkou jejich postavení na trhu v jedné ze sekcí může být magický kvadrant analytické společnosti Gartner na konci roku 2013 (obr. 1).

Obrázek 1. DistribucepoziceDLP-systémy na světovém trhuPodleGartner

Ruský trh DLP

V Rusku se trh se systémy DLP začal formovat téměř současně se světovým trhem, ale s vlastními charakteristikami. Stalo se to postupně, jak se objevovaly incidenty a byly činěny pokusy je řešit. Jet Infosystems byla první společností v Rusku, která začala v roce 2000 vyvíjet řešení DLP (nejprve šlo o archiv pošty). O něco později, v roce 2003, byla založena InfoWatch jako dceřiná společnost Kaspersky Lab. Právě rozhodnutí těchto dvou společností stanovila pokyny pro ostatní hráče. Mezi ně patřily o něco později společnosti Perimetrix, SearchInform, DeviceLock, SecureIT (v roce 2011 přejmenována na Zecurion). Protože stát vytváří legislativní akty týkající se ochrany informací (Občanský zákoník Ruské federace, článek 857 „Bankovní tajemství“, 395-1-FZ „O bankách a bankovních činnostech“, 98-FZ „O obchodním tajemství“, 143 -FZ „O zákonech o občanském stavu“, 152-FZ „O osobních údajích“ a další, celkem asi 50 druhů tajemství), vzrostla potřeba ochranných nástrojů a vzrostla poptávka po systémech DLP. A o pár let později přišla na trh „druhá vlna“ vývojářů: Falcongaze, MFI Soft, Trafica. Stojí za zmínku, že všechny tyto společnosti měly vývoj v oblasti DLP mnohem dříve, ale náhrady se na trhu začaly objevovat relativně nedávno. Například společnost MFI Soft začala vyvíjet své DLP řešení již v roce 2005 a na trh se uvedla až v roce 2011.

I později se ruský trh stal zajímavým pro zahraniční firmy. V letech 2007-2008 nám byly k dispozici produkty Symantec, Websense a McAfee. Nedávno, v roce 2012, GTB Technologies uvedla svá řešení na náš trh. Pokusy o vstup na ruský trh nevzdávají ani další lídři světového trhu, zatím však bez znatelných výsledků. Ruský trh DLP v posledních letech vykazuje již několik let stabilní růst (přes 40 % ročně), což přitahuje nové investory a vývojáře. Jako příklad můžeme uvést společnost Iteranet, která od roku 2008 vyvíjí prvky systému DLP pro interní účely, poté pro firemní zákazníky. Společnost v současné době nabízí své řešení Business Guardian ruským a zahraničním kupujícím.

Společnost se oddělila od společnosti Kaspersky Lab v roce 2003. Na konci roku 2012 obsadil InfoWatch více než třetinu ruského trhu DLP. InfoWatch nabízí celou řadu řešení DLP pro zákazníky, od středně velkých podniků až po velké korporace a vládní agentury. Nejoblíbenějším řešením na trhu je InfoWatch Traffic Monitor. Hlavní výhody jejich řešení: pokročilá funkčnost, unikátní patentované technologie analýzy provozu, hybridní analýza, podpora více jazyků, vestavěný adresář webových zdrojů, škálovatelnost, velké množství přednastavených konfigurací a politik pro různá odvětví. Charakteristickými rysy řešení InfoWatch jsou jednotná řídící konzole, monitorování akcí podezřelých zaměstnanců, intuitivní rozhraní, vytváření bezpečnostních politik bez použití Booleovské algebry, vytváření uživatelských rolí (bezpečnostní důstojník, manažer společnosti, HR ředitel atd.). Nevýhody: nedostatek kontroly nad uživatelskými akcemi na pracovních stanicích, InfoWatch Traffic Monitor je těžký pro středně velké podniky, vysoká cena.

Společnost byla založena již v roce 1991 a dnes je jedním z pilířů ruského trhu DLP. Zpočátku společnost vyvíjela systémy na ochranu organizací před vnějšími hrozbami a její vstup na trh DLP je logickým krokem. Společnost Jet Infosystems je významným hráčem na ruském trhu informační bezpečnosti, poskytuje služby systémové integrace a vyvíjí vlastní software. Zejména vlastní řešení DLP společnosti Dozor-Jet. Jeho hlavní výhody: škálovatelnost, vysoký výkon, schopnost pracovat s velkými daty, velká sada interceptorů, vestavěný adresář webových zdrojů, hybridní analýza, optimalizovaný úložný systém, aktivní monitorování, práce „v mezeře“, nástroje pro rychlé vyhledávání a analýzu incidentů, rozvinutá technická podpora, a to i v regionech. Komplex má také schopnost integrace se systémy tříd SIEM, BI, MDM, Security Intelligence, System a Network Management. Naším vlastním know-how je modul „Dossier“ určený k vyšetřování incidentů. Nevýhody: nedostatečná funkčnost agentů pro pracovní stanice, špatný rozvoj kontroly nad akcemi uživatelů, řešení je zaměřeno pouze na velké společnosti, vysoká cena.

Americká společnost, která začala podnikat v roce 1994 jako výrobce softwaru pro bezpečnost informací. V roce 1996 představila svůj první proprietární vývoj, Internet Screening System, pro sledování činnosti personálu na internetu. Následně společnost pokračovala v práci v oblasti informační bezpečnosti, rozvoji nových segmentů a rozšiřování nabídky produktů a služeb. V roce 2007 společnost posílila svou pozici na trhu DLP akvizicí PortAuthority. V roce 2008 vstoupil Websense na ruský trh. Společnost v současné době nabízí komplexní produkt Websense Triton na ochranu před úniky důvěrných dat a vnějšími hrozbami. Hlavní výhody: jednotná architektura, výkon, škálovatelnost, více možností doručení, předdefinované zásady, pokročilé nástroje pro vytváření sestav a analýzu událostí. Nevýhody: žádná podpora řady IM protokolů, žádná podpora morfologie ruského jazyka.

Symantec Corporation je uznávaným globálním lídrem na trhu řešení DLP. Stalo se tak po koupi v roce 2007 Vontu, velkého výrobce DLP systémů. Od roku 2008 je Symantec DLP oficiálně zastoupen na ruském trhu. Symantec jako první zahraniční společnost na konci roku 2010 lokalizoval svůj produkt DLP pro náš trh. Hlavní výhody tohoto řešení jsou: výkonná funkčnost, velké množství analytických metod, schopnost blokovat úniky prostřednictvím libovolného kontrolovaného kanálu, vestavěný adresář webových stránek, možnost škálování, vyvinutý agent pro analýzu událostí na úrovni pracovní stanice , bohaté mezinárodní zkušenosti s implementací a integrací s dalšími produkty Symantec. Nevýhody systému zahrnují vysokou cenu a nedostatek ovládacích schopností pro některé populární IM protokoly.

Tato ruská společnost byla založena v roce 2007 jako vývojář nástrojů pro bezpečnost informací. Hlavní výhody řešení Falcongaze SecureTower: snadná instalace a konfigurace, uživatelsky přívětivé rozhraní, ovládání většího počtu kanálů přenosu dat, pokročilé nástroje pro analýzu informací, možnost sledovat akce zaměstnanců na pracovních stanicích (včetně prohlížení screenshotů z plochy), grafový analyzátor personálních vztahů, škálovatelnost, rychlé prohledávání zachycených dat, vizuální reportingový systém založený na různých kritériích.

Nevýhody: chybí ustanovení pro práci v mezeře na úrovni brány, omezené možnosti blokování přenosu důvěrných dat (pouze SMTP, HTTP a HTTPS), chybí modul pro vyhledávání důvěrných dat v podnikové síti.

Americká společnost založená v roce 2005. Díky vlastnímu vývoji v oblasti informační bezpečnosti má velký rozvojový potenciál. Na ruský trh vstoupila v roce 2012 a úspěšně realizovala několik firemních projektů. Výhody jeho řešení: vysoká funkčnost, kontrola více protokolů a kanálů potenciálního úniku dat, originální patentované technologie, modularita, integrace s IRM. Nevýhody: částečná ruská lokalizace, žádná ruská dokumentace, nedostatek morfologické analýzy.

Ruská společnost založená v roce 1999 jako systémový integrátor. V roce 2013 byla reorganizována na holding. Jednou z oblastí činnosti je poskytování široké škály služeb a produktů pro informační bezpečnost. Jedním z produktů společnosti je systém Business Guardian DLP vlastní konstrukce.

Výhody: vysoká rychlost zpracování informací, modularita, teritoriální škálovatelnost, morfologická analýza v 9 jazycích, podpora široké škály tunelovacích protokolů.

Nevýhody: omezené možnosti blokování přenosu informací (podporují pouze pluginy pro MS Exchange, MS ISA/TMG a Squid), omezená podpora šifrovaných síťových protokolů.

MFI Soft je ruská společnost, která vyvíjí systémy informační bezpečnosti. Historicky se společnost specializuje na komplexní řešení pro telekomunikační operátory, proto věnuje velkou pozornost rychlosti zpracování dat, chybovosti a efektivnímu ukládání. MFI Soft se od roku 2005 rozvíjí v oblasti informační bezpečnosti. Společnost nabízí na trhu DLP systém agrokomplexu Garda Enterprise zaměřený na velké a střední podniky. Výhody systému: snadné nasazení a konfigurace, vysoký výkon, flexibilní nastavení pravidel detekce (včetně možnosti zaznamenat veškerý provoz), rozsáhlé možnosti monitorování komunikačních kanálů (kromě standardní sady včetně VoIP telefonie, P2P a tunelování protokoly). Nevýhody: nedostatek určitých typů zpráv, nedostatek možností blokovat přenos informací a hledání míst pro uložení důvěrných informací v podnikové síti.

Ruská společnost založená v roce 1995, zpočátku specializující se na vývoj technologií pro ukládání a získávání informací. Později společnost uplatnila své zkušenosti a vývoj v oblasti informační bezpečnosti a vytvořila DLP řešení s názvem „Information Security Circuit“. Výhody tohoto řešení: rozsáhlé možnosti zachycování provozu a analýzy událostí na pracovních stanicích, sledování pracovní doby zaměstnanců, modularita, škálovatelnost, pokročilé vyhledávací nástroje, rychlost zpracování vyhledávacích dotazů, grafová propojení zaměstnanců, náš vlastní patentovaný vyhledávací algoritmus „Search for Podobné“, vlastní školicí středisko pro školení analytiků a technických specialistů klientů. Nevýhody: omezené možnosti blokování přenosu informací, absence jediné konzoly pro správu.

Ruská společnost založená v roce 1996 a specializující se na vývoj DLP a EDPC řešení. Společnost se v roce 2011 přesunula do kategorie výrobců DLP a ke svému světoznámému EDPC řešení DeviceLock (ovládání zařízení a portů na pracovních stanicích Windows) přidala komponenty, které zajišťují ovládání síťových kanálů a technologie analýzy a filtrování obsahu. Dnes DeviceLock DLP implementuje všechny metody detekce úniku dat (DiM, DiU, DaR). Výhody: flexibilní architektura a modulární licencování, snadná instalace a správa zásad DLP, vč. prostřednictvím zásad AD group, originální patentované technologie pro monitorování mobilních zařízení, podpora virtualizovaných prostředí, přítomnost agentů pro Windows a Mac OS, plná kontrola mobilních zaměstnanců mimo firemní síť, rezidentní OCR modul (využívá se mj. při skenování datových úložišť). Nevýhody: absence agenta DLP pro Linux verze agenta pro počítače Mac implementuje pouze metody kontextového ovládání.

Mladá ruská společnost specializující se na technologie pro hloubkovou analýzu síťového provozu (Deep Packet Inspection - DPI). Na základě těchto technologií společnost vyvíjí vlastní DLP systém s názvem Monitorium. Výhody systému: snadná instalace a konfigurace, pohodlné uživatelské rozhraní, flexibilní a intuitivní mechanismus tvorby politik, vhodný i pro malé firmy. Nevýhody: omezené možnosti analýzy (žádná hybridní analýza), omezené možnosti kontroly na úrovni pracovní stanice, nedostatek schopnosti vyhledávat místa, kde jsou v podnikové síti uloženy neautorizované kopie důvěrných informací.

Závěry

Další vývoj produktů DLP směřuje ke konsolidaci a integraci s produkty v souvisejících oblastech: personální kontrola, ochrana před vnějšími hrozbami a další segmenty informační bezpečnosti. Téměř všechny společnosti zároveň pracují na vytváření odlehčených verzí svých produktů pro malé a střední podniky, kde je snadnější nasazení systému DLP a snadné použití důležitější než komplexní a výkonná funkčnost. Pokračuje také vývoj DLP pro mobilní zařízení, podpora virtualizačních technologií a SECaaS v cloudu.

Vezmeme-li v úvahu vše, co bylo řečeno, můžeme předpokládat, že rychlý rozvoj globálních a zejména ruských trhů DLP přiláká nové investice a nové společnosti. A to by zase mělo vést k dalšímu nárůstu kvantity a kvality nabízených produktů a služeb DLP.

Systém D LP se používá tam, kde je nutné chránit důvěrná data před vnitřními hrozbami. A pokud si specialisté na informační bezpečnost dostatečně osvojili a používají ochranné nástroje proti externím narušitelům, pak s těmi interními není situace tak hladká.

Použití systému DLP ve struktuře informační bezpečnosti předpokládá, že specialista na informační bezpečnost rozumí:

  • jak mohou zaměstnanci společnosti uniknout důvěrná data;
  • jaké informace by měly být chráněny před ohrožením důvěrnosti.

Komplexní znalosti pomohou specialistovi lépe porozumět principům fungování technologie DLP a správně nakonfigurovat ochranu proti úniku.

Systém DLP musí být schopen rozlišit důvěrné informace od nedůvěrných informací. Pokud analyzujete všechna data v informačním systému organizace, vyvstává problém nadměrné zátěže IT zdrojů a personálu. DLP pracuje především „ve spojení“ s odpovědným specialistou, který systém nejen „učí“ správně fungovat, zavádí nová a maže nepodstatná pravidla, ale také sleduje aktuální, zablokované či podezřelé události v informačním systému.

Funkčnost systému DLP je postavena na „jádru“ – softwarovém algoritmu, který je zodpovědný za detekci a kategorizaci informací, které potřebují ochranu před úniky. Jádrem většiny řešení DLP jsou dvě technologie: lingvistická analýza a technologie založená na statistických metodách. Jádro může používat i méně obvyklé techniky, jako je označování nebo metody formální analýzy.

Vývojáři systémů proti únikům doplňují jedinečný softwarový algoritmus systémovými agenty, mechanismy řízení incidentů, analyzátory, analyzátory protokolů, interceptory a dalšími nástroji.

Dřívější systémy DLP byly v jádru založeny na jediné metodě: buď lingvistické nebo statistické analýze. V praxi byly nedostatky těchto dvou technologií kompenzovány vzájemnými přednostmi a vývoj DLP vedl k vytvoření systémů, které byly z hlediska „jádra“ univerzální.

Lingvistická metoda analýzy pracuje přímo s obsahem souboru a dokumentu. To umožňuje ignorovat parametry, jako je název souboru, přítomnost nebo nepřítomnost razítka v dokumentu, kdo a kdy dokument vytvořil. Technologie lingvistické analýzy zahrnuje:

  • morfologická analýza - vyhledávání všech možných tvarů slov pro informace, které je třeba chránit před únikem;
  • sémantická analýza - vyhledávání výskytů důležitých (klíčových) informací v obsahu souboru, vliv výskytů na kvalitativní charakteristiky souboru, posouzení kontextu použití.

Lingvistická analýza ukazuje vysokou kvalitu práce s velkým množstvím informací. Pro objemný text systém DLP s algoritmem lingvistické analýzy přesněji vybere správnou třídu, přiřadí ji do požadované kategorie a spustí nakonfigurované pravidlo. U malých dokumentů je lepší použít techniku ​​stop word, která se osvědčila v boji proti spamu.

Schopnost učení v systémech s algoritmem lingvistické analýzy je implementována na vysoké úrovni. Dřívější systémy DLP měly potíže s nastavováním kategorií a dalšími fázemi „tréninku“, ale moderní systémy mají dobře fungující samoučící se algoritmy: identifikace atributů kategorií, schopnost nezávisle vytvářet a měnit pravidla odezvy. Pro konfiguraci takových softwarových systémů pro ochranu dat v informačních systémech již není nutné zapojovat lingvisty.

Mezi nevýhody lingvistické analýzy patří vázání na konkrétní jazyk, kdy není možné použít systém DLP s „anglickým“ jádrem k analýze ruskojazyčných informačních toků a naopak. Další nevýhodou je obtížnost jasné kategorizace pomocí pravděpodobnostního přístupu, který udržuje přesnost odpovědi do 95 %, přičemž únik jakéhokoli množství důvěrných informací může být pro společnost kritický.

Statistické metody analýzy naopak vykazují přesnost blízkou 100 procentům. Nevýhoda statistického jádra je spojena se samotným algoritmem analýzy.

V první fázi je dokument (text) rozdělen na fragmenty přijatelné velikosti (ne znak po znaku, ale dostatečné pro zajištění přesnosti operace). Z fragmentů je odstraněn hash (v systémech DLP je znám jako digitální otisk prstu). Hash je poté porovnán s hashem referenčního fragmentu převzatého z dokumentu. Pokud existuje shoda, systém označí dokument jako důvěrný a jedná v souladu s bezpečnostními zásadami.

Nevýhodou statistické metody je, že algoritmus není schopen samostatného učení, vytváření kategorií a typování. V důsledku toho existuje závislost na kompetencích specialisty a pravděpodobnosti specifikace hashe takové velikosti, že analýza bude produkovat nadměrné množství falešně pozitivních výsledků. Nedostatek není těžké odstranit, pokud budete postupovat podle doporučení vývojáře pro nastavení systému.

S vytvářením hashů je spojena další nevýhoda. Ve vyspělých IT systémech, které generují velké objemy dat, může databáze otisků prstů dosáhnout takové velikosti, že kontrola provozu na shodu se standardem vážně zpomalí chod celého informačního systému.

Výhodou řešení je, že účinnost statistické analýzy nezávisí na jazyku a přítomnosti netextových informací v dokumentu. Hash lze stejně dobře odstranit z anglické fráze, z obrázku nebo z fragmentu videa.

Lingvistické a statistické metody nejsou vhodné pro zjišťování údajů specifického formátu pro jakýkoli dokument, jako je číslo účtu nebo cestovní pas. K identifikaci podobných typických struktur v řadě informací jsou do jádra systému DLP zavedeny technologie pro analýzu formálních struktur.

Vysoce kvalitní řešení DLP využívá všechny analytické nástroje, které fungují sekvenčně a vzájemně se doplňují.

Můžete určit, které technologie jsou přítomny v jádře.

Neméně důležité než funkčnost jádra jsou úrovně řízení, na kterých systém DLP funguje. Jsou dva z nich:

Vývojáři moderních produktů DLP opustili samostatnou implementaci ochrany vrstev, protože koncová zařízení i síť je třeba chránit před únikem.

Síťová řídicí vrstva zároveň musí zajistit maximální možné pokrytí síťovými protokoly a službami. Hovoříme nejen o „tradičních“ kanálech (, FTP,), ale také o novějších síťových výměnných systémech (Instant Messengers,). Bohužel je nemožné řídit šifrovaný provoz na úrovni sítě, ale tento problém v systémech DLP je vyřešen na úrovni hostitele.

Ovládání na úrovni hostitele umožňuje řešit více úloh monitorování a analýzy. Služba informační bezpečnosti ve skutečnosti dostává nástroj pro úplnou kontrolu nad uživatelskými akcemi na pracovní stanici. DLP s hostitelskou architekturou vám umožňuje sledovat, co, jaké dokumenty, co se píše na klávesnici, nahrávat zvukové materiály a dělat. Na úrovni koncové pracovní stanice je zachycován šifrovaný provoz () a data, která se aktuálně zpracovávají a ukládají po dlouhou dobu v počítači uživatele, jsou otevřena pro ověření.

Kromě řešení běžných problémů poskytují systémy DLP s řízením na hostitelské úrovni další opatření k zajištění bezpečnosti informací: monitorování instalací a změn softwaru, blokování I/O portů atd.

Nevýhody hostitelské implementace spočívají v tom, že systémy s rozsáhlou sadou funkcí jsou náročnější na správu a jsou náročnější na zdroje samotné pracovní stanice. Management server pravidelně kontaktuje modul „agent“ na koncovém zařízení, aby ověřil dostupnost a relevanci nastavení. Kromě toho budou některé zdroje uživatelské pracovní stanice nevyhnutelně „sežrány“ modulem DLP. Proto je i ve fázi výběru řešení pro zamezení úniku důležité věnovat pozornost hardwarovým požadavkům.

Princip oddělení technologií v systémech DLP je minulostí. Moderní softwarová řešení pro předcházení únikům využívají metody, které vzájemně kompenzují své nedostatky. Díky integrovanému přístupu se důvěrná data v rámci perimetru zabezpečení informací stávají odolnějšími vůči hrozbám.

(Prevence ztráty dat)

Systémy pro sledování akcí uživatelů, systém pro ochranu důvěrných dat před vnitřními hrozbami.

Systémy DLP se používají k detekci a zabránění přenosu důvěrných dat v různých fázích. (při pohybu, používání a skladování). Systém DLP umožňuje:

    Kontrolujte práci uživatelů, zabraňte nekontrolovanému plýtvání pracovní dobou pro osobní účely.

    Automaticky, bez povšimnutí uživatele, zaznamenává všechny akce, včetně odeslaných a přijatých e-mailů, chatů a rychlých zpráv, sociálních sítí, navštívených webových stránek, dat napsaných na klávesnici, přenesených, vytištěných a uložených souborů atd. .

    Sledujte používání počítačových her na pracovišti a zohledněte množství pracovní doby strávené u počítačových her.

    Sledujte síťovou aktivitu uživatelů, berte v úvahu objem síťového provozu

    Řízení kopírování dokumentů na různá média (vyměnitelná média, pevné disky, síťové složky atd.)

    Ovládání síťového tisku uživatele

    Zaznamenávejte požadavky uživatelů na vyhledávače atd.

    Data-in-motion - data v pohybu - e-mailové zprávy, přenos webového provozu, souborů atd.

    Data-in-rest - uložená data - informace o pracovních stanicích, souborových serverech, USB zařízeních atd.

    Data-in-use - data in use - aktuálně zpracovávané informace.

Architektura řešení DLP se může u různých vývojářů lišit, ale obecně existují 3 hlavní trendy:

    Interceptory a ovladače pro různé kanály přenosu informací. Zachycovače analyzují procházející informační toky vycházející z perimetru společnosti, zjišťují důvěrná data, klasifikují informace a přenášejí je na server pro správu ke zpracování možného incidentu. Řadiče zjišťování dat v klidu spouštějí procesy zjišťování citlivých informací na síťových prostředcích. Řídící jednotky pro operace na pracovních stanicích distribuují bezpečnostní zásady do koncových zařízení (počítačů), analyzují výsledky činností zaměstnanců s důvěrnými informacemi a přenášejí možná data o incidentech na server pro správu.

    Programy agentů nainstalované na koncových zařízeních: všímejte si zpracovávání důvěrných dat a sledujte dodržování pravidel, jako je ukládání informací na vyměnitelná média, odesílání, tisk, kopírování přes schránku.

    Server centrální správy – porovnává informace přijaté od interceptorů a kontrolérů a poskytuje rozhraní pro zpracování incidentů a generování zpráv.

Řešení DLP nabízí širokou škálu kombinovaných metod zjišťování informací:

    Digitální tisky dokumentů a jejich částí

    Digitální otisky databází a další strukturované informace, které je důležité chránit před distribucí

    Statistické metody (zvýšení citlivosti systému při opakování porušení).

Při provozu systémů DLP se několik procedur obvykle provádí cyklicky:

    Školení systému v principech klasifikace informací.

    Zadání pravidel odezvy ve vztahu ke kategorii zjištěných informací a skupinám zaměstnanců, jejichž jednání má být sledováno. Důvěryhodní uživatelé jsou zvýrazněni.

    Provedení kontrolní operace systémem DLP (systém analyzuje a normalizuje informace, provádí porovnání s principy zjišťování a klasifikace dat a při zjištění důvěrných informací je systém porovnává s existujícími politikami přiřazenými ke zjištěné kategorii informací a v případě potřeby vytvoří incident)

    Zpracování incidentů (například informovat, pozastavit nebo zablokovat odesílání).

Funkce vytváření a provozu VPN z hlediska zabezpečení

Možnosti pro vytvoření VPN:

    Založeno na síťových operačních systémech

    Na bázi routeru

    Na základě ITU

    Založeno na specializovaném softwaru a hardwaru

    Na základě specializovaného softwaru

Aby VPN fungovala správně a bezpečně, musíte pochopit základy interakce mezi VPN a firewally:

    VPN jsou schopny vytvářet end-to-end komunikační tunely procházející perimetrem sítě, a proto jsou extrémně problematické z hlediska řízení přístupu z firewallu, pro který je obtížné analyzovat šifrovaný provoz.

    Díky svým schopnostem šifrování lze VPN použít k obejití systémů IDS, které nejsou schopny detekovat průniky ze šifrovaných komunikačních kanálů.

    V závislosti na architektuře sítě nemusí být zcela důležitá funkce překladu síťových adres (NAT) kompatibilní s některými implementacemi VPN atd.

Při rozhodování o implementaci komponent VPN do síťové architektury může administrátor v podstatě buď zvolit VPN jako samostatné externí zařízení, nebo se rozhodnout integrovat VPN do firewallu, aby poskytoval obě funkce v jediném systému.

    ITU + samostatná VPN. Možnosti hostování VPN:

    1. Uvnitř DMZ, mezi firewallem a hraničním routerem

      Uvnitř chráněné sítě na síťových adaptérech ITU

      Uvnitř stíněné sítě, za firewallem

      Paralelně s ITU na vstupním bodě do chráněné sítě.

    Firewall + VPN, hostované jako jeden celek – takto integrované řešení je pro technickou podporu pohodlnější než předchozí varianta, nezpůsobuje problémy spojené s NAT (překlad síťových adres) a poskytuje spolehlivější přístup k datům, pro které je firewall odpovědný. Nevýhodou integrovaného řešení jsou vysoké počáteční náklady na pořízení takového nástroje a také omezené možnosti optimalizace odpovídajících komponent VPN a Firewallu (to znamená, že nejuspokojivější implementace ITU nemusí být vhodné pro budování komponent VPN na jejich VPN může mít významný dopad na výkon sítě a latence se může objevit v následujících fázích:

    1. Při navazování zabezpečeného spojení mezi zařízeními VPN (ověření, výměna klíčů atd.)

      Zpoždění spojená se šifrováním a dešifrováním chráněných dat a také s transformacemi nezbytnými pro kontrolu jejich integrity

      Zpoždění spojená s přidáním nové hlavičky k přenášeným paketům

Zabezpečení e-mailu

Hlavní poštovní protokoly: (E)SMTP, POP, IMAP.

SMTP - jednoduchý protokol pro přenos pošty, TCP port 25, bez ověřování. Rozšířená SMTP - autentizace klienta byla přidána.

POP - post Office Protocol 3 - příjem pošty ze serveru. Ověření pomocí čistého textu. APOP - se schopností autentizace.

IMAP – internetový protokol pro přístup ke zprávám – je nešifrovaný poštovní protokol, který kombinuje vlastnosti POP3 a IMAP. Umožňuje pracovat přímo s vaší poštovní schránkou, bez nutnosti stahování dopisů do počítače.

Vzhledem k tomu, že neexistuje žádný normální způsob šifrování informací, rozhodli jsme se pro šifrování dat těchto protokolů použít SSL. Odtud vznikly tyto odrůdy:

POP3 SSL - port 995, SMTP SSL (SMTPS) port 465, IMAP SSL (IMAPS) - port 993, vše TCP.

Útočník pracující s e-mailovým systémem může sledovat následující cíle:

    Útok na počítač uživatele zasíláním virů na e-maily, odesílání falešných e-mailů (předstírání adresy odesílatele v SMTP je triviální úkol), čtení e-mailů jiných lidí.

    Útok na poštovní server pomocí e-mailu s cílem proniknout do jeho operačního systému nebo odmítnutí služby

    Použití poštovního serveru jako přenosu při odesílání nevyžádaných zpráv (spam)

    Zachycení hesla:

    1. Zachycování hesel v relacích POP a IMAP, v důsledku čehož může útočník přijímat a mazat poštu bez vědomí uživatele

      Zachycování hesel v relacích SMTP – v důsledku čehož může být útočník nelegálně autorizován k odesílání pošty přes tento server

Pro řešení bezpečnostních problémů s protokoly POP, IMAP a SMTP se nejčastěji používá protokol SSL, který umožňuje šifrovat celou komunikační relaci. Nevýhoda: SSL je protokol náročný na zdroje, který může výrazně zpomalit komunikaci.

Spam a boj proti němu

Typy podvodného spamu:

    Loterie – nadšené upozornění na výhry v loteriích, kterých se příjemce zprávy nezúčastnil. Stačí navštívit příslušnou webovou stránku a zadat číslo účtu a PIN kód karty, které jsou údajně nutné k platbě za doručovací služby.

    Dražby – tento typ klamání spočívá v absenci zboží, které podvodníci prodávají. Po zaplacení klient nedostane nic.

    Phishing je dopis obsahující odkaz na nějaký zdroj, kde chtějí, abyste poskytli data atd. Láká důvěřivé nebo nepozorné uživatele osobních a důvěrných údajů.

    Podvodníci rozesílají spoustu dopisů, obvykle maskovaných jako oficiální dopisy od různých institucí, které obsahují odkazy vedoucí na návnady, které vizuálně kopírují stránky bank, obchodů a dalších organizací.

    Poštovní podvod je nábor personálu pro společnost, která údajně potřebuje zástupce v jakékoli zemi, který se může postarat o odeslání zboží nebo převod peněz zahraniční společnosti. Zpravidla se zde skrývají schémata praní špinavých peněz.

    Nigerijské dopisy - požádejte o složení malé částky před obdržením peněz.

Dopisy štěstí

Spam může být hromadný nebo cílený.

Hromadný spam postrádá konkrétní cíle a využívá podvodné techniky sociálního inženýrství proti velkému počtu lidí.

Cílený spam je technika zaměřená na konkrétní osobu nebo organizaci, ve které útočník vystupuje jménem ředitele, správce nebo jiného zaměstnance organizace, ve které oběť pracuje, nebo útočník zastupuje společnost, se kterou má cílová organizace založen důvěryhodný vztah.

Přijaté adresy se ověřují (zkontrolují, zda jsou platné) odesláním testovací zprávy, umístěním unikátního odkazu na obrázek s počítadlem stahování do textu zprávy nebo odkazu „odhlásit se ze spamových zpráv“.

Následně je spam odesílán buď přímo z pronajatých serverů, nebo z nesprávně nakonfigurovaných legitimních e-mailových služeb, nebo prostřednictvím skryté instalace škodlivého softwaru na počítač uživatele.

Útočník komplikuje práci antispamovým filtrům vnášením náhodných textů, šumu nebo neviditelných textů, používáním grafických písmen nebo měnícími se grafickými písmeny, fragmentovanými obrázky včetně použití animací a předfrázováním textů.

Antispamové metody

Existují 2 hlavní způsoby filtrování spamu:

    Filtrování podle formálních charakteristik e-mailové zprávy

    Filtrujte podle obsahu

    Formální metoda

    1. Fragmentace podle seznamů: černá, bílá a šedá. Šedé seznamy jsou metodou dočasného blokování zpráv s neznámou kombinací e-mailové adresy a IP adresy odesílajícího serveru. Když první pokus skončí dočasným selháním (spamovací programy zpravidla dopis znovu neposílají).

      Nevýhodou tohoto způsobu je možný dlouhý časový interval mezi odesláním a přijetím legální zprávy.

      Kontrola, zda byla zpráva odeslána ze skutečného nebo falešného (falešného) poštovního serveru z domény uvedené ve zprávě.

      „Zpětné volání“ – po přijetí příchozího spojení přijímající server pozastaví relaci a simuluje pracovní relaci s odesílajícím serverem.

    Pokud se pokus nezdaří, je pozastavené připojení ukončeno bez dalšího zpracování.

    1. Filtrování podle formálních charakteristik dopisu: adresy odesílatele a příjemce, velikost, přítomnost a počet příloh, IP adresa odesílatele atd.

      Lingvistické metody - práce s obsahem dopisu

      Bayesovské filtrování je striktně filtrování slov. Při kontrole došlého dopisu se pravděpodobnost, že se jedná o spam, počítá na základě zpracování textu, které zahrnuje výpočet průměrné „váhy“ všech slov daného dopisu.

Dopis je klasifikován jako spam nebo není spam podle toho, zda jeho váha překračuje určitou hranici určenou uživatelem. Po rozhodnutí o písmenu se v databázi aktualizují „váhy“ slov v něm obsažených.

Autentizace v počítačových systémech

    Procesy autentizace lze rozdělit do následujících kategorií:

    Ale na základě znalosti něčeho (PIN, heslo)

    Na základě vlastnictví něčeho (chytrá karta, USB klíč)

Není založeno na inherentních charakteristikách (biometrické charakteristiky)

    Typy autentizace:

    Jednoduchá autentizace pomocí hesel

    Silná autentizace pomocí vícefaktorových kontrol a kryptografických metod

Biometrické ověřování

    Hlavní útoky na autentizační protokoly jsou:

    "Maškaráda" - když se uživatel pokusí vydávat za jiného uživatele

    Opakovaný přenos – když je zachycené heslo odesláno jménem jiného uživatele

Vynucené zpoždění

    Aby se zabránilo takovým útokům, používají se následující techniky:

    Mechanismy, jako je výzva-odpověď, časová razítka, náhodná čísla, digitální podpisy atd.

    Propojení výsledku autentizace s následnými akcemi uživatele v rámci systému.

    Pravidelné provádění ověřovacích procedur v rámci již vytvořené komunikační relace.

    1. Jednoduchá autentizace

      Autentizace na základě opakovaně použitelných hesel

    Autentizace na základě jednorázových hesel - OTP (one time password) - jednorázová hesla platí pouze pro jedno přihlášení a lze je vygenerovat pomocí OTP tokenu. K tomu se používá tajný klíč uživatele, který se nachází jak uvnitř tokenu OTP, tak na ověřovacím serveru.

    1. Přísná autentizace spočívá v tom, že dokazující strana prokáže svou pravost spoléhající se straně tím, že prokáže znalost určitého tajemství. Stává se:

      Jednostranný

      Oboustranné

Tripartita

Může být provedeno na základě čipových karet nebo USB klíčů nebo kryptografie.

Silnou autentizaci lze implementovat pomocí dvou nebo třífaktorového procesu ověřování.

Třífaktorová autentizace vyžaduje, aby uživatel poskytl jiný typ identifikace, například biometrii.

Silná autentizace pomocí kryptografických protokolů se může opírat o symetrické a asymetrické šifrování a také hashovací funkce. Dokazující strana prokáže znalost tajemství, ale tajemství samotné není odhaleno. Používají se jednorázové parametry (náhodná čísla, časová razítka a pořadová čísla), aby nedocházelo k opakovanému přenosu, byla zajištěna jednoznačnost, jednoznačnost a časové záruky přenášených zpráv.

Biometrické ověření uživatele

Nejčastěji používané biometrické funkce jsou:

    Otisky prstů

    Vzor žíly

    Geometrie ruky

    Duhovka

    Geometrie obličeje

    Kombinace výše uvedeného

Řízení přístupu pomocí schématu jednotného přihlášení s autorizací Single Sign-On (SSO).

Jednotné přihlášení umožňuje uživateli podnikové sítě podstoupit pouze jedno ověření, když se přihlásí do sítě, přičemž jednou předloží pouze jedno heslo nebo jiný požadovaný autentizátor, a poté bez dalšího ověření získat přístup ke všem autorizovaným síťovým zdrojům, které jsou potřebné k provedení práce. Aktivně se využívají nástroje digitální autentizace, jako jsou tokeny, digitální certifikáty PKI, čipové karty a biometrická zařízení. Příklady: Kerberos, PKI, SSL.

Reakce na incidenty informační bezpečnosti

Mezi úkoly, kterým čelí jakýkoli systém řízení bezpečnosti informací, lze identifikovat dva nejvýznamnější:

    Prevence incidentů

    Pokud k nim dojde, včasná a správná reakce

První úkol je ve většině případů založen na nákupu různých nástrojů informační bezpečnosti.

Druhý úkol závisí na stupni připravenosti společnosti na takové události:

        Přítomnost vyškoleného týmu reakce na incidenty IS s již předem přidělenými rolemi a odpovědnostmi.

        Dostupnost promyšlené a propojené dokumentace o postupu řízení incidentů informační bezpečnosti, zejména reakce a vyšetřování identifikovaných incidentů.

        Dostupnost připravených zdrojů pro potřeby zásahového týmu (komunikační nástroje, ..., trezor)

        Dostupnost aktuální znalostní báze o incidentech zabezpečení informací, ke kterým došlo

        Vysoká míra informovanosti uživatelů v oblasti informační bezpečnosti

        Kvalifikace a koordinace zásahového týmu

Proces řízení incidentů zabezpečení informací se skládá z následujících fází:

    Příprava – předcházení incidentům, příprava zásahových týmů, vývoj zásad a postupů atd.

    Detekce – bezpečnostní upozornění, upozornění uživatele, analýza bezpečnostního protokolu.

    Analýza – potvrzení, že k incidentu došlo, shromažďování dostupných informací o incidentu, identifikace postižených aktiv a klasifikace incidentu podle bezpečnosti a priority.

    Reakce – zastavení incidentu a shromažďování důkazů, přijímání opatření k zastavení incidentu a uchovávání informací založených na důkazech, shromažďování informací založených na důkazech, interakce s interními odděleními, partnery a dotčenými stranami a také získávání externích odborných organizací.

    Vyšetřování – vyšetřování okolností incidentů informační bezpečnosti, zapojení externích expertních organizací a interakce se všemi dotčenými stranami, jakož i s orgány činnými v trestním řízení a soudními orgány.

    Recovery – přijetí opatření k odstranění zranitelností, které vedly k incidentu, odstranění následků incidentu, obnovení funkčnosti postižených služeb a systémů. Registrace výpovědi pojištění.

    Analýza a modernizace efektivity - analýza incidentu, analýza efektivity a modernizace procesu vyšetřování incidentů informační bezpečnosti a souvisejících dokumentů, soukromé instrukce. Vygenerování zprávy o vyšetřování a potřebě modernizace bezpečnostního systému pro řízení, sběr informací o incidentu, jejich přidání do znalostní báze a uložení dat o incidentu.

Efektivní systém řízení incidentů bezpečnosti informací má následující cíle:

    Zajištění právního významu shromážděných důkazních informací o incidentech informační bezpečnosti

    Zajištění včasnosti a správnosti akcí pro reakci a vyšetřování incidentů v oblasti bezpečnosti informací

    Zajištění schopnosti identifikovat okolnosti a příčiny incidentů informační bezpečnosti za účelem další modernizace systému informační bezpečnosti

    Poskytování vyšetřování a právní podpory pro interní a externí incidenty informační bezpečnosti

    Zajištění možnosti stíhat útočníky a postavit je před soud, jak stanoví zákon

    Zajištění možnosti náhrady škody z incidentu informační bezpečnosti v souladu se zákonem

Systém řízení incidentů bezpečnosti informací obecně interaguje a integruje se s následujícími systémy a procesy:

    Řízení informační bezpečnosti

    Řízení rizik

    Zajištění kontinuity podnikání

Integrace je vyjádřena konzistentností dokumentace a formalizací pořadí interakce mezi procesy (vstupní, výstupní informace a přechodové podmínky).

Proces řízení incidentů informační bezpečnosti je poměrně složitý a objemný. Vyžaduje shromažďování, zpracování a ukládání obrovského množství informací a také provádění mnoha paralelních úloh, takže na trhu existuje mnoho nástrojů, které umožňují automatizovat určité úlohy, například tzv. SIEM systémy (bezpečnostní informace a správa událostí).

Chief Information Officer (CIO) – ředitel informačních technologií

Chief Information Security Officer (CISO) – vedoucí oddělení informační bezpečnosti, ředitel informační bezpečnosti

Hlavním úkolem systémů SIEM není pouze shromažďovat události z různých zdrojů, ale automatizovat proces detekce incidentů dokumentací ve vlastním logu nebo externím systému a také včasné informování o události. Systém SIEM má následující úkoly:

    Konsolidace a ukládání protokolů událostí z různých zdrojů – síťová zařízení, aplikace, protokoly OS, bezpečnostní nástroje

    Prezentace nástrojů pro analýzu událostí a incidentů

    Korelace a zpracování podle pravidel událostí, které nastaly

    Automatické oznámení a správa incidentů

Systémy SIEM jsou schopny identifikovat:

    Síťové útoky ve vnitřních a vnějších perimetrech

    Virové epidemie nebo jednotlivé virové infekce, neodstraněné viry, zadní vrátka a trojské koně

    Pokusy o neoprávněný přístup k důvěrným informacím

    Chyby a poruchy v provozu IS

    Zranitelnosti

    Chyby v konfiguraci, bezpečnostních opatřeních a informačních systémech.

Hlavní zdroje SIEM

    Přístupová a autentizační data

    Protokoly událostí serveru a pracovní stanice

    Síťově aktivní zařízení

  1. Antivirová ochrana

    Skenery zranitelnosti

    Systémy pro účtování rizik, kritičnosti hrozeb a prioritizace incidentů

    Další systémy pro ochranu a kontrolu zásad bezpečnosti informací:

    1. DLP systémy

      Zařízení pro kontrolu přístupu atd.

    2. Systémy zásob

    Systémy účtování provozu

Nejznámější SIEM systémy:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

Dnes je trh se systémy DLP jedním z nejrychleji rostoucích ze všech nástrojů informační bezpečnosti. Bělorusko však stále zcela nedrží krok se světovými trendy, a proto trh ano DLP-systémy v naší zemi mají své vlastní charakteristiky.

Co je DLP a jak fungují?

Než budeme mluvit o trhu DLP -systémy, je nutné rozhodnout, co se přesně vzato myslí, když se o takových rozhodnutích mluví. Pod DLP - systémy jsou běžně chápány jako softwarové produkty, které chrání organizace před úniky důvěrných informací. Samotná zkratka DLP znamená DataLeakPrevention , tedy zabránění úniku dat.

Systémy tohoto druhu vytvářejí bezpečný digitální „obvod“ kolem organizace, analyzující všechny odchozí a v některých případech i odchozí informace. Řízenými informacemi by měl být nejen internetový provoz, ale i řada dalších informačních toků: dokumenty, které jsou převzaty mimo chráněnou bezpečnostní smyčku na externí média, vytištěny na tiskárně, odeslány na mobilní média prostřednictvím Bluetooth atd.

Protože DLP - systém musí zabránit úniku důvěrných informací, pak musí mít zabudované mechanismy pro stanovení stupně důvěrnosti dokumentu zjištěného v odposlouchávaném provozu. Zpravidla se používají dvě nejběžnější metody: analýza speciálních značek dokumentů a analýza obsahu dokumentu. Druhá možnost je nyní běžnější, protože je odolná vůči úpravám provedeným v dokumentu před jeho odesláním a také umožňuje snadno rozšířit počet důvěrných dokumentů, se kterými může systém pracovat.

"Vedlejší" úkoly DLP

Kromě svého hlavního úkolu souvisejícího s předcházením úniku informací DLP -systémy se dobře hodí i pro řešení řady dalších úkolů souvisejících s monitorováním personálních akcí. Nejčastěji DLP -systémy se používají k řešení následujících vedlejších úkolů:

  • Sledování využívání pracovní doby a pracovních zdrojů zaměstnanci;
  • Monitorování komunikace zaměstnanců s cílem identifikovat „tajné“ boje, které by mohly organizaci poškodit;
  • Sledování zákonnosti jednání zaměstnanců (prevence tisku falešných dokumentů atd.);
  • Identifikace zaměstnanců, kteří rozesílají životopisy, aby mohli rychle vyhledat specialisty na volná místa;

Vzhledem k tomu, že řada organizací považuje řadu těchto úkolů (zejména kontrolu využití pracovní doby) za prioritnější než ochranu před únikem informací, vznikla řada programů, které jsou k tomu určeny přímo, ale mohou v některé případy také fungují jako prostředek ochrany organizace před úniky. Od plnohodnotného DLP - Systémy, jako jsou programy, se vyznačují nedostatkem vyvinutých nástrojů pro analýzu zachycených dat, kterou musí provádět ručně specialista na informační bezpečnost, což je výhodné pouze pro velmi malé organizace (do deseti řízených zaměstnanců). Protože jsou však tato řešení v Bělorusku žádaná, jsou také zahrnuta ve srovnávací tabulce přiložené k tomuto článku.

Klasifikace systémů DLP

Všechny DLP systémy lze rozdělit podle řady charakteristik do několika hlavních tříd. Na základě schopnosti blokovat informace označené jako důvěrné se rozlišují systémy s aktivní a pasivní kontrolou uživatelských akcí. První jsou schopny blokovat přenášené informace, druhé tedy tuto schopnost nemají. První systémy jsou mnohem lepší v boji proti náhodným únikům dat, ale zároveň jsou schopny umožnit náhodné zastavení obchodních procesů organizace, zatímco druhé systémy jsou bezpečné pro obchodní procesy, ale jsou vhodné pouze pro boj proti systematickým únikům. Další klasifikace systémů DLP je založena na jejich síťové architektuře. Stavidlo DLP běží na zprostředkujících serverech, zatímco hostitelské servery používají agenty, kteří běží přímo na pracovních stanicích zaměstnanců. Dnes je nejběžnější možností použití brány a hostitelských komponent společně.

Globální trh DLP

V současné době hlavní hráči na světovém trhu DLP -systems jsou společnosti, které jsou široce známé svými dalšími produkty pro zajištění informační bezpečnosti v organizacích. Toto je v první řadě Symantec, McAffee, TrendMicro, WebSense. O celkový objem světového trhu DLP -řešení se odhaduje na 400 milionů dolarů, což je ve srovnání se stejným antivirovým trhem poměrně málo. Nicméně trh DLP vykazuje rychlý růst: ještě v roce 2009 se odhadoval na něco málo přes 200 milionů.

Běloruský trh má obrovský vliv na trh jeho východního souseda, Ruska, který je již poměrně velký a vyspělý. Hlavními hráči na něm jsou dnes ruské společnosti: InfoWatch , "Jet Infosystems", SecurIT, SearchInform, Perimetrix a řada dalších. Celkový objem ruského trhu DLP se odhaduje na 12–15 milionů dolarů. Zároveň roste stejným tempem jako svět.

Hlavním z těchto trendů je, jak se odborníci domnívají, přechod od „patch“ systémů skládajících se z komponent různých výrobců, z nichž každý řeší svůj vlastní problém, k jednotným integrovaným softwarovým systémům. Důvod tohoto přechodu je zřejmý: komplexní integrované systémy osvobozují specialisty na informační bezpečnost od potřeby řešit problémy s kompatibilitou různých komponent systému „patch“ mezi sebou, usnadňují okamžitou změnu nastavení pro velká pole klientských pracovních stanic v organizací a také vám umožní vyhnout se potížím při přenosu dat z jedné součásti jednoho integrovaného systému do druhé. Pohyb vývojářů směrem k integrovaným systémům je také způsoben specifiky úkolů zajištění informační bezpečnosti: koneckonců, pokud alespoň jeden kanál, kterým mohou informace unikat, může zůstat nekontrolovaný, nelze hovořit o zabezpečení organizace před takovými hrozbami. .

Západní výrobci DLP -systémy, které přišly na trh zemí SNS, se potýkaly s řadou problémů souvisejících s podporou národních jazyků (v případě Běloruska je však vhodné hovořit o podpoře ruštiny, nikoli běloruštiny). Vzhledem k tomu, že trh SNS je pro západní dodavatele velmi zajímavý, dnes aktivně pracují na podpoře ruského jazyka, což je hlavní překážkou jejich úspěšného rozvoje na trhu.

Další důležitý trend v oboru DLP je postupný přechod na modulární strukturu, kdy si zákazník může samostatně vybrat ty systémové komponenty, které potřebuje (např. pokud je na úrovni operačního systému deaktivována podpora externích zařízení, pak není třeba připlácet za funkcionalitu ovládat je). Důležitá role ve vývoji DLP -systémy budou ovlivněny i oborovými specifiky - lze očekávat vznik speciálních verzí známých systémů, přizpůsobených speciálně pro bankovní sektor, pro státní úřady apod., odpovídajících potřebám samotných organizací.

Důležitý faktor ovlivňující vývoj DLP systémů, je také šíření notebooků a netbooků v podnikových prostředích. Specifika notebooků (práce mimo firemní prostředí, možnost krádeže informací spolu se samotným zařízením atd.) nutí výrobce DLP -systémy pro vývoj zásadně nových přístupů k ochraně přenosných počítačů. Stojí za zmínku, že dnes je jen málo prodejců připraveno nabídnout zákazníkům funkci monitorování notebooků a netbooků se svým systémem DLP.

Aplikace DLP v Bělorusku

DLP v Bělorusku -systémy jsou využívány v relativně malém počtu organizací, ale jejich počet před krizí neustále rostl. Nicméně, shromážděné pomocí DLP -informace o systémech, běloruské organizace nespěchají se zveřejněním informací a žalují zaměstnance odpovědné za únik informací u soudu. Navzdory skutečnosti, že běloruská legislativa obsahuje ustanovení, která umožňují postihovat distributory firemních tajemství, drtivá většina organizací využívá DLP -systémy se raději omezují na vnitřní řízení a disciplinární sankce a v krajním případě propouštějí zaměstnance, kteří se dopustili zvlášť rozsáhlých přestupků. Tradice „nepraní špinavého prádla na veřejnosti“ je však charakteristická pro celý postsovětský prostor, na rozdíl od západních zemí, kde jsou úniky dat hlášeny každému, kdo jím mohl trpět.

Vadim STANKEVICH



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru