Consejos para el usuario. nota. Comparación de tecnologías de proyectores DLP y LCD

Consejos para el usuario. nota. Comparación de tecnologías de proyectores DLP y LCD

Introducción

La revisión está dirigida a todos los interesados ​​en el mercado de soluciones DLP y, en primer lugar, a aquellos que quieran elegir la solución DLP adecuada para su empresa. La revisión examina el mercado de sistemas DLP en el sentido amplio del término, proporciona una breve descripción del mercado global y una descripción más detallada del segmento ruso.

Los sistemas para proteger datos valiosos existen desde sus inicios. A lo largo de los siglos, estos sistemas se han desarrollado y evolucionado junto con la humanidad. Con el inicio de la era de las computadoras y la transición de la civilización a la era postindustrial, la información se convirtió gradualmente en el principal valor de los estados, las organizaciones e incluso los individuos. Y los sistemas informáticos se han convertido en la principal herramienta para almacenarlo y procesarlo.

Los Estados siempre han protegido sus secretos, pero tienen sus propios medios y métodos que, por regla general, no influyeron en la formación del mercado. En la era postindustrial, los bancos y otras instituciones financieras se han convertido en víctimas frecuentes de filtraciones informáticas de información valiosa. El sistema bancario global fue el primero en necesitar protección legislativa de su información. La necesidad de proteger la privacidad también ha sido reconocida en medicina. Como resultado, por ejemplo, en Estados Unidos se adoptaron la Ley de Responsabilidad y Portabilidad de los Seguros de Salud (HIPAA) y la Ley Sarbanes-Oxley (SOX), y el Comité de Supervisión Bancaria de Basilea emitió una serie de recomendaciones denominadas “Acuerdos de Basilea”. Estos pasos dieron un poderoso impulso al desarrollo del mercado de sistemas de protección de información informática. Tras la creciente demanda, comenzaron a aparecer empresas que ofrecieron los primeros sistemas DLP.

¿Qué son los sistemas DLP?

Existen varias definiciones generalmente aceptadas del término DLP: Prevención de pérdida de datos, Prevención de fuga de datos o Protección contra fuga de datos, que se puede traducir al ruso como "prevención de pérdida de datos", "prevención de fuga de datos", "protección contra fuga de datos". El término se generalizó y se consolidó en el mercado alrededor de 2006. Y los primeros sistemas DLP surgieron un poco antes precisamente como un medio para evitar la fuga de información valiosa. Fueron diseñados para detectar y bloquear la transmisión en red de información identificada por palabras clave o expresiones y por “huellas digitales” creadas previamente de documentos confidenciales.

El desarrollo posterior de los sistemas DLP estuvo determinado por incidentes, por un lado, y actos legislativos de los estados, por otro. Poco a poco, las necesidades de protección frente a diversos tipos de amenazas llevaron a las empresas a la necesidad de crear sistemas de protección integrales. Actualmente, los productos DLP desarrollados, además de la protección directa contra la fuga de datos, brindan protección contra amenazas internas e incluso externas, rastrean las horas de trabajo de los empleados y monitorean todas sus acciones en las estaciones de trabajo, incluido el trabajo remoto.

Al mismo tiempo, el bloqueo de la transferencia de datos confidenciales, una función canónica de los sistemas DLP, ha desaparecido en algunas soluciones modernas atribuidas por los desarrolladores a este mercado. Estas soluciones son adecuadas exclusivamente para monitorear el entorno de información corporativa, pero como resultado de la manipulación de la terminología comenzaron a llamarse DLP y referirse a este mercado en un sentido amplio.

Actualmente, el principal interés de los desarrolladores de sistemas DLP se ha desplazado hacia la amplitud de la cobertura de posibles canales de fuga de información y el desarrollo de herramientas analíticas para la investigación y análisis de incidentes. Los últimos productos DLP interceptan la visualización de documentos, imprimiéndolos y copiándolos en medios externos, iniciando aplicaciones en estaciones de trabajo y conectando dispositivos externos a ellas, y el análisis moderno del tráfico de red interceptado le permite detectar fugas incluso a través de algunos protocolos de túneles y cifrados.

Además de desarrollar su propia funcionalidad, los sistemas DLP modernos brindan amplias oportunidades de integración con varios productos relacionados e incluso de la competencia. Los ejemplos incluyen soporte generalizado para el protocolo ICAP proporcionado por servidores proxy y la integración del módulo DeviceSniffer, parte del circuito de seguridad de la información SearchInform, con Lumension Device Control. Un mayor desarrollo de los sistemas DLP conduce a su integración con productos IDS/IPS, soluciones SIEM, sistemas de gestión de documentos y protección de estaciones de trabajo.

Los sistemas DLP se distinguen por el método de detección de fugas de datos:

  • cuando se utilizan (Datos en uso): en el lugar de trabajo del usuario;
  • durante la transmisión (Data-in-Motion) - en la red de la empresa;
  • durante el almacenamiento (Datos en reposo): en los servidores y estaciones de trabajo de la empresa.

Los sistemas DLP pueden reconocer documentos críticos:

  • según criterios formales, es confiable, pero requiere un registro preliminar de los documentos en el sistema;
  • mediante análisis de contenido: esto puede dar falsos positivos, pero le permite detectar información crítica en cualquier documento.

Con el tiempo, tanto la naturaleza de las amenazas como la composición de los clientes y compradores de sistemas DLP han cambiado. El mercado moderno impone los siguientes requisitos a estos sistemas:

  • soporte para varios métodos de detección de fugas de datos (datos en uso, datos en movimiento, datos en reposo);
  • soporte para todos los protocolos populares de transferencia de datos de red: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, varios protocolos P2P;
  • la presencia de un directorio integrado de sitios web y el correcto procesamiento del tráfico que se les transmite (correo web, redes sociales, foros, blogs, sitios de búsqueda de empleo, etc.);
  • Es deseable la compatibilidad con protocolos de túnel: VLAN, MPLS, PPPoE y similares;
  • control transparente de protocolos seguros SSL/TLS: HTTPS, FTPS, SMTPS y otros;
  • soporte para protocolos de telefonía VoIP: SIP, SDP, H.323, T.38, MGCP, SKINNY y otros;
  • la presencia de análisis híbrido: soporte para varios métodos para reconocer información valiosa: por características formales, por palabras clave, haciendo coincidir el contenido con una expresión regular, basado en análisis morfológico;
  • es deseable la capacidad de bloquear selectivamente la transmisión de información crítica a través de cualquier canal controlado en tiempo real; bloqueo selectivo (para usuarios individuales, grupos o dispositivos);
  • Es deseable poder controlar las acciones del usuario sobre documentos críticos: ver, imprimir, copiar a medios externos;
  • Es deseable la capacidad de controlar los protocolos de red para trabajar con servidores de correo Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync, etc. para analizar y bloquear mensajes en tiempo real mediante protocolos: (MAPI, S/MIME, NNTP, SIP, etc.);
  • es deseable interceptar, grabar y reconocer el tráfico de voz: Skype, telefonía IP, Microsoft Lync;
  • Disponibilidad de un módulo de reconocimiento de gráficos (OCR) y análisis de contenido;
  • soporte para análisis de documentos en múltiples idiomas;
  • mantener archivos y registros detallados para facilitar la investigación de incidentes;
  • Es deseable haber desarrollado herramientas para analizar eventos y sus conexiones;
  • la capacidad de crear varios informes, incluidos informes gráficos.

Gracias a las nuevas tendencias en el desarrollo de la tecnología de la información, cada vez hay más demanda de nuevas funciones de los productos DLP. Con el uso generalizado de la virtualización en los sistemas de información corporativos, existe la necesidad de respaldarla en soluciones DLP. El uso generalizado de dispositivos móviles como herramienta empresarial ha estimulado la aparición de DLP móvil. La creación de “nubes” tanto corporativas como públicas requirió su protección, incluidos los sistemas DLP. Y, como continuación lógica, condujo al surgimiento de servicios de seguridad de la información "en la nube" (seguridad como servicio - SECaaS).

El principio de funcionamiento del sistema DLP.

Un sistema moderno de protección contra fugas de información, por regla general, es un complejo distribuido de software y hardware que consta de una gran cantidad de módulos para diversos fines. Algunos módulos funcionan en servidores dedicados, algunos en las estaciones de trabajo de los empleados de la empresa y otros en las estaciones de trabajo de los agentes de seguridad.

Es posible que se requieran servidores dedicados para módulos como la base de datos y, en ocasiones, para módulos de análisis de información. Estos módulos, de hecho, son el núcleo y ningún sistema DLP puede prescindir de ellos.

Se necesita una base de datos para almacenar información, que va desde reglas de control e información detallada sobre incidentes hasta todos los documentos que estuvieron a la vista del sistema durante un período determinado. En algunos casos, el sistema puede incluso almacenar una copia de todo el tráfico de la red de la empresa interceptado durante un período de tiempo determinado.

Los módulos de análisis de información se encargan de analizar los textos extraídos por otros módulos de diversas fuentes: tráfico de red, documentos en cualquier dispositivo de almacenamiento de información dentro de la empresa. Algunos sistemas tienen la capacidad de extraer texto de imágenes y reconocer mensajes de voz interceptados. Todos los textos analizados se comparan con reglas predefinidas y se marcan en consecuencia cuando se encuentra una coincidencia.

Para monitorear las acciones de los empleados, se pueden instalar agentes especiales en sus estaciones de trabajo. Dicho agente debe estar protegido de la interferencia del usuario en su trabajo (en la práctica, esto no siempre es así) y puede realizar tanto un seguimiento pasivo de sus acciones como interferir activamente con aquellas que la política de seguridad de la empresa prohíbe al usuario. La lista de acciones controladas puede limitarse al inicio y cierre de sesión del usuario y a la conexión de dispositivos USB, y puede incluir la interceptación y el bloqueo de protocolos de red, la instantánea de documentos a cualquier medio externo, la impresión de documentos en impresoras locales y de red, la transferencia de información a través de Wi-Fi. Fi y Bluetooth y mucho más. Algunos sistemas DLP son capaces de registrar todas las pulsaciones de teclas (key‑logging) y guardar capturas de pantalla (screen‑shots), pero esto está fuera del alcance de las prácticas generalmente aceptadas.

Normalmente, un sistema DLP incluye un módulo de control diseñado para monitorear el funcionamiento del sistema y administrarlo. Este módulo le permite monitorear el rendimiento de todos los demás módulos del sistema y configurarlos.

Para facilitar el trabajo de un analista de seguridad, el sistema DLP puede tener un módulo separado que le permite configurar la política de seguridad de la empresa, monitorear sus violaciones, realizar una investigación detallada de las mismas y generar los informes necesarios. Curiosamente, en igualdad de condiciones, es la capacidad de analizar incidentes, realizar una investigación completa y generar informes lo que pasa a primer plano en importancia en un sistema DLP moderno.

Mercado mundial de DLP

El mercado de los sistemas DLP empezó a tomar forma ya en este siglo. Como se mencionó al principio del artículo, el concepto mismo de "DLP" se extendió alrededor de 2006. El mayor número de empresas que crearon sistemas DLP surgieron en Estados Unidos. Existía la mayor demanda de estas soluciones y un entorno favorable para crear y desarrollar dicho negocio.

Casi todas las empresas que comenzaron a crear sistemas DLP y lograron un éxito significativo en esto fueron compradas o adquiridas, y sus productos y tecnologías se integraron en sistemas de información más grandes. Por ejemplo, Symantec adquirió Vontu (2007), Websense adquirió PortAuthority Technologies Inc. (2007), EMC Corp. adquirió RSA Security (2006) y McAfee absorbió varias empresas: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

Actualmente, los principales fabricantes de sistemas DLP del mundo son: Symantec Corp., RSA (una división de EMC Corp.), Verdasys Inc., Websense Inc. (comprada por la empresa privada Vista Equity Partners en 2013), McAfee (comprada por Intel en 2011). Fidelis Cybersecurity Solutions (adquirida por General Dynamics en 2012), CA Technologies y GTB Technologies desempeñan un papel importante en el mercado. Una ilustración clara de su posición en el mercado, en una de las secciones, puede ser el cuadrante mágico de la empresa analítica Gartner a finales de 2013 (Figura 1).

Figura 1. DistribuciónposicionesDLP-sistemas en el mercado mundialPorGartner

Mercado ruso de DLP

En Rusia, el mercado de sistemas DLP comenzó a formarse casi simultáneamente con el mercado mundial, pero con características propias. Esto sucedió gradualmente, a medida que surgieron incidentes y se intentó solucionarlos. Jet Infosystems fue la primera empresa en Rusia que comenzó a desarrollar una solución DLP en el año 2000 (al principio era un archivo de correo). Un poco más tarde, en 2003, se fundó InfoWatch como filial de Kaspersky Lab. Fueron las decisiones de estas dos empresas las que marcaron pautas para otros actores. Entre ellas se encontraban, un poco más tarde, las empresas Perimetrix, SearchInform, DeviceLock y SecureIT (rebautizada como Zecurion en 2011). A medida que el estado crea actos legislativos relacionados con la protección de la información (Código Civil de la Federación de Rusia, artículo 857 "Secreto bancario", 395-1-FZ "Sobre bancos y actividades bancarias", 98-FZ "Sobre secretos comerciales", 143 -FZ “Sobre leyes de estado civil” ", 152-FZ "Sobre datos personales" y otros, alrededor de 50 tipos de secretos en total), aumentó la necesidad de herramientas de protección y creció la demanda de sistemas DLP. Y unos años más tarde, llegó al mercado la “segunda ola” de desarrolladores: Falcongaze, MFI Soft, Trafica. Vale la pena señalar que todas estas empresas tuvieron desarrollos en el campo de DLP mucho antes, pero los reemplazos comenzaron a aparecer en el mercado hace relativamente poco tiempo. Por ejemplo, la empresa MFI Soft comenzó a desarrollar su solución DLP en 2005 y no se anunció en el mercado hasta 2011.

Incluso más tarde, el mercado ruso se volvió interesante para las empresas extranjeras. En 2007-2008, los productos Symantec, Websense y McAfee estuvieron disponibles para nosotros. Más recientemente, en 2012, GTB Technologies introdujo sus soluciones en nuestro mercado. Otros líderes del mercado mundial tampoco desisten de intentar entrar en el mercado ruso, pero hasta ahora sin resultados visibles. En los últimos años, el mercado ruso de DLP ha demostrado un crecimiento estable (más del 40% anual) durante varios años, lo que está atrayendo a nuevos inversores y desarrolladores. Como ejemplo, podemos nombrar la empresa Iteranet, que desde 2008 desarrolla elementos de un sistema DLP para fines internos y luego para clientes corporativos. Actualmente, la empresa ofrece su solución Business Guardian a compradores rusos y extranjeros.

La empresa se separó de Kaspersky Lab en 2003. A finales de 2012, InfoWatch ocupaba más de un tercio del mercado ruso de DLP. InfoWatch ofrece una gama completa de soluciones DLP para clientes, desde medianas empresas hasta grandes corporaciones y agencias gubernamentales. La solución más popular del mercado es InfoWatch Traffic Monitor. Las principales ventajas de sus soluciones: funcionalidad avanzada, tecnologías únicas de análisis de tráfico patentadas, análisis híbrido, soporte para múltiples idiomas, directorio integrado de recursos web, escalabilidad, una gran cantidad de configuraciones y políticas preestablecidas para diferentes industrias. Las características distintivas de la solución InfoWatch son una consola de administración única, que monitorea las acciones de los empleados bajo sospecha, una interfaz intuitiva, la creación de políticas de seguridad sin utilizar el álgebra booleana, la creación de roles de usuario (oficial de seguridad, gerente de la empresa, director de recursos humanos, etc.). Desventajas: falta de control sobre las acciones de los usuarios en las estaciones de trabajo, InfoWatch Traffic Monitor es pesado para las medianas empresas y alto costo.

La empresa se fundó en 1991 y hoy es uno de los pilares del mercado ruso de DLP. Inicialmente, la empresa desarrolló sistemas para proteger a las organizaciones de amenazas externas y su entrada al mercado de DLP es un paso lógico. La empresa Jet Infosystems es un actor importante en el mercado ruso de seguridad de la información, ofrece servicios de integración de sistemas y desarrolla su propio software. En particular, la propia solución DLP de Dozor-Jet. Sus principales ventajas: escalabilidad, alto rendimiento, capacidad de trabajar con Big Data, un gran conjunto de interceptores, un directorio integrado de recursos web, análisis híbrido, un sistema de almacenamiento optimizado, monitoreo activo, trabajo "en una brecha", herramientas para la búsqueda y análisis rápido de incidencias, desarrollo de soporte técnico, incluso en las regiones. El complejo también tiene la capacidad de integrarse con sistemas de las clases SIEM, BI, MDM, Inteligencia de Seguridad, Gestión de Sistemas y Redes. Nuestro know-how propio es el módulo “Dossier”, diseñado para investigar incidencias. Desventajas: funcionalidad insuficiente de los agentes para estaciones de trabajo, mal desarrollo del control sobre las acciones de los usuarios, la solución está enfocada solo a grandes empresas, alto costo.

Una empresa estadounidense que inició su actividad en 1994 como fabricante de software de seguridad de la información. En 1996, introdujo su primer desarrollo propio, el Internet Screening System, para monitorear las acciones del personal en Internet. Posteriormente, la empresa continuó trabajando en el campo de la seguridad de la información, desarrollando nuevos segmentos y ampliando la gama de productos y servicios. En 2007, la empresa reforzó su posición en el mercado de DLP con la adquisición de PortAuthority. En 2008, Websense entró en el mercado ruso. Actualmente, la empresa ofrece un producto integral, Websense Triton, para proteger contra fugas de datos confidenciales, así como amenazas externas. Principales ventajas: arquitectura unificada, rendimiento, escalabilidad, múltiples opciones de entrega, políticas predefinidas, informes avanzados y herramientas de análisis de eventos. Desventajas: no hay soporte para varios protocolos de mensajería instantánea, no hay soporte para la morfología del idioma ruso.

Symantec Corporation es un líder mundial reconocido en el mercado de soluciones DLP. Esto sucedió tras la compra de Vontu, un gran fabricante de sistemas DLP, en 2007. Desde 2008, Symantec DLP está oficialmente representado en el mercado ruso. A finales de 2010, Symantec fue la primera empresa extranjera en localizar su producto DLP para nuestro mercado. Las principales ventajas de esta solución son: potente funcionalidad, una gran cantidad de métodos de análisis, la capacidad de bloquear fugas a través de cualquier canal controlado, un directorio de sitios web integrado, la capacidad de escalar, un agente desarrollado para analizar eventos a nivel de estación de trabajo. , rica experiencia en implementación internacional e integración con otros productos de Symantec. Las desventajas del sistema incluyen el alto costo y la falta de capacidades de control para algunos protocolos de mensajería instantánea populares.

Esta empresa rusa fue fundada en 2007 como desarrolladora de herramientas de seguridad de la información. Las principales ventajas de la solución Falcongaze SecureTower: facilidad de instalación y configuración, interfaz fácil de usar, control de una mayor cantidad de canales de transmisión de datos, herramientas avanzadas de análisis de información, la capacidad de monitorear las acciones de los empleados en las estaciones de trabajo (incluida la visualización de capturas de pantalla del escritorio), analizador gráfico de relaciones personales, escalabilidad, búsqueda rápida a través de datos interceptados, sistema de informes visuales basado en diversos criterios.

Desventajas: no existe ninguna posibilidad de trabajar en una brecha a nivel de puerta de enlace, capacidades limitadas para bloquear la transferencia de datos confidenciales (solo SMTP, HTTP y HTTPS), falta de un módulo para buscar datos confidenciales en la red empresarial.

Empresa americana fundada en 2005. Gracias a sus propios desarrollos en el campo de la seguridad de la información, tiene un gran potencial de desarrollo. Ingresó al mercado ruso en 2012 e implementó con éxito varios proyectos corporativos. Las ventajas de sus soluciones: alta funcionalidad, control de múltiples protocolos y canales de posible fuga de datos, tecnologías originales patentadas, modularidad, integración con IRM. Desventajas: localización rusa parcial, falta de documentación rusa, falta de análisis morfológico.

Empresa rusa fundada en 1999 como integrador de sistemas. En 2013 se reorganizó como holding. Una de nuestras actividades es brindar una amplia gama de servicios y productos para la seguridad de la información. Uno de los productos de la empresa es el sistema Business Guardian DLP de diseño propio.

Ventajas: alta velocidad de procesamiento de información, modularidad, escalabilidad territorial, análisis morfológico en 9 idiomas, soporte para una amplia gama de protocolos de tunelización.

Desventajas: capacidades limitadas para bloquear la transferencia de información (compatibles solo con complementos para MS Exchange, MS ISA/TMG y Squid), soporte limitado para protocolos de red cifrados.

MFI Soft es una empresa rusa que desarrolla sistemas de seguridad de la información. Históricamente, la empresa se especializa en soluciones complejas para operadores de telecomunicaciones, por lo que presta gran atención a la velocidad de procesamiento de datos, la tolerancia a fallos y el almacenamiento eficiente. MFI Soft se desarrolla en el campo de la seguridad de la información desde 2005. La empresa ofrece en el mercado el sistema DLP del complejo agroindustrial Garda Enterprise, dirigido a grandes y medianas empresas. Ventajas del sistema: facilidad de implementación y configuración, alto rendimiento, configuraciones flexibles para las reglas de detección (incluida la capacidad de registrar todo el tráfico), amplias capacidades para monitorear los canales de comunicación (además del conjunto estándar, que incluye telefonía VoIP, P2P y tunelización protocolos). Desventajas: falta de ciertos tipos de informes, falta de capacidades para bloquear la transferencia de información y búsqueda de lugares para almacenar información confidencial en la red empresarial.

Empresa rusa fundada en 1995, inicialmente especializada en el desarrollo de tecnologías para almacenar y recuperar información. Posteriormente, la empresa aplicó su experiencia y desarrollos en el campo de la seguridad de la información y creó una solución DLP denominada “Circuito de Seguridad de la Información”. Las ventajas de esta solución: amplias capacidades para interceptar el tráfico y analizar eventos en las estaciones de trabajo, monitorear el tiempo de trabajo de los empleados, modularidad, escalabilidad, herramientas de búsqueda avanzadas, velocidad de procesamiento de consultas de búsqueda, conexiones gráficas de los empleados, nuestro propio algoritmo de búsqueda patentado "Buscar Similar”, nuestro propio centro de formación para la formación de analistas y técnicos especialistas de los clientes. Desventajas: capacidades limitadas para bloquear la transferencia de información, falta de una única consola de administración.

Empresa rusa fundada en 1996 y especializada en el desarrollo de soluciones DLP y EDPC. La empresa pasó a la categoría de fabricantes de DLP en 2011, añadiendo a su mundialmente famosa solución EDPC DeviceLock (control de dispositivos y puertos en estaciones de trabajo Windows) componentes que proporcionan control de canales de red y tecnologías de análisis y filtrado de contenidos. Hoy en día, DeviceLock DLP implementa todos los métodos de detección de fugas de datos (DiM, DiU, DaR). Ventajas: arquitectura flexible y licencia modular, facilidad de instalación y gestión de políticas DLP, incl. a través de políticas de grupo AD, tecnologías originales patentadas para monitorear dispositivos móviles, soporte para entornos virtualizados, la presencia de agentes para Windows y Mac OS, control total de los empleados móviles fuera de la red corporativa, un módulo OCR residente (utilizado, entre otras cosas, cuando escanear ubicaciones de almacenamiento de datos). Desventajas: falta de un agente DLP para Linux; la versión del agente para computadoras Mac implementa solo métodos de control contextual.

Una joven empresa rusa especializada en tecnologías para el análisis profundo del tráfico de red (Deep Packet Inspection - DPI). Basándose en estas tecnologías, la empresa está desarrollando su propio sistema DLP llamado Monitorium. Ventajas del sistema: facilidad de instalación y configuración, interfaz de usuario conveniente, mecanismo flexible e intuitivo para crear políticas, adecuado incluso para pequeñas empresas. Desventajas: capacidades de análisis limitadas (sin análisis híbrido), capacidades de control limitadas a nivel de estación de trabajo, incapacidad para buscar lugares donde se almacenan copias no autorizadas de información confidencial en la red corporativa.

Conclusiones

Un mayor desarrollo de los productos DLP tiene como objetivo la consolidación e integración con productos en áreas relacionadas: control de personal, protección contra amenazas externas y otros segmentos de seguridad de la información. Al mismo tiempo, casi todas las empresas están trabajando en la creación de versiones ligeras de sus productos para pequeñas y medianas empresas, donde la facilidad de implementación de un sistema DLP y la facilidad de uso son más importantes que una funcionalidad compleja y poderosa. Además, continúa el desarrollo de DLP para dispositivos móviles, soporte para tecnologías de virtualización y SECaaS en las nubes.

Teniendo en cuenta todo lo dicho, podemos suponer que el rápido desarrollo de los mercados DLP globales, y especialmente rusos, atraerá nuevas inversiones y nuevas empresas. Y esto, a su vez, debería conducir a un mayor aumento en la cantidad y calidad de los productos y servicios DLP ofrecidos.

El sistema D LP se utiliza cuando es necesario proteger datos confidenciales de amenazas internas. Y si los especialistas en seguridad de la información dominan suficientemente y utilizan herramientas de protección contra intrusos externos, entonces la situación con los internos no es tan fácil.

El uso de un sistema DLP en la estructura de seguridad de la información supone que el especialista en seguridad de la información comprende:

  • cómo los empleados de la empresa pueden filtrar datos confidenciales;
  • qué información debe protegerse de amenazas a la confidencialidad.

Un conocimiento integral ayudará al especialista a comprender mejor los principios de funcionamiento de la tecnología DLP y configurar correctamente la protección contra fugas.

El sistema DLP debe poder distinguir la información confidencial de la información no confidencial. Si analiza todos los datos dentro del sistema de información de una organización, surge el problema de la carga excesiva sobre los recursos y el personal de TI. DLP trabaja principalmente "en conjunto" con un especialista responsable que no sólo "enseña" al sistema a funcionar correctamente, introduce reglas nuevas y elimina reglas irrelevantes, sino que también monitorea los eventos actuales, bloqueados o sospechosos en el sistema de información.

La funcionalidad del sistema DLP se basa en el "núcleo", un algoritmo de software que es responsable de detectar y categorizar la información que necesita protección contra fugas. En el centro de la mayoría de las soluciones DLP se encuentran dos tecnologías: el análisis lingüístico y la tecnología basada en métodos estadísticos. El núcleo también puede utilizar técnicas menos comunes, como el etiquetado o métodos de análisis formales.

Los desarrolladores de sistemas antifugas complementan el algoritmo de software único con agentes del sistema, mecanismos de gestión de incidentes, analizadores sintácticos, analizadores de protocolos, interceptores y otras herramientas.

Los primeros sistemas DLP se basaban principalmente en un único método: análisis lingüístico o estadístico. En la práctica, las deficiencias de las dos tecnologías fueron compensadas por las fortalezas de cada una, y la evolución de DLP condujo a la creación de sistemas que eran universales en términos de "núcleo".

Método lingüístico de análisis. Trabaja directamente con el contenido del archivo y documento. Esto le permite ignorar parámetros como el nombre del archivo, la presencia o ausencia de un sello en el documento, quién creó el documento y cuándo. La tecnología de análisis lingüístico incluye:

  • análisis morfológico: búsqueda en todas las formas posibles de palabras de información que deba protegerse contra fugas;
  • análisis semántico: búsqueda de apariciones de información importante (clave) en el contenido de un archivo, influencia de las apariciones en las características cualitativas del archivo, evaluación del contexto de uso.

El análisis lingüístico muestra una alta calidad del trabajo con una gran cantidad de información. Para texto voluminoso, un sistema DLP con un algoritmo de análisis lingüístico seleccionará con mayor precisión la clase correcta, la asignará a la categoría deseada y ejecutará la regla configurada. Para documentos pequeños, es mejor utilizar la técnica de las palabras vacías, que ha demostrado ser eficaz en la lucha contra el spam.

La capacidad de aprendizaje en sistemas con algoritmo de análisis lingüístico se implementa a un alto nivel. Los primeros sistemas DLP tenían dificultades para establecer categorías y otras etapas de "entrenamiento", pero los sistemas modernos tienen algoritmos de autoaprendizaje que funcionan bien: identificación de atributos de categorías, la capacidad de crear y cambiar reglas de respuesta de forma independiente. Para configurar este tipo de sistemas de software de protección de datos en los sistemas de información ya no es necesario recurrir a lingüistas.

Las desventajas del análisis lingüístico incluyen la vinculación a un idioma específico, cuando es imposible utilizar un sistema DLP con un núcleo "inglés" para analizar los flujos de información en ruso y viceversa. Otro inconveniente está relacionado con la dificultad de una categorización clara utilizando un enfoque probabilístico, que mantiene la precisión de la respuesta dentro del 95%, mientras que la filtración de cualquier cantidad de información confidencial puede ser crítica para la empresa.

Métodos estadísticos de análisis., por el contrario, demuestran una precisión cercana al 100 por ciento. La desventaja del núcleo estadístico está asociada con el propio algoritmo de análisis.

En la primera etapa, el documento (texto) se divide en fragmentos de un tamaño aceptable (no carácter por carácter, pero sí lo suficiente para garantizar la precisión de la operación). Se elimina un hash de los fragmentos (en los sistemas DLP se conoce como el término Huella Digital). Luego, el hash se compara con el hash del fragmento de referencia tomado del documento. Si hay coincidencia, el sistema marca el documento como confidencial y actúa de acuerdo con las políticas de seguridad.

La desventaja del método estadístico es que el algoritmo no es capaz de aprender, formar categorías y escribir de forma independiente. Como consecuencia, existe una dependencia de las competencias del especialista y de la probabilidad de especificar un hash de tal tamaño que el análisis produzca un número excesivo de falsos positivos. No es difícil eliminar la deficiencia si sigues las recomendaciones del desarrollador para configurar el sistema.

Existe otro inconveniente asociado con la formación de hashes. En los sistemas informáticos desarrollados que generan grandes volúmenes de datos, la base de datos de huellas dactilares puede alcanzar un tamaño tal que la comprobación del tráfico en busca de coincidencias con el estándar ralentizará gravemente el funcionamiento de todo el sistema de información.

La ventaja de las soluciones es que la eficacia del análisis estadístico no depende del idioma ni de la presencia de información no textual en el documento. El hash se puede eliminar igualmente bien de una frase en inglés, de una imagen o de un fragmento de vídeo.

Los métodos lingüísticos y estadísticos no son adecuados para detectar datos de un formato específico para ningún documento, como un número de cuenta o un pasaporte. Para identificar estructuras típicas similares en una variedad de información, se introducen tecnologías para analizar estructuras formales en el núcleo del sistema DLP.

Una solución DLP de alta calidad utiliza todas las herramientas de análisis que funcionan de forma secuencial, complementándose entre sí.

Puede determinar qué tecnologías están presentes en el kernel.

No menos importantes que la funcionalidad del kernel son los niveles de control en los que opera el sistema DLP. Hay dos de ellos:

Los desarrolladores de productos DLP modernos han abandonado la implementación separada de la protección de capas, ya que tanto los dispositivos finales como la red deben protegerse contra fugas.

Capa de control de red Al mismo tiempo, debe garantizar la máxima cobertura posible de los protocolos y servicios de red. Estamos hablando no sólo de canales "tradicionales" (FTP), sino también de sistemas de intercambio de redes más nuevos (Mensajería instantánea). Desafortunadamente, es imposible controlar el tráfico cifrado a nivel de red, pero este problema en los sistemas DLP se resuelve a nivel de host.

Control de nivel de host le permite resolver más tareas de seguimiento y análisis. De hecho, el servicio de seguridad de la información recibe una herramienta para un control total sobre las acciones del usuario en la estación de trabajo. DLP con arquitectura de host le permite rastrear qué, qué documentos, qué se escribe en el teclado, grabar materiales de audio y qué hacer. En el nivel de la estación de trabajo final, se intercepta el tráfico cifrado () y los datos que actualmente se procesan y almacenan durante mucho tiempo en la PC del usuario se abren para su verificación.

Además de resolver problemas habituales, los sistemas DLP con control a nivel de host proporcionan medidas adicionales para garantizar la seguridad de la información: seguimiento de instalaciones y cambios de software, bloqueo de puertos de E/S, etc.

Las desventajas de la implementación del host son que los sistemas con un amplio conjunto de funciones son más difíciles de administrar y exigen más los recursos de la propia estación de trabajo. El servidor de gestión contacta periódicamente con el módulo "agente" del dispositivo final para comprobar la disponibilidad y relevancia de la configuración. Además, algunos de los recursos de la estación de trabajo del usuario inevitablemente serán "consumidos" por el módulo DLP. Por lo tanto, incluso en la etapa de selección de una solución para evitar fugas, es importante prestar atención a los requisitos de hardware.

El principio de separación tecnológica en los sistemas DLP es cosa del pasado. Las soluciones de software modernas para prevenir fugas utilizan métodos que compensan las deficiencias de cada uno. Gracias a un enfoque integrado, los datos confidenciales dentro del perímetro de seguridad de la información se vuelven más resistentes a las amenazas.

(Prevención de pérdida de datos)

Sistemas de seguimiento de las acciones de los usuarios, un sistema de protección de datos confidenciales de amenazas internas.

Los sistemas DLP se utilizan para detectar y evitar la transferencia de datos confidenciales en varias etapas. (durante el movimiento, uso y almacenamiento). El sistema DLP permite:

    Controlar el trabajo de los usuarios, evitando el desperdicio incontrolado de tiempo de trabajo con fines personales.

    Automáticamente, sin que el usuario lo note, registra todas las acciones, incluidos correos electrónicos enviados y recibidos, chats y mensajería instantánea, redes sociales, sitios web visitados, datos escritos en el teclado, archivos transferidos, impresos y guardados, etc.

    Supervisar el uso de juegos de ordenador en el lugar de trabajo y tener en cuenta la cantidad de tiempo de trabajo dedicado a los juegos de ordenador.

    Monitorear la actividad de la red de los usuarios, tener en cuenta el volumen de tráfico de la red.

    Controlar la copia de documentos a diversos medios (medios extraíbles, discos duros, carpetas de red, etc.)

    Controlar la impresión en red del usuario

    Registrar solicitudes de usuarios a motores de búsqueda, etc.

    Datos en movimiento - datos en movimiento - mensajes de correo electrónico, transferencia de tráfico web, archivos, etc.

    Datos en reposo - datos almacenados - información sobre estaciones de trabajo, servidores de archivos, dispositivos USB, etc.

    Datos en uso - datos en uso - información que se está procesando en este momento.

La arquitectura de las soluciones DLP puede variar entre los diferentes desarrolladores, pero en general existen 3 tendencias principales:

    Interceptores y controladores de diferentes canales de transmisión de información. Los interceptores analizan los flujos de información que salen del perímetro de la empresa, detectan datos confidenciales, clasifican la información y la transmiten al servidor de gestión para procesar un posible incidente. Los controladores de descubrimiento de datos en reposo ejecutan procesos de descubrimiento en recursos de red para obtener información confidencial. Los controladores de operaciones en estaciones de trabajo distribuyen políticas de seguridad a dispositivos finales (computadoras), analizan los resultados de las actividades de los empleados con información confidencial y transmiten datos de posibles incidentes al servidor de administración.

    Programas de agentes instalados en dispositivos finales: observe el procesamiento de datos confidenciales y supervise el cumplimiento de reglas como guardar información en medios extraíbles, enviar, imprimir y copiar mediante portapapeles.

    Servidor de administración central: compara la información recibida de interceptores y controladores y proporciona una interfaz para procesar incidentes y generar informes.

Las soluciones DLP ofrecen una amplia gama de métodos combinados de descubrimiento de información:

    Impresiones digitales de documentos y sus partes.

    Huellas digitales de bases de datos y otra información estructurada que es importante proteger de la distribución.

    Métodos estadísticos (aumentando la sensibilidad del sistema cuando se repiten las violaciones).

Al operar sistemas DLP, normalmente se realizan varios procedimientos de forma cíclica:

    Capacitar al sistema en los principios de clasificación de la información.

    Ingresar reglas de respuesta en relación a la categoría de información detectada y grupos de empleados cuyas acciones deben ser monitoreadas. Los usuarios de confianza están resaltados.

    Ejecución de una operación de control por parte del sistema DLP (el sistema analiza y normaliza la información, realiza una comparación con los principios de detección y clasificación de datos, y cuando se detecta información confidencial, el sistema la compara con las políticas existentes asignadas a la categoría de información detectada y, si es necesario, crea un incidente)

    Tramitación de incidencias (por ejemplo, informar, pausar o bloquear el envío).

Características de crear y operar una VPN desde una perspectiva de seguridad

Opciones para construir una VPN:

    Basado en sistemas operativos de red.

    Basado en enrutador

    Basado en la UIT

    Basado en software y hardware especializado

    Basado en software especializado

Para que una VPN funcione de forma correcta y segura, es necesario comprender los conceptos básicos de la interacción entre las VPN y los firewalls:

    Las VPN son capaces de crear túneles de comunicación de un extremo a otro que atraviesan el perímetro de la red y, por lo tanto, son extremadamente problemáticas en términos de control de acceso desde el firewall, al que le resulta difícil analizar el tráfico cifrado.

    Gracias a sus capacidades de cifrado, las VPN se pueden utilizar para evitar los sistemas IDS que no pueden detectar intrusiones desde canales de comunicación cifrados.

    Dependiendo de la arquitectura de la red, la importante función de traducción de direcciones de red (NAT) puede no ser compatible con algunas implementaciones de VPN, etc.

Básicamente, al tomar decisiones sobre la implementación de componentes VPN en una arquitectura de red, un administrador puede elegir la VPN como un dispositivo externo independiente o integrar la VPN en el firewall para proporcionar ambas funciones en un solo sistema.

    UIT + VPN separada. Opciones de alojamiento VPN:

    1. Dentro de la DMZ, entre el firewall y el enrutador fronterizo

      Dentro de la red protegida en adaptadores de red de la UIT

      Dentro de la red blindada, detrás del firewall

      En paralelo con la UIT, en el punto de entrada a la red protegida.

    Firewall + VPN, alojado como una sola unidad: una solución integrada de este tipo es más conveniente para el soporte técnico que la opción anterior, no causa problemas asociados con NAT (traducción de direcciones de red) y proporciona un acceso más confiable a los datos, para lo cual el firewall es responsable. La desventaja de una solución integrada es el alto costo inicial de adquirir dicha herramienta, así como las opciones limitadas para optimizar los componentes VPN y Firewall correspondientes (es decir, las implementaciones de la UIT más satisfactorias pueden no ser adecuadas para construir componentes VPN en sus La VPN puede tener un impacto significativo en el rendimiento de la red y la latencia puede ocurrir durante las siguientes fases:

    1. Al establecer una conexión segura entre dispositivos VPN (autenticación, intercambio de claves, etc.)

      Retrasos asociados con el cifrado y descifrado de datos protegidos, así como las transformaciones necesarias para controlar su integridad.

      Retrasos asociados con la adición de un nuevo encabezado a los paquetes transmitidos

Seguridad del correo electrónico

Principales protocolos de correo: (E)SMTP, POP, IMAP.

SMTP: protocolo simple de transferencia de correo, puerto TCP 25, sin autenticación. SMTP extendido: se ha agregado autenticación de cliente.

POP - Protocolo de oficina postal 3 - recepción de correo desde el servidor. Autenticación de texto claro. APOP - con capacidad de autenticación.

IMAP (protocolo de acceso a mensajes de Internet) es un protocolo de correo no cifrado que combina las propiedades de POP3 e IMAP. Le permite trabajar directamente con su buzón, sin necesidad de descargar cartas a su computadora.

Debido a la falta de medios normales para cifrar información, decidimos utilizar SSL para cifrar los datos de estos protocolos. De aquí surgieron las siguientes variedades:

POP3 SSL - puerto 995, SMTP SSL (SMTPS) puerto 465, IMAP SSL (IMAPS) - puerto 993, todo TCP.

Un atacante que trabaje con un sistema de correo electrónico puede perseguir los siguientes objetivos:

    Atacar la computadora de un usuario enviando virus de correo electrónico, enviando correos electrónicos falsos (falsificar la dirección del remitente en SMTP es una tarea trivial), leyendo los correos electrónicos de otras personas.

    Un ataque a un servidor de correo utilizando el correo electrónico con el objetivo de penetrar en su sistema operativo o denegación de servicio.

    Usar un servidor de correo como retransmisión al enviar mensajes no solicitados (spam)

    Intercepción de contraseña:

    1. Interceptación de contraseñas en sesiones POP e IMAP, como resultado de lo cual un atacante puede recibir y eliminar correo sin el conocimiento del usuario.

      Intercepción de contraseñas en sesiones SMTP, como resultado de lo cual un atacante puede recibir autorización ilegal para enviar correo a través de este servidor

Para resolver problemas de seguridad con los protocolos POP, IMAP y SMTP, se utiliza con mayor frecuencia el protocolo SSL, que permite cifrar toda la sesión de comunicación. Desventaja: SSL es un protocolo que consume muchos recursos y que puede ralentizar significativamente la comunicación.

El spam y la lucha contra él

Tipos de spam fraudulento:

    Lotería: una notificación entusiasta de los premios de loterías en las que no participó el destinatario del mensaje. Todo lo que necesita hacer es visitar el sitio web correspondiente e ingresar su número de cuenta y el código PIN de la tarjeta, que supuestamente son necesarios para pagar los servicios de entrega.

    Subastas: este tipo de engaño consiste en la ausencia de los bienes que venden los estafadores. Después de pagar, el cliente no recibe nada.

    El phishing es una carta que contiene un enlace a algún recurso donde quieren que proporciones datos, etc. Atraer a usuarios crédulos o desatentos a datos personales y confidenciales.

    Los estafadores envían muchas cartas, generalmente disfrazadas de cartas oficiales de diversas instituciones, que contienen enlaces que conducen a sitios señuelo que copian visualmente los sitios de bancos, tiendas y otras organizaciones.

    El fraude postal es la contratación de personal para una empresa que supuestamente necesita un representante en cualquier país que pueda encargarse de enviar mercancías o transferir dinero a una empresa extranjera. Por regla general, aquí se esconden planes de blanqueo de dinero.

    Cartas nigerianas: solicite depositar una pequeña cantidad antes de recibir dinero.

cartas de felicidad

El spam puede ser masivo o dirigido.

El spam masivo carece de objetivos específicos y utiliza técnicas fraudulentas de ingeniería social contra un gran número de personas.

El spam dirigido es una técnica dirigida a una persona u organización específica, en la que el atacante actúa en nombre del director, administrador u otro empleado de la organización en la que trabaja la víctima o el atacante representa una empresa con la que la organización objetivo ha establecido un acuerdo. relación de confianza.

Las direcciones recibidas se verifican (se verifica que sean válidas) enviando un mensaje de prueba, colocando en el texto del mensaje un enlace único a una imagen con un contador de descargas o un enlace para "cancelar suscripción a mensajes de spam".

Posteriormente, el spam se envía directamente desde servidores alquilados, desde servicios de correo electrónico legítimos configurados incorrectamente o mediante la instalación oculta de software malicioso en el ordenador del usuario.

El atacante complica el trabajo de los filtros antispam introduciendo textos aleatorios, ruido o textos invisibles, utilizando letras gráficas o cambiando letras gráficas, imágenes fragmentadas, incluido el uso de animaciones y reformulación de textos.

Métodos antispam

Existen 2 métodos principales de filtrado de spam:

    Filtrado por características formales de un mensaje de correo electrónico

    Filtrar por contenido

    método formal

    1. Fragmentación por listas: negra, blanca y gris. Las listas grises son un método para bloquear temporalmente mensajes con combinaciones desconocidas de dirección de correo electrónico y dirección IP del servidor de envío. Cuando el primer intento termina en un fracaso temporal (por regla general, los programas spammers no reenvían la carta).

      La desventaja de este método es el posible intervalo de tiempo prolongado entre el envío y la recepción de un mensaje legal.

      Comprobar si el mensaje se envió desde un servidor de correo real o falso (falso) del dominio especificado en el mensaje.

      "Devolución de llamada": al recibir una conexión entrante, el servidor receptor pausa la sesión y simula una sesión de trabajo con el servidor emisor.

    Si el intento falla, la conexión suspendida se finaliza sin más procesamiento.

    1. Filtrado por características formales de la carta: direcciones del remitente y del destinatario, tamaño, presencia y número de archivos adjuntos, dirección IP del remitente, etc.

      Métodos lingüísticos: trabajar con el contenido de la carta.

      El filtrado bayesiano es estrictamente un filtrado de palabras. Al comprobar una carta entrante, la probabilidad de que sea spam se calcula basándose en el procesamiento de texto, que incluye el cálculo del "peso" promedio de todas las palabras de una carta determinada.

Una carta se clasifica como spam o no en función de si su peso supera un determinado umbral especificado por el usuario. Una vez que se toma una decisión sobre una letra, los "pesos" de las palabras incluidas en ella se actualizan en la base de datos.

Autenticación en sistemas informáticos.

    Los procesos de autenticación se pueden dividir en las siguientes categorías:

    Pero basado en el conocimiento de algo (PIN, contraseña)

    Basado en la posesión de algo (tarjeta inteligente, llave USB)

No basado en características inherentes (características biométricas)

    Tipos de autenticación:

    Autenticación sencilla mediante contraseñas

    Autenticación sólida mediante comprobaciones multifactoriales y métodos criptográficos

Autenticación biométrica

    Los principales ataques a los protocolos de autenticación son:

    "Masquerade": cuando un usuario intenta hacerse pasar por otro usuario

    Retransmisión: cuando se envía una contraseña interceptada en nombre de otro usuario

Retraso forzado

    Para prevenir este tipo de ataques, se utilizan las siguientes técnicas:

    Mecanismos como desafío-respuesta, marcas de tiempo, números aleatorios, firmas digitales, etc.

    Vincular el resultado de la autenticación a acciones posteriores del usuario dentro del sistema.

    Realizar periódicamente procedimientos de autenticación dentro de una sesión de comunicación ya establecida.

    1. Autenticación sencilla

      Autenticación basada en contraseñas reutilizables

    Autenticación basada en contraseñas de un solo uso - OTP (contraseña de un solo uso): las contraseñas de un solo uso son válidas solo para un inicio de sesión y se pueden generar utilizando un token OTP. Para ello se utiliza la clave secreta del usuario, ubicada tanto dentro del token OTP como en el servidor de autenticación.

    1. La autenticación estricta implica que la parte que prueba demuestra su autenticidad a la parte que confía demostrando el conocimiento de un determinado secreto. Sucede:

      Unilateral

      De dos caras

Tripartito

Puede realizarse en base a tarjetas inteligentes o llaves USB o criptografía.

Se puede implementar una autenticación sólida mediante un proceso de verificación de dos o tres factores.

La autenticación de tres factores requiere que el usuario proporcione otro tipo de identificación, como la biométrica.

La autenticación sólida mediante protocolos criptográficos puede depender del cifrado simétrico y asimétrico, así como de funciones hash. La parte que prueba demuestra el conocimiento del secreto, pero el secreto en sí no se revela. Se utilizan parámetros únicos (números aleatorios, marcas de tiempo y números de secuencia) para evitar transmisiones repetidas, garantizar la unicidad, la falta de ambigüedad y las garantías de tiempo de los mensajes transmitidos.

Autenticación de usuario biométrica

Las características biométricas más utilizadas son:

    Huellas dactilares

    patrón de vena

    Geometría de la mano

    Iris

    Geometría facial

    Combinaciones de lo anterior

Control de acceso mediante un esquema de inicio de sesión único con autorización de inicio de sesión único (SSO)

SSO permite a un usuario de una red corporativa someterse a una sola autenticación cuando inicia sesión en la red, presentando solo una contraseña u otro autenticador requerido una vez y luego, sin autenticación adicional, obtener acceso a todos los recursos de red autorizados que son necesarios para realizar la autenticación. trabajo. Se utilizan activamente herramientas de autenticación digital como tokens, certificados digitales PKI, tarjetas inteligentes y dispositivos biométricos. Ejemplos: Kerberos, PKI, SSL.

Respuesta a incidentes de seguridad de la información

Entre las tareas a las que se enfrenta cualquier sistema de gestión de seguridad de la información se pueden identificar dos de las más significativas:

    Prevención de incidentes

    Si ocurren, respuesta oportuna y correcta.

La primera tarea en la mayoría de los casos se basa en la compra de diversas herramientas de seguridad de la información.

La segunda tarea depende del grado de preparación de la empresa para este tipo de eventos:

        La presencia de un equipo de respuesta a incidentes de SI capacitado con funciones y responsabilidades ya asignadas previamente.

        Disponibilidad de documentación bien pensada e interconectada sobre el procedimiento para gestionar incidentes de seguridad de la información, en particular, la respuesta e investigación de incidentes identificados.

        Disponibilidad de recursos preparados para las necesidades del equipo de respuesta (herramientas de comunicación,..., seguras)

        Disponibilidad de una base de conocimientos actualizada sobre incidentes de seguridad de la información ocurridos

        Alto nivel de concienciación de los usuarios en el campo de la seguridad de la información.

        Calificación y coordinación del equipo de respuesta.

El proceso de gestión de incidentes de seguridad de la información consta de las siguientes etapas:

    Preparación: prevenir incidentes, preparar equipos de respuesta, desarrollar políticas y procedimientos, etc.

    Detección: notificación de seguridad, notificación de usuario, análisis de registros de seguridad.

    Análisis: confirmar que ha ocurrido un incidente, recopilar información disponible sobre el incidente, identificar los activos afectados y clasificar el incidente por seguridad y prioridad.

    Respuesta: detener el incidente y recopilar pruebas, tomar medidas para detener el incidente y preservar la información basada en evidencia, recopilar información basada en evidencia, interactuar con departamentos internos, socios y partes afectadas, así como atraer organizaciones externas de expertos.

    Investigación: investigación de las circunstancias de los incidentes de seguridad de la información, participación de organizaciones expertas externas e interacción con todas las partes afectadas, así como con las fuerzas del orden y las autoridades judiciales.

    Recuperación: tomar medidas para cerrar las vulnerabilidades que provocaron el incidente, eliminar las consecuencias del incidente y restaurar la funcionalidad de los servicios y sistemas afectados. Registro de aviso de seguro.

    Análisis y modernización de la eficiencia: análisis del incidente, análisis de la efectividad y modernización del proceso de investigación de incidentes de seguridad de la información y documentos relacionados, instrucciones privadas. Generar un informe sobre la investigación y la necesidad de modernizar el sistema de seguridad para la gestión, recogiendo información sobre el incidente, agregándola a la base de conocimiento y almacenando datos sobre el incidente.

Un sistema eficaz de gestión de incidentes de seguridad de la información tiene los siguientes objetivos:

    Garantizar la importancia jurídica de la información probatoria recopilada sobre incidentes de seguridad de la información.

    Garantizar la oportunidad y corrección de las acciones para responder e investigar incidentes de seguridad de la información.

    Garantizar la capacidad de identificar las circunstancias y causas de los incidentes de seguridad de la información para modernizar aún más el sistema de seguridad de la información.

    Proporcionar investigación y soporte legal para incidentes de seguridad de la información interna y externa.

    Garantizar la posibilidad de procesar a los atacantes y llevarlos ante la justicia según lo dispuesto por la ley.

    Garantizar la posibilidad de indemnización por daños derivados de un incidente de seguridad de la información de conformidad con la ley.

El sistema de gestión de incidentes de seguridad de la información generalmente interactúa y se integra con los siguientes sistemas y procesos:

    Gestión de seguridad de la información

    Gestión de riesgos

    Garantizar la continuidad del negocio

La integración se expresa en la coherencia de la documentación y formalización del orden de interacción entre procesos (información de entrada, salida y condiciones de transición).

El proceso de gestión de incidentes de seguridad de la información es bastante complejo y voluminoso. Requiere la acumulación, procesamiento y almacenamiento de una enorme cantidad de información, así como la ejecución de muchas tareas paralelas, por lo que existen en el mercado multitud de herramientas que permiten automatizar determinadas tareas, por ejemplo, los denominados sistemas SIEM. (información de seguridad y gestión de eventos).

Director de Información (CIO) - director de tecnología de la información

Director de seguridad de la información (CISO): jefe del departamento de seguridad de la información, director de seguridad de la información

La tarea principal de los sistemas SIEM no es solo recopilar eventos de diferentes fuentes, sino automatizar el proceso de detección de incidentes con documentación en un registro propio o en un sistema externo, así como informar oportunamente sobre el evento. El sistema SIEM tiene las siguientes tareas:

    Consolidación y almacenamiento de registros de eventos de diversas fuentes: dispositivos de red, aplicaciones, registros del sistema operativo, herramientas de seguridad.

    Presentación de herramientas para análisis de eventos y análisis de incidentes.

    Correlación y procesamiento según las reglas de los eventos ocurridos.

    Notificación automática y gestión de incidencias

Los sistemas SIEM son capaces de identificar:

    Ataques a la red en perímetros internos y externos.

    Epidemias de virus o infecciones de virus individuales, virus no eliminados, puertas traseras y troyanos

    Intentos de acceso no autorizado a información confidencial

    Errores y mal funcionamiento en el funcionamiento del SI.

    Vulnerabilidades

    Errores en configuración, medidas de seguridad y sistemas de información.

Principales fuentes de SIEM

    Control de acceso y datos de autenticación

    Registros de eventos de servidores y estaciones de trabajo

    Equipo activo de red

  1. Protección antivirus

    Escáneres de vulnerabilidad

    Sistemas de contabilidad de riesgos, criticidad de amenazas y priorización de incidentes.

    Otros sistemas de protección y control de las políticas de seguridad de la información:

    1. sistemas DLP

      Dispositivos de control de acceso, etc.

    2. Sistemas de inventario

    Sistemas de contabilidad de tráfico.

Los sistemas SIEM más famosos:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

Hoy en día, el mercado de sistemas DLP es uno de los de más rápido crecimiento entre todas las herramientas de seguridad de la información. Sin embargo, Bielorrusia todavía no está a la altura de las tendencias mundiales y, por lo tanto, el mercado ha DLP-Los sistemas en nuestro país tienen sus propias características.

¿Qué es DLP? y como funcionan?

Antes de hablar del mercado DLP -sistemas, es necesario decidir qué se entiende, estrictamente hablando, cuando se habla de tales decisiones. Bajo DLP - Los sistemas se entienden comúnmente como productos de software que protegen a las organizaciones de fugas de información confidencial. La abreviatura en sí. DLP representa Prevención de fugas de datos , es decir, evitando fugas de datos.

Los sistemas de este tipo crean un “perímetro” digital seguro alrededor de la organización, analizando toda la información saliente y, en algunos casos, la información saliente. La información controlada debe ser no solo el tráfico de Internet, sino también una serie de otros flujos de información: documentos que se sacan del circuito de seguridad protegido en medios externos, se imprimen en una impresora, se envían a medios móviles a través de Bluetooth, etc

Porque DLP - el sistema debe evitar la filtración de información confidencial y, por lo tanto, debe tener mecanismos integrados para determinar el grado de confidencialidad de un documento detectado en el tráfico interceptado. Como regla general, los más comunes son dos métodos: analizando marcadores de documentos especiales y analizando el contenido del documento. La segunda opción ahora es más común porque resiste las modificaciones realizadas en el documento antes de enviarlo y también permite ampliar fácilmente la cantidad de documentos confidenciales con los que puede trabajar el sistema.

Tareas "secundarias" DLP

Además de su tarea principal relacionada con la prevención de fugas de información, DLP -Los sistemas también son adecuados para resolver una serie de otras tareas relacionadas con el seguimiento de las acciones del personal. Más a menudo DLP -Los sistemas se utilizan para resolver las siguientes tareas secundarias:

  • Seguimiento del uso del tiempo de trabajo y de los recursos laborales por parte de los empleados;
  • Monitorear las comunicaciones de los empleados para identificar luchas “encubiertas” que podrían dañar a la organización;
  • Vigilar la legalidad de las acciones de los empleados (prevención de la impresión de documentos falsos, etc.);
  • Identificar a los empleados que envían currículums para buscar rápidamente especialistas para puestos vacantes;

Debido a que muchas organizaciones consideran que algunas de estas tareas (especialmente el control del uso del tiempo de trabajo) son de mayor prioridad que la protección contra las fugas de información, han surgido una serie de programas que están diseñados específicamente para esto, pero que en algunos casos también funcionan como un medio para proteger a la organización de filtraciones. De pleno derecho DLP -Los sistemas de este tipo de programas se caracterizan por la falta de herramientas desarrolladas para analizar los datos interceptados, lo que debe realizar manualmente un especialista en seguridad de la información, lo cual es conveniente sólo para organizaciones muy pequeñas (hasta diez empleados controlados). Sin embargo, como estas soluciones tienen demanda en Bielorrusia, también se incluyen en la tabla comparativa que acompaña a este artículo.

Clasificación de sistemas DLP.

Todos los sistemas DLP se pueden dividir según una serie de características en varias clases principales. En función de la capacidad de bloquear información identificada como confidencial, se distinguen los sistemas con control activo y pasivo de las acciones del usuario. Los primeros pueden bloquear la información transmitida; los segundos, en consecuencia, no tienen esta capacidad. Los primeros sistemas son mucho mejores para combatir las fugas de datos aleatorias, pero al mismo tiempo son capaces de detener accidentalmente los procesos comerciales de la organización, mientras que los segundos sistemas son seguros para los procesos comerciales, pero solo son adecuados para combatir las fugas sistemáticas. Otra clasificación de los sistemas DLP se basa en su arquitectura de red. Compuerta DLP se ejecutan en servidores intermedios, mientras que los servidores host utilizan agentes que se ejecutan directamente en las estaciones de trabajo de los empleados. Hoy en día, la opción más común es utilizar componentes de puerta de enlace y host juntos.

Mercado mundial de DLP

Actualmente, los principales actores del mercado global. DLP -systems son empresas ampliamente conocidas por sus otros productos para garantizar la seguridad de la información en las organizaciones. Esto es, en primer lugar, Symantec, McAffee, TrendMicro, WebSense. Acerca de volumen total del mercado mundial DLP -Las soluciones se estiman en 400 millones de dólares, una cantidad considerable en comparación con el mismo mercado de antivirus. Sin embargo, el mercado DLP está mostrando un rápido crecimiento: en 2009 se estimaba en poco más de 200 millones.

El mercado de Bielorrusia tiene una enorme influencia en el mercado de su vecino oriental, Rusia, que ya es bastante grande y maduro. Los principales actores hoy en día son las empresas rusas: InfoWatch , "Jet Infosistemas", SecurIT, SearchInform, Perimetrix y varios otros. El volumen total del mercado ruso de DLP se estima entre 12 y 15 millones de dólares. Al mismo tiempo, está creciendo al mismo ritmo que el mundo.

La principal de estas tendencias, según los expertos, es la transición de los sistemas de "parches", que consisten en componentes de varios fabricantes, cada uno de los cuales resuelve su propio problema, a sistemas de software integrados unificados. La razón de esta transición es obvia: los sistemas integrados complejos liberan a los especialistas en seguridad de la información de la necesidad de resolver los problemas de compatibilidad de varios componentes del sistema de "parches" entre sí, facilitan el cambio inmediato de la configuración para grandes conjuntos de estaciones de trabajo de clientes en organizaciones, y también le permiten no experimentar dificultades al transferir datos de un componente de un único sistema integrado a otro. Además, el movimiento de los desarrolladores hacia sistemas integrados se debe a las especificidades de las tareas de garantizar la seguridad de la información: después de todo, si se puede dejar sin control al menos un canal a través del cual se puede filtrar información, no se puede hablar de la seguridad de la organización frente a tales amenazas. .

fabricantes occidentales DLP -Los sistemas que llegaron al mercado de los países de la CEI enfrentaron una serie de problemas relacionados con el soporte de los idiomas nacionales (en el caso de Bielorrusia, sin embargo, es apropiado hablar de soporte al idioma ruso, no al bielorruso). Dado que el mercado de la CEI es muy interesante para los proveedores occidentales, hoy trabajan activamente para apoyar el idioma ruso, que es el principal obstáculo para el desarrollo exitoso del mercado.

Otra tendencia importante en el campo. DLP Es una transición gradual a una estructura modular, cuando el cliente puede seleccionar de forma independiente los componentes del sistema que necesita (por ejemplo, si el soporte para dispositivos externos está deshabilitado a nivel del sistema operativo, entonces no hay necesidad de pagar más por la funcionalidad para controlarlos). Papel importante en el desarrollo. DLP -los sistemas también se verán influenciados por las características específicas de la industria: podemos esperar la aparición de versiones especiales de sistemas conocidos, adaptados específicamente para el sector bancario, para agencias gubernamentales, etc., que correspondan a las necesidades de las propias organizaciones.

Un factor importante que influye en el desarrollo. DLP sistemas, es también la proliferación de portátiles y netbooks en entornos corporativos. Las particularidades de los portátiles (trabajo fuera de un entorno corporativo, posibilidad de robo de información junto con el propio dispositivo, etc.) obligan a los fabricantes DLP -sistemas para desarrollar enfoques fundamentalmente nuevos para la protección de computadoras portátiles. Vale la pena señalar que hoy en día solo unos pocos proveedores están listos para ofrecer a los clientes la función de monitorear computadoras portátiles y netbooks con su sistema DLP.

Aplicación de DLP en Bielorrusia

DLP en Bielorrusia -Los sistemas se utilizan en un número relativamente pequeño de organizaciones, pero su número crecía constantemente antes de la crisis. Sin embargo, recopilados utilizando DLP -sistemas de información, las organizaciones bielorrusas no tienen prisa por hacer pública la información, procesando ante los tribunales a los empleados responsables de la filtración de información. A pesar de que la legislación bielorrusa contiene disposiciones que permiten castigar a los distribuidores de secretos corporativos, la gran mayoría de las organizaciones que utilizan DLP -Los sistemas prefieren limitarse a procedimientos internos y sanciones disciplinarias y, en última instancia, a despedir a los empleados que hayan cometido infracciones especialmente graves. Sin embargo, la tradición de “no lavar la ropa sucia en público” es característica de todo el espacio postsoviético, a diferencia de los países occidentales, donde las filtraciones de datos se comunican a todos los que podrían haber sufrido.

Vadim STANKEVICH



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba