DLP системи. Сравнение на DLP системи

Изтичането на търговско значима информация може да доведе до значителни загуби за компанията, както финансови, така и репутационни. Настройването на DLP компоненти ви позволява да проследявате вътрешна кореспонденция, имейл съобщения, обмен на данни, работа с съхранение в облака, стартиране на приложения на работния плот, свързване на външни устройства, отчети, SMS съобщения, телефонни разговори. Всички подозрителни транзакции се наблюдават и се създава база данни за отчитане въз основа на проследени прецеденти. За тази цел DLP системите имат вградени механизми за определяне на системата от поверителна информация, за което се анализират специални маркери на документи и самото им съдържание (от ключови думи, фрази, изречения). Възможен диапазон допълнителни настройкивърху контрола на персонала (легитимност на действията в компанията, използване на работните ресурси, чак до разпечатките на принтера).

Ако приоритетът е пълен контрол върху предаването на данни, тогава първоначалната настройка DLP ще бъде за идентифициране и дефиниране възможни течовеинформация, контрол на крайни устройства и потребителски достъп до фирмените ресурси. Ако приоритетът е статистиката за движението на важна корпоративна информация в рамките на организацията, тогава за нейното проследяване се изчисляват канали и методи за предаване на данни. DLP системите се конфигурират индивидуално за всяко предприятие, въз основа на очаквани модели на заплахи, категории нарушения и идентифициране на възможни канали за изтичане на информация.

DLPs заемат голяма пазарна ниша в областта на икономическата сигурност. Въз основа на изследване на Аналитичния център Anti-Malware.ru има забележимо увеличение на нуждите на компаниите от DLP системи, увеличение на продажбите и разширяване на продуктовата линия. Уместно е да се конфигурира предотвратяването на предаването на нежелана информация не само отвътре навън, но и отвън навътре информационна мрежапредприятия. Освен това, предвид широко разпространената виртуализация в корпоративните информационни системиах и широкото използване на мобилни устройства, чрез които се осъществява бизнес контрол мобилни служители- една от най-приоритетните задачи.

Важно е да се обмисли интеграцията на избраните DLP системи с корпоративната ИТ мрежа и приложенията, които компанията използва. За успешно предотвратяване на изтичане на данни и бързо действие за спиране на злоупотреби корпоративна информация, е необходимо да се установи стабилен DLP работа, конфигуриране на функционалността в съответствие със задачите, установяване на работа с вътрешни корпоративни електронни пощенски кутии, USB устройства, незабавни съобщения, съхранение в облак, мобилни устройства, а в случай на работа в голяма корпорация - интеграция със SIEM система в рамките на SOC.

Поверете внедряването на DLP системата на специалисти. Системен интегратор"Радиус" ще инсталира и конфигурира DLP в съответствие със стандартите и разпоредбите информационна сигурност, както и характеристиките на фирмата клиент.

Ние предлагаме набор от маркери, за да ви помогнем да извлечете максимума от всяка DLP система.

DLP-системи: какво е това?

Нека ви напомним, че DLP системите (Data Loss/Leak Prevention) ви позволяват да контролирате всички канали мрежова комуникацияфирми (поща, интернет, системи за незабавни съобщения, флашки, принтери и др.). Защитата от изтичане на информация се постига чрез инсталиране на агенти на всички компютри на служителите, които събират информация и я предават на сървъра. Понякога информацията се събира чрез шлюз с помощта на SPAN технологии. Информацията се анализира, след което системата или служителят по сигурността взема решения относно инцидента.

И така, вашата компания е внедрила DLP система. Какви стъпки трябва да се предприемат, за да работи системата ефективно?

1. Правилно конфигурирайте правилата за сигурност

Нека си представим, че в система, обслужваща 100 компютъра, е създадено правило „Поправете цялата кореспонденция с думата „споразумение“.“ Такова правило ще провокира огромен брой инциденти, при които може да се загуби истинско изтичане.

Освен това не всяка компания може да си позволи да разполага с пълен персонал от служители, които наблюдават инциденти.

Инструментите за създаване на ефективни правила и проследяване на резултатите от тяхната работа ще помогнат за увеличаване на полезността на правилата. Всяка DLP система има функционалност, която ви позволява да направите това.

Като цяло методологията включва анализ на натрупаната база данни от инциденти и създаване на различни комбинации от правила, които в идеалния случай водят до появата на 5-6 наистина спешни инцидента на ден.

2. Актуализирайте правилата за безопасност на редовни интервали

Рязкото намаляване или увеличаване на броя на инцидентите е индикатор, че са необходими корекции в правилата. Причините може да са, че правилото е загубило своята релевантност (потребителите са спрели достъпа определени файлове) или служителите са научили правилото и вече не извършват действия, забранени от системата (DLP - система за обучение). Практиката обаче показва, че ако се научи едно правило, тогава в съседно място потенциалните рискове от течове са се увеличили.

Трябва да обърнете внимание и на сезонността в работата на предприятието. През една година ключови параметри, свързани със спецификата на работа на фирмата, могат да се променят. Например, за доставчик на едро на дребно оборудване, велосипедите ще бъдат актуални през пролетта, а скутерите за сняг през есента.

3. Помислете за алгоритъм за реагиране при инциденти

Има няколко подхода за реакция при инцидент. При тестване и стартиране на DLP системи хората най-често не се уведомяват за промени. Участниците в инцидентите се наблюдават само. Когато се натрупа критична маса, представител на отдела за сигурност или човешки ресурси комуникира с тях. В бъдеще работата с потребителите често се оставя на представители на отдела за сигурност. Възникват миниконфликти и се натрупва негативизъм в екипа. Може да прерасне в умишлен саботаж на служителите спрямо компанията. Важно е да поддържате баланс между изискването за дисциплина и поддържането на здравословна атмосфера в екипа.

4. Проверете работата на режима на блокиране

Има два режима на реакция при инцидент в системата - фиксиране и блокиране. Ако всеки факт на изпращане на писмо или прикачване на прикачен файл към флашка е блокиран, това създава проблеми за потребителя. Служителите често нападат системен администраторзаявки за отключване на някои функции, ръководството също може да е недоволно от такива настройки. В резултат DLP системата и компанията получават отрицателна обратна връзка, системата е дискредитирана и демаскирана.

5. Проверете дали е въведен режим на търговска тайна

Предоставя възможност да направи определена информация поверителна, а също така задължава всяко лице, което знае за нея, да носи пълна юридическа отговорност за нейното разкриване. В случай на сериозно изтичане на информация съгласно действащия режим на търговска тайна в предприятието, на нарушителя може да бъде възстановен размерът на реалните и моралните щети чрез съда в съответствие с 98-FZ „За търговската тайна“.

Надяваме се, че тези съвети ще помогнат за намаляване на броя на неволните течове в компаниите, защото именно с тях DLP системите са предназначени да се борят успешно. Не бива обаче да забравяме цялостната система за сигурност на информацията и факта, че умишленото изтичане на информация изисква специално, внимателно внимание. Съществуват модерни решения, които ви позволяват да допълните функционалността DLP системии значително намаляват риска от умишлени течове. Например, един от разработчиците предлага интересна технология - когато поверителни файлове се посещават подозрително често, уеб камерата автоматично се включва и започва да записва. Именно тази система позволи да се запише как нещастният крадец активно прави екранни снимки с помощта на мобилна камера.

Олег Нечеухин, експерт по защита на информационните системи, Контур.Сигурност

Изборът на конкретна DLP система зависи от необходимото ниво на сигурност на данните и винаги се избира индивидуално. За съдействие при избор на DLP система и изчисляване на стойността на внедряването й в ИТ инфраструктурата на компанията, оставете заявка и ние ще се свържем с Вас възможно най-скоро.

Какво е DLP система

DLP система(Data Leak Prevention преведено от английски - средство за предотвратяване на изтичане на данни) са технологии и технически средства, които предотвратяват изтичането на поверителна информация от информационните системи.

DLP системите анализират потоците от данни и контролират тяхното движение в рамките на определен периметър на информационната система, който е защитен. Това могат да бъдат ftp връзки, корпоративна и уеб поща, местни връзки, както и прехвърляне на незабавни съобщения и данни към принтера. Ако поверителна информация се конвертира в поток, се активира системен компонент, който блокира предаването на потока от данни.

С други думи, DLP системипазете поверителни и стратегически важни документи, чието изтичане от информационни системи навън може да причини непоправими щети на компанията, както и да наруши федерални закони № 98-FZ „За търговската тайна“ и № 152-FZ „ Относно личните данни”. Защитата на информацията от изтичане също се споменава в GOST. " Информационни технологии. Практически правила за управление на информационната сигурност" - GOST R ISO/IEC 17799-2005.

По правило изтичането на поверителна информация може да възникне или в резултат на хакване и проникване, или в резултат на невнимание, небрежност на служителите на предприятието, както и усилията на вътрешни лица - умишлено предаване на поверителна информация от служители на предприятието. Следователно DLP системите са най-надеждните технологии за защита срещу изтичане на конфиденциална информация – те откриват защитена информация по съдържание, независимо от езика на документа, шрифта, каналите за предаване и формата.

Също, DLP системаконтролира абсолютно всички канали, които се използват ежедневно за предаване на информация по електронен път. Информационните потоци се обработват автоматично въз основа на установената политика за сигурност. Ако действията на поверителна информация противоречат на политиката за сигурност, установена от компанията, тогава прехвърлянето на данни се блокира. В същото време довереният представител на компанията, отговарящ за информационната сигурност, получава незабавно предупреждение за опит за прехвърляне на поверителна информация.

Внедряване на DLP система, на първо място, осигурява съответствие с редица изисквания на стандарта PCI DSS по отношение на нивото на информационна сигурност на предприятието. Също така DLP системите автоматично извършват одит на защитена информация, според нейното местоположение, и осигуряват автоматизиран контрол, в съответствие с правилата за движение на поверителна информация в компанията, обработка и предотвратяване на инциденти на неправомерно разкриване на секретна информация. Системата за предотвратяване на изтичане на данни, базирана на доклади за инциденти, следи общото ниво на рискове, а също така, в режими на ретроспективен анализ и незабавна реакция, контролира изтичането на информация.

DLP системите се инсталират както в малки, така и в големи предприятия, като предотвратяват изтичане на информация, като по този начин предпазват компанията от финансови и правни рискове, произтичащи от загуба или трансфер на важна корпоративна или поверителна информация.

Днес пазарът на DLP системи е един от най-бързо развиващите се сред всички инструменти за информационна сигурност. Но местният сектор за информационна сигурност все още не е в крак със световните тенденции и следователно пазарът на DLP системи у нас има свои собствени характеристики.

Какво представляват DLP и как работят?

Преди да говорим за пазара на DLP системи, е необходимо да определим какво, строго погледнато, се има предвид, когато се говори за такива решения. DLP системите обикновено се разбират като софтуерни продукти, защита на организациите от изтичане на поверителна информация. Самото съкращение DLP означава Data Leak Prevention, тоест предотвратяване на изтичане на данни.

Системи от този вид създават сигурен цифров „периметър“ около организацията, анализирайки цялата изходяща, а в някои случаи и входяща информация. Контролираната информация трябва да включва не само интернет трафик, но и редица други информационни потоци: документи, които се извеждат извън защитената защитна верига на външни носители, отпечатани на принтер, изпратени на мобилни медии чрез Bluetooth и др.

Тъй като DLP системата трябва да предотвратява изтичането на поверителна информация, тя трябва да има вградени механизми за определяне на степента на поверителност на документ, открит в прихванат трафик. По правило най-често срещаните са два метода: чрез анализиране на специални маркери на документи и чрез анализиране на съдържанието на документа. Втората опция вече е по-често срещана, защото е устойчива на модификации, направени в документа, преди да бъде изпратен, и също така ви позволява лесно да разширите броя на поверителни документи, с които системата може да работи.

"Странични" DLP задачи

В допълнение към основната си задача, свързана с предотвратяване на изтичане на информация, DLP системите са подходящи и за решаване на редица други задачи, свързани с наблюдението на действията на персонала.

Най-често DLP системите се използват за решаване на следните неосновни задачи:

• наблюдение на използването на работното време и трудовите ресурси от служителите;
• наблюдение на комуникациите на служителите, за да се идентифицират „тайни“ борби, които биха могли да навредят на организацията;
• контрол на законосъобразността на действията на служителите (предотвратяване на отпечатване на фалшиви документи и др.);
• идентифициране на служители, изпращане на автобиографии за бързо търсене на специалисти за свободни позиции.

Поради факта, че много организации смятат, че редица от тези задачи (особено контролът върху използването на работното време) са с по-висок приоритет от защитата срещу изтичане на информация, се появиха редица програми, които са предназначени специално за това, но могат в някои случаи работят и като средство за защита на организацията от изтичане на информация. Това, което отличава подобни програми от пълноценните DLP системи, е липсата на разработени инструменти за анализ на прихванатите данни, които трябва да се извършват ръчно от специалист по информационна сигурност, което е удобно само за напълно малки организации(до десет контролирани служители).

Дори най-модерните IT термини трябва да се използват по подходящ начин и възможно най-правилно. Най-малкото за да не заблуждаваме потребителите. Определено стана модерно да се считате за производител на DLP решения. Например, на неотдавнашното изложение CeBIT-2008, надписът „DLP решение“ често можеше да се види на щандовете на производителите не само на малко известни антивируси и прокси сървъри в света, но дори и на защитни стени. Понякога имаше усещането, че зад следващия ъгъл можете да видите някакъв вид CD ежектор (програма, която контролира отварянето на CD устройството) с гордия лозунг на корпоративно DLP решение. И колкото и да е странно, всеки от тези производители като правило имаше повече или по-малко логично обяснение за такова позициониране на своя продукт (естествено, в допълнение към желанието да се „облагодетелства“ от модерен термин).

Преди да разгледаме пазара на производителите на DLP системи и неговите основни играчи, трябва да решим какво имаме предвид под DLP система. Има много опити за дефиниране на този клас информационни системи: ILD&P - Information Leakage Detection & Prevention („идентификация и предотвратяване на изтичане на информация“, терминът е предложен от IDC през 2007 г.), ILP - Information Leakage Protection („защита срещу информация“ течове”, Forrester , 2006), ALS - Софтуер против изтичане („софтуер против изтичане”, E&Y), Мониторинг и филтриране на съдържание (CMF, Gartner), Система за предотвратяване на екструзия (подобна на системата за предотвратяване на проникване).

Но името DLP - Data Loss Prevention (или Data Leak Prevention, защита срещу изтичане на данни), предложено през 2005 г., все пак се утвърди като често използван термин.Като руски (а не превод, но подобен термин) фразата " поверителни системи за защита“ бяха приети данни от вътрешни заплахи.“ В същото време вътрешните заплахи се разбират като злоупотреби (умишлени или случайни) от служители на организация, които имат законни права за достъп до съответните данни и техните правомощия.

Най-хармоничните и последователни критерии за принадлежност към DLP системите бяха представени от изследователската агенция Forrester Research по време на годишното им проучване на този пазар. Те предложиха четири критерия, според които една система може да бъде класифицирана като DLP. 1.

Многоканален. Системата трябва да може да следи няколко възможни канала за изтичане на данни. В мрежова среда това е поне електронна поща, уеб и незабавни съобщения (незабавни съобщения), а не просто сканиране на пощенски трафик или дейност в база данни. На работна станция- наблюдение на файлови операции, работа с клипборда, както и контрол на e-mail, Web и IM. 2.

Единно управление. Системата трябва да разполага с унифицирани инструменти за управление на политиката за информационна сигурност, анализ и докладване на събития по всички канали за наблюдение. 3.

Активна защита. Системата трябва не само да открива нарушения на политиката за сигурност, но и, ако е необходимо, да принуждава да я спазва. Например блокирайте подозрителни съобщения. 4.

Въз основа на тези критерии през 2008 г. Forrester избра списък от 12 производителя за преглед и оценка софтуер(те са изброени по-долу по азбучен ред, като името на компанията, придобита от този доставчик, за да навлезе на пазара на DLP системи, е посочено в скоби):

1. Код Зелено;
2. InfoWatch;
3. McAfee (Onigma);
4. оркестър;
5. Reconnex;
6. RSA/EMC (таблус);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Работен дял.

Днес от гореспоменатите 12 доставчици само InfoWatch и Websense са представени на руския пазар в една или друга степен. Останалите или изобщо не работят в Русия, или само обявиха намеренията си да започнат да продават DLP решения (Trend Micro).

Отчитайки функционалността на DLP системите, анализаторите (Forrester, Gartner, IDC) въвеждат категоризация на защитените обекти – типове информационни обекти, които трябва да бъдат наблюдавани. Такава категоризация дава възможност да се оцени, в първо приближение, обхватът на приложение на определена система. Има три категории обекти за наблюдение.

1. Data-in-motion (данни в движение) – съобщения електронна поща, интернет пейджъри, peer-to-peer мрежи, прехвърляне на файлове, уеб трафик и други видове съобщения, които могат да се предават по комуникационни канали. 2. Data-at-rest (съхранени данни) - информация за работни станции, лаптопи, файлови сървъри, специализирани хранилища, USB устройства и други видове устройства за съхранение на данни.

3. Data-in-use (данни в употреба) - информация, обработвана в този момент.

В момента на нашия пазар има около две дузини местни и чуждестранни продукти, които имат някои от свойствата на DLP системите. Кратка информацияза тях в духа на горната класификация са посочени в табл. 1 и 2. Също в табл. 1 въведе такъв параметър като „централизирано съхранение и одит на данни“, което предполага способността на системата да съхранява данни в един депозитар (за всички канали за наблюдение) за по-нататъшен анализ и одит. Тази функционалност напоследък придоби особено значение не само поради изискванията на различни законодателни актове, но и поради популярността си сред клиентите (от опит завършени проекти). Цялата информация, съдържаща се в тези таблици, е взета от публични източници и маркетингови материали на съответните компании.

Въз основа на данните, представени в таблици 1 и 2, можем да заключим, че днес в Русия са представени само три DLP системи (от компаниите InfoWatch, Perimetrix и WebSence). Те включват и наскоро обявения интегриран продукт от Jet Infosystem (SKVT+SMAP), тъй като той ще покрива няколко канала и ще има унифицирано управление на политиките за сигурност.

Трудно е да се говори за пазарните дялове на тези продукти в Русия, тъй като повечето от споменатите производители не разкриват обемите на продажбите, броя на клиентите и защитените работни станции, ограничавайки се само до маркетингова информация. Можем само да кажем със сигурност, че основните доставчици в момента са:

• Системи “Дозор”, присъстващи на пазара от 2001 г.;
• Продукти на InfoWatch, продавани от 2004 г.;
• WebSense CPS (започва да се продава в Русия и по света през 2007 г.);
• Perimetrix (млада компания, първата версия на чиито продукти беше обявена на сайта й в края на 2008 г.).

В заключение бих искал да добавя, че принадлежността или не към класа на DLP системите не прави продуктите по-лоши или по-добри - това е просто въпрос на класификация и нищо повече.