dlp rendszerek. DLP rendszerek összehasonlítása

Az üzletileg jelentős információk kiszivárogtatása jelentős veszteségekhez vezethet a vállalat számára – mind pénzügyi, mind hírnevét illetően. A DLP komponensek konfigurálása lehetővé teszi a belső levelezés, e-mail üzenetek, adatcsere nyomon követését és a velük való munkát felhőalapú tárolás, alkalmazások futtatása az asztalon, külső eszközök csatlakoztatása, jelentések, SMS üzenetek, telefonbeszélgetések. Minden gyanús tranzakciót figyelnek, és jelentési bázist hoznak létre a követett precedensek alapján. Ennek érdekében a DLP rendszerek beépített mechanizmusokkal rendelkeznek a bizalmas információk rendszerének meghatározására, amelyhez speciális dokumentumjelölők és maga a tartalom (a kulcsszavakat, kifejezések, mondatok). Sor lehetséges további beállítások a személyi állomány ellenőrzéséről (a vállalaton belüli cselekmények jogszerűsége, a munkaerőforrások felhasználása, a nyomtatókon történő kinyomtatásig).

Ha az adatátvitel feletti teljes ellenőrzés prioritást élvez, akkor kezdeti beállítás A DLP feladata lesz azonosítani és meghatározni lehetséges szivárgások információk, a végberendezések vezérlése és a felhasználói hozzáférés a vállalati erőforrásokhoz. Ha a fontos vállalati információk szervezeten belüli mozgásának statisztikája a prioritás, akkor az adatátvitel csatornáit és módszereit számítják ki ennek nyomon követésére. A DLP-rendszereket vállalatonként egyedileg konfigurálják a várható fenyegetési modellek, a jogsértési kategóriák és a lehetséges információszivárgási csatornák azonosítása alapján.

A DLP nagy piaci rést foglal el a gazdasági biztonság területén. Az Anti-Malware.ru Analytical Center kutatása alapján észrevehetően megnőtt a vállalatok DLP-rendszerek iránti kereslete, nőtt az eladások és bővül a termékcsalád. Valós beállítás, amely megakadályozza a nem kívánt információk átvitelét nemcsak belülről kifelé, hanem kívülről is információs hálózat vállalkozások. Sőt, tekintettel a széles körben elterjedt vállalati virtualizációra információs rendszerekés a mobileszközök széles körben elterjedt használata, amelyeken keresztül az üzleti irányítást végzik mobil munkavállalók az egyik legfontosabb prioritás.

Fontos figyelembe venni a kiválasztott DLP rendszerek integrációját a vállalati informatikai hálózattal, azokkal az alkalmazásokkal, amelyeket a cég használ. Az adatszivárgás sikeres megakadályozása és a visszaélések visszaszorítása érdekében tett azonnali intézkedések vállalati információ, istálló létesítése szükséges DLP munka, a feladatoknak megfelelő funkcionalitás kialakítása, vállalaton belüli munka kialakítása elektronikus postafiókok, USB-meghajtók, azonnali üzenetküldők, felhőtárolók, mobil eszközök, valamint nagyvállalati munkavégzés esetén - és a SOC-n belüli integráció a SIEM rendszerrel.

A DLP rendszer megvalósítását bízza szakemberekre. Rendszerintegrátor A „Radius” a szabványoknak és előírásoknak megfelelően telepíti és konfigurálja a DLP-t információ biztonság, valamint az ügyfél cég jellemzői.

Markerek széles választékát kínáljuk, amelyek segítségével a legtöbbet hozhatja ki bármely DLP rendszerből.

DLPrendszerek: mi az

Emlékezzünk vissza, hogy a DLP-rendszerek (Data Loss / Leak Prevention) lehetővé teszik az összes csatorna vezérlését hálózati kommunikáció cégek (levél, internet, azonnali üzenetküldő rendszerek, flash meghajtók, nyomtatók stb.). Az információszivárgás elleni védelem annak köszönhető, hogy ügynökök vannak telepítve az alkalmazottak minden számítógépére, amelyek információkat gyűjtenek és továbbítanak a szerverre. Néha az információkat egy átjárón keresztül gyűjtik össze SPAN technológiák segítségével. Az információkat elemzik, majd a rendszer vagy a biztonsági tiszt dönt az incidensről.

Tehát cége DLP rendszert vezetett be. Milyen lépéseket kell tenni a rendszer hatékony működéséhez?

1. Állítsa be megfelelően a biztonsági szabályokat

Képzeljük el, hogy egy 100 számítógépet kiszolgáló rendszerben létrejön egy szabály: "Javítsa ki az összes levelezést a "szerződés" szóval. Egy ilyen szabály hatalmas számú incidenst fog kiváltani, amelyekben a valódi szivárgás elveszhet.

Ezen túlmenően nem minden vállalat engedheti meg magának, hogy az incidenseket nyomon követő alkalmazottak teljes létszámát fenntartsa.

A szabályok hasznosságának növelése érdekében eszközöket használhat hatékony szabályok létrehozására és munkájuk eredményének nyomon követésére. Minden DLP rendszer rendelkezik olyan funkcióval, amely lehetővé teszi ezt.

Általánosságban elmondható, hogy a módszertan az incidensek felhalmozott adatbázisának elemzését és különféle szabálykombinációkat tartalmaz, amelyek ideális esetben napi 5-6 igazán sürgős esemény megjelenéséhez vezetnek.

2. Rendszeres időközönként frissítse a biztonsági szabályokat

Az incidensek számának meredek csökkenése vagy növekedése azt jelzi, hogy a szabályokat módosítani kell. Ennek oka az lehet, hogy a szabály elvesztette relevanciáját (a felhasználók leállították a hozzáférést bizonyos fájlokat), vagy az alkalmazottak megtanulták a szabályt, és már nem hajtanak végre a rendszer által tiltott műveleteket (DLP - képzési rendszer). A gyakorlat azonban azt mutatja, hogy ha egy szabályt megtanulunk, akkor a szomszédos helyen megnőtt a szivárgás lehetséges kockázata.

A vállalkozás munkájában ügyelni kell a szezonalitásra is. Egy év alatt legfontosabb paraméterei a cég munkájának sajátosságaihoz kapcsolódóan változhat. Például egy kis felszerelések nagykereskedelmi szállítója számára tavasszal a kerékpárok, ősszel pedig a hórobogók lesznek relevánsak.

3. Tekintsünk egy eseményre adott válasz algoritmust

Az incidensek kezelésére többféle megközelítés létezik. A DLP-rendszerek tesztelésekor és futtatásakor a legtöbb esetben az emberek nem kapnak értesítést a változásokról. Az incidensek résztvevőit csak megfigyelik. Amikor a kritikus tömeg összegyűlik, a biztonsági osztály vagy a személyzeti osztály képviselője kommunikál velük. A jövőben a felhasználókkal való munka gyakran a biztonsági osztály képviselőinek kegyére marad. Minikonfliktusok vannak, negatívumok halmozódnak fel a csapatban. Kiterjedhet az alkalmazottak vállalattal kapcsolatos szándékos szabotálásában. Fontos megtalálni az egyensúlyt a fegyelem követelménye és az egészséges légkör megőrzése között a csapatban.

4. Ellenőrizze a blokkoló üzemmód működését

A rendszerben lévő incidensekre két válaszadási mód létezik - rögzítés és blokkolás. Ha a levél továbbításának vagy egy csatolt fájl flash meghajtóhoz való csatolásának minden ténye blokkolva van, az problémákat okoz a felhasználó számára. Az alkalmazottak gyakran támadnak rendszergazda Egyes funkciók feloldását kéri, előfordulhat, hogy a menedzsment elégedetlen az ilyen beállításokkal. Ennek eredményeként a DLP rendszer és a cég negatívumot kap, a rendszer hiteltelenné válik és lelepleződik.

5. Ellenőrizze, hogy bevezették-e az üzleti titok rendszerét

Lehetővé teszi, hogy bizonyos információkat bizalmassá tegyen, és arra is kötelez minden olyan személyt, aki tud róla, hogy teljes jogi felelősséget vállaljon azok nyilvánosságra hozataláért. Súlyos információszivárgás esetén a vállalkozásnál működő üzleti titok rendszere alapján a jogsértő a tényleges és erkölcsi kár összegét bíróságon keresztül követelheti az üzleti titokról szóló 98-FZ.

Reméljük, hogy ezek a tippek segítenek csökkenteni a nem szándékos szivárgások számát a vállalatoknál, mivel a DLP rendszereket úgy tervezték, hogy sikeresen kezeljék ezeket. Nem szabad azonban megfeledkezni a bonyolult információbiztonsági rendszerről, és arról, hogy a szándékos információszivárgás kiemelt figyelmet igényel. Létezik modern megoldások, amelyek lehetővé teszik a funkciók hozzáadását DLP rendszerekés jelentősen csökkenti a szándékos szivárgások kockázatát. Például az egyik fejlesztő egy érdekes technológiát kínál – ha gyanúsan gyakran hozzáférnek a bizalmas fájlokhoz, a webkamera automatikusan bekapcsol, és elkezdi a rögzítést. Ez a rendszer tette lehetővé annak rögzítését, hogy a szerencsétlen emberrabló hogyan készített aktívan képernyőképeket egy mobilkamerával.

Oleg Necseukhin, információs rendszerek biztonsági szakértője, Kontur.Security

Egy adott DLP-rendszer kiválasztása az adatbiztonság megkívánt szintjétől függ, és mindig egyedileg kerül kiválasztásra. A DLP rendszer kiválasztásában és a cég informatikai infrastruktúrájában való megvalósítás költségének kiszámításában kérjen segítséget, és a lehető legrövidebb időn belül felvesszük Önnel a kapcsolatot.

Mi az a DLP rendszer

DLP rendszer(angolul Data Leak Prevention - az adatszivárgás megelőzésének eszközei) olyan technológiák, ill technikai eszközök, amelyek megakadályozzák a bizalmas információk információs rendszerekből való kiszivárgását.

A DLP rendszerek elemzik az adatfolyamokat, és szabályozzák azok mozgását az információs rendszer egy bizonyos, védett peremén belül. Ezek lehetnek ftp kapcsolatok, vállalati és webes levelezés, helyi kapcsolatokat, valamint azonnali üzenetek és adatok küldése a nyomtatóra. Az adatfolyamban lévő bizalmas információk átalakítása esetén aktiválódik a rendszerkomponens, amely blokkolja az adatfolyam továbbítását.

Más szavakkal, DLP rendszerekőrködjön a bizalmas és stratégiailag fontos dokumentumok felett, amelyek információs rendszerekből kiszivárogtatása helyrehozhatatlan károkat okozhat a vállalatnak, valamint megsérti az üzleti titkokról szóló 98-FZ és a 152-FZ szövetségi törvényeket. A személyes adatokról”. Az információ szivárgás elleni védelmét a GOST is említi. " Információs technológia. Gyakorlati szabályok az információbiztonság kezeléséhez” - GOST R ISO/IEC 17799-2005.

Általános szabály, hogy a bizalmas információk kiszivárogtatása történhet feltörés és behatolás, valamint a vállalkozás alkalmazottainak figyelmetlensége, hanyagsága, valamint a bennfentesek erőfeszítései - a bizalmas információk szándékos továbbítása következtében. a vállalkozás alkalmazottai által. Ezért a DLP-rendszerek a legmegbízhatóbb technológiák a bizalmas információk kiszivárgás elleni védelmére – tartalom alapján észlelik a védett információkat, függetlenül a dokumentum nyelvétől, szkriptétől, átviteli csatornáitól és formátumától.

Is, DLP rendszer felügyeli az összes csatornát, amelyet naponta használnak az információ elektronikus formában történő továbbítására. Az információáramlás feldolgozása automatikusan történik a megállapított biztonsági szabályzat alapján. Ha azonban a bizalmas információval kapcsolatos cselekmények ütköznek a cég által meghatározott biztonsági szabályzatba, akkor az adattovábbítást blokkoljuk. Ezzel egyidejűleg a cég információbiztonságért felelős meghatalmazottja azonnali üzenetet kap a bizalmas információk továbbítására irányuló kísérletről.

DLP rendszer megvalósítása, mindenekelőtt biztosítja a PCI DSS szabvány számos követelményének való megfelelést a vállalat információbiztonsági szintjével kapcsolatban. Ezenkívül a DLP-rendszerek automatikusan ellenőrzik a védett információkat a helyüknek megfelelően, és automatizált ellenőrzést biztosítanak a bizalmas információk vállalaton belüli mozgatására, a titkos információk jogosulatlan nyilvánosságra hozatalával kapcsolatos események feldolgozására és megelőzésére vonatkozó szabályok szerint. Az adatszivárgás-megelőzési rendszer az incidens jelentések alapján figyeli a kockázatok általános szintjét, valamint a visszamenőleges elemzés és azonnali reagálás módozataiban az információszivárgást is kontrollálja.

A DLP rendszereket kis- és nagyvállalatokba egyaránt telepítik, megakadályozva az információszivárgást, ezáltal megóvják a vállalatot a pénzügyi és jogi kockázatoktól, amelyek akkor merülnek fel, ha fontos vállalati vagy bizalmas információk elvesznek vagy átadnak.

Ma a DLP-rendszerek piaca az egyik leggyorsabban növekvő információbiztonsági eszköz. A hazai információbiztonsági szféra azonban nem tartott lépést a globális trendekkel, ezért a DLP-rendszerek piacának hazánkban is megvannak a maga sajátosságai.

Mi az a DLP és hogyan működnek?

Mielőtt a DLP-rendszerek piacáról beszélnénk, el kell dönteni, hogy valójában mire is gondolunk, ha ilyen megoldásokról van szó. A DLP-rendszereket általában úgy értelmezik szoftver termékek amelyek megvédik a szervezeteket a bizalmas információk kiszivárogtatásától. Maga a DLP rövidítés a Data Leak Prevention, vagyis az adatszivárgás megelőzését jelenti.

Az ilyen rendszerek biztonságos digitális „körvonalat” hoznak létre a szervezet körül, elemezve az összes kimenő és bizonyos esetekben bejövő információt. Az ellenőrzött információnak nemcsak az internetes forgalomnak kell lennie, hanem számos egyéb információáramlásnak is: olyan dokumentumoknak, amelyeket külső adathordozón a védett biztonsági hurkon kívülre visznek, nyomtatóra nyomtatnak, Bluetooth-on keresztül mobil adathordozóra küldik, stb.

Mivel a DLP-rendszernek meg kell akadályoznia a bizalmas információk kiszivárgását, szükségszerűen beépített mechanizmusokkal rendelkezik az elfogott forgalom során észlelt dokumentumok bizalmassági fokának meghatározására. Általában két módszer a legelterjedtebb: a speciális dokumentumjelölők elemzése és a dokumentum tartalmának elemzése. Jelenleg a második lehetőség elterjedtebb, mert ellenáll a dokumentumon a küldés előtt végrehajtott módosításoknak, és lehetővé teszi a bizalmas dokumentumok számának egyszerű bővítését is, amellyel a rendszer tud dolgozni.

"Side" DLP feladatok

A DLP rendszerek az információszivárgás megelőzésével kapcsolatos fő feladatukon túlmenően számos egyéb, a személyi intézkedések ellenőrzésével kapcsolatos feladat megoldására is alkalmasak.

A DLP rendszereket leggyakrabban a következő nem alapvető feladatok megoldására használják maguknak:

• figyelemmel kíséri a munkavállalók munkaidő- és munkaerőforrás-felhasználását;
• az alkalmazottak kommunikációjának nyomon követése annak érdekében, hogy azonosítsák azokat a „fedett” küzdelmeket, amelyek károsíthatják a szervezetet;
• az alkalmazottak cselekedeteinek jogszerűségének ellenőrzése (hamisított dokumentumok nyomtatásának megelőzése stb.);
• azon munkatársak azonosítása, akik önéletrajzokat küldenek ki a megüresedett pozícióra szakember gyors felkutatására.

Tekintettel arra, hogy sok szervezet számos ilyen feladatot (különösen a munkaidő-felhasználás ellenőrzését) prioritásként kezeli, mint az információszivárgás elleni védelmet, számos olyan program született, amelyek kifejezetten erre készültek, de egyes esetekben Az esetek a szervezet szivárgások elleni védelmét is szolgálhatják. Az ilyen programokat az különbözteti meg a teljes értékű DLP-rendszerektől, hogy nincsenek fejlett eszközök az elfogott adatok elemzéséhez, amelyet egy információbiztonsági szakembernek kell manuálisan elvégeznie, ami csak a teljes körűen kényelmes. kis szervezetek(legfeljebb tíz felügyelt alkalmazott).

Még a legdivatosabb informatikai kifejezéseket is megfelelően és a lehető leghelyesebben kell használni. Legalábbis azért, hogy ne vezesse félre a fogyasztókat. Határozottan divat lett a DLP-megoldások készítői közé sorolni magát. A legutóbbi CeBIT-2008 kiállításon például gyakran lehetett látni a „DLP-megoldás” feliratot a világon nem csak kevéssé ismert vírusirtó és proxyszerver gyártóinak standjain, de még tűzfalakon is. Néha az volt az érzésem, hogy a következő sarkon valami CD-kidobót (a CD-meghajtó nyitását vezérlő program) lehetett látni egy céges DLP-megoldás büszke szlogenjével. És furcsa módon ezeknek a gyártóknak általában volt többé-kevésbé logikus magyarázata termékük ilyen pozicionálására (természetesen amellett, hogy egy divatos kifejezésből „gesheftet” akarnak szerezni).

Mielőtt megvizsgálnánk a DLP rendszergyártók piacát és annak főbb szereplőit, meg kell határozni, mit értünk DLP rendszeren. Számos kísérlet történt az információs rendszerek ezen osztályának meghatározására: ILD&P - Információszivárgás észlelése és megelőzése ("információs szivárgások azonosítása és megelőzése", a kifejezést az IDC javasolta 2007-ben), ILP - Információszivárgás elleni védelem ("információszivárgás elleni védelem"). ”, Forrester , 2006), ALS - Szivárgásgátló szoftver ("szivárgásgátló szoftver", E&Y), Tartalomfigyelés és -szűrés (CMF, Gartner), Kihúzás-megelőzési rendszer (hasonló a behatolás-megelőzési rendszerhez).

Ám a 2005-ben javasolt DLP – Data Loss Prevention (vagy Data Leak Prevention, adatszivárgás elleni védelem) elnevezést általánosan használt kifejezésként hozták létre. Ugyanakkor a belső fenyegetés alatt a szervezet azon dolgozói által elkövetett (szándékos vagy véletlen) visszaéléseket értjük, akiknek törvényes joguk van a releváns adatokhoz, jogkörükhöz hozzáférni.

A DLP-rendszerekhez való tartozás legkonzisztensebb és legkövetkezetesebb kritériumait a Forrester Research terjesztette elő a piac éves tanulmányozása során. Négy kritériumot javasoltak, amelyek alapján egy rendszer DLP-nek minősíthető. 1.

Többcsatornás. A rendszernek képesnek kell lennie az adatszivárgás több lehetséges csatornájának figyelésére. Hálózati környezetben ez legalább e-mail, web és IM (azonnali üzenetküldők), és nem csak az e-mail forgalom vagy az adatbázistevékenység vizsgálata. Tovább munkaállomás- a fájlműveletek figyelése, a vágólappal végzett munka, valamint az e-mail, a web és az IM vezérlése. 2.

egységes irányítás. A rendszernek egységes eszközzel kell rendelkeznie az információbiztonsági politika kezelésére, az események elemzésére és jelentésére az összes megfigyelési csatornán. 3.

Aktív védelem. A rendszernek nemcsak észlelnie kell a biztonsági szabályzat megsértését, hanem szükség esetén érvényesítenie is kell azt. Például blokkolja a gyanús üzeneteket. 4.

Ezen kritériumok alapján 2008-ban a Forrester egy 12 gyártóból álló listát választott ki felülvizsgálatra és értékelésre. szoftver(az alábbiakban ábécé sorrendben vannak felsorolva, zárójelben feltüntetve annak a cégnek a nevét, amelyet ez a szállító vett fel a DLP-rendszerek piacára való belépéshez):

1. kód zöld;
2. InfoWatch;
3. McAfee (Onigma);
4. Zenekar;
5. reconnex;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. munkamegosztás.

Eddig a fenti 12 gyártó közül csak az InfoWatch és a Websense képviselteti magát az orosz piacon valamilyen mértékben. A többiek vagy egyáltalán nem működnek Oroszországban, vagy éppen most jelentették be, hogy DLP-megoldások (Trend Micro) értékesítésébe kezdenek.

Figyelembe véve a DLP rendszerek funkcionalitását, az elemzők (Forrester, Gartner, IDC) bevezetik a védelmi objektumok kategorizálását - a figyelendő információs objektumok típusait. Az ilyen kategorizálás első közelítésként lehetővé teszi egy adott rendszer hatókörének felmérését. A megfigyelési objektumok három kategóriája létezik.

1. Adatok mozgásban (adat mozgásban) - üzenetek Email, internetes lapozók, peer-to-peer hálózatok, fájlátvitel, webforgalom és egyéb kommunikációs csatornákon elküldhető üzenetek. 2. Data-at-rest (tárolt adatok) - információ munkaállomásokról, laptopokról, fájlszerverekről, speciális tárolókról, USB-eszközökről és más típusú adattároló eszközökről.

3. Adatok használatban (data in use) - ben feldolgozott információk Ebben a pillanatban.

Jelenleg piacunkon körülbelül két tucat hazai és külföldi termék található, amelyek rendelkeznek a DLP rendszerek bizonyos tulajdonságaival. Rövid információ róluk a fenti besorolás szellemében a táblázat tartalmazza. 1. és 2. Szintén a táblázatban. 1 bevezetett egy olyan paramétert, mint a „központi adattárolás és audit”, ami azt jelenti, hogy a rendszer képes egyetlen letétben tárolni az adatokat (minden monitoring csatornára vonatkozóan) azok további elemzése és auditálása céljából. Ez a funkcionalitás a közelmúltban nem csak a különböző jogszabályi előírások, hanem a vásárlók körében kialakult népszerűség miatt is kiemelt jelentőségűvé vált (a tapasztalatok szerint megvalósított projektek). Az ezekben a táblázatokban szereplő összes információ nyilvános forrásokból és az érintett vállalatok marketing anyagaiból származik.

Az 1. és 2. táblázat adatai alapján arra a következtetésre juthatunk, hogy ma már csak három DLP rendszer létezik Oroszországban (az InfoWatch, Perimetrix és WebSence). Ide tartozik a Jet Infosystems nemrégiben bejelentett integrált terméke is (SKVT + SMAP), mivel több csatornát lefed majd, és egységesen kezeli a biztonsági szabályzatokat.

Ezeknek a termékeknek az oroszországi piaci részesedéséről meglehetősen nehéz beszélni, mivel az említett gyártók többsége nem hozza nyilvánosságra az értékesítési volument, az ügyfelek számát és a védett munkaállomásokat, csak marketing információkra korlátozódik. Csak annyit mondhatunk biztosan, hogy jelenleg a fő beszállítók:

• Dozor rendszerek, 2001 óta jelen vannak a piacon;
• 2004 óta értékesített InfoWatch termékek;
• WebSense CPS (2007-ben kezdték el árulni Oroszországban és világszerte);
• Perimetrix (fiatal cég, amelynek termékeinek első verzióját 2008 végén jelentették be a honlapján).

Végezetül szeretném hozzátenni, hogy a DLP-rendszerek osztályába való besorolástól vagy nem attól nem lesz rosszabb vagy jobb a termék – ez csak besorolás kérdése, semmi több.