Sisteme Dlp. Comparația sistemelor DLP

O scurgere de informații semnificative din punct de vedere comercial poate duce la pierderi semnificative pentru o companie, atât financiare, cât și reputaționale. Configurarea componentelor DLP vă permite să urmăriți corespondența internă, mesajele de e-mail, schimbul de date, lucrul cu stocare în cloud, lansarea aplicațiilor pe desktop, conectarea dispozitivelor externe, rapoarte, mesaje SMS, convorbiri telefonice. Toate tranzacțiile suspecte sunt monitorizate și o bază de date de raportare este creată pe baza precedentelor urmărite. În acest scop, sistemele DLP au încorporate mecanisme de determinare a sistemului de informații confidențiale, pentru care sunt analizate marcatori speciali de documente și conținutul lor însuși (prin cuvinte cheie, fraze, propoziții). Interval posibil setări suplimentare privind controlul personalului (legitimitatea acțiunilor în cadrul companiei, utilizarea resurselor de muncă, până la tipărirea imprimantei).

Dacă prioritatea este controlul deplin asupra transmisiei de date, atunci configurarea inițială DLP va fi despre identificarea și definirea posibile scurgeri informații, controlul dispozitivelor finale și accesul utilizatorilor la resursele companiei. Dacă prioritatea este statisticile privind mișcarea informațiilor corporative importante în cadrul organizației, atunci pentru a le urmări, se calculează canalele și metodele de transmitere a datelor. Sistemele DLP sunt configurate individual pentru fiecare întreprindere, pe baza modelelor de amenințări așteptate, a categoriilor de încălcări și a identificării posibilelor canale de scurgeri de informații.

DLP-urile ocupa o nisa mare pe piata in domeniul securitatii economice. Pe baza cercetărilor de la Centrul Analitic Anti-Malware.ru, se constată o creștere vizibilă a nevoii companiilor de sisteme DLP, o creștere a vânzărilor și o extindere a liniei de produse. Este relevant să configurați prevenirea transmiterii de informații nedorite nu numai din interior spre exterior, ci și din exterior către interior reteaua de informatiiîntreprinderilor. Mai mult, având în vedere virtualizarea pe scară largă în corporații sisteme informatice ah și utilizarea pe scară largă a dispozitivelor mobile prin care se realizează controlul afacerii angajați mobili- una dintre sarcinile cu cea mai mare prioritate.

Este important să se ia în considerare integrarea sistemelor DLP selectate cu rețeaua IT corporativă și cu aplicațiile pe care compania le folosește. Pentru a preveni cu succes scurgerea de date și a acționa rapid pentru a opri abuzul informatii corporative, este necesar să se înființeze un grajd Munca DLP, configurați funcționalitatea în conformitate cu sarcinile, stabiliți lucrul cu corporative interne cutii poştale electronice, unități USB, mesagerie instant, stocare în cloud, dispozitive mobile, iar în cazul lucrului într-o corporație mare - integrarea cu un sistem SIEM în cadrul SOC.

Încredințați implementarea sistemului DLP unor specialiști. Integrator de sistem„Radius” va instala și configura DLP în conformitate cu standardele și reglementările securitatea informatiei, precum și caracteristicile companiei client.

Oferim o serie de markeri pentru a vă ajuta să profitați la maximum de orice sistem DLP.

DLP-sisteme: ce este?

Să vă reamintim că sistemele DLP (Data Loss/Leak Prevention) vă permit să controlați toate canalele comunicare în rețea companii (poștă, internet, sisteme de mesagerie instantanee, unități flash, imprimante etc.). Protecția împotriva scurgerilor de informații se realizează prin instalarea de agenți pe toate computerele angajaților, care colectează informații și le transmit către server. Uneori, informațiile sunt colectate printr-un gateway folosind tehnologiile SPAN. Informațiile sunt analizate, după care responsabilul de sistem sau de securitate ia decizii cu privire la incident.

Deci, compania dumneavoastră a implementat un sistem DLP. Ce măsuri trebuie luate pentru ca sistemul să funcționeze eficient?

1. Configurați corect regulile de securitate

Să ne imaginăm că într-un sistem care deservește 100 de computere, a fost creată o regulă „Remediați toată corespondența cu cuvântul „acord”.” O astfel de regulă va provoca un număr mare de incidente, în care o scurgere reală se poate pierde.

În plus, nu orice companie își poate permite să aibă un personal complet de angajați care monitorizează incidentele.

Instrumentele pentru crearea unor reguli eficiente și urmărirea rezultatelor muncii lor vor contribui la creșterea utilității regulilor. Fiecare sistem DLP are o funcționalitate care vă permite să faceți acest lucru.

În general, metodologia presupune analizarea bazei de date acumulate de incidente și crearea diferitelor combinații de reguli care în mod ideal conduc la apariția a 5-6 incidente cu adevărat urgente pe zi.

2. Actualizați regulile de siguranță la intervale regulate

O scădere sau o creștere bruscă a numărului de incidente este un indicator că sunt necesare ajustări ale regulilor. Motivele pot fi că regula și-a pierdut relevanța (utilizatorii au încetat să mai acceseze anumite fișiere) sau angajații au învățat regula și nu mai efectuează acțiuni interzise de sistem (DLP - sistem de instruire). Cu toate acestea, practica arată că, dacă se învață o regulă, atunci într-un loc învecinat riscurile potențiale de scurgere au crescut.

De asemenea, ar trebui să acordați atenție sezonalității în funcționarea întreprinderii. Pe parcursul anului parametri cheie, legat de specificul activității companiei, se poate modifica. De exemplu, pentru un furnizor angro de echipamente mici, bicicletele vor fi relevante în primăvară, iar scuterele de zăpadă în toamnă.

3. Luați în considerare un algoritm de răspuns la incidente

Există mai multe abordări ale răspunsului la incident. Când testează și rulează sisteme DLP, oamenii de cele mai multe ori nu sunt notificați cu privire la modificări. Participanții la incidente sunt doar observați. Când s-a acumulat o masă critică, un reprezentant al departamentului de securitate sau al departamentului de resurse umane comunică cu aceștia. În viitor, lucrul cu utilizatorii este adesea lăsat în seama reprezentanților departamentului de securitate. Apar mini-conflicte și negativitatea se acumulează în echipă. Se poate revărsa în sabotaj deliberat al angajaților față de companie. Este important să se mențină un echilibru între cerința de disciplină și menținerea unei atmosfere sănătoase în echipă.

4. Verificați funcționarea modului de blocare

Există două moduri de răspuns la un incident în sistem - repararea și blocarea. Dacă fiecare fapt de trimitere a unei scrisori sau atașarea unui fișier atașat la o unitate flash este blocat, acest lucru creează probleme utilizatorului. Angajații atacă adesea administrator de sistem solicită deblocarea unor funcții, managementul poate fi, de asemenea, nemulțumit de astfel de setări. Drept urmare, sistemul DLP și compania primesc feedback negativ, sistemul este discreditat și demascat.

5. Verificați dacă a fost introdus regimul secretului comercial

Oferă capacitatea de a face anumite informații confidențiale și, de asemenea, obligă orice persoană care știe despre acestea să-și asume întreaga responsabilitate legală pentru dezvăluirea lor. În cazul unei scurgeri grave de informații în cadrul regimului actual de secret comercial la întreprindere, contravenientului i se poate recupera suma prejudiciului real și moral prin instanță în conformitate cu 98-FZ „Cu privire la secretele comerciale”.

Sperăm că aceste sfaturi vor ajuta la reducerea numărului de scurgeri neintenționate în companii, pentru că tocmai acestea sistemele DLP sunt concepute pentru a le combate cu succes. Cu toate acestea, nu ar trebui să uităm de sistemul cuprinzător de securitate a informațiilor și de faptul că scurgerile de informații intenționate necesită o atenție deosebită, deosebită. Sunt solutii moderne, care vă permit să completați funcționalitatea sisteme DLPși reduce semnificativ riscul de scurgeri intenționate. De exemplu, unul dintre dezvoltatori oferă o tehnologie interesantă - atunci când fișierele confidențiale sunt accesate în mod suspect de frecvent, camera web se pornește automat și începe înregistrarea. Acest sistem a făcut posibilă înregistrarea modului în care hoțul ghinionist făcea în mod activ capturi de ecran folosind o cameră mobilă.

Oleg Neceukhin, expert în protecția sistemelor informatice, Kontur.Security

Alegerea unui anumit sistem DLP depinde de nivelul necesar de securitate a datelor și este întotdeauna aleasă individual. Pentru asistență în alegerea unui sistem DLP și calcularea costului implementării acestuia în infrastructura IT a companiei, lăsați o solicitare și vă vom contacta în cel mai scurt timp posibil.

Ce este un sistem DLP

Sistem DLP(Data Leak Prevention tradus din engleză – mijloace de prevenire a scurgerii de date) sunt tehnologii și dispozitive tehnice, care împiedică scurgerea de informații confidențiale din sistemele informaționale.

Sistemele DLP analizează fluxurile de date și controlează mișcarea acestora într-un anumit perimetru al sistemului informațional, care este securizat. Acestea pot fi conexiuni ftp, e-mail corporative și web, conexiuni locale, precum și transferul de mesaje instant și date la imprimantă. Dacă informațiile confidențiale sunt convertite într-un flux, este activată o componentă de sistem, care blochează transmiterea fluxului de date.

Cu alte cuvinte, sisteme DLP vegheați asupra documentelor confidențiale și importante din punct de vedere strategic, a căror scurgere din sistemele informaționale în exterior ar putea cauza daune ireparabile companiei, precum și încălcarea Legile federale nr. 98-FZ „Cu privire la secretele comerciale” și nr. 152-FZ „ Despre datele personale”. Protecția informațiilor împotriva scurgerilor este, de asemenea, menționată în GOST. " Tehnologia de informație. Reguli practice pentru managementul securității informațiilor” - GOST R ISO/IEC 17799-2005.

De regulă, scurgerea de informații confidențiale poate apărea fie ca urmare a hacking-ului și penetrării, fie ca urmare a neatenției, neglijenței angajaților întreprinderii, precum și a eforturilor persoanelor din interior - transferul intenționat de informații confidențiale de către angajații întreprinderii. Prin urmare, sistemele DLP sunt cele mai fiabile tehnologii pentru protejarea împotriva scurgerii de informații confidențiale - detectează informațiile protejate prin conținut, indiferent de limba documentului, tipul, canalele de transmisie și formatul.

Asemenea, Sistem DLP controlează absolut toate canalele care sunt folosite în fiecare zi pentru a transmite informații electronic. Fluxurile de informații sunt procesate automat pe baza politicii de securitate stabilite. Dacă acțiunile de informații confidențiale intră în conflict cu politica de securitate stabilită de companie, atunci transferul de date este blocat. În același timp, reprezentantul de încredere al companiei responsabil cu securitatea informațiilor primește un mesaj instantaneu de avertizare cu privire la o încercare de a transfera informații confidențiale.

Implementarea unui sistem DLP, în primul rând, asigură conformitatea cu o serie de cerințe ale standardului PCI DSS privind nivelul de securitate a informațiilor întreprinderii. De asemenea, sistemele DLP auditează automat informațiile protejate, în funcție de locația acesteia, și asigură control automatizat, în conformitate cu regulile de circulație a informațiilor confidențiale în cadrul companiei, procesând și prevenind incidentele de dezvăluire ilegală a informațiilor secrete. Sistemul de prevenire a scurgerilor de date, bazat pe rapoarte de incidente, monitorizează nivelul general al riscurilor și, de asemenea, în analiză retrospectivă și moduri de răspuns imediat, controlează scurgerea de informații.

Sistemele DLP sunt instalate atât în ​​întreprinderile mici, cât și în cele mari, prevenind scurgerea de informații, protejând astfel compania de riscurile financiare și juridice care decurg din pierderea sau transferul de informații importante corporative sau confidențiale.

Astăzi, piața sistemelor DLP este una dintre cele cu cea mai rapidă creștere dintre toate instrumentele de securitate a informațiilor. Cu toate acestea, sectorul intern de securitate a informațiilor nu ține încă pasul cu tendințele globale și, prin urmare, piața sistemelor DLP din țara noastră are propriile caracteristici.

Ce sunt DLP-urile și cum funcționează?

Înainte de a vorbi despre piața sistemelor DLP, este necesar să se stabilească la ce se înțelege, strict vorbind, atunci când vorbim despre astfel de soluții. Sistemele DLP sunt de obicei înțelese ca produse software, protejând organizațiile de scurgeri de informații confidențiale. Abrevierea DLP în sine înseamnă Data Leak Prevention, adică prevenirea scurgerilor de date.

Sistemele de acest fel creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de intrare. Informațiile controlate ar trebui să includă nu numai traficul de internet, ci și o serie de alte fluxuri de informații: documente care sunt preluate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise către mediile mobile prin Bluetooth etc.

Întrucât sistemul DLP trebuie să prevină scurgerile de informații confidențiale, trebuie să aibă încorporate mecanisme de determinare a gradului de confidențialitate al unui document detectat în traficul interceptat. De regulă, cele mai frecvente două metode sunt: ​​prin analiza unor marcatori speciali pentru documente și prin analizarea conținutului documentului. A doua opțiune este acum mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care sistemul poate lucra.

Sarcini DLP „laterale”.

Pe lângă sarcina sa principală legată de prevenirea scurgerilor de informații, sistemele DLP sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de monitorizarea acțiunilor personalului.

Cel mai adesea, sistemele DLP sunt folosite pentru a rezolva următoarele sarcini non-core:

• monitorizarea utilizării timpului de lucru și a resurselor de muncă de către angajați;
• monitorizarea comunicațiilor angajaților pentru a identifica luptele „sub acoperire” care ar putea dăuna organizației;
• controlul legalității acțiunilor angajaților (prevenirea tipăririi documentelor false etc.);
• identificarea angajaților care trimit CV-uri pentru a căuta rapid specialiști pentru posturile vacante.

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind de prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar pot în unele cazuri funcționează și ca mijloc de protejare a organizației de scurgeri. Ceea ce deosebește astfel de programe de sistemele DLP cu drepturi depline este lipsa instrumentelor dezvoltate pentru analiza datelor interceptate, care trebuie făcută manual de un specialist în securitatea informațiilor, ceea ce este convenabil doar pentru complet. organizatii mici(până la zece angajați supravegheați).

Chiar și cei mai la modă termeni IT trebuie folosiți corespunzător și cât mai corect posibil. Cel puțin pentru a nu induce în eroare consumatorii. Cu siguranță a devenit la modă să te consideri un producător de soluții DLP. De exemplu, la recenta expoziție CeBIT-2008, inscripția „Soluție DLP” a putut fi văzută adesea pe standurile producătorilor nu doar de antivirusuri și servere proxy puțin cunoscute din lume, ci chiar și de firewall-uri. Uneori, exista sentimentul că după colțul următor puteai vedea un fel de ejector de CD (un program care controlează deschiderea unității CD) cu sloganul mândru al unei soluții DLP de întreprindere. Și, în mod ciudat, fiecare dintre acești producători, de regulă, a avut o explicație mai mult sau mai puțin logică pentru o astfel de poziționare a produsului lor (în mod firesc, pe lângă dorința de a obține „beneficii” de la un termen la modă).

Înainte de a lua în considerare piața producătorilor de sisteme DLP și principalii săi jucători, ar trebui să decidem ce înțelegem prin un sistem DLP. Au existat numeroase încercări de a defini această clasă de sisteme informatice: ILD&P - Information Leakage Detection & Prevention („identificarea și prevenirea scurgerilor de informații”, termenul a fost propus de IDC în 2007), ILP - Information Leakage Protection („protecția împotriva informațiilor”. leaks”, Forrester , 2006), ALS - Anti-Leakage Software („anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (similar cu sistemul Intrusion-prevention).

Dar numele DLP - Data Loss Prevention (sau Data Leak Prevention, protecție împotriva scurgerilor de date), propus în 2005, a devenit totuși un termen folosit în mod obișnuit Ca rusă (mai degrabă decât o traducere, dar un termen similar) sintagma „. sisteme de protecție confidențială” au fost adoptate date de la amenințările interne.” În același timp, amenințările interne sunt înțelese ca abuzuri (intenționate sau accidentale) de către angajații unei organizații care au drepturi legale de acces la datele relevante și puterile acestora.

Cele mai armonioase și consistente criterii de apartenență la sistemele DLP au fost propuse de agenția de cercetare Forrester Research în cadrul studiului anual al acestei piețe. Ei au propus patru criterii după care un sistem poate fi clasificat ca DLP. 1.

Multicanal. Sistemul trebuie să fie capabil să monitorizeze mai multe canale posibile de scurgere de date. Într-un mediu de rețea, acesta este cel puțin e-mail, Web și IM (mesageri instantanee), și nu doar scanarea traficului de e-mail sau a activității bazei de date. Pe statie de lucru- monitorizarea operațiunilor cu fișierele, lucrul cu clipboard-ul, precum și controlul e-mailului, Web și IM. 2.

Management unificat. Sistemul trebuie să aibă instrumente unificate de management al politicii de securitate a informațiilor, analiză și raportare a evenimentelor pe toate canalele de monitorizare. 3.

Protecție activă. Sistemul nu trebuie doar să detecteze încălcările politicii de securitate, ci și, dacă este necesar, să forțeze respectarea acesteia. De exemplu, blocați mesajele suspecte. 4.

Pe baza acestor criterii, în 2008 Forrester a selectat o listă de 12 producători pentru revizuire și evaluare software(sunt enumerate mai jos în ordine alfabetică, cu numele companiei achiziționate de acest furnizor pentru a intra pe piața sistemelor DLP indicat între paranteze):

1. Cod verde;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconexiunea;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. Partajare de lucru.

Astăzi, dintre cei 12 furnizori menționați mai sus, doar InfoWatch și Websense sunt reprezentați pe piața rusă într-o măsură sau alta. Restul fie nu funcționează deloc în Rusia, fie și-au anunțat doar intențiile de a începe să vândă soluții DLP (Trend Micro).

Având în vedere funcționalitatea sistemelor DLP, analiștii (Forrester, Gartner, IDC) introduc o clasificare a obiectelor de protecție - tipuri de obiecte informaționale care trebuie monitorizate. O astfel de clasificare face posibilă evaluarea, într-o primă aproximare, a domeniului de aplicare a unui anumit sistem. Există trei categorii de obiecte de monitorizare.

1. Data-in-motion (data in motion) - mesaje e-mail, pagere de internet, rețele peer-to-peer, transferuri de fișiere, trafic Web și alte tipuri de mesaje care pot fi transmise prin canale de comunicare. 2. Data-at-rest (date stocate) - informații despre stații de lucru, laptopuri, servere de fișiere, stocare specializată, dispozitive USB și alte tipuri de dispozitive de stocare a datelor.

3. Date-in-use (date în uz) - informații prelucrate în în acest moment.

În prezent, pe piața noastră există aproximativ două duzini de produse interne și străine care au unele dintre proprietățile sistemelor DLP. Informații scurte despre ele în spiritul clasificării de mai sus sunt enumerate în tabel. 1 și 2. Tot în tabel. 1 a introdus un astfel de parametru precum „stocarea și auditarea centralizată a datelor”, ceea ce implică capacitatea sistemului de a salva datele într-un singur depozit (pentru toate canalele de monitorizare) pentru analize și audit ulterioare. Această funcționalitate a căpătat recent o importanță deosebită nu numai datorită cerințelor diferitelor acte legislative, ci și datorită popularității sale în rândul clienților (din experiență proiecte finalizate). Toate informațiile conținute în aceste tabele sunt preluate din surse publice și materiale de marketing ale companiilor respective.

Pe baza datelor prezentate în tabelele 1 și 2, putem concluziona că astăzi doar trei sisteme DLP sunt prezentate în Rusia (de la companiile InfoWatch, Perimetrix și WebSence). Acestea includ și produsul integrat recent anunțat de la Jet Infosystem (SKVT+SMAP), deoarece va acoperi mai multe canale și va avea un management unificat al politicilor de securitate.

Este destul de dificil să vorbim despre cotele de piață ale acestor produse în Rusia, deoarece majoritatea producătorilor menționați nu dezvăluie volumele de vânzări, numărul de clienți și stațiile de lucru protejate, limitându-se doar la informații de marketing. Putem spune cu siguranță doar că principalii furnizori în acest moment sunt:

• Sisteme „Dozor”, prezente pe piață din 2001;
• Produsele InfoWatch vândute din 2004;
• WebSense CPS (a început să se vândă în Rusia și în întreaga lume în 2007);
• Perimetrix (o companie tânără, prima versiune a cărei produse a fost anunțată pe site-ul său la sfârșitul anului 2008).

În concluzie, aș dori să adaug că dacă unul aparține sau nu clasei de sisteme DLP nu face produsele mai rele sau mai bune - este pur și simplu o chestiune de clasificare și nimic mai mult.