Dlp systémy. Porovnanie DLP systémov

Únik komerčne významných informácií môže viesť k významným stratám spoločnosti, a to tak finančným, ako aj reputačným. Nastavenie DLP komponentov umožňuje sledovať internú korešpondenciu, emailové správy, výmenu dát, prácu s cloud-ové úložisko, spúšťanie aplikácií na ploche, pripojenie externých zariadení, reporty, SMS správy, telefonické rozhovory. Všetky podozrivé transakcie sú monitorované a na základe sledovaných precedensov sa vytvára databáza hlásení. Na tento účel majú systémy DLP zabudované mechanizmy na určenie systému dôverných informácií, pre ktoré sa analyzujú špeciálne značky dokumentov a ich samotný obsah (napr. Kľúčové slová, frázy, vety). Možný rozsah dodatočné nastavenia o personálnej kontrole (legitímnosť konania v rámci spoločnosti, využívanie pracovných prostriedkov, až po tlačové výstupy).

Ak je prioritou úplná kontrola nad prenosom dát, potom pôvodné nastavenie DLP bude o identifikácii a definovaní možné úniky informácií, kontrola koncových zariadení a prístup používateľov k podnikovým zdrojom. Ak je prioritou štatistika o pohybe dôležitých podnikových informácií v rámci organizácie, potom sa na ich sledovanie vypočítajú kanály a metódy prenosu údajov. Systémy DLP sú konfigurované individuálne pre každý podnik na základe modelov očakávaných hrozieb, kategórií porušení a identifikácie možných kanálov úniku informácií.

DLP zaberajú veľkú medzeru na trhu v oblasti ekonomickej bezpečnosti. Na základe výskumu Analytického centra Anti-Malware.ru je badateľný nárast potrieb spoločností po systémoch DLP, zvýšenie predaja a rozšírenie produktového radu. Je dôležité nakonfigurovať prevenciu prenosu nežiaducich informácií nielen zvnútra von, ale aj zvonku dovnútra informačnej siete podnikov. Navyše, vzhľadom na rozšírenú virtualizáciu v podnikoch informačné systémy aha a rozšírené používanie mobilných zariadení, prostredníctvom ktorých sa vykonáva obchodná kontrola mobilných zamestnancov- jedna z úloh s najvyššou prioritou.

Dôležité je zvážiť integráciu vybraných DLP systémov s firemnou IT sieťou a aplikáciami, ktoré spoločnosť využíva. Úspešne zabrániť úniku údajov a rýchlo konať, aby sa zastavilo zneužívanie firemné informácie, je potrebné založiť stajňu DLP práca, konfigurovať funkčnosť v súlade s úlohami, nadviazať spoluprácu s interným podnikom elektronických schránok, USB disky, instant messenger, cloudové úložisko, mobilné zariadenia, a v prípade práce vo veľkej korporácii - integrácia so systémom SIEM v rámci SOC.

Zverte implementáciu systému DLP odborníkom. Systémový integrátor"Radius" nainštaluje a nakonfiguruje DLP v súlade s normami a predpismi informačná bezpečnosť, ako aj charakteristika spoločnosti klienta.

Ponúkame celý rad markerov, ktoré vám pomôžu vyťažiť maximum z akéhokoľvek systému DLP.

DLP-systémy: čo to je?

Pripomeňme, že systémy DLP (Data Loss/Leak Prevention) umožňujú ovládať všetky kanály sieťová komunikácia spoločnosti (pošta, internet, systémy okamžitých správ, flash disky, tlačiarne atď.). Ochrana pred únikom informácií je dosiahnutá inštaláciou agentov na všetky počítače zamestnancov, ktorí zhromažďujú informácie a prenášajú ich na server. Niekedy sa informácie zhromažďujú cez bránu pomocou technológií SPAN. Informácie sa analyzujú a potom systémový alebo bezpečnostný pracovník rozhodne o incidente.

Vaša spoločnosť teda zaviedla systém DLP. Aké kroky je potrebné urobiť, aby systém fungoval efektívne?

1. Správne nakonfigurujte bezpečnostné pravidlá

Predstavme si, že v systéme obsluhujúcom 100 počítačov bolo vytvorené pravidlo „Opravte všetku korešpondenciu so slovom „dohoda.“ Takéto pravidlo vyvolá veľké množstvo incidentov, pri ktorých sa môže stratiť skutočný únik.

Navyše, nie každá spoločnosť si môže dovoliť mať celý tím zamestnancov monitorujúcich incidenty.

Nástroje na vytváranie efektívnych pravidiel a sledovanie výsledkov ich práce pomôžu zvýšiť užitočnosť pravidiel. Každý systém DLP má funkcie, ktoré vám to umožňujú.

Vo všeobecnosti metodika zahŕňa analýzu nahromadenej databázy incidentov a vytváranie rôznych kombinácií pravidiel, ktoré v ideálnom prípade vedú k výskytu 5-6 skutočne naliehavých incidentov denne.

2. V pravidelných intervaloch aktualizujte bezpečnostné pravidlá

Prudký pokles alebo nárast počtu incidentov je indikátorom toho, že sú potrebné úpravy pravidiel. Dôvodom môže byť, že pravidlo stratilo svoju relevantnosť (používatelia prestali pristupovať určité súbory) alebo sa zamestnanci pravidlo naučili a už nevykonávajú úkony zakázané systémom (DLP - školiaci systém). Prax však ukazuje, že ak sa naučíte jedno pravidlo, na susednom mieste sa potenciálne riziká úniku zvýšili.

Pri prevádzke podniku by ste mali venovať pozornosť aj sezónnosti. Počas roka kľúčové parametre, súvisiace so špecifikami práce spoločnosti, sa môžu meniť. Napríklad pre veľkoobchodného dodávateľa drobného vybavenia budú bicykle relevantné na jar a snežné skútre na jeseň.

3. Zvážte algoritmus reakcie na incidenty

Existuje niekoľko prístupov k reakcii na incidenty. Pri testovaní a prevádzke DLP systémov ľudia väčšinou nie sú upozornení na zmeny. Účastníci incidentov sú len pozorovaní. Keď sa nahromadí kritické množstvo, komunikuje s nimi zástupca bezpečnostného oddelenia alebo oddelenia ľudských zdrojov. Práca s používateľmi je v budúcnosti často prenechaná zástupcom bezpečnostného oddelenia. Vznikajú minikonflikty a v tíme sa hromadí negativita. Môže prerásť do zámernej sabotáže zamestnancov voči firme. Dôležité je udržiavať rovnováhu medzi požiadavkou disciplíny a udržiavaním zdravej atmosféry v tíme.

4. Skontrolujte fungovanie režimu blokovania

V systéme existujú dva režimy reakcie na incident – ​​fixácia a blokovanie. Ak je zablokovaná každá skutočnosť odoslania listu alebo pripojenia pripojeného súboru na flash disk, spôsobuje to používateľovi problémy. Zamestnanci často útočia systémový administrátoržiadosti o odomknutie niektorých funkcií, môže byť s takýmito nastaveniami nespokojný aj manažment. Výsledkom je, že systém DLP a spoločnosť dostávajú negatívnu spätnú väzbu, systém je zdiskreditovaný a demaskovaný.

5. Skontrolujte, či bol zavedený režim obchodného tajomstva

Poskytuje možnosť utajiť určité informácie a tiež zaväzuje každú osobu, ktorá o nich vie, niesť plnú právnu zodpovednosť za ich zverejnenie. V prípade závažného úniku informácií pri súčasnom režime obchodného tajomstva v podniku môže byť porušovateľovi vymáhaná výška skutočnej a morálnej ujmy súdnou cestou v súlade s 98-FZ „O obchodnom tajomstve“.

Dúfame, že tieto tipy pomôžu znížiť počet neúmyselných únikov vo firmách, pretože práve s nimi sú systémy DLP navrhnuté tak, aby úspešne bojovali. Netreba však zabúdať ani na komplexný systém informačnej bezpečnosti a na to, že úmyselné úniky informácií si vyžadujú osobitnú, zvýšenú pozornosť. Existovať moderné riešenia, ktoré umožňujú doplniť funkcionalitu Systémy DLP a výrazne znížiť riziko úmyselných únikov. Jeden z vývojárov ponúka napríklad zaujímavú technológiu – keď sa podozrivo často pristupuje k dôverným súborom, webová kamera sa automaticky zapne a začne nahrávať. Práve tento systém umožnil zaznamenať, ako nešťastný zlodej aktívne robil screenshoty pomocou mobilnej kamery.

Oleg Necheukhin, expert na ochranu informačných systémov, Kontur.Security

Výber konkrétneho DLP systému závisí od požadovanej úrovne zabezpečenia dát a volí sa vždy individuálne. Pre pomoc pri výbere DLP systému a kalkulácii nákladov na jeho implementáciu do firemnej IT infraštruktúry zanechajte požiadavku a my vás budeme čo najskôr kontaktovať.

Čo je to systém DLP

Systém DLP(Data Leak Prevention preložené z angličtiny – prostriedky na zabránenie úniku dát) sú technológie a technické zariadenia, ktoré zabraňujú úniku dôverných informácií z informačných systémov.

Systémy DLP analyzujú dátové toky a riadia ich pohyb v rámci určitého obvodu informačného systému, ktorý je bezpečný. Môžu to byť pripojenia ftp, firemná a webová pošta, miestne spojenia, ako aj prenos okamžitých správ a údajov do tlačiarne. Ak sa dôverné informácie konvertujú v toku, aktivuje sa komponent systému, ktorý blokuje prenos toku údajov.

Inými slovami, Systémy DLP strážiť dôverné a strategicky dôležité dokumenty, ktorých únik z informačných systémov smerom von by mohol spôsobiť nenapraviteľné škody spoločnosti, ako aj porušiť federálne zákony č. 98-FZ „O obchodnom tajomstve“ a č. 152-FZ “ O osobných údajoch“. Ochrana informácií pred únikom je uvedená aj v GOST. " Informačné technológie. Praktické pravidlá pre riadenie informačnej bezpečnosti“ - GOST R ISO/IEC 17799-2005.

K úniku dôverných informácií môže spravidla dôjsť buď v dôsledku hackingu a prieniku, alebo v dôsledku nepozornosti, nedbanlivosti zamestnancov podniku, ako aj úsilia zasvätených osôb - úmyselného prenosu dôverných informácií zamestnancami podniku. Systémy DLP sú preto najspoľahlivejšie technológie na ochranu pred únikom dôverných informácií – zisťujú chránené informácie podľa obsahu bez ohľadu na jazyk dokumentu, typ písma, prenosové kanály a formát.

tiež Systém DLP kontroluje úplne všetky kanály, ktoré sa používajú každý deň na elektronický prenos informácií. Informačné toky sú automaticky spracovávané na základe zavedenej bezpečnostnej politiky. Ak je činnosť dôverných informácií v rozpore s bezpečnostnou politikou stanovenou spoločnosťou, prenos údajov sa zablokuje. Zároveň dôveryhodný zástupca spoločnosti zodpovedný za informačnú bezpečnosť dostane okamžitú správu s upozornením na pokus o prenos dôverných informácií.

Implementácia systému DLP v prvom rade zabezpečuje súlad s množstvom požiadaviek štandardu PCI DSS týkajúcich sa úrovne informačnej bezpečnosti podniku. Systémy DLP tiež automaticky auditujú chránené informácie podľa ich umiestnenia a zabezpečujú automatizovanú kontrolu v súlade s pravidlami pre pohyb dôverných informácií v spoločnosti, spracúvanie a predchádzanie incidentom nezákonného zverejnenia tajných informácií. Systém prevencie úniku dát na základe hlásení o incidentoch monitoruje celkovú úroveň rizík a tiež v režime retrospektívnej analýzy a okamžitej reakcie kontroluje únik informácií.

Systémy DLP sú inštalované v malých aj veľkých podnikoch, zabraňujú úniku informácií, čím chránia spoločnosť pred finančnými a právnymi rizikami, ktoré vznikajú pri strate alebo prenose dôležitých firemných alebo dôverných informácií.

Dnes je trh so systémami DLP jedným z najrýchlejšie rastúcich spomedzi všetkých nástrojov informačnej bezpečnosti. Domáci sektor informačnej bezpečnosti však ešte celkom nedrží krok so svetovými trendmi, a preto má trh so systémami DLP u nás svoje špecifiká.

Čo sú to DLP a ako fungujú?

Predtým, ako hovoríme o trhu so systémami DLP, je potrebné určiť, čo presne znamená, keď sa hovorí o takýchto riešeniach. Systémy DLP sa zvyčajne chápu ako softvérové ​​produkty chráni organizácie pred únikom dôverných informácií. Samotná skratka DLP znamená Data Leak Prevention, teda predchádzanie úniku dát.

Systémy tohto druhu vytvárajú bezpečný digitálny „obvod“ okolo organizácie, pričom analyzujú všetky odchádzajúce a v niektorých prípadoch aj prichádzajúce informácie. Kontrolované informácie by mali zahŕňať nielen internetovú prevádzku, ale aj množstvo ďalších informačných tokov: dokumenty, ktoré sa odoberajú mimo chránenú bezpečnostnú slučku na externých médiách, tlačia sa na tlačiarni, odosielajú sa na mobilné médiá cez Bluetooth atď.

Keďže systém DLP musí zabrániť úniku dôverných informácií, musí mať zabudované mechanizmy na určenie stupňa dôvernosti dokumentu zisteného v odpočúvanej prevádzke. Spravidla sú najbežnejšie dve metódy: analýzou špeciálnych značiek dokumentov a analýzou obsahu dokumentu. Druhá možnosť je teraz bežnejšia, pretože je odolná voči úpravám vykonaným v dokumente pred jeho odoslaním a tiež umožňuje jednoducho rozšíriť počet dôverných dokumentov, s ktorými môže systém pracovať.

"Vedľajšie" úlohy DLP

Systémy DLP sa okrem svojej hlavnej úlohy súvisiacej s predchádzaním úniku informácií výborne hodia aj na riešenie množstva ďalších úloh súvisiacich s monitorovaním činnosti personálu.

Systémy DLP sa najčastejšie používajú na riešenie nasledujúcich vedľajších úloh:

• sledovanie využívania pracovného času a pracovných zdrojov zamestnancami;
• monitorovanie komunikácie zamestnancov s cieľom identifikovať „tajné“ boje, ktoré by mohli poškodiť organizáciu;
• kontrola zákonnosti konania zamestnancov (prevencia tlače falošných dokumentov atď.);
• identifikácia zamestnancov rozosielajúcich životopisy na rýchle vyhľadávanie špecialistov na voľné pozície.

Vzhľadom na to, že mnohé organizácie považujú množstvo týchto úloh (najmä kontrolu využívania pracovného času) za prioritnejšie ako ochranu pred únikom informácií, vzniklo množstvo programov, ktoré sú na to určené, ale môžu v niektoré prípady fungujú aj ako prostriedok na ochranu organizácie pred únikmi. To, čo odlišuje takéto programy od plnohodnotných systémov DLP, je nedostatok vyvinutých nástrojov na analýzu zachytených údajov, ktoré musí manuálne vykonávať špecialista na informačnú bezpečnosť, čo je vhodné iba pre úplne malé organizácie(do desiatich zamestnancov pod dohľadom).

Aj tie najmódnejšie IT výrazy sa musia používať primerane a čo najsprávnejšie. Aspoň preto, aby nedošlo k zavádzaniu spotrebiteľov. Určite sa stalo módou považovať sa za výrobcu DLP riešení. Napríklad na nedávnej výstave CeBIT-2008 bolo na stánkoch výrobcov nielen vo svete málo známych antivírusov a proxy serverov, ale dokonca aj firewallov, často vidieť nápis „DLP solution“. Občas bol pocit, že za najbližším rohom vidno akýsi CD ejector (program ovládajúci otváranie CD mechaniky) s hrdým sloganom podnikového DLP riešenia. A napodiv, každý z týchto výrobcov mal spravidla viac-menej logické vysvetlenie pre takéto umiestnenie svojho produktu (samozrejme, okrem túžby získať „úžitok“ z módneho pojmu).

Predtým, ako zvážime trh výrobcov DLP systémov a jeho hlavných hráčov, mali by sme sa rozhodnúť, čo rozumieme pod pojmom DLP systém. Uskutočnilo sa mnoho pokusov definovať túto triedu informačných systémov: ILD&P - Information Leakage Detection & Prevention („identifikácia a prevencia úniku informácií“, termín bol navrhnutý IDC v roku 2007), ILP – Information Leakage Protection („ochrana pred informáciami“ úniky“, Forrester , 2006), ALS - Anti-Leakage Software (“anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (podobne ako Intrusion-prevention system).

Ale názov DLP - Data Loss Prevention (alebo Data Leak Prevention, ochrana pred únikom dát), navrhnutý v roku 2005, sa napriek tomu ustálil ako bežne používaný výraz V ruštine (skôr ako preklad, ale podobný výraz) je výraz „. dôverné systémy ochrany“ boli prijaté údaje z vnútorných hrozieb. Vnútorné hrozby sú zároveň chápané ako zneužívanie (úmyselné alebo náhodné) zamestnancami organizácie, ktorí majú zákonné práva na prístup k relevantným údajom a ich právomoci.

Najharmonickejšie a najkonzistentnejšie kritériá pre príslušnosť k systémom DLP predložila výskumná agentúra Forrester Research počas svojej výročnej štúdie o tomto trhu. Navrhli štyri kritériá, podľa ktorých možno systém klasifikovať ako DLP. 1.

Viackanálový. Systém musí byť schopný monitorovať niekoľko možných kanálov úniku dát. V sieťovom prostredí ide prinajmenšom o e-mail, web a okamžité správy (instant messenger) a nielen o skenovanie poštovej prevádzky alebo aktivity databázy. Zapnuté pracovná stanica- sledovanie operácií so súbormi, práca so schránkou, ako aj kontrola e-mailu, webu a IM. 2.

Jednotné riadenie. Systém musí mať jednotné nástroje na správu politiky informačnej bezpečnosti, analýzy a reportovanie udalostí naprieč všetkými monitorovacími kanálmi. 3.

Aktívna ochrana. Systém by mal nielen odhaliť porušenie bezpečnostnej politiky, ale v prípade potreby aj vynútiť jej dodržiavanie. Napríklad blokovať podozrivé správy. 4.

Na základe týchto kritérií spoločnosť Forrester v roku 2008 vybrala zoznam 12 výrobcov na preskúmanie a hodnotenie softvér(sú uvedené nižšie v abecednom poradí, pričom v zátvorkách je uvedený názov spoločnosti, ktorú tento predajca získal za účelom vstupu na trh systémov DLP):

1. Zelený kód;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconnex;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Workshare.

Dnes sú z vyššie uvedených 12 predajcov na ruskom trhu zastúpené v tej či onej miere iba InfoWatch a Websense. Zvyšok buď v Rusku nepracuje vôbec, alebo len oznámil svoj zámer začať predávať DLP riešenia (Trend Micro).

Vzhľadom na funkčnosť DLP systémov analytici (Forrester, Gartner, IDC) zavádzajú kategorizáciu objektov ochrany - typy informačných objektov, ktoré sa majú monitorovať. Takáto kategorizácia umožňuje pri prvom priblížení posúdiť rozsah aplikácie konkrétneho systému. Existujú tri kategórie monitorovacích objektov.

1. Data-in-motion (data in motion) - správy Email, internetové pagery, peer-to-peer siete, prenosy súborov, webový prenos a iné typy správ, ktoré možno prenášať cez komunikačné kanály. 2. Data-at-rest (uložené dáta) - informácie o pracovných staniciach, notebookoch, súborových serveroch, špecializovaných úložiskách, USB zariadeniach a iných typoch zariadení na ukladanie dát.

3. Data-in-use (data in use) - informácie spracované v tento moment.

V súčasnosti sú na našom trhu asi dve desiatky domácich a zahraničných produktov, ktoré majú niektoré z vlastností DLP systémov. Stručná informácia o nich v duchu vyššie uvedenej klasifikácie sú uvedené v tabuľke. 1 a 2. Tiež v tabuľke. 1 zaviedol parameter ako „centralizované ukladanie a audit údajov“, čo znamená schopnosť systému ukladať údaje do jedného úložiska (pre všetky monitorovacie kanály) na ďalšiu analýzu a audit. Táto funkcionalita nadobudla v poslednom čase mimoriadny význam nielen kvôli požiadavkám rôznych legislatívnych aktov, ale aj vďaka svojej obľúbenosti medzi zákazníkmi (zo skúseností realizované projekty). Všetky informácie uvedené v týchto tabuľkách sú prevzaté z verejných zdrojov a marketingových materiálov príslušných spoločností.

Na základe údajov uvedených v tabuľkách 1 a 2 môžeme konštatovať, že dnes sú v Rusku prezentované iba tri systémy DLP (od spoločností InfoWatch, Perimetrix a WebSence). Medzi ne patrí aj nedávno ohlásený integrovaný produkt od Jet Infosystem (SKVT+SMAP), keďže bude pokrývať viacero kanálov a bude mať jednotnú správu bezpečnostných politík.

Je dosť ťažké hovoriť o trhových podieloch týchto produktov v Rusku, pretože väčšina spomenutých výrobcov nezverejňuje objemy predaja, počet klientov a chránených pracovných staníc a obmedzuje sa iba na marketingové informácie. Môžeme len s istotou povedať, že hlavnými dodávateľmi sú v súčasnosti:

• Systémy „Dozor“ na trhu od roku 2001;
• produkty InfoWatch predávané od roku 2004;
• WebSense CPS (začal sa predávať v Rusku a po celom svete v roku 2007);
• Perimetrix (mladá spoločnosť, ktorej prvá verzia produktov bola oznámená na jej webovej stránke koncom roka 2008).

Na záver by som rád dodal, že to, či niektorý patrí alebo nepatrí do triedy DLP systémov, nezhoršuje ani nezlepšuje produkty – je to jednoducho vec klasifikácie a nič viac.