dp sistemleri. DLP sistemlerinin karşılaştırılması

Ticari açıdan önemli bilgilerin sızması, şirket için hem finansal hem de itibar açısından önemli kayıplara yol açabilir. DLP bileşenlerini yapılandırmak, dahili yazışmaları, posta mesajlarını, veri alışverişini izlemenize, Bulut depolama, masaüstünde uygulama çalıştırma, harici cihazlara bağlanma, raporlar, SMS mesajları, telefon görüşmeleri. Tüm şüpheli işlemler izlenir ve izlenen emsaller üzerinde bir raporlama tabanı oluşturulur. Bunu yapmak için, DLP sistemleri, özel belge işaretçilerinin ve içeriklerinin kendisinin (göre) gizli bilgi sistemini belirlemek için yerleşik mekanizmalara sahiptir. anahtar kelimeler, ifadeler, cümleler). Sıra mümkün gelişmiş Ayarlar personel kontrolü (şirket içindeki eylemlerin yasallığı, iş kaynaklarının kullanımı, yazıcı çıktılarına kadar).

Veri aktarımı üzerinde tam kontrol bir öncelikse, o zaman ilk kurulum DLP tanımlamak ve tanımlamak olacaktır olası sızıntılar bilgi, uç cihazların kontrolü ve şirket kaynaklarına kullanıcı erişimi. Öncelik, kuruluş içindeki önemli kurumsal bilgilerin hareketine ilişkin istatistikler ise, veri aktarım kanalları ve yöntemleri, onu izlemek için hesaplanır. DLP sistemleri, beklenen tehdit modellerine, ihlal kategorilerine ve olası bilgi sızıntısı kanallarının tanımlanmasına göre her kuruluş için ayrı ayrı yapılandırılır.

DLP, ekonomik güvenlik alanında geniş bir pazar nişine sahiptir. Anti-Malware.ru Analytical Center'ın araştırmasına göre, şirketlerin DLP sistemlerine olan talebinde gözle görülür bir artış, satışlarda bir artış ve ürün yelpazesinde bir genişleme var. İstenmeyen bilgilerin sadece içeriden dışarıya değil, aynı zamanda dışarıdan içeriye de aktarılmasını önleyen gerçek ayar bilgi ağı işletmeler. Ayrıca, kurumsal sanallaştırmanın yaygınlaşması göz önüne alındığında, bilgi sistemi oh ve iş kontrolünün gerçekleştirildiği mobil cihazların yaygın kullanımı mobil çalışanlar en önemli önceliklerden biridir.

Seçilen DLP sistemlerinin kurumsal BT ağı, şirketin kullandığı uygulamalar ile entegrasyonunu dikkate almak önemlidir. Veri sızıntısını başarılı bir şekilde önlemek ve kötüye kullanımı engellemek için harekete geçmek şirket bilgisi, bir istikrar kurmak gereklidir Veri Kaybını Önleme çalışması, Görevlere uygun fonksiyonelliği kurmak, şirket içi ile iş kurmak elektronik posta kutuları, USB sürücüler, haberciler, bulut depoları, mobil cihazlar ve büyük bir şirkette çalışma durumunda - ve SOC içindeki SIEM sistemiyle entegrasyon.

DLP sisteminin uygulanmasını uzmanlara emanet edin. Sistem entegratörü"Radius", DLP'yi standartlara ve düzenlemelere uygun olarak kurar ve yapılandırır bilgi Güvenliği, ayrıca müşteri şirketin özellikleri.

Herhangi bir DLP sisteminden en iyi şekilde yararlanmanıza yardımcı olacak bir dizi işaretçi sunuyoruz.

Veri Kaybını Önlemesistemler: bu nedir

DLP sistemlerinin (Veri Kaybı / Sızıntı Önleme) tüm kanalları kontrol etmenize izin verdiğini hatırlayın ağ iletişimişirketler (posta, İnternet, anlık mesajlaşma sistemleri, flash sürücüler, yazıcılar vb.). Bilgi sızıntısına karşı koruma, çalışanların tüm bilgisayarlarında bilgi toplayan ve sunucuya aktaran ajanların kurulu olması nedeniyle sağlanır. Bazen bilgi, SPAN teknolojileri kullanılarak bir ağ geçidi aracılığıyla toplanır. Bilgiler analiz edilir ve ardından sistem veya güvenlik görevlisi olayla ilgili karar verir.

Yani, şirketiniz bir DLP sistemi uyguladı. Sistemin etkin bir şekilde çalışması için hangi adımların atılması gerekiyor?

1. Güvenlik kurallarını doğru şekilde yapılandırın

100 bilgisayara hizmet veren bir sistemde "Sözleşme" kelimesiyle tüm yazışmaları düzelt" kuralı oluşturulduğunu düşünelim.Böyle bir kural, gerçek sızıntının kaybolabileceği çok sayıda olaya neden olacaktır.

Ek olarak, her şirket, olayları takip eden çalışanlardan oluşan bir kadroya sahip olmayı karşılayamaz.

Kuralların kullanım oranını artırmak için etkili kurallar oluşturmak ve bunların çalışmalarının sonuçlarını izlemek için araçlar kullanabilirsiniz. Her DLP sisteminde bunu yapmanızı sağlayan bir özellik vardır.

Genel olarak metodoloji, birikmiş olay veri tabanının analiz edilmesini ve ideal olarak günde 5-6 gerçekten acil olayın ortaya çıkmasına yol açan çeşitli kural kombinasyonlarının oluşturulmasını içerir.

2. Güvenlik kurallarını düzenli aralıklarla güncelleyin

Olay sayısındaki keskin düşüş veya artış, kuralların ayarlanması gerektiğinin bir göstergesidir. Sebepler, kuralın alaka düzeyini kaybetmesi olabilir (kullanıcılar erişimi durdurdu) belirli dosyalar) veya çalışanlar kuralı öğrendi ve artık sistem (DLP - eğitim sistemi) tarafından yasaklanan eylemleri gerçekleştirmiyor. Ancak uygulama, bir kuralın öğrenilmesi halinde komşu bir yerde olası sızıntı risklerinin arttığını göstermektedir.

İşletmenin çalışmalarında mevsimselliğe de dikkat etmelisiniz. bir yıl boyunca anahtar parametreler Firmanın yaptığı işin özelliğine göre değişiklik gösterebilir. Örneğin, küçük ekipman toptancısı için ilkbaharda bisikletler ve sonbaharda kar motosikletleri ilgili olacaktır.

3. Bir olay yanıt algoritması düşünün

Olay müdahalesine yönelik çeşitli yaklaşımlar vardır. DLP sistemlerini test ederken ve çalıştırırken, çoğu zaman insanlara değişiklikler hakkında bilgi verilmez. Olaylara katılanlar sadece gözlemlenir. Kritik bir kütle biriktiğinde, güvenlik departmanının veya personel departmanının bir temsilcisi onlarla iletişim kurar. Gelecekte, kullanıcılarla çalışmak genellikle güvenlik departmanı temsilcilerinin insafına bırakılır. Takımda mini-çatışmalar, olumsuzluklar birikiyor. Şirketle ilgili olarak çalışanların kasıtlı olarak sabote edilmesinde ortaya çıkabilir. Disiplin gerekliliği ile takımda sağlıklı bir atmosferin sürdürülmesi arasında bir denge kurmak önemlidir.

4. Engelleme modunun çalışmasını kontrol edin

Sistemde bir olaya yanıt vermenin iki modu vardır - sabitleme ve engelleme. Bir mektubun iletilmesi veya ekli bir dosyanın bir flash sürücüye eklenmesi engellenirse, bu kullanıcı için sorun yaratır. Çalışanlar genellikle saldırır sistem yöneticisi bazı işlevlerin kilidini açma istekleri, yönetim de bu tür ayarlardan memnun olmayabilir. Sonuç olarak, DLP sistemi ve şirket olumsuz alır, sistem itibarını kaybeder ve maskesi düşer.

5. Bir ticari sır rejiminin getirilip getirilmediğini kontrol edin

Belirli bilgileri gizli tutmanıza izin verir ve ayrıca bu bilgileri bilen herhangi bir kişinin ifşa edilmesi için tüm yasal sorumluluğu üstlenmesini zorunlu kılar. İşletmede faaliyet gösteren ticari sır rejimi kapsamında ciddi bir bilgi sızıntısı olması durumunda, ihlal eden kişi, 98-FZ "Ticari Sırlar Üzerine" uyarınca mahkeme aracılığıyla fiili ve manevi zarar miktarını tazmin edebilir.

DLP sistemleri bunlarla başarılı bir şekilde başa çıkmak için tasarlandığından, bu ipuçlarının şirketlerdeki kasıtsız sızıntıların sayısını azaltmaya yardımcı olacağını umuyoruz. Bununla birlikte, karmaşık bilgi güvenliği sistemi ve kasıtlı bilgi sızıntılarının özel dikkat gerektirdiği unutulmamalıdır. Var olmak modern çözümler, işlevsellik eklemenizi sağlayan DLP sistemleri ve kasıtlı sızıntı riskini önemli ölçüde azaltır. Örneğin, geliştiricilerden biri ilginç bir teknoloji sunuyor - gizli dosyalara şüpheli bir şekilde sık sık erişildiğinde, web kamerası otomatik olarak açılıyor ve kayda başlıyor. Şanssız adam kaçıranın bir mobil kamera kullanarak aktif olarak nasıl ekran görüntüsü aldığını kaydetmeyi mümkün kılan bu sistemdi.

Oleg Necheukhin, Bilgi Sistemleri Güvenlik Uzmanı, Kontur.Security

Belirli bir DLP sisteminin seçimi, gerekli veri güvenliği düzeyine bağlıdır ve her zaman ayrı ayrı seçilir. Bir DLP sistemi seçme ve şirketin BT altyapısına uygulama maliyetini hesaplama konusunda yardım için bir istek bırakın, en kısa sürede sizinle iletişime geçeceğiz.

Veri Kaybını Önleme sistemi nedir?

Veri Kaybını Önleme sistemi(İngilizce Veri Sızıntısı Önleme - veri sızıntısını önlemenin yolları) teknolojiler ve teknik cihazlar, gizli bilgilerin bilgi sistemlerinden sızmasını önleyen.

DLP sistemleri, veri akışlarını analiz eder ve korunan bilgi sisteminin belirli bir çevresi içindeki hareketlerini kontrol eder. Bunlar ftp bağlantıları, kurumsal ve web mail olabilir, yerel bağlantılar yazıcıya anlık iletiler ve veriler göndermenin yanı sıra. Akıştaki gizli bilgilerin dönüştürülmesi durumunda, veri akışının iletimini engelleyen sistem bileşeni etkinleştirilir.

Başka bir deyişle, DLP sistemleri bilgi sistemlerinden dışarıya sızması şirkette onarılamaz zarara neden olabilecek ve ayrıca 98-FZ "Ticari Sırlar Üzerine" ve 152-FZ " Sayılı Federal Yasaları ihlal edebilecek gizli ve stratejik açıdan önemli belgelerin üzerinde durun. Kişisel Veriler Hakkında”. Bilgilerin sızıntıya karşı korunması GOST'ta da belirtilmiştir. " Bilgi Teknolojisi. Bilgi güvenliği yönetimi için pratik kurallar” - GOST R ISO/IEC 17799-2005.

Kural olarak, gizli bilgilerin sızması, hem bilgisayar korsanlığı ve sızma sonucunda hem de dikkatsizlik, işletme çalışanlarının ihmali ve ayrıca içeriden kişilerin çabaları - gizli bilgilerin kasıtlı olarak aktarılması sonucunda gerçekleştirilebilir. işletmenin çalışanları tarafından. Bu nedenle DLP sistemleri, gizli bilgilerin sızmasına karşı koruma sağlamak için en güvenilir teknolojilerdir - korunan bilgileri, belgenin dili, yazısı, iletim kanalları ve biçimi ne olursa olsun içeriğe göre tespit ederler.

Ayrıca, Veri Kaybını Önleme sistemi bilgileri elektronik biçimde iletmek için günlük olarak kullanılan tüm kanalları kesinlikle kontrol eder. Bilgi akışları, oluşturulan güvenlik politikasına göre otomatik olarak işlenir. Bununla birlikte, gizli bilgilerin eylemleri şirket tarafından oluşturulan güvenlik politikasıyla çelişiyorsa, veri aktarımı engellenir. Aynı zamanda, şirketin bilgi güvenliğinden sorumlu yetkilisi, gizli bilgilerin aktarılmaya çalışıldığına dair uyarı içeren bir anlık mesaj alır.

Bir DLP sisteminin uygulanması, öncelikle işletmenin bilgi güvenliği düzeyi ile ilgili olarak PCI DSS standardının bir takım gereksinimlerine uygunluğu sağlar. Ayrıca, DLP sistemleri korunan bilgileri konumuna göre otomatik olarak denetler ve gizli bilgilerin şirket içinde taşınması, işlenmesi ve gizli bilgilerin yasa dışı ifşa olaylarının önlenmesi kurallarına göre otomatik kontrol sağlar. Olay raporlarına dayanan veri sızıntısı önleme sistemi, genel risk seviyesini izler ve ayrıca geriye dönük analiz ve anında müdahale modlarında bilgi sızıntısını kontrol eder.

DLP sistemleri hem küçük hem de büyük işletmelerde kurularak bilgi sızıntısı önlenir, bu sayede önemli kurumsal veya gizli bilgiler kaybolduğunda veya aktarıldığında ortaya çıkan mali ve hukuki risklerden şirketi korur.

Bugün, DLP sistemleri pazarı, tüm bilgi güvenliği araçları arasında en hızlı büyüyenlerden biridir. Ancak yurt içi bilgi güvenliği alanı, küresel trendlere tam olarak ayak uyduramamıştır ve bu nedenle ülkemizdeki DLP sistemleri pazarının kendine has özellikleri vardır.

DLP nedir ve nasıl çalışır?

DLP sistemleri pazarından bahsetmeden önce, bu tür çözümler söz konusu olduğunda aslında neyin kastedildiğine karar vermek gerekir. DLP sistemleri genellikle şu şekilde anlaşılır: yazılım ürünleri Kuruluşları gizli bilgi sızıntılarından koruyan. DLP kısaltmasının kendisi Veri Sızıntısı Önleme, yani veri sızıntılarının önlenmesi anlamına gelir.

Bu tür sistemler, tüm giden ve bazı durumlarda gelen bilgileri analiz ederek kuruluş çevresinde güvenli bir dijital "çevre" oluşturur. Kontrol edilen bilgiler yalnızca İnternet trafiği değil, aynı zamanda bir dizi başka bilgi akışı da olmalıdır: korumalı güvenlik döngüsünün dışına harici ortamda alınan, yazıcıda yazdırılan, Bluetooth aracılığıyla mobil ortama gönderilen vb. belgeler.

DLP sistemi gizli bilgilerin sızmasını önlemesi gerektiğinden, durdurulan trafikte tespit edilen bir belgenin gizlilik derecesini belirlemek için mutlaka yerleşik mekanizmalara sahiptir. Kural olarak, iki yöntem en yaygın olanıdır: özel belge işaretçilerini ayrıştırarak ve belgenin içeriğini ayrıştırarak. Şu anda, ikinci seçenek daha yaygındır çünkü gönderilmeden önce belgede yapılan değişikliklere dayanıklıdır ve ayrıca sistemin çalışabileceği gizli belge sayısını kolayca artırmanıza olanak tanır.

"Yan" DLP görevleri

DLP sistemleri, bilgi sızıntılarının önlenmesi ile ilgili ana görevlerine ek olarak, personel eylemlerinin kontrolü ile ilgili bir dizi başka görevi çözmek için de çok uygundur.

Çoğu zaman, DLP sistemleri aşağıdaki temel olmayan görevleri kendileri için çözmek için kullanılır:

• çalışanlar tarafından çalışma süresinin ve çalışma kaynaklarının kullanımının izlenmesi;
• kuruma zarar verebilecek "gizli" mücadeleleri tespit etmek için çalışanların iletişimini izlemek;
• çalışanların eylemlerinin meşruiyeti üzerinde kontrol (sahte belgelerin basılmasının önlenmesi, vb.);
• boş bir pozisyon için hızlı uzman arama için özgeçmiş gönderen çalışanların belirlenmesi.

Pek çok kuruluşun bu görevlerin bir kısmını (özellikle çalışma süresinin kullanımının kontrolü) bilgi sızıntılarına karşı korumadan daha yüksek bir öncelik olarak görmesi nedeniyle, bunun için özel olarak tasarlanmış bir dizi program ortaya çıkmıştır, ancak bazılarında vakalar ayrıca kuruluşu sızıntılardan korumanın bir yolu olarak da çalışabilir. Bu tür programları tam teşekküllü DLP sistemlerinden ayıran şey, yalnızca tamamen uygun olan bir bilgi güvenliği uzmanı tarafından manuel olarak gerçekleştirilmesi gereken, ele geçirilen verileri analiz etmek için gelişmiş araçların olmamasıdır. küçük organizasyonlar(en fazla on denetlenen çalışan).

En moda BT terimleri bile uygun ve mümkün olduğunca doğru kullanılmalıdır. En azından tüketiciyi yanıltmamak için. Kendinizi bir DLP çözüm üreticisi olarak sınıflandırmak kesinlikle moda oldu. Örneğin, son CeBIT-2008 fuarında, "DLP çözümü" yazısı, yalnızca dünyada az bilinen antivirüslerin ve proxy sunucularının değil, güvenlik duvarlarının da üreticilerinin standlarında sıklıkla görülebiliyordu. Bazen, bir sonraki köşede, kurumsal bir DLP çözümünün gururlu sloganıyla bir tür CD fırlatıcı (CD sürücüsünün açılmasını kontrol eden program) görebileceğiniz hissi vardı. Ve garip bir şekilde, bu üreticilerin her birinin, kural olarak, ürünlerinin bu tür konumlandırılması için az çok mantıklı bir açıklaması vardı (tabii ki, modaya uygun bir terimden bir "gesheft" alma arzusuna ek olarak).

DLP sistemi üreticilerinin ve ana oyuncularının pazarını ele almadan önce, bir DLP sistemi ile ne kastettiğimizi tanımlamak gerekir. Bu bilgi sistemleri sınıfını tanımlamaya yönelik birçok girişimde bulunulmuştur: ILD&P - Bilgi Sızıntısı Tespiti ve Önleme ("bilgi sızıntılarının belirlenmesi ve önlenmesi", terim 2007'de IDC tarafından önerilmiştir), ILP - Bilgi Sızıntısı Koruması ("bilgi sızıntılarına karşı koruma") ”, Forrester , 2006), ALS - Sızıntı Önleme Yazılımı (“anti-leakage software”, E&Y), İçerik İzleme ve Filtreleme (CMF, Gartner), Extrusion Prevention System (Saldırı önleme sistemine benzer).

Ancak 2005 yılında önerilen DLP - Veri Kaybını Önleme (veya Veri Sızıntısını Önleme, veri sızıntılarına karşı koruma) adı, yine de yaygın olarak kullanılan bir terim olarak kabul edildi: "gizli verileri içeriden gelen tehditlere karşı koruma sistemleri" ifadesi. Aynı zamanda, iç tehditler, ilgili verilere, yetkilerine erişmek için yasal haklara sahip olan kuruluş çalışanları tarafından kötüye kullanım (kasıtlı veya kazara) olarak anlaşılır.

DLP sistemlerine ait olmak için en tutarlı ve tutarlı kriterler, Forrester Research tarafından bu pazarla ilgili yıllık çalışmaları sırasında ortaya konmuştur. Bir sistemin DLP olarak sınıflandırılabileceği dört kriter önerdiler. 1.

Çok kanallı. Sistem, birkaç olası veri sızıntısı kanalını izleyebilmelidir. Bir ağ ortamında bu, en azından e-posta, Web ve IM'dir (anlık mesajlaşma programları) ve yalnızca posta trafiğini veya veritabanı etkinliğini taramaz. Açık iş istasyonu- dosya işlemlerinin izlenmesi, pano ile çalışmanın yanı sıra e-posta, Web ve IM denetimi. 2.

birleşik yönetim Sistem, tüm izleme kanallarında bilgi güvenliği politikasını, analizini ve olayların raporlanmasını yönetmek için birleşik araçlara sahip olmalıdır. 3.

Aktif koruma. Sistem, yalnızca güvenlik politikası ihlallerini tespit etmekle kalmamalı, aynı zamanda gerekirse bunu uygulatmalıdır. Örneğin, şüpheli mesajları engelleyin. 4.

Bu kriterlere dayanarak, 2008'de Forrester inceleme ve değerlendirme için 12 üreticiden oluşan bir liste seçti. yazılım(aşağıda alfabetik sırayla listelenmiştir, DLP sistemleri pazarına girmek için bu satıcı tarafından emilen şirketin adı parantez içinde belirtilmiştir):

1. yeşil kod;
2. Bilgi İzleme;
3. McAfee (Onigma);
4. orkestra;
5. yeniden bağlanmak;
6. RSA/EMC (Tablo);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. vericept;
11. Websense(PortAuthority);
12. iş paylaşımı.

Bugüne kadar, yukarıdaki 12 satıcıdan yalnızca InfoWatch ve Websense, Rusya pazarında bir dereceye kadar temsil edilmektedir. Geri kalanlar ya Rusya'da hiç çalışmıyor ya da DLP çözümleri (Trend Micro) satmaya başlama niyetlerini yeni açıkladılar.

Analistler (Forrester, Gartner, IDC), DLP sistemlerinin işlevselliğini göz önünde bulundurarak koruma nesnelerinin - izlenecek bilgi nesnesi türlerinin - kategorizasyonunu sunar. Bu tür bir sınıflandırma, ilk yaklaşım olarak belirli bir sistemin kapsamını değerlendirmeye izin verir. İzleme nesnelerinin üç kategorisi vardır.

1. Hareket halindeki veriler (hareket halindeki veriler) - mesajlar E-posta internet çağrı cihazları, eşler arası ağlar, dosya aktarımı, Web trafiği ve iletişim kanalları üzerinden gönderilebilen diğer mesaj türleri. 2. Durağan veriler (depolanan veriler) - iş istasyonları, dizüstü bilgisayarlar, dosya sunucuları, özel depolar, USB cihazları ve diğer veri depolama cihazları türleri hakkında bilgiler.

3. Kullanımdaki veriler (kullanımdaki veriler) - içinde işlenen bilgiler şu an.

Şu anda pazarımızda DLP sistemlerinin bazı özelliklerine sahip yerli ve yabancı yaklaşık iki düzine ürün bulunmaktadır. Kısa bilgi onlar hakkında yukarıdaki sınıflandırma ruhu içinde Tablo'da listelenmiştir. 1 ve 2. Ayrıca tabloda. 1, "merkezi veri depolama ve denetim" gibi bir parametre sunmuştur; bu, sistemin, daha fazla analiz ve denetim için verileri tek bir depoda (tüm izleme kanalları için) depolama yeteneğini ifade eder. Bu işlevsellik, son zamanlarda yalnızca çeşitli yasal düzenlemelerin gereklilikleri nedeniyle değil, aynı zamanda müşteriler arasındaki popülerlik nedeniyle (deneyime göre) özel bir önem kazanmıştır. uygulanan projeler). Bu tablolarda yer alan tüm bilgiler kamuya açık kaynaklardan ve ilgili şirketlerin pazarlama materyallerinden alınmıştır.

Tablo 1 ve 2'deki verilere dayanarak, bugün Rusya'da yalnızca üç DLP sistemi olduğu sonucuna varabiliriz (InfoWatch, Perimetrix ve WebSence'den). Ayrıca, birkaç kanalı kapsayacağından ve birleşik bir güvenlik politikaları yönetimine sahip olacağından, yakın zamanda duyurulan Jet Infosystems (SKVT + SMAP) entegre ürününü de içerir.

Bu ürünlerin Rusya'daki pazar paylarından bahsetmek oldukça zordur, çünkü adı geçen üreticilerin çoğu satış hacimlerini, müşteri sayısını ve korunan iş istasyonlarını açıklamazlar ve kendilerini yalnızca pazarlama bilgileriyle sınırlarlar. Kesin olarak şu anda ana tedarikçilerin şunlar olduğunu söyleyebiliriz:

• 2001 yılından beri piyasada bulunan dozor sistemleri;
• 2004'ten beri satılan InfoWatch ürünleri;
• WebSense CPS (2007'de Rusya'da ve tüm dünyada satılmaya başlandı);
• Perimetrix (ürünlerinin ilk versiyonu 2008 sonunda web sitesinde duyurulan genç bir şirket).

Sonuç olarak, DLP sistemleri sınıfına ait olup olmamanın ürünleri daha kötü veya daha iyi yapmadığını eklemek isterim - bu sadece bir sınıflandırma meselesidir, daha fazlası değil.