Файл: Системы предотвращения утечек конфиденциальной информации DLP.pdf
Добавлен: 18.06.2023
Просмотров: 100
Скачиваний: 3
Вся информация, записанная пользователем на внешнем носителе, незаметно копируется в защищенное хранилище на локальном компьютере и затем передается на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывает на устройства, и расширяет возможности аудита, позволяя расследовать потенциальные инциденты.
Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это делает теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности предприятия получать только ту информацию, которая ей нужна. [15].
Дополнительно в Zlock реализовано теневое копирование распечатываемых документов. Это дает возможность контролировать действия пользователей даже в том случае, если им разрешено использование принтеров, но необходимо точно знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная информация и сам распечатанный документ в формате PDF.
Сервер журналирования
В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.
Клиентские модули Zlock записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.
Сервер журналов может записывать информацию о событиях в базу данных Microsoft SQL Server, Oracle Database или в XML-файлы. Использование для хранения событий Microsoft SQL Server или Oracle Database позволяет обеспечить более высокую надежность и производительность.
Zlock Enterprise Management Server
Zlock EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с Zlock Enterprise Management Server происходит с заданной администратором периодичностью и включает в себя проверку текущих политик и настроек агентов и их обновление в случае необходимости. Синхронизация происходит по защищенному каналу и может распространяться как на всю сеть, так и на определенные домены, группы или компьютеры.
Контроль целостности Zlock
Zlock имеет возможность проверять целостность файлов и настроек Zlock. Если некоторые компоненты Zlock были изменены несанкционированно, только администратор сможет получить доступ к системе. Это защитит Zlock от изменений пользователя и вредоносных программ.. [16].
2.5 McAfee Host Data Loss Prevention
Система защиты от утечек, основанная на агентском контроле использования конфиденциальной информации.
McAfee Host DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.
Вычислительная часть решения McAfee Host DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа - агентский модуль McAfee Host DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.
Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности политике, на защищаемые документы "навешиваются" метки. Эти метки существуют в параллельных потоках NTFS и не видны невооруженным взглядом.
Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.
Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.
В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:
По результатам работы агентских программ статистика инцидентов централизованно собирается на управляющий сервер McAfee ePolicy для анализа.
Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:
Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
Clipboard Protection Rule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание "финансовый отчет" из программы Excel в Word может быть запрещено;
Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;
4. Правило безопасности сетевой файловой системы. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;
5. Правило защиты сети. Позволяет блокировать передачу конфиденциальной информации по сетевым протоколам TCP;
6. Правило защиты печати. Позволяет проводить анализ и, при необходимости, блокировать печать документов, если содержание документов, отправляемых на печать, содержит конфиденциальную информацию;
7. Правило защиты PDF / Image Writers. Позволяет проводить анализ и при необходимости блокировать печать документов в формате файла или PDF;
8. Съемное правило защиты памяти. Позволяет обнаруживать и при необходимости блокировать передачу конфиденциальной информации на внешнюю поддержку;
9. Правило защиты экрана захвата. Позволяет заблокировать выполнение операции «Печать экрана» для некоторых приложений;
10. Правило защиты веб-поста. Это позволяет перехватывать пост-запросы в Internet Explorer, например, исходящие сообщения электронной почты на веб-почту (mail.ru, yandex.ru).
Websense Data Security Suite (DSS)
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.
Решение состоит из нескольких модулей:
Data Discover - модуль, осуществляющий сканирование корпоративной сети (компьютеров, серверов) и поиск разбросанной конфиденциальной информации;
Data Protect - модуль, осуществляющий анализ исходящего трафика по всем каналам передачи, мониторинг и блокирование утечки;
Data Monitor - модуль, аналогичный Data Protect, только без блокирования;
Data Endpoint - модуль, осуществляющий контроль конечных рабочих станций, ноутбуков на локальное перемещение конфиденциальной информации и контроль запуска приложений. [17].
Схема работы Websense DSS не отличается от классической для DLP-систем:
Подготовка перечня секретной информации
Чтобы решение DSS Websense работало с клиентом, вы должны сначала изолировать и классифицировать конфиденциальную информацию, которую вы планируете защищать. Электронные документы должны быть расположены в папках с файлами.
Внедренная система Websense DSS свяжется с хранилищем защищенных документов и баз данных дыни, снимет отпечатки пальцев с подготовленных документов.
Администратор безопасности устанавливает правила реагирования на перемещение секретных документов.
Если конфиденциальный документ попадает в поток трафика, система Websense DSS точно определит, из какого источника взят документ, какой пользователь отвечает за доступ к информации такого типа, какие действия следует предпринять в связи с этой попыткой нарушения безопасность.
Моментально о нарушении узнаёт ответственное лицо, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о досылке письма, либо возбуждении расследования.
Возможности решения далеко не ограничены предполагаемым сценарием. Например, система Websense DSS способна с высокой степенью вероятности обнаруживать стандартные структурированные документы, такие как резюме сотрудников, финансовые отчеты, паспортные данные, в том числе на русском языке. [17]
Websense DSS может быть интегрирован с инфраструктурой вашего клиента различными способами.
Рассмотрим один из распространенных вариантов. Чтобы установить решение Websense DSS, вам потребуется как минимум один HP DL380 DSS Manager, который будет анализировать весь трафик компании. Кроме того, может быть рекомендован другой сервер-перехватчик «DSS Protector», уровень HP DL360. Всего 2 сервера на компанию, до 5000 пользователей, передающих электронные сообщения через центральный офис.
Websense DSS может быть установлен и работает в «прозрачном режиме» - для мониторинга трафика (без изменений, - опция безопасности):
Рисунок 3 - "Прозрачный" режим работы Websense DSS
Так и в разрыв исходящего трафика (для мониторинга и предотвращения утечек):
Рисунок 4 - Режим разрыва исходящего трафика
На схемах сервера Websense обозначены как "Фильтр" и "Перехватчик". Для обеспечения контроля информации, сохраняемой на внешние носители, "перехватчиком" будет являться агентская программа Websense Data Endpoint, устанавливаемая непосредственно на рабочие станции пользователей или ноутбуки.
При необходимости обеспечения централизованной обработки трафика от нескольких территориально распределенных офисов холдинга заказчика, выстраивается иерархия из серверных компонент Websense. [18].
Заключение
Внедрение систем DLP уже давно стало не только модой, но и необходимостью, поскольку утечка конфиденциальных данных может нанести огромный ущерб бизнесу, но, что наиболее важно, не оказывает мгновенного, но длительного воздействия на его бизнес. Кроме того, ущерб может быть не только прямым, но и косвенным. Потому что помимо основных убытков, особенно в случае разглашения информации об инциденте, ваша компания «теряет лицо». Очень сложно оценить ущерб от потери репутации в деньгах! Конечной целью создания системы, обеспечивающей безопасность информационных технологий, является предотвращение или минимизация вреда (прямого или косвенного, материального, морального или иного), причиненного субъектам информационных отношений неблагоприятными последствиями. информация, ее носители и процессы обработки.
Как показывают опубликованные данные опроса Deloitte ведущих мировых финансовый компаний, 49% респондентов зафиксировали внутренние инциденты (связанные с IT-безопасностью). В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов.18% организаций стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор - 42%, операционные ошибки - 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов именно из-за того, что инсайдеры целенаправленно допустили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих, а 75% вводят различные ограничительные меры на использование тех или иных технологий либо устройств.
По данным исследовательского центра компании InfoWatch, специализирующейся на производстве и продаже систем DLP, за 2008 год - 42% утечек информации происходит неумышленно по неаккуратности или забывчивости пользователей, вследствие нарушений политик корпоративной безопасности организаций. Более 40% информации уходит по Интернет-каналам, и 30% - по мобильным устройствам. Более 65% информации утекает из коммерческих предприятий, около 20% из образовательных и 24% из государственных предприятий.
Системы DLP на сегодняшний день - наиболее эффективный инструмент для защиты конфиденциальной информации, и актуальность данных решений будет со временем только увеличиваться. Согласно статье 19 ФЗ-№152 ("Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий") и пункту 11 Постановления РФ-№781 ("при обработке персональных данных в информационной системе должно быть обеспечено проведение мероприятий, направленных на предотвращение … передачи их лицам, не имеющим права доступа к такой информации") необходимо выполнить требования, которые именно системы DLP в состоянии наиболее эффективно решить.