Файл: Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем.pdf

Ещё одной значимой направленностью в области DLP считается поэтапной трансформирование в модульную структуру. Позволяющие покупателю самостоятельно выбрать компоненты для системы необходимые в виду специфики его работы, обеспечивая большую экономию на функциональность по самостоятельному выбору. Немаловажную значимость в формирование DLP-систем оказывает отраслевая специфика. Позволяя достаточно уверено, ожидать выпуск систем, адаптированных специально под нужды банков, госучреждений и т.д., удовлетворяя потребности организаций.

Правильная DLP

Существенным причиной, оказывающим большое влияние в формирование DLP-систем, считается продвижение ноутбуков а также нетбуков в корпоративных сферах. Особенность лэптопов (деятельность за пределами коллективной сферы, допустимость кражи данных в совокупности с самим устройством и т.д.) вынуждает изготовителей DLP-систем создавать принципиально свежие комбинация для сохранности переносных устройств. Имеет смысл выделить, то, что на сегодняшний день только единицы продавцов могут представить клиенту функцию контролирования ноутбуков, нетбуков и других устройств собственной DLP-системой.

Также система должна учитываться в согласования стандарта для документации предприятия, которая должно соответствовать законам стран, где располагается фирмы. В данной работе это будет законодательство Российская Федерация, а именно Федеральный закон «Об информации, информационных технологиях и о защите информации». И в соответствии с Федеральным законом такой документ зафиксирован на материальном носителе информация с реквизитами, позволяющими её идентифицировать, что даёт ему два отличительных свойствами: многофункциональностью (регистрация информации, передача, обработка и хранение) и наличием юридической силы.

С момента тотальной компьютеризации прошло несколько десятилетий,

за которые множество компаний успели обзавестись большими объёмами

интеллектуальной собственности, персональных данных работников и т.д. Все

эти данные являются конфиденциальными, что приводит к необходимости их

защиты от утечек. Для такой задачи создан целый сегмент продуктов – DLP

системы.

Изначально, основной задачей DLP систем была защита от утечек

данных, путём анализа передаваемой информации по всем возможным каналам

и обнаружения несанкционированной передачи конфиденциальных данных. В

случае обнаружения – блокирование, запись в лог и оповещение

администратора безопасности. Однако со временем DLP-системы значительно

расширили круг решаемых задач. Появились возможности:

1. выявления, сбора и хранения информации (eDiscovery);

2. шифрования (Encryption);

3. контроля за действиями персонала и повышения его

производительности (Employee Management Software и Productivity

Control).

Наиболее интересной, с точки зрения данной работы, является

eDiscovery. Изначально этот термин применялся к судебным расследованиям и

означал процесс, с помощью которого организации находят, получают и

сохраняют электронные документы. Примерами можно назвать судебные

тяжбы между Apple и Samsung, антимонопольные обвинения в сторону

Microsoft, где главными уликами являлись электронные письма руководства.

Впоследствии, значение понятия расширилось и получило широкое

применение для обозначения отдельного модуля в составе DLP-систем,

отвечающего за поиск информации в локальной сети, рабочих станциях и

файловых серверах компании. Основная задача подобных модулей –

недопущение распространения КИ в локальной сети, что является серьёзной

проблемой. Причиной для этого, зачастую, является халатность персонала.

Примером может быть ситуация, когда сотрудник считает, что с документом

удобнее работать локально и в нарушение политики конфиденциальности

копирует документ, находящийся в защищённом хранилище, на рабочую

станцию. При этом существенно увеличивается круг лиц, получающих

возможность ознакомиться с информацией. В случае, если документ оказался

на рабочей станции, то, как правило, прочитать его может любой

авторизовавшийся сотрудник.

В итоге, с помощью eDiscovery-модулей DLP-систем решается

задача контроля информации внутри локальной сети организации.

2.2 Примеры и анализ существующих DLP систем.

Для начала стоит ознакомиться с особенностями выбора DLP-систем и оптимальным выбором. В решение DLP в первую очередь важна его способность предотвратить утечку информации по максимальному числу каналов передачи данных, которые используются на предприятии. Поэтому при выборе системы важно обращать внимание на возможности контроля не только классической электронной почты, файловой передачи и VoIP-звонков, но и популярные сегодня система мгновенного обмена сообщениями (мессенджеры) Discord, WhatsApp, Telegram, Viber и др., а также интернет сервисы.

Следующим значимый условие будет быстрота обрабатывания информации. Анализ по базе имеющихся данных должен осуществляется в максимально короткие сроки, не превышавшие по длительности запрос в интернет-поисковике. Большой компании необходимо сосредоточить интерес также на требования к аппаратной платформе, вследствие того что и те же функции у разных изготовителей DLP выполнены по своим критериям, влияя тем самым на ценовое решение. В целостном плане наиболее распространённые в обороте системы приблизительно схожим перечнем возможностей также как и концептуально одинаковым построением архитектуры верхних уровней безопасности. Рисунок 1.

Многочисленные решения DLP содержат систему контроля хранения, использования и перемещения любых документов в корпоративной среде.

К перечню возможностей блокировок передачи сведений или устанавливаемых соединений стоит относиться критически и перед его использованием тщательно изучить алгоритмы принятия соответствующих решений. Такое предостережение связано с тем, что зачастую политики безопасности строятся на основе лингвистических и статистических алгоритмов определения инцидентов безопасности, которые по определению не являются точными. Поэтому, излишне увлёкшись блокировками, есть риск получить огромное количество ложных срабатываний. Стоит отметить, что некоторые разработчики систем DLP применяют более точные методы при блокировках (например, на основе меток), которые, впрочем, также имеют свои ограничения к применению.

Отдельное внимание стоит уделить проработки системы в плане взаимодействия с пользователем, удобство работы консоли управления и решения аналитических возможностей. Последним, например, относятся интеллектуальная блокировка инцидентов, ликвидации «Личного дела» сотрудников, информацией об их активностях с автоматической привязкой всех учётных записей и построением связей, информативные отчёты о попытках нарушения политик информационной безопасности, настраиваемые средства визуализации результатов анализа, удобный поиск по событиям, гибкий конструктор политик. При этом очень важно, чтобы понимание всего разнообразия функций и возможностей был на интуитивно понятном уровне, доступным администратору на любом устройстве и не требовала большого времени на понимания его работы.

Кроме озвученного перечня возможностей также следует, учитывать особенности в развёртывания и последующей поддержи. Повседневная практика показывает, что укрепление и развитие структуры за счёт компании приводит росту трудозатрат и увеличению сроков реализации проекта. Внедрение сетевых компонентов потребует изменения существующей инфраструктуры или окажет негативное влияние на производительность в целом.

Также в конечном итоге, немаловажно дать оценку способности поставщикам DLP-систем, здесь следует взять во внимание его опыт в разработки, историю реализованных проектов, скорость реакции на обращения заказчиков, качество технической поддержки, стоимость самого внедрения и последующие затраты на его обслуживание. Все эти параметры проверяются каждым заказчикам в отдельности. Со стороны подобного рода оценку выполнить весьма затруднительно. В помощи определения стоит составить сравнительный список выбора путём объективного сравнения с самых распространённых DLP-систем на рынке по ключевым функциям.

Суммируя всё это можно составить следующий список требований и критерий для систем:

• Механизмы контроля каналов, пользователей
• Возможность интеграции
• Работа с собранными данными
• Возможности по хранение, отчётность и анализу событий
• Производительность
• Реакция на инциденты
• Аналитические возможности
• Системные требования
• Схемы поставки

Все рассматриваемые примеры будут затрагивать только российский рынок, поскольку на нём его предложения имеют определённые различия в архитектуре, политике лицензирования, функциональных возможностях и аналитических методах по сравнению с импортными аналогами. При этом ничем не уступая зарубежным, а в отдельных случаях даже превосходя их.

Наиболее известными представителями рынка DLP систем являются:

1. «InfoWatch» — INFOWATCH TRAFFIC MONITOR
2. «Falcongaze» — SecureTower
3. «Ростелеком-Солар» — Solar Dozor
4. «Zecurion» — Zecurion DLP(Zdiscovery, Zgate, Zlock, SWG, Zserver )

Важно отметить, что каждый производитель имеет собственную политику лицензирования и поставки продуктов, из-за чего некоторые их возможности распределены по отдельности. Обобщая вышесказанное составим таблицу по функционалу обозначенных систем.

Сравнительный анализ Российских DLP систем

Проведённый сравнительный анализ позволяет выявить, что в процессе развития своих продуктов производители стараются перенимать лучшие практике друг у друга, обогащая функционал, как на основании общих тенденций рынка, так и с учётом пожеланий своих заказчиков. Однако есть минусы с интересными моментами, которые связанные с собственной уникальной технологической стратегией и особенностями позиционирования, характерные для каждого решения. Осветим некоторые из них.

Infowatch Traffic monitor.

Плюсы:

• Агенты под Astra Linux отечественного производства, также на мобильные устройства.
• Большое число технологий определения и разбора сведений.
• Поддержка морфологии огромного количества языков.
• Широкий пакет отделанных лингвистических словарей.
• Модуль поведенческой аналитики.
• Интеграция с альтернативными решениями.
• Наличие ряда глубоких консалтинговых компетенций.

Минусы:

• Политика лицензирования, никак не учитывает отдельные модули и технологии.
• Анализ доступных в прессе сведений о публичных поставках позволяет говорить о стоимости внедрения решения, как «выше рынка».
• Высокая модульность решения на текущий момент может частично препятствовать удобному управлению через единую консоль.

Zecurion DLP. (Zgate, Zlock, Zdiscovery)

Плюсы:

• Широкий набор зрелых технологий по распознаванию и анализу.
• Наличие в ассортименте производителя полного комплекса продуктов по направлениям близким к DLP и защите от внутренних угроз.
• Единственное (пока) отечественное решение на рынке с агентом под MacOS.
• Предоставление производителем полного спектра консалтинговых услуг по информационной безопасности.
• Единый веб-интерфейс анализа оперативной обстановки и отчетности.
• Тесная интеграция с большим числом собственных продуктов.
• Поведенческая аналитика.

Минусы:

• В состав комплексного DLP-решения входят отдельные продукты, каждый из которых, в общем случае, со своей системой лицензирования, установки и управления.
• Нет контроля IP-телефонии.
• Наличие сертификата ФСТЭК только на один (не основной) продукт в составе всего решения.

SecureTower.

Плюсы:

• Низкие системные требования.
• Интеграция с сетевым решение EtherSensor.
• Анализ общедоступных в сети данных об общественных поставках даёт возможность заявить о стоимости внедрения решения, как «ниже рынка».
• Высокая скорость внедрения при наличии всех классических технологий контроля.
• Наличие широких возможностей по блокировкам.
• Поддерживается контроль над мессенджерами, как современными, так и устаревшими.
• Удобная система лицензирования и масштабирования.