Файл: Системы предотвращения утечек конфиденциальной информации (DLP)..pdf

Потрясающее качество изображения и долговечность

Используя DLP технологию можно забыть о свойственном плазменным панелям и ЭЛТ телевизорам эффекте выгорания экранных пикселей. Так как данная технология не использует ни электроннолучевые трубки, ни фосфор, здесь нечему выгорать. Это означает, что можно не беспокоиться о том, что долго «висящий» на экране логотип телеканала или статичный элемент в заставке игры останется на экране выгоревшим контуром^[10].

Недостатки DLP-систем.

Большинство важной информации хранится не в файлах, а в информационных системах (CRM, 1С и т.д.), которые намного сложнее контролировать

Если изменить формат данных, то DLP система не сможет их отследить. Например, если изменить номер кредитных карт с XXXX-XXXX-XXXX-XXXX на AXXXX, BXXXX, CXXXX, DXXXX, то DLP система не посчитает их важными и пропустит

Постоянный контроль за использованием данных сильно загружает ресурсы как ПК сотрудника, так и всей компании

Программное обеспечение стоит дорого, а для внедрения требуется команда специалистов, или иногда систему нужно дорабатывать под конкретную фирму, что опять же стоит денег. Но сколько бы все это не стоило, оно оправдывает себя.

Глава 2. Принцип работы DLP системы

2.1 Принцип работы DLP системы

Создаваемые DLP системы, является распределенным программно‑аппаратным комплексом, который состоит из большого числа модулей разного назначения. Часть модулей функционирует на выделенных серверах, часть модулей расположено на рабочих станциях работников предприятия, часть модулей находится на рабочих местах работников службы безопасности.

Как правило, выделенные сервера используются для хранения баз данных реже для модулей анализа информации. Все DLP системы состоят из этих модулей, так как они можно сказать, являются «ядром» DLP‑системы.

База данных служит хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, которые попали в поле зрения системы за конкретный период наблюдения. Для некоторых систем свойственно то, что в базе данных может хранится копия всего сетевого трафика фирмы, который был перехвачен в течение определенного периода времени.

Модули анализа информации занимаются анализом текстов, который был извлечен другими модулями из разных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. Для некоторых DLP систем можно извлекать текст из изображений и распознавание перехваченных голосовых сообщений. После того, как текст извлечен выполняется его анализ, то есть выполняется сопоставление с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.

Для того, что бы выполнить контроль над действиями работников на их рабочие станции следует установить специальные агенты. Эти агенты должны быть защищены от вмешательства пользователя в свою работу (хотя в реальности это не всегда так) и может вести как пассивное наблюдение за его действиями, так и активно препятствовать тем из них, которые пользователю запрещены политикой безопасности компании. Перечень контролируемых действий может ограничиваться входом/выходом пользователя из системы и подключением USB‑устройств, а может включать перехват и блокировку сетевых протоколов, теневое копирование документов на любые внешние носители, печать документов на локальные и сетевые принтеры, передачу информации по Wi‑Fi и Bluetooth и много другое. Есть DLP-системы, которые записывают все нажатия на клавиатуре и сохраняют копий экрана, но как правило это не применяется на практике.

В составе обычной DLP-системы есть модуль управления, цель которого - мониторинг работы системы и ее администрирования. Данный модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.

Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, который позволяет настраивать политику безопасности фирмы, отслеживать ее нарушения, проводить их детальное расследование и формировать необходимую отчетность.^[11]

2.2 Схемы функционирования DLP системы

Далее рассмотрим принцип функционирования DLP системы.

Стандартная схема функционирования DLP-систем показана на рисунке 1.

Рисунок 1. Схема функционирования DLP-системы

DLP-система состоит из следующих основных подсистем:

1) Средства перехвата информации, которая передается по внешним каналам. Сюда относятся драйверы для контроля вывода информации на печать, драйвера для контроля подключаемых устройств, межсетевые экраны, контролирующие сетевой трафик и т.д.

2) Категоризатор, это «ядро» DLP-системы. Работа категоризатора состоит в анализе транслируемой информации, в результате которого однозначно определяется категория. Процесс определения категории и конфиденциальности информации на основе смысловой близости принято называть категоризацией информации.

3) Средства реагирования и регистрации. С помощью категоризатора определяется степень конфиденциальности, затем DLP-система реагирует в соответствии с системными настройками - производится блокирование передачи конфиденциальной информации, либо производится оповещение (сигнализация) администратора безопасности о несанкционированной передаче (утечке) информации.

Что бы лучше понять как работает категоризатов, его стандартная схема работы категоризатора DLP-системы показана на рисунке 2.

Рисунок 2. Стандартная схема категоризатора

Категоризатор состоит из следующих составных элементов:

1) Словари категорий предметной области используются для категорирования информации по нахождению в анализируемом тексте определенного количества слов из словаря определенной категории. Для того, что бы не было проблем в будущем с работой системы, для разработки словарей рекомендуется воспользоваться услугами специалистов по лингвистическому анализу.

2) Анализатор – представляет собой основной элемент категоризатора. Анализатор выполняется поиск в анализируемом тексте ключевых слов по словарям для определения принадлежности к той или иной категории. Современные DLP-системы предлагают для повышения эффективности поиска ввод весовых коэффициентов для отдельных ключевых слов в словаре. При анализе применяется математический аппарат, а именно статистические и вероятностные методы. Обычно применяется метод Байеса для подсчета вероятности того, что анализируемый текст относится к определенной категории. Но как правило процесс анализа к поиску в тексте ключевых слов по тематическому словарю и категорированию с помощью байесовского метода по заранее установленным весовым коэффициентам.

3) Обработчик результатов используется для обработки и вывода результатов работы категоризатора информации. Выделение данного элемента обусловлено тем, что возможна ситуация, когда анализируемый текст будет отнесен сразу к нескольким категориям. В этом случае обработчик результатов и должен обеспечить гибкую логику работы в зависимости от пользовательских настроек^[12].

Глава 3. Пример DLP-системы

3.1 Описание программы SecureTower

Компания Falcongaze является производителем DLP-системы SecureTower. Эта система разрабатывалась для защиты данных, утечка которых может произойти через внешние накопители. Суть данной программы в то, что она выполняет контроль всех активных USB-устройств (подключаемых жестких дисков и флеш-носителей) и буфера обмена^[13].

Выбор данного метода проверки состоит в том, что множество умышленных хищений данных выполняется именно путем несанкционированной передачи файлов на сторонние USB-устройства. Так как USB-устройства популярны, широко используются во многих фирмах, а с другой стороны они удобны для незаметного выноса информации. Следует отметить, что не составляет труда в восстановлении информации если она была удалена, например, без использования низкоуровневого форматирования. Хозяин устройства может даже не знать, что он владелец ценной информации.

В DLP-системе SecureTower создан уникальный механизм, который позволяет при отправлении файла на съемный накопитель, создавать теневую копию ценного документа, которая впоследствии анализируется на указанные правила безопасности. Так же можно проверить атрибуты отслеженного файла, так и его содержимое^[14].

Встроенные программные средства в систему позволяют запускать в рабочей сети фирмы только корпоративные съемные накопители, или можно составить список компьютеров, где активация всех USB-девайсов будет разрешена. Система SecureTower умеет контролировать данные конкретного типа.

Еще система обладает возможностью блокировки защищенных файлов для различных групп пользователей. Например, SecureTower сможет не только ограничить доступ к USB-портам работникам, которые управляют корпоративные базы данных, но и разрешить подключение флеш-накопителей людям, которые работают удаленно^[15].

• Таким образом, можно сказать, что система SecureTower решает следующие задачи:
• Контроль случайной или преднамеренной утечки данных
• Защита персональных и конфиденциальных данных
• Контроль персонала
• Повышение эффективности работы отдела информационной безопасности
• Формирование архива бизнес-коммуникаций компании

Преимущества системы следующие:

• Простота установки и настройки
• Эффективная работа продукта сразу после установки
• Невысокая совокупная стоимость владения системой
• Простота использования
• Обеспечение экономической безопасности компании и управление рисками
• Удобное средство для контроля персонала
• Интерактивные отчеты с визуализацией
• Контроль всех основных каналов потенциальной утечки данных
• Ведение архива бизнес-коммуникаций
• Бесплатная полнофункциональная триал-версия^[16].

3.2 Архитектура систем DLP

Рассмотрим архитектуру DLP-системы на примере конкретной системы, а именно системы SecureTower.

Серверная часть системы состоит из сервер перехвата, сервер базы данных, сервер обработки информации и сервер контроля рабочих станций.

Одним из основных преимуществ системы SecureTower состоит в том, что нее удобный в использовании интерфейс. Интерфейс системы состоит всего из двух консолей: консоли администратора и консоли службы безопасности.

Серверные компоненты DLP-системы состоят из следующих компонент:

• Сервер перехвата. Используется для перехвата информационных потоков сервером с сетевого адаптера, затем выполняется анализ и сохраняются в базу.
• Сервер базы данных. Используется для хранения данных в базе данных (MySQL, Microsoft SQL Server, Oracle, SQLite, Postgre SQL), которые были получены сервером перехвата.
• Сервер обработки информации. Работает с сохраненной информацией. А именно, отвечает за выполнение таких задач, таких, как индексирование перехваченной информации, полнотекстовый поиск по ней, автоматический анализ и отправка на заданные адреса электронной почты уведомлений о факте передачи информации с нарушением принятой в компании политики безопасности.
• Сервер контроля рабочих станций используется для централизованной установки на компьютеры программ-агентов, которые предназначены для перехвата с рабочих станций пользователей трафика, в том числе шифрованного, а также данных, передаваемых для печати на принтеры и внешние устройства. Так же выполняет сбор статистической информации об активности работников предприятия на рабочих местах. Данный сервер выполняет мониторинг состояния всех установленных в сети агентов и в случае обнаружения сбоя или принудительного отключения агента пользователем какого-либо компьютера автоматически производит повторную установку^[17].