Файл: «Системы предотвращения утечек конфиденциальной информации (DLP)».pdf

- одновременный учет содержания и контекста - учет как ключевых слов и выражений, встречающихся в определенном документе, так и его общего содержания, а также тип приложения, протокол, активность, отправителя, адресата и т. п.^[4]

Рассматривая функциональность DLP-систем следует учитывать категории объектов мониторинга, среди которых по мнению аналитиков Forrester Research следующие.

- Data-in-motion (данные в движении) - данные, передаваемые по сетевым каналам: Web (HTTP/HTTPS протоколы), интернет-мессенджеры (ICQ, QIP, Skype, MSN и т.д.), корпоративная и личная почта (POP, SMTP, IMAP и т.д.), беспроводные системы (WiFi, Bluetooth, 3G и т.д.), FTP – соединения;

- Data-at-rest (хранящиеся данные) - это информация на устройствах хранения данных: файловых серверах, специализированных хранилищах, USB-устройствах и др.;

- Data-in-use (данные в использовании) – это информация, обрабатываемая в текущий момент.

В соответствии со своим предназначением DLP-система выполняет следующие основные функции:

- контроль передачи информации через Интернет с использованием е-мail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;

- контроль сохранения информации на внешние носители - CD, DVD, flash, мобильные телефоны и т.п.;

- защита информации от утечки путем контроля вывода данных на печать;

- блокирование попыток пересылки/сохранения конфиденциальных данных и соответствующее информирование администраторов информационной безопасности организации об инцидентах;

- поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам.

В функционал современных систем защиты конфиденциальных данных от внутренних угроз также входят следующие:

- инструмент анализа работы коллектива – оптимизация рабочих процессов на основании учета рабочего времени сотрудников, определения на основе данных, полученных при помощи DLP, как они справляются со своими обязанностями в целях оптимального распределения функции между ними и делегирования задач. DLP-решения позволяют также выгружать из системы статистику по работе каждого пользователя и на ее основе делать выводы об уровне вовлеченности сотрудника в рабочий процесс;

- инструмент правовой поддержки - предоставление доказательной базы в случае судебного разбирательства, как при разборе дел, непосредственно связанных как с разглашением конфиденциальной информации, так и с невыполнением работником своих обязанностей;

- мотивационный инструмент - улучшение рабочего климата в коллективе, поскольку сотрудники чувствуют ответственность за проделанную работу, так как в конце недели руководитель просмотрит отчеты;

- backup – резервное копирование - создание архива бизнес-коммуникации, что особенно актуально для сотрудников, чьи должностные обязанности предполагают большое количество переписки;

- инструмент ограничения доступа - выполнение функции брандмауэра, то есть реализация возможности запрета на посещение определенных сайтов в рабочее время и блокировки нежелательных для руководителя процессов, запускаемых работниками.^[5]

Выделяют следующие типы DLP-систем:

- Network DLP - программное обеспечение, устанавливаемое в точках сети, исходящих вблизи периметра. Такая система анализирует сетевой трафик с целью обнаружения конфиденциальной информации, отправляемой с нарушениями политики информационной безопасности;

- Endpoint DLP – программное обеспечение, функционирующее на рабочих станциях конечных пользователей или серверах в организациях, позволяющее контролировать весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-порты, дисководы, CD/DVD-приводы, а также FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, любые внутренние и внешние сменные накопители и жесткие диски, буфер обмена Windows, простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, веб-почту и социальные сети, службы мгновенных сообщений, файловый обмен по протоколам FTP и FTP-SSL, Telnet-сессии. Такая система осуществляет детальный аудит (включая теневое копирование) действий пользователей с устройствами, протоколами и данными и позволяет разрешить либо запретить доступ к информации, извлекая и отфильтровывая содержимое данных, копируемых на внешние съемные устройства хранения информации и передаваемых по сетевым каналам. Endpoint DLP имеет систему удаленного управления, позволяющую обеспечивать доступ ко всем возможным функциям программы с рабочего места администратора системы.

DLP-система по сравнению с иными системами, функционирующими на основе конечных точек, имеет преимущество в том, что она может контролировать и управлять доступом и к устройствам физического типа (мобильные устройства с возможностями хранения данных), а также получать доступ к информации до ее шифрования.

В DLP-системах конфиденциальная информация может определяться следующими способами:

- лингвистический анализ информации;

- статистический анализ информации;

- регулярные выражения (шаблоны);

- метод цифровых отпечатков и т.д.

В состав DLP-системы входят два модуля:

- хост модуль - устанавливается на рабочие станции пользователей и обеспечивает контроль действий производимых пользователем в отношении конфиденциальной информации, а также позволяет отслеживать активность пользователя по различным параметрам (время, проведенное в Интернет, запускаемые приложения, процессы и пути перемещения данных и т.д.);

- сетевой модуль - устанавливается на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов и осуществляет анализ передаваемой по сети информации и контролирует трафик выходящей за пределы защищаемой информационной системы. В случае обнаружения в передаваемой трафике конфиденциальной информации сетевой модуль пресекает передачу данных.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами:

- анализом формальных признаков - специальных маркеров документа (грифа документа, специально введенных меток и др.), который позволяет избежать ложных срабатываний (ошибок первого рода), однако требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации;

- анализом контента – содержимого документа - который дает ложные срабатывания, однако позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов.

В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система. Для лучшей производительности DLP-системы необходимо сочетание обоих методов.

В зависимости от способности блокирования информации, опознанной как конфиденциальная, выделяют следующие DLP-системы:

- с активным контролем действий пользователя, которые позволяют блокировать передаваемую информацию и лучше борются со случайными утечками данных, однако способны допустить случайную остановку бизнес-процессов организации;

- с пассивным контролем действий пользователя, которые не позволяют блокировать передаваемую информацию, при этом безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками.

В зависимости от сетевой архитектуры выделяют:

- шлюзовые DLP - работают на промежуточных серверах;

- хостовые DLP - используют агенты, работающие непосредственно на рабочих станциях сотрудников.

Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

Следует отметить, что существуют различия в современных подходах к проблеме утечек информации на территории постсоветского пространства и за рубежом. Так в США компании прежде всего нацелены на снижение рисков утечки данных, и внедрение DLP-системы является масштабным и долгим процессом, который влечет за собой изменение регламентов компании, проведение обучения сотрудников для формирования у них понимания того, как жить дальше в условиях новых требований со стороны безопасности. В России руководству в первую очередь важен результат расследования конкретного инцидента информационной безопасности. Работа же по мониторингу и анализу в целях снижения рисков утечки информации отходит на второй план. Российским компаниям важно, чтобы DLP-система своевременно проинформировало офицера информационной безопасности об утечке в рамках существующего бизнес-процесса. Также должна быть возможность post factum поднять нужные данные из системы хранения. Таким образом, DLP-система на российском рынке – это в первую очередь инструмент для расследования инцидентов в кратчайшие сроки посредством корректного доступа к максимальному количеству систем-источников информации.

Схема функционирования DLP-систем представлена на рисунке 1.2.

Рисунок 1.2. Схема функционирования DLP-системы^[6]

Так подсистемами DLP-системы являются:

- средства перехвата информации, передаваемой по внешним каналам (за пределы защищаемой автоматизированной системы): драйверы для контроля вывода информации на печать, контроля подключаемых устройств, межсетевые экраны, контролирующие сетевой трафик и т.д.;

- средства реагирования и регистрации, которые либо блокируют передачу конфиденциальной информации, либо оповещают администратора безопасности о несанкционированной передаче (утечке) информации;

- категоризатор - ядро DLP-системы, анализирующий передаваемую информацию в целях определения степени конфиденциальности информации.

Категоризатор имеет следующие основные элементы:

- словари категорий предметной области - для категорирования информации по нахождению в анализируемом тексте определенного количества слов из словаря определенной категории;

- анализатор - для поиска в анализируемом тексте ключевых слов по словарям и определения принадлежности их к той или иной категории. Как правило, анализ сводится к поиску в тексте ключевых слов по тематическому словарю и категорированию с помощью байесовского метода по заранее установленным весовым коэффициентам;

- обработчик результатов - для обработки и вывода результатов работы категоризатора информации в зависимости от пользовательских настроек.

Так DLP-система работает следующим образом:

1. Получает описание защищаемых данных, т.е. осуществляется настройка системы на данные - определяются данные, перемещение которых будет контролироваться системой, реакции системы на обнаруженные инциденты, правила информирования об инциденте и др.;

2. Распознает защищаемые данные в потоке, исходящем из внутреннего информационного поля компании вовне;

3. Реагирует на обнаруженные попытки и формирует доказательную базу для расследования инцидентов.

В случае противодействия утечкам DLP-система позволяет осуществлять перехват (блокирование) или зеркалирование (только аудит) отправки, проводить анализ содержания отправки в соответствии с используемыми механизмами контроля.

DLP-система может блокировать все запрещенные действия (print screen, печать, формирование отправки через коммуникационные каналы и т.д.) либо блокировать обращение к файлу через программы, не внесенные в число разрешенных для работы с данным файлом.

Далее формируются «цифровые отпечатки» открытого документа и реализуется препятствие отправке конфиденциального содержания.

Затем происходит информирование ответственного сотрудника, а детали инцидента вносятся в журнал системы. Назначенный сотрудник оценивает, насколько адекватным был вердикт системы и, если тревога оказывается ложной, вручную отдает команду провести отправку задержанного сообщения.

Сетевые механизмы перехвата позволяют оперировать с уже сформированными пакетами, в то время как агентское решение - отслеживать действия на конечной рабочей станции. В настоящее время большинство DLP-решений использует комбинированный подход: и сетевой перехват отправки, и локальный агент.

Таким образом, на сегодняшний день DLP-система – это специальный программный продукт, который позволяет в режиме реального времени обнаружить и/или блокировать несанкционированную передачу (утечку) конфиденциальной информации по одному или нескольким каналам коммуникаций, используя информационную инфраструктуру предприятия, при этом для обнаружения утечек должен использоваться контентный и контекстный анализ данных. Данная система выполняет глубокий анализ содержания информации, организует автоматическую защиту конфиденциальных данных в конечных информационных ресурсах, на уровне шлюзов передачи данных и в системах статического хранения данных, а также запускает процедуры реагирования на инциденты для принятия надлежащих мер. Главной задачей DLP-систем является контроль жизненного цикла конфиденциальных данных в компании. DLP-системы являются незаменимыми для компаний и организаций, где утечка важной информации приведет к большому ущербу и повлечет финансовые утраты.