Файл: Принципы построения и функционирования DLP-систем (Мировой DLP-рынок).pdf
Добавлен: 01.04.2023
Просмотров: 143
Скачиваний: 1
Основная проблема внедрения - это, как правило, отсутствие классификации данных. Поэтому на первом этапе внедрения система DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме на базе преднастроенных в соответствии с типом предприятия (промышленные предприятия, медицинские или образовательные учреждения) политик безопасности система может помочь выявить места хранения и способы обработки и передачи конфиденциальной информации.
Для финансовых организаций, которые на текущий момент являются основными потребителями DLP-решений, проблема с классификацией данных нивелируется уже имеющимися в наличии достаточно качественными преднастроенными политиками, предоставляемыми производителями DLP-решений.
После принятия решения о завершении этапа мониторинга, система переводится в режим либо уведомления пользователей и сотрудника безопасности, и/или в режим блокирования передачи конфиденциальной информации.
Когда система DLP работает в режиме мониторинга, то количество ложных срабатываний в силу отсутствия адаптации политик может насчитывать тысячи. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, чтобы уже в режиме уведомления, а в дальнейшем и блокировки, количество ложных срабатываний не было "зашкаливающим" и система реагировала только на конфиденциальную информацию.
Таким образом, полный цикл внедрения решения может занять около года в случае крупной организации.
Метод повышения эффективности DLP-систем
По сравнению с известными методами использование онтологий дает следующие преимущества:
1) масштабируемость - количество документов в базе защищаемой информации не существенно влияет на время работы алгоритма;
2) сокращение «концептуального несоответствия», т.к. онтология является инструментом, работающим приближенно к человеческому способу мышления;
3) упрощение повторного использования знаний - использование уже определенных в других онтологиях понятий, соответственно возможно использовать уже существующие для данной предметной области онтологий;
4) «семантическая эффективность» - при сравнении семантики текста и онтологии предметной области возможно добиться наибольшей точности в категорировании и существенно снизить количество ложных срабатываний;
5) готовый набор средств для создания (использования существующих) онтологий и задания правил анализа - существующие редакторы онтологий (например, Protege) предоставляют удобный инструментарий для создания и редактирования онтологий предметной области.
Основным недостатком применения онтологий является значительная ресурсоемкость (трудоемкость системы).
Для снижения трудоемкости целесообразно использовать категоризацию по словарям (тезаурусам) смысловых категорий, предложенную и описанную ниже.
Рассмотрим предлагаемую схему онтологического категоризатора:
Рис.3
Выделим основные элементы категоризатора:
1) Генератор онтологии анализируемого текста (документа). Генератор в автоматическом режиме разбирает анализируемый текст и строит онтологию, отражающую семантику текста. Заметим, что построение онтологии должно вестись по тем же правилам, что и построение онтологии предметной области;
2) Анализатор - проводит сравнение между онтологией анализируемого текста и онтологией предметной областью для определения принадлежности той или иной категории. Для ускорения анализа используются тезаурусы категорий, определяющие, к какой категории точно не относится анализируемый текст. Подробно алгоритм работы анализатора будет описан ниже.
3) Обработчик результатов предназначен для обработки и вывода результатов работы онтологического категоризатора.
4) Онтология анализируемого текста создается для дальнейшего семантического анализа текста.
5) Онтология предметной области создается до ввода в эксплуатацию DLP-системы. В ее создании принимают участие специалисты предприятия, где будет внедряться DLP-система - эксперты по информационной безопасности и специалисты по защищаемым предметным областям. Для создания онтологии используется тот же алгоритм, который применяется для автоматической генерации онтологии анализируемого текста. Разница в том, что создание онтологии предметной области - более сложный и трудоемкий процесс, требующий ручного ввода и участия группы экспертов. Правила, заданные в процессе создания онтологии предметной области, будут применяться затем в автоматической генерации. Наборы правил должны однозначно определять условия отношения к той или иной категории. Онтологии, как правило, определяются триплетами:
[A, p, B] , где A - субъект, p - предикат, B- объект.
В качестве триплета можно привести пример. В анализируемом тексте содержатся сведения о некоем изделии С456, в частности приводится его состав. В процессе автоматической генерации онтологии текста появляются триплеты вида [«Изделие С456», contains, «часть Х»]. Если в онтологии предметной области будет обозначено, что данная информация является конфиденциальной, то DLP-система должна отреагировать соответственно.
6) Тезаурусы категорий. Для каждой из категорий информации до начала работы системы должен быть создан специальный словарь терминов (групп терминов) - так называемый тезаурус категории, который должен определить возможность отнесения текста к данной категории. Соответственно, если по тезаурусу определяется, что текст не относится к какой-либо категории, дальше в алгоритме категория не рассматривается. Тезаурусы также используются при создании онтологии анализируемого текста.
Одна из основных особенностей предлагаемого метода - совместное использование онтологий и тезаурусов. Это необходимо для достижения основной цели метода - снижение при анализе количества ошибок и трудоемкости.
Для уменьшения вероятности появления ошибок второго рода предлагается применить тезаурусы категорий, определяющие набор категорий, к которым может быть отнесен текст. Затем, для каждой из категорий, определенных выше, проводится сравнение онтологий текста и предметной области. Эта процедура предназначена для устранения ошибок первого рода. Последовательность применения онтологических методов связана с двумя факторами:
1) Быстродействие обработки информации с использованием словарей существенно выше, чем при сравнении онтологий;
2) Использование одних только тезаурусов приводит к большому количеству ошибок первого рода, т.е. к ложным срабатываниям.
Интеграция работы DLP-системы в единый алгоритм с использованием онтологий и тезаурусов позволяет существенно увеличить скорость работы системы и снизить вероятность появления ошибок.
Рассмотрим более подробно алгоритм работы анализатора:
1) Осуществляется поиск терминов тезауруса каждой категории в анализируемом тексте. Предположим, что общее количество категорий равно k. В процессе поиска по тезаурусам установлено, что текст может соответствовать n категориям. Соответственно будем считать, что оставшимся k-n категориям текст не соответствует. Таким образом, в случае k=n уже на данном этапе алгоритм может быть остановлен и принимается решение об отсутствии конфиденциальной информации.
2) По оставшимся n категориям проводится сравнение онтологии текста и той части онтологии, которая соответствует категории с 1 до n, т.е. процедура сравнения проводится n раз. Сравнение подразумевает запросы по каждому из правил онтологии предметной области, заданного для данной категории. При обнаружении совпадений происходит сопоставление текста соответствующей категории.
3) После завершения работы (завершения анализа по всем категориям) полученные результаты отправляются на обработку.
Предлагаемый метод позволяет существенно снизить размерность задачи (а, соответственно, и ее трудоемкость) и создавать на его основе DLP-системы, эффективно использующие семантику текста для поиска в нем защищаемой информации.
Мировой DLP-рынок
Рынок DLP‑систем начал формироваться уже в этом веке. Как было сказано в начале статьи, само понятие «DLP» распространилось примерно в 2006 году. Наибольшее число компаний, создававших DLP‑системы, возникло в США. Там был наибольший спрос на эти решения и благоприятная обстановка для создания и развития такого бизнеса.
Почти все компании, начинавшие создание DLP-систем и добившиеся в этом заметных успехов, были куплены или поглощены, а их продукты и технологии интегрированы в более крупные информационные системы. Например, Symantec приобрела компанию Vontu (2007), Websense — компанию PortAuthorityTechnologiesInc. (2007), EMC Corp. приобрела компанию RSA Security (2006), а McAfee поглотила целый ряд компаний: Onigma (2006), SafeBootHolding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).
В настоящее время, ведущими мировыми производителями DLP‑систем являются: SymantecCorp., RSA (подразделение EMC Corp.), VerdasysInc, WebsenseInc. (в 2013 куплена частной компанией VistaEquityPartners), McAfee (в 2011 куплена компанией Intel). Заметную роль на рынке играют компании FidelisCybersecuritySolutions (в 2012 куплена компанией GeneralDynamics), CA Technologies и GTB Technologies. Наглядной иллюстрацией их позиций на рынке, в одном из разрезов, может служить магический квадрант аналитической компании Gartner на конец 2013 года (рисунок 4).
Рис.4
В России рынок DLP‑систем стал формироваться почти одновременно с мировым, но со своими особенностями. Происходило это постепенно, по мере возникновения инцидентов и попыток с ними бороться. Первым в России в 2000 году начала разрабатывать DLP-решение компания «ИнфосистемыДжет» (сначала это был почтовый архив). Чуть позже в 2003 году был основан InfoWatch, как дочерняя компания «Лаборатории Касперского». Именно решения этих двух компаний и задали ориентиры для остальных игроков. В их число, чуть позже, вошли компании Perimetrix, SearchInform, DeviceLock, SecureIT (в 2011 переименованная в Zecurion). По мере создания государством законодательных актов, касающихся защиты информации (ГК РФ статья 857 «Банковская тайна», 395-1-ФЗ «О банках и банковской деятельности», 98-ФЗ «О коммерческой тайне», 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», и другие, всего около 50 видов тайн), возрастала потребность в инструментах защиты и рос спрос на DLP‑системы. И через несколько лет на рынок пришла «вторая волна» разработчиков: Falcongaze, «МФИ Софт», Trafica. Стоит отметить, что все эти компании имели наработки в области DLP намного ранее, но стали заменты на рынке относительно недавно. Например, компания «МФИ Софт» начала разработку своего DLP-решения еще в 2005 году, а заявила о себе на рынке только в 2011 году.
Ещё позже, российский рынок стал интересен и иностранным компаниям. В 2007-2008 годах у нас стали доступны продукты Symanteс, Websense и McAfee. Совсем недавно, в 2012, на наш рынок вывела свои решения компания GTB Technologies. Другие лидеры мирового рынка тоже не оставляют попыток прийти на российский рынок, но пока без заметных результатов. В последние годы российский DLP‑рынок демонстрирует стабильный рост (свыше 40% ежегодно) в течение нескольких лет, что привлекает новых инвесторов и разработчиков. Как пример, можно назвать компанию Iteranet, с 2008 года разрабатывающую элементы DLP‑системы для внутренних целей, потом для корпоративных заказчиков. В в настоящий момент компания предлагает своё решение BusinessGuardian российским и зарубежным покупателям.
Сейчас российский рынок DLP‑систем ещё находится на стадии формирования и далёк от насыщения. Хотя, как было сказано выше, у заказчиков уже возникло понимание их потребностей и сформировался устойчивый список требований к DLP‑системам.
Сравнения DLP- систем
В качестве участников были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на середину 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «ИнфосистемДжет».
Для анализа использовались коммерчески доступные на момент подготовки обзора версии DLP-систем, а также документация и открытые обзоры продуктов.
Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.
Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).
Таблица 1
В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.