Файл: Системы предотвращения утечек конфиденциальной информации (DLP).pdf
Добавлен: 22.04.2023
Просмотров: 71
Скачиваний: 1
Введение
С развитием технологий в мире появляется все устройств и предназначенных для и передачи С одной это открывает возможности, так как сотрудникам компаний быть и решать вне зависимости от места нахождения. С стороны, отследить важных для компании данных в условиях становится сложно.
Какие данные к конфиденциальным, компания определяет Для одних это информация о продукте или для других - клиентской базы. Но суть одинакова - конфиденциальных данных прямой угрозой для и игнорирование может привести к последствиям.
Причинами утечек являются различные неосторожность или неграмотность сотрудников, кража информации как сотрудниками (инсайдерами), так и использующими различные проникновения в сеть (трояны, программы и
утечка конфиденциальная программный
Глава 1. Теоретическая часть
1.1 Системы утечек конфиденциальной информации
Существует множество борьбы с конфиденциальных данных, как на организационных процедур, так и на программных решений. из наиболее методов является системы защиты от конфиденциальных данных Data Leak (DLP) - предотвращения утечек информации из системы вовне, а технические устройства или программно-аппаратные) для предотвращения утечек строятся на потоков данных, периметр защищаемой системы. При в этом конфиденциальной информации активная компонента и передача (пакета, потока, блокируется.
Используются также термины, обозначающие то же
Data Leak (DLP),
Data Loss (DLP),
Data Leakage (DLP),
Information Protection and ,
Information Leak (ILP),
Information Leak (ILP),
Information Leak & Prevention
Content Monitoring and (CMF),
Extrusion Prevention (EPS).
1.2 Этапы развития DLP-
Необходимость защиты от угроз была на всех развития средств безопасности. Однако внешние угрозы более опасными. В годы на угрозы стали больше внимания, и DLP-систем возросла. их использования упоминаться в и нормативных (например, раздел Утечка информации" в ст ГОСТ ISO/IEC . Специализированные средства для от внутренних стали массово только после 2000
Первыми появились сетевого мониторинга - без блокировки утечки сетевые протоколы SMTP…). В производители добавляли блокировки информации при через сеть. появились возможности рабочих станций за счет программных "агентов", можно было передачу конфиденциальной с этих контроль функций снятия скриншотов, а контроль передачи на уровне например, в приложении функций разрешен, в - запрещен.
И, наконец, технологии поиска информации на ресурсах и ее если информация в тех где ее не быть. Конфиденциальная при этом предварительно ключевыми словарями, регулярными "цифровыми отпечатками". В поиска система показать - где она конфиденциальную информацию, и политики безопасности при этом Далее сотрудник безопасности принимать соответствующие Есть решения, не просто наличие конфиденциальной в неположенном а переносят эту "в карантин", в файле, где была информации, запись - куда конфиденциальная информация и к кому за получением к этой
1.3 Анализ информации
На текущий на рынке довольно много позволяющих определять и утечку конфиденциальной по тем или иным Однако действительно решений, покрывающих все каналы, значительно В этих чрезвычайно важным выбор технологии, защиту от конфиденциальной информации с эффективностью и количеством ложных
Первое, чему уделить внимание при DLP-решения - это как решение осуществляет передаваемой информации и технологии используются для наличия конфиденциальных
Всего существует пять анализа:
Поиск по (по совпадению слов, в случаях с морфологии)
Регулярные выражения. выражения - синтаксического разбора фрагментов по шаблону, основанная на записи образцов для Например, номера карт, телефонов, e-mail, номера лицензионные ключи…
Сравнение по файлов. безопасности может быть отправка вовне типов файлов. При этом если изменит расширение то система все должна "опознать" тип и предпринять действия. В решений используется компании Autonomy.
Статистический ( анализ по пользователям. Если имеет доступ к информации, и в то же он посещает сайты (web-storage, хакерские и то он в "группу и к нему применение дополнительных политик безопасности.
Технологии цифровых Наиболее и достаточно технологии, при производятся определенные преобразования исходного (алгоритмы преобразований не раскрываются). преобразования строится образом: исходный файл - модель файла - отпечаток. Такой позволяет существенно объем обрабатываемой (объем цифрового не более 0,01 от файла). Цифровые затем размещаются в базе (Oracle, MS SQL) и быть продублированы в памяти устройства, анализ информации. затем используются для и анализа информации. При этом передаваемого и файлов могут не обязательно на процент совпадения задаваться (или в ПО Технологии устойчивы к файлов и для защиты любых типов текстовых, аудио, видео. "ложных срабатываний" не единиц процентов (все технологии дают ложных срабатываний). Эта устойчива к текстовым кодировкам и используемым в
Также следует внимание на отчетности и преднастроенных политик представляемых DLP-решением, так как это избежать некоторых и сложностей при
1.4 Процесс DLP-системы
Основная проблема - это, как отсутствие классификации Поэтому на этапе внедрения DLP должна в организации в мониторинга до В этом на базе в соответствии с предприятия (промышленные медицинские или учреждения) политик система может выявить места и способы и передачи информации.
Для финансовых которые на момент являются потребителями DLP-решений, с классификацией нивелируется уже в наличии качественными преднастроенными предоставляемыми производителями
После принятия о завершении мониторинга, система в режим либо пользователей и безопасности, и/или в блокирования передачи информации.
Когда система DLP в режиме то количество срабатываний в силу адаптации политик насчитывать тысячи. применяемые политики настраиваются в с реальными и возможностями таким образом, уже в уведомления, а в и блокировки, ложных срабатываний не было и система только на информацию.
Таким образом, цикл внедрения может занять года в крупной организации.
1.5 Компоненты
Рассмотрим состав DLP на программного решения Symantec Data Loss (SDLP). SDLP обеспечивают для широкого типов конфиденциальных находящихся в и системах данных, а на компьютерах независимо от работают они в сети или вне ее.
Рисунок 1 - системы SDLP
Центральным компонентом для всей является платформа Symantec Data Loss Enforce Platform, позволяет определять и на другие решения политики по потери конфиденциальных Данный компонент предоставляет единый для управления и с решениями SDLP.
Symantec Data Loss Network Discover
Компонент Symantec Data Loss Network Discover незащищенные конфиденциальные сканируя такие ресурсы, как хранилища, базы почтовые серверы, и т.п.
Symantec Data Loss Prevention Data
Компонент Symantec Data Loss Data Insight отслеживать доступ к информации для определения владельцев этих что позволяет гибкость процессов конфиденциальных данных и ими.
Symantec Data Loss Network Protect
Компонент Symantec Data Loss Network Protect дополнением, расширяющим компонента Symantec Data Loss Network Discover в снижения риска незащищенных конфиденциальных путем переноса этих с публичных на сетевых в карантин или хранилища.
Компоненты SDLP Discover и SDLP Protect осуществляют от утери данных со информационных ресурсов:
сетевые файловые (CIFS, NFS, DFS и
локальные файловые на рабочих и ноутбуках;
локальные файловые (Windows, Linux, AIX,
БД Lotus
Microsoft Exchange;
Microsoft SharePoint;
Documentum и др.
Symantec Data Loss Endpoint Discover и Data Loss Endpoint Prevent
Эти компоненты двумя модулями:
Агент SDLP который устанавливается на станции пользователей (в том ноутбуки) и выполнение следующих
обнаружение незащищенных данных на рабочих станциях;
блокировка передачи данных (съемные информации, CD/DVD, средства обмена сообщениями и
Сервер SDLP Server, который связь агентов SLDP с платформой SDLP Enforce и позволяет политики мониторинга данных и их передачи с рабочих станций.
Агент SDLP предотвращает утечки данных с рабочих станций и ноутбуков при их передачи с
внешних накопителей (USB, SD, flash, FireWire);
записи на
сети (HTTP/, Email/SMTP, FTP, IM);
средств печати/факса;
копирования конфиденциальных в буфер
Symantec Data Loss Network Monitor
Компонент Symantec Data Loss Network Monitor в времени отслеживает трафик на конфиденциальной информации и уведомления при передачи такой за пределы сети.
Symantec Data Loss Network Prevent
Компонент Symantec Data Loss Network Prevent передачу конфиденциальной средствами почтовых и
Компоненты SDLP Monitor и SDLP Prevent обеспечивают от утечек данных при их передачи способами:
электронная почта
средства обмена сообщениями (IM);
веб-почта, форумы, соц. сети и т.д. HTTPS);
протокол передачи (FTP);
торренты (Peer-to-peer);
Telnet;
любые другие через любой порт TCP.
Глава 2. Решения, представленные на DeviceLock
2.1 DeviceLock
DeviceLock 6.4.1 - программное средство, для защиты и локальных и компьютеров путем неконтролируемых действий при обмене через компьютерные и устройства со носителями.
Использование неавторизованных представляет угрозу сетям и Причем не конфиденциальная информация "уйти" из сети через но и или троянские могут быть внутрь корпоративной минуя серверные экраны и Точно так же дело с записывающими
Обеспечивая контроль над имеющими доступ к и устройствам компьютера, DeviceLock закрывает потенциальную в защите и экономичным DeviceLock 6.4.1 интегрируется в безопасности Windows, на уровне ядра и обеспечивает для пользователя
Рисунок 2 - работы DeviceLock
Программный комплекс 6.4.1 обеспечивает ряда требований и нормативных по защите информации и данных. DeviceLock успешно применяется в сертифицированного средства информации от НСД при автоматизированных систем для с конфиденциальной а так же в системах любых для работы с данными.6.4.1 имеет сертификат ФСТЭК Сертификат №2144, на соответствие по Безопасности, требованиям руководящего "Защита от доступа к Часть 1. обеспечение средств информации. Классификация по контроля отсутствия возможностей" (Гостехкомиссия 1999) - по 4 контроля и оценочный уровень ОУД 2 в с руководящим "Безопасность информационных Критерии оценки информационных технологий" России, 2002).
2.2 SecureTower
Комплексное программное для защиты от персональных данных и конфиденциальной информации, в сети содержащейся в данных и r обеспечивает над всеми информации, передаваемыми по перехватывая и в базу трафик. Служба незамедлительно получает уведомления обо всех несанкционированной передачи данных, даже если они при использовании каналов, или подробные статистические о сетевой сотрудников (фотография дня), из видно кто и как корпоративные ресурсы, оценить эффективность персонала.
Типы контролируемых
электронные письма клиентов, использующих POP3, SMTP, IMAP MS Outlook, , The Bat!), электронные MS Exchange ;
весь веб-трафик, электронные письма почтовых служб mail.ru, rambler.ru и сообщения в посещенные страницы в сетях и веб-службах, использующих HTTP;
сообщения коммуникационных использующих протоколы мгновенными сообщениями (таких как MMP (таких как Агент), MSN как Windows и XMPP (таких как Google Talk, QIP PSI), а текстовые и сообщения в
файлы, передаваемые по FTP, FTPS, HTTP и а также в (ICQ, Windows и т.д.) или по почте в вложений
SSL-трафик, передаваемый по протоколам (включая FTPS, защищённые SSL для SMTP и
содержимое баз MS SQL Oracle, PostgreSQL,
данные, передаваемые на устройства (USB-устройства, жесткие диски, памяти, съемные CD/DVD и
печать данных на и сетевых
Решаемые задачи
Контроль случайной или утечки информации- программное решение для от преднамеренного или утечки по персональных данных и другой конфиденциальной циркулирующей в сети по максимальному каналов, а содержащейся в данных и
Обеспечение сохранности и конфиденциальных
Уникальной возможностью является функционал, надежную защиту от утечек информации из баз Это позволяет по цифровых отпечатков без операций контролировать хранилищ структурированной которые обычно конфиденциальные персональные ценные контактные абонентские базы и коммерческую информацию.