Drei magische Buchstaben DLP sind im vergangenen Jahr im Bereich Informationstechnologie und IT-Sicherheit sehr beliebt geworden. Sie können sie auf verschiedene Arten entschlüsseln.
Wikipedia bietet bis zu vier Entschlüsselungsoptionen, von denen zwei - Digital Light Processing und Disneyland Paris - aus Gründen der elementaren Logik zerlegt werden und die anderen beiden - Data Loss Prevention und Data Leak Prevention - genauer betrachtet werden. Tatsächlich beschreiben beide Abkürzungen dasselbe - sie schützen Informationen davor, von einem internen Angreifer oder Insider aus dem Unternehmen entfernt zu werden. Warum könnte dies notwendig sein?
Sicherheit betrifft alle
Fall 1. Beleidigter Verkäufer.
Iwan Alexandrowitsch, der Direktor einer großen Vertriebsgesellschaft, entlässt zu Recht (oder zu Unrecht?) Die Abteilungsleiterin Petra. Beleidigt beschloss Peter aus Rache für die Entscheidung des Managements, das Geschäft für seinen Ex-Arbeitgeber zu verderben und seinen Kundenstamm mit Wettbewerbern zu teilen. Mit einem Klick sendet er die Datenbank über einen öffentlichen E-Mail-Dienst an seinen bekannten kaufmännischen Leiter Sergey und überträgt sie nach fünf Minuten für alle Fälle zusammen mit Dokumenten zum Kaufpreis der Waren auf sein Flash-Laufwerk. Infolgedessen beeinträchtigen zehn Minuten seiner Sabotage die harte Arbeit der letzten Jahre im gesamten Unternehmen erheblich.
Fall 2. Insider.
Ivan Aleksandrovich, der uns bereits bekannt ist, bemerkt nach erfolgreichem Erleben aller Konsequenzen von Peters Tat immer noch, dass die Angelegenheiten des Unternehmens nicht nach Verbesserungen streben. In 90 Prozent der Ausschreibungen und Wettbewerbe, an denen sein Unternehmen teilnimmt, gewinnen Wettbewerber, die die Bedingungen zu kennen scheinen, unter denen Iwans Mitarbeiter deklariert werden. Die von ihm angerufenen Berater führen ein Audit mit DLP-Technologien durch und stellen fest, dass der Lieblingssekretär von Chef Snezhan jedes Mal, wenn er die Ausschreibungsunterlagen erhält, diese entweder an den bereits bekannten kaufmännischen Leiter Sergey sendet oder auf sein Flash-Laufwerk kopiert. Außerdem fand sie auf ihrem Arbeitscomputer in einem komprimierten Ordner eine vollständige Kopie der Dokumente über die Bankgeschäfte des Unternehmens im vergangenen Jahr. Die Sekretärin wird entlassen, die Berater werden belohnt, das DLP-System wird im Unternehmen eingeführt.
Jedes Verbrechen ist leichter zu verhindern als seine Konsequenzen zu ziehen. Das Schlüsselwort "Prävention" ist Prävention und kennzeichnet das Hauptziel von DLP-Systemen - Prävention von Datenlecks / -verlusten (Schutz vor Datenlecks / -verlusten).
Basierend auf der Erklärung des Problems müssen wir die verbotenen Handlungen von Peter oder Snezhana erkennen und nicht zulassen, dass sie abgeschlossen werden. Wie macht ein DLP-System das?
Großer Bruder beobachtet dich
Informationsschutz ist ein Komplex von Maßnahmen. Wir bestimmen, wie Snezhana und Peter die Datenbank herausnehmen und die Kontrolle über diese Bereiche ihrer Aktivitäten oder Leckagekanäle mithilfe verschiedener Elemente des Komplexes übernehmen. Die Basis ist klein? In diesem Fall ist es am einfachsten, es per E-Mail zu senden. Wir beginnen, alle Anrufe an Mailsysteme zu filtern. Erschwert die Datenbankgröße den Versand? Wir werden die Aufmerksamkeit auf Wechselmedien auf funktionierenden Computern lenken (es kommt vor, dass Flash-Laufwerke für die Arbeit benötigt werden, Sie werden nicht alles verbieten ...). Kann ein geheimes Dokument zum Drucken gesendet werden? Wir werden alle Anrufe an Drucker filtern.
Wie bestimmen Komplexe, ob eine bestimmte Benutzeraktion zulässig ist oder nicht? In der Regel genauso wie eine Person - basierend auf dem Inhalt der Datei-Dokument-Nachricht.
Der komplexe Bediener (und im Idealfall eine Gruppe professioneller Prüfer) stellt eine Reihe von Regeln auf, auf deren Grundlage ausgehende Informationen analysiert werden. Dies können entweder Sätze von Wörtern und Phrasen ("geheim", "Passnummer" usw.) oder Datenvorlagen sein. In jedem DLP-System gibt es beispielsweise Regeln, die das Vorhandensein von Kreditkartennummern in der gesendeten Datei oder ICQ-Nachricht korrekt erkennen.
Bei einigen Systemen können Sie nicht nur nach Schlüsselwörtern suchen, sondern auch prüfen, ob der gesendete Text nicht Teil eines anderen Dokuments ist. Das Senden eines Absatzes des Vertrags führt zu genau derselben Ereigniskette, als ob Snezhana versucht hätte, den Vertrag an Sergei als Ganzes zu senden.
Wenn das gescannte Dokument gesendet wird, kann der DLP-Komplex den Text in den Bildern erkennen und deren Inhalt auf das Vorhandensein von Schlüsselwörtern oder die Übereinstimmung mit den in der Datenbank eingegebenen geschützten Dokumenten überprüfen.
Eiserner Vorhang
DLP-Systeme steuern nicht nur das Senden von Dateien und Dokumenten, sondern verfügen auch über eine Reihe von Steuerungsbereichen. Das Problem moderner Büros, das Zeit und die Konzentration von Mitarbeitern stiehlt, sind soziale Netzwerke und Instant Messaging-Dienste (ICQ, QIP, Skype und andere Analoga). Diese Dienste können auch zu einem Kanal für den Verlust wichtiger Informationen werden, die dennoch erfolgreich bekämpft werden können. Stellen Sie sich den machtlosen Zorn eines Insiders vor, der anstelle des gesendeten Textes "Morgen steigen die Aktien meines Unternehmens im Preis" nur wenige Sterne sah ... Außerdem geht der Text der Nachricht an den Sicherheitsadministrator, und die Quelle des fehlgeschlagenen Lecks wird hier und jetzt bekannt keine Woche nach dem Vorfall.
Fast alles kann mit Filtern abgedeckt werden. Briefe, Nachrichten, FTP- und HTTP-Verkehr, Drucker und Flash-Laufwerke. Selbst archivierte „Caches“, die von Cyberkriminellen für den Fall erstellt wurden, dass sie auf Dateiservern gespeichert sind, können mit DLP berechnet werden. Die Anzahl der verstopften Leckagekanäle und die Qualität der Filtration werden in der Regel nur vom Budget des Unternehmens bestimmt und konzentrieren sich auf die Ergebnisse.
DLP ist kein Allheilmittel
Nach dem Lesen dieses Artikels haben Sie möglicherweise den Eindruck, dass DLP-Systeme Ihnen eine 100% ige Garantie für den Schutz vor internen Bedrohungen bieten. Es ist nicht so. Wenn Sie ein Zug-Raketensystem einem Zug anvertrauen, der nicht weiß, wie er damit umgehen soll, oder es einfach auf die Straßen der Stadt fahren, ist seine Wirksamkeit Null. Bei DLP-Komplexen ist die Situation genauso. Bei der Verwendung sowie beim Umgang mit Raketen sind die Arbeitsbedingungen und die Fähigkeit, die vorhandenen Funktionen zu nutzen, wichtig.
Die Erklärung "Wir haben DLP im Unternehmen implementiert" dürfte nur bei denjenigen, die den Schutz umgehen wollen, sportliches Interesse hervorrufen. Die versteckte Implementierung, die zur Steigerung der Effizienz der Informationserfassung beiträgt, könnte sich als viel effektiver herausstellen. Wenn Sie die Filtereinstellungen berühren, stürzt sich der Sicherheitsdienst ohne kompetentes Personal entweder kopfüber in den Strom falscher oder unwichtiger Antworten oder lebt in einer süßen Unwissenheit und der Illusion, dass keine Zwischenfälle auftreten. Die Schlussfolgerung ist einfach: Wenn Sie eine teure und effektive Waffe zum Schutz Ihres Unternehmens auswählen, sparen Sie nicht die Personen, die dieses Fass in ihren Händen halten.
Reichtum der Wahl
Es gibt nicht viele Akteure im Segment DLP-Systeme auf dem Markt. Darüber hinaus zeichnet sich jedes der verkauften Produkte durch Vor- und Nachteile aus. Beispielsweise funktioniert der russische Infowatch-Netzwerkmonitor perfekt mit dem Text übertragener Nachrichten oder weitergeleiteter Dokumente, weiß, wie Schlüsselwörter nach Fällen gebogen werden, sucht nach Text in gescannten Dokumenten, soll jedoch nicht Arbeitsstationen schützen, sondern nur den Netzwerkverkehr.
Symantec DLP schließt die meisten "Sicherheitslücken" in der Infrastruktur - E-Mail, Netzwerkverkehr, überprüft an Arbeitsstationen ausgeführte Aktionen und sucht nach geheimen Dokumenten im Netzwerkspeicher. Gleichzeitig bleibt seine Arbeit mit Schlüsselwort-Wortformen und der Erkennungsgrad von Textdokumenten hinter der Funktionalität des Infowatch-Produkts zurück und er kontrolliert überhaupt keine Screenshots. Wenn Sie den Laptop vom Unternehmensnetzwerk trennen, werden die indizierten Dateien nicht mehr analysiert und Daten werden nur anhand von Schlüsselwörtern gefiltert.
Ein weiteres Beispielsystem - McAfee Host DLP verwendet einen alternativen Mechanismus für die Suche nach vertraulichen Daten. Mithilfe von Software werden Dateien und Ordner auf Dateisystemebene mit speziellen Markierungen versehen. Für den Fall, dass Informationen von einer Datei in eine andere kopiert werden, werden die Quell- und Zieldateien markiert. Damit ist das Problem des Schutzes von Laptops gelöst. Der Nachteil des verwendeten Ansatzes ist der niedrige Automatisierungskoeffizient des Prozesses zum Zusammenstellen einer Liste geschützter Daten. Alle Vorgänge zum Zuweisen eines bestimmten Dokuments zur Nummer "geheim" sollten vom Bediener ausgeführt werden.
Zusätzlich zu den aufgeführten Lösungsanbietern kann man die inländische Smart Line Inc.-Gerätesperre und -Suchinformation, Western Websense und TrendMicro erwähnen, von denen jeder seine eigenen Vor- und Nachteile hat. Die Wahl einer Lösung wird immer von den Anforderungen des Unternehmens, den Aufgaben, die der Sicherheitsabteilung zugewiesen sind, und den finanziellen Möglichkeiten des Unternehmens bestimmt. Für jedes Problemformat und jede Leckage-Skala gibt es eine Lösung. Der einzige Rat: Vertrauen Sie Fachleuten bei der Auswahl und Anpassung.
Wikipedia bietet bis zu vier Entschlüsselungsoptionen, von denen zwei - Digital Light Processing und Disneyland Paris - aus Gründen der elementaren Logik zerlegt werden und die anderen beiden - Data Loss Prevention und Data Leak Prevention - genauer betrachtet werden. Tatsächlich beschreiben beide Abkürzungen dasselbe - sie schützen Informationen davor, von einem internen Angreifer oder Insider aus dem Unternehmen entfernt zu werden. Warum könnte dies notwendig sein?
Sicherheit betrifft alle
Fall 1. Beleidigter Verkäufer.
Iwan Alexandrowitsch, der Direktor einer großen Vertriebsgesellschaft, entlässt zu Recht (oder zu Unrecht?) Die Abteilungsleiterin Petra. Beleidigt beschloss Peter aus Rache für die Entscheidung des Managements, das Geschäft für seinen Ex-Arbeitgeber zu verderben und seinen Kundenstamm mit Wettbewerbern zu teilen. Mit einem Klick sendet er die Datenbank über einen öffentlichen E-Mail-Dienst an seinen bekannten kaufmännischen Leiter Sergey und überträgt sie nach fünf Minuten für alle Fälle zusammen mit Dokumenten zum Kaufpreis der Waren auf sein Flash-Laufwerk. Infolgedessen beeinträchtigen zehn Minuten seiner Sabotage die harte Arbeit der letzten Jahre im gesamten Unternehmen erheblich.
Fall 2. Insider.
Ivan Aleksandrovich, der uns bereits bekannt ist, bemerkt nach erfolgreichem Erleben aller Konsequenzen von Peters Tat immer noch, dass die Angelegenheiten des Unternehmens nicht nach Verbesserungen streben. In 90 Prozent der Ausschreibungen und Wettbewerbe, an denen sein Unternehmen teilnimmt, gewinnen Wettbewerber, die die Bedingungen zu kennen scheinen, unter denen Iwans Mitarbeiter deklariert werden. Die von ihm angerufenen Berater führen ein Audit mit DLP-Technologien durch und stellen fest, dass der Lieblingssekretär von Chef Snezhan jedes Mal, wenn er die Ausschreibungsunterlagen erhält, diese entweder an den bereits bekannten kaufmännischen Leiter Sergey sendet oder auf sein Flash-Laufwerk kopiert. Außerdem fand sie auf ihrem Arbeitscomputer in einem komprimierten Ordner eine vollständige Kopie der Dokumente über die Bankgeschäfte des Unternehmens im vergangenen Jahr. Die Sekretärin wird entlassen, die Berater werden belohnt, das DLP-System wird im Unternehmen eingeführt.
Jedes Verbrechen ist leichter zu verhindern als seine Konsequenzen zu ziehen. Das Schlüsselwort "Prävention" ist Prävention und kennzeichnet das Hauptziel von DLP-Systemen - Prävention von Datenlecks / -verlusten (Schutz vor Datenlecks / -verlusten).
Basierend auf der Erklärung des Problems müssen wir die verbotenen Handlungen von Peter oder Snezhana erkennen und nicht zulassen, dass sie abgeschlossen werden. Wie macht ein DLP-System das?
Großer Bruder beobachtet dich
Informationsschutz ist ein Komplex von Maßnahmen. Wir bestimmen, wie Snezhana und Peter die Datenbank herausnehmen und die Kontrolle über diese Bereiche ihrer Aktivitäten oder Leckagekanäle mithilfe verschiedener Elemente des Komplexes übernehmen. Die Basis ist klein? In diesem Fall ist es am einfachsten, es per E-Mail zu senden. Wir beginnen, alle Anrufe an Mailsysteme zu filtern. Erschwert die Datenbankgröße den Versand? Wir werden die Aufmerksamkeit auf Wechselmedien auf funktionierenden Computern lenken (es kommt vor, dass Flash-Laufwerke für die Arbeit benötigt werden, Sie werden nicht alles verbieten ...). Kann ein geheimes Dokument zum Drucken gesendet werden? Wir werden alle Anrufe an Drucker filtern.
Wie bestimmen Komplexe, ob eine bestimmte Benutzeraktion zulässig ist oder nicht? In der Regel genauso wie eine Person - basierend auf dem Inhalt der Datei-Dokument-Nachricht.
Der komplexe Bediener (und im Idealfall eine Gruppe professioneller Prüfer) stellt eine Reihe von Regeln auf, auf deren Grundlage ausgehende Informationen analysiert werden. Dies können entweder Sätze von Wörtern und Phrasen ("geheim", "Passnummer" usw.) oder Datenvorlagen sein. In jedem DLP-System gibt es beispielsweise Regeln, die das Vorhandensein von Kreditkartennummern in der gesendeten Datei oder ICQ-Nachricht korrekt erkennen.
Bei einigen Systemen können Sie nicht nur nach Schlüsselwörtern suchen, sondern auch prüfen, ob der gesendete Text nicht Teil eines anderen Dokuments ist. Das Senden eines Absatzes des Vertrags führt zu genau derselben Ereigniskette, als ob Snezhana versucht hätte, den Vertrag an Sergei als Ganzes zu senden.
Wenn das gescannte Dokument gesendet wird, kann der DLP-Komplex den Text in den Bildern erkennen und deren Inhalt auf das Vorhandensein von Schlüsselwörtern oder die Übereinstimmung mit den in der Datenbank eingegebenen geschützten Dokumenten überprüfen.
Eiserner Vorhang
DLP-Systeme steuern nicht nur das Senden von Dateien und Dokumenten, sondern verfügen auch über eine Reihe von Steuerungsbereichen. Das Problem moderner Büros, das Zeit und die Konzentration von Mitarbeitern stiehlt, sind soziale Netzwerke und Instant Messaging-Dienste (ICQ, QIP, Skype und andere Analoga). Diese Dienste können auch zu einem Kanal für den Verlust wichtiger Informationen werden, die dennoch erfolgreich bekämpft werden können. Stellen Sie sich den machtlosen Zorn eines Insiders vor, der anstelle des gesendeten Textes "Morgen steigen die Aktien meines Unternehmens im Preis" nur wenige Sterne sah ... Außerdem geht der Text der Nachricht an den Sicherheitsadministrator, und die Quelle des fehlgeschlagenen Lecks wird hier und jetzt bekannt keine Woche nach dem Vorfall.
Fast alles kann mit Filtern abgedeckt werden. Briefe, Nachrichten, FTP- und HTTP-Verkehr, Drucker und Flash-Laufwerke. Selbst archivierte „Caches“, die von Cyberkriminellen für den Fall erstellt wurden, dass sie auf Dateiservern gespeichert sind, können mit DLP berechnet werden. Die Anzahl der verstopften Leckagekanäle und die Qualität der Filtration werden in der Regel nur vom Budget des Unternehmens bestimmt und konzentrieren sich auf die Ergebnisse.
DLP ist kein Allheilmittel
Nach dem Lesen dieses Artikels haben Sie möglicherweise den Eindruck, dass DLP-Systeme Ihnen eine 100% ige Garantie für den Schutz vor internen Bedrohungen bieten. Es ist nicht so. Wenn Sie ein Zug-Raketensystem einem Zug anvertrauen, der nicht weiß, wie er damit umgehen soll, oder es einfach auf die Straßen der Stadt fahren, ist seine Wirksamkeit Null. Bei DLP-Komplexen ist die Situation genauso. Bei der Verwendung sowie beim Umgang mit Raketen sind die Arbeitsbedingungen und die Fähigkeit, die vorhandenen Funktionen zu nutzen, wichtig.
Die Erklärung "Wir haben DLP im Unternehmen implementiert" dürfte nur bei denjenigen, die den Schutz umgehen wollen, sportliches Interesse hervorrufen. Die versteckte Implementierung, die zur Steigerung der Effizienz der Informationserfassung beiträgt, könnte sich als viel effektiver herausstellen. Wenn Sie die Filtereinstellungen berühren, stürzt sich der Sicherheitsdienst ohne kompetentes Personal entweder kopfüber in den Strom falscher oder unwichtiger Antworten oder lebt in einer süßen Unwissenheit und der Illusion, dass keine Zwischenfälle auftreten. Die Schlussfolgerung ist einfach: Wenn Sie eine teure und effektive Waffe zum Schutz Ihres Unternehmens auswählen, sparen Sie nicht die Personen, die dieses Fass in ihren Händen halten.
Reichtum der Wahl
Es gibt nicht viele Akteure im Segment DLP-Systeme auf dem Markt. Darüber hinaus zeichnet sich jedes der verkauften Produkte durch Vor- und Nachteile aus. Beispielsweise funktioniert der russische Infowatch-Netzwerkmonitor perfekt mit dem Text übertragener Nachrichten oder weitergeleiteter Dokumente, weiß, wie Schlüsselwörter nach Fällen gebogen werden, sucht nach Text in gescannten Dokumenten, soll jedoch nicht Arbeitsstationen schützen, sondern nur den Netzwerkverkehr.
Symantec DLP schließt die meisten "Sicherheitslücken" in der Infrastruktur - E-Mail, Netzwerkverkehr, überprüft an Arbeitsstationen ausgeführte Aktionen und sucht nach geheimen Dokumenten im Netzwerkspeicher. Gleichzeitig bleibt seine Arbeit mit Schlüsselwort-Wortformen und der Erkennungsgrad von Textdokumenten hinter der Funktionalität des Infowatch-Produkts zurück und er kontrolliert überhaupt keine Screenshots. Wenn Sie den Laptop vom Unternehmensnetzwerk trennen, werden die indizierten Dateien nicht mehr analysiert und Daten werden nur anhand von Schlüsselwörtern gefiltert.
Ein weiteres Beispielsystem - McAfee Host DLP verwendet einen alternativen Mechanismus für die Suche nach vertraulichen Daten. Mithilfe von Software werden Dateien und Ordner auf Dateisystemebene mit speziellen Markierungen versehen. Für den Fall, dass Informationen von einer Datei in eine andere kopiert werden, werden die Quell- und Zieldateien markiert. Damit ist das Problem des Schutzes von Laptops gelöst. Der Nachteil des verwendeten Ansatzes ist der niedrige Automatisierungskoeffizient des Prozesses zum Zusammenstellen einer Liste geschützter Daten. Alle Vorgänge zum Zuweisen eines bestimmten Dokuments zur Nummer "geheim" sollten vom Bediener ausgeführt werden.
Zusätzlich zu den aufgeführten Lösungsanbietern kann man die inländische Smart Line Inc.-Gerätesperre und -Suchinformation, Western Websense und TrendMicro erwähnen, von denen jeder seine eigenen Vor- und Nachteile hat. Die Wahl einer Lösung wird immer von den Anforderungen des Unternehmens, den Aufgaben, die der Sicherheitsabteilung zugewiesen sind, und den finanziellen Möglichkeiten des Unternehmens bestimmt. Für jedes Problemformat und jede Leckage-Skala gibt es eine Lösung. Der einzige Rat: Vertrauen Sie Fachleuten bei der Auswahl und Anpassung.
Original message
Три волшебные буквы DLP за последний год стали очень популярными в сфере информационных технологий и ИТ-безопасности. Расшифровать их можно по-разному.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
