Что такое длп. Принцип работы DLP-системы. Что такое DLP-системы
Даже самые модные ИТ-термины надо употреблять к месту и максимально корректно. Хотя бы для того, чтобы не вводить в заблуждение потребителей. Относить себя к производителям DLP-решений определенно вошло в моду. К примеру, на недавней выставке CeBIT-2008 надпись “DLP solution” нередко можно было лицезреть на стендах производителей не только малоизвестных в мире антивирусов и прокси-серверов, но даже брандмауэров. Иногда возникало ощущение, что за следующим углом можно будет увидеть какой-нибудь CD ejector (программа, управляющая открыванием привода CD) с гордым лозунгом корпоративного DLP-решения. И, как это ни странно, каждый из таких производителей, как правило, имел более или менее логичное объяснение такому позиционированию своего продукта (естественно, помимо желания получить “гешефт” от модного термина).
Прежде чем рассматривать рынок производителей DLP-систем и его основных игроков, следует определиться с тем, что же мы будем подразумевать под DLP-системой. Попыток дать определение этому классу информационных систем было много: ILD&P — Information Leakage Detection & Prevention (“выявление и предотвращение утечек информации”, термин был предложен IDC в 2007 г.), ILP - Information Leakage Protection (“защита от утечек информации”, Forrester, 2006 г.), ALS - Anti-Leakage Software (“антиутечное ПО”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (по аналогии с Intrusion-prevention system).
Но в качестве общеупотребительного термина всё же утвердилось название DLP - Data Loss Prevention (или Data Leak Prevention, защита от утечек данных), предложенная в 2005 г. В качестве русского (скорее не перевода, а аналогичного термина) было принято словосочетание “системы защиты конфиденциальных данных от внутренних угроз”. При этом под внутренними угрозами понимаются злоупотребления (намеренные или случайные) со стороны сотрудников организации, имеющих легальные права доступа к соответствующим данным, своими полномочиями.
Наиболее стройные и непротиворечивые критерии принадлежности к DLP-системам были выдвинуты исследовательским агентством Forrester Research в ходе их ежегодного исследования данного рынка. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP. 1.
Многоканальность. Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это как минимум e-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции - мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM. 2.
Унифицированный менеджмент. Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчетами о событиях по всем каналам мониторинга. 3.
Активная защита. Система должна не только обнаруживать факты нарушения политики безопасности, но и при необходимости принуждать к ее соблюдению. К примеру, блокировать подозрительные сообщения. 4.
Исходя из этих критериев, в 2008 г. для обзора и оценки агентство Forrester отобрало список из 12 производителей программного обеспечения (ниже они перечислены в алфавитном порядке, при этом в скобках указано название компании, поглощенной данным вендором в целях выхода на рынок DLP-cистем):
- Code Green;
- InfoWatch;
- McAfee (Onigma);
- Orchestria;
- Reconnex;
- RSA/EMC (Tablus);
- Symantec (Vontu);
- Trend Micro (Provilla);
- Verdasys;
- Vericept;
- Websense (PortAuthority);
- Workshare.
На сегодняшний день из вышеупомянутых 12 вендоров на российском рынке в той или иной степени представлены только InfoWatch и Websense. Остальные либо вообще не работают в России, либо только анонсировали свои намерения о начале продаж DLP-решений (Trend Micro).
Рассматривая функциональность DLP-систем, аналитики (Forrester, Gartner, IDC) вводят категоризацию объектов защиты - типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. Выделяют три категории объектов мониторинга.
1. Data-in-motion (данные в движении) - сообщения электронной почты, интернет-пейджеров, сетей peer-to-peer, передача файлов, Web-трафик, а также другие типы сообщений, которые можно передавать по каналам связи. 2. Data-at-rest (хранящиеся данные) - информация на рабочих станциях, лаптопах, файловых серверах, в специализированных хранилищах, USB-устройствах и других типах устройств хранения данных.
3. Data-in-use (данные в использовании) - информация, обрабатываемая в данный момент.
В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Краткие сведения о них в духе приведенной выше классификации, перечислены в табл. 1 и 2. Также в табл. 1 внесен такой параметр, как “централизованное хранилище данных и аудит”, подразумевающий возможность системы сохранять данные в едином депозитарии (для всех каналов мониторинга) для их дальнейшего анализа и аудита. Этот функционал приобретает в последнее время особенную значимость не только в силу требований различных законодательных актов, но и в силу популярности у заказчиков (по опыту реализованных проектов). Все сведения, содержащиеся в этих таблицах, взяты из открытых источников и маркетинговых материалов соответствующих компаний.
Исходя из приведенных в таблицах 1 и 2 данных можно сделать вывод, что на сегодня в России представлены только три DLP-системы (от компаний InfoWatch, Perimetrix и WebSence). К ним также можно отнести недавно анонсированный интегрированный продукт от “Инфосистемы Джет” (СКВТ+СМАП), так как он будет покрывать несколько каналов и иметь унифицированный менеджмент политик безопасности.
Говорить о долях рынка этих продуктов в России довольно сложно, поскольку большинство упомянутых производителей не раскрывают объемов продаж, количество клиентов и защищенных рабочих станций, ограничиваясь только маркетинговой информацией. Точно можно сказать лишь о том, что основными поставщиками на данный момент являются:
- системы “Дозор”, присутствующие на рынке с 2001 г.;
- продукты InfoWatch, продающиеся с 2004 г.;
- WebSense CPS (начал продаваться в России и во всем мире в 2007 г.);
- Perimetrix (молодая компания, первая версия продуктов которой анонсирована на ее сайте на конец 2008 г.).
В заключение хотелось бы добавить, что принадлежность или нет к классу DLP-систем, не делает продукты хуже или лучше - это просто вопрос классификации и ничего более.
| Компания | Продукт | Возможности продукта | |||
|---|---|---|---|---|---|
| Защита “данных в движении” (data-in-motion) | Защита “данных в использовании” (data-in-use) | Защита “данных в хранении” (data-at-rest) | Централизованное хранилище и аудит | ||
| InfoWatch | IW Traffic Monitor | Да | Да | Нет | Да |
| IW CryptoStorage | Нет | Нет | Да | Нет | |
| Perimetrix | SafeSpace | Да | Да | Да | Да |
| Инфосистемы Джет | Дозор Джет (СКВТ) | Да | Нет | Нет | Да |
| Дозор Джет (СМАП) | Да | Нет | Нет | Да | |
| Смарт Лайн Инк | DeviceLock | Нет | Да | Нет | Да |
| SecurIT | Zlock | Нет | Да | Нет | Нет |
| SecrecyKeeper | Нет | Да | Нет | Нет | |
| SpectorSoft | Spector 360 | Да | Нет | Нет | Нет |
| Lumension Security | Sanctuary Device Control | Нет | Да | Нет | Нет |
| WebSense | Websense Content Protection | Да | Да | Да | Нет |
| Информзащита | Security Studio | Нет | Да | Да | Нет |
| Праймтек | Insider | Нет | Да | Нет | Нет |
| АтомПарк Софтваре | StaffCop | Нет | Да | Нет | Нет |
| СофтИнформ | SearchInform Server | Да | Да | Нет | Нет |
| Компания | Продукт | Критерий принадлежности к DLP системам | |||
|---|---|---|---|---|---|
| Многоканальность | Унифицированный менеджмент | Активная защита | Учет как содержания, так и контекста | ||
| InfoWatch | IW Traffic Monitor | Да | Да | Да | Да |
| Perimetrix | SafeSpace | Да | Да | Да | Да |
| “Инфосистемы Джет” | “Дозор Джет” (СКВТ) | Нет | Нет | Да | Да |
| “Дозор Джет” (СМАП) | Нет | Нет | Да | Да | |
| “Смарт Лайн Инк” | DeviceLock | Нет | Нет | Нет | Нет |
| SecurIT | Zlock | Нет | Нет | Нет | Нет |
| Smart Protection Labs Software | SecrecyKeeper | Да | Да | Да | Нет |
| SpectorSoft | Spector 360 | Да | Да | Да | Нет |
| Lumension Security | Sanctuary Device Control | Нет | Нет | Нет | Нет |
| WebSense | Websense Content Protection | Да | Да | Да | Да |
| “Информзащита” | Security Studio | Да | Да | Да | Нет |
| “Праймтек” | Insider | Да | Да | Да | Нет |
| “АтомПарк Софтваре” | StaffCop | Да | Да | Да | Нет |
| “СофтИнформ” | SearchInform Server | Да | Да | Нет | Нет |
| “Инфооборона” | “Инфопериметр” | Да | Да | Нет | Нет |
Для вывода с различных источников графической и видеоинформации на большой экран помогают мультимедийные проекторы. Они широко применяются не только в образовательных учреждениях, но и в сфере бизнеса. Рынок интерактивных мультимедиа-устройств огромный. Каждые технологии, которые применяют производители, имеют свои преимущества и особенности. Рассмотрим, какое цифровое оборудование предпочтительней для разных сфер применения – LCD или DLP проектор, их достоинства и недостатки.
В зависимости от выбранного проектора, качество изображения бывает различное. Полученную картинку можно оценить по основным параметрам:
- яркость,
- точность цветопередачи,
- контрастность,
- глубина цвета,
- частота обновления,
- равномерность освещения,
- оптическая эффективность,
- разрешение.
Чтобы мультимедийные изображения выглядели качественными, технологии проекторов должны обеспечивать высокий уровень основных параметров. Однако не все проекционные системы в равной степени могут обеспечить оптимальный технический уровень.
Особенности DLP технологии
Технология DLP (с английского переводится как «цифровая обработка света») – самое перспективное техническое решение, основу которого составляет изобретение американского ученого Л. Хорнбека, цифровое микрозеркальное устройство .
Матрица устройства состоит из нескольких тысяч зеркал, имеющих размеры не более 16 микрон. Одна деталь соответствует 1 пикселю и изготавливается из сплава алюминия. Благодаря особенности зеркальной поверхности, материал обладает высокой отражающей способностью. Элементы микрозеркал с помощью оси крепятся к скобе. Она присоединяется к основанию матрицы специальной системой высокоподвижных пластин. Таким образом, зеркала располагаются поверх интегральной схемы .
Под микрозеркалами в 2-х противоположных углах находятся электроды, которые соединяются со статической памятью Sram. За счет действия электрического поля микроскопические зеркала принимают две позиции, при этом отклоняясь четко от центральной оси вправо или влево на 10 градусов. В итоге, отражаясь от lcd-матрицы, свет фокусируется с помощью оптической системы микрозеркал и позиционируется на дисплей.
Принцип действия DLP проектора
ДЛП технология позволяет создавать цифровой DLP проектор с высокой степенью яркости. В таких цифровых приборах применяется сложная конструкция, состоящая из трех микросхем.
Принцип действия технологии:
- белый пучок света расщепляется призмой на 3 составляющие — красного, синего и зеленого цвета;
- световые потоки перенаправляются четко на свою отдельную поверхность чипа;
- отраженные от зеркал, цветные лучи фокусируются на экран при помощи проекционной линзы.
Для трансляции в кинотеатрах широкоформатного изображения чаще всего применяют эти устройства.
DLP проектор использует цифровую технологию, где пиксели – это двоичные элементы, которые находятся в двух положениях: включенном или выключенном. Благодаря этому отсутствует чувствительность серого цвета к различным окружающим факторам и обеспечивается высокая степень повторяемости . За счет этой особенности градация яркости, цветовые оттенки проецируются стабильно и равномерно по всей площади.
Особенности LCD технологии
При использовании LCD-технологии, мультимедиа-проекторы оснащаются 3-мя полисиликоновыми ЖК-экранами . Каждая из панелей отвечает за свой цвет. Матрицы состоят из совокупности отдельных пикселей. Между ними размещены управляющие компоненты, регулирующие их прозрачность. Далее пучки цвета сквозь призму объединяются, и благодаря соединяющим линзам проецируются на экран монитора.
Новые 3LCD цифровые проекторы имеют улучшенные технические характеристики. Трехматричные продукты используют чипы марки Texas Instruments. Отличительные характеристики изделий 3LCD Group – за счет проецирования на дисплей трех цветов спектра, получается яркое цветовое пространство, отсутствует «эффект радуги», передача серых оттенков максимально приближена к реальности.
Проекторы, использующие цифровую LCD технологию, работают по такому принципу:
- белый свет лампы за счет 2-х дихроичных микрозеркал расщепляется на основные цвета: зеленый, красный и синий;
- далее каждый цвет пропускается сквозь LCD-матрицу;
- формируется полноцветное изображение.
Сравнительная характеристика DLP или LCD проекторов
За последнее время обе технологии развивались и улучшались, поэтому различия между ними становятся все менее заметными. В таблице собраны основные плюсы и минусы двух систем.
| DLP -проекторы | LCD -проекторы | |
| Преимущества | высокая степень взаимозаменяемости оборудования;
оптимальная оптическая эффективность; точность цветопередачи; градация яркости равномерна по всей плоскости поверхности; надежность оборудования; возможность осуществлять 3Д-проецирование на широкоформатные экраны; высокий коэффициент контрастности; легкий вес оборудования; подходят для применения в помещениях с пыльными и задымленными условиями |
насыщенные цвета картинки;
незначительное потребление энергии; высокая степень яркости |
| Недостатки | «эффект радуги», который возникает на проецируемом дисплее | необходимо периодически чистить и заменять фильтр;
меньший контраст; видимость пикселей; снижение качества изображения после эксплуатации; оборудование массивнее и тяжелее |
Несмотря на существование небольших недостатков, обе технологии постоянно улучшаются, а модельный ряд периодически обновляется. Производители цифровых проекторов видоизменяют устройства для улучшения качества изображений.
Заключение
Выбирая, какие цифровые устройства подойдут больше для бизнеса и удовлетворят ожидания зрителей — DLP или LCD цифровые проекторы, учитывают эксплуатационные параметры, надежность и функциональность системы.
Для воспроизведения изображения на широкоформатном экране в кинотеатре, трансляции видео и презентаций подойдет проектор с ДЛП технологией. Для домашнего просмотра также больше подойдет DLP проектор. Он отличается высокими характеристиками цветности, контраста, стабильностью изображения. Цифровые портативные DLP устройства зарекомендовали себя надежными и качественными современными проекционными приборами. Для трансляции с точной цветопередачей и для экономного использования электроэнергии выбирают LCD проекторы.
Сегодня часто можно услышать о такой технологии, как DLP системы. Что собой представляет такая система? Как она может быть использована? Под DLP-системами понимают программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при фильтрации и отправке. Данные сервисы также осуществляют мониторинг, обнаружение и блокирование конфиденциальной информации при ее использовании, движении и хранении. Утечка конфиденциальной информации, как правило, происходит по причине работы с техникой неопытных пользователей или злонамеренных действий.
Подобная информация в виде корпоративных или частных сведений, объектов интеллектуальной собственности, медицинской и финансовой информации, сведений о кредитных картах, нуждается в особых мерах защиты, предложить которые могут современные информационные технологии. Случаи утраты информации превращаются в утечку, когда источник, содержащий конфиденциальные сведения пропадает и оказывается у несанкционированной стороны. Утечка информации возможна и без потери.
Условно технологические средства, которые используются для борьбы с утечкой информации можно разделить на следующие категории:
— стандартные меры безопасности;
— интеллектуальные (продвинутые) меры;
— контроль доступа и шифрование;
— специализированные системы DLP.
Стандартные меры
К стандартным мерам безопасности относятся межсетевые экраны, системы обнаружения вторжений (IDS), антивирусное программное обеспечение. Они охраняют компьютер от аутсайдера и инсайдерских атак. Так. Например, подключение брандмауэра исключает доступ к внутренней сети посторонних лист. Система обнаружения вторжений может обнаружить попытки проникновения. Для предотвращения внутренних атак можно использовать антивирусные программы, обнаруживающие троянских коней, установленных на ПК. Также можно использовать специализированные сервисы, работающие в архитектуре клиент-сервер без какой-либо конфиденциальной или личной информации, хранящейся на компьютере.
Дополнительные меры безопасности
В дополнительных мерах безопасности используются узкоспециализированные сервисы и временные алгоритмы, которые предназначены для обнаружения ненормального доступа к данным, а точнее говоря к базам данных и информационно-поисковым системам. Также такие средства защиты позволяют обнаружить ненормальный обмен электронной почтой. Такие современные информационные технологии выявляют запросы и программы, которые поступают с вредоносными намерениями и осуществляют глубокие проверки компьютерных системы вроде распознавания звуков динамика или нажатий клавиш. Некоторые сервисы такого рода даже способны осуществлять мониторинг активности пользователей с целью обнаружения необычного доступа к данным.
Что собой представляют специально-разработанные DLP-системы?
Решения DLP, разработанные для защиты информации, служат для обнаружения и предотвращения попыток несанкционированного копирования и передачи конфиденциальной информации без разрешения или доступа со стороны пользователей, которые имеют право доступа к конфиденциальной информации. Для того чтобы классифицировать информацию определенного типа и отрегулировать доступ к ней, в этих системах используются такие механизмы, как точное соответствие данных, статистические методы, структурированная дактилоскопия, прием регулярных выражений и правил, опубликование кодовых фраз, ключевых слов, концептуальных определений. Рассмотрим основные типы и характеристики DLP-систем.
Network DLP
Данная система, как правило, представляет собой аппаратное решение или программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Такая система анализирует сетевой трафик с целью обнаружения конфиденциальной информации, отправляемой с нарушениями политики информационной безопасности.
Endpoint DLP
Системы такого типа функционируют на рабочих станциях конечных пользователей или серверах в организациях. Конечная точка, как и в других сетевых системах, может быть обращена как к внутренним, так и к внешним связям и, следовательно, может использоваться для контроля потока информации между типами и группами пользователей. Они также способны осуществлять контроль за обменом мгновенными сообщениями и электронной почтой. Происходит это следующим образом, прежде, чем данные сообщения будут загружены на устройство, они проверяются сервисом. При содержании неблагоприятного запроса сообщения будут заблокированы. Таким образом они становятся неоправленными и не попадают под действие правил хранения информации на устройстве.
Преимущество DLP системы заключается в том, что она может контролировать и управлять доступом к устройствам физического типа, а также получать доступ к информации до того, как она будет зашифрована. Некоторые системы, которые функционируют на основе конечных утечек, могут также обеспечить контроль приложений с целью блокировки попыток передачи конфиденциальной информации и обеспечения незамедлительной обратной связи с пользователем. Недостаток таких систем заключается в том, что они должны быть установлены на каждой рабочей станции в сети и не могут использоваться на мобильных устройствах вроде КПК или сотовых телефонов. Данное обстоятельство необходимо учитывать при выборе систем DLP для выполнения определенных задач.
Идентификация данных
Системы DLP содержат в себе несколько методов, направленных на выявление конфиденциальной и секретной информации. Данный процесс часто путают с процедурой расшифровки информации. Однако идентификация информации представляет собой процесс, при помощи которого организации используют технологию DLP для того, чтобы определить, что именно нужно искать. При этом данные классифицируются как структурированные или неструктурированные. Данные первого типа хранятся в фиксированных полях внутри файла, например, в виде электронных таблиц. Неструктурированные данные относятся к свободной форме текста. Если верить оценкам экспертов, то 80% всей обрабатываемой информации можно отнести к неструктурированным данным. Соответственно, только 20% от общего объема информации является структурированной. Для классификации информации используется контент-анализ, который ориентирован на структурированную информацию и контекстный анализ. Делается он по месту создания приложения или системы, в которой появилась информация. Таким образом, ответом на вопрос «что собой представляют DLP системы» может послужить определение алгоритма анализа информации.
Методы
Используемые в системах DLP методы описания конфиденциального содержимого на сегодняшний день очень многочисленны. Условно их можно поделить на две категории: точные и неточные. Точные – это методы, которые связаны с анализом контента и практически сводят к нулю все ложные положительные ответы на запросы. Остальные методы являются неточными. К ним относятся статистический анализ, байесовский анализ, мета-теги, расширенные регулярные выражения, ключевые слова, словари и т.д. Эффективность анализа данных напрямую будет зависеть от его точности. DLP система с высоким рейтингом имеет высокие показатели по данному параметру. Важное значение для избегания ложных срабатываний и других негативных последствий имеет точность идентификации DLP. Точность зависит от множества факторов, которые могут быть технологическими или ситуативными. Тестирование точности позволяет обеспечить надежность работы системы DLP.
Обнаружение утечек информации и их предотвращение
В некоторых случаях источник распределения данных делает доступной для третьей стороны конфиденциальную информацию. Часть этих данных скорее всего через некоторое время будет обнаружена в несанкционированном месте, например, на ноутбуке другого пользователя или в интернете. Системы DLP, стоимость которых предоставляется разработчиками по запросу, можно составлять от нескольких десятков до нескольких тысяч рублей. Системы DLP должны исследовать, как просочились данные от одного или от нескольких третьих лиц, осуществлялось ли это независимо, не была ли утечка информации обеспечена каким-то другими средствами.
Данные в состоянии покоя
Описание «данные в состоянии покоя» относится к старой архивной информации, которая хранится на любом из жестких дисков клиентского персонального компьютера, на удаленном файловом сервере, на диске сетевого хранилища. Это определение также относится к данным, которые хранятся в системе резервного копирования на компакт-дисках или флэшках. Такая информация предоставляет большой интерес для государственных учреждений или предприятий, поскольку большой объем данных содержится неиспользованным в устройствах памяти. В данном случае велика вероятность того, что доступ к информации будет получен неуполномоченными на то лицами за пределами сети.
Технология DLP (Data Loss Prevention ) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. Конкурентным преимуществом большинства систем является модуль анализа. Производители настолько выпячивают этот модуль, что часто называют по нему свои продукты, например «DLP-решение на базе меток». Поэтому пользователь выбирает решения зачастую не по производительности, масштабируемости или другим, традиционным для корпоративного рынка информационной безопасности критериям, а именно на основе используемого типа анализа документов. Очевидно, что, поскольку каждый метод имеет свои достоинства и недостатки, использование только одного метода анализа документов ставит решение в технологическую зависимость от него. Большинство производителей используют несколько методов, хотя один из них обычно является «флагманским».
Под DLP многие клиенты и производители решений иногда понимают то, что DLP не является – скажем, систему защиты и блокировки портов. Есть устойчивое мнение, что DLP – это только софт, что тоже в корне неверно. DLP – это целый комплекс организационных и технических мер. Не случайно наиболее дальновидные производители DLP стремятся выйти за рамки систем защиты от утечек в смежные области, нарастить функционал. DLP-проект – дело сложное, это очень много консалтинга, совместной работы с заказчиком, и совсем чуть-чуть собственно внедрения, адаптации системы под инфраструктуру конкретной компании.
Постепенно сложилась концепция трех стадий взаимодействия с клиентом в DLP-проекте: pre-DLP, DLP и post-DLP. На первом этапе команда вендора, интегратора и заказчика совместно разбираются с объектами защиты, выясняют, какую именно конфиденциальную информацию будет отслеживаться в компании. Это во многом консалтинговая работа. На рынке присутствуют автоматические инструменты для помощи компании в категоризации информации. Он позволяет в полуавтоматическом режиме разнести информацию по категориям. В дальнейшем, при анализе исходящего трафика, система определяет, к какой категории или категориям относится исходящий документ, сопоставляет его с уже имеющимися образцами (сравниваются векторы документов, построенные в многомерном пространстве. Измерения этого пространства - термины). Если вектор документа близок к вектору эталонного конфиденциального документа, система сообщает об этом или блокирует отправку (в зависимости от настроек). Это сложная гибридная лингвистика в действии. На этапе pre-DLP важно подготовить такую классификацию, чтобы у системы в процессе работы не возникало ни сомнений, ни ложных срабатываний.
Внедрение – это простая часть, обычно она занимает от одного до нескольких дней. По сути это просто развертывание софта на всю компанию. Если там сложная, большая разветвленная инфраструктура, это будет подольше. Стадия post-DLP предполагает работу с системой, когда инцидент уже произошел. При соблюдении в компании ряда процедур данные системы могут использоваться в качестве доказательства в суде (в случае преследования нарушителя за несоблюдение режима коммерческой тайны, например).
По подсчетам ABI Research, к концу 2014 года рынок решений Data Loss Prevention достигнет $1,7 млрд. Аналитики компании Gartner придерживаются оценки в $830 млн. По словам Натальи Касперской, генерального директора InfoWatch, российский рынок DLP-систем в 2014 году вырос на 30-35%, а весь мировой рынок составил $700 млн.
В России работает несколько компаний - производителей DLP-систем (основные - InfoWatch, «Инфосистемы Джет», Zecurion, SearchInform). По прогнозам Anti-Malware, сделанном в сентябре 2014 года, по итогам 2014 года объем российского рынка DLP-систем составит $85 – 88 млн. По внедрениям DLP-систем в России лидируют крупный бизнес (64%), госсектор (26%) и средний бизнес (10%).
1 июня 2014 г. вступил в действие новый стандарт обеспечения информационной безопасности в банках, рекомендованный им Банком России. Согласно стандарту, Банк России рекомендует российским банкам внедрять системы Data Loss Prevention (DLP), чтобы предотвратить утечку данных о клиентах. С их помощью кредитные организации смогут анализировать переписку сотрудников, а также выяснять, какими интернет-сайтами они пользуются.
Вступивший в силу 1 июня новый стандарт заменил старый, действовавший с 2010 года. В документе впервые говорится об «утечке данных» и прописаны меры для ее предотвращения. Для этого Центробанк России разрешил банкам использовать DLP (Data Loss Prevention - система для предотвращения утечек). Этот тип программного обеспечения устанавливается на компьютеры сотрудников и корпоративные серверы и позволяет отслеживать все их действия в интернете, а также переписку и обмен информацией.
Применение DLP обязывает банки архивировать электронную почту, чтобы в случае утечки информации можно было отследить ее источник. Кроме того, стандарт безопасности подразумевает применение защищенных сетевых протоколов.
Кроме того, согласно тексту внесенного в Думу документа, компании планируется наделить возможностью получать дистанционное согласие гражданина на обработку его персональных данных. В настоящее время сделать это можно только при личном присутствии человека.
В наши дни можно часто услышать о такой технологии, как DLP-системы. Что это такое, и где это используется? Это программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при их отправке и фильтрации. Кроме того, такие сервисы осуществляют мониторинг, обнаружение и блокирование при ее использовании, движении (сетевом трафике), а также хранении.
Как правило, утечка конфиденциальных данных происходит по причине работы с техникой неопытных пользователей либо является результатом злонамеренных действий. Такая информация в виде частных или корпоративных сведений, объектов интеллектуальной собственности (ИС), финансовой или медицинской информации, сведений кредитных карт и тому подобное нуждается в усиленных мерах защиты, которые могут предложить современные информационные технологии.
Термины «потеря данных» и «утечка данных» связаны между собой и часто используются как синонимы, хотя они несколько отличаются. Случаи утери информации превращаются в ее утечку тогда, когда источник, содержащий конфиденциальные сведения, пропадает и впоследствии оказывается у несанкционированной стороны. Тем не менее утечка данных возможна без их потери.
Категории DLP
Технологические средства, используемые для борьбы с утечкой данных, можно разделить на следующие категории: стандартные меры безопасности, интеллектуальные (продвинутые) меры, контроль доступа и шифрование, а также специализированные DLP-системы (что это такое - подробно описано ниже).
Стандартные меры
Такие стандартные меры безопасности, как системы обнаружения вторжений (IDS) и антивирусное программное обеспечение, представляют собой обычные доступные механизмы, которые охраняют компьютеры от аутсайдера, а также инсайдерских атак. Подключение брандмауэра, к примеру, исключает доступ к внутренней сети посторонних лиц, а система обнаружения вторжений обнаруживает попытки проникновения. Внутренние атаки возможно предотвратить путем проверки антивирусом, обнаруживающих установленных на ПК, которые отправляют конфиденциальную информацию, а также за счет использования сервисов, которые работают в архитектуре клиент-сервер без каких-либо личных или конфиденциальных данных, хранящихся на компьютере.
Дополнительные меры безопасности
Дополнительные меры безопасности используют узкоспециализированные сервисы и временные алгоритмы для обнаружения ненормального доступа к данным (т. е. к базам данных либо информационно-поисковых системам) или ненормального обмена электронной почтой. Кроме того, такие современные информационные технологии выявляют программы и запросы, поступающие с вредоносными намерениями, и осуществляют глубокие проверки компьютерных систем (например, распознавание нажатий клавиш или звуков динамика). Некоторые такие сервисы способны даже проводить мониторинг активности пользователей для обнаружения необычного доступа к данным.
Специально разработанные DLP-системы - что это такое?
Разработанные для защиты информации DLP-решения служат для обнаружения и предотвращения несанкционированных попыток копировать или передавать конфиденциальные данные (преднамеренно или непреднамеренно) без разрешения или доступа, как правило, со стороны пользователей, которые имеют право доступа к конфиденциальным данным.
Для того чтобы классифицировать определенную информацию и регулировать доступ к ней, эти системы используют такие механизмы, как точное соответствие данных, структурированная дактилоскопия, прием правил и регулярных выражений, опубликований кодовых фраз, концептуальных определений и ключевых слов. Типы и сравнение DLP-систем можно представить следующим образом.
Network DLP (также известная как анализ данных в движении или DiM)
Как правило, она представляет собой аппаратное решение либо программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Она анализирует сетевой трафик для обнаружения конфиденциальных данных, отправляемых в нарушение
Endpoint DLP (данные при использовании )
Такие системы функционируют на рабочих станциях конечных пользователей или серверов в различных организациях.
Как и в других сетевых системах, конечная точка может быть обращена как к внутренним, так и к внешним связям и, следовательно, может быть использована для контроля потока информации между типами либо группами пользователей (например, «файерволы»). Они также способны осуществлять контроль за электронной почтой и обменом мгновенными сообщениями. Это происходит следующим образом - прежде, чем сообщения будут загружены на устройство, они проверяются сервисом, и при содержании в них неблагоприятного запроса они блокируются. В результате они становятся неоправленными и не подпадают под действие правил хранения данных на устройстве.
DLP-система (технология) имеет преимущество в том, что она может контролировать и управлять доступом к устройствам физического типа (к примеру, мобильные устройства с возможностями хранения данных), а также иногда получать доступ к информации до ее шифрования.
Некоторые системы, функционирующие на основе конечных точек, также могут обеспечить контроль приложений, чтобы блокировать попытки передачи конфиденциальной информации, а также обеспечить незамедлительную обратную связь с пользователем. Вместе с тем они имеют недостаток в том, что они должны быть установлены на каждой рабочей станции в сети, и не могут быть использованы на мобильных устройствах (например, на сотовых телефонах и КПК) или там, где они не могут быть практически установлены (например, на рабочей станции в интернет-кафе). Это обстоятельство необходимо учитывать, делая выбор DLP-системы для каких-либо целей.
Идентификация данных
DLP-системы включают в себя несколько методов, направленных на выявление секретной либо конфиденциальной информации. Иногда этот процесс путают с расшифровкой. Однако идентификация данных представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать (в движении, в состоянии покоя или в использовании).
Данные при этом классифицируются как структурированные или неструктурированные. Первый тип хранится в фиксированных полях внутри файла (например, в виде электронных таблиц), в то время как неструктурированный относится к свободной форме текста (в форме текстовых документов или PDF-файлов).
По оценкам специалистов, 80% всех данных - неструктурированные. Соответственно, 20% - структурированные. основывается на контент-анализе, ориентированном на структурированную информацию и контекстный анализ. Он делается по месту создания приложения или системы, в которой возникли данные. Таким образом, ответом на вопрос «DLP-системы - что это такое?» послужит определение алгоритма анализа информации.
Используемые методы
Методы описания конфиденциального содержимого на сегодняшний день многочисленны. Их можно разделить на две категории: точные и неточные.
Точные методы - это те, которые связаны с анализом контента и практически сводят к нулю ложные положительные ответы на запросы.
Все остальные являются неточными и могут включать в себя: словари, ключевые слова, регулярные выражения, расширенные регулярные выражения, мета-теги данных, байесовский анализ, статистический анализ и т. д.
Эффективность анализа напрямую зависит от его точности. DLP-система, рейтинг которой высок, имеет высокие показатели по данному параметру. Точность идентификации DLP имеет важное значение для избегания ложных срабатываний и негативных последствий. Точность может зависеть от многих факторов, некоторые из которых могут быть ситуативными или технологическими. Тестирование точности может обеспечить надежность работы DLP-системы - практически нулевое количество ложных срабатываний.
Обнаружение и предотвращение утечек информации
Иногда источник распределения данных делает конфиденциальную информацию доступной для третьих лиц. Через некоторое время часть ее, вероятнее всего, обнаружится в несанкционированном месте (например, в интернете или на ноутбуке другого пользователя). DLP-системы, цена которых предоставляется разработчиками по запросу и может составлять от нескольких десятков до нескольких тысяч рублей, должны затем исследовать, как просочились данные - от одного или нескольких третьих лиц, было ли это независимо друг от друга, не обеспечивалась ли утечка какими-то другими средствами и т. д.
Данные в покое
«Данные в состоянии покоя» относятся к старой архивной информации, хранящейся на любом из жестких дисков клиентского ПК, на удаленном файловом сервере, на диске Также это определение относится к данным, хранящимся в системе резервного копирования (на флешках или компакт-дисках). Эти сведения представляют большой интерес для предприятий и государственных учреждений просто потому, что большой объем данных содержится неиспользованным в устройствах памяти, и более вероятно, что доступ к ним может быть получен неуполномоченными лицами за пределами сети.