Ядром dlp системы являются модули. DLP-системы

Безопасность 04.11.2020

Безопасность

Термин DLP часто расшифровывается как Data Loss Prevention или Data Leakage Prevention - предотвращение утечек данных. Соответственно, DLP-системы это программные и программно-аппаратные средства для решения задачи предотвращение утечек данных.

Противодействие утечкам информации по техническим каналам можно условно разделить на две задачи: борьба с внешней угрозой и борьба с внутренним нарушителем.

Ценные корпоративные данные, которые ваша организация пытается защитить с помощью межсетевых экранов и паролей, буквально утекают сквозь пальцы инсайдеров. Это происходит как случайно, так и в результате умышленных действий – неправомерного копирования информации с рабочих компьютеров на флеш-накопители, смартфоны, планшетные компьютеры и другие носители данных. Кроме того, данные могут бесконтрольно передаваться инсайдерами через электронную почту, службы мгновенного обмена сообщениями, веб-формы, форумы и социальные сети. Беспроводные интерфейсы – Wi-Fi и Bluetooth– наравне с каналами локальной синхронизации данных с мобильными устройствами открывают дополнительные пути для утечек информации с пользовательских компьютеров организации.

Помимо инсайдерских угроз другой опасный сценарий утечек реализуется при заражении компьютеров вредоносными программами, которые могут записывать вводимый с клавиатуры текст или отдельные виды хранимых в оперативной памяти компьютера данных и впоследствии передавать их в Интернет.

Как DLP-система предотвращает утечки информации?

В то время, как ни одна из описанных выше уязвимостей не устраняется ни традиционными механизмами сетевой безопасности, ни встроенными средствами контроля ОС, программный комплекс DeviceLock DLP эффективно предотвращает утечки информации с корпоративных компьютеров, используя полный набор механизмов контекстного контроля операций с данными, а также технологии их контентной фильтрации.

Поддержка виртуальных и терминальных сред в системе DeviceLock DLP существенно расширяет возможности служб информационной безопасности в решении задачи предотвращения утечек информации при использовании различных решений виртуализации рабочих сред, созданных как в форме локальных виртуальных машин, так и терминальных сессий рабочих столов или опубликованных приложений на гипервизорах.

Для соответствия определению «полнофункциональная» (или полноценная) DLP-система должна отвечать следующим основным функциональным критериям:

Наличие функции избирательной блокировки локальных каналов передачи данных и каналов сетевых коммуникаций.
Развитая подсистема мониторинга всех каналов утечки информации во всех сценариях работы пользователя.
Инспекция содержимого перемещаемых данных в режиме реального времени с возможностью блокировки такой попытки или отправки тревожного оповещения.
Обнаружение документов с критическим содержимым в различных местах хранения данных.
Тревожные оповещения о значимых событиях в режиме реального времени.
Выполнение заданных политик в равной степени как внутри корпоративного периметра (в офисе), так и вне его.
Наличие аналитического инструментария для анализа предотвращенных попыток противоправных действий и случившихся инцидентов.
Защита от преднамеренных или случайных действий пользователя, направленных на вмешательство в работу DLP-системы.

Контекстный контроль и контентная фильтрация в DLP-системе

Эффективный подход к защите от утечек информации с компьютеров начинается с использования механизмов контекстного контроля – контроля передачи данных для конкретных пользователей в зависимости от форматов данных, типов интерфейсов и устройств, сетевых протоколов, направления передачи, времени суток и т.д.

Однако, во многих случаях требуется более глубокий уровень контроля – например, проверка содержимого передаваемых данных на наличие конфиденциальной информации в условиях, когда каналы передачи данных не должны блокироваться, чтобы не нарушать производственные процессы, но отдельные пользователи входят в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики. В подобных ситуациях дополнительно к контекстному контролю необходимо применение технологий контентного анализа, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.

Программный комплекс DeviceLock DLP использует как контекстные, так и основанные на анализе контента методы контроля, обеспечивая надежную защиту от утечек информации с пользовательских компьютеров и серверов корпоративных ИС. Контекстные механизмы DeviceLock DLP реализуют гранулированный контроль доступа пользователей к широкому спектру периферийных устройств и каналов ввода-вывода, включая сетевые коммуникации.

Дальнейшее повышение уровня защиты достигается за счет применения методов контентного анализа и фильтрации данных, что позволяет предотвратить их несанкционированное копирование на внешние накопители и Plug-and-Play устройства, а также передачу по сетевым протоколам за пределы корпоративной сети.

Как администрировать и управлять DLP-системой?

Наряду с методами активного контроля эффективность применения DeviceLock DLP обеспечивается за счет детального протоколирования действий пользователей и административного персонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том числе с использованием методов полнотекстового поиска.

Для администраторов информационной безопасности DeviceLock DLP предлагает наиболее рациональный и удобный подход к управлению DLP-системой – с использованием объектов групповых политик домена Microsoft Active Directory и интегрированной в редактор групповых политик Windows. При этом политики DeviceLock DLP автоматически распространяются средствами директории как интегральная часть ее групповых политик на все компьютеры домена, а также виртуальные среды. Такое решение позволяет службе информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации, а их исполнение распределенными агентами DeviceLock обеспечивает точное соответствие между бизнес-функциями пользователей и их правами на передачу и хранение информации на рабочих компьютерах.

Каналами утечки, приводящими к выведению информации за пределы информационной системы компании, могут стать сетевые утечки (например, электронная почта или ICQ), локальные (использование внешних USB-накопителей), хранимые данные (базы данных). Отдельно можно выделить утрату носителя (флэш-память, ноутбук). К классу DLP систему можно отнести, если она соответствует следующим критериям: многоканальность (мониторинг нескольких возможных каналов утечки данных); унифицированный менеджмент (унифицированные средства управления по всем каналам мониторинга); активная защита (соблюдение политики безопасности); учет как содержания, так и контекста.

Конкурентным преимуществом большинства систем является модуль анализа. Производители настолько выпячивают этот модуль, что часто называют по нему свои продукты, например «DLP-решение на базе меток». Поэтому пользователь выбирает решения зачастую не по производительности, масштабируемости или другим, традиционным для корпоративного рынка информационной безопасности критериям, а именно на основе используемого типа анализа документов.

Очевидно, что, поскольку каждый метод имеет свои достоинства и недостатки, использование только одного метода анализа документов ставит решение в технологическую зависимость от него. Большинство производителей используют несколько методов, хотя один из них обычно является «флагманским». Данная статья представляет собой попытку классификации методов, используемых при анализе документов. Дается оценка их сильных и слабых сторон на опыте практического применения нескольких типов продуктов. В статье принципиально не рассматриваются конкретные продукты, т.к. основной задачей пользователя при их выборе является отсев маркетинговых лозунгов типа «мы защитим все от всего», «уникальная запатентованная технология» и осознание того, с чем он останется, когда уйдут продавцы.

Контейнерный анализ

Этот метод анализирует свойства файла или другого контейнера (архива, криптодиска и т.п.), в котором находится информация. Просторечное название таких методов - «решения на метках», что довольно полно отражает их суть. Каждый контейнер содержит некую метку, которая однозначно определяет тип содержащегося внутри контейнера контента. Упомянутые методы практически не требуют вычислительных ресурсов для анализа перемещаемой информации, поскольку метка полностью описывает права пользователя на перемещение контента по любому маршруту. В упрощенном виде такой алгоритм звучит так: «есть метка - запрещаем, нет метки - пропускаем».

Плюсы такого подхода очевидны: быстрота анализа и полное отсутствие ошибок второго рода (когда открытый документ система ошибочно детектирует как конфиденциальный). Такие методы в некоторых источниках называют «детерминистскими».

Очевидны и минусы - система заботится только о помеченной информации: если метка не поставлена, контент не защищен. Необходимо разрабатывать процедуру расстановки меток на новые и входящие документы, а также систему противодействия переносу информации из помеченного контейнера в непомеченный посредством операций с буфером, файловых операций, копирования информации из временных файлов и т.д.

Слабость таких систем проявляется и в организации расстановки меток. Если их расставляет автор документа, то по злому умыслу он имеет возможность не пометить информацию, которую собирается похитить. При отсутствии злого умысла рано или поздно проявятся небрежность или беспечность. Если обязать расставлять метки определенного сотрудника, например офицера информационной безопасности или системного администратора, то он не всегда сможет отличить конфиденциальный контент от открытого, поскольку не знает досконально всех процессов в компании. Так, «белый» баланс должен быть выложен на сайте компании, а «серый» или «черный» нельзя выносить за пределы информационной системы. Но один от другого может отличить только главбух, т.е. один из авторов.

Метки обычно подразделяют на атрибутные, форматные и внешние. Как следует из названия, первые размещаются в атрибутах файлов, вторые - в полях самого файла и третьи - прикрепляются к файлу (ассоциируются с ним) внешними программами.

Контейнерные структуры в ИБ

Иногда плюсами решений на метках считаются также низкие требования к производительности перехватчиков, ведь они лишь проверяют метки, т.е. действуют как турникеты в метро: «есть билет - проходи». Однако не стоит забывать, что чудес не бывает - вычислительная нагрузка в этом случае перекладывается на рабочие станции.

Место решений на метках, какими бы они ни были - защита документных хранилищ. Когда компания имеет документное хранилище, которое, с одной стороны, пополняется достаточно редко, а с другой стороны - точно известны категория и уровень конфиденциальности каждого документа, то организовать его защиту проще всего как раз с использованием меток. Организовать расстановку меток на документах, поступающих в хранилище можно с помощью организационной процедуры. Например, перед тем как отправить документ в хранилище, сотрудник, отвечающий за его функционирование, может обратиться к автору и специалисту с вопросом, какой уровень конфиденциальности документу выставить. Особенно удачно эта задача решается с помощью форматных меток, т.е. каждый входящий документ сохраняется в защищенном формате и затем выдается по запросу сотрудника с указанием его в качестве допущенного к чтению. Современные решения позволяют присваивать право доступа на ограниченное время, а по истечении действия ключа документ просто перестает читаться. Именно по этой схеме организована, например, выдача документации на конкурсы по госзакупкам в США: система управления закупками генерирует документ, который могут прочитать без возможности изменить или скопировать содержимое только перечисленные в этом документе участники конкурса. Ключ на доступ действует только до срока подачи документов на конкурс, после чего документ перестает читаться.

Также с помощью решений, базирующихся на метках, компании организуют документооборот в закрытых сегментах сети, в которой обращаются интеллектуальная собственность и государственная тайна. Вероятно, теперь по требованиям ФЗ «О персональных данных» так же будет организован документооборот в отделах кадров крупных компаний.

Контентный анализ

При реализации описываемых в этом разделе технологий, в отличие от описанных ранее, напротив, совершенно безразлично, в каком контейнере хранится контент. Задача этих технологий - извлечь значащий контент из контейнера или перехватить передачу по каналу связи и проанализировать информацию на наличие запрещенного содержимого.

Основными технологиями в определении запрещенного контента в контейнерах являются контроль сигнатур, контроль на основе хеш-функций и лингвистические методы.

Сигнатуры

Самый простой метод контроля - поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-словом», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например той же меткой. Вообще этот метод не во всех его реализациях можно отнести к контентному анализу. Например, в большинстве устройств класса UTM поиск запрещенных сигнатур в потоке данных происходит без извлечения текста из контейнера, при анализе потока «as is». Или, если система настроена только на одно слово, то результат ее работы - определение 100%-го совпадения, т.е. метод можно отнести к детерминистским.

Однако чаще поиск определенной последовательности символов все же применяют при анализе текста. В подавляющем большинстве случаев сигнатурные системы настроены на поиск нескольких слов и частоту встречаемости терминов, т.е. мы будем все же относить эту систему к системам анализа контента.

К достоинствам этого метода можно отнести независимость от языка и простоту пополнения словаря запрещенных терминов: если вы хотите воспользоваться этим методом для поиска в потоке данных слова на языке пушту, вам не обязательно владеть этим языком, достаточно лишь знать, как оно пишется. Так же легко добавляется, например, транслитерированный русский текст или «олбанский» язык, что немаловажно, например, при анализе SMS -текстов, сообщений ICQ или постов в блогах.

Недостатки становятся очевидными при использования не-английского языка. К сожалению, большинство производителей систем анализа текстов работают для американского рынка, а английский язык очень «сигнатурен» - формы слов чаще всего образуются с помощью предлогов без изменения самого слова. В русском языке все гораздо сложнее. Возьмем, к примеру, милое сердцу сотрудника информационной безопасности слово «secret» (секрет). В английском оно означает и существительное «секрет», и прилагательное «секретный», и глагол «засекретить». В русском языке из корня «секрет» можно образовать несколько десятков различных слов. Т.е. если в англоговорящей организации сотруднику информационной безопасности достаточно ввести одно слово, в русскоговорящей придется вводить пару десятков слов и затем еще изменять их в шести различных кодировках.

Кроме того, такие методы неустойчивы к примитивному кодированию. Практически все они пасуют перед любимым приемом начинающих спамеров - заменой символов на похожие по начертанию. Автор неоднократно демонстрировал офицерам безопасности элементарный прием - проход конфиденциального текста через сигнатурные фильтры. Берется текст, содержащий, например, фразу «совершенно секретно», и почтовый перехватчик, настроенный на эту фразу. Если текст открыть в MS Word, то двухсекундная операция: Ctrl+F, «найти "o" (русской раскладки)», «заменить на "o" (английской раскладки)», «заменить все», «отослать документ» - делает документ абсолютно невидимым для этого фильтра. Тем более обидно, что такая замена проводится штатными средствами MS Word или любого другого текстового редактора, т.е. они доступны пользователю, даже если у него нет прав локального администратора и возможности запускать программы шифрования.

Чаще всего сигнатурный контроль потоков входит в функционал UTM-устройств, т.е. решений, очищающих трафик от вирусов, спама, вторжений и любых других угроз, детектирование которых происходит по сигнатурам. Поскольку эта функция является «бесплатной», зачастую пользователи считают, что этого достаточно. Такие решения действительно защищают от случайных утечек, т.е. в тех случаях, когда исходящий текст не изменяется отправителем с целью обойти фильтр, но против злонамеренных пользователей они бессильны.

Маски

Расширением функционала поиска сигнатур «стоп-слов» является поиск их масок. Он представляет собой поиск такого содержания, которое невозможно точно указать в базе «стоп-слов», но можно указать его элемент или структуру. К такой информации следует отнести любые коды, характеризующие персону или предприятие: ИНН, номера счетов, документов и т.д. Искать их с помощью сигнатур невозможно.

Неразумно задавать номер конкретной банковской карты в качестве объекта поиска, а хочется находить любой номер кредитной карты, как бы он не был написан - с пробелами или слитно. Это не просто желание, а требование стандарта PCI DSS : незашифрованные номера пластиковых карт запрещено посылать по электронной почте, т.е. обязанностью пользователя является находить такие номера в электронной почте и сбрасывать запрещенные сообщения.

Вот, например, маска, задающая такое стоп-слово, как название конфиденциального или секретного приказа, номер которого начинается с нуля. Маска учитывает не только произвольный номер, но и любой регистр и даже подмену русских букв латинскими. Маска записана в стандартной нотации «REGEXP», хотя у различных DLP-систем могут быть собственные, более гибкие нотации. Еще хуже дело обстоит с номерами телефонов. Эта информация отнесена к персональным данным, а писать ее можно десятком способов - с использованием различных сочетаний пробелов, разных типов скобок, плюса и минуса и т.д. Здесь, пожалуй, единственной маской не обойтись. Например, в антиспамовых системах, где приходится решать сходную задачу, для детектирования телефонного номера используют несколько десятков масок одновременно.

Множество различных кодов, вписанных в деятельность компаний и ее сотрудников, охраняются многими законами и представляют собой коммерческую тайну, банковскую тайну, персональные данные и другую защищаемую законом информацию, поэтому проблема детектирования их в трафике является обязательным условием любого решения.

Хеш-функции

Различного типа хеш-функции образцов конфиденциальных документов одно время считались новым словом на рынке защиты от утечек, хотя сама технология существует с 1970-х годов. На Западе этот метод иногда называется «digital fingerprints», т.е. «цифровые отпечатки пальцев», или «шиндлы» на научном сленге.

Суть всех методов одна и та же, хотя конкретные алгоритмы у каждого производителя могут существенно отличаться. Некоторые алгоритмы даже патентуются, что подтверждает уникальность реализации. Общий сценарий действия такой: набирается база образцов конфиденциальных документов. С каждого из них снимается «отпечаток», т.е. из документа извлекается значимое содержимое, которое приводится к некоторому нормальному, например (но не обязательно) текстовому виду, затем снимаются хеши всего содержимого и его частей, например абзацев, предложений, пятерок слов и т.д., детализация зависит от конкретной реализации. Эти отпечатки хранятся в специальной базе данных.

Перехваченный документ точно так же очищается от служебной информации и приводится к нормальному виду, затем с него по тому же алгоритму снимаются отпечатки-шиндлы. Полученные отпечатки ищутся в базе данных отпечатков конфиденциальных документов, и если находятся - документ считается конфиденциальным. Поскольку этот метод применяется для нахождения прямых цитат из документа-образца, технология иногда называется «антиплагиатной».

Большинство преимуществ такого метода являются одновременно его недостатками. Прежде всего, это требование использования образцов документов. С одной стороны, пользователю не надо беспокоиться о стоп-словах, значимых терминах и другой информации, совершенно неспецифической для офицеров безопасности деятельности. С другой стороны, «нет образца - нет защиты», что порождает те же самые проблемы с новыми и входящими документами, что и при обращении к технологиям, базирующимся на метках. Очень важным плюсом такой технологии является ее нацеленность на работу с произвольными последовательностями символов. Из этого следует, в первую очередь, независимость от языка текста - хоть иероглифы, хоть пушту. Далее, одно из главных следствий этого свойства - возможность снятия отпечатков с нетекстовой информации - баз данных, чертежей, медиафайлов. Именно эти технологии применяют голливудские студии и мировые студии звукозаписи для защиты медиаконтента в своих цифровых хранилищах.

К сожалению, низкоуровневые хеш-функции неустойчивы к примитивному кодированию, рассматривавшемуся в примере с сигнатурами. Они легко справляются с изменением порядка слов, перестановкой абзацев и другими ухищрениями «плагиаторов», но, например, изменение букв по всему документу разрушает хеш-образец и такой документ становится невидимым для перехватчика.

Использование только этого метода осложняет работу с формами. Так, пустая форма заявления на кредит является свободно распространяемым документом, а заполненная - конфиденциальным, поскольку содержит персональные данные. Если просто снять отпечаток с пустой формы, то перехваченный заполненный документ будет содержать всю информацию из пустой формы, т.е. отпечатки будут во многом совпадать. Таким образом, система либо пропустит конфиденциальную информацию, либо воспрепятствует свободному распространению пустых форм.

Несмотря на упомянутые недостатки, этот метод имеет широкое распространение, особенно в таком бизнесе, который не может себе позволить квалифицированных сотрудников, а действует по принципу «сложи всю конфиденциальную информацию в эту папку и спи спокойно». В этом смысле требование конкретных документов для их защиты чем-то похоже на решения, базирующиеся на метках, только хранящихся отдельно от образцов и сохраняющихся при изменении формата файла, копировании части файла и т.д. Однако крупный бизнес, имеющий в обороте сотни тысяч документов, зачастую просто не в состоянии предоставить образцы конфиденциальных документов, т.к. бизнес-процессы компании этого не требуют. Единственное, что есть (или, честнее, должно быть) на каждом предприятии, - «Перечень информации, составляющей коммерческую тайну». Сделать из нее образцы - нетривиальная задача.

Простота добавления образцов к базе контролируемого контента зачастую играет с пользователями злую шутку. Это ведет к постепенному увеличению базы отпечатков, существенно влияющему на производительность системы: чем больше образцов, тем больше сравнений каждого перехваченного сообщения. Поскольку каждый отпечаток занимает от 5 до 20% оригинала, база отпечатков постепенно разрастается. Пользователи отмечают резкое падение производительности, когда база начинает превышать объем оперативной памяти фильтрующего сервера. Обычно проблема решается регулярным аудитом образцов документов и удалением устаревших или дублирующихся образцов, т.е. экономя на внедрении, пользователи теряют на эксплуатации.

Лингвистические методы

Самым распространенным на сегодняшний день методом анализа является лингвистический анализ текста. Он настолько популярен, что зачастую именно он в просторечье именуется «контентной фильтрацией», т.е. несет на себе характеристику всего класса методов анализа содержимого. С точки зрения классификации и хеш-анализ, и анализ сигнатур, и анализ масок являются «контентной фильтрацией», т.е. фильтрацией трафика на основе анализа содержимого.

Как понятно из названия, метод работает только с текстами. Вы не защитите с его помощью базу данных, состоящую только из чисел и дат, тем более - чертежи, рисунки и коллекцию любимых песен. Зато с текстами этот метод творит чудеса.

Лингвистика как наука состоит из многих дисциплин - от морфологии до семантики. Поэтому лингвистические методы анализа тоже различаются между собой. Есть методы, использующие лишь стоп-слова, только вводящиеся на уровне корней, а сама система уже составляет полный словарь; есть базирующиеся на расставлении весов встречающихся в тексте терминов. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты.

Анализ всех тонкостей лингвистического анализа не входит в рамки этой статьи, поэтому сосредоточимся на достоинствах и недостатках.

Достоинством метода является полная нечувствительность к количеству документов, т.е. редкая для корпоративной информационной безопасности масштабируемость. База контентной фильтрации (набор ключевых словарных классов и правил) не меняется в размере от появления новых документов или процессов в компании.

Кроме того, пользователи отмечают в этом методе сходство со «стоп-словами» в той части, что если документ задержан, то сразу видно, из-за чего это произошло. Если система, базирующаяся на отпечатках, сообщает, что какой-то документ похож на другой, то офицеру безопасности придется самому сравнивать два документа, а при лингвистическом анализе он получит уже размеченный контент. Лингвистические системы наряду с сигнатурной фильтрацией так распространены, поскольку позволяют начать работать без изменений в компании сразу после инсталляции. Нет нужды возиться с расстановкой меток и снятием отпечатков, инвентаризировать документы и делать другую неспецифическую для офицера безопасности работу.

Недостатки столь же очевидны, и первый - зависимость от языка. В каждой стране, язык которой поддерживается производителем, это не является недостатком, однако с точки зрения глобальных компаний, имеющих кроме единого языка корпоративного общения (например, английского), еще множество документов на локальных языках в каждой стране, это явный недостаток.

Еще один недостаток - высокий процент ошибок второго рода, для снижения которого требуется квалификация в области лингвистики (для тонкой настройки базы фильтрации). Стандартные отраслевые базы обычно дают точность фильтрации 80-85%. Это означает, что каждое пятое-шестое письмо перехвачено ошибочно. Настройка базы до приемлемых 95-97% точности срабатывания связана обычно с вмешательством специально обученного лингвиста. И хотя для обучения корректировке базы фильтрации достаточно иметь два дня свободного времени и владеть языком на уровне выпускника средней школы, эту работу, кроме офицера безопасности, делать некому, а он обычно считает такую работу непрофильной. Привлекать же человека со стороны всегда рискованно - ведь работать ему придется с конфиденциальной информацией. Выходом из этой ситуации обычно является покупка дополнительного модуля - самообучающегося «автолингвиста», которому «скармливаются» ложные срабатывания, и он автоматически адаптирует стандартную отраслевую базу.

Лингвистические методы выбирают тогда, когда хотят минимизировать вмешательство в бизнес, когда служба защиты информации не имеет административного ресурса изменить существующие процессы создания и хранения документов. Они работают всегда и везде, хотя и с упомянутыми недостатками.

Трудности внедрения

Помимо очевидных трудностей внедрению DLP препятствует и сложность выбора подходящего решения, поскольку различные поставщики систем DLP исповедуют собственные подходы к организации защиты. У одних запатентованы алгоритмы анализа контента по ключевым словам, а кто-то предлагает метод цифровых отпечатков. Как в этих условиях выбрать оптимальный продукт? Что эффективнее? Ответить на эти вопросы очень сложно, так как внедрений систем DLP на сегодня крайне мало, а реальных практик их использования (на которые можно было бы полагаться) еще меньше. Но те проекты, которые все же были реализованы, показали, что более половины объема работ и бюджета в них составляет консалтинг, и это обычно вызывает большой скепсис у руководства. Кроме того, как правило, под требования DLP приходится перестраивать существующие бизнес-процессы предприятия, а на это компании идут с трудом.

Насколько внедрение DLP помогает соответствовать действующим требованиям регуляторов? На Западе внедрение DLP-систем мотивируют законы, стандарты, отраслевые требования и другие нормативные акты. По мнению экспертов, имеющиеся за рубежом четкие требования законодательства, методические указания по обеспечению требований являются реальным двигателем рынка DLP, так как внедрение специальных решений исключает претензии со стороны регуляторов. У нас в этой сфере положение совсем иное, и внедрение DLP-систем не помогает соответствовать законодательству.

Неким стимулом для внедрения и использования DLP в корпоративной среде может стать необходимость защищать коммерческие секреты компаний и выполнить требования федерального закона «О коммерческой тайне».

Почти на каждом предприятии приняты такие документы, как «Положение о коммерческой тайне» и «Перечень сведений, составляющих коммерческую тайну», и их требования следует выполнять. Существует мнение, что закон «О коммерческой тайне» (98-ФЗ) не работает, тем не менее руководители компаний хорошо осознают, что им важно и нужно защищать свои коммерческие секреты. Причем это осознание гораздо выше понимания важности закона «О персональных данных» (152-ФЗ), и любому руководителю намного проще объяснить необходимость внедрить конфиденциальный документооборот, чем рассказывать про защиту персональных данных.

Что мешает использовать DLP в процессах автоматизации защиты коммерческой тайны? По гражданскому кодексу РФ, для введения режима защиты коммерческой тайны необходимо лишь, чтобы информация обладала некой ценностью и была включена в соответствующий перечень. В этом случае обладатель такой информации по закону обязан принять меры к охране конфиденциальных сведений.

Вместе с тем очевидно, что и DLP не сможет решить всех вопросов. В частности, прикрыть доступ к конфиденциальной информации третьим лицам. Но для этого существуют другие технологии. Многие современные DLP-решения умеют с ними интегрироваться. Тогда при выстраивании этой технологической цепочки может получиться работающая система защиты коммерческой тайны. Такая система будет более понятной для бизнеса, и именно бизнес сможет выступить заказчиком системы защиты от утечек.

Россия и Запад

По мнению аналитиков, В России иное отношение к безопасности и иной уровень зрелости компаний, поставляющих решения DLP. Рынок России ориентируется на специалистов по безопасности и узкоспециализированные проблемы. Люди, занимающиеся предотвращением утечки данных, не всегда понимают, какие данные имеют ценность. В России «милитаристский» подход к организации систем безопасности: прочный периметр с межсетевыми экранами и все усилия прилагаются к тому, чтобы не допустить проникновения внутрь.

Но если сотрудник компании имеет доступ к количеству информации, которое не требуется для выполнения его обязанностей? С другой стороны, если посмотреть, какой подход формировался на Западе в последние 10-15 лет, то можно сказать, что больше внимания уделяется ценности информации. Ресурсы направляются туда, где находится ценная информация, а не на всю информацию подряд. Пожалуй, это самая большая культурологическая разница между Западом и Россией. Однако, говорят аналитики, ситуация меняется. Информация начинает восприниматься как деловой актив, а на эволюцию потребуется какое-то время.

Не существует всеобъемлющего решения

Стопроцентной защиты от утечек еще не разработал ни один производитель. Проблемы с использованием DLP-продуктов некоторые эксперты формулируют примерно так: эффективное использование опыта борьбы с утечками, применяемого в DLP-системах, требует понимания, что значительная работа по обеспечению защиты от утечек должна быть проведена на стороне заказчика, поскольку никто лучше него не знает собственных информационных потоков.

Другие считают, что защититься от утечек нельзя: предотвратить утечку информации невозможно. Поскольку информация имеет для кого-нибудь ценность, она будет получена раньше или позже. Программные средства могут сделать получение этой информации более дорогостоящим и требующим больших временных затрат процессом. Это может значительно снизить выгоду обладания информацией, ее актуальность. Значит, эффективность работы DLP-систем стоит контролировать.

С егодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

контроль использования рабочего времени и рабочих ресурсов сотрудниками;
мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

D LP-систему используют, когда необходимо обеспечить защиту конфиденциальных данных от внутренних угроз. И если специалисты по информационной безопасности в достаточной мере освоили и применяют инструменты защиты от внешних нарушителей, то с внутренними дело обстоит не так гладко.

Использование в структуре информационной безопасности DLP-системы предполагает, что ИБ-специалист понимает:

как сотрудники компании могут организовать утечку конфиденциальных данных;
какую информацию следует защищать от угрозы нарушения конфиденциальности.

Всесторонние знания помогут специалисту лучше понять принципы работы технологии DLP и настроить защиту от утечек корректным образом.

DLP-система должна уметь отличать конфиденциальную информацию от неконфиденциальной. Если анализировать все данные внутри информационной системы организации, возникает проблема избыточной нагрузки на IT-ресурсы и персонал. DLP работает в основном «в связке» с ответственным специалистом, который не только «учит» систему корректно работать, вносит новые и удаляет неактуальные правила, но и проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.

Для настройки «СёрчИнформ КИБ» используются - правила реагирования на ИБ-ицинденты. В системе есть 250 предустановленных политик, которые можно корректировать с учетом задач компании.

Функциональность DLP-системы строится вокруг «ядра» - программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа.

Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.

Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра».

Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа. Технология лингвистической аналитики включает:

морфологический анализ - поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
семантический анализ - поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.

Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.

Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами «обучения», однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов.

К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.

Статистические методы анализа , напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.

На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint - «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности.

Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие - зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы.

С формированием хешей связан и другой недостаток. В развитых IT-системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.

Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента.

Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.

В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга.

Определить, какие технологии присутствуют в ядре, можно .

Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP-система. Их два:

Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.

Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах ( , FTP, ), но и о более новых системах сетевого обмена (Instant Messengers, ). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.

Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что , какие документы , что набирается на клавиатуре, записывать аудиоматериалы, делать . На уровне конечной рабочей станции перехватывается шифрованный трафик (), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.

Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.

Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.

Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.

Эффективность бизнеса во многих случаях зависит от сохранения конфиденциальности, целостности и доступности информации. В настоящее время одной из наиболее актуальных угроз в области информационной безопасности (ИБ) является защита конфиденциальных данных от несанкционированных действий пользователей.
Это обусловлено тем, что большая часть традиционных средств защиты таких как антивирусы, межсетевые экраны (Firewall) и системы предотвращения вторжений (IPS) не способны обеспечить эффективную защиту от внутренних нарушителей (инсайдеров), целью которых может являться передача информации за пределы компании для последующего использования – продажи, передачи третьим лицам, опубликования в открытом доступе и т.д. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны системы предотвращения утечек данных (DLP — Data Loss Prevention) .
Подобного рода системы создают защищенный «цифровой периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией выступает не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth, WiFi и т.д.
DLP-системы осуществляют анализ потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении в этом потоке конфиденциальной информации срабатывает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется. Выявление конфиденциальной информации в потоках данных осуществляется путем анализа содержания и выявления специальных признаков: грифа документа, специально введённых меток, значений хэш-функции из определенного множества и т.д.
Современные DLP-системы обладают огромным количеством параметров и характеристик, которые обязательно необходимо учитывать при выборе решения для организации защиты конфиденциальной информации от утечек. Пожалуй, самым важным из них является используемая сетевая архитектура. Согласно этому параметру продукты рассматриваемого класса подразделяются на две большие группы: шлюзовые (рис. 1) и хостовые (рис. 2).
В первой группе используется единый сервер, на который направляется весь исходящий сетевой трафик корпоративной информационной системы. Этот шлюз занимается его обработкой в целях выявления возможных утечек конфиденциальных данных.

Рис. 1. Функциональная схема шлюзового DLP-решения

Второй вариант основан на использовании специальных программ – агентов, которые устанавливаются на конечных узлах сети – рабочих станциях, серверах приложений и пр.

Рис. 2. Функциональная схема хостового DLP решения

В последнее время наблюдается стойкая тенденция к универсализации DLP-систем. На рынке уже не осталось или почти не осталось решений, которые можно было бы назвать сугубо хостовыми или шлюзовыми. Даже те разработчики, которые долгое время развивали исключительно какое-то одно направление, добавляют к своим решениям модули второго типа.
Причины перехода к универсализации DLP-решений две. Первая из них – разные области применения у систем разных типов. Как было сказано выше, хостовые DLP-решения позволяют контролировать всевозможные локальные, а сетевые – интернет-каналы утечки конфиденциальной информации. Основываясь на том, что в подавляющем большинстве случаев организация нуждается в полной защите, то ей нужно и то, и другое. Второй причиной универсализации являются некоторые технологические особенности и ограничения, которые не позволяют сугубо шлюзовым DLP-системам полностью контролировать все необходимые интернет-каналы.
Поскольку полностью запретить использование потенциально опасных каналов передачи данных не представляется возможным, то можно поставить их под контроль. Суть контроля заключается в мониторинге всей передаваемой информации, выявлении среди нее конфиденциальной и выполнение тех или иных операций, заданных политикой безопасности организации. Очевидно, что основной, наиболее важной и трудоемкой задачей является анализ данных. Именно от его качества зависит эффективность работы всей DLP-системы.

Методы анализа потоков данных для DLP

Задачу анализа потока данных с целью выявления конфиденциальной информации можно смело назвать нетривиальной. Поскольку поиск нужных данных осложнен множеством факторов, требующих учета. Поэтому, на сегодняшний день разработано несколько технологий для детектирования попыток передачи конфиденциальных данных. Каждая из них отличается от других своим принципом работы.
Условно все способы обнаружения утечек можно разделить на две группы. К первой относятся те технологии, которые основаны на анализе непосредственно самих текстов передаваемых сообщений или документов (морфологический и статистический анализы, шаблоны). По аналогии с антивирусной защитой их можно назвать проактивными. Вторую группу составляют реактивные способы (цифровые отпечатки и метки). Они определяют утечки по свойствам документов или наличию в них специальных меток.

Морфологический анализ

Морфологический анализ является одним из самых распространенных контентных способов обнаружения утечек конфиденциальной информации. Суть этого метода заключается в поиске в передаваемом тексте определенных слов и/или словосочетаний.
Главным преимуществом рассматриваемого метода является его универсальность. С одной стороны, морфологический анализ может использоваться для контроля любых каналов связи, начиная с файлов, копируемых на съемные накопители, и заканчивая сообщениями в ICQ, Skype, социальных сетях, а с другой – с его помощью могут анализироваться любые тексты и отслеживаться любая информация. При этом конфиденциальные документы не нуждаются в какой-либо предварительной обработке. А защита начинает действовать сразу после включения правил обработки и распространяется на все заданные каналы связи.
Основным недостатком морфологического анализа является относительно низкая эффективность определения конфиденциальной информации. Причем зависит она как от используемых в системе защиты алгоритмов, так и от качества семантического ядра, применяющегося для описания защищаемых данных.

Статистический анализ

Принцип работы статистических методов заключается в вероятностном анализе текста, который позволяет предположить его конфиденциальность или открытость. Для их работы обычно требуется предварительное обучение алгоритма. В ходе него вычисляется вероятность нахождения тех или иных слов, а также словосочетаний в конфиденциальных документах.
Преимуществом статистического анализа является его универсальность. При этом стоит отметить, что данная технология работает в штатном режиме только в рамках поддержания постоянного обучения алгоритма. Так, например, если в процессе обучения системе было предложено недостаточное количество договоров, то она не сможет определять факт их передачи. То есть качество работы статистического анализа зависит от корректности его настройки. При этом необходимо учитывать вероятностный характер данной технологии.

Регулярные выражения (шаблоны)

Суть метода такова: администратор безопасности определяет строковый шаблон конфиденциальных данных: количество символов и их тип (буква или цифра). После этого система начинает искать в анализируемых текстах сочетания, удовлетворяющие ему, и применять к найденным файлам или сообщениям указанные в правилах действия.
Главным преимуществом шаблонов является высокая эффективность обнаружения передачи конфиденциальной информации. Применительно к инцидентам случайных утечек она стремится к 100%. Случаи с преднамеренными пересылками сложнее. Зная о возможностях используемой DLP-системы, злоумышленник может противодействовать ей, в частности, разделяя символы различными символами. Поэтому используемые методы защиты конфиденциальной информации должны держаться в секрете.
К недостаткам шаблонов относится, в первую очередь, ограниченная сфера их применения. Они могут использоваться только для стандартизованной информации, например, для защиты персональных данных. Ещё одним минусом рассматриваемого метода является относительно высокая частота ложных срабатываний. Например, номер паспорта состоит из шести цифр. Но, если задать такой шаблон, то он будет срабатывать каждый раз, когда встретится 6 цифр подряд. А это может быть номер договора, отсылаемый клиенту, сумма и т.п.

Цифровые отпечатки

Под цифровым отпечатком в данном случае понимается целый набор характерных элементов документа, по которому его можно с высокой достоверностью определить в будущем. Современные DLP-решения способны детектировать не только целые файлы, но и их фрагменты. При этом можно даже рассчитать степень соответствия. Такие решения позволяют создавать дифференцированные правила, в которых описаны разные действия для разных процентов совпадения.
Важной особенностью цифровых отпечатков является то, что они могут использоваться не только для текстовых, но и для табличных документов, а также для изображений. Это открывает широкое поле для применения рассматриваемой технологии.

Цифровые метки

Принцип данного метода следующий: на выбранные документы накладываются специальные метки, которые видны только клиентским модулям используемого DLP-решения. В зависимости от их наличия система разрешает или запрещает те или иные действия с файлами. Это позволяет не только предотвратить утечку конфиденциальных документов, но и ограничить работу с ними пользователей, что является несомненным преимуществом данной технологии.
К недостаткам данной технологии относится, в первую очередь, ограниченность сферы её применения. Защитить с ее помощью можно только текстовые документы, причем уже существующие. На вновь создаваемые документы это не распространяется. Частично этот недостаток нивелируется способами автоматического создания меток, например, на основе набора ключевых слов. Однако данный аспект сводит технологию цифровых меток к технологии морфологического анализа, то есть, по сути, к дублированию технологий.
Другим недостатком технологии цифровых меток является легкость ее обхода. Достаточно вручную набрать текст документа в письме (не скопировать через буфер обмена, а именно набрать), и данный способ будет бессилен. Поэтому он хорош только в сочетании с другими методами защиты.

Основные функции DLP-систем:

Основный функции DLP-систем визуализированы на рисунке ниже (рис. 3)

контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
контроль сохранения информации на внешние носители — CD, DVD, flash, мобильные телефоны и т.п.;
защита информации от утечки путем контроля вывода данных на печать;
блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;
поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.

Рис. 3. Основные функции DLP систем

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

1 уровень — Data-in-Motion – данные, передаваемые по сетевым каналам:

web (HTTP/HTTPS протоколы);
службы мгновенного обмена сообщениями (ICQ, QIP, Skype, MSN и т.д.);
корпоративная и личная почта (POP, SMTP, IMAP и т.д.);
беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
ftp – соединения.

2 уровень — Data-at-Rest – данные, статично хранящиеся на:

серверах;
рабочих станциях;
ноутбуках;
системах хранения данных (СХД).

3 уровень — Data-in-Use – данные, используемые на рабочих станциях.

Система класса DLP включает в себя следующие компоненты:

центр управления и мониторинга;
агенты на рабочих станциях пользователей;
сетевой шлюз DLP, устанавливаемый на Интернет-периметр.

В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, основными из них являются:

морфологический анализ информации;
статистический анализ информации;
регулярные выражения (шаблоны);
метод цифровых отпечатков;
метод цифровых меток.

Внедрение DLP-систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, Ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно! А ведь конечной целью создания системы обеспечения безопасности информационных технологий, является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Ядром dlp системы являются модули. DLP-системы

Как DLP-система предотвращает утечки информации?

Для соответствия определению «полнофункциональная» (или полноценная) DLP-система должна отвечать следующим основным функциональным критериям:

Контекстный контроль и контентная фильтрация в DLP-системе

Как администрировать и управлять DLP-системой?

Контейнерный анализ

Контейнерные структуры в ИБ

Контентный анализ

Сигнатуры

Маски

Хеш-функции

Лингвистические методы

Популярные каналы случайных утечек мобильные носители информации

Трудности внедрения

Россия и Запад

Не существует всеобъемлющего решения

Что такое DLP и как они работают?

«Побочные» задачи DLP

Методы анализа потоков данных для DLP

Морфологический анализ

Статистический анализ

Регулярные выражения (шаблоны)

Цифровые отпечатки

Цифровые метки

Основные функции DLP-систем:

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

Система класса DLP включает в себя следующие компоненты:

Рекомендуем почитать

Ядром dlp системы являются модули. DLP-системы

Как DLP-система предотвращает утечки информации?

Для соответствия определению «полнофункциональная» (или полноценная) DLP-система должна отвечать следующим основным функциональным критериям:

Контекстный контроль и контентная фильтрация в DLP-системе

Как администрировать и управлять DLP-системой?

Контейнерный анализ

Контейнерные структуры в ИБ

Контентный анализ

Сигнатуры

Маски

Хеш-функции

Лингвистические методы

Популярные каналы случайных утечек мобильные носители информации

Трудности внедрения

Россия и Запад

Не существует всеобъемлющего решения

Что такое DLP и как они работают?

«Побочные» задачи DLP

Методы анализа потоков данных для DLP

Морфологический анализ

Статистический анализ

Регулярные выражения (шаблоны)

Цифровые отпечатки

Цифровые метки

Основные функции DLP-систем:

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

Система класса DLP включает в себя следующие компоненты:

Рекомендуем почитать

Поиск по сайту