Pat iesācējs var tikt galā ar DLP sistēmas uzstādīšanu Sistēmas administrators. Bet, lai precizētu DLP, ir vajadzīgas dažas prasmes un pieredze.
Fonds stabila darbība DLP klases produkti tiek noteikti ieviešanas stadijā, kas ietver:
Šādu uzdevumu veikšanai nepieciešama šaura specializācija un padziļināta DLP sistēmas izpēte.
DLP sistēmas izvēle ir atkarīga no uzdevumiem, kas jārisina konkrētam uzņēmumam. Vispārīgākajā formā uzdevumi ir sadalīti vairākās grupās, ieskaitot kustību kontroli konfidenciāla informācija, darbinieku aktivitātes uzraudzība dienas laikā, tīkla uzraudzība (vārtejas analīze) un komplekss (tīkli un gala darbstacijas).
Lielākajai daļai uzņēmumu optimāla būs visaptveroša DLP risinājuma izvēle. Hostētās sistēmas ir piemērotas maziem un vidējiem uzņēmumiem. Mitinātā DLP priekšrocības ir apmierinoša funkcionalitāte un zemas izmaksas. Starp trūkumiem ir zema veiktspēja, mērogojamība un kļūmju tolerance.
Tīkla DLP nav šādu trūkumu. Tie viegli integrējas un mijiedarbojas ar citu piegādātāju risinājumiem. Tas ir svarīgs aspekts, jo DLP sistēmai ir jādarbojas nemanāmi kopā ar produktiem, kas jau ir instalēti korporatīvais tīkls. Tikpat svarīga ir DLP saderība ar izmantotajām datu bāzēm un programmatūru.
Izvēloties DLP, tiek ņemti vērā datu pārraides kanāli, kas tiek izmantoti uzņēmumā un kuriem nepieciešama aizsardzība. Visbiežāk tie ir e-pasts, IP telefonija un HTTP protokoli; bezvadu tīkli, Bluetooth, noņemamie datu nesēji, drukāšana uz printeriem, tīkla vai darbs bezsaistē.
Uzraudzības un analīzes funkcijas ir svarīgas DLP sistēmas pareizas darbības sastāvdaļas. Minimālās prasības Analītiskie rīki ietver morfoloģisko un lingvistisko analīzi, spēju saistīt kontrolētos datus ar vārdnīcām vai saglabātajiem “standarta” failiem.
No tehniskā viedokļa mūsdienu DLP risinājumi lielā mērā ir vienādi. Sistēmas efektivitāte ir atkarīga no pareizas meklēšanas algoritmu automatizācijas konfigurācijas. Tāpēc produkta priekšrocība būs vienkāršs un saprotams DLP iestatīšanas process, kas neprasīs regulāras konsultācijas ar pārdevēja tehniskajiem speciālistiem.
DLP sistēmas uzstādīšana uzņēmumā visbiežāk notiek pēc viena no diviem scenārijiem.
Klasiskā pieeja nozīmē, ka pasūtītājs uzņēmums patstāvīgi izveido sarakstu ar informāciju, kurai nepieciešama aizsardzība, tās apstrādes un pārsūtīšanas pazīmes, un sistēma kontrolē informācijas plūsmu.
Analītiskā pieeja slēpjas faktā, ka sistēma vispirms analizē informācijas plūsmas, lai izolētu informāciju, kurai nepieciešama aizsardzība, un pēc tam notiek precizēšana, lai precīzāk uzraudzītu un nodrošinātu informācijas plūsmu aizsardzību.
|
DLP IEVIEŠANAS POSMI |
|
|
saskaņā ar klasisko shēmu: |
saskaņā ar analītisko shēmu: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Prakse rāda, ka visbiežāk problēmas ar DLP sistēmu funkcionēšanu slēpjas nevis darba tehniskajās īpatnībās, bet gan lietotāju uzpūstajās cerībās. Tāpēc analītiskā pieeja drošības ieviešanai darbojas daudz labāk, to sauc arī par konsultāciju pieeju. Informācijas drošības jautājumos “nobriedušie” uzņēmumi, kuri jau ir saskārušies ar konfidenciālas informācijas aizsardzības rīku ieviešanu un zina, ko un kā vislabāk aizsargāt, palielina savas iespējas izveidot labi funkcionējošu, efektīvu aizsardzības sistēmu, kuras pamatā ir DLP.
Bieži vien informācijas drošības nodaļai tiek piešķirta citu uzņēmuma struktūrvienību apkalpošanas nodaļa, kas nodrošina “klientus” ar pakalpojumiem, lai novērstu informācijas noplūdi. Savukārt efektīvam darbam informācijas drošības speciālistiem ir nepieciešamas pamatīgas zināšanas par uzņēmuma operatīvo darbību, lai DLP sistēmu “pielāgotu”, ņemot vērā individuālos biznesa procesus.
Maz ticams, ka e-pasta un HTTP protokolu kontrole, izmantojot DLP sistēmu ar nekontrolētu FTP vai USB portu izmantošanu, nodrošinās drošu konfidenciālu datu aizsardzību. Šādā situācijā ir iespējams identificēt darbiniekus, kuri sūta korporatīvos dokumentus uz personīgo e-pastu, lai strādātu no mājām, vai sliņķus, kas pavada darba laiku iepazīšanās portālos vai sociālajos tīklos. Bet šāds mehānisms ir bezjēdzīgs pret apzinātu datu “noplūdi”.
Saglabājot noklusējuma iestatījumus praksē, rodas viltus brīdinājumu lavīna. Piemēram, pieprasot “bankas rekvizītus”, informācijas drošības speciālists tiek apbērts ar informāciju par visiem darījumiem uzņēmumā, tostarp norēķiniem par biroja precēm un ūdens piegādi. Sistēma nevar adekvāti apstrādāt lielu skaitu viltus trauksmju, tāpēc daži noteikumi ir jāatspējo, kas vājina aizsardzību un palielina risku nepalaist garām incidentu.
Standarta DLP iestatījumi ļauj identificēt darbiniekus, kuri ir iesaistīti personīgās lietas darbā. Lai sistēma varētu salīdzināt notikumus korporatīvajā tīklā un norādīt uz aizdomīga darbība, būs nepieciešama precīza regulēšana.
Informācijas drošības sistēmai jābūt “pielāgotai” papildus biznesa procesiem un pieņemtajiem noteikumiem darbam ar konfidenciālu informāciju, nevis otrādi – uzņēmuma darbu pielāgojot DLP iespējām.
Lai aizsardzības sistēma darbotos kā pulkstenis, jums ir jāiziet katrs DLP ieviešanas un konfigurācijas posms, proti: plānošana, ieviešana, pārbaude un regulēšana.
Tas sastāv no precīzas datu aizsardzības programmas definīcijas. Atbilde uz šķietami vienkāršu jautājumu: "Ko mēs aizsargāsim?" - ne katram klientam tas ir. Kontrolsaraksts, kas sastāv no atbildēm uz detalizētākiem jautājumiem, palīdzēs jums izstrādāt plānu:
→ Kas izmantos DLP sistēmu?
→ Kas pārvaldīs datus?
→ Kādas ir programmas lietošanas izredzes trīs gadu laikā?
→ Kādus mērķus vadība cenšas sasniegt, ieviešot DLP sistēmu?
→ Kādi ir iemesli netipiskajām prasībām datu noplūdes novēršanai uzņēmumā?
Svarīga plānošanas sastāvdaļa ir aizsardzības objekta noskaidrošana jeb, citiem vārdiem sakot, informācijas līdzekļu precizēšana, ko konkrēti darbinieki nodod. Specifikācija ietver korporatīvo datu kategorizēšanu un ierakstīšanu. Uzdevums parasti tiek sadalīts atsevišķā datu aizsardzības projektā.
Nākamais solis ir noteikt reālos informācijas noplūdes kanālus, tas parasti ir daļa no informācijas drošības audita uzņēmumā. Ja atklātos potenciāli bīstamos kanālus DLP komplekss “neslēdz”, jāveic papildu tehniskās aizsardzības pasākumi vai jāizvēlas DLP risinājums ar pilnīgāku pārklājumu. Ir svarīgi saprast, ka DLP ir efektīvs veids, kā novērst noplūdi ar pierādītu efektivitāti, taču tas nevar aizstāt visus mūsdienu datu aizsardzības rīkus.
Programmas atkļūdošana atbilstoši konkrēta uzņēmuma individuālajiem pieprasījumiem balstās uz konfidenciālas informācijas kontroli:
Trīspakāpju kontrole palīdz identificēt apzinātu zādzību un nesankcionētu informācijas pārsūtīšanu.
DLP komplekss ir daļa no uzņēmuma informācijas drošības sistēmas un to neaizstāj. Un DLP risinājuma efektivitāte ir tieši saistīta ar katra elementa pareizu darbību. Tāpēc, pirms mainīt “rūpnīcas” konfigurāciju atbilstoši individuālajām vajadzībām, uzņēmumi veic detalizētu uzraudzību un analīzi. Šajā posmā ir ērti aprēķināt nepieciešamos cilvēkresursus, lai nodrošinātu DLP programmas stabilu darbību.
Pēc DLP risinājuma testa darbības posmā savāktās informācijas analīzes mēs sākam pārkonfigurēt resursu. Šis solis ietver esošo noteikumu precizēšanu un jaunu noteikumu ieviešanu; drošības taktikas maiņa informācijas procesi; personāla komplektēšana darbam ar DLP sistēmu, programmas tehniskā uzlabošana (bieži vien ar izstrādātāja līdzdalību).
Mūsdienu DLP sistēmas atrisina lielu skaitu problēmu. Tomēr pilns DLP potenciāls tiek realizēts tikai iteratīvā procesā, kurā sistēmas veiktspējas rezultātu analīzei seko DLP iestatījumu precizēšana.
08.10.2018., pirmdiena, 10:49 pēc Maskavas laika
Pilnvērtīga hibrīda DLP sistēma ļauj nodrošināt drošu aizsardzību pret datu noplūdēm un tīkla trafika uzraudzību visplašākajā datu pārraides kanālu klāstā. Šo iespēju pamatā ir efektīva uz tīklu orientētu un galapunktu DLP arhitektūru priekšrocību izmantošana dažādos scenārijos un dažādos datu noplūdes novēršanas un kontroles problēmas formulējumos.
Lielākajā daļā Krievijas tirgus DLP sistēmu noteicošais elements ir tīkla trafika pārtveršanas serveris, kas parasti darbojas pasīvā režīmā. Šādās sistēmās galapunkta aģents gandrīz vienmēr ir pieejams, lai atrisinātu uzdevumus, kas nav saderīgi ar trafika vadību vārtejas līmenī - ierīču un dažu tīmekļa pakalpojumu un protokolu kontrole. Tomēr aģenta klātbūtne vēl nav pilnvērtīga hibrīda DLP pazīme, tā ir tikai dažādu kontroles funkciju sadalījums pa dažādiem komponentiem.
DLP servera komponenta, kas darbojas ar visas organizācijas tīkla trafika kopiju, galvenais uzdevums ir kontrolēt, kā darbinieki izmanto tīkla datu pārraides kanālus, kad lietotājs atrodas uzņēmuma perimetrā, tostarp vākt pierādījumus un atklāt informāciju. drošības incidenti. Tajā pašā laikā hibrīda DLP risinājuma galapunktu aģenti ir paredzēti, lai atrisinātu problēmu, kas saistīta ar noņemamo disku, drukas kanāla un tīkla lietojumprogrammu ar patentētu šifrēšanu uzraudzību. Šajos uzdevumos reāllaika satura filtrēšana tiek izmantota visiem potenciālajiem datu noplūdes kanāliem DLP sistēmās, kas apgalvo, ka ir pilnvērtīgi aģenti.
Pirmais šāds hibrīda DLP piemērs Krievijas tirgū ir atjaunināta versija DeviceLock DLP 8.3, kas papildināts ar DeviceLock EtherSensor servera moduli. Hibrīda DLP sistēma efektīvi atrisina vairākas problēmas un izaicinājumus, ar kuriem saskaras informācijas drošības dienesti. Tas uzrauga tīkla trafiku no datoriem un mobilās ierīces, kurā tehnisku iemeslu dēļ nav iespējams instalēt vai darbināt DLP aģentu, vai samazināt lietotāja darbstaciju slodzi, pateicoties dažādu tīkla pakalpojumu un protokolu atsevišķai kontrolei dažādos līmeņos. Automātiska dažādu DLP politiku kombināciju pārslēgšana, lai kontrolētu tīkla trafiku DeviceLock DLP aģentā atkarībā no savienojuma ar korporatīvo tīklu un/vai korporatīvajiem serveriem, nodrošina ārkārtīgi elastīgu lietotāja kontroli. Piemēram, aģenta līmenī, kad klēpjdators atrodas birojā, tiek uzturēta ierīču, printeru un īpaši kritisku tīkla lietojumprogrammu un pakalpojumu kontrole, tostarp tiek izmantota reāllaika satura filtrēšana, vienlaikus kontrolējot un pārbaudot citus tīkla protokolus un pakalpojumi ir piešķirti EtherSensor modulim. Vienota notikumu reģistrēšanas un ēnu kopēšanas datu bāze, kas piepildīta ar notikumiem un datiem, kas iegūti, pārtverot trafiku no tīkla līmeņa un tīkla sakaru un darbstaciju ierīču uzraudzības rezultātā, ļauj identificēt informācijas drošības incidentus plašam potenciālo datu klāstam. noplūdes kanāli.
Tipiski scenāriji
Apskatīsim vairākus tipiskus DeviceLock DLP kā hibrīda DLP sistēmas izmantošanas scenārijus. Ļoti izplatīts scenārijs, kad pilnīga tīkla trafika kontrole ar datu pārsūtīšanas bloķēšanu nav iespējama vai nav piemērojama. Šāda situācija rodas, izmantojot viesu datorus un mobilās ierīces korporatīvajā tīklā, kā arī darbstacijās, kurās darbojas Linux un MacOS. Turklāt tīkla sakaru pārtveršana un analīze tieši darbstacijās var būt neiespējama vai pārmērīgi resursietilpīga darbstacijās ar vāju skaitļošanas jaudu. Tīkla trafika uzraudzības problēmas risinājums šādā scenārijā tiek nodrošināts, pārtverot un analizējot trafiku tīkla līmenī - trafika klausīšanās no servera spoguļportiem, integrācija ar NGFW ierīcēm un starpniekserveriem un citas metodes, kas neprasa. aģenta instalēšana darbstacijās, ko veiksmīgi nodrošina serveris EtherSensor. Šajā gadījumā DLP kontroles uzdevums perifērijas ierīces un darbstacijas portus izpilda DeviceLock aģents (darbojoties Windows sistēmas un MacOS), un DeviceLock Enterprise Server datu bāzē centralizētai analīzei tiek apkopoti notikumi un dati gan no EtherSensor tīkla trafika objektiem, gan no DeviceLock aģentiem ierīces vadības ziņā.
Vienota notikumu reģistrēšanas un ēnu kopēšanas datu bāze, kas piepildīta ar notikumiem un datiem, kas iegūti, pārtverot trafiku no tīkla līmeņa un tīkla sakaru un darbstaciju ierīču uzraudzības rezultātā, ļauj identificēt informācijas drošības incidentus plašam potenciālo datu klāstam. noplūdes kanāli
Otrs tipiskais scenārijs ir tīkla sakaru uzraudzība, kad datu pārraides bloķēšana tīklā ir nepieņemama. Dažās organizācijās tīkla trafika pārraudzības uzdevums aprobežojas ar pārtverto datu arhīva reģistrēšanu un analīzi vairāku faktoru dēļ. Piemēram, lai ieviestu pilnvērtīgu DLP kontroli ar ierobežotas piekļuves datu noplūdes bloķēšanu, nepietiek informācijas drošības dienesta resursu vai pasīvo kontroli uzņēmuma vadība nosaka kā pietiekamu sakarā ar jau ieviestajiem lietošanas ierobežojumiem. tīkla komunikācijas kopumā tīkla perimetra līmenī, vai vadība baidās no traucējumu riska uzceltajos biznesa procesos ar tīkla informācijas apmaiņu. Ir gadījumi, kad organizācija datu noplūdes riskus nenovērtē kā uzņēmumam kritiskus vai, visbeidzot, nav iespējas klasificēt konfidenciālos datus vai noteikt ierobežotas pieejamības datu noteikšanas kritērijus, lai piemērotu satura filtrēšanas mehānismus un novērstu šādu datu noplūdi. .
Šajā DeviceLock DLP izmantošanas scenārijā organizācija savā rīcībā saņem tradicionālu uzņēmuma līmeņa DLP sistēmu, kas spēj uzraudzīt un analizēt trafiku ļoti lielās plūsmās (līdz pat simtiem tūkstošu darbinieku trafika analīzei) ar zemām izvietošanas un pastāvīgām darbības izmaksām. , kā arī niecīgas prasības tehniskajam aprīkojumam. Risinājums šajā scenārijā pilnībā atbilst iepriekšējam scenārijam, taču ar atšķirību, ka rodas nepieciešamība bloķēt nepieņemamus mēģinājumus pārsūtīt ierobežotus datus vai ir izpratne par kritērijiem konfidenciālu datu identificēšanai un iespēja izmantot satura filtrēšanu. . Šajā gadījumā šis scenārijs ieplūst citā variantā - pilnvērtīgas hibrīda DLP sistēmas izmantošana atsevišķiem darbiniekiem, departamentiem vai visā organizācijā.
Sarežģīti scenāriji
DeviceLock aģentu un EtherSensor servera iespēju apvienošanas loģikas tālāka attīstība noved pie scenārijiem, kas ir sarežģītāk īstenojami, bet tajā pašā laikā daudz efektīvāki, lai novērstu konfidenciālu datu noplūdi.
Pirmkārt, tas ir scenārijs, kas paredz atsevišķu tīkla komunikāciju kontroli, kad atkarībā no pašreizējā savienojuma ar korporatīvo tīklu statusa (lokālā tīkla savienojuma pieejamība, domēna kontrollera pieejamība, DLP servera pieejamība) , piekļuves korporatīvajai informācijai atbilstības pakāpe var atšķirties. Lai atrisinātu šādas problēmas, ir nepieciešama elastīga pieeja informācijas aizsardzībai pret noplūdēm. Automātiska dažādu DLP politiku kombināciju pārslēgšana tīkla trafika uzraudzībai (dažādas noteikumu un kontroles parametru kombinācijas) DeviceLock DLP aģentā atkarībā no savienojuma ar korporatīvo tīklu un/vai korporatīvajiem serveriem ļauj veikt ārkārtīgi elastīgu, atsevišķu lietotāju tīkla sakaru kontrole. Piemēram, aģenta līmenī, kad klēpjdators atrodas birojā, tiek uzturēta īpaši kritisku tīkla lietojumprogrammu un pakalpojumu kontrole, tostarp tiek izmantota reāllaika satura filtrēšana, lai novērstu konfidenciālas informācijas noplūdi, kā arī citu tīkla protokolu un pakalpojumu pārbaude. pakalpojumi ir piešķirti EtherSensor modulim. Kad DeviceLock aģents aizsargātā darbstacijā tiek pārslēgts bezsaistes režīmā, politikas tiek automātiski pārslēgtas uz maksimāli nepieciešamo tīkla sakaru vadības līmeni, ņemot vērā iespējamo izejošā tīkla trafika nepieejamību no darbstacijas uz EtherSensor serveri.
Atsevišķas vadības rezultātā, izmantojot automātisku tiešsaistes un bezsaistes režīmu pārslēgšanu aģentā DeviceLock ar trafika uzraudzību EtherSensor servera līmenī, tiek panākta pilnīga tīkla komunikāciju kontrole neatkarīgi no kontrolēto datoru savienojuma vietas un metodes ar internetu. Šī pieeja būs īpaši produktīva mobilo darbinieku uzraudzībai, kuri izmanto klēpjdatorus un klēpjdatorus darbam ārpus biroja.
Tīkla sakaru selektīvās kontroles scenārijs būs vēl efektīvāks. Pateicoties kombinētai galapunkta aģenta funkcionalitātes un servera tīkla trafika pārtveršanas tehnoloģiju izmantošanai, tiek sasniegtas visas hibrīdsistēmas iespējas. Šis ir jaudīgākais šodien pieejamais tīkla sakaru vadības scenārijs.
Šādā scenārijā kritiskākā tīkla lietojumprogrammu daļa tiek uzskatīta par potenciāliem kanāliem konfidenciālu datu noplūdei (piemēram, tūlītējie kurjeri ar iespēju pārsūtīt failus), kā arī vietējās ostas un ierīces, ko kontrolē DeviceLock aģents. Aģents reāllaikā analizē ierobežoto datu pārsūtīšanas procesu saturu (arī aģenta līmenī, “starpā”). Pamatojoties uz rezultātiem, tiek pieņemts lēmums par pārsūtīšanas pieļaujamību vai par ēnu kopijas izveidi incidentiem, kas ir nozīmīgi izmeklēšanas vajadzībām, vai par trauksmes nosūtīšanu, kad tiek iedarbināts DLP noteikums. Citu tīkla komunikāciju kontrole, kas tiek uzskatīta par zemāku riska pakāpi no datu noplūdes apkarošanas viedokļa (kad pārsūtīto datu uzraudzība un analīze ir pietiekama informācijas drošības problēmu risināšanai, piemēram, sērfošanai vietnēs un darba meklēšanas pakalpojumiem). veic EtherSensor serveris, pārtverot un analizējot tīkla trafiku perimetra līmenī. Īsumā runājot, šis modelis tīkla trafika vadību var raksturot kā “Visas trafika uzraudzība (EtherSensor) + selektīva nederīgu mēģinājumu bloķēšana (DeviceLock DLP aģents).” Svarīgi ir tas, ka informācijas drošības dienests jebkurā laikā var mainīt un lietot politikas, kas paredzētas tīkla protokolu un pakalpojumu iespējošanai vai atbloķēšanai gan konteksta līmenī, gan no satura atkarīgos noteikumos, nepārstartējot lietotāja darbstacijas un bez lietotāja iejaukšanās.
Šajā scenārijā tiek panākts kvalitatīvs iespēju un risku līdzsvars: ar bloķēšanu saistītie riski tiek deleģēti aģentiem aizsargātos datoros, savukārt tīkla trafika uzraudzība un drošības notikumu noteikšana visā tīklā kopumā tiek uzticēta EtherSensor serverim. .
Ja mēs ejam tālāk, to var uzskatīt - un diezgan viegli īstenot! – jaudīgākais modernās hibrīda DLP sistēmas izmantošanas scenārijs, kad papildus iespējai nodalīt kontroles līmeņus (datu pārraudzība un bloķēšana) starp aģentu un DeviceLock DLP DLP sistēmas serveri tiek pievienota selektīva pieeja dažādiem lietotājiem. un lietotāju grupām, vai par dažādi datori un datoru grupas.
Izmantojot šo opciju, DeviceLock aģenti ar pilnām funkcijām veic tieši un tikai aizsargātās darbstacijās visas DLP funkcijas (piekļuves kontrole, reģistrēšana, trauksmes paziņojumi) un tikai noteiktiem lietotājiem un lietotāju grupām. To lietotāju un grupu tīkla darbību, kurām nepieciešama brīva piekļuve dažādiem tīkla sakaru kanāliem, lai veiktu biznesa uzdevumus, uzrauga EtherSensor serveris, pārtverot un analizējot tīkla trafiku perimetra līmenī.
Šis scenārijs ir ārkārtīgi produktīvs arī tā saukto riska grupu kontrolei, kad uz DeviceLock aģentiem tiek izveidotas īpašas politiku kopas dažādu kontu DLP kontrolei un lietoto politiku pārslēgšana tiek veikta reāllaikā, iekļaujot šādus lietotājus lietotāju grupā. atbilst noteiktam grupas riskam.
Jebkurā gadījumā DeviceLock EtherSensor servera moduļa vienlaicīgas izmantošanas kombinācijā ar DeviceLock DLP kompleksa Endpoint komponentiem hibrīda DLP sistēmas režīmā paveras unikāla iespēja izveidot elastīgas DLP politikas ar dažādiem vadības un reakcijas līmeņiem. Divu dažādu DLP arhitektūru (tīkla un aģenta) vienlaicīga izmantošana, lai kontrolētu tīkla trafiku, ievērojami palielina informācijas noplūdes novēršanas un identificēšanas uzticamību. Risinājumu direktors uzņēmumā DeviceLock, Inc.
Sergejs Vakhonins, DeviceLock, Inc. risinājumu direktors.
Labdien
Mūsdienās populārākais korporatīvās informācijas apmaiņas veids joprojām ir e-pasts. Tieši tur darbinieki sūta saskaņošanai dokumentu, projektu skenētas kopijas, aicina uz sanāksmēm, informē par pasākumiem utt. Dažreiz e-pasta sarakste tiek pielīdzināta oficiālajai sarakstei starp organizācijām pirmo personu vēstuļu līmenī. Tāpēc šis informācijas pārraides kanāls ir objekts informācijas drošības departamentu/dienestu pārstāvju uzmanība(viņi uzrauga konfidenciālas informācijas noplūdi) un ekonomiskās drošības bloku (viņi uzrauga korespondenci, meklē atsitienus, slepenas vienošanās, meklēšanu jauns darbs, dokumentu viltošana utt.)
Mazliet par teoriju. Droši vien esat pamanījuši, ka jūsu pasts uzreiz nenonāk pie jūsu darījuma partneriem un/vai neglītības dienesta ļaundari pēc kāda laika interesējas par vienu vai otru jūsu sūtījumu, it īpaši, ja sūtāt jebkādus personas datus, neizmantojot veiktos drošības pasākumus. . Šie apstākļi norāda, ka jūsu organizācijā ir instalēta tā sauktā DLP sistēma. Neiedziļinoties tehniskās detaļās, es sniegšu informāciju no wiki:
Noplūdes novēršanas sistēma(ang. Data Leak Prevention, DLP) - tehnoloģijas konfidenciālas informācijas noplūdes novēršanai no informācijas sistēmas uz āru, kā arī tehniskās ierīces (programmatūra vai programmaparatūra) šādai noplūdes novēršanai ir balstītas uz datu plūsmu analīzi šķērsojot aizsargājamās informācijas sistēmas perimetru. Ja šajā straumē tiek konstatēta konfidenciāla informācija, tā tiek aktivizēta aktīvā sastāvdaļa sistēma, un ziņojuma pārraide (pakete, plūsma, sesija) tiek bloķēta vai iziet, bet atstāj zīmi.
Kopumā, rupji runājot, tas ir līdzeklis darbinieku rīcības uzraudzībai, un tā galvenais mērķis ir “atrast aizliegto”. To, vai tas ir likumīgi, apspriedīsim nākamajā rakstā. Un sistēmas darbības principu var salīdzināt ar filtru, tas ir, jūs nosūtījāt vēstuli, un, ja tā tika iekļauta filtrā atbilstoši kritērijiem un atkarībā no sistēmas iestatījumiem tika bloķēta vai nodota tālāk saņēmējam, bet tajā pašā laikā paziņojot kolēģiem apsardzes darbiniekiem.
Apskatīsim, kā varat noteikt, vai jūsu organizācijā ir instalēta kāda no šīm sistēmām. Lai noskaidrotu, vai jūsu organizācijā ir uzstādīta šāda izsekošanas sistēma, vispirms var apskatīt noslēgtos līgumus par šādu sistēmu iegādi vai apkalpošanu. Mēs meklējam viņu vidū populārākie izstrādātāju uzņēmumi:
Reaktīvo lidmašīnu informācijas sistēmas
un mazāk populāri:
McAfee, Falcongaze, GTB, "Trafika", Iteranet, RSA, Trend Micro, Verdasys, Stakhanovets.
Ja jums nav piekļuves līgumiem, varat pārraudzīt valsts iepirkumu vietni (ja jūsu birojs ir valdības birojs). Kā redzams zemāk esošajā attēlā, līguma priekšmets var būt atšķirīgs - no neekskluzīvu tiesību iegūšanas līdz tehniskajam atbalstam, galvenais meklēšanā ir ievadīt izstrādes uzņēmumu nosaukumus no saraksta, ko es nodrošināta.
Ja šīs metodes nepalīdz, varat saprast, ka jums tiek sekots, sazinoties ar adresātu pa tālruni, lai noskaidrotu, cik ilgā laikā viņš saņem vēstules (tikai tad, ja vēstule ir bloķēta pirms nosūtīšanas), vai arī varat jautāt savam IT speciālistu draugi, ja viņiem organizācijā ir uzstādīta pasta ziņojumu uzraudzības sistēma. Protams, jūs joprojām varat mēģināt atrast darbojas procesi datorā, jo izsekošanas sistēmas aģenti (sistēmas komponenti) tiek uzstādīti personīgi visās darbinieku darbstacijās, taču fakts ir tāds, ka šie procesi ir prasmīgi paslēpti zem standarta MS Windows procesiem un bez atbilstoša zināšanu līmeņa būs diezgan grūti noteikt, kāds process tiek uzsākts. aģents.
Tagad apskatīsim, kā mēs varam apiet šo sistēmu. Atcerieties, ka rakstā minēto paņēmienu ieviešana ir atkarīga no konkrētajiem DLP iestatījumiem un to var ieviest tikai ar izmēģinājumu un kļūdu palīdzību. Tāpēc dariet to uz savu risku.
Pats galvenais, nemēģiniet apiet sistēmas, mēģinot padarīt dokumenta fontu baltu vai slēpt lapas un termiņus MS Exel dokumentos, to visu uzreiz redzēs kolēģi apsardzes darbinieki!
Tātad mūsu uzdevums ir nodot informāciju failu vai teksta veidā pa e-pastu, zinot, ka organizācijā ir izvietota un darbojas DLP sistēma. Protams, daudzi teiks, kāpēc tādas grūtības - "Es varu nofotografēt ekrāna saturu ar savu telefonu un ar to viss beidzas", bet dažviet ir aizliegts lietot tālruņus, un dažviet kolēģi uz to nelaipni paskatīsies (īpaši atvērtajos birojos) ), un dažreiz viņi pateiks, kur doties, dažreiz ir nepieciešams dokuments rediģējamā formātā, nevis tā fotogrāfija Mobilais telefons, kopumā ir daudz iespēju. Tātad, sniegsim piemērus šādas informācijas pārsūtīšanai:
1. Izsūtīšana pēc darba laika.
Vienkāršākā un banālākā lieta, kas var notikt, ir vienkārši nosūtīt savu vēstuli uz vēlamo e-pasta adresi pēc darba dienas beigām. Šī metode ir veiksmīgs, ja sistēma ir konfigurēta pārtvert e-pasta ziņojumus, piemēram, no 9-00 līdz 18-00 darba dienās un bloķēt tos norādītajā laikā. Tas ir saistīts ar to, ka kolēģi apsargi, kuri, ja kas notiek, var atbloķēt iestrēgušu vēstuli tāpat kā jūs, strādā saskaņā ar darba līgumu tādās pašās stundās kā jūs, tāpēc pēc darba dienas beigām izslēdz sistēmu vai tas automātiski apstājas. Varat pārbaudīt, vai šis iestatījums ir būtisks, nosūtot pāris nekaitīgus ziņojumus pēc pulksten 18:00 un redzēt, vai ziņojumi, kas, piemēram, nav atnākuši uzreiz darba dienas laikā, tiks saņemti nekavējoties. Es tev tūlīt pateikšu nav tas labākais labākais variants , jo Neatkarīgi no nosūtīšanas rezultāta sistēmā paliks pēdas no jūsu nosūtītā, un, ja sistēmu pareizi uzraudzīs apsardzes darbinieki, viņi redzēs jūsu sūtījumu.
2. Bākas vārdu noņemšana
Šī metode ietver DLP iestatīšanu, lai meklētu pēc atslēgvārdiem, t.i. tas meklē vārdnīcas atbilstības nosūtītajā dokumentā. Monitoringa atgriešanas gadījumā šādā vārdnīcā var būt šāda vārdu grupa: vecmāmiņas, zaļumi, kāposti utt. Ja tiek novērsta konfidenciālas informācijas noplūde, šajā vārdnīcā var būt ietverts šāds vārdu krājums: komercnoslēpums, uzņēmuma noslēpums, konfidenciāls, skaidu plātne, personas dati, snils, pilnvara, pase, sērijas numurs utt. Metode sastāv no tādu vārdu izņemšanas, kas nepārprotami būs konfidenciālā dokumentā, un identificē to klasificēta informācija. Pārskatiet nosūtāmajā dokumentā šādu vārdu esamību un izdzēsiet. Metode arī nav tā labākā, jo... Neviens nekad jums nepateiks konkrēto vārdu kopu, kas ietverta vārdnīcā.
3. Arhīvs ar paroli.
Šī metode sastāv no dokumenta šifrēšanas standarta *.rar arhīvā un nosūtīšanas uz e-pasts. Uzreiz gribu atzīmēt, ka arhīvs ar paroli uzreiz rada aizdomas un daudzās sistēmās tiek bloķēts un pat atšifrēts. Lai pēc iespējas labāk aizsargātu sevi, jums ir nepieciešams:
a) Iestatot paroli arhīvam, atzīmējiet izvēles rūtiņu “šifrēt failu nosaukumus”. Tas ir nepieciešams, lai failu nosaukumi arhīvā nebūtu redzami, kamēr arhīvs nav atvērts ar paroli.
b) Izvēloties paroli, jāpievērš uzmanība tās garumam un sarežģītībai. Jā, tas ir nepieciešams, lai novērstu meklēšanu vārdnīcā, ja tāda tiek izmantota sistēmā. Izmantojiet vismaz 10 rakstzīmes, kas satur mazos un lielos burtus, speciālās rakstzīmes, atstarpes un ciparus. Piemēram, mūsu parole būs $Op123KLM!987@. Nesteidzieties to ierakstīt ievades laukā, skatiet daļu “c”.
V) Vissvarīgākais ir pareizi ievadīt paroli ievades laukā arhivētājā, tagad es paskaidrošu, kāpēc. Fakts ir tāds, ka darbinieku darbstacijās instalētie aģenti var saturēt taustiņu reģistratora funkcionalitāti un ierakstīt visas jūsu darbības (taustiņsitienus) uz tastatūras. Ir vērts atzīmēt, ka atslēgas ievades ieraksts ir saistīts ar konkrētu procesu, kurā tiek veikta rakstīšana (word, exel, winrar utt.). Lai sajauktu ierakstus, varat rīkoties šādi (piemēram, mēs izmantosim mūsu paroli $Op123KLM!987@): Piemēram, šādi: atveriet piezīmju grāmatiņu un ievadiet pirmās 4 rakstzīmes no paroles vidus “KLM!” un pēc tam kopējam un ielīmējam winrar, tad MS Word ievadam pirmās 5 paroles “$Op123” rakstzīmes, kopējam un ielīmējam winrar ievades lauka sākumā, pēdējās 4 “987@”, tā kā lai vispār neatstātu nekādas ievades pēdas, ar peli ievadām virtuālās tastatūras tiešsaistes tastatūru un nokopējam to paroles ievades lauka beigās un noklikšķiniet uz “ok”, uzrakstām paroli uz papīra lapas, nosūtām arhivējiet vēstulē un pa tālruni informējiet saņēmēju, un apēdiet papīra lapu:
Tādas virtuālās tastatūras pilns internetā. Ir vērts atzīmēt, ka varat eksperimentēt, kā vēlaties - ierakstiet nepareizu paroli, dzēsiet, pārvietojiet rakstzīmes, taču izsekošanas sistēma parādīs pilnīgu haosu Ieejot, labāk neatzīmēt izvēles rūtiņu displeja parolei - jo sistēma var ir uzstādīts modulis monitora fotografēšanai.
3. Mēs kodējam tiešsaistē
Vienkāršākais veids, kā pārsūtīt dokumentu, ir izmantot tiešsaistes failu koplietošanas pakalpojumus, piemēram, apskatīsim www.rgho.st
Mēs tur augšupielādējam failu “Counterparty Database.docx” un iegūstam saiti:
Tagad mums ir jāšifrē saite un jānosūta pa e-pastu. Šifrēšanas piemēram mēs izmantojam tiešsaistes pakalpojumu http://crypt-online.ru/crypts/aes/ ar simetrisku AES antigorītu. Teksta laukā ievietojiet mūsu saites adresi, atlasiet šifrēšanas atslēgas izmēru 128-256 biti. Ievadiet paroli, šajā gadījumā “vietne”, noklikšķiniet uz šifrēt un iegūstiet šifrēto tekstu:
Nokopējiet rezultātu un nosūtiet uz e-pasts norādot savu paroli un atslēgas garums izmantojot alternatīvu sakaru kanālu (telefonu). Saņēmējs veic apgriezto konvertēšanu, ievada šifrētu tekstu un paroli un saņem saiti:
4. Steganogrāfija tiešsaistē
Lai izvairītos no aizdomīga šifrēta teksta sūtīšanas, varam izmantot arī tiešsaistes steganogrāfiju. Padomājiet par to, kādus dokumentus visbiežāk sūtāt darījuma partneriem (saskaņošanas paziņojumus, rēķinus utt.), un ievietojiet kodu šo failu pamattekstā. Piemēram, izmantosim uzņēmuma karti un tiešsaistes pakalpojums http://stylesuxx.github.io/steganography/. Uzņēmuma karte parasta attēla formātā, kurā norādīti organizācijas rekvizīti. Ielādējiet karti (fails karto4ka.png), ievietojiet tekstu, kuru vēlamies šifrēt (mūsu tā pati saite) un noklikšķiniet uz “Kodēt”
Saņēmējs rīkojas pretēji. Ielādē failu “karto4ka2.png” un noklikšķina uz “Decode” un saņem vajadzīgo saiti.
Turklāt varat izmantot pārnēsājamās steganogrāfijas utilītas, mēs tos apsvērsim turpmākajos rakstos
Piezīme: informācija pētniecības, apmācības vai audita nolūkiem. Izmantošana personīga labuma gūšanai ir sodāma saskaņā ar Krievijas tiesību aktiem.
Mūsdienu pasaulē viens no galvenajiem ekonomiskajiem resursiem ir informācija. Tas, kuram tas pieder, būs veiksmīgs, taču tajā pašā laikā datu noplūde gandrīz vienmēr nozīmē klientu zaudēšanu vai pat uzņēmuma sabrukumu. Tāpēc mūsdienās ir tik liela interese par DLP risinājumiem, lai identificētu un novērstu konfidenciālas informācijas pārsūtīšanu. Izvēle ir liela, vadītāji vēl nav skaidri definēti, un priekšlikumi bieži vien ir līdzīgi pēc funkcijām, taču atšķiras pēc darba loģikas un pamatprincipiem, tāpēc izlemt nav tik vienkārši.
Informācijas drošība ir kļuvusi par vienu no jebkura uzņēmuma darbības sastāvdaļām, un atbilstošie riski ietekmē tā reitingu un pievilcību investoru acīs. Saskaņā ar statistiku, konfidenciālas informācijas noplūdes iespējamība organizācijas darbinieka (iekšējās personas) darbības dēļ pārsniedz noplūdes iespējamību uzlaušanas rezultātā, un tās ne vienmēr ir tīšas darbības, kuras lietotājs var nejauši nosūtīt nepareizajam adresātam. Pirms interneta parādīšanās bija gandrīz neiespējami kontrolēt darbinieku darbības. Nē, kontroli, protams, bija iespējams izveidot, taču nebija tehnisku līdzekļu procesa automatizēšanai. Tagad viss ir mainījies. Lietišķā sarakste notiek pa e-pastu, lietotāji sazinās, izmantojot IM un VoIP, apmainās ar failiem, emuāros, publicē ziņas sociālajos tīklos utt. Visi šie kanāli ir viegli vadāmi automātiski, jauda mūsdienīgi serveri un uzglabāšanas ietilpība ļauj apkopot un apstrādāt datus reāllaikā. Lai atklātu un novērstu konfidenciālu datu pārsūtīšanu dažādos posmos (pārvietošanas, lietošanas un uzglabāšanas laikā), tiek izmantota vesela aizsardzības sistēmu klase - DLP (Data Leak Prevention). Mūsdienās šādām sistēmām ir vēl ducis sinonīmu terminu: ILDP (informācijas noplūdes noteikšana un novēršana), IPC (informācijas aizsardzība un kontrole), ILP (informācijas noplūdes novēršana) utt. Viņu uzdevums kopumā ir vienkāršs - uzraudzība, identifikācija. un aizsardzību. Pagaidām nav oficiālu standartu, kas noteiktu, kādam jābūt DLP, tāpēc izstrādātājiem ir dažādi viedokļi par DLP funkcijām. Bieži vien var atrast dažādas implementācijas, kurās ne vienmēr ir iekļauts tas, kas patiešām ir nepieciešams vai, gluži pretēji, ir pieblīvēts ar nevajadzīgu funkcionalitāti, kas pievienota pēc uzņēmuma pasūtījuma. Tomēr laika gaitā ir parādījušās dažas prasības, kurām ir jāatbilst pilna funkcionalitātes DLP risinājumam. Pirmkārt, tie attiecas uz iespējamo noplūdes kanālu klāstu:
Pārsūtīto datu raksturs tiek noteikts, atklājot specifiskas pazīmes (birkas, jaucējfunkcijas, grifu) un analizējot saturu (statistiskā analīze, regulāras izteiksmes un tā tālāk.). Labas sistēmas mēdz izmantot visu pieejamās tehnoloģijas, un administrators var viegli izveidot noteikumus neatkarīgi, pamatojoties uz sagatavotajām veidnēm. Turklāt DLP sistēmai ir jānodrošina drošības dienests ar rīku visu notikumu analīzei un pārsūtītās informācijas arhīvu. Vēl viens kritērijs, kas nosaka DLP izvēli, ir iespēja bloķēt datu noplūdi reāllaikā. Tomēr ekspertiem ir dažādi viedokļi par šo funkciju, jo kļūda DLP darbībā (un notiek viltus pozitīvi, īpaši nodošanas ekspluatācijā) var novest pie pilnīgi legālas satiksmes bloķēšanas un līdz ar to traucēt darbinieku darbu. Tāpēc daudzi administratori dod priekšroku analīzei pēc fakta, nevis bloķēšanai.
Svarīgs posms DLP izvēršanā ir ieviešana, kad nepieciešams skaidri formulēt prasības un cerības un “nodrošināt” DLP ar visiem kontroles datiem.
Kalifornijā bāzētā Websense korporācija ir plaši pazīstama kā tīmekļa trafika filtrēšanas sistēmu ražotājs, jo Facebook drīzumā ieviesīs savu attīstību, lai aizsargātu noklikšķinot uz ārējām saitēm. Risinājumi galvenokārt ir paredzēti vidējiem un lieliem uzņēmumiem ar vairāk nekā 500 darbiniekiem un valsts iestādēm. Websense DSS komplekss, uzraugot galvenos datu apmaiņas kanālus, ļauj apturēt konfidenciālas informācijas noplūdi reāllaikā. To darbina PreciseID pirkstu nospiedumu noņemšanas tehnoloģija, ko izstrādājusi PortAuthority Technologies, kuru Websense iegādājās 2006. gadā. PreciseID nodrošina augstu precizitāti sensitīvu datu noteikšanā, un tai nav dažu lingvistisko metožu trūkumu. Dati tiek aprakstīti, izmantojot “digitālo pirkstu nospiedumu”, kas ir rakstzīmju vai vārdu kopums dokumentā vai datu bāzes lauku saturā. Šī pieeja nodrošina precīzu satura klasifikāciju vairāk nekā 400 dokumentu formātiem (ieskaitot DBVS tabulas un saspiesti faili), pat ja dati ir pārsūtīti vai pārveidoti citā formātā. Papildus PreciseID tiek izmantoti arī citi algoritmi: vārdnīcas, precīzas un daļējas atbilstības, statistiskā analīze utt. Tomēr, lai analizētu informāciju, Websense produkti izmanto vairākas tehnoloģijas “Deep Content Control” un ThreatSeeker (vietņu skenēšana un jaunu draudu noteikšana).
Tiek uzraudzīti galvenie pārraides kanāli: e-pasts (SMTP), MS Exchange ziņojumi, HTTP/HTTPS, FTP, IM/MSN. ICAP integrācija tiek nodrošināta ar jebkuru interneta vārteju, kas atbalsta šo protokolu. Uzraudzībai Websense serveri var instalēt spraugā vai izmantot trafika spoguļošanu (SPAN).
Websense DSS automātiski nosaka reakciju uz incidentu vai prasa apstiprinājumu no atbildīgā darbinieka. Sistēma var bloķēt konfidenciālu datu pārsūtīšanu, nosūtīt paziņojumu (drošības speciālistam, priekšniekam vai satura īpašniekam), palaist ārējā programma, nosūtīt pieprasījumu par sūtījuma apstiprinājumu utt. Sistēma piešķir incidentam unikālais numurs un pievieno ziņojumam failu. Administrators nosaka elastīgas politikas, ņemot vērā uzņēmuma biznesa procesus, un pakotnē jau ir vairāki desmiti veidņu un pielāgoti atskaites par incidentiem un lietotāju aktivitātēm. Websense produkti ļauj ierobežot piekļuvi noteiktai informācijai atsevišķiem darbiniekiem vai grupām un aizsargāt uzņēmuma dokumentāciju no nesankcionētām izmaiņām. Citas funkcijas ietver piespiedu e-pasta šifrēšanu (izmantojot vārteju) un strādāt kopā ar citiem Websense produktiem (piemēram, Websense Web Security Gateway). Tiek atbalstīta integrācija ar Active Directory, Novell eDirectory un Lotus Domino. Vairākas citas lietojumprogrammas tiek izmantotas kopā ar Websense DSS, paplašinot DLP kompleksa iespējas:
Visi Websense risinājumi tiek pārvaldīti, izmantojot vienu Websense TRITON konsoli (Java un Apache Tomcat). Websense DSS ir ļoti viegli instalēt. Arhīvā jau ir MS SQL Server Express 2008 R2, bet lielām vidēm labāk izmantot pilno versiju. Sākotnējā iestatīšana politika tiek veidota, izmantojot vienkāršu vedni, kas veido veidnes, ņemot vērā valsti un organizācijas darbības veidu, t.sk. reģionālie iestatījumi Par Krieviju.
Salīdzinoši jauns risinājums, ko izstrādājis Krievijas OOO Falcongaze. Tas ir programmatūras produkts, kas izmanto satura, atribūtu un statistiskās analīzes tehnoloģijas, lai meklētu konfidenciālu informāciju ( atslēgvārdi, regulāras izteiksmes, nospiedums utt.). Nodrošina visu populāro datu noplūdes kanālu kontroli, tostarp šifrētās trafika uzraudzību (HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, MMP, MSN, XMPP). Ja organizācija izmanto MS Exchange 2007/2010, tad tiek pārbaudīta arī visas iekšējās un ārējās sarakstes atbilstība politikām. Īpaši vēlos izcelt pilnīgu Skype atbalstu, jo SecureTower var pārtvert balss trafiku, īsziņas, failus un nosūtītās SMS. Ne visi DLP var to izdarīt vai nodrošināt to pilnībā (parasti instalētais aģents kontrolē tikai īsziņas). Satiksmes pārtveršanu var konfigurēt selektīvi: pēc IP adresēm vai diapazoniem, MAC adresēm, portiem un protokoliem, pieteikšanās datiem, failu izmēriem utt. Sistēma atpazīst ar paroli aizsargātus MS Word/Excel, PDF dokumentus un dažus arhīvu veidus. Kad lietotājs augšupielādē ar paroli aizsargātu dokumentu vai arhīvu, tas ģenerē notikumu un nodrošina to administratoram pilna informācija un faila kopiju. SecureTower kontrolē datus, kas kopēti uz ārējām ierīcēm, drukāšanu uz vietējiem un tīkla printeriem. Lai izvairītos no kļūdām sūtītāja noteikšanā, SecureTower papildus vispārpieņemtajai informācijai, kas saņemta no domēna, analizē visu kontaktinformāciju, IP adresi un tās lietošanas periodu, pieteikšanos dažādos kurjeros utt. Tālāk sistēma izveido personīgās kartes, ar kuras palīdzību visa apkopotā informācija tiek piesaistīta kontiem (iespējama integrācija ar Active Directory).
Turklāt SecureTower ir funkcijas, kas nav specifiskas DLP, bet kuras ir ļoti pieprasītas lielākajā daļā organizāciju. Tādējādi ar tās palīdzību jūs varat uzraudzīt darbinieku darbu - sistēma periodiski uzņem ekrānuzņēmumus turpmākai apskatei hronoloģiskā secībā, kā arī izseko iekšējos un ārējos kontaktus. Tajā pašā laikā tiek ģenerēti vizuāli interaktīvi pārskati, kas ļauj dinamiski pārraudzīt tīkla notikumus un atsevišķu lietotāju aktivitātes. Balstoties uz savāktajiem datiem, ir ļoti viegli noskaidrot, cik daudz laika darbinieks pavadīja tukšai komunikācijai, nevērīgi izturoties pret darba pienākumiem, un kad tas noticis. Funkcionāli SecureTower sastāv no vairākiem komponentiem:
Kā DBVS var izmantot MS SQL Server, Oracle, SQLite un PostgreSQL. Sistēma ir viegli mērogojama, ja nepieciešams, tīklam var pievienot jaunu serveri, kas atbild par datu pārtveršanu vai apstrādi. Izvietošanas process ir ļoti vienkāršs, izmantojot Falcongaze SecureTower Admin Console un Falcongaze SecureTower Client drošības konsoli pārvaldībai, noteikumu izveidei un analīzei. Uzstādītajā sistēmā ir vairāki aktīvi vispārīgie noteikumi, ļaujot identificēt vairāku datu (kredītkaršu numuru, TIN) nosūtīšanu, sociālo tīklu apmeklēšanu, CV nosūtīšanu jauna darba meklēšanai u.c.
Par maksu tiek piedāvāta Enterprise versija, kurai ir uzlaboti analīzes rīki, uzlabots interfeiss, karantīna, arhivēšanas funkcija un nodrošināts atbalsts.
Jāatceras, ka DLP, pirmkārt, ir instruments, kas ļauj būtiski samazināt riskus, kuru klātbūtne pati par sevi disciplinē darbiniekus. Nav arī vērts cerēt, ka šādas sistēmas ieviešana garantēs aizsardzību pret noplūdēm, kas rodas apzinātas darbības rezultātā. Ja kāds iekšējās personas vēlas nodot vai noņemt vērtīgu informāciju, viņš, iespējams, atradīs veidu, kā to izdarīt, tāpēc arī jums vajadzētu izmantot visu tradicionālās metodes aizsardzību.
Pamatojoties uz šīs klases produktu angļu nosaukumu, daudzi joprojām uzskata, ka DLP sistēmas ir paredzētas tikai aizsardzībai pret informācijas noplūdi. Šāds nepareizs priekšstats ir raksturīgs tiem, kuriem nav bijusi iespēja iepazīties ar visām šādu aizsardzības līdzekļu iespējām. Savukārt mūsdienu sistēmas ir sarežģīti analītiski instrumenti, ar kuru palīdzību IT, informācijas un ekonomiskās drošības, iekšējās kontroles, personāla un citu struktūrvienību darbinieki var atrisināt dažādas problēmas.
Šajā rakstā netiks skarti augstākā līmeņa biznesa mērķi, kas noteikti pēc COBIT5 metodoloģijas, balstoties uz biznesa un IT mērķu saistību: ieguvumu iegūšana, resursu (t.sk. izmaksu) optimizācija, risku optimizēšana. Mēs nokāpsim vienu līmeni un apskatīsim konkrētas lietojumprogrammu problēmas, starp tām izceļot tās, kuras var palīdzēt atrisināt mūsdienu DLP sistēmas.
I. Negodīgu darbinieku atmaskošana:
II. Risku samazināšana un vispārējā informācijas drošības līmeņa paaugstināšana:
III. Likumu un citu prasību ievērošanas nodrošināšana:
IV. Procesa efektivitātes analīze un uzlabošana:
Negodīgu darbinieku atmaskošana ļauj savlaicīgi pieņemt nepieciešamos vadības lēmumus (ieskaitot juridiski kompetentu šķiršanos no šādiem cilvēkiem). Lai to izdarītu, nepieciešams konstatēt notikuma faktu, to pareizi interpretēt un klasificēt un nodrošināt atrasto pierādījumu uzglabāšanu.
Aizsargātas informācijas pārraides noteikšana neleģitīmiem adresātiem ir vispieprasītākā DLP sistēmu funkcija. Parasti sistēma ir konfigurēta, lai identificētu informāciju, kas veido komercnoslēpumu, personas datus, kredītkaršu numurus un citu konfidenciālu informāciju (atkarībā no nozares un konkrētās organizācijas specifikas).
Saskaņā ar InfoWatch analītiskā centra datiem personas datu noplūde notiek visbiežāk, un otrajā vietā ir informācija, kas veido komercnoslēpumu (sk. 1. attēlu).
Atkarībā no konkrētā risinājuma DLP sistēmas var uzraudzīt un analizēt šādus galvenos informācijas pārsūtīšanas kanālus: e-pasts, datu pārsūtīšana caur internetu (sociālie tīkli un forumi, failu koplietošanas pakalpojumi un mākoņkrātuve, tīmekļa piekļuve e-pastam un citi), kopēšana uz ārējie datu nesēji, dokumentu drukāšana.
Ekonomisko noziegumu atklāšana nav DLP sistēmu galvenais mērķis. Tomēr nereti korespondences analīze ļauj konstatēt gatavošanos tai vai prettiesiskas darbības izdarīšanas faktu. Tādā veidā parasti ir iespējams atklāt diskusijas par atsitiena shēmām un citas nesankcionētas sarunas, kas varētu kaitēt uzņēmumam.
Turklāt tukšu veidlapu ar zīmogiem un parakstiem drukāšana vai nosūtīšana kādam var netieši norādīt arī uz iespējamu gatavošanos dokumentu viltošanai. Bet jums nevajadzētu paļauties uz DLP sistēmām kā panaceju - šāda veida noziegumu sagatavošanu ir viegli noslēpt.
Neētiskas komunikācijas faktu fiksēšana rodas korespondences starp darbiniekiem un ar ārējiem saņēmējiem analīzes rezultātā. Mūsdienu sistēmas DLP spēj identificēt agresīvu un destruktīvu uzvedību – piemēram, kūdīšanu un aicinājumus uz sabotāžu, “psiholoģisko teroru”, “troļļošanu”, draudus un apvainojumus. Pavisam nesen vienam no maniem kolēģiem izdevās apturēt potenciālu noziegumu: DLP sistēma divu darbinieku sarakstē atklāja sazvērestību, lai nodarītu miesas bojājumus trešajam darbiniekam.
Visu informatīvo ziņojumu arhivēšana un sistematizācija nepieciešami tālākai incidentu izmeklēšanai un pierādījumu juridiskās nozīmes nodrošināšanai. Nepietiek ar iespēju identificēt incidentus, ir arī jāsaglabā iegūtā informācija un jānodrošina ērts mehānisms to analīzei.
Aizsargātas informācijas noplūdes riska samazināšana tiek panākta, pastāvīgi uzraugot un bloķējot noplūdes kanālus, kā arī brīdinot lietotājus, kuri pārkāpj drošības politikas.
Ponemon institūta pētījums (ziņojums ''Vai jūsu uzņēmums ir gatavs lielam datu pārkāpumam?'') parādīja, ka pēdējo divu gadu laikā trešdaļa aptaujāto uzņēmumu ir reģistrējuši vairāk nekā 1000 konfidenciālas informācijas noplūdes gadījumu: 48% bija dati. pārkāpums tikai vienu reizi, 27% - divas reizes, 16% saskārušies ar līdzīgiem incidentiem līdz piecām reizēm, 9% reģistrēti vairāk nekā pieci noplūdes gadījumi. Tas norāda uz aplūkojamo draudu atbilstību.
Noplūdes kanālu un/vai noteiktu informācijas ziņojumu bloķēšana var būtiski samazināt informācijas noplūdes riskus. Tam ir vairākas pieejas: I/O portu bloķēšana, piekļuves bloķēšana noteiktām vietņu kategorijām (failu koplietošanas pakalpojumi, e-pasts) un/vai pārsūtīto ziņojumu satura analīze un sekojoša pārraides bloķēšana.
Dažos gadījumos DLP sistēmas var nodrošināt sistemātisku darbinieku pieņemtās drošības politikas pārkāpumu identificēšana: ziņojumu nosūtīšana trešajām personām skaidrā (nešifrētā) formā, dokumentu drukāšana bez noteiktu zīmogu uzlīmēšanas, nejauša e-pasta sūtīšana neautorizētiem adresātiem.
Regulatoru formālo prasību un/vai labākās prakses ieteikumu izpilde var būt saistīta ar pirmās un otrās grupas uzdevumiem, bet tiek aplūkota atsevišķi.
Automatizēta informācijas kategorizēšana ir papildu iespēja nodrošina dažas DLP sistēmas. Kā tas strādā? DLP sistēma skenē darbstacijas un serverus, lai identificētu noteikta veida failus un, izmantojot dažādas analīzes tehnoloģijas, pieņem lēmumu par dokumentu piešķiršanu noteiktām kategorijām.
Šī iespēja var būt ļoti noderīga, jo, pēc mūsu pieredzes, tikai nelielai daļai uzņēmumu ir aktuāli konfidenciālās informācijas saraksti, bez kuriem nav iespējams saprast, kuri dokumenti ir konfidenciāli un kuri nav.
DLP sistēmu izmantošana ļauj sasniegt atbilst dažām normatīvajām prasībām(piemēram, Krievijas FSTEC rīkojumi Nr. 21 un Nr. 17, Krievijas Bankas noteikumi Nr. 382-P) un labākās prakses (GOST/ISO 27001, STO BR IBBS, COBIT5, ITIL). DLP sistēmas palīdz klasificēt informāciju, ierobežot uzglabāšanas vietas, pārvaldīt notikumus un incidentus, pārvaldīt ārējos datu nesējus, kontrolēt pārsūtītos ziņojumus un daudzos citos gadījumos.
DLP sistēmas var izmantot datu plūsmu un uzglabātās informācijas analīze- piemēram, identificēt faktus par ierobežotas pieejamības informācijas glabāšanu neatļautās vietās, noteikt pārmērīgu e-pasta slodzi, ja ir failu krātuve un citi. Viņi identificē iespējamos biznesa procesu vājās vietas, kas rodas no sliktas uzvedības un darbinieku nepiepildītajām cerībām, kā arī neefektīviem informācijas uzglabāšanas, pārsūtīšanas un apstrādes veidiem.
Iespējamo interešu konfliktu prognozēšana un identificēšana tiek īstenota, analizējot darbinieku saraksti un citas aktivitātes sociālajos tīklos un dažādos interneta resursos. Nepieciešamības gadījumā DLP sistēmas spēj “saprast”, kurš gatavojas pamest uzņēmumu (darba meklēšana vai saņemto piedāvājumu apspriešana), neadekvāti izmantojot korporatīvo IT resursus (pārmērīga komunikācija sociālajos tīklos, personīgo dokumentu, grāmatu un fotogrāfiju drukāšana, viesošanās). spēļu vietnes un tamlīdzīgi), negatīvi reaģē uz vadības lēmumiem. Šie jautājumi ir vairāk pakļauti personāla nodaļai un tiešajiem vadītājiem, nevis drošības dienestam.
Ieviešot DLP sistēmu vai vienkārši domājot par tās izvietošanu, ir svarīgi skaidri saprast, kādus uzdevumus tā atrisinās. Bez tā ir grūti ne tikai izvēlēties risinājuma ražotāju, bet arī pareizi formulēt prasības funkcionalitātei un iestatījumiem. Ja jūs koncentrējaties tieši uz problēmu risināšanu, nevis uz funkcionalitātes sarakstu, tas nepārprotami attaisnos DLP ieviešanas iespējamību gan IT nodaļai, gan uzņēmumam kopumā.
Andrejs Prozorovs- InfoWatch vadošais informācijas drošības eksperts, emuāru autors.
