Сегодня часто можно услышать о такой технологии, как DLP системы. Что собой представляет такая система? Как она может быть использована? Под DLP-системами понимают программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при фильтрации и отправке. Данные сервисы также осуществляют мониторинг, обнаружение и блокирование конфиденциальной информации при ее использовании, движении и хранении. Утечка конфиденциальной информации, как правило, происходит по причине работы с техникой неопытных пользователей или злонамеренных действий.
Подобная информация в виде корпоративных или частных сведений, объектов интеллектуальной собственности, медицинской и финансовой информации, сведений о кредитных картах, нуждается в особых мерах защиты, предложить которые могут современные информационные технологии. Случаи утраты информации превращаются в утечку, когда источник, содержащий конфиденциальные сведения пропадает и оказывается у несанкционированной стороны. Утечка информации возможна и без потери.
Категории DLP-систем
Условно технологические средства, которые используются для борьбы с утечкой информации можно разделить на следующие категории:
— стандартные меры безопасности;
— интеллектуальные (продвинутые) меры;
— контроль доступа и шифрование;
— специализированные системы DLP.
Стандартные меры
К стандартным мерам безопасности относятся межсетевые экраны, системы обнаружения вторжений (IDS), антивирусное программное обеспечение. Они охраняют компьютер от аутсайдера и инсайдерских атак. Так. Например, подключение брандмауэра исключает доступ к внутренней сети посторонних лист. Система обнаружения вторжений может обнаружить попытки проникновения. Для предотвращения внутренних атак можно использовать антивирусные программы, обнаруживающие троянских коней, установленных на ПК. Также можно использовать специализированные сервисы, работающие в архитектуре клиент-сервер без какой-либо конфиденциальной или личной информации, хранящейся на компьютере.
Дополнительные меры безопасности
В дополнительных мерах безопасности используются узкоспециализированные сервисы и временные алгоритмы, которые предназначены для обнаружения ненормального доступа к данным, а точнее говоря к базам данных и информационно-поисковым системам. Также такие средства защиты позволяют обнаружить ненормальный обмен электронной почтой. Такие современные информационные технологии выявляют запросы и программы, которые поступают с вредоносными намерениями и осуществляют глубокие проверки компьютерных системы вроде распознавания звуков динамика или нажатий клавиш. Некоторые сервисы такого рода даже способны осуществлять мониторинг активности пользователей с целью обнаружения необычного доступа к данным.
Что собой представляют специально-разработанные DLP-системы?
Решения DLP, разработанные для защиты информации, служат для обнаружения и предотвращения попыток несанкционированного копирования и передачи конфиденциальной информации без разрешения или доступа со стороны пользователей, которые имеют право доступа к конфиденциальной информации. Для того чтобы классифицировать информацию определенного типа и отрегулировать доступ к ней, в этих системах используются такие механизмы, как точное соответствие данных, статистические методы, структурированная дактилоскопия, прием регулярных выражений и правил, опубликование кодовых фраз, ключевых слов, концептуальных определений. Рассмотрим основные типы и характеристики DLP-систем.
Network DLP
Данная система, как правило, представляет собой аппаратное решение или программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Такая система анализирует сетевой трафик с целью обнаружения конфиденциальной информации, отправляемой с нарушениями политики информационной безопасности.
Endpoint DLP
Системы такого типа функционируют на рабочих станциях конечных пользователей или серверах в организациях. Конечная точка, как и в других сетевых системах, может быть обращена как к внутренним, так и к внешним связям и, следовательно, может использоваться для контроля потока информации между типами и группами пользователей. Они также способны осуществлять контроль за обменом мгновенными сообщениями и электронной почтой. Происходит это следующим образом, прежде, чем данные сообщения будут загружены на устройство, они проверяются сервисом. При содержании неблагоприятного запроса сообщения будут заблокированы. Таким образом они становятся неоправленными и не попадают под действие правил хранения информации на устройстве.
Преимущество DLP системы заключается в том, что она может контролировать и управлять доступом к устройствам физического типа, а также получать доступ к информации до того, как она будет зашифрована. Некоторые системы, которые функционируют на основе конечных утечек, могут также обеспечить контроль приложений с целью блокировки попыток передачи конфиденциальной информации и обеспечения незамедлительной обратной связи с пользователем. Недостаток таких систем заключается в том, что они должны быть установлены на каждой рабочей станции в сети и не могут использоваться на мобильных устройствах вроде КПК или сотовых телефонов. Данное обстоятельство необходимо учитывать при выборе систем DLP для выполнения определенных задач.
Идентификация данных
Системы DLP содержат в себе несколько методов, направленных на выявление конфиденциальной и секретной информации. Данный процесс часто путают с процедурой расшифровки информации. Однако идентификация информации представляет собой процесс, при помощи которого организации используют технологию DLP для того, чтобы определить, что именно нужно искать. При этом данные классифицируются как структурированные или неструктурированные. Данные первого типа хранятся в фиксированных полях внутри файла, например, в виде электронных таблиц. Неструктурированные данные относятся к свободной форме текста. Если верить оценкам экспертов, то 80% всей обрабатываемой информации можно отнести к неструктурированным данным. Соответственно, только 20% от общего объема информации является структурированной. Для классификации информации используется контент-анализ, который ориентирован на структурированную информацию и контекстный анализ. Делается он по месту создания приложения или системы, в которой появилась информация. Таким образом, ответом на вопрос «что собой представляют DLP системы» может послужить определение алгоритма анализа информации.
Методы
Используемые в системах DLP методы описания конфиденциального содержимого на сегодняшний день очень многочисленны. Условно их можно поделить на две категории: точные и неточные. Точные – это методы, которые связаны с анализом контента и практически сводят к нулю все ложные положительные ответы на запросы. Остальные методы являются неточными. К ним относятся статистический анализ, байесовский анализ, мета-теги, расширенные регулярные выражения, ключевые слова, словари и т.д. Эффективность анализа данных напрямую будет зависеть от его точности. DLP система с высоким рейтингом имеет высокие показатели по данному параметру. Важное значение для избегания ложных срабатываний и других негативных последствий имеет точность идентификации DLP. Точность зависит от множества факторов, которые могут быть технологическими или ситуативными. Тестирование точности позволяет обеспечить надежность работы системы DLP.
Обнаружение утечек информации и их предотвращение
В некоторых случаях источник распределения данных делает доступной для третьей стороны конфиденциальную информацию. Часть этих данных скорее всего через некоторое время будет обнаружена в несанкционированном месте, например, на ноутбуке другого пользователя или в интернете. Системы DLP, стоимость которых предоставляется разработчиками по запросу, можно составлять от нескольких десятков до нескольких тысяч рублей. Системы DLP должны исследовать, как просочились данные от одного или от нескольких третьих лиц, осуществлялось ли это независимо, не была ли утечка информации обеспечена каким-то другими средствами.
Данные в состоянии покоя
Описание «данные в состоянии покоя» относится к старой архивной информации, которая хранится на любом из жестких дисков клиентского персонального компьютера, на удаленном файловом сервере, на диске сетевого хранилища. Это определение также относится к данным, которые хранятся в системе резервного копирования на компакт-дисках или флэшках. Такая информация предоставляет большой интерес для государственных учреждений или предприятий, поскольку большой объем данных содержится неиспользованным в устройствах памяти. В данном случае велика вероятность того, что доступ к информации будет получен неуполномоченными на то лицами за пределами сети.