• ویژگی های کار با سیستم های DLP: توضیحات، وظایف، مقایسه. سیستم های DLP: چگونه کار می کند

    امروزه، بازار سیستم‌های DLP یکی از سریع‌ترین بازارها در میان تمام ابزارهای امنیت اطلاعات است. با این حال، بلاروس هنوز کاملاً با روندهای جهانی که در ارتباط با آن بازار است، هماهنگ نیست DLP-سیستم ها در کشور ما ویژگی های خاص خود را دارند.

    DLP چیست؟ و چگونه کار می کنند؟

    قبل از اینکه در مورد بازار صحبت کنیم DLP -سیستم ها، باید مشخص شود که در واقع منظور از چه چیزی است تصمیمات مشابه. زیر DLP سیستم ها معمولاً به عنوان محصولات نرم افزاری شناخته می شوند که از سازمان ها در برابر نشت اطلاعات محرمانه محافظت می کنند. خود مخفف DLP مخففجلوگیری از نشت داده ها ، یعنی جلوگیری از نشت اطلاعات.

    چنین سیستم هایی یک "محیط" دیجیتال امن در اطراف سازمان ایجاد می کنند و تمام اطلاعات خروجی و در برخی موارد خروجی را تجزیه و تحلیل می کنند. اطلاعات کنترل شده باید نه تنها ترافیک اینترنتی، بلکه تعدادی دیگر نیز باشد جریان اطلاعات: اسنادی که از حلقه ایمنی محافظت شده خارج می شوند رسانه خارجی، چاپ شده بر روی چاپگر، ارسال به رسانه های تلفن همراه از طریقبلوتوث و غیره

    زیرا DLP - سیستم باید از نشت اطلاعات محرمانه جلوگیری کند، سپس وارد می شود بدون شکستدارای مکانیسم های داخلی برای تعیین میزان محرمانه بودن یک سند شناسایی شده در ترافیک رهگیری شده است. به عنوان یک قاعده، دو روش رایج ترین هستند: با تجزیه نشانگرهای سند خاص و با تجزیه محتوای سند. در حال حاضر، گزینه دوم رایج تر است، زیرا در برابر تغییرات ایجاد شده در سند قبل از ارسال مقاوم است و همچنین به شما امکان می دهد تعداد اسناد محرمانه ای را که سیستم می تواند با آنها کار کند را به راحتی گسترش دهید.

    وظایف "جانبی". DLP

    علاوه بر وظیفه اصلی خود مربوط به جلوگیری از نشت اطلاعات، DLP -سیستم ها همچنین برای حل تعدادی از وظایف دیگر مرتبط با کنترل اقدامات پرسنل مناسب هستند. اغلب اوقات DLP -سیستم ها برای حل وظایف جزئی زیر برای خود استفاده می شوند:

    • نظارت بر استفاده از زمان کار و منابع کاری توسط کارکنان؛
    • نظارت بر ارتباطات کارکنان به منظور شناسایی مبارزات "سری" که می تواند به سازمان آسیب برساند.
    • کنترل قانونی بودن اقدامات کارکنان (جلوگیری از چاپ اسناد جعلی و غیره)؛
    • شناسایی کارمندانی که برای جستجوی سریع متخصصان برای یک موقعیت خالی رزومه ارسال می کنند.

    با توجه به اینکه بسیاری از سازمان ها تعدادی از این وظایف (به ویژه کنترل استفاده از زمان کاری) را در اولویت بالاتری نسبت به محافظت در برابر نشت اطلاعات می دانند، تعدادی برنامه به وجود آمده است که به طور خاص برای این کار طراحی شده اند، اما در برخی موارد کیس ها همچنین می توانند به عنوان وسیله ای برای محافظت از سازمان در برابر نشت کار کنند. از پر DLP - سیستم هایی از این قبیل برنامه ها با کمبود ابزارهای توسعه یافته برای تجزیه و تحلیل داده های رهگیری شده متمایز می شوند که باید به صورت دستی توسط یک متخصص امنیت اطلاعات انجام شود که فقط برای کاملاً راحت است. سازمان های کوچک(حداکثر ده کارمند تحت نظارت). با این حال، از آنجایی که این راه حل ها در بلاروس مورد تقاضا هستند، در جدول مقایسه ای که همراه این مقاله است نیز گنجانده شده است.

    طبقه بندی سیستم های DLP

    تمام سیستم های DLP را می توان با توجه به تعدادی ویژگی به چند کلاس اصلی تقسیم کرد. با توجه به توانایی مسدود کردن اطلاعات شناسایی شده به عنوان محرمانه، سیستم هایی با کنترل فعال و غیرفعال اقدامات کاربر متمایز می شوند. اولی قادر به مسدود کردن اطلاعات ارسال شده است، دومی به ترتیب چنین توانایی را ندارد. سیستم های اول در مقابله با نشت های تصادفی داده ها بسیار بهتر هستند، اما در عین حال می توانند اجازه توقف تصادفی فرآیندهای تجاری سازمان را بدهند، در حالی که سیستم های دوم برای فرآیندهای تجاری ایمن هستند، اما فقط برای مقابله با نشت های سیستماتیک مناسب هستند. . طبقه بندی دیگر سیستم های DLP بر اساس معماری شبکه آنها است. دروازه ها DLP روی سرورهای میانی کار می کنند، در حالی که سرورهای میزبان از عواملی استفاده می کنند که مستقیماً روی ایستگاه های کاری کارمندان کار می کنند. امروزه رایج ترین گزینه استفاده از گیت وی و اجزای میزبان با هم است.

    بازار جهانی DLP

    در حال حاضر، بازیگران اصلی در بازار جهانی DLP -سیستم ها شرکت هایی هستند که به دلیل سایر محصولات خود برای امنیت اطلاعات در سازمان ها شناخته شده اند. این اول از همه، Symantec، McAffee، TrendMicro، WebSense. در باره حجم کل بازار جهانی DLP -solutions 400 میلیون دلار تخمین زده می شود که در مقایسه با همان بازار آنتی ویروس بسیار کمی است. با این حال، بازار DLP رشد سریعی را نشان می دهد: در سال 2009، کمی بیش از 200 میلیون روبل برآورد شد.

    بازار بلاروس تا حد زیادی تحت تأثیر بازار همسایه شرقی خود، روسیه است که در حال حاضر بسیار بزرگ و بالغ است. بازیگران اصلی آن امروز شرکت های روسی هستند: InfoWatch جت اینفوسیستمز، SecurIT، SearchInform، Perimetrix و تعدادی دیگر حجم کل بازار DLP روسیه 12-15 میلیون دلار تخمین زده می شود. در عین حال، با همان سرعت جهانی در حال رشد است.

    به گفته کارشناسان، اصلی ترین این روندها، انتقال از سیستم های "پچ"، متشکل از اجزای سازنده های مختلف است که هر کدام وظیفه خود را حل می کنند، به یک سیستم نرم افزاری یکپارچه. دلیل چنین انتقالی واضح است: سیستم های یکپارچه پیچیده متخصصان امنیت اطلاعات را از نیاز به حل مشکلات مربوط به سازگاری اجزای مختلف یک سیستم وصله شده با یکدیگر رهایی می بخشد، تغییر فوری تنظیمات را برای آرایه های بزرگ ایستگاه های کاری مشتری در سازمان ها آسان می کند. ، و همچنین به شما امکان می دهد هنگام انتقال داده ها از یک جزء از یک سیستم یکپارچه به دیگری با مشکل مواجه نشوید. همچنین، حرکت توسعه دهندگان به سمت سیستم های یکپارچه به دلیل ویژگی های وظایف تضمین امنیت اطلاعات است: به هر حال، اگر حداقل یک کانال که از طریق آن می توان اطلاعات را به بیرون درز کرد، کنترل نشده باقی بماند، نمی توان در مورد امنیت آن صحبت کرد. سازمان از چنین تهدیدهایی.

    تولید کنندگان غربی DLP -سیستم هایی که به بازار کشورهای مستقل مشترک المنافع آمدند با تعدادی از مشکلات مربوط به پشتیبانی از زبان های ملی مواجه شدند (اما در مورد بلاروس، مناسب است در مورد حمایت روسی صحبت کنیم، نه زبان بلاروسی). ). از آنجایی که بازار CIS برای فروشندگان غربی بسیار جالب است، امروزه آنها جالب هستند کار فعالبیش از حمایت از زبان روسی، که مانع اصلی توسعه موفقیت آمیز بازار آنها است.

    یکی دیگر از روندهای مهم در این زمینه DLP یک انتقال تدریجی به یک ساختار مدولار است، زمانی که مشتری می تواند به طور مستقل اجزای سیستم مورد نیاز خود را انتخاب کند (به عنوان مثال، اگر پشتیبانی برای دستگاه های خارجی، پس نیازی به پرداخت هزینه اضافی برای عملکرد برای کنترل آنها نیست). نقش مهمبرای توسعه DLP -سیستم ها نیز توسط مشخصات صنعت ارائه خواهند شد - انتظار ظاهر کاملاً ممکن است نسخه های ویژهسیستم های شناخته شده ای که به طور خاص برای بخش بانکی، برای سازمان های دولتی و غیره مطابق با نیازهای خود سازمان ها سازگار شده اند.

    یک عامل مهم در توسعه DLP -systems، همچنین گسترش لپ تاپ ها و نت بوک ها در محیط های شرکتی است. مشخصات لپ تاپ ها (کار در خارج از محیط شرکت، امکان سرقت اطلاعات به همراه خود دستگاه و ...) باعث می شود تولیدکنندگان DLP -سیستم هایی برای توسعه رویکردهای اساسی جدید برای حفاظت از رایانه های قابل حمل. لازم به ذکر است که امروزه تنها تعداد کمی از فروشندگان آماده ارائه عملکرد کنترل لپ تاپ و نت بوک با سیستم DLP خود به مشتری هستند.

    کاربرد DLP در بلاروس

    در بلاروس DLP -سیستم ها در تعداد نسبتا کمی از سازمان ها استفاده می شوند، اما تعداد آنها قبل از بحران به طور پیوسته افزایش می یافت. با این حال، جمع آوری شده با DLP -سیستم‌ها سازمان‌های بلاروس عجله‌ای برای عمومی کردن اطلاعات ندارند و کارمندانی را که به دلیل افشای اطلاعات در دادگاه مجرم هستند، تحت تعقیب قرار می‌دهند. علیرغم این واقعیت که قانون بلاروس حاوی هنجارهایی است که به مجازات افشاکنندگان اسرار شرکتی اجازه می دهد، اکثریت قریب به اتفاق سازمان ها از DLP -سیستم‌ها ترجیح می‌دهند که به عنوان آخرین راه حل، محدود به رسیدگی‌های داخلی و مجازات‌های انضباطی باشند و کارکنان را به جرم بزرگی اخراج کنند. با این حال، سنت "لباس های کثیف را در ملاء عام نشویید" مشخصه کل فضای پس از شوروی است، برخلاف کشورهای غربی که نشت داده ها به همه کسانی که ممکن است از آن رنج ببرند گزارش می شود.

    وادیم استانکویچ

    حتی شیک ترین اصطلاحات فناوری اطلاعات باید به درستی و تا حد امکان به درستی استفاده شوند. حداقل برای اینکه مصرف کنندگان را گمراه نکنند. طبقه بندی خود به عنوان سازنده راه حل DLP قطعاً مد شده است. به عنوان مثال، در نمایشگاه اخیر CeBIT-2008، کتیبه "راه حل DLP" اغلب بر روی غرفه های تولید کنندگان نه تنها آنتی ویروس ها و سرورهای پراکسی کمتر شناخته شده در جهان، بلکه حتی فایروال ها نیز دیده می شود. گاهی اوقات این احساس وجود داشت که در گوشه بعدی می توان نوعی اجکتور سی دی (برنامه ای که باز شدن درایو سی دی را کنترل می کند) با شعار غرورآفرین راه حل DLP شرکتی مشاهده کرد. و، به اندازه کافی عجیب، هر یک از این تولید کنندگان، به عنوان یک قاعده، توضیحی کم و بیش منطقی برای چنین موقعیت یابی محصول خود داشتند (البته، علاوه بر تمایل به دریافت "gesheft" از یک اصطلاح مد روز).

    قبل از در نظر گرفتن بازار تولید کنندگان سیستم DLP و بازیگران اصلی آن، لازم است منظور ما از سیستم DLP چیست. تلاش‌های زیادی برای تعریف این دسته از سیستم‌های اطلاعاتی صورت گرفته است: ILD&P - شناسایی و پیشگیری از نشت اطلاعات ("شناسایی و جلوگیری از نشت اطلاعات"، این اصطلاح توسط IDC در سال 2007 پیشنهاد شد)، ILP - حفاظت از نشت اطلاعات ("محافظت در برابر نشت اطلاعات" "، Forrester، 2006)، ALS - نرم افزار ضد نشت ("نرم افزار ضد نشت"، E&Y)، نظارت بر محتوا و فیلتر کردن (CMF، Gartner)، سیستم پیشگیری از اکستروژن (شبیه به سیستم جلوگیری از نفوذ).

    اما نام DLP - Data Loss Prevention (یا Data Leak Prevention، حفاظت در برابر نشت داده ها) که در سال 2005 پیشنهاد شد، با این وجود به عنوان یک اصطلاح رایج شناخته شد. در عین حال، تهدیدات داخلی به عنوان سوء استفاده (عمدی یا تصادفی) توسط کارکنان سازمان که حقوق قانونی دسترسی به داده های مربوطه، اختیارات خود را دارند، درک می شود.

    منسجم ترین و منسجم ترین معیارها برای تعلق به سیستم های DLP توسط Forrester Research در طول مطالعه سالانه خود از این بازار ارائه شده است. آنها چهار معیار را پیشنهاد کردند که بر اساس آن یک سیستم را می توان به عنوان DLP طبقه بندی کرد. 1.

    چند کاناله سیستم باید بتواند چندین کانال احتمالی نشت داده را نظارت کند. در یک محیط شبکه، این حداقل ایمیل، وب و IM (پیام‌رسان‌های فوری) است و نه فقط اسکن ترافیک ایمیل یا فعالیت پایگاه داده. در ایستگاه کاری - نظارت بر عملیات فایل، کار با کلیپ بورد، و همچنین کنترل ایمیل، وب و IM. 2.

    مدیریت یکپارچه سیستم باید دارای کنترل های سیاستی یکپارچه باشد امنیت اطلاعات، تجزیه و تحلیل و گزارش رویداد در تمام کانال های نظارتی. 3.

    حفاظت فعال این سیستم نه تنها باید نقض خط مشی امنیتی را شناسایی کند، بلکه در صورت لزوم، آن را نیز اجرا کند. به عنوان مثال، پیام های مشکوک را مسدود کنید. 4.

    بر اساس این معیارها، Forrester در سال 2008 فهرستی از 12 تولیدکننده را برای بررسی و ارزیابی انتخاب کرد. نرم افزار(در زیر به ترتیب حروف الفبا لیست شده اند و نام شرکت جذب شده توسط این فروشنده برای ورود به بازار سیستم های DLP در داخل پرانتز ذکر شده است):

    1. کد سبز؛
    2. InfoWatch;
    3. مک آفی (Onigma)؛
    4. ارکستر؛
    5. Reconnex
    6. RSA/EMC (تبلوس)؛
    7. سیمانتک (ونتو)؛
    8. Trend Micro (Provilla);
    9. ورداسیس;
    10. Vericept;
    11. Websense (PortAuthority)؛
    12. سهم کار

    تا به امروز، از 12 فروشنده فوق، بازار روسیهفقط InfoWatch و Websense تا حدودی نشان داده شده اند. بقیه یا اصلاً در روسیه کار نمی کنند یا به تازگی قصد خود را برای شروع فروش راه حل های DLP (Trend Micro) اعلام کرده اند.

    با توجه به عملکرد سیستم های DLP، تحلیلگران (Forrester، Gartner، IDC) دسته بندی اشیاء حفاظتی - انواع را معرفی می کنند. اشیاء اطلاعاتیمشمول نظارت چنین طبقه بندی به عنوان اولین تقریب، امکان ارزیابی دامنه یک سیستم خاص را فراهم می کند. سه دسته از اشیاء نظارتی وجود دارد.

    1. داده در حرکت (داده در حرکت) - پیام های ایمیل، پیجرهای اینترنتی، شبکه های همتا به همتا، انتقال فایل، ترافیک وب و انواع دیگر پیام هایی که می توانند از طریق کانال های ارتباطی منتقل شوند. 2. داده در حالت استراحت (داده های ذخیره شده) - اطلاعات مربوط به ایستگاه های کاری، لپ تاپ ها، سرورهای فایل، در حافظه اختصاصی، دستگاه های USB، و انواع دیگر دستگاه های ذخیره سازی.

    3. داده در حال استفاده (داده در حال استفاده) - اطلاعات پردازش شده در این لحظه.

    که در در حال حاضرحدود دوجین محصول داخلی و خارجی در بازار ما وجود دارد که برخی از ویژگی های سیستم های DLP را دارند. اطلاعات مختصردر مورد آنها با روح طبقه بندی بالا در جدول ذکر شده است. 1 و 2. همچنین در جدول. 1 پارامتری را به عنوان "ذخیره سازی و ممیزی متمرکز داده" معرفی کرد که نشان دهنده توانایی سیستم برای ذخیره داده ها در یک انبار واحد (برای همه کانال های نظارت) برای تجزیه و تحلیل و ممیزی بیشتر آنها است. این قابلیت اخیراً نه تنها به دلیل الزامات قوانین مختلف قانونی، بلکه به دلیل محبوبیت در بین مشتریان (طبق تجربه) از اهمیت ویژه ای برخوردار شده است. پروژه های انجام شده). تمام اطلاعات موجود در این جداول از منابع عمومی و مواد بازاریابی شرکت های مربوطه گرفته شده است.

    بر اساس داده های جداول 1 و 2، می توان نتیجه گرفت که امروزه تنها سه سیستم DLP در روسیه (از InfoWatch، Perimetrix و WebSence) وجود دارد. آنها همچنین شامل محصول یکپارچه اخیراً اعلام شده از Jet Infosystems (SKVT + SMAP) می شوند، زیرا چندین کانال را پوشش می دهد و یک مدیریت یکپارچه از سیاست های امنیتی دارد.

    صحبت در مورد سهم بازار این محصولات در روسیه بسیار دشوار است، زیرا اکثر تولید کنندگان ذکر شده حجم فروش، تعداد مشتریان و ایستگاه های کاری محافظت شده را فاش نمی کنند و خود را فقط به اطلاعات بازاریابی محدود می کنند. ما فقط می توانیم با اطمینان بگوییم که تامین کنندگان اصلی در حال حاضر عبارتند از:

    • سیستم های دوزور که از سال 2001 در بازار وجود دارد.
    • محصولات InfoWatch فروخته شده از سال 2004؛
    • WebSense CPS (در روسیه و در سراسر جهان در سال 2007 فروخته شد).
    • پریمتریکس (شرکت جوانی که اولین نسخه از محصولاتش در اواخر سال 2008 در وب سایتش اعلام شد).

    در پایان، می خواهم اضافه کنم که تعلق یا عدم تعلق به کلاس سیستم های DLP باعث بدتر یا بهتر شدن محصولات نمی شود - این فقط یک موضوع طبقه بندی است و نه بیشتر.

    جدول 1. محصولات موجود در بازار روسیه با ویژگی های خاص سیستم های DLP
    شرکتتولید - محصولمشخصات محصول
    حفاظت از "داده در حرکت" (داده در حرکت)حفاظت از داده در حال استفادهحفاظت از داده در حالت استراحتذخیره سازی و حسابرسی متمرکز
    InfoWatchنظارت بر ترافیک I.Wآرهآرهخیرآره
    I.W. CryptoStorageخیرخیرآرهخیر
    محیطSafeSpaceآرهآرهآرهآره
    جت اینفوسیستمزدوزور جت (SKVT)آرهخیرخیرآره
    دوزور جت (SMAP)آرهخیرخیرآره
    اسمارت لاین شرکتقفل دستگاهخیرآرهخیرآره
    SecurITزلاکخیرآرهخیرخیر
    رازداریخیرآرهخیرخیر
    SpectorSoftاسپکتور 360آرهخیرخیرخیر
    امنیت لومنشنکنترل دستگاه پناهگاهخیرآرهخیرخیر
    وب سنسحفاظت از محتوای Websenseآرهآرهآرهخیر
    Informzaschitaاستودیوی امنیتیخیرآرهآرهخیر
    پرایم تکخودیخیرآرهخیرخیر
    نرم افزار AtomParkکارکنان پلیسخیرآرهخیرخیر
    SoftInformSearchInformServerآرهآرهخیرخیر
    جدول 2. مطابقت محصولات ارائه شده در بازار روسیه با معیارهای تعلق به کلاس سیستم های DLP
    شرکتتولید - محصولمعیار تعلق به سیستم های DLP
    چند کانالهمدیریت یکپارچهحفاظت فعالحسابداری هم برای محتوا و هم برای زمینه
    InfoWatchنظارت بر ترافیک I.Wآرهآرهآرهآره
    محیطSafeSpaceآرهآرهآرهآره
    جت اینفوسیستمزدوزور جت (SKVT)خیرخیرآرهآره
    "دوزور جت" (SMAP)خیرخیرآرهآره
    اسمارت لاین شرکتقفل دستگاهخیرخیرخیرخیر
    SecurITزلاکخیرخیرخیرخیر
    نرم افزار Smart Protection Labsرازداریآرهآرهآرهخیر
    SpectorSoftاسپکتور 360آرهآرهآرهخیر
    امنیت لومنشنکنترل دستگاه پناهگاهخیرخیرخیرخیر
    وب سنسحفاظت از محتوای Websenseآرهآرهآرهآره
    "Informzaschita"استودیوی امنیتیآرهآرهآرهخیر
    پرایم تکخودیآرهآرهآرهخیر
    نرم افزار اتم پارککارکنان پلیسآرهآرهآرهخیر
    "SoftInform"SearchInformServerآرهآرهخیرخیر
    "دفاع اطلاعاتی""Infoperimeter"آرهآرهخیرخیر

    28.01.2014 سرگئی کورابلف

    انتخاب هر محصول در سطح سازمانی برای متخصصان فنی و تصمیم گیرندگان یک کار بی اهمیت نیست. انتخاب سیستم پیشگیری از نشت داده هاحفاظت از نشت (DLP) حتی دشوارتر است. فقدان یک سیستم مفهومی یکپارچه، مطالعات تطبیقی ​​مستقل منظم و پیچیدگی خود محصولات، مصرف‌کنندگان را مجبور می‌کند تا پروژه‌های آزمایشی را به تولیدکنندگان سفارش دهند و به طور مستقل آزمایش‌های متعددی را انجام دهند و دامنه نیازهای خود را تعیین کنند و آنها را با قابلیت‌های سیستم‌ها مرتبط کنند. تست شده

    چنین رویکردی قطعا درست است. یک تصمیم متعادل و در برخی موارد حتی یک تصمیم سخت به دست آمده، اجرای بیشتر را ساده می کند و از ناامیدی در عملکرد یک محصول خاص جلوگیری می کند. با این حال، فرآیند تصمیم گیری در این موردمی تواند، اگر نه برای سال ها، پس برای چندین ماه ادامه یابد. علاوه بر این، گسترش مداوم بازار، ظهور راه‌حل‌ها و تولیدکنندگان جدید، کار نه تنها انتخاب یک محصول برای اجرا، بلکه ایجاد فهرست اولیه از سیستم‌های DLP مناسب را نیز پیچیده‌تر می‌کند. در چنین شرایطی، بررسی های به روز سیستم های DLP بدون شک برای متخصصان فنی ارزش عملی دارد. آیا یک راه حل خاص باید در لیست آزمایشی گنجانده شود یا اجرای آن در یک سازمان کوچک بسیار پیچیده است؟ آیا می توان راه حل را برای شرکتی با 10000 کارمند مقیاس کرد؟ آیا یک سیستم DLP می تواند فایل های CAD حیاتی تجاری را کنترل کند؟ مقایسه باز جایگزینی برای آزمایش دقیق نیست، اما می تواند به پاسخگویی به سؤالات اساسی در مورد آن کمک کند مرحله اولیهبر روی انتخاب DLP کار می کند.

    اعضا

    محبوب ترین (طبق گزارش مرکز تحلیلی Anti-Malware.ru از اواسط سال 2013) سیستم های DLP شرکت های InfoWatch، McAfee، Symantec، Websense، Zecurion و Jet Infosystem در بازار امنیت اطلاعات روسیه به عنوان شرکت کننده انتخاب شدند.

    برای تجزیه و تحلیل، نسخه‌های تجاری موجود سیستم‌های DLP در زمان آماده‌سازی بررسی، و همچنین مستندات و بررسی‌های باز محصولات استفاده شد.

    معیارهای مقایسه سیستم های DLP بر اساس نیاز شرکت ها در اندازه ها و صنایع مختلف انتخاب شدند. وظیفه اصلی سیستم های DLP جلوگیری از درز اطلاعات محرمانه از طریق کانال های مختلف است.

    نمونه هایی از محصولات این شرکت ها در شکل های 1-6 نشان داده شده است.
    شکل 3 محصول Symantec

    شکل 4. محصول InfoWatch

    شکل 5. محصول Websense

    شکل 6. محصول McAfee

    حالت های عملیاتی

    دو حالت عملکرد اصلی سیستم های DLP فعال و غیرفعال است. فعال - معمولاً حالت اصلی عملیات، که اقداماتی را که سیاست‌های امنیتی را نقض می‌کنند، مانند ارسال اطلاعات محرمانه به یک خارجی مسدود می‌کند. صندوق پستی. حالت غیرفعال اغلب در مرحله راه اندازی سیستم برای بررسی و تنظیم تنظیمات زمانی که نسبت زیاد است استفاده می شود. مثبت کاذب. در این مورد، تخلفات خط مشی ثبت می شود، اما محدودیتی در جابجایی اطلاعات اعمال نمی شود (جدول 1).

    که در این جنبهتمام سیستم های در نظر گرفته شده معادل هستند. هر یک از DLP ها می توانند در هر دو حالت فعال و غیرفعال کار کنند که به مشتری آزادی خاصی می دهد. همه شرکت ها آماده نیستند که بلافاصله در حالت مسدود کردن DLP را شروع کنند - این مملو از اختلال در فرآیندهای تجاری ، نارضایتی کارکنان بخش های کنترل شده و ادعاهای (از جمله موارد موجه) از مدیریت است.

    فن آوری ها

    فناوری های تشخیص طبقه بندی اطلاعات ارسال شده از طریق کانال های الکترونیکی و شناسایی اطلاعات محرمانه را ممکن می سازد. امروزه چندین مورد وجود دارد فن آوری های اساسیو انواع آنها، در اصل مشابه، اما در اجرا متفاوت است. هر فناوری هم مزایا و هم معایبی دارد. بعلاوه، انواع متفاوتفناوری ها برای تجزیه و تحلیل اطلاعات طبقات مختلف مناسب هستند. بنابراین، سازندگان راه حل های DLP سعی می کنند حداکثر تعداد فناوری را در محصولات خود ادغام کنند (جدول 2 را ببینید).

    به طور کلی، محصولات تعداد زیادی فناوری را ارائه می دهند که وقتی به درستی پیکربندی شوند، ارائه می کنند درصد بالاشناسایی اطلاعات محرمانه DLP McAfee، Symantec و Websense نسبتاً ضعیف برای بازار روسیه تطبیق داده شده اند و نمی توانند به کاربران پشتیبانی از فناوری های "زبان" - ریخت شناسی، تجزیه و تحلیل نویسه گردانی و متن پوشانده شده ارائه دهند.

    کانال های کنترل شده

    هر کانال انتقال داده یک کانال بالقوه برای نشت است. حتی یکی باز کردن کانالمی تواند تمام تلاش های سرویس امنیت اطلاعات را که جریان اطلاعات را کنترل می کند، باطل کند. به همین دلیل بسیار مهم است که کانال هایی را که توسط کارمندان برای کار استفاده نمی شود مسدود کنید و بقیه را با کمک سیستم های جلوگیری از نشت کنترل کنید.

    با وجود این واقعیت که بهترین سیستم های DLP مدرن قادر به کنترل تعداد زیادی از کانال های شبکه هستند (جدول 3 را ببینید). کانال های ناخواستهمناسب برای مسدود کردن به عنوان مثال، اگر کارمندی تنها با یک پایگاه داده داخلی روی رایانه کار می کند، منطقی است که دسترسی او به اینترنت را به طور کلی غیرفعال کند.

    نتایج مشابه برای کانال های نشت محلی نیز معتبر است. درست است، در این مورد مسدود کردن کانال های فردی می تواند دشوارتر باشد، زیرا از پورت ها اغلب برای اتصال لوازم جانبی، دستگاه های I / O و غیره استفاده می شود.

    رمزگذاری نقش ویژه ای در جلوگیری از نشت از طریق پورت های محلی، درایوهای موبایل و دستگاه ها دارد. استفاده از ابزارهای رمزگذاری بسیار آسان است، استفاده از آنها می تواند برای کاربر شفاف باشد. اما در عین حال، رمزگذاری به شما این امکان را می دهد که کل دسته از نشت های مرتبط با دسترسی غیرمجاز به اطلاعات و از دست دادن درایوهای تلفن همراه را حذف کنید.

    وضعیت کنترل عوامل محلی به طور کلی بدتر از کانال های شبکه است (جدول 4 را ببینید). فقط دستگاه های USB و چاپگرهای محلی با موفقیت توسط همه محصولات کنترل می شوند. همچنین، علیرغم اهمیت رمزگذاری که در بالا ذکر شد، چنین امکانی فقط در محصولات خاصی وجود دارد و تابع رمزگذاری اجباری مبتنی بر تحلیل محتوا فقط در Zecurion DLP وجود دارد.

    برای جلوگیری از نشت، نه تنها تشخیص داده های حساس در حین انتقال، بلکه محدود کردن توزیع اطلاعات در یک محیط شرکت نیز مهم است. برای انجام این کار، سازندگان ابزارهایی را در سیستم های DLP قرار می دهند که می توانند اطلاعات ذخیره شده در سرورها و ایستگاه های کاری در شبکه را شناسایی و طبقه بندی کنند (جدول 5 را ببینید). داده‌هایی که خط‌مشی‌های امنیت اطلاعات را نقض می‌کنند باید حذف یا به ذخیره‌سازی امن منتقل شوند.

    برای شناسایی اطلاعات محرمانه در گره های شبکه شرکتی، از فناوری های مشابهی برای کنترل نشت ها از طریق کانال های الکترونیکی استفاده می شود. تفاوت اصلی در معماری است. اگر نشتی برای جلوگیری از نشتی آنالیز شود ترافیک شبکهیا عملیات فایل، سپس برای شناسایی کپی های غیرمجاز داده های محرمانه، اطلاعات ذخیره شده مورد بررسی قرار می گیرد - محتویات ایستگاه های کاری و سرورهای شبکه.

    از میان سیستم‌های DLP در نظر گرفته شده، تنها InfoWatch و Dozor-Jet استفاده از ابزار برای شناسایی مکان‌های ذخیره‌سازی اطلاعات را نادیده می‌گیرند. این یک ویژگی حیاتی برای جلوگیری از نشت الکترونیکی نیست، اما توانایی سیستم های DLP را برای جلوگیری فعالانه از نشت بسیار محدود می کند. به عنوان مثال، هنگامی که یک سند محرمانه در یک شبکه شرکتی قرار دارد، این یک نشت اطلاعات نیست. با این حال، اگر مکان این سند تنظیم نشده باشد، اگر صاحبان اطلاعات و افسران امنیتی از محل این سند اطلاعی نداشته باشند، می تواند منجر به نشت شود. در دسترس دسترسی غیرمجازقوانین امنیتی مناسب برای اطلاعات یا سند اعمال نخواهد شد.

    سهولت مدیریت

    ویژگی هایی مانند سهولت استفاده و کنترل می تواند به اندازه قابلیت های فنی راه حل ها مهم باشد. از این گذشته ، اجرای یک محصول واقعاً پیچیده دشوار خواهد بود ، این پروژه به زمان ، تلاش و بر این اساس بودجه بیشتری نیاز دارد. یک سیستم DLP که قبلاً اجرا شده است نیاز به توجه متخصصان فنی دارد. بدون نگهداری مناسب، ممیزی منظم و تنظیم تنظیمات، کیفیت تشخیص اطلاعات محرمانه به طور قابل توجهی در طول زمان کاهش می یابد.

    رابط کنترل به زبان مادری افسر امنیتی اولین قدم برای ساده کردن کار با سیستم DLP است. این نه تنها درک اینکه این یا آن تنظیمات مسئول چه چیزی است را آسان تر می کند، بلکه به طور قابل توجهی روند پیکربندی را سرعت می بخشد. تعداد زیادیپارامترهایی که برای عملکرد صحیح سیستم باید پیکربندی شوند. انگلیسی می تواند حتی برای مدیران روسی زبان برای تفسیر روشن مفاهیم فنی خاص مفید باشد (جدول 6 را ببینید).

    اکثر راه حل ها کاملاً ارائه می دهند کنترل راحتاز یک کنسول (برای همه اجزا) با یک رابط وب (جدول 7 را ببینید). استثناها عبارتند از InfoWatch روسی (هیچ کنسول واحدی وجود ندارد) و Zecurion (هیچ رابط وب وجود ندارد). در عین حال، هر دو سازنده قبلاً از ظاهر یک کنسول وب در محصولات آینده خود خبر داده اند. عدم وجود یک کنسول واحد در InfoWatch به دلیل پایه تکنولوژیکی متفاوت محصولات است. توسعه راه حل آژانس خود ما برای چندین سال متوقف شد و در حال حاضر امنیت EndPointجانشین یک محصول شخص ثالث، EgoSecure (که قبلا به عنوان cynapspro شناخته می شد)، است که توسط این شرکت در سال 2012 خریداری شد.

    نکته دیگری که می توان به معایب راه حل InfoWatch نسبت داد این است که برای پیکربندی و مدیریت محصول شاخص DLP InfoWatch TrafficMonitor، باید یک زبان برنامه نویسی خاص LUA را بدانید که عملکرد سیستم را پیچیده می کند. با این وجود، برای اکثر متخصصان فنی، چشم انداز بهبود سطح حرفه ای خود و یادگیری یک زبان اضافی، البته نه چندان رایج، باید مثبت تلقی شود.

    جداسازی نقش‌های مدیر سیستم برای به حداقل رساندن خطرات جلوگیری از ظاهر شدن یک ابرکاربر با حقوق نامحدود و سایر ماشین‌کاری‌ها با استفاده از DLP ضروری است.

    ثبت و گزارش

    بایگانی DLP پایگاه داده ای است که رویدادها و اشیاء (فایل ها، حروف، درخواست های http و غیره) را که توسط حسگرهای سیستم در حین کار ثبت شده اند، جمع آوری و ذخیره می کند. اطلاعات جمع آوری شده در پایگاه داده می تواند برای اهداف مختلف، از جمله برای تجزیه و تحلیل اقدامات کاربر، برای ذخیره کپی از اسناد مهم، به عنوان مبنایی برای بررسی حوادث امنیت اطلاعات استفاده شود. علاوه بر این، پایگاه داده همه رویدادها در مرحله اجرای یک سیستم DLP بسیار مفید است، زیرا به تجزیه و تحلیل رفتار اجزای سیستم DLP (به عنوان مثال، برای پیدا کردن دلیل مسدود شدن برخی عملیات) و تنظیم تنظیمات امنیتی کمک می کند. (جدول 8 را ببینید).

    در این مورد، ما شاهد یک تفاوت اساسی معماری بین DLP های روسی و غربی هستیم. این دومی ها اصلا بایگانی نمی کنند. در این حالت، DLP به خودی خود نگهداری آسان‌تر می‌شود (نیازی به نگهداری، ذخیره، پشتیبان‌گیری و مطالعه حجم عظیمی از داده‌ها نیست)، اما به کار نمی‌رود. پس از همه، آرشیو رویدادها به پیکربندی سیستم کمک می کند. بایگانی کمک می کند تا بفهمیم چرا انتقال اطلاعات مسدود شده است، بررسی کنیم که آیا قانون به درستی کار می کند یا خیر، و اصلاحات لازم را در تنظیمات سیستم انجام دهیم. همچنین باید توجه داشت که سیستم های DLP نه تنها نیاز دارند راه اندازی اولیهدر حین اجرا، بلکه در "تنظیم" منظم در حین عملیات. سیستمی که به درستی نگهداری نشود، توسط متخصصان فنی مطرح نشود، کیفیت تشخیص اطلاعات را از دست خواهد داد. در نتیجه، هم تعداد حوادث و هم تعداد موارد مثبت کاذب افزایش می یابد.

    گزارش بخش مهمی از هر فعالیت است. امنیت اطلاعات نیز از این قاعده مستثنی نیست. گزارش ها در سیستم های DLP چندین عملکرد را به طور همزمان انجام می دهند. اولاً، گزارش‌های مختصر و قابل فهم به سران سرویس‌های امنیت اطلاعات اجازه می‌دهد تا به سرعت وضعیت امنیت اطلاعات را بدون پرداختن به جزئیات نظارت کنند. دوم، گزارش های دقیق به افسران امنیتی کمک می کند تا سیاست های امنیتی و تنظیمات سیستم را تنظیم کنند. ثالثاً، گزارش های بصری همیشه می تواند به مدیران ارشد شرکت نشان داده شود تا نتایج سیستم DLP و خود متخصصان امنیت اطلاعات را نشان دهند (جدول 9 را ببینید).

    تقریباً تمام راه حل های رقیب مورد بحث در بررسی، هم گرافیکی، مناسب برای مدیران ارشد و روسای خدمات امنیت اطلاعات و هم گزارش های جدولی را ارائه می دهند که برای متخصصان فنی مناسب تر است. گزارش‌های گرافیکی فقط در DLP InfoWatch وجود ندارند، که برای آن پایین آمدند.

    گواهینامه

    سوال در مورد نیاز به گواهی برای ابزارهای امنیت اطلاعات و DLP به طور خاص باز است و کارشناسان اغلب در مورد این موضوع در جوامع حرفه ای بحث می کنند. با جمع بندی نظرات طرفین، باید اذعان داشت که گواهینامه به خودی خود مزیت رقابتی جدی ایجاد نمی کند. در عین حال، تعدادی از مشتریان، در درجه اول سازمان های دولتی، وجود دارند که وجود یک گواهی خاص برای آنها الزامی است.

    علاوه بر این، رویه صدور گواهینامه موجود با چرخه توسعه ارتباط خوبی ندارد محصولات نرم افزاری. در نتیجه، مصرف کنندگان با یک انتخاب مواجه می شوند: خرید یک نسخه قدیمی، اما گواهی شده از محصول یا یک نسخه به روز، اما تایید نشده. راه استاندارد در این شرایط خرید یک محصول تایید شده "در قفسه" و استفاده از محصول جدید در یک محیط واقعی است (جدول 10 را ببینید).

    نتایج مقایسه

    بیایید برداشت های راه حل های DLP در نظر گرفته شده را خلاصه کنیم. به طور کلی، همه شرکت کنندگان برداشت مطلوبی داشتند و می توان از آنها برای جلوگیری از درز اطلاعات استفاده کرد. تفاوت در محصولات به شما این امکان را می دهد که دامنه کاربرد آنها را مشخص کنید.

    سیستم InfoWatch DLP را می توان به سازمان هایی توصیه کرد که داشتن گواهی FSTEC برای آنها اساساً مهم است. با این حال، آخرین نسخه تایید شده InfoWatch Traffic Monitor در پایان سال 2010 آزمایش شد و گواهینامه در پایان سال 2013 منقضی می شود. راه حل های مبتنی بر عامل مبتنی بر InfoWatch EndPoint Security (همچنین به عنوان EgoSecure شناخته می شود) برای مشاغل کوچک مناسب تر هستند و می توانند جداگانه از Traffic Monitor استفاده شوند. اشتراک گذاری Traffic Monitor و EndPoint Security می‌توانند باعث ایجاد مشکلات مقیاس‌پذیری در شرکت‌های بزرگ شوند.

    محصولات تولید کنندگان غربی (McAfee، Symantec، Websense)، به گفته آژانس های تحلیلی مستقل، بسیار کمتر از روسی محبوب هستند. دلیل آن پایین بودن سطح محلی سازی است. و این حتی پیچیدگی رابط یا فقدان مستندات به زبان روسی نیست. ویژگی‌های فناوری‌های شناسایی اطلاعات محرمانه، الگوهای از پیش پیکربندی شده و قوانین برای استفاده از DLP در کشورهای غربی "تیز" شده‌اند و با هدف برآورده کردن الزامات نظارتی غرب انجام می‌شوند. در نتیجه، کیفیت تشخیص اطلاعات در روسیه به طور قابل توجهی بدتر می شود و رعایت الزامات استانداردهای خارجی اغلب بی ربط است. در عین حال ، خود محصولات اصلاً بد نیستند ، اما بعید است که ویژگی های استفاده از سیستم های DLP در بازار روسیه به آنها اجازه دهد در آینده قابل پیش بینی محبوب تر از پیشرفت های داخلی شوند.

    Zecurion DLP به دلیل مقیاس پذیری خوب (تنها سیستم DLP روسی با اجرای تایید شده برای بیش از 10000 محل کار) و بلوغ تکنولوژیکی بالا قابل توجه است. با این حال، فقدان یک کنسول وب تعجب آور است که به ساده سازی مدیریت کمک می کند راه حل شرکتیهدف قرار دادن بخش های مختلف بازار از جمله نقاط قوت Zecurion DLP عبارتند از: کیفیت بالاشناسایی اطلاعات محرمانه و مجموعه کاملی از محصولات جلوگیری از نشت، از جمله حفاظت در دروازه، ایستگاه های کاری و سرورها، شناسایی مکان های ذخیره سازی اطلاعات و ابزارهای رمزگذاری داده ها.

    سیستم DLP "Dozor-Jet" یکی از پیشگامان بازار داخلی DLP در بین شرکت های روسی گسترده است و به رشد پایگاه مشتریان خود از طریق ارتباطات گسترده ادامه می دهد یکپارچه کننده سیستم Jet Infosystems، توسعه دهنده پاره وقت DLP. اگرچه از نظر فناوری DLP تا حدودی از همتایان قدرتمندتر خود عقب است، استفاده از آن در بسیاری از شرکت ها قابل توجیه است. علاوه بر این، بر خلاف راه حل های خارجی، Dozor Jet به شما اجازه می دهد تا تمام رویدادها و فایل ها را بایگانی کنید.



    توسعه سریع فناوری اطلاعاتاطلاعات جهانی را ترویج می کند شرکت های مدرنو شرکت ها هر روز، حجم اطلاعات منتقل شده از طریق شبکه های شرکتی شرکت های بزرگ و شرکت های کوچک به سرعت در حال افزایش است. بدون شک با رشد جریان های اطلاعاتی، تهدیداتی که می تواند منجر به از دست رفتن اطلاعات شود اطلاعات مهم، تحریف یا سرقت آن. به نظر می رسد که از دست دادن اطلاعات بسیار ساده تر از از دست دادن هر چیز مادی است. برای این، لازم نیست که شخصی اقدامات خاصی را برای تسلط بر داده ها انجام دهد - گاهی اوقات رفتار بی دقتی هنگام کار با سیستم های اطلاعاتی یا کاربران بی تجربه کافی است.

    یک سوال طبیعی مطرح می شود که چگونه از خود محافظت کنید تا عوامل از بین رفتن و نشت اطلاعات مهم برای خود را از بین ببرید. به نظر می رسد که حل این مشکل کاملاً ممکن است و می توان آن را در سطح حرفه ای بالا انجام داد. برای این منظور از سیستم های ویژه DLP استفاده می شود.

    تعریف سیستم های DLP

    DLP سیستمی برای جلوگیری از نشت اطلاعات در محیط اطلاعات است. این ابزار ویژه ای است که مدیران سیستم از آن استفاده می کنند شبکه های شرکتیمی تواند تلاش برای انتقال غیرمجاز اطلاعات را نظارت و مسدود کند. علاوه بر این که چنین سیستمی می تواند از حقایق کسب اطلاعات غیرقانونی جلوگیری کند، همچنین به شما امکان می دهد تا اقدامات همه کاربران شبکه را که با استفاده از شبکه های اجتماعی، چت، ارسال پیام های الکترونیکی و غیره مرتبط هستند، ردیابی کنید. هدف اصلی که سیستم‌های پیشگیری از نشت هدف DLP اطلاعات محرمانه هستند، پشتیبانی و اجرای کلیه الزامات سیاست محرمانگی و امنیت اطلاعات است که در یک سازمان، شرکت، شرکت خاص وجود دارد.

    منطقه برنامه

    کاربرد عملی سیستم‌های DLP برای سازمان‌هایی که نشت داده‌های محرمانه می‌تواند منجر به زیان‌های مالی بزرگ، تأثیر قابل‌توجهی بر شهرت و همچنین از دست دادن پایگاه مشتری و اطلاعات شخصی شود، بسیار مرتبط است. وجود چنین سیستم هایی برای آن دسته از شرکت ها و سازمان هایی که الزامات بالایی را برای "بهداشت اطلاعات" کارکنان خود تعیین می کنند، الزامی است.

    بهترین ابزار برای محافظت از داده هایی مانند اعداد کارت های بانکیمشتریان، آنها حساب های بانکی، اطلاعات در مورد شرایط مناقصه ها، سفارشات برای انجام کارها و خدمات به یک سیستم DLP تبدیل می شود - کارایی اقتصادی چنین راه حل امنیتی کاملاً آشکار است.

    انواع سیستم های DLP

    ابزارهای مورد استفاده برای جلوگیری از نشت اطلاعات را می توان به چند دسته کلیدی تقسیم کرد:

    1. ابزارهای امنیتی استاندارد؛
    2. اقدامات هوشمند حفاظت از داده ها؛
    3. رمزگذاری داده ها و کنترل دسترسی؛
    4. سیستم های امنیتی تخصصی DLP

    مجموعه استاندارد امنیتی که باید توسط هر شرکتی استفاده شود شامل برنامه های ضد ویروس، فایروال های داخلی، سیستم های تشخیص نفوذ است.

    ابزار هوشمند حفاظت از اطلاعات برای استفاده فراهم می کند خدمات ویژهو الگوریتم های مدرن که به شما امکان می دهد دسترسی غیرقانونی به داده ها، استفاده نادرست را محاسبه کنید پست الکترونیکعلاوه بر این، چنین ابزارهای امنیتی مدرن به شما امکان می دهد درخواست های سیستم اطلاعاتی را که از خارج می آیند تجزیه و تحلیل کنید برنامه های مختلفو خدماتی که می توانند نقش نوعی جاسوس را ایفا کنند. ابزارهای امنیتی هوشمند امکان بررسی عمیق‌تر و دقیق‌تر سیستم اطلاعاتی را برای نشت اطلاعات احتمالی به روش‌های مختلف فراهم می‌کنند.

    رمزگذاری اطلاعات حساس و استفاده از دسترسی محدود به داده های خاص گام موثر دیگری در به حداقل رساندن احتمال از دست دادن اطلاعات حساس است.

    یک سیستم تخصصی پیشگیری از نشت اطلاعات DLP یک سیستم پیچیده است چند ابزار، که قادر به تشخیص و جلوگیری از حقایق کپی و انتقال غیر مجاز اطلاعات مهم به خارج از محیط شرکت است. این تصمیمات حقایق دسترسی به اطلاعات را بدون اجازه یا با استفاده از اختیارات افرادی که چنین مجوزی دارند آشکار خواهد کرد.

    سیستم های تخصصی از ابزارهایی مانند:

    • مکانیسم هایی برای تعیین تطابق دقیق داده ها؛
    • مختلف روش های آماریتحلیل و بررسی؛
    • استفاده از تکنیک های عبارات رمزی و کلمات؛
    • اثر انگشت ساختاری و غیره؛

    مقایسه این سیستم ها بر اساس عملکرد

    مقایسه ای از DLP را در نظر بگیرید سیستم های شبکه DLP و Endpoint DLP.

    Network DLP یک راه حل ویژه در سطح سخت افزار یا نرم افزار است که در نقاطی از ساختار شبکه که در نزدیکی "محیط" قرار دارند اعمال می شود. محیط اطلاعاتی". با کمک این مجموعه ابزار، تجزیه و تحلیل کاملی از اطلاعات محرمانه انجام می شود که آنها سعی می کنند با نقض قوانین امنیت اطلاعات تعیین شده، اطلاعات را به خارج از محیط اطلاعات شرکت ارسال کنند.

    Endpoint DLP سیستم های خاصی هستند که در ایستگاه کاری استفاده می شوند کاربر نهاییو همچنین در سیستم های سرور سازمان های کوچک. نقطه پایانی اطلاعات برای این سیستم ها می تواند برای کنترل هر دو طرف داخلی و خارجی "محیط محیط اطلاعات" استفاده شود. این سیستم به شما امکان تجزیه و تحلیل ترافیک اطلاعات را می دهد که از طریق آن داده ها بین کاربران فردی و گروهی از کاربران رد و بدل می شود. حفاظت از سیستم های DLP از این نوع بر بررسی جامع فرآیند تبادل داده متمرکز شده است پیام های الکترونیکی، ارتباطات در شبکه های اجتماعی و سایر فعالیت های اطلاعاتی.

    آیا پیاده سازی این سیستم ها در شرکت ها ضروری است؟

    اجرای سیستم های DLP برای تمامی شرکت هایی که به اطلاعات خود اهمیت می دهند و سعی می کنند تمام تلاش خود را برای جلوگیری از نشت و از بین رفتن آن انجام دهند، الزامی است. وجود چنین ابزارهای امنیتی نوآورانه ای به شرکت ها این امکان را می دهد که از توزیع داده های حساس خارج از محیط اطلاعات شرکت از طریق کلیه کانال های تبادل داده های موجود جلوگیری کنند. با نصب سیستم DLP، شرکت قادر خواهد بود:

    • ارسال پیام با استفاده از ایمیل شرکتی؛
    • استفاده از اتصالات FTP؛
    • اتصالات محلی با استفاده از فناوری های بی سیم مانند WiFi، بلوتوث، GPRS.
    • پیام رسانی فوری با استفاده از کلاینت هایی مانند MSN، ICQ، AOL و غیره؛
    • استفاده از درایوهای خارجی - USB، SSD، CD / DVD و غیره.
    • اسنادی که برای چاپ با استفاده از دستگاه های چاپ شرکتی ارسال می شود.

    برخلاف راه‌حل‌های امنیتی استاندارد، شرکتی که یک DLP Securetower یا سیستم مشابه نصب کرده باشد، می‌تواند:

    • کنترل انواع کانال ها برای تبادل اطلاعات مهم؛
    • تشخیص انتقال اطلاعات محرمانه، صرف نظر از اینکه چگونه و در چه قالبی به خارج از شبکه شرکت منتقل می شود.
    • مسدود کردن نشت اطلاعات در هر زمان؛
    • فرآیند پردازش داده ها را مطابق با خط مشی امنیتی اتخاذ شده توسط شرکت خودکار کنید.

    استفاده از سیستم های DLP توسعه موثر شرکت ها و حفظ اسرار تولید آنها از رقبا و بدخواهان را تضمین می کند.

    اجرا چگونه پیش می رود؟

    برای نصب سیستم DLP در شرکت خود در سال 2017، باید چندین مرحله را طی کنید که پس از آن سازمان دریافت خواهد کرد. حفاظت موثرمحیط اطلاعاتی آن از تهدیدات خارجی و داخلی.

    در مرحله اول پیاده سازی، بررسی محیط اطلاعاتی شرکت انجام می شود که شامل اقدامات زیر است:

    • مطالعه اسناد سازمانی و اداری که تنظیم می کند سیاست اطلاعاتیدر شرکت؛
    • مطالعه منابع اطلاعاتی که توسط شرکت و کارکنان آن استفاده می شود.
    • توافق بر روی فهرستی از اطلاعاتی که ممکن است به عنوان داده با دسترسی محدود طبقه بندی شوند.
    • معاینه روش های موجودو کانال هایی برای انتقال و دریافت داده ها.

    بر اساس نتایج نظرسنجی، وظیفه فنی، که سیاست های امنیتی را که باید با استفاده از سیستم DLP پیاده سازی شوند، شرح می دهد.

    بر گام بعدیلازم است جنبه قانونی استفاده از سیستم های DLP در شرکت تنظیم شود. مهم است که تمام نکات ظریف را حذف کنید تا بعداً هیچ شکایتی از جانب کارمندان از نظر این واقعیت که شرکت آنها را تماشا می کند وجود نداشته باشد.

    پس از انجام تمام تشریفات قانونی، می توانید شروع به انتخاب یک محصول امنیت اطلاعات کنید - به عنوان مثال، می تواند سیستم Infowatch DLP یا هر چیز دیگری با عملکرد مشابه باشد.

    پس از انتخاب سیستم مناسب، می توانید نسبت به نصب و پیکربندی آن اقدام کنید کار مولد. سیستم باید به گونه ای پیکربندی شود که از انجام کلیه وظایف امنیتی مندرج در شرایط مرجع اطمینان حاصل کند.

    نتیجه

    پیاده سازی سیستم های DLP یک کار نسبتاً پیچیده و پر دردسر است که به زمان و منابع زیادی نیاز دارد. اما در نیمه راه متوقف نشوید - مهم است که تمام مراحل را به طور کامل طی کنید و یک سیستم بسیار کارآمد و چند منظوره برای محافظت از اطلاعات محرمانه خود دریافت کنید. از این گذشته، از دست دادن داده ها می تواند به یک شرکت یا شرکت آسیب بزرگی برساند، هم از نظر مالی و هم از نظر تصویر و شهرت آن در محیط مصرف کننده.

    سیستم D LP زمانی استفاده می شود که برای محافظت از داده های محرمانه در برابر تهدیدات داخلی ضروری باشد. و اگر متخصصان امنیت اطلاعات به اندازه کافی تسلط داشته باشند و از ابزارهایی برای محافظت در برابر مزاحمان خارجی استفاده کنند، در این صورت همه چیز با ابزارهای داخلی چندان هموار نیست.

    استفاده از یک سیستم DLP در ساختار امنیت اطلاعات فرض می کند که متخصص امنیت اطلاعات می داند:

    • چگونه کارکنان شرکت می توانند داده های محرمانه را افشا کنند.
    • چه اطلاعاتی باید در برابر تهدید نقض محرمانه محافظت شود.

    دانش جامع به متخصص کمک می کند تا اصول فناوری DLP را بهتر درک کند و حفاظت از نشت را به روش صحیح پیکربندی کند.

    یک سیستم DLP باید بتواند اطلاعات محرمانه و غیرمحرمانه را تشخیص دهد. اگر تمام داده های درون سیستم اطلاعاتی سازمان را تجزیه و تحلیل کنید، مشکل بارگذاری بیش از حد بر منابع و پرسنل فناوری اطلاعات وجود دارد. DLP عمدتاً در ارتباط با یک متخصص مسئول کار می کند، که نه تنها به سیستم "آموزش" می دهد که به درستی کار کند، موارد جدید را معرفی می کند و قوانین نامربوط را حذف می کند، بلکه رویدادهای جاری، مسدود شده یا مشکوک را در سیستم اطلاعاتی نظارت می کند.

    عملکرد یک سیستم DLP حول محور "هسته" ساخته شده است - یک الگوریتم نرم افزاری که مسئول تشخیص و طبقه بندی اطلاعاتی است که باید از نشت محافظت شوند. هسته اصلی اکثر راه حل های DLP دو فناوری است: تجزیه و تحلیل زبانی و فناوری مبتنی بر روش های آماری. همچنین می توان از تکنیک های کمتر رایجی مانند استفاده از برچسب ها یا روش های تجزیه رسمی در هسته استفاده کرد.

    توسعه دهندگان سیستم های جلوگیری از نشت، الگوریتم نرم افزار منحصر به فرد را با عوامل سیستم، مکانیسم های مدیریت حادثه، تجزیه کننده ها، تحلیلگرهای پروتکل، رهگیرها و ابزارهای دیگر تکمیل می کنند.

    سیستم های DLP اولیه بر اساس یک روش در هسته بودند: تحلیل زبانی یا آماری. در عمل، کاستی های دو فناوری با نقاط قوت یکدیگر جبران شد و تکامل DLP منجر به ایجاد سیستم هایی شد که از نظر "هسته" جهانی هستند.

    روش تحلیل زبانیمستقیماً با محتویات فایل و سند کار می کند. این به شما امکان می دهد پارامترهایی مانند نام فایل، وجود یا عدم وجود مهر در سند، چه کسی و چه زمانی سند را ایجاد کرده است را نادیده بگیرید. فن آوری تجزیه و تحلیل زبانی شامل:

    • تجزیه و تحلیل مورفولوژیکی - جستجو برای تمام اشکال کلمه ممکن اطلاعاتی که باید از نشت محافظت شوند.
    • تجزیه و تحلیل معنایی - جستجو برای وقوع اطلاعات مهم (کلیدی) در محتوای یک فایل، تأثیر رخدادها بر ویژگی های کیفی فایل، ارزیابی زمینه استفاده.

    تجزیه و تحلیل زبانی کیفیت بالایی از کار با حجم زیادی از اطلاعات را نشان می دهد. برای متن انبوه، یک سیستم DLP با الگوریتم تجزیه و تحلیل زبانی، کلاس صحیح را با دقت بیشتری انتخاب می کند، آن را به دسته مورد نظر اختصاص می دهد و قانون پیکربندی شده را اجرا می کند. برای اسناد کوچک بهتر است از تکنیک stop words استفاده کنید که در مبارزه با هرزنامه ها خود را به طور موثر ثابت کرده است.

    یادگیری در سیستم‌هایی با الگوریتم تحلیل زبانی اجرا می‌شود سطح بالا. سیستم‌های DLP اولیه با دسته‌بندی و سایر مراحل «یادگیری» مشکل داشتند، اما در سیستم های مدرنالگوریتم‌های خودآموز به خوبی تثبیت شده است: شناسایی علائم دسته‌ها، توانایی تشکیل مستقل و تغییر قوانین پاسخ. برای راه اندازی در سیستم های اطلاعاتیچنین سیستم های نرم افزاری حفاظت از داده ها دیگر نیازی به دخالت زبان شناسان ندارند.

    معایب تجزیه و تحلیل زبانی شامل اتصال به یک زبان خاص است، زمانی که استفاده از یک سیستم DLP با هسته "انگلیسی" برای تجزیه و تحلیل جریان اطلاعات به زبان روسی غیرممکن است و بالعکس. اشکال دیگر مربوط به دشواری طبقه بندی واضح با استفاده از رویکرد احتمالی است که دقت پاسخ را در 95% نگه می دارد، در حالی که نشت هر مقدار اطلاعات محرمانه می تواند برای یک شرکت حیاتی باشد.

    روش های آماری تجزیه و تحلیل، برعکس، دقت نزدیک به 100٪ را نشان می دهد. نقطه ضعف هسته آماری مربوط به الگوریتم خود تجزیه و تحلیل است.

    در مرحله اول، سند (متن) به قطعات با اندازه قابل قبول تقسیم می شود (نه کاراکتر به کاراکتر، اما به اندازه کافی برای اطمینان از صحت عملکرد). یک هش از قطعات حذف می شود (در سیستم های DLP به عنوان عبارت Digital Fingerprint یافت می شود). سپس هش با هش قطعه مرجع گرفته شده از سند مقایسه می شود. در صورت وجود تطابق، سیستم سند را به عنوان محرمانه علامت گذاری می کند و مطابق با سیاست های امنیتی عمل می کند.

    عیب روش آماری این است که الگوریتم به تنهایی قادر به یادگیری، دسته بندی و تایپ نیست. در نتیجه، به صلاحیت یک متخصص و احتمال تنظیم هش با چنین اندازه ای بستگی دارد که تجزیه و تحلیل تعداد بیش از حد مثبت کاذب را ارائه دهد. اگر توصیه‌های توسعه‌دهنده را برای راه‌اندازی سیستم دنبال کنید، از بین بردن این مضرات دشوار نیست.

    یکی دیگر از اشکالات مربوط به تشکیل هش است. در سیستم‌های فناوری اطلاعات پیشرفته که مقادیر زیادی داده تولید می‌کنند، پایگاه‌داده اثر انگشت می‌تواند به اندازه‌ای برسد که بررسی ترافیک برای مطابقت با استاندارد، کل سیستم اطلاعاتی را به طور جدی کند کند.

    مزیت راه حل ها این است که اثربخشی تحلیل آماریبه زبان و وجود اطلاعات غیر متنی در سند بستگی ندارد. هش به همان اندازه از عبارت انگلیسی، از تصویر، و از قطعه ویدیو حذف می شود.

    روش‌های زبانی و آماری برای تشخیص داده‌هایی با فرمت خاص برای هر سندی مانند شماره حساب یا پاسپورت مناسب نیستند. برای شناسایی چنین ساختارهای معمولی در آرایه اطلاعات، فن آوری های رسمی تجزیه و تحلیل ساختار به هسته سیستم DLP معرفی می شود.

    یک راه حل DLP با کیفیت بالا از تمام ابزارهای تحلیلی استفاده می کند که به طور متوالی کار می کنند و یکدیگر را تکمیل می کنند.

    شما می توانید تعیین کنید که کدام فناوری در هسته وجود دارد.

    به همان اندازه که عملکرد هسته مهم است، سطوح کنترلی است که سیستم DLP در آن کار می کند. دو تا از آنها موجود است:

    توسعه دهندگان محصولات مدرن DLP اجرای جداگانه حفاظت از لایه را کنار گذاشته اند، زیرا هم دستگاه های پایانی و هم شبکه باید از نشت محافظت شوند.

    کنترل سطح شبکهباید بیشترین پوشش ممکن را ارائه دهد پروتکل های شبکهو خدمات ما نه تنها در مورد کانال های "سنتی" (، FTP،)، بلکه در مورد سیستم های تبادل شبکه جدیدتر (پیام رسان های فوری،) صحبت می کنیم. متاسفانه کنترل ترافیک رمزگذاری شده در سطح شبکه غیرممکن است، اما این مشکل در سیستم های DLP در سطح میزبان حل شده است.

    کنترل سطح میزبانبه شما اجازه می دهد تا وظایف نظارت و تجزیه و تحلیل بیشتری را حل کنید. در واقع سرویس امنیت اطلاعات ابزاری برای کنترل کامل بر اعمال کاربر در ایستگاه کاری دریافت می کند. DLP با معماری میزبان به شما این امکان را می دهد که چه چیزی، چه اسنادی، چه چیزی روی صفحه کلید تایپ می شود، مطالب صوتی را ضبط کنید و انجام دهید. ترافیک رمزگذاری شده در سطح ایستگاه کاری پایانی رهگیری می شود () و داده هایی که در حال حاضر در حال پردازش هستند و مدت زمان طولانیروی رایانه شخصی کاربر ذخیره می شود.

    علاوه بر حل وظایف رایج، سیستم های DLP با کنترل در سطح میزبان اقدامات اضافی را برای اطمینان از امنیت اطلاعات ارائه می دهند: کنترل نصب و اصلاح نرم افزار، مسدود کردن پورت های I/O و غیره.

    معایب پیاده‌سازی میزبان این است که مدیریت سیستم‌هایی با مجموعه گسترده‌ای از توابع دشوارتر است، آنها برای منابع خود ایستگاه کاری بیشتر نیاز دارند. سرور کنترل مرتباً ماژول "عامل" را در دستگاه پایانی فراخوانی می کند تا در دسترس بودن و مرتبط بودن تنظیمات را بررسی کند. علاوه بر این، بخشی از منابع ایستگاه کاری کاربر به ناچار توسط ماژول DLP "خورده" خواهد شد. بنابراین، حتی در مرحله انتخاب راه حل برای جلوگیری از نشتی، توجه به نیازهای سخت افزاری مهم است.

    اصل جداسازی فناوری ها در سیستم های DLP مربوط به گذشته است. نوین راه حل های نرم افزاریبرای جلوگیری از نشت از روش هایی استفاده می شود که کاستی های یکدیگر را جبران می کند. به لطف یک رویکرد یکپارچه، داده های محرمانه در محدوده امنیت اطلاعات در برابر تهدیدات مقاوم تر می شوند.

    بیشتر بخوانید: