2020-04-12
1013
В рамках данных работ проводится развертывание серверных и клиентских компонентов DLP-системы в полном объеме.
Проводятся следующие работы:
● подключение серверного оборудования DLP-системы к сети электропитания объекта;
● подключение серверного оборудования DLP-системы к сетевой инфраструктуре объекта; Установка и настройка серверной части DLP-системы;
● настройка взаимодействия компонент DLP-системы;
● настройка интеграции со SPAN-портом коммутатора;
● настройка интеграции с почтовым сервером;
● настройка интеграции с прокси-сервером;
● настройка интеграции с Active Directory;
● настройка БКФ;
● настройка правил и политик системы.
Установка клиентских компонентов на АРМ.
Установка модуля для контроля информации в общедоступных сетевых хранилищах.
Принцип работы DLP-системы
DLP-система должна быть способна различить конфиденциальную информацию от неконфиденциальной. Если анализировать все данные в ИС организации, возникнет проблема лишней нагрузки систему и сотрудников. В основном, с DLP-системой работает специалист, который обучает систему работать без ошибок, вносит новые и удаляет неактуальные правила, проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.
|
|
|
Функциональность DLP-системы строится вокруг «ядра» – программного алгоритма, который отвечает за обнаружение информации, которой требуется защита. В ядре большинства DLP-системе есть две технологии: лингвистический анализ и статистический метод анализа. Также встречаются менее популярные технологии, такие как применение меток или формальные методы анализа.
На раннем этапе развития DLP-системы основывались только на одном методе: лингвистическом или статистическом анализе. На практике недостатки каждого из методов восполнялись сильными сторонами друг друга, что привело к созданию универсальных DLP-систем.
Лингвистический метод анализа работает с содержанием файла. Таким образом, система не смотрит на такие параметры, как имя файла, гриф документа, автор документа. Технология лингвистической аналитики включает:
● морфологический анализ – поиск информации, которую нужно защитить, во всех ее словоформах;
● семантический анализ – поиск вхождений важной информации в файле и контекст её использования.
Лингвистический анализ демонстрирует высокое качество работы с большим объемом информации. Для большого текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, определит степень защищенности информации и выполнит определенные действия, если информация окажется конфиденциальной. Если файл небольшого объема, лучше выбрать метод стоп-слов, который показывает отличные результаты в борьбе со спамом.
|
|
|
У DLP-систем с лингвистическим алгоритмом анализа отличная обучаемость. На ранних этапах развития таких систем были трудности с заданием категорий и многими другими шагами «обучения», однако в настоящий момент таких проблем, и в системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования.
Также у лингвистического анализа есть и минусы. Первый - это работа только с одним языком, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных документов и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.
Статистические методы анализа показывают почти стопроцентную точность. Недостаток статистического анализа связан с алгоритмом самого анализа.
На первом этапе документ делится на части определенной величины. С частей текста снимается хеш. После снятый хеш сравнивается с хешем эталонного фрагмента, взятого из документа. если хеш совпал, система определяет документ как конфиденциальный и действует в соответствии с политиками безопасности.
Преимущество статистического метода - это работа с несколькими языками. Хеш отлично снимается и с документов на английском языке, и на русском.
Недостаток статистического метода - это невозможность самостоятельно обучаться, формировать категории и типизировать. Из этого следует, что точность работы зависит от специалиста, который настраивал систему.
С формированием хешей связан еще один минус. В IT-системах, которые генерирующих большие объемы данных, база хешей может достигать такого размера, что проверка всех хешей документа, заставит всю информационную систему работать медленно.
Лингвистические и статистические методы не подходят для обнаружения данных, как например, номер паспорта или номер банковской карты. Для выявления в таких данных в ядро DLP-системы внедряют технологии анализа формальных структур.
В качественных системах используются все средства анализа, которые работают последовательно, дополняя друг друга.
Обзор и сравнение современных DLP-систем
Инфовотч
Лаборатория Касперского расторгла все контракты с этой компанией в 2003 году. По данным за 2012 год, компания InfoWatch вышла на третье лидирующее место на DLP рынке. InfoWatch располагает обширным пакетом DLP систем для своих клиентов. В числе клиентов и частные лица и государственные компании. Самым востребованным на рынке решений остается InfoWatch TrafficMonitor. Из жирных плюсов можно отметить: продвинутый функционал, новые и запатентованные системы анализа трафика, аналитика гибридного типа, работа на множестве языков, актуальный иполный справочник интернет адресов, масштабируемость, множество необходимых предустановленных функций и политик для различных отраслей. Особые характеристики решений InfoWatchимеют: единую консоль для управления, контролирование персонала, контролирование всех подозреваемых, и простой для понимания интерфейс, Разработка безопасности без применения булевойалгебры, разработка ролей всех членов группы (представитель безопасности, глава компании, HR представитель и прочие). В числе минусов: не ведется контроль над лицами на терминалах, необходим большой объем памяти под InfoWatch Traffic Monitor для среднего бизнеса, цена выше чем у конкурентов.
|
|
|
Зекурион
SecureIT - это компания из России, которая появилась в 2001 году, а в 2012 ее переименовали в Zecurion. Изначально сфера деятельности касалась лишь разработки инструментов, а так же защитыданных от хакерского взлома. Далее сфера деятельности расширилась до продуктовой линейки для информационной безопасности. Эта DLP система подарила нам: Zgate, Zlock и Zdiscovery. Все трисистемы поставляются по отдельности и в любом из сочетаний. Главные из плюсов: современный принципы работы, модульность, база с интернет адресами, продвинутые технологии для аналитикитрафика, аналитические инструменты гибридного типа, система отчетности по гибкой системе. Некоторые из минусов: не оптимизированный интерфейс и средства для анализа проходящих пошлюзам данных, шаткая интеграция связи модулей между собой.
Symantec
Symantec - это мировой лидер среди поставщиков DLP систем, который уже давно достиг корпоративных размеров. Такое развитие стало возможным благодаря приобретению Vontu в 2007 году. Этобыла крупная компания, которая производила DLP инструменты. В 2008 году Symantec DLP вывели и на рынок России. Еще в 2010 году, Symantec стала первой из зарубежных поставщиков DLP, атак же локализовала производимые инструменты в нашей стране. Главное преимущество это ее высоко классный функционал: функционал работает с высокими скоростями, для аналитики имеетсямножество разных инструментов, можно блокировать каналы при выявлении утечек, актуальный справочник интернет сайтов, функции для масштабирования, продвинутый функционал для оценкипроисходящего на всех терминалах, большой международный опыт продвижения и интеграции с остальными системами от Symantec. К минусам технологий можно отнести не малую стоимость инедостачу функций контроля для самых последних IM протоколов.
Фалконгейз
Эту компанию основали в России, в 2007 году, для разработки систем безопасности данных. Главные плюсы и современный подход в Falcongaze SecureTower: легкая установка и настройка системы, приятный интерфейс, контролирование огромного числа каналов для пропуска данных, современные средства для аналитики данных, можно мониторить все действия персонала на рабочихстанциях (даже просматривать скриншоты рабочих столов), графический анализатор взаимосвязей сотрудников, масштабируемость, скоростной поиск по полученным системой перехвата данным, оптимизированная система отчетов по разным критериям. Минусы системы: нет функций для работы в разрыве на уровне шлюза, минимальные функции блокировки для передачи скрытойинформации (в числе протоколов SMTP, HTTP и HTTPS), нет системы для поиска информации по сети всей компании.
|
|
|
Итеранет
Это системный интегратор, который основали в России в 1999-ом году, а к 2013 году ее переформировали в холдинг. Лидирующим из наиважнейших стремлений компании остается разработкасистем безопасности данных. Одним из проектов компании DLP систем, является Business Guardian. Плюсы функционала: обработка данных производится на высокой скорости, модульный подход, региональная масштабируемость, аналитические данные морфологического типа с использованием 9 языков, работает с широким перечнем протоколов для туннелей с данными. Некоторые изминусов: минимальные показатели для блокировки при отправке конфиденциальной информации (работает только с плагинами MS Exchange, MS ISA/TMG и Squid), маленькая система для сетевыхпротоколов для шифрованных данных.
СёрчИнформ
Компанию основали в России, в 1995 году. Ее функции были просты, вы могли хранить или искать информацию. Далее компания стала развивать функции для систем безопасности данных. Так ипоявилось DLP решение, которое потом назвали «Контур информационной безопасности». Главные плюсы этого проекта: обширные возможности для перехвата данных и их аналитики со всехработающих терминалов, контролирование рабочих временных отрезков сотрудников, модульность, территориальная масштабируемость, современные инструменты для поиска, быстрая обработказапросов для поиска, графическая связи между персоналом, личная и запатентованная система поиска под названием «Поиск похожих», имеется обучающее заведение для развития навыкованалитиков и технического персонала компании. Некоторые из плюсов: маленькие возможности сокрытия конфиденциальной информации при ее передаче, нет общей консоли для управления.
DeviceLock
Компания появилась в России, в 1996 году. Она специализировалась на продвижении DLP возможностей и EDPC функционала. Но производить DLP системы она начала лишь в 2011 году. Компанияприбавила к популярной системе из категории EDPC, продукт DeviceLock. Эта технология занимается контролированием оборудования и шлюзов на терминалах с Windows. Функции позволяютконтролировать сетевые каналы и предоставляют технологии для анализа контента, а так же фильтрации. В наши дни, DeviceLock DLP имеет все возможности для обнаружения утечек информации(DiM, DiU, DaR). Главные плюсы: гибкая архитектурная система и по модульное лицензирование, легкая установка всех компонентов и простое управление DLP политиками, в т.ч. при помощигрупповых политик AD, оригинальные запатентованные системы для осуществления контроля гаджетов мобильного типа, работа с виртуализированой средой, имеются агенты для работы с Windowsи Mac OS, полный контроль мобильных членов команды вне сетей компании, модуль резидентного типа OCR (применяемый, в том числе и для сканирования хранилищ с данными). Главные минусы: нет агента DLP для системы Linux, система агентов для Mac ПК и их ОС, реализуется лишь контекстными возможностями контроля.
Сравнение DLP-систем представлена в Таблице 1.
Таблица 1 - Сравнение DLP-систем
| Zecurion | InfoWatch | Symantec | SearchInform | FalconGaze | |
| Название системы | ZGate | TrafficMonitor | DataLossPrevention | Контур безопасности | cureTower |
| Модульность системы | Да | Нет | Нет | Да | Нет |
| Места установки | На сервер+ZLock на клиентские ПК | Сервер, клиент | Сервер, клиент | Сервер, клиент | Сервер, клиент |
| Наличие сертификатов и лицензий | ФСТЭК НДВ 3 и ОУД4 | ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 и ИСПДн 2 |
| Лицензирование | Почтовые ящики, рабочие места | Каналы перехвата, технологии анализа | n/a | Сервер, mail, IM, Skype, Print, device, HTTP, FTP | Рабочее место |
| Роли | Любое количество | Несколько | Любое количество | Любое количество | Администратор системы, офицер безопасности |
| Контроль IM | Да | Да | Да | Да | Да |
| Контроль HTTP/HTTPS, FTP | Да | Да | Да | Да | Да |
| Контроль Skype | Текст | Текст | Нет | Да | Да |
| Контроль E-mail | Да | Да | Да | Да | Да |
| Социальные сети и блоги | Да | Да | Да | Да | Да |
| Контроль подключаемых внешних устройств | При покупке Zlock | Да | Да | Да | Нет |
| Контроль портов | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB, LPT | USB, LPT |
| Блокируемые протоколы | HTTP, HTTPS, SMTP, OSCAR | HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S | SMTP, HTTP, HTTPS FTP, Yahoo Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro | SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber | HTTP, HTTPS, FTP, FTTPS, Вся почта и IM |
| Анализ по словарю | Да | Да | Да | Да | Да |
| Лингвистический анализ | Да | Да+БКФ | Нет | да | Да |
| Анализ транслита | Да | Да | Нет | n/a | n/a |
| Анализ архивов | Да | Да | Да | Да | Да |
| Анализ рисунков | Да | Да | Да | Да | Нет |
| Предустановленные шаблоны фильтрации | Да | Да | Да | Да | Да |
| Задержка отправки подозрительных сообщений | Да, ОБ принимает решение | Да, ОБ принимает решение | Да, пользователь объясняет причину отправки, инцидент фиксируется | n/a | Нет, только информирование офицера ИБ |
| Логирование действий администраторов системы | Да | Да | Да | n/a | В случае утановки агента на РМ администратора |
| Режим установки агентов | Открытый | n/a | n/a | n/a | Тайный/Открытый |
| Защита агентов от выключения | Да | Да | Да | Да | Да |
| Запись отчетов в локальное хранилище в случае недоступности сервера | Да | Да | Да | Да | Да |
| Просмотр истории инцедентов | Да | Да | Да | Да | Да |
| Режимы оповещений | Консоль, почта, графики | Консоль, почта | Консоль, почта, графики | Консоль, почта, графики | Консоль, почта, графики |
| Возможность тестирования продукта на серверах разработчика | нет | нет | Да | нет | на сервере дистрибьютора |
| Возможность получения демо-версии для тестирования внутри организации | ± | ± | нет | ± | Да, 1 месяц |
| Цена для компании 250 ПК | 2 500 000р. | n/a | n/a | 3 300 000- 5 400 000 р. | 1 500 000р. |
