Systém DLP. Přehled DLP systémů na světě a ruský trh

V současné době můžete často slyšet o takové technologii jako systém DLP. Co je to a kde se používá? Tento software určený k zabránění ztráty dat detekcí možných poruch při odesílání a jejich filtrování. Takové služby monitoru služeb, detekovat a blokovat, když je používán, pohyb (síťový provoz), stejně jako ukládání.

Prostorem úniku důvěrných údajů dochází v důsledku práce s nezkušené uživateli nebo je výsledkem škodlivých akcí. Tyto informace ve formě soukromých nebo korporačních informací, duševního vlastnictví (IP) objektů, finančních nebo lékařských informací, informací o kreditní kartě a podobně potřebných rozšířených ochranných opatření, které mohou nabídnout moderní informační technologie.

Pojmy "ztráta dat" a "únik údajů" se vztahují k sobě a jsou často používány jako synonyma, i když jsou poněkud odlišné. Případy ztrátových informací proměňují jeho únik, když zdroj obsahující důvěrné informace zmizí a následně se ukazuje na neoprávněnou stranu. Nicméně únik údajů je možné bez ztráty.

Kategorie DLP.

Technologické prostředky používané k boji proti úniku dat lze rozdělit do následujících kategorií: standardní bezpečnostní opatření, inteligentní (pokročilá) opatření, řízení přístupu a šifrování, stejně jako specializované systémy DLP (to, co je podrobně popsáno níže).

Standardní opatření

Standardní bezpečnostní opatření, jako jsou systémy detekce narušení (IDS) a antivirový software jsou obvyklé dostupné mechanismy, které chrání počítače z outsidera, stejně jako zasvěcené útoky. Například připojení brány firewall eliminuje přístup k vnitřní síti neoprávněných osob a detekční systém narušení detekuje pokusy o pronikání. Interní útoky lze zabránit kontrolou antivirů, které zjistí instalaci na počítačích, které odesílají důvěrné informace, jakož i prostřednictvím služeb, které pracují v architektuře klient-server bez osobních nebo důvěrných dat uložených v počítači.

Další bezpečnostní opatření

Další bezpečnostní opatření využívají vysoce specializované služby a dočasné algoritmy pro detekci abnormálního přístupu k datům (tj. Databázím nebo informacím a vyhledávačům) nebo abnormální výměnu e-mailů. Takové moderní informační technologie identifikují programy a dotazy přicházející se škodlivými záměry a provádějí hluboké kontroly počítačových systémů (například klávesy nebo zvuky reproduktoru). Některé takové služby jsou schopny dokonce monitorovat aktivitu uživatele k detekci neobvyklého přístupu k datům.

Speciálně navržené DLP systémy - co je to?

Vyvinuté pro ochranu řešení DLP se používají k detekci a zabránění neoprávněným pokusům o kopírování nebo přenos důvěrných dat (úmyslně nebo neúmyslně) bez povolení nebo přístupu, zpravidla uživatelé, kteří mají přístup k důvěrným údajům.

Aby bylo možné klasifikovat určité informace a upravit přístup k němu, tyto systémy používají mechanismy, jako jsou přesné dodržování dat, strukturované dactyloskopy, přijímací pravidla a regulární výrazy, publikační kódové fráze, koncepční definice a klíčová slova. Typy a porovnání systémů DLP mohou být reprezentovány následovně.

Síťová DLP (také známá jako analýza dat v pohybu nebo DIM)

Jedná se o řešení hardwarového řešení nebo softwaru, který je instalován v bodech sítě vycházející z obvodu. Analyzuje síťový provoz pro detekci důvěrných dat odeslaných v narušení

Endpoint DLP (data při použití )

Tyto systémy fungují na pracovních stanicích koncových uživatelů nebo serverů v různých organizacích.

Stejně jako v jiných síťových systémech může být koncový bod označen jak interní, tak vnějších dluhopisů, a proto mohou být použity pro řízení toku informací mezi typy nebo skupinami uživatelů (například "brány firewall"). Jsou také schopni monitorovat e-maily a instant messaging. To se děje následujícím způsobem - před stažením zpráv do zařízení jsou kontrolovány službou a když je v nich ponechán nepříznivý požadavek, jsou blokovány. Výsledkem je, že se stávají nezaplacenými a nespadají do pravidel úložiště dat na zařízení.

Systém DLP (technologie) má tu výhodu, že může sledovat a spravovat přístup k zařízením pro fyzické typy (například mobilní zařízení s možností ukládání dat), stejně jako někdy přístup k informacím před jeho šifrováním.

Některý systém založený na koncových bodech může také poskytovat kontrolu aplikací pro blokování důvěrného přenosu informací, stejně jako poskytnout okamžitou zpětnou vazbu uživatele. Současně mají nevýhodu, že musí být instalovány na každé pracovní stanici v síti, a nelze jej použít na mobilních zařízeních (například na mobilních telefonech a PDA) nebo kde nelze prakticky nainstalovat (například na pracovní stanice v internetové kavárně). Tato okolnost je třeba zvážit systémem DLP systému pro jakýkoli účel.

Identifikace dat

Systém DLP obsahuje několik metod zaměřených na identifikaci tajných nebo důvěrných informací. Někdy je tento proces zaměňován s dekódováním. Identifikace údajů je však proces, kterým organizace používají technologii DLP, aby určila, co hledat (v pohybu, v klidu nebo používání).

Data jsou klasifikována jako strukturovaná nebo nestrukturovaná. První typ je uložen v pevných polích uvnitř souboru (například ve formě tabulkových vrstev), zatímco nestrukturovaný odkazuje na bezplatnou formu textu (ve formě textových dokumentů nebo souborů PDF).

Podle odborníků je 80% všech dat nestrukturovaných. V souladu s tím je 20% strukturováno. Na základě informací o analýze obsahu orientovaných informací a kontextové analýzy. To se provádí v místě vytváření aplikace nebo systému, ve kterém vznikly data. Odpověď na otázku "DLP-System - Co je to?" Umožňuje definici algoritmu pro analýzu informací.

Použité metody

Metody popisu důvěrného obsahu k datu jsou četné. Mohou být rozděleny do dvou kategorií: přesné a nepřesné.

Přesné metody jsou ty, které souvisejí s analýzou obsahu a prakticky snižují na nulu falešně pozitivní odpovědi na vyžádání.

Všechny ostatní jsou nepřesné a mohou zahrnovat: Slovníky, klíčová slova, regulární výrazy, rozšířené regulární výrazy, meta-tagy, analýza bayesis, statistická analýza atd.

Účinnost analýzy přímo závisí na jeho přesnosti. Systém DLP, jehož hodnocení je vysoké, má pro tento parametr vysoké indikátory. DLP identifikační přesnost je důležitá pro zamezení falešně pozitivům a negativních důsledků. Přesnost může záviset na mnoha faktorech, z nichž některé mohou být situační nebo technologické. Testování přesnosti může zajistit spolehlivost systému DLP, prakticky nulový počet falešných pozitiv.

Detekce a prevence úniků informací

Někdy zdroj distribuce dat dělá důvěrné informace pro třetí strany. Po chvíli, část je s největší pravděpodobností objevena v neoprávněném místě (například na internetu nebo na notebooku jiného uživatele). DLP systémy, z nichž cena poskytovala vývojáři na vyžádání a může být z několika desítek do několika tisíc rublů, by pak měly vyšetřit, jak údaje unikly - od jednoho nebo více třetích stran, ať už to bylo nezávislé na sobě, udělal únik byly zajištěny jinými prostředky atd.

Data sama

"Data v klidu" se týkají starých archivních informací uložených na některém z pevných disků klientského počítače, na vzdáleném souborovém serveru, na disku, tato definice se odkazuje na data uložená v systému zálohování (na blesku nebo discích CD). Tyto informace mají velký zájem o podniky a vládní agentury jednoduše proto, že velké množství údajů je v paměťových zařízeních obsahováno nepoužité a je pravděpodobnější, že přístup k nim lze získat neoprávněnými osobami mimo síť.

Rychlý vývoj informačních technologií přispívá k celosvětové informaci moderních firem a podniků. Každý den, objem informací předávaných prostřednictvím firemních sítí velkých korporací a malých firem rychle roste. Není pochyb o tom, že s rostoucími informačními toky rostou a hrozbami, které mohou vést ke ztrátě důležitých informací, jeho zkreslení nebo krádeže. Ukazuje se, že informace ztratí mnohem jednodušší než jakákoli věcná věc. Za tímto účelem není nutné, aby někdo provedl speciální akce k zvládnutí dat - někdy existuje dostatek necenění chování při práci s informačními systémy nebo nezkušené uživateli.

Existuje přirozená otázka, jak se chránit, aby se odstranil faktory ztráty a úniku důležité informace. Ukazuje se, že je docela realistické vyřešit tento úkol a udělat to na vysoké profesionální úrovni. Pro tento účel se používají speciální systémy DLP.

Definice systémů DLP

DLP je systém, který zabrání úniku dat v informačním prostředí. Jedná se o speciální nástroj, se kterými správci systému firemních sítí mohou sledovat a blokovat pokusy o neoprávněné přenos informací. Kromě skutečnosti, že takový systém může zabránit skutečnostem nelegálních příjemných informací, také umožňuje sledovat akce všech uživatelů sítě, kteří jsou spojeni s používáním sociálních sítí, komunikace v chatovacích místnostech, odesílání e-mailových zpráv , atd. Hlavním cílem, pro které je prevence úniku zaměřena na DLP důvěrné informace, je podporovat a plnit všechny požadavky zásad ochrany osobních údajů a informační politiky, které existují v konkrétní organizaci, podniku.

Aplikační oblast

Praktická aplikace DLP systémů je nejrelevantnější pro tyto organizace, kde důvěrné únik údajů může znamenat obrovské finanční ztráty, významnou ránu na pověst, stejně jako ztráta zákaznické základny a osobní údaje. Přítomnost těchto systémů je povinná pro ty společnosti a organizace, které stanoví vysoké nároky na "informační hygienu" svých zaměstnanců.

Nejlepším nástrojem pro ochranu těchto dat jako čísla karet zákazníka, jejich bankovní účty, informace o podmínkách nabídkových řízení, objednávky pro práci a služby budou systém DLP - ekonomická efektivita takového bezpečnostního řešení je zcela zřejmé.

Typy systémů DLP

Prostředky používané k zabránění úniku informací lze rozdělit do několika klíčových kategorií:

  1. standardní bezpečnostní nástroje;
  2. inteligentní opatření na ochranu údajů;
  3. Šifrování dat a řízení přístupu;
  4. specializované systémy zabezpečení DLP.

Standardní bezpečnostní sada, která by měla být použita každá společnost zahrnuje antivirové programy, vestavěné brány firewall, systémy pro identifikaci neoprávněných vniknutí.

Inteligentní informace o ochraně informací poskytují pro použití speciálních služeb a moderních algoritmů, které vypočítají non-neurální přístup k datům, nesprávným používání elektronické korespondence atd. Kromě toho, že takové moderní bezpečnostní nástroje umožňují analyzovat požadavky na informační systém Ze strany různých programů a služeb, které mohou hrát roli druhu špionů. Inteligentní ochrana znamená, že vám umožní provádět hlubší a podrobnou kontrolu informačního systému pro případné úniky informací různými způsoby.

Jiným účinným krokem je šifrování důležitých informací a použití omezujícího přístupu ke konkrétním údajům je další účinný krok, který minimalizuje pravděpodobnost ztráty důvěrných informací.

Specializovaný systém prevence úniku DLP úniku je složitý multifunkční nástroj, který je schopen identifikovat a zabránit faktům neoprávněného kopírování a předávání důležitých informací mimo firemní prostředí. Tato řešení umožní identifikovat skutečnosti přístupu k informacím, aniž by měly povolení nebo používat pravomoci osob, které mají takové povolení.

Specializované systémy používají takové nástroje jako:

  • mechanismy pro stanovení přesných dodržování údajů;
  • metody různých statistických analýz;
  • použití kódových frází a slov;
  • strukturovaná daktyloskopie atd.;

Porovnání těchto systémů na funkčnosti

Zvažte porovnání systémové sítě DLP DLP a DLP koncového bodu.

Síť DLP je speciální řešení na hardwaru nebo programové úrovni, která se používá v těchto bodech síťové struktury, které se nacházejí v blízkosti "obvodu informačního prostředí". S tímto souborem nástrojů je přijata důkladná analýza důvěrných informací, která se snaží poslat nad rámec firemního informačního prostředí s porušením zavedených pravidel bezpečnosti informací.

Endpoint DLP je speciální systémy, které se používají na pracovní stanici koncového uživatele, stejně jako na serverových systémech malých organizací. Konečným informačním bodem pro tyto systémy mohou být použity k řízení vnitřního i vnější strany "obvodu informačního prostředí". Systém umožňuje analyzovat informační provoz, kterými jsou data vyměňována jak mezi jednotlivými uživateli, tak skupinami uživatelů. Ochrana DLP tohoto typu systémů je zaměřena na komplexní kontrolu procesu výměny dat, včetně e-mailů, komunikace v sociálních sítích a další informační činnost.

Musím tyto systémy implementovat do podniků?

Provádění systémů DLP je povinné pro všechny společnosti, které oceňují jejich informace a snaží se dělat vše možné, aby se předešlo případům jeho úniku a ztráty. Přítomnost takových inovativních bezpečnostních nástrojů umožní společnostem vyloučit šíření důležitých údajů nad rámec firemního informačního prostředí pro všechny dostupné kanály výměny dat. Po instalaci systému DLP bude společnost schopna kontrolovat:

  • odesílání zpráv pomocí firemního webového mailu;
  • pomocí FTP připojení;
  • místní připojení pomocí bezdrátových technologií, jako jsou WiFi, Bluetooth, GPRS;
  • výměňte okamžité zprávy pomocí zákazníků, jako je MSN, ICQ, AOL atd.;
  • aplikace externích pohonů - USB, SSD, CD / DVD atd.
  • dokumentace, která je odeslána k tisku s použitím firemních tiskových zařízení.

Na rozdíl od standardních bezpečnostních řešení, společnost, která je DLP instalována systémem SecureTower nebo je podobný.

  • kontrolovat všechny typy výměnných kanálů důležitých informací;
  • identifikujte převod důvěrných informací bez ohledu na to, jak je přenášen do firemní sítě, ve které formát;
  • blokovat úniku informací;
  • automatizujte proces zpracování dat v souladu s bezpečnostní politikou přijatou v podniku.

Použití systémů DLP zaručí podniky k efektivnímu rozvoji a udržet své výrobní tajemství od konkurentů a špatných přání.

Jak je úvod?

S cílem vytvořit v podniku v roce 2017, systém DLP by měl předat několik fází, po kterém podnik obdrží účinnou ochranu svého informačního média před vnějšími a vnitřními hrozbami.

V první fázi implementace je zkoumáno environmentální informační prostředí, které zahrnuje následující akce:

  • studium organizační a správní dokumentace, která reguluje informační politiky v podniku;
  • studium informačních zdrojů používaných podniku a jejími zaměstnanci;
  • koordinace seznamu informací, které se mohou týkat kategorie dat s omezeným přístupem;
  • přehled existujících metod a datových kanálů a příjmu dat.

Podle výsledků průzkumu je technický úkol vypracován, který bude popisovat tyto bezpečnostní politiky, které budou muset být realizovány pomocí systému DLP.

V další fázi by měl být regulován právní stránkou používání DLP systémů v podniku. Je důležité vyloučit všechny jemné momenty tak, aby později nebyly soudní spory na straně zaměstnanců, pokud jde o to, co je společnost sleduje.

Po absolvování všech právních formalit můžete přistoupit k výběru produktů zabezpečení informací - to může být například systém DLP systému nebo jakoukoli jinou funkčnost od tohoto druhu.

Po výběru vhodného systému jej můžete spustit s instalací a konfigurací pro produktivní práci. Přizpůsobení systému by měl být nakonfigurován tak, aby zajistil, že všechny zabezpečené úkoly jsou určeny v technickém úkolu.

Závěr

Zavedení systémů DLP je poměrně komplikovaná a pečlivá aktivita, která vyžaduje spoustu času a zdrojů. Není však nutné zastavit na půli cesty - je důležité absolvovat všechny kroky k plně a získat vysoce účinný a multifunkční systém pro ochranu vašich důvěrných informací. Koneckonců, ztráta dat se může proměnit v obrovské poškození podniku nebo společnosti finančně i z hlediska jeho obrazu a pověsti ve spotřebitelském prostředí.

Termín DLP je často dešifrován jako prevence ztrát dat nebo prevence úniku dat - zabránit úniku dat. DLP systémy jsou proto software a software a hardware k řešení problému Prevence úniku dat.

Erontace k úniku informací o technických kanálech lze rozdělit na dvě úkoly: boj proti vnější hrozbě a boj proti vnitřnímu vetřelci.

Cenné firemní údaje, které vaše organizace se snaží chránit brány firewall a hesel, doslova tee přes prsty zasvěcených osob. To se děje oba náhodně, a v důsledku úmyslných akcí - protiprávní kopírování informací z pracovních počítačů na flash disky, smartphony, tabletové počítače a další paměťová média. Data mohou být navíc nekontrolována insidery prostřednictvím e-mailu, služby instant messaging, webových fór a sociálních sítí. Bezdrátová rozhraní - Wi-Fi a Bluetooth spolu s kanály lokální synchronizace dat s mobilními zařízeními, otevřete další způsoby, jak úniky informací z organizace uživatelských počítačů.

Kromě zasvěcených hrozeb je implementován další nebezpečný scénář úniku při výrobě počítačů s malwarem, který může nahrávat text zadaný z klávesnice nebo samostatných typů dat uložených v provozní paměti dat a následně je vysílat na internetu.

Jak systém DLP zabraňuje úniku informací?

Zatímco žádný z výše uvedených chyb zabezpečení není eliminován tradičními mechanismy zabezpečení sítě, ani vestavěné nástroje pro řízení operačního systému DEVICELOCK DLP efektivně zabraňuje úniku informací z firemních počítačů s použitím kompletní sady kontextových řídicích mechanismů pro datové operace, stejně jako technologie jejich filtrace obsahu.

Podpora pro virtuální a terminálové prostředí v systému DEVICCELOCK DLP se významně rozšiřuje možnosti služeb zabezpečení informací při řešení úkolu zabránit úniku informací při používání různých pracovních médií virtualizační řešení vytvořená jak ve formě lokálních virtuálních počítačů a terminálových sezení desktopů nebo Publikované aplikace na hypervisorech.

Shoda s definicí "Full-featured" (nebo plnohodnotné), systém DLP musí splňovat následující hlavní funkční kritéria:

  1. Přítomnost selektivní blokování lokálních datových kanálů a kanálů síťových komunikací.
  2. Vyvinutý subsystém pro monitorování všech kanálů kanálů kanálů ve všech uživatelských scénářech.
  3. Inspektorát obsahu přenesených dat v reálném čase s možností blokování takového pokusu nebo odesílání alarmů.
  4. Detekce dokumentů s kritickým obsahem na různých skladovacích místech.
  5. Alarm upozornění na významné události v reálném čase.
  6. Splnění daných politik je stejně v rámci firemního obvodu (v kanceláři) a mimo něj.
  7. Přítomnost analytického nástroje pro analýzu zabránil pokusy protiprávních jednání a incidentů incidentů.
  8. Ochrana proti úmyslným nebo náhodným akcím uživatele zaměřené na interferaci do systému DLP.

Kontextová kontrola a filtrování obsahu v systému DLP

Efektivní přístup k ochraně před únikem informací z počítačů začíná pomocí kontextových řídicích mechanismů - řízení dat pro konkrétní uživatele v závislosti na datových formátech, typech rozhraní a zařízeních, síťových protokolech, pokynech přenosu, denní doby, času atd.

Nicméně, v mnoha případech je nutná hlubší úroveň kontroly - například kontrola obsahu přenášených dat za přítomnost důvěrných informací za podmínek, kdy by kanály přenosu dat neměly být blokovány, aby nedošlo k porušování výrobních procesů, ale jednotlivec Uživatelé zadávají "rizikovou skupinu", protože jsou podezřelé zapojení do porušování podnikových politik. V takových situacích, kromě kontextuální kontroly, je nutné použít technologie pro analýzu obsahu pro odhalení a zabránění převodu neoprávněných údajů, aniž by se zabránilo výměnu informací v rámci povinností zaměstnanců.

Softwarový balíček DEVICCELOCK DLP používá jak metody kontextové i obsahové analýzy, poskytuje spolehlivou ochranu proti úniku informací z uživatelských počítačů a firemních IP serverů. Devicelock DLP kontextové mechanismy implementují granulární ovládání přístupu uživatelů do širokého rozsahu periferních zařízení a kanálů I / O, včetně síťové komunikace.

Další zlepšení úrovně ochrany je dosaženo použitím metod analýzy obsahu a filtračních dat, což umožňuje zabránit jejich neoprávněným kopírováním do externích pohonů a zásuvných zařízení, stejně jako přenos přes síťové protokoly nad rámec firemní sítě.

Jak spravovat a spravovat systém DLP?

Spolu s metodami aktivní kontroly je účinnost DEVICCELOCK DLP poskytována podrobnými protokolováním uživatelského a správního personálu, stejně jako selektivní stín kopírování přenášených dat pro jejich následnou analýzu, včetně metod fulltextového vyhledávání.

Pro správce zabezpečení informací, DEVICCELOCK DLP nabízí nejvíce racionální a pohodlnější přístup k ovládání systému DLP - pomocí objektů zásad skupiny Microsoft Active Directory Domain Group a integrována do Editoru zásad skupiny Windows Group. V tomto případě se zásady Devicelock DLP automaticky platí pro adresář jako integrální součást své zásady skupiny na všech doménových počítačích, stejně jako virtuální prostředí. Takové řešení umožňuje informace o bezpečnosti informací centrálně a okamžitě spravovat zásady DLP napříč organizací a jejich provádění distribuovaných agentů Devicelock poskytuje přesné dodržování podnikových funkcí uživatelů a jejich práv k převodu a ukládání informací o pracovních počítačích.

Abychom byli v definici dostatečně konzistentní, lze říci, že bezpečnost informací začalo přesně s výskytem systémů DLP. Před tím, všechny produkty, které se zabývaly "zabezpečením informací", které byly skutečně chráněny informace, ale infrastruktura - úložiště, přenos a zpracování dat. Počítač, aplikace nebo kanál, ve kterém jsou zpracovány nebo přenášené důvěrné informace, chráněny těmito produkty stejně jako infrastruktura, ve které jsou nakresleny zcela neškodné informace. To znamená, že je to s příchodem produktů DLP, které informační systémy se naučily konečně rozlišovat důvěrné informace z nedůvěrných. Snad s vložením technologií DLP na informační infrastrukturu společnosti bude schopno značně ušetřit na ochranu informací - například používat šifrování pouze v případech, kdy jsou důvěrné informace uloženy nebo přenášeny, a nejsou šifrovat informace v jiných případech.

To je však případ budoucnosti a v těchto datových technologiích se používá především k ochraně informací z úniků. Informace o kategorizaci informací jsou jádro DLP systémů. Každý výrobce považuje své metody pro detekci důvěrných informací unikátní, chrání je patenty a přichází se speciálními ochrannými známkami pro ně. Koneckonců, zbytek, jiné než tyto technologie, prvky architektury (protokol Interceptors, formátové parsery, správa incidentů a datových skladů) ve většině výrobců jsou totožní a velké společnosti jsou dokonce integrovány s dalšími produkty bezpečnosti informační infrastruktury. Pro kategorizaci dat v produktech pro ochranu podnikových informací z úniků, dvě hlavní skupiny technologií jsou používány - lingvistické (morfologické, sémantické) analýzy a statistické metody (digitální otisky prstů, dokumenty DNA, Antiplagiat). Každá technologie má své silné a slabé stránky, které určují rozsah jejich aplikace.

Lingvistická analýza

Použití stop Stop ("Secret", "Důvěrné" a podobně), aby blokovaly odchozí e-maily na poštovních serverech, lze považovat za progenitor moderních DLP. Samozřejmě to nechrání před útočníky - odstranit stop-slovo, nejčastěji oddělený sup dokumentu, není obtížné a význam textu se vůbec nezmění.

Podnětem ve vývoji lingvistických technologií byl proveden na začátku tohoto století tvůrci e-mailových filtrů. Především pro ochranu e-mailu před spamem. To nyní v Anti-Spam Technologies převažují reputační metody a na začátku století došlo k reálné jazykové válce mezi projektilem a brnění - spammery a anti-lázně. Pamatujte si nejjednodušší metody podvádění filtrů založených na stopcích stop? Výměna písmen podobných písmen z jiných kódování nebo čísel, přeložit, náhodně rozmístěných mezer, podtržítka nebo přechodů řádků v textu. Antispamemen se docela rychle naučili bojovat takové triky, ale pak se objevil grafický spam a další složité odrůdy nežádoucí korespondence.

Nicméně, není možné použít anti-komorní technologie v produktech DLP bez vážného zlepšení. Koneckonců, k boji proti spamu, stačí rozdělit tok informací do dvou kategorií: spam a ne spam. Metoda Bayes, která se používá při detekci spamu, poskytuje pouze binární výsledek: "Ano" nebo "Ne". Pro ochranu podnikových dat z úniků, to nestačí - není možné jednoduše sdílet informace o důvěrném a nedůvěrném. Musíte být schopni klasifikovat informace o funkčních doplňcích (finanční, výrobní, technologické, komerční, marketingové) a vnitřní třídy - kategorizovat, pokud jde o přístup (pro bezplatnou distribuci, pro omezený přístup, pro oficiální použití, tajné, zcela tajné , a tak dále).

Většina moderních jazykových analýzových systémů používá nejen kontextovou analýzu (to znamená, v jakém kontextu, v kombinaci s tím, co se použije specifický termín), ale také sémantická analýza textu. Tyto technologie fungují účinnější než analyzovaný fragment. Na velkém fragmentu je text přesnější analýza, s větší pravděpodobností je určena kategorie a třída dokumentu. Při analýze krátkých zpráv (SMS, internetové pagery) není nic lepšího než stopová slova, stále nevypádá. Autorem čelil takovému úkolu na podzim roku 2008, kdy z pracovních míst mnoha bank prostřednictvím poslů šel do sítě tisíců těchto zpráv "Snižujeme nás", "vybereme licenci", "odliv vkladatelů" k okamžitému blokování klientů od svých zákazníků.

Výhody technologie

Výhody lingvistických technologií jsou, že pracují přímo s obsahem dokumentů, to znamená, že nezáleží na tom, kde a jak byl dokument vytvořen, jaký sup na něm a jak se soubor nazývá - dokumenty jsou chráněny okamžitě. To je důležité, například při zpracování návrhu důvěrných dokumentů nebo k ochraně příchozí dokumentace. Pokud dokumenty vytvořené a používané v rámci společnosti stále nějakým způsobem mohou být vyvolány, které mají být uvedeny nebo označeny, pak příchozí dokumenty nemusí být přijato v organizaci supů a značek. Chernoviki (Pokud samozřejmě nejsou vytvořeny v chráněném systému řízení dokumentů), mohou také obsahovat důvěrné informace, ale ještě neobsahují potřebné známky a značky.

Další výhodou lingvistických technologií je jejich učení. Pokud jste alespoň jednou v mém životě stiskněte tlačítko "NEPOUŽÍVEJTE SPAM" v poštovním klienta, pak si již představujete klientskou část jazykového vzdělávacího systému. Všiml jsem si, že absolutně nemusíte být absolventem lingvisty a vím, co se změní v databázi kategorií - stačí specifikovat systém falešné spouštění, všechno ostatní to udělá sám.

Třetí důstojnost lingvistických technologií je jejich škálovatelnost. Sazba zpracování informací je úměrná svému množství a naprosto nezávislé na počtu kategorií. Až do nedávné doby, budování hierarchické základny kategorií (historicky nazvaný BKF - základna filtrování obsahu, ale tento název neodráží tento smysl) vypadal jako určitý šamanismus profesionálních lingvistů, takže nastavení BKF by mohlo být bezpečně připsány nevýhodám. Ale s výstupem v roce 2010, několik produktů "autholinguistů" najednou se stala konstrukci primární kategorie základny extrémně jednoduché - systém označuje místa, kde jsou uloženy dokumenty určité kategorie, a určuje jazykové značky této kategorie a s falešnými pozitivy, to také studuje. Takže nyní byla přidána jednoduchost nastavení k výhodám lingvistických technologií.

A další výhoda lingvistických technologií, které by byly uvedeny v článku - schopnost odhalit kategorii v informačních tokech, které nesouvisí s dokumenty v rámci společnosti. Nástroj pro řízení obsahu informačních toků může být stanoven takovými kategoriemi jako protiprávní činnosti (pirátství, šíření zakázaného zboží), využívání infrastruktury společnosti pro své vlastní účely, poškození obrazu společnosti (například šíření Defaming pověsti) a tak dále.

Nevýhody technologie

Hlavní nevýhodou lingvistických technologií je jejich závislost na jazyce. Je nemožné používat lingvistický motor určený pro jeden jazyk, aby se analyzoval druhý. To bylo zvláště patrné při opuštění ruského trhu amerických výrobců - nebyli připraveni čelit ruskému slovu tvorbu a přítomnosti šesti kódování. Nestačilo překládat kategorii a klíčová slova do ruského - v angličtině, formování slov je zcela jednoduché, a případy jsou vyjmuty v předložkách, tedy, pokud se změní případ, záměrem, a ne samotné slovo . Většina substantiv v angličtině se stává slovesem bez změny slova. Atd. V ruštině, všechno není tak - jeden kořen může vést k desítkám slov v různých částech řeči.

V Německu se američtí výrobci lingvistických technologií setkali další problém - tzv. "Sloučeniny", kompozitní slova. V němčině je obvyklé připojit se k definicím hlavního slova, v důsledku, které slova jsou získána, někdy sestávající ze tucet kořenů. Neexistuje žádná taková věc v angličtině, existuje slovo - posloupnost písmen mezi dvěma prostory, resp. Anglický jazykový motor se ukázal, že se nedokáže léčit neznámé dlouhá slova.

V zájmu spravedlnosti by mělo být řečeno, že tyto problémy jsou řešeny v mnoha ohledech amerických výrobců. Musel jsem zcela silně remake (a někdy psát nově) jazykového motoru, ale velké trhy Ruska a Německa je pravděpodobně stojí za to. Je také obtížné léčit lingvistické technologie vícejazyčné texty. Nicméně, se dvěma jazyky, většina motorů se stále vyrovnává, obvykle je to národní jazyk + angličtina - pro většinu obchodních úkolů je to dost. Ačkoli autor našel důvěrné texty obsahující například zároveň kazašský, ruština a angličtina, ale je to spíše výjimka než pravidlo.

Další nevýhodou lingvistických technologií pro kontrolu celého spektra korporátních důvěrných informací je, že ne všechny důvěrné informace jsou ve formě připojených textů. Ačkoli v databázích informacích a uložených v textové podobě, a neexistují žádné problémy s extrahovat text z DBMS, informace přijaté nejčastěji obsahují názvy vlastních - celé jméno, adresy, názvy společností a digitální informace - čísla účtů, Kreditní karty, jejich rozvahy a tak dále. Zpracování takových dat pomocí lingvistiky mnoho výhod nepřináší. Totéž lze říci o formátech CAD / CAM, tj. Výkresy, které často obsahují intelektuální vlastnost, programové kódy a média (video / audio) formáty - některé texty z nich lze odstranit, ale jejich zpracování je také neúčinné. Jednu více před třemi lety se týkalo a naskenovaných textů, ale přední výrobci systémů DLP okamžitě přiděly optické uznání a vyhlášené tímto problémem.

Největší a nejčastěji kritizovaný nedostatek lingvistických technologií je však stále pravděpodobnostní přístup k kategorizaci. Pokud jste někdy přečetli dopis s kategorií "Pravděpodobně spam", pak pochopíte, co jsem. Pokud se jedná o spam, kde jsou pouze dvě kategorie (spam / ne spam), si dokážete představit, že to bude, když existuje několik desítek kategorií a třídy soukromí do systému. Ačkoli 92-95% přesnost lze dosáhnout učením systému, pro většinu uživatelů, to znamená, že každý desetinový nebo dvacátý pohyb informací bude chybně hodnoceno ne do třídy se všemi důsledky (únik nebo přerušení legitimního procesu).

Obvykle není obvyklé odkazovat na nevýhody vývoje technologie, ale nemluvě o tom, že nemůže být. Vývoj vážného lingvistického motoru s kategorizací textů ve více než dvou kategoriích - high-tech a spíše složitý technologicky proces. Aplikovaná lingvistika - rychle rozvíjející věda, která získala silný impuls ve vývoji s distribucí internetového vyhledávání, ale dnes existuje méně kategorizačních motorů na trhu: Pro ruské jazyky jsou jen dva z nich, a pro některé jazyky Prostě se ještě nevyvinuli. Proto na trhu DLP existuje pouze pár společností, které jsou schopny plně kategorizovat informace "na letu". Lze předpokládat, že když se trh DLP zvýší na multi-miliardové rozměry, Google bude na něm snadno uvolněn. S vlastním lingvistickým motorem, testovanými na biliony vyhledávacích dotazů na tisíce kategorií, nebude obtížné okamžitě chytit vážný kus tohoto trhu.

statistické metody

Úkolem počítače vyhledávání významných citací (proč je "významný" - o něco později) lingvisté, kteří se zajímají o 70. let minulého století, ne-li dříve. Text byl rozdělen na kousky určité velikosti, z každého z nich byl zastřelen hash. Pokud se ve dvou textech setkala ve dvou textech, pak se shodovala s vysokou pravděpodobností textů v těchto oblastech.

Podnikatel studia v této oblasti je například "alternativní chronologie" Anatoly Fomenko, respektovaným vědcem, který se zabývá "korelací textů" a jednou porovnal ruské kroniky různých historických období. Překvapující, kolik kroniky různých staletí se shodují (o více než 60%), na konci 70. let předložil teorii, že naše chronologie byla kratší po několik století. Proto, když nějaký druh odchodu na trh, společnost DLP-Company nabízí "revoluční vyhledávací techniku \u200b\u200bpro citace", je možné argumentovat, že nic, kromě nové značky, nevytvořilo.

Statistické technologie se týkají textů ne jako soudržná posloupnost slov, ale jako libovolný posloupnost symbolů, proto je stejně dobře spolupracovat s texty v libovolných jazycích. Vzhledem k tomu, že každý digitální objekt je alespoň obrázek, alespoň program je také posloupnost znaků, pak stejné metody mohou být použity pro analýzu nejen textových informací, ale také jakékoli digitální objekty. A pokud se hashies shodují ve dvou zvukových souborech - určitě jeden z nich obsahuje citaci z druhé, proto statistické metody jsou účinné prostředky ochrany proti úniku a videa zvuku, aktivně používané v hudebních studiích a filmových společnostech.

Je čas vrátit se do konceptu "smysluplné nabídky". Klíčovou charakteristikou komplexního hash, odstraněného z chráněného objektu (který v různých produktech se nazývá digitální otisk prstu, pak dokument DNA) je krok, který je odstraněn hash. Jak lze rozumět z popisu, takový "imprint" je jedinečnou charakteristikou objektu a zároveň má jeho velikost. To je důležité, protože pokud odstraníte výtisky z milionů dokumentů (a to je částka úložiště průměrné banky), pak bude muset dostatečné množství místa na disku ukládat všechny výtisky. Velikost takového otisku závisí na stupni hash - tím menší krok, tím větší je otisk. Pokud si vezmete hash s krokem do jednoho znaku, pak velikost otisků překročí velikost samotného vzorku. Pokud zvýšíte krok (například 10 000 znaků) ke snížení "hmotnosti", pak spolu s tím pravděpodobnost, že dokument obsahující nabídku ze vzorku v 9 900 znaků se vzorkem bude důvěrné, ale je nepostřehnutelný .

Na druhé straně, pokud zvýšit přesnost detekce, aby se velmi malý krok, několik znaků, pak můžete zvýšit počet falešných pozitiv na nepřijatelnou hodnotu. Pokud jde o text, znamená to, že není nutné odstranit hash z každého písmene - všechna slova se skládají z písmen a systém bude trvat přítomnost písmen v textu pro obsah citace ze vzorového textu. Typicky, výrobci sami doporučují určité kroky odstranění oparu tak, že velikost citace je dostatečná a hmotnost otisku sama byla malá - od 3% (textu) na 15% (komprimované video). V některých produktech, výrobci umožňují změnu velikosti citace, která je zvýšení nebo snížení hash hash.

Výhody technologie

Jak je možné pochopit z popisu, pro detekci citací je zapotřebí ukázkový předmět. A statistické metody mohou s dobrou přesností (až 100%) říci, existuje významná citace ze vzorku v platném souboru nebo ne. To znamená, že systém nebere odpovědnost za kategorizační dokumenty - taková práce je zcela lhat na svědomí té, kteří soubory křižovaly před vyjmutím výtisků. To výrazně usnadňuje ochranu informací v případě, že společnost na určitém místě (místa) je uložena zřídka mění a již kategorizované soubory. Pak dost z každého z těchto souborů odstranit otisk a systém bude v souladu s nastavením blokovat zásilku nebo kopírování souborů obsahujících významné citace ze vzorků.

Nespornou výhodou je také nezávislost statistických metod z textu textu a neexistující informace. Jsou dobré při ochraně statických digitálních objektů jakéhokoliv typu - obrázky, audio / video, databází. Řeknu o ochraně dynamických objektů v sekci "Nevýhody".

Nevýhody technologie

Stejně jako v případě lingvistiky, nedostatky technologie - zpátečná strana výhod. Snadná učení systému (ukázal na systémový soubor a je již chráněn) posune odpovědnost za školení systému. Pokud náhle se náhle ukázal důvěrný soubor, aby nebyl na tomto místě nebo nebyl indexován nedbalostí nebo škodlivým záměrem, pak jej systém nebude chránit. Společnosti, které se týkají ochrany důvěrných informací z úniku, by tedy měly poskytnout postup pro monitorování, jak systém DLP indexuje důvěrné soubory.

Další nevýhodou je fyzická velikost otisku. Autor opakovaně viděl impozantní pilotní projekty na výtiscích, když systém DLP se 100% pravděpodobností blokuje přenos dokumentů obsahujících významné citace ze tří stovek vzorových dokumentů. Po provozu provozu systému v bojovém režimu je však otisk každého odchozího dopisu již ve srovnání s třemi stovkami a s miliony vzorků tisku, což významně zpomaluje práci poštovního systému, což způsobuje zpoždění v desítkách minut.

Jak jsem slíbil výše, budu popisovat mé zkušenosti s ochranou dynamických objektů pomocí statistických metod. Čas tisku je přímo závislá na velikosti souboru a jeho formátu. Pro textový dokument, jako je tento článek, trvá rozdělení sekundu pro jednu a půl hodiny MP4-fólie - desítky sekund. Pro zřídka měnitelné soubory to není kritické, ale pokud se objekt změní každou minutu nebo dokonce sekundu, pak problém vyplývá: Po každé změně objektu musíte stáhnout nový otisk ... kód, který programátor funguje , Není to největší potíže, mnohem horší s databázemi používanými při fakturaci, ABS nebo Calls. Pokud je doba odstranění otisku více než doba neměnitelnosti objektu, úkol řešení nemá. Toto není takový exotický případ - například databázový otisk, který ukládá telefonní čísla klientů federálního mobilního operátora, je odstraněn několik dní a mění se každou sekundu. Proto, když DLP prodávající prohlašuje, že jeho produkt může chránit vaši databázi, mentálně přidat slovo "Quasistatic".

Jednota a boj proti protikladům

Jak je vidět z předchozí části článku, síla jedné technologie se projevuje, kde je slabý. Lingvistika nepotřebuje vzorky, kategorizuje data za mouchu a může chránit informace, s nimiž byl otisk náhodně nebo úmyslně odstraněn. Imprint poskytuje lepší přesnost a je proto výhodnější pro použití v automatickém režimu. Lingvistické funguje perfektně s texty, výtisky - s dalšími formáty informací o skladování.

Většina lídrových společností proto využívá jak technologii ve svém vývoji, zatímco jeden z nich je hlavní a druhý je volitelný. Důvodem je skutečnost, že společnost zpočátku použila pouze jednu technologii, ve které společnost pokročila, a pak na žádost trhu byl druhý spojen. Například infowatch používal pouze licencovanou jazykovou lingvistickou morph-ologickou lingvistickou technologii a websense - preciseut technologie související s kategorií digitálního otisku prstu, ale nyní společnosti používají obě metody. V ideálním případě používejte dva tyto technologie, není nutné paralelně, ale důsledně. Například tisky budou lépe zkopírovány s definicí typu dokumentu - například smlouva nebo vyvážený výkaz. Pak můžete připojit jazykovou databázi vytvořenou speciálně pro tuto kategorii. To značně ušetří výpočetní prostředky.

Mimo článek existovalo ještě několik typů technologií používaných v produktech DLP. Patří mezi ně například analyzátor struktur, který umožňuje najít formální struktury v zařízeních (čísla kreditních karet, pasy, hostinec a tak dále), které nelze zjistit pomocí lingvistiky nebo tiskem. Také téma různých typů štítků není zveřejněno - od položek v polích souboru atributů nebo jednoduše speciální název souborů speciálními kryptocontainers. Tato technologie probíhá, protože většina výrobců dává přednost nezávisle na kole nezávisle, ale integrovat s výrobci DRM systémů, jako je Oracle IRM nebo Microsoft RMS.

Produkty DLP jsou rychle rostoucí informační bezpečnostní průmysl, někteří výrobci mají velmi často nové verze, více než jednou ročně. Těšíme se na vznik nových technologií pro analýzu firemního informačního pole pro zvýšení efektivity ochrany důvěrných informací.

Úvod

Přezkum je určen pro všechna řešení, která se zajímají o řešení DLP a především pro ty, kteří chtějí zvolit řešení DLP vhodné pro jejich společnost. Přezkum zkoumá systém DLP v širokém pochopení tohoto pojmu, stručný popis globálního trhu a podrobněji - ruský segment je uveden.

Cenné systémy ochrany dat existovaly od okamžiku, kdy se objeví. Po staletí se tyto systémy vyvinuty a vyvinuly spolu s lidstvem. S začátkem počítačové éry a přechodem civilizace v postindustriální éře se informace postupně staly hlavní hodnotou států, organizací a dokonce i jednotlivců. Hlavním nástrojem pro jeho skladování a zpracování se staly počítačovými systémy.

Státy vždy bránily svá tajemství, ale státy mají své vlastní prostředky a metody, které zpravidla neovlivnily tvorbu trhu. V postindustriální éře se banky a další úvěrové a finanční organizace staly častými obětmi počítačového úniku cenných informací. Světový bankovní systém nejprve začal potřebovat legislativní ochranu svých informací. Potřeba chránit soukromí byla vědoma medicíny. Jako výsledek, například ve Spojených státech, zákon o přenositelnosti zdraví a odpovědnosti (HIPAA), Sarbanes-Oxley Act (SOX), a Basilejský bankovní výbor vydal řadu doporučení nazvaných "Basilejské dohody". Tyto kroky poskytly výkonný impuls k rozvoji systému ochrany počítačových informací. Po rostoucí poptávce se společnosti navrhly první systémy DLP se začaly objevit.

Co je systém DLP?

Obecně uznávané dekody termínu DLP Více: Ztráta dat prevence, prevence úniku dat nebo úniku dat, které mohou být přeloženy do ruštiny jako "Ztráta dat prevence", "zabránit úniku dat", ochrana údajů ". Tento termín byl široce rozšířený a získal na trhu v roce 2006. A první systémy DLP vznikly poněkud dříve přesně jako prostředek k prevenci úniku cenných informací. Byly určeny k detekci a blokování síťového přenosu informací identifikovaných klíčovými slovy nebo výrazy a předem vytvořil digitální "výtisky" důvěrných dokumentů.

Další rozvoj systémů DLP byl stanoven incidenty, na jedné straně a legislativní akty států na straně druhé. Postupně, potřeby ochrany před různými typy hrozeb vedly společnost k potřebě vytvořit integrované systémy ochrany. V současné době vyvinuly produkty DLP, s výjimkou přímé ochrany proti úniku údajů, poskytovat ochranu před vnitřním a dokonce vnějšími hrozbami, což představuje pracovní doby zaměstnance, kontrolu všech jejich akcí na pracovních stanicích, včetně vzdálené práce.

Zároveň blokování přenosu důvěrných údajů, kanonická funkce DLP systémů chybí v některých moderních řešení přiřazených vývojářům na tento trh. Taková řešení jsou vhodná výhradně pro monitorování podnikového informačního prostředí, ale v důsledku manipulace s terminologií, DLP se stal odkazem na tento trh v širokém smyslu.

V současné době se hlavní zájem vývojářů DLP systémů posunul směrem k šíři pokrytí potenciálních kanálů kanálů kanálů a rozvoj analytických nástrojů zkoumání a analýzy incidentů. Nejnovější DLP produkty zachycují prohlížení dokumentů, tisk a kopírování do externích médií, spouštění aplikací na pracovní stanice a připojování externích zařízení pro ně a moderní analýza zachyceného síťového provozu vám umožní odhalit úniku i některými tunelovacími a šifrovanými protokoly.

Kromě vývoje vlastního funkčnosti poskytují moderní systémy DLP dostatečné příležitosti pro integraci s různými sousedními a dokonce konkurenčními produkty. Jako příklady můžete přinést společnou podporu protokolu ICAC poskytnuté servery proxy a integrací modulu zařízení DevicationNiffer, který je součástí zabezpečení informací o vyhledávacím rozlišením, s ovládacím prvkem zařízení pro lumanci. Další rozvoj systémů DLP vede k jejich integraci s produkty IDS / IPS, Siem Solutions, systémy řízení dokumentů a ochranou pracovních stanic.

Systém DLP se vyznačuje metodou detekce úniku dat:

  • při použití (dat-in-use) - na pracovišti uživatele;
  • při přenosu (datový in-pohyb) - v síti společnosti;
  • při uložení (data-na odpočinek) - na serverech a pracovních stanicích společnosti.

Systémy DLP mohou rozpoznat kritické dokumenty:

  • podle formálních funkcí je spolehlivě, ale vyžaduje předběžnou registraci dokumentů v systému;
  • na obsahové analýze to může dát falešné odpovědi, ale umožňuje odhalit kritické informace jako součást všech dokumentů.

V průběhu času se změnila povaha hrozeb a složení zákazníků a kupujících systémů DLP. Moderní trh umístí následující požadavky na tyto systémy:

  • podporovat více metod detekce úniku dat (data používaná data, dat -in-pohyb, data-na odpočinek);
  • podpora pro všechny populární protokoly pro přenos dat: HTTP, SMTP, FTP, Oscar, XMPP, MMP, MSN, YMSG, Skype, různé protokoly P2P;
  • dostupnost vestavěného adresáře webových stránek a správné zpracování dopravy na ně (Webmail, sociální sítě, fóra, blogy, hledání pracovních míst atd.);
  • podpora tunelovacích protokolů: VLAN, MPLS, PPPoE a podobně;
  • transparentní kontrola chráněných protokolů SSL / TLS: HTTPS, FTPS, SMTPS a další;
  • podpora protokolů VoIP telefony: SIP, SDP, H.323, T.38, MGCP, hubená a další;
  • přítomnost hybridní analýzy - podpora několika metod uznání hodnotných informací: podle formálních prvků podle klíčových slov na shodě obsahu s regulárním výrazem na základě morfologické analýzy;
  • je žádoucí selektivně zablokovat přenos kritických informací o každém řízeném kanálu v reálném čase; selektivní blokování (pro jednotlivé uživatele, skupiny nebo zařízení);
  • schopnost kontrolovat činy uživatele nad kritickými dokumenty jsou žádoucí: zobrazení, tisk, kopírování do externích nosičů;
  • je žádoucí ovládat síťové protokoly práce s Microsoft Exchange Poštovní servery (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync atd. Pro analýzu a blokování zpráv v reálném čase pomocí protokolů: (MAPI, S / MIME, NNTP, SIP atd.);
  • zachycení, záznam a rozpoznávání hlasového provozu jsou žádoucí: Skype, IP telefonie, Microsoft Lync;
  • přítomnost modulu pro rozpoznávání grafiky (OCR) a analýzu obsahu;
  • podpora pro analýzu dokumentů v několika jazycích;
  • provádění podrobných archivů a časopisů pro pohodlí vyšetřujících incidentů;
  • je žádoucí, aby se vyvinuly prostředky analyzujících událostí a jejich spojení;
  • schopnost vybudovat různé hlášení, včetně grafických zpráv.

Díky novým trendům ve vývoji informačních technologií se nové funkce produktů DLP stávají populární. S rozšířenou virtualizací v podnikových informačních systémech bylo nutné jej podporovat a v DLP řešení. Široké využití mobilních zařízení jako obchodní nástroj sloužil jako pobídka pro vznik mobilního DLP. Vytvoření firemních i veřejných "mraků" požadoval jejich ochranu, včetně DLP systémů. A jako logický pokračování vedlo k vzniku "Cloud" Information Security Services (Zarvitace jako služba - Secaas).

Princip provozu systému DLP

Moderní systém ochrany proti úniku informací, zpravidla je distribuovaný softwarový a hardwarový komplex, který se skládá z velkého počtu modulů pro různé účely. Část modulů funguje na zvýrazněných serverech, částí - na pracovních stanicích zaměstnanců společnosti, součástí - na pracovišti bezpečnostních důstojníků.

Vybrané servery mohou být vyžadovány pro tyto moduly jako databáze a někdy pro moduly analýzy informací. Tyto moduly jsou ve skutečnosti jádro a žádný systém DLP bez nich ne.

Databáze je nezbytná pro ukládání informací, od pravidel kontroly a podrobných informací o incidentech a končících všech dokumentů v zorném poli v oblasti systému během určitého období. V některých případech může systém dokonce uložit kopii celého síťového provozu společnosti zachycenou po určitou dobu.

Informační analýza moduly jsou zodpovědné za analýzu textů extrahovaných jinými moduly z různých zdrojů: síťový provoz, dokumenty o všech zařízeních pro ukládání informací v rámci společnosti. Některé systémy mají možnost extrahovat text z obrázků a rozpoznat zachycené hlasové zprávy. Všechny analyzované texty jsou porovnány s předem stanovenými pravidly a jsou uvedeny v souladu s tím, kdy je zjištěna náhoda.

Zvláštní zástupci mohou být instalovány pro kontrolu akcí zaměstnanců na jejich pracovní stanice. Takový činidlo by mělo být chráněno před zásahem uživatele ve své práci (v praxi není vždy takto) a může vést jak pasivní pozorování svých činností, a aktivně bránit skutečnosti, že uživatel je zakázán bezpečnostní politikou společnosti. Seznam řízených akcí může být omezen na vstup / výstup uživatele ze systému a připojení zařízení USB a může zahrnovat zachycení a blokování síťových protokolů, stínového kopírování dokumentů pro všechny externí média, tisk dokumentů do lokálního a Síťové tiskárny, přenos informací o Wi-Fi a Bluetooth a mnoho dalšího. Některé systémy DLP jsou schopny nahrávat všechny klávesnice na klávesnici (protokolování klíčů) a ukládat kopie obrazovky (snímky obrazovky), ale přesahuje obecně uznávané postupy.

Systém DLP obvykle obsahuje řídicí modul navržený tak, aby sledoval provoz systému a jeho podání. Tento modul umožňuje sledovat výkon všech ostatních systémových modulů a provést jejich nastavení.

Pro snadnou obsluhu může být analytik zabezpečení v systému DLP samostatný modul, který vám umožní konfigurovat bezpečnostní politiku společnosti, sledovat své porušení, provádět své podrobné vyšetřování a tvořit nezbytné podávání zpráv. Kupodivu, jiné věci jsou rovnocenné možnosti analyzování incidentů, provádění plného vyšetřování a podávání zpráv o prvním významu v moderním systému DLP.

Světový DLP trh

Trh DLP systémů začal tvořit již v tomto století. Jak bylo řečeno na začátku článku, samotný koncept "DLP" se rozprostírá asi v roce 2006. Největší počet společností, které vytvářejí systém DLP, se objevil ve Spojených státech. Tam byla největší poptávka po těchto řešeních a příznivé prostředí pro vytváření a rozvoj takového podnikání.

Téměř všechny společnosti začínající tvorbu DLP systémů a dosáhly pozoruhodného úspěchu v tomto, které byly zakoupeny nebo absorbovány, a jejich produkty a technologie jsou integrovány do větších informačních systémů. Například Symantec získal společnost VONTU (2007), WebSense - Portauthority Technologies Inc. (2007), EMC Corp. Získaná RSA Security (2006) a McAfee absorboval řadu firem: Onigma (2006), SafeBoot Holding B.v. (2007), Reconntex (2008), Trustdigital (2010), Tencube (2010).

V současné době jsou přední světové výrobci DLP systémů: Symantec Corp., RSA (EMC Corp. Division), Verdasys Inc, WebSense Inc. (v roce 2013 koupil společností Vista Equity Partners Private Company), McAfee (v roce 2011 zakoupené společností Intel). Solutions Fidelis Cybersecurity Solutions hraje řešení Fidelis Cybersecurity Solutions (2012 zakoupená obecnou dynamiku), technologie CA a GTB Technologies. Vizuální ilustrace jejich postavení na trhu, v jednom ze škrtů, může sloužit jako kouzelný kvadrant gartnerské analytické společnosti na konci roku 2013 (obrázek 1).

Obrázek 1. DistribucepolohyDLP.- Systémy na globálním trhu podleGartner.

Ruský DLP trh

V Rusku se trh DLP systém začal tvořit téměř současně se světem, ale s vlastními vlastnostmi. Stalo se postupně, jako vznik incidentů a pokusů s nimi vypořádat se s nimi. První v Rusku v roce 2000 začal rozvíjet řešení DLP "Jet Info Systems" (zpočátku to byl archiv mailu). O něco později v roce 2003 byla založena Infowatch jako dceřiná společnost Kaspersky Lab. Jsou to řešení těchto dvou společností a zpožděná orientační body pro zbytek hráčů. V jejich čísle, o něco později, Perimetrix vstoupil, SearchInform, Devicelock, Secureit (2011 přejmenováno na Zecurion). Vzhledem k tomu, že stát vytváří legislativní akty týkající se ochrany informací (občanský zákoník Ruské federace Článek 857 "bankovní tajemství", 395-1-FZ "na bankách a bankovní činnosti", 98-FZ "na obchodní tajemství", 143- \\ t FZ "o civilních činech", 152-FZ "na osobních údajích" a další, jen asi 50 typů tajemství), zvýšily potřebu ochranných nástrojů a pěstovat poptávku po systémech DLP. A po několika letech, "druhá vlna" vývojářů přišel na trh: Falcongaze, MFI měkký, Trafica. Stojí za zmínku, že všechny tyto společnosti měly operace v oblasti DLP mnohem dříve, ale staly se škodami trhu poměrně nedávno. Například společnost "MFI Měkká" začala rozvíjet svůj DLP-rozhodnutí zpět v roce 2005 a prohlásil se na trh pouze v roce 2011.

I později se ruský trh stal zajímavými zahraničním společnostem. V roce 2007-2008, Symantec, WebSense a McAfee produkty byly k dispozici. V poslední době, v roce 2012, společnost GTB technologie přinesla svá rozhodnutí na našem trhu. Ostatní vůdci světového trhu také zanechávají pokusy o ruský trh, ale zatím bez znatelných výsledků. Ruský DLP trh v posledních letech demonstruje stabilní růst (více než 40% ročně) již několik let, který přitahuje nové investory a vývojáře. Jako příklad můžete volat iteranetová společnost od roku 2008, vývoje prvků systému DLP pro interní účely, pak pro firemní zákazníky. V současné době společnost nabízí své business Guardian řešení ruských a zahraničních kupujících.

Společnost oddělila od společnosti Kaspersky Lab v roce 2003. Podle výsledků 2012 trvá Indowatch více než třetinu ruského trhu DLP. Infowatch nabízí celou řadu DLP řešení pro zákazníky, od středně velkých podniků a končící s velkými korporacemi a vládními agenturami. Nejvíce v poptávce v infowatch Dopravní monitorování trhu. Hlavními výhodami jejich řešení: vyvinutá funkčnost, jedinečná patentovaná technologie analýzy provozu, hybridní analýza, podpora mnoha jazyků, vestavěný adresář webových zdrojů, škálovatelnosti, velký počet předinstalovaných konfigurací a politik pro různá odvětví. Rozlišovacími rysy řešení infowchatch jsou jednotnou konzolou pro správu, kontrolou akcí zaměstnanců podezřením, intuitivním rozhraním, vytvářením bezpečnostních politik bez použití boolean algebry, vytváření uživatelských rolí (bezpečnostní důstojník, ředitel společnosti, HR-režisér , atd.). Nevýhody: Nedostatek kontroly akcí uživatelů v pracovních stanicích, těžkých inswatch Infowatch Monitor pro středně velké podniky, vysoké ceny.

Společnost byla založena v roce 1991, dnes je jedním z pilířích ruského trhu DLP. Zpočátku společnost vyvinula systém pro ochranu organizací z vnějších hrozeb a jeho výstup na trh DLP je přirozeným krokem. Společnost "Infosystem Jet" je důležitým hráčem ruského trhu IB, poskytuje služby integrace systému a rozvíjením vlastního softwaru. Zejména vlastní řešení DLP "Dosor Jet". Jeho hlavními výhodami: škálovatelnost, vysoký výkon, schopnost pracovat s velkými daty, velkým množstvím interceptorů, vestavěný adresář webových zdrojů, hybridní analýzy, optimalizovaný skladovací systém, aktivní monitorování, práce "v přestávce", rychlé vyhledávání a analýza incidentů, vyvinutá technická podpora, včetně v regionech. Komplex má také schopnost integrovat se Siem, BI, MDM, bezpečnostními službami zabezpečení, systémem a správu sítě. Vlastní know-how je modul "Dosier" určený k vyšetřování incidentů. Nevýhody: Nedostatečná funkce agentů pro pracovní stanice, slabý vývoj uživatelských akcí, orientace řešení pouze na velkých společnostech, vysoké ceny.

Americká společnost začíná jeho podnikání v roce 1994 jako výrobce softwaru. V roce 1996 předložil svůj první nezávislý rozvoj "internetový screeningový systém" pro kontrolu akcí personálu na internetu. V budoucnu společnost pokračovala v práci v oblasti bezpečnosti informací, zvládnutí nových segmentů a rozšíření rozsahu produktů a služeb. V roce 2007 společnost posílila svou pozici na trhu DLP, získal Portauthority. V roce 2008 přišel WebSense na ruský trh. V současné době společnost nabízí komplexní produkt WebSense Triton, který chrání před únikem důvěrných dat, jakož i vnějších typů hrozeb. Hlavní výhody: Jednotná architektura, výkon, škálovatelnost, několik možností doručení, předinstalované politiky, vyvinuté zprávy a analýza událostí. Nevýhody: Žádná podpora pro řadu protokolů IM, žádná podpora morfologie ruského jazyka.

Symantec Corporation je uznávaným světovým lídrem v oblasti řešení DLP. Stalo se to po nákupu Vontu v roce 2007, velký výrobce DLP systémů. Od roku 2008 byl společnosti Symantec DLP oficiálně zastoupen na ruském trhu. Na konci roku 2010, první zahraniční společnosti, společnost Symantec lokalizovala svůj produkt DLP pro náš trh. Hlavními výhodami tohoto řešení jsou: Výkonná funkce, velký počet metod pro analýzu, schopnost blokovat únik na jakýkoliv řízený kanál, vestavěný adresář webových stránek, schopnost měřítko, vyvinutého agenta pro analýzu událostí na pracovní stanici Úroveň, bohaté mezinárodní realizační zkušenosti a integrace s ostatními produkty Symantec. Nevýhody systému zahrnují vysoké náklady a nedostatek kontroly některých populárních protokolů IM.

Tato ruská společnost byla založena v roce 2007 jako vývojář bezpečnosti informací. Hlavní výhody řešení Falcongaze SecureTower: Snadná instalace a nastavení, pohodlné rozhraní, pro řízení většího počtu datových kanálů, vyvinuté nástroje pro analýzu informací, schopnost sledovat akce zaměstnanců v pracovních stanicích (včetně prohlížení obrazovkových snímků), personální propojení Graf, škálovatelnost, rychlé vyhledávání podle zachycených dat, vizuálního systému hlášení pro různá kritéria.

Nevýhody: Nelze pracovat v úrovni brány, omezené funkce pro blokování důvěrných dat (pouze SMTP, HTTP a HTTPS), nepřítomnost důvěrného vyhledávacího modulu dat v podnikové síti.

Americká společnost založená v roce 2005. Díky vlastní informační bezpečnosti má velký rozvojový potenciál. Ruský trh přišel do roku 2012 a úspěšně realizoval několik firemních projektů. Výhody jeho řešení: Vysoká funkčnost, řízení více protokolů a kanálů potenciálních úniků dat, originální proprietární technologie, modularity, integrace s IRM. Nevýhody: částečná ruská lokalizace, žádná ruská dokumentace, nedostatek morfologické analýzy.

Ruská společnost založená v roce 1999 jako systémový integrátor. V roce 2013 se reorganizoval do holdingu. Jednou z aktivit je poskytnout širokou škálu služeb a produktů pro ochranu informací. Jedním z produktů společnosti je systém Business Guardian DLP jeho vlastního vývoje.

Výhody: vysokorychlostní rychlost zpracování, modularita, územní škálovatelnost, morfologická analýza v 9 jazycích, podpora širokého spektra tunelovacích protokolů.

Nevýhody: Omezené možnosti blokování informací (podporované pouze pluginy pod MS Exchange, MS ISA / TMG a Squid), omezená podpora pro šifrované síťové protokoly.

"MFI měkká" je ruská společnost-vývojář informačních bezpečnostních systémů. Historicky se společnost specializuje na integrovaná řešení pro telekomunikační operátory, proto věnuje velkou pozornost rychlosti zpracování dat, toleranci chyb a efektivního skladování. Vývoj v informační bezpečnosti "MFI Soft" vede od roku 2005. Společnost nabízí v systému DLP trhu APK "GARDA Enterprise", orientovaný na velkých a středních podnicích. Výhody systému: jednoduchost nasazení a nastavení, vysoce výkonných, flexibilních nastavení pro pravidla detekce (včetně schopnosti zaznamenávat veškerý provoz), široké možnosti řízení komunikačních kanálů (kromě standardní volby zahrnují VoIP telefonie, P2P a tunelovací protokoly ). Nevýhody: nedostatek určitých typů zpráv, žádné možnosti blokování informací a vyhledáváním umístění důvěrných informací v podnikové síti.

Ruská společnost založená v roce 1995, která se zpočátku specializovala na vývoj informací o skladování a vyhledávacích technologií. Později společnost použila své zkušenosti a operace v oblasti bezpečnosti informací, vytvořila řešení DLP nazvané "Informační zabezpečení obrysu". Výhody tohoto řešení: Široká schopnost zachycovat provoz a analýzu akcí v pracovních stanicích, pracovní době monitorování pracovníků, modularity, škálovatelnosti, vyvinutých vyhledávacích nástrojů, vyhledávacích dotazů Speed \u200b\u200bRychlost zpracování, Zaměstnanecké grafy Zapojení, Vlastní patentovaný vyhledávací algoritmus "Hledat podobné", vlastní Školicí centrum pro učení analytiků a technických specialistů zákazníků. Nevýhody: Omezené informace blokování informací, žádná jednotná konzola pro správu.

Ruská společnost založená v roce 1996 a specializuje se na rozvoj DLP a EDPC řešení. V kategorii výrobců DLP se společnost přesunula v roce 2011, která přidala do své světoznámé kategorie EDPC DeviceLock (řízení zařízení a portů na Windows Workstations) komponenty poskytující řízení síťových kanálů a technologií analýzy obsahu a filtrování. Dnes Devicelock DLP implementuje všechny metody pro detekci úniku dat (Dim, Diu, Dar). Výhody: Flexibilní architektura a bližší licence, jednoduchost montáže a řízení politik DLP, vč. Prostřednictvím skupinových politik AD, originální patentované technologie mobilního řízení, podpora virtualizovaných prostředí, přítomnost agentů pro Windows a Mac OS, plnou kontrolu mobilních zaměstnanců mimo firemní síť, modul OCR rezident (použitý včetně při skenování úložišť). Nevýhody: Žádný agent DLP pro Linux, verze Agent pro počítače Mac implementuje pouze kontextové řídicí metody.

Mladá ruská společnost se specializovat v technologiích pro analýzu hlubokých sítí (inspekce hlubokých paketů - DPI). Na základě těchto technologií společnost vyvíjí svůj vlastní systém DLP zvaný monitorium. Výhody systému: Snadná instalace a nastavení, pohodlné uživatelské rozhraní, flexibilní a vizuální mechanismus pro vytvoření politika, vhodného i pro malé firmy. Nevýhody: omezené analýzy (bez hybridní analýzy), omezená kontrola nad úrovní pracovní stanice, nedostatek příležitostí k hledání míst neoprávněných kopií důvěrných informací v rámci firemní sítě.

závěry

Další rozvoj produktů DLP jde ve směru konsolidace a integrace s příbuznými regiony: personální kontrola, ochrana před vnějšími hrozbami, další informační bezpečnostní segmenty. Zároveň téměř všechny společnosti pracují na tvorbě usnadněných verzí svých produktů pro malé a střední podniky, kde je jednoduchost rozvoje systému DLP a pohodlí jeho použití důležitější než komplexní a výkonný funkční. Vývoj DLP také pokračuje pro mobilní zařízení, podporující virtualizaci a technologii Secaas v "mrakech".

S ohledem na všechny výše uvedené výše lze předpokládat, že rychlý rozvoj světa a zejména ruských trhů DLP, bude také přitahovat nové investice a nové společnosti. A to zase by mělo vést k dalšímu zvýšení počtu a kvality navrhovaných produktů a služeb DLP.