Пo данным аналитичеcкoгo центра кoмпании Perimetrix, cредняя рoccийcкая кoмпания иcпытывает в гoд не менее четырех утечек инфoрмации. В бoльшинcтве cлучаев cтанoвятcя дocтупными перcoнальные данные клиентoв, чуть реже – детали кoнкретных cделoк и данные финанcoвoй oтчетнocти.
Как правилo, cамые cлучаи такого рода ноcят cознательный поcыл; в то же время большая часть мелких утечек связана со случайной компрометацией данных. Не говоря уже о том, что подавляющее большинство решений по безопасности (антивирусы, межсетевой экран, антиспамовая система) не учитывают человеческий фактор.
Для борьбы с утечками данных был создан полноценный класс решений, получивший название «DLP».
Data Leak Prevention, (DLP) – технология предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
Термин «DLP» был предложен агентством Forrester в 2005 г. В качестве русского аналога принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз» (под внутренними угрозами подразумеваются как умышленные, так и непреднамеренные злоупотребления сотрудников правами доступа к данным).
Основной задачей DLP-систем является предотвращение передачи конфиденциальной информации за пределы информационной системы.
Кроме основной, перед DLP-системой могут стоять и другие задачи: архивирование пересылаемых сообщений на случай возможных расследований инцидентов; предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.); предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи вовнутрь информационной системы; предотвращение использования работниками казённых информационных ресурсов в личных целях; контроль доступа к устройствам и портам ввода-вывода, к которым относятся: дисководы, CD-ROM, USB – устройства, инфракрасные, принтерные (LPT) и модемные (COM) порты; оптимизация загрузки каналов, экономия трафика; контроль присутствия работников на рабочем месте; отслеживание благонадёжности сотрудников.
Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.
Есть два основных подхода анализа контента. Первый подход базируется на фильтрации контента, то есть содержательного наполнения информации. Это означает, например, что при проверке на секретность стандартных офисных документов в формате .doc система сначала переведет их в текстовый формат, а затем, используя заранее подготовленные данные, вынесет по этому тексту вердикт. Контекстная фильтрация использует принципиально другую схему: система проверяет контекст, в котором передается информация: извлекает метки файла, смотрит на его размер или анализирует поведение пользователя.
В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.
Существует четыре критерия, сформулированных компанией Forrester Research.
Первый – многоканальность. Решение DLP не должно быть сосредоточено только на одном канале утечек. Это должно быть комплексное решение, охватывающее максимальное количество каналов: e-mail, Web и IM, а также мониторинг файловых операций.
Второй – унифицированный менеджмент. Система должна обладать унифицированными средствами управления всех компонентов, которые она в себя включает. Их, как правило, три: менеджмент-сервер, на котором хранятся политики групп пользователей; устройство, которое отслеживает утечку через сеть; агенты для рабочих станций, серверов, файловых-хранилищ. Главное требование второго критерия – возможность управлять этими тремя компонентами с одной консоли.
Третий – активная защита. Система должна не только фиксировать утечку конфиденциальной информации, но и давать возможность ее блокировать.
Четвертый – классификация информации с учетом, как содержимого, так и контекста. Утечки конфиденциальной информации должны базироваться не только на содержимом пересылаемой информации, но и на контексте, в котором она происходит: какой используется протокол, какое приложение, от какого пользователя, куда и т.д.
Стоит учесть, что технологии DLP слабо применимы к защите от утечек через мобильные накопители и почти неприменимы в случае краж ноутбуков или других портативных устройств.
Для борьбы с утечками данных был создан полноценный класс решений, получивший название «DLP».
Data Leak Prevention, (DLP) – технология предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
Термин «DLP» был предложен агентством Forrester в 2005 г. В качестве русского аналога принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз» (под внутренними угрозами подразумеваются как умышленные, так и непреднамеренные злоупотребления сотрудников правами доступа к данным).
Задачи
Основной задачей DLP-систем является предотвращение передачи конфиденциальной информации за пределы информационной системы.
Кроме основной, перед DLP-системой могут стоять и другие задачи: архивирование пересылаемых сообщений на случай возможных расследований инцидентов; предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.); предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи вовнутрь информационной системы; предотвращение использования работниками казённых информационных ресурсов в личных целях; контроль доступа к устройствам и портам ввода-вывода, к которым относятся: дисководы, CD-ROM, USB – устройства, инфракрасные, принтерные (LPT) и модемные (COM) порты; оптимизация загрузки каналов, экономия трафика; контроль присутствия работников на рабочем месте; отслеживание благонадёжности сотрудников.
Методы
Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.
Есть два основных подхода анализа контента. Первый подход базируется на фильтрации контента, то есть содержательного наполнения информации. Это означает, например, что при проверке на секретность стандартных офисных документов в формате .doc система сначала переведет их в текстовый формат, а затем, используя заранее подготовленные данные, вынесет по этому тексту вердикт. Контекстная фильтрация использует принципиально другую схему: система проверяет контекст, в котором передается информация: извлекает метки файла, смотрит на его размер или анализирует поведение пользователя.
Компоненты
В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.
Критерии оценки программных продуктов
Существует четыре критерия, сформулированных компанией Forrester Research.
Первый – многоканальность. Решение DLP не должно быть сосредоточено только на одном канале утечек. Это должно быть комплексное решение, охватывающее максимальное количество каналов: e-mail, Web и IM, а также мониторинг файловых операций.
Второй – унифицированный менеджмент. Система должна обладать унифицированными средствами управления всех компонентов, которые она в себя включает. Их, как правило, три: менеджмент-сервер, на котором хранятся политики групп пользователей; устройство, которое отслеживает утечку через сеть; агенты для рабочих станций, серверов, файловых-хранилищ. Главное требование второго критерия – возможность управлять этими тремя компонентами с одной консоли.
Третий – активная защита. Система должна не только фиксировать утечку конфиденциальной информации, но и давать возможность ее блокировать.
Четвертый – классификация информации с учетом, как содержимого, так и контекста. Утечки конфиденциальной информации должны базироваться не только на содержимом пересылаемой информации, но и на контексте, в котором она происходит: какой используется протокол, какое приложение, от какого пользователя, куда и т.д.
Стоит учесть, что технологии DLP слабо применимы к защите от утечек через мобильные накопители и почти неприменимы в случае краж ноутбуков или других портативных устройств.
Ирина Шульга
