Технология DLP. DLP — что это значит? Есть ли недостатки у технологии DLP
Даже самые модные ИТ-термины надо употреблять к месту и максимально корректно. Хотя бы для того, чтобы не вводить в заблуждение потребителей. Относить себя к производителям DLP-решений определенно вошло в моду. К примеру, на недавней выставке CeBIT-2008 надпись “DLP solution” нередко можно было лицезреть на стендах производителей не только малоизвестных в мире антивирусов и прокси-серверов, но даже брандмауэров. Иногда возникало ощущение, что за следующим углом можно будет увидеть какой-нибудь CD ejector (программа, управляющая открыванием привода CD) с гордым лозунгом корпоративного DLP-решения. И, как это ни странно, каждый из таких производителей, как правило, имел более или менее логичное объяснение такому позиционированию своего продукта (естественно, помимо желания получить “гешефт” от модного термина).
Прежде чем рассматривать рынок производителей DLP-систем и его основных игроков, следует определиться с тем, что же мы будем подразумевать под DLP-системой. Попыток дать определение этому классу информационных систем было много: ILD&P — Information Leakage Detection & Prevention (“выявление и предотвращение утечек информации”, термин был предложен IDC в 2007 г.), ILP - Information Leakage Protection (“защита от утечек информации”, Forrester, 2006 г.), ALS - Anti-Leakage Software (“антиутечное ПО”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (по аналогии с Intrusion-prevention system).
Но в качестве общеупотребительного термина всё же утвердилось название DLP - Data Loss Prevention (или Data Leak Prevention, защита от утечек данных), предложенная в 2005 г. В качестве русского (скорее не перевода, а аналогичного термина) было принято словосочетание “системы защиты конфиденциальных данных от внутренних угроз”. При этом под внутренними угрозами понимаются злоупотребления (намеренные или случайные) со стороны сотрудников организации, имеющих легальные права доступа к соответствующим данным, своими полномочиями.
Наиболее стройные и непротиворечивые критерии принадлежности к DLP-системам были выдвинуты исследовательским агентством Forrester Research в ходе их ежегодного исследования данного рынка. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP. 1.
Многоканальность. Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это как минимум e-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции - мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM. 2.
Унифицированный менеджмент. Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчетами о событиях по всем каналам мониторинга. 3.
Активная защита. Система должна не только обнаруживать факты нарушения политики безопасности, но и при необходимости принуждать к ее соблюдению. К примеру, блокировать подозрительные сообщения. 4.
Исходя из этих критериев, в 2008 г. для обзора и оценки агентство Forrester отобрало список из 12 производителей программного обеспечения (ниже они перечислены в алфавитном порядке, при этом в скобках указано название компании, поглощенной данным вендором в целях выхода на рынок DLP-cистем):
- Code Green;
- InfoWatch;
- McAfee (Onigma);
- Orchestria;
- Reconnex;
- RSA/EMC (Tablus);
- Symantec (Vontu);
- Trend Micro (Provilla);
- Verdasys;
- Vericept;
- Websense (PortAuthority);
- Workshare.
На сегодняшний день из вышеупомянутых 12 вендоров на российском рынке в той или иной степени представлены только InfoWatch и Websense. Остальные либо вообще не работают в России, либо только анонсировали свои намерения о начале продаж DLP-решений (Trend Micro).
Рассматривая функциональность DLP-систем, аналитики (Forrester, Gartner, IDC) вводят категоризацию объектов защиты - типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. Выделяют три категории объектов мониторинга.
1. Data-in-motion (данные в движении) - сообщения электронной почты, интернет-пейджеров, сетей peer-to-peer, передача файлов, Web-трафик, а также другие типы сообщений, которые можно передавать по каналам связи. 2. Data-at-rest (хранящиеся данные) - информация на рабочих станциях, лаптопах, файловых серверах, в специализированных хранилищах, USB-устройствах и других типах устройств хранения данных.
3. Data-in-use (данные в использовании) - информация, обрабатываемая в данный момент.
В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Краткие сведения о них в духе приведенной выше классификации, перечислены в табл. 1 и 2. Также в табл. 1 внесен такой параметр, как “централизованное хранилище данных и аудит”, подразумевающий возможность системы сохранять данные в едином депозитарии (для всех каналов мониторинга) для их дальнейшего анализа и аудита. Этот функционал приобретает в последнее время особенную значимость не только в силу требований различных законодательных актов, но и в силу популярности у заказчиков (по опыту реализованных проектов). Все сведения, содержащиеся в этих таблицах, взяты из открытых источников и маркетинговых материалов соответствующих компаний.
Исходя из приведенных в таблицах 1 и 2 данных можно сделать вывод, что на сегодня в России представлены только три DLP-системы (от компаний InfoWatch, Perimetrix и WebSence). К ним также можно отнести недавно анонсированный интегрированный продукт от “Инфосистемы Джет” (СКВТ+СМАП), так как он будет покрывать несколько каналов и иметь унифицированный менеджмент политик безопасности.
Говорить о долях рынка этих продуктов в России довольно сложно, поскольку большинство упомянутых производителей не раскрывают объемов продаж, количество клиентов и защищенных рабочих станций, ограничиваясь только маркетинговой информацией. Точно можно сказать лишь о том, что основными поставщиками на данный момент являются:
- системы “Дозор”, присутствующие на рынке с 2001 г.;
- продукты InfoWatch, продающиеся с 2004 г.;
- WebSense CPS (начал продаваться в России и во всем мире в 2007 г.);
- Perimetrix (молодая компания, первая версия продуктов которой анонсирована на ее сайте на конец 2008 г.).
В заключение хотелось бы добавить, что принадлежность или нет к классу DLP-систем, не делает продукты хуже или лучше - это просто вопрос классификации и ничего более.
| Компания | Продукт | Возможности продукта | |||
|---|---|---|---|---|---|
| Защита “данных в движении” (data-in-motion) | Защита “данных в использовании” (data-in-use) | Защита “данных в хранении” (data-at-rest) | Централизованное хранилище и аудит | ||
| InfoWatch | IW Traffic Monitor | Да | Да | Нет | Да |
| IW CryptoStorage | Нет | Нет | Да | Нет | |
| Perimetrix | SafeSpace | Да | Да | Да | Да |
| Инфосистемы Джет | Дозор Джет (СКВТ) | Да | Нет | Нет | Да |
| Дозор Джет (СМАП) | Да | Нет | Нет | Да | |
| Смарт Лайн Инк | DeviceLock | Нет | Да | Нет | Да |
| SecurIT | Zlock | Нет | Да | Нет | Нет |
| SecrecyKeeper | Нет | Да | Нет | Нет | |
| SpectorSoft | Spector 360 | Да | Нет | Нет | Нет |
| Lumension Security | Sanctuary Device Control | Нет | Да | Нет | Нет |
| WebSense | Websense Content Protection | Да | Да | Да | Нет |
| Информзащита | Security Studio | Нет | Да | Да | Нет |
| Праймтек | Insider | Нет | Да | Нет | Нет |
| АтомПарк Софтваре | StaffCop | Нет | Да | Нет | Нет |
| СофтИнформ | SearchInform Server | Да | Да | Нет | Нет |
| Компания | Продукт | Критерий принадлежности к DLP системам | |||
|---|---|---|---|---|---|
| Многоканальность | Унифицированный менеджмент | Активная защита | Учет как содержания, так и контекста | ||
| InfoWatch | IW Traffic Monitor | Да | Да | Да | Да |
| Perimetrix | SafeSpace | Да | Да | Да | Да |
| “Инфосистемы Джет” | “Дозор Джет” (СКВТ) | Нет | Нет | Да | Да |
| “Дозор Джет” (СМАП) | Нет | Нет | Да | Да | |
| “Смарт Лайн Инк” | DeviceLock | Нет | Нет | Нет | Нет |
| SecurIT | Zlock | Нет | Нет | Нет | Нет |
| Smart Protection Labs Software | SecrecyKeeper | Да | Да | Да | Нет |
| SpectorSoft | Spector 360 | Да | Да | Да | Нет |
| Lumension Security | Sanctuary Device Control | Нет | Нет | Нет | Нет |
| WebSense | Websense Content Protection | Да | Да | Да | Да |
| “Информзащита” | Security Studio | Да | Да | Да | Нет |
| “Праймтек” | Insider | Да | Да | Да | Нет |
| “АтомПарк Софтваре” | StaffCop | Да | Да | Да | Нет |
| “СофтИнформ” | SearchInform Server | Да | Да | Нет | Нет |
| “Инфооборона” | “Инфопериметр” | Да | Да | Нет | Нет |
Все более популярными на потребительском рынке видеотехники высокого разрешения становятся проекторы и телевизоры с использованием технологии цифрового проецирования – DLP (Digital Light Processing). Каковы основные преимущества и достоинства подобной техники, как работает данная технология можно узнать из этой статьи.
Новый тип видеопроекции
Основа любой проекционной системы DLP типа - оптическая полупроводниковая микросхема, известная также как DLP чип, изобретенный в 1987 году сотрудником известной американской компании Texas Instruments Ларри Хорнбеком.
Если попытаться кратко описать работу DLP чипа, то его можно назвать самым сложным в мире переключателем. Микросхема состоит из двух миллионов микроскопических зеркал, выстроенных в форме прямоугольника и изменяющих положение относительно источника света. Каждое такое микрозеркало размером не более одной пятой толщины человеческого волоса.
Если, использовать внешний источник света и проекционную линзу, а на вход DLP чипа подать оцифрованный видеосигнал, то можно проецировать на экран или другую поверхность видеофильмы и графические изображения. Использование DLP технологии в современной видео аппаратуре позволяет добиться совершенно нового уровня качества воспроизведения фильмов и видеороликов.
Картинка в оттенках серого
Микрозеркала в микросхеме могут занимать два положения, поворачиваясь к источнику света (On) и в противоположную от источника света сторону (Off). Таким образом, выполняется проецирование на экранную поверхность светлых и тёмных пикселей.
Поступающий на микросхему кодированный сигнал заставляет каждое зеркало изменять своё положение до нескольких тысяч раз в секунду. Когда зеркало принимает состояние «On» чаще, чем «Off», то на экране отображается более светлый пиксель, если же наоборот - то более тёмный.
Таким образом, зеркала в проекционной DLP системе могут отображать для каждого пикселя до 1024 оттенков серого, конвертируя поступающий на DLP чип видеосигнал или оцифрованную картинку в высокодетализированное изображение в оттенках серого цвета.
Добавляем цветность
В использующих DLP технологию проекционных системах белый свет лампы, прежде чем попасть на поверхность микросхемы, проходит через вращающийся цветной светофильтр. Из белого света светофильтры выделяют основные цвета (красный, зелёный и синий), что позволяет создавать минимум 16,7 миллионов цветов, используя лишь один DLP чип.
Технология BrilliantColor позволяет проецировать и дополнительные цвета, в том числе светло-голубой, пурпурный и жёлтый, расширяя цветовую палитру и делая цветопередачу ещё более живой. В более совершенных современных DLP проекторах вместо традиционных ламп применяются светодиодные источники света, раздельно излучающие базовые цвета, что позволяет избавиться от светофильтра и механизма для его вращения. Существуют проекционные системы с использованием трех DLP чипов. Такие проекторы отличаются повышенной яркостью и способны выводить на экран не менее 35 триллионов цветов, используются в кинотеатрах и театрально-концертных системах с большим размером проецируемого изображения.
Состояние каждого микрозеркала регулируется в зависимости от проецируемого в данный момент базового элемента цвета. Например, зеркало, проецирующее на экран пурпурный пиксель, отражает только лучи красного и синего цвета, которые смешиваясь создают на экране необходимый оттенок.
Варианты использования
Многие стандартные проекторы и проекционные HD-телевизоры на основе DLP технологии используют всего одну DLP микросхему.
Белый свет проекционной ламы проходит через фокусирующую линзу и вращающийся цветной светофильтр. Таким образом, поверхность DLP чипа последовательно освещается светом одного из базовых (красный, зелёный или синий) или дополнительных (жёлтый, светло-голубой, пурпурный) цветов. Смена состояний зеркал и время, проводимое в каждом положении, регулируются в зависимости от освещающего их цвета. Последовательно проецируемые цвета смешиваются и создают видимое нами на экране полноцветное изображение.
Технология DLP позволяет создавать проекторы очень высокой яркости, в том числе широкоформатные кинотеатрального типа. В таких проекторах используется конфигурация с тремя DLP микросхемами.
В трёх-чиповой конфигурации поток белого света разделяется призмой на три монохромных потока: красный, зелёный и синий. Каждый поток направляется на поверхность своего чипа; отражённые от микрозекал цветные лучи фокусируются на экран проекционной линзой.
Проекционные DLP системы, независимо от конструкции и сферы применения, постоянно совершенствуясь поднимают планку качества и характеристик проецируемой на экран картинки. Все начинается с миниатюрного изображения, отражаемого миллионами микрозеркал, которое затем превращается в изумительную широкоформатную картину!
Преимущества DLP технологии
Сверхчеткое изображение
Получаемые по DLP технологии видео и графика отличаются повышенной резкостью за счет минимизации промежутка между соседними пикселями изображения. Расстояние между ними составляет менее одного микрона, поэтому качество такого цифрового проецирования вплотную приближается к качеству аналогового проецирования с плёнки.
Выдающееся «голливудское» качество изображения
Невероятно высокое качество полностью цифрового изображения, получаемого по технологии DLP Cinema, изменяет привычное представление о посещении кинотеатра. Такими же достоинствами обладают проекторы и проекционные телевизоры на основе DLP технологии, демонстрирующие поразительно ясные фотокадры, потрясающее видео с невероятной яркостью и цветопередачей. Достоверность изображения такова, что вы забываете о том, что всё действие происходит только на экране.
Формат высокого разрешения 1080p
Технология DLP позволяет отображать на экране более двух миллионов пикселей при максимальном разрешении 1920х1080, что соответствует формату Full HD 1080p. DLP проектор или телевизор с разрешением 1080p позволяют в полной мере насладиться телепрограммами высокой чёткости, фильмами или играми с Blu-ray дисков.
Выдающееся качество изображения и не имеющий аналогов показатель времени отклика делают технологию DLP 1080p идеальным вариантом для видеоигр, просмотра спортивных программ и кинофильмов. При этом проекционные DLP телевизоры и проекторы обладают высокой надежностью и долговечностью.
Реальное изображение
Технология DLP передает изображение непревзойдённого качества с кристальной чистотой, резкостью и реальной динамичностью. Технология позволяет добиться крайне высоких значений контрастности (до 20000:1), что обеспечивает ярчайшие белые и богатейшие темные тона, картинка будто сходит с экрана!
Цифровая проекция обеспечивает абсолютную точность
Отражающий DLP чип имеет полностью цифровое управление. Миллионы управляемых в цифровом режиме микрозеркал передают абсолютно точное и живое изображение с богатой цветовой палитрой.
Идеальная передача динамических сцен
Сверхбыстрая DLP микросхема обладает непревзойдённым временем отклика в 16 миллисекунд. Проекторы и телевизоры на основе DLP технологии имеют точную и резкую картинку, необходимую для просмотра спортивных трансляций и динамических сюжетов, а также для видеоигр.
Потрясающее качество изображения и долговечность
Используя DLP технологию можно забыть о свойственном плазменным панелям и ЭЛТ телевизорам эффекте выгорания экранных пикселей. Так как данная технология не использует ни электроннолучевые трубки, ни фосфор, здесь нечему выгорать. Это означает, что можно не беспокоиться о том, что долго «висящий» на экране логотип телеканала или статичный элемент в заставке игры останется на экране выгоревшим контуром.
Подготовлен по материалам DLP.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP -системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор"». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5-6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
5. Проверить, введен ли режим коммерческой тайны
Дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Олег Нечеухин , эксперт по защите информационных систем, «Контур.Безопасность»
Перед тем как подробно изучать и обсуждать рынок DLP-систем, нужно определиться с тем, что под этим подразумевается. Под DLP-системами обычно понимают программные продукты, которые созданы для защиты организаций и предприятий от утечек секретной информации. Так и переводится на русский язык сама аббревиатура DLP (полностью - Data Leak Prevention) - "избежание утечек данных".
Такие системы способны создавать цифровой защищенный "периметр" для анализа всей исходящей или входящей информации. Контролируемая данной системой информация - интернет-трафик и многочисленные информационные потоки: документы, выносящиеся за пределы защищаемого "периметра" на внешних носителях, которые распечатываются на принтере, отправляются на мобильные устройства посредством Bluetooth. Поскольку в наши дни рассылка и обмен разного рода информацией - неизбежная необходимость, значение такой защиты очевидно. Чем больше цифровых и интернет-технологий используется, тем большие гарантии безопасности необходимы на ежедневной основе, особенно в корпоративной среде.
Как это работает?
Так как DLP-система должна противодействовать утечкам корпоративной конфиденциальной информации, то она, конечно же, обладает встроенными механизмами диагностики степени конфиденциальности любого документа, находящегося в перехваченном трафике. Распространенными в данном случае являются два способа распознавания степени конфиденциальности файлов: посредством проверки специальных маркеров и путём анализа содержимого.
В настоящее время актуален второй вариант. Он более устойчив перед модификациями, которые могут быть внесены в файл накануне его отправки, а также дает возможность легко расширять количество конфиденциальных документов, с которыми может работать система.
Второстепенные задачи DLP
Кроме своей основной функции, которая связана с тем, чтобы предотвратить утечку информации, DLP-системы также подходят для решения множества других задач, ориентированных на контроль над действиями персонала. Чаще всего DLP-системами решается ряд следующих задач:
- полный контроль использования рабочего времени, а также рабочих ресурсов персоналом организации;
- мониторинг коммуникаций сотрудников с целью обнаружения их возможности причинить вред организации;
- контроль над действиями сотрудников в плане правомерности (предотвращение изготовления поддельных документов);
- выявление сотрудников, которые рассылают резюме, для быстрого поиска персонала на освободившуюся должность.
Классификация и сравнение DLP-систем
Все существующие DLP-системы можно распределить по определенным признакам на несколько основных подтипов, каждый из которых будет выделяться и иметь свои преимущества в сравнении с остальными.
По возможности блокирования информации, которая опознается как конфиденциальная, имеются системы с активным либо пассивным постоянным контролем действий пользователей. Первые системы умеют блокировать передающуюся информацию, в отличие от вторых. Также они намного лучше могут бороться со случайными прохождениями информации на сторону, но при этом могут устроить остановку текущих бизнес-процессов компании, что является не лучшим их качеством в сравнении со вторыми.
Другая классификация DLP-систем может быть выполнена, исходя из их сетевой архитектуры. Шлюзовые DLP функционируют на промежуточных серверах. В отличие от них хостовые применяют агенты, которые работают конкретно на рабочих станциях сотрудников. На данный момент более актуальным вариантом выступает одновременное применение хостовых и шлюзовых компонентов, но первые имеют определенные преимущества.
Мировой современный рынок DLP
В данный момент главные места на мировом рынке DLP-систем занимают компании, широко известные в данной сфере. К ним можно отнести Symantec, TrendMicro, McAffee, WebSense.
Symantec
Symantec сохраняет лидирующие позиции на рынке DLP, хотя этот факт и удивляет, так как многие другие компании могут заменить ее. Решение все так же состоит из модульных компонентов, которые позволяют обеспечивать новейшие возможности, рассчитанные на интеграцию систем DLP в наилучших технологиях. Дорожная технологическая карта на настоящий год составлялась с использованием сведений своих клиентов и является сегодня самой прогрессивной из имеющихся на рынке. Вместе с тем это далеко не самый лучший выбор DLP-системы.
Сильные стороны:
- значительное улучшение технологии Content-Aware DLP для портативных устройств;
- усовершенствование возможностей извлечения контента, по причине чего поддерживается наиболее комплексный подход;
- доработка интеграции возможностей DLP с иными продуктами Symantec (наиболее ярким примером может выступить Data Insight).
То, на что необходимо обратить внимание (немаловажные минусы в работе, над которыми стоит задуматься):
- несмотря на то что дорожная технологическая карта у Symantec считается прогрессивной, реализация ее зачастую происходит с заминками;
- даже при том, что консоль управления является в полной мере функциональной, ее конкурентоспособность не так высока, как заявляют специалисты Symantec;
- нередко клиенты этой системы жалуются на время реакции службы поддержки;
- цена на данное решение по-прежнему значительно выше, чем у разработок конкурентов, которые со временем могут занять лидирующее место благодаря малым изменениям в этой системе.
Websense
Последние несколько лет разработчики регулярно улучшают DLP-предложение Websense. Его смело можно считать полнофункциональным решением. Websense обеспечил современного пользователя расширенными возможностями.
Выигрышные стороны:
- Со стороны Websense выдвигается предложение, связанное с применением полнофункционального решения DLP-системами, поддерживающего конечные точки и обнаружение данных.
- Посредством функции drip DLP возможно обнаружение постепенных утечек информации, достаточно долго длящихся по времени.
Что заслуживает особого внимания:
- Редактировать данные можно только в покое.
- Технологическая карта характеризуется слабой мощностью.
McAfee DLP
Успела подвергнуться множеству изменений положительного характера и DLP-система безопасности McAfee. Ей не свойственно наличие особых функций, однако реализация базовых возможностей организована на высоком уровне. Ключевое отличие, если не считать интеграцию с иными продуктами консоли McAfee ePolicy Orchestrator (EPO), состоит в применении технологии хранения в централизованной базе захваченных данных. С помощью такой базы можно добиться их применения для оптимизации новых правил с целью проведения тестирования на предмет вероятности ложных срабатываний и для того, чтобы сократить время развертывания.
Что больше всего привлекает в данном решении?
Организацию управления инцидентами смело можно назвать сильной стороной решения McAfee. С его помощью осуществляется прикрепление документов и комментариев, сулящих пользу при проработке на любом уровне. Данное решение способно обнаружить нетекстовой контент, например, картинку. Возможен вариант развёртывания DLP-системами от этого разработчика нового решения с целью защиты конечных точек, например, stand-alone.
Достаточно хорошо показали себя функции, нацеленные на развивающиеся платформы, представленные в форме устройств мобильной связи и социальных сетей. Это позволяет им обойти конкурентные решения. Посредством базы данных, содержащей захваченную информацию, осуществляется анализ новых правил, что способствует снижению числа ложных срабатываний и ускорению внедрения правил. Решение McAfee DLP наделено базовыми функциями в виртуальной среде. Планы, касающиеся их развития, ещё не совсем четко сформулированы.
Перспективы и современные DLP-системы
Обзор различных решений, представленный выше, показывает, что все они работают одинаковым образом. По мнению экспертов, главная тенденция развития состоит в том, что «заплаточные» системы, содержащие компоненты от нескольких производителей, занимающихся решением определенных задач, сменятся интегрированным программным комплексом. Этот переход будет осуществлен по причине потребности в избавлении специалистов от решения некоторых проблем. Кроме того, будут постоянно совершенствоваться имеющиеся DLP-системы, аналоги которых не могут обеспечить тот же уровень защиты.
Например, посредством комплексных интегрированных систем будет определяться совместимость компонентов «заплаточной» системы разного рода между собой. Это поспособствует лёгкой смене настроек для массивов огромного масштаба клиентских станций в организациях и одновременно отсутствию трудностей с переносом данных компонентами единой интегрированной системы друг в друга. Разработчики интегрированных систем усиливают специфику задач, направленных на обеспечение информационной безопасности. Ни один канал нельзя оставлять без контроля, ведь по нему часто происходит вероятная утечка информации.
Что будет в ближайшее время?
Западным изготовителям, пытающимся занять рынок DLP-систем в государствах СНГ, пришлось столкнуться с проблемами, касающимися поддержки национальных языков. Они достаточно активно интересуются нашим рынком, поэтому стремятся поддерживать русский язык.
В сфере DLP наблюдается переход к использованию модульной структуры. Заказчику будет предоставлена возможность выбора в самостоятельном порядке требуемых именно ему компонентов системы. Также развитие и внедрение DLP-систем зависит от отраслевой специфики. Вероятнее всего, появятся специальные версии известных систем, адаптация которых будет подчинена работе в банковской сфере или же госучреждениях. Здесь будут учтены соответствующие запросы конкретных организаций.
Корпоративная безопасность
Непосредственное влияние на направление развития DLP-систем имеет использование в корпоративной среде ноутбуков. Этот вид портативных компьютеров имеет гораздо больше уязвимостей, ввиду чего требуется усиление защиты. Из-за специфики лэптопов (возможности кражи информации и самого устройства) производители DLP-систем занимаются разработкой новых подходов к обеспечению безопасности портативных компьютеров.
D LP-систему используют, когда необходимо обеспечить защиту конфиденциальных данных от внутренних угроз. И если специалисты по информационной безопасности в достаточной мере освоили и применяют инструменты защиты от внешних нарушителей, то с внутренними дело обстоит не так гладко.
Использование в структуре информационной безопасности DLP-системы предполагает, что ИБ-специалист понимает:
- как сотрудники компании могут организовать утечку конфиденциальных данных;
- какую информацию следует защищать от угрозы нарушения конфиденциальности.
Всесторонние знания помогут специалисту лучше понять принципы работы технологии DLP и настроить защиту от утечек корректным образом.
DLP-система должна уметь отличать конфиденциальную информацию от неконфиденциальной. Если анализировать все данные внутри информационной системы организации, возникает проблема избыточной нагрузки на IT-ресурсы и персонал. DLP работает в основном «в связке» с ответственным специалистом, который не только «учит» систему корректно работать, вносит новые и удаляет неактуальные правила, но и проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.
Функциональность DLP-системы строится вокруг «ядра» - программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа.
Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.
Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра».
Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа. Технология лингвистической аналитики включает:
- морфологический анализ - поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
- семантический анализ - поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.
Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.
Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами «обучения», однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов.
К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.
Статистические методы анализа , напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.
На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint - «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности.
Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие - зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы.
С формированием хешей связан и другой недостаток. В развитых IT-системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.
Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента.
Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.
В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга.
Определить, какие технологии присутствуют в ядре, можно .
Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP-система. Их два:
Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.
Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах ( , FTP, ), но и о более новых системах сетевого обмена (Instant Messengers, ). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.
Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что , какие документы , что набирается на клавиатуре, записывать аудиоматериалы, делать . На уровне конечной рабочей станции перехватывается шифрованный трафик (), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.
Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.
Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.