Co je dlp. Prevence úniku dat - DLP. Zvažte algoritmus reakce na incident

I ty nejmódnější IT termíny by měly být používány vhodně a co nejsprávněji. Alespoň proto, abychom spotřebitele neuváděli v omyl. Rozhodně se stalo módou klasifikovat se jako tvůrce DLP řešení. Například na nedávné výstavě CeBIT-2008 byl nápis „DLP solution“ často k vidění na stáncích výrobců nejen ve světě málo známých antivirů a proxy serverů, ale dokonce i firewallů. Občas byl pocit, že za dalším rohem je vidět jakýsi CD ejector (program, který ovládá otevírání CD mechaniky) s hrdým sloganem firemního DLP řešení. A kupodivu každý z těchto výrobců měl zpravidla více či méně logické vysvětlení pro takové umístění svého produktu (samozřejmě kromě touhy získat „gesheft“ z módního termínu).

Než se zamyslíme nad trhem výrobců DLP systémů a jeho hlavních hráčů, je nutné definovat, co rozumíme pod pojmem DLP systém. Pokusů definovat tuto třídu informačních systémů bylo mnoho: ILD&P – Information Leakage Detection & Prevention („identifikace a prevence úniku informací“, termín navrhla IDC v roce 2007), ILP – Information Leakage Protection („ochrana před únikem informací“ ”, Forrester , 2006), ALS - Anti-Leakage Software (“anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (obdoba Intrusion-prevention system).

Nicméně název DLP - Data Loss Prevention (neboli Data Leak Prevention, ochrana proti úniku dat), navržený v roce 2005, se stal běžně používaným termínem. Vnitřní hrozby jsou přitom chápány jako zneužití (úmyslné či náhodné) ze strany zaměstnanců organizace, kteří mají zákonná práva na přístup k příslušným datům, jejich pravomoci.

Nejkoherentnější a nejkonzistentnější kritéria pro příslušnost k systémům DLP předložila výzkumná agentura Forrester Research během své každoroční studie tohoto trhu. Navrhli čtyři kritéria, podle kterých lze systém klasifikovat jako DLP. jeden.

Vícekanálový. Systém musí být schopen monitorovat několik možných kanálů úniku dat. V síťovém prostředí je to přinejmenším e-mail, Web a IM (instant messenger) a nejen skenování poštovního provozu nebo aktivity databáze. Na pracovní stanici - sledování operací se soubory, práce se schránkou, ale i ovládání e-mailu, webu a IM. 2.

jednotné řízení. Systém musí mít jednotné prostředky pro řízení politiky informační bezpečnosti, analýzy a hlášení událostí napříč všemi monitorovacími kanály. 3.

Aktivní ochrana. Systém by měl porušení bezpečnostní politiky nejen odhalovat, ale v případě potřeby i vymáhat. Například blokovat podezřelé zprávy. čtyři.

Na základě těchto kritérií společnost Forrester v roce 2008 vybrala ke kontrole a hodnocení 12 dodavatelů softwaru (jsou uvedeni níže v abecedním pořadí, přičemž v závorce je uveden název společnosti, kterou tento prodejce získal za účelem vstupu na trh DLP):

1. kód zelený;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. rekonnex;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. pracovní podíl.

K dnešnímu dni jsou z výše uvedených 12 prodejců na ruském trhu v té či oné míře zastoupeny pouze InfoWatch a Websense. Zbytek buď v Rusku nepracuje vůbec, nebo právě oznámil svůj záměr začít prodávat DLP řešení (Trend Micro).

S ohledem na funkcionalitu systémů DLP zavádějí analytici (Forrester, Gartner, IDC) kategorizaci objektů ochrany - typů informačních objektů, které mají být monitorovány. Taková kategorizace umožňuje jako první přiblížení posoudit rozsah konkrétního systému. Existují tři kategorie monitorovacích objektů.

1. Data v pohybu (data v pohybu) – e-mailové zprávy, internetové pagery, sítě peer-to-peer, přenos souborů, webový provoz a další typy zpráv, které lze přenášet komunikačními kanály. 2. Data v klidu (uložená data) - informace o pracovních stanicích, noteboocích, souborových serverech, specializovaných úložištích, USB zařízeních a dalších typech zařízení pro ukládání dat.

3. Data-in-use (data in use) - aktuálně zpracovávané informace.

V současné době má náš trh zhruba dvě desítky tuzemských i zahraničních produktů, které mají některé vlastnosti DLP systémů. Stručné informace o nich v duchu výše uvedené klasifikace jsou uvedeny v tabulce. 1 a 2. Také v tabulce. 1 zavedl takový parametr jako „centralizované úložiště dat a audit“, který implikuje schopnost systému ukládat data do jednoho úložiště (pro všechny monitorovací kanály) pro jejich další analýzu a audit. Tato funkcionalita nabývá v poslední době zvláštního významu nejen kvůli požadavkům různých legislativních aktů, ale také kvůli oblibě mezi zákazníky (podle zkušeností z realizovaných projektů). Veškeré informace obsažené v těchto tabulkách jsou převzaty z veřejných zdrojů a marketingových materiálů příslušných společností.

Na základě údajů v tabulkách 1 a 2 můžeme usoudit, že dnes v Rusku existují pouze tři systémy DLP (od InfoWatch, Perimetrix a WebSence). Zahrnují také nedávno oznámený integrovaný produkt společnosti Jet Infosystems (SKVT + SMAP), protože bude pokrývat několik kanálů a bude mít jednotnou správu bezpečnostních politik.

O tržních podílech těchto produktů v Rusku je poměrně obtížné hovořit, protože většina zmíněných výrobců nezveřejňuje objemy prodeje, počet klientů a chráněných pracovních stanic a omezuje se pouze na marketingové informace. Můžeme pouze s jistotou říci, že hlavními dodavateli jsou v tuto chvíli:

• Dozor systémy, přítomné na trhu od roku 2001;
• produkty InfoWatch prodávané od roku 2004;
• WebSense CPS (začal se prodávat v Rusku a po celém světě v roce 2007);
• Perimetrix (mladá společnost, jejíž první verze jejích produktů byla oznámena na svých webových stránkách na konci roku 2008).

Na závěr bych rád dodal, že příslušnost či nepatření do třídy DLP systémů produkty nezhoršuje ani nezlepšuje – jde jen o zařazení a nic víc.

Tabulka 1. Produkty na ruském trhu s určitými vlastnostmi systémů DLP

Společnost	Produkt	Vlastnosti produktu
		Ochrana „dat v pohybu“ (data-in-motion)	Ochrana dat při používání	Ochrana dat v klidu	Centralizované úložiště a audit
InfoWatch	Monitor provozu I.W	Ano	Ano	Ne	Ano
	I.W. CryptoStorage	Ne	Ne	Ano	Ne
obvod	SafeSpace	Ano	Ano	Ano	Ano
Jet Infosystémy	Dozor Jet (SKVT)	Ano	Ne	Ne	Ano
	Dozor Jet (SMAP)	Ano	Ne	Ne	Ano
Společnost Smart Line Inc.	DeviceLock	Ne	Ano	Ne	Ano
SecurIT	Zlock	Ne	Ano	Ne	Ne
	Tajemník	Ne	Ano	Ne	Ne
SpectorSoft	Spector 360	Ano	Ne	Ne	Ne
Zabezpečení Lumension	Ovládání zařízení útočiště	Ne	Ano	Ne	Ne
websense	Ochrana obsahu Websense	Ano	Ano	Ano	Ne
Informzaschita	bezpečnostní studio	Ne	Ano	Ano	Ne
Primetek	člověk zevnitř	Ne	Ano	Ne	Ne
Software AtomPark	štábní policista	Ne	Ano	Ne	Ne
SoftInform	SearchInformServer	Ano	Ano	Ne	Ne

Tabulka 2. Soulad výrobků prezentovaných na ruském trhu s kritérii pro příslušnost do třídy systémů DLP

Společnost	Produkt	Kritérium příslušnosti k systémům DLP
		Vícekanálový	Jednotné řízení	Aktivní ochrana	Zohlednění obsahu i kontextu
InfoWatch	Monitor provozu I.W	Ano	Ano	Ano	Ano
obvod	SafeSpace	Ano	Ano	Ano	Ano
"Informační systémy Jet"	"Dozor Jet" (SKVT)	Ne	Ne	Ano	Ano
	"Dozor Jet" (SMAP)	Ne	Ne	Ano	Ano
Společnost Smart Line Inc.	DeviceLock	Ne	Ne	Ne	Ne
SecurIT	Zlock	Ne	Ne	Ne	Ne
Software Smart Protection Labs	Tajemník	Ano	Ano	Ano	Ne
SpectorSoft	Spector 360	Ano	Ano	Ano	Ne
Zabezpečení Lumension	Ovládání zařízení útočiště	Ne	Ne	Ne	Ne
websense	Ochrana obsahu Websense	Ano	Ano	Ano	Ano
"Informzaschita"	bezpečnostní studio	Ano	Ano	Ano	Ne
Primetek	člověk zevnitř	Ano	Ano	Ano	Ne
"AtomPark Software"	štábní policista	Ano	Ano	Ano	Ne
"SoftInform"	SearchInformServer	Ano	Ano	Ne	Ne
"informační obrana"	"Infoperimetr"	Ano	Ano	Ne	Ne

Nabízíme řadu markerů, které vám pomohou vytěžit maximum z jakéhokoli systému DLP.

DLPsystémy: co to je

Připomeňme, že DLP-systémy (Data Loss / Leak Prevention) umožňují ovládat všechny kanály firemní síťové komunikace (pošta, internet, systémy pro rychlé zasílání zpráv, flash disky, tiskárny atd.). Ochrana proti úniku informací je dosažena díky tomu, že na všech počítačích zaměstnanců jsou nainstalováni agenti, kteří shromažďují informace a přenášejí je na server. Někdy jsou informace shromažďovány prostřednictvím brány pomocí technologií SPAN. Informace jsou analyzovány a poté systém nebo bezpečnostní důstojník rozhodne o incidentu.

Vaše společnost tedy zavedla systém DLP. Jaké kroky je třeba podniknout, aby systém fungoval efektivně?

1. Správně nakonfigurujte pravidla zabezpečení

Představme si, že v systému obsluhujícím 100 počítačů bylo vytvořeno pravidlo "Opravit veškerou korespondenci se slovem" smlouva ". Takové pravidlo vyvolá velké množství incidentů, při kterých může dojít ke ztrátě skutečného úniku.

Navíc ne každá společnost si může dovolit udržovat celý tým zaměstnanců, kteří sledují incidenty.

Chcete-li zvýšit míru užitečnosti pravidel, můžete použít nástroje pro vytváření efektivních pravidel a sledování výsledků jejich práce. Každý systém DLP má funkci, která vám to umožňuje.

Metodika obecně zahrnuje analýzu nashromážděné databáze incidentů a vytváření různých kombinací pravidel, které v ideálním případě vedou k výskytu 5-6 skutečně naléhavých incidentů denně.

2. V pravidelných intervalech aktualizujte bezpečnostní pravidla

Prudký pokles nebo nárůst počtu incidentů je indikátorem toho, že je třeba upravit pravidla. Důvodem může být to, že pravidlo ztratilo svou relevanci (uživatelé přestali přistupovat k určitým souborům) nebo se zaměstnanci pravidlo naučili a již neprovádějí akce zakázané systémem (DLP - školicí systém). Praxe však ukazuje, že pokud se naučíte jedno pravidlo, pak v sousedním místě se potenciální rizika úniku zvýšila.

Měli byste také věnovat pozornost sezónnosti v práci podniku. V průběhu roku se mohou změnit klíčové parametry související se specifiky práce společnosti. Například pro velkoobchodního dodavatele drobného vybavení budou na jaře relevantní kola a na podzim sněžné skútry.

3. Zvažte algoritmus odezvy na incident

Existuje několik přístupů k reakci na incidenty. Při testování a spouštění systémů DLP lidé většinou nejsou upozorněni na změny. Účastníci incidentů jsou pouze pozorováni. Při nahromadění kritického množství s nimi komunikuje zástupce bezpečnostního oddělení nebo personálního oddělení. Práce s uživateli je v budoucnu často ponechána napospas zástupcům bezpečnostního oddělení. Dochází k minikonfliktům, v týmu se hromadí negativní. Může se vylít při záměrné sabotáži zaměstnanců ve vztahu k firmě. Je důležité najít rovnováhu mezi požadavkem disciplíny a udržením zdravé atmosféry v týmu.

4. Zkontrolujte fungování režimu blokování

V systému existují dva způsoby reakce na incident – ​​oprava a zablokování. Pokud je zablokováno každé přeposlání dopisu nebo připojení připojeného souboru na flash disk, způsobí to uživateli problémy. Zaměstnanci často útočí na správce systému s požadavky na odblokování některých funkcí, s takovým nastavením může být nespokojeno i vedení. Výsledkem je, že systém DLP a společnost obdrží negativum, systém je zdiskreditován a demaskován.

5. Zkontrolujte, zda nebyl zaveden režim obchodního tajemství

Umožňuje učinit určité informace důvěrnými a také zavazuje každou osobu, která o nich ví, nést plnou právní odpovědnost za jejich zveřejnění. V případě závažného úniku informací v režimu obchodního tajemství působícího v podniku může porušovatel vymáhat výši skutečné a morální škody soudní cestou v souladu s 98-FZ „O obchodním tajemství“.

Doufáme, že tyto tipy pomohou snížit počet neúmyslných úniků ve firmách, protože systémy DLP jsou navrženy tak, aby se s nimi úspěšně vypořádaly. Nemělo by se však zapomínat na složitý systém zabezpečení informací a na to, že zvláštní pozornost vyžadují záměrné úniky informací. Existují moderní řešení, která umožňují doplnit funkčnost DLP systémů a výrazně snížit riziko úmyslných úniků. Jeden z vývojářů například nabízí zajímavou technologii – když se k důvěrným souborům přistupuje podezřele často, webkamera se automaticky zapne a začne nahrávat. Právě tento systém umožnil zaznamenat, jak nešťastný únosce aktivně pořizoval screenshoty pomocí mobilní kamery.

Oleg Necheukhin, Expert na bezpečnost informačních systémů, Kontur.Security

28.01.2014 Sergej Korablev

Výběr jakéhokoli produktu na podnikové úrovni není pro technické specialisty a osoby s rozhodovací pravomocí triviálním úkolem. Ještě obtížnější je zvolit systém ochrany před únikem dat (DLP – Data Leak Protection). Absence jednotného koncepčního systému, pravidelné nezávislé srovnávací studie a složitost samotných produktů nutí spotřebitele objednávat si pilotní projekty u výrobců a samostatně provádět četné testy, určující rozsah vlastních potřeb a korelovat je se schopnostmi stávajících systémů. testováno

Takový přístup je jistě správný. Vyvážené a v některých případech i těžce vybojované rozhodnutí zjednoduší další implementaci a zabrání zklamání z provozu konkrétního produktu. Rozhodovací proces se však v tomto případě může zpozdit, když ne o roky, tak o mnoho měsíců. Neustálé rozšiřování trhu, vznik nových řešení a výrobců navíc dále komplikují úkol nejen vybrat produkt k implementaci, ale také vytvořit předběžný shortlist vhodných DLP systémů. Za takových podmínek mají aktuální revize systémů DLP pro technické specialisty nepochybnou praktickou hodnotu. Mělo by být konkrétní řešení zahrnuto do seznamu testů nebo by bylo příliš složité na implementaci v malé organizaci? Lze toto řešení škálovat na společnost s 10 000 zaměstnanci? Může systém DLP ovládat důležité podnikové soubory CAD? Otevřené srovnání nenahradí důkladné testování, ale pomůže zodpovědět základní otázky, které vyvstanou v počáteční fázi procesu výběru DLP.

členové

Jako účastníci byly vybrány nejoblíbenější (podle analytického centra Anti-Malware.ru k polovině roku 2013) DLP systémy společností InfoWatch, McAfee, Symantec, Websense, Zecurion a Jet Infosystem na ruském trhu informační bezpečnosti.

Pro analýzu byly použity komerčně dostupné verze DLP systémů v době přípravy recenze a také dokumentace a otevřené recenze produktů.

Kritéria pro porovnání systémů DLP byla vybrána na základě potřeb společností různých velikostí a odvětví. Hlavním úkolem systémů DLP je zabránit úniku důvěrných informací různými kanály.

Příklady produktů těchto společností jsou uvedeny na obrázcích 1-6.

Obrázek 3 Produkt Symantec

Obrázek 4. Produkt InfoWatch

Obrázek 5. Produkt Websense

Obrázek 6. Produkt McAfee

Provozní režimy

Dva hlavní provozní režimy systémů DLP jsou aktivní a pasivní. Aktivní – obvykle hlavní režim provozu, který blokuje akce porušující bezpečnostní zásady, jako je odesílání citlivých informací do externí schránky. Pasivní režim se nejčastěji používá ve fázi konfigurace systému ke kontrole a úpravě nastavení, když je podíl falešně pozitivních výsledků vysoký. V tomto případě jsou zaznamenána porušení zásad, ale nejsou uložena omezení pohybu informací (tabulka 1).

V tomto aspektu se všechny uvažované systémy ukázaly jako rovnocenné. Každé z DLP může pracovat v aktivním i pasivním režimu, což dává zákazníkovi určitou volnost. Ne všechny společnosti jsou připraveny okamžitě začít provozovat DLP v blokačním režimu - to je plné narušení obchodních procesů, nespokojenosti ze strany zaměstnanců řízených oddělení a reklamací (včetně oprávněných) ze strany vedení.

Technika

Detekční technologie umožňují klasifikovat informace přenášené elektronickými kanály a identifikovat důvěrné informace. Dnes existuje několik základních technologií a jejich odrůd, které jsou v podstatě podobné, ale liší se v implementaci. Každá technologie má své výhody i nevýhody. Kromě toho jsou pro analýzu informací různých tříd vhodné různé typy technologií. Výrobci DLP řešení se proto snaží do svých produktů integrovat maximum technologií (viz tabulka 2).

Produkty obecně poskytují velké množství technologií, které, pokud jsou správně nakonfigurovány, poskytují vysoké procento rozpoznání důvěrných informací. DLP McAfee, Symantec a Websense jsou pro ruský trh poměrně špatně přizpůsobeny a nemohou uživatelům nabídnout podporu pro „jazykové“ technologie – morfologii, analýzu přepisu a maskovaný text.

Řízené kanály

Každý kanál přenosu dat je potenciálním kanálem pro úniky. I jeden otevřený kanál může negovat veškeré úsilí služby informační bezpečnosti, která řídí toky informací. Proto je tak důležité zablokovat kanály, které zaměstnanci nepoužívají k práci, a zbytek kontrolovat pomocí systémů prevence úniku.

Navzdory skutečnosti, že nejlepší moderní DLP systémy jsou schopny monitorovat velké množství síťových kanálů (viz tabulka 3), je vhodné blokovat nepotřebné kanály. Pokud například zaměstnanec pracuje na počítači pouze s interní databází, má smysl mu zcela zakázat přístup na internet.

Podobné závěry platí také pro místní únikové kanály. Je pravda, že v tomto případě může být obtížnější blokovat jednotlivé kanály, protože porty se často používají k připojení periferií, I / O zařízení atd.

Šifrování hraje zvláštní roli při prevenci úniků přes místní porty, mobilní disky a zařízení. Šifrovací nástroje jsou poměrně snadno použitelné, jejich použití může být pro uživatele transparentní. Ale zároveň vám šifrování umožňuje vyloučit celou třídu úniků spojených s neoprávněným přístupem k informacím a ztrátou mobilních disků.

Situace s kontrolou místních agentů je obecně horší než u síťových kanálů (viz tabulka 4). Všechny produkty úspěšně ovládají pouze zařízení USB a místní tiskárny. Také, navzdory důležitosti šifrování uvedené výše, je taková možnost přítomna pouze u určitých produktů a funkce vynuceného šifrování založená na analýze obsahu je přítomna pouze v Zecurion DLP.

Aby se zabránilo únikům, je důležité nejen rozpoznat citlivá data při přenosu, ale také omezit distribuci informací ve firemním prostředí. K tomu výrobci začleňují do systémů DLP nástroje, které dokážou identifikovat a klasifikovat informace uložené na serverech a pracovních stanicích v síti (viz Tabulka 5). Data, která porušují zásady zabezpečení informací, musí být smazána nebo přesunuta do zabezpečeného úložiště.

K detekci důvěrných informací v uzlech podnikové sítě se používají stejné technologie jako ke kontrole úniků prostřednictvím elektronických kanálů. Hlavní rozdíl je architektonický. Pokud se analyzuje síťový provoz nebo operace se soubory, aby se zabránilo úniku, pak jsou uložené informace – obsah pracovních stanic a síťových serverů – prozkoumány, aby se zjistily neoprávněné kopie důvěrných dat.

Z uvažovaných DLP systémů pouze InfoWatch a Dozor-Jet ignorují použití prostředků pro identifikaci umístění úložišť informací. Toto není kritická funkce pro elektronickou prevenci úniku, ale značně omezuje schopnost systémů DLP proaktivně předcházet únikům. Pokud se například důvěrný dokument nachází v podnikové síti, nejedná se o únik informací. Pokud však umístění tohoto dokumentu není regulováno, pokud vlastníci informací a bezpečnostní pracovníci nevědí o umístění tohoto dokumentu, může to vést k úniku. Neoprávněný přístup k informacím je možný nebo na dokument nebudou uplatněna příslušná bezpečnostní pravidla.

Snadné ovládání

Vlastnosti, jako je snadné použití a ovládání, mohou být stejně důležité jako technické možnosti řešení. Skutečně komplexní produkt bude totiž obtížně realizovatelný, projekt zabere více času, úsilí a tím i financí. Již implementovaný systém DLP vyžaduje pozornost technických specialistů. Bez řádné údržby, pravidelného auditu a úprav nastavení se kvalita rozpoznávání důvěrných informací časem dramaticky sníží.

Ovládací rozhraní v rodném jazyce bezpečnostního pracovníka je prvním krokem ke zjednodušení práce se systémem DLP. Usnadní nejen pochopení toho, za co je to či ono nastavení zodpovědné, ale také výrazně urychlí proces konfigurace velkého množství parametrů, které je potřeba nakonfigurovat, aby systém správně fungoval. Angličtina může být užitečná i pro rusky mluvící administrátory pro jednoznačný výklad konkrétních technických pojmů (viz tabulka 6).

Většina řešení poskytuje celkem pohodlnou správu z jediné (pro všechny komponenty) konzole s webovým rozhraním (viz Tabulka 7). Výjimkou jsou ruské InfoWatch (neexistuje jediná konzole) a Zecurion (chybí webové rozhraní). Oba výrobci přitom již oznámili podobu webové konzole ve svých budoucích produktech. Neexistence jediné konzole v InfoWatch je způsobena odlišným technologickým základem produktů. Vývoj vlastního agenturního řešení byl na několik let přerušen a aktuální EndPoint Security je nástupcem produktu třetí strany EgoSecure (dříve známého jako cynapspro), který společnost získala v roce 2012.

Dalším bodem, který lze přičíst k nevýhodám řešení InfoWatch, je to, že pro konfiguraci a správu vlajkového DLP produktu InfoWatch TrafficMonitor je potřeba znát speciální skriptovací jazyk LUA, což komplikuje chod systému. Nicméně pro většinu technických specialistů je třeba perspektivu zlepšení vlastní profesní úrovně a osvojení si dalšího, byť nepříliš běžného jazyka vnímat pozitivně.

Oddělení rolí správce systému je nezbytné pro minimalizaci rizik zamezení výskytu superuživatele s neomezenými právy a dalších machinací pomocí DLP.

Logování a hlášení

Archiv DLP je databáze, která shromažďuje a ukládá události a objekty (soubory, dopisy, http požadavky atd.) zaznamenané senzory systému během jeho provozu. Informace shromážděné v databázi lze použít pro různé účely, včetně analýzy uživatelských akcí, ukládání kopií kritických dokumentů, jako základ pro vyšetřování incidentů zabezpečení informací. Kromě toho je základ všech událostí mimořádně užitečný ve fázi implementace systému DLP, protože pomáhá analyzovat chování komponent systému DLP (například zjistit, proč jsou některé operace blokovány) a upravit nastavení zabezpečení. (viz tabulka 8).

V tomto případě vidíme zásadní architektonický rozdíl mezi ruskými a západními DLP. Ty druhé vůbec nearchivují. Samotné DLP se v tomto případě stává jednodušší na údržbu (není potřeba udržovat, ukládat, zálohovat a studovat obrovské množství dat), nikoli však na provoz. Archiv událostí totiž pomáhá konfigurovat systém. Archiv pomáhá pochopit, proč byl přenos informací zablokován, zkontrolovat, zda pravidlo fungovalo správně, a provést potřebné opravy v nastavení systému. Je třeba také poznamenat, že systémy DLP potřebují nejen počáteční konfiguraci během implementace, ale také pravidelné „ladění“ během provozu. Systém, který není řádně udržován, nevychován technickými specialisty, hodně ztratí na kvalitě rozpoznávání informací. V důsledku toho se zvýší jak počet incidentů, tak počet falešných poplachů.

Reportování je důležitou součástí každé činnosti. Informační bezpečnost není výjimkou. Sestavy v systémech DLP provádějí několik funkcí najednou. Za prvé, stručné a srozumitelné zprávy umožňují vedoucím služeb informační bezpečnosti rychle monitorovat stav informační bezpečnosti, aniž by zacházeli do podrobností. Za druhé, podrobné zprávy pomáhají bezpečnostním pracovníkům upravovat zásady zabezpečení a nastavení systému. Za třetí, vizuální zprávy mohou být vždy zobrazeny vrcholovým manažerům společnosti, aby demonstrovaly výsledky systému DLP a samotným specialistům na informační bezpečnost (viz tabulka 9).

Téměř všechna konkurenční řešení probíraná v recenzi nabízejí jak grafické, vhodné pro vrcholové manažery a vedoucí služeb informační bezpečnosti, tak tabulkové reporty, vhodné spíše pro technické specialisty. Grafické sestavy chybí pouze v DLP InfoWatch, u kterých byly sníženy.

Osvědčení

Otázka potřeby certifikace nástrojů informační bezpečnosti a DLP zvláště je otevřená a odborníci na toto téma často polemizují v rámci odborných komunit. Shrneme-li názory stran, je třeba uznat, že certifikace sama o sobě neposkytuje vážné konkurenční výhody. Zároveň existuje řada zákazníků, především vládních organizací, pro které je přítomnost konkrétního certifikátu povinná.

Stávající certifikační postup navíc dobře nekoreluje s cyklem vývoje softwaru. V důsledku toho jsou spotřebitelé postaveni před volbu: koupit již zastaralou, ale certifikovanou verzi produktu, nebo aktuální, ale necertifikovanou verzi. Standardním východiskem v této situaci je nákup certifikovaného produktu „na regálu“ a použití nového produktu v reálném prostředí (viz tabulka 10).

Výsledky srovnání

Shrňme si dojmy z uvažovaných DLP řešení. Obecně vzato, všichni účastníci udělali příznivý dojem a lze je využít k zabránění úniku informací. Rozdíly v produktech umožňují určit rozsah jejich použití.

Systém InfoWatch DLP lze doporučit organizacím, pro které je zásadně důležité vlastnit certifikát FSTEC. Poslední certifikovaná verze InfoWatch Traffic Monitor však byla testována na konci roku 2010 a platnost certifikátu vyprší na konci roku 2013. Řešení založená na agentech založená na InfoWatch EndPoint Security (také známé jako EgoSecure) jsou vhodnější pro malé podniky a lze je používat odděleně od Traffic Monitor. Kombinované použití Traffic Monitor a EndPoint Security může způsobit problémy s škálováním ve velkých společnostech.

Produkty západních výrobců (McAfee, Symantec, Websense) jsou podle nezávislých analytických agentur mnohem méně populární než ty ruské. Důvodem je nízká úroveň lokalizace. A nejde ani o složitost rozhraní nebo chybějící dokumentaci v ruštině. Funkce technologií rozpoznávání důvěrných informací, předem nakonfigurované šablony a pravidla jsou „vybroušeny“ pro použití DLP v západních zemích a jsou zaměřeny na splnění západních regulačních požadavků. V důsledku toho je kvalita rozpoznávání informací v Rusku znatelně horší a dodržování požadavků zahraničních norem je často irelevantní. Samotné produkty přitom nejsou vůbec špatné, ale specifika používání DLP systémů na ruském trhu jim pravděpodobně v dohledné době neumožní stát se populárnějšími než domácí vývoj.

Zecurion DLP se vyznačuje dobrou škálovatelností (jediný ruský DLP systém s potvrzenou implementací pro více než 10 000 pracovišť) a vysokou technologickou vyspělostí. Překvapivá je však absence webové konzole, která by pomohla zjednodušit správu podnikového řešení zaměřeného na různé segmenty trhu. Mezi silné stránky Zecurion DLP patří vysoce kvalitní rozpoznávání důvěrných informací a celá řada produktů pro prevenci úniku, včetně ochrany na bráně, pracovních stanicích a serverech, detekce polohy a nástrojů pro šifrování dat.

Systém Dozor-Jet DLP, jeden z průkopníků domácího DLP trhu, je široce distribuován mezi ruské společnosti a stále roste jeho klientská základna díky rozsáhlému propojení systémového integrátora Jet Infosystems, part-time a DLP vývojáře. I když technologicky DLP poněkud zaostává za svými výkonnějšími kolegy, jeho použití lze v mnoha společnostech ospravedlnit. Na rozdíl od zahraničních řešení navíc Dozor Jet umožňuje archivovat všechny události a soubory.

Únikovými kanály, které vedou k odstranění informací mimo informační systém společnosti, mohou být síťové úniky (například e-mail nebo ICQ), lokální (použití externích USB disků), uložená data (databáze). Samostatně můžete zvýraznit ztrátu média (paměť flash, notebook). Systém může být zařazen do třídy DLP, pokud splňuje následující kritéria: vícekanálový (monitorování několika možných kanálů úniku dat); jednotné řízení (jednotné nástroje řízení pro všechny monitorovací kanály); aktivní ochrana (dodržování bezpečnostní politiky); s ohledem na obsah i kontext.

Konkurenční výhodou většiny systémů je modul analýzy. Výrobci tento modul zdůrazňují natolik, že po něm často pojmenovávají své produkty, například „Label-Based DLP Solution“. Uživatel proto často nevybírá řešení na základě výkonu, škálovatelnosti nebo jiných kritérií tradičních pro trh podnikové informační bezpečnosti, ale na základě typu použité analýzy dokumentů.

Protože každá metoda má své výhody a nevýhody, použití pouze jedné metody analýzy dokumentů na ní činí řešení technologicky závislým. Většina výrobců používá několik metod, i když jednou z nich je obvykle metoda „vlajkové lodi“. Tento článek je pokusem o klasifikaci metod používaných při analýze dokumentů. Jejich silné a slabé stránky jsou posuzovány na základě zkušeností z praktické aplikace několika typů výrobků. Článek zásadně nezvažuje konkrétní produkty, protože. hlavním úkolem uživatele při jejich výběru je eliminovat marketingová hesla jako „všechno ochráníme“, „unikátní patentovaná technologie“ a uvědomit si, co mu zbude, až prodejci odejdou.

Analýza kontejneru

Tato metoda analyzuje vlastnosti souboru nebo jiného kontejneru (archiv, kryptodisk atd.), který obsahuje informace. Hovorový název těchto metod je „řešení na etiketách“, což zcela plně odráží jejich podstatu. Každý kontejner obsahuje štítek, který jednoznačně identifikuje typ obsahu obsaženého v kontejneru. Uvedené metody prakticky nevyžadují výpočetní prostředky k analýze přesouvaných informací, protože štítek plně popisuje uživatelská práva na přesun obsahu po jakékoli trase. Ve zjednodušené podobě takový algoritmus zní takto: „existuje štítek - zakazujeme ho, neexistuje žádný štítek - přeskočíme ho“.

Výhody tohoto přístupu jsou zřejmé: rychlost analýzy a úplná absence chyb druhého druhu (kdy systém omylem detekuje otevřený dokument jako důvěrný). Takové metody se v některých zdrojích nazývají „deterministické“.

Nevýhody jsou také zřejmé – systém se stará pouze o označené informace: pokud není štítek nastaven, obsah není chráněn. Je nutné vyvinout postup pro označování nových a příchozích dokumentů a také systém, který zabrání přenosu informací z označeného kontejneru do neoznačeného prostřednictvím operací s vyrovnávací pamětí, operacemi se soubory, kopírováním informací z dočasných souborů atd.

Slabost takových systémů se projevuje i v organizaci označování. Pokud je umístí autor dokumentu, pak má se zlým úmyslem možnost neoznačit informace, které se chystá ukrást. Při absenci nekalého úmyslu se dříve nebo později objeví nedbalost nebo nedbalost. Pokud se zavážete označit určitého zaměstnance, například správcem informační bezpečnosti nebo správcem systému, nebude vždy schopen rozlišit důvěrný obsah od otevřeného, ​​protože nezná důkladně všechny procesy ve společnosti. Zůstatek „bílé“ by tedy měl být zveřejněn na webových stránkách společnosti a zůstatek „šedá“ nebo „černá“ nelze z informačního systému vyjmout. Ale pouze hlavní účetní dokáže rozlišit jedno od druhého, tzn. jeden z autorů.

Štítky se obvykle dělí na atributové, formátové a externí. Jak název napovídá, první jsou umístěny v atributech souboru, druhé jsou umístěny v polích samotného souboru a třetí jsou k souboru připojeny (spojeny s) externími programy.

Kontejnerové konstrukce v IB

Někdy jsou výhodami řešení na bázi tagů také nízké nároky na výkon záchytných zařízení, protože kontrolují pouze tagy, tzn. působit jako turnikety v metru: "pokud máte lístek - projděte." Nezapomínejte však, že zázraky se nedějí – v tomto případě se výpočetní zátěž přesouvá na pracovní stanice.

Místem rozhodování o etiketách, ať už jsou jakékoli, je ochrana úložišť dokumentů. Když má společnost úložiště dokumentů, které se na jedné straně doplňuje poměrně zřídka, a na druhé straně je přesně známa kategorie a stupeň utajení každého dokumentu, pak je nejjednodušší zorganizovat jeho ochranu pomocí štítků. Umístění štítků na dokumenty vstupující do úložiště můžete organizovat pomocí organizačního postupu. Například před odesláním dokumentu do úložiště může pracovník odpovědný za jeho fungování kontaktovat autora a specialistu s dotazem, jakou míru utajení dokumentu nastavit. Tento úkol je zvláště úspěšně řešen pomocí formátovacích značek, tzn. každý příchozí dokument je uložen v zabezpečeném formátu a poté vydán na žádost zaměstnance s uvedením, že je povolen ke čtení. Moderní řešení umožňují přidělit přístupová práva na omezenou dobu a po vypršení platnosti klíče se dokument jednoduše přestane číst. Podle tohoto schématu je například organizováno vydávání dokumentace pro výběrová řízení na veřejné zakázky ve Spojených státech: systém řízení zakázek generuje dokument, který lze číst bez možnosti měnit nebo kopírovat pouze obsah nabídky. účastníci uvedení v tomto dokumentu. Přístupový klíč je platný pouze do termínu odevzdání podkladů do soutěže, po jehož uplynutí se dokument přestává číst.

Společnosti také pomocí řešení založených na tagech organizují oběh dokumentů v uzavřených segmentech sítě, ve kterých koluje duševní vlastnictví a státní tajemství. Pravděpodobně nyní, podle požadavků federálního zákona „O osobních údajích“, bude také organizován tok dokumentů v personálních odděleních velkých společností.

Obsahová analýza

Při implementaci technologií popsaných v této části je na rozdíl od dříve popsaných naopak zcela lhostejné, v jakém kontejneru je obsah uložen. Účelem těchto technologií je extrahovat smysluplný obsah z kontejneru nebo zachytit přenos přes komunikační kanál a analyzovat informace na zakázaný obsah.

Hlavní technologie při odhalování zakázaného obsahu v kontejnerech jsou kontrola podpisů, kontrola založená na hash a lingvistické metody.

Podpisy

Nejjednodušší způsob ovládání je prohledat v datovém toku nějakou sekvenci znaků. Někdy se zakázaná sekvence znaků nazývá „stop word“, ale v obecnějším případě může být reprezentována nikoli slovem, ale libovolnou sadou znaků, například stejným štítkem. Obecně nelze tuto metodu připsat obsahové analýze ve všech jejích implementacích. Například ve většině zařízení třídy UTM dochází k hledání zakázaných podpisů v datovém toku bez extrahování textu z kontejneru při analýze toku „tak, jak je“. Nebo pokud je systém nakonfigurován pouze na jedno slovo, pak je výsledkem jeho práce určení 100% shody, tzn. metodu lze klasifikovat jako deterministickou.

Častěji se však při analýze textu stále používá hledání konkrétní sekvence znaků. V naprosté většině případů jsou podpisové systémy konfigurovány tak, aby vyhledávaly více slov a četnost výskytu pojmů, tzn. stále budeme tento systém odkazovat na systémy pro analýzu obsahu.

Mezi výhody této metody patří nezávislost na jazyce a snadné doplňování slovníku zakázaných výrazů: pokud chcete pomocí této metody hledat slovo v paštštině v datovém toku, nemusíte tento jazyk znát, stačí je potřeba vědět, jak se to píše. Snadno lze také přidat například přepsaný ruský text nebo „albánský“ jazyk, což je důležité například při analýze textů SMS, ICQ zpráv nebo blogových příspěvků.

Nevýhody se projeví při použití jiného než anglického jazyka. Bohužel většina výrobců systémů pro analýzu textu pracuje pro americký trh a angličtina je velmi „podpisová“ – slovní tvary se nejčastěji tvoří pomocí předložek, aniž by se slovo samotné změnilo. V ruštině je vše mnohem složitější. Vezměme si například slovo „tajné“, které je důvěrně známé pro důstojníka informační bezpečnosti. V angličtině to znamená jak podstatné jméno „secret“, přídavné jméno „secret“, tak sloveso „to keep secret“. V ruštině lze z kořene „tajemství“ vytvořit několik desítek různých slov. Tito. pokud v anglicky mluvící organizaci stačí, aby úředník pro informační bezpečnost zadal jedno slovo, v rusky mluvící organizaci bude muset zadat několik desítek slov a poté je změnit v šesti různých kódováních.

Navíc jsou takové metody nestabilní vůči primitivnímu kódování. Téměř všichni podlehnou oblíbenému triku začínajících spammerů – nahrazování postav podobnými. Autor opakovaně předvedl bezpečnostním důstojníkům elementární trik – průchod důvěrného textu podpisovými filtry. Je převzat text obsahující například frázi „přísně tajné“ a pro tuto frázi je nakonfigurován zachycovač pošty. Pokud je text otevřen v MS Word, pak dvousekundová operace: Ctrl + F, "najít "o" (ruské rozložení), "nahradit "o" (anglické rozložení), "nahradit vše", "odeslat document" - učiní dokument pro tento filtr absolutně neviditelný. O to větším zklamáním je, že taková výměna je prováděna běžnými prostředky MS Word nebo jiným textovým editorem, tzn. jsou uživateli k dispozici, i když nemá práva místního správce a možnost spouštět šifrovací programy.

Nejčastěji je do funkčnosti UTM zařízení zahrnuto řízení toku založené na signaturách, tzn. řešení, která čistí provoz od virů, spamu, průniků a dalších hrozeb, které jsou detekovány signaturami. Jelikož je tato funkce „zdarma“, uživatelé mají často pocit, že to stačí. Taková řešení skutečně chrání před náhodným únikem, tzn. v případech, kdy odesílatel nezmění odchozí text, aby obešel filtr, ale jsou bezmocní vůči uživatelům se zlými úmysly.

masky

Rozšířením funkcionality vyhledávání signatur stopword je vyhledávání jejich masek. Jde o vyhledávání takového obsahu, který nelze přesně specifikovat v základu „stop slov“, ale lze specifikovat jeho prvek nebo strukturu. Tyto informace by měly zahrnovat jakékoli kódy charakterizující osobu nebo podnik: DIČ, čísla účtů, dokumenty atd. Není možné je vyhledat pomocí podpisů.

Je nerozumné nastavit jako hledaný objekt číslo konkrétní bankovní karty, ale chcete najít jakékoli číslo kreditní karty, ať už je napsáno jakkoli - s mezerami nebo dohromady. Není to jen přání, ale požadavek standardu PCI DSS: je zakázáno posílat e-mailem nezašifrovaná čísla plastových karet, tzn. je odpovědností uživatele najít taková čísla v e-mailu a zakázané zprávy zahodit.

Zde je například maska, která určuje stop slovo, jako je název důvěrného nebo tajného příkazu, jehož číslo začíná od nuly. Maska bere v úvahu nejen libovolné číslo, ale také jakýkoli případ a dokonce i záměnu ruských písmen za latinské. Maska je napsána ve standardní notaci „REGEXP“, i když různé systémy DLP mohou mít vlastní, flexibilnější notaci. U telefonních čísel je situace ještě horší. Tyto informace jsou klasifikovány jako osobní údaje a můžete je zapsat mnoha způsoby – pomocí různých kombinací mezer, různých typů závorek, plus a mínus atd. Zde je možná jediná maska ​​nepostradatelná. Například v antispamových systémech, kde je třeba řešit podobný úkol, se k detekci telefonního čísla používá několik desítek masek současně.

Mnoho různých kódů vepsaných do činnosti firem a jejich zaměstnanců je chráněno mnoha zákony a představuje obchodní tajemství, bankovní tajemství, osobní údaje a další zákonem chráněné informace, takže problém jejich odhalování v provozu je předpokladem jakéhokoli řešení.

Hashovací funkce

Různé typy hashovacích funkcí pro vzorky důvěrných dokumentů byly svého času považovány za nové slovo na trhu ochrany proti úniku, ačkoli samotná technologie existuje již od 70. let 20. století. Na Západě se této metodě někdy říká „digitální otisky prstů“, tzn. „digitální otisky prstů“ nebo „šindle“ ve vědeckém slangu.

Podstata všech metod je stejná, i když specifické algoritmy pro každého výrobce se mohou výrazně lišit. Některé algoritmy jsou dokonce patentovány, což potvrzuje jedinečnost implementace. Obecný scénář akce je následující: shromažďuje se databáze vzorků důvěrných dokumentů. Z každého z nich je odebrán „otisk“, tzn. z dokumentu je extrahován smysluplný obsah, který je redukován na nějakou normální, například (ale ne nutně) textovou formu, následně jsou odstraněny hashe veškerého obsahu a jeho částí, jako jsou odstavce, věty, pětice slov atd. , podrobnosti závisí na konkrétní implementaci. Tyto otisky jsou uloženy ve speciální databázi.

Zachycený dokument je vyčištěn od servisních informací stejným způsobem a převeden do normální podoby, poté jsou z něj pomocí stejného algoritmu odstraněny otisky prstů. Přijaté výtisky jsou prohledávány v databázi výtisků důvěrných dokumentů, a pokud jsou nalezeny, je dokument považován za důvěrný. Protože se tato metoda používá k nalezení přímých citací ze vzorového dokumentu, nazývá se tato technologie někdy „antiplagiátorství“.

Většina výhod této metody je zároveň i jejími nevýhodami. V první řadě je to požadavek na použití vzorových dokumentů. Na jedné straně se uživatel nemusí starat o stop slova, významné termíny a další informace, které jsou pro bezpečnostní pracovníky zcela nespecifické. Na druhou stranu „žádný vzor, ​​žádná ochrana“ představuje stejné problémy s novými a příchozími dokumenty jako s technologiemi založenými na štítcích. Velmi důležitou výhodou této technologie je její zaměření na práci s libovolnými sekvencemi znaků. Z toho vyplývá především nezávislost na jazyce textu – dokonce i hieroglyfů, dokonce i paštštiny. Dále je jedním z hlavních důsledků této vlastnosti možnost snímání otisků prstů z netextových informací – databází, výkresů, mediálních souborů. Právě tyto technologie využívají hollywoodská studia a světová nahrávací studia k ochraně mediálního obsahu ve svých digitálních úložištích.

Nízkoúrovňové hašovací funkce bohužel nejsou odolné vůči primitivnímu kódování popsanému v příkladu podpisu. Snadno si poradí se změnou pořadí slov, přeskupováním odstavců a dalšími triky „plagiátorů“, ale například záměna písmen v celém dokumentu ničí hash pattern a takový dokument se stává pro zachycovače neviditelným.

Použití pouze této metody komplikuje práci s formuláři. Prázdný formulář žádosti o půjčku je tedy volně distribuovaný dokument a vyplněný je důvěrný, protože obsahuje osobní údaje. Pokud jednoduše sejmete otisk z prázdného formuláře, pak zachycený vyplněný dokument bude obsahovat všechny informace z prázdného formuláře, tzn. Potisky budou do značné míry odpovídat. Systém tak buď propustí důvěrné informace, nebo zabrání volné distribuci prázdných formulářů.

I přes zmíněné nedostatky je tato metoda hojně využívána zejména v podniku, který si nemůže dovolit kvalifikované zaměstnance, ale funguje na principu „všechny důvěrné informace vložte do této složky a dobře se vyspěte“. V tomto smyslu je vyžadování konkrétních dokumentů k jejich ochraně poněkud podobné řešením založeným na štítcích, pouze uložených odděleně od vzorků a uchovaných při změně formátu souboru, kopírování části souboru atd. Velký podnik, který má v oběhu statisíce dokumentů, však často jednoduše není schopen poskytnout vzorky důvěrných dokumentů, protože. obchodní procesy společnosti to nevyžadují. Jediná věc, která je (nebo upřímněji by měla být) v každém podniku, je „Seznam informací tvořících obchodní tajemství“. Vytváření vzorů z toho není triviální úkol.

Snadné přidávání vzorků do kontrolované databáze obsahu často nahrává uživatelům. To vede k postupnému nárůstu databáze otisků prstů, což výrazně ovlivňuje výkon systému: čím více vzorků, tím více porovnání každé zachycené zprávy. Vzhledem k tomu, že každý tisk zabírá 5 až 20 % originálu, základna tisků postupně roste. Uživatelé zaznamenají prudký pokles výkonu, když databáze začne překračovat RAM filtrovacího serveru. Obvykle se problém řeší pravidelným auditem vzorových dokumentů a odstraňováním zastaralých nebo duplicitních vzorků, tzn. úspora na implementaci, uživatelé ztrácejí na provozu.

Lingvistické metody

Nejběžnější metodou analýzy je dnes lingvistická analýza textu. Je tak populární, že se často hovorově nazývá „filtrování obsahu“. nese vlastnosti celé třídy metod obsahové analýzy. Z hlediska klasifikace jsou jak hašovací analýza, tak i podpisová analýza a masková analýza „filtrování obsahu“, tzn. filtrování návštěvnosti na základě analýzy obsahu.

Jak název napovídá, metoda pracuje pouze s texty. Nevyužijete ji k ochraně databáze skládající se pouze z čísel a dat, zejména kreseb, kreseb a sbírky oblíbených písniček. Ale s texty dělá tato metoda zázraky.

Lingvistika jako věda se skládá z mnoha disciplín – od morfologie po sémantiku. Proto se také lingvistické metody analýzy navzájem liší. Existují metody, které používají pouze zastavovací slova, zadaná pouze na kořenové úrovni, a systém sám již sestavuje kompletní slovník; existují pojmy založené na rozložení vah, se kterými se v textu setkáváme. Existují lingvistické metody a jejich otisky založené na statistice; například se vezme dokument, spočítá se padesát nejpoužívanějších slov, pak se vybere 10 nejpoužívanějších slov v každém odstavci. Takový "slovník" je téměř jedinečnou charakteristikou textu a umožňuje najít smysluplné citace v "klonech".

Analýza všech jemností lingvistické analýzy není v rozsahu tohoto článku, takže se zaměříme na výhody a nevýhody.

Výhodou metody je naprostá necitlivost na množství dokumentů, tzn. vzácný pro škálovatelnost podnikové informační bezpečnosti. Základ filtrování obsahu (soubor klíčových tříd slovní zásoby a pravidel) se velikostí nemění v závislosti na vzhledu nových dokumentů nebo procesů ve společnosti.

Kromě toho si uživatelé v této metodě všimnou podobnosti s „stop slova“ v tom, že pokud je dokument zpožděn, je okamžitě jasné, proč se to stalo. Pokud systém založený na otisku prstu oznámí, že dokument je podobný jinému, pak bezpečnostní důstojník bude muset oba dokumenty sám porovnat a v lingvistické analýze obdrží již označený obsah. Jazykové systémy spolu s filtrováním podpisů jsou tak běžné, protože umožňují začít pracovat beze změn ve firmě ihned po instalaci. Není třeba se obtěžovat označováním a snímáním otisků prstů, inventarizací dokumentů a jinou nespecifickou prací pro bezpečnostního pracovníka.

Nevýhody jsou stejně zřejmé a první je jazyková závislost. V každé zemi, jejíž jazyk je výrobcem podporován, to není nevýhoda, ale z pohledu světových firem, které mají kromě jediného jazyka firemní komunikace (například angličtiny) mnohem více dokumentů v lokálních jazyků v každé zemi, je to jasná nevýhoda.

Dalším nedostatkem je vysoké procento chyb typu II, které vyžaduje kvalifikaci v oblasti lingvistiky (pro doladění filtrační báze), aby se snížila. Standardní průmyslové databáze obvykle poskytují 80-85% přesnost filtrování. To znamená, že každý pátý nebo šestý dopis je zachycen omylem. Nastavení základny na přijatelnou přesnost 95–97 % je obvykle spojeno se zásahem speciálně vyškoleného lingvisty. A ačkoli k tomu, abyste se naučili nastavovat filtrační základnu, stačí mít dva dny volna a mluvit jazykem na úrovni absolventa střední školy, tuto práci nemá kdo dělat, kromě bezpečnostního úředníka a takovou práci většinou považuje za nestěžejní. Přilákat člověka zvenčí je vždy riskantní – bude totiž muset pracovat s důvěrnými informacemi. Východiskem z této situace je obvykle dokoupení přídavného modulu – samoučícího se „autolingvistu“, který je „krmen“ falešnými pozitivy a ten automaticky přizpůsobuje standardní průmyslovou základnu.

Lingvistické metody se volí, když chtějí minimalizovat zásahy do podnikání, když služba informační bezpečnosti nemá administrativní zdroje na změnu stávajících procesů pro vytváření a ukládání dokumentů. Fungují vždy a všude, i když se zmíněnými nevýhodami.

Oblíbené kanály náhodných úniků mobilních paměťových médií

Analytici InfoWatch se domnívají, že mobilní média (notebooky, flash disky, mobilní komunikátory atd.) zůstávají nejoblíbenějším kanálem pro náhodné úniky, protože uživatelé těchto zařízení často zanedbávají nástroje pro šifrování dat.

Další častou příčinou náhodných úniků jsou papírová média: je obtížnější je kontrolovat než elektronická média, protože například poté, co list opustí tiskárnu, lze jej sledovat pouze „ručně“: kontrola nad papírovými médii je slabší než kontrola přes informace o počítači. Mnoho nástrojů na ochranu proti úniku (nelze je nazývat plnohodnotnými systémy DLP) neřídí výstupní kanál informací do tiskárny, takže důvěrná data snadno unikají z organizace.

Tento problém mohou vyřešit multifunkční systémy DLP, které blokují odesílání neoprávněných informací k tisku a kontrolují shodu poštovní adresy a adresáta.

Rostoucí obliba mobilních zařízení navíc značně ztěžuje ochranu proti únikům, protože zatím neexistují odpovídající DLP klienti. V případě kryptografie nebo steganografie je navíc velmi obtížné odhalit únik. Zasvěcenec, aby se vyhnul nějakému filtru, se může vždy obrátit na internet pro „osvědčené postupy“. To znamená, že prostředky DLP chrání před organizovaným úmyslným únikem docela špatně.

Účinnost nástrojů DLP může být omezena jejich zjevnými nedostatky: moderní řešení ochrany proti úniku neumožňují kontrolovat a blokovat všechny dostupné informační kanály. Systémy DLP budou monitorovat firemní e-mail, používání webu, zasílání rychlých zpráv, externí média, tisk dokumentů a obsah pevného disku. Ale Skype zůstává mimo kontrolu pro systémy DLP. Pouze společnosti Trend Micro se podařilo prohlásit, že může ovládat provoz tohoto komunikačního programu. Zbývající vývojáři slibují, že odpovídající funkce budou poskytnuty v další verzi jejich bezpečnostního softwaru.

Pokud však Skype slíbí, že otevře své protokoly vývojářům DLP, ostatní řešení, jako jsou nástroje Microsoft Collaboration Tools pro organizaci spolupráce, zůstanou pro programátory třetích stran uzavřena. Jak ovládat přenos informací tímto kanálem? Mezitím se v moderním světě rozvíjí praxe, kdy se specialisté na dálku spojují do týmů, aby pracovali na společném projektu a po jeho dokončení se rozpadají.

Hlavními zdroji úniků důvěrných informací v první polovině roku 2010 jsou stále komerční (73,8 %) a vládní (16 %) organizace. Asi 8 % úniků pochází ze vzdělávacích institucí. Povahou úniku důvěrných informací jsou osobní údaje (téměř 90 % všech úniků informací).

Lídrem v oblasti úniků ve světě jsou tradičně Spojené státy a Spojené království (Kanada, Rusko a Německo jsou také v první pětici s největším počtem úniků s výrazně nižší mírou), což je způsobeno zvláštností legislativy tyto země, což vyžaduje hlášení všech případů úniku důvěrných údajů. Analytici z Infowatch předpovídají v příštím roce pokles podílu náhodných úniků a nárůst podílu úmyslných úniků.

Potíže s implementací

Kromě zjevných potíží brání implementaci DLP také obtížnost výběru správného řešení, neboť různí prodejci systémů DLP vyznávají vlastní přístupy k organizaci ochrany. Některé mají patentované algoritmy pro analýzu obsahu podle klíčových slov, zatímco jiné nabízejí metodu digitálních otisků prstů. Jak v těchto podmínkách vybrat ten nejlepší produkt? Co je efektivnější? Na tyto otázky je velmi obtížné odpovědět, protože implementací systémů DLP je dnes velmi málo a reálných postupů pro jejich použití (na které se lze spolehnout) je ještě méně. Ale ty projekty, které byly přesto realizovány, ukázaly, že poradenství tvoří více než polovinu rozsahu práce a rozpočtu, což obvykle vyvolává velkou skepsi vedení. Kromě toho je pravidlem, že stávající obchodní procesy podniku musí být restrukturalizovány tak, aby splňovaly požadavky DLP, a společnosti s tím mají potíže.

Do jaké míry pomáhá zavedení DLP vyhovět aktuálním požadavkům regulátorů? Na Západě je zavádění systémů DLP motivováno zákony, normami, průmyslovými požadavky a dalšími předpisy. Jasné zákonné požadavky dostupné v zahraničí a pokyny pro zajištění požadavků jsou podle odborníků skutečným motorem trhu DLP, protože zavedení speciálních řešení eliminuje nároky regulátorů. V této oblasti máme úplně jinou situaci a zavádění DLP systémů k dodržování zákona nepomáhá.

Určitou pobídkou pro zavedení a používání DLP ve firemním prostředí může být potřeba chránit obchodní tajemství společností a dodržovat požadavky federálního zákona „O obchodním tajemství“.

Téměř každý podnik přijal takové dokumenty jako „Předpisy o obchodním tajemství“ a „Seznam informací tvořících obchodní tajemství“ a jejich požadavky by měly být dodržovány. Existuje názor, že zákon „O obchodním tajemství“ (98-FZ) nefunguje, nicméně jednatelé společností dobře vědí, že je důležité a nutné, aby svá obchodní tajemství chránili. Toto povědomí je navíc mnohem vyšší než chápání důležitosti zákona „O osobních údajích“ (152-FZ) a pro každého manažera je mnohem snazší vysvětlit nutnost zavedení správy důvěrných dokumentů, než mluvit o ochraně osobních údajů.

Co brání použití DLP v procesu automatizace ochrany obchodního tajemství? Podle občanského zákoníku Ruské federace je pro zavedení režimu ochrany obchodního tajemství pouze nutné, aby informace měla nějakou hodnotu a byla zařazena do příslušného seznamu. V tomto případě je vlastník takových informací ze zákona povinen přijmout opatření na ochranu důvěrných informací.

Zároveň je zřejmé, že DLP nebude schopno vyřešit všechny problémy. Zejména pokrýt přístup k důvěrným informacím třetím stranám. Na to jsou ale jiné technologie. Lze s nimi integrovat mnoho moderních řešení DLP. Při budování tohoto technologického řetězce pak lze získat fungující systém ochrany obchodního tajemství. Takový systém bude pro podnik srozumitelnější a je to podnik, který bude moci vystupovat jako zákazník systému ochrany proti úniku.

Rusko a Západ

Podle analytiků má Rusko jiný postoj k bezpečnosti a jinou úroveň vyspělosti společností dodávajících DLP řešení. Ruský trh se zaměřuje na bezpečnostní specialisty a vysoce specializované problémy. Lidé v prevenci úniku dat ne vždy chápou, jaká data jsou cenná. V Rusku „militaristický“ přístup k organizaci bezpečnostních systémů: silný perimetr s firewally a vynaložené veškeré úsilí, aby se zabránilo pronikání dovnitř.

Ale co když má zaměstnanec společnosti přístup k množství informací, které nejsou potřeba k plnění jeho povinností? Na druhou stranu, podíváme-li se na přístup, který se na Západě v posledních 10-15 letech formoval, můžeme říci, že větší pozornost je věnována hodnotě informací. Zdroje jsou směrovány tam, kde se nacházejí cenné informace, a ne na všechny informace v řadě. To je možná největší kulturní rozdíl mezi Západem a Ruskem. Podle analytiků se však situace mění. Informace začínají být vnímány jako obchodní aktiva a bude nějakou dobu trvat, než se vyvinou.

Komplexní řešení neexistuje

100% ochrana proti úniku nebyla dosud vyvinuta žádným výrobcem. Problémy s používáním produktů DLP formulují někteří odborníci následovně: efektivní využití zkušeností s řešením netěsností používaných v systémech DLP vyžaduje pochopení, že mnoho práce na zajištění ochrany proti úniku musí být provedeno na straně zákazníka, protože nikdo ví lépe než on informační toky.

Jiní se domnívají, že je nemožné chránit se před úniky: je nemožné zabránit úniku informací. Vzhledem k tomu, že informace má pro někoho hodnotu, dříve nebo později se k nim dostane. Softwarové nástroje mohou získat tyto informace nákladnější a časově náročnější. To může výrazně snížit výhodu držení informací, jejich relevanci. To znamená, že by měla být monitorována účinnost systémů DLP.

»

Dnes je trh systémů DLP jedním z nejrychleji rostoucích ze všech nástrojů pro zabezpečení informací. Tuzemská sféra informační bezpečnosti však nedrží krok se světovými trendy, a proto má trh DLP systémů u nás své vlastní charakteristiky.

Co je to DLP a jak fungují?

Než budeme hovořit o trhu systémů DLP, je nutné se rozhodnout, co se ve skutečnosti myslí, pokud jde o taková řešení. Systémy DLP jsou běžně chápány jako softwarové produkty, které chrání organizace před úniky důvěrných informací. Samotná zkratka DLP znamená Data Leak Prevention, tedy prevence úniku dat.

Takové systémy vytvářejí bezpečný digitální „obvod“ kolem organizace, analyzující všechny odchozí a v některých případech i příchozí informace. Řízenými informacemi by měl být nejen internetový provoz, ale i řada dalších informačních toků: dokumenty, které jsou převzaty mimo chráněnou bezpečnostní smyčku na externí média, vytištěny na tiskárně, odeslány na mobilní média přes Bluetooth atd.

Vzhledem k tomu, že systém DLP musí zabránit úniku důvěrných informací, nezbytně má vestavěné mechanismy pro stanovení stupně důvěrnosti dokumentu zjištěného v odposlouchávaném provozu. Zpravidla jsou nejběžnější dva způsoby: analýzou speciálních značek dokumentu a analýzou obsahu dokumentu. V současné době je častější druhá možnost, protože je odolná vůči úpravám provedeným na dokumentu před jeho odesláním a také umožňuje snadno rozšířit počet důvěrných dokumentů, se kterými může systém pracovat.

"Postranní" úkoly DLP

Kromě svého hlavního úkolu souvisejícího s prevencí úniků informací se systémy DLP dobře hodí i pro řešení řady dalších úkolů souvisejících s kontrolou personálních akcí.

Nejčastěji se systémy DLP používají k řešení následujících menších úkolů:

• sledování využívání pracovní doby a pracovních zdrojů zaměstnanci;
• sledování komunikace zaměstnanců s cílem identifikovat „tajné“ boje, které mohou organizaci poškodit;
• kontrola oprávněnosti jednání zaměstnanců (zamezení tisku falešných dokumentů apod.);
• identifikace zaměstnanců, kteří rozesílají životopisy pro rychlé hledání specialistů na volné místo.

Vzhledem k tomu, že řada organizací považuje řadu těchto úkolů (zejména kontrolu využití pracovní doby) za vyšší prioritu než ochranu před únikem informací, vznikla řada programů, které jsou k tomu přímo určeny, ale v některých pouzdra mohou také fungovat jako prostředek ochrany organizace před úniky. To, co takové programy odlišuje od plnohodnotných DLP systémů, je absence pokročilých nástrojů pro analýzu zachycených dat, kterou musí ručně provádět specialista na informační bezpečnost, což vyhovuje pouze velmi malým organizacím (do deseti řízených zaměstnanců).