dlp คืออะไร การป้องกันการรั่วไหลของข้อมูล - DLP พิจารณาอัลกอริธึมการตอบสนองต่อเหตุการณ์

แม้แต่คำศัพท์ด้านไอทีที่ทันสมัยที่สุดก็ควรใช้อย่างเหมาะสมและถูกต้องที่สุด อย่างน้อยก็เพื่อไม่ให้ผู้บริโภคเข้าใจผิด การจำแนกตัวเองว่าเป็นผู้สร้างโซลูชัน DLP กลายเป็นแฟชั่นไปแล้ว ตัวอย่างเช่น ที่นิทรรศการ CeBIT-2008 เมื่อเร็ว ๆ นี้ คำว่า "โซลูชัน DLP" ที่จารึกไว้มักจะมองเห็นได้บนอัฒจันทร์ของผู้ผลิตไม่เพียงแต่แอนตี้ไวรัสและพร็อกซีเซิร์ฟเวอร์ที่ไม่ค่อยมีคนรู้จักในโลกเท่านั้น แต่ยังรวมถึงไฟร์วอลล์ด้วย บางครั้งมีความรู้สึกว่าในมุมถัดไป คุณสามารถเห็นตัวถอดซีดีบางประเภท (โปรแกรมที่ควบคุมการเปิดไดรฟ์ซีดี) ด้วยสโลแกนที่น่าภาคภูมิใจของโซลูชัน DLP ขององค์กร และที่แปลกก็คือตามกฎแล้วผู้ผลิตแต่ละรายมีคำอธิบายที่สมเหตุสมผลไม่มากก็น้อยสำหรับการวางตำแหน่งผลิตภัณฑ์ของพวกเขา (แน่นอนนอกเหนือจากความปรารถนาที่จะได้รับ "gesheft" จากคำศัพท์ที่ทันสมัย)

ก่อนที่จะพิจารณาตลาดของผู้ผลิตระบบ DLP และผู้เล่นหลัก จำเป็นต้องกำหนดสิ่งที่เราหมายถึงโดยระบบ DLP มีความพยายามหลายครั้งในการกำหนดระบบข้อมูลประเภทนี้: ILD&P - Information Leakage Detection & Prevention (“การระบุและป้องกันการรั่วไหลของข้อมูล” คำนี้เสนอโดย IDC ในปี 2550), ILP - การป้องกันการรั่วไหลของข้อมูล (“การป้องกันการรั่วไหลของข้อมูล”) ”, Forrester , 2006), ALS - ซอฟต์แวร์ป้องกันการรั่วไหล (“ซอฟต์แวร์ป้องกันการรั่วไหล”, E&Y), การตรวจสอบและกรองเนื้อหา (CMF, Gartner), ระบบป้องกันการอัดรีด (คล้ายกับระบบป้องกันการบุกรุก)

แต่ชื่อ DLP - Data Loss Prevention (หรือ Data Leak Prevention, การป้องกันการรั่วไหลของข้อมูล) ที่เสนอในปี 2548 ได้รับการจัดตั้งขึ้นเป็นคำที่ใช้กันทั่วไป วลี "ระบบสำหรับการปกป้องข้อมูลที่เป็นความลับจากภัยคุกคามภายใน" ในเวลาเดียวกัน ภัยคุกคามภายในถูกเข้าใจว่าเป็นการล่วงละเมิด (โดยเจตนาหรือโดยบังเอิญ) โดยพนักงานขององค์กรที่มีสิทธิ์ตามกฎหมายในการเข้าถึงข้อมูลที่เกี่ยวข้อง อำนาจของพวกเขา

Forrester Research เสนอเกณฑ์ที่สอดคล้องกันและสอดคล้องกันมากที่สุดสำหรับการเป็นเจ้าของระบบ DLP ในระหว่างการศึกษาประจำปีของตลาดนี้ พวกเขาเสนอเกณฑ์สี่ข้อตามที่ระบบสามารถจัดเป็น DLP ได้ หนึ่ง.

หลายช่อง. ระบบจะต้องสามารถตรวจสอบการรั่วไหลของข้อมูลได้หลายช่องทาง ในสภาพแวดล้อมเครือข่าย อย่างน้อยนี่คืออีเมล เว็บ และ IM (ผู้ส่งข้อความโต้ตอบแบบทันที) และไม่ใช่แค่การสแกนปริมาณการใช้อีเมลหรือกิจกรรมฐานข้อมูล บนเวิร์กสเตชัน - การตรวจสอบการทำงานของไฟล์ ทำงานกับคลิปบอร์ด เช่นเดียวกับการควบคุมอีเมล เว็บ และ IM 2.

การจัดการแบบครบวงจร ระบบต้องมีวิธีการแบบครบวงจรในการจัดการนโยบายการรักษาความปลอดภัยของข้อมูล การวิเคราะห์ และการรายงานเหตุการณ์ในทุกช่องทางการเฝ้าติดตาม 3.

การป้องกันแบบแอคทีฟ ระบบไม่ควรตรวจพบการละเมิดนโยบายความปลอดภัยเท่านั้น หากจำเป็น ให้บังคับใช้ด้วย ตัวอย่างเช่น บล็อกข้อความที่น่าสงสัย 4.

ตามเกณฑ์เหล่านี้ Forrester ได้เลือกผู้จำหน่ายซอฟต์แวร์ 12 รายสำหรับการตรวจทานและประเมินผลในปี 2008 (เรียงตามตัวอักษรด้านล่าง โดยมีชื่อของบริษัทที่ผู้ขายรายนี้ได้มาเพื่อเข้าสู่ตลาด DLP ในวงเล็บ) :

1. รหัสสีเขียว;
2. InfoWatch;
3. McAfee (โอนิกมา);
4. วงออเคสตรา;
5. เชื่อมต่อใหม่;
6. RSA/EMC (แท็บลัส);
7. ไซแมนเทค (Vontu);
8. เทรนด์ไมโคร (โพรวิลลา);
9. เวอร์ดาซิส;
10. เวอริเซปต์;
11. เว็บเซนส์(PortAuthority);
12. ส่วนแบ่งงาน

จนถึงปัจจุบันจากผู้ขาย 12 รายข้างต้น มีเพียง InfoWatch และ Websense เท่านั้นที่เป็นตัวแทนในตลาดรัสเซียในระดับหนึ่งหรืออย่างอื่น ส่วนที่เหลือใช้ไม่ได้ในรัสเซียเลย หรือเพิ่งประกาศความตั้งใจที่จะเริ่มขายโซลูชัน DLP (Trend Micro)

เมื่อพิจารณาถึงการทำงานของระบบ DLP นักวิเคราะห์ (Forrester, Gartner, IDC) ได้แนะนำการจัดหมวดหมู่ของอ็อบเจ็กต์การป้องกัน - ประเภทของอ็อบเจ็กต์ข้อมูลที่จะตรวจสอบ การจัดประเภทดังกล่าวช่วยให้สามารถประเมินขอบเขตของระบบเฉพาะเป็นการประมาณแรกได้ มีสามประเภทของอ็อบเจ็กต์การตรวจสอบ

1. Data-in-motion (data in motion) - ข้อความอีเมล อินเทอร์เน็ตเพจเจอร์ เครือข่ายเพียร์ทูเพียร์ การถ่ายโอนไฟล์ ปริมาณการใช้เว็บ และข้อความประเภทอื่นๆ ที่สามารถส่งผ่านช่องทางการสื่อสาร 2. Data-at-rest (ข้อมูลที่เก็บไว้) - ข้อมูลเกี่ยวกับเวิร์กสเตชัน แล็ปท็อป ไฟล์เซิร์ฟเวอร์ ที่เก็บข้อมูลเฉพาะ อุปกรณ์ USB และอุปกรณ์จัดเก็บข้อมูลประเภทอื่นๆ

3. ข้อมูลในการใช้งาน (data in use) - ข้อมูลที่กำลังดำเนินการอยู่

ปัจจุบัน ตลาดของเรามีผลิตภัณฑ์ในประเทศและต่างประเทศประมาณสองโหลที่มีคุณสมบัติบางอย่างของระบบ DLP ข้อมูลโดยย่อเกี่ยวกับสิ่งเหล่านี้ตามเจตนารมณ์ของการจำแนกประเภทข้างต้นแสดงอยู่ในตาราง 1 และ 2 ในตารางด้วย 1 แนะนำพารามิเตอร์เช่น "การจัดเก็บและตรวจสอบข้อมูลแบบรวมศูนย์" ซึ่งแสดงถึงความสามารถของระบบในการจัดเก็บข้อมูลในแหล่งเดียว (สำหรับช่องทางการตรวจสอบทั้งหมด) สำหรับการวิเคราะห์และตรวจสอบเพิ่มเติม ฟังก์ชันนี้เพิ่งได้รับความสำคัญเป็นพิเศษ ไม่เพียงเพราะข้อกำหนดของกฎหมายต่างๆ เท่านั้น แต่ยังเนื่องมาจากความนิยมของลูกค้าด้วย (ตามประสบการณ์ของโครงการที่ดำเนินการ) ข้อมูลทั้งหมดที่อยู่ในตารางเหล่านี้นำมาจากแหล่งข้อมูลสาธารณะและเอกสารทางการตลาดของบริษัทที่เกี่ยวข้อง

จากข้อมูลในตารางที่ 1 และ 2 เราสามารถสรุปได้ว่าวันนี้มีเพียงสามระบบ DLP ในรัสเซีย (จาก InfoWatch, Perimetrix และ WebSence) พวกเขายังรวมถึงผลิตภัณฑ์แบบบูรณาการที่เพิ่งประกาศเมื่อเร็ว ๆ นี้จาก Jet Infosystems (SKVT + SMAP) เนื่องจากจะครอบคลุมหลายช่องทางและมีการจัดการนโยบายความปลอดภัยแบบครบวงจร

เป็นการยากที่จะพูดคุยเกี่ยวกับส่วนแบ่งการตลาดของผลิตภัณฑ์เหล่านี้ในรัสเซีย เนื่องจากผู้ผลิตที่กล่าวถึงส่วนใหญ่ไม่เปิดเผยปริมาณการขาย จำนวนลูกค้า และเวิร์กสเตชันที่มีการป้องกัน โดยจำกัดตัวเองไว้เฉพาะข้อมูลการตลาดเท่านั้น เราสามารถพูดได้อย่างแน่นอนว่าซัพพลายเออร์หลักในขณะนี้คือ:

• ระบบ Dozor ออกสู่ตลาดตั้งแต่ปี 2544
• ผลิตภัณฑ์ InfoWatch จำหน่ายตั้งแต่ปี 2547;
• WebSense CPS (เริ่มจำหน่ายในรัสเซียและทั่วโลกในปี 2550);
• Perimetrix (บริษัทเล็กๆ ที่มีการเปิดตัวผลิตภัณฑ์รุ่นแรกบนเว็บไซต์เมื่อปลายปี 2551)

โดยสรุป ฉันต้องการเสริมว่าการเป็นเจ้าของหรือไม่อยู่ในคลาสของระบบ DLP ไม่ได้ทำให้ผลิตภัณฑ์แย่ลงหรือดีขึ้น - เป็นเพียงเรื่องของการจัดหมวดหมู่และไม่มีอะไรมากไปกว่านี้

ตารางที่ 1. ผลิตภัณฑ์ในตลาดรัสเซียที่มีคุณสมบัติบางอย่างของระบบ DLP

บริษัท	ผลิตภัณฑ์	คุณสมบัติของสินค้า
		การปกป้องข้อมูลในการเคลื่อนไหว (data-in-motion)	การป้องกันข้อมูลในการใช้งาน	การป้องกันข้อมูลเมื่อไม่มีการเคลื่อนไหว	การจัดเก็บและการตรวจสอบจากส่วนกลาง
InfoWatch	I.W. Traffic Monitor	ใช่	ใช่	ไม่	ใช่
	I.W. CryptoStorage	ไม่	ไม่	ใช่	ไม่
ปริมณฑล	เซฟสเปซ	ใช่	ใช่	ใช่	ใช่
Jet Infosystems	โดซอร์เจ็ท (SKVT)	ใช่	ไม่	ไม่	ใช่
	โดซอร์เจ็ท (SMAP)	ใช่	ไม่	ไม่	ใช่
สมาร์ทไลน์อิงค์	DeviceLock	ไม่	ใช่	ไม่	ใช่
รักษาความปลอดภัยไอที	Zlock	ไม่	ใช่	ไม่	ไม่
	ผู้รักษาความลับ	ไม่	ใช่	ไม่	ไม่
SpectorSoft	สเปคเตอร์ 360	ใช่	ไม่	ไม่	ไม่
ความปลอดภัยของลูเมน	การควบคุมอุปกรณ์เขตรักษาพันธุ์	ไม่	ใช่	ไม่	ไม่
เว็บเซ้นส์	การป้องกันเนื้อหา Websense	ใช่	ใช่	ใช่	ไม่
Informzaschita	สตูดิโอรักษาความปลอดภัย	ไม่	ใช่	ใช่	ไม่
Primetek	วงใน	ไม่	ใช่	ไม่	ไม่
ซอฟต์แวร์ AtomPark	พนักงานตำรวจ	ไม่	ใช่	ไม่	ไม่
SoftInform	SearchInformServer	ใช่	ใช่	ไม่	ไม่

ตารางที่ 2 การปฏิบัติตามผลิตภัณฑ์ที่นำเสนอในตลาดรัสเซียด้วยเกณฑ์สำหรับการอยู่ในกลุ่มของระบบ DLP

บริษัท	ผลิตภัณฑ์	เกณฑ์ของระบบ DLP
		หลายช่อง	การจัดการแบบครบวงจร	การป้องกันแบบแอคทีฟ	การบัญชีทั้งเนื้อหาและบริบท
InfoWatch	I.W. Traffic Monitor	ใช่	ใช่	ใช่	ใช่
ปริมณฑล	เซฟสเปซ	ใช่	ใช่	ใช่	ใช่
“เจ็ท อินโฟซิสเต็มส์”	“โดซอร์เจ็ท” (SKVT)	ไม่	ไม่	ใช่	ใช่
	"ดอซอร์เจ็ท" (SMAP)	ไม่	ไม่	ใช่	ใช่
สมาร์ทไลน์อิงค์	DeviceLock	ไม่	ไม่	ไม่	ไม่
รักษาความปลอดภัยไอที	Zlock	ไม่	ไม่	ไม่	ไม่
ซอฟต์แวร์ Smart Protection Labs	ผู้รักษาความลับ	ใช่	ใช่	ใช่	ไม่
SpectorSoft	สเปคเตอร์ 360	ใช่	ใช่	ใช่	ไม่
ความปลอดภัยของลูเมน	การควบคุมอุปกรณ์เขตรักษาพันธุ์	ไม่	ไม่	ไม่	ไม่
เว็บเซ้นส์	การป้องกันเนื้อหา Websense	ใช่	ใช่	ใช่	ใช่
"อินฟอร์ซาชิตา"	สตูดิโอรักษาความปลอดภัย	ใช่	ใช่	ใช่	ไม่
Primetek	วงใน	ใช่	ใช่	ใช่	ไม่
"ซอฟต์แวร์ AtomPark"	พนักงานตำรวจ	ใช่	ใช่	ใช่	ไม่
"ซอฟท์อินฟอร์ม"	SearchInformServer	ใช่	ใช่	ไม่	ไม่
"อินโฟดีเฟนซ์"	"อินโฟมิเตอร์"	ใช่	ใช่	ไม่	ไม่

เราขอเสนอเครื่องหมายต่างๆ เพื่อช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ DLP

DLPระบบ: มันคืออะไร

โปรดจำไว้ว่าระบบ DLP (การป้องกันข้อมูลสูญหาย / รั่วไหล) ช่วยให้คุณควบคุมช่องทางการสื่อสารเครือข่ายของบริษัทได้ทุกช่องทาง (อีเมล อินเทอร์เน็ต ระบบส่งข้อความโต้ตอบแบบทันที แฟลชไดรฟ์ เครื่องพิมพ์ ฯลฯ) การป้องกันการรั่วไหลของข้อมูลเกิดขึ้นได้เนื่องจากมีการวางตัวแทนในคอมพิวเตอร์ของพนักงานทุกเครื่องที่รวบรวมข้อมูลและโอนไปยังเซิร์ฟเวอร์ บางครั้งข้อมูลจะถูกรวบรวมผ่านเกตเวย์โดยใช้เทคโนโลยี SPAN ข้อมูลจะถูกวิเคราะห์ หลังจากนั้นระบบหรือเจ้าหน้าที่รักษาความปลอดภัยจะตัดสินใจเกี่ยวกับเหตุการณ์

ดังนั้น บริษัทของคุณจึงใช้ระบบ DLP ต้องดำเนินการขั้นตอนใดบ้างเพื่อให้ระบบทำงานได้อย่างมีประสิทธิภาพ

1. กำหนดค่ากฎความปลอดภัยอย่างถูกต้อง

ลองนึกภาพว่าในระบบที่ให้บริการคอมพิวเตอร์ 100 เครื่อง มีการสร้างกฎ "แก้ไขการโต้ตอบทั้งหมดด้วยคำว่า" สัญญา "" กฎดังกล่าวจะทำให้เกิดเหตุการณ์จำนวนมากซึ่งการรั่วไหลที่แท้จริงอาจสูญหายได้

นอกจากนี้ ไม่ใช่ทุกบริษัทที่สามารถดูแลพนักงานทั้งหมดของพนักงานที่ติดตามเหตุการณ์ได้

เพื่อเพิ่มอัตราอรรถประโยชน์ของกฎ คุณสามารถใช้เครื่องมือเพื่อสร้างกฎที่มีประสิทธิภาพและติดตามผลงานของพวกเขา ระบบ DLP ทุกระบบมีคุณสมบัติที่ช่วยให้คุณทำสิ่งนี้ได้

โดยทั่วไป วิธีการนี้เกี่ยวข้องกับการวิเคราะห์ฐานข้อมูลสะสมของเหตุการณ์ที่เกิดขึ้น และสร้างกฎเกณฑ์ต่างๆ รวมกัน ซึ่งนำไปสู่การปรากฏของเหตุการณ์เร่งด่วนจริงๆ ประมาณ 5-6 เหตุการณ์ต่อวัน

2. อัปเดตกฎความปลอดภัยเป็นระยะ

จำนวนเหตุการณ์ที่ลดลงหรือเพิ่มขึ้นอย่างรวดเร็วเป็นตัวบ่งชี้ว่าจำเป็นต้องปรับกฎ สาเหตุอาจเป็นเพราะกฎสูญเสียความเกี่ยวข้อง (ผู้ใช้หยุดเข้าถึงไฟล์บางไฟล์) หรือพนักงานได้เรียนรู้กฎและไม่ดำเนินการที่ระบบห้ามไว้อีกต่อไป (DLP - ระบบการฝึกอบรม) อย่างไรก็ตาม การปฏิบัติแสดงให้เห็นว่าหากมีการเรียนรู้กฎข้อใดข้อหนึ่ง ในสถานที่ใกล้เคียง ความเสี่ยงที่อาจเกิดขึ้นจากการรั่วไหลจะเพิ่มขึ้น

คุณควรใส่ใจกับฤดูกาลในการทำงานขององค์กรด้วย ในระหว่างปี พารามิเตอร์หลักที่เกี่ยวข้องกับลักษณะเฉพาะของงานของบริษัทอาจเปลี่ยนแปลงได้ ตัวอย่างเช่น สำหรับซัพพลายเออร์ขายส่งอุปกรณ์ขนาดเล็ก จักรยานจะมีความเกี่ยวข้องในฤดูใบไม้ผลิ และสกู๊ตเตอร์หิมะในฤดูใบไม้ร่วง

3. พิจารณาอัลกอริธึมการตอบสนองต่อเหตุการณ์

มีหลายวิธีในการตอบสนองต่อเหตุการณ์ เมื่อทำการทดสอบและใช้งานระบบ DLP คนส่วนใหญ่จะไม่ได้รับแจ้งเกี่ยวกับการเปลี่ยนแปลง ผู้เข้าร่วมในเหตุการณ์เท่านั้นที่สังเกตได้ เมื่อมีการสะสมมวลวิกฤต ตัวแทนของแผนกรักษาความปลอดภัยหรือฝ่ายบุคคลจะสื่อสารกับพวกเขา ในอนาคตการทำงานกับผู้ใช้มักถูกละทิ้งให้อยู่ในความเมตตาของตัวแทนแผนกความปลอดภัย มีความขัดแย้งเล็ก ๆ น้อย ๆ ลบสะสมในทีม มันสามารถรั่วไหลออกมาในการก่อวินาศกรรมโดยเจตนาของพนักงานที่เกี่ยวข้องกับบริษัท สิ่งสำคัญคือต้องสร้างสมดุลระหว่างข้อกำหนดด้านระเบียบวินัยกับการรักษาบรรยากาศที่ดีในทีม

4. ตรวจสอบการทำงานของโหมดการบล็อก

การตอบสนองต่อเหตุการณ์ในระบบมีสองโหมด - การแก้ไขและการบล็อก หากการส่งต่อจดหมายหรือการแนบไฟล์ที่แนบมากับแฟลชไดรฟ์ทั้งหมดถูกบล็อก สิ่งนี้จะสร้างปัญหาให้กับผู้ใช้ บ่อยครั้งที่พนักงานโจมตีผู้ดูแลระบบด้วยการร้องขอเพื่อปลดล็อกฟังก์ชันบางอย่าง ฝ่ายบริหารอาจไม่พอใจกับการตั้งค่าดังกล่าว ส่งผลให้ระบบ DLP และบริษัทได้รับผลลบ ระบบถูกทำให้เสียชื่อเสียงและเปิดโปง

5. ตรวจสอบว่ามีการแนะนำระบอบความลับทางการค้าหรือไม่

อนุญาตให้คุณทำให้ข้อมูลบางอย่างเป็นความลับ และยังกำหนดให้บุคคลที่รู้เกี่ยวกับข้อมูลดังกล่าวต้องรับผิดชอบทางกฎหมายอย่างเต็มที่สำหรับการเปิดเผยข้อมูลดังกล่าว ในกรณีที่มีการรั่วไหลของข้อมูลอย่างร้ายแรงภายใต้ระบอบความลับทางการค้าที่ปฏิบัติงานในองค์กร ผู้ฝ่าฝืนสามารถเรียกคืนจำนวนความเสียหายที่แท้จริงและทางศีลธรรมผ่านทางศาลตาม 98-FZ "ในความลับทางการค้า"

เราหวังว่าคำแนะนำเหล่านี้จะช่วยลดจำนวนการรั่วไหลโดยไม่ได้ตั้งใจในบริษัทต่างๆ เนื่องจากระบบ DLP ได้รับการออกแบบมาเพื่อให้สามารถจัดการกับปัญหาเหล่านี้ได้สำเร็จ อย่างไรก็ตาม สิ่งหนึ่งที่ไม่ควรลืมเกี่ยวกับระบบรักษาความปลอดภัยข้อมูลที่ซับซ้อน และความจริงที่ว่าข้อมูลรั่วไหลโดยเจตนานั้นจำเป็นต้องให้ความสนใจเป็นพิเศษ มีโซลูชันที่ทันสมัยที่ช่วยให้คุณเสริมการทำงานของระบบ DLP และลดความเสี่ยงของการรั่วไหลโดยเจตนาได้อย่างมาก ตัวอย่างเช่น นักพัฒนาซอฟต์แวร์รายหนึ่งเสนอเทคโนโลยีที่น่าสนใจ - เมื่อมีการเข้าถึงไฟล์ที่เป็นความลับอย่างน่าสงสัยบ่อยครั้ง เว็บแคมจะเปิดขึ้นโดยอัตโนมัติและเริ่มบันทึก เป็นระบบนี้ที่ทำให้สามารถบันทึกได้ว่าผู้ลักพาตัวผู้เคราะห์ร้ายจับภาพหน้าจอโดยใช้กล้องมือถือได้อย่างไร

Oleg Necheukhin, ผู้เชี่ยวชาญด้านความปลอดภัยระบบสารสนเทศ, Kontur.Security

28.01.2014 Sergei Korablev

การเลือกผลิตภัณฑ์ระดับองค์กรไม่ใช่เรื่องง่ายสำหรับผู้เชี่ยวชาญทางเทคนิคและผู้มีอำนาจตัดสินใจ การเลือกระบบป้องกันการรั่วไหลของข้อมูล (DLP) นั้นยากยิ่งกว่า การขาดระบบแนวคิดที่เป็นหนึ่งเดียว การศึกษาเปรียบเทียบโดยอิสระเป็นประจำ และความซับซ้อนของผลิตภัณฑ์เอง ทำให้ผู้บริโภคต้องสั่งซื้อโครงการนำร่องจากผู้ผลิต และทำการทดสอบจำนวนมากโดยอิสระ กำหนดช่วงความต้องการของตนเองและสัมพันธ์กับความสามารถของระบบ ทดสอบแล้ว

วิธีการดังกล่าวถูกต้องอย่างแน่นอน การตัดสินใจที่สมดุลและในบางกรณี แม้กระทั่งการเอาชนะอย่างยากลำบากทำให้การนำไปใช้งานต่อไปง่ายขึ้น และหลีกเลี่ยงความผิดหวังในการทำงานของผลิตภัณฑ์ใดผลิตภัณฑ์หนึ่ง อย่างไรก็ตาม กระบวนการตัดสินใจในกรณีนี้อาจล่าช้า หากไม่เป็นเช่นนั้นนานหลายปี ก็อาจใช้เวลานานหลายเดือน นอกจากนี้ การขยายตลาดอย่างต่อเนื่อง การเกิดขึ้นของโซลูชันและผู้ผลิตใหม่ๆ ทำให้งานไม่เพียงแต่เลือกผลิตภัณฑ์สำหรับการนำไปใช้งาน แต่ยังสร้างตัวเลือกเบื้องต้นของระบบ DLP ที่เหมาะสมอีกด้วย ภายใต้เงื่อนไขดังกล่าว การทบทวนระบบ DLP ที่เป็นปัจจุบันจะเป็นประโยชน์อย่างยิ่งสำหรับผู้เชี่ยวชาญทางเทคนิคอย่างไม่ต้องสงสัย ควรรวมโซลูชันเฉพาะในรายการทดสอบ หรือซับซ้อนเกินไปที่จะนำไปใช้ในองค์กรขนาดเล็กหรือไม่ โซลูชันสามารถปรับขนาดให้เป็นบริษัทที่มีพนักงาน 10,000 คนได้หรือไม่ ระบบ DLP สามารถควบคุมไฟล์ CAD ที่มีความสำคัญต่อธุรกิจได้หรือไม่ การเปรียบเทียบแบบเปิดจะไม่แทนที่การทดสอบอย่างละเอียด แต่จะช่วยตอบคำถามพื้นฐานที่เกิดขึ้นในขั้นเริ่มต้นของกระบวนการคัดเลือก DLP

สมาชิก

ระบบ DLP ที่ได้รับความนิยมมากที่สุด (อ้างอิงจากศูนย์วิเคราะห์ Anti-Malware.ru ณ กลางปี ​​2556) ของบริษัท InfoWatch, McAfee, Symantec, Websense, Zecurion และ Jet Infosystem ในตลาดการรักษาความปลอดภัยข้อมูลของรัสเซียได้รับเลือกให้เป็นผู้เข้าร่วม

สำหรับการวิเคราะห์นั้น ระบบ DLP เวอร์ชันที่มีจำหน่ายทั่วไปถูกนำมาใช้ในขณะที่เตรียมการทบทวน ตลอดจนเอกสารประกอบและบทวิจารณ์แบบเปิดของผลิตภัณฑ์

เกณฑ์การเปรียบเทียบระบบ DLP ได้รับการคัดเลือกตามความต้องการของบริษัทขนาดและอุตสาหกรรมต่างๆ งานหลักของระบบ DLP คือการป้องกันการรั่วไหลของข้อมูลที่เป็นความลับผ่านช่องทางต่างๆ

ตัวอย่างผลิตภัณฑ์จากบริษัทเหล่านี้แสดงไว้ในรูปที่ 1-6

รูปที่ 3 ผลิตภัณฑ์ไซแมนเทค

รูปที่ 4 ผลิตภัณฑ์ InfoWatch

รูปที่ 5. ผลิตภัณฑ์ Websense

รูปที่ 6 ผลิตภัณฑ์ McAfee

โหมดการทำงาน

โหมดการทำงานหลักสองโหมดของระบบ DLP เป็นแบบแอ็คทีฟและพาสซีฟ ใช้งานอยู่ - โดยปกติแล้วจะเป็นโหมดการทำงานหลัก ซึ่งบล็อกการกระทำที่ละเมิดนโยบายความปลอดภัย เช่น การส่งข้อมูลที่สำคัญไปยังกล่องจดหมายภายนอก โหมดพาสซีฟมักใช้ในขั้นตอนของการกำหนดค่าระบบเพื่อตรวจสอบและปรับการตั้งค่าเมื่อสัดส่วนของผลบวกลวงอยู่ในระดับสูง ในกรณีนี้ การละเมิดนโยบายจะถูกบันทึกไว้ แต่ไม่มีการกำหนดข้อจำกัดในการเคลื่อนย้ายข้อมูล (ตารางที่ 1)

ในแง่นี้ ระบบที่พิจารณาทั้งหมดกลับกลายเป็นว่าเท่าเทียมกัน DLP แต่ละรายการสามารถทำงานได้ทั้งในโหมดแอ็คทีฟและพาสซีฟ ซึ่งให้อิสระแก่ลูกค้า ไม่ใช่ทุกบริษัทพร้อมที่จะเริ่มดำเนินการ DLP ทันทีในโหมดการบล็อก ซึ่งเต็มไปด้วยการหยุดชะงักของกระบวนการทางธุรกิจ ความไม่พอใจในส่วนของพนักงานในแผนกที่ถูกควบคุม และการเรียกร้อง (รวมถึงฝ่ายที่สมเหตุสมผล) จากฝ่ายบริหาร

เทคโนโลยี

เทคโนโลยีการตรวจจับทำให้สามารถจำแนกข้อมูลที่ส่งผ่านช่องทางอิเล็กทรอนิกส์และระบุข้อมูลที่เป็นความลับได้ วันนี้มีเทคโนโลยีพื้นฐานหลายอย่างและหลากหลายซึ่งมีสาระสำคัญคล้ายคลึงกัน แต่ในการใช้งานต่างกัน แต่ละเทคโนโลยีมีทั้งข้อดีและข้อเสีย นอกจากนี้เทคโนโลยีประเภทต่าง ๆ ยังเหมาะสำหรับการวิเคราะห์ข้อมูลของคลาสต่างๆ ดังนั้น ผู้ผลิตโซลูชัน DLP จึงพยายามรวมเทคโนโลยีจำนวนสูงสุดไว้ในผลิตภัณฑ์ของตน (ดูตารางที่ 2)

โดยทั่วไป ผลิตภัณฑ์มีเทคโนโลยีจำนวนมากซึ่งหากกำหนดค่าไว้อย่างเหมาะสม ให้การรับรู้ข้อมูลที่เป็นความลับในเปอร์เซ็นต์ที่สูง DLP McAfee, Symantec และ Websense ค่อนข้างได้รับการปรับให้เข้ากับตลาดรัสเซียได้ค่อนข้างแย่ และไม่สามารถให้การสนับสนุนผู้ใช้สำหรับเทคโนโลยี "ภาษา" ได้ เช่น สัณฐานวิทยา การวิเคราะห์การทับศัพท์ และข้อความที่ปิดบัง

ช่องควบคุม

ช่องสัญญาณการรับส่งข้อมูลแต่ละช่องเป็นช่องทางที่อาจรั่วไหล แม้แต่ช่องสัญญาณที่เปิดอยู่เพียงช่องเดียวก็สามารถลบล้างความพยายามทั้งหมดของบริการรักษาความปลอดภัยข้อมูลที่ควบคุมการไหลของข้อมูลได้ ด้วยเหตุนี้จึงเป็นสิ่งสำคัญมากที่จะปิดกั้นช่องทางที่พนักงานไม่ได้ใช้สำหรับการทำงาน และควบคุมส่วนที่เหลือด้วยระบบป้องกันการรั่วไหล

แม้ว่าระบบ DLP ที่ทันสมัยที่สุดจะสามารถตรวจสอบช่องสัญญาณเครือข่ายจำนวนมากได้ (ดูตารางที่ 3) ขอแนะนำให้บล็อกช่องสัญญาณที่ไม่จำเป็น ตัวอย่างเช่น หากพนักงานทำงานบนคอมพิวเตอร์ที่มีฐานข้อมูลภายในเท่านั้น การปิดการเข้าถึงอินเทอร์เน็ตทั้งหมดก็เป็นเรื่องที่สมเหตุสมผล

ข้อสรุปที่คล้ายคลึงกันนี้ใช้ได้กับช่องทางการรั่วไหลในท้องถิ่นด้วย จริงอยู่ ในกรณีนี้ การบล็อกแต่ละช่องอาจทำได้ยากกว่า เนื่องจากพอร์ตมักใช้เพื่อเชื่อมต่ออุปกรณ์ต่อพ่วง อุปกรณ์ I / O เป็นต้น

การเข้ารหัสมีบทบาทพิเศษในการป้องกันการรั่วไหลผ่านพอร์ตในเครื่อง ไดรฟ์มือถือ และอุปกรณ์ เครื่องมือเข้ารหัสค่อนข้างใช้งานง่าย การใช้งานสามารถโปร่งใสต่อผู้ใช้ แต่ในขณะเดียวกัน การเข้ารหัสช่วยให้คุณสามารถแยกการรั่วไหลทั้งหมดที่เกี่ยวข้องกับการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและการสูญหายของไดรฟ์มือถือ

สถานการณ์ที่มีการควบคุมตัวแทนในพื้นที่โดยทั่วไปจะแย่กว่าช่องทางเครือข่าย (ดูตารางที่ 4) เฉพาะอุปกรณ์ USB และเครื่องพิมพ์ในพื้นที่เท่านั้นที่ควบคุมโดยผลิตภัณฑ์ทั้งหมดได้สำเร็จ นอกจากนี้ ถึงแม้ว่าการเข้ารหัสจะมีความสำคัญที่กล่าวไว้ข้างต้น ความเป็นไปได้ดังกล่าวมีอยู่ในผลิตภัณฑ์บางอย่างเท่านั้น และฟังก์ชันการเข้ารหัสแบบบังคับตามการวิเคราะห์เนื้อหามีอยู่ใน Zecurion DLP เท่านั้น

เพื่อป้องกันการรั่วไหล ไม่เพียงแต่จะต้องรับรู้ข้อมูลที่ละเอียดอ่อนระหว่างการส่งเท่านั้น แต่ยังต้องจำกัดการกระจายข้อมูลในสภาพแวดล้อมขององค์กรด้วย ในการดำเนินการนี้ ผู้ผลิตได้รวมเครื่องมือในระบบ DLP ที่สามารถระบุและจัดประเภทข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์และเวิร์กสเตชันในเครือข่าย (ดูตารางที่ 5) ข้อมูลที่ละเมิดนโยบายการรักษาความปลอดภัยของข้อมูลจะต้องถูกลบหรือย้ายไปยังที่เก็บข้อมูลที่ปลอดภัย

ในการตรวจจับข้อมูลที่เป็นความลับบนโหนดเครือข่ายขององค์กร เทคโนโลยีเดียวกันนี้ถูกใช้เพื่อควบคุมการรั่วไหลผ่านช่องทางอิเล็กทรอนิกส์ ความแตกต่างที่สำคัญคือสถาปัตยกรรม หากมีการวิเคราะห์การรับส่งข้อมูลเครือข่ายหรือการทำงานของไฟล์เพื่อป้องกันการรั่วไหล ข้อมูลที่เก็บไว้ - เนื้อหาของเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย - จะถูกตรวจสอบเพื่อตรวจหาสำเนาของข้อมูลลับที่ไม่ได้รับอนุญาต

จากระบบ DLP ที่พิจารณา มีเพียง InfoWatch และ Dozor-Jet เท่านั้นที่เพิกเฉยต่อการใช้วิธีการระบุตำแหน่งการจัดเก็บข้อมูล นี่ไม่ใช่คุณสมบัติที่สำคัญสำหรับการป้องกันการรั่วไหลทางอิเล็กทรอนิกส์ แต่มันจำกัดความสามารถของระบบ DLP อย่างมากในการป้องกันการรั่วไหลในเชิงรุก ตัวอย่างเช่น เมื่อเอกสารลับอยู่ภายในเครือข่ายองค์กร ข้อมูลนี้จะไม่รั่วไหล อย่างไรก็ตาม หากตำแหน่งของเอกสารนี้ไม่ได้รับการควบคุม หากเจ้าของข้อมูลและเจ้าหน้าที่รักษาความปลอดภัยไม่ทราบตำแหน่งของเอกสารนี้ อาจทำให้เกิดการรั่วไหลได้ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตเป็นไปได้ หรือกฎความปลอดภัยที่เหมาะสมจะไม่ถูกนำมาใช้กับเอกสาร

ง่ายต่อการจัดการ

ลักษณะต่างๆ เช่น ความง่ายในการใช้งานและการควบคุมมีความสำคัญพอๆ กับความสามารถทางเทคนิคของโซลูชัน ท้ายที่สุดแล้ว ผลิตภัณฑ์ที่ซับซ้อนจริงๆ จะทำได้ยาก โครงการจะใช้เวลา ความพยายาม และการเงินมากขึ้นตามไปด้วย ระบบ DLP ที่ดำเนินการไปแล้วต้องได้รับความสนใจจากผู้เชี่ยวชาญทางเทคนิค หากไม่มีการบำรุงรักษาที่เหมาะสม การตรวจสอบอย่างสม่ำเสมอ และการปรับการตั้งค่า คุณภาพของการรับรู้ข้อมูลที่เป็นความลับจะลดลงอย่างมากเมื่อเวลาผ่านไป

อินเทอร์เฟซการควบคุมในภาษาแม่ของเจ้าหน้าที่รักษาความปลอดภัยเป็นขั้นตอนแรกในการทำให้การทำงานกับระบบ DLP ง่ายขึ้น ไม่เพียงแต่ทำให้เข้าใจได้ง่ายขึ้นว่าการตั้งค่านี้มีหน้าที่รับผิดชอบอะไร แต่ยังช่วยเร่งกระบวนการกำหนดค่าพารามิเตอร์จำนวนมากที่ต้องกำหนดค่าเพื่อให้ระบบทำงานได้อย่างถูกต้อง ภาษาอังกฤษอาจมีประโยชน์แม้สำหรับผู้ดูแลระบบที่พูดภาษารัสเซียสำหรับการตีความแนวคิดทางเทคนิคที่เฉพาะเจาะจงอย่างชัดเจน (ดูตารางที่ 6)

โซลูชันส่วนใหญ่ให้การจัดการที่สะดวกจากคอนโซลเดียว (สำหรับส่วนประกอบทั้งหมด) พร้อมเว็บอินเตอร์เฟส (ดูตารางที่ 7) ข้อยกเว้นคือ Russian InfoWatch (ไม่มีคอนโซลเดียว) และ Zecurion (ไม่มีเว็บอินเตอร์เฟส) ในเวลาเดียวกัน ผู้ผลิตทั้งสองรายได้ประกาศเปิดตัวเว็บคอนโซลในผลิตภัณฑ์ในอนาคตแล้ว การไม่มีคอนโซลเดียวใน InfoWatch นั้นเกิดจากพื้นฐานทางเทคโนโลยีที่แตกต่างกันของผลิตภัณฑ์ การพัฒนาโซลูชันหน่วยงานของตนเองได้ยุติลงเป็นเวลาหลายปี และ EndPoint Security ปัจจุบันเป็นผู้สืบทอดผลิตภัณฑ์ของบริษัทอื่น EgoSecure (เดิมชื่อ cynapspro) ที่บริษัทเข้าซื้อกิจการในปี 2555

อีกประเด็นหนึ่งที่สามารถนำมาประกอบกับข้อเสียของโซลูชัน InfoWatch คือการกำหนดค่าและจัดการผลิตภัณฑ์ DLP หลัก InfoWatch TrafficMonitor คุณจำเป็นต้องรู้ภาษาสคริปต์พิเศษ LUA ซึ่งทำให้การทำงานของระบบซับซ้อนขึ้น อย่างไรก็ตาม สำหรับผู้เชี่ยวชาญทางเทคนิคส่วนใหญ่ โอกาสในการพัฒนาระดับวิชาชีพของตนเองและการเรียนรู้เพิ่มเติม แม้ว่าจะไม่ใช่เรื่องปกติมากนัก แต่ภาษาก็ควรได้รับการรับรู้ในเชิงบวก

การแยกบทบาทผู้ดูแลระบบเป็นสิ่งจำเป็นเพื่อลดความเสี่ยงในการป้องกันการปรากฏตัวของ superuser ที่มีสิทธิ์ไม่จำกัดและกลไกอื่นๆ โดยใช้ DLP

การบันทึกและการรายงาน

ไฟล์เก็บถาวร DLP คือฐานข้อมูลที่รวบรวมและจัดเก็บเหตุการณ์และอ็อบเจ็กต์ (ไฟล์ ตัวอักษร คำขอ http ฯลฯ) ที่บันทึกโดยเซ็นเซอร์ของระบบระหว่างการทำงาน ข้อมูลที่รวบรวมในฐานข้อมูลสามารถนำมาใช้เพื่อวัตถุประสงค์ต่างๆ รวมถึงเพื่อการวิเคราะห์การกระทำของผู้ใช้ เพื่อบันทึกสำเนาเอกสารสำคัญ เพื่อเป็นพื้นฐานในการตรวจสอบเหตุการณ์ด้านความปลอดภัยของข้อมูล นอกจากนี้ ฐานของเหตุการณ์ทั้งหมดมีประโยชน์อย่างยิ่งในขั้นตอนการนำระบบ DLP ไปใช้ เนื่องจากช่วยวิเคราะห์พฤติกรรมของส่วนประกอบระบบ DLP (เช่น เพื่อค้นหาสาเหตุที่การดำเนินการบางอย่างถูกบล็อก) และเพื่อปรับการตั้งค่าความปลอดภัย (ดูตารางที่ 8)

ในกรณีนี้ เราจะเห็นความแตกต่างทางสถาปัตยกรรมพื้นฐานระหว่าง DLP ของรัสเซียและตะวันตก หลังไม่เก็บถาวรเลย ในกรณีนี้ DLP จะบำรุงรักษาได้ง่ายขึ้น (ไม่จำเป็นต้องบำรุงรักษา จัดเก็บ สำรอง และศึกษาข้อมูลจำนวนมาก) แต่ไม่ต้องดำเนินการ ท้ายที่สุด การเก็บถาวรของเหตุการณ์จะช่วยกำหนดค่าระบบ ที่เก็บถาวรช่วยให้เข้าใจว่าเหตุใดการส่งข้อมูลจึงถูกบล็อก เพื่อตรวจสอบว่ากฎทำงานอย่างถูกต้องหรือไม่ และทำการแก้ไขที่จำเป็นต่อการตั้งค่าระบบ นอกจากนี้ ควรสังเกตด้วยว่าระบบ DLP ไม่เพียงต้องการการกำหนดค่าเริ่มต้นระหว่างการใช้งาน แต่ยังต้องมี "การปรับ" ปกติระหว่างการทำงานด้วย ระบบที่ไม่ได้รับการดูแลอย่างเหมาะสม ไม่ได้มาจากผู้เชี่ยวชาญทางเทคนิค จะสูญเสียคุณภาพในการจดจำข้อมูลไปมาก เป็นผลให้ทั้งจำนวนเหตุการณ์และจำนวนผลบวกลวงจะเพิ่มขึ้น

การรายงานเป็นส่วนสำคัญของกิจกรรมใดๆ ความปลอดภัยของข้อมูลก็ไม่มีข้อยกเว้น รายงานในระบบ DLP ทำหน้าที่หลายอย่างพร้อมกัน ประการแรก รายงานที่กระชับและเข้าใจได้ช่วยให้หัวหน้าฝ่ายบริการรักษาความปลอดภัยข้อมูลสามารถตรวจสอบสถานะความปลอดภัยของข้อมูลได้อย่างรวดเร็วโดยไม่ต้องลงรายละเอียด ประการที่สอง รายงานโดยละเอียดช่วยให้เจ้าหน้าที่รักษาความปลอดภัยปรับนโยบายความปลอดภัยและการตั้งค่าระบบ ประการที่สาม รายงานที่เป็นภาพสามารถแสดงต่อผู้จัดการระดับสูงของบริษัทได้ตลอดเวลา เพื่อแสดงผลลัพธ์ของระบบ DLP และผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลด้วยตนเอง (ดูตารางที่ 9)

โซลูชันการแข่งขันเกือบทั้งหมดที่กล่าวถึงในการตรวจสอบนี้มีทั้งแบบกราฟิก สะดวกสำหรับผู้จัดการระดับสูงและหัวหน้าฝ่ายบริการรักษาความปลอดภัยข้อมูล และรายงานแบบตาราง ซึ่งเหมาะสำหรับผู้เชี่ยวชาญทางเทคนิคมากกว่า รายงานแบบกราฟิกหายไปเฉพาะใน DLP InfoWatch ซึ่งถูกลดระดับลง

ใบรับรอง

คำถามเกี่ยวกับความจำเป็นในการรับรองเครื่องมือรักษาความปลอดภัยข้อมูลและโดยเฉพาะอย่างยิ่ง DLP นั้นเปิดกว้าง และผู้เชี่ยวชาญมักโต้เถียงในหัวข้อนี้ภายในชุมชนมืออาชีพ เมื่อสรุปความคิดเห็นของคู่สัญญาแล้ว ควรตระหนักว่าการรับรองไม่ได้ให้ข้อได้เปรียบทางการแข่งขันที่ร้ายแรง ในเวลาเดียวกัน มีลูกค้าจำนวนหนึ่ง ซึ่งส่วนใหญ่เป็นหน่วยงานของรัฐ ซึ่งจำเป็นต้องมีใบรับรองเฉพาะ

นอกจากนี้ ขั้นตอนการรับรองที่มีอยู่ไม่สัมพันธ์กับวงจรการพัฒนาซอฟต์แวร์เป็นอย่างดี ด้วยเหตุนี้ ผู้บริโภคจึงต้องเผชิญกับทางเลือก: เลือกซื้อผลิตภัณฑ์ที่ล้าสมัยแต่ได้รับการรับรอง หรือเวอร์ชันล่าสุดแต่ไม่ผ่านการรับรอง ทางออกมาตรฐานในสถานการณ์นี้คือการซื้อผลิตภัณฑ์ที่ได้รับการรับรอง "บนชั้นวาง" และใช้ผลิตภัณฑ์ใหม่ในสภาพแวดล้อมจริง (ดูตารางที่ 10)

ผลการเปรียบเทียบ

มาสรุปความประทับใจของโซลูชัน DLP ที่พิจารณากัน โดยทั่วไป ผู้เข้าร่วมทั้งหมดสร้างความประทับใจและสามารถใช้เพื่อป้องกันการรั่วไหลของข้อมูล ความแตกต่างในผลิตภัณฑ์ช่วยให้คุณสามารถระบุขอบเขตการใช้งานได้

สามารถแนะนำระบบ InfoWatch DLP ให้กับองค์กรที่จำเป็นต้องมีใบรับรอง FSTEC โดยพื้นฐานแล้ว อย่างไรก็ตาม InfoWatch Traffic Monitor เวอร์ชันล่าสุดที่ผ่านการรับรองได้รับการทดสอบเมื่อปลายปี 2010 และใบรับรองจะหมดอายุในสิ้นปี 2013 โซลูชันที่ใช้เอเจนต์ซึ่งอิงตาม InfoWatch EndPoint Security (หรือที่เรียกว่า EgoSecure) เหมาะสำหรับธุรกิจขนาดเล็กมากกว่า และสามารถใช้แยกจาก Traffic Monitor ได้ การใช้ Traffic Monitor และ EndPoint Security ร่วมกันอาจทำให้เกิดปัญหาเรื่องการปรับขนาดในบริษัทขนาดใหญ่

ผลิตภัณฑ์ของผู้ผลิตชาวตะวันตก (McAfee, Symantec, Websense) ตามหน่วยงานวิเคราะห์อิสระนั้นได้รับความนิยมน้อยกว่าของรัสเซียมาก เหตุผลก็คือการโลคัลไลเซชันในระดับต่ำ และไม่ใช่ความซับซ้อนของอินเทอร์เฟซหรือการขาดเอกสารในภาษารัสเซีย คุณสมบัติของเทคโนโลยีการรู้จำข้อมูลที่เป็นความลับ เทมเพลตและกฎที่กำหนดค่าไว้ล่วงหน้านั้น "มีความคมชัด" สำหรับการใช้ DLP ในประเทศตะวันตก และมุ่งที่จะปฏิบัติตามข้อกำหนดด้านกฎระเบียบของตะวันตก ด้วยเหตุนี้ คุณภาพของการรู้จำข้อมูลในรัสเซียจึงแย่ลงอย่างเห็นได้ชัด และการปฏิบัติตามข้อกำหนดของมาตรฐานต่างประเทศมักไม่เกี่ยวข้อง ในเวลาเดียวกัน ตัวผลิตภัณฑ์เองก็ไม่ได้แย่เลย แต่ลักษณะเฉพาะของการใช้ระบบ DLP ในตลาดรัสเซียนั้นไม่น่าจะช่วยให้พวกเขาได้รับความนิยมมากกว่าการพัฒนาในประเทศในอนาคตอันใกล้

Zecurion DLP มีความโดดเด่นในด้านความสามารถในการปรับขนาดที่ดี (ระบบ DLP ของรัสเซียเพียงระบบเดียวที่ยืนยันการใช้งานแล้วสำหรับงานมากกว่า 10,000 รายการ) และวุฒิภาวะทางเทคโนโลยีขั้นสูง อย่างไรก็ตาม สิ่งที่น่าแปลกใจก็คือการขาดเว็บคอนโซลที่จะช่วยให้การจัดการโซลูชันระดับองค์กรง่ายขึ้นโดยมุ่งเป้าไปที่กลุ่มตลาดต่างๆ จุดแข็งของ Zecurion DLP รวมถึงการรู้จำข้อมูลที่เป็นความลับคุณภาพสูงและผลิตภัณฑ์ป้องกันการรั่วไหลทั้งหมด รวมถึงการป้องกันที่เกตเวย์ เวิร์กสเตชันและเซิร์ฟเวอร์ การตรวจจับตำแหน่งและเครื่องมือเข้ารหัสข้อมูล

ระบบ Dozor-Jet DLP ซึ่งเป็นหนึ่งในผู้บุกเบิกตลาด DLP ในประเทศ มีการกระจายอย่างกว้างขวางในบริษัทรัสเซีย และยังคงขยายฐานลูกค้าอย่างต่อเนื่องเนื่องจากการเชื่อมต่อที่กว้างขวางของผู้รวมระบบ Jet Infosystems พาร์ทไทม์ และนักพัฒนา DLP แม้ว่า DLP ทางเทคโนโลยีจะค่อนข้างอยู่เบื้องหลังคู่หูที่ทรงพลังกว่า แต่การใช้งานนั้นก็สมเหตุสมผลในหลายบริษัท นอกจากนี้ Dozor Jet ยังให้คุณเก็บถาวรเหตุการณ์และไฟล์ทั้งหมดต่างจากโซลูชันต่างประเทศ

ช่องทางการรั่วไหลที่นำไปสู่การนำข้อมูลออกนอกระบบข้อมูลของบริษัทอาจเป็นการรั่วไหลของเครือข่าย (เช่น อีเมลหรือ ICQ) การรั่วไหลในพื้นที่ (การใช้ไดรฟ์ USB ภายนอก) ข้อมูลที่เก็บไว้ (ฐานข้อมูล) คุณสามารถเน้นการสูญเสียสื่อ (หน่วยความจำแฟลช, แล็ปท็อป) แยกต่างหาก ระบบสามารถนำมาประกอบกับคลาส DLP หากเป็นไปตามเกณฑ์ต่อไปนี้: หลายช่องสัญญาณ (การตรวจสอบการรั่วไหลของข้อมูลที่เป็นไปได้หลายช่อง); การจัดการแบบรวมศูนย์ (เครื่องมือการจัดการแบบครบวงจรสำหรับช่องทางการตรวจสอบทั้งหมด); การป้องกันเชิงรุก (การปฏิบัติตามนโยบายความปลอดภัย); พิจารณาทั้งเนื้อหาและบริบท

ความได้เปรียบทางการแข่งขันของระบบส่วนใหญ่คือโมดูลการวิเคราะห์ ผู้ผลิตให้ความสำคัญกับโมดูลนี้มากจนมักตั้งชื่อผลิตภัณฑ์ตามโมดูล เช่น "Label-Based DLP Solution" ดังนั้น ผู้ใช้มักจะเลือกโซลูชันที่ไม่ขึ้นอยู่กับประสิทธิภาพ ความสามารถในการปรับขนาด หรือเกณฑ์อื่นๆ แบบดั้งเดิมสำหรับตลาดการรักษาความปลอดภัยข้อมูลขององค์กร แต่พิจารณาจากประเภทของการวิเคราะห์เอกสารที่ใช้

เห็นได้ชัดว่า เนื่องจากแต่ละวิธีมีข้อดีและข้อเสีย การใช้วิธีการวิเคราะห์เอกสารเพียงวิธีเดียวจึงทำให้โซลูชันขึ้นอยู่กับเทคโนโลยี ผู้ผลิตส่วนใหญ่ใช้วิธีหลายวิธี แม้ว่าหนึ่งในนั้นมักจะเป็นวิธี "เรือธง" บทความนี้เป็นความพยายามที่จะจำแนกวิธีการที่ใช้ในการวิเคราะห์เอกสาร จุดแข็งและจุดอ่อนของพวกเขาได้รับการประเมินตามประสบการณ์การใช้งานจริงของผลิตภัณฑ์หลายประเภท บทความโดยพื้นฐานแล้วไม่พิจารณาผลิตภัณฑ์ที่เฉพาะเจาะจงเพราะ งานหลักของผู้ใช้ในการเลือกพวกเขาคือการกำจัดสโลแกนทางการตลาดเช่น "เราจะปกป้องทุกสิ่งจากทุกสิ่ง", "เทคโนโลยีที่จดสิทธิบัตรเฉพาะ" และตระหนักว่าเขาจะเหลืออะไรเมื่อผู้ขายออกไป

การวิเคราะห์คอนเทนเนอร์

วิธีนี้จะวิเคราะห์คุณสมบัติของไฟล์หรือคอนเทนเนอร์อื่นๆ (archive, cryptodisk เป็นต้น) ที่มีข้อมูล ชื่อภาษาพูดของวิธีการดังกล่าวคือ "วิธีแก้ปัญหาบนฉลาก" ซึ่งสะท้อนถึงแก่นแท้ของวิธีการดังกล่าวได้ค่อนข้างครบถ้วน คอนเทนเนอร์แต่ละรายการมีป้ายกำกับที่ระบุประเภทของเนื้อหาที่อยู่ภายในคอนเทนเนอร์โดยไม่ซ้ำกัน วิธีการดังกล่าวแทบไม่ต้องใช้ทรัพยากรในการคำนวณเพื่อวิเคราะห์ข้อมูลที่กำลังย้าย เนื่องจากป้ายกำกับอธิบายสิทธิ์ของผู้ใช้ในการย้ายเนื้อหาไปตามเส้นทางอย่างครบถ้วน ในรูปแบบที่เรียบง่าย อัลกอริทึมดังกล่าวมีเสียงดังนี้: "มีป้ายกำกับ - เราห้ามไม่ให้มีป้ายกำกับ - เราข้ามไป"

ข้อดีของวิธีนี้ชัดเจน: ความเร็วในการวิเคราะห์และการไม่มีข้อผิดพลาดประเภทที่สองโดยสมบูรณ์ (เมื่อระบบตรวจพบเอกสารที่เปิดเป็นความลับโดยไม่ได้ตั้งใจ) วิธีการดังกล่าวเรียกว่า "กำหนดขึ้นเอง" ในบางแหล่ง

ข้อเสียก็ชัดเจนเช่นกัน - ระบบสนใจเฉพาะข้อมูลที่ติดแท็ก: หากไม่ได้ตั้งค่าแท็ก เนื้อหาจะไม่ได้รับการปกป้อง จำเป็นต้องพัฒนาขั้นตอนสำหรับการติดฉลากเอกสารใหม่และขาเข้า รวมทั้งระบบเพื่อตอบโต้การถ่ายโอนข้อมูลจากคอนเทนเนอร์ที่ติดฉลากไปยังคอนเทนเนอร์ที่ไม่ได้ติดฉลากผ่านการดำเนินการบัฟเฟอร์ การทำงานของไฟล์ การคัดลอกข้อมูลจากไฟล์ชั่วคราว ฯลฯ

จุดอ่อนของระบบดังกล่าวยังปรากฏอยู่ในองค์กรของการติดฉลาก หากผู้เขียนเอกสารวางไว้โดยเจตนาร้ายเขามีโอกาสที่จะไม่ทำเครื่องหมายข้อมูลที่เขากำลังจะขโมย หากไม่มีเจตนาร้าย ความประมาทเลินเล่อไม่ช้าก็เร็วก็จะปรากฏขึ้น หากคุณจำเป็นต้องติดป้ายกำกับพนักงานบางคน เช่น เจ้าหน้าที่รักษาความปลอดภัยข้อมูลหรือผู้ดูแลระบบ เขาจะไม่สามารถแยกแยะเนื้อหาที่เป็นความลับออกจากเนื้อหาเปิดได้เสมอไป เนื่องจากเขาไม่รู้กระบวนการทั้งหมดของบริษัทอย่างละเอียดถี่ถ้วน ดังนั้นควรโพสต์ยอดคงเหลือ "สีขาว" บนเว็บไซต์ของบริษัท และไม่สามารถนำยอดคงเหลือ "สีเทา" หรือ "สีดำ" ออกจากระบบข้อมูลได้ แต่มีเพียงหัวหน้าฝ่ายบัญชีเท่านั้นที่สามารถแยกความแตกต่างออกจากกันนั่นคือ หนึ่งในผู้เขียน

ป้ายกำกับมักจะแบ่งออกเป็นแอตทริบิวต์ รูปแบบ และภายนอก ตามชื่อที่แนะนำ อดีตจะถูกวางไว้ในแอตทริบิวต์ของไฟล์ ส่วนหลังจะถูกวางไว้ในฟิลด์ของไฟล์เอง และโปรแกรมภายนอกจะแนบไฟล์ที่สามเข้ากับ (เกี่ยวข้องกับ) ไฟล์

โครงสร้างคอนเทนเนอร์ใน IB

บางครั้งข้อดีของโซลูชันที่อิงตามแท็กก็มีข้อกำหนดด้านประสิทธิภาพต่ำสำหรับตัวสกัดกั้น เนื่องจากจะตรวจสอบเฉพาะแท็กเท่านั้น กล่าวคือ ทำตัวเหมือนประตูหมุนในรถไฟใต้ดิน: "ถ้าคุณมีตั๋ว - ผ่านไป" อย่างไรก็ตาม อย่าลืมว่าปาฏิหาริย์จะไม่เกิดขึ้น - ในกรณีนี้ ภาระการคำนวณจะเปลี่ยนเป็นเวิร์กสเตชัน

การตัดสินใจบนฉลาก ไม่ว่าจะเป็นอะไรก็ตาม คือการปกป้องการจัดเก็บเอกสาร เมื่อบริษัทมีที่เก็บเอกสาร ซึ่งในทางกลับกัน มีการเติมค่อนข้างน้อย และในทางกลับกัน หมวดหมู่และระดับการรักษาความลับของแต่ละเอกสารจะทราบได้อย่างแม่นยำ จึงเป็นวิธีที่ง่ายที่สุดในการจัดระเบียบการป้องกันโดยใช้ป้ายกำกับ คุณสามารถจัดระเบียบการวางป้ายกำกับบนเอกสารที่เข้าสู่ที่เก็บโดยใช้ขั้นตอนขององค์กร ตัวอย่างเช่น ก่อนส่งเอกสารไปยังที่เก็บ พนักงานที่รับผิดชอบการทำงานสามารถติดต่อผู้เขียนและผู้เชี่ยวชาญพร้อมคำถามว่าต้องตั้งค่าการรักษาความลับในระดับใดสำหรับเอกสาร งานนี้แก้ไขได้สำเร็จโดยเฉพาะด้วยความช่วยเหลือของเครื่องหมายรูปแบบเช่น เอกสารขาเข้าแต่ละฉบับจะถูกจัดเก็บในรูปแบบที่ปลอดภัยและออกตามคำขอของพนักงานโดยระบุว่าอนุญาตให้อ่านได้ โซลูชันสมัยใหม่ช่วยให้คุณกำหนดสิทธิ์การเข้าถึงได้ในระยะเวลาจำกัด และหลังจากคีย์หมดอายุ เอกสารก็จะหยุดอ่าน ตามโครงการนี้ ตัวอย่างเช่น การออกเอกสารสำหรับการประกวดราคาจัดซื้อจัดจ้างสาธารณะในสหรัฐอเมริกา: ระบบการจัดการการจัดซื้อจัดจ้างสร้างเอกสารที่สามารถอ่านได้โดยไม่ต้องเปลี่ยนแปลงหรือคัดลอกเฉพาะเนื้อหาของการประกวดราคา ผู้เข้าร่วมที่ระบุไว้ในเอกสารนี้ คีย์การเข้าถึงใช้ได้จนถึงกำหนดส่งเอกสารเข้าร่วมการแข่งขันเท่านั้น หลังจากนั้นเอกสารจะยุติการอ่าน

นอกจากนี้ ด้วยความช่วยเหลือของโซลูชันที่อิงตามแท็ก บริษัทต่างๆ จัดระเบียบการหมุนเวียนเอกสารในส่วนปิดของเครือข่ายซึ่งมีการหมุนเวียนทรัพย์สินทางปัญญาและความลับของรัฐ อาจเป็นไปตามข้อกำหนดของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" โฟลว์เอกสารในแผนกบุคคลของ บริษัท ขนาดใหญ่ก็จะถูกจัดระเบียบเช่นกัน

การวิเคราะห์เนื้อหา

เมื่อใช้เทคโนโลยีที่อธิบายไว้ในส่วนนี้ซึ่งแตกต่างจากที่อธิบายไว้ก่อนหน้านี้ในทางตรงกันข้ามจะไม่สนใจในที่เก็บเนื้อหาโดยสิ้นเชิง วัตถุประสงค์ของเทคโนโลยีเหล่านี้คือการดึงเนื้อหาที่มีความหมายออกจากคอนเทนเนอร์หรือสกัดกั้นการส่งข้อมูลผ่านช่องทางการสื่อสารและวิเคราะห์ข้อมูลสำหรับเนื้อหาต้องห้าม

เทคโนโลยีหลักในการตรวจหาเนื้อหาต้องห้ามในคอนเทนเนอร์ ได้แก่ การควบคุมลายเซ็น การควบคุมตามแฮช และวิธีการทางภาษาศาสตร์

ลายเซ็น

วิธีการควบคุมที่ง่ายที่สุดคือการค้นหาสตรีมข้อมูลสำหรับลำดับอักขระบางตัว บางครั้งลำดับอักขระที่ต้องห้ามเรียกว่า "คำหยุด" แต่ในกรณีทั่วไป จะไม่สามารถแทนด้วยคำได้ แต่เป็นชุดอักขระตามอำเภอใจ ตัวอย่างเช่น โดยใช้ป้ายกำกับเดียวกัน โดยทั่วไป วิธีนี้ไม่สามารถนำมาประกอบกับการวิเคราะห์เนื้อหาในการใช้งานทั้งหมดได้ ตัวอย่างเช่น ในอุปกรณ์ส่วนใหญ่ของคลาส UTM การค้นหาลายเซ็นที่ต้องห้ามในสตรีมข้อมูลจะเกิดขึ้นโดยไม่แยกข้อความออกจากคอนเทนเนอร์ เมื่อวิเคราะห์สตรีม "ตามที่เป็น" หรือหากระบบได้รับการกำหนดค่าไว้เพียงคำเดียว ผลลัพธ์ของการทำงานก็คือการพิจารณาการจับคู่แบบ 100% กล่าวคือ วิธีการสามารถจัดเป็น deterministic

อย่างไรก็ตาม การค้นหาลำดับอักขระเฉพาะยังคงใช้บ่อยขึ้นในการวิเคราะห์ข้อความ ในกรณีส่วนใหญ่ ระบบลายเซ็นได้รับการกำหนดค่าให้ค้นหาคำหลายคำและความถี่ของการเกิดคำต่างๆ เช่น เราจะยังคงอ้างอิงระบบนี้ไปยังระบบวิเคราะห์เนื้อหา

ข้อดีของวิธีนี้ ได้แก่ ความเป็นอิสระจากภาษาและความสะดวกในการเติมพจนานุกรมของคำศัพท์ต้องห้าม: หากคุณต้องการใช้วิธีนี้เพื่อค้นหาคำในภาษา Pashto ในสตรีมข้อมูล คุณไม่จำเป็นต้องรู้ภาษานี้ คุณเพียงแค่ จำเป็นต้องรู้ว่ามันเขียนอย่างไร นอกจากนี้ยังเพิ่มได้ง่ายอีกด้วย เช่น ข้อความภาษารัสเซียที่ทับศัพท์หรือภาษา "แอลเบเนีย" ซึ่งมีความสำคัญ เช่น เมื่อวิเคราะห์ข้อความ SMS ข้อความ ICQ หรือโพสต์ในบล็อก

ข้อเสียจะปรากฏชัดเจนเมื่อใช้ภาษาที่ไม่ใช่ภาษาอังกฤษ น่าเสียดายที่ผู้ผลิตระบบวิเคราะห์ข้อความส่วนใหญ่ทำงานในตลาดอเมริกา และภาษาอังกฤษเป็น "ลายเซ็น" มาก - รูปแบบคำมักเกิดขึ้นโดยใช้คำบุพบทโดยไม่เปลี่ยนคำ ในรัสเซียทุกอย่างซับซ้อนกว่ามาก ยกตัวอย่างเช่น คำว่า "ความลับ" ที่หัวใจของเจ้าหน้าที่รักษาความปลอดภัยข้อมูล ในภาษาอังกฤษหมายถึงทั้งคำนาม "ความลับ" คำคุณศัพท์ "ความลับ" และกริยา "เก็บเป็นความลับ" ในภาษารัสเซีย คำต่างๆ มากมายสามารถสร้างได้จาก "ความลับ" ของราก เหล่านั้น. ถ้าในองค์กรที่พูดภาษาอังกฤษ ก็เพียงพอแล้วที่เจ้าหน้าที่รักษาความปลอดภัยข้อมูลจะพิมพ์หนึ่งคำ ในองค์กรที่พูดภาษารัสเซีย พวกเขาจะต้องป้อนคำสองสามโหลแล้วเปลี่ยนในการเข้ารหัสที่แตกต่างกันหกแบบ

นอกจากนี้ วิธีการดังกล่าวไม่เสถียรสำหรับการเข้ารหัสแบบดั้งเดิม เกือบทั้งหมดยอมจำนนต่อกลอุบายที่ชื่นชอบของผู้ส่งอีเมลขยะมือใหม่ โดยแทนที่ตัวละครด้วยตัวละครที่คล้ายคลึงกัน ผู้เขียนได้แสดงเคล็ดลับเบื้องต้นแก่เจ้าหน้าที่รักษาความปลอดภัยซ้ำแล้วซ้ำเล่า - การส่งข้อความที่เป็นความลับผ่านตัวกรองลายเซ็น ข้อความที่มีตัวอย่างเช่นวลี "ความลับสุดยอด" ถูกนำมาใช้และตัวสกัดกั้นจดหมายที่กำหนดค่าไว้สำหรับวลีนี้ หากข้อความถูกเปิดใน MS Word การดำเนินการสองวินาที: Ctrl + F, "ค้นหา "o" (เค้าโครงภาษารัสเซีย)", "แทนที่ด้วย "o" (เค้าโครงภาษาอังกฤษ)", "แทนที่ทั้งหมด", "ส่ง เอกสาร" - ทำให้เอกสารมองไม่เห็นตัวกรองนี้อย่างแน่นอน เป็นเรื่องที่น่าผิดหวังมากกว่าที่การแทนที่ดังกล่าวดำเนินการโดยวิธีการปกติของ MS Word หรือโปรแกรมแก้ไขข้อความอื่น ๆ เช่น มีให้สำหรับผู้ใช้แม้ว่าเขาจะไม่มีสิทธิ์ผู้ดูแลระบบในพื้นที่และความสามารถในการเรียกใช้โปรแกรมเข้ารหัส

ส่วนใหญ่แล้ว การควบคุมโฟลว์ตามลายเซ็นจะรวมอยู่ในฟังก์ชันการทำงานของอุปกรณ์ UTM เช่น โซลูชันที่ทำความสะอาดทราฟฟิกจากไวรัส สแปม การบุกรุก และภัยคุกคามอื่นๆ ที่ตรวจพบโดยลายเซ็น เนื่องจากคุณลักษณะนี้เป็น "ฟรี" ผู้ใช้มักรู้สึกว่าเพียงพอแล้ว วิธีแก้ปัญหาดังกล่าวช่วยป้องกันการรั่วไหลโดยไม่ได้ตั้งใจ เช่น ในกรณีที่ผู้ส่งไม่ได้เปลี่ยนข้อความขาออกเพื่อหลีกเลี่ยงตัวกรอง แต่ไม่มีอำนาจกับผู้ใช้ที่เป็นอันตราย

หน้ากาก

ส่วนขยายของฟังก์ชันการค้นหาลายเซ็นหยุดคือการค้นหามาสก์ เป็นการค้นหาเนื้อหาดังกล่าวที่ไม่สามารถระบุได้อย่างถูกต้องในฐานของ "คำหยุด" แต่สามารถระบุองค์ประกอบหรือโครงสร้างได้ ข้อมูลดังกล่าวควรรวมถึงรหัสที่แสดงถึงบุคคลหรือองค์กร: TIN หมายเลขบัญชี เอกสาร ฯลฯ เป็นไปไม่ได้ที่จะค้นหาโดยใช้ลายเซ็น

ไม่มีเหตุผลที่จะกำหนดหมายเลขของบัตรธนาคารเฉพาะเป็นวัตถุค้นหา แต่คุณต้องการค้นหาหมายเลขบัตรเครดิตใด ๆ ไม่ว่าจะเขียนอย่างไร - ด้วยการเว้นวรรคหรือรวมกัน นี่ไม่ใช่แค่ความปรารถนา แต่เป็นข้อกำหนดของมาตรฐาน PCI DSS: ห้ามส่งหมายเลขบัตรพลาสติกที่ไม่ได้เข้ารหัสทางอีเมลเช่น เป็นความรับผิดชอบของผู้ใช้ในการค้นหาหมายเลขดังกล่าวในอีเมลและทิ้งข้อความต้องห้าม

ตัวอย่างเช่น ในที่นี้ เป็นมาสก์ที่ระบุคำหยุด เช่น ชื่อของคำสั่งลับหรือคำสั่งลับ ซึ่งจำนวนเริ่มต้นจากศูนย์ มาสก์ไม่เพียงคำนึงถึงตัวเลขโดยพลการเท่านั้น แต่ยังรวมถึงกรณีใด ๆ และแม้แต่การแทนที่ตัวอักษรรัสเซียสำหรับตัวอักษรละติน มาสก์เขียนด้วยสัญลักษณ์ "REGEXP" มาตรฐาน แม้ว่าระบบ DLP ที่แตกต่างกันอาจมีรูปแบบของตนเองและมีความยืดหยุ่นมากกว่า สถานการณ์ยิ่งแย่ลงด้วยหมายเลขโทรศัพท์ ข้อมูลนี้ถูกจัดประเภทเป็นข้อมูลส่วนบุคคล และคุณสามารถเขียนได้หลายสิบแบบ โดยใช้การเว้นวรรคแบบต่างๆ วงเล็บประเภทต่างๆ บวกและลบ เป็นต้น ที่นี่บางทีหน้ากากเดียวก็ขาดไม่ได้ ตัวอย่างเช่น ในระบบต่อต้านสแปม ซึ่งต้องแก้ไขงานที่คล้ายกัน มาสก์หลายสิบตัวถูกใช้พร้อมกันเพื่อตรวจจับหมายเลขโทรศัพท์

รหัสต่าง ๆ มากมายที่จารึกไว้ในกิจกรรมของบริษัทและพนักงานได้รับการคุ้มครองโดยกฎหมายหลายฉบับ และเป็นตัวแทนของความลับทางการค้า ความลับทางการธนาคาร ข้อมูลส่วนบุคคล และข้อมูลที่ได้รับการคุ้มครองทางกฎหมายอื่นๆ ดังนั้น ปัญหาในการตรวจพบรหัสเหล่านี้ในการเข้าชมจึงเป็นข้อกำหนดเบื้องต้นสำหรับวิธีแก้ปัญหาใดๆ

ฟังก์ชั่นแฮช

ฟังก์ชันแฮชประเภทต่างๆ สำหรับตัวอย่างเอกสารที่เป็นความลับถือเป็นคำใหม่ในตลาดการป้องกันการรั่วไหลในคราวเดียว แม้ว่าเทคโนโลยีจะมีมาตั้งแต่ปี 1970 ก็ตาม ในตะวันตก วิธีนี้บางครั้งเรียกว่า "ลายนิ้วมือดิจิทัล" เช่น "ลายนิ้วมือดิจิทัล" หรือ "งูสวัด" ในคำแสลงทางวิทยาศาสตร์

สาระสำคัญของวิธีการทั้งหมดเหมือนกัน แม้ว่าอัลกอริธึมเฉพาะสำหรับผู้ผลิตแต่ละรายอาจแตกต่างกันอย่างมาก อัลกอริทึมบางตัวได้รับการจดสิทธิบัตรแล้ว ซึ่งยืนยันถึงความเป็นเอกลักษณ์ของการใช้งาน สถานการณ์ทั่วไปของการดำเนินการมีดังนี้ กำลังรวบรวมฐานข้อมูลของตัวอย่างเอกสารที่เป็นความลับ "สำนักพิมพ์" ถูกนำมาจากแต่ละคนเช่น เนื้อหาที่มีความหมายถูกดึงออกมาจากเอกสาร ซึ่งถูกลดขนาดให้เป็นปกติ เช่น รูปแบบข้อความ (แต่ไม่จำเป็น) จากนั้นแฮชของเนื้อหาทั้งหมดและทุกส่วนของเนื้อหา เช่น ย่อหน้า ประโยค ห้าคำ ฯลฯ จะถูกลบออก , รายละเอียดขึ้นอยู่กับการใช้งานเฉพาะ ลายนิ้วมือเหล่านี้ถูกเก็บไว้ในฐานข้อมูลพิเศษ

เอกสารที่ถูกสกัดกั้นจะถูกล้างข้อมูลการบริการในลักษณะเดียวกันและนำไปสู่รูปแบบปกติ จากนั้นจึงลบลายนิ้วมือ-shindles ออกจากเอกสารโดยใช้อัลกอริธึมเดียวกัน พิมพ์ที่ได้รับจะถูกค้นหาในฐานข้อมูลของการพิมพ์เอกสารที่เป็นความลับ และหากพบ เอกสารดังกล่าวถือเป็นความลับ เนื่องจากวิธีนี้ใช้เพื่อค้นหาราคาโดยตรงจากเอกสารตัวอย่าง บางครั้งเทคโนโลยีจึงเรียกว่า "การต่อต้านการลอกเลียนแบบ"

ข้อดีส่วนใหญ่ของวิธีนี้ก็มีข้อเสียเช่นกัน ประการแรก นี่คือข้อกำหนดในการใช้เอกสารตัวอย่าง ในอีกด้านหนึ่ง ผู้ใช้ไม่ต้องกังวลกับคำหยุด คำสำคัญ และข้อมูลอื่นๆ ที่ไม่เฉพาะเจาะจงสำหรับเจ้าหน้าที่รักษาความปลอดภัย ในทางกลับกัน "ไม่มีรูปแบบ ไม่มีการป้องกัน" ก่อให้เกิดปัญหาเดียวกันกับเอกสารใหม่และขาเข้า เช่นเดียวกับเทคโนโลยีที่ใช้ฉลาก ข้อได้เปรียบที่สำคัญมากของเทคโนโลยีนี้คือการมุ่งเน้นไปที่การทำงานกับลำดับอักขระตามอำเภอใจ จากนี้ไป อย่างแรกเลย ความเป็นอิสระจากภาษาของข้อความ - แม้แต่อักษรอียิปต์โบราณ แม้แต่ Pashto นอกจากนี้ หนึ่งในผลที่ตามมาของคุณสมบัตินี้คือความเป็นไปได้ของการนำลายนิ้วมือจากข้อมูลที่ไม่ใช่ข้อความ - ฐานข้อมูล ภาพวาด ไฟล์สื่อ เป็นเทคโนโลยีเหล่านี้ที่สตูดิโอฮอลลีวูดและสตูดิโอบันทึกเสียงระดับโลกใช้เพื่อปกป้องเนื้อหาสื่อในที่เก็บข้อมูลดิจิทัล

ขออภัย ฟังก์ชันแฮชระดับต่ำไม่มีประสิทธิภาพต่อการเข้ารหัสดั้งเดิมที่กล่าวถึงในตัวอย่างลายเซ็น พวกเขารับมือกับการเปลี่ยนลำดับของคำ การจัดเรียงย่อหน้าและกลอุบายอื่น ๆ ของ "ผู้ลอกเลียนแบบ" ได้อย่างง่ายดาย แต่ตัวอย่างเช่น การเปลี่ยนตัวอักษรทั่วทั้งเอกสารจะทำลายรูปแบบแฮชและเอกสารดังกล่าวจะไม่ปรากฏแก่ผู้สกัดกั้น

การใช้วิธีนี้จะทำให้งานกับแบบฟอร์มยุ่งยากขึ้น ดังนั้น แบบฟอร์มการขอสินเชื่อที่ว่างเปล่าจึงเป็นเอกสารที่แจกจ่ายโดยเสรี และแบบฟอร์มที่กรอกเสร็จแล้วจะเป็นความลับ เนื่องจากมีข้อมูลส่วนบุคคล หากคุณเพียงแค่ใช้ลายนิ้วมือจากแบบฟอร์มเปล่า เอกสารที่ดักจับเสร็จแล้วจะมีข้อมูลทั้งหมดจากแบบฟอร์มเปล่า เช่น งานพิมพ์ส่วนใหญ่จะเข้ากัน ดังนั้นระบบจะปล่อยให้ข้อมูลที่เป็นความลับผ่านหรือป้องกันไม่ให้แบบฟอร์มเปล่าถูกแจกจ่ายอย่างอิสระ

แม้จะมีข้อบกพร่องที่กล่าวถึง แต่วิธีนี้ใช้กันอย่างแพร่หลาย โดยเฉพาะอย่างยิ่งในธุรกิจที่ไม่สามารถจ้างพนักงานที่มีคุณสมบัติเหมาะสมได้ แต่ทำงานบนหลักการ "ใส่ข้อมูลที่เป็นความลับทั้งหมดลงในโฟลเดอร์นี้และนอนหลับสบาย" ในแง่นี้ การกำหนดให้ใช้เอกสารเฉพาะเพื่อปกป้องเอกสารนั้นค่อนข้างคล้ายกับวิธีแก้ปัญหาตามป้ายกำกับ โดยจัดเก็บแยกจากตัวอย่างเท่านั้นและเก็บรักษาไว้เมื่อเปลี่ยนรูปแบบไฟล์ คัดลอกบางส่วนของไฟล์ ฯลฯ อย่างไรก็ตาม ธุรกิจขนาดใหญ่ที่มีเอกสารหมุนเวียนอยู่หลายแสนฉบับ มักจะไม่สามารถให้ตัวอย่างเอกสารที่เป็นความลับได้ เนื่องจาก กระบวนการทางธุรกิจของบริษัทไม่ต้องการมัน สิ่งเดียวที่ (หรือที่จริงแล้วควรจะเป็น) ในทุกองค์กรคือ "รายการข้อมูลที่ประกอบเป็นความลับทางการค้า" การสร้างลวดลายไม่ใช่เรื่องง่าย

ความง่ายในการเพิ่มตัวอย่างลงในฐานข้อมูลเนื้อหาที่มีการควบคุมมักเล่นกลกับผู้ใช้ สิ่งนี้นำไปสู่การเพิ่มขึ้นทีละน้อยในฐานลายนิ้วมือ ซึ่งส่งผลกระทบอย่างมากต่อประสิทธิภาพของระบบ: ยิ่งมีตัวอย่างมาก การเปรียบเทียบแต่ละข้อความที่ดักจับก็จะยิ่งมากขึ้น เนื่องจากแต่ละงานพิมพ์ใช้พื้นที่ตั้งแต่ 5 ถึง 20% ของต้นฉบับ ฐานของงานพิมพ์จึงค่อยๆ เพิ่มขึ้น ผู้ใช้สังเกตเห็นว่าประสิทธิภาพลดลงอย่างรวดเร็วเมื่อฐานข้อมูลเริ่มใช้งานเกิน RAM ของเซิร์ฟเวอร์การกรอง โดยปกติแล้ว ปัญหาจะได้รับการแก้ไขโดยการตรวจสอบเอกสารตัวอย่างอย่างสม่ำเสมอ และลบตัวอย่างที่ล้าสมัยหรือที่ซ้ำกันออกไป กล่าวคือ ประหยัดในการใช้งาน ผู้ใช้สูญเสียการทำงาน

วิธีการทางภาษาศาสตร์

วิธีการวิเคราะห์ที่พบบ่อยที่สุดในปัจจุบันคือการวิเคราะห์ข้อความทางภาษาศาสตร์ เป็นที่นิยมมากจนมักเรียกขานว่า "การกรองเนื้อหา" ดำเนินการลักษณะของวิธีการวิเคราะห์เนื้อหาทั้งชั้นเรียน จากมุมมองของการจัดประเภท ทั้งการวิเคราะห์แฮช การวิเคราะห์ลายเซ็น และการวิเคราะห์มาสก์เป็น "การกรองเนื้อหา" กล่าวคือ การกรองการเข้าชมตามการวิเคราะห์เนื้อหา

ตามชื่อที่แสดง วิธีการนี้ใช้ได้กับข้อความเท่านั้น คุณจะไม่ใช้มันเพื่อปกป้องฐานข้อมูลที่ประกอบด้วยตัวเลขและวันที่เท่านั้น โดยเฉพาะภาพวาด ภาพวาด และคอลเลกชันเพลงโปรด แต่ด้วยข้อความ วิธีนี้ใช้ได้ผลอย่างมหัศจรรย์

ภาษาศาสตร์เป็นวิทยาศาสตร์ประกอบด้วยหลายสาขาวิชา ตั้งแต่สัณฐานวิทยาไปจนถึงความหมาย ดังนั้นวิธีการวิเคราะห์ทางภาษาศาสตร์จึงแตกต่างกัน มีวิธีการที่ใช้เฉพาะคำหยุด ป้อนที่ระดับรูทเท่านั้น และระบบได้รวบรวมพจนานุกรมฉบับสมบูรณ์ไว้แล้ว มีคำศัพท์ตามการกระจายน้ำหนักที่พบในข้อความ มีวิธีการทางภาษาศาสตร์และรอยประทับตามสถิติ ตัวอย่างเช่น ถ่ายเอกสาร นับ 50 คำที่ใช้มากที่สุด จากนั้นเลือก 10 คำที่ใช้มากที่สุดในแต่ละย่อหน้า "พจนานุกรม" ดังกล่าวเป็นลักษณะเฉพาะของข้อความเกือบทั้งหมด และช่วยให้คุณค้นหาคำพูดที่มีความหมายใน "โคลน"

การวิเคราะห์รายละเอียดปลีกย่อยทั้งหมดของการวิเคราะห์ทางภาษาไม่อยู่ในขอบเขตของบทความนี้ ดังนั้นเราจะเน้นที่ข้อดีและข้อเสีย

ข้อดีของวิธีนี้คือไม่ไวต่อจำนวนเอกสารโดยสิ้นเชิงเช่น หายากสำหรับความสามารถในการปรับขนาดความปลอดภัยของข้อมูลองค์กร ฐานการกรองเนื้อหา (ชุดของคลาสคำศัพท์และกฎสำคัญ) จะไม่เปลี่ยนแปลงขนาดขึ้นอยู่กับลักษณะที่ปรากฏของเอกสารหรือกระบวนการใหม่ในบริษัท

นอกจากนี้ ผู้ใช้ทราบในวิธีการนี้มีความคล้ายคลึงกันกับ "คำหยุด" ตรงที่ว่าหากเอกสารล่าช้า จะเป็นที่ชัดเจนว่าเหตุใดจึงเกิดเหตุการณ์นี้ขึ้นในทันที หากระบบที่ใช้ลายนิ้วมือรายงานว่าเอกสารคล้ายกับเอกสารอื่น เจ้าหน้าที่รักษาความปลอดภัยจะต้องเปรียบเทียบเอกสารทั้งสองด้วยตนเอง และในการวิเคราะห์ทางภาษาศาสตร์ เขาจะได้รับเนื้อหาที่ทำเครื่องหมายไว้แล้ว ระบบภาษาศาสตร์พร้อมกับการกรองลายเซ็นนั้นเป็นเรื่องธรรมดาเพราะช่วยให้คุณเริ่มทำงานโดยไม่มีการเปลี่ยนแปลงในบริษัททันทีหลังการติดตั้ง ไม่จำเป็นต้องกังวลเกี่ยวกับการติดแท็กและการพิมพ์ลายนิ้วมือ การจัดเก็บเอกสาร และการทำงานที่ไม่เฉพาะเจาะจงอื่นๆ สำหรับเจ้าหน้าที่รักษาความปลอดภัย

ข้อเสียก็ชัดเจนเช่นเดียวกัน และข้อแรกคือการพึ่งพาภาษา ในแต่ละประเทศที่ผู้ผลิตรองรับภาษานี้ไม่ใช่ข้อเสีย แต่จากมุมมองของ บริษัท ระดับโลกที่มีนอกเหนือจากภาษาเดียวของการสื่อสารองค์กร (เช่นภาษาอังกฤษ) เอกสารอื่น ๆ ในท้องถิ่น ภาษาในแต่ละประเทศถือเป็นข้อเสียที่ชัดเจน

ข้อเสียอีกประการหนึ่งคือเปอร์เซ็นต์ข้อผิดพลาดประเภท II ที่สูง ซึ่งต้องมีคุณสมบัติในด้านภาษาศาสตร์ (เพื่อปรับแต่งฐานการกรองอย่างละเอียด) เพื่อลดข้อผิดพลาด ฐานข้อมูลอุตสาหกรรมมาตรฐานมักให้ความแม่นยำในการกรอง 80-85% ซึ่งหมายความว่าทุก ๆ ห้าหรือหกตัวอักษรถูกดักฟังโดยไม่ได้ตั้งใจ การตั้งค่าพื้นฐานให้มีความแม่นยำที่ยอมรับได้ 95-97% มักจะเกี่ยวข้องกับการแทรกแซงของนักภาษาศาสตร์ที่ได้รับการฝึกอบรมมาเป็นพิเศษ และถึงแม้จะเรียนรู้การปรับฐานการกรองก็เพียงพอแล้วที่จะมีเวลาว่างสองวันและพูดภาษาในระดับมัธยมศึกษาตอนปลายไม่มีใครทำงานนี้ยกเว้นเจ้าหน้าที่รักษาความปลอดภัยและ เขามักจะถือว่างานดังกล่าวไม่ใช่งานหลัก การดึงดูดบุคคลจากภายนอกนั้นมีความเสี่ยงเสมอ - เขาจะต้องทำงานกับข้อมูลที่เป็นความลับ ทางออกของสถานการณ์นี้คือการซื้อโมดูลเพิ่มเติม - "นักภาษาศาสตร์อัตโนมัติ" ที่เรียนรู้ด้วยตนเองซึ่ง "ป้อน" กับผลบวกที่ผิดพลาดและปรับฐานอุตสาหกรรมมาตรฐานโดยอัตโนมัติ

วิธีการทางภาษาศาสตร์จะถูกเลือกเมื่อพวกเขาต้องการลดการรบกวนในธุรกิจให้เหลือน้อยที่สุด เมื่อบริการรักษาความปลอดภัยข้อมูลไม่มีทรัพยากรการดูแลระบบเพื่อเปลี่ยนกระบวนการที่มีอยู่สำหรับการสร้างและจัดเก็บเอกสาร พวกเขาทำงานทุกที่ทุกเวลาแม้ว่าจะมีข้อเสียที่กล่าวถึง

ช่องยอดนิยมของสื่อบันทึกข้อมูลมือถือรั่วโดยไม่ตั้งใจ

นักวิเคราะห์ของ InfoWatch เชื่อว่าสื่อมือถือ (แล็ปท็อป แฟลชไดรฟ์ อุปกรณ์สื่อสารเคลื่อนที่ ฯลฯ) ยังคงเป็นช่องทางยอดนิยมสำหรับการรั่วไหลโดยไม่ได้ตั้งใจ เนื่องจากผู้ใช้อุปกรณ์ดังกล่าวมักละเลยเครื่องมือเข้ารหัสข้อมูล

สาเหตุทั่วไปอีกประการของการรั่วไหลโดยไม่ได้ตั้งใจคือสื่อกระดาษ: ควบคุมได้ยากกว่าสื่ออิเล็กทรอนิกส์ เช่น หลังจากที่กระดาษออกจากเครื่องพิมพ์ไปแล้ว ก็สามารถตรวจสอบได้ "ด้วยตนเอง" เท่านั้น: การควบคุมสื่อกระดาษนั้นอ่อนแอกว่าการควบคุม ผ่านข้อมูลคอมพิวเตอร์ เครื่องมือป้องกันการรั่วไหลจำนวนมาก (คุณไม่สามารถเรียกมันว่าระบบ DLP เต็มรูปแบบ) ไม่ได้ควบคุมช่องทางส่งออกของข้อมูลไปยังเครื่องพิมพ์ ดังนั้นข้อมูลที่เป็นความลับจึงรั่วไหลออกจากองค์กรได้อย่างง่ายดาย

ปัญหานี้สามารถแก้ไขได้ด้วยระบบ DLP แบบมัลติฟังก์ชั่นที่บล็อกการส่งข้อมูลที่ไม่ได้รับอนุญาตสำหรับการพิมพ์และตรวจสอบการติดต่อของที่อยู่ไปรษณีย์และผู้รับ

นอกจากนี้ ความนิยมที่เพิ่มขึ้นของอุปกรณ์พกพาทำให้ยากต่อการป้องกันการรั่วไหลมากขึ้น เนื่องจากยังไม่มีไคลเอ็นต์ DLP ที่เกี่ยวข้อง นอกจากนี้ เป็นการยากมากที่จะตรวจจับการรั่วไหลในกรณีของการเข้ารหัสหรือ Steganography คนวงในสามารถเลี่ยงการกรองข้อมูลบางอย่างได้ สามารถเปิดอินเทอร์เน็ตเพื่อ "แนวทางปฏิบัติที่ดีที่สุด" ได้เสมอ นั่นคือ DLP หมายถึงการป้องกันการรั่วไหลโดยเจตนาที่ค่อนข้างไม่ดี

ประสิทธิภาพของเครื่องมือ DLP สามารถขัดขวางได้โดยข้อบกพร่องที่เห็นได้ชัด: โซลูชันการป้องกันการรั่วไหลที่ทันสมัยไม่อนุญาตให้คุณควบคุมและบล็อกช่องทางข้อมูลที่มีอยู่ทั้งหมด ระบบ DLP จะตรวจสอบอีเมลขององค์กร การใช้งานเว็บ การส่งข้อความโต้ตอบแบบทันที สื่อภายนอก การพิมพ์เอกสาร และเนื้อหาในฮาร์ดไดรฟ์ แต่ Skype ยังคงควบคุมระบบ DLP ไม่ได้ มีเพียงเทรนด์ไมโครเท่านั้นที่สามารถประกาศว่าสามารถควบคุมการทำงานของโปรแกรมสื่อสารนี้ได้ นักพัฒนาที่เหลือสัญญาว่าฟังก์ชันการทำงานที่เกี่ยวข้องจะมีให้ในซอฟต์แวร์รักษาความปลอดภัยเวอร์ชันถัดไป

แต่ถ้า Skype สัญญาว่าจะเปิดโปรโตคอลให้กับนักพัฒนา DLP โซลูชันอื่นๆ เช่น Microsoft Collaboration Tools สำหรับจัดระเบียบการทำงานร่วมกัน จะยังคงปิดสำหรับโปรแกรมเมอร์บุคคลที่สาม จะควบคุมการส่งข้อมูลผ่านช่องทางนี้ได้อย่างไร? ในขณะเดียวกัน ในโลกสมัยใหม่ แนวปฏิบัติกำลังพัฒนาเมื่อผู้เชี่ยวชาญรวมตัวกันเป็นทีมจากระยะไกลเพื่อทำงานในโครงการทั่วไปและสลายตัวหลังจากเสร็จสิ้น

แหล่งที่มาหลักของการรั่วไหลของข้อมูลที่เป็นความลับในช่วงครึ่งแรกของปี 2010 ยังคงเป็นเชิงพาณิชย์ (73.8%) และองค์กรภาครัฐ (16%) การรั่วไหลประมาณ 8% มาจากสถาบันการศึกษา ลักษณะของข้อมูลที่เป็นความลับรั่วไหลคือข้อมูลส่วนบุคคล (เกือบ 90% ของข้อมูลรั่วไหลทั้งหมด)

ตามธรรมเนียมแล้ว ผู้นำในการรั่วไหลของโลกคือสหรัฐอเมริกาและบริเตนใหญ่ (เช่น แคนาดา รัสเซีย และเยอรมนี ที่มีตัวเลขต่ำกว่าอย่างเห็นได้ชัดนั้นอยู่ใน 5 อันดับแรกด้วยจำนวนการรั่วไหลที่ใหญ่ที่สุด) ซึ่งเกิดจากลักษณะเฉพาะของกฎหมายของ ประเทศเหล่านี้ซึ่งต้องรายงานเหตุการณ์การรั่วไหลของข้อมูลที่เป็นความลับทั้งหมด นักวิเคราะห์ของ Infowatch คาดการณ์ว่าส่วนแบ่งการรั่วไหลโดยไม่ได้ตั้งใจจะลดลงและการเพิ่มขึ้นของส่วนแบ่งการรั่วไหลโดยเจตนาในปีหน้า

ความยากลำบากในการดำเนินการ

นอกจากปัญหาที่เห็นได้ชัดแล้ว การนำ DLP ไปใช้ยังถูกขัดขวางด้วยความยากลำบากในการเลือกโซลูชันที่เหมาะสม เนื่องจากผู้จำหน่ายระบบ DLP หลายรายต่างยอมรับแนวทางของตนเองในการจัดองค์กรป้องกัน บางตัวมีอัลกอริธึมที่จดสิทธิบัตรสำหรับการวิเคราะห์เนื้อหาด้วยคำหลัก ในขณะที่บางตัวเสนอวิธีการของลายนิ้วมือดิจิทัล วิธีการเลือกผลิตภัณฑ์ที่ดีที่สุดในเงื่อนไขเหล่านี้? อะไรมีประสิทธิภาพมากกว่ากัน? เป็นการยากมากที่จะตอบคำถามเหล่านี้ เนื่องจากมีการใช้งานระบบ DLP น้อยมากในปัจจุบัน และมีแนวทางปฏิบัติจริงในการใช้งานน้อยลง (ซึ่งก็อาจเชื่อถือได้) แต่โครงการเหล่านั้นที่ดำเนินการไปแล้วพบว่าการให้คำปรึกษามีสัดส่วนมากกว่าครึ่งหนึ่งของขอบเขตงานและงบประมาณ ซึ่งมักทำให้เกิดความกังขาอย่างมากในหมู่ผู้บริหาร นอกจากนี้ ตามกฎแล้ว กระบวนการทางธุรกิจที่มีอยู่ขององค์กรจะต้องมีการปรับโครงสร้างใหม่เพื่อให้เป็นไปตามข้อกำหนดของ DLP และบริษัทต่างๆ ก็ประสบปัญหาในการทำเช่นนี้

การแนะนำ DLP ช่วยให้สอดคล้องกับข้อกำหนดปัจจุบันของผู้กำกับดูแลได้มากน้อยเพียงใด? ในประเทศตะวันตก การนำระบบ DLP มาใช้นั้นได้รับแรงบันดาลใจจากกฎหมาย มาตรฐาน ข้อกำหนดของอุตสาหกรรม และข้อบังคับอื่นๆ ตามที่ผู้เชี่ยวชาญระบุ ข้อกำหนดทางกฎหมายที่ชัดเจนในต่างประเทศ แนวทางในการสร้างความมั่นใจว่าข้อกำหนดเป็นกลไกสำคัญของตลาด DLP เนื่องจากการแนะนำโซลูชันพิเศษช่วยขจัดการเรียกร้องจากหน่วยงานกำกับดูแล เรามีสถานการณ์ที่แตกต่างไปจากเดิมอย่างสิ้นเชิงในด้านนี้ และการแนะนำระบบ DLP ไม่ได้ช่วยให้ปฏิบัติตามกฎหมายได้

สิ่งจูงใจบางประการสำหรับการแนะนำและการใช้ DLP ในสภาพแวดล้อมขององค์กรอาจจำเป็นต้องปกป้องความลับทางการค้าของบริษัทและปฏิบัติตามข้อกำหนดของกฎหมายของรัฐบาลกลาง "เกี่ยวกับความลับทางการค้า"

เกือบทุกองค์กรได้นำเอกสารเช่น "ระเบียบว่าด้วยความลับทางการค้า" และ "รายการข้อมูลที่ประกอบเป็นความลับทางการค้า" มาใช้และควรปฏิบัติตามข้อกำหนดของพวกเขา มีความเห็นว่ากฎหมาย "ว่าด้วยความลับทางการค้า" (98-FZ) ไม่ได้ผล อย่างไรก็ตาม ผู้บริหารของบริษัทตระหนักดีว่าการปกป้องความลับทางการค้าเป็นสิ่งสำคัญและจำเป็นสำหรับพวกเขา ยิ่งกว่านั้น ความตระหนักรู้นี้มากกว่าความเข้าใจในความสำคัญของกฎหมายว่าด้วยข้อมูลส่วนบุคคล (152-FZ) มาก และมันง่ายกว่ามากสำหรับผู้จัดการที่จะอธิบายความจำเป็นในการแนะนำการจัดการเอกสารที่เป็นความลับมากกว่าที่จะพูดถึงการป้องกัน ของข้อมูลส่วนบุคคล

อะไรจะป้องกันการใช้ DLP ในกระบวนการปกป้องความลับทางการค้าโดยอัตโนมัติ? ตามประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย เพื่อแนะนำระบอบการป้องกันความลับทางการค้า จำเป็นเพียงว่าข้อมูลมีค่าบางส่วนและรวมอยู่ในรายการที่เหมาะสม ในกรณีนี้ กฎหมายกำหนดให้เจ้าของข้อมูลดังกล่าวต้องใช้มาตรการในการปกป้องข้อมูลที่เป็นความลับ

ในขณะเดียวกัน ก็เห็นได้ชัดว่า DLP จะไม่สามารถแก้ไขปัญหาทั้งหมดได้ โดยเฉพาะอย่างยิ่ง ครอบคลุมการเข้าถึงข้อมูลที่เป็นความลับแก่บุคคลที่สาม แต่มีเทคโนโลยีอื่นสำหรับสิ่งนี้ โซลูชัน DLP ที่ทันสมัยจำนวนมากสามารถรวมเข้ากับโซลูชันเหล่านี้ได้ จากนั้นเมื่อสร้างห่วงโซ่เทคโนโลยีนี้ จะได้รับระบบการทำงานสำหรับการปกป้องความลับทางการค้า ระบบดังกล่าวจะทำให้ธุรกิจเข้าใจมากขึ้น และเป็นธุรกิจที่จะสามารถทำหน้าที่เป็นลูกค้าของระบบป้องกันการรั่วไหลได้

รัสเซียกับตะวันตก

นักวิเคราะห์กล่าวว่า รัสเซียมีทัศนคติต่อความปลอดภัยที่แตกต่างกัน และมีระดับวุฒิภาวะที่แตกต่างกันของบริษัทที่ให้บริการโซลูชั่น DLP ตลาดรัสเซียมุ่งเน้นไปที่ผู้เชี่ยวชาญด้านความปลอดภัยและปัญหาเฉพาะด้าน ผู้ป้องกันการละเมิดข้อมูลมักไม่เข้าใจว่าข้อมูลใดมีค่า ในรัสเซียแนวทาง "ทหาร" ในการจัดระบบรักษาความปลอดภัย: ขอบเขตที่แข็งแกร่งพร้อมไฟร์วอลล์และความพยายามทุกวิถีทางเพื่อป้องกันการเจาะภายใน

แต่ถ้าพนักงานของบริษัทสามารถเข้าถึงข้อมูลจำนวนหนึ่งที่ไม่จำเป็นต่อการปฏิบัติหน้าที่ได้ล่ะ? ในทางกลับกัน หากเราพิจารณาแนวทางที่เกิดขึ้นในชาติตะวันตกในช่วง 10-15 ปีที่ผ่านมา เราสามารถพูดได้ว่าให้ความสำคัญกับคุณค่าของข้อมูลมากขึ้น ทรัพยากรจะถูกส่งไปยังตำแหน่งที่มีข้อมูลอันมีค่า ไม่ใช่ข้อมูลทั้งหมดที่อยู่ติดกัน บางทีนี่อาจเป็นความแตกต่างทางวัฒนธรรมที่ใหญ่ที่สุดระหว่างตะวันตกกับรัสเซีย อย่างไรก็ตาม นักวิเคราะห์กล่าวว่าสถานการณ์กำลังเปลี่ยนแปลง ข้อมูลเริ่มถูกมองว่าเป็นทรัพย์สินทางธุรกิจ และจะต้องใช้เวลาพอสมควรในการพัฒนา

ไม่มีวิธีแก้ปัญหาที่ครอบคลุม

การป้องกันการรั่วไหล 100% ยังไม่ได้รับการพัฒนาโดยผู้ผลิตรายใด ปัญหาเกี่ยวกับการใช้ผลิตภัณฑ์ DLP นั้นกำหนดโดยผู้เชี่ยวชาญบางคนดังนี้ การใช้ประสบการณ์ในการจัดการกับรอยรั่วที่ใช้ในระบบ DLP อย่างมีประสิทธิภาพต้องอาศัยความเข้าใจว่างานในการป้องกันการรั่วไหลจะต้องทำในฝั่งลูกค้าเป็นจำนวนมาก เพราะไม่มีใคร รู้ดีกว่าเขากระแสข้อมูล

คนอื่นเชื่อว่าเป็นไปไม่ได้ที่จะป้องกันการรั่วไหล: เป็นไปไม่ได้ที่จะป้องกันการรั่วไหลของข้อมูล เนื่องจากข้อมูลมีค่าสำหรับใครบางคนจึงจะได้รับไม่ช้าก็เร็ว เครื่องมือซอฟต์แวร์สามารถทำให้การรับข้อมูลนี้มีค่าใช้จ่ายสูงและใช้เวลามากขึ้น ซึ่งสามารถลดประโยชน์ของการครอบครองข้อมูลได้อย่างมาก ความเกี่ยวข้องของข้อมูล ซึ่งหมายความว่าควรตรวจสอบประสิทธิภาพของระบบ DLP

»

วันนี้ ตลาดระบบ DLP เป็นหนึ่งในเครื่องมือรักษาความปลอดภัยข้อมูลที่มีการเติบโตเร็วที่สุด อย่างไรก็ตาม ขอบเขตการรักษาความปลอดภัยข้อมูลภายในประเทศนั้นไม่สอดคล้องกับแนวโน้มของโลก ดังนั้นตลาดระบบ DLP ในประเทศของเราจึงมีลักษณะเป็นของตัวเอง

DLP คืออะไรและทำงานอย่างไร

ก่อนที่จะพูดถึงตลาดของระบบ DLP จำเป็นต้องตัดสินใจว่าอันที่จริงแล้วมีความหมายอย่างไรในการแก้ปัญหาดังกล่าว ระบบ DLP มักเข้าใจว่าเป็นผลิตภัณฑ์ซอฟต์แวร์ที่ปกป้ององค์กรจากการรั่วไหลของข้อมูลที่เป็นความลับ ตัวย่อ DLP นั้นย่อมาจาก Data Leak Prevention นั่นคือการป้องกันการรั่วไหลของข้อมูล

ระบบดังกล่าวจะสร้าง "ขอบเขต" ดิจิทัลที่ปลอดภัยทั่วทั้งองค์กร วิเคราะห์ข้อมูลขาออกทั้งหมด และในบางกรณี ข้อมูลขาเข้า ข้อมูลที่ถูกควบคุมไม่ควรเป็นเพียงการรับส่งข้อมูลทางอินเทอร์เน็ตเท่านั้น แต่ยังรวมถึงกระแสข้อมูลอื่นๆ ด้วย: เอกสารที่อยู่นอกวงรอบความปลอดภัยที่ได้รับการป้องกันบนสื่อภายนอก พิมพ์บนเครื่องพิมพ์ ส่งไปยังสื่อมือถือผ่าน Bluetooth เป็นต้น

เนื่องจากระบบ DLP ต้องป้องกันการรั่วไหลของข้อมูลที่เป็นความลับ จึงจำเป็นต้องมีกลไกในตัวสำหรับกำหนดระดับการรักษาความลับของเอกสารที่ตรวจพบในการรับส่งข้อมูลที่ถูกดักจับ ตามกฎแล้ว มีสองวิธีที่ใช้บ่อยที่สุด: โดยการแยกวิเคราะห์ตัวทำเครื่องหมายเอกสารพิเศษและโดยการแยกวิเคราะห์เนื้อหาของเอกสาร ในปัจจุบัน ตัวเลือกที่ 2 นั้นพบได้ทั่วไปมากกว่า เนื่องจากไม่สามารถแก้ไขการเปลี่ยนแปลงที่ทำกับเอกสารก่อนที่จะส่งได้ และยังช่วยให้คุณขยายจำนวนเอกสารลับที่ระบบสามารถทำงานด้วยได้อย่างง่ายดาย

งาน DLP "ด้าน"

นอกจากงานหลักที่เกี่ยวข้องกับการป้องกันการรั่วไหลของข้อมูลแล้ว ระบบ DLP ยังเหมาะอย่างยิ่งสำหรับการแก้ไขงานอื่นๆ จำนวนหนึ่งที่เกี่ยวข้องกับการควบคุมการดำเนินการของบุคลากร

ส่วนใหญ่มักใช้ระบบ DLP เพื่อแก้ไขงานที่ไม่ใช่งานหลักต่อไปนี้ด้วยตนเอง:

• ตรวจสอบการใช้เวลาทำงานและทรัพยากรในการทำงานของพนักงาน
• ตรวจสอบการสื่อสารของพนักงานเพื่อระบุการต่อสู้ "สายลับ" ที่อาจเป็นอันตรายต่อองค์กร
• ควบคุมความชอบธรรมของการกระทำของพนักงาน (การป้องกันการพิมพ์เอกสารปลอม ฯลฯ )
• การระบุพนักงานที่ส่งประวัติย่อเพื่อค้นหาผู้เชี่ยวชาญในตำแหน่งที่ว่างอย่างรวดเร็ว

เนื่องจากหลายองค์กรมองว่างานเหล่านี้จำนวนหนึ่ง (โดยเฉพาะการควบคุมการใช้เวลาทำงาน) มีความสำคัญมากกว่าการป้องกันข้อมูลรั่วไหล จึงมีโปรแกรมจำนวนหนึ่งที่ออกแบบมาโดยเฉพาะสำหรับเรื่องนี้ แต่ในบางโครงการ เคสยังสามารถทำงานเป็นเครื่องมือในการปกป้ององค์กรจากการรั่วไหล สิ่งที่ทำให้โปรแกรมดังกล่าวแตกต่างจากระบบ DLP เต็มรูปแบบคือการไม่มีเครื่องมือขั้นสูงสำหรับการวิเคราะห์ข้อมูลที่สกัดกั้น ซึ่งต้องทำด้วยตนเองโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ซึ่งสะดวกสำหรับองค์กรขนาดเล็กมากเท่านั้น (พนักงานที่ควบคุมไม่เกิน 10 คน)