четверг, 21 января 2010 г.

Защита от инсайдера - Data Loss Prevention Systems - Системы предотвращения утечек

Сейчас не для кого не секрет, что защищаться нужно не от внешнего врага, а от внутреннего (найди врага внутри себя:). Средства защиты от внешних преступников уже всеми опробованы, установлены и функционируют, такие как фаерволы, антивирусы, средства шифрования канала передачи данных, и т.д. На передний план выходят инциденты, связанные с инсайдерами, то есть сотрудниками или подрядчиками компании, которые по злому умыслу или из-за ошибок и невнимательности раскрывают сторонним лицам конфиденциальную информацию (в обход политик безопасности компании). И таких инцидентов по сравнению с внешними гораздо больше.

В рамках создания систем предотвращения утечек данных решаются такие комплексные задачи:
- предотвращения утечек конфиденциальной информации по основным каналам передачи данных:
  • исходящий веб-трафик (HTTP, FTP, P2P и др.);
  • исходящая электронная почта o внутренняя электронная почта;
  • системы мгновенного обмена сообщениями o сетевая и локальная печать.
- контроля доступа к устройствам и портам ввода-вывода, к которым относятся: дисководы, CD-ROM, USB – устройства, инфракрасные, принтерные (LPT) и модемные (COM) порты.

Данные системы получили название - Data Loss Prevention Systems - Системы предотвращения утечек.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.

На рынке представлено ряд решений в сфере Data Loss Prevention. Сегодня мы рассмотрим следующие решения:
  • Symantec Data Loss Prevention 
  • RSA Data Loss Prevention Suite 
  • McAfee Data Loss Prevention 
  • Websense Data Security Suite 




Symantec Data Loss Prevention 

Symantec предлагает комплексную защиту конфиденциальных данных в конечных системах, сети и системах хранения данных.

Основные функции:
Поиск — Поиск конфиденциальных данных в любом месте, создание реестра важных данных и автоматическое управление очисткой.

Контроль — Наглядное представление об использовании конфиденциальных данных в зависимости от нахождения пользователя в корпоративной сети или вне ее.

Защита — Подробная картина нарушений политик поможет превентивно защитить данные и предотвратить утечку конфиденциальной информации за пределы организации.

Управление — Определение универсальных политик по предприятию, отчеты о происшествиях и устранение их последствий, а также точный поиск информации в единой унифицированной платформе.

Основные особенности

  • Приостановка быстрого распространения конфиденциальных данных среди ЦОД предприятия, клиентских систем, удаленных офисов и компьютеров конечных пользователей.
  • Выявление нарушенных бизнес-процессов, передающих конфиденциальные данные.
  • Контроль и безопасность передачи важной информации на общедоступные веб-сайты.
  • Настройка и развертывание универсальных политик по всему предприятию.
  • FlexResponse - новая характеристика Symantec Data Loss Prevention 10 - поможет отделам безопасности применять политику защиты файлов, содержащих конфиденциальную информацию, с использованием шифрования и ERM. До нынешнего момента интеграция DLP с другими IT-решениями требовала ручного управления.


RSA Data Loss Prevention Suite 

Это интегрированный пакет продуктов, предоставляющий упреждающий подход к управлению бизнес-рисками, связанными с потерей корпоративных данных. Вместе с модулями Datacenter, Network и Endpoint пакет RSA DLP Suite составляет комплексное решение по предотвращению потери данных, которое обнаруживает, контролирует и защищает от утери и неправильного использования секретные данные, расположенные в центре обработки данных, в сети или на устройствах назначения.
RSA DLP Datacenter помогает находить секретные данные независимо от того, где в центре обработки данных они расположены: в файловых системах, базах данных, системах электронной почты или больших средах SAN/NAS.

RSA DLP Network отслеживает и контролирует секретные данные, покидающие Вашу сеть.

RSA DLP Endpoint помогает обнаруживать, отслеживать и контролировать секретные данные на устройствах назначения, например портативных и настольных компьютерах.

Шифрование и управление ключами

Эффективная постоянная защита информации требует средств управления, способных защитить каждый слой стека ИТ. RSA и наши технологические партнеры предлагают продукты для всех эти слоев, включая устройства назначения, сети, серверы баз данных и файловые серверы, системы хранения данных на дисках и пленках. Это позволяет защитить секретные данные независимо от места их хранения, перемещения и использования в Вашей организации.

RSA File Security Manager – защищает файлы от несанкционированного использования с помощью выборочного шифрования и расшифровки объектов файлов и папок в файловых системах и работает в большинстве операционных систем.

RSA® File Security Manager управляет шифрованием как на файловом сервере Windows, так и на файловом сервере Linux, прозрачно повышая уровень безопасности как для пользователей, так и для администраторов данных файловых сервером. RSA File Security Manager предоставляет возможность шифрования в общедоступных файлах, папках и файловых уровнях, защищая от несанкционированного использования и распространения секретных данных.

RSA Key Manager – предоставляет централизованное распределение и управление жизненным циклом ключей шифрования и других объектов безопасности на уровне предприятия.

McAfee Data Loss Prevention

Решение проблемы предотвращения потери данных, включающее ведущую систему с централизованным управлением. Правила безопасности данных, регулирующие поток информации, устанавливаются через консоль управления системой (Data Loss Prevention Host Management Console) и автоматически распространяются на конечные станции через Active Directory. Любое нарушение со стороны конечных пользователей отслеживается и предотвращается в реальном масштабе времени; соблюдение правил непрерывно контролируется на уровне конечных станций, даже когда конечная станция отключена от сети предприятия. После повторного подключения станции к сети события транслируются на сервер отчетов с уникальным флажком «автономный».

В McAfee Data Loss Prevention реализованы патентуемые алгоритмы классификации содержания, которые анализируют как структурированные, так и неструктурированные данные. Классификация может основываться либо на расположении документа на файловых серверах, ключевых словах и регулярных выражениях, либо на приложениях, в которых данные создавались. После того, как содержание классифицировано (помечено), метка остается связанной с фактическим содержанием на протяжении всего его жизненного цикла. Эта процедура позволяет точно отслеживать чувствительные данные, независимо от изменений, внесенных пользователями в документы и их производные.

Преимущества McAfee Data Loss Prevention:
  • Минимизация потери данных и связанных с потерей данных затрат и штрафов; 
  • соблюдение важнейших отраслевых нормативных актов; 
  • защита бесценной, критически важной для деятельности информации и интеллектуальной собственности; 
  • избежание ненужных юридических проблем и разбирательств; 
  • поддержание неизменной репутации бренда; 
  • выявление и предотвращение угроз еще до их возникновения; 
  • снижение риска утечки данных и уменьшение уязвимости в безопасности конечных пунктов; 
  • полная прозрачность и контроль над потоком информации; 
  • «бесшовная» интеграция с существующей ИТ-инфраструктурой; 
  • обеспечение неагрессивной защиты; 
  • обеспечение соблюдения универсальных, гибких правил со сложными предварительными установками. 
Websense Data Security Suite 

В отличие от традиционных решений, которые пытаются классифицировать контент по ключевым словам и используют другие методики, продукты Websense применяют для решения этой задачи технологию цифровых отпечатков PreciseID.

Технология снятия «отпечатков» данных PreciseID
Цифровой «отпечаток» данных – это математическое представление набора символов, слов и предложений документа, сообщения или содержимого полей базы данных. В отличие от простых хэш-функций и методов точного или частичного совпадения алгоритмы PreciseID точно идентифицируют ключевые данные и связанные метаданные. Никаких предварительных изменений содержимого и его маркировки не требуется. Технология оптимизирована для использования в реальном времени и имеет защиту от операций удаления-вставки, внедрения файлов в файлы других типов и других манипуляций.

Другие методы обнаружения, используемые технологией PreciseID:
  • обработка естественных языков 
  • правила 
  • лексиконы 
  • словари 
  • точное и частичное совпадение 
  • статистический анализ 
В пакет Data Security Suite входят следующие программы:

Data Discover
  • Обнаружение конфиденциальной информации, хранимой в сети 
  • Обнаружение мест хранения конфиденциальных данных 
  • Измерение и уменьшение риска потери данных 
  • Поддержка e-discovery для разрешаемого контроля 
Data Monitor
  • Средство аудита и мониторинга сетевых каналов передачи данных на предмет утечек конфиденциальной информации 
  • Мониторинг и блокировка утечки конфиденциальной информации 
  • Ведение аудита 
  • Измерение и уменьшение риска потери данных 
Data Protect
  • Обнаружение и блокировка утечек конфиденциальной информации на уровне всех сетевых каналов 
  • Мониторинг и блокировка утечки конфиденциальной информации 
  • Ведение аудита 
  • Измерение и уменьшение риска потери данных 
Data Endpoint
  • Обнаружение и предотвращение утечки конфиденциальной информации через конечные компьютеры и сменные носители 
  • Мониторинг и блокировка утечки конфиденциальной информации 
  • Ведение аудита 
  • Измерение и уменьшение риска потери данных 

Обзор систем предотвращения утечек похож на обзор антивирусов, все продукты вроде делают одинаковые функции, но выбрать надо все-таки одного. Я бы выбрала Websense, так как компания именно специализируется на фильтрации и классификации данных, а главной функцией DLP-систем все таки является поиск и отслеживание конфиденциальных данных. Ну и заявленная супер-пупер новая технология классификации данных интересна, хотелось бы увидеть ее в действии:)
Также хочу отметить роль осведомленности работников в борьбе против инсайдеров. Каждый работник должен быть осведомлен об ответственности за разглашение конфиденциальной информации компании под роспись. Ну и соответственно знать какая информация является конфиденциальной для компании. В помощь этому станут Соглашение о неразглашении и  периодические обучения пользователей основам безопасности в организации.

Комментариев нет:

Отправить комментарий

Related Posts with Thumbnails