Dlp-системи - що це таке? Вибір dlp-системи

У наші дні можна часто почути про таку технологію, як DLP-системи. Що це таке, і де це використовується? Це програмне забезпечення, призначене для запобігання втрати даних шляхом виявлення можливих порушень при їх відправленні і фільтрації. Крім того, такі сервіси здійснюють моніторинг, виявлення та блокування конфіденційної інформації при її використанні, русі (мережевий трафік), а також зберіганні.

Як правило, витік конфіденційних даних відбувається через роботи з технікою недосвідчених користувачів або є результатом зловмисних дій. Така інформація у вигляді приватних або корпоративних відомостей, об`єктів інтелектуальної власності (ІВ), фінансової або медичної інформації, відомостей кредитних карт тощо потребує посилених заходів захисту, які можуть запропонувати сучасні інформаційні технології.

Терміни «втрата даних» і «витік даних» пов`язані між собою і часто використовуються як синоніми, хоча вони дещо відрізняються. Випадки втрати інформації перетворюються в її витік тоді, коли джерело, що містить конфіденційні відомості, пропадає і згодом виявляється у несанкціонованій боку. Проте витік даних можлива без їх втрати.

категорії DLP

Технологічні засоби, що використовуються для боротьби з витоком даних, можна розділити на наступні категорії: стандартні заходи безпеки, інтелектуальні (просунуті) заходи, контроль доступу та шифрування, а також спеціалізовані DLP-системи (що це таке - докладно описано нижче).

стандартні заходи

Такі стандартні заходи безпеки, як міжмережеві екрани, системи виявлення вторгнень (IDS) і антивірусне програмне забезпечення, являють собою звичайні доступні механізми, які охороняють комп`ютери від аутсайдера, а також інсайдерських атак. Підключення брандмауера, наприклад, виключає доступ до внутрішньої мережі сторонніх осіб, а система виявлення вторгнень виявляє спроби проникнення. Внутрішні атаки можливо запобігти шляхом перевірки антивірусом, що виявляють троянських коней, встановлених на ПК, які відправляють конфіденційну інформацію, а також за рахунок використання сервісів, які працюють в архітектурі клієнт-сервер без будь-яких особистих або конфіденційних даних, що зберігаються на комп`ютері.

Додаткові заходи безпеки

Додаткові заходи безпеки використовують вузькоспеціалізовані сервіси і тимчасові алгоритми для виявлення ненормального доступу до даних (т. Е. До баз даних або інформаційно-пошукових систем) або ненормального обміну електронною поштою. Крім того, такі сучасні інформаційні технології виявляють програми і запити, що надходять з шкідливими намірами, і здійснюють глибокі перевірки комп`ютерних систем (наприклад, розпізнавання натискань клавіш або звуків динаміка). Деякі такі сервіси здатні навіть проводити моніторинг активності користувачів для виявлення незвичайного доступу до даних.

Спеціально розроблені DLP-системи - що це таке?

Розроблені для захисту інформації DLP-рішення служать для виявлення і запобігання несанкціонованих спроб копіювати або передавати конфіденційні дані (навмисно чи ненавмисно) без дозволу або доступу, як правило, з боку користувачів, які мають право доступу до конфіденційних даних.

Для того щоб класифікувати певну інформацію і регулювати доступ до неї, ці системи використовують такі механізми, як точна відповідність даних, структурована дактилоскопія, статистичні методи, прийом правил і регулярних виразів, опублікування кодових фраз, концептуальних визначень і ключових слів. Типи і порівняння DLP-систем можна представити в такий спосіб.

Network DLP (також відома як аналіз даних в русі або DiM)

Як правило, вона являє собою апаратне рішення або програмне забезпечення, яке встановлюється в точках мережі, що виходять поблизу периметра. Вона аналізує мережевий трафік для виявлення конфіденційних даних, що відправляються в порушення політики інформаційної безпеки.

Endpoint DLP (дані при використанні )

Такі системи функціонують на робочих станціях кінцевих користувачів або серверів в різних організаціях.

Відео: DLP-системи і розслідування інцидентів

Як і в інших мережевих системах, кінцева точка може бути звернена як до внутрішніх, так і до зовнішніх зв`язків і, отже, може бути використана для контролю потоку інформації між типами або групами користувачів (наприклад, «фаєрволи»). Вони також здатні здійснювати контроль за електронною поштою та обміном миттєвими повідомленнями. Це відбувається наступним чином - перш, ніж повідомлення будуть завантажені на пристрій, вони перевіряються сервісом, і при утриманні в них несприятливого запиту вони блокуються. В результаті вони стають неоправлених і не підпадають під дію правил зберігання даних на пристрої.

DLP-система (технологія) має перевагу в тому, що вона може контролювати і управляти доступом до пристроїв фізичного типу (наприклад, мобільні пристрої з можливостями зберігання даних), а також іноді отримувати доступ до інформації до її шифрування.

Деякі системи, що функціонують на основі кінцевих точок, також можуть забезпечити контроль додатків, щоб блокувати спроби передачі конфіденційної інформації, а також забезпечити негайну зворотний зв`язок з користувачем. Разом з тим вони мають недолік в тому, що вони повинні бути встановлені на кожній робочій станції в мережі, і не можуть бути використані на мобільних пристроях (наприклад, на стільникових телефонах і КПК) або там, де вони не можуть бути практично встановлені (наприклад , на робочої станції в інтернет-кафе). Цю обставину необхідно враховувати, роблячи вибір DLP-системи для будь-яких цілей.

ідентифікація даних

DLP-системи включають в себе кілька методів, спрямованих на виявлення таємної чи конфіденційної інформації. Іноді цей процес плутають з розшифровкою. Однак ідентифікація даних являє собою процес, за допомогою якого організації використовують технологію DLP, щоб визначити, що шукати (в русі, в стані спокою або в використанні).

Відео: Майбутнє DLP-систем

Дані при цьому класифікуються як структуровані або неструктуровані. Перший тип зберігається в фіксованих полях всередині файлу (наприклад, у вигляді електронних таблиць), в той час як неструктурований відноситься до вільній формі тексту (в формі текстових документів або PDF-файлів).

За оцінками фахівців, 80% всіх даних - неструктуровані. Відповідно, 20% - структуровані. Класифікація інформації грунтується на контент-аналізі, орієнтованому на структуровану інформацію і контекстний аналіз. Він проводиться у разі місцеві створення програми або системи, в якій виникли дані. Таким чином, відповіддю на питання «DLP-системи - що це таке?» Послужить визначення алгоритму аналізу інформації.

використовувані методи

Методи опису конфіденційного вмісту на сьогоднішній день численні. Їх можна розділити на дві категорії: точні і неточні.

Точні методи - це ті, які пов`язані з аналізом контенту і практично зводять до нуля помилкові позитивні відповіді на запити.

Всі інші є неточними і можуть включати в себе: словники, ключові слова, регулярні вирази, розширені регулярні вирази, мета-теги даних, байесовский аналіз, статистичний аналіз і т. Д.

Ефективність аналізу безпосередньо залежить від його точності. DLP-система, рейтинг якої високий, має високі показники по даному параметру. Точність ідентифікації DLP має важливе значення для уникнення помилкових спрацьовувань і негативних наслідків. Точність може залежати від багатьох факторів, деякі з яких можуть бути ситуативними або технологічними. Тестування точності може забезпечити надійність роботи DLP-системи - практично нульове кількість помилкових спрацьовувань.

Виявлення та запобігання витокам інформації

Іноді джерело розподілу даних робить конфіденційну інформацію доступною для третіх осіб. Через деякий час частина її, найімовірніше, виявиться в несанкціонованому місці (наприклад, в інтернеті або на ноутбуці іншого користувача). DLP-системи, ціна яких надається розробниками за запитом і може становити від декількох десятків до декількох тисяч рублів, повинні потім досліджувати, як просочилися дані - від одного або декількох третіх осіб, чи було це незалежно один від одного, не забезпечувалася витік будь-якими то іншими засобами і т. д.

Дані в спокої

«Дані в стані спокою» відносяться до старої архівної інформації, що зберігається на будь-якому з жорстких дисків клієнтського ПК, на віддаленому файловому сервері, на диску мережевого сховища. Також це визначення відноситься до даних, що зберігаються в системі резервного копіювання (на флешках або компакт-дисках). Ці відомості становлять великий інтерес для підприємств і державних установ просто тому, що великий обсяг даних міститься невикористаним в пристроях пам`яті, і більш ймовірно, що доступ до них може бути отриманий не уповноваженими особами за межами мережі.