Czym są systemy DLP i cechy ich zastosowania w przedsiębiorstwie? DLP – co to znaczy? Zastosowanie systemów dlp

Technologia DLP

Digital Light Processing (DLP) to zaawansowana technologia wynaleziona przez firmę Texas Instruments. Dzięki niemu możliwe było stworzenie bardzo małych, bardzo lekkich (3 kg - czy to naprawdę waga?), a mimo to całkiem mocnych (ponad 1000 ANSI Lm) projektorów multimedialnych.

Krótka historia powstania

Dawno temu, w odległej galaktyce...

W 1987 roku dr. Wynalazł Larry J. Hornbeck cyfrowe urządzenie multimirror(Digital Micromirror Device lub DMD). Wynalazek ten zakończył dziesięciolecia badań Texas Instruments nad mikromechaniką odkształcalne urządzenia lustrzane(Deformable Mirror Devices lub ponownie DMD). Istotą odkrycia było odrzucenie elastycznych luster na rzecz matrycy sztywnych luster o tylko dwóch stabilnych pozycjach.

W 1989 roku firma Texas Instruments zostaje jedną z czterech firm wybranych do wdrożenia „projektorowej” części amerykańskiego Wyświetlacz o wysokiej rozdzielczości sfinansowany przez Advanced Research and Development Administration (ARPA).

W maju 1992 r. firma TI demonstruje pierwszy system oparty na DMD obsługujący nowoczesny standard rozdzielczości ARPA.

Wersja DMD dla telewizji wysokiej rozdzielczości (HDTV) oparta na trzech DMD o wysokiej rozdzielczości została pokazana w lutym 1994 roku.

Masowa sprzedaż chipów DMD rozpoczęła się w 1995 roku.

Technologia DLP

Kluczowym elementem projektorów multimedialnych tworzonych w technologii DLP jest matryca mikroskopijnych luster (elementy DMD) wykonana ze stopu aluminium o bardzo wysokim współczynniku odbicia. Każde lustro jest przymocowane do sztywnego podłoża, które jest połączone z podstawą matrycy za pomocą ruchomych płytek. Elektrody podłączone do komórek pamięci CMOS SRAM są umieszczone pod przeciwległymi kątami zwierciadeł. Pod wpływem pola elektrycznego podłoże ze zwierciadłem przyjmuje jedno z dwóch położeń różniących się dokładnie o 20° ze względu na ograniczniki umieszczone na podstawie matrycy.

Te dwie pozycje odpowiadają odpowiednio odbiciu padającego strumienia światła w soczewce i efektywnemu pochłaniaczowi światła, który zapewnia niezawodne odprowadzanie ciepła i minimalne odbicie światła.

Szyna danych i sama matryca mają dostarczać do 60 lub więcej klatek obrazu na sekundę przy rozdzielczości 16 milionów kolorów.

Układ lustrzany wraz z pamięcią CMOS SRAM tworzą układ DMD, będący podstawą technologii DLP.

Niewielki rozmiar kryształu robi wrażenie. Powierzchnia każdego lustra matrycy wynosi 16 mikronów lub mniej, a odległość między lustrami wynosi około 1 mikrona. Kryształ, i to nie jeden, z łatwością mieści się w dłoni.

W sumie, jeśli Texas Instruments nas nie oszukuje, produkowane są trzy rodzaje kryształów (lub chipów) o różnych rozdzielczościach. Ten:

  • SVGA: 848×600; 508 800 luster
  • XGA: 1024×768 z czarną przysłoną (przestrzeń między szczelinami); 786 432 luster
  • SXGA: 1280×1024; 1 310 720 luster

Mamy więc macierz, co możemy z nią zrobić? No oczywiście oświetl go mocniejszym strumieniem świetlnym i umieść układ optyczny na ścieżce jednego z kierunków odbicia luster, które skupiają obraz na ekranie. Na ścieżce w przeciwnym kierunku dobrze byłoby umieścić pochłaniacz światła, aby niepotrzebne światło nie powodowało niedogodności. Tutaj możemy już wyświetlać obrazy monochromatyczne. Ale gdzie jest kolor? Gdzie jest jasność?

Ale wydaje się, że był to wynalazek towarzysza Larry'ego, który został omówiony w pierwszym akapicie rozdziału o historii powstania DLP. Jeśli nadal nie rozumiesz, o co chodzi, przygotuj się, bo teraz może Cię spotkać szok :), ponieważ to eleganckie i dość oczywiste rozwiązanie jest obecnie najbardziej zaawansowane i zaawansowane technologicznie w dziedzinie projekcji obrazu.

Pamiętaj o dziecięcej sztuczce z obracającą się latarką, której światło w pewnym momencie łączy się i zamienia w świetlisty krąg. Ten żart z naszej wizji pozwala nam całkowicie zrezygnować z analogowych systemów obrazowania na rzecz całkowicie cyfrowych. Przecież nawet monitory cyfrowe na ostatnim etapie mają charakter analogowy.

Ale co się stanie, jeśli zmusimy lustro do przełączania się z jednej pozycji do drugiej z dużą częstotliwością? Jeśli zaniedbamy czas przełączania zwierciadła (a ze względu na jego mikroskopijne wymiary ten czas można całkowicie pominąć), to pozorna jasność spadnie tylko dwukrotnie. Zmieniając stosunek czasu, w którym zwierciadło znajduje się w jednej pozycji, a drugiej, możemy łatwo zmienić pozorną jasność obrazu. A ponieważ szybkość cyklu jest bardzo, bardzo wysoka, w ogóle nie będzie widocznego migotania. Eureka. Choć nic specjalnego, to wszystko wiadomo od dawna :)

Cóż, teraz ostatni szlif. Jeśli szybkość przełączania jest wystarczająco duża, możemy umieścić kolejno filtry na ścieżce strumienia świetlnego i w ten sposób stworzyć kolorowy obraz.

Tutaj w rzeczywistości jest cała technologia. Będziemy śledzić jego dalszy ewolucyjny rozwój na przykładzie projektorów multimedialnych.

Urządzenie projektora DLP

Texas Instruments nie produkuje projektorów DLP, robi to wiele innych firm, takich jak 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, itp. Większość produkowanych projektorów to projektory przenośne, o masie od 1,3 do 8 kg i mocy do 2000 ANSI lumenów. Projektory dzielą się na trzy typy.

Projektor z pojedynczą matrycą

Najprostszym typem, który już opisaliśmy, jest − projektor jednomatrycowy, gdzie między źródłem światła a matrycą umieszczono obracający się dysk z filtrami barwnymi – niebieskim, zielonym i czerwonym. Częstotliwość rotacji dysku określa liczbę klatek na sekundę, do której jesteśmy przyzwyczajeni.

Obraz jest tworzony kolejno przez każdy z kolorów podstawowych, co daje normalny obraz w pełnym kolorze.

Wszystkie lub prawie wszystkie przenośne projektory są zbudowane na typie pojedynczej matrycy.

Dalszym rozwinięciem tego typu projektorów było wprowadzenie czwartego, przezroczystego filtra światła, który umożliwia znaczne zwiększenie jasności obrazu.

Projektor z trzema matrycami

Najbardziej złożonym typem projektorów jest projektor z trzema matrycami, gdzie światło jest rozdzielane na trzy strumienie kolorów i odbijane od trzech matryc jednocześnie. Taki projektor ma najczystszy kolor i szybkość klatek, nieograniczoną szybkością dysku, jak w projektorach jednomatrycowych.

Dokładne dopasowanie strumienia odbitego od każdej matrycy (zbieżność) zapewnia pryzmat, jak widać na rysunku.

Projektor z podwójną matrycą

Pośrednim typem projektorów jest projektor z podwójną matrycą. W tym przypadku światło jest dzielone na dwa strumienie: czerwony odbija się od jednej matrycy DMD, a niebieski i zielony od drugiej. Filtr światła kolejno usuwa składowe niebieskie lub zielone z widma.

Projektor z podwójną matrycą zapewnia pośrednią jakość obrazu w porównaniu do typów z pojedynczą matrycą i trzema matrycami.

Porównanie projektorów LCD i DLP

W porównaniu do projektorów LCD, projektory DLP mają szereg istotnych zalet:

Czy są jakieś wady technologii DLP?

Ale teoria to teoria, ale w praktyce jest jeszcze wiele do zrobienia. Główną wadą jest niedoskonałość technologii, a co za tym idzie problem przyklejania się lusterek.

Faktem jest, że przy tak mikroskopijnych wymiarach małe części starają się „sklejać”, a lustro z podstawą nie jest wyjątkiem.

Pomimo wysiłków firmy Texas Instruments w zakresie wynalezienia nowych materiałów zmniejszających przyczepność mikrozwierciadeł, taki problem istnieje, o czym przekonaliśmy się podczas testowania projektora multimedialnego. Infocus LP340. Ale muszę powiedzieć, że tak naprawdę nie ingeruje w życie.

Kolejny problem nie jest już tak oczywisty i polega na optymalnym doborze trybów przełączania lusterek. Każda firma zajmująca się projektorami DLP ma swoje zdanie na ten temat.

Cóż, ostatni. Pomimo minimalnego czasu przełączania lusterek z jednej pozycji na drugą, proces ten pozostawia ledwo zauważalny ślad na ekranie. Rodzaj darmowego antyaliasingu.

Rozwój technologii

  • Oprócz wprowadzenia przezroczystego filtra światła, cały czas trwają prace nad zmniejszeniem przestrzeni międzyzwierciadlanej oraz powierzchni kolumny mocującej lustro do podłoża (czarna kropka na środku elementu obrazu).
  • Dzieląc macierz na oddzielne bloki i rozszerzając magistralę danych, zwiększa się częstotliwość przełączania luster.
  • Trwają prace nad zwiększeniem liczby luster i zmniejszeniem rozmiaru matrycy.
  • Moc i kontrast strumienia świetlnego stale rośnie. Projektory trójmatrycowe o mocy ponad 10 000 ANSI Lm i współczynniku kontrastu ponad 1000:1 już dziś istnieją i trafiły do ​​najnowocześniejszych kin wykorzystujących media cyfrowe.
  • Technologia DLP jest w pełni gotowa do zastąpienia technologii wyświetlania CRT w kinach domowych.

Wniosek

To nie wszystko, co można powiedzieć o technologii DLP, np. nie poruszyliśmy tematu wykorzystania matryc DMD w druku. Ale poczekamy, aż Texas Instruments potwierdzi informacje dostępne z innych źródeł, żeby nie dać wam podróbki. Mam nadzieję, że ta krótka historia wystarczy, aby uzyskać, jeśli nie najbardziej kompletne, ale wystarczające pojęcie o technologii i nie torturować sprzedawców pytaniami o przewagę projektorów DLP nad innymi.


Podziękowania dla Aleksieja Ślepynina za pomoc w przygotowaniu materiału

System D LP jest używany, gdy konieczna jest ochrona poufnych danych przed zagrożeniami wewnętrznymi. A jeśli specjaliści ds. bezpieczeństwa informacji wystarczająco opanowali i stosują narzędzia do ochrony przed zewnętrznymi intruzami, to sprawy wewnętrzne nie układają się tak gładko.

Zastosowanie systemu DLP w strukturze bezpieczeństwa informacji zakłada, że ​​specjalista ds. bezpieczeństwa informacji rozumie:

  • w jaki sposób pracownicy firmy mogą ujawnić poufne dane;
  • jakie informacje należy chronić przed zagrożeniem naruszenia poufności.

Wszechstronna wiedza pozwoli specjaliście lepiej zrozumieć zasady działania technologii DLP i odpowiednio skonfigurować zabezpieczenie przed wyciekiem.

System DLP musi być w stanie rozróżnić informacje poufne i jawne. Analizując wszystkie dane w systemie informatycznym organizacji, pojawia się problem nadmiernego obciążenia zasobów IT i personelu. DLP współpracuje głównie z odpowiedzialnym specjalistą, który nie tylko „uczy” system poprawnej pracy, wprowadza nowe i usuwa nieistotne reguły, ale także monitoruje bieżące, zablokowane lub podejrzane zdarzenia w systemie informatycznym.

Do konfiguracji używane są „KIB SearchInform”.- zasady reagowania na incydenty związane z bezpieczeństwem informacji. System posiada 250 gotowych polityk, które można dostosować do potrzeb firmy.

Funkcjonalność systemu DLP zbudowana jest wokół „rdzenia” – algorytmu oprogramowania, który odpowiada za wykrywanie i kategoryzowanie informacji, które należy chronić przed wyciekiem. U podstaw większości rozwiązań DLP leżą dwie technologie: analiza lingwistyczna oraz technologia oparta na metodach statystycznych. W jądrze można również zastosować mniej powszechne techniki, takie jak użycie etykiet lub formalne metody analizy składniowej.

Twórcy systemów zapobiegania wyciekom uzupełniają unikalny algorytm oprogramowania agentami systemowymi, mechanizmami zarządzania incydentami, parserami, analizatorami protokołów, przechwytywaczami i innymi narzędziami.

Wczesne systemy DLP były oparte na jednej metodzie: analizie językowej lub statystycznej. W praktyce wady obu technologii zostały zrekompensowane wzajemnymi mocnymi stronami, a ewolucja DLP doprowadziła do powstania systemów uniwersalnych pod względem „rdzenia”.

Językowa metoda analizy działa bezpośrednio z zawartością pliku i dokumentu. Pozwala to zignorować takie parametry, jak nazwa pliku, obecność lub brak stempla w dokumencie, kto i kiedy utworzył dokument. Technologia analityki językowej obejmuje:

  • analiza morfologiczna - wyszukaj wszystkie możliwe formy słowne informacji, które należy chronić przed wyciekiem;
  • analiza semantyczna - poszukiwanie wystąpień ważnych (kluczowych) informacji w zawartości pliku, wpływ zdarzeń na cechy jakościowe pliku, ocena kontekstu użycia.

Analiza językowa wykazuje wysoką jakość pracy przy dużej ilości informacji. W przypadku tekstu masowego system DLP z algorytmem analizy lingwistycznej dokładniej wybierze właściwą klasę, przypisze ją do żądanej kategorii i uruchomi skonfigurowaną regułę. W przypadku małych dokumentów lepiej jest zastosować technikę słów stop, która sprawdziła się skutecznie w walce ze spamem.

Nauka w systemach z algorytmem analizy językowej jest realizowana na wysokim poziomie. Wczesne kompleksy DLP miały trudności z ustalaniem kategorii i innymi etapami „uczenia się”, jednak nowoczesne systemy mają dobrze funkcjonujące algorytmy samouczące: identyfikowanie znaków kategorii, możliwość samodzielnego formowania i zmiany reguł reagowania. Nie jest już konieczne angażowanie lingwistów do tworzenia takich systemów oprogramowania do ochrony danych w systemach informatycznych.

Wady analizy lingwistycznej obejmują powiązanie z określonym językiem, gdy niemożliwe jest użycie systemu DLP z rdzeniem „angielskim” do analizy przepływów informacji w języku rosyjskim i odwrotnie. Kolejna wada wiąże się z trudnością jednoznacznej kategoryzacji przy użyciu podejścia probabilistycznego, które pozwala zachować trafność odpowiedzi w granicach 95%, podczas gdy wyciek jakiejkolwiek ilości poufnych informacji może być krytyczny dla firmy.

Statystyczne metody analizy wręcz przeciwnie, wykazują dokładność bliską 100%. Wada jądra statystycznego związana jest z algorytmem samej analizy.

W pierwszym etapie dokument (tekst) jest dzielony na fragmenty o akceptowalnej wielkości (nie znak po znaku, ale wystarczające do zapewnienia dokładności działania). Z fragmentów usuwany jest skrót (w systemach DLP występuje on pod nazwą Digital Fingerprint). Następnie hash jest porównywany z hashem fragmentu referencyjnego pobranego z dokumentu. W przypadku zgodności system oznacza dokument jako poufny i działa zgodnie z polityką bezpieczeństwa.

Wadą metody statystycznej jest to, że algorytm nie jest w stanie samodzielnie się uczyć, tworzyć kategorii i pisać. W rezultacie zależy to od kompetencji specjalisty i prawdopodobieństwa ustawienia hasha o takiej wielkości, że analiza da nadmierną liczbę fałszywych trafień. Wyeliminowanie wady nie jest trudne, jeśli zastosujesz się do zaleceń programisty dotyczących konfiguracji systemu.

Kolejna wada związana jest z tworzeniem skrótów. W zaawansowanych systemach informatycznych generujących duże ilości danych baza danych daktyloskopijnych może osiągać takie rozmiary, że sprawdzanie zgodności ruchu ze standardem poważnie spowolni cały system informatyczny.

Zaletą rozwiązań jest to, że skuteczność analizy statystycznej nie zależy od języka i obecności w dokumencie informacji nietekstowych. Hash jest równie dobrze usunięty z angielskiej frazy, obrazu i fragmentu wideo.

Metody językowe i statystyczne nie nadają się do wykrywania danych o określonym formacie dla jakiegokolwiek dokumentu, takiego jak numery kont czy paszporty. Aby zidentyfikować takie typowe struktury w tablicy informacyjnej, do rdzenia systemu DLP wprowadza się technologie analizy struktury formalnej.

Wysokiej jakości rozwiązanie DLP wykorzystuje wszystkie narzędzia analityczne, które działają sekwencyjnie, wzajemnie się uzupełniając.

Możesz określić, które technologie są obecne w jądrze.

Równie ważne jak funkcjonalność rdzenia są poziomy kontroli, na których działa system DLP. Jest ich dwóch:

Twórcy nowoczesnych produktów DLP zrezygnowali z osobnej implementacji ochrony warstwowej, ponieważ zarówno urządzenia końcowe, jak i sieć muszą być chronione przed wyciekiem.

Kontrola poziomu sieci jednocześnie powinien zapewniać maksymalne możliwe pokrycie protokołów i usług sieciowych. Mówimy nie tylko o „tradycyjnych” kanałach (ftp), ale także o nowszych systemach wymiany sieciowej (Instant Messenger). Niestety nie da się kontrolować ruchu szyfrowanego na poziomie sieci, ale problem ten został rozwiązany w systemach DLP na poziomie hosta.

Kontrola poziomu hosta pozwala rozwiązać więcej zadań monitorowania i analizy. W rzeczywistości usługa bezpieczeństwa informacji otrzymuje narzędzie do pełnej kontroli nad działaniami użytkownika na stacji roboczej. DLP z architekturą hosta pozwala śledzić co, jakie dokumenty, co jest wpisywane na klawiaturze, nagrywać materiały audio i robić. Zaszyfrowany ruch jest przechwytywany na poziomie końcowej stacji roboczej (), a dane aktualnie przetwarzane i przechowywane na komputerze użytkownika są otwarte do weryfikacji.

Oprócz rozwiązywania typowych zadań, systemy DLP z kontrolą na poziomie hosta zapewniają dodatkowe środki zapewniające bezpieczeństwo informacji: kontrolę instalacji i modyfikacji oprogramowania, blokowanie portów I/O itp.

Wadą implementacji hosta jest to, że systemy z rozbudowanym zestawem funkcji są trudniejsze w administrowaniu, są bardziej wymagające pod względem zasobów samej stacji roboczej. Serwer kontrolny regularnie wywołuje moduł „agenta” na urządzeniu końcowym w celu sprawdzenia dostępności i aktualności ustawień. Ponadto część zasobów stacji roboczej użytkownika nieuchronnie zostanie „zjedzona” przez moduł DLP. Dlatego już na etapie wyboru rozwiązania zapobiegającego wyciekom należy zwrócić uwagę na wymagania sprzętowe.

Zasada separacji technologii w systemach DLP należy już do przeszłości. Nowoczesne oprogramowanie zapobiegające wyciekom wykorzystuje metody, które wzajemnie kompensują swoje niedociągnięcia. Dzięki zintegrowanemu podejściu poufne dane w granicach bezpieczeństwa informacji stają się bardziej odporne na zagrożenia.

Wstęp

Recenzja przeznaczona jest dla wszystkich, którzy interesują się rynkiem rozwiązań DLP, a przede wszystkim dla tych, którzy chcą wybrać odpowiednie rozwiązanie DLP dla swojej firmy. Recenzja dotyczy szeroko pojętego rynku systemów DLP, zawiera krótki opis rynku światowego oraz bardziej szczegółowy opis segmentu rosyjskiego.

Systemy ochrony cennych danych istnieją od początku ich istnienia. Na przestrzeni wieków systemy te rozwijały się i ewoluowały wraz z ludzkością. Wraz z początkiem ery komputerowej i przejściem cywilizacji do epoki postindustrialnej informacja stopniowo stała się główną wartością państw, organizacji, a nawet jednostek. A systemy komputerowe stały się głównym narzędziem do jej przechowywania i przetwarzania.

Państwa zawsze chroniły swoje tajemnice, ale państwa mają własne środki i metody, które z reguły nie wpływają na kształtowanie się rynku. W epoce postindustrialnej banki i inne organizacje finansowe stały się częstymi ofiarami komputerowych wycieków cennych informacji. Światowy system bankowy jako pierwszy potrzebował ochrony prawnej swoich informacji. Konieczność ochrony prywatności została dostrzeżona również w medycynie. W rezultacie na przykład Stany Zjednoczone przyjęły Ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), Ustawę Sarbanes-Oxley (SOX), a Bazylejski Komitet Nadzoru Bankowego wydał szereg zaleceń zwanych „Umowami bazylejskimi”. Takie kroki dały potężny impuls do rozwoju rynku komputerowych systemów ochrony informacji. W ślad za rosnącym popytem zaczęły pojawiać się firmy oferujące pierwsze systemy DLP.

Czym są systemy DLP?

Istnieje kilka ogólnie przyjętych interpretacji terminu DLP: zapobieganie utracie danych, zapobieganie wyciekom danych lub ochrona przed wyciekiem danych, co można przetłumaczyć na język rosyjski jako „zapobieganie utracie danych”, „zapobieganie wyciekom danych”, „ochrona przed wyciekiem danych”. Termin ten stał się powszechny i ​​zadomowił się na rynku około 2006 roku. A pierwsze systemy DLP powstały nieco wcześniej właśnie jako środek zapobiegający wyciekowi cennych informacji. Zostały zaprojektowane w celu wykrywania i blokowania transmisji sieciowej informacji identyfikowalnych za pomocą słów kluczowych lub wyrażeń oraz wstępnie utworzonych cyfrowych „odcisków palców” poufnych dokumentów.

Dalszy rozwój systemów DLP determinowały z jednej strony incydenty, a z drugiej akty prawne państw. Stopniowo potrzeba ochrony przed różnego rodzaju zagrożeniami doprowadziła firmy do konieczności stworzenia kompleksowych systemów ochrony. Obecnie rozwijane produkty DLP, oprócz bezpośredniej ochrony przed wyciekiem danych, zapewniają ochronę przed zagrożeniami wewnętrznymi, a nawet zewnętrznymi, śledzenie czasu pracowników, kontrolę wszystkich ich działań na stacjach roboczych, w tym pracę zdalną.

Jednocześnie blokowanie przesyłania poufnych danych, kanoniczna funkcja systemów DLP, stało się nieobecne w niektórych nowoczesnych rozwiązaniach przypisywanych temu rynkowi przez deweloperów. Takie rozwiązania nadają się jedynie do monitorowania korporacyjnego środowiska informacyjnego, jednak w wyniku manipulacji terminologią zaczęto nazywać je DLP i odnoszą się do tego rynku w szerokim znaczeniu.

Obecnie główne zainteresowanie twórców systemów DLP przesunęło się w kierunku szerokiego pokrycia potencjalnych kanałów wycieku informacji oraz rozwoju narzędzi analitycznych do badania i analizy incydentów. Najnowsze produkty DLP przechwytują przeglądanie dokumentów, drukowanie i kopiowanie na nośniki zewnętrzne, uruchamianie aplikacji na stacjach roboczych i podłączanie do nich urządzeń zewnętrznych, a nowoczesna analiza przechwyconego ruchu sieciowego może wykrywać wycieki nawet przez niektóre tunelowanie i szyfrowane protokoły.

Oprócz rozwijania własnej funkcjonalności, nowoczesne systemy DLP dają szerokie możliwości integracji z różnymi pokrewnymi, a nawet konkurencyjnymi produktami. Przykłady obejmują powszechną obsługę protokołu ICAP zapewnianą przez serwery proxy oraz integrację modułu DeviceSniffer, który jest częścią pętli bezpieczeństwa informacji SearchInform, z Lumension Device Control. Dalszy rozwój systemów DLP prowadzi do ich integracji z produktami IDS/IPS, rozwiązaniami SIEM, systemami zarządzania dokumentami oraz ochroną stacji roboczych.

Systemy DLP wyróżniają się sposobem wykrywania wycieków danych:

  • podczas korzystania (Data-in‑Use) – w miejscu pracy użytkownika;
  • podczas transmisji (Data-in‑Motion) – w sieci firmowej;
  • w storage (Data-at‑Rest) – na serwerach i stacjach roboczych firmy.

Systemy DLP mogą rozpoznawać krytyczne dokumenty:

  • ze względów formalnych jest to wiarygodne, ale wymaga wstępnej rejestracji dokumentów w systemie;
  • analiza treści - może dawać fałszywe alarmy, ale pozwala wykryć krytyczne informacje w dowolnych dokumentach.

Z biegiem czasu zmieniał się zarówno charakter zagrożeń, jak i skład klientów i nabywców systemów DLP. Współczesny rynek nakłada na te systemy następujące wymagania:

  • obsługa kilku metod wykrywania wycieków danych (Data in-Use, Data-in-Motion, Data-at-Rest);
  • obsługa wszystkich popularnych sieciowych protokołów przesyłania danych: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, różne protokoły P2P;
  • obecność wbudowanego katalogu stron internetowych i prawidłowe przetwarzanie przesyłanego do nich ruchu (poczta internetowa, sieci społecznościowe, fora, blogi, strony z ofertami pracy itp.);
  • pożądana jest obsługa protokołów tunelowania: VLAN, MPLS, PPPoE i tym podobne;
  • transparentna kontrola bezpiecznych protokołów SSL/TLS: HTTPS, FTPS, SMTPS i inne;
  • obsługa protokołów telefonii VoIP: SIP, SDP, H.323, T.38, MGCP, SKINNY i inne;
  • obecność analizy hybrydowej - obsługa kilku metod rozpoznawania wartościowych informacji: po cechach formalnych, po słowach kluczowych, przez dopasowanie treści do wyrażenia regularnego, na podstawie analizy morfologicznej;
  • pożądana jest możliwość selektywnego blokowania transmisji krytycznych informacji przez dowolny monitorowany kanał w czasie rzeczywistym; selektywne blokowanie (dla pojedynczych użytkowników, grup lub urządzeń);
  • pożądana jest możliwość kontrolowania działań użytkownika nad krytycznymi dokumentami: przeglądanie, drukowanie, kopiowanie na nośniki zewnętrzne;
  • pożądana jest umiejętność sterowania protokołami sieciowymi do pracy z serwerami pocztowymi Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync itp. analizować i blokować wiadomości w czasie rzeczywistym za pomocą protokołów: (MAPI, S/MIME, NNTP, SIP itp.);
  • pożądane jest przechwytywanie, nagrywanie i rozpoznawanie ruchu głosowego: Skype, telefonia IP, Microsoft Lync;
  • obecność modułu rozpoznawania grafiki (OCR) i analizy treści;
  • wsparcie dla analizy dokumentów w kilku językach;
  • prowadzenie szczegółowych archiwów i dzienników dla wygody badania incydentów;
  • pożądane jest posiadanie wypracowanych narzędzi do analizy zdarzeń i ich relacji;
  • możliwość budowania różnorodnych raportów, w tym raportów graficznych.

Dzięki nowym trendom w rozwoju technologii informatycznych, poszukiwane są również nowe funkcje produktów DLP. Wraz z powszechnym stosowaniem wirtualizacji w korporacyjnych systemach informatycznych konieczne stało się wsparcie jej również w rozwiązaniach DLP. Wszechobecne wykorzystanie urządzeń mobilnych jako narzędzia biznesowego napędza pojawienie się mobilnego DLP. Tworzenie zarówno korporacyjnych, jak i publicznych „chmur” wymagało ich ochrony, w tym systemów DLP. I jako logiczna kontynuacja doprowadziła do powstania usług bezpieczeństwa informacji w „chmurze” (ang. security as a service – SECaaS).

Jak działa system DLP

Nowoczesny system ochrony przed wyciekiem informacji to z reguły rozproszony kompleks oprogramowania i sprzętu, składający się z dużej liczby modułów do różnych celów. Część modułów pracuje na dedykowanych serwerach, część na stacjach roboczych pracowników firmy, a część na stanowiskach pracy pracowników ochrony.

Dedykowane serwery mogą być wymagane dla modułów takich jak baza danych, a czasami dla modułów analizy informacji. Te moduły są w rzeczywistości rdzeniem i żaden system DLP nie może się bez nich obejść.

Baza danych jest niezbędna do przechowywania informacji, począwszy od zasad kontroli i szczegółowych informacji o zdarzeniach, po wszystkie dokumenty, które przez określony czas znalazły się w polu widzenia systemu. W niektórych przypadkach system może nawet przechowywać kopię całego firmowego ruchu sieciowego przechwyconego w danym okresie.

Moduły analizy informacji są odpowiedzialne za analizę tekstów wyodrębnionych przez inne moduły z różnych źródeł: ruchu sieciowego, dokumentów na dowolnych urządzeniach do przechowywania informacji w firmie. Niektóre systemy mają możliwość wyodrębniania tekstu z obrazów i rozpoznawania przechwyconych wiadomości głosowych. Wszystkie analizowane teksty są dopasowywane do predefiniowanych reguł i odpowiednio oznaczane po znalezieniu dopasowania.

Aby kontrolować działania pracowników, na ich stanowiskach roboczych można zainstalować agentów specjalnych. Taki agent musi być chroniony przed ingerencją użytkownika w jego pracę (w praktyce nie zawsze tak jest) i może zarówno biernie monitorować jego działania, jak i aktywnie zapobiegać tym, których użytkownikowi zabrania polityka bezpieczeństwa firmy. Lista kontrolowanych czynności może ograniczać się do logowania/wylogowania z systemu oraz podłączania urządzeń USB i może obejmować przechwytywanie i blokowanie protokołów sieciowych, kopiowanie dokumentów w tle na dowolne nośniki zewnętrzne, drukowanie dokumentów na drukarkach lokalnych i sieciowych, przesyłanie informacji przez Wi-Fi -Fi i Bluetooth I wiele więcej. Niektóre systemy DLP są w stanie rejestrować wszystkie naciśnięcia klawiszy (rejestrowanie klawiszy) i zapisywać zrzuty ekranu (zrzuty ekranu), ale wykracza to poza powszechną praktykę.

Zwykle w ramach systemu DLP występuje moduł kontrolny przeznaczony do monitorowania pracy systemu i jego administracji. Ten moduł umożliwia monitorowanie wydajności wszystkich innych modułów systemu i ich konfigurowanie.

Dla wygody analityka bezpieczeństwa system DLP może posiadać osobny moduł, który pozwala na ustawienie polityki bezpieczeństwa firmy, śledzenie jej naruszeń, przeprowadzanie ich szczegółowego dochodzenia oraz generowanie niezbędnych raportów. Co dziwne, ceteris paribus, to umiejętność analizowania incydentów, prowadzenia pełnego dochodzenia i raportowania na pierwszy plan wysuwa się w nowoczesnym systemie DLP.

Globalny rynek DLP

Rynek systemów DLP zaczął kształtować się już w tym stuleciu. Jak wspomniano na początku artykułu, samo pojęcie „DLP” rozpowszechniło się około 2006 roku. Najwięcej firm, które stworzyły systemy DLP powstało w Stanach Zjednoczonych. Było największe zapotrzebowanie na te rozwiązania oraz sprzyjające warunki do powstania i rozwoju takiego biznesu.

Prawie wszystkie firmy, które uruchomiły systemy DLP i osiągnęły w tym znaczący sukces, zostały kupione lub wchłonięte, a ich produkty i technologie zostały zintegrowane z większymi systemami informatycznymi. Na przykład Symantec przejął Vontu (2007), Websense przejął PortAuthority Technologies Inc. (2007), EMC Corp. przejął RSA Security (2006), a McAfee przejął szereg firm: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

Obecnie wiodącymi światowymi producentami systemów DLP są: Symantec Corp., RSA (oddział EMC Corp.), Verdasys Inc, Websense Inc. (w 2013 kupiony przez prywatną firmę Vista Equity Partners), McAfee (w 2011 kupiony przez Intela). Znaczącą rolę na rynku odgrywają Fidelis Cybersecurity Solutions (przejęty przez General Dynamics w 2012 roku), CA Technologies oraz GTB Technologies. Wyraźne zobrazowanie ich pozycji na rynku, w jednym z przekrojów, może służyć jako magiczny kwadrant firmy analitycznej Gartner na koniec 2013 roku (wykres 1).

Rysunek 1. DystrybucjapozycjeDLP-systemy na rynku światowymPrzezGartnera

Rosyjski rynek DLP

W Rosji rynek systemów DLP zaczął kształtować się niemal jednocześnie z rynkiem światowym, ale z własnymi osobliwościami. Działo się to stopniowo, w miarę pojawiania się incydentów i prób radzenia sobie z nimi. W 2000 roku Jet Infosystems jako pierwsza firma w Rosji opracowała rozwiązanie DLP (początkowo było to archiwum poczty). Nieco później, w 2003 roku, powstał InfoWatch jako spółka zależna Kaspersky Lab. To decyzje tych dwóch firm wyznaczały standardy dla pozostałych graczy. Nieco później były to między innymi Perimetrix, SearchInform, DeviceLock, SecureIT (przemianowany na Zecurion w 2011 r.). Ponieważ państwo tworzy akty prawne dotyczące ochrony informacji (Kodeks cywilny Federacji Rosyjskiej, artykuł 857 „Tajemnica bankowa”, 395-1-FZ „O bankach i działalności bankowej”, 98-FZ „O tajemnicach handlowych”, 143-FZ „O aktach stanu cywilnego”, 152-FZ „O danych osobowych” i innych, w sumie około 50 rodzajów tajemnic), wzrosło zapotrzebowanie na narzędzia ochrony i wzrosło zapotrzebowanie na systemy DLP. A kilka lat później na rynek weszła „druga fala” deweloperów: Falcongaze, MFI Soft, Trafica. Warto zauważyć, że wszystkie te firmy miały rozwinięcia w zakresie DLP znacznie wcześniej, ale stały się substytutami na rynku stosunkowo niedawno. Na przykład firma MFI Soft zaczęła rozwijać swoje rozwiązanie DLP w 2005 roku, a pojawiła się na rynku dopiero w 2011 roku.

Jeszcze później rynek rosyjski stał się interesujący również dla firm zagranicznych. W latach 2007-2008 udostępniliśmy produkty firm Symantec, Websense i McAfee. Ostatnio, w 2012 roku, GTB Technologies wprowadziło swoje rozwiązania na nasz rynek. Inni liderzy rynku światowego również próbują wejść na rynek rosyjski, ale jak dotąd bez zauważalnych rezultatów. W ostatnich latach rosyjski rynek DLP od kilku lat wykazuje stabilny wzrost (ponad 40% rocznie), co przyciąga nowych inwestorów i deweloperów. Jako przykład można wymienić firmę Iteranet, która od 2008 roku rozwijała elementy systemu DLP na potrzeby wewnętrzne, następnie dla klientów korporacyjnych. Obecnie firma oferuje swoje rozwiązanie Business Guardian rosyjskim i zagranicznym klientom.

Firma oddzieliła się od Kaspersky Lab w 2003 roku. Pod koniec 2012 roku InfoWatch zajmował ponad jedną trzecią rosyjskiego rynku DLP. InfoWatch oferuje pełną gamę rozwiązań DLP dla klientów, od średnich firm po duże korporacje i agencje rządowe. Rozwiązania InfoWatch Traffic Monitor są najbardziej poszukiwane na rynku. Główne zalety ich rozwiązań to: zaawansowana funkcjonalność, unikalne opatentowane technologie analizy ruchu, analiza hybrydowa, obsługa wielu języków, wbudowany katalog zasobów sieciowych, skalowalność, duża liczba gotowych konfiguracji i polityk dla różnych branż. Cechami wyróżniającymi rozwiązanie InfoWatch jest pojedyncza konsola zarządzająca, monitorująca działania podejrzanych pracowników, intuicyjny interfejs, tworzenie polityk bezpieczeństwa bez użycia algebry Boole'a, tworzenie ról użytkowników (oficer ochrony, kierownik firmy, dyrektor HR itp.). Wady: brak kontroli nad działaniami użytkowników na stacjach roboczych, duży ciężar InfoWatch Traffic Monitor dla średnich firm, wysoki koszt.

Firma została założona w 1991 roku i dziś jest jednym z filarów rosyjskiego rynku DLP. Początkowo firma rozwijała systemy chroniące organizacje przed zagrożeniami zewnętrznymi, a jej wejście na rynek DLP jest naturalnym krokiem. Jet Infosystems jest ważnym graczem na rosyjskim rynku bezpieczeństwa informacji, świadczącym usługi integracji systemów i rozwijającym własne oprogramowanie. W szczególności własne rozwiązanie DLP firmy Dozor-Jet. Jego główne zalety to: skalowalność, wysoka wydajność, możliwość pracy z Big Data, duży zestaw interceptorów, wbudowany katalog zasobów webowych, analiza hybrydowa, zoptymalizowany system storage, aktywny monitoring, praca „w luce” , narzędzia do szybkiego wyszukiwania i analizy incydentów, zaawansowane wsparcie techniczne, w tym w regionach. Kompleks posiada również możliwość integracji z systemami klasy SIEM, BI, MDM, Security Intelligence, System and Network Management. Własne know-how – moduł „Dossier”, przeznaczony do badania incydentów. Wady: niewystarczająca funkcjonalność agentów dla stacji roboczych, słabe rozwinięcie kontroli nad działaniami użytkowników, rozwiązanie skierowane tylko do dużych firm, wysoki koszt.

Amerykańska firma, która rozpoczęła swoją działalność w 1994 roku jako producent oprogramowania do zabezpieczania informacji. W 1996 roku wprowadziła swój pierwszy własny rozwój „Internet Screening System” do kontroli działań personelu w Internecie. W przyszłości firma kontynuowała prace w obszarze bezpieczeństwa informacji, rozwijając nowe segmenty oraz poszerzając gamę produktów i usług. W 2007 roku firma umocniła swoją pozycję na rynku DLP przejmując PortAuthority. W 2008 roku Websense wszedł na rynek rosyjski. Firma oferuje obecnie kompleksowy produkt Websense Triton do ochrony przed wyciekiem poufnych danych, a także zagrożeniami zewnętrznymi. Główne zalety: ujednolicona architektura, wydajność, skalowalność, wiele opcji dostarczania, predefiniowane polityki, zaawansowane narzędzia do raportowania i analizy zdarzeń. Wady: brak obsługi wielu protokołów IM, brak obsługi morfologii języka rosyjskiego.

Symantec Corporation jest uznanym światowym liderem na rynku rozwiązań DLP. Stało się to po zakupie w 2007 roku firmy Vontu, czołowego producenta systemów DLP. Od 2008 roku firma Symantec DLP jest oficjalnie reprezentowana na rynku rosyjskim. Pod koniec 2010 roku Symantec był pierwszą zagraniczną firmą, która zlokalizowała swój produkt DLP na nasz rynek. Główne zalety tego rozwiązania to: potężna funkcjonalność, duża liczba metod analizy, możliwość zablokowania wycieku dowolnym kontrolowanym kanałem, wbudowany katalog stron internetowych, możliwość skalowania, rozbudowany agent do analizy zdarzeń na na poziomie stacji roboczej, bogate międzynarodowe doświadczenie wdrożeniowe i integrację z innymi produktami firmy Symantec. Wady systemu to wysoki koszt i brak kontroli nad niektórymi popularnymi protokołami IM.

Ta rosyjska firma powstała w 2007 roku jako twórca narzędzi bezpieczeństwa informacji. Główne zalety rozwiązania Falcongaze SecureTower to: łatwość instalacji i konfiguracji, przyjazny interfejs użytkownika, kontrola większej liczby kanałów transmisji danych, zaawansowane narzędzia analizy informacji, możliwość monitorowania działań pracowników na stanowiskach pracy (w tym przeglądanie zrzutów ekranu z desktop), analizator wykresów relacji personalnych, skalowalność, szybkie wyszukiwanie przechwyconych danych, wizualny system raportowania według różnych kryteriów.

Wady: nie zapewnia pracy w luce na poziomie bramki, ograniczone możliwości blokowania przesyłania poufnych danych (tylko SMTP, HTTP i HTTPS), brak modułu do wyszukiwania poufnych danych w sieci firmowej.

Amerykańska firma założona w 2005 roku. Dzięki własnym osiągnięciom w zakresie bezpieczeństwa informacji ma duży potencjał rozwoju. Weszła na rynek rosyjski w 2012 roku i z powodzeniem zrealizowała kilka projektów korporacyjnych. Zaletami jej rozwiązań są: wysoka funkcjonalność, kontrola wielu protokołów i kanałów potencjalnego wycieku danych, oryginalne opatentowane technologie, modułowość, integracja z IRM. Wady: częściowa rosyjska lokalizacja, brak rosyjskiej dokumentacji, brak analizy morfologicznej.

Rosyjska firma założona w 1999 roku jako integrator systemów. W 2013 roku została przekształcona w spółkę holdingową. Jednym z działań jest dostarczanie szerokiej gamy usług i produktów dla bezpieczeństwa informacji. Jednym z produktów firmy jest autorski system Business Guardian DLP.

Zalety: duża szybkość przetwarzania informacji, modułowość, skalowalność terytorialna, analiza morfologiczna w 9 językach, obsługa szerokiej gamy protokołów tunelowania.

Wady: ograniczona możliwość blokowania transferu informacji (obsługiwana tylko przez wtyczki do MS Exchange, MS ISA/TMG i Squid), ograniczona obsługa szyfrowanych protokołów sieciowych.

MFI Soft to rosyjska firma rozwijająca systemy bezpieczeństwa informacji. Historycznie firma specjalizuje się w kompleksowych rozwiązaniach dla operatorów telekomunikacyjnych, dlatego przywiązuje dużą wagę do szybkości przetwarzania danych, odporności na awarie oraz wydajnego przechowywania. Od 2005 roku MFI Soft rozwija się w obszarze bezpieczeństwa informacji. Firma oferuje na rynku system DLP APK „Garda Enterprise”, ukierunkowany na duże i średnie przedsiębiorstwa. Zalety systemu: łatwość wdrożenia i konfiguracji, wysoka wydajność, elastyczne ustawienia reguł detekcji (m.in. możliwość rejestrowania całego ruchu), rozbudowana kontrola nad kanałami komunikacyjnymi (oprócz standardowego zestawu m.in. telefonia VoIP, protokoły P2P i tunelowanie). Wady: brak niektórych rodzajów raportów, brak możliwości zablokowania przesyłania informacji oraz poszukiwania miejsc do przechowywania poufnych informacji w sieci firmowej.

Rosyjska firma, założona w 1995 roku, początkowo specjalizowała się w rozwoju technologii przechowywania i wyszukiwania informacji. Później firma wykorzystała swoje doświadczenie i rozwój w dziedzinie bezpieczeństwa informacji, stworzyła rozwiązanie DLP o nazwie „Information Security Circuit”. Zalety tego rozwiązania: szerokie możliwości przechwytywania ruchu i analizowania zdarzeń na stacjach roboczych, monitorowanie czasu pracy pracowników, modułowość, skalowalność, zaawansowane narzędzia wyszukiwania, szybkość przetwarzania żądań wyszukiwania, powiązania grafowe pracowników, własny opatentowany algorytm wyszukiwania „Similar Search” , własne centrum szkoleniowe dla analityków i specjalistów technicznych klientów. Wady: ograniczona możliwość blokowania przesyłania informacji, brak jednej konsoli zarządzającej.

Rosyjska firma założona w 1996 roku, specjalizująca się w rozwoju rozwiązań DLP i EDPC. Firma przeniosła się do kategorii producentów DLP w 2011 roku, dodając do swojego znanego na całym świecie rozwiązania DeviceLock (kontrola urządzeń i portów na stacjach roboczych Windows) w kategorii EDPC, komponenty zapewniające kontrolę kanałów sieciowych oraz technologie analizy i filtrowania treści. Obecnie DeviceLock DLP implementuje wszystkie metody wykrywania wycieków danych (DiM, DiU, DaR). Zalety: elastyczna architektura i modułowe licencjonowanie, łatwość instalacji i zarządzania politykami DLP, m.in. poprzez polisy grupy AD, autorskie autorskie technologie kontroli urządzeń mobilnych, wsparcie środowisk zwirtualizowanych, dostępność agentów dla systemów Windows i Mac OS, pełną kontrolę nad pracownikami mobilnymi poza siecią korporacyjną, rezydentny moduł OCR (wykorzystywany m.in. podczas skanowania danych miejsca przechowywania). Wady: brak agenta DLP dla systemu Linux, wersja agenta dla komputerów Mac implementuje tylko kontekstowe metody kontroli.

Młoda rosyjska firma specjalizująca się w technologiach Deep Packet Inspection (DPI) do analizy ruchu sieciowego. W oparciu o te technologie firma rozwija własny system DLP o nazwie Monitorium. Zalety systemu: łatwość instalacji i konfiguracji, przyjazny interfejs użytkownika, elastyczny i intuicyjny mechanizm tworzenia polis, odpowiedni nawet dla małych firm. Wady: ograniczone możliwości analizy (brak analizy hybrydowej), ograniczone możliwości kontroli na poziomie stacji roboczej, brak możliwości wyszukiwania lokalizacji, w których przechowywane są nieautoryzowane kopie informacji poufnych w sieci korporacyjnej.

wnioski

Dalszy rozwój produktów DLP zmierza w kierunku konsolidacji i integracji z produktami pokrewnych obszarów: kontroli personelu, ochrony przed zagrożeniami zewnętrznymi oraz innych segmentów bezpieczeństwa informacji. Jednocześnie prawie wszystkie firmy pracują nad stworzeniem lekkich wersji swoich produktów dla małych i średnich firm, gdzie łatwość wdrożenia systemu DLP i łatwość jego użytkowania jest ważniejsza niż złożona i potężna funkcjonalność. Kontynuowany jest także rozwój DLP dla urządzeń mobilnych, wsparcie dla technologii wirtualizacji oraz SECaaS w „chmurach”.

Biorąc pod uwagę powyższe, można przypuszczać, że szybki rozwój świata, a zwłaszcza rosyjskich rynków DLP, będzie przyciągał zarówno nowe inwestycje, jak i nowe firmy. A to z kolei powinno prowadzić do dalszego wzrostu ilości i jakości oferowanych produktów i usług DLP.

(Zapobieganie utracie danych)

Systemy monitorowania działań użytkowników, system ochrony poufnych danych przed zagrożeniami wewnętrznymi.

Systemy DLP służą do wykrywania i zapobiegania transmisji wrażliwych danych na różnych etapach. (podczas przenoszenia, używania i przechowywania). System DLP umożliwia:

    Kontroluj pracę użytkowników, zapobiegając niekontrolowanemu marnowaniu czasu pracy na cele osobiste.

    Automatycznie, przejrzyście dla użytkownika, rejestruj wszystkie działania, w tym wysyłane i odbierane wiadomości e-mail, czaty i komunikatory, sieci społecznościowe, odwiedzane strony internetowe, dane wpisywane na klawiaturze, przesyłane, drukowane i zapisywane pliki itp.

    Monitoruj korzystanie z gier komputerowych w miejscu pracy i śledź ilość czasu pracy spędzonego na grach komputerowych.

    Kontroluj aktywność sieciową użytkowników, uwzględniaj natężenie ruchu sieciowego

    Kontroluj kopiowanie dokumentów na różne nośniki (nośniki wymienne, dyski twarde, foldery sieciowe itp.)

    Kontroluj drukowanie sieciowe użytkownika

    Rejestruj żądania użytkowników do wyszukiwarek itp.

    Data-in-motion - dane w ruchu - wiadomości e-mail, transfer ruchu w sieci, pliki itp.

    Data-in-rest - przechowywane dane - informacje o stacjach roboczych, serwerach plików, urządzeniach USB itp.

    Dane w użyciu - dane w użyciu - informacje w trakcie przetwarzania.

Architektura rozwiązań DLP dla różnych programistów może się różnić, ale ogólnie można wyróżnić 3 główne trendy:

    Interceptory i kontrolery na różnych kanałach przekazywania informacji. Przechwytywacze analizują przepływy przepływających informacji z granic firmy, wykrywają poufne dane, klasyfikują je i przesyłają do serwera kontrolnego w celu przetworzenia ewentualnego incydentu. Kontrolery wykrywania przechowywanych danych uruchamiają procesy wykrywania poufnych informacji w zasobach sieciowych. Kontrolery do pracy na stacjach roboczych rozsyłają polityki bezpieczeństwa do urządzeń końcowych (komputerów), analizują wyniki działań pracowników z informacjami poufnymi oraz przekazują dane o ewentualnym incydencie do serwera sterującego.

    Programy agentów instalowane na urządzeniach końcowych: zauważają poufne dane podczas przetwarzania i monitorują przestrzeganie takich zasad jak zapisywanie na nośniku wymiennym, wysyłanie, drukowanie, kopiowanie do schowka.

    Centralny serwer kontrolny - porównuje informacje otrzymane od przechwytywaczy i kontrolerów oraz zapewnia interfejs do przetwarzania incydentów i raportowania.

Rozwiązania DLP mają szeroki zakres połączonych metod wyszukiwania informacji:

    Wydruki cyfrowe dokumentów i ich części

    Cyfrowe odciski palców baz danych i inne ustrukturyzowane informacje, które należy chronić przed rozpowszechnianiem

    Metody statystyczne (zwiększenie czułości systemu w przypadku powtarzających się naruszeń).

Podczas pracy systemów DLP typowe jest cykliczne wykonywanie kilku procedur:

    Nauczenie systemu zasad klasyfikacji informacji.

    Wprowadzenie zasad reagowania w odniesieniu do kategorii wykrytych informacji oraz grup pracowników, których działania należy monitorować. Zaufani użytkownicy są wyróżnieni.

    Wykonanie operacji kontrolnej przez system DLP (system analizuje i normalizuje informacje, dokonuje porównania z zasadami wykrywania i klasyfikacji danych, a w przypadku wykrycia informacji poufnej system porównuje ją z istniejącymi politykami przypisanymi do wykrytej kategorii informacji i , jeśli to konieczne, tworzy incydent)

    Obsługa incydentów (na przykład informowanie, zawieszanie lub blokowanie przesyłania).

Cechy tworzenia i działania VPN pod kątem bezpieczeństwa

Opcje kompilacji VPN:

    Oparte na sieciowych systemach operacyjnych

    W oparciu o routery

    Na podstawie ITU

    Oparte na specjalistycznym oprogramowaniu i sprzęcie

    W oparciu o specjalistyczne oprogramowanie

Aby VPN działał poprawnie i bezpiecznie, musisz zrozumieć podstawy interakcji VPN i zapór ogniowych:

    Sieci VPN są w stanie tworzyć tunele łączy typu end-to-end, które przechodzą przez obwód sieci, przez co są niezwykle problematyczne pod względem kontroli dostępu z zapory ogniowej, przez co trudno jest analizować ruch szyfrowany.

    Dzięki funkcjom szyfrowania danych sieci VPN mogą być używane do omijania systemów IDS, które nie są w stanie wykryć włamań z zaszyfrowanych kanałów komunikacyjnych.

    W zależności od architektury sieci, najważniejsza funkcja translacji adresów sieciowych (NAT) może nie być kompatybilna z niektórymi implementacjami VPN itp.

Zasadniczo, podejmując decyzję o wdrożeniu komponentów VPN w architekturze sieci, administrator może albo wybrać VPN jako samodzielne urządzenie zewnętrzne, albo zintegrować VPN z ITU, aby zapewnić obie funkcje tego samego systemu.

    ITU + dedykowany VPN. Opcje rozmieszczenia VPN:

    1. Wewnątrz strefy DMZ, między ITU a routerem granicznym

      Wewnątrz chronionej sieci na kartach sieciowych ITU

      Wewnątrz ekranowanej sieci, za ITU

      Równolegle z ITU, w punkcie wejścia do chronionej sieci.

    ITU + VPN hostowane jako jedno - to zintegrowane rozwiązanie jest łatwiejsze w utrzymaniu niż poprzednia opcja, nie powoduje problemów związanych z NAT (translacja adresów sieciowych) i zapewnia bardziej niezawodny dostęp do danych, za który odpowiada ITU. Wadą zintegrowanego rozwiązania jest wysoki początkowy koszt zakupu takiego narzędzia, a także ograniczone możliwości optymalizacji odpowiedniego komponentu VPN i Firewall (tzn. najbardziej satysfakcjonujące wdrożenia ITU mogą nie być przystosowane do budowania komponentów VPN na ich Sieć VPN może mieć znaczący wpływ na wydajność sieci, a opóźnienia mogą wystąpić w następujących fazach:

    1. Podczas nawiązywania bezpiecznego połączenia między urządzeniami VPN (uwierzytelnianie, wymiana kluczy itp.)

      Opóźnienia związane z szyfrowaniem i deszyfrowaniem chronionych danych oraz przekształceniami niezbędnymi do kontrolowania ich integralności

      Opóźnienia związane z dodawaniem nowego nagłówka do przesyłanych pakietów

Bezpieczeństwo poczty e-mail

Główne protokoły pocztowe: (E)SMTP, POP, IMAP.

SMTP - prosty protokół przesyłania poczty, port TCP 25, brak uwierzytelniania. Rozszerzony SMTP — dodano uwierzytelnianie klienta.

POP - post Office Protocol 3 - odbieranie poczty z serwera. Wyczyść uwierzytelnianie. APOP - z możliwością uwierzytelnienia.

IMAP — protokół dostępu do wiadomości internetowych — to protokół niezaszyfrowanej poczty, który łączy w sobie właściwości POP3 i IMAP. Umożliwia pracę bezpośrednio ze skrzynką pocztową, bez konieczności pobierania listów na komputer.

Ze względu na brak jakichkolwiek normalnych sposobów szyfrowania informacji zdecydowaliśmy się na użycie SSL do szyfrowania danych tych protokołów. Z tego wyszły następujące odmiany:

POP3 SSL — port 995, SMTP SSL (SMTPS) port 465, IMAP SSL (IMAPS) — port 993, cały protokół TCP.

Osoba atakująca pracująca z systemem pocztowym może realizować następujące cele:

    Atak na komputer użytkownika poprzez wysyłanie wirusów pocztowych, wysyłanie fałszywych wiadomości e-mail (sfałszowanie adresu nadawcy w SMTP to trywialne zadanie), czytanie wiadomości e-mail innych osób.

    Atak na serwer pocztowy przy użyciu wiadomości e-mail w celu przeniknięcia do jego systemu operacyjnego lub odmowy usługi

    Używanie serwera pocztowego jako przekaźnika podczas wysyłania niechcianych wiadomości (spamu)

    Przechwycenie hasła:

    1. Przechwytywanie haseł w sesjach POP i IMAP, w wyniku czego osoba atakująca może odbierać i usuwać pocztę bez wiedzy użytkownika

      Przechwytywanie haseł w sesjach SMTP - w wyniku czego osoba atakująca może zostać nielegalnie upoważniona do wysyłania poczty przez ten serwer

Do rozwiązywania problemów z bezpieczeństwem protokołów POP, IMAP i SMTP najczęściej stosowanym protokołem jest SSL, który pozwala na szyfrowanie całej sesji komunikacyjnej. Wada - SSL jest protokołem wymagającym dużych zasobów, który może znacznie spowolnić komunikację.

Spam i walka z nim

Rodzaje oszukańczego spamu:

    Loteria - entuzjastyczne powiadomienie o wygranych w loteriach, w których odbiorca wiadomości nie brał udziału. Wszystko, co musisz zrobić, to odwiedzić odpowiednią stronę i wprowadzić numer konta oraz kod PIN karty, które rzekomo są wymagane do zapłaty za usługi dostawy.

    Aukcje - ten rodzaj oszustwa polega na braku towarów, które są sprzedawane przez oszustów. Po zapłaceniu klient nic nie otrzymuje.

    Phishing - list zawierający link do jakiegoś zasobu, gdzie chcą, abyś podał dane itp. Wyłudzanie danych osobowych i poufnych od łatwowiernych lub nieuważnych użytkowników. Oszuści wysyłają wiele listów, zwykle podszywających się pod oficjalne pisma różnych instytucji, zawierających linki prowadzące do stron-pułapek, które wizualnie kopiują strony banków, sklepów i innych organizacji.

    Oszustwo pocztowe to rekrutacja personelu dla firmy, która rzekomo potrzebuje przedstawiciela w określonym kraju, który może zająć się wysyłką towarów lub przelewem pieniędzy do zagranicznej firmy. Z reguły ukrywa się tutaj schematy prania pieniędzy.

    Listy nigeryjskie — prośba o niewielką wpłatę przed otrzymaniem pieniędzy.

    listy szczęścia

Spam może być masowy i ukierunkowany.

Masowy spam nie ma określonych celów i wykorzystuje oszustwa socjotechniczne przeciwko wielu osobom.

Spam ukierunkowany to technika skierowana do konkretnej osoby lub organizacji, w której atakujący działa w imieniu dyrektora, administratora lub innego pracownika organizacji, w której pracuje ofiara lub atakujący reprezentuje firmę, z którą organizacja atakująca nawiązała zaufanie relacja.

Zbieranie adresów odbywa się poprzez wybieranie nazw własnych, pięknych słów ze słowników, częste kombinacje słowo-liczba, przez analogię, skanowanie wszystkich dostępnych źródeł informacji (czaty, fora itp.), kradzież baz danych itp.

Otrzymane adresy są weryfikowane (weryfikowane, czy są poprawne) poprzez wysłanie wiadomości testowej, umieszczenie w treści wiadomości unikalnego linku do obrazka z licznikiem pobrań lub linku „wypisz się ze spamu”.

W przyszłości spam będzie wysyłany albo bezpośrednio z wynajmowanych serwerów, albo z błędnie skonfigurowanych legalnych usług pocztowych, albo poprzez ukrytą instalację złośliwego oprogramowania na komputerze użytkownika.

Atakujący komplikuje działanie filtrów antyspamowych, wprowadzając losowe teksty, szumy lub niewidoczne teksty, używając liter graficznych lub zmieniając litery obrazkowe, fragmentaryczne obrazy, w tym stosując animację, przeformułowanie tekstów.

Metody antyspamowe

Istnieją 2 główne metody filtrowania spamu:

    Filtrowanie po cechach formalnych wiadomości e-mail

    Filtrowanie zawartości

    metoda formalna

    1. Fragmentacja według list: czarnych, białych i szarych. Szara lista to metoda tymczasowego blokowania wiadomości zawierających nieznane kombinacje adresu e-mail i adresu IP serwera wysyłającego. Gdy pierwsza próba zakończy się chwilowym niepowodzeniem (z reguły programy spamujące nie wysyłają ponownie listu). Wadą tej metody jest możliwy duży odstęp czasu między wysłaniem a otrzymaniem wiadomości prawnej.

      Sprawdzenie, czy wiadomość została wysłana z prawdziwego, czy fałszywego (fałszywego) serwera pocztowego z domeny określonej w wiadomości.

      „Callback” (oddzwanianie) - po odebraniu połączenia przychodzącego serwer odbierający zawiesza sesję i symuluje sesję roboczą z serwerem wysyłającym. Jeśli próba się nie powiedzie, zawieszone połączenie zostanie przerwane bez dalszego przetwarzania.

      Filtrowanie po cechach formalnych listu: adresie nadawcy i odbiorcy, rozmiarze, obecności i ilości załączników, adresie IP nadawcy itp.

    Metody językowe - praca z treścią listu

    1. Rozpoznanie po treści listu - sprawdzana jest obecność w liście znamion spamu: określony zestaw i rozmieszczenie określonych fraz w liście.

      Rozpoznawanie wzorów liter (metoda filtrowania podpisów, która obejmuje podpisy graficzne)

      Filtrowanie bayesowskie - filtrowanie ściśle według słów. Podczas sprawdzania przychodzącego listu prawdopodobieństwo, że jest to spam, jest obliczane na podstawie przetwarzania tekstu, które obejmuje obliczenie średniej „wagi” wszystkich słów tego listu. Wiadomość jest klasyfikowana jako spam lub niespam na podstawie tego, czy jej waga przekracza określony próg ustawiony przez użytkownika. Po podjęciu decyzji w sprawie listu, w bazie aktualizowane są „wagi” dla zawartych w nim słów.

Uwierzytelnianie w systemach komputerowych

Procesy uwierzytelniania można podzielić na następujące kategorie:

    Ale na podstawie znajomości czegoś (PIN, hasło)

    Na podstawie posiadania czegoś (karta inteligentna, klucz USB)

    Nieoparte na nieodłącznych cechach (cechy biometryczne)

Typy uwierzytelnienia:

    Proste uwierzytelnianie za pomocą haseł

    Silne uwierzytelnianie oparte na wykorzystaniu kontroli wieloskładnikowych i metod kryptograficznych

    Uwierzytelnianie biometryczne

Główne ataki na protokoły uwierzytelniania to:

    „Maskarada” – gdy użytkownik próbuje podszyć się pod innego użytkownika

    Retransmisja – kiedy przechwycone hasło jest wysyłane w imieniu innego użytkownika

    Wymuszone opóźnienie

Aby zapobiec takim atakom, stosowane są następujące techniki:

    Mechanizmy żądania-odpowiedzi, znaczniki czasu, liczby losowe, podpisy cyfrowe itp.

    Powiązanie wyniku uwierzytelnienia z kolejnymi działaniami użytkowników w systemie.

    Okresowe wykonywanie procedur uwierzytelniania w ramach już nawiązanej sesji komunikacyjnej.

    Proste uwierzytelnianie

    1. Uwierzytelnianie hasła wielokrotnego użytku

      Uwierzytelnianie za pomocą hasła jednorazowego - OTP (hasło jednorazowe) - hasła jednorazowe są ważne tylko dla jednego logowania i można je wygenerować za pomocą tokena OTP. W tym celu wykorzystywany jest tajny klucz użytkownika, który znajduje się zarówno wewnątrz tokena OTP, jak i na serwerze uwierzytelniającym.

    Silne uwierzytelnienie polega na udowodnieniu przez weryfikatora swojej tożsamości poprzez wykazanie znajomości jakiejś tajemnicy. Dzieje się:

    1. Jednostronny

      dwustronny

      trójstronny

Można to przeprowadzić w oparciu o karty inteligentne lub klucze USB lub kryptografię.

Silne uwierzytelnianie może zostać zaimplementowane w oparciu o proces weryfikacji dwu- lub trójskładnikowej.

W przypadku uwierzytelniania dwuskładnikowego użytkownik musi udowodnić, że zna hasło lub kod PIN oraz posiada określony identyfikator osobisty (karta inteligentna lub klucz USB).

Uwierzytelnianie trójskładnikowe oznacza, że ​​użytkownik przedstawia inny rodzaj danych identyfikacyjnych, na przykład dane biometryczne.

Silne uwierzytelnianie przy użyciu protokołów kryptograficznych może opierać się na szyfrowaniu symetrycznym i asymetrycznym oraz funkcjach mieszających. Dowódca dowodzi znajomości tajemnicy, ale sama tajemnica nie zostaje ujawniona. Parametry jednorazowe (liczby losowe, znaczniki czasu i numery sekwencyjne) stosowane są w celu uniknięcia retransmisji, zapewnienia niepowtarzalności, jednoznaczności i tymczasowych gwarancji przesyłanych komunikatów.

Biometryczne uwierzytelnianie użytkownika

Najczęściej stosowane cechy biometryczne to:

    odciski palców

    Wzór żyły

    Geometria ręki

    Irys

    Geometria twarzy

    Kombinacje powyższych

Kontrola dostępu z pojedynczym logowaniem (SSO).

SSO pozwala użytkownikowi sieci korporacyjnej przejść tylko jedno uwierzytelnienie przy wejściu do sieci, podając tylko raz hasło lub inny wymagany uwierzytelniacz, a następnie bez dodatkowego uwierzytelniania uzyskać dostęp do wszystkich autoryzowanych zasobów sieciowych potrzebnych do wykonywania pracy. Aktywnie wykorzystywane są cyfrowe narzędzia uwierzytelniające, takie jak tokeny, certyfikaty cyfrowe PKI, karty inteligentne i urządzenia biometryczne. Przykłady: Kerberos, PKI, SSL.

Odpowiedź na incydent IS

Wśród zadań stojących przed każdym systemem zarządzania bezpieczeństwem informacji są 2 najważniejsze:

    Zapobieganie incydentom

    W przypadku ich wystąpienia, terminowej i prawidłowej reakcji

Pierwsze zadanie w większości przypadków opiera się na zakupie różnych narzędzi bezpieczeństwa informacji.

Drugie zadanie zależy od stopnia przygotowania firmy na takie zdarzenia:

        Dostępność przeszkolonego zespołu reagowania na incydenty związane z bezpieczeństwem informacji z predefiniowanymi rolami i obowiązkami.

        Dostępność przemyślanej i wzajemnie powiązanej dokumentacji dotyczącej procedury zarządzania incydentami bezpieczeństwa informacji, w szczególności realizacji reagowania i badania zidentyfikowanych incydentów.

        Dostępność przygotowanych zasobów na potrzeby zespołu reagowania (środki łączności,…, sejf)

        Dostępność aktualnej bazy wiedzy o zaistniałych incydentach związanych z bezpieczeństwem informacji

        Wysoki poziom świadomości bezpieczeństwa informacji wśród użytkowników

        Kwalifikacja i spójność pracy zespołu reagowania

Proces zarządzania incydentami związanymi z bezpieczeństwem informacji składa się z następujących kroków:

    Przygotowanie - zapobieganie incydentom, przygotowanie zespołu reagowania, opracowanie zasad i procedur itp.

    Discovery - Powiadomienie z systemu bezpieczeństwa, powiadomienie od użytkowników, analiza logów bezpieczeństwa.

    Analiza - potwierdzenie wystąpienia incydentu, zebranie dostępnych informacji o incydencie, identyfikacja dotkniętych aktywów oraz klasyfikacja incydentu według bezpieczeństwa i priorytetu.

    Reagowanie – powstrzymanie incydentu i zebranie dowodów, podjęcie działań w celu powstrzymania incydentu i zachowanie dowodów, zebranie dowodów, interakcja z jednostkami wewnętrznymi, partnerami i stronami poszkodowanymi, a także przyciągnięcie zewnętrznych organizacji eksperckich.

    Dochodzenie - dochodzenie w sprawie okoliczności incydentów związanych z bezpieczeństwem informacji, zaangażowanie zewnętrznych organizacji eksperckich i interakcja ze wszystkimi zainteresowanymi stronami, a także z organami ścigania i organami wymiaru sprawiedliwości.

    Odzyskiwanie - podjęcie działań w celu zamknięcia podatności, które doprowadziły do ​​wystąpienia incydentu, usunięcia skutków incydentu, przywrócenia kondycji dotkniętych usług i systemów. Wystawienie polisy ubezpieczeniowej.

    Analiza wydajności i modernizacja - analiza incydentu, analiza skuteczności i modernizacja procesu badania incydentów bezpieczeństwa informacji i związanych z nimi dokumentów, instrukcje prywatne. Generowanie raportu z dochodzenia i konieczności aktualizacji systemu ochrony do zarządzania, zebranie informacji o incydencie, dodanie ich do bazy wiedzy i przechowywanie danych o incydencie.

Skuteczny system zarządzania incydentami związanymi z bezpieczeństwem informacji ma następujące cele:

    Zapewnienie znaczenia prawnego zebranych dowodów dotyczących incydentów związanych z bezpieczeństwem informacji

    Zapewnienie terminowości i poprawności działań w zakresie reagowania i badania incydentów bezpieczeństwa informacji

    Zapewnienie możliwości identyfikacji okoliczności i przyczyn incydentów SI w celu dalszej modernizacji systemu bezpieczeństwa informacji

    Zapewnienie dochodzenia i wsparcia prawnego wewnętrznych i zewnętrznych incydentów związanych z bezpieczeństwem informacji

    Zapewnienie możliwości ścigania intruzów i postawienia ich przed wymiarem sprawiedliwości zgodnie z prawem

    Zapewnienie możliwości naprawienia szkody wynikającej z incydentu związanego z bezpieczeństwem informacji zgodnie z przepisami prawa

System zarządzania incydentami związanymi z bezpieczeństwem informacji zasadniczo współdziała i integruje się z następującymi systemami i procesami:

    Zarządzanie bezpieczeństwem informacji

    Zarządzanie ryzykiem

    Zapewnienie ciągłości biznesowej

Integracja wyraża się w spójności dokumentacji i sformalizowaniu kolejności interakcji między procesami (informacja wejściowa, wyjściowa i warunki przejścia).

Proces zarządzania incydentami związanymi z bezpieczeństwem informacji jest dość złożony i obszerny. Wymaga gromadzenia, przetwarzania i przechowywania ogromnej ilości informacji, a także wykonywania wielu równoległych zadań, dlatego na rynku istnieje wiele narzędzi, które pozwalają zautomatyzować określone zadania, na przykład tzw. systemy SIEM (informacje o bezpieczeństwie i zarządzanie zdarzeniami).

Chief Information Officer (CIO) - dyrektor ds. technologii informatycznych

Chief Information Security Officer (CISO) – kierownik działu bezpieczeństwa informacji, dyrektor ds. bezpieczeństwa informacji

Głównym zadaniem systemów SIEM jest nie tylko zbieranie zdarzeń z różnych źródeł, ale automatyzacja procesu wykrywania incydentów z dokumentacją we własnym logu lub systemie zewnętrznym, a także terminowe informowanie o zdarzeniu. System SIEM ma następujące zadania:

    Konsolidacja i przechowywanie dzienników zdarzeń z różnych źródeł - urządzeń sieciowych, aplikacji, dzienników systemu operacyjnego, narzędzi bezpieczeństwa

    Prezentacja narzędzi do analizy zdarzeń i analizy incydentów

    Korelacja i przetwarzanie zgodnie z regułami zaistniałych zdarzeń

    Automatyczne powiadamianie i zarządzanie incydentami

Systemy SIEM są w stanie wykryć:

    Ataki sieciowe na obrzeżach wewnętrznych i zewnętrznych

    Epidemie wirusów lub pojedyncze infekcje wirusowe, nieusunięte wirusy, backdoory i trojany

    Próby nieautoryzowanego dostępu do informacji poufnych

    Błędy i awarie w działaniu SI

    Luki w zabezpieczeniach

    Błędy w konfiguracji, zabezpieczeniach i systemach informatycznych.

Główne źródła SIEM

    Kontrola dostępu i dane uwierzytelniające

    Dzienniki zdarzeń serwera i stacji roboczej

    Aktywny sprzęt sieciowy

  1. Ochrona antywirusowa

    Skanery luk w zabezpieczeniach

    Systemy do rozliczania ryzyka, krytyczności zagrożeń i priorytetyzacji incydentów

    Inne systemy ochrony i kontroli polityk bezpieczeństwa informacji:

    1. systemy DLP

      Urządzenia kontroli dostępu itp.

    2. Systemy inwentarzowe

    Systemy rozliczania ruchu

Najbardziej znane systemy SIEM:

QRadar SIEM (IBM)

KOMRAD (NPO ESHELON CJSC)

Dziś rynek systemów DLP jest jednym z najszybciej rozwijających się spośród wszystkich narzędzi bezpieczeństwa informacji. Jednak Białoruś wciąż nie do końca nadąża za światowymi trendami, w związku z którymi rynek DLP-systemy w naszym kraju mają swoje własne cechy.

Co to jest DLP i jak działają?

Zanim zaczniemy mówić o rynku DLP -systemów, konieczne jest ustalenie, co tak naprawdę oznacza, jeśli chodzi o takie rozwiązania. Pod DLP Systemy są powszechnie rozumiane jako oprogramowanie, które chroni organizacje przed wyciekiem poufnych informacji. Sam skrót DLP oznacza Zapobieganie wyciekom danych czyli zapobieganie wyciekom danych.

Takie systemy tworzą bezpieczny cyfrowy „obwód” wokół organizacji, analizując wszystkie wychodzące, aw niektórych przypadkach wychodzące informacje. Kontrolowanymi informacjami powinien być nie tylko ruch internetowy, ale także szereg innych przepływów informacji: dokumenty wyjęte z chronionej pętli bezpieczeństwa na nośnikach zewnętrznych, drukowane na drukarce, przesyłane na nośniki mobilne za pośrednictwem Bluetooth itp.

Ponieważ DLP - system musi zapobiegać wyciekom poufnych informacji, to koniecznie ma wbudowane mechanizmy określania stopnia poufności dokumentu znalezionego w przechwyconym ruchu. Z reguły najczęściej stosowane są dwie metody: parsowanie specjalnych znaczników dokumentu oraz analizowanie zawartości dokumentu. Obecnie ta druga opcja jest bardziej powszechna, ponieważ jest odporna na modyfikacje dokonane w dokumencie przed jego wysłaniem, a także pozwala w łatwy sposób rozszerzyć liczbę poufnych dokumentów, z którymi system może pracować.

Zadania „boczne”. DLP

Oprócz swojego głównego zadania związanego z zapobieganiem wyciekom informacji, DLP -systemy doskonale nadają się również do rozwiązywania szeregu innych zadań związanych z kontrolą działań personelu. Najczęściej DLP -systemy służą do samodzielnego rozwiązywania następujących drobnych zadań:

  • Monitorowanie wykorzystania czasu pracy i zasobów pracy przez pracowników;
  • Monitorowanie komunikacji pracowników w celu identyfikacji „tajnych” zmagań, które mogą zaszkodzić organizacji;
  • Kontrola legalności działań pracowników (zapobieganie drukowaniu fałszywych dokumentów itp.);
  • Identyfikacja pracowników wysyłających CV w celu szybkiego poszukiwania specjalistów na wolne stanowisko;

W związku z tym, że wiele organizacji uznaje szereg tych zadań (zwłaszcza kontrolę wykorzystania czasu pracy) za wyższy priorytet niż ochrona przed wyciekiem informacji, powstało wiele programów, które są specjalnie do tego przeznaczone, ale w niektórych przypadki mogą również działać jako środek ochrony organizacji przed wyciekami. . Od pełnego DLP - systemy takie programy wyróżniają się brakiem rozbudowanych narzędzi do analizy przechwyconych danych, które muszą być wykonywane ręcznie przez specjalistę ds. bezpieczeństwa informacji, co jest wygodne tylko dla bardzo małych organizacji (do dziesięciu kontrolowanych pracowników). Ponieważ jednak rozwiązania te są poszukiwane na Białorusi, są one również uwzględnione w tabeli porównawczej dołączonej do tego artykułu.

Klasyfikacja systemów DLP

Wszystkie systemy DLP można podzielić na kilka głównych klas według szeregu cech. Ze względu na możliwość blokowania informacji zidentyfikowanych jako poufne wyróżnia się systemy z aktywną i pasywną kontrolą działań użytkownika. Te pierwsze są w stanie zablokować przesyłane informacje, te drugie odpowiednio nie mają takiej możliwości. Pierwsze systemy znacznie lepiej radzą sobie z przypadkowymi wyciekami danych, ale jednocześnie są w stanie pozwolić na przypadkowe zatrzymanie procesów biznesowych organizacji, podczas gdy te drugie są bezpieczne dla procesów biznesowych, ale nadają się tylko do radzenia sobie z systematycznymi wyciekami . Inna klasyfikacja systemów DLP opiera się na ich architekturze sieciowej. Bramy DLP działają na serwerach pośrednich, podczas gdy serwery hosta korzystają z agentów pracujących bezpośrednio na stacjach roboczych pracowników. Obecnie najpowszechniejszą opcją jest jednoczesne korzystanie z komponentów bramy i hosta.

Globalny rynek DLP

Obecnie główni gracze na światowym rynku DLP -systems to firmy, które są powszechnie znane ze swoich innych produktów służących bezpieczeństwu informacji w organizacjach. Jest to przede wszystkim Symantec, McAffee, TrendMicro, WebSense. O całkowitej wielkości rynku światowego DLP -solutions szacuje się na 400 milionów dolarów, co jest całkiem sporo w porównaniu z tym samym rynkiem antywirusowym. Jednak rynek DLP wykazuje szybki wzrost: jeszcze w 2009 roku szacowano go na nieco ponad 200 milionów rubli.

Duży wpływ na rynek białoruski ma rynek wschodniego sąsiada Rosji, który jest już dość duży i dojrzały. Głównymi graczami na nim są dziś rosyjskie firmy: InfoWatch , Jet Systemy informacyjne, SecurIT, SearchInform, Perimetrix i szereg innych. Całkowity wolumen rosyjskiego rynku DLP szacuje się na 12-15 milionów dolarów. Jednocześnie rozwija się w takim samym tempie jak świat.

Głównym z tych trendów, zdaniem ekspertów, jest przejście od systemów „łatkowych”, składających się z komponentów pochodzących od różnych producentów, z których każdy rozwiązuje swoje własne zadanie, do jednego zintegrowanego systemu oprogramowania. Powód takiego przejścia jest oczywisty: złożone zintegrowane systemy odciążają specjalistów ds. bezpieczeństwa informacji od konieczności rozwiązywania problemów związanych ze zgodnością różnych komponentów łatanego systemu ze sobą, ułatwiają natychmiastową zmianę ustawień dla dużych tablic klienckich stacji roboczych w organizacjach , a także pozwalają uniknąć trudności podczas przenoszenia danych z jednego komponentu jednego zintegrowanego systemu do drugiego. Również ruch deweloperów w kierunku systemów zintegrowanych wynika ze specyfiki zadań zapewnienia bezpieczeństwa informacji: wszak jeśli pozostawi się niekontrolowany przynajmniej jeden kanał, którym mogą wyciekać informacje, nie można mówić o bezpieczeństwie organizację przed takimi zagrożeniami.

zachodnich producentów DLP -systemy, które trafiły na rynek krajów WNP napotkały szereg problemów związanych z obsługą języków narodowych (w przypadku Białorusi wypada jednak mówić o obsłudze języka rosyjskiego, a nie białoruskiego ). Ponieważ rynek WNP jest bardzo interesujący dla zachodnich dostawców, dziś aktywnie pracują nad obsługą języka rosyjskiego, który jest główną przeszkodą w pomyślnym rozwoju rynku.

Kolejny ważny trend w tej dziedzinie DLP to stopniowe przejście do struktury modułowej, w której klient może samodzielnie wybierać potrzebne mu komponenty systemu (np. jeśli obsługa urządzeń zewnętrznych jest wyłączona na poziomie systemu operacyjnego, to nie ma potrzeby dopłacania za funkcjonalność je kontrolować). ważną rolę w rozwoju DLP -systemy będą również dostarczane przez specyfikę branżową - całkiem możliwe jest pojawienie się specjalnych wersji znanych systemów dostosowanych specjalnie dla sektora bankowego, dla agencji rządowych itp., odpowiadających potrzebom samych organizacji.

Ważny czynnik wpływający na rozwój DLP -systems, to także rozprzestrzenianie się laptopów i netbooków w środowiskach korporacyjnych. Specyfika laptopów (praca poza środowiskiem korporacyjnym, możliwość kradzieży informacji wraz z samym urządzeniem itp.) sprawia, że ​​producenci DLP -systemy do opracowania zasadniczo nowych podejść do ochrony komputerów przenośnych. Należy zauważyć, że dziś tylko kilku dostawców jest gotowych zaoferować klientowi funkcję sterowania laptopami i netbookami za pomocą swojego systemu DLP.

Zastosowanie DLP na Białorusi

Na Białorusi DLP -systemy są wykorzystywane w stosunkowo niewielkiej liczbie organizacji, ale ich liczba systematycznie rosła przed kryzysem. Jednak zebrane z DLP -systemy Białoruskie organizacje nie spieszą się z upublicznieniem informacji, ścigając pracowników winnych ujawnienia informacji przed sądem. Pomimo tego, że białoruskie ustawodawstwo zawiera normy pozwalające na karanie osób rozpowszechniających tajemnice korporacyjne, zdecydowana większość organizacji wykorzystujących DLP -systemy, wolą ograniczać się do postępowań wewnętrznych i sankcji dyscyplinarnych, w ostateczności zwalniając pracowników winnych szczególnie dużych rozmiarów. Tradycja „nie prać publicznie brudów” jest jednak charakterystyczna dla całej przestrzeni poradzieckiej, w przeciwieństwie do krajów zachodnich, gdzie wyciek danych jest zgłaszany wszystkim, którzy mogą na tym ucierpieć.

Wadim Stankiewicz

Powiązana zawartość:

  1. Tworzenie aplikacji mobilnej jako narzędzia dla biznesu
  2. Jak oswoić zwierzęta w Minecrafcie W co ubrać lamę w Minecrafcie
  3. MTS - zamknięta taryfa dla użytkowników Koszt i warunki przyłączenia
  4. Gangster Tunka: Alkheevowi i jego zespołowi grozi więzienie