Различия между отечественными и зарубежными подходами к построению DLP-систем
В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Различия между отечественными и зарубежными подходами к построению DLP-систем
Сегодня все больше компаний приходят к выводу, что использование DLP-систем является такой же необходимостью, как и использование традиционных средств ИБ: межсетевых экранов, систем обнаружения и предотвращения вторжений, антивирусов и др. В то время как традиционные средства ИБ направлены на защиту от внешних угроз, DLP-системы призваны защитить от внутренних угроз: утечки конфиденциальной информации за пределы корпоративного периметра.
Александр Зайцев
системный архитектор
департамента проектирования
сервисных услуг компании "Информзащита"
системный архитектор
департамента проектирования
сервисных услуг компании "Информзащита"
Выбираем DLP-систему
При выборе DLP-системы сначала необходимо знать, насколько хорошо данная система может детектировать конфиденциальную информацию и каков процент ложных срабатываний системы.
1. Лингвистический анализ первым начал применяться при построении DLP-систем. Поиск осуществляется по ключевым словам и регулярным выражениям. Суть его заключается в том, что создаются списки ключевых слов и регулярных выражений, на основании которых осуществляется обнаружение конфиденциальной информации в потоке данных. Недостатком данного метода является его трудоемкость: он требует существенных трудозатрат на создание и поддержание в актуальном состоянии словарей. А также высокая доля ложных срабатываний (может достигать порядка 50).
На российском рынке DLP-систем лидирующие позиции занимают как решения известных зарубежных производителей, например Websense, Symantec, McAfee, так и решения отечественных разработчиков - "Инфосистемы Джет". Infowach, Searchlnform (Белоруссия).
Целью данной статьи является описание методов, которые применяются в современных DLP-системах для поиска конфиденциальной информации, а также описание основных отличий в подходах к построению DLP-систем.
Целью данной статьи является описание методов, которые применяются в современных DLP-системах для поиска конфиденциальной информации, а также описание основных отличий в подходах к построению DLP-систем.
2. Анализ с помощью шаблонов является продолжением предыдущего метода. Он основан на использовании специальных шаблонов, с помощью которых можно выявлять конфиденциальную информацию. Например, шаблон паспортных данных, содержащий имя, фамилию, а также определенную последовательность цифр (серия и номер) или шаблон ИНН, пенсионного свидетельства, кредитной карты.
3. Поиск по файлам предполагает использование некоторыми DLP-системами атрибутов файла (имя, размер, тип файла) для поиска конфиденциальной информации. Сам по себе этот метод малоэффективен, но является хорошим дополнением к другим методам.
4. Поиск по цифровым отпечаткам основывается на математическом преобразовании исходных данных, в результате которого создается база цифровых отпечатков конфиденциальных данных. Дальнейший поиск конфиденциальной информации осуществляется за счет сравнения передаваемых данных с отпечатками в базе DLP-системы.
Современные DLP-системы как западных, так и отечественных производителей используют комплекс методов для более точного обнаружения конфиденциальной информации. Однако западные производители основной упор делают на технологию цифровых отпечатков. Данная технология у них хорошо отлажена, и нередко алгоритм вычисления цифровых отпечатков является запатентованной собственностью компании. Другие методы являются дополнением к методам цифровых отпечатков. Если рассматривать отечественные DLP-системы, то в них упор делается в основном на лингвистический анализ, метод цифровых отпечатков является дополнительной возможностью и не всегда работает корректно.
Поиск инцидентов в архиве данных
Исторически большинство российских DLP-систем развивалось, основываясь на поиске инцидентов в архиве данных. Система делает теневое копирование (или зеркалирование) всего потока информации с последующим ее анализом на предмет наличия утечек конфиденциальной информации. Иными словами, после того как уже произошел инцидент, система предоставляет администратору возможность контекстного поиска данных, касающихся данного инцидента: кто, когда и как передал конфиденциальную информацию за пределы контролируемого периметра.
Преимуществом такого подхода является полнота собранной информации - мы ничего не упускаем, в архиве трафика мы можем отыскать практически любые данные, касающиеся утечки конфиденциальной информации. Однако существенным недостатком является неспособность таких DLP-систем предотвращать утечки в реальном времени, поскольку анализ инцидентов происходит уже после того, как утечка произошла. Другим недостатком является необходимость хранения больших объемов данных. При копировании всего трафика объем архива может очень быстро вырасти до терабайтных размеров, а поиск нужной информации в таком объеме может занять от нескольких минут до нескольких часов или даже дней. Работа с такой системой "съедает" людской ресурс: администратор системы тратит часы рабочего времени на анализ инцидентов информационной безопасности.
Оптимизация затрат на хранение информации
Если говорить о подходах к построению DLP-систем у западных производителей, то они идут по пути оптимизации затрат на хранение информации. Большинство зарубежных производителей не делает копии всего трафика, вместо этого хранится информация только о тех событиях, которые система отнесла к инцидентам.
Анализ трафика осуществляется в режиме онлайн - система снимает "отпечатки" с передаваемого трафика, и если есть совпадение (в пределах заданного порога) с эталонными "отпечатками", это значит, что происходит нелегитимная передача данных за пределы защищаемого периметра. Система может среагировать в зависимости от заданных настроек: создать в базе инцидент и при необходимости заблокировать передачу данных, отправить уведомление администратору системы по e-mail или предупредить пользователя о том, что он пытается передать конфиденциальные данные.
Несомненным преимуществом таких систем является существенная экономия ресурсов и времени обработки инцидентов и, как следствие, повышение эффективности работы DLP-системы. К недостаткам таких систем можно отнести ограниченные возможности по контекстному поиску. DLP-системы в принципе позволяют настроить архивирование всего трафика, но возможности по сквозному, контекстному поиску у таких систем ограничены.
Создание комплексных систем защиты от утечек
Помимо различий в методах поиска конфиденциальной информации и подходах к построению, DLP-системы отличаются набором контролируемых каналов связи. Однако как у западных, так и у отечественных производителей наблюдается тенденция к созданию комплексных систем защиты от утечек. Современная DLP-система должна охватывать все возможные каналы: Web, электронная почта, системы обмена мгновенными сообщениями, а также съемные носители на ПК пользователей, сетевые и локальные принтеры. Важным свойством современных DLP-систем является возможность контролировать зашифрованные данные, передаваемые по протоколу https, что позволяет предотвращать утечки через такие приложения, как Skype или электронная почта Gmail.
Кроме того, стала совершено очевидной необходимость защищаться от утечек по каналу, связанному с мобильными устройствами. Многие производители уже работают в данном направлении.
В итоге хотелось бы еще раз подчеркнуть, что универсального ответа на вопрос, какие DLP-системы лучше, не существует. А выбор в пользу той или иной зависит исключительно от потребностей компании и от подхода внутренней службы ИБ компании к борьбе с данным видом мошенничества.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2012
