Слайд 1 - НТКС Информационная безопасность
advertisement
ПРЕДОТВРАТИТЬ НЕЛЬЗЯ, ПОЙМАТЬ Технологии «классического» DLP МАКСИМ ЖАРНИКОВ PHONE +7 343 287 11 76 ЗАМ. ДИРЕКТОРА НТКС EMAIL ZHFF@NTKS-IT.RU НТКС Информационная безопасность ЧТО ТАКОЕ DLP? Extrusion Information Content Prevention Monitoring Protection System and and Filtering Control Data Infiltration, Employee Productivity Management Leak Protection Control, Software eDiscovery… Data Leak Detection Data Data Leakage LossPrevention Protection Information Prevention DLP-РЕШЕНИЯ: продукты, позволяющие в режиме реального времени обнаружить и блокировать несанкционированную передачу (утечку) конфиденциальной информации по какомулибо каналу коммуникации, используя информационную инфраструктуру предприятия НТКС Информационная безопасность КАК РАБОТАЮТ DLP-СИСТЕМЫ «Информационная» безопасность началась с появления DLP-систем. До этого все продукты «ИБ» защищали не информацию, а инфраструктуру — места хранения, передачи и обработки данных, «данные вообще». DLP-система научилась отличать конфиденциальную информацию от неконфиденциальной. НТКС Информационная безопасность ДВИЖЕНИЕ ИНФОРМАЦИИ В БИЗНЕС-ПРОЦЕССАХ НТКС Информационная безопасность КАК РАБОТАЮТ DLP-СИСТЕМЫ Ядро DLP – технологии категоризации информации. Остальные элементы архитектуры (перехватчики протоколов, парсеры форматов, управление инцидентами, системные агенты и хранилища данных) у большинства DLP-систем идентичны, стандартны. НТКС Информационная безопасность КАК РАБОТАЮТ DLP-СИСТЕМЫ ОСНОВНЫЕ ГРУППЫ ТЕХНОЛОГИЙ КАТЕГОРИЗАЦИИ 1 ЛИНГВИСТИЧЕСКИЙ АНАЛИЗ Морфологический Семантический 3 2 СТАТИСТИЧЕСКИЕ МЕТОДЫ Digital Fingerprints Document DNA Антиплагиат ДРУГИЕ ТЕХНОЛОГИИ Метки, атрибуты Анализаторы формальных структур НТКС Информационная безопасность ТЕХНОЛОГИИ КАТЕГОРИЗАЦИИ: ЛИНГВИСТИЧЕСКИЙ АНАЛИЗ ИСПОЛЬЗОВАНИЕ СТОП-СЛОВ КОНТЕКСТНЫЙ АНАЛИЗ (ОЦЕНКА, В СОЧЕТАНИИ С КАКИМИ ДРУГИМИ СЛОВАМИ ИСПОЛЬЗУЕТСЯ КОНКРЕТНЫЙ ТЕРМИН) СЕМАНТИЧЕСКИЙ АНАЛИЗ (СООТНОШЕНИЕ ОБЩЕГО КОЛИЧЕСТВА СЛОВ В ТЕКСТЕ И ЗНАЧИМЫХ СЛОВ, СОСТАВЛЯЮЩИХ СЕМАНТИЧЕСКОЕ ЯДРО) НТКС Информационная безопасность ДОСТОИНСТВА ЛИНГВИСТИЧЕСКИХ ТЕХНОЛОГИЙ РАБОТАЮТ НАПРЯМУЮ С СОДЕРЖИМЫМ невзирая на отсутствие формальных меток и грифов ОБУЧАЕМОСТЬ лингвистический движок умеет учиться на своих ошибках МАСШТАБИРУЕМОСТЬ скорость работы не зависит от числа категорий ПРОСТОТА НАСТРОЙКИ свежее преимущество, появившееся с «автолингвистами» КАТЕГОРИИ, НЕ СВЯЗАННЫЕ С БИЗНЕС-ДАННЫМИ противоправная деятельность, слухи, личные дела и т.п. НТКС Информационная безопасность НЕДОСТАТКИ ЛИНГВИСТИЧЕСКИХ ТЕХНОЛОГИЙ ЗАВИСИМОСТЬ ОТ ЯЗЫКА в разных языках очень заметные конструктивные отличия НЕ ВСЯ КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ НАХОДИТСЯ В ВИДЕ СВЯЗНЫХ ТЕКСТОВ и лингвистические технологии бесполезны для чисел, кода, изображений, медиа. ВЕРОЯТНОСТНЫЙ ПОДХОД есть возможность утечки или блокирования легитимного БП СЛОЖНОСТЬ РАЗРАБОТКИ ДВИЖКА НТКС Информационная безопасность ТЕХНОЛОГИИ КАТЕГОРИЗАЦИИ: СТАТИСТИЧЕСКИЕ МЕТОДЫ В ОСНОВЕ СТАТИСТИЧЕСКИХ МЕТОДОВ - ЗАДАЧА КОМПЬЮТЕРНОГО ПОИСКА ЗНАЧИМЫХ ЦИТАТ. ТЕКСТ (КОД СОДЕРЖИМОГО ФАЙЛА) ДЕЛИТСЯ НА КУСКИ ОПРЕДЕЛЕННОГО РАЗМЕРА, С КАЖДОГО ИЗ КОТОРЫХ СНИМАЕТСЯ ХЕШ. ЕСЛИ НЕКОТОРАЯ ПОСЛЕДОВАТЕЛЬНОСТЬ ХЕШЕЙ ВСТРЕЧАЕТСЯ В ДВУХ ТЕКСТАХ (ФАЙЛАХ) ОДНОВРЕМЕННО, ТО С БОЛЬШОЙ ВЕРОЯТНОСТЬЮ ТЕКСТЫ (ФАЙЛЫ) В ЭТИХ ОБЛАСТЯХ СОВПАДАЮТ. НТКС Информационная безопасность ДОСТОИНСТВА СТАТИСТИЧЕСКИХ МЕТОДОВ ОДИНАКОВО ХОРОШО РАБОТАЮТ С ТЕКСТАМИ на любых языках МОГУТ ПРИМЕНЯТЬСЯ ДЛЯ АНАЛИЗА ЛЮБЫХ ЦИФРОВЫХ ОБЪЕКТОВ Статистические методы являются эффективными средствами защиты от утечки аудио и видео, активно применяющиеся в музыкальных студиях и кинокомпаниях. ОПРЕДЕЛЯЮТ С ХОРОШЕЙ ТОЧНОСТЬЮ ОПРЕДЕЛИТЬ ЦИТАТУ Это сильно облегчает защиту нечасто изменяющихся и уже категоризированных файлов. НТКС Информационная безопасность НЕДОСТАТКИ СТАТИСТИЧЕСКИХ МЕТОДОВ ОТВЕТСТВЕННОСТЬ ЗА ОБУЧЕНИЕ СИСТЕМЫ ЛЕЖИТ НА ПОЛЬЗОВАТЕЛЕ из-за простоты обучения системы (указал системе файл, и он уже защищен) ФИЗИЧЕСКИЙ РАЗМЕР ОТПЕЧАТКА увеличение числа отпечатков-образцов увеличивает время анализа ВЕРОЯТНОСТНЫЙ ПОДХОД есть возможность утечки или блокирования легитимного БП ОТПЕЧАТОК ДИНАМИЧЕСКОГО ОБЪЕКТА Время снятия отпечатка напрямую зависит от размера файла и его формата. Если время снятия больше, чем время неизменности объекта, то задача решения не имеет. НТКС Информационная безопасность ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ Лингвистике не нужны образцы, она категоризирует данные на ходу и может защищать информацию, с которой не был или не может быть снят отпечаток. Отпечаток дает лучшую точность и поэтому предпочтительнее для использования в автоматическом режиме. Лингвистика отлично работает с текстами, отпечатки — с иными форматами хранения информации. НТКС Информационная безопасность ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ Большинство компаний-лидеров разработки DLP используют в своих продуктах обе технологии, при этом одна из них является основной, а другая — дополнительной. Каждый разработчик пришел к сочетанию методов, от какой-либо одной технологии. В идеале эти две технологии нужно использовать не параллельно, а последовательно и выборочно. Это сильно экономит вычислительные ресурсы. НТКС Информационная безопасность КАК РАБОТАЮТ DLP-СИСТЕМЫ: ШЛЮЗОВАЯ И ХОСТОВАЯ СХЕМА В ШЛЮЗОВЫХ DLP ИСПОЛЬЗУЕТСЯ ЕДИНЫЙ СЕРВЕР, НА КОТОРЫЙ НАПРАВЛЯЕТСЯ ВЕСЬ ИСХОДЯЩИЙ СЕТЕВОЙ ТРАФИК КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ. ЭТОТ ШЛЮЗ ЗАНИМАЕТСЯ ЕГО ОБРАБОТКОЙ В ЦЕЛЯХ ВЫЯВЛЕНИЯ ВОЗМОЖНЫХ УТЕЧЕК КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ. ХОСТОВОЕ DLP-РЕШЕНИЕ ОСНОВАНО НА ИСПОЛЬЗОВАНИИ СПЕЦИАЛЬНЫХ ПРОГРАММ: АГЕНТОВ, КОТОРЫЕ УСТАНАВЛИВАЮТСЯ НА КОНЕЧНЫХ УЗЛАХ СЕТИ – РАБОЧИХ СТАНЦИЯХ, СЕРВЕРАХ ПРИЛОЖЕНИЙ И ПР. НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ И ХОСТОВАЯ СХЕМА ШЛЮЗОВЫЕ DLP: «Дозор Джет», InfoWatch Traffic Monitor, Websense Data Security, McAfee Data Loss Prevention и FalconGaze SecureTower ХОСТОВЫЕ DLP: DeviceLock (SmartLine Inc), Zlock (Zecurion) Долгое время хостовые и шлюзовые DLP-системы развивались параллельно, не пересекаясь друг с другом. При этом шлюзовые применялись для контроля сетевого трафика, а хостовые – для мониторинга локальных устройств, использующихся для переноса информации. НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА ШЛЮЗ – это защита от утечек через протоколы сети интернет-сервисов. ПРЕИМУЩЕСТВА: Легкость ввода в эксплуатацию, обслуживания и управления. Высокая степень защищенности от несанкционированного вмешательства в ее работу со стороны пользователей НЕДОСТАТКИ: Ограниченная область применения, невозможно контролировать происходящее на конечных точках корпоративной сети с их помощью. Проблематичность контроля некоторых видов сетевого трафика. НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА ФУНКЦИОНАЛЬНАЯ СХЕМА ШЛЮЗОВОГО РЕШЕНИЯ, РАБОТАЮЩЕГО В РЕЖИМЕ БЛОКИРОВАНИЯ НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА ФУНКЦИОНАЛЬНАЯ СХЕМА ШЛЮЗОВОГО РЕШЕНИЯ, РАБОТАЮЩЕГО В РЕЖИМЕ МОНИТОРИНГА НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА Хостовые DLP-системы основаны на использовании специальных агентов, которые инсталлируются на конечных точках корпоративной сети. Они контролируют деятельность пользователей компьютеров, регистрируют все действия и передают их в централизованное хранилище, позволяя сотрудникам отдела информационной безопасности получить полную картину происходящего. Использование программ-агентов ограничивает сферу применения хостовых DLP-систем: они способны видеть лишь локальные или сетевые устройства, подключенные непосредственно к тем компьютерам, на которых они работают. НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА ФУНКЦИОНАЛЬНАЯ СХЕМА ХОСТОВОГО РЕШЕНИЯ НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА ПРЕИМУЩЕСТВА: Широкие возможности по контролю и блокированию действий пользователей, например, для противодействия случаям нецелевого использования компьютеров. НЕДОСТАТКИ: Сложный процесс внедрения в эксплуатацию и последующее администрирование. При изменении правил безопасности администратору необходимо обеспечить их распространение на все конечные станции сети. Меньшая защищенность от несанкционированного вмешательства в их работу со стороны пользователей. НТКС Информационная безопасность КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА Наблюдается стойкая тенденция к универсализации DLP-систем. Почти совсем не осталось решений, которые можно было бы назвать сугубо хостовыми или шлюзовыми. Zecurion: Zlock + Zgate, DeviceLock: + модуль сетевого контроля «Дозор Джет», InfoWatch, FаlconGaze: + программа-агент Причины универсализации: запрос на комплексную защиту, а также снятие технологические ограничений сугубо шлюзовых DLP-систем. НТКС Информационная безопасность
