کانال های نشت که منجر به حذف اطلاعات خارج از سیستم اطلاعاتی شرکت می شود می تواند نشت شبکه (به عنوان مثال ایمیل یا ICQ)، محلی (استفاده درایوهای USB خارجی، داده های ذخیره شده (پایگاه های داده). به طور جداگانه، می توانیم از دست دادن رسانه (فلش مموری، لپ تاپ) را برجسته کنیم. یک سیستم را می توان به عنوان یک کلاس DLP طبقه بندی کرد که دارای معیارهای زیر باشد: چند کانالی (نظارت چندین کانال احتمالی نشت داده). مدیریت یکپارچه (ابزار مدیریت یکپارچه در تمام کانال های نظارت)؛ حفاظت فعال (انطباق با سیاست امنیتی)؛ با در نظر گرفتن محتوا و زمینه

مزیت رقابتی بیشتر سیستم ها، ماژول آنالیز است. تولیدکنندگان آنقدر بر این ماژول تاکید می کنند که اغلب محصولات خود را با آن نام می برند، به عنوان مثال، "راه حل DLP مبتنی بر برچسب". بنابراین، کاربر اغلب راه حل هایی را انتخاب می کند که بر اساس عملکرد، مقیاس پذیری یا سایر ویژگی های سنتی برای بازار شرکت نیستند. امنیت اطلاعاتمعیارها، یعنی بر اساس نوع تحلیل سند مورد استفاده.

بدیهی است که از آنجایی که هر روش دارای مزایا و معایب خاص خود است، استفاده از تنها یک روش تحلیل اسناد، راه حل را از نظر فناوری به آن وابسته می کند. اکثر تولید کنندگان از چندین روش استفاده می کنند، اگرچه یکی از آنها معمولا "گل سرسبد" است. این مقاله تلاشی است برای طبقه بندی روش های مورد استفاده در تحلیل اسناد. ارزیابی نقاط قوت و ضعف آنها بر اساس تجربه استفاده عملی از چندین نوع محصول ارائه شده است. این مقاله اساساً محصولات خاصی را مورد بحث قرار نمی دهد، زیرا وظیفه اصلی کاربر هنگام انتخاب آنها این است که شعارهای بازاریابی مانند "ما از همه چیز محافظت می کنیم" ، "فناوری منحصر به فرد ثبت اختراع" را فیلتر کند و بفهمد هنگام خروج فروشندگان چه چیزی برای او باقی می ماند.

تجزیه و تحلیل ظروف

این روش خصوصیات یک فایل یا محفظه دیگری (آرشیو، دیسک رمزنگاری و غیره) را که اطلاعات در آن قرار دارد، تجزیه و تحلیل می کند. نام محاوره ای چنین روش هایی "راه حل هایی روی علائم" است که کاملاً ماهیت آنها را منعکس می کند. هر ظرف حاوی یک برچسب است که به طور منحصر به فرد نوع محتوای موجود در ظرف را مشخص می کند. روش های ذکر شده عملاً به هیچ منبع محاسباتی برای تجزیه و تحلیل اطلاعات در حال جابجایی نیاز ندارند، زیرا برچسب به طور کامل حقوق کاربر را برای انتقال محتوا در هر مسیری توضیح می دهد. به شکل ساده شده، چنین الگوریتمی به نظر می رسد: "یک برچسب وجود دارد - ما آن را ممنوع می کنیم، هیچ برچسبی وجود ندارد - ما آن را پاس می کنیم."

مزایای این رویکرد آشکار است: سرعت تجزیه و تحلیل و عدم وجود کامل خطاهای نوع دوم (زمانی که سند بازسیستم به اشتباه آن را محرمانه تشخیص می دهد). در برخی منابع به این روش‌ها «جبرانه» گفته می‌شود.

معایب نیز واضح است - سیستم فقط به اطلاعات علامت گذاری شده اهمیت می دهد: اگر علامت تنظیم نشده باشد، محتوا محافظت نمی شود. لازم است رویه ای برای قرار دادن علائم روی اسناد جدید و ورودی و همچنین سیستمی برای مقابله با انتقال اطلاعات از یک ظرف علامت گذاری شده به یک ظرف علامت گذاری نشده از طریق عملیات بافر، عملیات فایل، کپی کردن اطلاعات از پرونده های موقت و غیره ایجاد شود.

ضعف چنین سیستم هایی در سازماندهی قرار دادن برچسب نیز آشکار می شود. اگر آنها توسط نویسنده سند قرار داده شده باشند، به دلیل نیت مخرب او این فرصت را دارد که اطلاعاتی را که قصد سرقت دارد علامت گذاری نکند. در صورت عدم وجود سوء نیت، سهل انگاری یا سهل انگاری دیر یا زود ظاهر می شود. اگر از شما خواسته شود که یک کارمند خاص را برچسب گذاری کنید، به عنوان مثال یک افسر امنیت اطلاعات یا یک مدیر سیستم، در این صورت او همیشه نمی تواند محتوای محرمانه را از محتوای باز تشخیص دهد، زیرا به طور کامل از همه فرآیندهای شرکت اطلاع ندارد. بنابراین، موجودی "سفید" باید در وب سایت شرکت ارسال شود و تراز "خاکستری" یا "سیاه" نمی تواند خارج از سیستم اطلاعاتی گرفته شود. اما فقط حسابدار ارشد می تواند یکی را از دیگری تشخیص دهد، یعنی. یکی از نویسندگان

برچسب ها معمولا به ویژگی، قالب و خارجی تقسیم می شوند. همانطور که از نام پیداست، اولی در ویژگی های فایل، دومی - در فیلدهای خود فایل، و سومی - توسط برنامه های خارجی به فایل (مرتبط با آن) متصل می شود.

ساختارهای کانتینری در امنیت اطلاعات

گاهی اوقات مزایای راه حل های مبتنی بر برچسب نیز الزامات عملکرد پایین برای رهگیرها در نظر گرفته می شود، زیرا آنها فقط برچسب ها را بررسی می کنند. در مترو مانند چرخ گردان عمل کنید: "اگر بلیط دارید، از آنجا عبور کنید." با این حال، ما نباید فراموش کنیم که معجزه اتفاق نمی افتد - بار محاسباتی در این مورد به ایستگاه های کاری منتقل می شود.

محل راه حل ها بر روی برچسب ها، هر چه که باشد، حفاظت از ذخیره سازی اسناد است. هنگامی که یک شرکت دارای ذخیره سازی اسناد است که از یک طرف به ندرت تکمیل می شود و از طرف دیگر طبقه بندی و سطح محرمانه بودن هر سند به طور دقیق مشخص است، ساده ترین راه برای سازماندهی حفاظت از آن استفاده از آن است. برچسب ها می توانید با استفاده از یک روش سازمانی، قرار دادن برچسب ها را بر روی اسناد ورودی به مخزن سازماندهی کنید. به عنوان مثال، قبل از ارسال یک سند به یک مخزن، کارمند مسئول عملیات آن ممکن است با نویسنده و متخصص با این سوال تماس بگیرد که چه سطحی از محرمانه بودن برای سند تعیین شود. این مشکل به ویژه با کمک علائم فرمت، به عنوان مثال، با موفقیت حل می شود. هر سند دریافتی در قالبی امن ذخیره می‌شود و پس از درخواست کارمند صادر می‌شود و نشان می‌دهد که برای خواندن تأیید شده است. راه حل های مدرن به شما امکان می دهند برای مدت محدودی حقوق دسترسی را اختصاص دهید و پس از انقضای کلید، خواندن سند به سادگی متوقف می شود. طبق این طرح است که، به عنوان مثال، صدور اسناد برای مسابقات تدارکات عمومی در ایالات متحده سازماندهی می شود: سیستم مدیریت تدارکات سندی را تولید می کند که می تواند بدون توانایی تغییر یا کپی محتوا، فقط توسط آن خوانده شود. شرکت کنندگان مسابقه ذکر شده در این سند. کلید دسترسی فقط تا پایان مهلت ارسال مدارک به مسابقه معتبر است و پس از آن دیگر مدرک قابل خواندن نیست.

همچنین، شرکت‌ها با کمک راه‌حل‌های مبتنی بر برچسب، جریان اسناد را در بخش‌های بسته شبکه که در آن مالکیت معنوی و اسرار دولتی در گردش است، سازماندهی می‌کنند. احتمالاً اکنون مطابق با الزامات قانون فدرال "در مورد داده های شخصی" ، جریان اسناد در بخش های منابع انسانی شرکت های بزرگ نیز سازماندهی می شود.

تحلیل محتوا

هنگام پیاده سازی فناوری های توضیح داده شده در این بخش، برخلاف مواردی که قبلا توضیح داده شد، برعکس، کاملاً بی تفاوت است که محتوا در کدام ظرف ذخیره می شود. هدف این فناوری‌ها استخراج محتوای معنادار از یک ظرف یا رهگیری انتقال از طریق کانال ارتباطی و تجزیه و تحلیل اطلاعات برای حضور محتوای ممنوع است.

فناوری‌های اصلی در شناسایی محتوای ممنوعه در کانتینرها، نظارت بر امضا، نظارت مبتنی بر عملکرد هش و روش‌های زبانی است.

امضاها

ساده ترین روش کنترل، جستجوی جریان داده برای دنباله خاصی از کاراکترها است. گاهی اوقات یک توالی ممنوعه از کاراکترها "کلمه توقف" نامیده می شود، اما به طور کلی، می توان آن را نه با یک کلمه، بلکه با مجموعه ای دلخواه از کاراکترها، به عنوان مثال، همان برچسب نشان داد. به طور کلی این روش و نه همه پیاده سازی های آن را می توان به عنوان تحلیل محتوا طبقه بندی کرد. برای مثال، در اکثر دستگاه‌های کلاس UTM، جستجوی امضاهای ممنوعه در جریان داده بدون استخراج متن از ظرف، هنگام تجزیه و تحلیل جریان «همان‌طور که هست» انجام می‌شود. یا اگر سیستم فقط برای یک کلمه پیکربندی شده باشد، نتیجه کار آن تعیین یک تطابق 100٪ است، یعنی. روش را می توان به عنوان قطعی طبقه بندی کرد.

با این حال، اغلب جستجو برای دنباله خاصی از کاراکترها هنوز در هنگام تجزیه و تحلیل متن استفاده می شود. در اکثر موارد، سیستم‌های امضا به گونه‌ای پیکربندی می‌شوند که چندین کلمه و تعداد دفعات وقوع اصطلاحات را جستجو کنند. ما همچنان این سیستم را به عنوان یک سیستم تحلیل محتوا طبقه بندی می کنیم.

از مزایای این روش می‌توان به استقلال از زبان و سهولت پر کردن فرهنگ لغت‌های ممنوعه اشاره کرد: اگر می‌خواهید از این روش برای جستجوی جریان داده برای کلمه پشتو استفاده کنید، نیازی به صحبت به این زبان ندارید، فقط باید می دانم چگونه آن را هجی کنم همچنین اضافه کردن متن روسی یا زبان "آلبانیایی" آسان است، که برای مثال هنگام تجزیه و تحلیل متون اس ام اس، پیام های ICQ یا پست های وبلاگ مهم است.

هنگام استفاده از زبان غیر انگلیسی، معایب آشکار می شود. متأسفانه اکثر سازندگان سیستم های تحلیل متن برای بازار آمریکا کار می کنند و زبان انگلیسیبسیار "امضا" - اشکال کلمات اغلب با استفاده از حروف اضافه بدون تغییر خود کلمه تشکیل می شوند. در زبان روسی همه چیز بسیار پیچیده تر است. به عنوان مثال، کلمه "راز" را در نظر بگیرید که در قلب یک افسر امنیت اطلاعات بسیار مهم است. در زبان انگلیسی، هم به معنای اسم «راز»، هم صفت «راز» و هم فعل «راز» است. در روسی، چندین ده کلمه مختلف را می توان از ریشه "راز" تشکیل داد. آن ها اگر در یک سازمان انگلیسی زبان، یک افسر امنیت اطلاعات فقط باید یک کلمه را وارد کند، در یک سازمان روسی زبان باید چند ده کلمه را وارد کند و سپس آنها را در شش کدگذاری مختلف تغییر دهد.

علاوه بر این، چنین روش هایی برای کدگذاری اولیه قوی نیستند. تقریباً همه آنها به تکنیک مورد علاقه اسپمرهای تازه کار تسلیم می شوند - نمادها را با نمادهای مشابه جایگزین می کنند. نویسنده بارها یک تکنیک اساسی را به افسران امنیتی نشان داده است - عبور متن محرمانه از فیلترهای امضا. متنی گرفته می شود که شامل عبارت "فوق محرمانه" است و یک رهگیر ایمیل برای این عبارت پیکربندی شده است. اگر متن را در MS Word باز کنید، یک عملیات دو ثانیه ای انجام دهید: Ctrl+F، "O" (طرح بندی روسی) را پیدا کنید، "o" را جایگزین کنید ( چیدمان انگلیسی)"، "جایگزین کردن همه"، "ارسال سند" - سند را کاملاً برای این فیلتر نامرئی می کند. بسیار ناامید کننده است که چنین جایگزینی در حال انجام است به معنی منظم MS Word یا هر چیز دیگری ویرایشگر متن، یعنی آنها در دسترس کاربر هستند حتی اگر او حقوق مدیر محلی و توانایی اجرای برنامه های رمزگذاری را نداشته باشد.

اغلب، کنترل جریان مبتنی بر امضا در عملکرد دستگاه های UTM گنجانده شده است، به عنوان مثال. راه حل هایی که ترافیک را از ویروس ها، هرزنامه ها، نفوذها و هر تهدید دیگری که با استفاده از امضا شناسایی می شود پاک می کند. از آنجایی که این ویژگی "رایگان" است، کاربران اغلب فکر می کنند که این کافی است. چنین راه حل هایی واقعاً در برابر نشت های تصادفی محافظت می کند. در مواردی که متن ارسالی توسط فرستنده به منظور دور زدن فیلتر اصلاح نمی شود، اما در برابر کاربران مخرب ناتوان هستند.

ماسک ها

گسترش قابلیت جستجو برای امضاهای کلمه توقف، جستجوی ماسک آنها است. این جستجو برای محتوایی است که نمی توان آن را به طور دقیق در پایگاه داده stop word مشخص کرد، اما عنصر یا ساختار آن را می توان مشخص کرد. چنین اطلاعاتی باید شامل هر کدی باشد که یک شخص یا شرکت را مشخص می کند: TIN، شماره حساب، اسناد و غیره. جستجوی آنها با استفاده از امضا غیرممکن است.

غیر منطقی است که یک شماره کارت بانکی خاص را به عنوان یک شی جستجو تعیین کنید، اما می خواهید هر شماره ای را پیدا کنید کارت اعتباریمهم نیست چگونه نوشته شود - با فاصله یا با هم. این فقط یک خواسته نیست، بلکه یک الزام استاندارد PCI DSS است: اعداد رمزگذاری نشده کارت های پلاستیکیارسال توسط ممنوع است پست الکترونیک، یعنی مسئولیت یافتن چنین شماره هایی در ایمیل و بازنشانی پیام های ممنوعه به عهده کاربر است.

به عنوان مثال، در اینجا ماسکی وجود دارد که یک کلمه توقف مانند نام یک دستور محرمانه یا مخفی را مشخص می کند که شماره آن با صفر شروع می شود. ماسک نه تنها یک عدد دلخواه، بلکه هر مورد و حتی جایگزینی حروف روسی با حروف لاتین را نیز در نظر می گیرد. ماسک با نماد استاندارد "REGEXP" نوشته شده است، اگرچه سیستم های مختلف DLP ممکن است نمادهای خاص خود را داشته باشند. در مورد شماره تلفن وضعیت بدتر است. این اطلاعات به عنوان داده‌های شخصی طبقه‌بندی می‌شوند و می‌توان آن‌ها را به ده‌ها روش نوشت - با استفاده از ترکیب‌های مختلف فاصله، انواع مختلف پرانتز، مثبت و منفی و غیره. در اینجا، شاید، یک ماسک کافی نیست. به عنوان مثال، در سیستم های ضد هرزنامه، که در آن مشکل مشابهی باید حل شود، چندین ده ماسک به طور همزمان برای شناسایی یک شماره تلفن استفاده می شود.

بسیاری از کدهای موجود در فعالیت‌های شرکت‌ها و کارکنان آن‌ها توسط قوانین بسیاری محافظت می‌شوند و نشان دهنده اسرار تجاری، اسرار بانکی، داده‌های شخصی و سایر اطلاعات حفاظت شده توسط قانون هستند، بنابراین مشکل شناسایی آنها در ترافیک پیش‌نیاز هر راه‌حلی است.

توابع هش

انواع مختلفی از توابع هش نمونه‌های اسناد محرمانه زمانی برای بازار حفاظت از نشت جدید در نظر گرفته می‌شدند، اگرچه خود این فناوری از دهه 1970 وجود داشته است. در غرب، گاهی اوقات به این روش "اثر انگشت دیجیتال" می گویند. "اثر انگشت دیجیتال" یا "شیندل" در زبان عامیانه علمی.

اگرچه ماهیت همه روش ها یکسان است الگوریتم های خاصممکن است برای هر سازنده به طور قابل توجهی متفاوت باشد. برخی از الگوریتم‌ها حتی به ثبت رسیده‌اند که منحصر به فرد بودن پیاده‌سازی را تأیید می‌کند. سناریوی کلی به شرح زیر است: یک پایگاه داده از نمونه اسناد محرمانه جمع آوری می شود. از هر یک از آنها یک "چاپ" گرفته می شود، یعنی. محتوای قابل توجهی از سند استخراج می شود که به برخی از فرم های متنی معمولی (اما نه لزوما) کاهش می یابد، سپس هش های تمام محتوا و بخش های آن گرفته می شود، به عنوان مثال پاراگراف ها، جملات، پنج کلمه و غیره، جزئیات. بستگی به اجرای خاص دارد. این اثر انگشت در یک پایگاه داده خاص ذخیره می شود.

سند رهگیری شده به طور مشابه از اطلاعات سرویس پاک می شود و به آن تبدیل می شود ظاهر عادی، سپس با استفاده از همان الگوریتم اثر انگشت-شیندل از آن گرفته می شود. اثر انگشت به دست آمده در پایگاه داده اثر انگشت اسناد محرمانه جستجو می شود و در صورت یافتن، سند محرمانه تلقی می شود. از آنجایی که این روش برای یافتن نقل قول های مستقیم از یک سند نمونه استفاده می شود، این فناوری گاهی اوقات "ضد سرقت ادبی" نامیده می شود.

بیشتر مزایای این روش معایب آن نیز می باشد. اول از همه، این یک الزام برای استفاده از اسناد نمونه است. از یک طرف، کاربر لازم نیست نگران کلمات امن، اصطلاحات مهم و سایر اطلاعاتی باشد که کاملاً برای افسران امنیتی غیر اختصاصی است. از سوی دیگر، "بدون نمونه، بدون امنیت"، که همان مشکلاتی را برای اسناد جدید و دریافتی ایجاد می کند که با فناوری های مبتنی بر برچسب. مزیت بسیار مهم این فناوری تمرکز آن بر کار با توالی دلخواه از شخصیت ها است. از این، اول از همه، استقلال از زبان متن - خواه هیروگلیف یا پشتو - نتیجه می گیرد. علاوه بر این، یکی از پیامدهای اصلی این ویژگی، توانایی گرفتن اثر انگشت از اطلاعات غیر متنی - پایگاه داده ها، نقشه ها، فایل های رسانه ای است. این فناوری‌ها هستند که استودیوهای هالیوود و استودیوهای ضبط جهانی برای محافظت از محتوای رسانه‌ای در حافظه دیجیتال خود استفاده می‌کنند.

متأسفانه، توابع هش سطح پایین نسبت به رمزگذاری اولیه که در مثال امضا مورد بحث قرار گرفت، قوی نیستند. آنها به راحتی با تغییر ترتیب کلمات، تنظیم مجدد پاراگراف ها و دیگر ترفندهای "سرقت" کنار می آیند، اما به عنوان مثال، تغییر حروف در سراسر سند الگوی هش را از بین می برد و چنین سندی برای استراق سمع نامرئی می شود.

تنها استفاده از این روش کار با فرم ها را دشوارتر می کند. بنابراین، فرم درخواست وام خالی یک سند قابل توزیع آزاد است، در حالی که فرم تکمیل شده محرمانه است زیرا حاوی اطلاعات شخصی است. اگر به سادگی از یک فرم خالی اثر انگشت بگیرید، سند تکمیل شده رهگیری شده حاوی تمام اطلاعات فرم خالی خواهد بود، یعنی. چاپ ها تا حد زیادی مطابقت دارند. بنابراین، سیستم یا اطلاعات حساس را درز می کند یا از توزیع آزادانه فرم های خالی جلوگیری می کند.

علیرغم معایب ذکر شده، این روش به ویژه در مشاغلی که توانایی خرید کارمندان واجد شرایط را ندارند، اما بر اساس اصل «کلیه اطلاعات محرمانه را در این پوشه قرار دهید و خوب بخوابید» عمل می‌کند، گسترده است. از این نظر، نیاز به اسناد خاص برای محافظت از آنها تا حدودی شبیه به راه حل های مبتنی بر علائم است، تنها به طور جداگانه از نمونه ها ذخیره می شود و زمانی که فرمت فایل تغییر می کند، بخشی از فایل کپی می شود و غیره حفظ می شود. با این حال، کسب و کارهای بزرگ که صدها هزار سند در گردش دارند، اغلب به سادگی قادر به ارائه نمونه هایی از اسناد محرمانه نیستند، زیرا فرآیندهای تجاری شرکت به این نیاز ندارد. تنها چیزی که هر شرکتی دارد (یا، صادقانه تر، باید داشته باشد) "فهرست اطلاعاتی است که یک اسرار تجاری را تشکیل می دهد." ساختن نمونه از آن یک کار غیر ضروری است.

سهولت افزودن نمونه‌ها به پایگاه داده محتوای کنترل‌شده اغلب شوخی بی‌رحمانه‌ای را برای کاربران به نمایش می‌گذارد. این منجر به رشد تدریجیپایگاه داده اثر انگشت، که به طور قابل توجهی بر عملکرد سیستم تأثیر می گذارد: هر چه تعداد نمونه ها بیشتر باشد، مقایسه هر پیام رهگیری شده بیشتر است. از آنجایی که هر چاپ از 5 تا 20 درصد نسخه اصلی را می گیرد، پایگاه داده چاپ ها به تدریج رشد می کند. هنگامی که پایه شروع به فراتر رفتن از حجم صدا می کند، کاربران افت شدید عملکرد را گزارش می دهند حافظه دسترسی تصادفیسرور فیلتر معمولاً مشکل با ممیزی منظم نمونه های اسناد و حذف نمونه های قدیمی یا تکراری حل می شود. با صرفه جویی در پیاده سازی، کاربران در عملیات ضرر می کنند.

روش های زبانی

رایج ترین روش تحلیل امروزی، تحلیل متن زبانی است. آنقدر محبوب است که اغلب در عامیانه به آن «فیلتر محتوا» می گویند. دارای ویژگی های کل کلاس روش های تحلیل محتوا است. از نقطه نظر طبقه بندی، هر دو تجزیه و تحلیل هش، تجزیه و تحلیل امضا، و تجزیه و تحلیل ماسک "فیلتر محتوا" هستند، یعنی. فیلترینگ ترافیک بر اساس تحلیل محتوا

همانطور که از نام آن پیداست، این روش فقط با متون کار می کند. شما از آن برای محافظت از پایگاه داده ای که فقط از اعداد و تاریخ تشکیل شده است استفاده نخواهید کرد، چه رسد به نقاشی ها، نقاشی ها و مجموعه ای از آهنگ های مورد علاقه خود. اما با متون این روش معجزه می کند.

زبان شناسی به عنوان یک علم از رشته های بسیاری - از ریخت شناسی گرفته تا معناشناسی تشکیل شده است. بنابراین، روش های تحلیل زبانی نیز با یکدیگر تفاوت دارند. روش‌هایی وجود دارند که فقط از کلمات توقف استفاده می‌کنند که فقط در سطح ریشه وارد شده‌اند و خود سیستم قبلاً یک فرهنگ لغت کامل را جمع‌آوری می‌کند. بر اساس ترتیب وزن اصطلاحات موجود در متن وجود دارد. روش‌های زبانی نیز بر اساس آمار، آثار خاص خود را دارند. به عنوان مثال، یک سند گرفته می شود، پنجاه کلمه پرکاربرد شمارش می شود، سپس 10 مورد از پرکاربردترین آنها در هر پاراگراف انتخاب می شود. چنین "فرهنگ لغت" یک ویژگی تقریبا منحصر به فرد متن را نشان می دهد و به فرد امکان می دهد نقل قول های معنی دار را در "کلون ها" بیابد.

تجزیه و تحلیل همه پیچیدگی های تحلیل زبانی از حوصله این مقاله خارج است، بنابراین ما به مزایا و معایب آن می پردازیم.

مزیت روش عدم حساسیت کامل آن به تعداد اسناد است، یعنی. مقیاس پذیری برای امنیت اطلاعات شرکتی نادر است. پایگاه فیلتر محتوا (مجموعه ای از کلاس ها و قوانین کلید واژه ها) بسته به ظاهر اسناد یا فرآیندهای جدید در شرکت، اندازه آن تغییر نمی کند.

علاوه بر این، کاربران توجه دارند که این روش شبیه به "stop words" است که در صورت تاخیر در سند، بلافاصله مشخص می شود که چرا این اتفاق افتاده است. اگر یک سیستم مبتنی بر اثر انگشت گزارش دهد که سندی مشابه سند دیگری است، افسر امنیتی باید خود این دو سند را با هم مقایسه کند و با تجزیه و تحلیل زبانی محتوای علامت‌گذاری شده را دریافت می‌کند. سیستم های زبانی، همراه با فیلتر امضا، بسیار رایج هستند زیرا به شما اجازه می دهند بلافاصله پس از نصب بدون تغییر در شرکت شروع به کار کنید. نیازی به مرتب کردن برچسب ها و گرفتن اثر انگشت، موجودی اسناد و انجام کارهای دیگری که مخصوص یک افسر امنیتی نیست، وجود ندارد.

معایب به همان اندازه آشکار است و اولین آن وابستگی به زبان است. در هر کشوری که زبان آن توسط سازنده پشتیبانی می‌شود، این یک نقطه ضعف نیست، اما از نظر شرکت‌های جهانی که علاوه بر یک زبان ارتباطی واحد (مثلاً انگلیسی)، اسناد زیادی به زبان محلی نیز دارند. زبان در هر کشور، این یک نقطه ضعف آشکار است.

یکی دیگر از معایب درصد بالای خطاهای نوع دوم است که کاهش آن مستلزم داشتن مدرک در زمینه زبان شناسی است. تنظیم دقیقپایه های فیلتر). پایگاه های داده استاندارد صنعت معمولاً 80-85٪ دقت فیلتر را ارائه می دهند. این بدان معناست که هر حرف پنجم یا ششم به اشتباه رهگیری شده است. تنظیم پایه با دقت قابل قبول 95-97٪ معمولاً نیاز به مداخله یک زبانشناس آموزش دیده خاص دارد. و اگرچه برای یادگیری نحوه تنظیم پایه فیلترینگ کافی است دو روز وقت آزاد داشته باشید و در سطح یک فارغ التحصیل دبیرستان به زبان صحبت کنید، اما کسی جز یک افسر امنیتی برای انجام این کار وجود ندارد و او معمولاً چنین کاری را غیر هسته ای می داند. درگیر کردن یک فرد از بیرون همیشه خطرناک است - از این گذشته، او باید با اطلاعات محرمانه کار کند. راه برون رفت از این وضعیت معمولاً خرید یک ماژول اضافی است - یک "خودزبان شناس" خودآموز، که با موارد مثبت کاذب "تغذیه" می شود و به طور خودکار پایه استاندارد صنعت را تطبیق می دهد.

روش‌های زبانی زمانی انتخاب می‌شوند که بخواهند تداخل در تجارت را به حداقل برسانند، زمانی که سرویس امنیت اطلاعات منابع اداری برای تغییر فرآیندهای موجود برای ایجاد و ذخیره اسناد را ندارد. آنها همیشه و همه جا کار می کنند، هرچند با معایب ذکر شده.

کانال های محبوب برای نشت تصادفی: رسانه های تلفن همراه

تحلیلگران InfoWatch بر این باورند که محبوب ترین کانال برای نشت تصادفی رسانه های ذخیره سازی تلفن همراه (لپ تاپ، درایوهای فلش، دستگاه های ارتباطی تلفن همراه و غیره) باقی می ماند، زیرا کاربران چنین دستگاه هایی اغلب از ابزارهای رمزگذاری داده ها غفلت می کنند.

یکی دیگر از دلایل رایج نشت های تصادفی، رسانه های کاغذی است: کنترل آن از رسانه های الکترونیکی دشوارتر است، زیرا، برای مثال، پس از بیرون آمدن ورق از چاپگر، فقط می توان آن را "به صورت دستی" نظارت کرد: کنترل روی رسانه کاغذی ضعیف تر از آن است. کنترل اطلاعات کامپیوتری بسیاری از ابزارهای حفاظت از نشت (نمی‌توانید آنها را سیستم‌های DLP تمام عیار بنامید) کانال خروجی اطلاعات به چاپگر را کنترل نمی‌کنند - اینگونه است که داده‌های محرمانه به راحتی سازمان را ترک می‌کنند.

این مشکل را می توان با سیستم های DLP چند منظوره که مانع از ارسال اطلاعات غیرمجاز برای چاپ و بررسی انطباق می شود، حل کرد. آدرس پستیو مخاطب

علاوه بر این، ارائه حفاظت در برابر نشت با افزایش محبوبیت بسیار دشوارتر شده است دستگاه های تلفن همراه، زیرا هنوز هیچ مشتری DLP مربوطه وجود ندارد. علاوه بر این، تشخیص نشتی زمانی که از رمزنگاری یا استگانوگرافی استفاده می شود بسیار دشوار است. یک خودی، برای دور زدن نوعی فیلتر، همیشه می‌تواند برای «بهترین شیوه‌ها» به اینترنت مراجعه کند. یعنی ابزارهای DLP در برابر نشت های عمدی سازماندهی شده بسیار ضعیف محافظت می کنند.

کارایی ابزارهای DLP می تواند به دلیل نقص های آشکار آنها مختل شود: راه حل های مدرن حفاظت از نشت اجازه نظارت و مسدود کردن همه کانال های اطلاعاتی موجود را نمی دهند. سیستم های DLP نامه های شرکتی، استفاده از منابع وب، تبادل فوریپیام ها، کار با رسانه های خارجی، چاپ اسناد و محتوا دیسکهای سخت. اما اسکایپ برای سیستم های DLP غیر قابل کنترل است. تنها Trend Micro موفق شد اعلام کند که می تواند عملکرد این برنامه ارتباطی را کنترل کند. توسعه دهندگان باقی مانده قول می دهند که عملکرد مربوطه در نسخه بعدی نرم افزار امنیتی آنها ارائه خواهد شد.

اما اگر اسکایپ قول می دهد که پروتکل های خود را برای توسعه دهندگان DLP باز کند، راه حل های دیگری مانند Microsoft Collaboration Tools برای سازمان ها وجود دارد. همکاری، برای برنامه نویسان شخص ثالث بسته باقی می ماند. چگونه انتقال اطلاعات از طریق این کانال را کنترل کنیم؟ در همین حال در دنیای مدرناین روش زمانی در حال توسعه است که متخصصان از راه دور در تیم‌هایی متحد می‌شوند تا روی یک پروژه مشترک کار کنند و پس از تکمیل آن منحل شوند.

منابع اصلی نشت اطلاعات محرمانهدر نیمه اول سال 2010، هنوز سازمان های تجاری (73.8٪) و دولتی (16٪) وجود داشتند. حدود 8 درصد از نشت ها از آن ناشی می شود موسسات آموزشی. ماهیت اطلاعات محرمانه لو رفته، داده های شخصی است (تقریباً 90٪ از کل اطلاعات درز می کند).

رهبران نشت در جهان به طور سنتی ایالات متحده و بریتانیای کبیر هستند (کانادا، روسیه و آلمان نیز در پنج کشور اول از نظر بیشترین تعداد نشت اطلاعات با ارقام بسیار پایین تر قرار دارند) که به دلیل خاص بودن این قانون است. از این کشورها، که نیاز به گزارش همه حوادث نشت داده های محرمانه دارد. تحلیلگران Infowatch پیش‌بینی می‌کنند که در سال آینده سهم نشت‌های تصادفی کاهش یابد و سهم نشت‌های عمدی افزایش یابد.

مشکلات اجرایی

علاوه بر مشکلات آشکار، اجرای DLP به دلیل دشواری انتخاب راه حل مناسب نیز با مشکل مواجه می شود، زیرا ارائه دهندگان مختلف سیستم DLP رویکردهای خاص خود را برای سازماندهی امنیت دارند. برخی الگوریتم های ثبت شده برای تجزیه و تحلیل محتوا با استفاده از کلمات کلیدی دارند، در حالی که برخی دیگر روش انگشت نگاری دیجیتالی را ارائه می دهند. چگونه در این شرایط محصول بهینه را انتخاب کنیم؟ چه چیزی موثرتر است؟ پاسخ به این سؤالات بسیار دشوار است، زیرا امروزه پیاده سازی های بسیار کمی از سیستم های DLP وجود دارد، و حتی شیوه های واقعی کمتری برای استفاده از آنها وجود دارد (که می توان به آنها تکیه کرد). اما پروژه‌هایی که با این وجود اجرا می‌شد نشان می‌داد که بیش از نیمی از حجم کار و بودجه در آن‌ها مشاوره‌ای بوده و این امر معمولاً باعث ایجاد شک و تردیدهای زیادی در بین مدیران می‌شد. علاوه بر این، به عنوان یک قاعده، فرآیندهای تجاری موجود یک شرکت باید برای برآورده کردن الزامات DLP بازسازی شوند و شرکت ها این کار را به سختی انجام می دهند.

چگونه اجرای DLP به شما در برآوردن الزامات قانونی فعلی کمک می کند؟ در غرب، اجرای سیستم های DLP با انگیزه قوانین، استانداردها، الزامات صنعت و سایر مقررات انجام می شود. به گفته کارشناسان، الزامات قانونی واضح موجود در خارج از کشور، دستورالعمل هابرای اطمینان از اینکه الزامات، محرک واقعی بازار DLP هستند، زیرا اجرای راه حل های ویژه ادعاهای تنظیم کننده ها را حذف می کند. وضعیت ما در این زمینه کاملا متفاوت است و معرفی سیستم های DLP کمکی به رعایت قانون نمی کند.

یک انگیزه خاص برای پیاده سازی و استفاده از DLP در یک محیط شرکتی ممکن است نیاز به محافظت از اسرار تجاری شرکت و مطابقت با الزامات قانون فدرال "در مورد اسرار تجاری" باشد.

تقریباً هر شرکتی اسنادی مانند "مقررات اسرار تجاری" و "فهرست اطلاعات تشکیل دهنده یک راز تجاری" را پذیرفته است و الزامات آنها باید رعایت شود. عقیده ای وجود دارد که قانون "در مورد اسرار تجاری" (98-FZ) کار نمی کند ، با این حال ، مدیران شرکت به خوبی می دانند که محافظت از اسرار تجاری برای آنها مهم و ضروری است. علاوه بر این، این آگاهی بسیار بالاتر از درک اهمیت قانون "درباره داده های شخصی" (152-FZ) است و برای هر مدیری توضیح دادن نیاز به اجرای جریان اسناد محرمانه بسیار آسان تر از صحبت در مورد حفاظت است. از داده های شخصی

چه چیزی مانع استفاده از DLP در فرآیندهای خودکارسازی حفاظت از اسرار تجاری می شود؟ طبق قانون مدنی فدراسیون روسیه، برای معرفی رژیم حفاظت از اسرار تجاری، فقط لازم است که اطلاعات دارای ارزشی باشد و در لیست مناسب گنجانده شود. در این صورت، مالک چنین اطلاعاتی طبق قانون موظف است اقداماتی را برای حفاظت از اطلاعات محرمانه انجام دهد.

در عین حال، بدیهی است که DLP قادر به حل همه مسائل نخواهد بود. به ویژه، برای پوشش دسترسی به اطلاعات محرمانه برای اشخاص ثالث. اما فناوری های دیگری برای این کار وجود دارد. بسیاری از راه حل های مدرن DLP می توانند با آنها ادغام شوند. سپس، هنگام ساخت این زنجیره فناوری، می توان یک سیستم کاری برای محافظت از اسرار تجاری به دست آورد. چنین سیستمی برای تجارت قابل درک تر خواهد بود و تجارت می تواند به عنوان مشتری سیستم حفاظت از نشت عمل کند.

روسیه و غرب

به گفته تحلیلگران، روسیه نگرش متفاوتی نسبت به امنیت و سطح بلوغ متفاوتی از شرکت های عرضه کننده راه حل های DLP دارد. بازار روسیه بر متخصصان امنیتی و مشکلات بسیار تخصصی متمرکز است. افرادی که در پیشگیری از نشت داده نقش دارند، همیشه نمی دانند چه داده هایی ارزشمند هستند. روسیه برای سازماندهی سیستم های امنیتی یک رویکرد نظامی "نظامی" دارد: یک محیط قوی با فایروال ها و تمام تلاش ها برای جلوگیری از نفوذ انجام می شود.

اما اگر یک کارمند شرکت به مقداری از اطلاعات دسترسی داشته باشد که برای انجام وظایفش لازم نیست چه؟ از سوی دیگر، اگر نگاهی به رویکردی که در 10-15 سال گذشته در غرب شکل گرفته است را بررسی کنید، می توان گفت که به ارزش اطلاعات بیشتر توجه شده است. منابع به جای تمام اطلاعات به جایی که اطلاعات ارزشمند است هدایت می شوند. شاید این بزرگترین تفاوت فرهنگی غرب و روسیه باشد. با این حال، تحلیلگران می گویند که وضعیت در حال تغییر است. اطلاعات به عنوان یک دارایی تجاری در حال درک شدن است و این تکامل مدتی طول خواهد کشید.

راه حل جامعی وجود ندارد

هیچ سازنده ای هنوز 100% محافظت در برابر نشت ایجاد نکرده است. برخی از کارشناسان مشکلات مربوط به استفاده از محصولات DLP را چیزی شبیه به این بیان می کنند: استفاده مؤثر از تجربه در مبارزه با نشت های مورد استفاده در سیستم های DLP مستلزم درک این موضوع است که کار قابل توجهی برای اطمینان از محافظت در برابر نشت باید از طرف مشتری انجام شود، زیرا هیچ کس نمی داند. خودشون بهتر از مشتری جریان اطلاعات.

برخی دیگر معتقدند که محافظت در برابر نشت غیرممکن است: جلوگیری از نشت اطلاعات غیرممکن است. از آنجایی که اطلاعات برای کسی ارزش دارد، دیر یا زود دریافت خواهد شد. ابزارهای نرم افزاری می توانند به دست آوردن این اطلاعات را به فرآیندی پرهزینه و وقت گیر تبدیل کنند. این می تواند به طور قابل توجهی از مزایای داشتن اطلاعات و ارتباط آن بکاهد. این بدان معنی است که کارایی سیستم های DLP باید نظارت شود.

توسعه سریع فناوری اطلاعاتاطلاعات جهانی شرکت ها و شرکت های مدرن را ترویج می کند. هر روز حجم اطلاعات منتقل شده از طریق شبکه های شرکتی شرکت های بزرگ و شرکت های کوچک به سرعت در حال رشد است. شکی نیست که با رشد جریان اطلاعات، تهدیداتی که می تواند منجر به زیان شود نیز رشد می کند. اطلاعات مهم، تحریف یا سرقت آن. به نظر می رسد که از دست دادن اطلاعات بسیار آسان تر از هر چیز مادی است. برای انجام این کار، لازم نیست شخصی برای تسلط بر داده ها اقدامات خاصی انجام دهد - گاهی اوقات رفتار بی دقتی هنگام کار با سیستم های اطلاعاتی یا بی تجربگی کاربران کافی است.

یک سوال طبیعی مطرح می شود: چگونه از خود محافظت کنید تا عوامل از دست دادن و نشت اطلاعات مهم را از بین ببرید. به نظر می رسد که حل این مشکل کاملا ممکن است و می تواند در سطح حرفه ای بالا انجام شود. برای این منظور از سیستم های ویژه DLP استفاده می شود.

تعریف سیستم های DLP

DLP سیستمی برای جلوگیری از نشت اطلاعات در محیط اطلاعات است. او نمایندگی می کند ابزار ویژه، با کمک مدیران سیستمشبکه های شرکتی می توانند تلاش ها برای انتقال غیرمجاز اطلاعات را نظارت و مسدود کنند. علاوه بر اینکه چنین سیستمی می تواند از موارد کسب اطلاعات غیرقانونی جلوگیری کند، همچنین به شما این امکان را می دهد که اقدامات همه کاربران شبکه در ارتباط با استفاده از شبکه های اجتماعی، چت، ارسال پیام های الکترونیکی و غیره را ردیابی کنید. هدف سیستم‌های پیشگیری از نشت اطلاعات محرمانه DLP پشتیبانی و مطابقت با تمام الزامات سیاست‌های محرمانه و امنیت اطلاعات است که در یک سازمان، شرکت، شرکت خاص وجود دارد.

منطقه برنامه

کاربرد عملی سیستم‌های DLP برای سازمان‌هایی که درز داده‌های محرمانه می‌تواند منجر به خسارات مالی هنگفت، ضربه قابل‌توجهی به شهرت و همچنین از دست دادن پایگاه مشتری و اطلاعات شخصی شود، بسیار مرتبط است. وجود چنین سیستم هایی برای آن دسته از شرکت ها و سازمان هایی که الزامات بالایی را برای "بهداشت اطلاعات" کارکنان خود تعیین می کنند، الزامی است.

بهترین ابزار برای محافظت از داده هایی مانند اعداد کارت های بانکیمشتریان، حساب های بانکی آنها، اطلاعات مربوط به شرایط مناقصه، سفارشات کار و خدمات به سیستم های DLP تبدیل می شوند - کارایی اقتصادی چنین راه حل امنیتی کاملاً واضح است.

انواع سیستم های DLP

ابزارهای مورد استفاده برای جلوگیری از نشت اطلاعات را می توان به چند دسته کلیدی تقسیم کرد:

1. ابزارهای امنیتی استاندارد؛
2. اقدامات هوشمند حفاظت از داده ها؛
3. رمزگذاری داده ها و کنترل دسترسی؛
4. سیستم های امنیتی تخصصی DLP

مجموعه امنیتی استانداردی که باید توسط هر شرکتی استفاده شود شامل برنامه های آنتی ویروس، ساخته شده است فایروال ها، سیستم های تشخیص نفوذهای غیرمجاز.

ابزارهای امنیت اطلاعات هوشمند شامل استفاده از سرویس‌های ویژه و الگوریتم‌های مدرن است که به شما امکان می‌دهد دسترسی غیرمجاز به داده‌ها، استفاده نادرست از مکاتبات الکترونیکی و غیره را شناسایی کنید. سازهای مدرنسیستم‌های امنیتی به شما امکان می‌دهند درخواست‌های یک سیستم اطلاعاتی را که از خارج از برنامه‌ها و سرویس‌های مختلف می‌آیند، تجزیه و تحلیل کنید که می‌تواند نقش نوعی جاسوس را بازی کند. ابزارهای امنیتی هوشمند امکان بررسی عمیق‌تر و دقیق‌تر سیستم اطلاعاتی را برای نشت اطلاعات احتمالی به روش‌های مختلف فراهم می‌کنند.

رمزگذاری اطلاعات حساس و محدود کردن دسترسی به داده های خاص گام موثر دیگری در جهت به حداقل رساندن احتمال از دست دادن اطلاعات حساس است.

یک سیستم تخصصی پیشگیری از نشت اطلاعات DLP یک ابزار پیچیده چند منظوره است که قادر به شناسایی و جلوگیری از کپی غیر مجاز و انتقال اطلاعات مهم به خارج از محیط شرکت است. این تصمیمات شناسایی حقایق دسترسی به اطلاعات بدون اجازه یا با استفاده از اختیارات افرادی که چنین مجوزی را دارند ممکن می سازد.

سیستم های تخصصی از ابزارهایی مانند:

• مکانیسم هایی برای تعیین تطابق دقیق داده ها؛
• مختلف روش های آماریتحلیل و بررسی؛
• استفاده از عبارات کد و تکنیک های کلمات.
• اثر انگشت ساختاری و غیره؛

مقایسه این سیستم ها بر اساس عملکرد

در نظر بگیریم مقایسه DLP DLP شبکه و سیستم های DLP Endpoint.

Network DLP یک راه حل ویژه در سطح سخت افزار یا نرم افزار است که در نقاطی از ساختار شبکه که در نزدیکی "محیط محیط اطلاعات" قرار دارند استفاده می شود. با استفاده از این مجموعه ابزار، تجزیه و تحلیل کاملی از اطلاعات محرمانه انجام می شود که سعی می شود با نقض قوانین امنیت اطلاعات به خارج از محیط اطلاعات شرکت ارسال شود.

Endpoint DLP سیستم های خاصی هستند که در ایستگاه کاری کاربر نهایی و همچنین در سیستم های سرور سازمان های کوچک استفاده می شوند. نقطه اطلاعات نهایی برای این سیستم ها می تواند برای کنترل هر دو طرف داخلی و خارجی "محیط محیط اطلاعات" استفاده شود. این سیستم به شما امکان تجزیه و تحلیل ترافیک اطلاعاتی را می دهد که از طریق آن داده ها بین کاربران فردی و گروهی از کاربران رد و بدل می شود. حفاظت از سیستم های DLP از این نوع بر تأیید جامع فرآیند تبادل داده ها، از جمله پیام های الکترونیکی، ارتباطات در شبکه های اجتماعی و سایر فعالیت های اطلاعاتی متمرکز است.

آیا شرکت ها نیاز به پیاده سازی این سیستم ها دارند؟

اجرای سیستم های DLP برای تمامی شرکت هایی که به اطلاعات خود اهمیت می دهند و سعی می کنند تمام تلاش خود را برای جلوگیری از نشت و مفقود شدن آن انجام دهند، الزامی است. وجود چنین ابزارهای امنیتی نوآورانه ای به شرکت ها این امکان را می دهد که از انتشار داده های مهم خارج از محیط اطلاعات شرکت از طریق کلیه کانال های تبادل داده های موجود جلوگیری کنند. با نصب سیستم DLP، یک شرکت قادر به کنترل موارد زیر خواهد بود:

• ارسال پیام با استفاده از ایمیل شرکتی؛
• استفاده از اتصالات FTP؛
• اتصالات محلیبا استفاده از چنین فناوری هایی ارتباطات بی سیممانند WiFi، بلوتوث، GPRS.
• پیام رسانی فوری با استفاده از کلاینت هایی مانند MSN، ICQ، AOL و غیره؛
• استفاده از دستگاه های ذخیره سازی خارجی - USB، SSD، CD/DVD و غیره.
• اسنادی که برای چاپ با استفاده از دستگاه های چاپ شرکتی ارسال می شود.

برخلاف راه حل های امنیتی استاندارد، شرکتی که سیستم Securetower DLP یا مشابه آن را نصب کرده باشد، قادر خواهد بود:

• کنترل انواع کانال ها برای تبادل اطلاعات مهم؛
• شناسایی انتقال اطلاعات محرمانه، صرف نظر از اینکه چگونه و در چه قالبی به خارج منتقل می شود شبکه شرکتی;
• مسدود کردن نشت اطلاعات در هر زمان؛
• فرآیند پردازش داده ها را مطابق با خط مشی امنیتی اتخاذ شده توسط شرکت خودکار کنید.

استفاده از سیستم های DLP توسعه موثر شرکت ها و حفظ اسرار تولید خود را از رقبا و بدخواهان تضمین می کند.

پیاده سازی چگونه انجام می شود؟

برای نصب یک سیستم DLP در شرکت خود در سال 2017، باید چندین مرحله را طی کنید که پس از آن سازمان حفاظت موثر از محیط اطلاعاتی خود در برابر تهدیدات خارجی و داخلی دریافت خواهد کرد.

در مرحله اول پیاده سازی، بررسی محیط اطلاعاتی شرکت انجام می شود که شامل اقدامات زیر است:

• مطالعه اسناد سازمانی و اداری که سیاست اطلاعاتی شرکت را تنظیم می کند.
• مطالعه منابع اطلاعاتی که توسط شرکت و کارکنان آن استفاده می شود.
• توافق بر روی فهرستی از اطلاعاتی که ممکن است به عنوان داده های محدود طبقه بندی شوند.
• بررسی روش ها و کانال های موجود برای انتقال و دریافت داده ها.

بر اساس نتایج بررسی، مشخصات فنی ترسیم شده است که سیاست‌های امنیتی را که باید با استفاده از سیستم DLP پیاده‌سازی شوند، تشریح می‌کند.

در مرحله بعد، جنبه قانونی استفاده از سیستم های DLP در یک سازمان باید تنظیم شود. مهم است که تمام نکات ظریف را حذف کنید تا بعداً هیچ شکایتی از جانب کارمندان در مورد نظارت شرکت بر آنها وجود نداشته باشد.

پس از انجام تمام تشریفات قانونی، می توانید انتخاب یک محصول امنیت اطلاعات را آغاز کنید - این می تواند، به عنوان مثال، سیستم Infowatch DLP یا هر چیز دیگری با عملکرد مشابه باشد.

پس از انتخاب یک سیستم مناسب، می توانید شروع به نصب و پیکربندی آن کنید کار مولد. سیستم باید به گونه ای پیکربندی شود که از انجام کلیه وظایف امنیتی مشخص شده در مشخصات فنی اطمینان حاصل کند.

نتیجه

پیاده سازی سیستم های DLP یک کار کاملا پیچیده و پر دردسر است که به زمان و منابع زیادی نیاز دارد. اما شما نباید در نیمه راه توقف کنید - مهم است که تمام مراحل را به طور کامل طی کنید و یک سیستم بسیار موثر و چند منظوره برای محافظت از اطلاعات محرمانه خود دریافت کنید. از این گذشته، از دست دادن داده‌ها می‌تواند به یک شرکت یا شرکت آسیب زیادی وارد کند، هم از نظر مالی و هم از نظر تصویر و شهرت آن در محیط مصرف‌کننده.

انتخاب یک سیستم DLP خاص به سطح مورد نیاز امنیت داده بستگی دارد و همیشه به صورت جداگانه انتخاب می شود. برای کمک در انتخاب سیستم DLP و محاسبه هزینه اجرای آن در زیرساخت فناوری اطلاعات شرکت، درخواست خود را بگذارید تا در اسرع وقت با شما تماس بگیریم.

سیستم DLP چیست؟

سیستم DLP(Data Leak Prevention ترجمه شده از انگلیسی - به معنی جلوگیری از نشت اطلاعات) فن آوری ها و دستگاه های فنی، که از نشت اطلاعات محرمانه از سیستم های اطلاعاتی جلوگیری می کند.

سیستم های DLP جریان داده ها را تجزیه و تحلیل می کنند و حرکت آنها را در محدوده خاصی از سیستم اطلاعاتی که امن است کنترل می کنند. اینها می توانند اتصالات ftp، ایمیل شرکتی و وب، اتصالات محلی، و همچنین انتقال پیام های فوری و داده ها به چاپگر باشند. اگر اطلاعات محرمانه در یک جریان تبدیل شود، یک جزء سیستم فعال می شود که انتقال جریان داده را مسدود می کند.

به عبارت دیگر، سیستم های DLPمراقب اسناد محرمانه و مهم استراتژیک باشید که نشت آنها از سیستم های اطلاعاتی به خارج می تواند صدمات جبران ناپذیری به شرکت وارد کند و همچنین اختلال ایجاد کند. قوانین فدرالشماره 98-FZ "در مورد اسرار تجاری" و شماره 152-FZ "در مورد داده های شخصی". حفاظت از اطلاعات در برابر نشت نیز در GOST ذکر شده است. "فناوری اطلاعات. قوانین عملی برای مدیریت امنیت اطلاعات" - GOST R ISO/IEC 17799-2005.

به عنوان یک قاعده، نشت اطلاعات محرمانه می تواند در نتیجه هک و نفوذ رخ دهد، یا در نتیجه بی توجهی، سهل انگاری کارکنان شرکت و همچنین تلاش افراد داخلی - انتقال عمدی اطلاعات محرمانه توسط کارکنان شرکت. بنابراین، سیستم‌های DLP مطمئن‌ترین فناوری‌ها برای محافظت در برابر نشت اطلاعات محرمانه هستند - آنها اطلاعات محافظت شده را بدون توجه به زبان سند، نوع فونت، کانال‌های انتقال و قالب، بر اساس محتوا شناسایی می‌کنند.

همچنین، سیستم DLPکاملاً تمام کانال هایی که هر روز برای انتقال اطلاعات استفاده می شوند را کنترل می کند در قالب الکترونیکی. جریان های اطلاعات به طور خودکار بر اساس سیاست امنیتی تعیین شده پردازش می شوند. اگر اقدامات اطلاعات محرمانه با سیاست امنیتی تعیین شده توسط شرکت مغایرت داشته باشد، انتقال داده مسدود می شود. در همان زمان، نماینده مورد اعتماد شرکت که مسئول امنیت اطلاعات است، یک پیام فوری دریافت می کند که در مورد تلاش برای انتقال اطلاعات محرمانه هشدار می دهد.

پیاده سازی سیستم DLP، اول از همه، انطباق با تعدادی از الزامات استاندارد PCI DSS در مورد سطح امنیت اطلاعات شرکت را تضمین می کند. همچنین سیستم های DLP به طور خودکار اطلاعات محافظت شده را با توجه به موقعیت مکانی آن بررسی کرده و کنترل خودکار را مطابق با قوانین جابجایی اطلاعات محرمانه در شرکت، پردازش و جلوگیری از حوادث افشای غیرقانونی اطلاعات محرمانه ارائه می کنند. سیستم پیشگیری از نشت داده ها بر اساس گزارش های حوادث، سطح کلی ریسک ها را رصد می کند و همچنین در تحلیل گذشته نگر و حالت های واکنش فوری، نشت اطلاعات را کنترل می کند.

سیستم های DLP هم در شرکت های کوچک و هم در شرکت های بزرگ نصب می شوند و از نشت اطلاعات جلوگیری می کنند و از این طریق شرکت را در برابر خطرات مالی و قانونی ناشی از از دست دادن یا انتقال اطلاعات مهم شرکتی یا محرمانه محافظت می کنند.

سیستم D LP زمانی استفاده می شود که برای محافظت از داده های محرمانه در برابر تهدیدات داخلی ضروری باشد. و اگر متخصصان امنیت اطلاعات به اندازه کافی تسلط داشته باشند و از ابزارهای محافظتی در برابر متجاوزان خارجی استفاده کنند ، وضعیت در مورد داخلی ها چندان هموار نیست.

استفاده از یک سیستم DLP در ساختار امنیت اطلاعات فرض می کند که متخصص امنیت اطلاعات می داند:

• چگونه کارکنان شرکت می توانند داده های محرمانه را افشا کنند.
• چه اطلاعاتی باید در برابر تهدیدات محرمانه محافظت شود.

دانش جامع به متخصص کمک می کند تا اصول عملکرد فناوری DLP را بهتر درک کند و حفاظت از نشت را به درستی پیکربندی کند.

سیستم DLP باید بتواند اطلاعات محرمانه را از اطلاعات غیرمحرمانه تشخیص دهد. اگر تمام داده ها را در سیستم اطلاعاتی یک سازمان تجزیه و تحلیل کنید، مشکل بار بیش از حد بر منابع و پرسنل فناوری اطلاعات ایجاد می شود. DLP عمدتا "در ارتباط" با یک متخصص مسئول کار می کند که نه تنها به سیستم "آموزش" می دهد که به درستی کار کند، قوانین جدید را معرفی می کند و قوانین نامربوط را حذف می کند، بلکه رویدادهای جاری، مسدود شده یا مشکوک را در سیستم اطلاعاتی نظارت می کند.

برای پیکربندی «SearchInform CIB»، استفاده کنید- قوانین واکنش به حوادث امنیت اطلاعات این سیستم دارای 250 خط مشی از پیش تعیین شده است که می تواند مطابق با اهداف شرکت تنظیم شود.

عملکرد سیستم DLP حول محور "هسته" ساخته شده است - یک الگوریتم نرم افزاری که مسئول شناسایی و طبقه بندی اطلاعاتی است که نیاز به محافظت در برابر نشت دارند. هسته اصلی اکثر راه حل های DLP دو فناوری است: تجزیه و تحلیل زبانی و فناوری مبتنی بر روش های آماری. هسته همچنین می‌تواند از تکنیک‌های کمتر رایج مانند برچسب‌گذاری یا روش‌های تحلیل رسمی استفاده کند.

توسعه دهندگان سیستم های ضد نشت الگوریتم نرم افزار منحصر به فرد را با عوامل سیستم، مکانیسم های مدیریت حادثه، تجزیه کننده ها، تحلیلگرهای پروتکل، رهگیرها و سایر ابزارها تکمیل می کنند.

سیستم های DLP اولیه بر اساس یک روش واحد در هسته بودند: تحلیل زبانی یا آماری. در عمل، کاستی های دو فناوری با نقاط قوت یکدیگر جبران شد و تکامل DLP منجر به ایجاد سیستم هایی شد که از نظر "هسته" جهانی بودند.

روش تحلیل زبانیمستقیماً با محتویات فایل و سند کار می کند. این به شما امکان می دهد پارامترهایی مانند نام فایل، وجود یا عدم وجود مهر در سند، چه کسی و چه زمانی سند را ایجاد کرده است را نادیده بگیرید. فن آوری تجزیه و تحلیل زبانی شامل:

• تجزیه و تحلیل مورفولوژیکی - جستجو در تمام اشکال کلمه ممکن برای اطلاعاتی که باید از نشت محافظت شوند.
• تجزیه و تحلیل معنایی - جستجو برای وقوع اطلاعات مهم (کلیدی) در محتوای یک فایل، تأثیر رخدادها بر ویژگی های کیفی فایل، ارزیابی زمینه استفاده.

تحلیل زبانی نشان می دهد کیفیت بالاکار با حجم زیادی از اطلاعات برای متن حجیم، یک سیستم DLP با الگوریتم تجزیه و تحلیل زبانی، کلاس صحیح را با دقت بیشتری انتخاب می کند، آن را به دسته مورد نظر اختصاص می دهد و قانون پیکربندی شده را اجرا می کند. برای اسناد کوچک بهتر است از تکنیک stop word استفاده کنید که در مبارزه با هرزنامه ها موثر بوده است.

توانایی یادگیری در سیستم هایی با الگوریتم تحلیل زبانی در سطح بالایی پیاده سازی می شود. سیستم‌های DLP اولیه با تنظیم دسته‌ها و سایر مراحل «آموزش» مشکل داشتند، اما در سیستم های مدرنالگوریتم های خودآموز به خوبی تثبیت شده وجود دارد: شناسایی ویژگی های دسته ها، توانایی تشکیل مستقل و تغییر قوانین پاسخ. برای پیکربندی چنین سیستم های نرم افزاری حفاظت از داده ها در سیستم های اطلاعاتی، دیگر نیازی به مشارکت زبان شناسان نیست.

معایب تجزیه و تحلیل زبانی شامل گره خوردن به یک زبان خاص است، زمانی که استفاده از یک سیستم DLP با هسته "انگلیسی" برای تجزیه و تحلیل جریان اطلاعات به زبان روسی غیرممکن است و بالعکس. اشکال دیگر مربوط به دشواری طبقه بندی واضح با استفاده از رویکرد احتمالی است که دقت پاسخ را در 95٪ نگه می دارد، در حالی که نشت هر مقدار اطلاعات محرمانه می تواند برای شرکت حیاتی باشد.

روش های آماری تجزیه و تحلیلبرعکس، دقت نزدیک به 100 درصد را نشان می دهد. نقطه ضعف هسته آماری مربوط به خود الگوریتم تجزیه و تحلیل است.

در مرحله اول، سند (متن) به قطعاتی با اندازه قابل قبول تقسیم می شود (نه کاراکتر به کاراکتر، اما به اندازه کافی برای اطمینان از صحت عملکرد). یک هش از قطعات حذف می شود (در سیستم های DLP به عنوان اثر انگشت دیجیتال شناخته می شود). سپس هش با هش قطعه مرجع گرفته شده از سند مقایسه می شود. در صورت وجود تطابق، سیستم سند را به عنوان محرمانه علامت گذاری می کند و مطابق با سیاست های امنیتی عمل می کند.

نقطه ضعف روش آماری این است که الگوریتم قادر به یادگیری مستقل، تشکیل دسته‌ها و تایپ نیست. در نتیجه، وابستگی به شایستگی های متخصص و احتمال تعیین هش با اندازه ای وجود دارد که تجزیه و تحلیل تعداد زیادی از موارد مثبت کاذب تولید کند. اگر از توصیه های توسعه دهنده برای راه اندازی سیستم پیروی کنید، رفع نقص دشوار نیست.

اشکال دیگری در ارتباط با تشکیل هش وجود دارد. در سیستم‌های فناوری اطلاعات توسعه‌یافته که حجم زیادی از داده تولید می‌کنند، پایگاه‌داده اثر انگشت می‌تواند به اندازه‌ای برسد که بررسی ترافیک برای مطابقت با استاندارد، عملکرد کل سیستم اطلاعاتی را به طور جدی کند کند.

مزیت راه حل ها این است که اثربخشی تحلیل آماریبه زبان و وجود اطلاعات غیر متنی در سند بستگی ندارد. هش را می توان به همان اندازه از یک عبارت انگلیسی، از یک تصویر یا از یک قطعه ویدیو حذف کرد.

روش‌های زبانی و آماری برای تشخیص داده‌هایی با فرمت خاص برای هر سندی، مانند شماره حساب یا پاسپورت، مناسب نیستند. برای شناسایی ساختارهای معمولی مشابه در مجموعه ای از اطلاعات، فناوری هایی برای تجزیه و تحلیل ساختارهای رسمی در هسته سیستم DLP معرفی می شوند.

یک راه حل DLP با کیفیت بالا از تمام ابزارهای تحلیلی استفاده می کند که به طور متوالی کار می کنند و یکدیگر را تکمیل می کنند.

شما می توانید تعیین کنید که کدام فناوری در هسته وجود دارد.

سطوح کنترلی که سیستم DLP در آن کار می کند کمتر از عملکرد هسته مهم نیست. دو تا از آنها موجود است:

توسعه دهندگان محصولات مدرن DLP اجرای جداگانه حفاظت از لایه را کنار گذاشته اند، زیرا هم دستگاه های پایانی و هم شبکه باید از نشت محافظت شوند.

لایه کنترل شبکهدر عین حال باید حداکثر پوشش ممکن را فراهم کند پروتکل های شبکهو خدمات ما نه تنها در مورد کانال های "سنتی" (، FTP،)، بلکه در مورد سیستم های تبادل شبکه جدیدتر (پیام رسان های فوری،) صحبت می کنیم. متأسفانه، کنترل ترافیک رمزگذاری شده در سطح شبکه غیرممکن است، اما این مشکلدر سیستم های DLP در سطح میزبان حل می شود.

کنترل سطح میزبانبه شما اجازه می دهد تا وظایف نظارت و تجزیه و تحلیل بیشتری را حل کنید. در واقع سرویس امنیت اطلاعات ابزاری را برای کنترل کامل بر اعمال کاربر در ایستگاه کاری دریافت می کند. DLP با معماری میزبان به شما این امکان را می دهد که چه چیزی، چه اسنادی، چه چیزی روی صفحه کلید تایپ می شود، مطالب صوتی را ضبط کنید و انجام دهید. در سطح ایستگاه کاری پایانی، ترافیک رمزگذاری شده () رهگیری می شود و داده هایی که در حال حاضر در حال پردازش هستند و مدت زمان طولانیروی رایانه شخصی کاربر ذخیره می شود.

علاوه بر حل مشکلات معمولی، سیستم های DLP با کنترل در سطح میزبان اقدامات اضافی را برای اطمینان از امنیت اطلاعات ارائه می دهند: نظارت بر نصب و تغییرات در نرم افزار، مسدود کردن پورت های I/O و غیره.

معایب پیاده‌سازی میزبان این است که مدیریت سیستم‌هایی با مجموعه گسترده‌ای از عملکردها دشوارتر است و به منابع ایستگاه کاری بیشتر نیاز دارند. سرور مدیریت به طور مرتب با ماژول "عامل" در دستگاه پایانی تماس می گیرد تا در دسترس بودن و مرتبط بودن تنظیمات را بررسی کند. علاوه بر این، برخی از منابع ایستگاه کاری کاربر به ناچار توسط ماژول DLP "خورده" خواهد شد. بنابراین، حتی در مرحله انتخاب راه حل برای جلوگیری از نشتی، توجه به الزامات سخت افزاری مهم است.

اصل جداسازی فناوری در سیستم های DLP مربوط به گذشته است. راه حل های نرم افزاری مدرن برای جلوگیری از نشت از روش هایی استفاده می کنند که کاستی های یکدیگر را جبران می کنند. به لطف یک رویکرد یکپارچه، داده های محرمانه در محدوده امنیت اطلاعات در برابر تهدیدات مقاوم تر می شوند.

معرفی

این بررسی برای همه علاقمندان به بازار راه حل های DLP و اول از همه برای کسانی که می خواهند راه حل مناسب DLP را برای شرکت خود انتخاب کنند در نظر گرفته شده است. این بررسی بازار سیستم‌های DLP را به معنای وسیع کلمه بررسی می‌کند و ارائه می‌دهد توضیح کوتاهبازار جهانی و با جزئیات بیشتر، بخش روسیه.

سیستم‌هایی برای حفاظت از داده‌های ارزشمند از زمان پیدایش وجود داشته‌اند. در طول قرن ها، این سیستم ها همراه با بشریت توسعه یافته و تکامل یافته اند. با شروع عصر کامپیوتر و انتقال تمدن به دوران فراصنعتی، اطلاعات به تدریج به ارزش اصلی دولت ها، سازمان ها و حتی افراد تبدیل شد. و سیستم های کامپیوتری به ابزار اصلی برای ذخیره و پردازش آن تبدیل شده اند.

دولت ها همیشه از اسرار خود محافظت کرده اند، اما دولت ها ابزار و روش های خاص خود را دارند که به عنوان یک قاعده، بر شکل گیری بازار تأثیری نداشته است. در عصر فراصنعتی، بانک‌ها و سایر مؤسسات مالی قربانیان نشت رایانه‌ای اطلاعات ارزشمند شده‌اند. سیستم بانکی جهانی برای اولین بار به حفاظت قانونی از اطلاعات خود نیاز داشت. نیاز به حفظ حریم خصوصی در پزشکی نیز به رسمیت شناخته شده است. در نتیجه، به عنوان مثال، قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA)، قانون Sarbanes-Oxley (SOX) در ایالات متحده به تصویب رسید و کمیته بازل در مورد نظارت بانکی یک سری توصیه به نام «توافق بازل» صادر کرد. چنین اقداماتی انگیزه ای قدرتمند به توسعه بازار سیستم های حفاظت اطلاعات رایانه ای داد. به دنبال افزایش تقاضا، شرکت هایی شروع به ظهور کردند که اولین سیستم های DLP را ارائه کردند.

سیستم های DLP چیست؟

چندین تعریف کلی پذیرفته شده از اصطلاح DLP وجود دارد: جلوگیری از از دست دادن داده، جلوگیری از نشت داده یا حفاظت از نشت داده، که می تواند به روسی به عنوان "پیشگیری از دست دادن داده"، "جلوگیری از نشت داده"، "محافظت از نشت داده" ترجمه شود. این اصطلاح در حدود سال 2006 رایج شد و خود را در بازار تثبیت کرد. و اولین سیستم های DLP کمی زودتر دقیقاً به عنوان وسیله ای برای جلوگیری از نشت اطلاعات ارزشمند بوجود آمدند. آنها برای شناسایی و مسدود کردن انتقال شبکه از اطلاعات شناسایی شده توسط کلمات کلیدی یا عبارات و اثر انگشت دیجیتال از پیش ایجاد شده اسناد محرمانه طراحی شده بودند.

توسعه بیشتر سیستم های DLP توسط حوادث از یک سو و اقدامات قانونی دولت ها از سوی دیگر تعیین شد. به تدریج نیاز به حفاظت در برابر انواع تهدیدات شرکت ها را به سمت نیاز به ایجاد سوق داد سیستم های پیچیدهحفاظت. در حال حاضر، محصولات DLP توسعه‌یافته، علاوه بر محافظت مستقیم در برابر نشت داده‌ها، محافظت در برابر تهدیدات داخلی و حتی خارجی، ردیابی ساعات کاری کارمندان و نظارت بر تمام اقدامات آنها در ایستگاه‌های کاری، از جمله کار از راه دور را فراهم می‌کنند.

در همان زمان، مسدود کردن انتقال داده‌های محرمانه، یک تابع متعارف سیستم‌های DLP، در برخی راه‌حل‌های مدرن که توسط توسعه‌دهندگان به این بازار نسبت داده می‌شود، وجود ندارد. چنین راه حل هایی منحصراً برای نظارت بر محیط اطلاعات شرکت مناسب هستند ، اما در نتیجه دستکاری اصطلاحات آنها DLP نامیده می شوند و به معنای گسترده به این بازار اشاره می کنند.

در حال حاضر، علاقه اصلی توسعه دهندگان سیستم DLP به سمت گستردگی پوشش کانال های بالقوه نشت اطلاعات و توسعه ابزارهای تحلیلی برای بررسی و تجزیه و تحلیل حوادث تغییر کرده است. جدیدترین محصولات DLP مشاهده، چاپ و کپی اسناد را متوقف می کنند رسانه خارجی، راه اندازی برنامه ها در ایستگاه های کاری و اتصال دستگاه های خارجیبه آنها، و تجزیه و تحلیل مدرن از رهگیری ترافیک شبکهبه شما امکان می دهد حتی با استفاده از برخی پروتکل های تونل زنی و رمزگذاری شده نشت را شناسایی کنید.

سیستم‌های DLP مدرن علاوه بر توسعه عملکرد خود، فرصت‌های فراوانی را برای ادغام با محصولات مختلف مرتبط و حتی رقیب فراهم می‌کنند. به عنوان مثال می توان به پشتیبانی گسترده از پروتکل ICAP ارائه شده توسط سرورهای پراکسی و ادغام ماژول DeviceSniffer، بخشی از مدار امنیت اطلاعات SearchInform، با Lumension Device Control اشاره کرد. توسعه بیشتر سیستم های DLP منجر به ادغام آنها با محصولات IDS/IPS، راه حل های SIEM، سیستم های مدیریت اسناد و حفاظت از ایستگاه کاری می شود.

سیستم های DLP با روش تشخیص نشت داده ها متمایز می شوند:

• هنگام استفاده (Data-in-Use) - در محل کار کاربر؛
• در حین انتقال (داده در حرکت) - در شبکه شرکت؛
• در طول ذخیره سازی (Data-at-Rest) - در سرورها و ایستگاه های کاری شرکت.

سیستم های DLP می توانند اسناد مهم را تشخیص دهند:

• طبق معیارهای رسمی، قابل اعتماد است، اما نیاز به ثبت اولیه اسناد در سیستم دارد.
• با تجزیه و تحلیل محتوا - این می تواند مثبت کاذب باشد، اما به شما امکان می دهد اطلاعات مهم را در هر سندی شناسایی کنید.

با گذشت زمان، هم ماهیت تهدیدها و هم ترکیب مشتریان و خریداران سیستم های DLP تغییر کرده است. بازار مدرن الزامات زیر را برای این سیستم ها ایجاد می کند:

• پشتیبانی از چندین روش برای تشخیص نشت داده (Data in-Use، Data-in-Motion، Data-at-Rest)؛
• پشتیبانی از تمام پروتکل های محبوب انتقال داده شبکه: HTTP، SMTP، FTP، OSCAR، XMPP، MMP، MSN، YMSG، Skype، پروتکل های مختلف P2P.
• وجود دایرکتوری داخلی وب سایت ها و پردازش صحیح ترافیک ارسال شده به آنها (پست وب، رسانه های اجتماعی، انجمن ها، وبلاگ ها، سایت های کاریابی و غیره)؛
• پشتیبانی از پروتکل های تونل زنی مطلوب است: VLAN، MPLS، PPPoE و موارد مشابه.
• کنترل شفاف پروتکل های امن SSL/TLS: HTTPS، FTPS، SMTPS و غیره.
• پشتیبانی از پروتکل های تلفن VoIP: SIP، SDP، H.323، T.38، MGCP، SKINNY و غیره.
• وجود تجزیه و تحلیل ترکیبی - پشتیبانی از چندین روش برای تشخیص اطلاعات ارزشمند: با ویژگی های رسمی، با کلمات کلیدی، با مطابقت محتوا با عبارت منظمبر اساس تجزیه و تحلیل مورفولوژیکی؛
• توانایی مسدود کردن انتخابی انتقال اطلاعات حیاتی از طریق هر کانال کنترل شده در زمان واقعی مطلوب است. مسدود کردن انتخابی (برای کاربران، گروه ها یا دستگاه های فردی)؛
• مطلوب است که بتوان اقدامات کاربر را بر روی اسناد مهم کنترل کرد: مشاهده، چاپ، کپی کردن در رسانه های خارجی.
• مطلوب است که بتوان پروتکل های شبکه را برای کار با آن کنترل کرد سرورهای پست الکترونیکی Microsoft Exchange (MAPI)، IBM یادداشت های لوتوس، Kerio، Microsoft Lync و غیره برای تجزیه و تحلیل و مسدود کردن پیام ها در زمان واقعی با استفاده از پروتکل ها: (MAPI، S/MIME، NNTP، SIP، و غیره).
• رهگیری، ضبط و تشخیص ترافیک صوتی مطلوب است: Skype، IP تلفن، Microsoft Lync.
• در دسترس بودن یک ماژول تشخیص گرافیکی (OCR) و تجزیه و تحلیل محتوا.
• پشتیبانی از تجزیه و تحلیل اسناد در چندین زبان؛
• نگهداری آرشیو و گزارش های دقیق برای سهولت در بررسی حادثه؛
• مطلوب است که ابزارهایی برای تجزیه و تحلیل رویدادها و ارتباطات آنها ایجاد شود.
• امکان ایجاد گزارش های مختلف از جمله گزارش های گرافیکی.

به لطف روندهای جدید در توسعه فناوری اطلاعات، عملکردهای جدید محصولات DLP در حال تبدیل شدن به تقاضا هستند. با استفاده گسترده از مجازی سازی در سیستم های اطلاعاتی شرکت ها، نیاز به پشتیبانی از آن در راه حل های DLP وجود دارد. استفاده گسترده از دستگاه های تلفن همراه به عنوان یک ابزار تجاری، ظهور DLP موبایل را تحریک کرده است. ایجاد "ابرهای" شرکتی و عمومی مستلزم محافظت از آنها، از جمله سیستم های DLP بود. و به عنوان یک ادامه منطقی، منجر به ظهور خدمات امنیت اطلاعات "ابر" شد (امنیت به عنوان یک سرویس - SECaaS).

اصل عملکرد سیستم DLP

یک سیستم مدرن حفاظت از نشت اطلاعات، به عنوان یک قاعده، یک مجموعه نرم افزاری و سخت افزاری توزیع شده است که از تعداد زیادی ماژول برای اهداف مختلف تشکیل شده است. برخی از ماژول ها بر روی سرورهای اختصاصی، برخی در ایستگاه های کاری کارکنان شرکت و برخی در ایستگاه های کاری افسران امنیتی کار می کنند.

سرورهای اختصاصی ممکن است برای ماژول هایی مانند پایگاه داده و گاهی اوقات برای ماژول های تجزیه و تحلیل اطلاعات مورد نیاز باشد. این ماژول ها در واقع هسته اصلی هستند و هیچ سیستم DLP واحدی نمی تواند بدون آنها کار کند.

یک پایگاه داده برای ذخیره اطلاعات مورد نیاز است، از قوانین کنترل و اطلاعات دقیق در مورد حوادث گرفته تا تمام اسنادی که برای یک دوره معین در معرض دید سیستم قرار گرفته اند. در برخی موارد، سیستم حتی می تواند یک کپی از تمام ترافیک شبکه شرکت را که در یک دوره زمانی معین رهگیری شده است، ذخیره کند.

ماژول های تجزیه و تحلیل اطلاعات مسئول تجزیه و تحلیل متون استخراج شده توسط ماژول های دیگر از منابع مختلف هستند: ترافیک شبکه، اسناد موجود در هر دستگاه ذخیره سازی اطلاعات در داخل شرکت. برخی از سیستم ها توانایی استخراج متن از تصاویر و تشخیص تصاویر گرفته شده را دارند. پیام های صوتی. همه متون تجزیه و تحلیل شده با قوانین از پیش تعریف شده مقایسه می شوند و در صورت یافتن یک تطابق بر این اساس علامت گذاری می شوند.

برای نظارت بر اقدامات کارکنان، می توان عوامل ویژه ای را در ایستگاه های کاری آنها نصب کرد. چنین عاملی باید از دخالت کاربر در کار خود محافظت شود (در عمل همیشه اینطور نیست) و می تواند هم نظارت غیرفعال بر اقدامات خود انجام دهد و هم فعالانه با اقداماتی که توسط سیاست امنیتی شرکت برای کاربر ممنوع است تداخل داشته باشد. فهرست اقدامات کنترل‌شده ممکن است محدود به ورود/خروج کاربر و اتصال دستگاه‌های USB باشد و ممکن است شامل رهگیری و مسدود کردن پروتکل‌های شبکه، کپی سایه‌ای اسناد در هر رسانه خارجی، چاپ اسناد به محلی و چاپگرهای شبکه، انتقال اطلاعات از طریق Wi‑Fi و بلوتوث و موارد دیگر. برخی از سیستم‌های DLP می‌توانند تمام ضربه‌های کلید (کلید ثبت) و ذخیره اسکرین‌شات‌ها (عکس‌های صفحه) را ضبط کنند، اما این خارج از محدوده روش‌های پذیرفته‌شده عمومی است.

به طور معمول، یک سیستم DLP شامل یک ماژول کنترل است که برای نظارت بر عملکرد سیستم و مدیریت آن طراحی شده است. این ماژول به شما این امکان را می دهد که عملکرد سایر ماژول های سیستم را کنترل کرده و آنها را پیکربندی کنید.

برای راحت‌تر کردن کار یک تحلیلگر امنیتی، سیستم DLP ممکن است یک ماژول جداگانه داشته باشد که به شما امکان می‌دهد خط‌مشی امنیتی شرکت را پیکربندی کنید، تخلفات آن را نظارت کنید، بررسی دقیقی از آنها انجام دهید و گزارش‌های لازم را ایجاد کنید. به اندازه کافی عجیب، همه چیزهای دیگر برابر هستند، توانایی تجزیه و تحلیل حوادث، انجام یک تحقیق کامل و گزارش دهی است که در یک سیستم مدرن DLP اهمیت دارد.

بازار جهانی DLP

بازار سیستم های DLP در این قرن شروع به شکل گیری کرد. همانطور که در ابتدای مقاله ذکر شد، مفهوم "DLP" در حدود سال 2006 گسترش یافت. بیشترین تعداد شرکت هایی که سیستم های DLP را ایجاد کردند در ایالات متحده بوجود آمدند. بیشترین تقاضا برای این راه حل ها و فضای مساعد برای ایجاد و توسعه چنین کسب و کاری وجود داشت.

تقریباً تمام شرکت‌هایی که شروع به ایجاد سیستم‌های DLP کردند و در این زمینه به موفقیت چشمگیری دست یافتند، خریداری یا جذب شدند و محصولات و فناوری‌های آن‌ها در محصولات بزرگ‌تر ادغام شدند. سیستم های اطلاعاتی. به عنوان مثال، سیمانتک Vontu (2007) را خریداری کرد، وبسنس PortAuthority Technologies Inc. (2007)، شرکت EMC. RSA Security (2006) را خریداری کرد و McAfee تعدادی شرکت را جذب کرد: Onigma (2006)، SafeBoot Holding B.V. (2007)، Reconnex (2008)، TrustDigital (2010)، tenCube (2010).

در حال حاضر، تولید کنندگان پیشرو سیستم های DLP در جهان عبارتند از: Symantec Corp.، RSA (بخشی از EMC Corp.)، Verdasys Inc.، Websense Inc. (خرید شده توسط شرکت خصوصی Vista Equity Partners در سال 2013)، McAfee (در سال 2011 خریداری شد) توسط اینتل). Fidelis Cybersecurity Solutions (که توسط General Dynamics در سال 2012 خریداری شد)، CA Technologies و GTB Technologies نقش مهمی در بازار دارند. یک تصویر واضح از موقعیت آنها در بازار، در یکی از بخش ها، می تواند ربع جادویی شرکت تحلیلی گارتنر در پایان سال 2013 باشد (شکل 1).

شکل 1. توزیعموقعیت هاDLP-سیستم های موجود در بازار جهانیتوسطگارتنر

بازار DLP روسیه

در روسیه، بازار سیستم های DLP تقریباً همزمان با بازار جهانی شروع به شکل گیری کرد، اما با ویژگی های خاص خود. این امر به تدریج و با بروز حوادث و تلاش برای مقابله با آن اتفاق افتاد. Jet Infosystems اولین شرکت در روسیه بود که در سال 2000 شروع به توسعه راه حل DLP کرد (در ابتدا این یک بایگانی نامه بود). اندکی بعد، در سال 2003، InfoWatch به عنوان یک شرکت تابعه از Kaspersky Lab تاسیس شد. این تصمیمات این دو شرکت بود که دستورالعمل هایی را برای سایر بازیکنان تعیین کرد. اینها، کمی بعد، شامل شرکت های Perimetrix، SearchInform، DeviceLock، SecureIT (در سال 2011 به Zecurion تغییر نام داد). از آنجایی که دولت اقدامات قانونی مربوط به حفاظت از اطلاعات را ایجاد می کند (قانون مدنی فدراسیون روسیه ، ماده 857 "رازداری بانکی" ، 395-1-FZ "در مورد بانک ها و فعالیت های بانکی" ، 98-FZ "در مورد اسرار تجاری" ، 143 -FZ "در مورد قوانین وضعیت مدنی" "، 152-FZ "در مورد داده های شخصی"، و دیگران، در مجموع حدود 50 نوع اسرار)، نیاز به ابزارهای حفاظتی افزایش یافت و تقاضا برای سیستم های DLP افزایش یافت. و چند سال بعد، "موج دوم" توسعه دهندگان به بازار آمد: Falcongaze، MFI Soft، Trafica. شایان ذکر است که همه این شرکت ها خیلی زودتر پیشرفت هایی در زمینه DLP داشتند، اما جایگزین هایی نسبتاً اخیراً در بازار ظاهر شدند. به عنوان مثال، شرکت MFI Soft شروع به توسعه راه حل DLP خود در سال 2005 کرد و تنها در سال 2011 خود را در بازار اعلام کرد.

حتی بعدها، بازار روسیهبرای شرکت های خارجی نیز جالب شده است. در سال 2007-2008 محصولات سیمانتک، وبسنس و مک آفی در دسترس ما قرار گرفتند. اخیراً در سال 2012، GTB Technologies راه حل های خود را به بازار ما معرفی کرد. سایر رهبران بازار جهانی نیز از تلاش برای ورود به بازار روسیه دست بر نمی دارند، اما تاکنون نتایج قابل توجهی نداشته اند. در سال‌های اخیر، بازار DLP روسیه چندین سال است که رشد پایدار (بیش از 40٪ سالانه) را نشان می‌دهد که سرمایه‌گذاران و توسعه‌دهندگان جدید را جذب می‌کند. به عنوان مثال می توان از شرکت Iteranet نام برد که از سال 2008 عناصر یک سیستم DLP را برای اهداف داخلی و سپس برای مشتریان شرکتی توسعه می دهد. در در در حال حاضراین شرکت راه حل Business Guardian خود را به خریداران روسی و خارجی ارائه می دهد.

این شرکت در سال 2003 از آزمایشگاه کسپرسکی جدا شد. در پایان سال 2012، InfoWatch بیش از یک سوم بازار DLP روسیه را اشغال کرد. InfoWatch طیف کاملی از راه حل های DLP را برای مشتریان از مشاغل متوسط ​​تا شرکت های بزرگو سازمان های دولتی محبوب ترین راه حل موجود در بازار InfoWatch Traffic Monitor است. مزایای اصلی راه حل های آنها: عملکرد پیشرفته، فناوری های منحصر به فرد تجزیه و تحلیل ترافیک ثبت شده، تجزیه و تحلیل ترکیبی، پشتیبانی از چندین زبان، فهرست داخلی منابع وب، مقیاس پذیری، تعداد زیادی از تنظیمات و سیاست های از پیش تعیین شده برای صنایع مختلف. ویژگی های متمایز کنندهراه حل های InfoWatch شامل یک کنسول مدیریتی واحد، نظارت بر اقدامات کارکنان تحت مظنون، یک رابط بصری، ایجاد سیاست های امنیتی بدون استفاده از جبر بولی، ایجاد نقش های کاربر (افسر امنیتی، مدیر شرکت، مدیر منابع انسانی و غیره) است. معایب: عدم کنترل بر اقدامات کاربر در ایستگاه های کاری، InfoWatch Traffic Monitor برای مشاغل متوسط ​​سنگین است، هزینه بالا.

این شرکت در سال 1991 تاسیس شد و امروزه یکی از ارکان بازار DLP روسیه است. در ابتدا، این شرکت سیستم هایی را برای محافظت از سازمان ها در برابر تهدیدات خارجی توسعه داد و ورود آن به بازار DLP یک گام منطقی است. شرکت Jet Infosystems یک بازیگر مهم در بازار امنیت اطلاعات روسیه است که خدمات یکپارچه سازی سیستم را ارائه می دهد و نرم افزار خود را توسعه می دهد. به طور خاص، راه حل DLP خود Dozor-Jet. مزایای اصلی آن: مقیاس پذیری، عملکرد بالا، توانایی کار با اطلاعات بزرگ، مجموعه بزرگی از رهگیرها، فهرست داخلی منابع وب، تجزیه و تحلیل ترکیبی، یک سیستم ذخیره سازی بهینه، نظارت فعال، کار "در شکاف"، ابزارهایی برای جستجوی سریع و تجزیه و تحلیل حوادث، پیشرفته پشتیبانی فنیاز جمله در مناطق. این مجموعه همچنین قابلیت ادغام با سیستم‌های کلاس‌های SIEM، BI، MDM، اطلاعات امنیتی، سیستم و مدیریت شبکه را دارد. دانش خود ما ماژول "پرونده" است که برای بررسی حوادث طراحی شده است. معایب: عملکرد ناکافی عوامل برای ایستگاه های کاری، توسعه ضعیف کنترل بر اقدامات کاربر، راه حل فقط بر روی شرکت های بزرگ متمرکز است، هزینه بالا.

یک شرکت آمریکایی که فعالیت خود را در سال 1994 به عنوان تولید کننده نرم افزارهای امنیت اطلاعات آغاز کرد. در سال 1996، اولین توسعه اختصاصی خود را به نام سیستم غربالگری اینترنت برای نظارت بر اقدامات پرسنل در اینترنت معرفی کرد. متعاقبا، این شرکت در زمینه امنیت اطلاعات، توسعه بخش های جدید و گسترش دامنه محصولات و خدمات به کار خود ادامه داد. در سال 2007، این شرکت با خرید PortAuthority موقعیت خود را در بازار DLP تقویت کرد. در سال 2008 وب سنس وارد بازار روسیه شد. این شرکت در حال حاضر یک محصول جامع به نام Websense Triton را برای محافظت در برابر نشت داده های محرمانه و همچنین تهدیدات خارجی ارائه می دهد. مزایای اصلی: معماری یکپارچه، عملکرد، مقیاس پذیری، گزینه های تحویل چندگانه، سیاست های از پیش تعریف شده، گزارش های پیشرفته و ابزارهای تجزیه و تحلیل رویداد. معایب: عدم پشتیبانی از تعدادی پروتکل IM، عدم پشتیبانی از مورفولوژی زبان روسی.

شرکت Symantec یک رهبر شناخته شده جهانی در بازار راه حل های DLP است. این اتفاق پس از خرید Vontu در سال 2007 رخ داد. تولید کننده بزرگسیستم های DLP از سال 2008، Symantec DLP به طور رسمی در بازار روسیه نمایندگی شده است. در پایان سال 2010، سیمانتک اولین شرکت خارجی بود که محصول DLP خود را برای بازار ما بومی سازی کرد. مزایای اصلی این راه حل عبارتند از: عملکرد قدرتمند، تعداد زیادی روش تجزیه و تحلیل، توانایی مسدود کردن نشت از طریق هر کانال کنترل شده، یک فهرست داخلی وب سایت، توانایی مقیاس، یک عامل توسعه یافته برای تجزیه و تحلیل رویدادها در سطح ایستگاه کاری. ، تجربه پیاده سازی بین المللی غنی و ادغام با سایر محصولات سیمانتک. معایب سیستم عبارتند از هزینه بالاو عدم وجود قابلیت های کنترلی برای برخی از پروتکل های IM محبوب.

این شرکت روسی در سال 2007 به عنوان توسعه دهنده ابزارهای امنیت اطلاعات تاسیس شد. مزایای اصلی راه حل Falcongaze SecureTower: سهولت نصب و پیکربندی، رابط کاربر پسند، کنترل تعداد بیشتری از کانال های انتقال داده، ابزارهای تجزیه و تحلیل اطلاعات توسعه یافته، توانایی نظارت بر اقدامات کارکنان در ایستگاه های کاری (از جمله مشاهده تصاویر دسکتاپ)، تجزیه و تحلیل گراف روابط پرسنل، مقیاس پذیری، جستجوی سریعبر اساس داده های رهگیری، یک سیستم گزارش تصویری بر اساس معیارهای مختلف.

معایب: هیچ پیش‌بینی برای کار در شکاف در سطح دروازه وجود ندارد، قابلیت‌های محدودی برای مسدود کردن انتقال داده‌های محرمانه (فقط SMTP، HTTP و HTTPS)، عدم وجود ماژول برای جستجوی داده‌های محرمانه در شبکه سازمانی.

شرکت آمریکایی در سال 2005 تاسیس شد. به لطف پیشرفت های خود در زمینه امنیت اطلاعات، پتانسیل توسعه زیادی دارد. او در سال 2012 وارد بازار روسیه شد و چندین پروژه شرکتی را با موفقیت اجرا کرد. مزایای راه حل های آن: عملکرد بالا، کنترل پروتکل های متعدد و کانال های نشت احتمالی داده ها، فناوری های ثبت شده اصلی، ماژولار بودن، یکپارچه سازی با IRM. معایب: محلی سازی جزئی روسی، عدم وجود اسناد روسی، عدم تجزیه و تحلیل مورفولوژیکی.

شرکت روسی در سال 1999 تاسیس شد یکپارچه کننده سیستم. در سال 2013 به یک هلدینگ سازماندهی مجدد شد. یکی از زمینه های فعالیت، ارائه طیف وسیعی از خدمات و محصولات برای امنیت اطلاعات است. یکی از محصولات این شرکت، سیستم Business Guardian DLP با طراحی خاص خود است.

مزایا: سرعت بالای پردازش اطلاعات، مدولار بودن، مقیاس پذیری سرزمینی، تجزیه و تحلیل مورفولوژیکی در 9 زبان، پشتیبانی از طیف گسترده ای از پروتکل های تونل سازی.

معایب: قابلیت های محدود برای مسدود کردن انتقال اطلاعات (فقط توسط افزونه های MS Exchange، MS ISA/TMG و Squid پشتیبانی می شود)، پشتیبانی محدود از پروتکل های شبکه رمزگذاری شده.

MFI Soft یک شرکت روسی است که سیستم های امنیت اطلاعات را توسعه می دهد. از لحاظ تاریخی، این شرکت در راه حل های پیچیده برای اپراتورهای مخابراتی تخصص دارد، بنابراین توجه زیادی به سرعت پردازش داده ها، تحمل خطا و ذخیره سازی کارآمد می کند. MFI Soft از سال 2005 در زمینه امنیت اطلاعات در حال توسعه است. این شرکت سیستم DLP مجتمع کشاورزی و صنعتی Garda Enterprise را با هدف شرکت های بزرگ و متوسط ​​در بازار ارائه می دهد. مزایای سیستم: سهولت در استقرار و پیکربندی، کارایی بالا، تنظیمات انعطاف پذیر برای قوانین تشخیص (شامل قابلیت ثبت تمام ترافیک)، قابلیت های گسترده برای نظارت بر کانال های ارتباطی (علاوه بر مجموعه استاندارد، از جمله تلفن VoIP، P2P و تونل زنی). پروتکل ها). معایب: فقدان انواع خاصی از گزارش ها، عدم توانایی برای جلوگیری از انتقال اطلاعات و جستجو برای مکان هایی برای ذخیره اطلاعات محرمانه در شبکه سازمانی.

یک شرکت روسی که در سال 1995 تاسیس شد و در ابتدا در زمینه توسعه فن آوری برای ذخیره و بازیابی اطلاعات تخصص داشت. بعداً این شرکت تجربه و پیشرفت های خود را در زمینه امنیت اطلاعات به کار گرفت و یک راه حل DLP به نام "مدار امنیت اطلاعات" ایجاد کرد. مزایای این راه حل: قابلیت های گسترده برای رهگیری ترافیک و تجزیه و تحلیل رویدادها در ایستگاه های کاری، نظارت بر زمان کار کارکنان، ماژولار بودن، مقیاس پذیری، ابزارهای جستجوی پیشرفته، سرعت پردازش پرس و جوهای جستجو، نمودار ارتباطات کارکنان، الگوریتم جستجوی ثبت شده خود ما "جستجوی مشابه"، مرکز آموزشی خود ما برای آموزش تحلیلگران و متخصصان فنی مشتریان. معایب: قابلیت های محدود برای مسدود کردن انتقال اطلاعات، عدم وجود یک کنسول مدیریتی واحد.

یک شرکت روسی که در سال 1996 تأسیس شد و متخصص در توسعه راه حل های DLP و EDPC است. این شرکت در سال 2011 به رده تولیدکنندگان DLP رفت و به راه حل معروف DeviceLock خود در رده EDPC (کنترل دستگاه ها و پورت ها در ایستگاه های کاری ویندوز) اجزایی را اضافه کرد که کنترل کانال های شبکه و فن آوری های تجزیه و تحلیل محتوا و فیلتر را فراهم می کند. امروزه DeviceLock DLP همه روش‌های تشخیص نشت داده (DiM، DiU، DaR) را پیاده‌سازی می‌کند. مزایا: معماری انعطاف پذیر و مجوز مدولار، سهولت نصب و مدیریت سیاست های DLP، از جمله. از طریق سیاست های گروهپس از میلاد، فناوری‌های ثبت شده اصلی برای نظارت بر دستگاه‌های تلفن همراه، پشتیبانی از محیط‌های مجازی، حضور عوامل برای Windows و Mac OS، کنترل کامل کارکنان تلفن همراه خارج از شبکه شرکت، ماژول OCR مقیم (از جمله موارد دیگر، هنگام اسکن مکان‌های ذخیره‌سازی داده‌ها استفاده می‌شود. ). معایب: عدم وجود یک عامل DLP برای لینوکس؛ نسخه عامل برای رایانه های مک فقط روش های کنترل متنی را پیاده سازی می کند.

یک شرکت جوان روسی متخصص در فناوری های تجزیه و تحلیل عمیق ترافیک شبکه (Deep Packet Inspection - DPI). بر اساس این فناوری ها، این شرکت در حال توسعه سیستم DLP خود به نام Monitorium است. مزایای سیستم: سهولت نصب و پیکربندی، رابط کاربری مناسب، مکانیزم انعطاف پذیر و بصری برای ایجاد سیاست، مناسب حتی برای شرکت های کوچک. معایب: قابلیت های تحلیل محدود (بدون تجزیه و تحلیل ترکیبی)، قابلیت های کنترل محدود در سطح ایستگاه کاری، عدم توانایی جستجو برای مکان هایی که کپی های غیرمجاز اطلاعات محرمانه در شبکه شرکت ذخیره می شود.

نتیجه گیری

توسعه بیشتر محصولات DLP در جهت ادغام و ادغام با محصولات در زمینه های مرتبط است: کنترل پرسنل، محافظت در برابر تهدیدات خارجی و سایر بخش های امنیت اطلاعات. در عین حال، تقریباً همه شرکت‌ها روی ایجاد نسخه‌های سبک وزن از محصولات خود برای مشاغل کوچک و متوسط ​​کار می‌کنند، جایی که سهولت استقرار یک سیستم DLP و سهولت استفاده از عملکرد پیچیده و قدرتمند مهم‌تر است. همچنین توسعه DLP برای دستگاه های تلفن همراه، پشتیبانی از فناوری های مجازی سازی و SECaaS در فضای ابری ادامه دارد.

با در نظر گرفتن تمام آنچه گفته شد، می توان فرض کرد که توسعه سریع بازارهای DLP جهانی و به ویژه روسیه، سرمایه گذاری های جدید و شرکت های جدید را جذب خواهد کرد. و این به نوبه خود باید منجر به افزایش بیشتر کمیت و کیفیت محصولات و خدمات DLP شود.