DLP-системы. Курсовая DLP-системы. Применение dlpсистем в качестве средства обеспечения безопасности в организации 2 оглавление

13
сетях и мессенджерах, отправляемые на печать документы, время простоя, SIP- телефонию, продуктивность на сайтах и многое другое.
Сначала, для того, чтобы анализировать данные, ДЛП должна их получить.
Затем она их проверяет и оценивает. Существует несколько способов, касающихся указанного процесса [14]:
- серверный. В данном случае программа контролирует сетевой траффик.
Он это делает на сервере, через который компьютеры коммуницируют с внешним миром;
- агентский. Здесь специальные небольшие программы устанавливаются на все компьютеры фирмы и передают с каждой машины сведения для анализа.
Второй способ перехвата считается самым популярным. Всё потому что с его помощью реально приобрести гораздо больше сведений из разных каналов связи. Следовательно, данный способ помогает лучше предотвратить утечки необходимой информации.
Функциональность DLP-системы строится вокруг «ядра» – программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа [15].
Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.
Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра» [15].
Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа.
Технология лингвистической аналитики включает [16]:
- морфологический анализ – поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
- семантический анализ – поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.
Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом

14
лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.
Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами обучения, однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов [17].
К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах
95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации [17].
Статистические методы анализа, напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.
На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint – «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности [18].
Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие – зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы [18].
С формированием хешей связан и другой недостаток. В развитых IT- системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.

15
Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента [19].
Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.
В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга. Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP- система. Их два [20]:
- уровень сети, когда контролируется сетевой трафик в информационной системе;
- уровень хоста, когда контролируется информация на рабочих станциях.
Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.
Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о
«традиционных» каналах (почтовые протоколы, FTP, HTTP-трафик), но и о более новых системах сетевого обмена (Instant Messengers, облачные хранилища). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.
Контроль на хостовом уровнепозволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что копируется на съемный носитель, какие документы отправляются на печать, что набирается на клавиатуре, записывать аудиоматериалы, делать снимки экрана. На уровне конечной рабочей станции перехватывается шифрованный трафик (например, Skype), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя [21].
Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения программного обеспечения, блокировка портов ввода-вывода и тому подобное.

16
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-
«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования
[21].
Принцип разделения технологий в DLP-системах остался в прошлом.
Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.
2.2 Функции DLP-системы
DLP-система выполняет следующие функции [22]:
- контроль передачи информации через Интернет с использованием E-Mail,
HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
- контроль сохранения информации на внешние носители – CD, DVD, flash, мобильные телефоны и т.п.;
- защита информации от утечки путем контроля вывода данных на печать;
- блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов об инцидентах, создание теневых копий, использование карантинной папки;
- поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
- предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.
В ДЛП-системах решаются следующие задачи [22]:
1. предотвращения утечек конфиденциальной информации по основным каналам передачи данных:
- исходящий веб-трафик (HTTP, FTP, P2P и так далее);
- исходящая электронная почта o внутренняя электронная почта;
- системы мгновенного обмена сообщениями o сетевая и локальная печать;

17 2. контроля доступа к устройствам и портам ввода-вывода, к которым относятся: дисководы, CD-ROM, USB – устройства, инфракрасные, принтерные
(LPT) и модемные (COM) порты.
За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).
Таким образом, можно заключить, что основной задачей любой системы класса Data Loss Prevention является минимизация рисков информационной безопасности или, простыми словами, защита конфиденциальной информации от внутренних угроз – инсайдеров.
2.3 Преимущества и недостатки DLP-системы
Предотвращение утечки – непростая задача. Таким системам важно обеспечить невозможность передачи или сохранения корпоративной информации на сторонних носителях и сервисах. Другими словами, DLP системы используются для предотвращения причинения вреда компании со стороны сотрудников. DLP делятся на активные и пассивные системы, зависят от выбранного режима работы: блокировки или контроля (наблюдения).
Защита сети компании от утечек данных является первоочередной задачей любой службы безопасности компании. Однако эта задача усложняется из-за сильной конкуренции и популярности политик концепции использования собственных устройств сотрудников. Несмотря на то, что на рынке существует множество решений для кибербезопасности, выбор неправильной системы может привести к пробелам в работе соответствующих служб [23].
Системы предотвращения утечки информации являются одним из самых старых типов программного обеспечения для защиты данных. Стандартные меры безопасности включают брандмауэр, систему обнаружения вторжений и антивирусное программное обеспечение. Это механизмы, которые защищают компьютеры от внутренних и внешних атак.
Добавление решения DLP в систему кибербезопасности дает следующие преимущества [23]:

18
- эффективность для предотвращения внутренних и внешних угроз;
- обеспечение видимости обмена данными;
- применение процедур авторизации перед доступом к конфиденциальным данным;
- применение машинного обучения для выявления ненормального поведения пользователя и маркировки конфиденциальных данных.
Идея иметь систему DLP для предотвращения утечки данных, вызванную как внутренними, так и внешними хакерами, выглядит хорошо. Однако если в компании установлена DLP система, существует риск, что она может оставить пробелы в корпоративной безопасности. Можно полагаться на систему и думать, что все защищено, поэтому нет необходимости вводить другие меры безопасности. Но это чувство может оказаться ложным.
При использовании DLP решения стоит обратить внимание на следующее
[24]:
- развертывание DLP требует много времени и усилий;
- необходимы точные политики потока данных;
- создание политики предотвращения потери данных занимает много времени;
- могут возникнуть сложности с подготовкой инвентаризации всех конфиденциальных данных и установкой прав пользователя.
Теперь обратимся к таким типам ДЛП-систем, как шлюзовые и хостовые. шлюзовые
DLP-системы основаны на использовании шлюзов
– централизованных серверов обработки пересылаемого на них сетевого трафика.
Область использования таких решений ограничена самим принципом их работы
Иными словами, шлюзовые системы позволяют защищаться лишь от утечек информации через протоколы, используемые в традиционных интернет- сервисах: HTTP, FTP, POP3, SMTP и пр. При этом контролировать происходящее на конечных точках корпоративной сети с их помощью невозможно [18].
Описанный выше подход обладает целым рядом достоинств. Начать нужно с легкости ввода в эксплуатацию, обслуживания и управления. Шлюз обычно разворачивается на отдельном сервере или обычном ПК (в небольших сетях), который может устанавливаться между рабочими станциями корпоративной сети и прокси-сервером. В этом случае весь сетевой трафик сначала поступает в
DLP-систему, которая может либо пропустить, либо заблокировать его.
Пропущенные пакеты передаются на прокси-сервер и дальше в Интернет. Таким образом, от ИТ-персонала требуется только настроить DLP-продукт и перенаправить трафик с рабочих станций на него. Функциональная схема шлюзового решения, работающего в режиме блокирования, представлена на рисунке 2.1 [24].

19
Рисунок 2.1 – Функциональная схема шлюзового решения, работающего в режиме
блокирования
Существует и другой вариант внедрения шлюзовой DLP-системы.
Согласно нему она обрабатывает не прямой, а дублированный трафик. При этом система защиты может работать только в режиме мониторинга. В нем подозрительный трафик не блокируется, а сохраняется в журнале для последующего его анализа сотрудниками отдела информационной безопасности.
В этом случае процесс внедрения оказывается еще проще. Нужно лишь настроить DLP-систему и направить на него трафик, например, с помощью управляемого коммутатора с портом дублирования. Функциональная схема шлюзового решения, работающего в режиме мониторинга, представлена на рисунке 2.2 [24].
Рисунок 2.2 – Функциональная схема шлюзового решения, работающего в режиме
мониторинга
Казалось бы, первая схема, которая позволяет не только выявлять, но и предотвращать утечки конфиденциальной информации, однозначно лучше.
Однако, на самом деле, ее применяют относительно редко. Проблема

20
заключается в существенном снижении канала связи, для контроля которого используется DLP-система.
Здесь возникает два риска. Во-первых, это возможность ложного срабатывания, когда блокируется легально передаваемые данные. Во-вторых, риск отказа самой DLP-системы (а это случается, особенно при высоких нагрузках), при котором будет перекрыт весь канал. Таким образом, первая схема может повлиять на непрерывность бизнес-процессов компании. И, поэтому, ее используют реже простого мониторинга сетевого трафика и почти никогда не применяют в крупных организациях [19].
Использование в шлюзовой DLP-системе лишь одного компьютера заметно облегчает ее обслуживание. Все правила обработки трафика и используемые политики применяются один раз, после чего сразу начинают действовать для всех сотрудников организации. Другим преимуществом шлюзовых DLP-систем является высокая степень защищенности от несанкционированного вмешательства в ее работу со стороны пользователей корпоративной сети – отключения, изменения политик безопасности и прочее.
Работая на отдельном сервере, она недоступна никому, кроме обслуживающего персонала и сотрудников отдела информационной безопасности [22].
Что касается недостатков, то помимо ограниченной области применения к ним относится проблематичность контроля некоторых видов сетевого трафика.
Особенно большие сложности возникают с зашифрованными сетевыми пакетами, передаваемыми по протоколам семейства SSL. Также можно отметить невозможность перехвата трафика системы Skype (в ней используется шифрование трафика), которая в последнее набирает популярность в нашей стране [23].
Хостовые DLP-системы основаны на использовании специальных агентов, которые инсталлируются на конечных точках корпоративной сети. Эти программы играют сразу две роли. С одной стороны, они контролируют деятельность пользователей компьютеров, не позволяя им выходить за рамки установленной политики безопасности. А, с другой, регистрируют все действия операторов и передают их в централизованное хранилище, позволяя сотрудникам отдела информационной безопасности получить полную картину происходящего.
Использование программ-агентов ограничивает сферу применения хостовых DLP-систем: они способны видеть лишь локальные или сетевые устройства, подключенные непосредственно к тем компьютерам, на которых они работают. Функциональная схема хостового DLP-решения представлена на рисунке 2.3 [14].

21
Рисунок 2.3 – Функциональная схема хостового ДЛП-решения
К достоинствам хостовых DLP-систем относятся широкие возможности по контролю пользователей. Работая непосредственно на конечных станциях корпоративной сети, они могут не только контролировать «несетевые» каналы утечки конфиденциальной информации, но и выполнять целый набор других функций. Некоторые разработчики DLP-систем используют эту возможность, например, для выявления случаев нецелевого использования компьютеров работниками [13].
Основным недостатком хостовых DLP-систем является более сложный процесс внедрения в эксплуатацию и последующее администрирование. При их развертывании необходимо не только установить и настроить серверный компонент, но и инсталлировать программу-агента на каждый компьютер корпоративной сети [22].
Конечно, обходить каждый компьютер и вручную запускать на нем дистрибутив не придется. Разработчики DLP-систем предлагают способы автоматизированной установки агентов. Чаще всего используются возможности серверного компонента или групповые политики Windows.
Все вышесказанное справедливо и для администрирования системы защиты.
Для работы агенты используют политики, загруженные непосредственно на локальные компьютеры, на которых они установлены.
Таким образом, при любом изменении правил безопасности администратору необходимо обеспечить их распространение на все конечные станции сети. Осуществляется это обычно опять же с помощью серверного компонента или групповых политик Windows. Также можно отметить меньшую защищенность хостовых DLP-систем от несанкционированного вмешательства в их работу со стороны пользователей сети. Работая на компьютере, к которому сотрудник организации имеет непосредственный доступ, программа-агент

22
потенциально может быть выгружена из памяти. В этом случае компьютер выпадает из сферы контроля DLP-системы.
Естественно, разработчики стараются защитить свои продукты от подобного вмешательства. Для этого используются разные инструменты мониторинга загрузки и непрерывности работы всех установленных агентов с отправкой уведомлений администраторам безопасности при возникновении потенциально опасной ситуации. Тем не менее, полностью исключить риск вмешательства все равно нельзя.

23