DLP — защита информации от утечек | Zecurion • У аббревиатуры DLP существует множество разных значений и трактовок, • среди которых Data Loss Prevention, Data Leak Prevention и другие. Тем не менее, на рынке информационной безопасности все же превалирует расшифровка Data Loss Prevention, из определения которой следует, что система такого класса должна предотвращать утечки информации. Основной задачей любой системы класса Data Loss Prevention является минимизация рисков внутренних угроз информационной безопасности или, простыми словами, защита конфиденциальной информации от внутренних нарушителей — инсайдеров. Инсайдером может оказаться абсолютно любой сотрудник компании. Обладая доступом к конфиденциальной информации, нарушитель может передать ее конкурентам намеренно, с целью собственной выгоды или совершенно случайно, по невнимательности и неосведомленности, нанеся тем самым огромный ущерб всей организации. Согласно данным аналитического центра Zecurion Analytics, только 24, 2% всех зафиксированных инцидентов приходится именно на умышленные утечки информации. Впрочем, современные DLP-системы предусматривают различные сценарии распространения данных и защищают как от случайных, так и намеренных утечек информации.
• • • Классификация DLP-систем Существуют различные подходы к классификации DLP-систем. Так, с точки зрения архитектуры существуют шлюзовые и хостовые решения, а с точки зрения предотвращения утечек — активные и пассивные. Однако болееменее сложившееся представление рынка указывают на наличие общих ключевых характеристик, позволяющих отнести ИБ-решения к классу Data Loss Prevention: Тотальный контроль каналов утечки. Основные каналы утечки информации составляют две большие группы: локальные (USB, принтеры, а также любые периферийные устройства, на которые можно скопировать конфиденциальную информацию) и сетевые каналы (такие как электронная почта, интернет-мессенджеры, социальные сети, сайты, форумы, блоги и т. п. ). Анализ информации. DLP-системы перехватывают весь трафик, выходящий за пределы корпоративной сети предприятий, и анализируют его на предмет наличия конфиденциальной информации. В передовых DLP-системах для обнаружения конфиденциальных данных обычно используются такие технологии как цифровые отпечатки, лингвистический анализ, анализ графических файлов (OCR), самообучающиеся технологии, и др. Блокирование утечек. На основании данных контентного анализа DLPсистема принимает решение согласно установленным политикам безопасности о разрешении или запрете передачи сообщения, записи или печати файла. Архивирование информации. Весь перехватываемый трафик DLP-система помещает в собственный архив, который создает полноценную базу для расследования инцидентов информационной безопасности.
Zecurion DLP • • • • • Zecurion DLP — комплексная система защиты от утечек корпоративной информации. Zecurion DLP является самым технологичным решением на рынке (по результатам обзора Anti-Malware) по состоянию на 2011 год, а сама компания Zecurion — лидером среди всех DLP-вендоров по объемам выручки (по данным рейтинга CNews за 2011 и 2012 годы). Zecurion DLP позволяет контролировать: Корпоративную электронную почту. Письма и вложения, отсылаемые через сервисы веб-почты. Общение в социальных сетях, на форумах и блогах (HTTP/HTTPS). Сообщения интернет-мессенджеров — ICQ, Mail. Ru Агент, QIP, Google Talk и более десяти других систем, включая Skype. FTP, POP 3, IMAP, SMTP и другие сетевые каналы. Файлы, записываемые на USB-накопители и любые внешние устройства. Печать на локальных и сетевых принтерах и другие каналы утечки. Наличие конфиденциальных данных, хранящихся на компьютерах пользователей и серверах. Доступ к информации, хранящейся на серверах, магнитных лентах и оптических дисках. Основные преимущества Zecurion DLP: Контроль всех наиболее опасных каналов утечки. Гибридный анализ перехваченных данных (эффективность более 95%) с использованием морфологии, «цифровых отпечатков» , регулярных выражений, OCR и собственной технологии Smart. ID. Поддержка анализа более 500 типов файлов. Возможность блокирования утечек в режиме реального времени. Архивирование всей перехваченной информации, возможности последующего поиска и анализа данных архива. Сканирование локальных и сетевых хранилищ для поиска файлов с конфиденциальной информацией. Защита данных в местах хранения — на серверах и резервных носителях информации. Единая консоль управления.
• • • Комплекс Zecurion DLP объединяет в себе Zgate для контроля всего сетевого трафика, Zlock для контроля периферийных устройств, Zdiscovery для обнаружения нарушений политик хранения конфиденциальных документов и Zecurion Zserver для шифрования серверов и магнитных лент. Защита от случайных утечек Несмотря на постоянный резонанс в СМИ по поводу краж корпоративной информации мошенниками, на практике большая часть утечек совершается по вине вполне лояльных сотрудников. Как показывает статистика последних лет, более ¾ от всех зафиксированных утечек происходит случайно. Большинство подобных утечек происходит из-за невнимательности, равнодушия, отсутствия или незнания политик безопасности, однако это не делает их менее опасными с точки зрения возможных последствий. Фактически, каждый сотрудник компании является инсайдером, а следовательно — потенциальным виновником утечки. Возможные сценарии случайных утечек: Скопировал документы на флешку, чтобы поработать дома, и потерял ее. Не знал, что документ конфиденциальный, и отправил его. Случайно ввел неправильный адрес при отправке письма с конфиденциальной информацией. Распечатал документ и выбросил его не уничтожив. Поделился с другом «по секрету» по аське. Выложил документ на открытый файлообменный ресурс вместо закрытого корпоративного.
• • Использование Zecurion DLP помогает сократить риски случайных утечек информации. Грамотная настройка политик безопасности создает «самозащищаемую» систему, которая автоматически включает механизм защиты при ненамеренных нарушениях информационной безопасности. В зависимости от выбранного режима работы Zecurion DLP либо блокирует несанкционированную передачу сообщения или копирование файла, либо разрешает действие, но уведомляет об этом администратора ИБ. Расследование инцидентов утечки корпоративной информации — важнейшая задача в рамках защиты от утечек, решаемая средствами Zecurion DLP. Далеко не всегда можно вычислить и обезвредить инсайдера в реальном времени, а для поиска виновных постфактум необходимо иметь максимум информации о происшествии. Если сравнить информационную систему организации с самолетом, то можно сказать, что архив в этой системе выполняет функцию «черного ящика» . Несмотря на то, что самолет оснащен множеством сложных и надежных систем, катастрофы все же случаются. При их расследовании именно информация «черных ящиков» помогает пролить свет на их обстоятельства и причины. В случае с DLP-системой понять, как именно происходят утечки информации, можно только по результатам анализа архивных данных. С одной стороны, это позволяет точно и быстро найти виновного в инциденте. С другой стороны, помогает понять как именно произошла утечка и оптимизировать настройки системы так, чтобы исключить повторение данного сценария в будущем. Архив Zecurion DLP является мощнейшим инструментом для изучения механизмов утечки и расследования инцидентов. Данные, сохраненные в архиве (так называемые «теневые копии» перехваченного трафика), составляют подробную базу, предоставляющую практически неограниченные возможности для дальнейшего анализа. Фильтрация и поиск данных по различным атрибутам и ключевым словам позволяет проводить ретроспективный анализ как для текущего аудита событий ИБ, так и при расследовании инцидентов. Часто утечки бывают результатом не какого-то одного действия конкретного сотрудника, а целого набор взаимосвязанных событий. Эти события могут быть разнесены по времени, задействовать и других сотрудников, и множество каналов коммуникации. Даже если обстоятельства утечки кажутся на первый взгляд очевидными, опытные специалисты по ИБ рекомендуют при каждом инциденте проводить анализ переписки и действий подозреваемого сотрудника и других задействованных пользователей, отслеживать историю событий и т. д. Найти истинную причину и виновника утечки можно только после глубокого анализа архивных данных. Ретроспективный анализ помогает не только для «лечения» произошедших инцидентов, но и для «профилактики» будущих. Поэтому рекомендуется регулярно проводить анализ архивных данных, в конечном счете это существенно повышает эффект от внедрения DLP-системы.