Слайд 1 - НТКС Информационная безопасность

ПРЕДОТВРАТИТЬ НЕЛЬЗЯ,
ПОЙМАТЬ
Технологии «классического» DLP
МАКСИМ ЖАРНИКОВ
PHONE
+7 343 287 11 76
ЗАМ. ДИРЕКТОРА НТКС
EMAIL
ZHFF@NTKS-IT.RU
НТКС
Информационная безопасность
ЧТО ТАКОЕ DLP?
Extrusion
 Information
Content
Prevention
Monitoring
Protection
System
and
and
Filtering
Control
Data Infiltration,
Employee
Productivity
Management
Leak
Protection
Control,
Software
eDiscovery…
Data
Leak
Detection
Data
Data
Leakage
LossPrevention
Protection
Information
Prevention
DLP-РЕШЕНИЯ:
 продукты, позволяющие в режиме реального времени обнаружить и блокировать
несанкционированную передачу (утечку) конфиденциальной информации по какомулибо каналу коммуникации, используя информационную инфраструктуру предприятия
НТКС
Информационная безопасность
КАК РАБОТАЮТ DLP-СИСТЕМЫ
«Информационная» безопасность началась с появления DLP-систем.
До этого все продукты «ИБ» защищали не информацию, а
инфраструктуру — места хранения, передачи и обработки данных,
«данные вообще».
DLP-система научилась отличать конфиденциальную информацию
от неконфиденциальной.
НТКС
Информационная безопасность
ДВИЖЕНИЕ ИНФОРМАЦИИ В БИЗНЕС-ПРОЦЕССАХ
НТКС
Информационная безопасность
КАК РАБОТАЮТ DLP-СИСТЕМЫ
Ядро DLP – технологии категоризации информации.
Остальные элементы архитектуры (перехватчики протоколов, парсеры
форматов, управление инцидентами, системные агенты и хранилища
данных) у большинства DLP-систем идентичны, стандартны.
НТКС
Информационная безопасность
КАК РАБОТАЮТ DLP-СИСТЕМЫ
ОСНОВНЫЕ ГРУППЫ ТЕХНОЛОГИЙ КАТЕГОРИЗАЦИИ
1
ЛИНГВИСТИЧЕСКИЙ АНАЛИЗ
Морфологический
Семантический
3
2
СТАТИСТИЧЕСКИЕ МЕТОДЫ
Digital Fingerprints
Document DNA
Антиплагиат
ДРУГИЕ ТЕХНОЛОГИИ
Метки, атрибуты
Анализаторы формальных структур
НТКС
Информационная безопасность
ТЕХНОЛОГИИ КАТЕГОРИЗАЦИИ:
ЛИНГВИСТИЧЕСКИЙ АНАЛИЗ


ИСПОЛЬЗОВАНИЕ СТОП-СЛОВ
КОНТЕКСТНЫЙ АНАЛИЗ
(ОЦЕНКА, В СОЧЕТАНИИ С КАКИМИ
ДРУГИМИ СЛОВАМИ ИСПОЛЬЗУЕТСЯ
КОНКРЕТНЫЙ ТЕРМИН)

СЕМАНТИЧЕСКИЙ АНАЛИЗ
(СООТНОШЕНИЕ ОБЩЕГО КОЛИЧЕСТВА
СЛОВ В ТЕКСТЕ И ЗНАЧИМЫХ СЛОВ,
СОСТАВЛЯЮЩИХ СЕМАНТИЧЕСКОЕ
ЯДРО)
НТКС
Информационная безопасность
ДОСТОИНСТВА ЛИНГВИСТИЧЕСКИХ ТЕХНОЛОГИЙ
РАБОТАЮТ НАПРЯМУЮ С СОДЕРЖИМЫМ
невзирая на отсутствие формальных меток и грифов
ОБУЧАЕМОСТЬ
лингвистический движок умеет учиться на своих ошибках
МАСШТАБИРУЕМОСТЬ
скорость работы не зависит от числа категорий
ПРОСТОТА НАСТРОЙКИ
свежее преимущество, появившееся с «автолингвистами»
КАТЕГОРИИ, НЕ СВЯЗАННЫЕ С БИЗНЕС-ДАННЫМИ
противоправная деятельность, слухи, личные дела и т.п.
НТКС
Информационная безопасность
НЕДОСТАТКИ ЛИНГВИСТИЧЕСКИХ ТЕХНОЛОГИЙ
ЗАВИСИМОСТЬ ОТ ЯЗЫКА
в разных языках очень заметные конструктивные отличия
НЕ ВСЯ КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
НАХОДИТСЯ В ВИДЕ СВЯЗНЫХ ТЕКСТОВ
и лингвистические технологии бесполезны для чисел, кода,
изображений, медиа.
ВЕРОЯТНОСТНЫЙ ПОДХОД
есть возможность утечки или блокирования легитимного БП
СЛОЖНОСТЬ РАЗРАБОТКИ ДВИЖКА
НТКС
Информационная безопасность
ТЕХНОЛОГИИ КАТЕГОРИЗАЦИИ:
СТАТИСТИЧЕСКИЕ МЕТОДЫ
В ОСНОВЕ СТАТИСТИЧЕСКИХ МЕТОДОВ - ЗАДАЧА КОМПЬЮТЕРНОГО ПОИСКА ЗНАЧИМЫХ
ЦИТАТ.
ТЕКСТ (КОД СОДЕРЖИМОГО ФАЙЛА) ДЕЛИТСЯ НА КУСКИ ОПРЕДЕЛЕННОГО РАЗМЕРА, С
КАЖДОГО ИЗ КОТОРЫХ СНИМАЕТСЯ ХЕШ.
ЕСЛИ НЕКОТОРАЯ ПОСЛЕДОВАТЕЛЬНОСТЬ ХЕШЕЙ ВСТРЕЧАЕТСЯ В ДВУХ ТЕКСТАХ (ФАЙЛАХ)
ОДНОВРЕМЕННО, ТО С БОЛЬШОЙ ВЕРОЯТНОСТЬЮ ТЕКСТЫ (ФАЙЛЫ) В ЭТИХ ОБЛАСТЯХ
СОВПАДАЮТ.
НТКС
Информационная безопасность
ДОСТОИНСТВА СТАТИСТИЧЕСКИХ МЕТОДОВ
ОДИНАКОВО ХОРОШО РАБОТАЮТ С ТЕКСТАМИ
на любых языках
МОГУТ ПРИМЕНЯТЬСЯ ДЛЯ АНАЛИЗА ЛЮБЫХ
ЦИФРОВЫХ ОБЪЕКТОВ
Статистические методы являются эффективными средствами
защиты от утечки аудио и видео, активно применяющиеся в
музыкальных студиях и кинокомпаниях.
ОПРЕДЕЛЯЮТ С ХОРОШЕЙ ТОЧНОСТЬЮ ОПРЕДЕЛИТЬ
ЦИТАТУ
Это сильно облегчает защиту нечасто изменяющихся и уже
категоризированных файлов.
НТКС
Информационная безопасность
НЕДОСТАТКИ СТАТИСТИЧЕСКИХ МЕТОДОВ
ОТВЕТСТВЕННОСТЬ ЗА ОБУЧЕНИЕ СИСТЕМЫ ЛЕЖИТ НА
ПОЛЬЗОВАТЕЛЕ
из-за простоты обучения системы (указал системе файл, и он уже защищен)
ФИЗИЧЕСКИЙ РАЗМЕР ОТПЕЧАТКА
увеличение числа отпечатков-образцов увеличивает время анализа
ВЕРОЯТНОСТНЫЙ ПОДХОД
есть возможность утечки или блокирования легитимного БП
ОТПЕЧАТОК ДИНАМИЧЕСКОГО ОБЪЕКТА
Время снятия отпечатка напрямую зависит от размера файла и его формата.
Если время снятия больше, чем время неизменности объекта, то задача
решения не имеет.
НТКС
Информационная безопасность
ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ
Лингвистике не нужны образцы, она категоризирует данные на ходу и
может защищать информацию, с которой не был или не может быть
снят отпечаток.
Отпечаток дает лучшую точность и поэтому предпочтительнее для
использования в автоматическом режиме.
Лингвистика отлично работает с текстами, отпечатки — с иными
форматами хранения информации.
НТКС
Информационная безопасность
ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ
Большинство компаний-лидеров разработки DLP используют в своих
продуктах обе технологии, при этом одна из них является основной, а
другая — дополнительной. Каждый разработчик пришел к сочетанию
методов, от какой-либо одной технологии.
В идеале эти две технологии нужно использовать не параллельно, а
последовательно и выборочно. Это сильно экономит вычислительные
ресурсы.
НТКС
Информационная безопасность
КАК РАБОТАЮТ DLP-СИСТЕМЫ:
ШЛЮЗОВАЯ И ХОСТОВАЯ СХЕМА
В ШЛЮЗОВЫХ DLP ИСПОЛЬЗУЕТСЯ ЕДИНЫЙ СЕРВЕР, НА КОТОРЫЙ НАПРАВЛЯЕТСЯ ВЕСЬ
ИСХОДЯЩИЙ СЕТЕВОЙ ТРАФИК КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ. ЭТОТ
ШЛЮЗ ЗАНИМАЕТСЯ ЕГО ОБРАБОТКОЙ В ЦЕЛЯХ ВЫЯВЛЕНИЯ ВОЗМОЖНЫХ УТЕЧЕК
КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ.
ХОСТОВОЕ DLP-РЕШЕНИЕ ОСНОВАНО НА ИСПОЛЬЗОВАНИИ СПЕЦИАЛЬНЫХ ПРОГРАММ:
АГЕНТОВ, КОТОРЫЕ УСТАНАВЛИВАЮТСЯ НА КОНЕЧНЫХ УЗЛАХ СЕТИ – РАБОЧИХ СТАНЦИЯХ,
СЕРВЕРАХ ПРИЛОЖЕНИЙ И ПР.
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ И ХОСТОВАЯ СХЕМА
ШЛЮЗОВЫЕ DLP:
«Дозор Джет», InfoWatch Traffic Monitor, Websense Data Security, McAfee
Data Loss Prevention и FalconGaze SecureTower
ХОСТОВЫЕ DLP:
DeviceLock (SmartLine Inc), Zlock (Zecurion)
Долгое время хостовые и шлюзовые DLP-системы развивались
параллельно, не пересекаясь друг с другом. При этом шлюзовые
применялись для контроля сетевого трафика, а хостовые – для мониторинга
локальных устройств, использующихся для переноса информации.
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА
ШЛЮЗ – это защита от утечек через протоколы сети интернет-сервисов.
ПРЕИМУЩЕСТВА:
Легкость ввода в эксплуатацию, обслуживания и управления.
Высокая степень защищенности от несанкционированного вмешательства
в ее работу со стороны пользователей
НЕДОСТАТКИ:
Ограниченная область применения, невозможно контролировать
происходящее на конечных точках корпоративной сети с их помощью.
Проблематичность контроля некоторых видов сетевого трафика.
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА
ФУНКЦИОНАЛЬНАЯ СХЕМА ШЛЮЗОВОГО РЕШЕНИЯ,
РАБОТАЮЩЕГО В РЕЖИМЕ БЛОКИРОВАНИЯ
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ШЛЮЗОВАЯ СХЕМА
ФУНКЦИОНАЛЬНАЯ СХЕМА ШЛЮЗОВОГО РЕШЕНИЯ,
РАБОТАЮЩЕГО В РЕЖИМЕ МОНИТОРИНГА
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА
Хостовые DLP-системы основаны на использовании специальных агентов,
которые инсталлируются на конечных точках корпоративной сети.
Они контролируют деятельность пользователей компьютеров,
регистрируют все действия и передают их в централизованное хранилище,
позволяя сотрудникам отдела информационной безопасности получить
полную картину происходящего.
Использование программ-агентов ограничивает сферу применения
хостовых DLP-систем: они способны видеть лишь локальные или сетевые
устройства, подключенные непосредственно к тем компьютерам, на которых
они работают.
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА
ФУНКЦИОНАЛЬНАЯ СХЕМА ХОСТОВОГО РЕШЕНИЯ
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА
ПРЕИМУЩЕСТВА:
Широкие возможности по контролю и блокированию действий пользователей,
например, для противодействия случаям нецелевого использования
компьютеров.
НЕДОСТАТКИ:
Сложный процесс внедрения в эксплуатацию и последующее
администрирование. При изменении правил безопасности администратору
необходимо обеспечить их распространение на все конечные станции сети.
Меньшая защищенность от несанкционированного вмешательства в их работу со
стороны пользователей.
НТКС
Информационная безопасность
КАК РАБОТАЕТ DLP: ХОСТОВАЯ СХЕМА
Наблюдается стойкая тенденция к универсализации DLP-систем.
Почти совсем не осталось решений, которые можно было бы назвать
сугубо хостовыми или шлюзовыми.
Zecurion: Zlock + Zgate, DeviceLock: + модуль сетевого контроля
«Дозор Джет», InfoWatch, FаlconGaze: + программа-агент
Причины универсализации: запрос на комплексную защиту, а также
снятие технологические ограничений сугубо шлюзовых DLP-систем.
НТКС
Информационная безопасность