DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение Программное обеспечение

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Главная>Программное обеспечение>DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение Тема номера

DLP – не роскошь, а средство комфортного предупреждения утечек

Дата публикации:
19.09.2012
Посетителей:
180
Просмотров:
150
Время просмотра:
2.3

Авторы

Автор
Михаил Аношин Менеджер по работе с заказчиками компании "Инфосистемы Джет"
Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем. Это странное поначалу сравнение при ближайшем рассмотрении оказывается вполне уместным и облегчает понимание принципов работы решения. Действительно, полнофункциональный DLP-комплекс, как и хороший автомобиль, должен упрощать выполнение ежедневных задач, не создавая при этом дополнительных проблем и трудностей с его использованием. Как и водителю, офицеру информационной безопасности нужно за счет своего технического средства достичь определенной цели. Причем желательно сделать это быстро и с комфортом. Ниже мы рассмотрим каждый крупный функциональный узел комплекса защиты от утечек информации «Дозор-Джет» с точки зрения нашей аналогии. Для удобства в рамках статьи приравняем понятия «водитель» и «офицер ИБ», а также «машина» и «DLP-решение “Дозор-Джет”».

 

 

 

Внешний вид: эргономично и стильно

 

Обычно знакомство с машиной начинается с ее внешнего вида. Водителю нужно, чтобы приборная панель автомобиля была интуитивно понятна, удобна в использовании и позволяла быстро получить всю необходимую информацию. В комплексе «Дозор-Джет» в качестве приборной панели выступает интерфейс офицера ИБ. Интерфейс за несколько секунд позволяет оценить состояние нашей «DLP-машины»: не закончилось ли свободное место в базе данных, выполняется ли обработка писем, обнаружены ли инциденты и т.д. При его разработке мы учитывали требования функциональности и эргономики: офицер ИБ должен быстро получить интересующую его информацию, при этом «приборная панель» не должна быть перегружена.

Сердце железного коня

 

Одной из самых главных частей машины считается двигатель. Мы полагаем, что это вполне справедливо и для комплекса защиты от утечек информации. Двигателем нашей «машины» является центральная часть комплекса – система архивирования и анализа. В ней находятся фильтры, обеспечивающие основной функционал DLP-решения – разбор и анализ перехваченных сообщений. Мощности «двигателя» хватает, чтобы разбирать все вложения до самого последнего уровня. Многочисленное число настроек позволяет выполнить тонкий «тюнинг» двигателя для выделения максимально полезной информации из всего потока.

 

И чтобы ехала сама

 

Наряду с двигателем важной частью автомобиля является трансмиссия: она использует его для приведения машины в движение. При этом в современных условиях перегруженности дорог автоматическая коробка передач является настоящим спасением. То же, по большей части, относится и к «DLP-машине»: информационный поток очень велик, и необходим инструмент, позволяющий повысить комфорт использования системы и упростить ее эксплуатацию. Основная задача здесь – максимально сократить время, затрачиваемое офицером ИБ на эксплуатацию решения.

 

В роли автоматической коробки передач в «DLP-машине» «Дозор-Джет» выступают два инструмента: модуль идентификаторов IDID и модуль цифровых отпечатков DIFI. Они оба призваны автоматизировать процесс анализа сообщений, разобранных системой архивирования и анализа. Модуль идентификаторов IDID позволяет простым проставлением «галочек» в интерфейсе обнаруживать и обрабатывать различные идентификаторы в теле перехваченного сообщения. В табл. 1 приведен их краткий список.

 

Табл. 1. Перечень анализируемых модулем IDID идентификаторов

 

Этот функционал позволяет значительно упростить разбор сообщений и поддерживать соответствие таким законам и стандартам, как ¹ 152-ФЗ и PCI DSS.

 

Модуль цифровых отпечатков DIFI призван обнаруживать определенные документы. В начале работы создается база эталонных документов, распространение которых необходимо контролировать. Далее с них формируются цифровые отпечатки. Все перехваченные сообщения проходят проверку на соответствие эталонам из базы, причем обнаруживается как полное, так и частичное совпадение. Например, если из финансового отчета взяли всего несколько таблиц и абзацев текста, модуль обнаружит сходство определенного процента с эталоном «финансовый отчет».

 

Далеко ли уедем?

 

Топливным баком в нашей «DLP-машине» является архив сообщений. Как известно, водителю нужен вместительный топливный бак. Так и в случае с архивом: одним из главных требований к DLP-системе является долговременное хранение большого объема данных. Архив комплекса «Дозор-Джет» может вмещать в себя практически неограниченное количество писем. Так, мы реализовывали проекты с хранилищем в 100 ТБ.

 

Помимо вместимости, важным параметром является и скорость работы с архивом. Отметим, что технология использования файлового хранилища, реализованная в решении «Дозор-Джет», позволяет вывести ее на новый уровень. Суть технологии заключается в том, что в БД попадают только метаданные о письме: заголовки и текстовый индекс. Само тело письма хранится в файловом хранилище. Это значительно экономит место, а скорость работы архива в некоторых случаях увеличивается до сотни раз.

 

Рис. 2. Общая схема комплекса «Дозор-Джет»
Если отойти от аналогии с автомобилем, схема комплекса может быть представлена в следующем виде:

 

Чем заправлять?

 

Топливом для «DLP-машины» выступают сообщения с различных сервисов, наполняющие наш бак-архив. Нужно сказать, что бензоколонкой в нашей аналогии является система пассивного перехвата сообщений. Ÿ производительность позволяет обрабатывать до 10 Гбит/с. Причем топливо может быть совершенно разным – от сообщений, передаваемых через интернет, до файлов, отправляемых на печать/копируемых на флешку, или голосовых вызовов Skype (см. рис. 1).

 

Интересной особенностью системы является метод детектирования сообщений: в данном случае используется сигнатурный анализ. Эта технология позволяет с очень высоким процентом точности определить сервис, на который было отправлено сообщение, т.е. использование так называемых анонимайзеров не введет комплекс в заблуждение.

 

Рис. 1. Виды топлива «DLP-машины» – иллюстрация перехватываемых сервисов

 

В итоге мы получаем полнофункциональную «DLP-машину» – современное средство, комфортно и оперативно доставляющее к цели. Ее двигателем является система архивирования и анализа, автоматической коробкой передач – модули IDID и DIFI, топливным баком – архив, а самим топливом – сообщения, перехватываемые практически с любого вида сервиса обмена информацией.

Уведомления об обновлении тем – в вашей почте

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

Комплекс защиты от утечек информации «Дозор-Джет»: общая архитектура и функциональные возможности

Комплекс защиты от утечек информации «Дозор-Джет» представляет собой DLP-систему, ядром которой является «Система архивирования и анализа «Дозор-Джет», вот уже более 10 лет развиваемая компанией «Инфосистемы Джет».

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

"Дозор-Джет" демонстрирует новый рекорд производительности

Специалисты компании "Инфосистемы Джет" провели тестирования продуктов линейки "Дозор-Джет" на новой платформе Sun Microsystems — серверах Sun Fire Т1000/Т2000 с технологией CoolThreads.

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

Контроль использования интернет- ресурсов

Сегодня трудно переоценить значение Интернета в жизнедеятельности компаний, организаций или предприятий. С каждым днем этот сервис занимает все более значительное место. Интернет становится основным бизнесинструментом, реально приносящим ...

DLP как пазл, который должен сложиться

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Заставьте вашу DLP-систему работать

Об основных причинах возникновения проблем с DLP и способах их устранения

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня