© 1995-2021 Компания «Инфосистемы Джет»
DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Программное обеспечение Тема номера

DLP – не роскошь, а средство комфортного предупреждения утечек

19.09.2012

Посетителей: 28

Просмотров: 21

Время просмотра: 0.2 мин.

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем. Это странное поначалу сравнение при ближайшем рассмотрении оказывается вполне уместным и облегчает понимание принципов работы решения. Действительно, полнофункциональный DLP-комплекс, как и хороший автомобиль, должен упрощать выполнение ежедневных задач, не создавая при этом дополнительных проблем и трудностей с его использованием. Как и водителю, офицеру информационной безопасности нужно за счет своего технического средства достичь определенной цели. Причем желательно сделать это быстро и с комфортом. Ниже мы рассмотрим каждый крупный функциональный узел комплекса защиты от утечек информации «Дозор-Джет» с точки зрения нашей аналогии. Для удобства в рамках статьи приравняем понятия «водитель» и «офицер ИБ», а также «машина» и «DLP-решение “Дозор-Джет”».

 

 

 

Внешний вид: эргономично и стильно

 

Обычно знакомство с машиной начинается с ее внешнего вида. Водителю нужно, чтобы приборная панель автомобиля была интуитивно понятна, удобна в использовании и позволяла быстро получить всю необходимую информацию. В комплексе «Дозор-Джет» в качестве приборной панели выступает интерфейс офицера ИБ. Интерфейс за несколько секунд позволяет оценить состояние нашей «DLP-машины»: не закончилось ли свободное место в базе данных, выполняется ли обработка писем, обнаружены ли инциденты и т.д. При его разработке мы учитывали требования функциональности и эргономики: офицер ИБ должен быстро получить интересующую его информацию, при этом «приборная панель» не должна быть перегружена.

Сердце железного коня

 

Одной из самых главных частей машины считается двигатель. Мы полагаем, что это вполне справедливо и для комплекса защиты от утечек информации. Двигателем нашей «машины» является центральная часть комплекса – система архивирования и анализа. В ней находятся фильтры, обеспечивающие основной функционал DLP-решения – разбор и анализ перехваченных сообщений. Мощности «двигателя» хватает, чтобы разбирать все вложения до самого последнего уровня. Многочисленное число настроек позволяет выполнить тонкий «тюнинг» двигателя для выделения максимально полезной информации из всего потока.

 

И чтобы ехала сама

 

Наряду с двигателем важной частью автомобиля является трансмиссия: она использует его для приведения машины в движение. При этом в современных условиях перегруженности дорог автоматическая коробка передач является настоящим спасением. То же, по большей части, относится и к «DLP-машине»: информационный поток очень велик, и необходим инструмент, позволяющий повысить комфорт использования системы и упростить ее эксплуатацию. Основная задача здесь – максимально сократить время, затрачиваемое офицером ИБ на эксплуатацию решения.

 

В роли автоматической коробки передач в «DLP-машине» «Дозор-Джет» выступают два инструмента: модуль идентификаторов IDID и модуль цифровых отпечатков DIFI. Они оба призваны автоматизировать процесс анализа сообщений, разобранных системой архивирования и анализа. Модуль идентификаторов IDID позволяет простым проставлением «галочек» в интерфейсе обнаруживать и обрабатывать различные идентификаторы в теле перехваченного сообщения. В табл. 1 приведен их краткий список.

 

Табл. 1. Перечень анализируемых модулем IDID идентификаторов

 

Этот функционал позволяет значительно упростить разбор сообщений и поддерживать соответствие таким законам и стандартам, как ¹ 152-ФЗ и PCI DSS.

 

Модуль цифровых отпечатков DIFI призван обнаруживать определенные документы. В начале работы создается база эталонных документов, распространение которых необходимо контролировать. Далее с них формируются цифровые отпечатки. Все перехваченные сообщения проходят проверку на соответствие эталонам из базы, причем обнаруживается как полное, так и частичное совпадение. Например, если из финансового отчета взяли всего несколько таблиц и абзацев текста, модуль обнаружит сходство определенного процента с эталоном «финансовый отчет».

 

Далеко ли уедем?

 

Топливным баком в нашей «DLP-машине» является архив сообщений. Как известно, водителю нужен вместительный топливный бак. Так и в случае с архивом: одним из главных требований к DLP-системе является долговременное хранение большого объема данных. Архив комплекса «Дозор-Джет» может вмещать в себя практически неограниченное количество писем. Так, мы реализовывали проекты с хранилищем в 100 ТБ.

 

Помимо вместимости, важным параметром является и скорость работы с архивом. Отметим, что технология использования файлового хранилища, реализованная в решении «Дозор-Джет», позволяет вывести ее на новый уровень. Суть технологии заключается в том, что в БД попадают только метаданные о письме: заголовки и текстовый индекс. Само тело письма хранится в файловом хранилище. Это значительно экономит место, а скорость работы архива в некоторых случаях увеличивается до сотни раз.

 

Рис. 2. Общая схема комплекса «Дозор-Джет»
Если отойти от аналогии с автомобилем, схема комплекса может быть представлена в следующем виде:

 

Чем заправлять?

 

Топливом для «DLP-машины» выступают сообщения с различных сервисов, наполняющие наш бак-архив. Нужно сказать, что бензоколонкой в нашей аналогии является система пассивного перехвата сообщений. Ÿ производительность позволяет обрабатывать до 10 Гбит/с. Причем топливо может быть совершенно разным – от сообщений, передаваемых через интернет, до файлов, отправляемых на печать/копируемых на флешку, или голосовых вызовов Skype (см. рис. 1).

 

Интересной особенностью системы является метод детектирования сообщений: в данном случае используется сигнатурный анализ. Эта технология позволяет с очень высоким процентом точности определить сервис, на который было отправлено сообщение, т.е. использование так называемых анонимайзеров не введет комплекс в заблуждение.

 

Рис. 1. Виды топлива «DLP-машины» – иллюстрация перехватываемых сервисов

 

В итоге мы получаем полнофункциональную «DLP-машину» – современное средство, комфортно и оперативно доставляющее к цели. Ее двигателем является система архивирования и анализа, автоматической коробкой передач – модули IDID и DIFI, топливным баком – архив, а самим топливом – сообщения, перехватываемые практически с любого вида сервиса обмена информацией.

Читайте нас в Telegram

Уведомления об обновлении тем – в вашей почте

База знаний предприятия на основе систем управления контентом

Самой большой ценностью любой компании является прежде всего ее «интеллект» – практические знания и опыт всех сотрудников, полученные в процессе выполнения различного рода задач.

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня