© 1995-2022 Компания «Инфосистемы Джет»
DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение Программное обеспечение

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Главная>Программное обеспечение>DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение Тема номера

DLP – не роскошь, а средство комфортного предупреждения утечек

19.09.2012

Посетителей: 68

Просмотров: 51

Время просмотра: 0.5 мин.

Авторы

Автор
Михаил Аношин Менеджер по работе с заказчиками компании "Инфосистемы Джет"
Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем. Это странное поначалу сравнение при ближайшем рассмотрении оказывается вполне уместным и облегчает понимание принципов работы решения. Действительно, полнофункциональный DLP-комплекс, как и хороший автомобиль, должен упрощать выполнение ежедневных задач, не создавая при этом дополнительных проблем и трудностей с его использованием. Как и водителю, офицеру информационной безопасности нужно за счет своего технического средства достичь определенной цели. Причем желательно сделать это быстро и с комфортом. Ниже мы рассмотрим каждый крупный функциональный узел комплекса защиты от утечек информации «Дозор-Джет» с точки зрения нашей аналогии. Для удобства в рамках статьи приравняем понятия «водитель» и «офицер ИБ», а также «машина» и «DLP-решение “Дозор-Джет”».

 

 

 

Внешний вид: эргономично и стильно

 

Обычно знакомство с машиной начинается с ее внешнего вида. Водителю нужно, чтобы приборная панель автомобиля была интуитивно понятна, удобна в использовании и позволяла быстро получить всю необходимую информацию. В комплексе «Дозор-Джет» в качестве приборной панели выступает интерфейс офицера ИБ. Интерфейс за несколько секунд позволяет оценить состояние нашей «DLP-машины»: не закончилось ли свободное место в базе данных, выполняется ли обработка писем, обнаружены ли инциденты и т.д. При его разработке мы учитывали требования функциональности и эргономики: офицер ИБ должен быстро получить интересующую его информацию, при этом «приборная панель» не должна быть перегружена.

Сердце железного коня

 

Одной из самых главных частей машины считается двигатель. Мы полагаем, что это вполне справедливо и для комплекса защиты от утечек информации. Двигателем нашей «машины» является центральная часть комплекса – система архивирования и анализа. В ней находятся фильтры, обеспечивающие основной функционал DLP-решения – разбор и анализ перехваченных сообщений. Мощности «двигателя» хватает, чтобы разбирать все вложения до самого последнего уровня. Многочисленное число настроек позволяет выполнить тонкий «тюнинг» двигателя для выделения максимально полезной информации из всего потока.

 

И чтобы ехала сама

 

Наряду с двигателем важной частью автомобиля является трансмиссия: она использует его для приведения машины в движение. При этом в современных условиях перегруженности дорог автоматическая коробка передач является настоящим спасением. То же, по большей части, относится и к «DLP-машине»: информационный поток очень велик, и необходим инструмент, позволяющий повысить комфорт использования системы и упростить ее эксплуатацию. Основная задача здесь – максимально сократить время, затрачиваемое офицером ИБ на эксплуатацию решения.

 

В роли автоматической коробки передач в «DLP-машине» «Дозор-Джет» выступают два инструмента: модуль идентификаторов IDID и модуль цифровых отпечатков DIFI. Они оба призваны автоматизировать процесс анализа сообщений, разобранных системой архивирования и анализа. Модуль идентификаторов IDID позволяет простым проставлением «галочек» в интерфейсе обнаруживать и обрабатывать различные идентификаторы в теле перехваченного сообщения. В табл. 1 приведен их краткий список.

 

Табл. 1. Перечень анализируемых модулем IDID идентификаторов

 

Этот функционал позволяет значительно упростить разбор сообщений и поддерживать соответствие таким законам и стандартам, как ¹ 152-ФЗ и PCI DSS.

 

Модуль цифровых отпечатков DIFI призван обнаруживать определенные документы. В начале работы создается база эталонных документов, распространение которых необходимо контролировать. Далее с них формируются цифровые отпечатки. Все перехваченные сообщения проходят проверку на соответствие эталонам из базы, причем обнаруживается как полное, так и частичное совпадение. Например, если из финансового отчета взяли всего несколько таблиц и абзацев текста, модуль обнаружит сходство определенного процента с эталоном «финансовый отчет».

 

Далеко ли уедем?

 

Топливным баком в нашей «DLP-машине» является архив сообщений. Как известно, водителю нужен вместительный топливный бак. Так и в случае с архивом: одним из главных требований к DLP-системе является долговременное хранение большого объема данных. Архив комплекса «Дозор-Джет» может вмещать в себя практически неограниченное количество писем. Так, мы реализовывали проекты с хранилищем в 100 ТБ.

 

Помимо вместимости, важным параметром является и скорость работы с архивом. Отметим, что технология использования файлового хранилища, реализованная в решении «Дозор-Джет», позволяет вывести ее на новый уровень. Суть технологии заключается в том, что в БД попадают только метаданные о письме: заголовки и текстовый индекс. Само тело письма хранится в файловом хранилище. Это значительно экономит место, а скорость работы архива в некоторых случаях увеличивается до сотни раз.

 

Рис. 2. Общая схема комплекса «Дозор-Джет»
Если отойти от аналогии с автомобилем, схема комплекса может быть представлена в следующем виде:

 

Чем заправлять?

 

Топливом для «DLP-машины» выступают сообщения с различных сервисов, наполняющие наш бак-архив. Нужно сказать, что бензоколонкой в нашей аналогии является система пассивного перехвата сообщений. Ÿ производительность позволяет обрабатывать до 10 Гбит/с. Причем топливо может быть совершенно разным – от сообщений, передаваемых через интернет, до файлов, отправляемых на печать/копируемых на флешку, или голосовых вызовов Skype (см. рис. 1).

 

Интересной особенностью системы является метод детектирования сообщений: в данном случае используется сигнатурный анализ. Эта технология позволяет с очень высоким процентом точности определить сервис, на который было отправлено сообщение, т.е. использование так называемых анонимайзеров не введет комплекс в заблуждение.

 

Рис. 1. Виды топлива «DLP-машины» – иллюстрация перехватываемых сервисов

 

В итоге мы получаем полнофункциональную «DLP-машину» – современное средство, комфортно и оперативно доставляющее к цели. Ее двигателем является система архивирования и анализа, автоматической коробкой передач – модули IDID и DIFI, топливным баком – архив, а самим топливом – сообщения, перехватываемые практически с любого вида сервиса обмена информацией.

Уведомления об обновлении тем – в вашей почте

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

Не совсем информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

Заставьте вашу DLP-систему работать

Об основных причинах возникновения проблем с DLP и способах их устранения

Контентная фильтрация

В последние годы специалисты в области информационной безопасности (ИБ) большое внимание уделяют контентной фильтрации. Происходит это потому, что современные угрозы ИБ невозможно устранить без применения данной технологии. Обоснование этого ...

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Внедрение системы контроля утечек информации на основе Symantec DLP в «Евразийском банке»

Евразийский банк является активным участником финансового рынка Казахстана. На начало 2009 года банк представлен во всех крупнейших городах Казахстана 18 филиалами и 50 отделениями.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня