© 1995-2021 Компания «Инфосистемы Джет»
DLP – не роскошь, а средство комфортного предупреждения утечек
Программное обеспечение

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Программное обеспечение Тема номера

DLP – не роскошь, а средство комфортного предупреждения утечек

19.09.2012

Посетителей: 28

Просмотров: 21

Время просмотра: 0.2 мин.

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем. Это странное поначалу сравнение при ближайшем рассмотрении оказывается вполне уместным и облегчает понимание принципов работы решения. Действительно, полнофункциональный DLP-комплекс, как и хороший автомобиль, должен упрощать выполнение ежедневных задач, не создавая при этом дополнительных проблем и трудностей с его использованием. Как и водителю, офицеру информационной безопасности нужно за счет своего технического средства достичь определенной цели. Причем желательно сделать это быстро и с комфортом. Ниже мы рассмотрим каждый крупный функциональный узел комплекса защиты от утечек информации «Дозор-Джет» с точки зрения нашей аналогии. Для удобства в рамках статьи приравняем понятия «водитель» и «офицер ИБ», а также «машина» и «DLP-решение “Дозор-Джет”».

 

 

 

Внешний вид: эргономично и стильно

 

Обычно знакомство с машиной начинается с ее внешнего вида. Водителю нужно, чтобы приборная панель автомобиля была интуитивно понятна, удобна в использовании и позволяла быстро получить всю необходимую информацию. В комплексе «Дозор-Джет» в качестве приборной панели выступает интерфейс офицера ИБ. Интерфейс за несколько секунд позволяет оценить состояние нашей «DLP-машины»: не закончилось ли свободное место в базе данных, выполняется ли обработка писем, обнаружены ли инциденты и т.д. При его разработке мы учитывали требования функциональности и эргономики: офицер ИБ должен быстро получить интересующую его информацию, при этом «приборная панель» не должна быть перегружена.

Сердце железного коня

 

Одной из самых главных частей машины считается двигатель. Мы полагаем, что это вполне справедливо и для комплекса защиты от утечек информации. Двигателем нашей «машины» является центральная часть комплекса – система архивирования и анализа. В ней находятся фильтры, обеспечивающие основной функционал DLP-решения – разбор и анализ перехваченных сообщений. Мощности «двигателя» хватает, чтобы разбирать все вложения до самого последнего уровня. Многочисленное число настроек позволяет выполнить тонкий «тюнинг» двигателя для выделения максимально полезной информации из всего потока.

 

И чтобы ехала сама

 

Наряду с двигателем важной частью автомобиля является трансмиссия: она использует его для приведения машины в движение. При этом в современных условиях перегруженности дорог автоматическая коробка передач является настоящим спасением. То же, по большей части, относится и к «DLP-машине»: информационный поток очень велик, и необходим инструмент, позволяющий повысить комфорт использования системы и упростить ее эксплуатацию. Основная задача здесь – максимально сократить время, затрачиваемое офицером ИБ на эксплуатацию решения.

 

В роли автоматической коробки передач в «DLP-машине» «Дозор-Джет» выступают два инструмента: модуль идентификаторов IDID и модуль цифровых отпечатков DIFI. Они оба призваны автоматизировать процесс анализа сообщений, разобранных системой архивирования и анализа. Модуль идентификаторов IDID позволяет простым проставлением «галочек» в интерфейсе обнаруживать и обрабатывать различные идентификаторы в теле перехваченного сообщения. В табл. 1 приведен их краткий список.

 

Табл. 1. Перечень анализируемых модулем IDID идентификаторов

 

Этот функционал позволяет значительно упростить разбор сообщений и поддерживать соответствие таким законам и стандартам, как ¹ 152-ФЗ и PCI DSS.

 

Модуль цифровых отпечатков DIFI призван обнаруживать определенные документы. В начале работы создается база эталонных документов, распространение которых необходимо контролировать. Далее с них формируются цифровые отпечатки. Все перехваченные сообщения проходят проверку на соответствие эталонам из базы, причем обнаруживается как полное, так и частичное совпадение. Например, если из финансового отчета взяли всего несколько таблиц и абзацев текста, модуль обнаружит сходство определенного процента с эталоном «финансовый отчет».

 

Далеко ли уедем?

 

Топливным баком в нашей «DLP-машине» является архив сообщений. Как известно, водителю нужен вместительный топливный бак. Так и в случае с архивом: одним из главных требований к DLP-системе является долговременное хранение большого объема данных. Архив комплекса «Дозор-Джет» может вмещать в себя практически неограниченное количество писем. Так, мы реализовывали проекты с хранилищем в 100 ТБ.

 

Помимо вместимости, важным параметром является и скорость работы с архивом. Отметим, что технология использования файлового хранилища, реализованная в решении «Дозор-Джет», позволяет вывести ее на новый уровень. Суть технологии заключается в том, что в БД попадают только метаданные о письме: заголовки и текстовый индекс. Само тело письма хранится в файловом хранилище. Это значительно экономит место, а скорость работы архива в некоторых случаях увеличивается до сотни раз.

 

Рис. 2. Общая схема комплекса «Дозор-Джет»
Если отойти от аналогии с автомобилем, схема комплекса может быть представлена в следующем виде:

 

Чем заправлять?

 

Топливом для «DLP-машины» выступают сообщения с различных сервисов, наполняющие наш бак-архив. Нужно сказать, что бензоколонкой в нашей аналогии является система пассивного перехвата сообщений. Ÿ производительность позволяет обрабатывать до 10 Гбит/с. Причем топливо может быть совершенно разным – от сообщений, передаваемых через интернет, до файлов, отправляемых на печать/копируемых на флешку, или голосовых вызовов Skype (см. рис. 1).

 

Интересной особенностью системы является метод детектирования сообщений: в данном случае используется сигнатурный анализ. Эта технология позволяет с очень высоким процентом точности определить сервис, на который было отправлено сообщение, т.е. использование так называемых анонимайзеров не введет комплекс в заблуждение.

 

Рис. 1. Виды топлива «DLP-машины» – иллюстрация перехватываемых сервисов

 

В итоге мы получаем полнофункциональную «DLP-машину» – современное средство, комфортно и оперативно доставляющее к цели. Ее двигателем является система архивирования и анализа, автоматической коробкой передач – модули IDID и DIFI, топливным баком – архив, а самим топливом – сообщения, перехватываемые практически с любого вида сервиса обмена информацией.

Уведомления об обновлении тем – в вашей почте

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Mobile DLP - уже реальность

Концепция BYOD (Bring Your Own Device) становится все более модной в корпоративной среде

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

Контентная фильтрация: разбор объектов информационного обмена

Под контентной фильтрацией понимается фильтрация содержимого информационного обмена по каналам Интернет (электронная почта, веб, интернет-пейджеры типа ICQ, MSN и т.п.)

Средства анализа в «Дозор-Джет»

Требование, которое стояло перед системами защиты от утечек на протяжении нескольких последних лет, выполнено: сегодня контролю подвергаются все или практически все каналы утечки информации. Проблема сегодняшнего дня – как в этом непрерывно растущем потоке данных найти утечку.

Комплекс защиты от утечек информации «Дозор-Джет»: общая архитектура и функциональные возможности

Комплекс защиты от утечек информации «Дозор-Джет» представляет собой DLP-систему, ядром которой является «Система архивирования и анализа «Дозор-Джет», вот уже более 10 лет развиваемая компанией «Инфосистемы Джет».

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

Система мониторинга и архивирования почтовых сообщений

Еще лет 10 назад электронная почта была довольно экзотичным средством связи. Использовали ее в основном для связи с зарубежными корреспондентами, а умение пользоваться ею представлялось непосвященным техническим волшебством среднего калибра. ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня