Meniul
AcasăPrograme

Care sunt sistemele DLP și caracteristicile utilizării lor într-o întreprindere? Tehnologii de prevenire a pierderii datelor pentru prevenirea scurgerilor de informații confidențiale dintr-un sistem de informații către exterior

Chiar și cei mai la modă termeni IT trebuie folosiți corespunzător și cât mai corect posibil. Cel puțin pentru a nu induce în eroare consumatorii. Cu siguranță a devenit la modă să te consideri un producător de soluții DLP. De exemplu, la recenta expoziție CeBIT-2008, inscripția „Soluție DLP” a putut fi văzută adesea pe standurile producătorilor nu doar de antivirusuri și servere proxy puțin cunoscute din lume, ci chiar și de firewall-uri. Uneori, exista sentimentul că după colțul următor puteai vedea un fel de ejector de CD (un program care controlează deschiderea unității CD) cu sloganul mândru al unei soluții DLP de întreprindere. Și, în mod ciudat, fiecare dintre acești producători, de regulă, a avut o explicație mai mult sau mai puțin logică pentru o astfel de poziționare a produsului lor (în mod firesc, pe lângă dorința de a obține „beneficii” de la un termen la modă).

Înainte de a lua în considerare piața producătorilor de sisteme DLP și principalii săi jucători, ar trebui să decidem ce înțelegem prin un sistem DLP. Au existat numeroase încercări de a defini această clasă de sisteme informatice: ILD&P - Information Leakage Detection & Prevention („identificarea și prevenirea scurgerilor de informații”, termenul a fost propus de IDC în 2007), ILP - Information Leakage Protection („protecția împotriva informațiilor”. leaks”, Forrester , 2006), ALS - Anti-Leakage Software („anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (similar cu sistemul Intrusion-prevention).

Dar denumirea DLP - Data Loss Prevention (sau Data Leak Prevention, protecția împotriva scurgerilor de date), propusă în 2005, a devenit totuși stabilită ca un termen folosit în mod obișnuit. Ca rusă (mai degrabă decât o traducere, dar un termen similar) sintagma „ sisteme de protecție confidențială” au fost adoptate date de la amenințările interne.” În același timp, amenințările interne sunt înțelese ca abuzuri (intentionate sau accidentale) de către angajații unei organizații care au drepturi legale de acces la datele relevante și puterile acestora.

Cele mai armonioase și consistente criterii de apartenență la sistemele DLP au fost propuse de agenția de cercetare Forrester Research în cadrul studiului anual al acestei piețe. Ei au propus patru criterii după care un sistem poate fi clasificat ca DLP. 1.

Multicanal. Sistemul trebuie să fie capabil să monitorizeze mai multe canale posibile de scurgere de date. Într-un mediu de rețea, acesta este cel puțin e-mail, Web și IM (mesageri instantanee), și nu doar scanarea traficului de e-mail sau a activității bazei de date. Pe stația de lucru - monitorizarea operațiunilor cu fișierele, lucrul cu clipboard-ul, precum și controlul e-mailului, Web și IM. 2.

Management unificat. Sistemul trebuie să aibă instrumente unificate de management al politicii de securitate a informațiilor, analiză și raportare a evenimentelor pe toate canalele de monitorizare. 3.

Protecție activă. Sistemul nu trebuie doar să detecteze încălcările politicii de securitate, ci și, dacă este necesar, să forțeze respectarea acesteia. De exemplu, blocați mesajele suspecte. 4.

Pe baza acestor criterii, în 2008, Forrester a selectat o listă de 12 furnizori de software pentru revizuire și evaluare (aceștia sunt enumerați mai jos în ordine alfabetică, cu numele companiei achiziționate de acest furnizor pentru a intra pe piața sistemelor DLP indicat între paranteze). ) :

  1. Cod verde;
  2. InfoWatch;
  3. McAfee (Onigma);
  4. Orchestria;
  5. Reconexiunea;
  6. RSA/EMC (Tablus);
  7. Symantec (Vontu);
  8. Trend Micro (Provilla);
  9. Verdasys;
  10. Vericept;
  11. Websense(PortAuthority);
  12. Partajare de lucru.

Astăzi, dintre cei 12 furnizori menționați mai sus, doar InfoWatch și Websense sunt reprezentați pe piața rusă într-o măsură sau alta. Restul fie nu funcționează deloc în Rusia, fie și-au anunțat doar intențiile de a începe să vândă soluții DLP (Trend Micro).

Având în vedere funcționalitatea sistemelor DLP, analiștii (Forrester, Gartner, IDC) introduc o clasificare a obiectelor de protecție - tipuri de obiecte informaționale care trebuie monitorizate. O astfel de clasificare face posibilă evaluarea, într-o primă aproximare, a domeniului de aplicare a unui anumit sistem. Există trei categorii de obiecte de monitorizare.

1. Data-in-motion (date în mișcare) - mesaje de e-mail, pagere Internet, rețele peer-to-peer, transferuri de fișiere, trafic Web, precum și alte tipuri de mesaje care pot fi transmise prin canale de comunicare. 2. Data-at-rest (date stocate) - informații despre stații de lucru, laptopuri, servere de fișiere, stocare specializată, dispozitive USB și alte tipuri de dispozitive de stocare a datelor.

3. Date-in-use (date în uz) - informații în curs de prelucrare.

În prezent, pe piața noastră există aproximativ două duzini de produse interne și străine care au unele dintre proprietățile sistemelor DLP. Informații scurte despre ele în spiritul clasificării de mai sus sunt enumerate în tabel. 1 și 2. Tot în tabel. 1 a introdus un astfel de parametru precum „stocarea și auditarea centralizată a datelor”, implicând capacitatea sistemului de a salva datele într-un singur depozit (pentru toate canalele de monitorizare) pentru analize și audit ulterioare. Această funcționalitate a căpătat recent o importanță deosebită nu numai datorită cerințelor diferitelor acte legislative, ci și datorită popularității sale în rândul clienților (pe baza experienței proiectelor implementate). Toate informațiile conținute în aceste tabele sunt preluate din surse publice și materiale de marketing ale companiilor respective.

Pe baza datelor prezentate în tabelele 1 și 2, putem concluziona că astăzi doar trei sisteme DLP sunt prezentate în Rusia (de la companiile InfoWatch, Perimetrix și WebSence). Acestea includ și produsul integrat recent anunțat de la Jet Infosystem (SKVT+SMAP), deoarece va acoperi mai multe canale și va avea un management unificat al politicilor de securitate.

Este destul de dificil să vorbim despre cotele de piață ale acestor produse în Rusia, deoarece majoritatea producătorilor menționați nu dezvăluie volumele de vânzări, numărul de clienți și stațiile de lucru protejate, limitându-se doar la informații de marketing. Putem spune cu siguranță doar că principalii furnizori în acest moment sunt:

  • Sisteme „Dozor”, prezente pe piață din 2001;
  • Produsele InfoWatch vândute din 2004;
  • WebSense CPS (a început să se vândă în Rusia și în întreaga lume în 2007);
  • Perimetrix (o companie tânără, prima versiune a cărei produse a fost anunțată pe site-ul său la sfârșitul anului 2008).

În concluzie, aș dori să adaug că dacă unul aparține sau nu clasei de sisteme DLP nu face produsele mai rele sau mai bune - este pur și simplu o chestiune de clasificare și nimic mai mult.

Tabelul 1. Produse prezentate pe piața rusă și având anumite proprietăți ale sistemelor DLP
CompanieProduscaracteristicile produsului
Protecția datelor în mișcareProtecția datelor în utilizareProtecția „date în repaus” (data-at-rest)Stocare și auditare centralizată
InfoWatchIW Traffic MonitordadaNuda
IW CryptoStorageNuNudaNu
PerimetrixSafeSpacedadadada
Sisteme informatice JetDozor Jet (SKVT)daNuNuda
Jet Watch (SMAP)daNuNuda
Smart Line Inc.DeviceLockNudaNuda
SecurITZlockNudaNuNu
SecretKeeperNudaNuNu
SpectorSoftSpector 360daNuNuNu
Securitate LumensionControlul dispozitivului SanctuaryNudaNuNu
WebSenseProtecția conținutului WebsensedadadaNu
InformzashitaStudio de securitateNudadaNu
PrimetekInsiderNudaNuNu
Software-ul AtomParkStaffCopNudaNuNu
SoftInformSearchInform ServerdadaNuNu
Tabelul 2. Conformitatea produselor prezentate pe piața rusă cu criteriile de apartenență la clasa de sisteme DLP
CompanieProdusCriterii de apartenență la sisteme DLP
MulticanalManagement unificatProtecție activăLuând în considerare atât conținutul, cât și contextul
InfoWatchIW Traffic Monitordadadada
PerimetrixSafeSpacedadadada
„Jet Infosystems”„Dozor Jet” (SKVT)NuNudada
„Dozor Jet” (SMAP)NuNudada
„Smart Line Inc”DeviceLockNuNuNuNu
SecurITZlockNuNuNuNu
Software Smart Protection LabsSecretKeeperdadadaNu
SpectorSoftSpector 360dadadaNu
Securitate LumensionControlul dispozitivului SanctuaryNuNuNuNu
WebSenseProtecția conținutului Websensedadadada
„Informzashita”Studio de securitatedadadaNu
"Primtek"InsiderdadadaNu
„Software AtomPark”StaffCopdadadaNu
„SoftInform”SearchInform ServerdadaNuNu
„Infoapărare”„Infoperimetru”dadaNuNu

(Prevenirea pierderilor de date)

Sisteme de monitorizare a acțiunilor utilizatorilor, un sistem de protecție a datelor confidențiale de amenințările interne.

Sistemele DLP sunt utilizate pentru a detecta și a preveni transferul de date confidențiale în diferite etape. (în timpul mișcării, utilizării și depozitării). Sistemul DLP permite:

    Controlați munca utilizatorilor, prevenind pierderea necontrolată a timpului de lucru în scopuri personale.

    În mod automat, neobservat de utilizator, înregistrează toate acțiunile, inclusiv e-mailuri trimise și primite, chat-uri și mesagerie instantanee, rețele sociale, site-uri web vizitate, date tastate pe tastatură, fișiere transferate, tipărite și salvate etc.

    Monitorizați utilizarea jocurilor pe calculator la locul de muncă și luați în considerare timpul de lucru petrecut pe jocuri pe calculator.

    Monitorizați activitatea în rețea a utilizatorilor, luați în considerare volumul traficului din rețea

    Controlați copierea documentelor pe diverse medii (medii amovibile, hard disk, foldere de rețea etc.)

    Controlați imprimarea în rețea a utilizatorului

    Înregistrați solicitările utilizatorilor către motoarele de căutare etc.

    Data-in-motion - date in motion - mesaje e-mail, transfer de trafic web, fisiere etc.

    Data-in-rest - date stocate - informații despre stații de lucru, servere de fișiere, dispozitive USB etc.

    Date în uz - date în uz - informații în curs de prelucrare.

Arhitectura soluțiilor DLP poate varia între diferiți dezvoltatori, dar în general există 3 tendințe principale:

    Interceptoare și controlere pentru diferite canale de transmitere a informațiilor. Interceptorii analizează fluxurile de informații care trec din perimetrul companiei, detectează datele confidențiale, clasifică informațiile și le transmit serverului de management pentru procesarea unui posibil incident. Controloarele de descoperire a datelor în repaus rulează procese de descoperire pe resursele rețelei pentru informații sensibile. Controlorii pentru operațiunile pe stațiile de lucru distribuie politicile de securitate către dispozitivele finale (calculatoare), analizează rezultatele activităților angajaților cu informații confidențiale și transmit posibile date de incident către serverul de management.

    Programe agent instalate pe dispozitivele finale: observați procesarea datelor confidențiale și monitorizați conformitatea cu reguli precum salvarea informațiilor pe suporturi amovibile, trimiterea, imprimarea, copierea prin clipboard.

    Server de management central – compară informațiile primite de la interceptori și controlori și oferă o interfață pentru procesarea incidentelor și generarea de rapoarte.

Soluțiile DLP oferă o gamă largă de metode combinate de descoperire a informațiilor:

    Imprimări digitale ale documentelor și părților acestora

    Amprentele digitale ale bazelor de date și ale altor informații structurate care sunt importante de protejat împotriva distribuției

    Metode statistice (creșterea sensibilității sistemului atunci când încălcările sunt repetate).

Când se operează sisteme DLP, mai multe proceduri sunt de obicei efectuate ciclic:

    Instruirea sistemului în principiile clasificării informațiilor.

    Introducerea regulilor de răspuns în raport cu categoria de informații detectate și grupurile de angajați ale căror acțiuni ar trebui monitorizate. Utilizatorii de încredere sunt evidențiați.

    Executarea unei operațiuni de control de către sistemul DLP (sistemul analizează și normalizează informațiile, realizează o comparație cu principiile de detectare și clasificare a datelor, iar atunci când sunt detectate informații confidențiale, sistemul le compară cu politicile existente atribuite categoriei de informații detectate și, dacă este necesar, creează un incident)

    Procesarea incidentelor (de exemplu, informarea, întreruperea sau blocarea trimiterii).

Caracteristici de creare și operare a unui VPN din punct de vedere al securității

Opțiuni pentru construirea unui VPN:

    Bazat pe sisteme de operare în rețea

    Bazat pe router

    Bazat pe ITU

    Bazat pe software și hardware specializat

    Bazat pe software specializat

Pentru ca VPN să funcționeze corect și în siguranță, trebuie să înțelegeți elementele de bază ale interacțiunii dintre VPN și firewall-uri:

    VPN-urile sunt capabile să creeze tuneluri de comunicații end-to-end care trec prin perimetrul rețelei și, prin urmare, sunt extrem de problematice în ceea ce privește controlul accesului din firewall, căruia îi este dificil să analizeze traficul criptat.

    Datorită capacităților sale de criptare, VPN-urile pot fi folosite pentru a ocoli sistemele IDS care nu pot detecta intruziunile de la canalele de comunicații criptate.

    În funcție de arhitectura rețelei, este posibil ca caracteristica importantă de traducere a adresei de rețea (NAT) să nu fie compatibilă cu unele implementări VPN etc.

În esență, atunci când ia decizii cu privire la implementarea componentelor VPN într-o arhitectură de rețea, un administrator poate fie să aleagă VPN-ul ca dispozitiv extern autonom, fie să aleagă să integreze VPN-ul în firewall pentru a oferi ambele funcții într-un singur sistem.

    ITU + VPN separat. Opțiuni de găzduire VPN:

    1. În interiorul DMZ, între firewall și router-ul de frontieră

      În interiorul rețelei protejate pe adaptoarele de rețea ITU

      În interiorul rețelei ecranate, în spatele firewall-ului

      În paralel cu ITU, la punctul de intrare în rețeaua protejată.

    Firewall + VPN, găzduit ca o singură unitate - o astfel de soluție integrată este mai convenabilă pentru suport tehnic decât opțiunea anterioară, nu provoacă probleme asociate cu NAT (traducere adrese de rețea) și oferă un acces mai fiabil la date, pentru care firewall-ul este responsabil. Dezavantajul unei soluții integrate este costul inițial ridicat al achiziționării unui astfel de instrument, precum și opțiunile limitate pentru optimizarea componentelor VPN și Firewall corespunzătoare (adică, implementările ITU cele mai satisfăcătoare pot să nu fie potrivite pentru construirea de componente VPN pe lor. VPN poate avea un impact semnificativ asupra performanței rețelei, iar latența poate apărea în următoarele faze:

    1. Când se stabilește o conexiune sigură între dispozitivele VPN (autentificare, schimb de chei etc.)

      Întârzieri asociate cu criptarea și decriptarea datelor protejate, precum și transformările necesare pentru a controla integritatea acestora

      Întârzieri asociate cu adăugarea unui nou antet la pachetele transmise

Securitate e-mail

Principalele protocoale de e-mail: (E)SMTP, POP, IMAP.

SMTP - protocol simplu de transfer de e-mail, portul TCP 25, fără autentificare. SMTP extins - a fost adăugată autentificarea clientului.

POP - Post Office Protocol 3 - primirea e-mailurilor de la server. Autentificare cu text clar. APOP - cu capacitate de autentificare.

IMAP - Internet Message Access Protocol - este un protocol de e-mail necriptat care combină proprietățile POP3 și IMAP. Vă permite să lucrați direct cu căsuța poștală, fără a fi nevoie să descărcați scrisori pe computer.

Din cauza lipsei oricăror mijloace normale de criptare a informațiilor, am decis să folosim SSL pentru a cripta datele acestor protocoale. De aici au apărut următoarele soiuri:

POP3 SSL - portul 995, SMTP SSL (SMTPS) portul 465, IMAP SSL (IMAPS) - portul 993, toate TCP.

Un atacator care lucrează cu un sistem de e-mail poate urmări următoarele obiective:

    Atacarea computerului unui utilizator prin trimiterea de viruși de e-mail, trimiterea de e-mailuri false (falsificarea adresei expeditorului în SMTP este o sarcină banală), citirea e-mailurilor altor persoane.

    Un atac asupra unui server de e-mail care utilizează e-mailul cu scopul de a pătrunde în sistemul său de operare sau de a refuza serviciul

    Utilizarea unui server de e-mail ca releu atunci când trimiteți mesaje nesolicitate (spam)

    Interceptarea parolei:

    1. Interceptarea parolelor în sesiunile POP și IMAP, în urma căreia un atacator poate primi și șterge e-mailuri fără știrea utilizatorului

      Interceptarea parolelor în sesiunile SMTP - în urma căreia un atacator poate fi autorizat ilegal să trimită e-mail prin acest server

Pentru a rezolva problemele de securitate cu protocoalele POP, IMAP și SMTP, cel mai des este utilizat protocolul SSL, care vă permite să criptați întreaga sesiune de comunicare. Dezavantaj: SSL este un protocol care consumă mult resurse, care poate încetini semnificativ comunicarea.

Spam-ul și lupta împotriva acestuia

Tipuri de spam fraudulos:

    Loterie - o notificare entuziastă a câștigurilor la loterie la care destinatarul mesajului nu a participat. Tot ce trebuie să faceți este să vizitați site-ul web corespunzător și să introduceți numărul de cont și codul PIN al cardului, care se presupune că sunt necesare pentru a plăti serviciile de livrare.

    Licitațiile - acest tip de înșelăciune constă în absența bunurilor pe care escrocii le vând. După ce a plătit, clientul nu primește nimic.

    Phishingul este o scrisoare care conține un link către o resursă în care doresc să furnizezi date etc. Atragerea utilizatorilor creduli sau neatenți ai datelor personale și confidențiale. Escrocii trimit o mulțime de scrisori, deghizate de obicei în scrisori oficiale de la diverse instituții, care conțin link-uri care duc la site-uri de momeală care copiază vizual site-urile băncilor, magazinelor și altor organizații.

    Frauda poștală este recrutarea de personal pentru o companie care se presupune că are nevoie de un reprezentant în orice țară care se poate ocupa de trimiterea mărfurilor sau de transferul de bani către o companie străină. De regulă, schemele de spălare a banilor sunt ascunse aici.

    Scrisori nigeriene - cereți să depuneți o sumă mică înainte de a primi bani.

    Scrisori de fericire

Spamul poate fi în masă sau vizat.

Spam-ul în vrac nu are ținte specifice și folosește tehnici frauduloase de inginerie socială împotriva unui număr mare de persoane.

Spam-ul vizat este o tehnică care vizează o anumită persoană sau organizație, în care atacatorul acționează în numele directorului, administratorului sau altui angajat al organizației în care lucrează victima sau atacatorul reprezintă o companie cu care organizația țintă a înființat un relație de încredere.

Colectarea adreselor se realizează prin selectarea numelor proprii, a cuvintelor frumoase din dicționare, a combinațiilor frecvente de cuvinte-număr, a metodei de analogie, a scanării tuturor surselor de informații disponibile (săli de chat, forumuri etc.), a furtului bazelor de date etc.

Adresele primite se verifică (se verifică dacă sunt valide) prin trimiterea unui mesaj de testare, plasând în textul mesajului un link unic către o poză cu contor de descărcare sau un link „dezabonare de la mesajele spam”.

Ulterior, spam-ul este trimis fie direct de la serverele închiriate, fie de la servicii de e-mail legitime configurate incorect, fie prin instalarea ascunsă a software-ului rău intenționat pe computerul utilizatorului.

Atacatorul complică munca filtrelor anti-spam prin introducerea de texte aleatorii, zgomot sau texte invizibile, folosind litere grafice sau schimbarea literelor grafice, imagini fragmentate, inclusiv utilizarea animației și texte prefrazante.

Metode anti-spam

Există 2 metode principale de filtrare a spamului:

    Filtrarea după caracteristicile formale ale unui mesaj de e-mail

    Filtrați după conținut

    Metoda formală

    1. Fragmentarea pe liste: negru, alb și gri. Listele gri sunt o metodă de blocare temporară a mesajelor cu combinații necunoscute de adresă de e-mail și adresa IP a serverului de trimitere. Când prima încercare se termină într-un eșec temporar (de regulă, programele de spammer nu retrimit scrisoarea). Dezavantajul acestei metode este posibilul interval de timp lung între trimiterea și primirea unui mesaj legal.

      Verificarea dacă mesajul a fost trimis de pe un server de e-mail real sau fals (fals) din domeniul specificat în mesaj.

      „Callback” - la primirea unei conexiuni de intrare, serverul de primire întrerupe sesiunea și simulează o sesiune de lucru cu serverul care trimite. Dacă încercarea eșuează, conexiunea suspendată este întreruptă fără procesare ulterioară.

      Filtrarea după caracteristicile formale ale scrisorii: adresele expeditorului și destinatarului, dimensiunea, prezența și numărul de atașamente, adresa IP a expeditorului etc.

    Metode lingvistice - lucrul cu conținutul scrisorii

    1. Recunoașterea după conținutul scrisorii - se verifică prezența semnelor de conținut spam în scrisoare: un anumit set și distribuția unor fraze specifice în întreaga scrisoare.

      Recunoaștere prin mostre de litere (metodă de filtrare bazată pe semnături, inclusiv semnături grafice)

      Filtrarea bayesiană este strict filtrare de cuvinte. Când se verifică o scrisoare primită, probabilitatea ca aceasta să fie spam este calculată pe baza procesării textului, care include calcularea „greutății” medii a tuturor cuvintelor dintr-o anumită scrisoare. O scrisoare este clasificată ca spam sau nu spam în funcție de faptul dacă greutatea sa depășește un anumit prag specificat de utilizator. După ce se ia o decizie asupra unei scrisori, „greutățile” pentru cuvintele incluse în aceasta sunt actualizate în baza de date.

Autentificare în sisteme informatice

Procesele de autentificare pot fi împărțite în următoarele categorii:

    Dar pe baza cunoștințelor despre ceva (PIN, parolă)

    Pe baza deținerii a ceva (card inteligent, cheie USB)

    Nu se bazează pe caracteristici inerente (caracteristici biometrice)

Tipuri de autentificare:

    Autentificare simplă folosind parole

    Autentificare puternică folosind verificări multifactoriale și metode criptografice

    Autentificare biometrică

Principalele atacuri asupra protocoalelor de autentificare sunt:

    „Masquerade” - atunci când un utilizator încearcă să se uzurpea identitatea altui utilizator

    Retransmitere - atunci când o parolă interceptată este trimisă în numele altui utilizator

    Întârziere forțată

Pentru a preveni astfel de atacuri, se folosesc următoarele tehnici:

    Mecanisme precum provocare-răspuns, marcaje temporale, numere aleatorii, semnături digitale etc.

    Conectarea rezultatului autentificării la acțiunile ulterioare ale utilizatorului în cadrul sistemului.

    Efectuarea periodică a procedurilor de autentificare în cadrul unei sesiuni de comunicare deja stabilite.

    Autentificare simplă

    1. Autentificare bazată pe parole reutilizabile

      Autentificare bazată pe parole unice - OTP (o singură parolă) - parolele unice sunt valabile doar pentru o singură autentificare și pot fi generate folosind un token OTP. Pentru aceasta se folosește cheia secretă a utilizatorului, aflată atât în ​​interiorul jetonului OTP, cât și pe serverul de autentificare.

    Autentificarea strictă implică partea care dovedește să-și demonstreze autenticitatea părții care se bazează prin demonstrarea cunoașterii unui anumit secret. Se întâmplă:

    1. Unilateral

      Cu două fețe

      Tripartit

Poate fi realizat pe baza de carduri inteligente sau chei USB sau criptografie.

Autentificarea puternică poate fi implementată folosind un proces de verificare cu doi sau trei factori.

În cazul autentificării în doi factori, utilizatorul trebuie să dovedească că cunoaște parola sau codul PIN și că are un anumit identificator personal (smart card sau cheie USB).

Autentificarea cu trei factori necesită ca utilizatorul să furnizeze un alt tip de identificare, cum ar fi biometria.

Autentificarea puternică folosind protocoale criptografice se poate baza pe criptarea simetrică și asimetrică, precum și pe funcții hash. Partea care dovedește dovedește cunoașterea secretului, dar secretul în sine nu este dezvăluit. Parametrii unici sunt utilizați (numere aleatorii, marcaje temporale și numere de secvență) pentru a evita transmiterea repetată, pentru a asigura unicitatea, lipsa de ambiguitate și garanțiile de timp ale mesajelor transmise.

Autentificare biometrică a utilizatorului

Cele mai frecvent utilizate caracteristici biometrice sunt:

    Amprentele digitale

    Model de vene

    Geometria mâinii

    Iris

    Geometria facială

    Combinații ale celor de mai sus

Controlul accesului folosind o schemă de conectare unică cu autorizare SSO (Single Sign-On).

SSO permite unui utilizator al unei rețele corporative să treacă printr-o singură autentificare atunci când se conectează la rețea, prezentând o singură parolă sau alt autentificator necesar și apoi, fără autentificare suplimentară, să obțină acces la toate resursele de rețea autorizate care sunt necesare pentru a efectua loc de munca. Instrumentele de autentificare digitală, cum ar fi jetoanele, certificatele digitale PKI, cardurile inteligente și dispozitivele biometrice sunt utilizate în mod activ. Exemple: Kerberos, PKI, SSL.

Răspuns la incidentele de securitate a informațiilor

Dintre sarcinile cu care se confruntă orice sistem de management al securității informațiilor, două dintre cele mai semnificative pot fi identificate:

    Prevenirea incidentelor

    Dacă apar, răspuns corect și în timp util

Prima sarcină în majoritatea cazurilor se bazează pe achiziționarea diferitelor instrumente de securitate a informațiilor.

A doua sarcină depinde de gradul de pregătire al companiei pentru astfel de evenimente:

        Prezența unei echipe de răspuns la incidente IS instruite, cu roluri și responsabilități deja prestabilite.

        Disponibilitatea unei documentații bine gândite și interconectate privind procedura de gestionare a incidentelor de securitate a informațiilor, în special, răspunsul și investigarea incidentelor identificate.

        Disponibilitatea resurselor pregătite pentru nevoile echipei de răspuns (instrumente de comunicare, ..., sigure)

        Disponibilitatea unei baze de cunoștințe actualizate cu privire la incidentele de securitate a informațiilor care au avut loc

        Nivel ridicat de conștientizare a utilizatorilor în domeniul securității informațiilor

        Calificarea și coordonarea echipei de răspuns

Procesul de management al incidentelor de securitate a informațiilor constă din următoarele etape:

    Pregătire – prevenirea incidentelor, pregătirea echipelor de răspuns, elaborarea politicilor și procedurilor etc.

    Detectare – notificare de securitate, notificare utilizator, analiză jurnal de securitate.

    Analiză – confirmarea faptului că a avut loc un incident, colectarea informațiilor disponibile despre incident, identificarea activelor afectate și clasificarea incidentului în funcție de siguranță și prioritate.

    Răspuns - oprirea incidentului și colectarea probelor, luarea de măsuri pentru oprirea incidentului și păstrarea informațiilor bazate pe dovezi, colectarea informațiilor bazate pe dovezi, interacțiunea cu departamentele interne, partenerii și părțile afectate, precum și atragerea de organizații de experți externi.

    Investigare – investigarea circumstanțelor incidentelor de securitate a informațiilor, implicarea organizațiilor de experți externi și interacțiunea cu toate părțile afectate, precum și cu agențiile de aplicare a legii și autoritățile judiciare.

    Recuperare – luarea de măsuri pentru închiderea vulnerabilităților care au dus la incident, eliminarea consecințelor incidentului, restabilirea funcționalității serviciilor și sistemelor afectate. Înregistrarea avizului de asigurare.

    Analiza eficienței și modernizarea - analiza incidentului, analiza eficacității și modernizarea procesului de investigare a incidentelor de securitate a informațiilor și a documentelor aferente, instrucțiuni private. Generarea unui raport privind investigația și necesitatea modernizării sistemului de securitate pentru management, colectarea informațiilor despre incident, adăugarea acestora la baza de cunoștințe și stocarea datelor despre incident.

Un sistem eficient de management al incidentelor de securitate a informațiilor are următoarele obiective:

    Asigurarea semnificației juridice a informațiilor probatorii colectate privind incidentele de securitate a informațiilor

    Asigurarea oportunității și corectitudinii acțiunilor de răspuns și investigare a incidentelor de securitate a informațiilor

    Asigurarea capacității de a identifica circumstanțele și cauzele incidentelor de securitate a informațiilor în vederea modernizării în continuare a sistemului de securitate a informațiilor

    Oferirea de investigații și suport juridic pentru incidentele interne și externe de securitate a informațiilor

    Asigurarea posibilității de urmărire penală a atacatorilor și aducerea acestora în fața justiției, în condițiile prevăzute de lege

    Asigurarea posibilității de despăgubire a prejudiciului cauzat de un incident de securitate a informațiilor în condițiile legii

Sistemul de management al incidentelor de securitate a informațiilor interacționează și se integrează în general cu următoarele sisteme și procese:

    Managementul securității informațiilor

    Managementul riscurilor

    Asigurarea continuității afacerii

Integrarea se exprimă în consistența documentării și a formalizării ordinii de interacțiune între procese (informații de intrare, de ieșire și condiții de tranziție).

Procesul de gestionare a incidentelor de securitate a informațiilor este destul de complex și voluminos. Necesită acumularea, procesarea și stocarea unei cantități uriașe de informații, precum și executarea multor sarcini paralele, așa că există multe instrumente pe piață care vă permit să automatizați anumite sarcini, de exemplu așa-numitele sisteme SIEM (informații de securitate și managementul evenimentelor).

Chief Information Officer (CIO) – director pentru tehnologia informației

Chief Information Security Officer (CISO) – șef al departamentului de securitate a informațiilor, director al securității informațiilor

Sarcina principală a sistemelor SIEM nu este doar colectarea evenimentelor din diferite surse, ci automatizarea procesului de detectare a incidentelor cu documentație în propriul lor jurnal sau sistem extern, precum și informarea în timp util despre eveniment. Sistemul SIEM are următoarele sarcini:

    Consolidarea și stocarea jurnalelor de evenimente din diverse surse - dispozitive de rețea, aplicații, jurnalele OS, instrumente de securitate

    Prezentarea instrumentelor pentru analiza evenimentelor și analiza incidentelor

    Corelarea și prelucrarea conform regulilor evenimentelor care au avut loc

    Notificare automată și gestionarea incidentelor

Sistemele SIEM sunt capabile să identifice:

    Atacurile de rețea în perimetrele interne și externe

    Epidemii de viruși sau infecții cu virusuri individuale, viruși neeliminați, uși din spate și troieni

    Tentative de acces neautorizat la informații confidențiale

    Erori și defecțiuni în funcționarea IS

    Vulnerabilități

    Erori de configurare, măsuri de securitate și sisteme informatice.

Principalele surse ale SIEM

    Date de control acces și autentificare

    Jurnalele de evenimente ale serverului și stației de lucru

    Echipamente active în rețea

  1. Protecție antivirus

    Scanere de vulnerabilitate

    Sisteme de contabilizare a riscurilor, criticitatea amenințărilor și prioritizarea incidentelor

    Alte sisteme pentru protejarea și controlul politicilor de securitate a informațiilor:

    1. sisteme DLP

      Dispozitive de control acces etc.

    2. Sisteme de inventariere

    Sisteme de contabilitate a traficului

Cele mai cunoscute sisteme SIEM:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

Astăzi, piața sistemelor DLP este una dintre instrumentele de securitate a informațiilor cu cea mai rapidă creștere. Cu toate acestea, sectorul intern de securitate a informațiilor nu ține încă pasul cu tendințele globale și, prin urmare, piața sistemelor DLP din țara noastră are propriile sale caracteristici.

Ce sunt DLP-urile și cum funcționează?

Înainte de a vorbi despre piața sistemelor DLP, este necesar să se stabilească ce anume se înțelege, strict vorbind, atunci când se vorbește despre astfel de soluții. Sistemele DLP sunt înțelese în mod obișnuit ca produse software care protejează organizațiile de scurgeri de informații confidențiale. Abrevierea DLP în sine înseamnă Data Leak Prevention, adică prevenirea scurgerilor de date.

Sistemele de acest fel creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de intrare. Informațiile controlate ar trebui să includă nu numai traficul de internet, ci și o serie de alte fluxuri de informații: documente care sunt preluate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise către mediile mobile prin Bluetooth etc.

Întrucât sistemul DLP trebuie să prevină scurgerile de informații confidențiale, trebuie să aibă încorporate mecanisme de determinare a gradului de confidențialitate al unui document detectat în traficul interceptat. De regulă, cele mai frecvente sunt două metode: prin analizarea markerilor speciali pentru documente și prin analizarea conținutului documentului. A doua opțiune este acum mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care poate lucra sistemul.

Sarcini DLP „laterale”.

Pe lângă sarcina sa principală legată de prevenirea scurgerilor de informații, sistemele DLP sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de monitorizarea acțiunilor personalului. Cel mai adesea, sistemele DLP sunt folosite pentru a rezolva următoarele sarcini non-core:

  • monitorizarea utilizării timpului de lucru și a resurselor de muncă de către angajați;
  • monitorizarea comunicațiilor angajaților pentru a identifica luptele „sub acoperire” care ar putea dăuna organizației;
  • controlul legalității acțiunilor angajaților (prevenirea tipăririi documentelor false etc.);
  • identificarea angajaților care trimit CV-uri pentru a căuta rapid specialiști pentru posturile vacante.

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind de prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar pot în unele cazuri funcționează și ca mijloc de a proteja organizația de scurgeri. Ceea ce deosebește astfel de programe de sistemele DLP cu drepturi depline este lipsa instrumentelor dezvoltate pentru analiza datelor interceptate, care trebuie făcută manual de un specialist în securitatea informațiilor, ceea ce este convenabil doar pentru organizațiile foarte mici (până la zece angajați supravegheați).

Toate sistemele DLP pot fi împărțite în funcție de un număr de caracteristici în mai multe clase principale. Pe baza capacității de a bloca informațiile identificate ca fiind confidențiale, se disting sistemele cu control activ și pasiv al acțiunilor utilizatorului.

Primii sunt capabili să blocheze informațiile transmise, cei din urmă, în consecință, nu au această capacitate. Primele sisteme sunt mult mai bune în combaterea scurgerilor aleatorii de date, dar în același timp sunt capabile să permită o oprire accidentală a proceselor de afaceri ale organizației, în timp ce al doilea sistem este sigur pentru procesele de afaceri, dar sunt potrivite doar pentru combaterea scurgerilor sistematice.

O altă clasificare a sistemelor DLP se bazează pe arhitectura lor de rețea. Gateway-urile DLP rulează pe servere intermediare, în timp ce DLP-urile gazdă folosesc agenți care rulează direct pe stațiile de lucru ale angajaților. Astăzi, cea mai comună opțiune este utilizarea componentelor gateway și gazdă împreună.

Piața globală DLP

În prezent, principalii jucători de pe piața globală a sistemelor DLP sunt companii care sunt larg cunoscute pentru celelalte produse pentru asigurarea securității informațiilor în organizații. Acestea sunt, în primul rând, Symantec, McAffee, TrendMicro, WebSense. Volumul total al pieței globale de soluții DLP este estimat la 400 de milioane de dolari, ceea ce este destul de puțin în comparație cu aceeași piață de antivirus. Cu toate acestea, piața DLP se confruntă cu o creștere rapidă: în 2009, era evaluată la puțin peste 200 de milioane.

Perspective și tendințe

Tendința principală, după cum cred experții, este trecerea de la sistemele „patched” formate din componente de la diverși producători, fiecare rezolvându-și propria problemă, la sisteme software integrate unificate. Motivul acestei tranziții este evident: sistemele integrate complexe scutesc specialiștii în securitatea informațiilor de nevoia de a rezolva problemele de compatibilitate a diferitelor componente ale sistemului „patch” între ele, facilitează schimbarea imediată a setărilor pentru rețele mari de stații de lucru client în organizațiilor și, de asemenea, vă permit să nu întâmpinați dificultăți atunci când transferați date de la o componentă a unui singur sistem integrat la alta. De asemenea, mișcarea dezvoltatorilor către sisteme integrate se datorează specificului sarcinilor de asigurare a securității informațiilor: la urma urmei, dacă cel puțin un canal prin care se pot scurge informații poate fi lăsat necontrolat, nu se poate vorbi despre securitatea organizației față de astfel de amenințări. .

Producătorii occidentali de sisteme DLP care au intrat pe piața CSI s-au confruntat cu o serie de probleme legate de suportarea limbilor naționale. Deoarece piața CSI este foarte interesantă pentru vânzătorii occidentali, astăzi aceștia lucrează activ pentru a sprijini limba rusă, care este principalul obstacol în calea dezvoltării cu succes a pieței.

O altă tendință importantă în domeniul DLP este trecerea treptată la o structură modulară, când clientul poate selecta independent componentele sistemului de care are nevoie (de exemplu, dacă suportul pentru dispozitive externe este dezactivat la nivel de sistem de operare, atunci nu există trebuie să plătiți suplimentar pentru funcționalitatea de a le controla). Specificul industriei va juca, de asemenea, un rol important în dezvoltarea sistemelor DLP - este foarte posibil să ne așteptăm la apariția unor versiuni speciale de sisteme binecunoscute, adaptate special pentru sectorul bancar, pentru agențiile guvernamentale etc., corespunzătoare nevoilor. a organizaţiilor înseşi.

Un factor important care influențează dezvoltarea sistemelor DLP este, de asemenea, răspândirea laptopurilor și netbook-urilor în mediile corporative. Specificul laptopurilor (lucrarea în afara unui mediu corporativ, posibilitatea de a fura informații împreună cu dispozitivul în sine etc.) obligă producătorii de sisteme DLP să dezvolte abordări fundamental noi pentru protejarea computerelor laptop. Este de remarcat faptul că astăzi doar câțiva vânzători sunt pregătiți să ofere clienților funcția de a-și monitoriza laptopurile și netbook-urile.

Oferim o gamă de markeri pentru a vă ajuta să profitați la maximum de orice sistem DLP.

DLP-sisteme: ce este?

Să vă reamintim că sistemele DLP (Data Loss/Leak Prevention) vă permit să controlați toate canalele de comunicare în rețea a unei companii (poștă, Internet, sisteme de mesagerie instant, unități flash, imprimante etc.). Protecția împotriva scurgerilor de informații se realizează prin instalarea de agenți pe toate computerele angajaților, care colectează informații și le transmit către server. Uneori, informațiile sunt colectate printr-un gateway folosind tehnologiile SPAN. Informațiile sunt analizate, după care responsabilul de sistem sau de securitate ia decizii cu privire la incident.

Deci, compania dumneavoastră a implementat un sistem DLP. Ce măsuri trebuie luate pentru ca sistemul să funcționeze eficient?

1. Configurați corect regulile de securitate

Să ne imaginăm că într-un sistem care deservește 100 de computere, a fost creată o regulă „Remediați toată corespondența cu cuvântul „acord”.” O astfel de regulă va provoca un număr mare de incidente, în care o scurgere reală se poate pierde.

În plus, nu orice companie își poate permite să aibă un personal complet de angajați care monitorizează incidentele.

Instrumentele pentru crearea unor reguli eficiente și urmărirea rezultatelor muncii lor vor contribui la creșterea utilității regulilor. Fiecare sistem DLP are o funcționalitate care vă permite să faceți acest lucru.

În general, metodologia presupune analizarea bazei de date acumulate de incidente și crearea diferitelor combinații de reguli care în mod ideal conduc la apariția a 5-6 incidente cu adevărat urgente pe zi.

2. Actualizați regulile de siguranță la intervale regulate

O scădere sau o creștere bruscă a numărului de incidente este un indicator că sunt necesare ajustări ale regulilor. Motivele pot fi că regula și-a pierdut relevanța (utilizatorii au încetat să mai acceseze anumite fișiere) sau angajații au învățat regula și nu mai efectuează acțiuni interzise de sistem (DLP - sistem de învățare). Cu toate acestea, practica arată că, dacă se învață o regulă, atunci într-un loc învecinat riscurile potențiale de scurgere au crescut.

De asemenea, ar trebui să acordați atenție sezonalității în funcționarea întreprinderii. Pe parcursul anului, parametrii cheie legați de specificul activității companiei se pot schimba. De exemplu, pentru un furnizor angro de echipamente mici, bicicletele vor fi relevante în primăvară, iar scuterele de zăpadă în toamnă.

3. Luați în considerare un algoritm de răspuns la incidente

Există mai multe abordări ale răspunsului la incident. Când testează și rulează sisteme DLP, oamenii de cele mai multe ori nu sunt notificați cu privire la modificări. Participanții la incidente sunt doar observați. Când s-a acumulat o masă critică, un reprezentant al departamentului de securitate sau al departamentului de resurse umane comunică cu aceștia. În viitor, lucrul cu utilizatorii este adesea lăsat în seama reprezentanților departamentului de securitate. Apar mini-conflicte și negativitatea se acumulează în echipă. Se poate revărsa în sabotaj deliberat al angajaților față de companie. Este important să se mențină un echilibru între cerința de disciplină și menținerea unei atmosfere sănătoase în echipă.

4. Verificați funcționarea modului de blocare

Există două moduri de răspuns la un incident în sistem - fixare și blocare. Dacă fiecare fapt de a trimite o scrisoare sau de a atașa un fișier atașat la o unitate flash este blocat, acest lucru creează probleme utilizatorului. Angajații atacă adesea administratorul de sistem cu solicitări de deblocare a unor funcții; conducerea poate fi, de asemenea, nemulțumită de astfel de setări. Ca urmare, sistemul DLP și compania primesc feedback negativ, sistemul este discreditat și demascat.

5. Verificați dacă a fost introdus regimul secretului comercial

Oferă capacitatea de a face anumite informații confidențiale și, de asemenea, obligă orice persoană care știe despre acestea să-și asume întreaga responsabilitate legală pentru dezvăluirea lor. În cazul unei scurgeri grave de informații în cadrul regimului actual de secret comercial la întreprindere, contravenientului i se poate recupera suma prejudiciului real și moral prin instanță în conformitate cu 98-FZ „Cu privire la secretele comerciale”.

Sperăm că aceste sfaturi vor ajuta la reducerea numărului de scurgeri neintenționate în companii, pentru că tocmai acestea sistemele DLP sunt concepute pentru a le combate cu succes. Cu toate acestea, nu ar trebui să uităm de sistemul cuprinzător de securitate a informațiilor și de faptul că scurgerile de informații intenționate necesită o atenție deosebită, deosebită. Există soluții moderne care pot completa funcționalitatea sistemelor DLP și pot reduce semnificativ riscul de scurgeri intenționate. De exemplu, unul dintre dezvoltatori oferă o tehnologie interesantă - atunci când fișierele confidențiale sunt accesate în mod suspect de frecvent, camera web se pornește automat și începe înregistrarea. Acest sistem a făcut posibilă înregistrarea modului în care hoțul ghinionist făcea în mod activ capturi de ecran folosind o cameră mobilă.

Oleg Neceukhin, expert în protecția sistemelor informatice, Kontur.Security

Astăzi, piața sistemelor DLP este una dintre instrumentele de securitate a informațiilor cu cea mai rapidă creștere. Cu toate acestea, Belarus încă nu ține pasul cu tendințele globale și, prin urmare, piața a făcut-o DLP-sistemele din tara noastra au caracteristici proprii.

Ce este DLP si cum functioneaza?

Înainte să vorbim despre piață DLP -sisteme, este necesar să se decidă ce se înțelege, strict vorbind, când se vorbește despre astfel de decizii. Sub DLP - sistemele sunt înțelese în mod obișnuit ca produse software care protejează organizațiile de scurgeri de informații confidențiale. Abrevierea în sine DLP reprezintă DataLeakPrevention , adică prevenirea scurgerilor de date.

Sistemele de acest fel creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de ieșire. Informațiile controlate ar trebui să fie nu numai traficul de internet, ci și o serie de alte fluxuri de informații: documente care sunt luate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise către mediile mobile prin intermediul Bluetooth, etc.

Pentru că DLP - sistemul trebuie să prevină scurgerile de informații confidențiale, apoi trebuie să aibă încorporate mecanisme de determinare a gradului de confidențialitate al unui document detectat în traficul interceptat. De regulă, cele mai frecvente sunt două metode: prin analizarea markerilor speciali pentru documente și prin analizarea conținutului documentului. A doua opțiune este acum mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care poate lucra sistemul.

Sarcini „laterale”. DLP

Pe lângă sarcina sa principală legată de prevenirea scurgerilor de informații, DLP -sistemele sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de monitorizarea acțiunilor personalului. Cel mai adesea DLP -sistemele sunt folosite pentru a rezolva următoarele sarcini neesențiale:

  • Monitorizarea utilizării timpului de lucru și a resurselor de muncă de către angajați;
  • Monitorizarea comunicațiilor angajaților pentru a identifica luptele „sub acoperire” care ar putea dăuna organizației;
  • Monitorizarea legalității acțiunilor angajaților (prevenirea tipăririi documentelor false etc.);
  • Identificarea angajaților care trimit CV-uri pentru a căuta rapid specialiști pentru posturile vacante;

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind de prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar pot în unele cazuri funcționează și ca mijloc de a proteja organizația de scurgeri. Din cu drepturi depline DLP - Sistemele de astfel de programe se remarcă prin lipsa instrumentelor dezvoltate pentru analiza datelor interceptate, care trebuie realizată manual de către un specialist în securitatea informațiilor, lucru convenabil doar pentru organizațiile foarte mici (până la zece angajați controlați). Cu toate acestea, deoarece aceste soluții sunt solicitate în Belarus, ele sunt incluse și în tabelul de comparație care însoțește acest articol.

Clasificarea sistemelor DLP

Toate sistemele DLP pot fi împărțite în funcție de un număr de caracteristici în mai multe clase principale. Pe baza capacității de a bloca informațiile identificate ca fiind confidențiale, se disting sistemele cu control activ și pasiv al acțiunilor utilizatorului. Primii sunt capabili să blocheze informațiile transmise, cei din urmă, în consecință, nu au această capacitate. Primele sisteme sunt mult mai bune în combaterea scurgerilor aleatorii de date, dar în același timp sunt capabile să permită o oprire accidentală a proceselor de afaceri ale organizației, în timp ce al doilea sistem este sigur pentru procesele de afaceri, dar sunt potrivite doar pentru combaterea scurgerilor sistematice. O altă clasificare a sistemelor DLP se bazează pe arhitectura lor de rețea. Ecluză DLP rulează pe servere intermediare, în timp ce serverele gazdă folosesc agenți care rulează direct pe stațiile de lucru ale angajaților. Astăzi, cea mai comună opțiune este utilizarea componentelor gateway și gazdă împreună.

Piața globală DLP

În prezent, principalii jucători de pe piața globală DLP -sistemele sunt companii care sunt larg cunoscute pentru celelalte produse ale lor pentru asigurarea securității informațiilor în organizații. Aceasta este, în primul rând, Symantec, McAffee, TrendMicro, WebSense. Despre volumul total al pieței globale DLP -soluțiile sunt estimate la 400 de milioane de dolari, ceea ce este destul de puțin în comparație cu aceeași piață de antivirus. Totuși, piața DLP înregistrează o creștere rapidă: în 2009, era estimată la puțin peste 200 de milioane.

Piața din Belarus are o influență uriașă asupra pieței vecinului său estic, Rusia, care este deja destul de mare și matură. Principalii jucători de astăzi sunt companiile rusești: InfoWatch , „Jet Infosystems”, SecurIT, SearchInform, Perimetrix și o serie de altele. Volumul total al pieței DLP din Rusia este estimat la 12–15 milioane de dolari. În același timp, crește în același ritm cu lumea.

Principala dintre aceste tendințe, după cum cred experții, este trecerea de la sistemele „patch”, constând din componente de la diverși producători, fiecare rezolvând propria problemă, la sisteme software integrate unificate. Motivul acestei tranziții este evident: sistemele integrate complexe scutesc specialiștii în securitatea informațiilor de nevoia de a rezolva problemele de compatibilitate a diferitelor componente ale sistemului „patch” între ele, facilitează schimbarea imediată a setărilor pentru rețele mari de stații de lucru client în organizațiilor și, de asemenea, vă permit să nu întâmpinați dificultăți atunci când transferați date de la o componentă a unui singur sistem integrat la alta. De asemenea, mișcarea dezvoltatorilor către sisteme integrate se datorează specificului sarcinilor de asigurare a securității informațiilor: la urma urmei, dacă cel puțin un canal prin care se pot scurge informații poate fi lăsat necontrolat, nu se poate vorbi despre securitatea organizației din acest gen. de amenințări.

Producătorii occidentali DLP -sistemele care au venit pe piața țărilor CSI s-au confruntat cu o serie de probleme legate de suportul limbilor naționale (în cazul Belarusului, totuși, este oportun să vorbim despre sprijinirea limbii ruse, nu a limbii belaruse). Deoarece piața CSI este foarte interesantă pentru vânzătorii occidentali, astăzi aceștia lucrează activ pentru a sprijini limba rusă, care este principalul obstacol în calea dezvoltării cu succes a pieței.

Un alt trend important în domeniu DLP este o tranziție treptată la o structură modulară, când clientul poate selecta în mod independent acele componente ale sistemului de care are nevoie (de exemplu, dacă suportul pentru dispozitive externe este dezactivat la nivelul sistemului de operare, atunci nu este nevoie să plătească suplimentar pentru funcționalitatea de a controlează-le). Rol important în dezvoltare DLP -sistemele vor fi influențate și de specificul industriei - ne putem aștepta la apariția unor versiuni speciale de sisteme cunoscute, adaptate special pentru sectorul bancar, pentru agențiile guvernamentale etc., corespunzătoare nevoilor organizațiilor înseși.

Un factor important care influențează dezvoltarea DLP sisteme, este, de asemenea, proliferarea laptopurilor și netbook-urilor în mediile corporative. Specificul laptopurilor (lucru în afara unui mediu corporativ, posibilitatea de a sustrage informații împreună cu dispozitivul în sine etc.) obligă producătorii DLP -sisteme pentru a dezvolta abordări fundamental noi pentru protejarea computerelor laptop. Este de remarcat faptul că astăzi doar câțiva vânzători sunt pregătiți să ofere clienților funcția de monitorizare a laptopurilor și netbook-urilor cu sistemul lor DLP.

Aplicarea DLP în Belarus

DLP în Belarus -sistemele sunt folosite într-un număr relativ mic de organizații, dar numărul acestora creștea constant înainte de criză. Cu toate acestea, colectate folosind DLP -informații de sistem, organizațiile din Belarus nu se grăbesc să facă publice informații, acuzând angajații responsabili pentru scurgeri de informații în instanță. În ciuda faptului că legislația belarusă conține prevederi care permit pedepsirea distribuitorilor de secrete corporative, marea majoritate a organizațiilor care folosesc DLP -sistemele preferă să se limiteze la proceduri interne și sancțiuni disciplinare și, în ultimă instanță, concedierea angajaților care au comis infracțiuni deosebit de mari. Cu toate acestea, tradiția de „a nu spăla lenjeria murdară în public” este caracteristică întregului spațiu post-sovietic, spre deosebire de țările occidentale, unde scurgerile de date sunt raportate tuturor celor care ar fi putut suferi de aceasta.

Vadim STANKEVICH