Comparația sistemelor DLP. Revizuirea sistemelor DLP pe piața globală și rusă

Despre problema Astăzi, tehnologia informației este o componentă importantă a oricărei organizații moderne. Figurat vorbind, tehnologia informației este inima întreprinderii, care menține performanța afacerii și crește eficiența și competitivitatea acesteia în condițiile unei concurențe moderne, acerbe.Sisteme de automatizare a proceselor de afaceri, precum fluxul de documente, sistemele CRM, sistemele ERP, sistemele multidimensionale de analiză și planificare permit colectarea rapidă a informațiilor, sistematizarea și gruparea acestora, accelerând procesele de luare a deciziilor de management și asigurând transparența proceselor de afaceri și de afaceri pentru management și acționari.Devine evident că o cantitate mare de date strategice, confidențiale și personale reprezintă un un activ informațional important al întreprinderii și consecințele scurgerii acestor informații vor afecta eficiența organizației.Utilizarea măsurilor de securitate tradiționale de astăzi, cum ar fi antivirusurile și firewall-urile, îndeplinesc funcțiile de protecție a activelor informaționale de amenințările externe, dar nu nu asigură în nici un fel protecția activelor informaționale împotriva scurgerii, distorsiunii sau distrugerii de către un atacator intern.Amenințările interne la adresa securității informațiilor pot rămâne ignorate sau, în unele cazuri, neobservate de conducere din cauza lipsei de înțelegere a criticității acestor amenințări. la afaceri.Este din acest motiv protecția datelor confidențiale atât de important astăzi. Despre solutie Protejarea informațiilor confidențiale împotriva scurgerilor este o componentă importantă a complexului de securitate a informațiilor unei organizații. Sistemele DLP (sistem de protecție împotriva scurgerilor de date) sunt concepute pentru a rezolva problema scurgerii accidentale și intenționate de date confidențiale.

Sistem cuprinzător de protecție împotriva scurgerilor de date (sistem DLP) sunt un complex software sau hardware-software care previne scurgerea datelor confidențiale.

Este realizat de sistemul DLP folosind următoarele funcții principale:

• Filtrarea traficului pe toate canalele de transmisie a datelor;
• Analiză profundă a traficului la nivel de conținut și context.

Protejarea informațiilor confidențiale într-un sistem DLP realizat la trei niveluri: Data-in-Motion, Data-at-Rest, Data-in-Use.

Date în mișcare– date transmise pe canalele de rețea:

• Web (protocoale HTTP/HTTPS);
• Internet - mesagerie instant (ICQ, QIP, Skype, MSN etc.);
• Poștă corporativă și personală (POP, SMTP, IMAP etc.);
• Sisteme wireless (WiFi, Bluetooth, 3G etc.);
• conexiuni FTP.

Date în repaus– date stocate static pe:

• Servere;
• Posturi de lucru;
• laptopuri;
• Sisteme de stocare a datelor (DSS).

Date în uz– date utilizate pe stațiile de lucru.

Măsuri care vizează prevenirea scurgerilor de informații constă din două părți principale: organizatorică și tehnică.

Protejarea informațiilor confidențiale include măsuri organizatorice de căutare și clasificare a datelor disponibile în companie. În timpul procesului de clasificare, datele sunt împărțite în 4 categorii:

• Informații secrete;
• Informații confidențiale;
• Informații pentru uz oficial;
• Informatii publice.

Cum se determină informațiile confidențiale în sistemele DLP.

În sistemele DLP, informațiile confidențiale pot fi determinate de o serie de caracteristici diferite, precum și în diferite moduri, de exemplu:

• Analiza informatiilor lingvistice;
• Analiza statistica a informatiilor;
• Expresii regulate (modele);
• Metoda amprentei digitale etc.

După ce informațiile au fost găsite, grupate și sistematizate, urmează a doua parte organizatorică - cea tehnică.

Masuri tehnice:
Protecția informațiilor confidențiale folosind măsuri tehnice se bazează pe utilizarea funcționalității și tehnologiilor sistemului de protecție a scurgerilor de date. Sistemul DLP include două module: un modul gazdă și un modul de rețea.

Module gazdă sunt instalate pe stațiile de lucru ale utilizatorului și asigură controlul asupra acțiunilor efectuate de utilizator în legătură cu datele clasificate (informații confidențiale). În plus, modulul gazdă vă permite să urmăriți activitatea utilizatorului după diverși parametri, cum ar fi timpul petrecut pe Internet, aplicațiile lansate, procesele și căile de date etc.

Modul de rețea efectuează analiza informațiilor transmise prin rețea și controlează traficul care depășește sistemul informațional protejat. Dacă în traficul transmis sunt detectate informații confidențiale, modulul de rețea oprește transmiterea datelor.

Ce va oferi implementarea unui sistem DLP?

După implementarea unui sistem de protecție împotriva scurgerilor de date, compania va primi:

• Protecția activelor informaționale și a informațiilor strategice importante ale companiei;
• Date structurate si sistematizate in organizatie;
• Transparența proceselor de afaceri și de afaceri pentru servicii de management și securitate;
• Controlul proceselor de transfer de date confidențiale în companie;
• Reducerea riscurilor asociate cu pierderea, furtul și distrugerea informațiilor importante;
• Protecție împotriva pătrunderii malware în organizație din interior;
• Salvarea și arhivarea tuturor acțiunilor legate de mișcarea datelor în cadrul sistemului informațional;

Avantajele secundare ale sistemului DLP:

• Monitorizarea prezenței personalului la locul de muncă;
• Economisirea traficului pe Internet;
• Optimizarea rețelei corporative;
• Controlul aplicațiilor utilizate de utilizator;
• Creșterea eficienței personalului.

Astăzi, piața sistemelor DLP este una dintre instrumentele de securitate a informațiilor cu cea mai rapidă creștere. Cu toate acestea, Belarus încă nu ține pasul cu tendințele globale și, prin urmare, piața a făcut-o DLP-sistemele din tara noastra au caracteristici proprii.

Ce este DLP si cum functioneaza?

Înainte să vorbim despre piață DLP -sisteme, este necesar să se decidă ce se înțelege, strict vorbind, când se vorbește despre astfel de decizii. Sub DLP - sistemele sunt înțelese în mod obișnuit ca produse software care protejează organizațiile de scurgeri de informații confidențiale. Abrevierea în sine DLP reprezintă DataLeakPrevention , adică prevenirea scurgerilor de date.

Sistemele de acest fel creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de ieșire. Informațiile controlate ar trebui să fie nu numai traficul de internet, ci și o serie de alte fluxuri de informații: documente care sunt luate în afara buclei de securitate protejate pe medii externe, tipărite pe o imprimantă, trimise către mediile mobile prin intermediul Bluetooth, etc.

Pentru că DLP - sistemul trebuie să prevină scurgerile de informații confidențiale, apoi trebuie să aibă încorporate mecanisme de determinare a gradului de confidențialitate al unui document detectat în traficul interceptat. De regulă, cele mai frecvente sunt două metode: prin analizarea markerilor speciali pentru documente și prin analizarea conținutului documentului. A doua opțiune este acum mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care poate lucra sistemul.

Sarcini „laterale”. DLP

Pe lângă sarcina sa principală legată de prevenirea scurgerilor de informații, DLP -sistemele sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de monitorizarea acțiunilor personalului. Cel mai adesea DLP -sistemele sunt folosite pentru a rezolva următoarele sarcini neesențiale:

• Monitorizarea utilizării timpului de lucru și a resurselor de muncă de către angajați;
• Monitorizarea comunicațiilor angajaților pentru a identifica luptele „sub acoperire” care ar putea dăuna organizației;
• Monitorizarea legalității acțiunilor angajaților (prevenirea tipăririi documentelor false etc.);
• Identificarea angajaților care trimit CV-uri pentru a căuta rapid specialiști pentru posturile vacante;

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind de prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar pot în unele cazuri funcționează și ca mijloc de a proteja organizația de scurgeri. Din cu drepturi depline DLP - Sistemele de astfel de programe se remarcă prin lipsa instrumentelor dezvoltate pentru analiza datelor interceptate, care trebuie realizată manual de către un specialist în securitatea informațiilor, lucru convenabil doar pentru organizațiile foarte mici (până la zece angajați controlați). Cu toate acestea, deoarece aceste soluții sunt solicitate în Belarus, ele sunt incluse și în tabelul de comparație care însoțește acest articol.

Clasificarea sistemelor DLP

Toate sistemele DLP pot fi împărțite în funcție de un număr de caracteristici în mai multe clase principale. Pe baza capacității de a bloca informațiile identificate ca fiind confidențiale, se disting sistemele cu control activ și pasiv al acțiunilor utilizatorului. Primii sunt capabili să blocheze informațiile transmise, cei din urmă, în consecință, nu au această capacitate. Primele sisteme sunt mult mai bune în combaterea scurgerilor aleatorii de date, dar în același timp sunt capabile să permită o oprire accidentală a proceselor de afaceri ale organizației, în timp ce al doilea sistem este sigur pentru procesele de afaceri, dar sunt potrivite doar pentru combaterea scurgerilor sistematice. O altă clasificare a sistemelor DLP se bazează pe arhitectura lor de rețea. Ecluză DLP rulează pe servere intermediare, în timp ce serverele gazdă folosesc agenți care rulează direct pe stațiile de lucru ale angajaților. Astăzi, cea mai comună opțiune este utilizarea componentelor gateway și gazdă împreună.

Piața globală DLP

În prezent, principalii jucători de pe piața globală DLP -sistemele sunt companii care sunt larg cunoscute pentru celelalte produse ale lor pentru asigurarea securității informațiilor în organizații. Aceasta este, în primul rând, Symantec, McAffee, TrendMicro, WebSense. Despre volumul total al pieței globale DLP -soluțiile sunt estimate la 400 de milioane de dolari, ceea ce este destul de puțin în comparație cu aceeași piață de antivirus. Totuși, piața DLP înregistrează o creștere rapidă: în 2009, era estimată la puțin peste 200 de milioane.

Piața din Belarus are o influență uriașă asupra pieței vecinului său estic, Rusia, care este deja destul de mare și matură. Principalii jucători de astăzi sunt companiile rusești: InfoWatch , „Jet Infosystems”, SecurIT, SearchInform, Perimetrix și o serie de altele. Volumul total al pieței DLP din Rusia este estimat la 12–15 milioane de dolari. În același timp, crește în același ritm cu lumea.

Principala dintre aceste tendințe, după cum cred experții, este trecerea de la sistemele „patch”, constând din componente de la diverși producători, fiecare rezolvând propria problemă, la sisteme software integrate unificate. Motivul acestei tranziții este evident: sistemele integrate complexe scutesc specialiștii în securitatea informațiilor de nevoia de a rezolva problemele de compatibilitate a diferitelor componente ale sistemului „patch” între ele, facilitează schimbarea imediată a setărilor pentru rețele mari de stații de lucru client în organizațiilor și, de asemenea, vă permit să nu întâmpinați dificultăți atunci când transferați date de la o componentă a unui singur sistem integrat la alta. De asemenea, mișcarea dezvoltatorilor către sisteme integrate se datorează specificului sarcinilor de asigurare a securității informațiilor: la urma urmei, dacă cel puțin un canal prin care se pot scurge informații poate fi lăsat necontrolat, nu se poate vorbi despre securitatea organizației din acest gen. de amenințări.

Producătorii occidentali DLP -sistemele care au venit pe piața țărilor CSI s-au confruntat cu o serie de probleme legate de suportul limbilor naționale (în cazul Belarusului, totuși, este oportun să vorbim despre sprijinirea limbii ruse, nu a limbii belaruse). Deoarece piața CSI este foarte interesantă pentru vânzătorii occidentali, astăzi aceștia lucrează activ pentru a sprijini limba rusă, care este principalul obstacol în calea dezvoltării cu succes a pieței.

Un alt trend important în domeniu DLP este o tranziție treptată la o structură modulară, când clientul poate selecta în mod independent acele componente ale sistemului de care are nevoie (de exemplu, dacă suportul pentru dispozitive externe este dezactivat la nivelul sistemului de operare, atunci nu este nevoie să plătească suplimentar pentru funcționalitatea de a controlează-le). Rol important în dezvoltare DLP -sistemele vor fi influențate și de specificul industriei - ne putem aștepta la apariția unor versiuni speciale de sisteme cunoscute, adaptate special pentru sectorul bancar, pentru agențiile guvernamentale etc., corespunzătoare nevoilor organizațiilor înseși.

Un factor important care influențează dezvoltarea DLP sisteme, este, de asemenea, proliferarea laptopurilor și netbook-urilor în mediile corporative. Specificul laptopurilor (lucru în afara unui mediu corporativ, posibilitatea de a sustrage informații împreună cu dispozitivul în sine etc.) obligă producătorii DLP -sisteme pentru a dezvolta abordări fundamental noi pentru protejarea computerelor laptop. Este de remarcat faptul că astăzi doar câțiva vânzători sunt pregătiți să ofere clienților funcția de monitorizare a laptopurilor și netbook-urilor cu sistemul lor DLP.

Aplicarea DLP în Belarus

DLP în Belarus -sistemele sunt folosite într-un număr relativ mic de organizații, dar numărul acestora creștea constant înainte de criză. Cu toate acestea, colectate folosind DLP -informații de sistem, organizațiile din Belarus nu se grăbesc să facă publice informații, acuzând angajații responsabili pentru scurgeri de informații în instanță. În ciuda faptului că legislația belarusă conține prevederi care permit pedepsirea distribuitorilor de secrete corporative, marea majoritate a organizațiilor care folosesc DLP -sistemele preferă să se limiteze la proceduri interne și sancțiuni disciplinare și, în ultimă instanță, concedierea angajaților care au comis infracțiuni deosebit de mari. Cu toate acestea, tradiția de „a nu spăla lenjeria murdară în public” este caracteristică întregului spațiu post-sovietic, spre deosebire de țările occidentale, unde scurgerile de date sunt raportate tuturor celor care ar fi putut suferi de aceasta.

Vadim STANKEVICH

Dacă suntem destul de consecvenți în definițiile noastre, putem spune că securitatea informațiilor a început tocmai odată cu apariția sistemelor DLP. Înainte de aceasta, toate produsele care s-au ocupat de „securitatea informațiilor” protejau de fapt nu informațiile, ci infrastructura - locuri în care datele sunt stocate, transmise și procesate. Computerul, aplicația sau canalul care găzduiește, procesează sau transmite informații sensibile este protejat de aceste produse în același mod ca infrastructura care gestionează informații altfel inofensive. Adică, odată cu apariția produselor DLP, sistemele informaționale au învățat în sfârșit să distingă informațiile confidențiale de informațiile neconfidențiale. Poate că, odată cu integrarea tehnologiilor DLP în infrastructura informațională, companiile vor putea economisi mult pe protecția informațiilor - de exemplu, să folosească criptarea numai în cazurile în care informațiile confidențiale sunt stocate sau transmise și nu criptează informațiile în alte cazuri.

Cu toate acestea, aceasta este o chestiune de viitor, iar în prezent aceste tehnologii sunt folosite în principal pentru a proteja informațiile de scurgeri. Tehnologiile de clasificare a informațiilor formează nucleul sistemelor DLP. Fiecare producător consideră că metodele sale de detectare a informațiilor confidențiale sunt unice, le protejează cu brevete și vine cu mărci comerciale speciale pentru ele. La urma urmei, elementele rămase ale arhitecturii care sunt diferite de aceste tehnologii (interceptoare de protocol, parsere de format, management al incidentelor și stocare a datelor) sunt identice pentru majoritatea producătorilor, iar pentru companiile mari sunt chiar integrate cu alte produse de securitate a infrastructurii informaționale. Practic, pentru a clasifica datele din produsele de protejare a informațiilor corporative de scurgeri, se folosesc două grupe principale de tehnologii - analiza lingvistică (morfologică, semantică) și metode statistice (Amprente digitale, ADN document, antiplagiat). Fiecare tehnologie are propriile sale puncte forte și puncte slabe, care determină domeniul de aplicare a acesteia.

Analiza lingvistică

Utilizarea cuvintelor oprite („secrete”, „confidențiale” și altele asemenea) pentru a bloca mesajele de e-mail trimise în serverele de e-mail poate fi considerată precursorul sistemelor moderne DLP. Desigur, acest lucru nu protejează împotriva atacatorilor - eliminarea unui cuvânt stop, care este cel mai adesea plasat într-o secțiune separată a documentului, nu este dificilă, iar sensul textului nu se va schimba deloc.

Impulsul dezvoltării tehnologiilor lingvistice a fost dat la începutul acestui secol de către creatorii filtrelor de e-mail. În primul rând, pentru a proteja e-mailul de spam. Acum, metodele reputaționale predomină în tehnologiile anti-spam, dar la începutul secolului a existat un adevărat război lingvistic între proiectil și armură - spammeri și anti-spammeri. Îți amintești cele mai simple metode de a păcăli filtrele bazate pe cuvinte oprite? Înlocuirea literelor cu litere similare din alte codificări sau numere, transliterare, spații aleatorii, subliniere sau întreruperi de rând în text. Anti-spammerii au învățat rapid să se ocupe de astfel de trucuri, dar apoi au apărut spam-ul grafic și alte tipuri viclene de corespondență nedorită.

Cu toate acestea, este imposibil să utilizați tehnologii anti-spam în produsele DLP fără modificări serioase. La urma urmei, pentru a combate spam-ul, este suficient să împărțiți fluxul de informații în două categorii: spam și non-spam. Metoda Bayes, care este folosită pentru a detecta spam-ul, dă doar un rezultat binar: „da” sau „nu”. Acest lucru nu este suficient pentru a proteja datele corporative de scurgeri - nu puteți pur și simplu împărți informațiile în confidențiale și neconfidențiale. Trebuie să puteți clasifica informațiile după afiliere funcțională (financiară, de producție, tehnologică, comercială, marketing) și în cadrul claselor - să le clasificați după nivelul de acces (pentru distribuție gratuită, pentru acces limitat, pentru uz oficial, secret, secret) , și așa mai departe).

Majoritatea sistemelor moderne de analiză lingvistică utilizează nu numai analiza contextuală (adică în ce context, în combinație cu ce alte cuvinte este folosit un anumit termen), ci și analiza semantică a textului. Aceste tehnologii funcționează mai eficient cu cât fragmentul analizat este mai mare. Analiza se realizează cu mai multă acuratețe pe un fragment mare de text, iar categoria și clasa documentului este mai probabil să fie determinate. Când se analizează mesajele scurte (SMS, mesagerie pe Internet), nu a fost încă inventat nimic mai bun decât cuvintele scurte. Autorul s-a confruntat cu o astfel de sarcină în toamna anului 2008, când mii de mesaje precum „sem fi concediați”, „ne vor lua licența”, „ieșirea deponenților” au fost trimise pe internet de la locurile de muncă ale multe bănci prin mesagerie instant, care trebuiau blocate imediat de la clienții lor.

Avantajele tehnologiei

Avantajele tehnologiilor lingvistice sunt că lucrează direct cu conținutul documentelor, adică nu contează pentru ei unde și cum a fost creat documentul, pe ce tip de ștampilă se află sau cum se numește fișierul - documentele sunt protejate imediat. Acest lucru este important, de exemplu, atunci când procesăm proiecte de documente confidențiale sau pentru a proteja documentația primită. Dacă documentele create și utilizate în cadrul companiei pot fi cumva denumite, ștampilate sau marcate într-un mod specific, atunci documentele primite pot avea ștampile și etichete care nu sunt acceptate de organizație. Ciornele (cu excepția cazului în care, desigur, sunt create într-un sistem securizat de gestionare a documentelor) pot conține deja informații confidențiale, dar să nu conțină încă ștampilele și etichetele necesare.

Un alt avantaj al tehnologiilor lingvistice este capacitatea lor de învățare. Dacă cel puțin o dată în viață ați făcut clic pe butonul „Nu este spam” din clientul dvs. de e-mail, atunci vă puteți imagina deja partea client a sistemului de instruire a motorului lingvistic. Permiteți-mi să notez că nu trebuie să fiți un lingvist certificat și să știți exact ce se va schimba în baza de date de categorii - doar indicați sistemului un fals pozitiv și va face restul singur.

Al treilea avantaj al tehnologiilor lingvistice este scalabilitatea lor. Viteza de prelucrare a informațiilor este proporțională cu cantitatea acesteia și este absolut independentă de numărul de categorii. Până de curând, construirea unei baze de date ierarhice de categorii (în mod istoric se numea BKF - baza de date de filtrare a conținutului, dar această denumire nu mai reflectă semnificația reală) arăta ca un fel de șamanism al lingviștilor profesioniști, așa că înființarea BKF-ului putea să fie ușor. fi considerat un neajuns. Dar odată cu lansarea mai multor produse „autolingvistice” în 2010, construirea unei baze de date primare de categorii a devenit extrem de simplă - sistemului i se arată locurile în care sunt stocate documentele unei anumite categorii și el însuși determină caracteristicile lingvistice ale acestei categorii și în caz de fals pozitive, se antrenează singur. Așa că acum ușurința de configurare a fost adăugată avantajelor tehnologiilor lingvistice.

Și încă un avantaj al tehnologiilor lingvistice pe care aș dori să-l remarc în articol este capacitatea de a detecta categorii în fluxurile de informații care nu au legătură cu documentele aflate în cadrul companiei. Un instrument de monitorizare a conținutului fluxurilor de informații poate identifica categorii precum activități ilegale (piraterie, distribuție de mărfuri interzise), utilizarea infrastructurii companiei în scopuri proprii, prejudicierea imaginii companiei (de exemplu, răspândirea de zvonuri defăimătoare) și curând.

Dezavantajele tehnologiei

Principalul dezavantaj al tehnologiilor lingvistice este dependența lor de limbaj. Nu este posibil să utilizați un motor lingvistic conceput pentru o limbă pentru a analiza alta. Acest lucru a fost vizibil mai ales atunci când producătorii americani au intrat pe piața rusă - nu erau pregătiți să se confrunte cu formarea de cuvinte rusești și prezența a șase codificări. Nu a fost suficient să traducem categoriile și cuvintele cheie în rusă - în engleză, formarea cuvintelor este destul de simplă, iar cazurile sunt puse în prepoziții, adică atunci când cazul se schimbă, prepoziția se schimbă și nu cuvântul în sine. Majoritatea substantivelor din engleză devin verbe fără a schimba cuvântul. Și așa mai departe. În rusă, totul nu este așa - o rădăcină poate da naștere la zeci de cuvinte în diferite părți de vorbire.

În Germania, producătorii americani de tehnologii lingvistice s-au confruntat cu o altă problemă - așa-numitele „compuși”, cuvinte compuse. În germană, se obișnuiește să se atașeze definiții cuvântului principal, rezultând cuvinte care uneori constau dintr-o duzină de rădăcini. Nu există așa ceva în limba engleză, unde un cuvânt este o secvență de litere între două spații, așa că motorul lingvistic englez nu a putut procesa cuvinte lungi necunoscute.

Pentru a fi corect, trebuie spus că aceste probleme au fost acum rezolvate în mare măsură de producătorii americani. Motorul lingvistic a trebuit să fie reproiectat (și uneori rescris) destul de puțin, dar piețele mari din Rusia și Germania merită cu siguranță. De asemenea, este dificil să procesezi texte multilingve folosind tehnologii lingvistice. Cu toate acestea, majoritatea motoarelor încă se descurcă cu două limbi, de obicei limba națională + engleza - pentru majoritatea sarcinilor de afaceri acest lucru este destul de suficient. Deși autorul a întâlnit texte confidențiale care conțin, de exemplu, kazahă, rusă și engleză în același timp, aceasta este mai degrabă excepția decât regula.

Un alt dezavantaj al tehnologiilor lingvistice pentru controlul întregii game de informații confidențiale corporative este că nu toate informațiile confidențiale sunt sub formă de texte coerente. Deși în bazele de date informațiile sunt stocate sub formă de text și nu există probleme la extragerea textului din SGBD, informațiile primite conțin cel mai adesea nume proprii - nume complete, adrese, nume de companii, precum și informații digitale - numere de cont, cărți de credit, soldurile lor etc. Prelucrarea unor astfel de date folosind lingvistică nu va aduce prea multe beneficii. Același lucru se poate spune despre formatele CAD/CAM, adică desenele care conțin adesea proprietate intelectuală, coduri de program și formate media (video/audio) - unele texte pot fi extrase din acestea, dar procesarea lor este și ineficientă. Cu doar trei ani în urmă, acest lucru se aplica și pentru textele scanate, dar producătorii de top de sisteme DLP au adăugat rapid recunoașterea optică și au rezolvat această problemă.

Dar cel mai mare și cel mai des criticat neajuns al tehnologiilor lingvistice este încă abordarea probabilistică a categorizării. Dacă ați citit vreodată un e-mail cu categoria „Probabil SPAM”, veți ști la ce mă refer. Dacă acest lucru se întâmplă cu spam-ul, unde există doar două categorii (spam/nu spam), vă puteți imagina ce se va întâmpla când câteva zeci de categorii și clase de confidențialitate vor fi încărcate în sistem. Deși antrenarea sistemului poate atinge o acuratețe de 92-95%, pentru majoritatea utilizatorilor aceasta înseamnă că fiecare a zecea sau a douăzecea mișcare de informații va fi atribuită în mod greșit unei clase greșite, cu toate consecințele de afaceri care decurg din acestea (scurgerea sau întreruperea unui proces legitim).

De obicei, nu este obișnuit să se considere complexitatea dezvoltării tehnologiei ca un dezavantaj, dar nu poate fi ignorată. Dezvoltarea unui motor lingvistic serios cu clasificarea textelor în mai mult de două categorii este un proces intensiv în cunoștințe și destul de complex din punct de vedere tehnologic. Lingvistica aplicată este o știință în dezvoltare rapidă, care a primit un impuls puternic în dezvoltarea sa odată cu răspândirea căutării pe Internet, dar astăzi există doar câteva motoare de clasificare funcționale pe piață: pentru limba rusă există doar două, iar pentru unele limbi pur și simplu nu au fost încă dezvoltate. Prin urmare, există doar câteva companii pe piața DLP care sunt capabile să clasifice complet informațiile din mers. Se poate presupune că atunci când piața DLP crește la dimensiuni de mai multe miliarde de dolari, Google va intra cu ușurință în ea. Cu propriul său motor lingvistic, testat pe trilioane de interogări de căutare în mii de categorii, nu va fi dificil pentru el să apuce imediat o parte serioasă din această piață.

metode statistice

Sarcina de a căuta pe computer citate semnificative (de ce exact „semnificative” - puțin mai târziu) i-a interesat pe lingviști încă din anii 70 ai secolului trecut, dacă nu mai devreme. Textul a fost rupt în bucăți de o anumită dimensiune și din fiecare dintre ele a fost luat un haș. Dacă o anumită secvență de hashuri a apărut în două texte în același timp, atunci cu o mare probabilitate textele din aceste zone au coincis.

Un produs secundar al cercetării în acest domeniu este, de exemplu, „cronologia alternativă” a lui Anatoly Fomenko, un savant respectat care a lucrat la „corelații textuale” și a comparat odată cronicile rusești din diferite perioade istorice. Surprins de cât de mult coincid cronicile diferitelor secole (mai mult de 60%), la sfârșitul anilor 70 a prezentat teoria că cronologia noastră este cu câteva secole mai scurtă. Prin urmare, atunci când o companie DLP care intră pe piață oferă „tehnologie revoluționară pentru căutarea cotațiilor”, se poate spune cu mare probabilitate că compania nu a creat altceva decât un nou brand.

Tehnologiile statistice tratează textele nu ca pe o secvență coerentă de cuvinte, ci ca pe o secvență arbitrară de caractere și, prin urmare, funcționează la fel de bine cu textele în orice limbă. Deoarece orice obiect digital - fie că este o imagine sau un program - este și o secvență de simboluri, aceleași metode pot fi folosite pentru a analiza nu numai informațiile text, ci și orice obiect digital. Și dacă hashurile din două fișiere audio se potrivesc, unul dintre ele conține probabil un citat din celălalt, așa că metodele statistice sunt mijloace eficiente de protecție împotriva scurgerilor audio și video, utilizate activ în studiourile de muzică și companiile de film.

Este timpul să revenim la conceptul de „citat semnificativ”. Caracteristica cheie a unui hash complex luat dintr-un obiect protejat (care în diferite produse se numește fie Amprentă digitală, fie ADN document) este pasul în care este luat hash-ul. După cum se poate înțelege din descriere, o astfel de „imprimare” este o caracteristică unică a obiectului și, în același timp, are propria dimensiune. Acest lucru este important deoarece, dacă luați printuri de la milioane de documente (care este capacitatea de stocare a băncii medii), veți avea nevoie de o cantitate suficientă de spațiu pe disc pentru a stoca toate imprimările. Mărimea unei astfel de amprente depinde de pasul hash - cu cât este mai mic pasul, cu atât amprenta este mai mare. Dacă luați un hash în trepte de un caracter, dimensiunea amprentei va depăși dimensiunea eșantionului în sine. Dacă măriți dimensiunea pasului (de exemplu, 10.000 de caractere) pentru a reduce „greutatea” amprentei, atunci, în același timp, crește probabilitatea ca un document care conține un citat dintr-un eșantion de 9.900 de caractere să fie confidențial, dar să alunece prin neobservat.

Pe de altă parte, dacă faceți un pas foarte mic, câteva simboluri, pentru a crește acuratețea detectării, atunci puteți crește numărul de fals pozitive la o valoare inacceptabilă. În ceea ce privește textul, aceasta înseamnă că nu ar trebui să eliminați hash-ul din fiecare literă - toate cuvintele constau din litere, iar sistemul va lua prezența literelor în text ca conținut al citatului din textul eșantion. De obicei, producătorii înșiși recomandă un pas optim pentru eliminarea hashurilor, astfel încât dimensiunea citatului să fie suficientă și, în același timp, greutatea imprimării în sine să fie mică - de la 3% (text) la 15% (video comprimat). În unele produse, producătorii vă permit să schimbați dimensiunea semnificației cotației, adică să creșteți sau să micșorați pasul hash.

Avantajele tehnologiei

După cum puteți înțelege din descriere, pentru a detecta o cotație aveți nevoie de un obiect eșantion. Iar metodele statistice pot spune cu o bună acuratețe (până la 100%) dacă fișierul verificat conține sau nu un citat semnificativ din eșantion. Adică, sistemul nu își asumă responsabilitatea pentru clasificarea documentelor - o astfel de muncă ține în întregime de conștiința persoanei care a clasificat fișierele înainte de a lua amprentele digitale. Acest lucru facilitează foarte mult protecția informațiilor dacă întreprinderea stochează fișiere modificate rar și deja clasificate în anumite locuri. Apoi este suficient să luați o amprentă din fiecare dintre aceste fișiere, iar sistemul va bloca, în conformitate cu setările, transferul sau copierea fișierelor care conțin citate semnificative din mostre.

Independența metodelor statistice față de limbajul textului și a informațiilor non-textuale este, de asemenea, un avantaj incontestabil. Sunt buni la protejarea obiectelor digitale statice de orice tip - imagini, audio/video, baze de date. Voi vorbi despre protejarea obiectelor dinamice în secțiunea „dezavantaje”.

Dezavantajele tehnologiei

Ca și în cazul lingvisticii, dezavantajele tehnologiei sunt reversul avantajelor. Ușurința antrenării sistemului (indicați fișierul sistemului și este deja protejat) transferă responsabilitatea antrenării sistemului asupra utilizatorului. Dacă dintr-o dată un fișier confidențial ajunge în locul greșit sau nu a fost indexat din cauza neglijenței sau a intenției rău intenționate, atunci sistemul nu îl va proteja. În consecință, companiile cărora le pasă să protejeze informațiile confidențiale împotriva scurgerilor trebuie să ofere o procedură pentru controlul modului în care fișierele confidențiale sunt indexate de sistemul DLP.

Un alt dezavantaj este dimensiunea fizică a imprimării. Autorul a văzut în repetate rânduri proiecte pilot impresionante pe tipărituri, când sistemul DLP cu 100% probabilitate blochează transferul documentelor care conțin citate semnificative din trei sute de documente eșantion. Cu toate acestea, după un an de funcționare a sistemului în modul de luptă, amprenta fiecărei scrisori trimise este comparată nu cu trei sute, ci cu milioane de mostre de amprente, ceea ce încetinește semnificativ funcționarea sistemului de poștă, provocând întârzieri de zeci de minute. .

După cum am promis mai sus, voi descrie experiența mea în protejarea obiectelor dinamice folosind metode statistice. Timpul necesar pentru a lua o amprentă depinde direct de dimensiunea și formatul fișierului. Pentru un document text ca acest articol durează fracțiuni de secundă, pentru o oră și jumătate de film MP4 durează zeci de secunde. Pentru fișierele care se schimbă rar, acest lucru nu este critic, dar dacă un obiect se schimbă la fiecare minut sau chiar o secundă, atunci apare o problemă: după fiecare schimbare a obiectului, trebuie luată o nouă amprentă... Codul care la care lucrează programatorul nu este cea mai mare complexitate, este mult mai rău cu bazele de date folosite în facturare, core banking sau call center. Dacă timpul pentru luarea amprentei este mai mare decât timpul pentru ca obiectul să rămână neschimbat, atunci problema nu are soluție. Acesta nu este un caz atât de exotic - de exemplu, amprenta unei baze de date care stochează numerele de telefon ale clienților unui operator celular federal durează câteva zile, dar se schimbă în fiecare secundă. Deci, atunci când un furnizor de DLP susține că produsul său vă poate proteja baza de date, adăugați mental cuvântul „cvasi-static”.

Unitatea și lupta contrariilor

După cum se poate observa din secțiunea anterioară a articolului, puterea unei tehnologii se manifestă acolo unde alta este slabă. Lingvistica nu are nevoie de mostre, ea clasifică datele din mers și poate proteja informațiile care nu au fost amprentate, fie accidental, fie intenționat. Amprenta oferă o precizie mai bună și, prin urmare, este de preferat pentru utilizare în modul automat. Lingvistica funcționează excelent cu textele, amprentele funcționează bine cu alte formate de stocare a informațiilor.

Prin urmare, majoritatea companiilor lider folosesc ambele tehnologii în dezvoltarea lor, una dintre ele fiind cea principală, iar cealaltă fiind suplimentară. Acest lucru se datorează faptului că inițial produsele companiei foloseau o singură tehnologie, în care compania a avansat mai departe, iar apoi, conform cererii pieței, a fost conectată o a doua. De exemplu, anterior InfoWatch folosea doar tehnologia lingvistică licențiată Morph-OLogic, iar Websense folosea tehnologia PreciseID, care aparține categoriei Digital Fingerprint, dar acum companiile folosesc ambele metode. În mod ideal, aceste două tehnologii ar trebui utilizate nu în paralel, ci secvenţial. De exemplu, amprentele vor face o treabă mai bună de a determina tipul de document - este un contract sau un bilanţ, de exemplu. Apoi puteți conecta baza de date lingvistică creată special pentru această categorie. Acest lucru economisește foarte mult resursele de calcul.

Câteva alte tipuri de tehnologii utilizate în produsele DLP depășesc domeniul de aplicare al acestui articol. Acestea includ, de exemplu, un analizor de structură care vă permite să găsiți structuri formale în obiecte (numere de card de credit, pașapoarte, numere de identificare fiscală etc.) care nu pot fi detectate nici folosind lingvistică, nici prin amprentă. De asemenea, subiectul diferitelor tipuri de etichete nu este acoperit - de la intrări în câmpurile de atribute ale unui fișier sau pur și simplu un nume special pentru fișiere până la criptocontainere speciale. Această din urmă tehnologie devine învechită, deoarece majoritatea producătorilor preferă să nu reinventeze singuri roata, ci să se integreze cu producătorii de sisteme DRM, precum Oracle IRM sau Microsoft RMS.

Produsele DLP sunt o zonă în creștere rapidă a securității informațiilor; unii producători lansează noi versiuni foarte des, mai mult de o dată pe an. Așteptăm cu nerăbdare apariția noilor tehnologii de analiză a domeniului informațiilor corporative pentru a crește eficiența protejării informațiilor confidențiale.

Înainte de a studia și a discuta în detaliu piața sistemelor DLP, trebuie să decideți ce înseamnă aceasta. Sistemele DLP înseamnă de obicei produse software care sunt create pentru a proteja organizațiile și întreprinderile de scurgeri de informații clasificate. Acesta este modul în care abrevierea DLP în sine este tradusă în rusă (în întregime - Data Leak Prevention) - „evitarea scurgerilor de date”.

Astfel de sisteme sunt capabile să creeze un „perimetru” digital securizat pentru analiza tuturor informațiilor primite sau trimise. Informațiile controlate de acest sistem sunt traficul pe Internet și numeroase fluxuri de informații: documente preluate în afara „perimetrului” protejat pe medii externe, tipărite pe o imprimantă, trimise către dispozitive mobile prin Bluetooth. Deoarece trimiterea și schimbul diferitelor tipuri de informații este o necesitate inevitabilă în zilele noastre, importanța unei astfel de protecție este evidentă. Cu cât se folosesc mai multe tehnologii digitale și internet, cu atât sunt necesare mai multe garanții de securitate în fiecare zi, în special în mediile corporative.

Cum functioneaza?

Deoarece sistemul DLP trebuie să contracareze scurgerile de informații confidențiale corporative, acesta are, desigur, mecanisme încorporate pentru diagnosticarea gradului de confidențialitate al oricărui document găsit în traficul interceptat. În acest caz, există două modalități comune de a recunoaște gradul de confidențialitate al fișierelor: prin verificarea markerilor speciali și prin analizarea conținutului.

În prezent, a doua opțiune este relevantă. Este mai rezistent la modificările care pot fi aduse fișierului înainte de a fi trimis și, de asemenea, face posibilă extinderea cu ușurință a numărului de documente confidențiale cu care sistemul poate lucra.

Sarcini DLP secundare

Pe lângă funcția sa principală, care este legată de prevenirea scurgerii de informații, sistemele DLP sunt potrivite și pentru rezolvarea multor alte sarcini care vizează monitorizarea acțiunilor personalului. Cel mai adesea, sistemele DLP rezolvă o serie dintre următoarele probleme:

• control deplin asupra utilizării timpului de lucru, precum și a resurselor de lucru de către personalul organizației;
• monitorizarea comunicațiilor angajaților pentru a detecta potențialul acestora de a provoca prejudicii organizației;
• controlul asupra acțiunilor angajaților din punct de vedere al legalității (prevenirea producerii de documente contrafăcute);
• identificarea angajaților care trimit CV-uri pentru a găsi rapid personal pentru un post vacant.

Clasificarea și compararea sistemelor DLP

Toate sistemele DLP existente pot fi împărțite în funcție de anumite caracteristici în mai multe subtipuri principale, fiecare dintre ele va ieși în evidență și va avea propriile avantaje față de celelalte.

Dacă este posibilă blocarea informațiilor care sunt recunoscute ca confidențiale, există sisteme cu monitorizare constantă activă sau pasivă a acțiunilor utilizatorului. Primele sisteme sunt capabile să blocheze informațiile transmise, spre deosebire de al doilea. Ei sunt, de asemenea, mult mai capabili să facă față informațiilor care trec accidental în lateral, dar, în același timp, pot opri procesele de afaceri curente ale companiei, ceea ce nu este cea mai bună calitate a lor în comparație cu cea din urmă.

O altă clasificare a sistemelor DLP poate fi făcută pe baza arhitecturii lor de rețea. Gateway-urile DLP funcționează pe servere intermediare. În schimb, gazdele folosesc agenți care lucrează în mod specific pe stațiile de lucru ale angajaților. În momentul de față, o opțiune mai relevantă este utilizarea simultană a componentelor gazdă și gateway, dar primele au anumite avantaje.

Piața globală modernă DLP

În prezent, principalele locuri pe piața globală a sistemelor DLP sunt ocupate de companii larg cunoscute în acest domeniu. Acestea includ Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec își menține poziția de lider pe piața DLP, deși acest fapt este surprinzător, deoarece multe alte companii l-ar putea înlocui. Soluția constă în continuare din componente modulare care îi permit să ofere cele mai noi capabilități concepute pentru a integra sistemele DLP cu cele mai bune tehnologii. Foaia de parcurs tehnologică pentru acest an a fost întocmită folosind informații de la clienții noștri și este astăzi cea mai progresivă disponibilă pe piață. Cu toate acestea, aceasta este departe de cea mai bună alegere a unui sistem DLP.

Puncte forte:

• îmbunătățiri semnificative ale tehnologiei Content-Aware DLP pentru dispozitivele portabile;
• Capacități îmbunătățite de regăsire a conținutului pentru a sprijini o abordare mai cuprinzătoare;
• îmbunătățirea integrării capabilităților DLP cu alte produse Symantec (cel mai izbitor exemplu este Data Insight).

La ce trebuie să acordați atenție (dezavantaje importante în muncă la care merită să vă gândiți):

• în ciuda faptului că foaia de parcurs tehnologică a Symantec este considerată progresivă, implementarea sa are loc adesea cu probleme;
• Chiar dacă consola de management este complet funcțională, nu este atât de competitivă precum susține Symantec;
• Adesea clienții acestui sistem se plâng de timpul de răspuns al serviciului de asistență;
• prețul acestei soluții este în continuare semnificativ mai mare decât cel al modelelor concurenților, care în timp pot lua o poziție de lider datorită micilor modificări aduse acestui sistem.

Websense

În ultimii câțiva ani, dezvoltatorii au îmbunătățit în mod regulat oferta DLP a Websense. Poate fi considerată în siguranță o soluție complet funcțională. Websense a oferit utilizatorului modern capabilități avansate.

Părți câștigătoare:

• Propunerea Websense este de a utiliza o soluție DLP cu funcții complete care acceptă punctele finale și descoperirea datelor.
• Folosind funcția de picurare DLP, este posibil să detectați scurgeri graduale de informații care durează destul de mult timp.

Ce merită o atenție specială:

• Puteți edita datele numai în timp ce sunteți în repaus.
• Harta tehnologică se caracterizează prin putere redusă.

McAfee DLP

Sistemul de securitate McAfee DLP a reușit, de asemenea, să sufere multe schimbări pozitive. Nu se caracterizează prin prezența unor funcții speciale, dar implementarea capacităților de bază este organizată la un nivel înalt. Diferența cheie, pe lângă integrarea cu alte produse McAfee ePolicy Orchestrator (EPO), este utilizarea tehnologiei de stocare într-o bază de date centralizată a datelor capturate. Acest cadru poate fi folosit pentru a optimiza reguli noi pentru a testa false pozitive și pentru a reduce timpul de implementare.

Ce te atrage cel mai mult la această soluție?

Managementul incidentelor poate fi numit cu ușurință un punct forte al soluției McAfee. Cu ajutorul acestuia, sunt atașate documente și comentarii care promit beneficii atunci când se lucrează la orice nivel. Această soluție este capabilă să detecteze conținut non-text, de exemplu, o imagine. Este posibil ca sistemele DLP să implementeze o nouă soluție de la acest dezvoltator pentru a proteja punctele finale, de exemplu, de sine stătătoare.

Funcțiile care vizează dezvoltarea platformelor, prezentate sub formă de dispozitive de comunicații mobile și rețele sociale, au funcționat destul de bine. Acest lucru le permite să învingă soluțiile competitive. Regulile noi sunt analizate printr-o bază de date care conține informațiile capturate, ceea ce ajută la reducerea numărului de fals pozitive și la accelerarea implementării regulilor. McAfee DLP oferă funcționalitate de bază într-un mediu virtual. Planurile privind dezvoltarea lor nu au fost încă formulate clar.

Perspective și sisteme DLP moderne

Prezentare generală a diferitelor soluții prezentate mai sus arată că toate funcționează în același mod. Potrivit experților, principala tendință de dezvoltare este aceea că sistemele „patch” care conțin componente de la mai mulți producători implicați în rezolvarea unor probleme specifice vor fi înlocuite cu un pachet software integrat. Această tranziție se va realiza din cauza necesității de a scuti specialiștii de rezolvarea anumitor probleme. În plus, sistemele DLP existente, ale căror analogi nu pot oferi același nivel de protecție, vor fi îmbunătățite în mod constant.

De exemplu, prin sisteme integrate complexe, se va determina compatibilitatea diferitelor tipuri de componente ale sistemului „patch” între ele. Acest lucru va facilita schimbarea ușoară a setărilor pentru rețele la scară uriașă de stații client din organizații și, în același timp, absența dificultăților în transferul de date de la componentele unui singur sistem integrat între ele. Dezvoltatorii de sisteme integrate consolidează specificul sarcinilor care vizează asigurarea securității informațiilor. Niciun canal nu ar trebui lăsat necontrolat, deoarece este adesea sursa unei probabile scurgeri de informații.

Ce se va întâmpla în viitorul apropiat?

Producătorii occidentali care încercau să preia piața sistemelor DLP din țările CSI s-au confruntat cu probleme în ceea ce privește suportul pentru limbile naționale. Sunt interesați destul de activ de piața noastră, așa că se străduiesc să susțină limba rusă.

Industria DLP vede o mișcare către o structură modulară. Clientului i se va oferi posibilitatea de a selecta independent componentele sistemului de care are nevoie. De asemenea, dezvoltarea și implementarea sistemelor DLP depind de specificul industriei. Cel mai probabil, vor apărea versiuni speciale ale sistemelor cunoscute, a căror adaptare va fi subordonată lucrului în sectorul bancar sau agențiile guvernamentale. Solicitările relevante ale unor organizații specifice vor fi luate în considerare aici.

Securitate corporativă

Utilizarea laptopurilor în mediile corporative are un impact direct asupra direcției de dezvoltare a sistemelor DLP. Acest tip de laptop are mult mai multe vulnerabilități, ceea ce necesită o protecție sporită. Datorită naturii specifice laptopurilor (posibilitatea furtului de informații și a dispozitivului în sine), producătorii de sisteme DLP dezvoltă noi abordări pentru asigurarea securității computerelor laptop.

Chiar și cei mai la modă termeni IT trebuie folosiți corespunzător și cât mai corect posibil. Cel puțin pentru a nu induce în eroare consumatorii. Cu siguranță a devenit la modă să te consideri un producător de soluții DLP. De exemplu, la recenta expoziție CeBIT-2008, inscripția „Soluție DLP” a putut fi văzută adesea pe standurile producătorilor nu doar de antivirusuri și servere proxy puțin cunoscute din lume, ci chiar și de firewall-uri. Uneori, exista sentimentul că după colțul următor puteai vedea un fel de ejector de CD (un program care controlează deschiderea unității CD) cu sloganul mândru al unei soluții DLP de întreprindere. Și, în mod ciudat, fiecare dintre acești producători, de regulă, a avut o explicație mai mult sau mai puțin logică pentru o astfel de poziționare a produsului lor (în mod firesc, pe lângă dorința de a obține „beneficii” de la un termen la modă).

Înainte de a lua în considerare piața producătorilor de sisteme DLP și principalii săi jucători, ar trebui să decidem ce înțelegem prin un sistem DLP. Au existat numeroase încercări de a defini această clasă de sisteme informatice: ILD&P - Information Leakage Detection & Prevention („identificarea și prevenirea scurgerilor de informații”, termenul a fost propus de IDC în 2007), ILP - Information Leakage Protection („protecția împotriva informațiilor”. leaks”, Forrester , 2006), ALS - Anti-Leakage Software („anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (similar cu sistemul Intrusion-prevention).

Dar denumirea DLP - Data Loss Prevention (sau Data Leak Prevention, protecția împotriva scurgerilor de date), propusă în 2005, a devenit totuși stabilită ca un termen folosit în mod obișnuit. Ca rusă (mai degrabă decât o traducere, dar un termen similar) sintagma „ sisteme de protecție confidențială” au fost adoptate date de la amenințările interne.” În același timp, amenințările interne sunt înțelese ca abuzuri (intentionate sau accidentale) de către angajații unei organizații care au drepturi legale de acces la datele relevante și puterile acestora.

Cele mai armonioase și consistente criterii de apartenență la sistemele DLP au fost propuse de agenția de cercetare Forrester Research în cadrul studiului anual al acestei piețe. Ei au propus patru criterii după care un sistem poate fi clasificat ca DLP. 1.

Multicanal. Sistemul trebuie să fie capabil să monitorizeze mai multe canale posibile de scurgere de date. Într-un mediu de rețea, acesta este cel puțin e-mail, Web și IM (mesageri instantanee), și nu doar scanarea traficului de e-mail sau a activității bazei de date. Pe stația de lucru - monitorizarea operațiunilor cu fișierele, lucrul cu clipboard-ul, precum și controlul e-mailului, Web și IM. 2.

Management unificat. Sistemul trebuie să aibă instrumente unificate de management al politicii de securitate a informațiilor, analiză și raportare a evenimentelor pe toate canalele de monitorizare. 3.

Protecție activă. Sistemul nu trebuie doar să detecteze încălcările politicii de securitate, ci și, dacă este necesar, să forțeze respectarea acesteia. De exemplu, blocați mesajele suspecte. 4.

Pe baza acestor criterii, în 2008, Forrester a selectat o listă de 12 furnizori de software pentru revizuire și evaluare (aceștia sunt enumerați mai jos în ordine alfabetică, cu numele companiei achiziționate de acest furnizor pentru a intra pe piața sistemelor DLP indicat între paranteze). ) :

1. Cod verde;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconexiunea;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. Partajare de lucru.

Astăzi, dintre cei 12 furnizori menționați mai sus, doar InfoWatch și Websense sunt reprezentați pe piața rusă într-o măsură sau alta. Restul fie nu funcționează deloc în Rusia, fie și-au anunțat doar intențiile de a începe să vândă soluții DLP (Trend Micro).

Având în vedere funcționalitatea sistemelor DLP, analiștii (Forrester, Gartner, IDC) introduc o clasificare a obiectelor de protecție - tipuri de obiecte informaționale care trebuie monitorizate. O astfel de clasificare face posibilă evaluarea, într-o primă aproximare, a domeniului de aplicare a unui anumit sistem. Există trei categorii de obiecte de monitorizare.

1. Data-in-motion (date în mișcare) - mesaje de e-mail, pagere Internet, rețele peer-to-peer, transferuri de fișiere, trafic Web, precum și alte tipuri de mesaje care pot fi transmise prin canale de comunicare. 2. Data-at-rest (date stocate) - informații despre stații de lucru, laptopuri, servere de fișiere, stocare specializată, dispozitive USB și alte tipuri de dispozitive de stocare a datelor.

3. Date-in-use (date în uz) - informații în curs de prelucrare.

În prezent, pe piața noastră există aproximativ două duzini de produse interne și străine care au unele dintre proprietățile sistemelor DLP. Informații scurte despre ele în spiritul clasificării de mai sus sunt enumerate în tabel. 1 și 2. Tot în tabel. 1 a introdus un astfel de parametru precum „stocarea și auditarea centralizată a datelor”, implicând capacitatea sistemului de a salva datele într-un singur depozit (pentru toate canalele de monitorizare) pentru analize și audit ulterioare. Această funcționalitate a căpătat recent o importanță deosebită nu numai datorită cerințelor diferitelor acte legislative, ci și datorită popularității sale în rândul clienților (pe baza experienței proiectelor implementate). Toate informațiile conținute în aceste tabele sunt preluate din surse publice și materiale de marketing ale companiilor respective.

Pe baza datelor prezentate în tabelele 1 și 2, putem concluziona că astăzi doar trei sisteme DLP sunt prezentate în Rusia (de la companiile InfoWatch, Perimetrix și WebSence). Acestea includ și produsul integrat recent anunțat de la Jet Infosystem (SKVT+SMAP), deoarece va acoperi mai multe canale și va avea un management unificat al politicilor de securitate.

Este destul de dificil să vorbim despre cotele de piață ale acestor produse în Rusia, deoarece majoritatea producătorilor menționați nu dezvăluie volumele de vânzări, numărul de clienți și stațiile de lucru protejate, limitându-se doar la informații de marketing. Putem spune cu siguranță doar că principalii furnizori în acest moment sunt:

• Sisteme „Dozor”, prezente pe piață din 2001;
• Produsele InfoWatch vândute din 2004;
• WebSense CPS (a început să se vândă în Rusia și în întreaga lume în 2007);
• Perimetrix (o companie tânără, prima versiune a cărei produse a fost anunțată pe site-ul său la sfârșitul anului 2008).

În concluzie, aș dori să adaug că dacă unul aparține sau nu clasei de sisteme DLP nu face produsele mai rele sau mai bune - este pur și simplu o chestiune de clasificare și nimic mai mult.

Tabelul 1. Produse prezentate pe piața rusă și având anumite proprietăți ale sistemelor DLP

Companie	Produs	caracteristicile produsului
		Protecția datelor în mișcare	Protecția datelor în utilizare	Protecția „date în repaus” (data-at-rest)	Stocare și auditare centralizată
InfoWatch	IW Traffic Monitor	da	da	Nu	da
	IW CryptoStorage	Nu	Nu	da	Nu
Perimetrix	SafeSpace	da	da	da	da
Sisteme informatice Jet	Dozor Jet (SKVT)	da	Nu	Nu	da
	Jet Watch (SMAP)	da	Nu	Nu	da
Smart Line Inc.	DeviceLock	Nu	da	Nu	da
SecurIT	Zlock	Nu	da	Nu	Nu
	SecretKeeper	Nu	da	Nu	Nu
SpectorSoft	Spector 360	da	Nu	Nu	Nu
Securitate Lumension	Controlul dispozitivului Sanctuary	Nu	da	Nu	Nu
WebSense	Protecția conținutului Websense	da	da	da	Nu
Informzashita	Studio de securitate	Nu	da	da	Nu
Primetek	Insider	Nu	da	Nu	Nu
Software-ul AtomPark	StaffCop	Nu	da	Nu	Nu
SoftInform	SearchInform Server	da	da	Nu	Nu

Tabelul 2. Conformitatea produselor prezentate pe piața rusă cu criteriile de apartenență la clasa de sisteme DLP

Companie	Produs	Criterii de apartenență la sisteme DLP
		Multicanal	Management unificat	Protecție activă	Luând în considerare atât conținutul, cât și contextul
InfoWatch	IW Traffic Monitor	da	da	da	da
Perimetrix	SafeSpace	da	da	da	da
„Jet Infosystems”	„Dozor Jet” (SKVT)	Nu	Nu	da	da
	„Dozor Jet” (SMAP)	Nu	Nu	da	da
„Smart Line Inc”	DeviceLock	Nu	Nu	Nu	Nu
SecurIT	Zlock	Nu	Nu	Nu	Nu
Software Smart Protection Labs	SecretKeeper	da	da	da	Nu
SpectorSoft	Spector 360	da	da	da	Nu
Securitate Lumension	Controlul dispozitivului Sanctuary	Nu	Nu	Nu	Nu
WebSense	Protecția conținutului Websense	da	da	da	da
„Informzashita”	Studio de securitate	da	da	da	Nu
"Primtek"	Insider	da	da	da	Nu
„Software AtomPark”	StaffCop	da	da	da	Nu
„SoftInform”	SearchInform Server	da	da	Nu	Nu
„Infoapărare”	„Infoperimetru”	da	da	Nu	Nu