Hệ thống DLP và tính năng sử dụng chúng trong doanh nghiệp là gì? Công nghệ ngăn ngừa mất dữ liệu để ngăn chặn rò rỉ thông tin bí mật từ hệ thống thông tin ra bên ngoài
Ngay cả những thuật ngữ CNTT thời thượng nhất cũng phải được sử dụng phù hợp và chính xác nhất có thể. Ít nhất là để không đánh lừa người tiêu dùng. Việc coi mình là nhà sản xuất giải pháp DLP chắc chắn đã trở thành mốt. Ví dụ, tại triển lãm CeBIT-2008 gần đây, người ta thường thấy dòng chữ “Giải pháp DLP” trên khán đài của các nhà sản xuất không chỉ các phần mềm chống vi-rút và máy chủ proxy ít được biết đến trên thế giới mà còn cả tường lửa. Đôi khi có cảm giác rằng ở góc tiếp theo, bạn có thể nhìn thấy một loại đầu phun CD nào đó (một chương trình điều khiển việc mở ổ đĩa CD) với khẩu hiệu đáng tự hào về giải pháp DLP dành cho doanh nghiệp. Và, thật kỳ lạ, mỗi nhà sản xuất này, theo quy luật, đều có lời giải thích ít nhiều hợp lý cho việc định vị sản phẩm của họ như vậy (một cách tự nhiên, bên cạnh mong muốn nhận được “lợi ích” từ một thuật ngữ thời thượng).
Trước khi xem xét thị trường của các nhà sản xuất hệ thống DLP và những người chơi chính của nó, chúng ta nên quyết định ý nghĩa của hệ thống DLP. Đã có nhiều nỗ lực để định nghĩa loại hệ thống thông tin này: ILD&P - Information Leakage Development & Prevention ("xác định và ngăn chặn rò rỉ thông tin", thuật ngữ này được IDC đề xuất năm 2007), ILP - Information Leakage Protection ("bảo vệ chống lại thông tin"). rò rỉ”, Forrester , 2006), ALS - Phần mềm chống rò rỉ (“phần mềm chống rò rỉ”, E&Y), Giám sát và lọc nội dung (CMF, Gartner), Hệ thống ngăn chặn đùn (tương tự như hệ thống ngăn chặn xâm nhập).
Tuy nhiên, cái tên DLP - Ngăn chặn mất dữ liệu (hoặc Ngăn chặn rò rỉ dữ liệu, bảo vệ chống rò rỉ dữ liệu), được đề xuất vào năm 2005, tuy nhiên đã trở thành một thuật ngữ được sử dụng phổ biến. Là một thuật ngữ tiếng Nga (chứ không phải là một bản dịch, nhưng là một thuật ngữ tương tự), cụm từ “. hệ thống bảo vệ bí mật” đã được thông qua dữ liệu từ các mối đe dọa nội bộ.” Đồng thời, các mối đe dọa nội bộ được hiểu là sự lạm dụng (cố ý hoặc vô tình) của nhân viên của một tổ chức, những người có quyền hợp pháp để truy cập dữ liệu liên quan và quyền hạn của họ.
Các tiêu chí hài hòa và nhất quán nhất để thuộc về hệ thống DLP đã được cơ quan nghiên cứu Forrester Research đưa ra trong nghiên cứu hàng năm của họ về thị trường này. Họ đề xuất bốn tiêu chí theo đó một hệ thống có thể được phân loại là DLP. 1.
Đa kênh. Hệ thống phải có khả năng giám sát một số kênh rò rỉ dữ liệu có thể xảy ra. Trong môi trường mạng, đây ít nhất là e-mail, Web và IM (tin nhắn tức thời) chứ không chỉ quét lưu lượng thư hoặc hoạt động cơ sở dữ liệu. Trên máy trạm - giám sát các hoạt động của tệp, làm việc với khay nhớ tạm, cũng như kiểm soát e-mail, Web và IM. 2.
Quản lý thống nhất. Hệ thống phải có các công cụ quản lý chính sách bảo mật thông tin thống nhất, phân tích và báo cáo sự kiện trên tất cả các kênh giám sát. 3.
Bảo vệ chủ động. Hệ thống không chỉ phát hiện các hành vi vi phạm chính sách bảo mật mà còn buộc phải tuân thủ chính sách đó nếu cần. Ví dụ: chặn các tin nhắn đáng ngờ. 4.
Dựa trên các tiêu chí này, năm 2008, Forrester đã chọn ra danh sách 12 nhà cung cấp phần mềm để xem xét và đánh giá (chúng được liệt kê bên dưới theo thứ tự bảng chữ cái, với tên công ty được nhà cung cấp này mua lại để tham gia thị trường hệ thống DLP được ghi trong ngoặc đơn) ):
- Mã Xanh;
- Thông tin;
- McAfee (Onigma);
- Dàn nhạc;
- Kết nối lại;
- RSA/EMC (Tablus);
- Symantec (Vontu);
- Trend Micro (Provilla);
- Verdasys;
- Vericept;
- Websense(PortAuthority);
- Chia sẻ công việc.
Ngày nay, trong số 12 nhà cung cấp nêu trên, chỉ có InfoWatch và Websense có mặt trên thị trường Nga ở mức độ này hay mức độ khác. Phần còn lại hoàn toàn không hoạt động ở Nga hoặc vừa công bố ý định bắt đầu bán giải pháp DLP (Trend Micro).
Xem xét chức năng của hệ thống DLP, các nhà phân tích (Forrester, Gartner, IDC) giới thiệu cách phân loại đối tượng bảo vệ - loại đối tượng thông tin cần được giám sát. Việc phân loại như vậy giúp có thể đánh giá gần đúng phạm vi áp dụng của một hệ thống cụ thể. Có ba loại đối tượng giám sát.
1. Dữ liệu chuyển động (dữ liệu chuyển động) - tin nhắn email, máy nhắn tin Internet, mạng ngang hàng, truyền tệp, lưu lượng truy cập Web, cũng như các loại tin nhắn khác có thể được truyền qua các kênh liên lạc. 2. Data-at-rest (dữ liệu được lưu trữ) - thông tin về máy trạm, máy tính xách tay, máy chủ tệp, bộ lưu trữ chuyên dụng, thiết bị USB và các loại thiết bị lưu trữ dữ liệu khác.
3. Data-in-use (dữ liệu đang sử dụng) - thông tin đang được xử lý tại thời điểm hiện tại.
Hiện tại, có khoảng hai chục sản phẩm trong và ngoài nước trên thị trường của chúng tôi có một số tính năng của hệ thống DLP. Thông tin ngắn gọn về chúng theo tinh thần phân loại trên được liệt kê trong bảng. 1 và 2. Cũng có trong bảng. 1 đã giới thiệu một tham số như “lưu trữ và kiểm tra dữ liệu tập trung”, ngụ ý khả năng hệ thống lưu dữ liệu trong một kho lưu trữ duy nhất (đối với tất cả các kênh giám sát) để phân tích và kiểm tra thêm. Chức năng này gần đây đã có tầm quan trọng đặc biệt không chỉ do yêu cầu của các đạo luật lập pháp khác nhau mà còn do tính phổ biến của nó đối với khách hàng (dựa trên kinh nghiệm của các dự án đã triển khai). Tất cả thông tin trong các bảng này được lấy từ các nguồn công khai và tài liệu tiếp thị của các công ty tương ứng.
Dựa trên dữ liệu được trình bày trong Bảng 1 và 2, chúng ta có thể kết luận rằng ngày nay chỉ có ba hệ thống DLP được trình bày ở Nga (từ các công ty InfoWatch, Perimetrix và WebSence). Chúng cũng bao gồm sản phẩm tích hợp được công bố gần đây từ Jet Infosystem (SKVT+SMAP), vì nó sẽ bao gồm một số kênh và có sự quản lý thống nhất các chính sách bảo mật.
Khá khó để nói về thị phần của những sản phẩm này ở Nga, vì hầu hết các nhà sản xuất được đề cập đều không tiết lộ doanh số bán hàng, số lượng khách hàng và máy trạm được bảo vệ, chỉ giới hạn ở thông tin tiếp thị. Chúng tôi chỉ có thể nói chắc chắn rằng các nhà cung cấp chính vào lúc này là:
- Hệ thống “Dozor”, có mặt trên thị trường từ năm 2001;
- Sản phẩm InfoWatch được bán từ năm 2004;
- WebSense CPS (bắt đầu bán ở Nga và trên toàn thế giới vào năm 2007);
- Perimetrix (một công ty trẻ, phiên bản đầu tiên của sản phẩm được công bố trên trang web của mình vào cuối năm 2008).
Tóm lại, tôi muốn nói thêm rằng việc một sản phẩm có thuộc loại hệ thống DLP hay không không làm cho sản phẩm tệ hơn hay tốt hơn - đó chỉ đơn giản là vấn đề phân loại và không có gì hơn thế.
| Công ty | Sản phẩm | Tính năng sản phẩm | |||
|---|---|---|---|---|---|
| Bảo vệ dữ liệu đang chuyển động | Bảo vệ dữ liệu đang sử dụng | Bảo vệ “dữ liệu ở trạng thái nghỉ ngơi” (data-at-rest) | Lưu trữ và kiểm tra tập trung | ||
| Thông tinXem | Giám sát lưu lượng IW | Đúng | Đúng | KHÔNG | Đúng |
| Lưu trữ tiền điện tử IW | KHÔNG | KHÔNG | Đúng | KHÔNG | |
| Perimetrix | Không gian an toàn | Đúng | Đúng | Đúng | Đúng |
| Hệ thống thông tin máy bay phản lực | Máy bay phản lực Dozor (SKVT) | Đúng | KHÔNG | KHÔNG | Đúng |
| Đồng hồ phản lực (SMAP) | Đúng | KHÔNG | KHÔNG | Đúng | |
| Công ty cổ phần đường dây thông minh | Khóa thiết bị | KHÔNG | Đúng | KHÔNG | Đúng |
| Bảo mậtIT | Zlock | KHÔNG | Đúng | KHÔNG | KHÔNG |
| người giữ bí mật | KHÔNG | Đúng | KHÔNG | KHÔNG | |
| SpectorSoft | Spector 360 | Đúng | KHÔNG | KHÔNG | KHÔNG |
| Bảo mật Lumension | Kiểm soát thiết bị thánh địa | KHÔNG | Đúng | KHÔNG | KHÔNG |
| WebSense | Bảo vệ nội dung Websense | Đúng | Đúng | Đúng | KHÔNG |
| Thông báo | Studio bảo mật | KHÔNG | Đúng | Đúng | KHÔNG |
| Primetek | Người trong cuộc | KHÔNG | Đúng | KHÔNG | KHÔNG |
| Phần mềm AtomPark | Nhân viênCop | KHÔNG | Đúng | KHÔNG | KHÔNG |
| Thông tin mềm | Máy chủ thông tin tìm kiếm | Đúng | Đúng | KHÔNG | KHÔNG |
| Công ty | Sản phẩm | Tiêu chí thuộc hệ thống DLP | |||
|---|---|---|---|---|---|
| Đa kênh | Quản lý thống nhất | Bảo vệ chủ động | Xem xét cả nội dung và bối cảnh | ||
| Thông tinXem | Giám sát lưu lượng IW | Đúng | Đúng | Đúng | Đúng |
| Perimetrix | Không gian an toàn | Đúng | Đúng | Đúng | Đúng |
| “Hệ thống thông tin máy bay phản lực” | “Máy bay phản lực Dozor” (SKVT) | KHÔNG | KHÔNG | Đúng | Đúng |
| “Máy bay phản lực Dozor” (SMAP) | KHÔNG | KHÔNG | Đúng | Đúng | |
| "Đường dây thông minh Inc" | Khóa thiết bị | KHÔNG | KHÔNG | KHÔNG | KHÔNG |
| Bảo mậtIT | Zlock | KHÔNG | KHÔNG | KHÔNG | KHÔNG |
| Phần mềm phòng thí nghiệm bảo vệ thông minh | người giữ bí mật | Đúng | Đúng | Đúng | KHÔNG |
| SpectorSoft | Spector 360 | Đúng | Đúng | Đúng | KHÔNG |
| Bảo mật Lumension | Kiểm soát thiết bị thánh địa | KHÔNG | KHÔNG | KHÔNG | KHÔNG |
| WebSense | Bảo vệ nội dung Websense | Đúng | Đúng | Đúng | Đúng |
| “Thông báo cho tôi” | Studio bảo mật | Đúng | Đúng | Đúng | KHÔNG |
| "Primtek" | Người trong cuộc | Đúng | Đúng | Đúng | KHÔNG |
| “Phần mềm AtomPark” | Nhân viênCop | Đúng | Đúng | Đúng | KHÔNG |
| “Thông tin mềm” | Máy chủ thông tin tìm kiếm | Đúng | Đúng | KHÔNG | KHÔNG |
| “Phòng thủ thông tin” | “Thông tin chu vi” | Đúng | Đúng | KHÔNG | KHÔNG |
(Ngăn ngừa mất dữ liệu)
Hệ thống giám sát hành động của người dùng, một hệ thống bảo vệ dữ liệu bí mật khỏi các mối đe dọa nội bộ.
Hệ thống DLP được sử dụng để phát hiện và ngăn chặn việc truyền dữ liệu bí mật ở các giai đoạn khác nhau. (trong quá trình di chuyển, sử dụng và bảo quản). Hệ thống DLP cho phép:
Kiểm soát công việc của người dùng, tránh lãng phí thời gian làm việc vào mục đích cá nhân một cách không kiểm soát.
Tự động, không bị người dùng chú ý, ghi lại tất cả các hành động, bao gồm email đã gửi và nhận, cuộc trò chuyện và tin nhắn tức thời, mạng xã hội, trang web đã truy cập, dữ liệu gõ trên bàn phím, tệp được truyền, in và lưu, v.v.
Giám sát việc sử dụng trò chơi máy tính tại nơi làm việc và tính đến lượng thời gian làm việc dành cho trò chơi máy tính.
Giám sát hoạt động mạng của người dùng, tính đến lưu lượng mạng
Kiểm soát việc sao chép tài liệu sang nhiều phương tiện khác nhau (phương tiện di động, ổ cứng, thư mục mạng, v.v.)
Kiểm soát việc in mạng của người dùng
Ghi lại yêu cầu của người dùng tới các công cụ tìm kiếm, v.v.
Dữ liệu đang chuyển động - dữ liệu đang chuyển động - tin nhắn email, chuyển lưu lượng truy cập web, tệp, v.v.
Dữ liệu trong phần còn lại - dữ liệu được lưu trữ - thông tin trên máy trạm, máy chủ tệp, thiết bị USB, v.v.
Dữ liệu đang sử dụng - dữ liệu đang sử dụng - thông tin đang được xử lý tại thời điểm này.
Kiến trúc của giải pháp DLP có thể khác nhau giữa các nhà phát triển khác nhau, nhưng nhìn chung có 3 xu hướng chính:
Bộ chặn và bộ điều khiển cho các kênh truyền thông tin khác nhau. Thiết bị chặn phân tích các luồng thông tin truyền phát ra từ phạm vi của công ty, phát hiện dữ liệu bí mật, phân loại thông tin và truyền nó đến máy chủ quản lý để xử lý một sự cố có thể xảy ra. Bộ điều khiển khám phá dữ liệu ở trạng thái nghỉ chạy các quy trình khám phá trên tài nguyên mạng để tìm thông tin nhạy cảm. Bộ điều khiển hoạt động trên máy trạm phân phối chính sách bảo mật đến thiết bị đầu cuối (máy tính), phân tích kết quả hoạt động của nhân viên với thông tin bí mật và truyền dữ liệu sự cố có thể xảy ra đến máy chủ quản lý.
Các chương trình tác nhân được cài đặt trên thiết bị cuối: thông báo dữ liệu bí mật đang được xử lý và giám sát việc tuân thủ các quy tắc như lưu thông tin vào phương tiện di động, gửi, in, sao chép qua khay nhớ tạm.
Máy chủ quản lý trung tâm - so sánh thông tin nhận được từ thiết bị chặn và bộ điều khiển, đồng thời cung cấp giao diện để xử lý sự cố và tạo báo cáo.
Các giải pháp DLP cung cấp nhiều phương pháp khám phá thông tin kết hợp:
Bản in kỹ thuật số của tài liệu và các bộ phận của chúng
Dấu vân tay kỹ thuật số của cơ sở dữ liệu và thông tin có cấu trúc khác quan trọng để bảo vệ khỏi sự phân phối
Phương pháp thống kê (tăng độ nhạy của hệ thống khi tái diễn vi phạm).
Khi vận hành hệ thống DLP, một số quy trình thường được thực hiện theo chu kỳ:
Đào tạo hệ thống về nguyên tắc phân loại thông tin.
Nhập các quy tắc phản hồi liên quan đến danh mục thông tin được phát hiện và các nhóm nhân viên có hành động cần được theo dõi. Người dùng đáng tin cậy được đánh dấu.
Việc thực hiện thao tác kiểm soát của hệ thống DLP (hệ thống phân tích và chuẩn hóa thông tin, thực hiện so sánh với các nguyên tắc phát hiện và phân loại dữ liệu và khi phát hiện thông tin bí mật, hệ thống sẽ so sánh thông tin đó với các chính sách hiện có được chỉ định cho danh mục thông tin được phát hiện và, nếu cần thiết, tạo ra sự cố)
Xử lý sự cố (ví dụ: thông báo, tạm dừng hoặc chặn gửi).
Các tính năng tạo và vận hành VPN từ góc độ bảo mật
Các tùy chọn để xây dựng VPN:
Dựa trên hệ điều hành mạng
Dựa trên bộ định tuyến
Dựa trên ITU
Dựa trên phần mềm và phần cứng chuyên dụng
Dựa trên phần mềm chuyên dụng
Để VPN hoạt động chính xác và an toàn, bạn cần hiểu những điều cơ bản về tương tác giữa VPN và tường lửa:
VPN có khả năng tạo các đường hầm liên lạc từ đầu đến cuối đi qua chu vi mạng và do đó cực kỳ khó khăn về mặt kiểm soát truy cập từ tường lửa, khiến việc phân tích lưu lượng được mã hóa trở nên khó khăn.
Nhờ khả năng mã hóa, VPN có thể được sử dụng để vượt qua các hệ thống IDS không thể phát hiện sự xâm nhập từ các kênh liên lạc được mã hóa.
Tùy thuộc vào kiến trúc mạng, tính năng dịch địa chỉ mạng (NAT) cực kỳ quan trọng có thể không tương thích với một số triển khai VPN, v.v.
Về cơ bản, khi đưa ra quyết định về việc triển khai các thành phần VPN vào kiến trúc mạng, quản trị viên có thể chọn VPN làm thiết bị bên ngoài độc lập hoặc chọn tích hợp VPN vào tường lửa để cung cấp cả hai chức năng trong một hệ thống.
Bên trong DMZ, giữa tường lửa và bộ định tuyến biên giới
Bên trong mạng được bảo vệ trên bộ điều hợp mạng ITU
Bên trong mạng được bảo vệ, đằng sau tường lửa
Song song với ITU, tại điểm vào mạng được bảo vệ.
Khi thiết lập kết nối an toàn giữa các thiết bị VPN (xác thực, trao đổi khóa, v.v.)
Sự chậm trễ liên quan đến việc mã hóa và giải mã dữ liệu được bảo vệ cũng như các chuyển đổi cần thiết để kiểm soát tính toàn vẹn của chúng
Độ trễ liên quan đến việc thêm tiêu đề mới vào các gói được truyền
ITU + VPN riêng biệt. Tùy chọn lưu trữ VPN:
Tường lửa + VPN, được lưu trữ dưới dạng một đơn vị - giải pháp tích hợp như vậy thuận tiện hơn cho việc hỗ trợ kỹ thuật so với tùy chọn trước đó, không gây ra sự cố liên quan đến NAT (dịch địa chỉ mạng) và cung cấp khả năng truy cập dữ liệu đáng tin cậy hơn mà tường lửa là chịu trách nhiệm. Nhược điểm của giải pháp tích hợp là chi phí ban đầu cao khi mua một công cụ như vậy, cũng như các tùy chọn hạn chế để tối ưu hóa các thành phần Tường lửa và VPN tương ứng (nghĩa là, việc triển khai ITU thỏa mãn nhất có thể không phù hợp để xây dựng các thành phần VPN trên chúng. cơ sở VPN có thể có tác động đáng kể đến hiệu suất mạng và độ trễ có thể xảy ra trong các giai đoạn sau:
Bảo mật email
Các giao thức thư chính: (E)SMTP, POP, IMAP.
SMTP - giao thức truyền thư đơn giản, cổng TCP 25, không có xác thực. SMTP mở rộng - xác thực ứng dụng khách đã được thêm vào.
POP - post Office Protocol 3 - nhận thư từ máy chủ. Xác thực văn bản rõ ràng. APOP - với khả năng xác thực.
IMAP - giao thức truy cập tin nhắn internet - là giao thức thư không được mã hóa kết hợp các thuộc tính của POP3 và IMAP. Cho phép bạn làm việc trực tiếp với hộp thư của mình mà không cần tải thư xuống máy tính.
Do thiếu bất kỳ phương tiện mã hóa thông tin thông thường nào, chúng tôi quyết định sử dụng SSL để mã hóa dữ liệu của các giao thức này. Từ đây xuất hiện các giống sau:
POP3 SSL - cổng 995, SMTP SSL (SMTPS) cổng 465, IMAP SSL (IMAPS) - cổng 993, tất cả TCP.
Kẻ tấn công làm việc với hệ thống email có thể theo đuổi các mục tiêu sau:
Chặn mật khẩu trong các phiên POP và IMAP, do đó kẻ tấn công có thể nhận và xóa thư mà người dùng không hề hay biết
Chặn mật khẩu trong các phiên SMTP - do đó kẻ tấn công có thể được ủy quyền bất hợp pháp để gửi thư qua máy chủ này
Tấn công máy tính người dùng bằng cách gửi virus email, gửi email giả mạo (giả mạo địa chỉ người gửi trong SMTP là việc vặt), đọc email của người khác.
Một cuộc tấn công vào máy chủ thư bằng email nhằm mục đích xâm nhập hệ điều hành hoặc từ chối dịch vụ
Sử dụng máy chủ thư làm máy chuyển tiếp khi gửi thư không mong muốn (thư rác)
Chặn mật khẩu:
Để giải quyết các vấn đề bảo mật với giao thức POP, IMAP và SMTP, giao thức SSL thường được sử dụng nhất, cho phép bạn mã hóa toàn bộ phiên giao tiếp. Nhược điểm - SSL là giao thức sử dụng nhiều tài nguyên có thể làm chậm đáng kể quá trình giao tiếp.
Thư rác và cuộc chiến chống lại nó
Các loại thư rác lừa đảo:
Xổ số - một thông báo nhiệt tình về tiền trúng xổ số mà người nhận tin nhắn không tham gia. Tất cả những gì bạn cần làm là truy cập trang web thích hợp và nhập số tài khoản cũng như mã PIN của thẻ, những thông tin này được cho là bắt buộc để thanh toán cho các dịch vụ giao hàng.
Đấu giá - kiểu lừa dối này bao gồm việc không có hàng hóa mà những kẻ lừa đảo đang bán. Sau khi thanh toán, khách hàng không nhận được gì.
Lừa đảo là một lá thư chứa liên kết đến một số tài nguyên mà họ muốn bạn cung cấp dữ liệu, v.v. Thu hút những người dùng cả tin hoặc thiếu chú ý đối với dữ liệu cá nhân và bí mật. Những kẻ lừa đảo gửi rất nhiều thư, thường được ngụy trang dưới dạng thư chính thức từ nhiều tổ chức khác nhau, chứa các liên kết dẫn đến các trang web mồi nhử sao chép trực quan các trang web của ngân hàng, cửa hàng và các tổ chức khác.
Lừa đảo bưu chính là việc tuyển dụng nhân sự cho một công ty được cho là đang cần một đại diện ở bất kỳ quốc gia nào có thể đảm nhiệm việc gửi hàng hoặc chuyển tiền cho một công ty nước ngoài. Theo quy định, các âm mưu rửa tiền được ẩn giấu ở đây.
Thư Nigeria - yêu cầu gửi một số tiền nhỏ trước khi nhận tiền.
Những lá thư hạnh phúc
Thư rác có thể có số lượng lớn hoặc có mục tiêu.
Thư rác số lượng lớn thiếu các mục tiêu cụ thể và sử dụng các kỹ thuật lừa đảo qua mạng xã hội lừa đảo đối với số lượng lớn người.
Thư rác có mục tiêu là một kỹ thuật nhằm vào một cá nhân hoặc tổ chức cụ thể, trong đó kẻ tấn công hành động thay mặt cho giám đốc, quản trị viên hoặc nhân viên khác của tổ chức nơi nạn nhân làm việc hoặc kẻ tấn công đại diện cho một công ty mà tổ chức mục tiêu đã thành lập mối quan hệ đáng tin cậy.
Việc thu thập địa chỉ được thực hiện bằng cách chọn tên riêng, từ đẹp từ từ điển, kết hợp số từ thường xuyên, phương pháp loại suy, quét tất cả các nguồn thông tin có sẵn (phòng trò chuyện, diễn đàn, v.v.), đánh cắp cơ sở dữ liệu, v.v.
Các địa chỉ nhận được sẽ được xác minh (kiểm tra xem chúng có hợp lệ không) bằng cách gửi tin nhắn kiểm tra, đặt trong văn bản tin nhắn một liên kết duy nhất tới một bức ảnh có bộ đếm tải xuống hoặc liên kết “hủy đăng ký khỏi tin nhắn rác”.
Sau đó, thư rác được gửi trực tiếp từ máy chủ thuê hoặc từ các dịch vụ email hợp pháp được định cấu hình không chính xác hoặc thông qua cài đặt ẩn phần mềm độc hại trên máy tính của người dùng.
Kẻ tấn công làm phức tạp công việc của các bộ lọc chống thư rác bằng cách đưa vào các văn bản ngẫu nhiên, tiếng ồn hoặc văn bản vô hình, sử dụng chữ cái đồ họa hoặc thay đổi chữ cái đồ họa, hình ảnh bị phân mảnh, bao gồm cả việc sử dụng hoạt ảnh và văn bản chuẩn bị trước.
Phương pháp chống thư rác
Có 2 phương pháp lọc thư rác chính:
Lọc theo đặc điểm chính thức của thư email
Lọc theo nội dung
Phân mảnh theo danh sách: đen, trắng và xám. Danh sách xám là một phương pháp chặn tạm thời các tin nhắn có sự kết hợp không xác định giữa địa chỉ email và địa chỉ IP máy chủ gửi. Khi lần thử đầu tiên kết thúc trong thất bại tạm thời (theo quy định, các chương trình gửi thư rác không gửi lại thư). Nhược điểm của phương pháp này là khoảng thời gian dài giữa việc gửi và nhận thông điệp hợp pháp.
Kiểm tra xem thư được gửi từ máy chủ thư thật hay giả (giả) từ miền được chỉ định trong thư.
“Gọi lại” - khi nhận được kết nối đến, máy chủ nhận sẽ tạm dừng phiên và mô phỏng phiên làm việc với máy chủ gửi. Nếu nỗ lực không thành công, kết nối bị treo sẽ bị chấm dứt mà không cần xử lý thêm.
Lọc theo các đặc điểm chính thức của thư: địa chỉ người gửi và người nhận, kích thước, sự hiện diện và số lượng tệp đính kèm, địa chỉ IP của người gửi, v.v.
Phương pháp hình thức
Nhận dạng theo nội dung của bức thư - sự hiện diện của các dấu hiệu nội dung thư rác trong thư được kiểm tra: một tập hợp nhất định và phân bổ các cụm từ cụ thể trong suốt bức thư.
Nhận dạng theo mẫu chữ cái (phương pháp lọc dựa trên chữ ký, bao gồm cả chữ ký đồ họa)
Lọc Bayesian thực sự là lọc từ. Khi kiểm tra một lá thư đến, xác suất đó là thư rác được tính toán dựa trên quá trình xử lý văn bản, bao gồm việc tính toán “trọng số” trung bình của tất cả các từ trong một lá thư nhất định. Một lá thư được phân loại là thư rác hay không phải thư rác dựa trên việc trọng lượng của nó có vượt quá ngưỡng nhất định do người dùng chỉ định hay không. Sau khi đưa ra quyết định về một lá thư, “trọng số” của các từ có trong đó sẽ được cập nhật vào cơ sở dữ liệu.
Phương pháp ngôn ngữ - làm việc với nội dung của bức thư
Xác thực trong hệ thống máy tính
Quá trình xác thực có thể được chia thành các loại sau:
Nhưng dựa trên kiến thức về một cái gì đó (mã PIN, mật khẩu)
Dựa trên việc sở hữu một thứ gì đó (thẻ thông minh, chìa khóa USB)
Không dựa trên đặc điểm vốn có (đặc điểm sinh trắc học)
Các loại xác thực:
Xác thực đơn giản bằng mật khẩu
Xác thực mạnh mẽ bằng cách sử dụng kiểm tra đa yếu tố và phương pháp mã hóa
Xác thực sinh trắc học
Các cuộc tấn công chính vào các giao thức xác thực là:
"Giả trang" - khi người dùng cố gắng mạo danh người dùng khác
Truyền lại - khi mật khẩu bị chặn được gửi thay mặt cho người dùng khác
cưỡng bức trì hoãn
Để ngăn chặn các cuộc tấn công như vậy, các kỹ thuật sau được sử dụng:
Các cơ chế như phản hồi thử thách, dấu thời gian, số ngẫu nhiên, chữ ký số, v.v.
Liên kết kết quả xác thực với các hành động tiếp theo của người dùng trong hệ thống.
Thực hiện định kỳ các thủ tục xác thực trong phiên giao tiếp đã được thiết lập.
Xác thực dựa trên mật khẩu có thể sử dụng lại
Xác thực dựa trên mật khẩu một lần - OTP (mật khẩu một lần) - mật khẩu một lần chỉ có giá trị cho một lần đăng nhập và có thể được tạo bằng mã thông báo OTP. Để làm điều này, khóa bí mật của người dùng được sử dụng, nằm cả bên trong mã thông báo OTP và trên máy chủ xác thực.
Xác thực đơn giản
Đơn phương
Hai mặt
ba bên
Xác thực nghiêm ngặt liên quan đến việc bên chứng minh chứng minh tính xác thực của mình cho bên tin tưởng bằng cách chứng minh kiến thức về một bí mật nhất định. Xảy ra:
Có thể được thực hiện dựa trên thẻ thông minh hoặc khóa USB hoặc mật mã.
Xác thực mạnh có thể được triển khai bằng quy trình xác minh hai hoặc ba yếu tố.
Trong trường hợp xác thực hai yếu tố, người dùng phải chứng minh rằng mình biết mật khẩu hoặc mã PIN và có thông tin nhận dạng cá nhân nhất định (thẻ thông minh hoặc khóa USB).
Xác thực ba yếu tố yêu cầu người dùng cung cấp một loại nhận dạng khác, chẳng hạn như sinh trắc học.
Xác thực mạnh mẽ bằng các giao thức mật mã có thể dựa vào mã hóa đối xứng và bất đối xứng, cũng như các hàm băm. Bên chứng minh chứng minh mình biết bí mật nhưng bản thân bí mật lại không được tiết lộ. Các tham số một lần được sử dụng (số ngẫu nhiên, dấu thời gian và số thứ tự) để tránh truyền lặp lại, đảm bảo tính duy nhất, rõ ràng và đảm bảo thời gian của tin nhắn được truyền.
Xác thực người dùng sinh trắc học
Các tính năng sinh trắc học được sử dụng phổ biến nhất là:
Dấu vân tay
Mẫu tĩnh mạch
Hình học bàn tay
mống mắt
Hình học khuôn mặt
Sự kết hợp của những điều trên
Kiểm soát quyền truy cập bằng cơ chế đăng nhập một lần với ủy quyền Đăng nhập một lần (SSO)
SSO cho phép người dùng mạng công ty chỉ trải qua một lần xác thực khi họ đăng nhập vào mạng, chỉ xuất trình một mật khẩu hoặc trình xác thực được yêu cầu khác một lần và sau đó, không cần xác thực bổ sung, có quyền truy cập vào tất cả các tài nguyên mạng được ủy quyền cần thiết để thực hiện công việc. Các công cụ xác thực kỹ thuật số như token, chứng chỉ số PKI, thẻ thông minh và thiết bị sinh trắc học đang được sử dụng tích cực. Ví dụ: Kerberos, PKI, SSL.
Ứng phó sự cố an toàn thông tin
Trong số các nhiệm vụ mà bất kỳ hệ thống quản lý bảo mật thông tin nào phải đối mặt, có thể xác định hai nhiệm vụ quan trọng nhất:
Phòng ngừa sự cố
Nếu chúng xảy ra, phản ứng kịp thời và chính xác
Nhiệm vụ đầu tiên trong hầu hết các trường hợp là mua các công cụ bảo mật thông tin khác nhau.
Nhiệm vụ thứ hai phụ thuộc vào mức độ chuẩn bị của công ty cho những sự kiện như vậy:
Sự hiện diện của một nhóm ứng phó sự cố IS đã được đào tạo với các vai trò và trách nhiệm được giao trước.
Sự sẵn có của tài liệu được cân nhắc kỹ lưỡng và liên kết với nhau về quy trình quản lý các sự cố an toàn thông tin, đặc biệt là việc ứng phó và điều tra các sự cố đã được xác định.
Sẵn có các nguồn lực được chuẩn bị sẵn cho nhu cầu của nhóm ứng phó (công cụ liên lạc, ..., an toàn)
Sự sẵn có của cơ sở kiến thức cập nhật về các sự cố an toàn thông tin đã xảy ra
Mức độ nhận thức cao của người dùng trong lĩnh vực bảo mật thông tin
Trình độ chuyên môn và sự phối hợp của đội ứng phó
Quy trình quản lý sự cố an toàn thông tin bao gồm các giai đoạn sau:
Chuẩn bị – ngăn ngừa sự cố, chuẩn bị đội ứng phó, xây dựng chính sách và thủ tục, v.v.
Phát hiện – thông báo bảo mật, thông báo người dùng, phân tích nhật ký bảo mật.
Phân tích – xác nhận rằng một sự cố đã xảy ra, thu thập thông tin có sẵn về sự cố, xác định tài sản bị ảnh hưởng và phân loại sự cố theo mức độ an toàn và mức độ ưu tiên.
Ứng phó - ngăn chặn sự cố và thu thập bằng chứng, thực hiện các biện pháp ngăn chặn sự việc và lưu giữ thông tin dựa trên bằng chứng, thu thập thông tin dựa trên bằng chứng, tương tác với các bộ phận nội bộ, đối tác và các bên bị ảnh hưởng, cũng như thu hút các tổ chức chuyên gia bên ngoài.
Điều tra – điều tra các trường hợp xảy ra sự cố bảo mật thông tin, sự tham gia của các tổ chức chuyên gia bên ngoài và tương tác với tất cả các bên bị ảnh hưởng, cũng như với các cơ quan thực thi pháp luật và cơ quan tư pháp.
Phục hồi – thực hiện các biện pháp để đóng các lỗ hổng dẫn đến sự cố, loại bỏ hậu quả của sự cố, khôi phục chức năng của các dịch vụ và hệ thống bị ảnh hưởng. Đăng ký thông báo bảo hiểm.
Phân tích hiệu quả và hiện đại hóa - phân tích sự cố, phân tích tính hiệu quả và hiện đại hóa quy trình điều tra sự cố an toàn thông tin và các tài liệu, hướng dẫn riêng liên quan. Tạo báo cáo về cuộc điều tra và nhu cầu hiện đại hóa hệ thống an ninh để quản lý, thu thập thông tin về vụ việc, bổ sung vào cơ sở kiến thức và lưu trữ dữ liệu về vụ việc.
Một hệ thống quản lý sự cố an toàn thông tin hiệu quả có các mục tiêu sau:
Đảm bảo ý nghĩa pháp lý của thông tin chứng cứ thu thập được về sự cố an toàn thông tin
Đảm bảo tính kịp thời, đúng đắn của các hành động ứng phó và điều tra sự cố an toàn thông tin
Đảm bảo khả năng xác định các tình huống, nguyên nhân xảy ra sự cố an toàn thông tin nhằm hiện đại hóa hơn nữa hệ thống an toàn thông tin
Cung cấp điều tra và hỗ trợ pháp lý cho các sự cố an toàn thông tin nội bộ và bên ngoài
Bảo đảm khả năng truy tố những kẻ tấn công và đưa họ ra trước công lý theo quy định của pháp luật
Đảm bảo khả năng bồi thường thiệt hại do sự cố an toàn thông tin theo quy định của pháp luật
Hệ thống quản lý sự cố an toàn thông tin thường tương tác và tích hợp với các hệ thống và quy trình sau:
Quản lý bảo mật thông tin
Quản lý rủi ro
Đảm bảo tính liên tục trong kinh doanh
Tích hợp được thể hiện ở tính nhất quán của tài liệu và hình thức hóa trình tự tương tác giữa các quá trình (thông tin đầu vào, đầu ra và điều kiện chuyển tiếp).
Quá trình quản lý sự cố an toàn thông tin khá phức tạp và đồ sộ. Nó đòi hỏi phải tích lũy, xử lý và lưu trữ một lượng thông tin khổng lồ cũng như thực hiện nhiều tác vụ song song, vì vậy có nhiều công cụ trên thị trường cho phép bạn tự động hóa một số tác vụ nhất định, chẳng hạn như cái gọi là hệ thống SIEM (bảo mật thông tin và quản lý sự kiện).
Giám đốc thông tin (CIO) – giám đốc công nghệ thông tin
Giám đốc An toàn Thông tin (CISO) – người đứng đầu bộ phận an ninh thông tin, giám đốc an ninh thông tin
Nhiệm vụ chính của hệ thống SIEM không chỉ là thu thập các sự kiện từ nhiều nguồn khác nhau mà còn tự động hóa quá trình phát hiện sự cố bằng tài liệu trong nhật ký của chính chúng hoặc hệ thống bên ngoài, cũng như thông báo kịp thời về sự kiện. Hệ thống SIEM có nhiệm vụ sau:
Hợp nhất và lưu trữ nhật ký sự kiện từ nhiều nguồn khác nhau - thiết bị mạng, ứng dụng, nhật ký hệ điều hành, công cụ bảo mật
Trình bày các công cụ để phân tích sự kiện và phân tích sự cố
Tương quan và xử lý theo quy luật của các sự kiện xảy ra
Tự động thông báo và quản lý sự cố
Hệ thống SIEM có khả năng xác định:
Các cuộc tấn công mạng ở phạm vi bên trong và bên ngoài
Dịch virus hoặc nhiễm virus riêng lẻ, virus chưa được loại bỏ, backdoor và Trojan
Nỗ lực truy cập trái phép vào thông tin bí mật
Lỗi và trục trặc trong hoạt động của IS
Lỗ hổng
Các lỗi về cấu hình, biện pháp bảo mật và hệ thống thông tin.
Các nguồn chính của SIEM
Bảo vệ chống virus
Máy quét lỗ hổng
Hệ thống tính toán rủi ro, mức độ nghiêm trọng của mối đe dọa và ưu tiên sự cố
Các hệ thống khác để bảo vệ và kiểm soát các chính sách bảo mật thông tin:
Hệ thống DLP
Thiết bị kiểm soát truy cập, v.v.
Kiểm soát truy cập và dữ liệu xác thực
Nhật ký sự kiện máy chủ và máy trạm
Thiết bị hoạt động mạng
Hệ thống tồn kho
Hệ thống kế toán giao thông
Các hệ thống SIEM nổi tiếng nhất:
QRadar SIEM (IBM)
KOMRAD (CJSC NPO ESHELON)
Ngày nay, thị trường hệ thống DLP là một trong những thị trường phát triển nhanh nhất trong số tất cả các công cụ bảo mật thông tin. Tuy nhiên, lĩnh vực an toàn thông tin trong nước vẫn chưa theo kịp xu hướng toàn cầu nên thị trường hệ thống DLP ở nước ta cũng có những đặc điểm riêng.
DLP là gì và chúng hoạt động như thế nào?
Trước khi nói về thị trường hệ thống DLP, cần phải xác định xem, nói đúng ra, nghĩa là gì khi nói về các giải pháp như vậy. Hệ thống DLP thường được hiểu là sản phẩm phần mềm bảo vệ các tổ chức khỏi bị rò rỉ thông tin bí mật. Bản thân chữ viết tắt DLP là viết tắt của Data Leak Prevention, nghĩa là ngăn chặn rò rỉ dữ liệu.
Các hệ thống kiểu này tạo ra một “chu vi” kỹ thuật số an toàn xung quanh tổ chức, phân tích tất cả thông tin gửi đi và trong một số trường hợp là cả thông tin đến. Thông tin được kiểm soát không chỉ bao gồm lưu lượng truy cập Internet mà còn bao gồm một số luồng thông tin khác: tài liệu được đưa ra ngoài vòng bảo mật được bảo vệ trên phương tiện bên ngoài, được in trên máy in, gửi đến phương tiện di động qua Bluetooth, v.v.
Vì hệ thống DLP phải ngăn chặn rò rỉ thông tin bí mật nên nó phải có cơ chế tích hợp để xác định mức độ bảo mật của tài liệu được phát hiện trong lưu lượng truy cập bị chặn. Theo quy định, phổ biến nhất là hai phương pháp: bằng cách phân tích các dấu tài liệu đặc biệt và bằng cách phân tích nội dung của tài liệu. Tùy chọn thứ hai hiện phổ biến hơn vì nó có khả năng chống lại các sửa đổi được thực hiện đối với tài liệu trước khi nó được gửi và cũng cho phép bạn dễ dàng mở rộng số lượng tài liệu bí mật mà hệ thống có thể làm việc.
Nhiệm vụ DLP "phụ"
Ngoài nhiệm vụ chính liên quan đến ngăn chặn rò rỉ thông tin, hệ thống DLP còn rất phù hợp để giải quyết một số nhiệm vụ khác liên quan đến giám sát hành động của nhân sự. Thông thường, hệ thống DLP được sử dụng để giải quyết các nhiệm vụ không cốt lõi sau:
- giám sát việc sử dụng thời gian làm việc và nguồn lực làm việc của người lao động;
- giám sát thông tin liên lạc của nhân viên để xác định các cuộc đấu tranh “bí mật” có thể gây hại cho tổ chức;
- kiểm soát tính hợp pháp của các hành động của nhân viên (ngăn chặn in tài liệu giả, v.v.);
- xác định nhân viên gửi hồ sơ để nhanh chóng tìm kiếm chuyên gia cho các vị trí còn trống.
Do nhiều tổ chức coi một số nhiệm vụ này (đặc biệt là kiểm soát việc sử dụng thời gian làm việc) có mức độ ưu tiên cao hơn việc bảo vệ chống rò rỉ thông tin nên đã xuất hiện một số chương trình được thiết kế đặc biệt cho việc này, nhưng có thể một số trường hợp còn có tác dụng như một phương tiện bảo vệ tổ chức khỏi bị rò rỉ. Điều khác biệt giữa các chương trình như vậy với các hệ thống DLP chính thức là thiếu các công cụ được phát triển để phân tích dữ liệu bị chặn, việc này phải được thực hiện thủ công bởi chuyên gia bảo mật thông tin, điều này chỉ thuận tiện cho các tổ chức rất nhỏ (tối đa 10 nhân viên được giám sát).
Tất cả các hệ thống DLP có thể được chia thành nhiều lớp chính theo một số đặc điểm. Dựa trên khả năng chặn thông tin được xác định là bí mật, các hệ thống có quyền kiểm soát chủ động và thụ động đối với hành động của người dùng được phân biệt.
Cái trước có thể chặn thông tin được truyền đi, cái sau, do đó, không có khả năng này. Các hệ thống đầu tiên tốt hơn nhiều trong việc chống rò rỉ dữ liệu ngẫu nhiên, nhưng đồng thời có khả năng vô tình làm dừng các quy trình kinh doanh của tổ chức, trong khi các hệ thống thứ hai an toàn cho các quy trình kinh doanh nhưng chỉ phù hợp để chống rò rỉ hệ thống.
Một cách phân loại khác của hệ thống DLP dựa trên kiến trúc mạng của chúng. Cổng DLP chạy trên các máy chủ trung gian, trong khi DLP máy chủ sử dụng các tác nhân chạy trực tiếp trên máy trạm của nhân viên. Ngày nay, tùy chọn phổ biến nhất là sử dụng các thành phần cổng và máy chủ cùng nhau.
Thị trường DLP toàn cầu
Hiện tại, những công ty chính trên thị trường hệ thống DLP toàn cầu là các công ty được biết đến rộng rãi với các sản phẩm khác nhằm đảm bảo an ninh thông tin trong các tổ chức. Trước hết, đó là Symantec, McAffee, TrendMicro, WebSense. Tổng khối lượng thị trường toàn cầu cho các giải pháp DLP ước tính khoảng 400 triệu USD, khá nhiều so với thị trường chống vi-rút tương tự. Tuy nhiên, thị trường DLP đang có sự tăng trưởng nhanh chóng: vào năm 2009, nó chỉ được định giá hơn 200 triệu.
Triển vọng và xu hướng
Theo các chuyên gia, xu hướng chính là sự chuyển đổi từ các hệ thống “được vá” bao gồm các thành phần từ nhiều nhà sản xuất khác nhau, mỗi nhà sản xuất giải quyết vấn đề riêng của mình, sang các hệ thống phần mềm tích hợp thống nhất. Lý do cho sự chuyển đổi này rất rõ ràng: các hệ thống tích hợp phức tạp giúp các chuyên gia bảo mật thông tin không cần phải giải quyết các vấn đề về tính tương thích của các thành phần khác nhau của hệ thống “vá” với nhau, giúp dễ dàng thay đổi cài đặt ngay lập tức cho nhiều máy trạm khách trong tổ chức, đồng thời cho phép bạn tránh những khó khăn khi truyền dữ liệu từ một thành phần của hệ thống tích hợp duy nhất sang hệ thống khác. Ngoài ra, việc các nhà phát triển chuyển sang các hệ thống tích hợp là do đặc thù của nhiệm vụ đảm bảo an ninh thông tin: xét cho cùng, nếu có thể không kiểm soát được ít nhất một kênh mà thông tin có thể bị rò rỉ, thì người ta không thể nói về tính bảo mật của tổ chức khỏi các mối đe dọa đó. .
Các nhà sản xuất hệ thống DLP phương Tây gia nhập thị trường CIS phải đối mặt với một số vấn đề liên quan đến việc hỗ trợ ngôn ngữ quốc gia. Vì thị trường CIS rất thú vị đối với các nhà cung cấp phương Tây nên ngày nay họ đang tích cực làm việc để hỗ trợ tiếng Nga, đây là trở ngại chính cho sự phát triển thành công của họ trên thị trường.
Một xu hướng quan trọng khác trong lĩnh vực DLP là sự chuyển đổi dần dần sang cấu trúc mô-đun, khi khách hàng có thể độc lập lựa chọn các thành phần hệ thống mà mình cần (ví dụ: nếu hỗ trợ cho các thiết bị bên ngoài bị vô hiệu hóa ở cấp hệ điều hành thì sẽ không có cần phải trả thêm tiền cho chức năng kiểm soát chúng). Đặc thù của ngành cũng sẽ đóng một vai trò quan trọng trong việc phát triển hệ thống DLP - hoàn toàn có thể mong đợi sự xuất hiện của các phiên bản đặc biệt của các hệ thống nổi tiếng, được điều chỉnh riêng cho ngành ngân hàng, cho các cơ quan chính phủ, v.v., tương ứng với nhu cầu của chính các tổ chức.
Một yếu tố quan trọng ảnh hưởng đến sự phát triển của hệ thống DLP còn là sự phổ biến của laptop, netbook trong môi trường doanh nghiệp. Các đặc điểm cụ thể của máy tính xách tay (làm việc bên ngoài môi trường công ty, khả năng đánh cắp thông tin cùng với chính thiết bị, v.v.) buộc các nhà sản xuất hệ thống DLP phải phát triển các phương pháp tiếp cận cơ bản mới để bảo vệ máy tính xách tay. Điều đáng chú ý là ngày nay chỉ có một số nhà cung cấp sẵn sàng cung cấp cho khách hàng chức năng giám sát máy tính xách tay và netbook của họ.
Chúng tôi cung cấp nhiều loại điểm đánh dấu để giúp bạn tận dụng tối đa mọi hệ thống DLP.
DLP-hệ thống: nó là gì?
Hãy để chúng tôi nhắc bạn rằng hệ thống DLP (Ngăn chặn rò rỉ/mất dữ liệu) cho phép bạn kiểm soát tất cả các kênh liên lạc mạng của công ty (thư, Internet, hệ thống nhắn tin tức thời, ổ đĩa flash, máy in, v.v.). Bảo vệ chống rò rỉ thông tin đạt được bằng cách cài đặt các tác nhân trên tất cả máy tính của nhân viên, chúng thu thập thông tin và truyền đến máy chủ. Đôi khi thông tin được thu thập thông qua một cổng sử dụng công nghệ SPAN. Thông tin được phân tích, sau đó hệ thống hoặc nhân viên an ninh đưa ra quyết định về vụ việc.
Vậy là công ty của bạn đã triển khai hệ thống DLP. Cần thực hiện những bước nào để hệ thống hoạt động hiệu quả?
1. Cấu hình đúng các quy tắc bảo mật
Hãy tưởng tượng rằng trong một hệ thống phục vụ 100 máy tính, một quy tắc đã được tạo ra “Khắc phục tất cả các thư từ có từ “thỏa thuận”. Quy tắc như vậy sẽ gây ra một số lượng lớn các sự cố, trong đó một rò rỉ thực sự có thể bị thất lạc.
Ngoài ra, không phải công ty nào cũng có đủ điều kiện để có một đội ngũ nhân viên giám sát sự cố đầy đủ.
Các công cụ tạo quy tắc hiệu quả và theo dõi kết quả công việc của họ sẽ giúp tăng tính hữu ích của các quy tắc. Mọi hệ thống DLP đều có chức năng cho phép bạn thực hiện việc này.
Nhìn chung, phương pháp này bao gồm việc phân tích cơ sở dữ liệu tích lũy về các sự cố và tạo ra nhiều tổ hợp quy tắc khác nhau mà lý tưởng nhất là dẫn đến sự xuất hiện của 5-6 sự cố thực sự khẩn cấp mỗi ngày.
2. Cập nhật các quy tắc an toàn định kỳ
Số lượng sự cố giảm hoặc tăng mạnh là dấu hiệu cho thấy cần phải điều chỉnh các quy định. Nguyên nhân có thể là quy tắc đã mất đi tính liên quan (người dùng đã ngừng truy cập một số tệp nhất định) hoặc nhân viên đã học được quy tắc và không còn thực hiện các hành động bị hệ thống cấm (DLP - learning system). Tuy nhiên, thực tế cho thấy rằng nếu học được một quy tắc thì ở nơi lân cận nguy cơ rò rỉ tiềm ẩn sẽ tăng lên.
Bạn cũng nên chú ý đến tính thời vụ trong hoạt động của doanh nghiệp. Trong năm, các thông số chính liên quan đến đặc thù công việc của công ty có thể thay đổi. Ví dụ: đối với một nhà cung cấp bán buôn thiết bị nhỏ, xe đạp sẽ phù hợp vào mùa xuân và xe trượt tuyết vào mùa thu.
3. Xem xét thuật toán ứng phó sự cố
Có một số cách tiếp cận để ứng phó sự cố. Khi kiểm tra và chạy hệ thống DLP, mọi người thường không được thông báo về những thay đổi. Những người tham gia vào các sự cố chỉ được quan sát. Khi khối lượng tới hạn đã tích lũy, đại diện của bộ phận an ninh hoặc bộ phận nhân sự sẽ liên lạc với họ. Trong tương lai, công việc với người dùng thường được giao cho đại diện của bộ phận bảo mật. Những xung đột nhỏ nảy sinh và sự tiêu cực tích tụ trong nhóm. Nó có thể lan ra thành hành vi cố ý phá hoại của nhân viên đối với công ty. Điều quan trọng là duy trì sự cân bằng giữa yêu cầu kỷ luật và duy trì bầu không khí lành mạnh trong nhóm.
4. Kiểm tra hoạt động của chế độ chặn
Có hai chế độ ứng phó với sự cố trong hệ thống - cố định và chặn. Nếu mọi hoạt động gửi thư hoặc đính kèm tệp đính kèm vào ổ đĩa flash đều bị chặn, điều này sẽ gây ra sự cố cho người dùng. Nhân viên thường tấn công quản trị viên hệ thống bằng các yêu cầu mở khóa một số chức năng; quản lý cũng có thể không hài lòng với các cài đặt đó. Kết quả là hệ thống DLP và công ty nhận được phản hồi tiêu cực, hệ thống bị mất uy tín và bị vạch trần.
5. Kiểm tra chế độ bí mật kinh doanh đã được áp dụng hay chưa
Cung cấp khả năng bảo mật một số thông tin nhất định và cũng bắt buộc bất kỳ người nào biết về thông tin đó phải chịu hoàn toàn trách nhiệm pháp lý về việc tiết lộ thông tin đó. Trong trường hợp rò rỉ thông tin nghiêm trọng theo chế độ bí mật thương mại hiện hành tại doanh nghiệp, người vi phạm có thể được bồi thường số tiền thiệt hại thực tế và tinh thần thông qua tòa án theo quy định 98-FZ “Về bí mật thương mại”.
Chúng tôi hy vọng rằng những lời khuyên này sẽ giúp giảm số lượng rò rỉ không chủ ý trong các công ty, bởi vì chính những điều này mà hệ thống DLP được thiết kế để chống lại thành công. Tuy nhiên, chúng ta không nên quên hệ thống bảo mật thông tin toàn diện và thực tế là việc rò rỉ thông tin có chủ ý đòi hỏi sự chú ý đặc biệt, chặt chẽ. Có những giải pháp hiện đại có thể bổ sung chức năng của hệ thống DLP và giảm đáng kể nguy cơ rò rỉ có chủ ý. Ví dụ: một trong những nhà phát triển cung cấp một công nghệ thú vị - khi các tệp bí mật được truy cập thường xuyên một cách đáng ngờ, máy ảnh web sẽ tự động bật và bắt đầu ghi. Chính hệ thống này đã giúp ghi lại cách kẻ trộm xui xẻo đã chủ động chụp ảnh màn hình bằng camera di động.
Oleg Necheukhin, chuyên gia bảo vệ hệ thống thông tin, Kontur.Security
Ngày nay, thị trường hệ thống DLP là một trong những thị trường phát triển nhanh nhất trong số tất cả các công cụ bảo mật thông tin. Tuy nhiên, Belarus vẫn chưa theo kịp xu hướng toàn cầu và do đó thị trường có DLP-Hệ thống ở nước ta có những đặc điểm riêng.
DLP là gì và chúng hoạt động như thế nào?
Trước khi nói về thị trường DLP -hệ thống, cần phải quyết định, nói đúng ra, có ý nghĩa gì khi nói về những quyết định đó. Dưới DLP - hệ thống thường được hiểu là các sản phẩm phần mềm bảo vệ tổ chức khỏi bị rò rỉ thông tin bí mật. Bản thân chữ viết tắt DLP là viết tắt của Phòng chống rò rỉ dữ liệu , tức là ngăn chặn rò rỉ dữ liệu.
Các hệ thống kiểu này tạo ra một “chu vi” kỹ thuật số an toàn xung quanh tổ chức, phân tích tất cả thông tin gửi đi và trong một số trường hợp là thông tin gửi đi. Thông tin được kiểm soát không chỉ là lưu lượng truy cập Internet mà còn là một số luồng thông tin khác: tài liệu được đưa ra ngoài vòng bảo mật được bảo vệ trên phương tiện bên ngoài, được in trên máy in, được gửi đến phương tiện di động qua Bluetooth, v.v.
Bởi vì DLP - hệ thống phải ngăn chặn rò rỉ thông tin bí mật, sau đó hệ thống phải có cơ chế tích hợp để xác định mức độ bảo mật của tài liệu được phát hiện trong lưu lượng truy cập bị chặn. Theo quy định, phổ biến nhất là hai phương pháp: bằng cách phân tích các dấu tài liệu đặc biệt và bằng cách phân tích nội dung của tài liệu. Tùy chọn thứ hai hiện phổ biến hơn vì nó có khả năng chống lại các sửa đổi được thực hiện đối với tài liệu trước khi nó được gửi và cũng cho phép bạn dễ dàng mở rộng số lượng tài liệu bí mật mà hệ thống có thể làm việc.
Nhiệm vụ "phụ" DLP
Ngoài nhiệm vụ chính liên quan đến việc ngăn chặn rò rỉ thông tin, DLP -hệ thống cũng rất phù hợp để giải quyết một số nhiệm vụ khác liên quan đến giám sát hành động của nhân sự. Thường xuyên nhất DLP -hệ thống được sử dụng để giải quyết các nhiệm vụ không cần thiết sau:
- Giám sát việc sử dụng thời gian làm việc và nguồn lực làm việc của người lao động;
- Giám sát thông tin liên lạc của nhân viên để xác định các cuộc đấu tranh “bí mật” có thể gây hại cho tổ chức;
- Giám sát tính hợp pháp của các hành động của nhân viên (ngăn chặn in tài liệu giả, v.v.);
- Xác định nhân viên gửi hồ sơ để nhanh chóng tìm kiếm chuyên gia cho các vị trí còn trống;
Do nhiều tổ chức coi một số nhiệm vụ này (đặc biệt là kiểm soát việc sử dụng thời gian làm việc) có mức độ ưu tiên cao hơn việc bảo vệ chống rò rỉ thông tin nên đã xuất hiện một số chương trình được thiết kế đặc biệt cho việc này, nhưng có thể một số trường hợp còn có tác dụng như một phương tiện bảo vệ tổ chức khỏi bị rò rỉ. Từ chính thức DLP -Các hệ thống như vậy được phân biệt bằng việc thiếu các công cụ phát triển để phân tích dữ liệu bị chặn, việc này phải được thực hiện thủ công bởi chuyên gia bảo mật thông tin, chỉ thuận tiện cho các tổ chức rất nhỏ (tối đa 10 nhân viên được kiểm soát). Tuy nhiên, vì những giải pháp này đang được yêu cầu ở Belarus nên chúng cũng được đưa vào bảng so sánh kèm theo bài viết này.
Phân loại hệ thống DLP
Tất cả các hệ thống DLP có thể được chia thành nhiều lớp chính theo một số đặc điểm. Dựa trên khả năng chặn thông tin được xác định là bí mật, các hệ thống có quyền kiểm soát chủ động và thụ động đối với hành động của người dùng được phân biệt. Cái trước có thể chặn thông tin được truyền đi, cái sau, do đó, không có khả năng này. Các hệ thống đầu tiên tốt hơn nhiều trong việc chống rò rỉ dữ liệu ngẫu nhiên, nhưng đồng thời có khả năng vô tình làm dừng các quy trình kinh doanh của tổ chức, trong khi các hệ thống thứ hai an toàn cho các quy trình kinh doanh nhưng chỉ phù hợp để chống rò rỉ hệ thống. Một cách phân loại khác của hệ thống DLP dựa trên kiến trúc mạng của chúng. cống DLP chạy trên các máy chủ trung gian, trong khi máy chủ lưu trữ sử dụng các tác nhân chạy trực tiếp trên máy trạm của nhân viên. Ngày nay, tùy chọn phổ biến nhất là sử dụng các thành phần cổng và máy chủ cùng nhau.
Thị trường DLP toàn cầu
Hiện nay, những người chơi chính trên thị trường toàn cầu DLP -systems là các công ty được biết đến rộng rãi với các sản phẩm khác nhằm đảm bảo an ninh thông tin trong các tổ chức. Đây là, trước hết, Symantec, McAffee, TrendMicro, WebSense. Về tổng khối lượng thị trường toàn cầu DLP -các giải pháp ước tính trị giá 400 triệu USD, một con số khá cao so với cùng một thị trường chống vi-rút. Tuy nhiên, thị trường DLP đang cho thấy sự tăng trưởng nhanh chóng: trở lại năm 2009, con số này ước tính chỉ hơn 200 triệu.
Thị trường Belarus có ảnh hưởng rất lớn đến thị trường nước láng giềng phía đông là Nga, vốn đã khá lớn và trưởng thành. Những người tham gia chính ngày nay là các công ty Nga: Thông tinXem , "Hệ thống thông tin máy bay phản lực", SecurIT, SearchInform, Perimetrix và một số người khác. Tổng khối lượng của thị trường DLP Nga ước tính khoảng 12–15 triệu đô la. Đồng thời, nó đang phát triển với tốc độ tương tự như thế giới.
Theo các chuyên gia, xu hướng chính của những xu hướng này là sự chuyển đổi từ các hệ thống “bản vá”, bao gồm các thành phần từ nhiều nhà sản xuất khác nhau, mỗi nhà sản xuất giải quyết vấn đề riêng của mình, sang các hệ thống phần mềm tích hợp thống nhất. Lý do cho sự chuyển đổi này rất rõ ràng: các hệ thống tích hợp phức tạp giúp các chuyên gia bảo mật thông tin không cần phải giải quyết các vấn đề về tính tương thích của các thành phần khác nhau của hệ thống “vá” với nhau, giúp dễ dàng thay đổi cài đặt ngay lập tức cho nhiều máy trạm khách trong tổ chức, đồng thời cho phép bạn tránh những khó khăn khi truyền dữ liệu từ một thành phần của hệ thống tích hợp duy nhất sang hệ thống khác. Ngoài ra, việc các nhà phát triển chuyển sang các hệ thống tích hợp là do đặc thù của nhiệm vụ đảm bảo an ninh thông tin: xét cho cùng, nếu có thể không kiểm soát được ít nhất một kênh mà thông tin có thể bị rò rỉ, thì người ta không thể nói về vấn đề bảo mật của tổ chức từ loại này. của các mối đe dọa.
nhà sản xuất phương Tây DLP -các hệ thống đến thị trường của các nước CIS phải đối mặt với một số vấn đề liên quan đến việc hỗ trợ ngôn ngữ quốc gia (tuy nhiên, trong trường hợp của Belarus, việc nói về việc hỗ trợ tiếng Nga chứ không phải tiếng Belarus là thích hợp). Vì thị trường CIS rất thú vị đối với các nhà cung cấp phương Tây nên ngày nay họ đang tích cực làm việc để hỗ trợ tiếng Nga, đây là trở ngại chính cho sự phát triển thành công của họ trên thị trường.
Một xu hướng quan trọng khác trong lĩnh vực này DLP là sự chuyển đổi dần dần sang cấu trúc mô-đun, khi khách hàng có thể độc lập chọn các thành phần hệ thống mà mình cần (ví dụ: nếu hỗ trợ cho các thiết bị bên ngoài bị vô hiệu hóa ở cấp hệ điều hành thì không cần phải trả thêm tiền cho chức năng này). kiểm soát chúng). Vai trò quan trọng trong sự phát triển DLP -hệ thống cũng sẽ bị ảnh hưởng bởi đặc thù của ngành - chúng ta có thể mong đợi sự xuất hiện của các phiên bản đặc biệt của các hệ thống nổi tiếng, được điều chỉnh đặc biệt cho khu vực ngân hàng, cho các cơ quan chính phủ, v.v., tương ứng với nhu cầu của chính các tổ chức.
Nhân tố quan trọng ảnh hưởng tới sự phát triển DLP hệ thống, cũng là sự phổ biến của máy tính xách tay và netbook trong môi trường doanh nghiệp. Các đặc điểm cụ thể của máy tính xách tay (làm việc bên ngoài môi trường công ty, khả năng bị đánh cắp thông tin cùng với chính thiết bị, v.v.) buộc các nhà sản xuất phải DLP -hệ thống phát triển các phương pháp cơ bản mới để bảo vệ máy tính xách tay. Điều đáng chú ý là ngày nay chỉ có một số nhà cung cấp sẵn sàng cung cấp cho khách hàng chức năng giám sát máy tính xách tay và netbook bằng hệ thống DLP của họ.
Ứng dụng DLP tại Belarus
DLP ở Belarus -hệ thống được sử dụng ở một số lượng tương đối nhỏ các tổ chức, nhưng số lượng của chúng đã tăng lên đều đặn trước cuộc khủng hoảng. Tuy nhiên, được thu thập bằng cách sử dụng DLP -systems information, các tổ chức của Belarus không vội công khai thông tin, truy tố những nhân viên chịu trách nhiệm rò rỉ thông tin trước tòa. Mặc dù thực tế là luật pháp Belarus có các điều khoản cho phép trừng phạt những người phân phối bí mật công ty, nhưng đại đa số các tổ chức sử dụng DLP -các hệ thống muốn giới hạn mình vào các thủ tục tố tụng nội bộ và các biện pháp trừng phạt kỷ luật, và, phương sách cuối cùng, sa thải những nhân viên đã phạm tội đặc biệt quy mô lớn. Tuy nhiên, truyền thống “không giặt đồ vải bẩn ở nơi công cộng” là đặc điểm của toàn bộ không gian hậu Xô Viết, không giống như các nước phương Tây, nơi rò rỉ dữ liệu được báo cáo cho tất cả những người có thể phải chịu đựng điều đó.
Vadim STANKEVICH
