Статьи → С утечками данных будут бороться гибридные технологии
В настоящее время на рынке систем предназначенных для защиты конфиденциальной информации от утечек (DLP), существует несколько основных базовых технологий обнаружения, среди которых лингвистический и контекстный анализ, а также цифровые отпечатки и метки.
Эти технологии по отдельности на практике оказываются не так эффективны и универсальны, как хотелось бы, поэтому будущее DLP логично вырисовывается в чертах гибридной технологии и гибридного анализа, о котором и пойдет речь в этой публикации.
В качестве иллюстраций я буду использовать кадры своей презентации "Мировые тенденции на рынке систем защиты от утечек" с прошедшего две недели назад круглого стола DLP-Expert.
Для начала хотел бы остановиться на составе современного комплексного DLP-решения, в котором должны присутствовать следующие компоненты:
Если на уровне конечных точек в самом простейшем случае можно обойтись просто политиками работы с внешними устройствами, то на уровне сети все гораздо сложнее - утечку нужно обнаружить в потоке трафика. Здесь мы как раз упираемся в различия существующих технологий, как по их эффективности, так и по области применимости.
На рисунке ниже приведено условное разделение существующих технологий обнаружения утечек на несколько поколений по их эффективности:
Различные технологии обнаружения утечек по-разному эффективны для различных категорий информации. Ключевым разделением здесь является новизна конфиденциальной информации и ее изменяемость со временем.
Поэтому рассматривать эффективность различных технологий стоит в разрезе защиты статических (например, медиа-файлы, исходные коды программ, старые и редко изменяемые документы) и динамических данных (e-mail, IM, сообщения в форумах, блогах, новейшие и активно изменяемые на этапе подготовки документы).
Представленные сегодня на рынке DLP-продукты используют различные технологии второго поколения, а значит по-разному эффективны для предотвращения утечек статических или динамических данных.
На графике ниже наглядно видно, что цифровые отпечатки и метки более эффективны для предотвращения утечек статических данных, в то время как лингвистика и контекстный анализ лучше справляется с утечками динамических данных.
Эффективность гибридного анализа, например, если он включает в себя технологии цифровых отпечатков и контекстного анализа, не зависит от типа защищаемых данных. Он становится одинаково эффективен для защиты как динамической, так и для статической конфиденциальной информации.
Более того, его эффективность должна быть даже выше за счет синергетического эффекта от интеграции нескольких технологий.
Напомню, что технология цифровые отпечатков используется в продуктах Websense DSS или Symantec DLP, цифровые метки в McAfee Host DLP, а лингвистический и контекстный анализ - в продуктах InfoWatch или SearchInform.
Гибридный анализ в описанном здесь варианте пока не используется ни в одном из существующих на рынке DLP продукте.
С моей точки зрения, гибридные анализ в DLP-системах должен включать в себя три ключевые составляющие:
Таким образом, на смену множеству разрозненных и неполноценных по отдельности технологий придет гибридный анализ, эффективный на всем жизненном цикле конфиденциальной информации.
В заключении хотел бы остановиться на одном важном технологическом моменте, который в полной мере проявляется именно при использовании гибридного анализа - это автоматическая категоризация передаваемых/копируемых конфиденциальных данных.
Для чего это нужно? Это позволяет во многом автоматизировать анализ инцидентов и избежать нарушения законодательства в плане неприкосновенности частной жизни.
Например, при регистрации факта утечки по email офицер безопасности, не открывая самого письма, будет видеть к какой категории относятся передаваемые данные и насколько критичен инцидент.
Эти технологии по отдельности на практике оказываются не так эффективны и универсальны, как хотелось бы, поэтому будущее DLP логично вырисовывается в чертах гибридной технологии и гибридного анализа, о котором и пойдет речь в этой публикации.
В качестве иллюстраций я буду использовать кадры своей презентации "Мировые тенденции на рынке систем защиты от утечек" с прошедшего две недели назад круглого стола DLP-Expert.
Для начала хотел бы остановиться на составе современного комплексного DLP-решения, в котором должны присутствовать следующие компоненты:
1. Защита на уровне сети - предотвращение утечек информации по сети (SMTP, HTTP, HTTPS, IM и сетевая печать). Как правило, это мониторинг и/или блокирование исходящего трафика на уровне интернет-шлюза, но есть и попытки переноса функций контроля трафика на уровень рабочих станций.
2. Защита конечных точек - предотвращение утечек информации через подключаемые устройства (USB, HDD/CD/DVD, WiFi/Bluetooth, локальная печать и т.д.). Мониторинг и/или блокирование попыток копирования информации на внешние устройств, снятие теневых копий "сливаемой" информации.
3. Шифрование - дополнительный уровень защиты мобильных носителей на случай их потери или кражи. Даже если носитель попадет к злоумышленнику, то данные на нем будут надежно зашифрованы.
4. Платформа управления, хранения информации об инцидентах и ее анализа. Управление политиками безопасности, сбор и хранение деталей инцидентов для дальнейшего анализа офицером безопасности или передачи доказательной базы в судебные органы.
Если на уровне конечных точек в самом простейшем случае можно обойтись просто политиками работы с внешними устройствами, то на уровне сети все гораздо сложнее - утечку нужно обнаружить в потоке трафика. Здесь мы как раз упираемся в различия существующих технологий, как по их эффективности, так и по области применимости.
На рисунке ниже приведено условное разделение существующих технологий обнаружения утечек на несколько поколений по их эффективности:
В первое поколение попали самые примитивные технологии - детектирование по ключевым словам, регулярным выражениям и словарям.
Во второе поколение - все существующие в настоящее время на рынке технологии - лингвистический анализ, цифровые отпечатки, цифровые метки, контекстный анализ.
Третье поколение - это гибридный анализ, который совмещает в себе несколько различных технологий второго поколения.
Различные технологии обнаружения утечек по-разному эффективны для различных категорий информации. Ключевым разделением здесь является новизна конфиденциальной информации и ее изменяемость со временем.
Поэтому рассматривать эффективность различных технологий стоит в разрезе защиты статических (например, медиа-файлы, исходные коды программ, старые и редко изменяемые документы) и динамических данных (e-mail, IM, сообщения в форумах, блогах, новейшие и активно изменяемые на этапе подготовки документы).
Представленные сегодня на рынке DLP-продукты используют различные технологии второго поколения, а значит по-разному эффективны для предотвращения утечек статических или динамических данных.
На графике ниже наглядно видно, что цифровые отпечатки и метки более эффективны для предотвращения утечек статических данных, в то время как лингвистика и контекстный анализ лучше справляется с утечками динамических данных.
Эффективность гибридного анализа, например, если он включает в себя технологии цифровых отпечатков и контекстного анализа, не зависит от типа защищаемых данных. Он становится одинаково эффективен для защиты как динамической, так и для статической конфиденциальной информации.
Более того, его эффективность должна быть даже выше за счет синергетического эффекта от интеграции нескольких технологий.
Напомню, что технология цифровые отпечатков используется в продуктах Websense DSS или Symantec DLP, цифровые метки в McAfee Host DLP, а лингвистический и контекстный анализ - в продуктах InfoWatch или SearchInform.
Гибридный анализ в описанном здесь варианте пока не используется ни в одном из существующих на рынке DLP продукте.
С моей точки зрения, гибридные анализ в DLP-системах должен включать в себя три ключевые составляющие:
1. Детектор объектов:
на базе регулярных выражений (детектор кредитных карт, счетов, номеров паспортов и т.п.).
2. Защита статических данных:
на базе цифровых отпечатков (реактивная защита).
3. Защита новых и динамических данных:
на базе контентного и контекстного анализа (проактивная защита).
Таким образом, на смену множеству разрозненных и неполноценных по отдельности технологий придет гибридный анализ, эффективный на всем жизненном цикле конфиденциальной информации.
В заключении хотел бы остановиться на одном важном технологическом моменте, который в полной мере проявляется именно при использовании гибридного анализа - это автоматическая категоризация передаваемых/копируемых конфиденциальных данных.
Для чего это нужно? Это позволяет во многом автоматизировать анализ инцидентов и избежать нарушения законодательства в плане неприкосновенности частной жизни.
Например, при регистрации факта утечки по email офицер безопасности, не открывая самого письма, будет видеть к какой категории относятся передаваемые данные и насколько критичен инцидент.
автор:
Сергей Ильин
Сергей Ильин