SecuRRity.Ru » Статьи » С утечками данных будут бороться гибридные технологии
С утечками данных будут бороться гибридные технологии
автор: Administrator | 12 июня 2009, 19:56 | Просмотров: 5029теги: Статьи, утечка, данные, защита, информация, DLP, Шифрование, безопасности
В настоящее время на рынке систем предназначенных для защиты конфиденциальной информации от утечек (DLP), существует несколько основных базовых технологий обнаружения, среди которых лингвистический и контекстный анализ, а также цифровые отпечатки и метки.
Эти технологии по отдельности на практике оказываются не так эффективны и универсальны, как хотелось бы, поэтому будущее DLP логично вырисовывается в чертах гибридной технологии и гибридного анализа, о котором и пойдет речь в этой публикации.
В качестве иллюстраций я буду использовать кадры своей презентации "Мировые тенденции на рынке систем защиты от утечек" с прошедшего две недели назад круглого стола DLP-Expert.
Для начала хотел бы остановиться на составе современного комплексного DLP-решения, в котором должны присутствовать следующие компоненты:
Если на уровне конечных точек в самом простейшем случае можно обойтись просто политиками работы с внешними устройствами, то на уровне сети все гораздо сложнее - утечку нужно обнаружить в потоке трафика. Здесь мы как раз упираемся в различия существующих технологий, как по их эффективности, так и по области применимости.
На рисунке ниже приведено условное разделение существующих технологий обнаружения утечек на несколько поколений по их эффективности:
Различные технологии обнаружения утечек по-разному эффективны для различных категорий информации. Ключевым разделением здесь является новизна конфиденциальной информации и ее изменяемость со временем.
Поэтому рассматривать эффективность различных технологий стоит в разрезе защиты статических (например, медиа-файлы, исходные коды программ, старые и редко изменяемые документы) и динамических данных (e-mail, IM, сообщения в форумах, блогах, новейшие и активно изменяемые на этапе подготовки документы).
Представленные сегодня на рынке DLP-продукты используют различные технологии второго поколения, а значит по-разному эффективны для предотвращения утечек статических или динамических данных.
На графике ниже наглядно видно, что цифровые отпечатки и метки более эффективны для предотвращения утечек статических данных, в то время как лингвистика и контекстный анализ лучше справляется с утечками динамических данных.
Эффективность гибридного анализа, например, если он включает в себя технологии цифровых отпечатков и контекстного анализа, не зависит от типа защищаемых данных. Он становится одинаково эффективен для защиты как динамической, так и для статической конфиденциальной информации.
Более того, его эффективность должна быть даже выше за счет синергетического эффекта от интеграции нескольких технологий.
Напомню, что технология цифровые отпечатков используется в продуктах Websense DSS или Symantec DLP, цифровые метки в McAfee Host DLP, а лингвистический и контекстный анализ - в продуктах InfoWatch или SearchInform.
Гибридный анализ в описанном здесь варианте пока не используется ни в одном из существующих на рынке DLP продукте.
С моей точки зрения, гибридные анализ в DLP-системах должен включать в себя три ключевые составляющие:
Таким образом, на смену множеству разрозненных и неполноценных по отдельности технологий придет гибридный анализ, эффективный на всем жизненном цикле конфиденциальной информации.
В заключении хотел бы остановиться на одном важном технологическом моменте, который в полной мере проявляется именно при использовании гибридного анализа - это автоматическая категоризация передаваемых/копируемых конфиденциальных данных.
Для чего это нужно? Это позволяет во многом автоматизировать анализ инцидентов и избежать нарушения законодательства в плане неприкосновенности частной жизни.
Например, при регистрации факта утечки по email офицер безопасности, не открывая самого письма, будет видеть к какой категории относятся передаваемые данные и насколько критичен инцидент.
Эти технологии по отдельности на практике оказываются не так эффективны и универсальны, как хотелось бы, поэтому будущее DLP логично вырисовывается в чертах гибридной технологии и гибридного анализа, о котором и пойдет речь в этой публикации.
В качестве иллюстраций я буду использовать кадры своей презентации "Мировые тенденции на рынке систем защиты от утечек" с прошедшего две недели назад круглого стола DLP-Expert.
Для начала хотел бы остановиться на составе современного комплексного DLP-решения, в котором должны присутствовать следующие компоненты:
1. Защита на уровне сети - предотвращение утечек информации по сети (SMTP, HTTP, HTTPS, IM и сетевая печать). Как правило, это мониторинг и/или блокирование исходящего трафика на уровне интернет-шлюза, но есть и попытки переноса функций контроля трафика на уровень рабочих станций.
2. Защита конечных точек - предотвращение утечек информации через подключаемые устройства (USB, HDD/CD/DVD, WiFi/Bluetooth, локальная печать и т.д.). Мониторинг и/или блокирование попыток копирования информации на внешние устройств, снятие теневых копий "сливаемой" информации.
3. Шифрование - дополнительный уровень защиты мобильных носителей на случай их потери или кражи. Даже если носитель попадет к злоумышленнику, то данные на нем будут надежно зашифрованы.
4. Платформа управления, хранения информации об инцидентах и ее анализа. Управление политиками безопасности, сбор и хранение деталей инцидентов для дальнейшего анализа офицером безопасности или передачи доказательной базы в судебные органы.
Если на уровне конечных точек в самом простейшем случае можно обойтись просто политиками работы с внешними устройствами, то на уровне сети все гораздо сложнее - утечку нужно обнаружить в потоке трафика. Здесь мы как раз упираемся в различия существующих технологий, как по их эффективности, так и по области применимости.
На рисунке ниже приведено условное разделение существующих технологий обнаружения утечек на несколько поколений по их эффективности:
В первое поколение попали самые примитивные технологии - детектирование по ключевым словам, регулярным выражениям и словарям.
Во второе поколение - все существующие в настоящее время на рынке технологии - лингвистический анализ, цифровые отпечатки, цифровые метки, контекстный анализ.
Третье поколение - это гибридный анализ, который совмещает в себе несколько различных технологий второго поколения.
Различные технологии обнаружения утечек по-разному эффективны для различных категорий информации. Ключевым разделением здесь является новизна конфиденциальной информации и ее изменяемость со временем.
Поэтому рассматривать эффективность различных технологий стоит в разрезе защиты статических (например, медиа-файлы, исходные коды программ, старые и редко изменяемые документы) и динамических данных (e-mail, IM, сообщения в форумах, блогах, новейшие и активно изменяемые на этапе подготовки документы).
Представленные сегодня на рынке DLP-продукты используют различные технологии второго поколения, а значит по-разному эффективны для предотвращения утечек статических или динамических данных.
На графике ниже наглядно видно, что цифровые отпечатки и метки более эффективны для предотвращения утечек статических данных, в то время как лингвистика и контекстный анализ лучше справляется с утечками динамических данных.
Эффективность гибридного анализа, например, если он включает в себя технологии цифровых отпечатков и контекстного анализа, не зависит от типа защищаемых данных. Он становится одинаково эффективен для защиты как динамической, так и для статической конфиденциальной информации.
Более того, его эффективность должна быть даже выше за счет синергетического эффекта от интеграции нескольких технологий.
Напомню, что технология цифровые отпечатков используется в продуктах Websense DSS или Symantec DLP, цифровые метки в McAfee Host DLP, а лингвистический и контекстный анализ - в продуктах InfoWatch или SearchInform.
Гибридный анализ в описанном здесь варианте пока не используется ни в одном из существующих на рынке DLP продукте.
С моей точки зрения, гибридные анализ в DLP-системах должен включать в себя три ключевые составляющие:
1. Детектор объектов:
на базе регулярных выражений (детектор кредитных карт, счетов, номеров паспортов и т.п.).
2. Защита статических данных:
на базе цифровых отпечатков (реактивная защита).
3. Защита новых и динамических данных:
на базе контентного и контекстного анализа (проактивная защита).
Таким образом, на смену множеству разрозненных и неполноценных по отдельности технологий придет гибридный анализ, эффективный на всем жизненном цикле конфиденциальной информации.
В заключении хотел бы остановиться на одном важном технологическом моменте, который в полной мере проявляется именно при использовании гибридного анализа - это автоматическая категоризация передаваемых/копируемых конфиденциальных данных.
Для чего это нужно? Это позволяет во многом автоматизировать анализ инцидентов и избежать нарушения законодательства в плане неприкосновенности частной жизни.
Например, при регистрации факта утечки по email офицер безопасности, не открывая самого письма, будет видеть к какой категории относятся передаваемые данные и насколько критичен инцидент.
автор:
Сергей Ильин
Сергей Ильин
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус Атака БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO