DLP-решения
Контроль и защита от внутренних угроз
«Кто владеет информацией, тот владеет миром». Эта знаменитая фраза Уинстона Черчилля не только не потеряла актуальность в наши дни, но, одновременно с развитием информационных технологий, значимость ее возросла многократно. 21 век можно назвать веком электронной информации. В работе и повседневной жизни мы используем компьютеры для обработки, хранения и передачи данных. Но всегда ли наша информация — наиболее ценный ресурс — адекватно защищена?
Опасности информационных систем сродни айсбергу. Его вершина — внешние угрозы: вирусы, хакерские атаки и спам, защита от которых реализована почти на каждом предприятии. Однако под водой остается невидимая часть — внутренние угрозы: саботаж, хищение данных, неосторожные действия сотрудников.
Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации таким способом.
DLP = защита от утечек данных = защита конфиденциальных данных от внутренних угроз
Прежде, чем рассуждать о DLP-решениях различных производителей, следует определиться с тем, что же принято подразумевать под «DLP-системой».
Попыток дать определение этому классу информационных систем было много:
- ILD&P — Information Leakage Detection & Prevention («выявление и предотвращение утечек информации», термин был предложен IDC в 2007)
- ILP — Information Leakage Protection («защита от утечек информации», Forrester, 2006)
- ALS — Anti-Leakage Software («антиутечное ПО», E&Y)
- Content Monitoring and Filtering (CMF, Gartner)
- Extrusion Prevention System (по аналогии с Intrusion-prevention system)
В качестве общеупотребительного термина утвердилось название DLP — защита от утечек данных (Data Leak/Loss Prevention).
В качестве эквивалентного по смыслу термину DLP в русском варианте, по мнению специалистов экспретного совета «DLP-Expert», следует употреблять словосочетание «системы защиты конфиденциальных данных от внутренних угроз».
При этом под «внутренними угрозами» понимаются злоупотребления (намеренные или случайные) своими полномочиями сотрудниками организации, имеющими легальные права доступа к соответствующим данным.
Критерии принадлежности к DLP системам
Наиболее стройные и непротиворечивые критерии принадлежности к DLP системам были выдвинуты исследовательским агентством Forrester Research. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP.
Многоканальность.
Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это, как минимум, E-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции — мониторинг работы файловых операций, работы с буфером обмена данными, а также контроль E-mail, Web и IM.
Унифицированный менеджмент.
Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчётами о событиях по всем каналам мониторинга.
Активная защита.
Система должна не только обнаруживать факты нарушения политики безопасности, но и, при необходимости, принуждать к её соблюдению. К проимеру, блокировать подозрительные сообщения.
Учет, как содержания, так и контекста.
В процессе классификации документов, циркулирующих по возможным каналам утечки данных, необходимо учитывать не только ключевые слова и регулярные выражения, встречающиеся в этом документе, но и его общее содержание. Система также должна учитывать и контекст — тип приложения, протокол, активность, отправитель, адресат и т.п.
Категоризация объектов защиты
Рассматривая функциональность DLP систем, аналитики (Forrester, Gartner, IDC) вводят категоризацию объектов защиты — типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. Выделяют три категории объектов мониторинга.
Data-in-motion (данные в движении) — сообщения электронной почты, интернет пейджеров, peer-to-peer сетей, передача файлов, Web трафик, а также другие типы сообщений, котрые можно передавать по каналам связи.
Data-at-rest (хранящиеся данные) — информация на рабочих станциях, лаптопах, файловых серверах, специализированных хранилищах, USB драйвах, и других типах депозитариях данных.
Data-in-use (данные в использовании) — информация обрабатываемая в данный момент.
Российский рынок DLP систем
В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Краткие сведения о них, в духе приведенной выше классификации, перечислены в таблицах 1 и 2. Так же в Табл.1 внесен такой параметр как «централизованное хранилище данных и аудит», подразумевающий возможность системы сохранять данные в едином депозитарии (для всех каналов мониторинга) для их дальнейшего анализа и аудита. Этот функционал приобретает в последнее время особенную значимость не только в силу требований различных законодательных актов, но и в силу популярности у заказчиков (по опыту реализованных проектов).
Таблица 1
Продукты, представленные на российском рынке и обладающие определёнными свойствами DLP-cистем
| № |
Вендор |
Продукт |
Возможности продукта |
Защита
data-in-motion |
Защита
data-in-use |
Защита
data-at-rest |
Централи-
зованное
хранилище
и аудит |
| 1 |
InfoWatch |
IW Traffic Monitor |
да |
да |
нет |
да |
| IW CryptoStorage |
нет |
нет |
да |
нет |
| 2 |
Perimetrix |
SafeSpace |
да |
да |
да |
да |
| 3 |
Инфосистемы Джет |
Дозор Джет (СКВТ) |
да |
нет |
нет |
да |
| Дозор Джет (СМАП) |
да |
нет |
нет |
да |
| 4 |
Смарт Лайн Инк |
DeviceLock |
нет |
да |
нет |
да |
| 5 |
SecurIT |
Zlock |
нет |
да |
нет |
нет |
| 6 |
Smart Protection Labs Software |
SecrecyKeeper |
нет |
да |
нет |
нет |
| 7 |
SpectorSoft |
Spector 360 |
да |
нет |
нет |
нет |
| 8 |
Lumension Security |
Sanctuary Device Control |
нет |
да |
нет |
нет |
| 9 |
WebSense |
Websense Content Protection |
да |
да |
да |
нет |
| 10 |
Информзащита |
Security Studio |
нет |
да |
да |
нет |
| 11 |
Праймтех |
Insider |
нет |
да |
нет |
нет |
| 12 |
АтомПарк Софтваре |
StuffCop |
нет |
да |
нет |
нет |
| 13 |
СофтИнформ |
SearchInform Server |
да |
да |
нет |
нет |
Таблица 2
Соответствие продуктов представленных на российском рынке критериям принадлежности к классу DLP систем
| № |
Вендор |
Продукт |
Критерий принадлежности к DLP системам |
Много-
канальность |
Унифици-
рованный
менеджмент |
Активная
защита |
Содержание
+ контекст |
| 1 |
InfoWatch |
IW Traffic Monitor |
да |
да |
да |
да |
| 2 |
Perimetrix |
SafeSpace |
да |
да |
да |
да |
| 3 |
Инфосистемы Джет |
Дозор Джет (СКВТ) |
нет |
нет |
да |
да |
| Дозор Джет (СМАП) |
нет |
нет |
да |
да |
| 4 |
Смарт Лайн Инк |
DeviceLock |
нет |
нет |
нет |
нет |
| 5 |
SecurIT |
Zlock |
да |
да |
да |
нет |
| 6 |
Smart Protection Labs Software |
SecrecyKeeper |
да |
да |
да |
нет |
| 7 |
SpectorSoft |
Spector 360 |
да |
нет |
нет |
нет |
| 8 |
Lumension Security |
Sanctuary Device Control |
нет |
нет |
нет |
нет |
| 9 |
WebSense |
Websense Content Protection |
да |
да |
да |
да |
| 10 |
Информзащита |
Security Studio |
да |
да |
да |
нет |
| 11 |
Праймтех |
Insider |
да |
да |
да |
нет |
| 12 |
АтомПарк Софтваре |
StuffCop |
да |
да |
да |
нет |
| 13 |
СофтИнформ |
SearchInform Server |
да |
да |
нет |
нет |
| 14 |
Инфооборона |
Инфопериметр |
да |
да |
нет |
нет |
По приведенным выше данным можно сделать вывод, что на сегодня в России представлены только три DLP системы от компаний InfoWatch, Perimetrix, WebSence. К ним также можно отнести недавно анонсированный интегрированный продукт от «Инфосистемы Джет» (СКВТ+СМАП), т.к. он будет покрывать несколько каналов и иметь унифицированный менеджмент политик безопасности.
Основными поставщиками на данный момент являются:
- системы «Дозор», присутствующие на рынке с 2001 года;
- продукты InfoWatch продающиеся с 2004 года;
- WebSense CPS — начал продаваться в России и во всем мире в 2007 году;
- Perimetrix — молодая компания, первая версия продуктов которой, анонсирована на её сайте на конец 2008 года.
В заключение хотелось бы добавить, что принадлежность или нет к классу DLP систем, не делает продукты хуже или лучше — это просто вопрос классификации и ничего более.
Данный раздел подготовлен с использованием материалов исследования, опубликованного Дмитрием Харченко (компания InfoWatch) в PC Week/RE.
|
Услуги по защите информации
+7 (495) 231-4831