Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Анализ методов и средств перехвата трафика в DLP-системах

И.Г. Генералов

Самара 2017



Реферат

Название	Анализ методов и средств перехвата трафика в DLP-системах
Автор	Генералов Илья Георгиевич
Научный руководитель	Крыжановский Анатолий Владиславович
Ключевые слова	Угрозы информационной безопасности, конфиденциальность информации, целостность данных, DLP-система, предотвращение утечек, утечка данных, методы перехвата, идентификация, аутентификация.
Дата публикации	2017
Библиографическое описание	Генералов, И. Г. Анализ методов и средств перехвата трафика в DLP-системах [Текст]: дипломная работа / И. Г. Генералов. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра мультисервисных сетей и информационной безопасности (МСИБ): науч. рук. А. В. Крыжановский - Самара. 2017. - 67 с.
Аннотация	В дипломной работе обоснована актуальность применения DLP. Обоснована целесообразность применения DLP-технологии для построения защищённой корпоративной сети. Выполнен сравнительный анализ российских и зарубежных DLP- продуктов, на основе которого обоснован выбор DLP- продукта для построения защищённой корпоративной сети. Рассмотрены и исследованы методы предотвращения утечек информации, которые используются в данных системах.



Содержание

Введение

1. Назначение DLP-систем и принципы их функционирования

1.1 Общие сведения о DLP-системах

1.2 Технологии анализа текста

2. Сравнение и оценка функциональных возможностей различных методов перехвата информации в DLP-системах

3. Особенности реализации сетевого перехвата трафика

4. Особенности реализации агентского перехвата трафика

5. Особенности реализации перехвата путем интеграции со сторонними сервисами

Заключение

Список использованных источников



Введение

В современном мире информация имеет достаточно высокую ценность и может даже являться оружием. Разного рода компании многочисленными способами стараются избежать несанкционированного доступа к конфиденциальной информации для сохранения своей деятельности.

Применение типичных мер безопасности, например, антивирусов и фаерволов, помогает обеспечить защиту активов организации от внешних угроз, но никак не защиту данных от утечки из-за внутренних угроз, будь то злоумышленник или ошибочные действия сотрудников. Тем не менее, внутренние угрозы также важно учитывать. В этом компаниям призваны помочь системы предотвращения утечек или, если коротко, DLP-системы.

Подобные системы на данный момент стали достаточно популярны, причем не только у компаний, желающий обезопасить свой бизнес, но и у разработчиков программного обеспечения. Поэтому человек, работающий с DLP-системой, должен знать и понимать, как она устроена, как работает и что в ней происходит.

Все вышесказанное определило актуальность темы работы - анализ методов и средств перехвата трафика в DLP-системах.

Целью дипломной работы является рассмотрение и анализ современных систем предотвращения утечек информации и, в частности, методов обнаружения и перехвата данных, поскольку это их наиболее важная функция.

Для достижения поставленной цели необходимо решить следующие основные задачи:

· определение назначения DLP-систем

· исследование механизмов анализа информации

· исследование методов перехвата информации

В соответствии с этим, объектом исследования, естественно, будут выступать DLP-системы. Предметом исследования являются их механизмы функционирования, а также методы обнаружения и перехвата информации.

Основными источниками информации для написания работы послужили различная литература и веб-страницы, связанные с теми или иными системами предотвращения утечек.

Цель и задачи написания работы определили ее структуру, которая состоит из введения, пяти глав, заключения и списка используемых источников.

Во введении, как видно выше, обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава раскрывает тему назначения DLP-систем. В ней рассказывается о том, что это вообще такое, о том, как они работают, и как происходит распознавание текста для последующей работы с ним и для перехвата.

Вторая глава кратко описывает каждый из методов перехвата информации, которые будут рассмотрены в дальнейшем.

Третья глава рассказывает о сетевом перехвате трафика.

Четвертая глава описывает перехват трафика с помощью установки агентских приложений.

Наконец пятая глава раскрывает подробности о методе перехвата трафика при помощи интеграции системы в сторонние решения.

В заключении сделаны основные выводы по всему диплому и подведены результаты по проделанной работе.



1. Назначение DLP-систем и принципы их функционирования

1.1 Общие сведения о DLP-системах

Data Leak Prevention переводится с английского как предотвращение утечки данных. Также встречаются такие термины, как Data Loss Prevention (DLP), Data Leakage Protection (DLP), Information Protection and Control (IPC), Information Leak Prevention (ILP), Information Leak Protection (ILP) и другие, но суть от этого не меняется. Все это - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. Грубо говоря, можно утверждать, что информационная безопасность началась с появления таких технологий, поскольку до этого все прочие продукты защищали не информацию, а инфраструктуру - места передачи, обработки и хранения данных. А с появлением DLP информационные среды научились различать информацию по типу важности.

Система, построенная на основе такой технологии, предназначена для отслеживания и блокирования попыток несанкционированной передачи данных за пределы корпоративной сети. Помимо этого DLP-система также умеет выполнять функции по отслеживанию действий пользователей, записи и анализу их коммуникаций через e-mail, социальные сети, чаты и т.д. Немного подробнее все это будет рассмотрено ниже. Таким образом, основная задача - обеспечение бесперебойного выполнения политики конфиденциальности, принятой в организации. А как показывает время и опыт, важно учитывать не только внешние, но и внутренние угрозы.

Тут следует сделать маленькое отступление и усвоить один немаловажный пункт, связанный с данной областью. Не секрет, что в большинстве стран право на тайну связи и право на тайну частной жизни (приватность) охраняется законом. Использование DLP-систем, в частности некоторых перечисленных функций, могут противоречить данным законам или требовать более подробного оформления отношений между работодателем и работниками. Поэтому при внедрении систем предотвращения утечек необходимо привлекать юриста на самом раннем этапе проектирования.

Вернемся к нашим системам. Применение DLP-систем актуальнее всего для организаций, где риски утечки конфиденциальной информации приведет к серьезному финансовому ущербу или к ущербу репутации, а также для организаций, которые бдительно относятся к лояльности своих сотрудников. [2] Продукты класса DLP по предотвращению утечек информации создают защиту для конфиденциальной информации, например, для такой, как сведения о счетах клиентов, номера пластиковых карт, персональные данные сотрудников, условия тендеров, заказы на услуги и решения, финансовые данные и т.д.

Основные функции системы предотвращения утечек включают в себя:

· контроль передачи информации через интернет, в том числе при использовании E-Mail, Skype, ICQ и других приложений, а также различных сетевых протоколов;

· контроль сохранения информации на внешние носители - SDD, DVD, flash-накопители, телефоны, смартфоны и т.п.;

· контроль вывода данных на печать;

· информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;

· поиск конфиденциальных сведений на файловых серверах и рабочих станциях сотрудников по ключевым словам, меткам документов, файловым атрибутам и цифровым отпечаткам;

· контроль жизненного цикла (срока) и движения конфиденциальных данных.

Современные системы предотвращения утечек являются комплексными и могут сочетать в себе весь вышеописанный функционал и даже иметь дополнительные функции и тонкие настройки, облегчающие работу офицера информационной безопасности компании.

Такой функционал при совместном использовании других средств защиты информации позволяет решать ряд важных задач (рис. 1.1).

Рис. 1.1 - основные задачи, решаемые с помощью DLP-систем

Комплексные системы предусматривают такие компоненты как: модули анализа протоколов, модуль централизованного управления, клиентские агенты, модули сканирования (поиска) данных и многие другие. Часть таких модулей предназначена для установки на выделенных серверах, часть - для рабочих станций сотрудников, а часть - для рабочих мест сотрудников службы безопасности компании. [6]

Выделенные сервера могут потребоваться для модуля базы данных или модулей анализа информации. Данные модули, по сути, являются сердцем организма и без них не обходится ни одна DLP_система.

В базе данных, как можно догадаться, хранится информация, начиная от правил контроля и подробных сведений об инцидентах и заканчивая любыми документами, попавшими в рассмотрение системой за определённый период. В некоторых случаях, система даже может хранить полную копию сетевого трафика, перехваченного во время заданного промежутка времени.

Модули анализа информации отвечают за анализ текстов, полученных другими модулями из всевозможных источников: данные на съемных носителях, сетевой трафик, сканированные документы, голосовые сообщения. Последние два пункта подразумевают извлечение текста из изображений и детектирование (распознавание) перехваченных записей разговоров. Все анализируемые тексты сопоставляются с правилами, заданными заранее, и отмечаются, либо блокируются соответствующим образом при получении совпадения.

Для контроля действий за сотрудниками на их рабочих станциях устанавливаются специальные агенты. Подобный агент должен быть защищён от несанкционированного вмешательства в свою работу сотрудником или другим лицом. Данный функционал может вести как обычное наблюдение за действиями пользователя, так и активно препятствовать тем операциям, которые пользователю запрещены политикой безопасности компании. Набор контролируемых действий можно ограничить, например, входом/выходом пользователя из системы или подключением внешних накопителей, а можно включить перехват и блокировку сетевых протоколов, теневое (незаметное) копирование документов на любые носители, печать документов на сетевые и локальные принтеры, передачу информации по Wi_Fi и Bluetooth и много другое. Кроме того, некоторые системы защиты от утечек способны записывать нажатия на клавиатуре (key_logging) и делать снимки экрана (screenshots). [3]

Также в составе DLP-системы присутствует модуль управления, который служит для администрирования системы и мониторинга ее работы. Этот модуль также дает возможность контролировать работоспособность прочих модулей системы и производить их настройку.

Кроме всего оговоренного, для удобства работы инженера службы безопасности в DLP-системе может быть встроен отдельный модуль, открывающий доступ к настройке политики безопасности компании, который позволяет отслеживать её нарушения, проводить детальное расследование и формировать отчётность. Подобный модуль является одним из самых важных с точки зрения удобства мониторинга и анализа инцидентов, а также удобства проведения расследования и составления отчетности по информационной безопасности компании.

Обобщенная схема работы DLP-систем показана на рис. 1.2.

Рис. 1.2 - Обобщенная схема работы DLP-систем

Важной частью всей системы является то, как и по каким критериям оценивается и распознается информация (будь то текст, аудио или архив). Поэтому прежде, чем перейти к рассмотрению методов перехвата данных, сперва следует рассмотреть механизм распознавания этих самых данных, то, по каким критериям система узнает, что нужно блокировать, а что пропускать дальше.

1.2 Технологии анализа текста

В основном для категоризации данных в продуктах по защите корпоративной информации от утечек используются две основных группы технологий - лингвистический (морфологический, семантический) анализ и статистические методы (Digital Fingerprints, Document DNA, антиплагиат). Каждая из технологий имеет свои как сильные, так и слабые стороны, которые определяют область их применения. [4]

Лингвистический анализ.

Использование стоп-слов («конфиденциально», «секретно» и других подобных) для блокирования исходящих сообщений в почтовых серверах можно, по сути, считать предком DLP-систем, которые существуют сейчас. Понятное дело, что от злоумышлeнников это не защищает - удалить стоп-слово, чаще всего вынесенное в отдельный гриф документа, не представляет труда, к тому же смысл текста абсолютно не поменяется.

Движение к разработке лингвистического анализа распространилось еще в самом начале 2000-х годов создателями email-фильтров, использовавшихся для блокировки спама, получаемого по электронной почте. В начале этого века шла целая война между спамерами и антиспамерами. Недоброжелатели использовали простые методы для обмана фильтров, основанные на стоп-словах. Замена букв на цифры, похожие буквы и разные символы из других кодировок, применение транслита, пробелы, расставленные как попало, подчеркивания и переходы строк в тексте. Антиспамеры довольно быстро научились бороться с такими хитростями, но потом спамеры пошли еще дальше, и возник графический спам, а следом - еще и другие разновидности.

Несмотря на все это, применять способы и технологии антиспама в продуктах типа DLP без весомых усовершенствований невозможно, поскольку для предотвращения спама не достаточно делить информационный поток на две категории: спам и не спам. Для обеспечения безопасности корпоративных данных от несанкционированного доступа этого мало - нельзя поделить информацию на неконфиденциальную и конфиденциальную. Надо, чтобы система умела распознавать информацию по функциональной принадлежности (маркетинговая, коммерческая, технологическая, производственная, финансовая), а внутри классов - классифицировать ее по степени доступа (для служебного использования, для свободного или ограниченного доступа, секретная, совершенно секретная и т. д.).

Множество современных систем лингвистического анализа применяют не только контекстный анализ текста (в каком контексте или с какими словами используется отслеживаемый термин), но и семантический. Такие технологии работают эффективнее в больших анализируемых фрагментах. Чем больше фрагмент, тем выше эффективность, точнее получается анализ и выше вероятность определить категорию и класс документа. При анализе коротких посланий (SMS, сообщение в месенджере или на почте) что-то кроме стоп-слова использовать будет проблематично, даже нереально.

Достоинства технологии.

Преимущество лингвистических технологий в том, что они взаимодействуют с содержанием документов, и для них не имеет значения, как и где был создан документ, какой стоит гриф и какое у файла название - документы защищаются незамедлительно. Это важно, например, для обеспечения защиты поступающей документации или при работе с черновиками конфиденциальных документов. Причем документы, созданные в компании, можно помечать грифом и переименовывать, но входящая документация может содержать метки и грифы, которые не были предусмотрены в организации. Черновики, по большей части, тоже могут нести в себе конфиденциальные данные, но еще не иметь нужных меток или грифов.

Другое достоинство - отличная масштабируемость. Скорость обработки данных пропорциональна количеству и никак не зависит от количества классов (категорий). Раньше построение иерархической базы категорий (или по-другому база контентной фильтрации) выглядело как танец лингвиста с бубном. Но в 2010 году появилось несколько программ-автолингвистов, и построение первичной базы категорий упростилось - системе лишь указывают места хранения документов определенной категории, а система сама распознает лингвистические признаки данной категории, ну а при ложных срабатываниях еще и обучается. Так что еще и к достоинствам можно отнести простоту настройки.

Третье достоинство - обучаемость лингвистических технологий. Достаточно показать системе, когда было ошибочное срабатывание, и ее алгоритм работы в дальнейшем исключит или хотя бы снизит частоту ложных срабатываний.

Последнее преимущество лингвистических технологий -- возможность обнаружения в потоках информации категорий, не имеющих отношения к документам, которые хранятся внутри компании. Инструмент для контроля содержимого потоков информации может определять такие категории, как нанесение вреда имиджу компании (например, распускание лживых слухов), использование инфраструктуры компании в собственных целях, противоправная деятельность (пиратство, распространение запрещенных товаров) и т. д.

Недостатки технологии.

Главный просчет лингвистических технологий - это их зависимость от языка. Не получится применять лингвистический движок, созданный для одного языка, чтобы анализировать другой. Это было особенно заметно среди производителей из США, выходящих на российский рынок -- они попросту были не готовы к работе с русским словообразованием и шестью кодировками. Перевода на русский категорий и ключевых слов было недостаточно, если вспомнить, что в английском языке нет принятых у нас падежей и склонений. К тому же многие слова могут быть сразу несколькими частями речи, в зависимости от контекста. А в русском языке, например, один корень может породить десятки слов в разных падежах. И это не все тонкости, которые нужно было учесть.

В Германии американские производители лингвистических технологий столкнулись с другим препятствием - составные слова или так называемые «компаунды». В немецком определения присоединяются к главному слову, из чего возникают новые слова, которые, к тому же, могут состоять из целого десятка корней. А в английском такого нет, поэтому движок не смог распознавать длинные незнакомые слова.

Конечно, в современных системах данные проблемы практически решены зарубежными производителями. Кстати, стоит упомянуть мультиязычные тексты, в которых, например, сочетаются английский+национальный язык, но и это в принципе не проблема для движков.

Второй недостаток заключается в том, что не все конфиденциальные данные содержатся в виде связных текстов. Пусть информация в базах данных и хранится в виде текста, а проблем с ее извлечением из СУБД нет, все же часто бывает так, что тексты содержат имена собственные или цифровые данные - адреса, ФИО, названия и наименование компаний, номера кредитных карт и счетов, баланс и прочее, прочее. Обработка подобных данных с помощью лингвистики много пользы не принесет. Аналогичная ситуация, например, с форматами CAD/CAM - чертежами, которые могут содержать интеллектуальную собственность. Сюда же, к проблеме распознавания, можно отнести файлы с программными кодами, аудио/видео/звуковые файлы. Несколько лет назад это касалось и сканов текстов.

Однако самым заметным недостатком лингвистических технологий является вероятностный подход к категоризации. Если вы когда-нибудь встречали письмо с пометкой «Probably spam», то примерно представляете, о чем речь. И это еще цветочки, если в системе всего две категории - спам/не спам. А если представить, что в системе несколько десятков категорий и классов конфиденциальности, то головная боль возрастает. Но и эта проблема решаема: обучение системы снижает неточность во много раз.

Как еще один из недостатков, но менее важный для простых пользователей, можно отметить сложность разработки лингвистического движка. Категоризация текстов более чем по двум категориям -- трудоемкий технологически процесс.

Примерная схема работы лингвистического алгоритма представлена на рис. 1.3.

Рис. 1.3 - схема работы лингвистического ядра

Статистические методы.

Принцип работы таких методов заключается в вероятностном анализе текста, что в итоге дает сделать вывод о его открытости или же конфиденциальности. Перед началом работы метода сперва происходит обучение алгоритма, в ходе которого просчитывается вероятность нахождения каких-либо слов или словосочетаний в секретных документах.

Статистические технологии анализируют тексты как произвольную последовательность символов, а не связные слова - это позволяет одинаково хорошо обрабатывать тексты на любом языке. Такие же методы можно применять для анализа и любых других цифровых объектов, поскольку картинка, аудио, программа и прочее - все это тоже набор символов. Например, если хеши в двух аудиодорожках идентичны, скорее всего в одном из них использован отрывок мелодии или цитата из другого. Вот почему статистические методы эффективны для защиты от утечки видео и аудио, и активно используются в киноиндустрии и на музыкальных студиях.

Есть такое понятие как «значимая цитата». Главной характеристикой сложного хеша, снимающегося с контролируемого объекта, является шаг снятия хеша. Такой «отпечаток» является уникальной фишкой объекта и имеет определенный размер. От шага хеша зависит размер такого отпечатка - чем меньше шаг, тем больше отпечаток. Если снимать хеш с шагом в один символ, то размер отпечатка превысит размер самого образца. Если шаг сделать больше (допустим, 5000 символов), то вырастет вероятность того, что документ, содержащий цитату из образца длиной в 4900 символов, будет конфиденциальным, но при этом система его не заметит и злоумышленник спокойно отправит его другому человеку.

Однако если же выставить очень маленький шаг, пару-тройку символов, то возрастет количество ложных срабатываний. Иными словами, незачем снимать хеш с каждой буквы. Часто производители систем сами советуют каким должен быть оптимальный шаг снятия хешей.

Достоинства технологии.

Как можно догадаться из вышесказанного, для выявления цитаты нужен образец. Методы на основе статистики могут с высокой точностью (до 100%) оповестить, есть или нет в сканируемом файле значимая цитата из образца. Система не берет на себя ответственность за категоризацию документов - это забота того, кто занимается категоризацией.

Еще более важное преимущество - независимость статистических методов от языка текста и типа информации. Они отлично чувствуют себя в любых цифровых файлах - изображения, видео- аудио-данные, базы данных.

Недостатки технологии.

Обучения системы довольно простое (достаточно указать системе файл - готово, он защищен), но ответственность за это перекладывается на пользователя. Если конфиденциальный документ не был проиндексирован специально или случайно, то система попросту его не защитит. Поэтому компании должны проводить контроль за тем, как индексируются DLP-системой конфиденциальные данные.

Второй недостаток - размер, который занимает отпечаток. Допустим, в начале работы система быстро и точно определяет секретную информацию и блокирует отправку документов. Но вот прошел год-два работы системы, и отпечаток каждого исходящего письма сравнивается уже не с сотней, а с миллионами отпечатков-образцов, что очень сильно замедляет работу почтовой системы и тормозит работу.

Рассмотрим также защиту динамических объектов. Скорость снятия отпечатка зависит от формата файла и его размера. Для текстового файла (типа этого диплома) это займет минуту, а для трехчасового фильма - уже десяток минут. Для файлов, которые редактируются редко, это маловажно, но есть и те, которые сотрудники компании редактируют каждую минуту. Тут-то и проявляется еще один недостаток: после каждого изменения файла с него нужно снять новый отпечаток. А ведь редактируемый файл может быть не просто вордовским документом или картинкой, а, например, целой базой данных. Снятие отпечатка с такого объема информации займет немало времени.

Подытоживая две рассмотренных технологии, становится ясно, что одна из них сильнее в одном, вторая - в другом. [1] Поэтому большинство компаний-производителей задействуют в своих системах обе технологии. В идеальном случае эти технологии нужно применять последовательно, а не параллельно. Допустим, отпечатки лучше определяют тип документа (договор, смета, ведомость и т. д.). А следом подключается лингвистическая база для определенного типа. Такая схема работы значительно экономит вычислительные ресурсы.

Кроме описанных выше технологий хорошая DLP-система, выбираемая для компании, должна соответствовать и некоторым другим факторам. Например, стоит для начала подумать, какие вообще задачи будет выполнять такая система, какую информацию будет защищать. Тут важно правильно подстроить политику безопасности выбранного решения, чтобы избежать утечки финансовой, маркетинговой или любой другой важной информации, а также снизить число ложных срабатываний.

Второй момент при выборе системы - какие коммуникационные каналы будут контролироваться. Сотрудники каждый день пользуются почтой, социальными сетями, мессенджерами, смартфонами, съемными накопителями, факсом и т. п. Уследить за всем этим инженеру по информационной безопасности компании без подручных средств было бы нереально.

Еще один вопрос - позволяет ли функционал DLP-системы применять ее в расследовании инцидентов. Выявлять и блокировать утечку данных недостаточно, часто бывают нужны служебные расследования. Более современные решения без дополнительных настроек следят за изменением активности сотрудника. Например, что один работник стал совершать меньше звонков и сидеть в социальных сетях. Наглядный отчет позволяет заметить такую активность быстрее и принять меры, как-то повлиять на коллегу, чтобы тот не ушел из компании, не слил важную информацию конкурентам. Визуальные отчеты, настроенные по умолчанию, помогают эффективнее расследовать внутренние инциденты.

Масштабируемость - не последняя по важности функция, которую нужно учесть при выборе. Обмен данных внутри компании со временем растет, расширяется персонал, соответственно, DLP-система должна все это учитывать и иметь внушительную систему хранения, эффективные алгоритмы обработки трафика, а также производительную аппаратную часть.

Следующий вопрос - сложно ли управлять системой и каков «порог вхождения». Если офицеру безопасности приходится тратить много время на чтение инструкций и обучение взаимодействия с DLP-системой, тогда получается, что она не слишком комфортна в применении. То ли дело интерфейс, интуитивно понятный с первых минут, возможность быстро составить отчетность и построить графики по любому фильтру.

Ну и последний пункт, на который следует опираться при выборе, помимо цены и описанных выше пунктов, это наличие дополнительных функций. C помощью DLP-систем можно следить за тем, как расходуется интернет-трафик, какие приложения работают на ПК сотрудников и т. д. Подобная универсальная система может заменить и исключить установку дополнительного софта. Распределение DLP-систем, сочетающих в себе все или большую часть описанных функций, показано на рис. 1.4.

Рис. 1.4 - Распределение рынка DLP-систем

В правом верхнем квадрате расположены лидеры рынка, в противположном углу - системы, занимающие определенную нишу, в правом нижнем углу - системы-«провидцы». Претендентов на лидерство, как видно (левый верхний квадрат), на 2016 году пока что нет, некоторые системы перешли в конкурирующее положение.

Одна из ключевых функций DLP-систем, упоминавшаяся ранее - перехват трафика. Это, можно сказать, основа, то, на чем построена работа таких систем. Ниже рассмотрим самые популярные способы перехвата и разберем каждый из них.



2. Сравнение и оценка функциональных возможностей различных методов перехвата информации в DLP-системах

Как уже было сказано, DLP-системы работают с перехваченным трафиком. Существует 4 наиболее известных и объемных метода перехвата, отличающихся по месту установки и типу обнаружения, показаны на рис. 2.1.

Рис. 2.1 - способы перехвата информации в DLP-системах

Различные системы могут сочетать в себе как все способы сразу, так и некоторые в отдельности, используя, например, лишь агентский перехват. И у каждого из способов, естественно, есть свои сильные и слабые стороны. [7]

Сетевой перехват основан на том, что некоторое количество управляемых сетевых коммутаторов позволяют продублировать сетевой трафик с одного или нескольких портов на какой-либо другой. Перехват трафика производится на уровне сетевых протоколов (HTTP(S), ICQ, FTP, SIP и других). Трафик перехватывается в какой-либо определенной точке сети, через которую он проходит. Обычно трафик перенаправляется с помощью устройства (например, сетевого маршрутизатора), который имеет функцию зеркалирования сетевых пакетов. Плюсы: не заметен для пользователя, не нагружает конечные (пользовательские) точки, и, скорее всего, не зависит от операционной системы. Минус такой технологии перехвата заключается в том, что шифрованный трафик не воспринимается, хотя эта проблема решается интеграцией с прокси и почтовыми серверами. Второй недостаток - маленькое количество контролируемых каналов.

Приложения-агенты представляют из себя программы или сервисы, осуществляющие перехват трафика с рабочих станций сети, а не с сетевых шлюзов. Их использование приходится кстати, когда нет возможности применить другие методы перехвата, тот же зеркалируемый. В идеале агенты устанавливаются на все пользовательские устройства, будь то смартфоны, ноутбуки или другие устройства. В принципе, такой метод даже лучше предыдущего, поскольку контролирует гораздо больше каналов связи, а также умеет работать с шифрованным трафиком, а при необходимости. Контроль потока данных идет буквально по всем фронтам: внешние устройства, файловые документы, мессенджеры, почта и т. д. Но все же пара минусов есть и у такого способа перехвата. Во-первых, это зависимость от операционной системы, потому что для каждой системы должен быть свой агент. Во-вторых, создается дополнительная нагрузка на сеть. В-третьих, агент может быть обнаружен, так как устанавливается на пользовательских устройствах, но это уже мелочи.

ПО, интегрируемое в сторонние продукты, например, в корпоративные приложения или почтовые сервера (почтовые сервисы MS Exchange, Lync, Lotus и другие) чаще всего применяется для сбора информации с прокси-серверов или напрямую с почтовых серверов, обработки полученных данных и записи их в базу данных. Отличие от сетевого перехвата заключается в том, что адрес, с которого отслеживается трафик будет не сетевого адаптера, адрес сервера и порт. Помимо такого типа интеграции существуют и DLP-системы, внедряемые не только в приложения, но и в сетевые устройства. Если быть точнее, внедрение производится не всей системы, а какой-либо ее части. По сравнению с предыдущими способами такой подход является более узкоспециализированным, поэтому должен использоваться вкупе с другими. Опять же если сравнивать такой метод перехвата с сетевым, интегрирование подразумевает еще меньше количество каналов, которые возможно будет контролировать.

Последний метод, перехват «в разрыв», основан на том, что весь трафик блокируется и полностью перенаправляется на отдельный сервер для дальнейшей проверки и получения разрешения на его отправление.

На сегодняшний день такой метод применяется реже остальных, от него постепенно отказываются, либо уже отказались, поскольку это требует привлечения достаточно мощных аппаратных ресурсов. Без приемлемых мощностей такое решение нецелесообразно и довольно сильно может повлиять на ритм рабочего процесса и другие факторы, от которых зависит стабильная работа. К тому же в случае выхода из строя сервера (либо другого устройства), через который шел весь трафик, в компании автоматически блокируются все или почти все информационные потоки. Кроме того, сотрудник компании попытается найти другой способ «слить» информацию, и блокировка его не остановит.

Чтобы оценить всю глубину возможностей и подробнее рассмотреть сильные и слабые стороны каждого из методов перехвата трафика, взглянем на каждый из них в отдельности, используя общедоступные данные о современных DLP-системах, представленных на рынке. [5] Для этих целей использовалась информация о системах, показанных в табл. 2.1. Они сочетают в себе все 3 наиболее популярных метода.

Таблица 2.1 Методы перехвата в DLP-системах

	Дозор-Джет	Falcongaze	GTB	Info Watch	МФИ Софт	Search Inform	Syman tec	Zecurion
Сетевой перехват	Да	Да	Да	Да	Да	Да	Да	Да
Агентский перехват	Да	Да	Да	Да	Да	Да	Да	Да
Интеграция в стороннее ПО	Да	Да	Да	Да	Да	Да	Да	Да



3. Особенности реализации сетевого перехвата трафика

Модули данного типа позволяют перехватывать сетевой трафик, извлекать из него информацию (файлы, сообщения), записывать их в базу данных и выполнять по ней поиск. Трафик перехватывается в той точке сети, через которую проходит в данный момент и перенаправляется с помощью устройства, умеющего зеркалировать сетевые пакеты, например, сетевого маршрутизатора. Обычно система не оказывает нагрузки на сеть и незаметно для обычных пользователей выполняет манипуляции с трафиком.

В зависимости от DLP-системы спектр поддерживаемых сетевых протоколов, по которым идет перехват данных, может сочетать в себе: HTTP(S), FTP, MSN, MMP, SIP, XMPP, SMTP, POP3, ICQ, IMAP, NNTP, MAPI и другие. Как мы видим, контролируется вся почта, социальные сети, форумы, видеохостинги и прочие сайты, куда заходит пользователь с рабочего устройства.

Перехваченные данные индексируются и помещаются в базу данных. Индекс - некоторая особая структура, используемая для анализа перехваченных данных и быстрого поиска по содержимому. Система через определенный интервал времени проверяет данные на соответствие индексам и в зависимости от результата (при наличии совпадений) оповещает сотрудника службы безопасности.

Обобщенная схема работы данного метода представлена на рис. 3.1.

Пользователь, сотрудник компании, отправляет данные, которые сперва поступают на свитч с функцией зеркалирования. Он в свою очередь перенаправляет пакеты на сервер обработки. Там вся информация анализируется на предмет конфиденциальности, важности и других параметров. Параметры задаются работником службы безопасности. Он, помимо этого, следит за работой системы и собирает статистику.



Рис. 3.1 - Общая схема работы системы при сетевом перехвате

Как уже было сказано выше, самый часто используемый способ мониторить трафик - прослушивать его в точке, через которую идут сетевые пакеты. Трафик переадресовывается на сервер обработки с помощью шлюза, умеющего зеркалировать пакеты - это коммутатор, маршрутизатор, концентратор или подобное устройство. Офицер службы безопасности компании выбирает, куда будет перенаправляться трафик, а также осуществляет тонкую настройку параметров сетевого перехвата.

Чтобы сетевой перехват работал адекватно и бесперебойно, перед его запуском нужна предварительная настройка таких параметров, как тип запуска, тип логирования, а также управление сетевыми адаптерами и т. д.

Тип запуска подразумевает, когда будет запускаться служба перехвата трафика: при включении операционной системы, по желанию пользователя, не запускать вообще или запускать по таймеру.

Уровни логирования позволяют фиксировать операции внутри программы, а также определять доступ к ней.

Сетевые пакеты, которые требуется отслеживать, могут приходить на виртуальные или физические сетевые адаптеры сервера, который обрабатывает эти данные. Поэтому для перехвата должны быть выбраны нужные сетевые адаптеры, на которые трафик поступает, а остальные лучше отключить, чтобы не снижать производительность системы.

Затем идет настройка протоколов, по которым будет отслеживаться трафик, и все, что с этим связано. В самом начале весь трафик выглядит как «салат» из пакетов данных, посылаемых с помощью разнообразных протоколов. Это потому, что сотрудники пользуются почтой, браузером, мессенджером и другими программами одновременно. Соответственно, следующий пункт в настройке системы - упорядочивание информации, связанной с протоколами, в базе. В большинстве DLP-систем эта операция делается при первом запуске, иногда автоматически. Для каждого протокола передачи лучше всего задать свою базу данных, некоторые разрешается сгруппировать по типу. В табл. 3.1 приведен список некоторых совместимых между собой протоколов.

Таблица 3.1 Совместимость протоколов

Совместимые почтовые протоколы	Совместимые IM-протоколы	HTTP POST-запросы	FTP-протокол
Web mail IMAP MAPI POP3 SMTP NNTP	HTTP IM MMP MSN ICQ XMPP SIP	HTTP POST	FTP

Кроме того, для повышения производительности системы каждый протокол следует привязывать к портам, через которые идет передача данных. Есть сетевые порты, которыми пользуются определенные протоколы, тогда лучше осуществлять привязку к ним, но не обязательно.

После всех настроек можно заняться поиском по перехваченным данным. Поиск и анализ данных выполняется при помощи индексов. Как уже было сказано, индекс - некоторая особая структура, используемая для быстрого поиска по содержимому. Индексы для протоколов одни, а индексы данных, перехватываемых в точке прохождения пакетов - другие, и настраиваются отдельно. Некоторые системы позволяют тонко настраивать их работу, например, выставлять обновление индекса по времени или вручную, очистка индекса и т. п.

Связанный с индексами пункт - источники данных. Источники данных - некоторый условный набор конфигураций файлового хранилища или базы, в которых лежит информация, обработанная сервером по одному из протоколов. Содержит настройки соединения с хранилищем/базой, а также имя протокола. Пример: индексы IM (Internet Messenger) может иметь источники данных 6-и типов, по одному на каждый протокол - SIP, MSN, MMP, ICQ, XMPP и HTTPIM.

Следующий пункт - фильтрация трафика. DLP-системы по умолчанию перехватывают полностью весь трафик, поступающий извне и внутрь компании. Бывают ситуации, когда не требуется обрабатывать трафик целиком, для чего в системах встроена фильтрация. Она позволяет выбирать параметры, по которым будет сортироваться трафик. Обычно фильтрация делается по свойствам сетевых пакетов - MAC-адрес, IP-адрес, имя компьютера и т. д. Для случая, когда используются прокси-сервера, предусмотрена фильтрация по этим самым серверам и SMTP-признакам. HTTP-фильтр уберет из перехвата почтовые хосты и запросы к внутренним сервисам. Фильтрация по почтовому признаку будет перехватывать сообщения, отправляемые только по почтовым протоколам. Таким образом, появляется масса способов и сочетаний фильтрации трафика.

В сумме по всем DLP-системам возможности сетевого перехвата данных достаточно внушительны, а функционал систем различается незначительно. Перечислим сетевые каналы и протоколы, контроль которых возможен:

1. Электронная почта, входящий и исходящий трафик: SMTP, POP3, IMAP, MAPI, NNTP, S/MIME;

2. Мгновенные сообщения (IM), текстовые сообщения и файлы: OSCAR (ICQ, QIP), MMP (Mail.ru агент), MSN (Windows Live Messenger), XMPP (Google Talk, Jabber), YMSG (Yahoo Messenger), HTTPIM (в соц. сетях), Microsoft Lync, Skype;

3. Веб-каналы:

· HTTP, HTTPS,

· веб-почта (Mail.ru, Yandex, Rambler, Gmail, Yahoo и другие),

· социальные сети (Вконтакте, Одноклассники, Facebook, LinkedIn, прочие),

· отправка SMS (через Skype и сайты мобильных операторов),

· любые форумы,

· блоги (LiveJournal, Blogger, Twitter, Блоги@Mail.Ru и т. д.),

· сервисы поиска работы (HeadHunter, Superjob, Rabota.ru и т. д.),

· загрузка файлов на видеохостинги (Youtube, Rutube и т. д.),

· загрузка файлов на фотохостинги (Picasa, Panoramio и т. д.),

· загрузка файлов в файлообменники,

· прочие веб-сайты других категорий.

4. Каналы FTP, FTP over HTPP, P2P (P2P контролируется только в 4-х системах из 8-и);

5. Декодирование данных, отправляемых внутри нешифрованных туннелей протоколов.

Как будет видно из следующих разделов, большинство протоколов может быть задействовано как в сетевых, так и в агентских DLP-системах. Но в сетевых системах уклон сделан как раз на протоколы, а в агентских - на работу с устройствами.



4. Особенности реализации агентского перехвата трафика

Такой метод перехвата трафика подразумевает под собой сбор информации на уровне рабочих станций пользователей. На каждый компьютер в компании устанавливается специальное ПО - агент, который отслеживает все операции сотрудников, обычно в режиме, незаметном для пользователей. В идеале агенты также устанавливаются на личные нотубуки, смартфоны и другие гаджеты, которыми во время работы пользуются сотрудники.

Принцип работы такого метода довольно прост, если не вдаваться в подробности: агент отслеживает работу с любыми документами, а также разграничивает доступ к ним. Если документ защищен, а у пользователя недостаточно прав на выполнение операций с документом, то доступ к нему блокируется, а сотрудник службы безопасности уведомляется о попытке. Иными словами, агент - сотрудник секретной службы, хватающий злоумышленника за рукав, когда тот берет с полки чужую книгу. Современные системы обросли дополнительным функционалом и на сегодняшний день умеют не только «хватать за рукав». Вот основная часть умений, которыми могут обладать агентские DLP-системы:

1. Перехват полученных/отправленных данных, таких как:

· данные, передаваемые через интернет-браузер;

· история операций с файлами, находящимися на контролируемых устройствах или файл-серверах;

· данные, копируемые на внешние устройства;

· сообщения, передаваемые через мессенджеры (AIM, ICQ, Mail agent, MSN, Jabber, Google Talk и другие);

· электронная почта, почтовые протоколы (POP3, SMTP, MAPI, IMAP, NNTP, протоколы веб-почты: EWS KOC OWA ZWC, а также другие);

· данные, полученные/отправленные по FTP-соединению;

· скриншоты экранов мониторов;

· запись голосов пользователей;

· текстовая и голосовая связь по Skype;

· данные, отправленные на печать физических либо виртуальных принтеров;

· информация, передаваемая при помощи мобильных устройств.

2. Перехват данных, передаваемых по зашифрованному соединению;

3. Занесение всех перехваченных данных в базу данных;

4. Прикрепление к перехваченным данным атрибутов - время и дата перехвата, МАС- и IP-адреса, доменное имя и домен, пользовательских данные (имя принтера, логины, почтовый адрес отправителя и получателя и прочее);

5. Добавление индексов, создаваемых для анализа перехваченной информации и контекстного поиска по ним;

6. Хранение истории событий и настроек в базе данных.

Такой большой функционал, если он целиком сочетается в одной системе, может, как ни странно, накладывать некоторые проблемы. Агенты влияют на производительность компьютеров. Не секрет, что чем больше действий выполняет система, тем сильнее получается загруженность. Также оказывается загруженной и сеть, поскольку каждый ПК или другое устройство с агентом периодически делает запросы к базе сигнатур документов для обновления данных.

Во-вторых, перед любым действием (открытие, печать, копирование) с документом выполняется определение его сигнатуры, сравнение с образцом и другие операции. Слабое «железо» попросту будет подолгу выполнять все эти процессы, а операционная система - подвисать по нескольку секунд.

Еще один из наиболее значимых недостатков - настройка агентской системы предотвращения утечек. Ведь ей нужно задать все файлы, которые требуется защищать, разграничить доступ для пользователей, а также периодически пополнять и обновлять базу конфиденциальных файлов.

Также минусом можно отметить цену - ведь агент устанавливается на каждое устройство, а лицензия за одну штуку в среднем стоит недешево. Установка какой-либо из рассматриваемых систем в компании численностью 1000 человек обойдется минимум в несколько десятков тысяч долларов.

Принцип работы агентского модуля и DLP-систем в целом можно разделить на несколько частей. Последовательность действий представлена в таблице 4.1.

Таблица 4.1 Принцип работы системы

Процедура	Описание процедуры	Роль участников со стороны бизнес-подразделений
Обучение системы принципам классификации информации	Занесение в систему принципов обнаружения и классификации конфиденциальных данных	Владельцы информационных ресурсов участвуют в классификации информации
Ввод правил реагирования	Настройка правил реагирования системы на обнаруживаемую информацию и групп сотрудников, действия которых будут контролироваться. Добавляются исключения для доверенных пользователей	Службой безопасности разрабатываются и уточняются правила защиты ресурсов
Выполнение системой операций контроля	Система анализирует информацию (локальные действия пользователей, исходящие информационные потоки, результаты сканирования сетевых ресурсов и рабочих станций). Выполняется сравнение с принципами обнаружения и классификации данных. При нахождении конфиденциальных данных система сравнивает их с существующими политиками, настроенными на обнаруженную категорию информации. В случае нарушения в системе создается инцидент	Офицеры безопасности или ответственные люди со стороны владельцев ресурсов получают уведомления о произошедших инцидентах
Обработка инцидентов	Получившиеся инциденты в системе могут быть настроены на такие правила реагирования, как проинформировать/ приостановить/заблокировать отправку. Более того, статистическая информация и подробности по инцидентам доступны для анализа офицером безопасности/ аудитором/владельцем ресурса в системе. В результате обработки офицером безопасности инцидент может быть закрыт/эскалирован/направлен на доработку политик

Современные DLP-системы содержат в себе набор готовых правил реагирования на утечку информации, например, форм финансовой отчетности, данных кредитных карт и паспортов. Это намного упрощает первоначальную настройку системы администратором/офицером информационной безопасности компании.

Если рассматривать работу агентского модуля в отдельности от других, можно выделить определенный план действий.

Как уже говорилось ранее, на рабочие станции устанавливаются агенты, выполняющие перехват документов и прочей информации, а также ее копирование на управляющий сервер.

Управляющий сервер заносит перехваченную информацию (мессенджеров, сообщения электронной почты, текстовые и голосовые сеансы связи в Skype, скриншоты с экранов мониторов и т.п.) в базу данных. В некоторых случаях запись данных, отправленных на внешние устройства, и данных, переданных по протоколу FTP, для удобства происходит отдельно - в файловое хранилище. Перехват настраиватеся в соответствии с потребностями и ограничивается по специальным атрибутам, например, по МАС- или IP- адресу.

Для просмотра документов и быстрого поиска по ним база данных и файловое хранилище индексируются. Если предусмотрена функция обновления индексов, то обновление происходит автоматически, по заданному расписанию.

Так же по расписанию происходит проверка. Управляющий сервер сканирует индексы и документы по заданным критериям поиска и автоматически отправляет администратору (сотруднику службы безопасности) оповещение, если был обнаружен инцидент.

Администратор со своей рабочей станции через клиент просматривает историю инцидентов, историю активности пользователей и другие данные в зависимости от заданного фильтра. Через ту же рабочую станцию осуществляется управление серверной частью.

Обобщенная схема работы агентского метода перехвата трафика представлена на рис. 4.1.

Рис. 4.1 - Схема работы агентского метода перехвата трафика

Также через свой клиент администратор может менять параметры и выполнять такие действия, как: просмотр текущей активности системы, управление агентами в целом, создание и настройка индексов, управление лицензией на продукт, настройка исключений системы (для исключения из обработки приложений или процессов) и прочее.

Для перехвата информации на подконтрольные пользовательские станции должны быть инсталлированы агенты с подключенными модулями перехвата. В зависимости от марки DLP-системы, модули могут различаться. В сумме из всех систем модули могут быть примерно такими: File, Device, Print, Mail, IM, HTTP, FTP, Monitor, Skype. Каждый из них соответствует тому типу информации, который планируется отслеживать.

Для каждой из рабочих станций сотрудников можно задавать индивидуальные параметры. Настройка агентов стала достаточно тонкой в каждой из рассматриваемых DLP-систем и может включать параметры, которые будут перечислены и рассмотрены ниже.

В целом настройки могут быть общими для всех подключенных пользователей, индивидуальными для каждого из пользователей, либо групповыми (назначаются для группы пользователей). Настройки для групп обычно влияют на глобальные, которые являются для них исходными, а пользовательские настройки влияют и на групповые и на глобальные, поскольку используют их основу и перекрывают своими собственными параметрами. Такая взаимосвязь называется иерархической структурой.

Первый из параметров, влияющий на работоспособность, это размер дискового пространства, который будет выделяться под временное хранение перехватываемых данных в случае, если сервер загружен или недоступен. Если размер временного хранилища мал, данные будут перезаписываться поверх, а старые - удаляться. Также, если сервер недоступен, будет блокироваться исходящая почта. В таком случае, в зависимости от системы, письма помещаются в карантин, во временное хранилище или в черновики писем.

По умолчанию установка агентов должна производиться на системную учетную запись. Эту настройку также можно изменить и выбрать рабочие станции, где учетная запись будет изменена. Кроме того, в некоторых системах предусмотрено, изменение настройки запуска, запретив/разрешив автозапуск во время старта операционной системы.

Функция «Офлайновый режим» позволяет изменить расписание передачи информации на сервер агентами. Такая настройка полезна в случае, когда требуется снизить нагрузку на сеть в условиях низкой пропускной способности канала передачи данных.

Работа с индексами. Для выполнения операций с индексами в сети или локально в системах предотвращения утечек предусмотрена соответствующая функция. В зависимости от системы индексы могут задаваться для системы в целом, либо для каждого из ее модулей в отдельности. Это могут быть и индексы протоколов: FTP, POP3, SMTP, NTP, HTTP и другие. сетевой трафик сервис сниффер

...