Анализ методов и средств перехвата трафика в DLP-системах
Назначение DLP-систем и принципы их функционирования. Особенности реализации сетевого и агентского перехвата трафика. Характеристика осуществления перехватывания путем интеграции со сторонними сервисами. Проведение исследования принципа работы сниффера.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 07.08.2018 |
Размер файла | 752,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Типичные операции, которые могут быть произведены с индексами:
· создание индекса;
· подключение индекса;
· удаление или очистка индекса;
· создание расписания обновления индекса;
· ручное обновление индекса.
Параметры фильтрации. В данном случае под фильтрацией понимается ограничения перехвата данных по определенным атрибутам документов: МАС- и IP- адреса, пользователь домена. Основное назначение этой функции - убрать из мониторинга каких-либо пользователей или групп пользователей (например, руководство компании, ответственные сотрудники и т. д.). Возможны и другие причины, которые требуют ограничения перехвата. Как альтернатива фильтрации перехваченной информации может рассматриваться другое действие - удаление агентских модулей с рабочих станций, с которых не требуется контролировать курсирование трафика. Так или иначе, фильтрация все же важна, если есть рабочие станции или терминальные серверы, которые одновременно могут потребоваться и «привилегированным» сотрудникам и тем, кого следует подвергать мониторингу.
Если смотреть по обобщенной схеме (рисунок 4.1), фильтрация происходит на управляющем сервере (или на сервере управления). Процесс фильтрации выполняется по такому принципу:
· вне зависимости от параметров, заданных для фильтрации, агенты, инсталлированные на рабочих станциях, делают теневое копирование перехваченных данных и перенаправляют ее на управляющий сервер;
· управляющий сервер сравнивает атрибуты каждого полученного пакета данных по заданным фильтрам. Если настройки заданы «по умолчанию» (фильтры не были заданы), фильтрации не происходит, и абсолютно все пакеты данных отправляются в базу данных. Если фильтры были заданы, то часть пакетов будет отсеиваться, не записываясь в базу данных.
Управляющий сервер может отфильтровывать трафик как по отдельным каналам передачи данных (фильтры по протоколам), так и по всем сразу (глобальные фильтры). Глобальные фильтры используются для всех продуктов и протоколов. Фильтры по протоколам используются для задействованных протоколов. В любом из двух случаев должен быть выбран запрещающий или разрешающий режим фильтрации.
Преимущественно фильтрация производится по трем основным атрибутам пакетов: по имени локального пользователя, по MAC-адресу локального пользователя и по IP-адресу удаленного или локального пользователя.
Общие правила работы фильтров:
· если функция фильтрации включена, но в списке нет ни одного фильтра, перехват будет выполняться без ограничений по адресам;
· чтобы пакет данных попал под одно из действий («разрешить» или «запретить» перехват), достаточно, чтобы возникло совпадения по какому-то из атрибутов;
· в зависимости от системы бывает так, что одновременно можно использовать или только разрешающие, или только запрещающие фильтры;
· при запрещающих фильтров в базу данных будут отправляться все перехваченные пакеты за исключением совпадений по фильтрам;
· при задействовании разрешающих фильтров в базу данных будут отправлены все перехваченные пакеты, которые совпали с выставленными фильтрами.
При настройке фильтров по IP-адресам могут использоваться как отдельные IP-адреса, так и диапазоны IP-адресов, а также сетевые маски.
Также в DLP-системах предусмотрена настройка исключений. Она используется для того, чтобы работа агентов не мешала выполнению системных процессов, а также не влияла на программы, которые помечены администратором безопасности как доверенные. В таком случае стандартные системные процессы должны быть выведены из обработки агентами. Исключения такого типа процессов не могут изменяться, они добавляются при помощи импортирования.
Помимо этого, возможны случаи, когда при наличии запущенных агентов пользовательские программные приложения (например, модули других DLP-систем, антивирусы, банковские клиенты) перестают функционировать. Так же себя могут вести и разнообразные системы электронного документооборота при воздействии на них агента.
При выявлении неправильной работы приложений в системе, в которой установлен агентский модуль, пользовательские приложения заносятся в список исключений. Для этого используется предустановленная функция исключения процессов.
Кроме того, процессы агентского модуля могут быть добавлены в список исключений конфликтующих приложений. Особенно это касается при использовании DLP-систем совместно с антивирусным программным обеспечением.
Помимо приложений в список исключений следует заносить хосты, имеющие встроенную защиту от мониторинга передаваемой информации. Кроме них следует учитывать и возможные шифрованные соединения.
Например, некоторые системы предотвращения утечек (такие фирмы, как Symantec и Searchinform) умеют работать с трафиком, передаваемым по протоколу SSL. SSL - криптографический протокол, использующий асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для обеспечения конфиденциальности, а также коды аутентификации сообщений для целостности сообщений. Система производит перехват такого трафика путем незаметной замены оригинального сертификата на свой. Если из-за отклика на данное действие связь прервалась или система получила сообщение об ошибке, то сервер должен вернуть соединению оригинальный сертификат, а программу - добавить в список исключений агента.
Рассмотрим теперь модули или, называя их проще, составные части агентских DLP-систем, а также принцип их работы. Откровенно говоря, те же самые модули могут относиться и к сетевым системам. Большинство передовых современных систем предотвращения утечек информации являются комплексными, поэтому довольно сложно разделить их на отдельные невзаимосвязные части. Тем не менее, основной комплект, набор модулей (способов) перехвата информации примерно везде одинаков, за исключением некоторых - где-то больше, где-то меньше. Но все же далее постараемся перечислить все из них.
В разных системах такие агентские модули называются по-разному - у Infowatch это Monitor'ы, у Searchinform это Sniffer'ы, у Symantec вообще нет общего названия. Не в этом суть.
Им всем можно дать одно общее название, близкое по значению - снифферы (от английского to sniff - нюхать). Сниффер - устройство или программа для перехвата и анализа сетевого трафика. Принцип работы таких модулей, как и у снифферов, заключается в «прослушивании» сетевого интерфейса по какому-либо одному или нескольким протоколам передачи данных. Есть еще вариант, когда модуль подключается в разрыв канала, и вариант, когда трафик ответвляется (полностью копируется). Схема работы агентской системы в целом была рассмотрена ранее. А схема же работы отдельно взятого агента примерно может быть представлена так, как показано на рис. 4.2.
Рис. 4.2 - принцип действия перехвата трафика
Агент, установленный на рабочей станции, незаметно для пользователя перехватывает данные. Весь перехваченный трафик проходит через декодер пакетов, который распознает и разделяет пакеты по соответствующим уровням иерархии. Дальше идет дальнейшая обработка и принятие решений администратором безопасности.
Теперь рассмотрим основные модули, которые присутствуют в тех или иных системах:
Модуль контроля носителей и процессов. Это программное средство, производящее аудит всевозможных устройств и процессов, выполняемых на рабочих станциях сотрудников.
Возможные варианты того, что может отслеживаться и контролироваться:
· доступ к различным портам и приемникам (USB, COM, LPT, FireWire, и др.);
· беспроводная передача данных по технологиям Wi-Fi, Bluetooth, IrDA;
· подключение внешних носителей к рабочей станции (смартфоны, камеры, SSD, флэш-накопители, CD/DVD/BlueRay/флоппи диски, смарт-карты и т. д.);
· подключение аудио/видео устройств, игровых контроллеров и других устройств ввода;
· копирование текста в буфер обмена;
· запуск каких-либо процессов и файлов.
Помимо этого выполняется перехват файлов, копируемых на носители, если предусмотрена функция «теневого копирования». Дополнительно возможно наличие функции шифрования всех данных, передаваемых на внешние носители. Естественно, что такая программа в первую очередь убережет компанию от утечки больших объемов информации, которую инсайдер пытается скопировать на внешний носитель, потому что передать через интернет не удалось.
Файловый модуль контроля. Выполняет контроль работы с файлами, хранящимися на серверах и общих сетевых ресурсах, которые содержат немаленькие объемы конфиденциальной информации, запрещенной для распространения вне пределов компании. Перемещая документы с таких ресурсов, сотрудники могут использовать корпоративные секреты неумышленно или, например, для личной выгоды. Слежение за операциями с конфиденциальными файлами на общедоступных сетевых ресурсах предотвращает такой вариант. В этом и предыдущем модуле, обычно предусмотрен вариант управления доступом к отдельным файлам и к типам файлов (по расширению).
Модуль контроля электронной почты. Электронная почта - еще один из самых опасных каналов утечки, так как по ней можно отправлять данные достаточно больших объемов. Чем больше модуль поддерживает почтовых протоколов, тем выше вероятность избежать утечки. Модуль позволяет отслеживать трафик как на уровне сетевых протоколов, так и рабочих станций.
Модуль контроля IM. IM (Instant Messenger) - класс программ для мгновенного обмена сообщениями. Сюда относятся ICQ, MSN, Mail.ru Агент, JABBER, Yahoo! Messenger, AOL IM, mIRC и другие. Мессенджеры довольно распространены не только в общественной жизни, но и в корпоративной среде, поэтому часто используются офисными работниками.
У компании Searchinform есть небольшое преимущество перед другими компаниями - модули агентской части ПО, MailSniffer и IMSniffer, имеют дополнительную устойчивостью ко всяческим сбоям (перехват все равно будет выполняться, даже если сервера вдруг станут недоступны), а также могут перехватывать данные, которые отправляются по защищенным протоколам.
Модуль контроля облачных сервисов. Облачные хранилища (Dropbox, Yandex Disk, Google Drive и прочие) выполняют функцию хранения информации прямо в интернете, на выделенных сервисом под это дело серверах. Поэтому еще одна опасность - копирование информации в них и автоматическая синхронизация хранилищ с устройствами, которыми пользуется работник.
Модуль контроля AD. Active Directory - служба каталогов корпорации Microsoft для ОС семейства Windows Server. Эта служба позволяет администраторам использовать групповые политики для сохранения единообразия настроек пользовательской рабочей среды, установки ПО, обновлений и прочего. Соответственно контроль и анализ событий журналов Active Directory дает возможность заметить подозрительные операции, которые может выполнить системный администратор компании. Такой модуль, к тому же, разрешает отслеживать и сохранять в базу данных события, которые угрожают безопасности системы.
Модуль контроля вывода на печать, как можно догадаться, следит за содержимым документов, отправляемых на принтеры. Все данные перехватываются, а содержимое документов индексируется и помещается в базу для последующего анализа. Отслеживая данные, отправляемые на печать, можно не только предотвращать случайные/умышленные утечки информации, но и частично оценивать целесообразность использования принтера сотрудниками, чтобы в дальнейшем избежать лишних расходов на бумагу и тонер.
Модуль контроля HTTP/HTTPS. В первую очередь это отслеживание действий сотрудников на сторонних сайтах. Как дополнительная функция данного модуля - контроль распределения рабочего времени. Таким образом, можно следить не только за тем, какую информацию получает/передает сотрудник, но и за тем, чем занят сотрудник в рабочее время.
Модуль контроля FTP. Протокол FTP (File Transfer Protocol) - стандартный протокол, используемый для передачи файлов по TCP-сетям (например, Интернет). Данный протокол - одно из средств передачи огромных объемов информации, и может использоваться плохими сотрудниками компании для отправки целых баз данных, архивов сканов конфиденциальных документов, чертежей и прочего.
Модуль контроля мониторов (изображения). Данная программа позволяет перехватывать информацию, отображаемую на экранах сотрудников, если точнее - в режиме реального времени или через заданный интервал времени делать скриншоты и записывать видео с экранов рабочих станций сотрудников, а также копировать полученную информацию в базу данных. Некоторые DLP-системы предлагают помимо этого отслеживать состояние экранов пользователей терминальных серверов, работающих по RDP-соединению (Remote Desktop Protocol - протокол удаленного рабочего стола).
Модули контроля Skype и других сервисов VoIP. Позволяют перехватывать информацию, передаваемую в виде голосовых и текстовых сообщений, а также в виде передаваемых файлов.
Звуковой модуль контроля или, проще говоря, своеобразный диктофон, отслеживающий и записывающий любые звуков, поступающие на микрофон. Позволяет записывать любые разговоры вокруг или даже прослушивать их в реальном времени как внутри организации, так и за пределами (например, во время командировок). Запись голоса идет при помощи любого микрофона, который будет обнаружен системой (встроенная в ноутбук, на веб-камере, в гарнитуре и т. д.).
Модуль отчетности - модуль, который помогает сотруднику службы безопасности сформировать отчеты по каждому сотруднику по таким критериям, как: время работы за компьютером; статистика использования приложений, время прихода и ухода человека на работу и с работы.
Как можно заметить, в списке присутствуют и протоколы. Это не полный список протоколов, которые могут быть подконтрольны агентским модулям. Также стоит заметить, что сетевые протоколы могут обрабатываться не только агентами, установленными на рабочих станциях. Сетевой метод перехвата информации, описанный в предыдущем разделе, также работает с протоколами. В комплексных системах предотвращения утечек обязанности распределяются между всеми частями (агентской, сетевой, интегрированными решениями), но в то же время все компоненты действуют взаимосвязано.
Таким образом, администратор информационной безопасности компании может контролировать любые действия сотрудников, запрещая, разрешая или выборочно ограничивая им доступ к средствам и процессам, выполняемым на рабочих станциях.
5. Особенности реализации перехвата путем интеграции со сторонними сервисами
ПО, интегрируемое в корпоративные приложения чаще всего применяется для сбора информации напрямую с каких-либо устройств или приложений, а также для обработки полученных данных и записи их в базу данных. По сравнению с другими способами такой подход является более узкоспециализированным и более действенным при перехвате данных с отдельно взятого устройства или софта, поскольку сочетает в себе особый набор программных/аппаратных средств. К тому же происходит распределение и небольшая, а иногда и существенная разгрузка вычислительных мощностей. Это достаточно полезный способ, когда не требуется все и сразу.
Кроме того, часто складывается так, что управлять правами доступа для различных категорий пользователей к корпоративным данным вручную становится все затруднительнее. Тем не менее, в больших компаниях с большим количеством персонала и используемых источников информации такой способ должен использоваться вкупе с другими.
Интеграция DLP-системы может выполняться практически в любой компонент сети. Некоторые решения позволяют производить интеграцию в устройства. На современном рынке у большинства компаний, занимающихся информационной безопасностью и разработкой DLP-систем в частности, наибольшей популярностью пользуется встраивание компонентов системы в почтовые сервера и почтовые приложения.
Но это не единственный способ взаимодействия.
Многообразие методов интеграции систем предотвращения утечек охватывает приличное количество других систем и устройств. Некоторые наиболее популярные способы по взаимодействию представлены на рис. 5.1.
Рис 5.1 - Способы взаимодействия DLP-систем со сторонними продуктами
Так, например, Zecurion совместно с Positive Technologies предлагают двухстороннюю интеграцию системы с межсетевым экраном. [10] Помимо своих функций такая совокупность технологий, позволяет не только контролировать доступ и предотвращать утечку информации, но и блокировать спам, нежелательные атаки извне, а также уменьшить объем «пустого» трафика, поступающего в DLP-систему, тем самым уменьшая затраты ресурсов, связанные с обработкой данных. Межсетевой экран оказывает системе предотвращения утечек помощь в автоматизации работы, анализируя контент на сайтах, в веб-приложениях и в исходящих документах.
Для выполнения такой работы рассматриваемая система делает анализ полученной информации по заданным фильтрам и с большой точностью выявляет несоответствия политике безопасности, используя около десяти специализированных методов детектирования. После анализа DLP-система создает для межсетевого экрана сообщение с информацией о пользователе, конфиденциальных данных и сработавшем правиле. В случае, если выявлено сообщение, не соответствующее политике безопасности, фаервол блокирует передачу информации и скрывает лишнее от глаз внешних пользователей, не имеющих нужного уровня доступа, тем самым пресекается утечка конфиденциальных данных.
Другой продукт рынка DLP-систем, КИБ компании SearchInform, предлагает интеграцию с почтовыми серверами. Сервер NetworkSniffer включает в себя данную службу, это дает возможность собирать письма прямо с почтового сервера и анализировать полученные данные налету. Сбор почтовых сообщений идет по протоколу POP3. Анализ и перехват информации происходит как входящих, так и исходящих сообщений. Поиск по почте, анализ и фильтрация происходят с помощью индексов поисковой системы, которые задаются и редактируются инженером информационной безопасности. Как упоминалось ранее, поисковые индексы нужны для анализа перехваченных данных и поиска по ним.
Фильтрация сообщений происходит по следующему алгоритму:
1. почтовые сообщения, принятые с сервера, не имеют формальных признаков, дающих возможность идентифицировать определенных доменных юзеров. Для идентификации доменных юзеров применяется привязка доменных имен к почтовым адресам. Если выявлено совпадение, сообщение сверяется по дополнительным фильтрам (пункт 3). Если совпадений нет, происходит выполнение пункта 2;
2. полученное почтовое сообщение прогоняется по настроенным маскам. Если выявлено совпадение, сообщение заносится в базу. Если совпадений не выявлено, сообщение не перехватывается;
3. сообщения, которые предварительно отсортированные по настроенным маскам и по привязкам почтовых адресов, подряд сверяются по дополнительным фильтрам. Если возникает срабатывание по первому выполненному условию, проверка останавливается, а сообщение либо записывается в базу, либо отфильтровывается (блокируется). Если совпадений не выявлено, происходит проверка действия по умолчанию.
Обобщенную схему работы для всех dlp-систем, которые используют интеграцию с почтовыми сервисами, в целом можно представить так, как показано на рис. 5.2.
Рис. 5.2 - Интеграция DLP-системы с почтовым сервером
Корпорация Symantec из США штата Калифорния, разработавшая одноименную DLP-систему, пошла еще дальше. [12] Их система поддерживает интеграцию своих модулей сразу с несколькими различными решениями:
· Почтовые сервера Lotus, Domino, Microsoft Exchange;
· Сетевые каталоги LDAP (включая Microsoft Active Directory);
· Прокси-сервера Cisco IronPort S-Series, Microsoft TMG, McAfee Web Gateway, Squid, Symantec Web Gateway, Bluecoat ProxySG, Websense Web Security, кроме них предусмотрена интеграция с любым прокси-сервером, поддерживающим протокол ICAP;
· SIEM-системы (при помощи syslog-сообщений, писем или reporting API).
LDAP (Lightweight Directory Access Protocol) - протокол прикладного уровня для доступа к службе каталогов X.500 (серия стандартов). LDAP -дает возможность производить операции аутентификации, поиска и сравнения, а также операции добавления, изменения или удаления записей.
SIEM (Security information and event management) - объединение двух систем: SEM (Security event management) - управление событиями безопасности и SIM (Security information management) - управление информационной безопасностью. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. Представлена в виде устройств, приложений или услуг, применяется также для журналирования данных и генерации отчетов.
Кроме представленных способностей, в данной системе предусмотрен набор API (application programming interface) для внедрения и работы с другими приложениями любых разработчиков и производителей:
· Reporting API - интеграция с SIEM-системами или решениями по оценке рисков;
· Content Extraction API - интеграция со решениями анализа перехваченных данных, например, с ABBYY Recognition Server для распознавания изображений;
· Custom Lookup API -интеграция со службами каталогов и другими службами, приложениями или СУБД для получения различных сведений о нарушителе или инциденте;
· Flex Response API - интеграция на уровне агентов и на уровне серверных компонентов, чтобы применять сторонний софт для реагирования на возникшие инциденты. Например, автоматическое шифрование при записи конфиденциальных данных на съемный накопитель с помощью TrueCrypt, блокировка рабочих станций с помощью модулей Endpoint Protection, и т. д.
Ближайший «собрат» предыдущей системы предотвращения утечек - GTB Enterprise-Class DLP Suite - комплексная система, разработанная другой калифорнийской компанией GTB Technologies. [14] Эта компания не так давно, в 2012 году, пришла на российский рынок, и уже имеет несколько успешных применений, показав положительные результаты работы у заказчиков. Эта система, как и предыдущая, поддерживает интеграцию с обширным списком сторонних технологий и решений:
· LDAP;
· SIEM;
· Прокси-сервера по протоколу ICAP;
· Microsoft Active Directory;
· Системы облачного хранения данных Google Drive, DropBox, Skydrive, Evernote, Salesforce;
Кроме описанных технологий в GTB Enterprise-Class DLP Suite предусмотрена поддержка шлюзов шифрования электронной почты таких, как Postini Perimeter, Secure Computing, Zix, Frontbridge, PostX, Symantec, Tumbleweed, Exchange, Secureworks, Voltage.
SecureTower - DLP-система, разработанная отечественной компанией Falcongaze. Кроме своих основных функций она также предлагает интеграцию с корпоративными почтовыми серверами (Microsoft Exchange Server, Postfix, Kerio Connect, Lotus Domino, Sendmail и другими). Таким образом, в SecureTower контролируются все каналы передачи данных. [11]
Еще одна российская система - Дозор-Джет. При желании данный программный комплекс может быть интегрирован с продуктом компании Lumension - Device Lock. Интеграция происходит в рамках системы инспектирования файловых ресурсов. В результате таких манипуляций система приобретает возможность выполнять поиск конфиденциальных данных по архивам теневых копий. Это достаточно актуально в тех компаниях, в которых уже развернуто и работает решение Device Lock. Но это не значит, что все остальные не могут установить такое решение себе, имея данную DLP-систему в компании.
Помимо этого, "Дозор-Джет" можно также интегрировать с некоторыми другими системами, имеющимися в компании, чтобы учесть в своих политиках данные из них. Например, можно объединить решение с CRM-системой (система управления взаимоотношениями с клиентами), с ERP (enterprise resource planning или планирование ресурсов предприятия), со СКУД, и т. д., используя предусмотренный в DLP программный интерфейс (API).
Как можно заметить, данный метод перехвата достаточно популярен у разработчиков систем предотвращения утечек информации. Встраиваемые модули, можно сказать, помогают закрывать практически все пробелы в информационной безопасности компании по части защиты конфиденциальности данных от утечек наружу. А дополнительный набор API, предусмотренный в некоторых системах, расширяет возможности отслеживания и перехвата информации, охватывая буквально все каналы передачи данных. [8] API - набор готовых функций, классов, процедур, констант и структур, которые предлагаются приложением (сервисом, библиотекой) или операционной системой для применения во внешних программных продуктах. Останется только найти толкового знающего программиста, который сможет быстро настроить взаимодействие системы с другими решениями.
В общем, по рассматриваемым системам возможности по интеграции продуктов представлены в табл. 5.1. В ней перечислены все возможные способы взаимодействия DLP-систем и стороннего программного обеспечения.
Таблица 5.1 Возможности интеграции различных DLP-систем
Дозор-Джет |
Falcongaze |
GTB |
Info Watch |
МФИ Софт |
Search Inform |
Syman tec |
Zecurion |
||
Перехват с любого почтового сервера на шлюзе |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Интегра- ция почто- выми серверами |
Microsoft Exchange, IBM Lotus Domino |
Microsoft Exchange, IBM Lotus Domino |
Microsoft Exchange, IBM Lotus Domino |
Microsoft Exchange, IBM Lotus Domino |
Microsoft Exchange |
Microsoft Exchange |
Да; перехват нешифрованных протоколов возможен без интеграции |
Microsoft Exchange, IBM Lotus Domino |
|
Интеграция с proxy-серверами |
Blue Coat ProxySG, Microsoft Forefront TMG\ISA, Squid, Cisco IronPort, Webwasher, Alladdin eSafe |
Blue Coat, SQUID, Microsoft Forefront |
Microsoft Forefront TMG\ISA, Squid, Bluecoat ProxySG, Cisco. |
Microsoft Forefront TMG, Squid, Bluecoat ProxySG, Cisco IronPort, Alladdin eSafe |
Microsoft Forefront TMG\ISA, Squid, Bluecoat ProxySG, Cisco |
Microsoft Forefront TMG\ISA, Squid, Bluecoat ProxySG, Cisco |
Microsoft TMG, Squid, Bluecoat ProxySG, Cisco IronPort S-Series, NetCache, McAfee Web Gateway, Symantec Web Gateway |
Microsoft ISA Server 2006, Microsoft Forefront Threat Management Gateway, Microsoft Exchange 2007/2010 (x64). С любым прокси сервером через WinPcap или Zcap. |
|
Интеграция с любым proxy-сервером по протоколу ICAP |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Сетевые каталоги LDAP |
Active Directory и другие каталоги |
Active Directory |
Active Directory, Novell eDirectory |
Active Directory, Novell eDirectory |
Active Directory |
Active Directory, Novell eDirectory |
Active Directory и другие каталоги |
Active Directory |
|
Управление информационными ресурсами предприятия (SIEM-системы) |
ArcSight Logger, Qlik View |
Нет |
ArcSight Logger, любая система, работающая с SYSLOG |
ArcSight Logger, IBM TSOM |
Да |
Нет |
ArcSight Logger |
Нет |
|
Интеграция со сторонними решениями для защиты конечных точек |
Lumension Device Control, Device-Lock |
Device-Lock |
Нет |
Device-Lock, Lumension Device Control |
Нет |
Нет |
С любыми решениями при помощи скриптов Python |
Нет |
|
Интеграция с системами документооборота |
Microsoft Sharepoint, Alfresco |
Нет |
Seclore IRM |
Oracle IRM, Microsoft Sharepoint |
Нет |
Нет |
Microsoft RMS и Sharepoint, Documentum, Oracle IRM, Liquid Machines Document Control |
Microsoft RMS, Oracle IRM |
|
Интегра-ция с Microsoft Lync |
Да |
Нет |
Нет |
Да |
Да |
Да |
Нет |
Да |
|
Интеграция с другими решениями |
Mobile Iron MDM, Bitrix Portal |
Нет |
PGP и другие системы шифрования файлов, IAM системы |
Нет |
Нет |
Нет |
С любыми решениями при помощи API Endpoint Flexresponse |
Интеграция с Crystal Reports, КриптоПро CSP |
|
Установка и управление через групповые политики |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Возможность развертывания в виртуальных средах |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Контроль удалённых офисов (когда в удалённых офисах стоят только агенты) |
Да |
Да |
Да, если у агентов есть доступ к консоли управления |
Да |
Да, контроль рабочих мест и полный анализ трафика |
Да |
Да |
Да |
|
Масштабируемость решения (подключения сразу нескольких БД) |
Да, возможно децентрализованное хранение, обработка, поиск |
Да, децентрализованные сервера детектирования и хранения данных |
Да |
Да, возможность использовать с учетом распределённой структуры (филиальной) |
Да |
Да |
Децентрализованные сервера детектирования(установка любого кол-ва в любой филиал), централизованное хранилище инцидентов (Oracle) |
Да |
|
Работа в нескольких доменах |
Да |
Да |
Да, только в случае доверительных отношений доменов, + работа агента на внедоменных компьютерах |
Да |
Да |
Да, возможность установки в доменах как связанных, так и не связанных доверием |
Да, может работать и без домена |
Да, только в случае доверительных отношений доменов |
|
Поддержка IPv6 |
Да |
Нет |
Нет |
Да |
Да |
Нет |
Да |
Да |
В таблице присутствует «поддержка IPv6» - поддержка версии протокола IP с длиной адреса 128 бит вместо 32-х. Эта функция тоже важна, так как свободные IPv4 адреса быстро заканчиваются, и по данным 2013 года уже более 14000 сетей используют данную версию протокола. На сегодняшний день доля таких адресов в интернете составляет около 15-20%, поэтому система предотвращения утечек должна уметь обрабатывать и подобный трафик.
В целом, все рассматриваемые системы идут примерно нога в ногу и поддерживают большую часть возможностей по интеграции: почтовые сервера, proxy-сервера, сетевые каталоги, SIEM-системы, развертывание в виртуальных средах. Это позволяет компаниям, выполняющим разработку систем предотвращения утечек, поддерживать конкурентоспособность, а компаниям, пользующимся их продуктами, иметь выбор. Различия идут только при интеграции с системами документооборота, а также с какими-либо конкретными решениями, с производителями которых сотрудничают разработчики DLP-систем, например, как в случае с DeviceLock.
Заключение
Статистические исследования, проведенные аналитическими центрами компаний Infowatch и Zecurion, которые занимаются разработкой DLP-систем, показали, что около 25% всех утечек конфиденциальной информации происходит с помощью веб-сервисов. Еще 16% утечек приходится на ноутбуки и планшеты, 10% занимает электронная почта, 8% - ПК. Остальное примерно в равной степени по 6-8% делится между съемными носителями, мобильными накопителями, принтером и прочими средствами. Причем наибольшая часть всех утечек, более 60-и процентов, являются умышленными.
С учетом статистических данных, становится понятно, что востребованность и актуальность систем DLP достаточно высока на сегодняшний день и не снижается с течением времени.
Поэтому интегрировать контроль над использованием перечисленных выше каналов данных, бесспорно, необходимо для обнаружения и предотвращения несанкционированных или случайных передач конфиденциальной информации, а также для выявления нелояльных сотрудников. Системы предотвращения утечек информации в этом прекрасно помогают и дополняют другие средства информационной безопасности, используемые в компаниях.
В данной дипломной работе нами был рассмотрен состав и механизм работы DLP-систем, технологии распознавания данных. Кроме того, на основе современных систем подробно были разобраны методы, которые в них используются для выявления и предотвращения утечек - с помощью агентских приложений, с помощью контроля сетевых узлов и при помощи интеграции в сторонние решения. Рассмотрены особенности их реализации и общая структура.
Понятно, что каждый из методов имеет как свои преимущества, так и недостатки. В агентских модулях уклон сделан на перехват информации, работа с которой производится на рабочей станции сотрудника, хотя они могут работать со всей информацией, которая исходит вовне. Сетевые модули устанавливаются на какие-либо точки сети и взаимодействуют, что логично, только с сетевым трафиком. Компоненты DLP-систем, интегрируемые в стороннее программное обеспечение, являются еще более узконаправленными, и перехватывают только те данные, которые используются или связаны с тем ПО.
Многие современные DLP-системы являются комплексными и сочетают в себе все три метода перехвата и широкий спектр функций. Так или иначе, в первую очередь при выборе системы для компании стоит руководствоваться целями, в которых она будет использоваться.
Что еще более важно - DLP-системы - не панацея. Только всесторонний подход к обеспечению информационной безопасности до минимума снизит риски, связанные с утечкой данных, несанкционированным доступом к информации и другими нежелательными воздействиями.
Список использованных источников
1. Морозова, Н.С. Проблемы современных систем предотвращения утечек данных с конечных точек сети / Н.С. Морозова // Безопасность информационных технологий. - 2011. - № 4. - С. 138-143.
2. Завгородний, В.И. Комплексная защита информации в компьютерных системах [Текст]: учебное пособие. / В. И. Завгородний. - М.: Логос, 2011. - 264 с.
3. Варлатая, С.К. Программно-аппаратная защита информации [Текст]: учеб. пособие / С.К. Варлатая, М.В. Шаханова. - Владивосток, 2013. - 317 с.
4. Хайров, И. В. Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации [Текст] / И. В. Хайров // Хакер. - 2011. - №5. - С. 20-22.
5. Кораблев, С. Сравнение DLP-систем [Текст] / С. Кораблев // Windows IT Pro/RE. -2014 - №1. - С. 55-58
6. Бирюков, А. Поговорим о DLP. Как уберечься от инсайда [Текст] / А. Кораблев // БИТ. - 2012 - №2. - С. 15-16
7. Скиба, В. Руководство по защите от внутренних угроз информационной безопасности / В.Ю. Скиба, В.А. Курбатов. - СПб: Питер, 2012. - 320 с.
Размещено на Allbest.ru
...Подобные документы
Знакомство с возможностями перехвата пароля при аутентификации в почтовых системах. Характеристика почтовой программы "The Bat!", анализ способов настройки и проверки работоспособности. Рассмотрение распространенных методов защиты от перехвата пароля.
контрольная работа [1,1 M], добавлен 19.05.2014Обзор области генерации сетевого трафика. Описание выбранных методов, моделей, алгоритмов решения задач. Создание модели поведения пользователя, распределение количества посещённых страниц сайта. Выбор средств реализации программного продукта (проекта).
курсовая работа [1,3 M], добавлен 30.06.2017Анализ основных атак на протокол TLS и определение методов противодействия этим атакам. Разработка метода перехвата и расшифровки трафика, передаваемого по протоколу HTTPS. Расшифровка передаваемых данных в режиме, приближенному к реальному времени.
статья [1013,4 K], добавлен 21.09.2017Принципы работы клавиатурного шпиона. Способ взлома брутфорсом. Захват информации программ-снифферов. Противодействие раскрытию и угадыванию пароля, пассивному перехвату, несанкционированному воспроизведению. Защита при компрометации проверяющего.
курсовая работа [454,7 K], добавлен 28.03.2016Способ моделирования сетевого трафика случайным точечным процессом. Ступени разработки моделей процессов в сети. Определение статистик числа отсчетов на интервалах. Принятое в теории фрактальных процессов обозначение интенсивности точечного процесса.
контрольная работа [5,6 M], добавлен 14.12.2015Современные подходы к организации транспортных сетей, принцип передачи потока данных, технология и механизм работы VPLS. Сравнительный анализ туннелей MPLS и обычных туннелей VPN. Анализ распределения трафика на основе методов трафика инжиниринга.
курсовая работа [1,0 M], добавлен 12.11.2011Исследование основ метода движения трафика в сети. Ознакомление с IP адресацией и IP пакетами, протоколами. Определение понятия и функций сокета. Создание программного приложения мониторинга трафика (поступления и отправки пакетов между абонентами).
курсовая работа [474,7 K], добавлен 20.04.2015Определение и анализ сущности брутфорса – одного из популярных методов взлома паролей на серверах и в различных программах. Характеристика клавиатурного шпиона на базе драйвера. Рассмотрение основных программ для поиска и удаления клавиатурных шпионов.
курсовая работа [100,9 K], добавлен 03.08.2017Предназначение контроля и учета трафика. Нецелевое использование средств. Общая архитектура серверов контроля корпоративного Интернет доступа. Среда программирования "Delphi 7". Рабочий компьютер администратора сети. Оборудование серверного помещения.
дипломная работа [1,8 M], добавлен 03.07.2015Анализ модели политики безопасности. Программы сетевого общения (Instant Messengers и чаты). Удаление информации без возможности восстановления. Устройства хранения, файловые системы, уязвимости. Пример защиты ПК методом фильтрации сетевого трафика.
курсовая работа [97,2 K], добавлен 17.12.2015Структура систем Transcend Manager, их основные элементы и характеристика, назначение. Методы цветового кодирования. Выбор узла для перехвата пакетов и выделение под перехват пакетов буфер. Установка фильтров и декодирование пакетов, определение ошибки.
лабораторная работа [2,5 M], добавлен 23.08.2009Применение методов векторной оптимизации для повышения эффективности функционирования транспортных систем. Оптимизация выбора маршрутов и объемов предоставления поставщиками услуг спутниковой связи его потребителям. Распределение объемов трафика.
курсовая работа [682,3 K], добавлен 07.10.2021Понятие и назначение системной интеграции, подходы к ее реализации в разнородных сетях. Разновидности сетевого оборудования, способы и факторы его успешной работы. Базовые принципы технологии асинхронного режима передачи, ее архитектура и уровень.
курсовая работа [52,4 K], добавлен 13.04.2010Альтернативное определение и субъективная оценка QoS. Качество обслуживания в IP-сетях. Дифференцированное обслуживание разнотипного трафика – DiffServ. Интегро-дифференцированное обслуживание трафика IntServ. Протокол резервирования ресурсов – RSVP.
контрольная работа [346,6 K], добавлен 25.05.2015Описание основных технических средств защиты ЛВС. Определение понятия "маршрутизатор" как пограничного сетевого устройства, выполняющего функции шлюза между локальной сетью и Интернетом. Использование брандмауэра для анализа трафика между двумя сетями.
курсовая работа [32,6 K], добавлен 19.12.2011Принципы функционирования IP-сетей. Методы обеспечения качества IP-телефонии. Показатели качества обслуживания, учитываемые при передаче мультимедийного трафика и механизмы их формирования. Протоколы сигнализации для QoS. Алгоритмы управления очередями.
презентация [979,4 K], добавлен 14.05.2015Обеспечение информационной безопасности сетей предприятия. Анализ сетевого трафика. Контроль за виртуальными соединениями. Организация защищенных каналов связи. Исследование опасных и вредоносных факторов при работе с ЭВМ и их влияние на пользователей.
курсовая работа [1,1 M], добавлен 29.08.2014Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.
курсовая работа [37,5 K], добавлен 07.12.2012Защита беспроводных соединений с использованием протоколов WPA, WEP. Контроль за аутентификацией пользователей и кодированием сетевого трафика. Глушение клиентской станции. Угрозы криптозащиты. Анонимность атак. Протоколы безопасности беспроводных сетей.
контрольная работа [38,3 K], добавлен 23.01.2014Современная локальная компьютерная сеть. Сжатие полосы пропускания сегмента компьютерной сети. Адресация в сети. Совместное использование файлов, принтеров, модемов. Сегментирование трафика для снижения нагрузки. Поддержка средств защиты доступа.
реферат [153,5 K], добавлен 10.12.2012