Dlp системы это: DLP-системы | DLP-системы – что это такое и как это работает
Содержание
Принцип работы DLP-системы | DLP-системы – что это такое?
DLP-систему используют, когда необходимо обеспечить защиту конфиденциальных данных от внутренних угроз. И если специалисты по информационной безопасности в достаточной мере освоили и применяют инструменты защиты от внешних нарушителей, то с внутренними дело обстоит не так гладко.
Использование в структуре информационной безопасности DLP-системы предполагает, что ИБ-специалист понимает:
- как сотрудники компании могут организовать утечку конфиденциальных данных;
- какую информацию следует защищать от угрозы нарушения конфиденциальности.
Всесторонние знания помогут специалисту лучше понять принципы работы технологии DLP и настроить защиту от утечек корректным образом.
DLP-система должна уметь отличать конфиденциальную информацию от неконфиденциальной. Если анализировать все данные внутри информационной системы организации, возникает проблема избыточной нагрузки на IT-ресурсы и персонал. DLP работает в основном «в связке» с ответственным специалистом, который не только «учит» систему корректно работать, вносит новые и удаляет неактуальные правила, но и проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.
Для настройки «СёрчИнформ КИБ» используются политики безопасности – правила реагирования на ИБ-ицинденты. В системе есть 250 предустановленных политик, которые можно корректировать с учетом задач компании.
Функциональность DLP-системы строится вокруг «ядра» – программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа.
Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.
Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра».
Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа. Технология лингвистической аналитики включает:
- морфологический анализ – поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
- семантический анализ – поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.
Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.
Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами «обучения», однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов.
К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.
Статистические методы анализа, напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.
На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint – «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности.
Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие – зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы.
С формированием хешей связан и другой недостаток. В развитых IT-системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.
Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента.
Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.
В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга.
Определить, какие технологии присутствуют в ядре, можно по описанию возможностей конкретного DLP-комплекса.
Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP-система. Их два:
| |
|
Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.
Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах (почтовые протоколы, FTP, HTTP-трафик), но и о более новых системах сетевого обмена (Instant Messengers, облачные хранилища). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.
Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что копируется на съемный носитель, какие документы отправляются на печать, что набирается на клавиатуре, записывать аудиоматериалы, делать снимки экрана. На уровне конечной рабочей станции перехватывается шифрованный трафик (например, Skype), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.
Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.
Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Настройка DLP-системы — SearchInform
С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.
Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:
- определение критической информации, которая подлежит защите;
- разработку политики конфиденциальности;
- настройку бизнес-процессов для решения вопросов информационной безопасности.
Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.
Классификация систем защиты
Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).
Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов.
У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.
При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.
Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».
С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.
Подходы к внедрению и настройке
Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.
Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.
Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.
ЭТАПЫ ВНЕДРЕНИЯ DLP
| |
по классической схеме:
|
по аналитической схеме:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проблемы в процессе эксплуатации DLP
Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.
Распространенные ошибки при наладке DLP
- Реализация шаблонных правил
Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.
- Охват не всех возможных каналов утечки конфиденциальных данных
Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.
- Ложные инциденты, которые ИБ-администратор не успевает обработать вручную
Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.
- Неспособность предупредить утечку данных
Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.
- Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы
Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот – подгонять работу компании под возможности DLP.
Как решить проблемы?
Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.
Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» – есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:
→ Кто будет использовать DLP-систему?
→ Кто будет администрировать данные?
→ Какие перспективы применения программы в течение трех лет?
→ Какие цели преследует руководство, внедряя DLP-систему?
→ С чем связаны нетипичные требования к предотвращению утечек данных в компании?
Важная часть планирования – уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных.
Следующий шаг – определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP – действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.
Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:
- в соответствии с признаками особенной документации, принятой в компании;
- в соответствии с признаками типовой документации, общей для всех организаций отрасли;
- с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).
Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.
DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.
-
Корректировка
Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко – с участием разработчика).
Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
системы | Внедрение DLP-систем для защиты от утечки информации
В своих решениях мы используем DLP-системы:
Выбор конкретной DLP-системы зависит от требуемого уровня обеспечения безопасности данных и всегда выбирается индивидуально. Для помощи в выборе DLP-системы и расчета стоимости ее внедрения в ИТ-инфраструктуру компании оставьте заявку, и мы свяжемся с вами в ближайшее время.
Получить консультацию по DLP-системам
Что такое DLP-система
DLP-система (Data Leak Prevention в переводе с английского — «предотвращение утечки данных») — это технологии и технические устройства, которые предотвращают утечку конфиденциальной информации из информационных систем.
DLP-системы анализируют потоки данных и контролируют их перемещение внутри определенного периметра информационной системы, который является защищенным. Это могут быть ftp-соединения, корпоративная и web-почта, локальные соединения, а также передача мгновенных сообщений и данных на принтер. В случае преобразования конфиденциальной информации в потоке, активируется компонента системы, которая и блокирует передачу потока данных.
Иными словами, DLP-системы стоят на страже конфиденциальных и стратегически важных документов, утечка которых из информационных систем наружу может принести непоправимый урон компании, а также нарушить Федеральные законы № 98-ФЗ «О коммерческой тайне» и № 152-ФЗ «О персональных данных». Защита информации от утечки, также, упоминается в ГОСТ. «Информационная технология. Практические правила управления информационной безопасностью» — ГОСТ Р ИСО/МЭК 17799-2005.
Как правило, утечка конфиденциальной информации может осуществляться как вследствие взлома и проникновения, так и в результате невнимательности, небрежности сотрудников предприятия, а также усилий инсайдеров — намеренная передача конфиденциальной информации сотрудниками предприятия. Поэтому DLP-системы являются наиболее надёжными технологиями защиты от утечки конфиденциальной информации: они обнаруживают защищаемую информацию по содержанию, независимо от языка документа, грифа, каналов передачи и формата.
Также DLP-система контролирует абсолютно все каналы, которые используются повседневно для передачи информации в электронном виде. Потоки информации автоматически обрабатываются на основе установленной политики безопасности. Если же действия конфиденциальной информации вступают в противоречия с установленной компанией политикой безопасности, то передача данных блокируется. При этом доверенное лицо компании, отвечающее за информационную безопасность, получает мгновенное сообщение с предупреждением о попытке передачи конфиденциальной информации.
Внедрение DLP-системы, прежде всего, обеспечивает соответствие с рядом требований стандарта PCI DSS касательно уровня информационной безопасности предприятия. Также DLP-системы осуществляют автоматический аудит защищенной информации, согласно ее месторасположению и обеспечивают автоматизированный контроль, согласно правилам перемещения конфиденциальной информации в компании, обрабатывая и предотвращая инциденты неправомерного разглашения секретных сведений. Система предотвращения утечки данных, на основании отчётов по инцидентам, отслеживает общий уровень рисков, а также в режимах ретроспективного анализа и немедленного реагирования контролирует утечку информации.
DLP-системы устанавливаются как на небольших, так и крупных предприятиях, предотвращая утечку информации, тем самым защищая компанию от финансовых и юридических рисков, которые возникают при потере или передаче важной корпоративной или конфиденциальной информации.
Подобрать DLP-решение
Выбираем DLP-систему для средней организации / Хабр
Добрый день, уважаемое хабрасообщество! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем.
Прошу учесть, что статья не является рекламой какого-либо определенного продукта. В ней отражены взгляды одного единственного сотрудника ИТ-отдела средней компании.
Итак, на недавней планерке была поставлена задача «Внедрить!». Но что конкретно внедрять, оговорено не было, поэтому после изучения вопроса и проведения анализа рынка и был создан этот топик.
Наша организация не особо выделяется из массы прочих средних организаций, внутри имеется порядка 250 рабочих станций и несколько серверов, которые необходимо защищать от утечки очень важных и чрезвычайно секретных данных. К сожалению, статистика неумолима, и 80% утечек информации происходят по вине самих сотрудников организации (инсайдеры). Распространение данных может быть как умышленным, так и совершенно случайным, а все случаи такого распространения должны обнаруживаться и пресекаться (это в идеале). Как этого добиться? Администраторы компании могут полностью закрыть интернет, электронную почту и сменные носители, оставив тем самым пользователей совсем без доступа к внешним ресурсам. Вариант почти идеальной защищенности, за исключением того, что он никого не устраивает, кроме самих администраторов. Можно немного подобреть, и открыть доступ в интернет или к сменным носителям только «избранным» сотрудникам. Вероятность утечек уменьшится, но кто сможет гарантировать, что «избранный» сотрудник полностью лоялен компании? Казалось бы, положение безвыходное, но здесь на помощь приходят DLP-системы.
DLP (Data Loss Prevention)- система это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.
Основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов.
В сравнении принимали участие:
- Securit ZGate;
- InfoWatch Traffic Monitor;
- Symantec Data Loss Prevention;
- Search Inform Контур безопасности;
- FalconGaze SecureTower.
Информация о продуктах бралась с официальных сайтов и от региональных представителей компаний. Вот что получилось в итоге:
A | SecurIT | InfoWatch | Symantec | SearchInform | FalconGaze |
Название системы | ZGate | TrafficMonitor | DataLossPrevention | Контур безопасности | SecureTower |
Модульность системы | Да | Нет | Нет | Да | Нет |
Места установки | На сервер+ZLock на клиентские ПК | Сервер, клиент | Сервер, клиент | Сервер, клиент | Сервер, клиент |
Наличие сертификатов и лицензий | ФСТЭК НДВ 3 и ОУД4 | ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 и ИСПДн 2 |
Лицензирование | Почтовые ящики, рабочие места | Каналы перехвата, технологии анализа | n/a | Сервер, mail, IM, Skype, Print, device, HTTP, FTP | Рабочее место |
Роли | Любое количество | Несколько | Любое количество | Любое количество | Администратор системы, офицер безопасности |
Контроль IM | Да | Да | Да | Да | Да |
Контроль HTTP/HTTPS, FTP | Да | Да | Да | Да | Да |
Контроль Skype | Текст | Текст | Нет | Да | Да |
Контроль E-mail | Да | Да | Да | Да | Да |
Социальные сети и блоги | Да | Да | Да | Да | Да |
Контроль подключаемых внешних устройств | При покупке Zlock | Да | Да | Да | Нет |
Контроль портов | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB, LPT | USB, LPT |
Блокируемые протоколы | HTTP, HTTPS, SMTP, OSCAR | HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S | SMTP, HTTP, HTTPS FTP, Yahoo Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro | SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber | HTTP, HTTPS, FTP, FTTPS, Вся почта и IM |
Анализ по словарю | Да | Да | Да | Да | Да |
Лингвистический анализ | Да | Да+БКФ | Нет | да | Да |
Анализ транслита | Да | Да | Нет | n/a | n/a |
Анализ архивов | Да | Да | Да | Да | Да |
Анализ рисунков | Да | Да | Да | Да | Нет |
Предустановленные шаблоны фильтрации | Да | Да | Да | Да | Да |
Задержка отправки подозрительных сообщений | Да, ОБ принимает решение | Да, ОБ принимает решение | Да, пользователь объясняет причину отправки, инцидент фиксируется | n/a | Нет, только информирование офицера ИБ |
Логирование действий администраторов системы | Да | Да | Да | n/a | В случае утановки агента на РМ администратора |
Режим установки агентов | Открытый | n/a | n/a | n/a | Тайный/Открытый |
Защита агентов от выключения | Да | Да | Да | Да | Да |
Запись отчетов в локальное хранилище в случае недоступности сервера | Да | Да | Да | Да | Да |
Просмотр истории инцедентов | Да | Да | Да | Да | Да |
Режимы оповещений | Консоль, почта, графики | Консоль, почта | Консоль, почта, графики | Консоль, почта, графики | Консоль, почта, графики |
Возможность тестирования продукта на серверах разработчика | нет | нет | Да | нет | на сервере дистрибьютора |
Возможность получения демо-версии для тестирования внутри организации | ± | ± | нет | ± | Да, 1 месяц |
Цена для компании 250 ПК | 2 500 000р. | n/a | n/a | 3 300 000- 5 400 000 р. | 1 500 000р. |
Следует уточнить, что:
Модульность системы- параметр, означающий, может ли продукт все контролировать или необходимо закупать разные модули для контроля определенных каналов утечки информации.
Администратор системы производит установку и настройку системы. Офицер безопасности производит контроль за действиями сотрудников и работы системы в целом.
БКФ-база контентной фильтрации. Позволяет по определенным признакам отнести документ к определенной степени конфиденциальности.
ОБ-офицер безопасности.
РМ-Рабочее место.
Символом n/a обозначены пункты, информацию по которым мне уточнить не удалось, а символами ± те пункты, где получение информации вызвало трудность. К примеру, получение пробных версий довольно сложное мероприятие, требующее указать много данных об организации, а также привлечь специалистов компании-разработчика в свой офис.
Итак, эта таблица упростила выбор DLP-системы для моей организации, и, надеюсь, поможет вам сделать свой выбор в случае аналогичной задачи.
что это такое и каковы их принципы работы?
В сфере IT-технологий быстро набирает популярность сегмент DLP-систем (от англ. Data Leak Prevention — профилактика
утечки данных): рынок таких решений наращивает обороты, а сами они быстро совершенствуются и переходят языковые барьеры. Это
связано с тем, что со стороны политики управления предприятиями все большее внимание уделяется предотвращению утечек информации конфиденциального характера. Потеря внутренних наработок, переход перспективных бизнес-идей к конкурентам, попадание финансовой информации в
третьи руки — вот лишь малая часть причин, почему важна информационная
безопасность организации. Все это может обернуться столь значительными денежными и репутационными потерями, что затраты на внедрение DLP-системы
в сравнении окажутся несущественными. Потребность в защите корпоративных данных связана и с развитием удаленной работы, когда компьютер, позиционируемый
как служебный (как минимум часть времени в течение суток), физически может находиться вне периметра предприятия, что не снимает важности корректного
обращения с доверенной информацией.
Однако информационная безопасность предприятия — это главная, но далеко не единственная задача DLP-систем. Помимо того, что
они создают защищенный цифровой контур, куда не проникают внешние угрозы, а внутренние важные данные не переходят его границ, такие программные
продукты используются для мониторинга работы персонала, оценки его продуктивности и соответствия занимаемой должности. Таким образом, современные
DLP-системы — это универсальные средства для всеобъемлющего контроля безопасной и эффективной работы компании.
Классификация DLP-систем
DLP-системы делятся на несколько классов, в зависимости от различных критериев их классификации.
По локализации (сетевой архитектуре) DLP-системы подразделяются на хостовые и шлюзовые.
Первые основаны на работе агента непосредственно на локальном компьютере конечного пользователя, что удобно, когда необходимо проконтролировать
его обособленные действия (запись информации на носитель, ввод сомнительных поисковых запросов). Вторые располагаются на промежуточных шлюзах
и проверяют сетевой трафик. Современные развитые системы по предотвращению утечек данных обычно совмещают в себе и хостовый, и шлюзовый компонент.
При этом, в идеале, разбору подвергаются все исходящие потоки информации: передача данных через интернет, запись документов на внешний носитель,
отправка их на печать, пересылка через Bluetooth и прочие действия пользователя.
По механизму определения степени конфиденциальности передаваемых данных выделяют два вида DLP-систем:
- Системы, которые устанавливают конфиденциальность на основе анализа маркеров документа,
- Системы, которые для этого проводят анализ содержимого документа.
Под первым способом понимается проверка названия, заголовков, подписей и грифов документа. Этот вариант более быстрый, но он неустойчив перед
ситуацией, когда в маркеры документа вносятся изменения. Второй способ требует больших ресурсов, но он более надежен с позиции возможного удаления
грифов перед отправкой файла или изменения его названия на незначительное с точки зрения мониторинга. К тому же, он поддается лучшей масштабируемости,
поскольку количество обрабатываемых системой документов не будет зависеть от их специальных меток.
Еще одно деление DLP-систем основано на методах их реагирования на возникшие угрозы. Выделяют:
- активные системы, которые немедленно прерывают сомнительный процесс, тем
самым упреждая возможный урон, - пассивные системы, которые только фиксируют подозрительные факты, оформляя
их в отчеты для последующего анализа со стороны службы безопасности.
Активные DLP-системы предпочтительны, если основной задачей является предотвращение инцидентов, но они способны неожиданно остановить бизнес-процессы
компании в неподходящее время. Пассивные DLP-системы призваны бороться с систематическими нарушениями и реагировать на них по факту. Не влияя
напрямую на течение бизнес-процессов организации, они предполагают аналитическую работу над логами со стороны подготовленных специалистов.
Наконец, с точки зрения правомерности отслеживания действий пользователя можно выделить легальные и нелегальные DLP-системы. Легальными являются решения, официально распространяемые различными вендорами и нацеленные на предотвращение опасных инцидентов
и контроль использования рабочего времени. Они действуют с ведома и согласия конечных пользователей или администратора информационной системы.
К нелегальным системам относится вирусное и шпионское программное обеспечение, которое самостоятельно и несанкционированно устанавливается на
компьютер пользователя с целью сбора конфиденциальных данных и использования их для извлечения выгоды (например, заражение кейлоггерами, собирающими личную и финансовую информацию с отправкой ее злоумышленнику).
Data Leak Prevention в упрощенном варианте
Предотвращение и расследование опасных ситуаций в сфере информационной безопасности — главное предназначение DLP-систем, однако в не меньшей
степени они интересуют топ-менеджеров и с точки зрения контроля качества работы сотрудников. В ряде случаев сложные алгоритмы анализа данных
оказываются излишни, и организация ставит в приоритет мониторинг использования рабочего времени (с дополнительными бонусами в виде первичного
контроля основных манипуляций сотрудника). К тому же, для непрерывного анализа логов серьезной DLP-системы требуются подготовленные специалисты,
количество которых прямо пропорционально численности штата организации, которые смогут своевременно предпринять верные действия в качестве ответа
на инцидент (представление о том, насколько эта работа нетривиальна, может дать полезное руководство по реагированию на инциденты информационной безопасности).
Система Bitcop сочетает в себе развитый учет рабочего времени сотрудников с базовыми функциями полноценных DLP-систем, которых на практике оказывается
вполне достаточно для всестороннего контроля работы персонала.
Выбирая Bitcop в качестве:
- дополнительного решения, нацеленного именно на мониторинг использования рабочего времени,
- или же главной и единственной DLP-системой с набором основных часто употребляемых опций,
организация может быть уверена, что закрывает ключевые потребности в контроле сотрудников, экономя на тяжеловесном и сложном программном продукте,
требующем квалифицированной поддержки.
Задачи, которые решает Bitcop в качестве базовой DLP-системы
В Bitcop встроены те функции DLP-систем, которые являются основополагающими для эффективного контроля действий сотрудников. К ним относятся:
- Кейлоггер — функционал по перехвату нажатия клавиш с сохранением в протоколах зафиксированных
наборов символов. Кейлоггер помогает получить точное представление о том, какие данные вводит пользователь — в частности, в поисковых запросах
браузера. Проанализировав запросы пользователя, можно составить довольно достоверное представление о его текущих интересах. Так, сотрудник,
который размещает резюме или осведомляется о вакансиях, становится сомнительным с точки зрения дальнейшего карьерного продвижения, — вместо
этого следует задуматься о поиске замещающего специалиста, — а любитель отвлечься на интернет-серфинг, не связанный с прямыми служебными обязанностями,
ставит под вопрос свое соответствие занимаемой должности. Полезным может быть кейлоггер, работающий применительно к корпоративной системе по
обмену сообщениями — он вовремя даст сигнал о ведении «подковерной» борьбы. - Скриншоты экрана, которые выполняются с заданной периодичностью и хранятся настраиваемый
период времени. Они позволяют воочию контролировать деятельность сотрудников на компьютере через удобные временные интервалы и сразу увидеть
нарушение трудовой политики организации. - Перехват файлов, копируемых на USB-носитель — данная опция даст возможность предотвратить
нежелательный вынос корпоративных документов на «флешках». - Перехват файлов, пересылаемых через мессенджеры — такая возможность системы будет неоценимой,
если сотрудник, замысливший передать третьему лицу конфиденциальный документ, решит сделать это через одно из распространенных средств обмена
сообщениями. - Перехват электронной почты — информация о заголовках и вложениях электронной корреспонденции
поможет не только получить представление, чем в действительности занимается сотрудник в рабочее время, но и немедленно отреагировать на обмен
информацией, выходящей за пределы служебной компетенции.
Сравнение версий Bitcop поможет определиться с наиболее подходящим вариантом использования системы.
О любом сомнительном действии пользователя, способном спровоцировать инцидент информационной безопасности или нарушение рабочего режима, ответственное
лицо мгновенно уведомляется системой посредством электронной почты. Это позволяет оперативно принять меры по нивелированию угрозы. Добавив к
этому подробные протоколы о запуске приложений и интервалах работы в различных программах, можно сделать вывод о том, что мониторинг Bitcop
охватывает все основные аспекты деятельности пользователя за рабочим компьютером — как с точки зрения продуктивности, так и с точки зрения противодействия
инцидентам. При этом анализ собранных данных не требует больших временных затрат или специальной подготовки, поскольку предлагается в виде наглядных
отчетов, диаграмм и графиков, облегчающих принятие управленческих решений.
что это такое, обзор, рынок — СКБ Контур
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP-системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.
5. Проверить, введен ли режим коммерческой тайны
Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Защита данных от утечки
Узнать больше
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»
Внедрение DLP-систем | TechExpert
DLP-система (Data Loss Prevention) — это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.
Основные функции DLP-систем
- контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
- контроль сохранения информации на внешние носители — CD, DVD, flash, мобильные телефоны и т.п.;
- защита информации от утечки путем контроля вывода данных на печать;
- блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;
- поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
- предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.
Результат применения решения
- предотвращение утечек и несанкционированной передачи конфиденциальной информации;
- минимизация рисков финансового и репутационного ущерба;
- повышение дисциплины пользователей;
- материал для расследования инцидентов и их последствий;
- ликвидация угроз безопасности персональных данных, соответствие требованиям по защите персональных данных.
Что даст внедрение DLP-системы?
После внедрения системы защиты данных от утечки компания получит:
- Защиту информационных активов и важной стратегической информации компании;
- Структурированные и систематизированные данные в организации;
- Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности;
- Контроль процессов передачи конфиденциальных данных в компании;
- Снижение рисков связанных с потерей, кражей и уничтожением важной информации;
- Защита от вредоносного ПО попадающего в организацию изнутри;
- Сохранение и архивация всех действий связанных с перемещением данных внутри информационной системы;
Предлагаемые решения
Компания TechExpert реализует решения по обеспечению информационной безопасности на базе продуктов:
Что такое DLP и как оно работает?
Как работает DLP?
Понимание различий между осведомленностью о содержании и контекстным анализом необходимо для понимания любого решения DLP в целом. Полезно подумать о разнице, если содержание — это письмо, а контекст — это конверт. В то время как осведомленность о содержимом включает в себя захват конверта и пиринг внутри него для анализа содержимого, контекст включает внешние факторы, такие как заголовок, размер, формат и т. Д., все, что не включает содержание письма. Идея осведомленности о содержании заключается в том, что, хотя мы хотим использовать контекст для получения большей информации о содержании, мы не хотим ограничиваться одним контекстом.
После того, как конверт открыт и содержимое обработано, существует несколько методов анализа содержимого, которые можно использовать для выявления нарушений политики, в том числе:
- Основанные на правилах / регулярные выражения : Наиболее распространенный метод анализа, используемый в DLP, включает в себя механизм, анализирующий контент для определенных правил, таких как 16-значные номера кредитных карт, 9-значные U.S. номера социального страхования и т. Д. Этот метод является отличным фильтром первого прохода, поскольку правила могут быть настроены и обработаны быстро, хотя они могут быть подвержены высокому количеству ложных срабатываний без проверки контрольной суммы для выявления действительных шаблонов.
- Отпечаток базы данных : Этот механизм, также известный как точное сопоставление данных, ищет точные совпадения из дампа базы данных или активной базы данных. Хотя дампы базы данных или живые соединения с базой данных влияют на производительность, это вариант для структурированных данных из баз данных.
- Точное соответствие файла : содержимое файла не анализируется; однако хэши файлов совпадают с точными отпечатками пальцев. Обеспечивает низкий уровень ложных срабатываний, хотя этот подход не работает для файлов с несколькими похожими, но не идентичными версиями.
- Частичное соответствие документа : Ищет полное или частичное совпадение в определенных файлах, например в нескольких версиях формы, заполненных разными пользователями.
- Conceptual / Lexicon : Использование комбинации словарей, правил и т. Д.эти политики могут предупреждать о полностью неструктурированных идеях, которые не поддаются простой категоризации. Его необходимо настроить для предоставленного решения DLP.
- Статистический анализ : использует машинное обучение или другие статистические методы, такие как байесовский анализ, для выявления нарушений политики в защищенном контенте. Требуется большой объем данных для сканирования, чем больше, тем лучше, в противном случае возможны ложные срабатывания и отрицательные результаты.
- Предварительно созданные категории : Предварительно созданные категории с правилами и словарями для общих типов конфиденциальных данных, таких как номера кредитных карт / защита PCI, HIPAA и т. Д.
Сегодня на рынке существует множество методов, которые обеспечивают различные типы проверки содержимого. Следует учитывать, что, хотя многие поставщики DLP разработали свои собственные движки контента, некоторые используют сторонние технологии, не предназначенные для DLP. Например, вместо построения сопоставления с образцом для номеров кредитных карт поставщик DLP может лицензировать технологию у поставщика поисковой системы для сопоставления с образцом номеров кредитных карт. При оценке решений DLP обращайте пристальное внимание на типы шаблонов, обнаруживаемых каждым решением в отношении реального корпуса конфиденциальных данных, чтобы подтвердить точность его движка контента.
Защита данных — одна из основных задач при внедрении облачных сервисов. Среднее предприятие использует 1427 облачных сервисов, и сотрудники часто вводят новые сервисы самостоятельно. Анализируя данные об использовании облака для 30 миллионов пользователей, McAfee (ранее Skyhigh Networks) обнаружила, что 18,1% документов, загруженных в службы обмена файлами, содержат конфиденциальную информацию, такую как личная информация (PII), защищенная медицинская информация (PHI), данные платежных карт. , или интеллектуальная собственность, что создает проблемы с соблюдением нормативных требований.Отсюда следует, что использование правильного решения DLP в облаке, включая точность, мониторинг в реальном времени, анализ данных в движении, устранение инцидентов и разработку политики потери данных, имеет важное значение для успешного внедрения облака.
Что такое предотвращение потери данных (DLP)?
Узнайте больше о программном обеспечении для предотвращения потери данных в Data Protection 101, нашей серии статей, посвященной основам безопасности данных.
Что такое предотвращение потери данных (DLP)?
Предотвращение потери данных (DLP) — это набор инструментов и процессов, используемых для предотвращения потери, неправильного использования или доступа к конфиденциальным данным неавторизованными пользователями.Программное обеспечение DLP классифицирует регулируемые, конфиденциальные и важные для бизнеса данные и выявляет нарушения политик, определенных организациями или в рамках заранее определенного пакета политик, обычно обусловленных соблюдением нормативных требований, таких как HIPAA, PCI-DSS или GDPR. Как только эти нарушения обнаружены, DLP обеспечивает исправление с помощью предупреждений, шифрования и других защитных мер, чтобы предотвратить случайный или злонамеренный обмен данными конечными пользователями, которые могут поставить организацию под угрозу. Программное обеспечение и инструменты для предотвращения потери данных отслеживают и контролируют действия конечных точек, фильтруют потоки данных в корпоративных сетях и отслеживают данные в облаке для защиты данных в состоянии покоя, в движении и использовании.DLP также предоставляет отчеты, чтобы соответствовать требованиям и требованиям аудита, а также выявлять слабые места и аномалии для криминалистической экспертизы и реагирования на инциденты.
Требуется ли предотвращение потери данных? 3 основных сценария использования DLP
Предотвращение потери данных решает три основные задачи, которые являются общими для многих организаций: защита / соответствие личной информации, защита интеллектуальной собственности (IP) и видимость данных.
- Защита / соответствие личной информации : Собирает ли ваша организация и хранит личную информацию (PII), защищенную медицинскую информацию (PHI) или информацию о платежных картах (PCI)? В таком случае вы, скорее всего, подпадаете под действие нормативных требований, таких как HIPAA (для PHI) и GDPR (для личных данных жителей ЕС), которые требуют от вас защиты конфиденциальных данных ваших клиентов.DLP может идентифицировать, классифицировать и маркировать конфиденциальные данные, а также отслеживать действия и события, связанные с этими данными. Кроме того, возможности отчетности предоставляют подробную информацию, необходимую для аудита соответствия.
- Защита интеллектуальной собственности : Располагает ли ваша организация важной интеллектуальной собственностью и коммерческими или государственными секретами, которые могут поставить под угрозу финансовое здоровье и имидж вашей организации в случае потери или кражи? Решения DLP, такие как Digital Guardian, которые используют классификацию на основе контекста, могут классифицировать интеллектуальную собственность как в структурированной, так и в неструктурированной форме.С помощью политик и средств управления вы можете защитить себя от нежелательной кражи этих данных.
- Видимость данных: Стремится ли ваша организация получить дополнительную информацию о перемещении данных? Комплексное корпоративное решение DLP может помочь вам увидеть и отслеживать данные на конечных точках, в сетях и в облаке. Это даст вам представление о том, как отдельные пользователи в вашей организации взаимодействуют с данными.
Хотя это три основных варианта использования, DLP может устранить множество других проблем, включая внутренние угрозы, безопасность данных Office 365, анализ поведения пользователей и сущностей и сложные угрозы.
Почему предотвращение потери данных? 7 тенденций, способствующих внедрению DLP
Согласно оценкам Gartner Magic Quadrant для Enterprise DLP за 2017 год, общий рынок предотвращения потери данных достигнет 1,3 миллиарда долларов в 2020 году. Теперь обновленные прогнозы показывают вероятный размер рынка в 2,64 миллиарда долларов в 2020 году. Рынок DLP. не нова, но в нее, помимо прочего, включены управляемые сервисы, облачные функции и расширенная защита от угроз. Все это, в сочетании с тенденцией к росту гигантских утечек данных, привело к значительному росту внедрения DLP в качестве средства защиты конфиденциальных данных.Вот девять тенденций, которые способствуют более широкому внедрению DLP:
- Рост роли CISO: Все больше компаний нанимают и нанимают директоров по информационной безопасности (CISO), которые часто подчиняются генеральному директору. Руководители хотят знать план игры по предотвращению утечек данных. DLP обеспечивает очевидную ценность для бизнеса в этом отношении и дает директорам по информационным технологиям необходимые возможности отчетности для предоставления генеральному директору регулярных обновлений.
- Новые требования к соблюдению нормативных требований: Глобальные правила защиты данных постоянно меняются, и ваша организация должна быть адаптирована и подготовлена.За последние пару лет законодатели в ЕС и штате Нью-Йорк, соответственно, приняли GDPR и NYDFS Cybersecurity Regulation, оба из которых ужесточили требования к защите данных. Решения DLP позволяют организациям гибко развиваться в соответствии с меняющимися мировыми правилами.
- Есть больше мест для защиты ваших данных: Более широкое использование облака, сложные сети цепочек поставок и другие услуги, над которыми вы больше не имеете полного контроля, усложнили защиту ваших данных.Видимость событий и контекста событий, которые окружают ваши данные, до того, как они покинут вашу организацию, важна для предотвращения попадания ваших конфиденциальных данных в чужие руки.
- Утечки данных бывают частыми и крупными: Злоумышленники из национальных государств, киберпреступники и злонамеренные инсайдеры атакуют ваши конфиденциальные данные по разным мотивам, таким как корпоративный шпионаж, личная финансовая выгода и политическая выгода. DLP может защитить от всех видов злоумышленников, злонамеренных или нет.Всего за последние пару лет произошли тысячи утечек данных и множество других инцидентов, связанных с безопасностью. Миллиарды записей были потеряны в результате гигантских утечек данных, таких как: неправильная конфигурация базы данных, из-за которой в 2015 году произошло утечка почти 200 миллионов записей об избирателях в США, утечка данных Equifax, которая продолжала расти, и утечка Yahoo, затронувшая 3 миллиарда пользователей. Это лишь некоторые из множества хедлайнеров, которые подчеркивают необходимость защиты данных вашей организации.
- Похищенные данные вашей организации дороже: Похищенные данные часто продаются в даркнете, где отдельные лица и группы могут приобретать и использовать их в своих интересах.Поскольку определенные типы данных продаются по цене до нескольких тысяч долларов, существует явный финансовый стимул для кражи данных.
- Есть еще данные, которые можно украсть: Определение того, что такое конфиденциальные данные, с годами расширилось. Конфиденциальные данные теперь включают нематериальные активы, такие как модели ценообразования и бизнес-методологии. Согласно исследованию рыночной стоимости нематериальных активов Ocean Tomo, с 1975 по 2015 год объем нематериальных активов вырос с 17% от рыночной стоимости S&P 500 до 84%.Эти активы также достигли рекордного уровня в 21 триллион долларов в 2018 году. Это означает, что вашей организации нужно защищать гораздо больше данных.
- Нехватка талантов в области безопасности: Нехватка талантов в области безопасности не исчезнет в ближайшее время, и вы, вероятно, уже почувствовали ее влияние на свою организацию. Фактически, в опросе ESG и ISSA от 2017 года 43% респондентов заявили, что их организации пострадали от нехватки. Дефицит только усугубляется: к 2021 году прогнозируется 3,5 миллиона незаполненных должностей в сфере безопасности.Управляемые службы DLP действуют как удаленные расширения вашей команды, чтобы заполнить этот кадровый пробел.
Какой тип предотвращения потери данных подходит для вашей организации?
Рекомендации по предотвращению потери данных
- Определите основную цель защиты данных. Вы пытаетесь защитить свою интеллектуальную собственность, повысить прозрачность своих данных или обеспечить соответствие нормативным требованиям? Имея основную цель, легче определить наиболее подходящую архитектуру развертывания DLP или комбинацию архитектур .Четыре основных архитектуры развертывания DLP: Endpoint DLP, Network DLP, Discovery и Cloud.
- DLP — это решение не только безопасности. Если у вас еще нет утвержденного бюджета для программы DLP, вам потребуется бай-инов от других руководителей , таких как финансовый директор и генеральный директор. Используйте болевые точки различных бизнес-единиц, чтобы показать, как DLP может их решить. Например, проблемы финансового директора включают эффективное использование активов и прибыльный рост. Управляемые услуги DLP решают эти проблемы, устраняя необходимость в дополнительном персонале и капитальных затратах для развертывания и поддержки программы DLP.
- Изучая поставщиков DLP, устанавливает критерии оценки :
- Какие типы архитектур развертывания предлагаются?
- Поддерживают ли они Windows, Linux и OS X с паритетом функций?
- Какие варианты развертывания они предлагают? Предоставляют ли они управляемые услуги?
- Вам нужно защищаться в основном от внутренних или внешних угроз? Или оба?
- Вам нужно выполнить проверку и классификацию на основе содержимого или контекста? Смогут ли ваши пользователи самостоятельно классифицировать документы? Вам нужно сочетание нескольких методов?
- Вас больше всего беспокоит защита структурированных или неструктурированных данных?
- Планируете ли вы видеть и принудительно перемещать данные на основе политик, событий или пользователей?
- Какие нормативные требования вы обязаны соблюдать? Какие новые правила на горизонте?
- Кто их партнеры по технологическому альянсу и какие технологии вы хотели бы интегрировать в свой DLP?
- Как быстро вам нужно развернуть программу DLP?
- Потребуется ли вам дополнительный персонал для управления вашей программой DLP?
- Четко определите роли и обязанности лиц, участвующих в программе DLP вашей организации.Формирование прав и обязанностей на основе ролей обеспечит систему сдержек и противовесов.
- Старт с четко определенным быстрым выигрышем . Организации часто пробуют сложные первоначальные планы развертывания или пытаются решить слишком много вариантов использования одновременно. Определите свой первоначальный подход и поставьте цели, которые будут быстрыми и измеримыми. Вам следует использовать либо проектный подход, когда вы ограничиваетесь и сосредотачиваетесь на конкретном типе данных, либо подход видимости данных, где ваша основная задача — обнаружение и автоматическая классификация конфиденциальных данных для контроля исходящего потока.
- Работайте вместе с руководителями бизнес-подразделений , чтобы определить политики DLP, которые будут управлять данными вашей организации. Это поможет убедиться, что различные бизнес-единицы осведомлены о действующих политиках и о том, как на них могут повлиять. Помните, что не существует единого правильного способа разработки политик защиты от потери данных. Часто стратегия DLP согласуется с вашей корпоративной культурой.
- Тщательно документируйте свои процессы . Это поможет вам последовательно применять политики, даст вам документ, подтверждающий необходимость проверки, а также будет полезен при приеме на работу новых членов команды или сотрудников.
- Определите показатели успеха и поделитесь отчетами с руководителями бизнеса. Определите ключевые показатели эффективности (KPI), которые вы должны измерять, и внимательно следите за ними, чтобы определить успех вашей программы DLP и области, в которых можно улучшить. Поделитесь этими показателями с руководителями вашей организации, чтобы продемонстрировать положительное влияние DLP и его ценность для бизнеса.
- DLP — это программа, а не продукт. Установка средства защиты от потери данных — это только первый шаг в предотвращении потери данных. Хотя вы можете добиться быстрых результатов, понимание того, что DLP — это программа, над которой нужно постоянно работать, поможет вам добиться устойчивого успеха.DLP — это постоянный процесс понимания ваших данных и того, как пользователи, системы и события взаимодействуют с этими данными, чтобы лучше защитить их.
Эксперты оценивают предотвращение потери данных
Вот что говорят эксперты о предотвращении потери данных.
1. Защита данных — дело каждого. «Каждый сотрудник компании несет ответственность за соблюдение стандартов безопасности данных. Хотя ИТ-отдел выполняет большую часть повседневной работы с этими системами и процессами, заинтересованные стороны в вашей организации влияют на политику и реализацию безопасности.
Подумайте о последствиях утечки данных: ущерб бренду, нарушения нормативных требований (и связанные с этим штрафы), а также потеря продаж и клиентов наносят ущерб компании в целом. После рассмотрения этого внезапно возможности ИТ-отдела не кажутся достаточно широкими для решения всех этих проблем. Создавая аргументы в пользу решения DLP, вы должны привлечь руководителей вашей компании, которые станут основными заинтересованными сторонами ». — Выбор решения DLP: управляемый план, Nightfall.ai
При создании аргумента в пользу решения DLP вы должны привлечь руководителей вашей компании, которые станут основными заинтересованными сторонами.Приведите этих людей к столу во время процесса открытия и дайте им возможность просмотреть демонстрации и задать вопросы, прежде чем подписать окончательное решение. Потребности каждой организации различаются, но участие в таких обсуждениях руководителей инженерных, производственных, юридических и даже отделов продаж и маркетинга помогает.
2. Шифрование важно. «Конечно, безопасность — это больше, чем шифрование. Но шифрование — важный компонент безопасности. Хотя это в основном невидимое, вы используете надежное шифрование каждый день, и наш Интернет-мир был бы гораздо более рискованным местом, если бы вы этого не сделали.
Когда все сделано правильно, надежное шифрование — это нерушимое шифрование. Любая слабость в шифровании будет использована хакерами, преступниками и иностранными правительствами. Многие взломы, о которых пишут новости, можно отнести к слабому или, что еще хуже, к несуществующему шифрованию «. — Брюс Шнайер, Значение шифрования, Шнайер о безопасности
3. Помните об угрозах изнутри. «Я работал с организациями, чтобы предотвращать внутренние угрозы, а также реагировать на инциденты. По моему опыту, представление о том, что «легко» сдерживать и обнаруживать внутренние угрозы, возможно только в том случае, если организации в первую очередь проявляют инициативу в отношении своего подхода.Существуют стратегические способы проактивности — от внутреннего обучения для бизнес-пользователей, чтобы они чувствовали себя ответственными со знаниями, навыками и осведомленностью, — до мониторинга действий, которые компании могут использовать, которые устанавливают правила и параметры того, что считается целесообразным для различных сотрудников в качестве части. своих рабочих функций и отметок, которые выходят за рамки этих правил ». — Исаак Коэн, Выявление и сдерживание инсайдерских угроз: насколько это просто?, LinkedIn
Почему Digital Guardian?
Digital Guardian — это облачная платформа защиты данных нового поколения, которая является единственным решением, объединяющим DLP, обнаружение конечных точек и ответ (EDR), а также аналитику поведения пользователей и объектов (UEBA) для обеспечения защиты данных от всех угроз.Наша комплексная платформа DLP устраняет необходимость в дополнительных агентах и консолях для EDR или UEBA и позволяет группам ИТ-безопасности консолидировать свои возможности безопасности. Мы были названы лидером Gartner Magic Quadrant в области Enterprise DLP в течение пяти лет подряд и занимаем первое место в рейтинге Gartner по защите IP.
Наша платформа обеспечивает:
- Самая глубокая видимость — мы видим и коррелируем системные события, пользовательские события и события данных в конечной точке, в сети, в облаке и в базах данных, чтобы дать вам 360-градусную перспективу перемещение данных в вашей организации.Это критически важно для защиты конфиденциальных данных от всех угроз, как внутренних, так и внешних.
- Аналитика в реальном времени — Digital Guardian Analytics & Reporting Cloud использует архитектуру облачных сервисов больших данных для агрегирования и анализа миллионов системных событий, пользовательских событий и событий данных. События организованы в виде полезной информации, позволяющей аналитикам определять приоритеты и реагировать на угрозы более разумно и эффективно.
- Гибкие средства управления — Наша платформа автоматизирует средства контроля для предотвращения утечек данных до того, как они произойдут.Элементы управления гибкие с ситуационной детализацией, поэтому они не мешают вашей повседневной бизнес-деятельности.
Мы осознаем нехватку специалистов в области безопасности и готовы восполнить этот пробел. Наша программа управляемой безопасности расширяет возможности вашей команды. Наши круглосуточные группы глобальных аналитиков по безопасности помогут гарантировать, что конфиденциальные данные не покинут вашу организацию. Мы полностью управляем вашей инфраструктурой защиты данных и поможем развернуть ее в кратчайшие сроки.
Дополнительные ресурсы:
Подробнее о Digital Guardian
Теги: Data Protection 101, Data Loss Prevention
Что такое Data Loss Prevention (DLP) | Устранение утечки данных
Причины утечки данных
Три распространенные причины утечки данных:
- Инсайдерские угрозы — злонамеренный инсайдер или злоумышленник, который взломал привилегированную учетную запись пользователя, злоупотребляет своими разрешениями и пытается переместить данные за пределы организации.
- Экструзия злоумышленниками — многие кибератаки используют конфиденциальные данные в качестве своей цели. Злоумышленники проникают через периметр безопасности, используя такие методы, как фишинг, вредоносное ПО или внедрение кода, и получают доступ к конфиденциальным данным.
- Непреднамеренное или небрежное раскрытие данных — многие утечки данных происходят в результате того, что сотрудники теряют конфиденциальные данные публично, предоставляют открытый доступ к данным в Интернете или не могут ограничить доступ в соответствии с политиками организации.
×
Предотвращение утечки данных
Вы можете использовать стандартные инструменты безопасности для защиты от потери и утечки данных.Например, система обнаружения вторжений (IDS) может предупреждать о попытках злоумышленника получить доступ к конфиденциальным данным. Антивирусное программное обеспечение может предотвратить взлом уязвимых систем злоумышленниками. Брандмауэр может заблокировать доступ любой неавторизованной стороны к системам, хранящим конфиденциальные данные.
Если вы являетесь частью крупной организации, вы можете обратиться к специальным инструментам или решениям DLP для защиты ваших данных. Вы также можете использовать инструменты в Центре управления безопасностью (SOC) для помощи с DLP. Например, вы можете использовать систему информации и событий безопасности (SIEM) для обнаружения и сопоставления событий, которые могут представлять собой утечку данных.
Узнайте, как Imperva File Security может помочь вам с DLP.
Компоненты решения проблемы потери данных
- Защита данных в движении — технология, установленная на границе сети, может анализировать трафик для обнаружения конфиденциальных данных, отправленных с нарушением политик безопасности.
- Защита конечных точек — агенты на основе конечных точек могут управлять передачей информации между пользователями, группами пользователей и внешними сторонами. Некоторые системы на основе конечных точек могут блокировать попытки связи в режиме реального времени и предоставлять обратную связь с пользователем.
- Защита данных в состоянии покоя — политики контроля доступа, шифрования и хранения данных могут защитить архивные данные организации.
- Защита используемых данных — некоторые системы DLP могут отслеживать и отмечать несанкционированные действия, которые пользователи могут намеренно или непреднамеренно выполнять при взаимодействии с данными.
- Идентификация данных — очень важно определить, нужно ли защищать данные. Данные могут быть определены как конфиденциальные либо вручную с применением правил и метаданных, либо автоматически с помощью таких методов, как машинное обучение.
- Обнаружение утечки данных — Решения DLP и другие системы безопасности, такие как IDS, IPS и SIEM, выявляют аномальные или подозрительные передачи данных. Эти решения также предупреждают сотрудников службы безопасности о возможной утечке данных.
Решения DLP и решения для защиты файлов
Решения
для обеспечения безопасности файлов, такие как Imperva File Firewall, являются важной частью стратегии DLP. Такие решения защищают хранящиеся и используемые данные, а также обнаруживают утечки файловых данных.
Imperva File Firewall помогает предотвратить утечку данных:
- Мониторинг доступа ко всем конфиденциальным файлам и запись подробных данных об использовании, таких как пользователь, отдел, доступ к файлу, тип файла и время отклика операции.
- Предупреждение и автоматическая блокировка действий с файлами, которые нарушают политики безопасности.
- Обнаружение ненормального или подозрительного поведения пользователей с помощью машинного обучения для обнаружения внутренних угроз.
- Защита от атак программ-вымогателей путем обнаружения и блокировки типичных схем доступа к файлам.
- Аудит и отчетность по всем файловым операциям в целях соблюдения нормативных требований и расследования.
13 лучших программных инструментов для предотвращения потери данных 2021 (бесплатно + платно)
Что такое предотвращение потери данных?
Предотвращение потери данных ( DLP ) — это контроль доступа к данным, хранящимся в вашей компании. Стратегия предотвращения потери данных гарантирует, что конечные пользователи не смогут намеренно уничтожить или украсть данные.
Важно иметь политику предотвращения потери данных на вашем предприятии. Это может охватывать: инструменты предотвращения потери данных, системы предотвращения вторжений, системную информацию, управление событиями, защиту конечных точек и системы защиты от вредоносных программ — это области IT-безопасности , которые частично совпадают.
Когда вы приступите к усилению защиты системы, вы обнаружите, что вам не нужно по одному из них, потому что только один будет выполнять множество задач, включая блокировку доступа к системе и одновременную защиту данных.Имея правильную политику и соответствующие системы, вы сможете уменьшить или исключить инциденты, связанные с потерей данных в своем бизнесе.
Вот наш список лучших программ и инструментов для предотвращения потери данных (DLP):
- SolarWinds Data Loss Prevention с помощью ARM EDITOR’S CHOICE Диспетчер прав доступа может быть настроен для защиты от случайной или злонамеренной потери данных. Может автоматизировать доступ и действия пользователей с помощью политик, реагировать на подозрительные действия и расследовать пользовательские события, которые потенциально могут поставить под угрозу ваши системы.
- CoSoSys Endpoint Protector (GET DEMO) Выбор локальных или облачных систем предотвращения потери данных.
- CrowdStrike Falcon Device Control (БЕСПЛАТНАЯ пробная версия) Этот модуль входит в пакеты пакетов безопасности CrowdStrike и отслеживает активность USB-порта. Доступно для Windows, macOS и Linux.
- ManageEngine Device Control Plus (БЕСПЛАТНАЯ пробная версия) Блокирует несанкционированную передачу данных на периферийные устройства. Работает на Windows и Windows Server.
- Symantec Data Loss Prevention Включает защиту от угроз и шифрование данных.
- Teramind DLP Пользовательский трекер и контроллер доступа к данным.
- Clearswift Adaptive DLP Ряд продуктов для защиты данных.
- SecureTrust Data Loss Prevention Включает заранее написанные политики.
- Check Point Data Loss Prevention Применяет подход к мониторингу и обучению пользователей.
- Digital Guardian Endpoint DLP Трекер событий данных.
- Code42 Восстанавливает измененные данные в исходное состояние.
- CA Data Protection Защищает данные и проверяет события доступа.
- Comodo MyDLP Система контроля доступа к пользовательским данным.
Лучшие программные средства предотвращения потери данных
Скорее всего, вы не сможете решить все задачи по предотвращению потери данных с помощью одного инструмента. Однако многие поставщики программного обеспечения создают наборы инструментов, которые подходят друг другу. Существует много общего между предотвращением потери данных, соответствием стандартам и резервным копированием данных.Все это понадобится вам для успешной защиты данных вашей компании и управления ими.
На что следует обращать внимание при выборе программного обеспечения для предотвращения потери данных?
Мы изучили рынок средств защиты от потери данных и проанализировали варианты по следующим критериям:
- Система обнаружения, которая может взаимодействовать с диспетчерами прав доступа и брандмауэром для предотвращения кражи данных
- Сканирование и регистрация вложений электронной почты
- Соответствие требованиям HIPAA, GDPR, SOX и PCI DSS
- Регулируемые элементы управления для более тщательного анализа использования PII
- Идентификация конечной точки для источника и назначения перемещения данных
- Бесплатная пробная версия или гарантия возврата денег для безрисковой оценки
- Соотношение цена / качество, представленное компромиссом между предоставленными функциями и ценой
1.Предотвращение потери данных SolarWinds с помощью ARM (БЕСПЛАТНАЯ ПРОБНАЯ ИНФОРМАЦИЯ)
SolarWinds — ведущий производитель инструментов для мониторинга ИТ-инфраструктуры, и его решение для обеспечения безопасности DLP является частью его Access Rights Manager .
Основные характеристики:
- Диспетчер прав доступа
- Обнаруживает подозрительную активность
- Автоматические ответы
- Аудит на соответствие стандартам защиты данных
- 30-дневная бесплатная пробная версия
Ключевой отправной точкой в вашей стратегии предотвращения потери данных является определение политики компании в отношении контроля доступа к данным.Диспетчер прав доступа SolarWinds поддерживает эту задачу, предоставляя вам четкие отчеты о текущих разрешениях доступа. Затем у вас есть возможность установить более эффективные элементы управления, которые можно реализовать с помощью диспетчера прав доступа.
Постоянный мониторинг обеспечивает постоянный контроль доступа к данным и генерирует предупреждения всякий раз, когда создаются копии или передаются данные. Менеджер унифицирует мониторинг пользователей для Active Directory , Windows File Share , SharePoint и Microsoft Exchange .Это позволяет вам отслеживать действия пользователя, который проявляет необычное или подозрительное поведение по многим каналам связи.
Плюсы:
- Надежное решение для больших сетей, поддерживает DLP и мониторинг разрешений для поддержки нескольких стандартов соответствия
- Хорошо интегрируется в существующие среды Active Directory
- Экономит время, создавая простые визуализации структур разрешений
- Использует анализ поведения для выявления внутренних угроз и нарушений политики
- Может работать в паре с автоматизацией, чтобы сэкономить время на исправлениях и полностью избежать восстановления данных
Минусы:
- Подробное решение, разработанное для системных администраторов в корпоративной среде — может потребоваться время, чтобы полностью изучить и использовать все функции
Функция аудита и отчетности диспетчера прав доступа поддерживает соответствие требованиям GDPR , HIPAA и PCI DSS .Интерфейс инструмента очень прост в использовании, что значительно упрощает управление доступом пользователей. Программное обеспечение устанавливается на Windows Server, и вы можете получить его в течение 30-дневной бесплатной пробной версии.
ВЫБОР РЕДАКТОРА
Облегченный пакет с автоматическим анализом и применением политик доступа пользователей, позволяет выявлять угрозы данным и помогает остановить попытки кражи данных в процессе. Настройте оповещения об утечке данных и многое другое.
Получите 30-дневную бесплатную пробную версию: solarwinds.com / менеджер прав доступа
ОС: Windows Server 2008 R2 или выше и домен AD
Связанное сообщение: Программное обеспечение для мониторинга активности файлов
2. Устройство защиты конечных точек CoSoSys (ПОЛУЧИТЬ ДЕМО)
CoSoSys предлагает is Endpoint Protector как локальное решение, как облачную услугу и как отдельный пакет программного обеспечения.Локальная версия будет защищать компьютеры под управлением Windows , Mac OS и Linux . Центральный сервер Endpoint Protector Server обменивается данными по сети с клиентским программным обеспечением, установленным на каждой конечной точке. Сервер также будет защищать подключенные устройства, такие как цифровые камеры и USB-накопители. Система защиты конечных точек также доступна в виде программного обеспечения, которое реализует виртуальное устройство на вашем собственном сервере.
Основные характеристики:
- Платформа защиты конечных точек
- Устройство, локальное программное обеспечение или облачная служба
- Соответствие HIPAA, PCI DSS и GDPR
- Также защищает подключенные устройства
- Принудительное шифрование
Полная система Endpoint Protector включает защиту контента, управление устройствами, принудительное шифрование, обнаружение сети и управление мобильными устройствами.Доступна отдельная версия для защиты только одной конечной точки за установку. Это Endpoint Protector Basic , и он включает в себя модули защиты содержимого и устройства версии Server.
Те, кто предпочитает подписываться на пакеты «программное обеспечение как услуга» вместо запуска собственных хостов и программного обеспечения, могут выбрать My Endpoint Protector . Это включает в себя защиту контента, контроль устройств и управление мобильными устройствами. Во всех реализациях система соответствует требованиям HIPAA, PCI DSS и GDPR.
Система защиты контента в Endpoint Protector управляет передачей файлов в соответствии с установленными вами политиками. Все передачи файлов могут быть заблокированы для определенных групп пользователей или разрешено перемещение конфиденциальных файлов, если они соответствуют определенным критериям. Точно так же система управления устройствами может либо полностью блокировать подключение устройств к защищенной конечной точке, либо может быть разрешена передача файлов при определенных условиях.
Плюсы:
- Гибкая многоплатформенная опция для Windows, Linux и Mac
- Может контролировать как отдельные файлы, так и отдельные машины
- Предварительно настроен для мониторинга соответствия HIPAA, PIC и GDPR
- Простота реализации пользовательских наборов правил
Минусы:
- Полнофункциональная пробная версия лучше демонстрации
Онлайн-версия доступна для ознакомления на бесплатной демонстрационной версии .
CoSoSys Endpoint Protector
Зарегистрируйтесь для получения БЕСПЛАТНОЙ демонстрации
3. CrowdStrike Falcon Device Control (БЕСПЛАТНАЯ ПРОБНАЯ ИНФОРМАЦИЯ)
CrowdStrike Falcon предлагается в виде пакетов модулей, а Falcon Device Control доступен в качестве надстройки к каждому из этих пакетов. Этот инструмент устанавливается на конечные точки вместе с пакетом Falcon Prevent для обнаружения конечных точек и ответа (EDR). Пока EDR ищет входящие угрозы, Falcon Device Control проверяет попытки кражи данных.
Основные характеристики:
- Контроль передачи данных на карты памяти
- Переменная безопасность, заданная политиками
Очень просто полностью отключить USB-порты . Однако такой подход не всегда подходит. Например, порты USB могут использоваться для многих функций, а не только для съемного хранилища. Вы можете оставить активными USB-порты , но просто контролировать, какие данные передаются по ним.
Вопрос о перемещении данных также не является решением по принципу «все или ничего».Вы можете разрешить перенос определенных типов данных на USB-устройства, блокируя перемещение более важных коллекций данных. Итак, управление устройствами USB должно быть точно настроено .
С помощью Falcon Device Control вы можете указать, какие типы устройств могут быть подключены, или, что проще, определить, какие типы устройств запрещены. Управление распространяется на элементы управления доступом пользователей, поэтому вы можете разрешить некоторым пользователям или группам пользователей использовать USB-устройства, в то время как блокирует всем остальным.
Программное обеспечение для Falcon Device Control способно идентифицировать и документировать все устройства, когда они подключены к USB-порту на конечной точке. Вы можете установить это программное обеспечение на все свои конечные точки и назначить одно устройство для размещения сервера. Таким образом, вы получаете все отчеты о деятельности для всех устройств, перенаправленные на одну приборную панель для консолидированной отчетности.
Плюсы:
- Распределенная реализация
- Панель приборов централизованная
- Возможность блокировки определенных типов устройств
- Возможность взаимодействия с менеджерами прав доступа
- Быстрое местное управление
Минусы:
- Семейство Falcon не включает средства управления другими каналами кражи данных, такими как вложения электронной почты.
CrowdStrike Falcon Device Control — это дополнительная услуга, которую можно добавить к подписке на пакеты Falcon Pro , Falcon Enterprise , Falcon Premium и Falcon Complete . Агенты конечных точек для этого решения устанавливаются на Windows , macOS и Linux . Вы можете получить 15-дневную бесплатную пробную версию программного обеспечения.
CrowdStrike Falcon Контроль устройств
Начать 15-дневную БЕСПЛАТНУЮ пробную версию
4.ManageEngine Device Control Plus (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)
Вы можете разрешить сотрудникам копировать файлы на съемные носители, такие как карты памяти USB. Однако это один из основных способов кражи данных сотрудниками. Эта ситуация представляет собой дилемму. Вы хотите сохранить систему в безопасности, не блокируя нормальные и приемлемые методы работы.
Основные характеристики:
- Белый список допустимых устройств
- Элементы управления переменными для разных типов данных
Решением для управления использованием периферийных устройств для передачи данных является управление доступом к устройствам, а не их полное отключение. ManageEngine Device Control Plus предлагает способ реализации ряда устройств безопасности для периферийных устройств.
Эта система управления устройствами позволяет вам определить политику безопасности , а затем преобразовать эти требования в управляемые элементы управления. Например, вы можете разрешить подключение к конечным точкам списка одобренных устройств, а также установить ограничение на размер файла или общий лимит передачи данных, чтобы учесть допустимое офисное использование периферийных устройств. Также можно заблокировать копирование данных из некоторых источников, разрешив перенос данных других типов на карты памяти.Например, если вы следуете стандартам безопасности данных, таким как HIPAA или PCI DSS , вам необходимо уделить особое внимание личной информации (PII) .
Система Device Control Plus очень проста в использовании и включает точек руководства , чтобы помочь тем, кто не является экспертом по безопасности. Система также регистрирует все события доступа к данным и попытки копирования, что является необходимой функцией для тех, кто соблюдает стандарты безопасности данных.
Плюсы:
- Отличный пользовательский интерфейс — легко создать
- Прекрасно балансирует визуализацию с информацией о недавних событиях.
- Поддерживает параметры аппаратной блокировки для ограничения съемных носителей
- Пользовательские политики безопасности легко определить
- Может сканировать системы на предмет содержания PHI
Минусы:
- Полнофункциональная пробная версия лучше демонстрации
Device Control Plus устанавливается на Windows и Windows Server .ManageEngine предлагает системе 30-дневную бесплатную пробную версию.
ManageEngine Device Control Plus
Скачать 30-дневную БЕСПЛАТНУЮ пробную версию
5. Symantec Data Loss Prevention
Решение
Symantec DLP объединяет отслеживание активности пользователей с контролем риска данных. Он может отслеживать данные, хранящиеся на серверах, настольных компьютерах, мобильных устройствах и в облачном хранилище. Первоначальная проверка при установке определяет все местоположения, в которых хранятся конфиденциальные данные, и дает вам возможность удалить все это на центральный сервер управления, в безопасное хранилище данных или защитить их на месте.Вы получаете шаблоны и рабочие процессы для соответствия стандартам HIPAA , GDPR и PCI DSS .
Основные характеристики:
- Отслеживание активности пользователей
- Защита шифрования
- Соответствие HIPAA, GDPR и PCI DSS
Инструмент регистрирует весь доступ к конфиденциальным данным и отслеживает те учетные записи, которые вызвали предупреждения. Конфиденциальные документы зашифрованы, и могут быть просмотрены только авторизованными пользователями .Инструмент также гарантирует, что выброшенные копии и изъятые из обращения документы полностью уничтожены, не оставляя в памяти восстанавливаемых версий. Все копии отслеживаются и хранятся в безопасности даже при отправке в удаленные места или на мобильные устройства пользователей.
Symantec DLP содержит документы с конфиденциальными данными с использованием шифрования и идентифицирует предполагаемых получателей по отпечаткам на каждой копии. Это шифрование и идентификация доступа сочетаются с ограничениями на перемещение и копирование данных.Это позволяет вам блокировать прикрепление файлов и данных к электронным письмам или их передачу по сети или Интернету.
Система Symantec DLP является частью ее системы защиты конечных точек. Это ищет вторжения и вредоносное программное обеспечение, которое может поставить под угрозу конфиденциальность ваших данных. Эта система включает в себя мониторинг программного обеспечения, которое не авторизовано компанией, но установлено на том же устройстве, что и конфиденциальные данные — ситуация, которая особенно распространена в случае использования пользовательских устройств для доступа к данным компании.
Плюсы:
- Объединяет DLP с отслеживанием активности пользователей, обеспечивая ему дополнительную функциональность
- Автоматическое сканирование может отображать конфиденциальные места, где хранятся данные
- Предлагает предварительно построенные храмы и рабочий процесс в соответствии с основными стандартами соответствия, предлагая хорошую готовую функциональность.
- Поддерживает контроль целостности файлов с помощью системы снятия отпечатков пальцев
Минусы:
- Может лучше интегрироваться с другими инструментами Symantec
- Требуется улучшенная функциональность Mac
Связанное сообщение: Symantec Endpoint Protection: полный обзор и сравнение конкурентов
6.Тераминд DLP
Teramind DLP поможет вам соответствовать требованиям GDPR , HIPAA , ISO 27001 и PCI DSS . Инструмент начинает с поиска конфиденциальных данных по всей вашей системе. При поиске используются стандартные форматы данных, такие как номера социального страхования или номера кредитных карт. Он также использует OCR и обработку естественного языка для сканирования всех документов. Затем он отдает приоритет тем, которые содержат личную информацию, личные финансовые данные и личную информацию о здоровье.Сканирование для выявления новых экземпляров этих категорий данных продолжается в течение срока службы программного обеспечения.
Основные характеристики:
- Системный аудит
- GDPR, HIPAA, ISO 27001 и PCI DSS
- Текущая оценка рисков
Соответствие
Пакет включает шаблоны для политик безопасности данных, которые помогут вам установить вашу стратегию защиты от потери данных. Этот инструмент имеет два направления: внутренние угрозы и безопасность данных. Функции отслеживания пользователей охватывают действия на веб-сайтах, в приложениях и в сети.Он отслеживает электронную почту, а также включает в себя регистратор нажатий клавиш для особой проверки.
Общая активность системы измеряется, чтобы установить базовый уровень нормального поведения. Это типичная стратегия систем обнаружения вторжений, позволяющая выявлять как внешние, так и внутренние угрозы.
Меры защиты данных включают мониторинг и блокировку буфера обмена. Система отпечатков пальцев для файлов позволит вам отследить, кто утек файл.
Консоль программного обеспечения включает панель мониторинга рисков , которая централизует уведомления обо всех угрозах и уязвимостях, требующих расследования.
Плюсы:
- Отличный пользовательский интерфейс, простой в навигации и изучении
- Высоко наглядная отчетность и мониторинг в реальном времени
- Создан с учетом норм
- Выходит за рамки DLP с опциями для активного мониторинга и клавиатурного шпионского журнала
Минусы:
- Платформа
- пытается сделать все это, что может быть ошеломляющим для тех, кто хочет использовать только функции DLP.
- Некоторые функции, такие как кейлоггинг, могут быть агрессивными
- Крутая кривая обучения
7.Clearswift Адаптивная DLP
Clearswift производит ряд инструментов для предотвращения потери данных под общим брендом Adaptive DLP .
Основные характеристики:
- Полный комплект для защиты системы и данных
- Платформа защиты конечных точек
- Покрывает электронную почту и веб-сервер
Ассортимент продукции состоит из семи упаковок:
- ARgon для электронной почты: мониторинг электронной почты на предмет утечки данных.
- CIP Management Server и агент: для мониторинга активности конечных точек.
- БЕЗОПАСНЫЙ ICAP-шлюз: отслеживает веб-приложения и передачу файлов.
- SECURE Web Gateway: закрывает доступ к данным в Интернете.
- Управление информацией: контроль доступа к документам.
- SECURE Email Gateway: защита почтовых серверов от внешней почты.
- SECURE Exchange Gateway: защита почтовых серверов для внутренней почты.
Весь пакет заменит все другое программное обеспечение для управления безопасностью, которое может быть у вас, поскольку оно охватывает все функции, для которых вы обычно используете системы защиты от вредоносных программ и брандмауэры.Adaptive DLP защищает файлы от несанкционированного копирования и позволяет отслеживать право собственности с помощью снятия отпечатков пальцев.
Система отфильтровывает любой вредоносный код, когда он пытается проникнуть в сеть, и выявляет несанкционированные действия как злоумышленников, так и злоумышленников.
Плюсы:
- Включает инструменты для защиты электронной почты, веб-интерфейсов и мониторинга конечных точек, предлагая комплекс услуг DLP.
- Может действовать как антивирус, обнаруживать вредоносные программы, попытки вторжений и зараженные файлы
- Лучший пакет для небольших сред с меньшим количеством событий в день
Минусы:
- Не лучший вариант для сетей корпоративного уровня
- Отсутствуют возможности машинного обучения
- Хотел бы видеть лучшие варианты отчетности в отношении стандартов соответствия
8.Защита от потери данных SecureTrust
Это хороший вариант, если у вас возникли трудности с разработкой стратегии защиты DLP. Когда вы установите программное обеспечение, оно представит вам список из 70 политик , которые вы можете активировать. Прочтение объяснений каждого из них, вероятно, даст вам несколько советов по управлению данными, о которых вы даже не задумывались.
Data Loss Prevention является частью набора инструментов управления безопасностью от SecureTrust.Компания также производит инструмент SIEM , который является отличным вариантом для обнаружения и блокировки злоумышленников. Эти два инструмента могут работать вместе, хотя SecureTrust утверждает, что утилита DLP сама по себе эффективно обнаруживает вредоносную активность.
Система безопасности сканирует все каналы связи на предмет нарушения конфиденциальности. К ним относятся приложения для передачи файлов, электронная почта, чат-приложения, системы обмена файлами, блоги и социальные сети. Механизм реагирования инструмента автоматически блокирует передачи в середине потока.Он также будет определять корреспондентов на каждом конце передачи данных. Этот инструмент включает средства отчетности и аудита , которые помогут вам доказать соответствие стандартам.
Плюсы:
- Предварительно загружено более 70 различных политик, которые можно сразу включить
- Интегрируется с SIEM-инструментом Clearswift для более полной безопасности сети.
- Поддерживает сканирование по нескольким каналам для отслеживания несоответствующего доступа к файлам
Минусы:
- Интерфейс можно обновить, чтобы сделать его более удобным
- Визуализации довольно ограничены
- Создание отчетов может быть неудобным, особенно при попытке настроить определенные отчеты.
9.Программный блейд Check Point Data Loss Prevention
Check Point — один из крупнейших поставщиков кибербезопасности в мире. Решение этой компании по предотвращению потери данных включает в себя большую помощь, чтобы помочь вам реализовать стратегию защиты данных . Это связано с тем, что пакет включает политики, поэтому вам просто нужно проверить, какие из них соответствуют требованиям вашей стратегии безопасности, и активировать их.
Модуль исправления инструмента использует подход к управлению действиями пользователей, отличный от того, который используется другими утилитами в этом списке.Вместо того, чтобы предупреждать персонал ИТ-отдела о нежелательной активности и автоматически закрывать учетную запись пользователя или доступ к файлам, он выдает предупреждение непосредственно пользователю.
Идея этого подхода — обучать сообщество пользователей правилам доступа к данным, а не пытаться уловить их, когда они пересекают черту, о которой они не знали. Система проверки использования данных распространяется и на электронную почту.
Плюсы:
- Подходит для компаний, которые хотят помочь обучить пользователей, пытающихся получить несанкционированный доступ к информации
- Поддерживает основные стандарты соответствия
- Поддерживает сканирование электронной почты, которое может автоматически ограничивать отправку писем
Минусы:
- Интерфейс может быть загроможден чрезмерным количеством событий, что затрудняет использование в масштабе
- Предупреждает пользователя напрямую, что не всегда требуется системным администраторам.
- Хотелось бы видеть лучшие готовые шаблоны и параметры для DLP
- Политики сложно настроить
Программный блейд предотвращения потери данных включает в себя отчеты и аудит для HIPAA , SOX и PCI DSS .Инструмент доступен в виде 30-дневной бесплатной пробной версии.
10. DLP конечной точки Digital Guardian
DLP Digital Guardian Endpoint начинает свой срок службы с поиска конфиденциальных данных в вашей системе. Инструмент регистрирует эти места и отслеживает все события, которые в них происходят. Он может взаимодействовать с операционными системами Windows , Mac OS и Linux , а его возможности отслеживания распространяются на облачные ресурсы.Этот пакет ориентирован на безопасность конечных точек. Digital Guardian производит сопутствующий инструмент, который защищает сети от событий потери данных.
Система защиты данных конечных точек может блокировать действия на автономных компьютерах, а также устройства мониторинга в сети. Он автоматически блокирует неавторизованные действия пользователя, такие как уничтожение, изменение, копирование или передача защищенных данных. Это в равной степени предотвращает как инсайдерскую, так и постороннюю деятельность.
Эта система подходит для защиты интеллектуальной собственности , а также личной информации.Сетевой администратор должен определить категории данных и назначить для каждой из них определенные политики защиты. Усовершенствования DLP дают вам возможность добавить шифрование для хранения и передачи данных.
Плюсы:
- Простой и элегантный интерфейс позволяет легко читать информацию
- Сопоставляет простые визуализации с недавними событиями
- Доступно для Windows, Linux и Mac
- Агенты по-прежнему могут останавливать доступ даже в автономном режиме
- Как варианты защиты данных о соответствии, а также интеллектуальной собственности компании
Минусы:
- Плагины иногда могут вызывать проблемы, особенно плагины электронной почты
- Ложные срабатывания могут быть чрезмерными
11.Код42
Из описаний других инструментов вы заметите, что корпоративные стратегии защиты данных реализуются в рамках инструмента DLP с помощью баз правил, называемых «политиками ». Code42 имеет другую систему и не использует политики. Несмотря на то, что он не работает с политиками, инструмент связывает обнаруженные проблемы с действиями по исправлению.
Code42 работает с файлами данных так же, как инструмент SIEM работает с файлами журнала. Он отслеживает файлы данных, создавая их резервные копии и восстанавливая исходную версию в случае внесения каких-либо изменений.Он также отслеживает каждый доступ к этим файлам данных и блокирует любые действия копирования или передачи.
Все действия с файлами, в том числе выполняемые Code42, записываются, в результате чего создается контрольный журнал , необходимый для соблюдения стандартов безопасности данных. Инструмент включает в себя служебную программу анализа, которая использует информацию о событиях для выявления внутренних правонарушений или угроз вторжения.
Плюсы:
- Может автоматически восстанавливать файлы в их предыдущее местоположение и состояние
- Работает больше как инструмент SIEM, что делает его хорошим вариантом для тех, кто ищет более продвинутый охват и мониторинг.
- Может проверять доступ пользователей к сетевым файлам и расположениям
- Инструменты анализа могут помочь определить, были ли действия злонамеренными или случайными
Минусы:
- Может быть ресурсоемким
- Обладает крутой кривой обучения, чем другое программное обеспечение DLP.
- Дорого, цена зависит от компьютера
12.CA Data Protection
CA Data Protection контролирует все ваши конфиденциальные данные в целях их защиты. Этот процесс включает в себя три основные задачи: обнаруживает конфиденциальные данные, , защищает их, и сообщает о попытках несанкционированного доступа к ним . Эта простая стратегия эффективна для предотвращения угроз злоумышленника, случайного повреждения или внутренней кражи данных.
Инструмент помогает определить стратегию защиты с помощью заранее написанных политик.Возможности этой системы не имеют границ — она защитит данные на всех ваших сайтах, а также в облачном хранилище.
Модуль отчетности и аудита поможет вам оценить успех вашей стратегии безопасности и подтвердить соответствие стандартам конфиденциальности данных.
Плюсы:
- Может защищать локальные серверы, а также файлы, расположенные в облачных сервисах
- Отчетность легко настроить
- Платформа проста и проста в освоении
Минусы:
- Интерфейс чувствует себя устаревшим
- Не лучший вариант для больших сетей
- Отсутствуют возможности машинного обучения и анализа поведения
13.Comodo MyDLP
Вы получаете лицензию для всей вашей организации, которая охватывает все ваши конечные точки и сайты. Этот инструмент также защитит данные, хранящиеся на облачных серверах. MyDLP обнаружит все конфиденциальные данные , хранящиеся в вашей компании, зарегистрирует их и защитит.
Эта система ориентирована на службу разрешений пользователей. В нем перечислены, кто может иметь доступ к каким данным и какие действия разрешено выполнять каждому человеку с каждым битом данных. Данные, которые он защищает, могут быть коммерческой тайной, планами развития, инженерными чертежами, счетами или личными данными сотрудников и клиентов.Он может отслеживать устройства, работающие под управлением любой операционной системы, а программное обеспечение может быть установлено локально или доступно онлайн как облачная служба.
Плюсы:
- Разработан для предприятий, хорошо масштабируется
- Может автоматически обнаруживать конфиденциальные данные или вручную указывать на определенные группы разрешений, файлы или каталоги
- Доступно в виде локального решения или облачного развертывания
Минусы:
- Можно использовать лучшие варианты интеграции в экосистеме Comodo
- Более крутая кривая обучения, чем у аналогичных инструментов
Приоритеты для DLP
Первая и наиболее очевидная тема, с которой нужно иметь дело при попытке предотвратить данные, которые хранит ваша компания, — это контроль доступа к ним.Однако это не единственная ваша задача. Чтобы доказать соответствие стандартам безопасности данных, вам понадобятся некоторые доказательства. Таким образом, требуется постоянное ведение журнала транзакций, и вам нужно будет хранить эти журналы годами, чтобы их можно было использовать для выборочного аудита. Постоянный самоаудит также необходим для обеспечения достаточной строгости процедур безопасности.
Хотя неспособность защитить данные является неудачей, любую утечку не следует скрывать. Нераскрытие утечки данных — большая ошибка.Это приведет к потере аккредитации. Все стандарты защиты данных включают протоколы уведомления о потере данных, и их следует соблюдать.
Удивительно, но большинство организаций не отслеживают должным образом все места в системе, где хранятся данные. Персонал может вести записи в документах на своих настольных компьютерах и забывать их удалить; другие местные магазины, такие как базы данных контактов, иногда могут быть упущены из виду. Важно централизовать хранилище данных и отслеживать доступ к нему.
Данные, хранящиеся в вашей компании, являются потенциальным источником дохода для хакеров. Итак, вы должны правильно защитить свою сеть от вторжений. Однако авторизованные пользователи также представляют угрозу безопасности. Их могут обманом заставить передать данные посторонним или они могут быть мотивированы негодованием или жадностью к краже данных компании. Предотвращение копирования данных на портативные устройства, распечатку, отправку данных по электронной почте или через чат-приложение — еще одно важное требование вашей DLP-системы.
Соблюдение стандарта безопасности данных также важно для заключения контрактов. Государственный сектор очень серьезно относится к защите личных данных, и они распространяют этот приоритет на все услуги, которые они покупают. Таким образом, если вы не реализуете эффективную защиту от потери данных, вы лишитесь возможности заключать новые контракты. Необходимость соблюдения стандартов государственного сектора сохраняется в цепочке поставок. Таким образом, даже если вы не участвуете в торгах на контракты с государственным сектором, ваша способность заключать сделки с предприятиями, которые работают на государственный сектор, будет ограничена.
Заключение
События потери данных когда-то рассматривались как досадный риск. ИТ-индустрия и правовые системы большинства стран с развитой экономикой признают, что никакая ИТ-система никогда не может быть защищена на 100 процентов. Однако в последние годы требования к компаниям принимать все возможные меры для предотвращения разглашения данных стали намного строже.
Многие компании не могут полностью определить все места хранения данных, и устранение этой проблемы является первым шагом к комплексной стратегии предотвращения потери данных.Получение правильных инструментов защиты от потери данных очень важно, и без них вы не сможете полностью соблюдать законы или стандарты безопасности данных. Без аккредитации по стандартам вам будет запрещено участвовать в торгах по многим контрактам, а без систем полной защиты от потери данных вы рискуете раскрыть информацию, что может привести к деструктивному судебному преследованию.
Если у вас нет стратегии защиты данных, вы рискуете разрушить свой бизнес. Программное обеспечение для предотвращения потери данных больше не является дополнительным.
Часто задаваемые вопросы о программном обеспечении для предотвращения потери данных
Как облачные вычисления могут предотвратить потерю данных?
Риск потери данных в облачных вычислениях не отличается от риска для локальной инфраструктуры, за исключением канала связи между вашим сайтом и облачным хостом.
- Найти все конфиденциальные данные
- Категоризация данных в соответствии с требованиями стандартов безопасности
- Отслеживать весь доступ к категоризированным данным
- Отслеживание изменений в конфигурациях устройств
- Отслеживать записи файла журнала на предмет неожиданного поведения пользователя или несанкционированного трафика
- Установите все обновления и исправления для микропрограмм, операционных систем и программного обеспечения.
- Защитите все каналы доступа в Интернете
Что такое политика предотвращения потери данных?
Политика предотвращения потери данных — это набор правил и рабочих процессов, установленных вашей компанией, чтобы определить, как разрешить доступ к данным и защитить информацию, которую вы храните.Эта стратегия применяется к рабочим процедурам, управлению правами доступа, процедурам мониторинга активности, требованиям к отчетности и мерам аварийного восстановления.
Что такое предупреждение DLP?
Предупреждение DLP — это сообщение, созданное системой. Инструмент DLP отслеживает такие действия, как доступ к хранилищу данных и сетевой трафик. Программное обеспечение выдаст предупреждение, если действие выходит за рамки зарегистрированного допустимого поведения. Предупреждение не обязательно означает, что произошло событие потери данных. Он может идентифицировать потенциальный риск или слабость системы, которую выявили действия злоумышленников, не затрагивая целевые данные.Предупреждение должно инициировать расследование необходимости корректировки стандартов безопасности или принятия некоторых других превентивных мер, иначе оно может указывать на нарушение безопасности в процессе.
систем DLP | Что такое DLP-система и как она работает?
На сегодняшний день рынок DLP-систем является одним из самых быстрорастущих среди всех рынков средств защиты информации.
Что такое DLP и как он работает
Прежде чем говорить о рынке DLP, необходимо уточнить, что подразумевается под такими решениями.Под системами DLP мы обычно подразумеваем программные продукты, которые защищают компании от утечки конфиденциальных данных. Аббревиатура DLP расшифровывается как Data Leak Prevention.
Такие системы создают вокруг компаний периметр цифровой безопасности и анализируют всю исходящую, а иногда и входящую информацию. Контроль должен охватывать не только Интернет-трафик, но и ряд других информационных потоков: документы на внешних устройствах вне защищенной схемы безопасности, документы, которые распечатываются или отправляются на мобильные устройства через Bluetooth и т. Д.
Поскольку системы DLP предотвращают утечку конфиденциальной информации, они должны иметь встроенные механизмы для определения уровня конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два метода: анализ специальных маркеров документа и анализ содержимого документа. В настоящее время более распространен второй вариант, так как он устойчив к изменениям, внесенным в документ перед его отправкой, и позволяет легко увеличить количество конфиденциальных документов, с которыми может работать система.
Дополнительные задачи DLP
Помимо основной задачи предотвращения утечки информации, DLP-системы могут также решать ряд других задач, связанных с контролем деятельности сотрудников. Чаще всего DLP-системы решают следующие неосновные задачи:
Поскольку компании считают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек данных, существует ряд программ, разработанных специально для этой цели.В некоторых случаях они также могут защитить компании от утечек. В отличие от полноценных DLP-систем, эти программы не имеют расширенных инструментов для анализа перехваченных данных. Это должен делать специалист по ИБ вручную, что подходит только для небольших компаний (до десяти подконтрольных сотрудников).
Классификация DLP-систем
По ряду характеристик все DLP-системы можно разделить на несколько основных классов. Что касается возможности блокировать информацию, идентифицированную как конфиденциальную, существуют системы с активным и пассивным контролем действий пользователя.
Активные системы могут блокировать передаваемую информацию. Напротив, пассивные системы DLP не имеют этой функции. Первые системы намного лучше справляются с случайными утечками данных, но они могут случайно приостановить бизнес-процессы. Последние безопасны для ведения бизнеса, но подходят только для предотвращения систематических утечек.
Другая классификация DLP-систем основана на их сетевой архитектуре. Системы шлюзовой защиты от потери данных работают на промежуточных серверах, в то время как хост-системы используют агентов, которые работают непосредственно на рабочих станциях сотрудников.Сегодня наиболее распространенным вариантом является использование общих компонентов шлюза и хоста.
ЧТОБЫ УЗНАТЬ БОЛЬШЕ ЗАПРОСИТЕ БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД
Мировой рынок DLP
В настоящее время основными игроками на мировом рынке DLP являются компании, широко известные своими другими продуктами для защиты информации. Это Symantec, MacAfee, TrendMicro, WebSense. Общий объем мирового рынка DLP оценивается в 400 миллионов долларов, что мало по сравнению с рынком антивирусных решений. Тем не менее, рынок DLP демонстрирует стремительный рост: в 2009 году его оценивали чуть более 200 миллионов.
Перспективы и тенденции
Специалисты считают, что основной тенденцией является переход от «патченных» систем, состоящих из компонентов разных производителей и решающих отдельные задачи, к единым интегрированным программным комплексам. Причина очевидна: сложные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «пропатченной» системы. Такие системы также позволяют специалистам по информационной безопасности удобно изменять настройки на большом количестве клиентских рабочих станций и упростить передачу данных от одного компонента единой интегрированной системы к другому.Разработчики также переходят на интегрированные системы в связи со спецификой задач информационной безопасности. Если оставить хотя бы один канал утечки неконтролируемым, о корпоративной безопасности говорить не приходится.
Еще одна важная тенденция в сфере InfoSec — постепенный переход к модульной структуре. Это означает, что заказчик может самостоятельно выбирать необходимые компоненты (например, если на уровне операционной системы отключена поддержка внешних устройств, заказчику не нужно переплачивать за их управление).Специфика отрасли также будет играть значительную роль в развитии систем DLP. Например, можно ожидать выпуска специальных версий, разработанных специально для банковской сферы, госучреждений и т.д., отвечающих запросам организаций.
Что такое предотвращение потери данных (DLP) — Решения и инструменты
Что такое DLP?
Защита от потери данных (DLP) — это набор технологий и инструментов, которые отслеживают и защищают бизнес-данные от несанкционированного доступа.Когда реализована технология DLP, она защищает данные в трех местах: при использовании уполномоченным персоналом, в движении (передается через интранет) или в состоянии покоя (на файловом сервере или в базе данных). Например, программное обеспечение для предотвращения потери данных может запретить пользователям копировать данные, чтобы переместить их за пределы сети компании.
В центре всего программного обеспечения для предотвращения потери данных находится проверка содержимого, то есть программа, которая просматривает фрагменты данных при их перемещении по сети, оценивает тип файла, который их содержит, и определяет, находятся ли данные там, где они должны быть, и используется ли он по назначению.Как случайное раскрытие, так и гнусные действия могут поставить под угрозу конфиденциальные данные, поэтому защита DLP важна для организаций, которым необходимо защищать свои информационные активы. Исторически программное обеспечение для предотвращения потери данных создавалось с использованием статических правил на основе политик, но развитие интеллектуальных технологий, в частности машинного обучения, подняло эту защиту на новый уровень. Машинное обучение DLP может распознавать модели поведения, которые возникают до утечки данных, и предотвращать их появление.
Как работает DLP?
Программное обеспечение
DLP основано на проверке содержимого, в которой используется ряд методов для выявления нарушений политики.
Во-первых, проверка содержимого основана на выражениях на основе правил, которые обнаруживаются программным обеспечением предотвращения потери данных и приводят к последующим действиям. Типичный пример — это 16-значный номер кредитной карты. Организации могут создавать правила, которые гласят, что если вы попытаетесь отправить электронное письмо с номером кредитной карты (который начинается с 4, 5 или 6), особенно с 3-значным кодом безопасности и датой истечения срока действия, программное обеспечение DLP заблокирует отправку электронной почты или автоматизировать шифрование.
Далее идет точное сопоставление файлов. Это идентифицирует файлы в использовании, в движении или в состоянии покоя, содержание которых точно совпадает с содержимым индексированного файла. Это также называется отпечатком данных .
В-третьих, контент-анализ в решениях DLP использует концептуальный / лексический анализ. На этом уровне анализа используется компиляция словарей или других списков и правил для выявления нежелательного поведения, такого как конкретные поиски в Интернете или разглашение коммерческих секретов лицам, не входящим в сеть.
Наконец, контент-анализ может включать сложные методы статистического анализа. Статистические методы используют машинное обучение для защиты определенных фрагментов информации. Когда машина узнает, как должны выглядеть данные, она постоянно ищет аномальные данные, не соответствующие заданному шаблону.
Различные типы DLP
Существует три типа программного обеспечения для предотвращения потери данных: сеть, конечная точка и облако. Все три дают одинаковые результаты (защита данных), но используемые методы различаются от одного типа к другому.
Сеть DLP
Network DLP устанавливает безопасный периметр вокруг данных, перемещающихся в сети, как следует из названия. Это решение отслеживает и контролирует данные по мере их перемещения в сети компании, а не на конечных точках.
Таким образом, если пользователь пытается отправить конфиденциальную информацию по электронной почте, находясь в сети компании, защита DLP сети затем выполнит одно или несколько из нескольких заранее запрограммированных действий, таких как шифрование, блокировка, карантин или аудит электронной почты.Он также может уведомить администратора о попытке отправить информацию по электронной почте.
Сетевые решения DLP эффективны, когда компьютер подключен к сети, но их сеть безопасности не распространяется на портативные компьютеры и мобильные устройства вдали от сети.
Конечная точка DLP
Endpoint DLP не работает в сети, в которой передаются данные. Вместо этого он устанавливается на каждом отдельном устройстве, где находятся конечные точки сети. Безопасность DLP конечных точек отслеживает данные, когда они перемещаются и хранятся в этих конечных точках, независимо от того, где они находятся и как подключены к сети или Интернету.Он даже может обнаруживать, когда конфиденциальные данные сохраняются в незашифрованном виде в файлах на устройствах.
Endpoint DLP предлагает более полную защиту, чем Network DLP, но также требует большего управления. На каждом устройстве должно быть установлено программное обеспечение безопасности Endpoint DLP. Это может быть сложно с точки зрения логистики, если в организации есть удаленный персонал. Также следует учитывать время и внимание, необходимые для управления и обслуживания DLP-системы конечных точек.
Облако DLP
Cloud DLP похож на Endpoint DLP, но обеспечивает соблюдение правил и политик DLP для выбранных облачных учетных записей.Он не образует периметр вокруг традиционной локальной сети, как это делает Network DLP. Вместо этого он интегрируется с облачными инструментами, такими как Office 365 и G Suite от Google (и многими другими).
Это позволяет вашим сотрудникам удобно и безопасно использовать облачные приложения и облачное хранилище без риска утечки или потери данных.
Каковы преимущества DLP?
Некоторые преимущества использования программного обеспечения для предотвращения потери данных очевидны, а некоторые менее интуитивно понятны.
Правильное развертывание защиты DLP может обеспечить соблюдение правовых норм.Например, такие законодательные акты, как HIPAA, CCPA и GDPR, требуют, чтобы вы знали, где находятся личные данные / данные пациентов, и как они передаются и обрабатываются, это может сделать это программное обеспечение для предотвращения потери данных. DLP также защищает от случайного копирования, вставки, загрузки или печати личных данных в другие области сети для непреднамеренного использования. Программное обеспечение для предотвращения потери данных предотвращает несанкционированное использование всех конфиденциальных данных, гарантируя, что ни один человек или сценарий не могут передать конфиденциальные данные в неправильное место.Такие попытки будут заблокированы или ограничены.
Эти нарушения иногда бывают злонамеренными или преднамеренными, но чаще всего они вызваны просто человеческой ошибкой (например, сотрудник ошибочно пытается распечатать или отправить по электронной почте конфиденциальный документ). Независимо от намерений, наличие хорошо настроенного DLP предотвратит превращение этих ошибок в нарушения. Это снимает бремя защиты данных с человеческого суждения и перекладывает его на программное обеспечение.
Эти примеры DLP-систем, обеспечивающих безопасность данных, являются очевидными преимуществами для ИТ-специалистов и сотрудников службы безопасности, но каков бизнес в более широком смысле?
DLP
предотвращает утечки данных, а утечки данных обходятся дорого.Необходимость выполнять очистку взломанных данных может иметь непомерную цену. Например, компании, предлагающие бесплатный кредитный мониторинг клиентам, чьи данные были раскрыты, могут потратить миллионы только на это. Кроме того, субъекты данных часто обращаются в суд с исками против компаний, которые подвергают свои данные риску, что, в зависимости от масштаба нарушения, может нанести серьезный ущерб.
Краткосрочные финансовые последствия могут быть разрушительными, но долгосрочный ущерб репутации компании может иметь волновой эффект, который длится годами.Как проблемы понесенных расходов, так и потери репутации могут быть затмеваны проблемами, вызванными несоблюдением законов о конфиденциальности информации, таких как HIPAA), Закона о справедливых и точных кредитных операциях (FACTA) и Закона Калифорнии о защите конфиденциальности в Интернете (OPPA). .
Хотя в США еще нет всеобъемлющего законодательства, охватывающего защиту данных аналогично тому, как GDPR защищает конфиденциальность информации в Европейском союзе, было бы разумно, чтобы американские компании приняли превентивные меры для защиты конфиденциальности клиентов, чтобы они соответствовали требованиям, если / когда такие законы действительно исполняются.
Каковы ограничения традиционного DLP?
Самым неприятным аспектом работы с традиционным DLP является отсутствие гибкости и высокий уровень ложных срабатываний. Это происходит потому, что программное обеспечение является жестким по своей конструкции. Следовательно, самая сильная сторона DLP — это также и ее основная слабость.
Скажем, например, что вы наняли фрилансера, и вам нужно поделиться данными с этим человеком. Это законно, но если электронная почта и веб-сайт фрилансера размещены на общем сервере, который ваше программное обеспечение DLP занесло в черный список, вы можете оказаться в затруднительном положении при поиске обходного пути для связи.Поэтому ИТ-администраторы часто оказываются в незавидном положении, создавая разные правила для разных пользователей, которые в конечном итоге не могут масштабироваться в средних или крупных организациях и требуют времени для внедрения (что может расстраивать пользователей, которым «нужно отправить это электронное письмо сейчас»). . Часто это приводит к тому, что правила DLP со временем ослабляются, что ослабляет безопасность организации.
Кроме того, традиционный DLP не остановит все утечки данных, такие как фишинговые атаки и неверно направленные электронные письма.Словарный запас слов для идентификации и пометки входящих писем как потенциально подозрительных в определенной степени помогает, но он не может предотвратить 100% фишинговых инцидентов и не может остановить все случаи случайной отправки электронного письма с конфиденциальной информацией не тому человеку внутри или за пределами организации. . Традиционное программное обеспечение DLP должно знать, что «искать», чтобы предотвратить утечки данных, что означает, что оно не может обнаруживать новые варианты использования или выбросы без предварительного программирования / обновления.
Обратите внимание, что эти ограничения характерны для традиционной защиты DLP.Усовершенствованные программные пакеты предотвращения потери данных, такие как предлагаемые Egress, практически устраняют ограничения традиционного DLP.
Возьмем, к примеру, неверно направленные электронные письма (некоторые называют это «синдромом толстого пальца»). Egress Prevent запрашивает пользователей, когда они включают получателя, выходящего за рамки их обычного шаблона, но которого они технически уполномочены отправлять по электронной почте при других обстоятельствах. Например, отправитель имеет право обмениваться финансовыми данными извне, но обычно никогда не отправляет их Лицо А в Компании X; они обычно отправляют его кому-то с похожим именем в той же компании.Им на законных основаниях разрешено отправлять электронные письма обоим получателям; они просто обычно делятся с ними разными типами данных. Интеллектуальный DLP Egress предложит отправителю убедиться, что в электронном письме содержатся только авторизованные получатели, предотвращая попадание электронных писем в ящики входящих сообщений неправильных получателей. Программное обеспечение сканирует текст электронной почты и содержимое вложений, чтобы обнаружить потенциальные утечки данных до того, как они произойдут.
Усовершенствования, достигнутые Egress в аспектах анализа контента и контекстного машинного обучения программного обеспечения для предотвращения потери данных, помогают исключить человеческий фактор из процесса принятия решений по безопасности.У людей развивается техническая усталость, когда они выполняют одни и те же действия снова и снова (например, отправляют и получают электронные письма). Повторение убаюкивает их чувствами близости и комфорта. Ошибки случаются, если не внимательно читать электронные письма перед тем, как нажимать ссылки, или дважды проверять список рассылки перед нажатием кнопки «Отправить». Egress Prevent устраняет эти ошибки.
Egress Prevent является частью платформы Egress Intelligent Email Security Platform , которая также включает Egress Protect для шифрования электронной почты и Egress Investigate для мониторинга соответствия.Вместе они создают страховочную сетку для каждого пользователя. Они обеспечивают безопасность ваших данных и защищают ваших клиентов и организацию, не обременяя вашу информационную безопасность или ИТ-персонал.
Что такое предотвращение потери данных (DLP)?
Proofpoint Email Data Loss Prevention предлагает интегрированную защиту данных для электронной почты и вложений. Он предназначен для предотвращения случайного раскрытия данных и предотвращения атак сторонних злоумышленников или самозванцев по электронной почте. Его можно использовать вместе с другими продуктами пакета защиты информации, такими как Proofpoint Data Discover и Proofpoint Email Encryption.
Полнофункциональный инструмент DLP состоит из четырех элементов: централизованного сервера управления, сетевого мониторинга, DLP хранилища и DLP конечных точек. В небольшом развертывании все, кроме агента конечной точки, может быть консолидировано на одном сервере или устройстве. Более крупные развертывания могут включать в себя несколько распределенных частей для охвата различных элементов инфраструктуры.
С помощью этого инструмента организации всегда знают, где находятся их личные или служебные данные, включая интеллектуальную собственность, личную идентификацию, информацию о пациентах, финансовую информацию и многое другое.Это помогает организациям упростить обнаружение и быстро оценить данные, чтобы они могли решить любую проблему. Решение Proofpoint для локальной защиты от потери данных, Content Control, помогает организациям:
Легко находите конфиденциальные данные, где бы они ни находились на предприятии. Упрощенный процесс обнаружения позволяет специалистам по информационным технологиям и ИТ знать о проблемах, не имея дело со сложным решением DLP или используя подход «все заблокировано».
Оцените исторические данные и убедитесь, что новые данные оцениваются по мере их создания.Поместите в карантин, переместите или удалите любые нарушения, чтобы на них не повлиял неправильный материал. Например, если корпоративный контент обнаружен в папке синхронизации Dropbox, пользователь будет автоматически предупрежден, а данные будут перемещены в санкционированный репозиторий службы ИТ-безопасности.
Оцените метаданные и полный текст в файле. Это позволяет отделам ИТ-безопасности идентифицировать кредитные карты, личную идентификацию, номера лицензий, медицинскую информацию и многое другое.Этот процесс также учит пользователей передовым методам управления данными и безопасности на рабочем месте — без снижения производительности или рабочего процесса.
.