Studio      18.10.2023

Mikä on dlp. DLP-järjestelmät - mitä se on? DLP-järjestelmän valinta. Harkitse tapausvastausalgoritmia

Tietoja ongelmasta Nykyään tietotekniikka on tärkeä osa kaikkia moderneja organisaatioita. Kuvaannollisesti sanottuna tietotekniikka on yrityksen sydän, joka ylläpitää liiketoiminnan suorituskykyä ja lisää sen tehokkuutta ja kilpailukykyä nykyaikaisen kovan kilpailun olosuhteissa.. Liiketoimintaprosessien automaatiojärjestelmät, kuten dokumenttivirta, CRM-järjestelmät, ERP-järjestelmät, Moniulotteiset analyysi- ja suunnittelujärjestelmät mahdollistavat tiedon nopean keräämisen, systematisoinnin ja ryhmittelyn, mikä nopeuttaa johdon päätöksentekoprosesseja ja varmistaa liiketoiminnan ja liiketoimintaprosessien läpinäkyvyyden johdolle ja osakkeenomistajille.. On selvää, että suuri määrä strategista, luottamuksellista ja henkilökohtaista tietoa on Yrityksen tärkeä tietovarallisuus, ja tämän tiedon vuotamisen seuraukset vaikuttavat organisaation tehokkuuteen Nykypäivän perinteisten turvatoimien, kuten virustentorjunta ja palomuurit, käyttö suojaa tietovarallisuutta ulkoisilta uhilta, mutta ei eivät millään tavalla takaa tietovarallisuuden suojaamista sisäisen hyökkääjän aiheuttamalta vuotamiselta, vääristymiseltä tai tuhoutumiselta. Sisäiset tietoturvauhat voivat jäädä huomiotta tai joissakin tapauksissa johdon huomaamatta, koska johto ei ymmärrä näiden uhkien kriittisyyttä Tästä syystä luottamuksellisten tietojen suojaaminen niin tärkeä tänään. Tietoja ratkaisusta Luottamuksellisten tietojen suojaaminen vuodolta on tärkeä osa organisaation tietoturvakompleksia. DLP-järjestelmät (data leakage protection system) on suunniteltu ratkaisemaan luottamuksellisten tietojen tahattomien ja tahallisten vuotojen ongelma.

Kattava tietovuotojen suojausjärjestelmä (DLP-järjestelmä) ovat ohjelmisto- tai laitteisto-ohjelmistokompleksi, joka estää luottamuksellisten tietojen vuotamisen.

Sen suorittaa DLP-järjestelmä käyttämällä seuraavia päätoimintoja:

  • Liikenteen suodatus kaikilla tiedonsiirtokanavilla;
  • Syvä liikenneanalyysi sisällön ja kontekstin tasolla.
Luottamuksellisten tietojen suojaaminen DLP-järjestelmässä suoritetaan kolmella tasolla: Data-in-Motion, Data-at-Rest, Data-in-Use.

Data liikkeessä– verkkokanavien kautta siirretyt tiedot:

  • Web (HTTP/HTTPS-protokollat);
  • Internet - pikaviestit (ICQ, QIP, Skype, MSN jne.);
  • Yritys- ja henkilökohtainen sähköposti (POP, SMTP, IMAP jne.);
  • Langattomat järjestelmät (WiFi, Bluetooth, 3G jne.);
  • FTP-yhteydet.
Data-at-Rest– staattisesti tallennetut tiedot:
  • Palvelimet;
  • Työasemat;
  • Kannettavat tietokoneet;
  • Tietojen tallennusjärjestelmät (DSS).
Käytössä olevat tiedot– työasemilla käytetyt tiedot.

Toimenpiteet tietovuotojen estämiseksi koostuu kahdesta pääosasta: organisatorisesta ja teknisestä.

Luottamuksellisten tietojen suojaaminen sisältää organisatorisia toimenpiteitä yrityksen saatavilla olevien tietojen etsimiseksi ja luokittelemiseksi. Luokitteluprosessin aikana tiedot jaetaan 4 luokkaan:

  • Salaiset tiedot;
  • Luottamuksellista tietoa;
  • Tiedot viralliseen käyttöön;
  • Julkinen tieto.
Miten luottamukselliset tiedot määritetään DLP-järjestelmissä.

DLP-järjestelmissä luottamukselliset tiedot voidaan määrittää useilla eri ominaisuuksilla sekä eri tavoin, esimerkiksi:

  • Kielellinen tiedon analysointi;
  • Tietojen tilastollinen analysointi;
  • Säännölliset lausekkeet (mallit);
  • Digitaalinen sormenjälkimenetelmä jne.
Kun tiedot on löydetty, ryhmitelty ja systematisoitu, seuraa toinen organisatorinen osa - tekninen.

Tekniset toimenpiteet:
Luottamuksellisten tietojen suojaaminen teknisin keinoin perustuu tietovuotojen suojausjärjestelmän toiminnallisuuden ja teknologioiden käyttöön. DLP-järjestelmä sisältää kaksi moduulia: isäntämoduulin ja verkkomoduulin.

Isäntämoduulit asennetaan käyttäjien työasemille ja ne tarjoavat hallinnan käyttäjän suorittamiin toimiin liittyen turvaluokiteltuihin tietoihin (luottamuksellinen tieto). Lisäksi isäntämoduulin avulla voit seurata käyttäjien toimintaa eri parametreilla, kuten Internetissä vietetty aika, käynnistetyt sovellukset, prosessit ja tietoreitit jne.

Verkkomoduuli suorittaa verkon kautta välitetyn tiedon analysointia ja ohjaa suojatun tietojärjestelmän ulkopuolelle menevää liikennettä. Jos lähetetyssä liikenteessä havaitaan luottamuksellisia tietoja, verkkomoduuli lopettaa tiedonsiirron.

Mitä DLP-järjestelmän käyttöönotto antaa?

Tietovuotojen suojausjärjestelmän käyttöönoton jälkeen yritys saa:

  • Tietovarojen ja yrityksen tärkeiden strategisten tietojen suojaaminen;
  • Strukturoitu ja systematisoitu tieto organisaatiossa;
  • Liiketoiminnan ja liiketoimintaprosessien läpinäkyvyys hallinta- ja turvallisuuspalveluita varten;
  • Luottamuksellisten tietojen siirtoprosessien valvonta yrityksessä;
  • Tärkeän tiedon katoamiseen, varkauksiin ja tuhoutumiseen liittyvien riskien vähentäminen;
  • Suojaus haittaohjelmilta, jotka pääsevät organisaatioon sisältäpäin;
  • Kaikkien tietojen liikkumiseen tietojärjestelmän sisällä liittyvien toimien tallentaminen ja arkistointi;
DLP-järjestelmän toissijaiset edut:
  • Henkilöstön läsnäolon valvonta työpaikalla;
  • Internet-liikenteen säästäminen;
  • Yritysverkon optimointi;
  • Käyttäjän käyttämien sovellusten hallinta;
  • Henkilöstön tehokkuuden lisääminen.

DLP ( Digitaalinen valonkäsittely) on projektoreissa käytetty tekniikka. Sen loi Larry Hornbeck Texas Instrumentsista vuonna 1987.

DLP-projektoreissa kuva luodaan mikroskooppisesti pienillä peileillä, jotka on järjestetty matriisiin puolijohdesirulle, jota kutsutaan Digital Micromirror Device (DMD) -laitteeksi. Jokainen näistä peileistä edustaa yhtä pikseliä projisoidussa kuvassa.

Peilien kokonaismäärä osoittaa tuloksena olevan kuvan resoluution. Yleisimmät DMD-koot ovat 800x600, 1024x768, 1280x720 ja 1920x1080 (HDTV, High Definition TeleVision). Digitaalisissa elokuvaprojektoreissa tavallisiksi DMD-resoluutioiksi katsotaan 2K ja 4K, jotka vastaavat 2000 ja 4000 pikseliä kehyksen pitkällä sivulla.

Nämä peilit voidaan sijoittaa nopeasti heijastamaan valoa joko linssiin tai jäähdytyselementtiin (kutsutaan myös valonpoistoksi). Peilien nopea pyörittäminen (lähinnä päälle ja pois päältä kytkeminen) mahdollistaa DMD:n vaihtelevan linssin läpi kulkevan valon voimakkuutta luoden harmaan sävyjä valkoisen (peili päällä) ja mustan (peili pois päältä) lisäksi. ).).

Väri DLP-projektoreissa

Värikuvan luomiseen on kaksi päämenetelmää. Yksi menetelmä sisältää yksisiruisten projektorien käytön, toinen - kolmen sirun projektorin.

Yksisiruiset projektorit


Näkymä yksisiruisen DLP-projektorin sisällöstä. Keltainen nuoli näyttää valonsäteen polun lampusta matriisiin suodatinlevyn, peilin ja linssin läpi. Säde heijastuu sitten joko linssiin (keltainen nuoli) tai säteilijään (sininen nuoli).
Ulkoiset kuvat
Yksimatriisi-DLP-projektorin optinen suunnittelu
Mikropeilijousitus ja ohjauspiiri

Projektoreissa, joissa on yksi DMD-siru, värit tuotetaan asettamalla pyörivä värilevy lampun ja DMD:n väliin, aivan kuten Columia Broadcasting Systemin "peräkkäinen väritelevisiojärjestelmä", jota käytettiin 1950-luvulla. Värilevy on yleensä jaettu 4 sektoriin: kolme sektoria pääväreille (punainen, vihreä ja sininen), ja neljäs sektori on läpinäkyvä kirkkauden lisäämiseksi.

Koska läpinäkyvä sektori vähentää värikylläisyyttä, joissakin malleissa se voi puuttua kokonaan, toisissa voidaan käyttää lisävärejä tyhjän sektorin sijasta.

DMD-siru synkronoidaan pyörivän levyn kanssa niin, että kuvan vihreä komponentti näkyy DMD:ssä, kun levyn vihreä sektori on lampun reitillä. Sama punainen ja sininen värit.

Kuvan punainen, vihreä ja sininen komponentit näkyvät vuorotellen, mutta erittäin korkealla taajuudella. Näin ollen katsojasta tuntuu, että monivärinen kuva heijastuu valkokankaalle. Varhaisissa malleissa levy pyörii kerran jokaisessa kuvassa. Myöhemmin luotiin projektoreita, joissa levy tekee kaksi tai kolme kierrosta kehystä kohden, ja joissakin projektoreissa levy jaetaan suurempaan määrään sektoreita ja siinä oleva paletti toistetaan kahdesti. Tämä tarkoittaa, että kuvan komponentit näkyvät näytöllä korvaten toisiaan jopa kuusi kertaa yhdessä kehyksessä.

Jotkut viimeaikaiset huippumallit ovat korvanneet pyörivän värilevyn erittäin kirkkailla LED-valoilla kolmessa päävärissä. Koska LEDit voidaan kytkeä päälle ja pois päältä erittäin nopeasti, tämän tekniikan avulla voit edelleen lisätä kuvan värien virkistystaajuutta ja päästä eroon kokonaan melusta ja mekaanisesti liikkuvista osista. Halogeenilampun kieltäytyminen helpottaa myös matriisin lämpötoimintaa.

"Sateenkaariefekti"

Rainbow DLP -efekti

Sateenkaariefekti on ainutlaatuinen yksisiruisille DLP-projektoreille.

Kuten jo mainittiin, vain yksi väri näytetään yhtä kuvaa kohden kerrallaan. Kun silmä liikkuu projisoidun kuvan poikki, nämä eri värit tulevat näkyviin, jolloin silmä havaitsee "sateenkaaren".

Yksisiruisten DLP-projektorien valmistajat ovat löytäneet tien ulos tästä tilanteesta ylikellottamalla pyörivää segmentoitua monivärilevyä tai lisäämällä värisegmenttien määrää, mikä vähentää tätä artefaktia.

LEDien valo mahdollisti tämän vaikutuksen edelleen vähentämisen, koska värien välillä vaihdettiin korkea taajuus.

Lisäksi LEDit voivat lähettää minkä tahansa värin ja voimakkuuden, mikä on lisännyt kuvan gammaa ja kontrastia.

Kolmen sirun projektorit

Tämäntyyppinen DLP-projektori käyttää prismaa jakaa lampun säteen, ja jokainen pääväri ohjataan sitten omalle DMD-sirulleen. Nämä säteet yhdistetään sitten ja kuva heijastetaan näytölle.

Kolmisiruiset projektorit pystyvät tuottamaan enemmän sävy- ja värisävyjä kuin yksisiruiset projektorit, koska jokainen väri on saatavilla pidemmän aikaa ja sitä voidaan moduloida jokaisella videoruudulla. Lisäksi kuva ei ole alttiina välkkymiselle ja "sateenkaariefektille" ollenkaan.

Dolby Digital Cinema 3D

Infitec on kehittänyt pyörivälle kiekolle ja laseille spektrisuodattimet, jotka mahdollistavat kehysten projisoinnin eri silmille spektrin eri osajoukkoihin. Tämän seurauksena jokainen silmä näkee oman, lähes täysvärikuvansa tavallisella valkoisella näytöllä, toisin kuin järjestelmät, joissa projisoitu kuva polarisoituu (kuten IMAX), jotka vaativat erityisen "hopea" näytön polarisaation ylläpitämiseksi heijastuksen yhteydessä. .

Katso myös

Aleksei Borodin DLP-tekniikkaa. Portaali ixbt.com (05-12-2000). Arkistoitu alkuperäisestä 14. toukokuuta 2012.


Wikimedia Foundation. 2010.

Katso, mitä "DLP" on muissa sanakirjoissa:

    DLP- Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tecnología usada en proyectores y televisores de proyección. Alkuperäinen El DLP fue desarrollado Texas Instrumentsilta, y sigue siendo el... ... Wikipedia Español

    DLP- on kolmikirjaiminen lyhenne, jolla on useita merkityksiä, kuten alla on kuvattu: Teknologia Data Loss Prevention on tietoturvan ala Digital Light Processing, projektoreissa ja videoprojektoreissa käytetty tekniikka Diskreetti logaritmiongelma,… … Wikipedia

Nykyään voit usein kuulla sellaisista tekniikoista kuin DLP-järjestelmät. Mikä se on ja missä sitä käytetään? Tämä on ohjelmisto, joka on suunniteltu estämään tietojen häviäminen havaitsemalla mahdolliset epäsäännöllisyydet tiedonsiirrossa ja suodatuksessa. Lisäksi tällaiset palvelut valvovat, havaitsevat ja estävät sen käyttöä, liikkumista (verkkoliikennettä) ja tallennusta.

Pääsääntöisesti luottamuksellisten tietojen vuotaminen johtuu kokemattomien käyttäjien laitteiden käytöstä tai on seurausta haitallisista toimista. Tällaiset tiedot henkilökohtaisten tai yritystietojen, immateriaalioikeuksien (IP), taloudellisten tai lääketieteellisten tietojen, luottokorttitietojen ja vastaavien muodossa edellyttävät tehostettuja suojatoimenpiteitä, joita nykyaikainen tietotekniikka voi tarjota.

Termit "tietojen menetys" ja "tietovuoto" liittyvät toisiinsa, ja niitä käytetään usein keskenään, vaikka ne ovatkin hieman erilaisia. Tietojen menetys muuttuu tietovuodoksi, kun luottamuksellista tietoa sisältävä lähde katoaa ja päätyy sen jälkeen valtuuttamattoman osapuolen käsiin. Tietovuoto on kuitenkin mahdollista ilman tietojen menetystä.

DLP-luokat

Tietovuotojen torjuntaan käytetyt tekniset työkalut voidaan jakaa seuraaviin luokkiin: vakioturvatoimenpiteet, älykkäät (kehittyneet) toimenpiteet, kulunvalvonta ja salaus sekä erikoistuneet DLP-järjestelmät (mitä ne ovat, kuvataan yksityiskohtaisesti alla).

Vakiomitat

Vakioturvatoimet, kuten tunkeutumisen havainnointijärjestelmät (IDS) ja virustorjuntaohjelmistot, ovat yleisiä saatavilla olevia mekanismeja, jotka suojaavat tietokoneita ulkopuolisilta ja sisäpiiriläisiltä hyökkäyksiltä. Esimerkiksi palomuurin liittäminen estää luvattoman pääsyn sisäverkkoon ja tunkeutumisen havainnointijärjestelmä havaitsee tunkeutumisyritykset. Sisäiset hyökkäykset voidaan estää tarkistamalla luottamuksellisia tietoja lähettäviin tietokoneisiin asennetut virustorjuntaohjelmat sekä käyttämällä palveluita, jotka toimivat asiakas-palvelin-arkkitehtuurissa ilman henkilökohtaisia ​​tai luottamuksellisia tietoja tietokoneeseen tallentamatta.

Lisäturvatoimenpiteet

Lisäturvatoimet käyttävät pitkälle erikoistuneita palveluita ja ajoitusalgoritmeja havaitsemaan epänormaalit tietojen (eli tietokannat tai tiedonhakujärjestelmät) tai epänormaalit sähköpostin vaihdot. Lisäksi tällaiset nykyaikaiset tietotekniikat tunnistavat ohjelmat ja pyynnöt, joilla on pahantahtoinen tarkoitus, ja suorittavat tietokonejärjestelmien syvätarkistuksia (esimerkiksi näppäinpainallusten tai kaiuttimien äänet). Jotkut tällaiset palvelut voivat jopa seurata käyttäjien toimintaa havaitakseen epätavallisen tiedonsaannin.

Räätälöidyt DLP-järjestelmät - mitä se on?

Tietoturvaa varten suunnitellut DLP-ratkaisut on suunniteltu havaitsemaan ja estämään luvattomat yritykset kopioida tai siirtää arkaluonteisia tietoja (joko tarkoituksellisesti tai tahattomasti) ilman lupaa tai pääsyä, tyypillisesti käyttäjiltä, ​​joilla on käyttöoikeudet arkaluonteisiin tietoihin.

Tiettyjen tietojen luokittelemiseksi ja pääsyn säätelemiseksi nämä järjestelmät käyttävät mekanismeja, kuten tietojen tarkkaa vastaavuutta, jäsenneltyä sormenjälkien ottoa, sääntöjen ja säännöllisten lausekkeiden hyväksymistä, koodilauseiden julkaisemista, käsitteellisiä määritelmiä ja avainsanoja. DLP-järjestelmien tyypit ja vertailu voidaan esittää seuraavasti.

Verkko-DLP (tunnetaan myös nimellä data in motion tai DiM)

Pääsääntöisesti kyseessä on laitteistoratkaisu tai ohjelmisto, joka asennetaan kehän läheltä lähteviin verkkopisteisiin. Se analysoi verkkoliikennettä havaitakseen arkaluontoisia tietoja, jotka lähetetään vastoin

Päätepiste DLP (tiedot käytettäessä )

Tällaiset järjestelmät toimivat eri organisaatioiden loppukäyttäjien työasemilla tai palvelimilla.

Kuten muissakin verkkojärjestelmissä, päätepiste voi kohdata sekä sisäisen että ulkoisen viestinnän, ja siksi sitä voidaan käyttää ohjaamaan tiedonkulkua käyttäjätyyppien tai käyttäjäryhmien välillä (esim. palomuurit). Ne pystyvät myös seuraamaan sähköpostia ja pikaviestintää. Tämä tapahtuu seuraavasti - ennen kuin viestit ladataan laitteelle, palvelu tarkistaa ne ja jos ne sisältävät epäsuotuisan pyynnön, ne estetään. Tämän seurauksena niistä tulee korjaamattomia, eikä niihin sovelleta tietojen tallentamista laitteeseen.

DLP-järjestelmän (teknologian) etuna on, että se voi ohjata ja hallita pääsyä fyysisiin laitteisiin (esimerkiksi mobiililaitteisiin, joissa on tallennusominaisuudet) ja joskus päästä käsiksi tietoihin ennen kuin se on salattu.

Jotkin päätepistepohjaiset järjestelmät voivat myös tarjota sovellusten hallinnan estääkseen yritykset lähettää arkaluonteisia tietoja sekä antaa välitöntä palautetta käyttäjälle. Niissä on kuitenkin se haittapuoli, että ne on asennettava jokaiselle verkon työasemalle, eikä niitä voida käyttää mobiililaitteissa (esimerkiksi matkapuhelimissa ja PDA-laitteissa) tai sellaisiin kohteisiin, joissa niitä ei voida käytännössä asentaa (esimerkiksi työasemalle Internet-kahvila). Tämä seikka on otettava huomioon valittaessa DLP-järjestelmää mihin tahansa tarkoitukseen.

Tietojen tunnistaminen

DLP-järjestelmissä on useita menetelmiä, joilla pyritään tunnistamaan salaisia ​​tai luottamuksellisia tietoja. Tämä prosessi sekoitetaan joskus salauksen purkamiseen. Tietojen tunnistaminen on kuitenkin prosessi, jossa organisaatiot käyttävät DLP-tekniikkaa määrittääkseen, mitä etsiä (liikkeessä, levossa tai käytössä).

Tiedot luokitellaan jäsennellyiksi tai jäsentelemättömiksi. Ensimmäinen tyyppi on tallennettu tiedoston (kuten laskentataulukon) kiinteisiin kenttiin, kun taas jäsentämätön viittaa vapaamuotoiseen tekstiin (tekstiasiakirjojen tai PDF-tiedostojen muodossa).

Asiantuntijoiden mukaan 80 % kaikesta tiedosta on strukturoimatonta. Vastaavasti 20 % on strukturoituja. perustuu sisältöanalyysiin, joka keskittyy strukturoituun informaatioon ja kontekstuaaliseen analyysiin. Se tehdään paikassa, jossa sovellus tai järjestelmä, josta tiedot ovat peräisin, luotiin. Siten vastaus kysymykseen "DLP-järjestelmät - mikä se on?" määrittää tiedon analysointialgoritmin.

Käytetyt menetelmät

Arkaluontoisen sisällön kuvaamismenetelmiä on nykyään lukuisia. Ne voidaan jakaa kahteen luokkaan: tarkkoja ja epätarkkoja.

Tarkkoja menetelmiä ovat ne, jotka sisältävät sisältöanalyysin ja vähentävät vääriä positiivisia vastauksia kyselyihin käytännössä nollaan.

Kaikki muut ovat epätarkkoja ja voivat sisältää: sanakirjat, avainsanat, säännölliset lausekkeet, laajennetut säännölliset lausekkeet, datan sisällönkuvauskentät, Bayes-analyysi, tilastollinen analyysi jne.

Analyysin tehokkuus riippuu suoraan sen tarkkuudesta. Korkealuokkaisella DLP-järjestelmällä on korkea suorituskyky tässä parametrissa. DLP-tunnistuksen tarkkuus on välttämätöntä väärien positiivisten ja negatiivisten seurausten välttämiseksi. Tarkkuus voi riippua monista tekijöistä, joista osa voi olla tilannekohtaisia ​​tai teknologisia. Tarkkuustestauksella voidaan varmistaa DLP-järjestelmän luotettavuus – lähes nolla vääriä positiivisia.

Tietovuotojen havaitseminen ja estäminen

Joskus tiedonjakelulähde antaa arkaluonteisia tietoja kolmansien osapuolten saataville. Jonkin ajan kuluttua osa niistä löytyy todennäköisesti luvattomasta paikasta (esimerkiksi Internetistä tai toisen käyttäjän kannettavasta tietokoneesta). DLP-järjestelmien, joiden hinnat ovat kehittäjien pyynnöstä toimittamia ja jotka voivat vaihdella useista kymmenistä useisiin tuhansiin ruplaihin, on sitten tutkittava, miten tiedot on vuotaneet - yhdeltä tai useammalta kolmannelta osapuolelta, onko se tehty toisistaan ​​riippumatta, onko vuoto saatiin aikaan millä tahansa muulla tavalla jne.

Data levossa

"Lepotilassa oleva data" tarkoittaa vanhoja arkistoituja tietoja, jotka on tallennettu jollekin asiakastietokoneen kiintolevylle, etätiedostopalvelimelle, levylle Tämä määritelmä koskee myös varmuuskopiojärjestelmään (flash-asemille tai CD-levyille) tallennettuja tietoja. Nämä tiedot ovat erittäin kiinnostavia yrityksille ja valtion virastoille yksinkertaisesti siksi, että suuri määrä dataa on käyttämättä tallennuslaitteissa ja on todennäköisempää, että luvattomat henkilöt voivat käyttää niitä verkon ulkopuolella.

(Tietojen katoamisen esto)

Järjestelmät käyttäjien toimien valvontaan, järjestelmä luottamuksellisten tietojen suojaamiseen sisäisiltä uhilta.

DLP-järjestelmiä käytetään luottamuksellisten tietojen havaitsemiseen ja estämiseen eri vaiheissa. (siirron, käytön ja varastoinnin aikana). DLP-järjestelmä mahdollistaa:

    Hallitse käyttäjien työtä, estäen hallitsemattoman työajan tuhlauksen henkilökohtaisiin tarkoituksiin.

    Tallenna automaattisesti, käyttäjän huomaamatta, kaikki toiminnot, mukaan lukien lähetetyt ja vastaanotetut sähköpostit, chatit ja pikaviestit, sosiaaliset verkostot, vieraillut verkkosivustot, näppäimistöllä kirjoitetut tiedot, siirretyt, tulostetut ja tallennetut tiedostot jne.

    Tarkkaile tietokonepelien käyttöä työpaikalla ja ota huomioon tietokonepeleihin käytetyn työajan määrä.

    Tarkkaile käyttäjien verkkotoimintaa, ota huomioon verkkoliikenteen määrä

    Hallitse asiakirjojen kopioimista eri tietovälineille (siirrettävä tietoväline, kiintolevyt, verkkokansiot jne.)

    Hallitse käyttäjän verkkotulostusta

    Tallenna käyttäjien pyynnöt hakukoneille jne.

    Data liikkeessä - data liikkeessä - sähköpostiviestit, verkkoliikenteen siirto, tiedostot jne.

    Lepotilassa olevat tiedot - tallennetut tiedot - tiedot työasemista, tiedostopalvelimista, USB-laitteista jne.

    Käytössä olevat tiedot - käytössä olevat tiedot - tällä hetkellä käsiteltävät tiedot.

DLP-ratkaisujen arkkitehtuuri voi vaihdella eri kehittäjien välillä, mutta yleisesti ottaen on olemassa kolme päätrendiä:

    Sieppaajat ja ohjaimet eri tiedonsiirtokanaville. Sieppaajat analysoivat läpi kulkevia tietovirtoja, jotka lähtevät yrityksen ulkopuolelta, havaitsevat luottamukselliset tiedot, luokittelevat tiedot ja välittävät sen hallintapalvelimelle mahdollisen tapahtuman käsittelyä varten. Lepotilan etsintäohjaimet suorittavat arkaluonteisten tietojen etsintäprosesseja verkkoresursseista. Työasemien toiminnan ohjaimet jakavat tietoturvakäytännöt loppulaitteisiin (tietokoneisiin), analysoivat työntekijöiden toiminnan tuloksia luottamuksellisilla tiedoilla ja välittävät mahdollisia tapaustietoja hallintapalvelimelle.

    Päätelaitteisiin asennetut agenttiohjelmat: huomaa käsittelyn luottamukselliset tiedot ja valvo sääntöjen noudattamista, kuten tietojen tallentamista siirrettävälle tietovälineelle, lähettämistä, tulostamista, kopioimista leikepöydän kautta.

    Keskushallintapalvelin - vertaa sieppaajilta ja ohjaimista saatuja tietoja ja tarjoaa käyttöliittymän tapahtumien käsittelyyn ja raporttien luomiseen.

DLP-ratkaisut tarjoavat laajan valikoiman yhdistettyjä tiedonhakumenetelmiä:

    Asiakirjojen ja niiden osien digitaaliset tulosteet

    Tietokantojen digitaaliset sormenjäljet ​​ja muu strukturoitu tieto, joka on tärkeää suojata jakelulta

    Tilastolliset menetelmät (järjestelmän herkkyyden lisääminen, kun rikkomukset toistuvat).

DLP-järjestelmiä käytettäessä useita toimenpiteitä suoritetaan tyypillisesti syklisesti:

    Järjestelmän koulutus tietojen luokittelun periaatteissa.

    Vastaussääntöjen syöttäminen havaittujen tietojen luokkaan ja työntekijäryhmiin, joiden toimintaa tulee seurata. Luotetut käyttäjät on korostettu.

    DLP-järjestelmän ohjaustoiminnon suorittaminen (järjestelmä analysoi ja normalisoi tiedot, suorittaa vertailun tietojen havaitsemisen ja luokittelun periaatteisiin ja kun luottamuksellisia tietoja havaitaan, järjestelmä vertaa sitä olemassa oleviin käytäntöihin, jotka on määritetty havaittuun tietoluokkaan ja tarvittaessa aiheuttaa tapahtuman)

    Tapahtumien käsittely (esimerkiksi ilmoita, keskeytä tai estä lähetys).

VPN:n luomisen ja käytön ominaisuudet turvallisuusnäkökulmasta

Vaihtoehdot VPN:n rakentamiseen:

    Perustuu verkkokäyttöjärjestelmiin

    Reititinpohjainen

    Perustuu ITU:hun

    Perustuu erikoisohjelmistoihin ja -laitteistoihin

    Perustuu erikoisohjelmistoon

Jotta VPN toimisi oikein ja turvallisesti, sinun on ymmärrettävä VPN:n ja palomuurien välisen vuorovaikutuksen perusteet:

    VPN:t pystyvät luomaan päästä päähän -viestintätunneleita, jotka kulkevat verkon kehän läpi, ja ovat siksi erittäin ongelmallisia palomuurin pääsynhallinnan kannalta, mikä vaikeuttaa salatun liikenteen analysointia.

    Salausominaisuuksiensa ansiosta VPN-verkkoja voidaan käyttää ohittamaan IDS-järjestelmät, jotka eivät pysty havaitsemaan tunkeutumista salatuista viestintäkanavista.

    Verkkoarkkitehtuurista riippuen kaikki tärkeä verkko-osoitteen muunnos (NAT) ei ehkä ole yhteensopiva joidenkin VPN-toteutusten jne. kanssa.

Pohjimmiltaan päättäessään VPN-komponenttien toteuttamisesta verkkoarkkitehtuurissa järjestelmänvalvoja voi joko valita VPN:n erilliseksi ulkoiseksi laitteeksi tai integroida VPN:n palomuuriin tarjotakseen molemmat toiminnot yhdessä järjestelmässä.

    ITU + erillinen VPN. VPN-isännöintivaihtoehdot:

    1. DMZ:n sisällä, palomuurin ja rajareitittimen välissä

      Suojatun verkon sisällä ITU-verkkosovittimissa

      Suojatun verkon sisällä, palomuurin takana

      Rinnakkain ITU:n kanssa suojatun verkon sisääntulopisteessä.

    Palomuuri + VPN, isännöi yhtenä yksikkönä - tällainen integroitu ratkaisu on teknisen tuen kannalta kätevämpi kuin edellinen vaihtoehto, ei aiheuta NAT:iin (verkko-osoitteiden käännökseen) liittyviä ongelmia ja tarjoaa luotettavamman pääsyn tietoihin, joita varten palomuuri on vastuussa. Integroidun ratkaisun haittana on tällaisen työkalun hankinnan korkeat alkukustannukset sekä rajalliset mahdollisuudet optimoida vastaavia VPN- ja palomuurikomponentteja (eli tyydyttävimmät ITU-toteutukset eivät välttämättä sovellu VPN-komponenttien rakentamiseen niille VPN:llä voi olla merkittävä vaikutus verkon suorituskykyyn ja latenssia voi esiintyä seuraavien vaiheiden aikana:

    1. Kun muodostat suojattua yhteyttä VPN-laitteiden välille (todennus, avainten vaihto jne.)

      Suojattujen tietojen salaukseen ja salauksen purkamiseen liittyvät viiveet sekä niiden eheyden hallitsemiseen tarvittavat muunnokset

      Viiveet, jotka liittyvät uuden otsikon lisäämiseen lähetettyihin paketteihin

Sähköpostin suojaus

Tärkeimmät sähköpostiprotokollat: (E)SMTP, POP, IMAP.

SMTP - yksinkertainen sähköpostin siirtoprotokolla, TCP-portti 25, ei todennusta. Laajennettu SMTP - asiakastodennus on lisätty.

POP - post Office Protocol 3 - sähköpostin vastaanottaminen palvelimelta. Selkeä teksti -todennus. APOP - todennustoiminnolla.

IMAP - Internet message access protocol - on salaamaton sähköpostiprotokolla, joka yhdistää POP3:n ja IMAP:n ominaisuudet. Voit työskennellä suoraan postilaatikkosi kanssa ilman, että sinun tarvitsee ladata kirjeitä tietokoneellesi.

Normaalien tiedon salauskeinojen puuttuessa päätimme käyttää SSL:ää näiden protokollien tietojen salaamiseen. Sieltä syntyi seuraavat lajikkeet:

POP3 SSL - portti 995, SMTP SSL (SMTPS) portti 465, IMAP SSL (IMAPS) - portti 993, kaikki TCP.

Sähköpostijärjestelmän kanssa työskentelevä hyökkääjä voi saavuttaa seuraavat tavoitteet:

    Hyökkääminen käyttäjän tietokoneeseen lähettämällä sähköpostiviruksia, lähettämällä väärennettyjä sähköposteja (lähettäjän osoitteen väärentäminen SMTP:ssä on triviaali tehtävä), muiden ihmisten sähköpostien lukeminen.

    Sähköpostipalvelimeen kohdistuva hyökkäys sähköpostilla, jonka tarkoituksena on tunkeutua sen käyttöjärjestelmään tai palvelun estäminen

    Postipalvelimen käyttäminen välittäjänä ei-toivottujen viestien (roskapostin) lähettämiseen

    Salasanan sieppaus:

    1. Salasanojen sieppaus POP- ja IMAP-istunnoissa, jonka seurauksena hyökkääjä voi vastaanottaa ja poistaa postia käyttäjän tietämättä

      Salasanojen sieppaus SMTP-istunnoissa - minkä seurauksena hyökkääjä voidaan laittomasti valtuuttaa lähettämään sähköpostia tämän palvelimen kautta

POP-, IMAP- ja SMTP-protokollien turvallisuusongelmien ratkaisemiseksi käytetään useimmiten SSL-protokollaa, jonka avulla voit salata koko viestintäistunnon. Haitta: SSL on resurssiintensiivinen protokolla, joka voi merkittävästi hidastaa viestintää.

Roskaposti ja taistelu sitä vastaan

Vilpillisen roskapostin tyypit:

    Lotto - innostunut ilmoitus voitoista arpajaisissa, joihin viestin vastaanottaja ei osallistunut. Sinun tarvitsee vain vierailla sopivalla verkkosivustolla ja syöttää tilinumerosi ja korttisi PIN-koodi, joita väitetään vaadittavan toimituspalveluiden maksamiseen.

    Huutokaupat – tämän tyyppinen petos koostuu huijareiden myymien tavaroiden puuttumisesta. Maksamisen jälkeen asiakas ei saa mitään.

    Tietojenkalastelu on kirje, joka sisältää linkin johonkin resurssiin, johon he haluavat sinun toimittavan tietoja jne. Henkilökohtaisten ja luottamuksellisten tietojen herkkäuskoisten tai välinpitämättömien käyttäjien houkutteleminen. Huijarit lähettävät paljon kirjeitä, jotka yleensä naamioituvat virallisiksi kirjeiksi eri laitoksilta ja sisältävät linkkejä houkutussivustoille, jotka kopioivat visuaalisesti pankkien, myymälöiden ja muiden organisaatioiden sivustoja.

    Postipetoksilla tarkoitetaan henkilöstön rekrytointia yritykseen, jonka oletetaan tarvitsevan mihin tahansa maahan edustajaa, joka voi hoitaa tavaran lähettämisen tai rahansiirron ulkomaiselle yritykselle. Pääsääntöisesti rahanpesuohjelmat ovat piilossa täällä.

    Nigerialaiset kirjeet - pyydä tallettamaan pieni summa ennen rahan vastaanottamista.

    Onnen kirjeitä

Roskaposti voi olla massaa tai kohdistettua.

Joukkoroskapostilla ei ole erityisiä kohteita, ja se käyttää vilpillisiä manipulointitekniikoita suuria määriä ihmisiä vastaan.

Kohdennettu roskaposti on tiettyyn henkilöön tai organisaatioon suunnattu tekniikka, jossa hyökkääjä toimii sen organisaation johtajan, ylläpitäjän tai muun työntekijän puolesta, jossa uhri työskentelee tai hyökkääjä edustaa yritystä, jonka kanssa kohdeorganisaatio on perustanut luotettu suhde.

Osoitteiden kerääminen suoritetaan valitsemalla erisnimet, kauniit sanat sanakirjoista, usein esiintyviä sana-numeroyhdistelmiä, analogiamenetelmää, skannaamalla kaikki saatavilla olevat tietolähteet (chat-huoneet, foorumit jne.), varastamalla tietokantoja jne.

Vastaanotetut osoitteet varmistetaan (tarkistetaan niiden oikeellisuus) lähettämällä testiviesti, lisäämällä viestin tekstiin yksilöllinen linkki kuvaan latauslaskurilla tai "peru roskapostiviestien tilaus" -linkki.

Tämän jälkeen roskaposti lähetetään joko suoraan vuokratuilta palvelimilta tai väärin määritetyistä laillisista sähköpostipalveluista tai haittaohjelmien piiloasennuksen kautta käyttäjän tietokoneelle.

Hyökkääjä vaikeuttaa roskapostisuodattimien työtä lisäämällä satunnaisia ​​tekstejä, kohinaa tai näkymätöntä tekstiä, käyttämällä graafisia kirjaimia tai vaihtamalla graafisia kirjaimia, pirstoutuneita kuvia, mukaan lukien animaatioiden käyttö, ja esilauseilla tekstejä.

Roskapostin vastaiset menetelmät

Roskapostin suodattamiseen on kaksi päämenetelmää:

    Suodatus sähköpostiviestin muodollisten ominaisuuksien mukaan

    Suodata sisällön mukaan

    Muodollinen menetelmä

    1. Fragmentointi luetteloiden mukaan: musta, valkoinen ja harmaa. Harmaat listat ovat tapa estää väliaikaisesti viestit, joissa on tuntematon sähköpostiosoite ja lähetyspalvelimen IP-osoite. Kun ensimmäinen yritys päättyy tilapäiseen epäonnistumiseen (yleensä roskapostitusohjelmat eivät lähetä kirjettä uudelleen). Tämän menetelmän haittana on mahdollinen pitkä aikaväli laillisen viestin lähettämisen ja vastaanottamisen välillä.

      Sen tarkistaminen, onko viesti lähetetty oikealta vai väärältä (vääre)postipalvelimelta viestissä määritetyltä toimialueelta.

      "Takaisinsoitto" - vastaanotettuaan saapuvan yhteyden vastaanottava palvelin keskeyttää istunnon ja simuloi työistuntoa lähettävän palvelimen kanssa. Jos yritys epäonnistuu, keskeytetty yhteys katkaistaan ​​ilman jatkokäsittelyä.

      Suodatus kirjeen muodollisten ominaisuuksien mukaan: lähettäjän ja vastaanottajan osoitteet, koko, liitteiden läsnäolo ja lukumäärä, lähettäjän IP-osoite jne.

    Kielelliset menetelmät - työskentely kirjeen sisällön kanssa

    1. Kirjeen sisällön tunnistaminen - roskapostisisällön merkkien esiintyminen kirjeessä tarkistetaan: tietty joukko ja tiettyjen lauseiden jakautuminen kirjeessä.

      Tunnistus kirjainnäytteillä (allekirjoituspohjainen suodatusmenetelmä, mukaan lukien graafiset allekirjoitukset)

      Bayesilainen suodatus on tiukasti sanasuodatusta. Saapuvaa kirjettä tarkistettaessa todennäköisyys sille, että se on roskapostia, lasketaan tekstinkäsittelyn perusteella, joka sisältää tietyn kirjeen kaikkien sanojen keskimääräisen "painon" laskemisen. Kirje luokitellaan roskapostiksi vai ei roskapostiksi sen perusteella, ylittääkö sen paino tietyn käyttäjän määrittämän kynnyksen. Kun kirjaimesta on tehty päätös, sen sisältämien sanojen ”painot” päivitetään tietokantaan.

Todennus tietokonejärjestelmissä

Todennusprosessit voidaan jakaa seuraaviin luokkiin:

    Mutta perustuen tietoon jostain (PIN, salasana)

    Perustuu jonkin asian (älykortti, USB-avain) hallussapitoon

    Ei perustu luontaisiin ominaisuuksiin (biometrisiin ominaisuuksiin)

Todennustyypit:

    Yksinkertainen todennus salasanoilla

    Vahva todennus monitekijätarkastuksilla ja salausmenetelmillä

    Biometrinen todennus

Tärkeimmät hyökkäykset todennusprotokollia vastaan ​​ovat:

    "Naamiainen" - kun käyttäjä yrittää esiintyä toisena käyttäjänä

    Uudelleenlähetys - kun siepattu salasana lähetetään toisen käyttäjän puolesta

    Pakotettu viive

Tällaisten hyökkäysten estämiseksi käytetään seuraavia tekniikoita:

    Mekanismit, kuten haaste-vastaus, aikaleimat, satunnaisluvut, digitaaliset allekirjoitukset jne.

    Todennustuloksen linkittäminen seuraaviin käyttäjän toimiin järjestelmässä.

    Todennustoimenpiteiden suorittaminen ajoittain jo muodostetun viestintäistunnon aikana.

    Yksinkertainen todennus

    1. Todennus perustuu uudelleenkäytettäviin salasanoihin

      Kertaluonteisiin salasanoihin perustuva todennus - OTP (kertakäyttöinen salasana) - kertakäyttöiset salasanat ovat voimassa vain yhdellä kirjautumiskerralla ja ne voidaan luoda OTP-tunnuksella. Tätä varten käytetään käyttäjän salaista avainta, joka sijaitsee sekä OTP-tunnuksen sisällä että todennuspalvelimella.

    Tiukka todennus tarkoittaa, että todistaja todistaa aitouden luottavalle osapuolelle osoittamalla tietävänsä tietyn salaisuuden. Tapahtuu:

    1. Yksipuolinen

      Kaksipuolinen

      Kolmikanta

Voidaan suorittaa älykorttien tai USB-avainten tai kryptografian perusteella.

Vahva todennus voidaan toteuttaa käyttämällä kaksi- tai kolmivaiheista varmennusprosessia.

Kaksivaiheisessa todennuksen yhteydessä käyttäjän on todistettava, että hän tietää salasanan tai PIN-koodin ja että hänellä on tietty henkilökohtainen tunniste (älykortti tai USB-avain).

Kolmivaiheinen todennus edellyttää, että käyttäjä antaa toisen tyyppisen tunnistustavan, kuten biometriset tiedot.

Vahva todennus salausprotokollia käyttämällä voi perustua symmetriseen ja epäsymmetriseen salaukseen sekä hash-toimintoihin. Todistava osapuoli todistaa tietävänsä salaisuuden, mutta itse salaisuutta ei paljasteta. Kertaluonteisia parametreja (satunnaislukuja, aikaleimoja ja järjestysnumeroita) käytetään estämään toistuva lähetys, varmistamaan lähetettyjen viestien ainutlaatuisuus, yksiselitteisyys ja aikatakuu.

Biometrinen käyttäjän todennus

Yleisimmin käytetyt biometriset ominaisuudet ovat:

    Sormenjäljet

    Suonen kuvio

    Käden geometria

    Iiris

    Kasvojen geometria

    Yhdistelmät edellä mainituista

Kulunvalvonta kertakirjautumismallilla, jossa on SSO (Single Sign-On) -valtuutus

SSO sallii yritysverkon käyttäjän suorittaa vain yhden todennuksen verkkoon kirjautuessaan esittämällä vain yhden salasanan tai muun vaaditun autentikaattorin kerran ja päästä sitten ilman lisätodennusta kaikkiin valtuutettuihin verkkoresursseihin, joita tarvitaan Job. Digitaalisia todennustyökaluja, kuten tokeneja, digitaalisia PKI-varmenteita, älykortteja ja biometrisiä laitteita käytetään aktiivisesti. Esimerkkejä: Kerberos, PKI, SSL.

Tietoturvaloukkauksiin reagointi

Tietoturvan hallintajärjestelmän tehtävistä voidaan tunnistaa kaksi merkittävintä:

    Tapahtuman ehkäisy

    Jos niitä ilmenee, reagoida ajoissa ja oikein

Ensimmäinen tehtävä perustuu useimmissa tapauksissa erilaisten tietoturvatyökalujen hankintaan.

Toinen tehtävä riippuu yrityksen valmiusasteesta tällaisiin tapahtumiin:

        Koulutetun IS-onnettomuuksien reagointiryhmän läsnäolo, jolla on valmiiksi määrätyt roolit ja vastuut.

        Hyvin harkitun ja toisiinsa yhdistetyn dokumentaation saatavuus tietoturvaloukkausten hallintamenettelystä, erityisesti havaittujen poikkeamien reagoinnista ja tutkinnasta.

        Valmiiden resurssien saatavuus vastausryhmän tarpeisiin (viestintävälineet, ..., turvallinen)

        Ajantasaisen tietopohjan saatavuus tapahtuneista tietoturvahäiriöistä

        Käyttäjien korkea tietoturvan taso

        Vastausryhmän pätevyys ja koordinointi

Tietoturvaloukkausten hallintaprosessi koostuu seuraavista vaiheista:

    Valmistelu – tapausten ehkäiseminen, torjuntaryhmien valmistelu, politiikkojen ja menettelytapojen kehittäminen jne.

    Havaitseminen – suojausilmoitus, käyttäjäilmoitus, suojauslokianalyysi.

    Analyysi – tapahtuman tapahtuneen vahvistaminen, tapahtumasta saatavilla olevan tiedon kerääminen, vaikutuksen kohteena olevien omaisuuserien tunnistaminen ja vaaratilanteen luokittelu turvallisuuden ja tärkeysjärjestyksen mukaan.

    Reagointi - tapahtuman pysäyttäminen ja todisteiden kerääminen, toimenpiteiden toteuttaminen tapahtuman pysäyttämiseksi ja näyttöön perustuvan tiedon säilyttäminen, näyttöön perustuvan tiedon kerääminen, vuorovaikutus sisäisten osastojen, kumppaneiden ja asianosaisten kanssa sekä ulkopuolisten asiantuntijaorganisaatioiden houkutteleminen.

    Tutkinta – tietoturvaloukkausten olosuhteiden selvitys, ulkopuolisten asiantuntijaorganisaatioiden osallistuminen ja vuorovaikutus kaikkien asianosaisten sekä lainvalvonta- ja oikeusviranomaisten kanssa.

    Palauttaminen – toimenpiteiden toteuttaminen tapahtumaan johtaneiden haavoittuvuuksien sulkemiseksi, tapahtuman seurausten eliminoiminen, vaikutusalaan kuuluvien palveluiden ja järjestelmien toimivuuden palauttaminen. Vakuutusilmoituksen rekisteröinti.

    Tehokkuusanalyysi ja modernisointi - tapahtuman analysointi, tietoturvapoikkeamien ja niihin liittyvien asiakirjojen tutkintaprosessin tehokkuuden analyysi ja modernisointi, yksityiset ohjeet. Raportin tuottaminen tutkinnasta ja johtamisen turvajärjestelmän modernisointitarpeesta, tiedon kerääminen tapahtumasta, lisääminen tietokantaan ja tietojen tallentaminen tapahtumasta.

Tehokalla tietoturvaloukkausten hallintajärjestelmällä on seuraavat tavoitteet:

    Varmistetaan tietoturvaloukkauksista kerätyn todistusaineiston oikeudellinen merkitys

    Varmistetaan toimenpiteiden oikea-aikaisuus ja oikeellisuus tietoturvaloukkauksiin reagoimiseksi ja niiden tutkimiseksi

    Varmistetaan kyky tunnistaa tietoturvapoikkeamien olosuhteet ja syyt tietoturvajärjestelmän edelleen modernisoimiseksi

    Sisäisten ja ulkoisten tietoturvaloukkausten tutkinnan ja oikeudellisen tuen tarjoaminen

    Varmistetaan mahdollisuus nostaa hyökkääjät syytteeseen ja saattaa heidät oikeuden eteen lain edellyttämällä tavalla

    Tietoturvaloukkauksesta aiheutuneiden vahinkojen korvausmahdollisuuden varmistaminen lain mukaisesti

Tietoturvaloukkausten hallintajärjestelmä on yleensä vuorovaikutuksessa ja integroituu seuraavien järjestelmien ja prosessien kanssa:

    Tietoturvan hallinta

    Riskien hallinta

    Liiketoiminnan jatkuvuuden varmistaminen

Integraatio ilmaistaan ​​dokumentoinnin johdonmukaisuudessa ja prosessien välisen vuorovaikutusjärjestyksen formalisoinnissa (syöttö-, lähtö- ja siirtymäolosuhteet).

Tietoturvaloukkausten hallintaprosessi on varsin monimutkainen ja laaja. Se vaatii valtavan tiedon keräämistä, käsittelyä ja tallentamista sekä monien rinnakkaisten tehtävien suorittamista, joten markkinoilla on monia työkaluja, joiden avulla voit automatisoida tiettyjä tehtäviä, esimerkiksi ns. SIEM-järjestelmät. (turvallisuustiedot ja tapahtumien hallinta).

Chief Information Officer (CIO) – tietotekniikan johtaja

Chief Information Security Officer (CISO) – tietoturvaosaston päällikkö, tietoturvajohtaja

SIEM-järjestelmien päätehtävänä ei ole vain kerätä tapahtumia eri lähteistä, vaan automatisoida tapahtumien havaitseminen oman lokinsa tai ulkoisen järjestelmän dokumentoinnilla sekä tapahtumasta tiedottaminen ajoissa. SIEM-järjestelmällä on seuraavat tehtävät:

    Tapahtumalokien yhdistäminen ja tallennus eri lähteistä - verkkolaitteet, sovellukset, käyttöjärjestelmän lokit, suojaustyökalut

    Tapahtumien analysoinnin ja tapausanalyysin työkalujen esittely

    Korrelaatio ja käsittely tapahtuneiden tapahtumien sääntöjen mukaisesti

    Automaattinen ilmoitus ja tapahtumahallinta

SIEM-järjestelmät pystyvät tunnistamaan:

    Verkkohyökkäykset sisäisillä ja ulkoisilla alueilla

    Virusepidemiat tai yksittäiset virustartunnat, poistamattomat virukset, takaovet ja troijalaiset

    Yritykset päästä luvatta luottamuksellisiin tietoihin

    Virheet ja toimintahäiriöt IS:n toiminnassa

    Haavoittuvuudet

    Virheet konfiguraatiossa, turvatoimissa ja tietojärjestelmissä.

SIEM:n tärkeimmät lähteet

    Kulunvalvonta- ja todennustiedot

    Palvelimen ja työaseman tapahtumalokit

    Verkon aktiiviset laitteet

  1. Virustorjunta

    Haavoittuvuusskannerit

    Järjestelmät riskien, uhkien kriittisyyden ja tapahtumien priorisointiin

    Muut järjestelmät tietoturvakäytäntöjen suojaamiseksi ja hallitsemiseksi:

    1. DLP-järjestelmät

      Kulunvalvontalaitteet jne.

  2. Varastojärjestelmät

    Liikenteen laskentajärjestelmät

Tunnetuimmat SIEM-järjestelmät:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

Ennen kuin tutkit ja keskustelet DLP-järjestelmämarkkinoista yksityiskohtaisesti, sinun on päätettävä, mitä tämä tarkoittaa. DLP-järjestelmät tarkoittavat yleensä ohjelmistotuotteita, jotka on luotu suojaamaan organisaatioita ja yrityksiä turvaluokiteltujen tietojen vuotamista vastaan. Näin itse lyhenne DLP käännetään venäjäksi (kokonaan - Data Leak Prevention) - "tietovuotojen välttäminen".

Tällaiset järjestelmät pystyvät luomaan digitaalisen suojatun "kehän" kaiken lähtevän tai saapuvan tiedon analysoimiseksi. Tämän järjestelmän ohjaama tieto on Internet-liikenne ja lukuisat tietovirrat: suojatun ”kehän” ulkopuolelle viedyt asiakirjat ulkoiselle medialle, tulostettu tulostimelle, lähetetty mobiililaitteisiin Bluetoothin kautta. Koska erilaisten tietojen lähettäminen ja vaihtaminen on nykyään väistämätöntä, tällaisen suojan merkitys on ilmeinen. Mitä enemmän digitaali- ja internetteknologioita käytetään, sitä enemmän turvatakuita tarvitaan päivittäin erityisesti yritysympäristöissä.

Kuinka se toimii?

Koska DLP-järjestelmän on torjuttava yrityksen luottamuksellisten tietojen vuotamista, siinä on luonnollisesti sisäänrakennetut mekanismit minkä tahansa siepatetusta liikenteestä löydettyjen asiakirjojen luottamuksellisuuden diagnosoimiseksi. Tässä tapauksessa on kaksi yleistä tapaa tunnistaa tiedostojen luottamuksellisuusaste: tarkistamalla erityiset merkit ja analysoimalla sisältöä.

Tällä hetkellä toinen vaihtoehto on relevantti. Se kestää paremmin tiedostoon tehtäviä muutoksia ennen sen lähettämistä ja mahdollistaa myös luottamuksellisten asiakirjojen määrän lisäämisen, joita järjestelmä voi käsitellä.

Toissijaiset DLP-tehtävät

Tietovuotojen estämiseen liittyvän päätehtävänsä lisäksi DLP-järjestelmät soveltuvat myös monien muiden henkilöstön toiminnan seurantaan tähtäävien tehtävien ratkaisemiseen. Useimmiten DLP-järjestelmät ratkaisevat joukon seuraavia ongelmia:

  • organisaation henkilöstön työajan ja työresurssien täydellinen valvonta;
  • työntekijöiden viestinnän seuranta, jotta voidaan havaita heidän mahdollisuutensa aiheuttaa vahinkoa organisaatiolle;
  • työntekijöiden toiminnan valvonta laillisuuden kannalta (väärennösten tuotannon estäminen);
  • Ansioluetteloita lähettävien työntekijöiden tunnistaminen löytääkseen nopeasti henkilöstöä avoimeen paikkaan.

DLP-järjestelmien luokittelu ja vertailu

Kaikki olemassa olevat DLP-järjestelmät voidaan jakaa tiettyjen ominaisuuksien mukaan useisiin pääalatyyppeihin, joista jokainen erottuu ja niillä on omat etunsa muihin verrattuna.

Jos luottamuksellisiksi tunnistetut tiedot on mahdollista estää, on olemassa järjestelmiä, joissa on aktiivinen tai passiivinen jatkuva käyttäjien toimintojen seuranta. Ensimmäiset järjestelmät pystyvät estämään lähetetyn tiedon, toisin kuin toinen. He pystyvät myös paljon paremmin käsittelemään vahingossa sivulle siirtyviä tietoja, mutta samalla he voivat pysäyttää yrityksen nykyiset liiketoimintaprosessit, mikä ei ole heidän parasta laatuaan viimeksi mainittuihin verrattuna.

Toinen DLP-järjestelmien luokitus voidaan tehdä niiden verkkoarkkitehtuurin perusteella. Yhdyskäytävä-DLP:t toimivat välipalvelimilla. Sitä vastoin isännät käyttävät agentteja, jotka työskentelevät erityisesti työntekijöiden työasemilla. Tällä hetkellä oleellisempi vaihtoehto on isäntä- ja yhdyskäytäväkomponenttien samanaikainen käyttö, mutta edellisillä on tiettyjä etuja.

Globaalit modernit DLP-markkinat

Tällä hetkellä globaaleilla DLP-järjestelmämarkkinoilla pääpaikat ovat tällä alalla laajasti tunnetuilla yrityksillä. Näitä ovat Symantec, TrendMicro, McAffee ja WebSense.

Symantec

Symantec säilyttää johtavan asemansa DLP-markkinoilla, vaikka tämä on yllättävää, sillä monet muut yritykset voisivat korvata sen. Ratkaisu koostuu edelleen modulaarisista komponenteista, joiden avulla se voi tarjota uusimmat ominaisuudet, jotka on suunniteltu integroimaan DLP-järjestelmät parhaiden tekniikoiden kanssa. Tämän vuoden teknologian tiekartta on koottu asiakkaidemme tiedoista, ja se on tällä hetkellä markkinoiden edistyksellisin. Tämä on kuitenkin kaukana DLP-järjestelmän parhaasta valinnasta.

Vahvuudet:

  • merkittäviä parannuksia kannettavien laitteiden Content-Aware DLP -teknologiaan;
  • Parannetut sisällönhakuominaisuudet tukevat kattavampaa lähestymistapaa;
  • parantaa DLP-ominaisuuksien integrointia muihin Symantecin tuotteisiin (ilmeisin esimerkki on Data Insight).

Mihin sinun tulee kiinnittää huomiota (tärkeitä haittoja työssä, joita kannattaa miettiä):

  • huolimatta siitä, että Symantecin teknologiasuunnitelmaa pidetään edistyksellisenä, sen toteuttaminen tapahtuu usein hankaluuksilla;
  • Vaikka hallintakonsoli on täysin toimiva, se ei ole niin kilpailukykyinen kuin Symantec väittää;
  • Usein tämän järjestelmän asiakkaat valittavat tukipalvelun vasteajasta;
  • Tämän ratkaisun hinta on edelleen huomattavasti korkeampi kuin kilpailijoiden mallit, jotka voivat ajan myötä ottaa johtavan aseman järjestelmän pienten muutosten ansiosta.

Websense

Viime vuosina kehittäjät ovat säännöllisesti parantaneet Websensen DLP-tarjontaa. Sitä voidaan turvallisesti pitää täysin toimivana ratkaisuna. Websense on tarjonnut nykyaikaiselle käyttäjälle edistyneitä ominaisuuksia.

Voittopuolet:

  • Websensen ehdotuksena on käyttää täysin varusteltua DLP-ratkaisua, joka tukee päätepisteitä ja tiedonhakua.
  • Tippa-DLP-toiminnolla on mahdollista havaita asteittaiset tietovuodot, jotka kestävät melko pitkään.

Mikä ansaitsee erityistä huomiota:

  • Voit muokata tietoja vain ollessasi levossa.
  • Teknologiselle kartalle on ominaista alhainen teho.

McAfee DLP

McAfee DLP -turvajärjestelmä onnistui myös läpikäymään monia myönteisiä muutoksia. Sille ei ole ominaista erityistoimintojen läsnäolo, mutta perusominaisuuksien toteuttaminen on järjestetty korkealla tasolla. Keskeinen ero muiden McAfee ePolicy Orchestrator (EPO) -konsolituotteiden kanssa integroinnin lisäksi on tallennustekniikan käyttö kaapattujen tietojen keskitetyssä tietokannassa. Tätä kehystä voidaan käyttää uusien sääntöjen optimointiin testaamaan vääriä positiivisia tuloksia ja lyhentämään käyttöönottoaikaa.

Mikä tässä ratkaisussa houkuttelee sinua eniten?

Tapahtumanhallintaa voidaan helposti kutsua McAfee-ratkaisun vahvuudeksi. Sen avulla liitetään asiakirjoja ja kommentteja, jotka lupaavat etuja työskennellessäsi kaikilla tasoilla. Tämä ratkaisu pystyy havaitsemaan ei-tekstisisällön, esimerkiksi kuvan. DLP-järjestelmät voivat ottaa käyttöön tämän kehittäjän uuden ratkaisun päätepisteiden suojaamiseksi esimerkiksi erillisinä.

Mobiiliviestintälaitteiden ja sosiaalisten verkostojen muodossa esitellyt alustojen kehittämiseen tähtäävät toiminnot ovat toimineet varsin hyvin. Tämä antaa heille mahdollisuuden voittaa kilpailukykyiset ratkaisut. Uusia sääntöjä analysoidaan kerätyt tiedot sisältävän tietokannan kautta, mikä auttaa vähentämään väärien positiivisten tulosten määrää ja nopeuttamaan sääntöjen täytäntöönpanoa. McAfee DLP tarjoaa ydintoimintoja virtuaaliympäristössä. Suunnitelmia niiden kehittämisestä ei ole vielä selkeästi muotoiltu.

Näkymät ja nykyaikaiset DLP-järjestelmät

Yllä esitellyt ratkaisut osoittavat, että ne kaikki toimivat samalla tavalla. Asiantuntijoiden mukaan pääasiallinen kehitystrendi on, että useiden tiettyjen ongelmien ratkaisemiseen osallistuvien valmistajien komponentteja sisältävät "patch"-järjestelmät korvataan integroidulla ohjelmistopaketilla. Tämä siirtymä suoritetaan, koska asiantuntijat on vapautettava tiettyjen ongelmien ratkaisemisesta. Lisäksi olemassa olevia DLP-järjestelmiä, joiden analogit eivät pysty tarjoamaan samaa suojaustasoa, parannetaan jatkuvasti.

Esimerkiksi monimutkaisten integroitujen järjestelmien avulla määritetään erilaisten "patch"-järjestelmän komponenttien yhteensopivuus keskenään. Tämä mahdollistaa helpon asetusten muuttamisen suurille organisaatioiden asiakasasemien ryhmille ja samalla se, ettei ole vaikeuksia siirtää tietoja yhden integroidun järjestelmän komponenteista toisiinsa. Integroitujen järjestelmien kehittäjät vahvistavat tietoturvan varmistamiseen tähtäävien tehtävien spesifisyyttä. Yhtään kanavaa ei saa jättää hallitsematta, koska se on usein todennäköisen tietovuodon lähde.

Mitä tapahtuu lähitulevaisuudessa?

Länsimaiset valmistajat, jotka yrittivät ottaa haltuunsa DLP-järjestelmien markkinoita IVY-maissa, joutuivat kohtaamaan ongelmia kansallisten kielten tukemisessa. He ovat melko aktiivisesti kiinnostuneita markkinoistamme, joten he pyrkivät tukemaan venäjän kieltä.

DLP-teollisuus on siirtymässä kohti modulaarista rakennetta. Asiakkaalla on mahdollisuus valita itsenäisesti tarvitsemansa järjestelmäkomponentit. Myös DLP-järjestelmien kehittäminen ja käyttöönotto riippuu toimialan erityispiirteistä. Todennäköisesti ilmestyy tunnetuista järjestelmistä erikoisversiot, joiden mukauttaminen on alisteinen pankkisektorin tai valtion virastojen työhön. Tässä otetaan huomioon tiettyjen organisaatioiden asiaa koskevat pyynnöt.

Yritysturvallisuus

Kannettavien tietokoneiden käyttö yritysympäristöissä vaikuttaa suoraan DLP-järjestelmien kehityssuuntaan. Tämän tyyppisissä kannettavissa tietokoneissa on paljon enemmän haavoittuvuuksia, jotka edellyttävät parempaa suojaa. Kannettavien tietokoneiden erityisluonteen (tietojen ja itse laitteen varastamisen mahdollisuus) vuoksi DLP-järjestelmien valmistajat kehittävät uusia lähestymistapoja kannettavien tietokoneiden turvallisuuden varmistamiseen.