Studio      18.10.2023

Ce este dlp. Sisteme DLP - ce este? Selectarea unui sistem DLP. Luați în considerare un algoritm de răspuns la incident

Despre problema Astăzi, tehnologia informației este o componentă importantă a oricărei organizații moderne. Figurat vorbind, tehnologia informației este inima întreprinderii, care menține performanța afacerii și crește eficiența și competitivitatea acesteia în condițiile unei concurențe moderne, acerbe.Sisteme de automatizare a proceselor de afaceri, precum fluxul de documente, sistemele CRM, sistemele ERP, sistemele multidimensionale de analiză și planificare permit colectarea rapidă a informațiilor, sistematizarea și gruparea acestora, accelerând procesele de luare a deciziilor de management și asigurând transparența proceselor de afaceri și de afaceri pentru management și acționari.Devine evident că o cantitate mare de date strategice, confidențiale și personale reprezintă un un activ informațional important al întreprinderii și consecințele scurgerii acestor informații vor afecta eficiența organizației.Utilizarea măsurilor de securitate tradiționale de astăzi, cum ar fi antivirusurile și firewall-urile, îndeplinesc funcțiile de protecție a activelor informaționale de amenințările externe, dar nu nu asigură în nici un fel protecția activelor informaționale împotriva scurgerii, distorsiunii sau distrugerii de către un atacator intern.Amenințările interne la adresa securității informațiilor pot rămâne ignorate sau, în unele cazuri, neobservate de conducere din cauza lipsei de înțelegere a criticității acestor amenințări. la afaceri.Este din acest motiv protecția datelor confidențiale atât de important astăzi. Despre solutie Protejarea informațiilor confidențiale împotriva scurgerilor este o componentă importantă a complexului de securitate a informațiilor unei organizații. Sistemele DLP (sistem de protecție împotriva scurgerilor de date) sunt concepute pentru a rezolva problema scurgerii accidentale și intenționate de date confidențiale.

Sistem cuprinzător de protecție împotriva scurgerilor de date (sistem DLP) sunt un complex software sau hardware-software care previne scurgerea datelor confidențiale.

Este realizat de sistemul DLP folosind următoarele funcții principale:

  • Filtrarea traficului pe toate canalele de transmisie a datelor;
  • Analiză profundă a traficului la nivel de conținut și context.
Protejarea informațiilor confidențiale într-un sistem DLP realizat la trei niveluri: Data-in-Motion, Data-at-Rest, Data-in-Use.

Date în mișcare– date transmise pe canalele de rețea:

  • Web (protocoale HTTP/HTTPS);
  • Internet - mesagerie instant (ICQ, QIP, Skype, MSN etc.);
  • Poștă corporativă și personală (POP, SMTP, IMAP etc.);
  • Sisteme wireless (WiFi, Bluetooth, 3G etc.);
  • conexiuni FTP.
Date în repaus– date stocate static pe:
  • Servere;
  • Posturi de lucru;
  • laptopuri;
  • Sisteme de stocare a datelor (DSS).
Date în uz– date utilizate pe stațiile de lucru.

Măsuri care vizează prevenirea scurgerilor de informații constă din două părți principale: organizatorică și tehnică.

Protejarea informațiilor confidențiale include măsuri organizatorice de căutare și clasificare a datelor disponibile în companie. În timpul procesului de clasificare, datele sunt împărțite în 4 categorii:

  • Informații secrete;
  • Informații confidențiale;
  • Informații pentru uz oficial;
  • Informatii publice.
Cum se determină informațiile confidențiale în sistemele DLP.

În sistemele DLP, informațiile confidențiale pot fi determinate de o serie de caracteristici diferite, precum și în diferite moduri, de exemplu:

  • Analiza informatiilor lingvistice;
  • Analiza statistica a informatiilor;
  • Expresii regulate (modele);
  • Metoda amprentei digitale etc.
După ce informațiile au fost găsite, grupate și sistematizate, urmează a doua parte organizatorică - cea tehnică.

Masuri tehnice:
Protecția informațiilor confidențiale folosind măsuri tehnice se bazează pe utilizarea funcționalității și tehnologiilor sistemului de protecție a scurgerilor de date. Sistemul DLP include două module: un modul gazdă și un modul de rețea.

Module gazdă sunt instalate pe stațiile de lucru ale utilizatorului și asigură controlul asupra acțiunilor efectuate de utilizator în legătură cu datele clasificate (informații confidențiale). În plus, modulul gazdă vă permite să urmăriți activitatea utilizatorului după diverși parametri, cum ar fi timpul petrecut pe Internet, aplicațiile lansate, procesele și căile de date etc.

Modul de rețea efectuează analiza informațiilor transmise prin rețea și controlează traficul care depășește sistemul informațional protejat. Dacă în traficul transmis sunt detectate informații confidențiale, modulul de rețea oprește transmiterea datelor.

Ce va oferi implementarea unui sistem DLP?

După implementarea unui sistem de protecție împotriva scurgerilor de date, compania va primi:

  • Protecția activelor informaționale și a informațiilor strategice importante ale companiei;
  • Date structurate si sistematizate in organizatie;
  • Transparența proceselor de afaceri și de afaceri pentru servicii de management și securitate;
  • Controlul proceselor de transfer de date confidențiale în companie;
  • Reducerea riscurilor asociate cu pierderea, furtul și distrugerea informațiilor importante;
  • Protecție împotriva pătrunderii malware în organizație din interior;
  • Salvarea și arhivarea tuturor acțiunilor legate de mișcarea datelor în cadrul sistemului informațional;
Avantajele secundare ale sistemului DLP:
  • Monitorizarea prezenței personalului la locul de muncă;
  • Economisirea traficului pe Internet;
  • Optimizarea rețelei corporative;
  • Controlul aplicațiilor utilizate de utilizator;
  • Creșterea eficienței personalului.

DLP ( Procesare digitală a luminii) este o tehnologie folosită în proiectoare. A fost creat de Larry Hornbeck de la Texas Instruments în 1987.

În proiectoarele DLP, imaginea este creată de oglinzi mici microscopice care sunt aranjate într-o matrice pe un cip semiconductor numit Digital Micromirror Device (DMD). Fiecare dintre aceste oglinzi reprezintă un pixel în imaginea proiectată.

Numărul total de oglinzi indică rezoluția imaginii rezultate. Cele mai comune dimensiuni DMD sunt 800x600, 1024x768, 1280x720 și 1920x1080 (pentru HDTV, High Definition TeleVision). În proiectoarele de cinema digital, rezoluțiile standard DMD sunt considerate a fi 2K și 4K, care corespund la 2000 și, respectiv, 4000 de pixeli de-a lungul părții lungi a cadrului.

Aceste oglinzi pot fi poziționate rapid pentru a reflecta lumina fie pe un obiectiv, fie pe un radiator (numit și o descărcare de lumină). Rotirea rapidă a oglinzilor (în esență comutarea între pornit și oprit) permite DMD să varieze intensitatea luminii care trece prin lentilă, creând nuanțe de gri în plus față de alb (oglindă în poziția pornit) și negru (oglindă în poziția oprit). ). ).

Culoare în proiectoarele DLP

Există două metode principale pentru a crea o imagine color. O metodă implică utilizarea de proiectoare cu un singur cip, cealaltă - cele cu trei cipuri.

Proiectoare cu un singur cip


Vedere a conținutului unui proiector DLP cu un singur cip. Săgeata galbenă arată calea fasciculului de lumină de la lampă la matrice, prin discul de filtru, oglindă și lentilă. Fasciculul este apoi reflectat fie în lentilă (săgeată galbenă), fie pe radiator (săgeată albastră).
Imagini externe
Design optic al unui proiector DLP cu o singură matrice
Suspensie microoglindă și circuit de control

În proiectoarele cu un singur cip DMD, culorile sunt produse prin plasarea unui disc color rotativ între lampă și DMD, la fel ca „sistemul de televiziune color secvențial” al Columia Broadcasting System, folosit în anii 1950. Discul de culoare este de obicei împărțit în 4 sectoare: trei sectoare pentru culorile primare (roșu, verde și albastru), iar al patrulea sector este transparent pentru a crește luminozitatea.

Datorită faptului că sectorul transparent reduce saturația culorii, în unele modele acesta poate lipsi cu totul; în altele, pot fi folosite culori suplimentare în locul sectorului gol.

Cipul DMD este sincronizat cu discul care se rotește, astfel încât componenta verde a imaginii să fie afișată pe DMD atunci când sectorul verde al discului se află în calea lămpii. Același lucru pentru culorile roșu și albastru.

Componentele roșii, verzi și albastre ale imaginii sunt afișate alternativ, dar la o frecvență foarte mare. Astfel, privitorului i se pare că o imagine multicoloră este proiectată pe ecran. La primele modele, discul se rotea o dată la fiecare cadru. Ulterior, au fost create proiectoare în care discul face două sau trei rotații pe cadru, iar la unele proiectoare discul este împărțit într-un număr mai mare de sectoare și paleta de pe el se repetă de două ori. Aceasta înseamnă că componentele imaginii sunt afișate pe ecran, înlocuindu-se între ele de până la șase ori într-un cadru.

Unele modele recente de ultimă generație au înlocuit discul color rotativ cu un bloc de LED-uri foarte strălucitoare în trei culori primare. Datorită faptului că LED-urile pot fi pornite și oprite foarte repede, această tehnică vă permite să creșteți și mai mult rata de reîmprospătare a culorilor imaginii și să scăpați complet de zgomot și piesele în mișcare mecanic. Refuzul lămpii cu halogen facilitează și funcționarea termică a matricei.

„Efectul curcubeu”

Efect DLP curcubeu

Efectul curcubeu este unic pentru proiectoarele DLP cu un singur cip.

După cum sa menționat deja, o singură culoare este afișată pe imagine la un moment dat. Pe măsură ce ochiul se mișcă pe imaginea proiectată, aceste culori diferite devin vizibile, rezultând percepția unui „curcubeu” de către ochi.

Producătorii de proiectoare DLP cu un singur cip au găsit o cale de ieșire din această situație prin overclockarea discului multicolor segmentat rotativ sau prin creșterea numărului de segmente de culoare, reducând astfel acest artefact.

Lumina LED-urilor a făcut posibilă reducerea în continuare a acestui efect datorită frecvenței ridicate de comutare între culori.

În plus, LED-urile pot emite orice culoare de orice intensitate, ceea ce a crescut gama și contrastul imaginii.

Proiectoare cu trei cipuri

Acest tip de proiector DLP folosește o prismă pentru a împărți fasciculul emis de lampă, iar fiecare dintre culorile primare este apoi direcționată către propriul cip DMD. Aceste raze sunt apoi combinate și imaginea este proiectată pe un ecran.

Proiectoarele cu trei cipuri sunt capabile să producă mai multe nuanțe și gradații de culoare decât proiectoarele cu un singur cip, deoarece fiecare culoare este disponibilă pentru o perioadă mai lungă de timp și poate fi modulată cu fiecare cadru video. În plus, imaginea nu este supusă pâlpâirii și „efectului curcubeu” deloc.

Dolby Digital Cinema 3D

Infitec a dezvoltat filtre spectrale pentru discul rotativ și ochelari, permițând proiecția ramelor pentru diferiți ochi în diferite subseturi ale spectrului. Ca rezultat, fiecare ochi își vede propria sa imagine, aproape plină de culoare pe un ecran alb obișnuit, spre deosebire de sistemele cu polarizare a imaginii proiectate (cum ar fi IMAX), care necesită un ecran special „argintiu” pentru a menține polarizarea la reflexie. .

Vezi si

Alexey Borodin Tehnologia DLP. Portal ixbt.com (05-12-2000). Arhivat din original pe 14 mai 2012.


Fundația Wikimedia. 2010.

Vedeți ce este „DLP” în alte dicționare:

    DLP- Salt a navigación, search Digital Light Processing (în español Procesado digital de la luz) este o tehnologie utilizată în proiecte și televizoare de proiecție. El DLP a fost dezvoltat inițial de Texas Instruments, și rămâne el... ... Wikipedia Español

    DLP- este o abreviere de trei litere cu mai multe semnificații, așa cum este descris mai jos: Tehnologie Prevenirea pierderii datelor este un domeniu al securității computerului Procesarea digitală a luminii, o tehnologie utilizată în proiectoare și videoproiectoare Problemă cu logaritmul discret,… … Wikipedia

În zilele noastre, puteți auzi adesea despre o tehnologie precum sistemele DLP. Ce este și unde se folosește? Acesta este un software conceput pentru a preveni pierderea datelor prin detectarea posibilelor nereguli în transmiterea și filtrarea datelor. În plus, astfel de servicii monitorizează, detectează și blochează utilizarea, mișcarea (traficul în rețea) și stocarea.

De regulă, scurgerea datelor confidențiale are loc din cauza funcționării echipamentelor de către utilizatori fără experiență sau este rezultatul unor acțiuni rău intenționate. Astfel de informații sub formă de informații personale sau corporative, proprietate intelectuală (IP), informații financiare sau medicale, informații despre cardul de credit și altele asemenea necesită măsuri de protecție sporite pe care le pot oferi tehnologiile informaționale moderne.

Termenii „pierdere de date” și „scurgere de date” sunt legați și sunt adesea folosiți interschimbabil, deși sunt oarecum diferiți. Cazurile de pierdere de informații se transformă în scurgeri de informații atunci când o sursă care conține informații confidențiale dispare și, ulterior, ajunge în mâinile unei părți neautorizate. Cu toate acestea, scurgerea datelor este posibilă fără pierderi de date.

Categoriile DLP

Instrumentele tehnologice utilizate pentru combaterea scurgerii de date pot fi împărțite în următoarele categorii: măsuri standard de securitate, măsuri inteligente (avansate), control acces și criptare, precum și sisteme DLP specializate (ce sunt acestea sunt descrise în detaliu mai jos).

Măsuri standard

Măsurile de securitate standard, cum ar fi sistemele de detectare a intruziunilor (IDS) și software-ul antivirus sunt mecanisme comune disponibile care protejează computerele atât de atacurile externe, cât și de atacurile din interior. Conectarea unui firewall, de exemplu, împiedică accesul persoanelor neautorizate la rețeaua internă, iar un sistem de detectare a intruziunilor detectează încercările de intruziune. Atacurile interne pot fi prevenite prin verificarea cu un antivirus care le detectează pe cele instalate pe computerele care trimit informații confidențiale, precum și prin utilizarea serviciilor care funcționează într-o arhitectură client-server fără date personale sau confidențiale stocate pe computer.

Măsuri suplimentare de securitate

Măsurile de securitate suplimentare folosesc servicii foarte specializate și algoritmi de sincronizare pentru a detecta accesul anormal la date (adică baze de date sau sisteme de recuperare a informațiilor) sau schimburile anormale de e-mail. În plus, astfel de tehnologii moderne de informare identifică programe și solicitări cu intenții rău intenționate și efectuează scanări profunde ale sistemelor informatice (de exemplu, recunoașterea tastelor sau a sunetelor difuzoarelor). Unele astfel de servicii pot chiar monitoriza activitatea utilizatorului pentru a detecta accesul neobișnuit la date.

Sisteme DLP proiectate personalizat - ce este?

Proiectate pentru securitatea informațiilor, soluțiile DLP sunt concepute pentru a detecta și a preveni încercările neautorizate de a copia sau transfera date sensibile (intenționat sau neintenționat) fără permisiunea sau accesul, de obicei de către utilizatorii care au drepturi de acces la datele sensibile.

Pentru a clasifica anumite informații și a reglementa accesul la acestea, aceste sisteme folosesc mecanisme precum potrivirea exactă a datelor, amprentarea structurată, acceptarea regulilor și a expresiilor regulate, publicarea frazelor de cod, definiții conceptuale și cuvinte cheie. Tipurile și comparația sistemelor DLP pot fi prezentate după cum urmează.

DLP de rețea (cunoscut și ca date în mișcare sau DiM)

De regulă, este o soluție hardware sau software care este instalată în punctele de rețea care provin din apropierea perimetrului. Acesta analizează traficul de rețea pentru a detecta datele sensibile trimise cu încălcarea

Endpoint DLP (date la utilizare )

Astfel de sisteme funcționează pe stațiile de lucru ale utilizatorilor finali sau pe servere din diferite organizații.

Ca și în cazul altor sisteme de rețea, un punct final poate face față atât comunicațiilor interne, cât și externe și, prin urmare, poate fi utilizat pentru a controla fluxul de informații între tipuri sau grupuri de utilizatori (de exemplu, firewall-uri). De asemenea, sunt capabili să monitorizeze e-mailul și mesageria instantanee. Acest lucru se întâmplă după cum urmează - înainte ca mesajele să fie descărcate pe dispozitiv, acestea sunt verificate de serviciu și, dacă conțin o solicitare nefavorabilă, sunt blocate. Ca urmare, acestea devin necorectate și nu sunt supuse regulilor de stocare a datelor pe dispozitiv.

Un sistem DLP (tehnologie) are avantajul că poate controla și gestiona accesul la dispozitivele fizice (de exemplu, dispozitivele mobile cu capacități de stocare) și uneori să acceseze informații înainte de a fi criptate.

Unele sisteme bazate pe puncte finale pot oferi, de asemenea, controlul aplicațiilor pentru a bloca încercările de a transmite informații sensibile, precum și pentru a oferi feedback imediat utilizatorului. Cu toate acestea, acestea au dezavantajul că trebuie instalate pe fiecare stație de lucru din rețea și nu pot fi utilizate pe dispozitive mobile (de exemplu, telefoane mobile și PDA-uri) sau unde nu pot fi instalate practic (de exemplu, la o stație de lucru din un internet cafe). Această circumstanță trebuie luată în considerare atunci când alegeți un sistem DLP pentru orice scop.

Identificarea datelor

Sistemele DLP includ mai multe metode care vizează identificarea informațiilor secrete sau confidențiale. Acest proces este uneori confundat cu decriptarea. Cu toate acestea, identificarea datelor este procesul prin care organizațiile folosesc tehnologia DLP pentru a determina ce să caute (în mișcare, în repaus sau în uz).

Datele sunt clasificate ca structurate sau nestructurate. Primul tip este stocat în câmpuri fixe într-un fișier (cum ar fi o foaie de calcul), în timp ce nestructurat se referă la text cu formă liberă (sub formă de documente text sau fișiere PDF).

Potrivit experților, 80% din toate datele sunt nestructurate. În consecință, 20% sunt structurate. se bazează pe analiza de conținut concentrată pe informații structurate și pe analiza contextuală. Se realizează în locul în care a fost creată aplicația sau sistemul din care au provenit datele. Astfel, răspunsul la întrebarea „Sisteme DLP - ce este?” va servi la determinarea algoritmului de analiză a informaţiei.

Metode folosite

Metodele de descriere a conținutului sensibil sunt numeroase astăzi. Ele pot fi împărțite în două categorii: exacte și inexacte.

Metodele precise sunt acelea care implică analiza de conținut și reduc răspunsurile fals pozitive la interogări practic la zero.

Toate celelalte sunt imprecise și pot include: dicționare, cuvinte cheie, expresii regulate, expresii regulate extinse, metaetichete de date, analiză bayesiană, analiză statistică etc.

Eficacitatea analizei depinde direct de acuratețea acesteia. Un sistem DLP cu un rating ridicat are performanțe ridicate în acest parametru. Acuratețea identificării DLP este esențială pentru a evita falsele pozitive și consecințele negative. Precizia poate depinde de mulți factori, dintre care unii pot fi situaționali sau tehnologici. Testarea de precizie poate asigura fiabilitatea sistemului DLP - aproape zero fals pozitive.

Detectarea și prevenirea scurgerilor de informații

Uneori, sursa de distribuire a datelor pune la dispoziția terților informații sensibile. După ceva timp, o parte din ele vor fi găsite cel mai probabil într-o locație neautorizată (de exemplu, pe Internet sau pe laptopul altui utilizator). Sistemele DLP, al căror preț este furnizat de dezvoltatori la cerere și poate varia de la câteva zeci la câteva mii de ruble, trebuie apoi să investigheze modul în care au fost scurse datele - de la una sau mai multe terțe părți, dacă a fost făcut independent unul de celălalt, dacă scurgerea a fost asigurată de orice apoi prin alte mijloace etc.

Date în repaus

„Date în repaus” se referă la informațiile arhivate vechi stocate pe oricare dintre hard disk-urile computerului client, pe un server de fișiere la distanță, pe un disc. Această definiție se referă și la datele stocate într-un sistem de backup (pe unități flash sau CD-uri). Aceste informații sunt de mare interes pentru companii și agenții guvernamentale pur și simplu pentru că o cantitate mare de date se află neutilizată în dispozitivele de stocare și este mai probabil să fie accesată de persoane neautorizate din afara rețelei.

(Prevenirea pierderilor de date)

Sisteme de monitorizare a acțiunilor utilizatorilor, un sistem de protecție a datelor confidențiale de amenințările interne.

Sistemele DLP sunt folosite pentru a detecta și a preveni transferul de date confidențiale în diferite etape. (în timpul mișcării, utilizării și depozitării). Sistemul DLP permite:

    Controlați munca utilizatorilor, prevenind pierderea necontrolată a timpului de lucru în scopuri personale.

    În mod automat, neobservat de utilizator, înregistrează toate acțiunile, inclusiv e-mailuri trimise și primite, chat-uri și mesagerie instantanee, rețele sociale, site-uri web vizitate, date tastate pe tastatură, fișiere transferate, tipărite și salvate etc.

    Monitorizați utilizarea jocurilor pe calculator la locul de muncă și luați în considerare timpul de lucru petrecut pe jocuri pe calculator.

    Monitorizați activitatea în rețea a utilizatorilor, luați în considerare volumul traficului de rețea

    Controlați copierea documentelor pe diverse medii (medii amovibile, hard disk, foldere de rețea etc.)

    Controlați imprimarea în rețea a utilizatorului

    Înregistrați solicitările utilizatorilor către motoarele de căutare etc.

    Data-in-motion - date in motion - mesaje e-mail, transfer de trafic web, fisiere etc.

    Data-in-rest - date stocate - informații despre stații de lucru, servere de fișiere, dispozitive USB etc.

    Date în uz - date în uz - informații în curs de prelucrare.

Arhitectura soluțiilor DLP poate varia între diferiți dezvoltatori, dar în general există 3 tendințe principale:

    Interceptoare și controlere pentru diferite canale de transmitere a informațiilor. Interceptorii analizează fluxurile de informații care trec din perimetrul companiei, detectează datele confidențiale, clasifică informațiile și le transmit serverului de management pentru procesarea unui posibil incident. Controloarele de descoperire a datelor în repaus rulează procese de descoperire pe resursele rețelei pentru informații sensibile. Controlorii pentru operațiunile pe stațiile de lucru distribuie politicile de securitate către dispozitivele finale (calculatoare), analizează rezultatele activităților angajaților cu informații confidențiale și transmit posibile date de incident către serverul de management.

    Programe agent instalate pe dispozitivele finale: observați procesarea datelor confidențiale și monitorizați conformitatea cu reguli precum salvarea informațiilor pe suporturi amovibile, trimiterea, imprimarea, copierea prin clipboard.

    Server de management central – compară informațiile primite de la interceptori și controlori și oferă o interfață pentru procesarea incidentelor și generarea de rapoarte.

Soluțiile DLP oferă o gamă largă de metode combinate de descoperire a informațiilor:

    Imprimări digitale ale documentelor și părților acestora

    Amprentele digitale ale bazelor de date și ale altor informații structurate care sunt importante de protejat împotriva distribuției

    Metode statistice (creșterea sensibilității sistemului atunci când încălcările sunt repetate).

Când se operează sisteme DLP, mai multe proceduri sunt de obicei efectuate ciclic:

    Instruirea sistemului în principiile clasificării informațiilor.

    Introducerea regulilor de răspuns în raport cu categoria de informații detectate și grupurile de angajați ale căror acțiuni ar trebui monitorizate. Utilizatorii de încredere sunt evidențiați.

    Executarea unei operațiuni de control de către sistemul DLP (sistemul analizează și normalizează informațiile, realizează o comparație cu principiile de detectare și clasificare a datelor, iar atunci când sunt detectate informații confidențiale, sistemul le compară cu politicile existente atribuite categoriei de informații detectate și, dacă este necesar, creează un incident)

    Procesarea incidentelor (de exemplu, informarea, întreruperea sau blocarea trimiterii).

Caracteristici de creare și operare a unui VPN din punct de vedere al securității

Opțiuni pentru construirea unui VPN:

    Bazat pe sisteme de operare în rețea

    Bazat pe router

    Bazat pe ITU

    Bazat pe software și hardware specializat

    Bazat pe software specializat

Pentru ca VPN să funcționeze corect și în siguranță, trebuie să înțelegeți elementele de bază ale interacțiunii dintre VPN și firewall-uri:

    VPN-urile sunt capabile să creeze tuneluri de comunicații end-to-end care trec prin perimetrul rețelei și, prin urmare, sunt extrem de problematice în ceea ce privește controlul accesului din firewall, căruia îi este dificil să analizeze traficul criptat.

    Datorită capacităților sale de criptare, VPN-urile pot fi folosite pentru a ocoli sistemele IDS care nu pot detecta intruziunile de la canalele de comunicații criptate.

    În funcție de arhitectura rețelei, este posibil ca caracteristica importantă de traducere a adresei de rețea (NAT) să nu fie compatibilă cu unele implementări VPN etc.

În esență, atunci când ia decizii cu privire la implementarea componentelor VPN într-o arhitectură de rețea, un administrator poate fie să aleagă VPN-ul ca dispozitiv extern autonom, fie să aleagă să integreze VPN-ul în firewall pentru a oferi ambele funcții într-un singur sistem.

    ITU + VPN separat. Opțiuni de găzduire VPN:

    1. În interiorul DMZ, între firewall și router-ul de frontieră

      În interiorul rețelei protejate pe adaptoarele de rețea ITU

      În interiorul rețelei ecranate, în spatele firewall-ului

      În paralel cu ITU, la punctul de intrare în rețeaua protejată.

    Firewall + VPN, găzduit ca o singură unitate - o astfel de soluție integrată este mai convenabilă pentru suport tehnic decât opțiunea anterioară, nu provoacă probleme asociate cu NAT (traducere adrese de rețea) și oferă un acces mai fiabil la date, pentru care firewall-ul este responsabil. Dezavantajul unei soluții integrate este costul inițial ridicat al achiziționării unui astfel de instrument, precum și opțiunile limitate pentru optimizarea componentelor VPN și Firewall corespunzătoare (adică, implementările ITU cele mai satisfăcătoare pot să nu fie potrivite pentru construirea de componente VPN pe lor. VPN poate avea un impact semnificativ asupra performanței rețelei, iar latența poate apărea în următoarele faze:

    1. Când se stabilește o conexiune sigură între dispozitivele VPN (autentificare, schimb de chei etc.)

      Întârzieri asociate cu criptarea și decriptarea datelor protejate, precum și transformările necesare pentru a controla integritatea acestora

      Întârzieri asociate cu adăugarea unui nou antet la pachetele transmise

Securitate e-mail

Principalele protocoale de e-mail: (E)SMTP, POP, IMAP.

SMTP - protocol simplu de transfer de e-mail, portul TCP 25, fără autentificare. SMTP extins - a fost adăugată autentificarea clientului.

POP - Post Office Protocol 3 - primirea e-mailurilor de la server. Autentificare cu text clar. APOP - cu capacitate de autentificare.

IMAP - Internet Message Access Protocol - este un protocol de e-mail necriptat care combină proprietățile POP3 și IMAP. Vă permite să lucrați direct cu căsuța poștală, fără a fi nevoie să descărcați scrisori pe computer.

Din cauza lipsei oricăror mijloace normale de criptare a informațiilor, am decis să folosim SSL pentru a cripta datele acestor protocoale. De aici au apărut următoarele soiuri:

POP3 SSL - portul 995, SMTP SSL (SMTPS) portul 465, IMAP SSL (IMAPS) - portul 993, toate TCP.

Un atacator care lucrează cu un sistem de e-mail poate urmări următoarele obiective:

    Atacarea computerului unui utilizator prin trimiterea de viruși de e-mail, trimiterea de e-mailuri false (falsificarea adresei expeditorului în SMTP este o sarcină banală), citirea e-mailurilor altor persoane.

    Un atac asupra unui server de e-mail care utilizează e-mailul cu scopul de a pătrunde în sistemul său de operare sau de a refuza serviciul

    Utilizarea unui server de e-mail ca releu atunci când trimiteți mesaje nesolicitate (spam)

    Interceptarea parolei:

    1. Interceptarea parolelor în sesiunile POP și IMAP, în urma căreia un atacator poate primi și șterge e-mailuri fără știrea utilizatorului

      Interceptarea parolelor în sesiunile SMTP - în urma căreia un atacator poate fi autorizat ilegal să trimită e-mail prin acest server

Pentru a rezolva problemele de securitate cu protocoalele POP, IMAP și SMTP, cel mai des este utilizat protocolul SSL, care vă permite să criptați întreaga sesiune de comunicare. Dezavantaj: SSL este un protocol care consumă mult resurse, care poate încetini semnificativ comunicarea.

Spam-ul și lupta împotriva acestuia

Tipuri de spam fraudulos:

    Loterie - o notificare entuziastă a câștigurilor la loterie la care destinatarul mesajului nu a participat. Tot ce trebuie să faceți este să vizitați site-ul web corespunzător și să introduceți numărul de cont și codul PIN al cardului, care se presupune că sunt necesare pentru a plăti serviciile de livrare.

    Licitațiile - acest tip de înșelăciune constă în absența bunurilor pe care escrocii le vând. După ce a plătit, clientul nu primește nimic.

    Phishingul este o scrisoare care conține un link către o resursă în care doresc să furnizezi date etc. Atragerea utilizatorilor creduli sau neatenți ai datelor personale și confidențiale. Escrocii trimit o mulțime de scrisori, deghizate de obicei în scrisori oficiale de la diverse instituții, care conțin link-uri care duc la site-uri de momeală care copiază vizual site-urile băncilor, magazinelor și altor organizații.

    Frauda poștală este recrutarea de personal pentru o companie care se presupune că are nevoie de un reprezentant în orice țară care se poate ocupa de trimiterea mărfurilor sau de transferul de bani către o companie străină. De regulă, schemele de spălare a banilor sunt ascunse aici.

    Scrisori nigeriene - cereți să depuneți o sumă mică înainte de a primi bani.

    Scrisori de fericire

Spamul poate fi în masă sau vizat.

Spam-ul în vrac nu are ținte specifice și folosește tehnici frauduloase de inginerie socială împotriva unui număr mare de persoane.

Spam-ul vizat este o tehnică care vizează o anumită persoană sau organizație, în care atacatorul acționează în numele directorului, administratorului sau altui angajat al organizației în care lucrează victima sau atacatorul reprezintă o companie cu care organizația țintă a înființat un relație de încredere.

Colectarea adreselor se realizează prin selectarea numelor proprii, a cuvintelor frumoase din dicționare, a combinațiilor frecvente de cuvinte-număr, a metodei de analogie, a scanării tuturor surselor de informații disponibile (săli de chat, forumuri etc.), a furtului bazelor de date etc.

Adresele primite se verifică (se verifică dacă sunt valide) prin trimiterea unui mesaj de testare, plasând în textul mesajului un link unic către o poză cu contor de descărcare sau un link „dezabonare de la mesajele spam”.

Ulterior, spam-ul este trimis fie direct de la serverele închiriate, fie de la servicii de e-mail legitime configurate incorect, fie prin instalarea ascunsă a software-ului rău intenționat pe computerul utilizatorului.

Atacatorul complică munca filtrelor anti-spam prin introducerea de texte aleatorii, zgomot sau texte invizibile, folosind litere grafice sau schimbarea literelor grafice, imagini fragmentate, inclusiv utilizarea animației și texte prefrazante.

Metode anti-spam

Există 2 metode principale de filtrare a spamului:

    Filtrarea după caracteristicile formale ale unui mesaj de e-mail

    Filtrați după conținut

    Metoda formală

    1. Fragmentarea pe liste: negru, alb și gri. Listele gri sunt o metodă de blocare temporară a mesajelor cu combinații necunoscute de adresă de e-mail și adresa IP a serverului de trimitere. Când prima încercare se termină într-un eșec temporar (de regulă, programele de spammer nu retrimit scrisoarea). Dezavantajul acestei metode este posibilul interval de timp lung între trimiterea și primirea unui mesaj legal.

      Verificarea dacă mesajul a fost trimis de pe un server de e-mail real sau fals (fals) din domeniul specificat în mesaj.

      „Callback” - la primirea unei conexiuni de intrare, serverul de primire întrerupe sesiunea și simulează o sesiune de lucru cu serverul care trimite. Dacă încercarea eșuează, conexiunea suspendată este întreruptă fără procesare ulterioară.

      Filtrarea după caracteristicile formale ale scrisorii: adresele expeditorului și destinatarului, dimensiunea, prezența și numărul de atașamente, adresa IP a expeditorului etc.

    Metode lingvistice - lucrul cu conținutul scrisorii

    1. Recunoașterea după conținutul scrisorii - se verifică prezența semnelor de conținut spam în scrisoare: un anumit set și distribuția unor fraze specifice în întreaga scrisoare.

      Recunoaștere prin mostre de litere (metodă de filtrare bazată pe semnături, inclusiv semnături grafice)

      Filtrarea bayesiană este strict filtrare de cuvinte. Când se verifică o scrisoare primită, probabilitatea ca aceasta să fie spam este calculată pe baza procesării textului, care include calcularea „greutății” medii a tuturor cuvintelor dintr-o anumită scrisoare. O scrisoare este clasificată ca spam sau nu spam în funcție de faptul dacă greutatea sa depășește un anumit prag specificat de utilizator. După ce se ia o decizie asupra unei scrisori, „greutățile” pentru cuvintele incluse în aceasta sunt actualizate în baza de date.

Autentificare în sisteme informatice

Procesele de autentificare pot fi împărțite în următoarele categorii:

    Dar pe baza cunoștințelor despre ceva (PIN, parolă)

    Pe baza deținerii a ceva (card inteligent, cheie USB)

    Nu se bazează pe caracteristici inerente (caracteristici biometrice)

Tipuri de autentificare:

    Autentificare simplă folosind parole

    Autentificare puternică folosind verificări multifactoriale și metode criptografice

    Autentificare biometrică

Principalele atacuri asupra protocoalelor de autentificare sunt:

    „Masquerade” - atunci când un utilizator încearcă să se uzurpea identitatea altui utilizator

    Retransmitere - atunci când o parolă interceptată este trimisă în numele altui utilizator

    Întârziere forțată

Pentru a preveni astfel de atacuri, se folosesc următoarele tehnici:

    Mecanisme precum provocare-răspuns, marcaje temporale, numere aleatorii, semnături digitale etc.

    Conectarea rezultatului autentificării la acțiunile ulterioare ale utilizatorului în cadrul sistemului.

    Efectuarea periodică a procedurilor de autentificare în cadrul unei sesiuni de comunicare deja stabilite.

    Autentificare simplă

    1. Autentificare bazată pe parole reutilizabile

      Autentificare bazată pe parole unice - OTP (o singură parolă) - parolele unice sunt valabile doar pentru o singură autentificare și pot fi generate folosind un token OTP. Pentru aceasta se folosește cheia secretă a utilizatorului, aflată atât în ​​interiorul jetonului OTP, cât și pe serverul de autentificare.

    Autentificarea strictă implică partea care dovedește să-și demonstreze autenticitatea părții care se bazează prin demonstrarea cunoașterii unui anumit secret. Se întâmplă:

    1. Unilateral

      Cu două fețe

      Tripartit

Poate fi realizat pe baza de carduri inteligente sau chei USB sau criptografie.

Autentificarea puternică poate fi implementată folosind un proces de verificare cu doi sau trei factori.

În cazul autentificării în doi factori, utilizatorul trebuie să dovedească că cunoaște parola sau codul PIN și că are un anumit identificator personal (smart card sau cheie USB).

Autentificarea cu trei factori necesită ca utilizatorul să furnizeze un alt tip de identificare, cum ar fi biometria.

Autentificarea puternică folosind protocoale criptografice se poate baza pe criptarea simetrică și asimetrică, precum și pe funcții hash. Partea care dovedește dovedește cunoașterea secretului, dar secretul în sine nu este dezvăluit. Parametrii unici sunt utilizați (numere aleatorii, marcaje temporale și numere de secvență) pentru a evita transmiterea repetată, pentru a asigura unicitatea, lipsa de ambiguitate și garanțiile de timp ale mesajelor transmise.

Autentificare biometrică a utilizatorului

Cele mai frecvent utilizate caracteristici biometrice sunt:

    Amprentele digitale

    Model de vene

    Geometria mâinii

    Iris

    Geometria facială

    Combinații ale celor de mai sus

Controlul accesului folosind o schemă de conectare unică cu autorizare SSO (Single Sign-On).

SSO permite unui utilizator al unei rețele corporative să treacă printr-o singură autentificare atunci când se conectează la rețea, prezentând o singură parolă sau alt autentificator necesar și apoi, fără autentificare suplimentară, să obțină acces la toate resursele de rețea autorizate care sunt necesare pentru a efectua loc de munca. Instrumentele de autentificare digitală, cum ar fi jetoanele, certificatele digitale PKI, cardurile inteligente și dispozitivele biometrice sunt utilizate în mod activ. Exemple: Kerberos, PKI, SSL.

Răspuns la incidentele de securitate a informațiilor

Dintre sarcinile cu care se confruntă orice sistem de management al securității informațiilor, două dintre cele mai semnificative pot fi identificate:

    Prevenirea incidentelor

    Dacă apar, răspuns corect și în timp util

Prima sarcină în majoritatea cazurilor se bazează pe achiziționarea diferitelor instrumente de securitate a informațiilor.

A doua sarcină depinde de gradul de pregătire al companiei pentru astfel de evenimente:

        Prezența unei echipe de răspuns la incidente IS instruite, cu roluri și responsabilități deja prestabilite.

        Disponibilitatea unei documentații bine gândite și interconectate privind procedura de gestionare a incidentelor de securitate a informațiilor, în special, răspunsul și investigarea incidentelor identificate.

        Disponibilitatea resurselor pregătite pentru nevoile echipei de răspuns (instrumente de comunicare, ..., sigure)

        Disponibilitatea unei baze de cunoștințe actualizate cu privire la incidentele de securitate a informațiilor care au avut loc

        Nivel ridicat de conștientizare a utilizatorilor în domeniul securității informațiilor

        Calificarea și coordonarea echipei de răspuns

Procesul de gestionare a incidentelor de securitate a informațiilor constă din următoarele etape:

    Pregătire – prevenirea incidentelor, pregătirea echipelor de răspuns, elaborarea politicilor și procedurilor etc.

    Detectare – notificare de securitate, notificare utilizator, analiză jurnal de securitate.

    Analiză – confirmarea faptului că a avut loc un incident, colectarea informațiilor disponibile despre incident, identificarea activelor afectate și clasificarea incidentului în funcție de siguranță și prioritate.

    Răspuns - oprirea incidentului și colectarea probelor, luarea de măsuri pentru oprirea incidentului și păstrarea informațiilor bazate pe dovezi, colectarea informațiilor bazate pe dovezi, interacțiunea cu departamentele interne, partenerii și părțile afectate, precum și atragerea de organizații de experți externi.

    Investigare – investigarea circumstanțelor incidentelor de securitate a informațiilor, implicarea organizațiilor de experți externi și interacțiunea cu toate părțile afectate, precum și cu agențiile de aplicare a legii și autoritățile judiciare.

    Recuperare – luarea de măsuri pentru închiderea vulnerabilităților care au dus la incident, eliminarea consecințelor incidentului, restabilirea funcționalității serviciilor și sistemelor afectate. Înregistrarea avizului de asigurare.

    Analiza eficienței și modernizarea - analiza incidentului, analiza eficacității și modernizarea procesului de investigare a incidentelor de securitate a informațiilor și a documentelor aferente, instrucțiuni private. Generarea unui raport privind investigația și necesitatea modernizării sistemului de securitate pentru management, colectarea informațiilor despre incident, adăugarea acestora la baza de cunoștințe și stocarea datelor despre incident.

Un sistem eficient de management al incidentelor de securitate a informațiilor are următoarele obiective:

    Asigurarea semnificației juridice a informațiilor probatorii colectate privind incidentele de securitate a informațiilor

    Asigurarea oportunității și corectitudinii acțiunilor de răspuns și investigare a incidentelor de securitate a informațiilor

    Asigurarea capacității de a identifica circumstanțele și cauzele incidentelor de securitate a informațiilor în vederea modernizării în continuare a sistemului de securitate a informațiilor

    Oferirea de investigații și suport juridic pentru incidentele interne și externe de securitate a informațiilor

    Asigurarea posibilității de urmărire penală a atacatorilor și aducerea acestora în fața justiției, în condițiile prevăzute de lege

    Asigurarea posibilității de despăgubire a prejudiciului cauzat de un incident de securitate a informațiilor în condițiile legii

Sistemul de management al incidentelor de securitate a informațiilor interacționează și se integrează în general cu următoarele sisteme și procese:

    Managementul securității informațiilor

    Managementul riscurilor

    Asigurarea continuității afacerii

Integrarea se exprimă în consistența documentării și a formalizării ordinii de interacțiune între procese (informații de intrare, de ieșire și condiții de tranziție).

Procesul de gestionare a incidentelor de securitate a informațiilor este destul de complex și voluminos. Necesită acumularea, procesarea și stocarea unei cantități uriașe de informații, precum și executarea multor sarcini paralele, așa că există multe instrumente pe piață care vă permit să automatizați anumite sarcini, de exemplu așa-numitele sisteme SIEM (informații de securitate și managementul evenimentelor).

Chief Information Officer (CIO) – director pentru tehnologia informației

Chief Information Security Officer (CISO) – șef al departamentului de securitate a informațiilor, director al securității informațiilor

Sarcina principală a sistemelor SIEM nu este doar colectarea evenimentelor din diferite surse, ci automatizarea procesului de detectare a incidentelor cu documentație în propriul lor jurnal sau sistem extern, precum și informarea în timp util despre eveniment. Sistemul SIEM are următoarele sarcini:

    Consolidarea și stocarea jurnalelor de evenimente din diverse surse - dispozitive de rețea, aplicații, jurnalele OS, instrumente de securitate

    Prezentarea instrumentelor pentru analiza evenimentelor și analiza incidentelor

    Corelarea și prelucrarea conform regulilor evenimentelor care au avut loc

    Notificare automată și gestionarea incidentelor

Sistemele SIEM sunt capabile să identifice:

    Atacurile de rețea în perimetrele interne și externe

    Epidemii de viruși sau infecții cu virusuri individuale, viruși neeliminați, uși din spate și troieni

    Tentative de acces neautorizat la informații confidențiale

    Erori și defecțiuni în funcționarea IS

    Vulnerabilități

    Erori de configurare, măsuri de securitate și sisteme informatice.

Principalele surse ale SIEM

    Date de control acces și autentificare

    Jurnalele de evenimente ale serverului și stației de lucru

    Echipamente active în rețea

  1. Protecție antivirus

    Scanere de vulnerabilitate

    Sisteme de contabilizare a riscurilor, criticitatea amenințărilor și prioritizarea incidentelor

    Alte sisteme pentru protejarea și controlul politicilor de securitate a informațiilor:

    1. sisteme DLP

      Dispozitive de control acces etc.

  2. Sisteme de inventariere

    Sisteme de contabilitate a traficului

Cele mai cunoscute sisteme SIEM:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

Înainte de a studia și a discuta în detaliu piața sistemelor DLP, trebuie să decideți ce înseamnă aceasta. Sistemele DLP înseamnă de obicei produse software care sunt create pentru a proteja organizațiile și întreprinderile de scurgeri de informații clasificate. Acesta este modul în care abrevierea DLP în sine este tradusă în rusă (în întregime - Data Leak Prevention) - „evitarea scurgerilor de date”.

Astfel de sisteme sunt capabile să creeze un „perimetru” digital securizat pentru analiza tuturor informațiilor primite sau trimise. Informațiile controlate de acest sistem sunt traficul pe Internet și numeroase fluxuri de informații: documente preluate în afara „perimetrului” protejat pe medii externe, tipărite pe o imprimantă, trimise către dispozitive mobile prin Bluetooth. Deoarece trimiterea și schimbul diferitelor tipuri de informații este o necesitate inevitabilă în zilele noastre, importanța unei astfel de protecție este evidentă. Cu cât se folosesc mai multe tehnologii digitale și internet, cu atât sunt necesare mai multe garanții de securitate în fiecare zi, în special în mediile corporative.

Cum functioneaza?

Deoarece sistemul DLP trebuie să contracareze scurgerile de informații confidențiale corporative, acesta are, desigur, mecanisme încorporate pentru diagnosticarea gradului de confidențialitate al oricărui document găsit în traficul interceptat. În acest caz, există două modalități comune de a recunoaște gradul de confidențialitate al fișierelor: prin verificarea markerilor speciali și prin analizarea conținutului.

În prezent, a doua opțiune este relevantă. Este mai rezistent la modificările care pot fi aduse fișierului înainte de a fi trimis și, de asemenea, face posibilă extinderea cu ușurință a numărului de documente confidențiale cu care sistemul poate lucra.

Sarcini DLP secundare

Pe lângă funcția sa principală, care este legată de prevenirea scurgerii de informații, sistemele DLP sunt potrivite și pentru rezolvarea multor alte sarcini care vizează monitorizarea acțiunilor personalului. Cel mai adesea, sistemele DLP rezolvă o serie dintre următoarele probleme:

  • control deplin asupra utilizării timpului de lucru, precum și a resurselor de lucru de către personalul organizației;
  • monitorizarea comunicațiilor angajaților pentru a detecta potențialul acestora de a provoca prejudicii organizației;
  • controlul asupra acțiunilor angajaților din punct de vedere al legalității (prevenirea producerii de documente contrafăcute);
  • identificarea angajaților care trimit CV-uri pentru a găsi rapid personal pentru un post vacant.

Clasificarea și compararea sistemelor DLP

Toate sistemele DLP existente pot fi împărțite în funcție de anumite caracteristici în mai multe subtipuri principale, fiecare dintre ele va ieși în evidență și va avea propriile avantaje față de celelalte.

Dacă este posibilă blocarea informațiilor care sunt recunoscute ca confidențiale, există sisteme cu monitorizare constantă activă sau pasivă a acțiunilor utilizatorului. Primele sisteme sunt capabile să blocheze informațiile transmise, spre deosebire de al doilea. Ei sunt, de asemenea, mult mai capabili să facă față informațiilor care trec accidental în lateral, dar, în același timp, pot opri procesele de afaceri curente ale companiei, ceea ce nu este cea mai bună calitate a lor în comparație cu cea din urmă.

O altă clasificare a sistemelor DLP poate fi făcută pe baza arhitecturii lor de rețea. Gateway-urile DLP funcționează pe servere intermediare. În schimb, gazdele folosesc agenți care lucrează în mod specific pe stațiile de lucru ale angajaților. În momentul de față, o opțiune mai relevantă este utilizarea simultană a componentelor gazdă și gateway, dar primele au anumite avantaje.

Piața globală modernă DLP

În prezent, principalele locuri pe piața globală a sistemelor DLP sunt ocupate de companii larg cunoscute în acest domeniu. Acestea includ Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec își menține poziția de lider pe piața DLP, deși acest fapt este surprinzător, deoarece multe alte companii l-ar putea înlocui. Soluția constă în continuare din componente modulare care îi permit să ofere cele mai noi capabilități concepute pentru a integra sistemele DLP cu cele mai bune tehnologii. Foaia de parcurs tehnologică pentru acest an a fost întocmită folosind informații de la clienții noștri și este astăzi cea mai progresivă disponibilă pe piață. Cu toate acestea, aceasta este departe de cea mai bună alegere a unui sistem DLP.

Puncte forte:

  • îmbunătățiri semnificative ale tehnologiei Content-Aware DLP pentru dispozitivele portabile;
  • Capacități îmbunătățite de regăsire a conținutului pentru a sprijini o abordare mai cuprinzătoare;
  • îmbunătățirea integrării capabilităților DLP cu alte produse Symantec (cel mai izbitor exemplu este Data Insight).

La ce trebuie să acordați atenție (dezavantaje importante în muncă la care merită să vă gândiți):

  • în ciuda faptului că foaia de parcurs tehnologică a Symantec este considerată progresivă, implementarea sa are loc adesea cu probleme;
  • Chiar dacă consola de management este complet funcțională, nu este atât de competitivă precum susține Symantec;
  • Adesea clienții acestui sistem se plâng de timpul de răspuns al serviciului de asistență;
  • prețul acestei soluții este în continuare semnificativ mai mare decât cel al modelelor concurenților, care în timp pot lua o poziție de lider datorită micilor modificări aduse acestui sistem.

Websense

În ultimii câțiva ani, dezvoltatorii au îmbunătățit în mod regulat oferta DLP a Websense. Poate fi considerată în siguranță o soluție complet funcțională. Websense a oferit utilizatorului modern capabilități avansate.

Părți câștigătoare:

  • Propunerea Websense este de a utiliza o soluție DLP cu funcții complete care acceptă punctele finale și descoperirea datelor.
  • Folosind funcția de picurare DLP, este posibil să detectați scurgeri graduale de informații care durează destul de mult timp.

Ce merită o atenție specială:

  • Puteți edita datele numai în timp ce sunteți în repaus.
  • Harta tehnologică se caracterizează prin putere redusă.

McAfee DLP

Sistemul de securitate McAfee DLP a reușit, de asemenea, să sufere multe schimbări pozitive. Nu se caracterizează prin prezența unor funcții speciale, dar implementarea capacităților de bază este organizată la un nivel înalt. Diferența cheie, pe lângă integrarea cu alte produse McAfee ePolicy Orchestrator (EPO), este utilizarea tehnologiei de stocare într-o bază de date centralizată a datelor capturate. Acest cadru poate fi folosit pentru a optimiza reguli noi pentru a testa false pozitive și pentru a reduce timpul de implementare.

Ce te atrage cel mai mult la această soluție?

Managementul incidentelor poate fi numit cu ușurință un punct forte al soluției McAfee. Cu ajutorul acestuia, sunt atașate documente și comentarii care promit beneficii atunci când se lucrează la orice nivel. Această soluție este capabilă să detecteze conținut non-text, de exemplu, o imagine. Este posibil ca sistemele DLP să implementeze o nouă soluție de la acest dezvoltator pentru a proteja punctele finale, de exemplu, de sine stătătoare.

Funcțiile care vizează dezvoltarea platformelor, prezentate sub formă de dispozitive de comunicații mobile și rețele sociale, au funcționat destul de bine. Acest lucru le permite să învingă soluțiile competitive. Regulile noi sunt analizate printr-o bază de date care conține informațiile capturate, ceea ce ajută la reducerea numărului de fals pozitive și la accelerarea implementării regulilor. McAfee DLP oferă funcționalitate de bază într-un mediu virtual. Planurile privind dezvoltarea lor nu au fost încă formulate clar.

Perspective și sisteme DLP moderne

Prezentare generală a diferitelor soluții prezentate mai sus arată că toate funcționează în același mod. Potrivit experților, principala tendință de dezvoltare este aceea că sistemele „patch” care conțin componente de la mai mulți producători implicați în rezolvarea unor probleme specifice vor fi înlocuite cu un pachet software integrat. Această tranziție se va realiza din cauza necesității de a scuti specialiștii de rezolvarea anumitor probleme. În plus, sistemele DLP existente, ale căror analogi nu pot oferi același nivel de protecție, vor fi îmbunătățite în mod constant.

De exemplu, prin sisteme integrate complexe, se va determina compatibilitatea diferitelor tipuri de componente ale sistemului „patch” între ele. Acest lucru va facilita schimbarea ușoară a setărilor pentru rețele la scară uriașă de stații client din organizații și, în același timp, absența dificultăților în transferul de date de la componentele unui singur sistem integrat între ele. Dezvoltatorii de sisteme integrate consolidează specificul sarcinilor care vizează asigurarea securității informațiilor. Niciun canal nu ar trebui lăsat necontrolat, deoarece este adesea sursa unei probabile scurgeri de informații.

Ce se va întâmpla în viitorul apropiat?

Producătorii occidentali care încercau să preia piața sistemelor DLP din țările CSI s-au confruntat cu probleme în ceea ce privește suportul pentru limbile naționale. Sunt interesați destul de activ de piața noastră, așa că se străduiesc să susțină limba rusă.

Industria DLP vede o mișcare către o structură modulară. Clientului i se va oferi posibilitatea de a selecta independent componentele sistemului de care are nevoie. De asemenea, dezvoltarea și implementarea sistemelor DLP depind de specificul industriei. Cel mai probabil, vor apărea versiuni speciale ale sistemelor cunoscute, a căror adaptare va fi subordonată lucrului în sectorul bancar sau agențiile guvernamentale. Solicitările relevante ale unor organizații specifice vor fi luate în considerare aici.

Securitate corporativă

Utilizarea laptopurilor în mediile corporative are un impact direct asupra direcției de dezvoltare a sistemelor DLP. Acest tip de laptop are mult mai multe vulnerabilități, ceea ce necesită o protecție sporită. Datorită naturii specifice laptopurilor (posibilitatea furtului de informații și a dispozitivului în sine), producătorii de sisteme DLP dezvoltă noi abordări pentru asigurarea securității computerelor laptop.