Информационная течь

26 мая 2008

Валерий Коржов,
Computerworld, 26.05.2008

Перекрыть ее каналы призваны решения категории DLP

Сегодня многие производители заговорили о системах предотвращения утечек конфиденциальной информации, однако каждый под этим подразумевает свое. Антивирусные компании предотвращают утечки, уничтожая троянцев, ворующих информацию, производители шифраторов защищают от потери информации вместе с носителем, а компании, занимающиеся межсетевыми экранами, блокируют утечки через сетевые протоколы. Как покупателям разобраться в том, какие именно продукты будут действительно защищать от разглашения критически важных данных. Этот вопрос, в частности, обсуждался на семинаре компании "ДиалогНаука", который прошел 22 мая под названием "Современные методы и средства защиты от внутренних нарушителей".

Основные признаки полноценного решения категории DLP (Data Loss Prevention или Data Leak Prevention), по мнению Михаила Прибочего, директора по дистрибуции компании Associates Distribution, таковы: оно должно контролировать несколько каналов утечек; блокировать передачу данных, а не просто фиксировать факт утечки; работать на уровне данных, а не уровне управления доступом; контролировать не только передачу конфиденциальных сведений, но и их хранение; автоматизировать деятельность службы безопасности. Из этого списка видно, что ни антивирусы, ни межсетевые экраны не могут быть признаны полноценными DLP-системами, поскольку они не контролируют даже такие каналы, как печать документов и вынос данных на мобильных носителях. Средства шифрования также не совсем DLP, поскольку работают на уровне контроля доступа, но ничего не знают про данные, поэтому не защищают от преднамеренных утечек. Впрочем, указанные технологии могут являться компонентами комплексной системы защиты информации.

По словам Виктора Сердюка, генерального директора компании "ДиалогНаука", на сегодняшний день разработано три технологии, призванные сохранять данные. Одна основана на использовании лингвистических методов анализа информации. Для ее работы нужно определить набор ключевых слов, по которым документ может быть отнесен к конфиденциальным. Далее система анализирует текст каждого документа, и если ключевых слов в нем больше порогового значения, то его передача во вне блокируется. Такая система может работать очень эффективно, однако имеет большой процент ложных срабатываний.

Второй метод контроля конфиденциальной информации основывается на уровнях секретности. Это классическая мандатная система управления доступом, при которой каждый документ должен иметь свой уровень секретности, а каждый пользователь - допуск. Правила работы такой системы очень просты, основная сложность - пометить каждый документ соответствующим грифом. К тому же технология больше привязана к носителю информации, чем к ее содержанию. Достаточно сбросить значение метки и система перестанет срабатывать. К решениям этого типа можно отнести, например, продукты российских разработчиков "ИнформЗащиты" (SecretNet) или ОКБ САПР ("Аккорд") и зарубежный продукт McAfee DLP.

Третья технология использует цифровые отпечатки конфиденциальной информации. Для этого используется специальная однонаправленная функция, которая устойчива к незначительным изменениям и зашумлению текста (последнее свойство и отличает ее от хеш-функции). С помощью такой функции формируется электронный слепок защищаемых данных, который иногда называют "сигнатурой". Затем для данных, передаваемых по различным каналам, формируются их слепки, которые сравниваются с сигнатурами конфиденциальных документов. Результаты такого сигнатурного сравнения, выраженные в процентах, и показывают, какая доля конфиденциальной информации содержится в документе. Эту технологию используют как для поиска похожих документов, так и для выявления конфиденциальных данных. Такой метод защиты секретов лучше всего поддается автоматизации, однако требует "расхода" памяти (около 10% от объема конфиденциальной информации) и определенных вычислительных ресурсов для генерации сигнатур и принятия решения. Кроме того, он не защищает от пересказа секретной информации своими словами и попыток распределить ее в нескольких документах. В России есть две компании, которые используют такую технологию: Websense и SoftInform.

Есть еще один большой класс продуктов, который может работать совместно с DLP-системами. Это продукты контроля периферийных устройств. Они работают на уровне доступа и ничего не знают о данных, записываемых на внешние носители. К тому же они защищают только каналы утечек с рабочих станций, не проверяя утечки с серверов при работе в терминальном режиме. Тем не менее они хорошо дополняют DLP-решения, особенно если имеют функцию теневого копирования данных на центральный сервер, где эти данные может проанализировать DLP-система. В России есть продукты этого класса, например SmartLine DeviceLock или Zlock от SecurIT.

Поскольку пока не создан полноценный DLP-продукт, который перекрывал бы все каналы утечки информации, пользователям приходится покупать несколько продуктов для защиты от утечек - и шифраторы для защиты мобильных носителей, и продукты для контроля периферийных устройств, и системы контентного анализа передаваемых во вне данных. Впрочем, рынок этих продуктов достаточно молод, и поэтому еще не появилось полноценного решения, которое объединяло бы все описанные методы защиты.

525
Подписаться на статьи
;