Әдебиеттер:
http://www.msiit.ru/x/miszki/index.html сайты
Лекция 3. DLP жүйелері
DLP жүйесі (Data Loss Prevention) – бұл құпия ақпараттың корпоративтік желіден тыс ағып кетуіне жол бермеу үшін жасалған бағдарламалық өнім.
Ол корпоративтік желіден тыс деректер ағындарын талдауға негізделген. Белгілі бір сигнатура іске қосылған және құпия ақпаратты беру фактісі анықталған жағдайда, жүйе не осындай беруді бұғаттайды, не Қауіпсіздік офицеріне хабарламалар жібереді.
Барлық заманауи DLP жүйелерінің негізгі элементі-бұл АҚ саясатымен тыйым салынған файлдарды, хаттарды және басқа объектілерді мәтіндерде анықтауға және оларды компьютерден немесе ұйым желісінен тыс тасымалдауға тыйым салатын мазмұнды талдау және сүзу технологиялары:
принтерде басып шығару;
жазылу флешка;
Skype немесе пошта арқылы жіберу;
ақпаратты берудің басқа тәсілдері.
Дәл осындай технологияларда DLP жүйелерін өндірушілер мазмұнды талдау әдістерін қарқынды дамытып, жетілдіруге баса назар аударады.
Қазіргі уақытта DLP жүйелерін жасаушылардың негізгі қызығушылығы ақпараттың ықтимал ағып кету арналарын қамту және оқиғаларды тергеу мен талдаудың аналитикалық құралдарын дамыту бағытында өзгерді. Соңғы DLP өнімдері құжаттарды қарауға, оларды басып шығаруға және сыртқы медиаға көшіруге, жұмыс станцияларында қосымшаларды іске қосуға және оларға сыртқы құрылғыларды қосуға кедергі келтіреді, ал желілік трафикті заманауи талдау кейбір туннельдер мен шифрланған протоколдар арқылы да ағып кетуді анықтауға мүмкіндік береді.
DLP жүйелерінің одан әрі дамуы олардың IDS/IPS өнімдерімен, SIEM шешімдерімен, жұмыс процесі жүйелерімен және жұмыс станцияларын қорғаумен интеграциялануына әкеледі.
DLP жүйелері деректердің ағып кетуін анықтау әдісімен ерекшеленеді:
пайдалану кезінде (Data-in‑Use) — пайдаланушының жұмыс орнында;
беру кезінде (Data-in‑Motion) — компания желісінде;
сақтау кезінде (Data-at‑Rest) — компанияның серверлері мен жұмыс станцияларында.
Ақпараттың ағып кетуінен қорғаудың заманауи жүйесі, әдетте, әртүрлі мақсаттағы көптеген модульдерден тұратын таратылған бағдарламалық‑аппараттық кешен болып табылады.
Модульдер қызметі:
арнайы серверлерде
компания қызметкерлерінің жұмыс станцияларында
қауіпсіздік қызметі қызметкерлерінің жұмыс орындарында.
Деректер базасы және ақпаратты талдау модулі сияқты модульдер үшін арнайы серверлер қажет болуы мүмкін. Бұл модульдер DLP жүйесінің өзегі болып табылады.
Деректер базасы бақылау ережелері мен оқиғалар туралы егжей-тегжейлі ақпараттан бастап, белгілі бір кезең ішінде жүйенің назарына түскен барлық құжаттарға дейін ақпаратты сақтау үшін қажет. Кейбір жағдайларда, жүйе тіпті белгілі бір уақыт аралығында ұсталған компанияның барлық желілік трафигінің көшірмесін сақтай алады.
Ақпаратты талдау модульдері әртүрлі көздерден басқа модульдер алған мәтіндерді талдауға жауап береді: желілік трафик, компания ішіндегі кез-келген ақпаратты сақтау құрылғыларындағы құжаттар. Кейбір жүйелерде суреттерден мәтін алу және ұсталған дауыстық хабарларды тану мүмкіндігі бар. Талданған барлық мәтіндер алдын ала белгіленген ережелермен салыстырылады және сәйкестік анықталған кезде тиісті түрде белгіленеді.
Қызметкерлердің іс-әрекеттерін бақылау үшін олардың жұмыс станцияларында арнайы агенттер орнатылуы мүмкін. Мұндай агент пайдаланушының өз жұмысына араласуынан қорғалуы керек және оның әрекеттерін пассивті түрде бақылап, компанияның қауіпсіздік саясатымен пайдаланушыға тыйым салынған әрекеттерді белсенді түрде болдырмауы мүмкін.
Бақыланатын әрекеттер тізімі:
пайдаланушының жүйеге кіруі / шығуы;
USB құрылғылары арқылы қосылу;
желілік хаттамаларды ұстап алу және бұғаттау;
құжаттарды кез келген сыртқы тасымалдағышқа көлеңкелі көшіру, құжаттарды жергілікті және желілік принтерлерге басып шығару, ақпаратты Wi-Fi арқылы беру.
Қолданыстағы DLP жүйелерінің мысалдары:
InfoWatch Traffic Monitor;
Symantec Data Loss Prevention;
DeviceLock DLP Suite
Search Inform Контур безопасности;
FalconGaze SecureTower.
Достарыңызбен бөлісу: |
