Отчет. Защита от утечки информации (DLP-системы)
.docxФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»
Отчет по
Самостоятельной работа №15
«Защита от утечки информации (DLP-системы)»
Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95
Подпись________
Проверил: Бабков Иван Николаевич
Подпись________
Утечка информации может происходить разными путями — через электронную почту, веб-приложения, внешние носители — и даже распечатываться на принтере. DLP контролируют все эти потоки.
DLP проводят мониторинг данных, анализируя две основные составляющие любой информации — содержание и контекст. Если с содержанием все понятно — например, мы находим и не выпускаем за пределы сети все документы, содержащие номера кредитных карт, — то с контекстом несколько сложнее. Некоторые ошибочно полагают, что контекст — это что-то вроде обложки у книги, однако это далеко не так. Проверка контекста включает анализ таких данных, как размер, формат, заголовки, источник информации и многое другое, что не относится к содержанию. Основная идея заключается в том, чтобы настроить систему как можно более тонко, подвергая анализу не только содержание информации, но и то, в каком контексте она была отправлена.
Существует несколько основных техник, используемых для анализа содержания информации:
1. Правила или регулярные выражения — самый основной и простой метод проверки информации. Мы можем отслеживать попытки выслать письма, содержащие 16-значные номера кредитных карт или, например, слово «договор». С такими фильтрами очень легко работать, однако они дают достаточно большой процент ложных срабатываний.
2. Метод цифровых отпечатков — очень похож на первый способ. В данном случае в момент прохождения информации с нее снимается цифровой отпечаток и сравнивается с другими отпечатками, уже находящимися в базе данных DLP. Это достаточно ресурсоемкий процесс, поэтому он может повлиять на производительность.
3. Точное совпадение фалов — содержимое файлов не подвергается анализу. Сравниваются только цифровые отпечатки файлов. Такой подход дает низкий процент ложных срабатываний, однако плохо работает в среде, где есть множество файлов, содержимое которых имеет между собой очень мало различий.
4. Частичное совпадение — ищет частичное соответствие в определенных файлах. Это могут быть, например, одинаковые формы, заполняемые разными пользователями.
5. Встроенные фильтры — обычно создаются производителем системы. С их помощью можно хорошо фильтровать типы данных, например номера кредитных карт.
6. По словарю — информация фильтруется с использованием комбинации данных из таких источников, как, например, словари и правила.
7. Статистический анализ — использует нейронные сети или статистические методы, например байесовский анализ для фильтрации данных. Особенность этого метода в том, что система вначале обучается на большой выборке данных, что может занять некоторое время. После запуска вы обязательно будете наблюдать некоторое количество ложноотрицательных и ложноположительных срабатываний.
Используя MyDLP, вы сможете контролировать информацию, передающуюся всеми популярными путями — через электронную почту, веб-приложения, печать и копирование на внешние носители.
Большинство DLP имеют три основных режима работы с данными — разрешить, предупредить и запретить. В самом начале работы, после инсталляции данной системы, мы настоятельно не рекомендуем использовать политики, запрещающие передачу информации. Все мы люди и можем ошибаться, особенно на начальном этапе внедрения любой системы и особенно такой, как DLP. Ведь в случае ошибки можно парализовать работу целого предприятия.
MyDLP анализирует данные, передающиеся по разным каналам, в соответствии с заданными политиками.
Политики — это набор правил, обеспечивающих реализацию разработанной ранее модели предотвращения утечки данных.
Канал — среда передачи данных, в которой действуют политики. Например, вебсреда включает в себя такие протоколы, как FTP, HTTP и HTTPS.
Источник — начальная точка, из которой мы ожидаем поступления информации. Это может быть вся сеть или отдельные хосты. В некоторых случаях может и не задаваться.
Пункт назначения — конечная точка назначения сетевого трафика. В некоторых случаях может не задаваться.
Типы информации — определяют критерии, по которым мы будем сортировать трафик в каком-либо канале. MyDLP имеет встроенный набор типов данных, однако администратор всегда может создать свой шаблон.
Для тестирования политик, касающихся веб-трафика, весь поток данных придется перенаправить через DLP-сервер, только тогда он сможет его проанализировать. Для этого настройте использование прокси-сервера на рабочих станциях, находящихся в тестовой группе.
Для тестирования правил, касающихся, например, использования внешних носителей информации, вам надо будет проинсталлировать MyDLP-агент на все тестовые компьютеры.
После успешной апробации системы в тестовой среде вы можете проинсталлировать агент на все рабочие станции организации и пустить весь сетевой трафик через DLP. Поначалу, как мы уже говорили, следует избегать запрещающих правил. Посмотрите, как работает система, соберите достаточно данных и только потом постепенно, правило за правилом, начинайте применять ограничительные политики.
На самом деле современные DLP-системы умеют гораздо больше — они могут контролировать мобильные телефоны, данные, передающиеся через такое ПО, как Skype, защищают информацию в облаке и могут быть интегрированы с другими системами, обеспечивающими ИБ. В данный момент на рынке ИТ довольно много поставщиков решений такого типа, но мало специалистов, умеющих грамотно настраивать и поддерживать такое ПО.