Symantec Data Loss Prevention

Symantec Data Loss Prevention

Как защитить от утечек конфеденциальную информацию?

Направление защиты информационных ресурсов сегодня, безусловно, является одним из наиболее перспективных. Причин тому несколько и одна из основных это то, что информационные активы организации всегда были и будут иметь большое значение — от них напрямую зависит будущее компании, её успех. В сфере информационной безопасности есть два основных вопроса: как защищать и что защищать? Ответ на последний вопрос особенно актуален, так как в первую очередь нужно заботиться о критически важных данных: личной информации, коммерческой тайне, технической документации и т.п.

Существует множество путей, которыми электронная информация может покинуть отведённое для неё рабочее пространство и попасть совсем не туда, не в те руки. Электронная почта — один из наиболее распространённых путей. Можно документы распечатать. Можно скопировать на внешний носитель, будь то USB-накопитель (попросту, флэшка) или записываемый компакт-диск. Сегодня даже MP3-проигрыватель может быть использован в качестве переносного носителя информации. Вспомним про WEB 2.0.

Публикацию данных на блогах и форумах. Или обмен мгновенными сообщениями. Путей очень много. Утечка конфиденциальных данных может произойти как случайно, так и злонамеренно. И в том, и в другом случае нужно принимать меры по защите важной информации. Уже ни для кого не секрет, что львиная доля всех угроз связана с «инсайдерами» и большая часть из намеренных посягательств на конфиденциальные данные является финансово мотивированной. Даже случайная оплошность сотрудника, переславшего конфиденциальные данные не по адресу, может привести к финансовым потерям и другим неприятностям. Чего тогда ожидать от действий со злым умыслом?

Многие компании понимают, что им есть, что терять, и DLP-решения начинают пользоваться заслуженным спросом. Не удивительно, что в авангарде украинских компаний, использующих DLP уже сейчас, мы видим представителей финансового сектора и крупных телекоммуникационных операторов. С развитой информационной инфраструктурой, такие компании готовы внедрять DLP-решения и понимают критичность и пользу подобных решений. Стоит отметить, что в поисках конфиденциальной информации упомянутые категории компаний часто бывают предметом атак, в том числе и внутренних. Не стоит забывать о том, что, например, те же базы данных с личными сведениями о людях намного проще получить не в банке, а скажем, в отеле или лечебном учреждении. Имя и фамилия, номера кредитных карточек, всё то же самое, но с менее сильной защитой. Таким организациям тоже стоит задуматься о том, как обезопасить свои информационные ресурсы и выбрать подходящее решение DLP.

Что такое Symantec Data Loss Prevention?

Решение Symantec Data Loss Prevention 11.1 позволяет ответить на 3 ключевых вопроса:

- Где находятся конфиденциальные данные?

- Как они используются?

- Как лучше предотвратить их потерю?

Symantec Data Loss Prevention

Основываясь на многолетнем опыте работы со своими заказчиками, компания Symantec определила 3 ключевых требования для решения DLP: оно должно уметь работать с конечными точками, сетью и также хранилищами данных.

На конечных точках (т.е. настольных ПК, ноутбуках и т.п.) заказчикам нужно решение DLP на основе агента, способное закрыть все возможные каналы утечки информации, характерные для этого типа устройств. Среди них: копирование на USB-носители, на диски CD/DVD или сетевые папки, отправка по факсу, печать и т.п. Сюда же следует добавить защиту сетевых протоколов, таких как электронная почта, веб, FTP и обмен мгновенными сообщениями. Особенно это актуально в случае, когда компьютер отключен от корпоративной сети и подключен к «ненадёжной» сети (например, Wi-Fi в кафе, отеле или подключение к домашней сети с доступом в Интернет). Наконец, решение DLP должно уметь сканировать внутренние жесткие диски на конечных точках, чтобы обнаруживать хранящиеся там конфиденциальные данные и, при необходимости, перемещать их в защищённое место.

Сетевое решение DLP должно находиться там, где данные могут покинуть и покидают пределы организации, сканировать протоколы (электронная почта, веб-почта и т.п.) в поисках конфиденциальных данных. Если сетевое решение DLP обнаруживает, что важные данные покидают сеть компании, оно должно заблокировать эту возможность. Такое решение необходимо в дополнение к решению DLP на конечных точках, чтобы обеспечить многоуровневую защиту. Хорошим подходом является применение таких технологий безопасности, как межсетевой экран и антивирусная защита, вместе с решением DLP для сети и конечных точек. Важным назначением сетевого решения DLP является работа с передачей данных по сети «неуправляемыми» конечными точками, на которых нельзя запустить агент DLP, например, КПК, ноутбуки гостей, компьютеры с операционными системами Mac OS или Linux, старыми версиями Windows, FTP-серверы и т.д.

Что касается хранилищ данных, очевидно, что беспечно хранящиеся конфиденциальные данные могут находиться всего в нескольких щелчках мыши от того, чтобы покинуть сеть организации. Заказчикам важно знать есть ли конфиденциальные данные в файловых папках, базах данных и других репозиториях, и, если необходимо, переместить в защищённое расположение.

Symantec Data Loss Prevention

В итоге, заказчики желают иметь решение, позволяющее централизованно создавать политики по предотвращению утечек конфиденциальной информации и закрывающее сразу все три описанных выше вектора угроз.

Давайте посмотрим, как Symantec DLP работает в этих направлениях обеспечения безопасности секретных данных.

Symantec Data Loss Prevention

Интерфейс веб-консоли Symantec DLP доступен на русском языке.

Визуальные элементы отчётов легко настроить

 

Symantec Data Loss Prevention

Фрагмент списка инцидентов

 

Symantec Data Loss Prevention

Детальная информация по отдельному инциденту

 

Symantec Data Loss Prevention

Пример настраиваемого уведомления пользователя,

отображаемого в ответ на действие,

противоречащее политике Symantec DLP

Архитектура Symantec DLP 

На схеме ниже представлена многоуровневая архитектура решения Symantec Data Loss Prevention 11.1. Каждый прямоугольник на этой схеме представляет собой отдельный физический сервер с установленным на нём программным компонентом Symantec DLP. Синим шрифтом на схеме обозначены названия этих программных компонентов, которые одновременно являются и названиями (SKU) доступных к заказу продуктов.

Важно помнить, что Symantec DLP — это программное обеспечение, а не устройство. Серверное программное обеспечение устанавливается в операционной среде Windows или Linux. Также обратите внимание, что часть компонентов Symantec DLP устанавливается внутри корпоративной сети, а остальные «живут» в демилитаризованной зоне (DMZ).

В центре схемы находится Symantec DLP Enforce Platform. Эта платформа обеспечивает централизованный интерфейс управления системой для создания политик, отчётов, уведомлений. После создания, политики DLP сохраняются в базе данных Enforce (Oracle 10 или 11). Также эти политики DLP незамедлительно отправляются в модули DLP и хранятся в локальной памяти (RAM) на устройствах, где производится обнаружение конфиденциальной информации. Если политики нарушаются, генерируется соответствующий инцидент. Он отправляется обратно на Enforce, где потом и хранится. Доступ к интерфейсу Enforce можно осуществлять с помощью браузеров Microsoft Internet Explorer или Mozilla Firefox. Сервер Enforce и базу данных можно установить как на один физический сервер, так и отдельно.

Symantec Data Loss Prevention

Справа на схеме сетевые продукты Symantec DLP находятся в демилитаризованной зоне (DMZ). Компонент Network Monitor в пассивном режиме просматривает копию сетевого трафика, получаемого по со SPAN-порта или c TAP. Продукты Network Prevent могут не только мониторить, но и блокировать возможность данным покинуть пределы сети. Network Prevent for E-mail интегрируется с агентом передачи почтового трафика (MTA) для блокирования SMTP-трафика или его модификации и последующей передачи. Network Prevent for Web интегрируется с поддерживаемым веб-прокси, чтобы блокировать или удалять содержимое в веб-запросах.

Слева внизу на схеме расположены продукты Symantec DLP, находящиеся в корпоративной сети (LAN). Обратите внимание, что Endpoint Discover и Endpoint Prevent — это одна инсталляция. Она «общается» с единым небольшим агентом, установленным на ноутбуках и настольных ПК, чтобы осуществлять обнаружение информации и, в случае необходимости, предотвращать её утечку. Endpoint Prevent может отслеживать копирование конфиденциальных данных на жёсткий диск компьютера, а также, осуществлять мониторинг и блокировать копирование информации на USB, CD, DVD, в буфер обмена, контролировать печать, отправку по факсу, копирование с сетевых и на сетевые папки. Последняя функция имеет ограничение — контроль производится только при использовании Windows Explorer. Также Endpoint Prevent позволяет блокировать отправку конфиденциальных данных с помощью поддерживаемых почтовых клиентов и Web-браузеров. Endpoint Discover может производить параллельное сканирование тысяч конечных точек, находить секретную информацию и, опционально, помещать в карантин хранящиеся локально на ПК данные. Эти агенты хранят политики DLP внутри себя, так что даже если ноутбук, например, отключить от корпоративной сети, политики DLP будут продолжать действовать.

Symantec Data Loss Prevention

Слева, в верхней части схемы, находятся продукты для работы с хранилищами данных, которые так же, как в случае с продуктами группы Endpoint, располагаются внутри корпоративной сети. Network Discover и Protect — это одна инсталляция. Network Discover сканирует репозитории данных (файловые серверы, хранилища документов, сайты по взаимодействию [SharePoint] и базы данных) и осуществляет поиск конфиденциальных данных. Network Protect дополняет Discover и может копировать или помещать в карантин важные данные, чтобы защитить их от возможного несанкционированного доступа (это справедливо только при использовании протокола CIFS). Data Insight — это полнофункциональное решение для наведения порядка в неструктурированных данных. Data Insight позволяет собирать информацию о владельцах документов, использовании файлов и правах доступа к ним на файловых серверах Windows и поддерживаемых устройствах NAS (Network Attached Storage). Data Insight интегрируется с компонентом Network Discover для предоставления дополнительной информации об инцидентах в области хранения данных, включая уровни рисков для каждой папки, список активных пользователей файла и полную историю доступа к нему. В отличие от других серверных компонентов Symantec DLP, Data Insight не производит обнаружение конфиденциальных данных, а выполняет второстепенную, но очень полезную задачу.

На схеме архитектуры Symantec DLP, расположенной выше на этой странице, схематически показаны угрозы и протоколы данных, которые можно отслеживать и блокировать.

Обнаружение конфиденциальной информации 

Обнаружить важную информацию можно несколькими способами:

Symantec Data Loss Prevention

DCM или Described Content Matching

DCM — это механизм поиска информации по ключевым словам. Применяется к неиндексируемым данным. Использует идентификаторы данных, которые можно описать строго заданным форматом: номера паспортов, кредитных карт, страховых полисов, IP-адресов и т.п.

IDM или Indexed Data Matching

IDM использует цифровые отпечатки с неструктурированных данных (текстовый документ, текст письма, код программы). Размер цифрового отпечатка для неструктурированных данных составляет приблизительно 0,1% от размера исходного файла. Цифровые отпечатки позволяют впоследствии определить насколько новый документ похож на исходный. То есть система DLP сможет отслеживать не только исходный секретный файл, но и похожий на него (если кто-то скопировал часть документа, сохранил его в другом формате, удалил некоторые слова, изменил местоположение абзацев и т.п). Если 10% исходного документа сохранились нетронутыми, решение Symantec DLP сможет по цифровому отпечатку определить конфиденциальный документ.

EDM или Exact Data Matching

EDM использует цифровые отпечатки со структурированных (табличных) данных. Работает очень похоже на IDM. Примерами структурированных данных могут быть прайс-лист, список клиентов, сотрудников (например, в Excel или базе данных) и т.п. Размер цифрового отпечатка в этом случае составляет приблизительно 1% от размера файла. Порог срабатывания (количество строк, при котором генерируется инцидиент) задаётся администратором. Строки для генерирования инцидента необязательно должны идти подряд и, опять же, необязательно, чтобы копируемая строка содержала все поля.

Использование искусственного интеллекта

Описанные выше технологии обнаружения конфиденциальной информации используются уже достаточно давно и доказали свою эффективность. Однако, у каждой из них есть свои особенности. Например, для поиска по ключевым словам (DCM) есть сложность с правильным составлением этого списка. Система работает отлично, находит документы, отслеживает их. Всё это — при грамотно составленном списке ключевых слов. Опыт внедрения Symantec DLP показывает, что бывают ситуации, когда список ключевых слов получается слишком большим или когда слишком много инцидентов генерируется, либо, наоборот, слишком мало. Для того, чтобы составить корректный список ключевых слов, требуется опыт. Как правило, на создание такого списка нужно потратить около недели. В случае с цифровыми отпечатками (IDM и EDM) есть свои неудобства. Например, с каждого нового документа нужно снимать цифровой отпечаток. Это обязательное условие, иначе система не сможет отследить такой документ. Если документ меняется, нужно снимать цифровой отпечаток заново. Конечно, все эти процессы автоматизированы и могут делаться по расписанию, но на этапе начала работы с решением DLP надо снять отпечаток с каждого документа.

В последней версии Symantec DLP 11.1 появилась новая возможность, позволяющая бороться с описанными недостатками. Она никоим образом не заменяет существующие технологии в Symantec DLP, а, скорее, органично дополняет их. Технология эта называется Vector Machine Learning (VML) и представляет собой самообучающуюся систему, которую можно назвать «искусственным интеллектом». Технология VML может научиться отличать одни документы от других. Работает следующим образом. Сначала необходимо предоставить системе для анализа достаточно большое количество однотипных документов (минимум 50), на которые необходимо обращать внимание, т.к. они содержат секретные данные. Затем для анализа надо предоставить столько же документов, которые могут вызвать ложное срабатывание или, другими словами, похожие на секретные документы схожей структуры, не содержащие конфиденциальных данных. Примерами могут служить электронные досье сотрудников или медицинские карточки пациентов (с персональными данными, не подлежащими огласке) и схожие с ними шаблоны документов, не содержащие личных данных.

Symantec Data Loss Prevention

Фактически, VML — это система классификации данных. В дальнейшем, если, например, произойдёт отправка документа, в котором нет ключевых слов, идентификаторов данных, с которого не снимался цифровой отпечаток, система Vector Machine Learning сможет определить, какой это тип документа (анкета, история болезни и т.п.). В результате не нужно будет делать немедленные цифровые отпечатки с новых файлов, например, с резюме. В этом случае VML отследит новый документ сама. Система может учиться. Если произойдёт случайное ложное срабатывание, можно указать VML на это и в дальнейшем подобного инцидента не повторится. По опыту первых внедрений технология Vector Machine Learning отлично показала себя в работе с исходными текстами программного кода. Стоит также отметить, что технологии, похожей на Vector Machine Learning, нет у других решений DLP.

Лицензирование Symantec DLP 11.1

Существует пять типов лицензий для Symantec DLP. Обычно используются Perpetual и Subscription. Подробное описание — в таблице ниже.

Symantec Data Loss Prevention

Компоненты Symantec DLP лицензируются следующим образом:

Symantec Data Loss Prevention

Система Orphus
comments powered by Disqus
  • Таня Герасимчук
    Из наиболее полных, лаконичных и доступных материалов о решении DLP от Symantec - это самый лучший! ...глупо было бы ожидать чего-о другого от Кинда! :)
  • Alexey Dudnikov
    отличная статья!
 
Top