Форум АНТИЧАТ - С утечками данных будут бороться гибридные технологии

В настоящее время на рынке систем предназначенных для защиты конфиденциальной информации от утечек (DLP), существует несколько основных базовых технологий обнаружения, среди которых лингвистический и контекстный анализ, а также цифровые отпечатки и метки.

Эти технологии по отдельности на практике оказываются не так эффективны и универсальны, как хотелось бы, поэтому будущее DLP логично вырисовывается в чертах гибридной технологии и гибридного анализа, о котором и пойдет речь в этой публикации.

В качестве иллюстраций я буду использовать кадры своей презентации "Мировые тенденции на рынке систем защиты от утечек" с прошедшего две недели назад круглого стола DLP-Expert.

Для начала хотел бы остановиться на составе современного комплексного DLP-решения, в котором должны присутствовать следующие компоненты:

1. Защита на уровне сети - предотвращение утечек информации по сети (SMTP, HTTP, HTTPS, IM и сетевая печать). Как правило, это мониторинг и/или блокирование исходящего трафика на уровне интернет-шлюза, но есть и попытки переноса функций контроля трафика на уровень рабочих станций.
2. Защита конечных точек - предотвращение утечек информации через подключаемые устройства (USB, HDD/CD/DVD, WiFi/Bluetooth, локальная печать и т.д.). Мониторинг и/или блокирование попыток копирования информации на внешние устройств, снятие теневых копий "сливаемой" информации.
3. Шифрование - дополнительный уровень защиты мобильных носителей на случай их потери или кражи. Даже если носитель попадет к злоумышленнику, то данные на нем будут надежно зашифрованы.
4. Платформа управления, хранения информации об инцидентах и ее анализа. - Управление политиками безопасности, сбор и хранение деталей инцидентов для дальнейшего анализа офицером безопасности или передачи доказательной базы в судебные органы.

http://www.anti-malware.ru/files/concept_.gif

Если на уровне конечных точек в самом простейшем случае можно обойтись просто политиками работы с внешними устройствами, то на уровне сети все гораздо сложнее - утечку нужно обнаружить в потоке трафика. Здесь мы как раз упираемся в различия существующих технологий, как по их эффективности, так и по области применимости.

На рисунке ниже приведено условное разделение существующих технологий обнаружения утечек на несколько поколений по их эффективности. В первое поколение попали самые примитивные технологии - детектирование по ключевым словам, регулярным выражениям и словарям. Во второе - все существующие в настоящее время на рынке технологии - лингвистический анализ, цифровые отпечатки, цифровые метки, контекстный анализ. Третье поколение - это гибридный анализ, который совмещает в себе несколько различных технологий второго поколения.
http://www.anti-malware.ru/files/generations_.gif
Различные технологии обнаружения утечек по-разному эффективны для различных категорий информации. Ключевым разделением здесь является новизна конфиденциальной информации и ее изменяемость со временем. Поэтому рассматривать эффективность различных технологий стоит в разрезе защиты статических (например, медиа-файлы, исходные коды программ, старые и редко изменяемые документы) и динамических данных (e-mail, IM, сообщения в форумах, блогах, новейшие и активно изменяемые на этапе подготовки документы).

Представленные сегодня на рынке DLP-продукты используют различные технологии второго поколения, а значит по-разному эффективны для предотвращения утечек статических или динамических данных. На графике ниже наглядно видно, что цифровые отпечатки и метки более эффективны для предотвращения утечек статических данных, в то время как лингвистика и контекстный анализ лучше справляется с утечками динамических данных.
http://www.anti-malware.ru/files/effectiveness.gif
Эффективность гибридного анализа, например, если он включает в себя технологии цифровых отпечатков и контекстного анализа, не зависит от типа защищаемых данных. Он становится одинаково эффективен для защиты как динамической, так и для статической конфиденциальной информации. Более того, его эффективность должна быть даже выше за счет синергетического эффекта от интеграции нескольких технологий.

Напомню, что технология цифровые отпечатков используется в продуктах Websense DSS или Symantec DLP, цифровые метки в McAfee Host DLP, а лингвистический и контекстный анализ - в продуктах InfoWatch или SearchInform. Гибридный анализ в описанном здесь варианте пока не используется ни в одном из существующих на рынке DLP продукте.
http://www.anti-malware.ru/files/hybrid.gif
С моей точки зрения, гибридные анализ в DLP-системах должен включать в себя три ключевые составляющие:

1. Детектор объектов на базе регулярных выражений (детектор кредитных карт, счетов, номеров паспортов и т.п.).
2. Защита статических данных на базе цифровых отпечатков (реактивная защита).
3. Защита новых и динамических данных на базе контентного и контекстного анализа (проактивная защита).

Таким образом, на смену множеству разрозненных и неполноценных по отдельности технологий придет гибридный анализ, эффективный на всем жизненном цикле конфиденциальной информации.

В заключении хотел бы остановиться на одном важном технологическом моменте, который в полной мере проявляется именно при использовании гибридного анализа - это автоматическая категоризация передаваемых/копируемых конфиденциальных данных.

Для чего это нужно? Это позволяет во многом автоматизировать анализ инцидентов и избежать нарушения законодательства в плане неприкосновенности частной жизни. Например, при регистрации факта утечки по email офицер безопасности, не открывая самого письма, будет видеть к какой категории относятся передаваемые данные и насколько критичен инцидент.
http://www.anti-malware.ru/files/categorazation.gif

Источник: