Обзор и сравнение наиболее распространенных DLP-систем

Обзор и сравнение  наиболее распространенных DLP-систем

 

Что такое DLP?

 

Прежде чем говорить о  рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации  от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

 

Подобного рода системы создают  защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и исходящую  информацию. Контролируемой информацией  должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура  безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

 

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы  определения степени конфиденциальности документа, обнаруженного в перехваченном  трафике. Как правило, наиболее распространены два способа: путём анализа специальных  маркеров документа и путём анализа  содержимого документа. В настоящее  время более распространен второй вариант, поскольку он устойчив перед  модификациями, вносимыми в документ перед его отправкой, а также  позволяет легко расширять число  конфиденциальных документов, с которыми может работать система.

 

«Побочные» задачи DLP

 

Помимо своей основной задачи, связанной с предотвращением  утечек информации, DLP-системы также  хорошо подходят для решения ряда других задач, связанных с контролем  действий персонала. Наиболее часто DLP-системы  применяются для решения следующих  неосновных для себя задач:

 

- Контроль использования  рабочего времени и рабочих  ресурсов сотрудниками;

- Мониторинг общения  сотрудников с целью выявления  «подковерной» борьбы, которая может навредить организации;

- Контроль правомерности  действий сотрудников (предотвращение  печати поддельных документов  и пр.);

- Выявление сотрудников,  рассылающих резюме, для оперативного  поиска специалистов на освободившуюся  должность;

 

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем  защита от утечек информации, возник целый  ряд программ, предназначенных именно для этого, однако способных в  ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа  перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

 

 

    

 

Классификация DLP-систем

 

Все DLP-системы можно разделить  по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя. Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками. Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLP работают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

 

Мировой рынок DLP

 

В настоящее время основными  игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения  информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Общий объём мирового рынка DLP-решений оценивается в 400 млн. долларов, что совсем немного по сравнению с тем же рынком антивирусов. Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

 

 

 

Перспективы и  тенденции

 

В связи с тем, что из-за сложной экономической обстановки достаточно сложно прогнозировать ситуацию на мировом рынке DLP-систем, поговорим о прогнозах развития DLP-систем как класса программного обеспечения.

 

Главной из таких тенденций, как полагают эксперты, является переход  от «заплаточных» систем, состоящих  из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам. Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности: ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

 

Западные производители DLP-систем, пришедшие на рынок стран  СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков. Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка.

Ещё одной важной тенденцией в сфере DLP является постепенный  переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые  ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

 

Немаловажным фактором, влияющим на развитие DLP-систем, является также  распространение ноутбуков и  нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

 

Подробнее о работе DLP-системы

Лингвистический анализ

 

Использование стоп-слов ("секретно", "конфиденциально" и тому подобных) для блокировки исходящих электронных  сообщений в почтовых серверах можно  считать прародителем современных DLP-систем. Конечно, от злоумышленников это не защищает — удалить стоп-слово, чаще всего вынесенное в отдельный гриф документа, не составляет труда, при этом смысл текста нисколько не изменится.

 

Толчок в разработке лингвистических  технологий был сделан в начале этого  века создателями email-фильтров. Прежде всего, для защиты электронной почты  от спама. Это сейчас в антиспам-технологиях преобладают репутационные методы, а в начале века шла настоящая лингвистическая война между снарядом и броней — спамерами и антиспамерами. Помните простейшие методы для обмана фильтров, базирующихся на стоп-словах? Замена букв на похожие буквы из других кодировок или цифры, транслит, случайным образом расставленные пробелы, подчеркивания или переходы строк в тексте. Антиспамеры довольно быстро научились бороться с такими хитростями, но тогда появился графический спам и прочие хитрые разновидности нежелательной корреспонденции.

 

Однако использовать антиспамерские технологии в DLP-продуктах без серьезной доработки невозможно. Ведь для борьбы со спамом достаточно делить информационный поток на две категории: спам и не спам. Метод Байеса, который используется при детектировании спама, дает только бинарный результат: "да" или "нет". Для защиты корпоративных данных от утечек этого недостаточно — нельзя просто делить информацию на конфиденциальную и неконфиденциальную. Нужно уметь классифицировать информацию по функциональной принадлежности (финансовая, производственная, технологическая, коммерческая, маркетинговая), а внутри классов — категоризировать ее по уровню доступа (для свободного распространения, для ограниченного доступа, для служебного использования, секретная, совершенно секретная и так далее).

 

Большинство современных  систем лингвистического анализа используют не только контекстный анализ (то есть в каком контексте, в сочетании с какими другими словами используется конкретный термин), но и семантический анализ текста. Эти технологии работают тем эффективнее, чем больше анализируемый фрагмент. На большом фрагменте текста точнее проводится анализ, с большей вероятностью определяется категория и класс документа. При анализе же коротких сообщений (SMS, интернет-пейджеры) ничего лучшего, чем стоп-слова, до сих пор не придумано.

 

 

 

 

Достоинства технологии

 

Достоинства лингвистических  технологий в том, что они работают напрямую с содержанием документов, то есть им не важно, где и как  был создан документ, какой на нем  гриф и как называется файл —  документы защищаются немедленно. Это  важно, например, при обработке черновиков конфиденциальных документов или для  защиты входящей документации. Если документы, созданные и использующиеся внутри компании, еще как-то можно специфическим  образом именовать, грифовать или метить, то входящие документы могут иметь не принятые в организации грифы и метки. Черновики (если они, конечно, не создаются в системе защищенного документооборота) тоже могут уже содержать конфиденциальную информацию, но еще не содержать необходимых грифов и меток.

 

Еще одно достоинство лингвистических  технологий — их обучаемость. Если вы хоть раз в жизни нажимали в почтовом клиенте кнопку "Не спам", то уже представляете себе клиентскую часть системы обучения лингвистического движка. Замечу, что вам совершенно не нужно быть дипломированным лингвистом и знать, что именно изменится в базе категорий — достаточно указать системе ложное срабатывание, все остальное она сделает сама.

 

Третьим достоинством лингвистических  технологий является их масштабируемость. Скорость обработки информации пропорциональна ее количеству и абсолютно не зависит от количества категорий. До недавнего времени построение иерархической базы категорий (исторически ее называют БКФ — база контентной фильтрации, но это название уже не отражает настоящего смысла) выглядело неким шаманством профессиональных лингвистов, поэтому настройку БКФ можно было смело отнести к недостаткам. Но с выходом в 2010 сразу нескольких продуктов-"автолингвистов" построение первичной базы категорий стало предельно простым — системе указываются места, где хранятся документы определенной категории, и она сама определяет лингвистические признаки этой категории, а при ложных срабатываниях — самостоятельно обучается. Так что теперь к достоинствам лингвистических технологий добавилась простота настройки.

 

И еще одно достоинство  лингвистических технологий, которое  хочется отметить в статье — возможность  детектировать в информационных потоках категории, не связанные  с документами, находящимися внутри компании. Инструмент для контроля содержимого информационных потоков  может определять такие категории, как противоправная деятельность (пиратство, распространение запрещенных товаров), использование инфраструктуры компании в собственных целях, нанесение  вреда имиджу компании (например, распространение  порочащих слухов) и так далее.

 

Недостатки технологии

 

Основным недостатком  лингвистических технологий является их зависимость от языка. Невозможно использовать лингвистический движок, разработанный для одного языка, в целях анализа другого. Это  было особенно заметно при выходе на российский рынок американских производителей — они были не готовы столкнуться  с российским словообразованием  и наличием шести кодировок. Недостаточно было перевести на русский язык категории  и ключевые слова — в английском языке словообразование довольно простое, а падежи выносятся в предлоги, то есть при изменении падежа меняется предлог, а не само слово. Большинство  существительных в английском языке  становятся глаголами без изменений  слова. И так далее. В русском  все не так — один корень может  породить десятки слов в разных частях речи.

 

В Германии американских производителей лингвистических технологий встретила  другая проблема — так называемые "компаунды", составные слова. В немецком языке принято присоединять определения к главному слову, в результате чего получаются слова, иногда состоящие из десятка корней. В английском языке такого нет, там слово — последовательность букв между двумя пробелами, соответственно английский лингвистический движок оказался неспособен обработать незнакомые длинные слова.

 

Справедливости ради следует  сказать, что сейчас эти проблемы во многом американскими производителями  решены. Пришлось довольно сильно переделать (а иногда и писать заново) языковой движок, но большие рынки России и Германии наверняка того стоят. Также сложно обрабатывать лингвистическими  технологиями мультиязычные тексты. Однако с двумя языками большинство движков все-таки справляются, обычно это национальный язык + английский — для большинства бизнес-задач этого вполне достаточно.

 

Еще одним недостатком  лингвистических технологий для  контроля всего спектра корпоративной  конфиденциальной информации является то, что не вся конфиденциальная информация находится в виде связных  текстов. Хотя в базах данных информация и хранится в текстовом виде, и  нет никаких проблем извлечь  текст из СУБД, полученная информация чаще всего содержит имена собственные  — ФИО, адреса, названия компаний, а  также цифровую информацию — номера счетов, кредитных карт, их баланс и  прочее. Обработка подобных данных с помощью лингвистики много  пользы не принесет. То же самое можно  сказать о форматах CAD/CAM, то есть чертежах, в которых зачастую содержится интеллектуальная собственность, программных  кодах и медийных (видео/аудио) форматах — какие-то тексты из них можно извлечь, но их обработка также неэффективна. Еще года три назад это касалось и отсканированных текстов, но лидирующие производители DLP-систем оперативно добавили оптическое распознавание и справились с этой проблемой.