Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Отчет. Защита от утечки информации (DLP-системы)

.docx
Скачиваний:
13
Добавлен:
09.04.2023
Размер:
21.22 Кб
Скачать

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»

Отчет по

Самостоятельной работа №15

«Защита от утечки информации (DLP-системы)»

Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95

Подпись________

Проверил: Бабков Иван Николаевич

Подпись________

Утечка информации может происходить разными путями — через электронную почту, веб-приложения, внешние носители — и даже распечатываться на принтере. DLP контролируют все эти потоки.

DLP проводят мониторинг данных, анализируя две основные составляющие любой информации — содержание и контекст. Если с содержанием все понятно — например, мы находим и не выпускаем за пределы сети все документы, содержащие номера кредитных карт, — то с контекстом несколько сложнее. Некоторые ошибочно полагают, что контекст — это что-то вроде обложки у книги, однако это далеко не так. Проверка контекста включает анализ таких данных, как размер, формат, заголовки, источник информации и многое другое, что не относится к содержанию. Основная идея заключается в том, чтобы настроить систему как можно более тонко, подвергая анализу не только содержание информации, но и то, в каком контексте она была отправлена.

Существует несколько основных техник, используемых для анализа содержания информации:

1. Правила или регулярные выражения — самый основной и простой метод проверки информации. Мы можем отслеживать попытки выслать письма, содержащие 16-значные номера кредитных карт или, например, слово «договор». С такими фильтрами очень легко работать, однако они дают достаточно большой процент ложных срабатываний.

2. Метод цифровых отпечатков — очень похож на первый способ. В данном случае в момент прохождения информации с нее снимается цифровой отпечаток и сравнивается с другими отпечатками, уже находящимися в базе данных DLP. Это достаточно ресурсоемкий процесс, поэтому он может повлиять на производительность.

3. Точное совпадение фалов — содержимое файлов не подвергается анализу. Сравниваются только цифровые отпечатки файлов. Такой подход дает низкий процент ложных срабатываний, однако плохо работает в среде, где есть множество файлов, содержимое которых имеет между собой очень мало различий.

4. Частичное совпадение — ищет частичное соответствие в определенных файлах. Это могут быть, например, одинаковые формы, заполняемые разными пользователями.

5. Встроенные фильтры — обычно создаются производителем системы. С их помощью можно хорошо фильтровать типы данных, например номера кредитных карт.

6. По словарю — информация фильтруется с использованием комбинации данных из таких источников, как, например, словари и правила.

7. Статистический анализ — использует нейронные сети или статистические методы, например байесовский анализ для фильтрации данных. Особенность этого метода в том, что система вначале обучается на большой выборке данных, что может занять некоторое время. После запуска вы обязательно будете наблюдать некоторое количество ложноотрицательных и ложноположительных срабатываний.

Используя MyDLP, вы сможете контролировать информацию, передающуюся всеми популярными путями — через электронную почту, веб-приложения, печать и копирование на внешние носители.

Большинство DLP имеют три основных режима работы с данными — разрешить, предупредить и запретить. В самом начале работы, после инсталляции данной системы, мы настоятельно не рекомендуем использовать политики, запрещающие передачу информации. Все мы люди и можем ошибаться, особенно на начальном этапе внедрения любой системы и особенно такой, как DLP. Ведь в случае ошибки можно парализовать работу целого предприятия.

MyDLP анализирует данные, передающиеся по разным каналам, в соответствии с заданными политиками.

Политики — это набор правил, обеспечивающих реализацию разработанной ранее модели предотвращения утечки данных.

Канал — среда передачи данных, в которой действуют политики. Например, вебсреда включает в себя такие протоколы, как FTP, HTTP и HTTPS.

Источник — начальная точка, из которой мы ожидаем поступления информации. Это может быть вся сеть или отдельные хосты. В некоторых случаях может и не задаваться.

Пункт назначения — конечная точка назначения сетевого трафика. В некоторых случаях может не задаваться.

Типы информации — определяют критерии, по которым мы будем сортировать трафик в каком-либо канале. MyDLP имеет встроенный набор типов данных, однако администратор всегда может создать свой шаблон.

Для тестирования политик, касающихся веб-трафика, весь поток данных придется перенаправить через DLP-сервер, только тогда он сможет его проанализировать. Для этого настройте использование прокси-сервера на рабочих станциях, находящихся в тестовой группе.

Для тестирования правил, касающихся, например, использования внешних носителей информации, вам надо будет проинсталлировать MyDLP-агент на все тестовые компьютеры.

После успешной апробации системы в тестовой среде вы можете проинсталлировать агент на все рабочие станции организации и пустить весь сетевой трафик через DLP. Поначалу, как мы уже говорили, следует избегать запрещающих правил. Посмотрите, как работает система, соберите достаточно данных и только потом постепенно, правило за правилом, начинайте применять ограничительные политики.

На самом деле современные DLP-системы умеют гораздо больше — они могут контролировать мобильные телефоны, данные, передающиеся через такое ПО, как Skype, защищают информацию в облаке и могут быть интегрированы с другими системами, обеспечивающими ИБ. В данный момент на рынке ИТ довольно много поставщиков решений такого типа, но мало специалистов, умеющих грамотно настраивать и поддерживать такое ПО.