Захист від витоку інформації

Ефективність бізнесу в багатьох випадках залежить від збереження конфіденційності, цілісності та доступності інформації. В даний час однією з найбільш актуальних загроз у сфері інформаційної безпеки є витік конфіденційних даних від несанкціонованих дій користувачів.

Це обумовлено тим, що більша частина традиційних засобів захисту, таких як антивіруси, міжмережеві екрани і системи аутентифікації не здатні забезпечити ефективний захист від внутрішніх порушників. Метою такого роду порушників (інсайдерів) є передача інформації за межі Компанії з метою її подальшого несанкціонованого використання — продажу, опублікування її у відкритому доступі і т.д.

Системи DLP це технології, що дозволяють запобігти витоку конфіденційної інформації. У перебігу останніх декількох років використовувалася велика термінологія: Information Leakage Protection (ILP), Information Leak Protection (ILP), Information Leakage Detection & Prevention (ILDP), Content Monitoring and Filtering (CMF), Extrusion Prevention System (EPS) та ін. Але остаточним і найбільш точним терміном прийнято вважати Data Leak Prevention (DLP, запропонований агентством Forrester в 2005 г.). В якості російського аналога прийнято словосполучення «системи захисту конфіденційних даних від внутрішніх загроз». При цьому під внутрішніми загрозами мають на увазі як умисні, так і ненавмисні зловживання співробітниками своїми правами доступу до даних.

В рамках створення таких систем вирішуються завдання:
• запобігання витоків конфіденційної інформації по основних каналах передачі даних:
• витікаючий веб-трафік (HTTP, FTP, P2P та ін.)
• исходящая электронная почта, внутренняя электронная почта
• системы мгновенного обмена сообщениями, сетевая и локальная печать
• контролю доступу до пристроїв і портів введення-виведення, до яких відносяться: дисководи, CD-ROM, USB — пристрої, інфрачервоні, принтерні (LPT) і модемні (COM) порти.

Як показують опубліковані дані опитування Deloitte провідних світових фінансових компаній, 49% респондентів зафіксували внутрішні інциденти (пов’язані з IT-безпекою) за останні 12 місяців. У 31% випадків інсайдери занесли віруси зсередини корпоративної мережі, а з інсайдерськими шахрайством зіткнулися 28% респондентів. 18% організацій стали жертвами витоку приватної інформації клієнтів, а 10% виявили, що інсайдери скомпрометували корпоративну мережу. Організації, які постраждали від внутрішньої витоку, зізнаються, що велика частка загроз є наслідком недолугості або недбалості службовців (людський фактор — 42%, операційні помилки — 37%), а не злого умислу інсайдерів. Правда, 28% стали жертвою ретельно продуманого і професійного шахрайства, а 18% компаній позбулися приватної інформації клієнтів саме через те, що інсайдери цілеспрямовано допустили витік. Щоб не допустити такі інциденти в майбутньому, 80% опитаних фінансових компаній здійснюють моніторинг дій службовців, а 75% вводять різні обмежувальні заходи на використання тих чи інших технологій або пристроїв.

За даними дослідницького центру компанії InfoWatch, що спеціалізується на виробництві і продажі систем DLP, за 2008 рік — 42% витоків інформації відбувається ненавмисно по неакуратності або забудькуватості користувачів, внаслідок порушень політик корпоративної безпеки організацій. Більше 40% інформації йде по Інтернет-каналах, і 30% — по мобільних пристроїв. Більше 65% інформації витікає з комерційних підприємств, близько 20% з освітніх і 24% з державних підприємств.

Принцип работи

У DLP-системах зазвичай використовуються три методи ідентифікації: імовірнісний, детерміністський і комбінований. Системи, засновані на першому методі, здебільшого використовують лінгвістичний аналіз контенту і «цифрові відбитки» даних. Такі системи прості в реалізації, але недостатньо ефективні і характеризуються високим рівнем помилкових спрацьовувань. Системи, що використовують детермінований підхід (мітки файлів), дуже надійні, але їм не вистачає гнучкості. Комбінований підхід поєднує обидва методи з аудитом середовища зберігання та обробки даних, що дає можливість досягти оптимального вирішення проблеми захисту конфіденційності інформації.

Є два основні підходи аналізу контенту. Перший підхід базується на фільтрації контенту, тобто змістовного наповнення інформації. Це означає, наприклад, що при перевірці на секретність стандартних офісних документів у форматі .doc система спочатку переведе їх у текстовий формат, а потім, використовуючи заздалегідь підготовлені дані, винесе по цьому тексту вердикт. Контекстна фільтрація використовує принципово іншу схему: система перевіряє контекст, в якому передається інформація: витягує мітки файлу, дивиться на його розмір або аналізує поведінку користувача.

Існує чотири критерії оцінки продуктів DLP, сформульованих компанією Forrester Research.

Перший критерій — багатоканальність. Рішення DLP не повинно бути зосереджене тільки на одному каналі витоків. Це має бути комплексне рішення, що охоплює максимальну кількість каналів: e-mail, Web і IM, а також моніторинг файлових операцій.

Другий критерій — уніфікований менеджмент. Система повинна мати уніфікованими засобами управління всіх компонентів, які вона в себе включає. Їх, як правило, три: менеджмент-сервер, на якому зберігаються політики груп користувачів; пристрій, який відстежує витік через мережу; агенти для робочих станцій, серверів, файлових-сховищ. Головна вимога другого критерію — можливість управляти цими трьома компонентами з однієї консолі.

Третій критерій — активний захист. Система повинна не тільки фіксувати витік конфіденційної інформації, а й давати можливість її блокувати.

Четвертий критерій — класифікація інформації з урахуванням, як вмісту, так і контексту. Витік конфіденційної інформації повинен базуватися не тільки на вмісті інформації, що пересилається, а й на контексті, в якому вона відбувається: який використовується протокол, який додаток, від якого користувача, куди і т.д.

Виробники DLP рішень:

• Websense;
• McAfee;
• RSA (EMC);
• Symantec;
• Trend Micro.

CoSoSys

CoSoSys була заснована в 2004 році. Як вже було сказано, CoSoSys з гордістю захищаємо понад 11 мільйонів користувачів у всьому світі. Це постійне зростання пояснюється уважним прослуховуванням відгуків користувачів та нашою відданістю інноваціям. Коли загрози безпеці даних продовжують розвиватися, так і CoSoSys.

Успіх компанії пояснюється також нашою орієнтацією на людський компонент. CoSoSys прагне зробити потужні та ефективні продукти, які можна розгортати за години, досить прості для використання будь-якого ІТ-адміністратора, все з одного централізованого веб-інтерфейсу. Компанія також думає про досвід кінцевих користувачів, гарантуючи, що наші рішення працюють безперебійно і не порушують їх щоденні завдання чи не загрожують продуктивності.

В результаті CoSoSys отримали насолоду від вражаючого зростання та здобули численні, відомі нагороди. Сюди входить визнання переможця 50 найшвидше зростаючих компаній Deloitte Technology та визнаних за наші рішення про захист кінцевих точок у лютому 2017 р. Магічний квадрант Gartner для запобігання втрат даних.

CoSoSys Endpoint Protector

Піддаватися стороннім атакам або інсайдерським загрозам неминуче, проте витоки даних та втрата даних можуть бути зменшені. Рішення DLP щодо вмісту та контексту може перевіряти та контролювати передачі файлів, що містять конфіденційну інформацію, керувати тим, якими USB-накопичувачами можна чи не можна користуватися, та забезпечити використання примусового шифрування. Забезпечення найкращого можливого результату, всі ці дії повинні відбуватися на рівні кінцевої точки, найбільш ризикованої точки атаки.

Завдяки архітектурі сервер-клієнт Endpoint Protector надає міжплатформний DLP, не порушуючи використання щоденної роботи. До Сервера можуть звертатися адміністратори через зручний веб-інтерфейс, тоді як Клієнт має найменший розмір, що забезпечує найкращий досвід для кінцевого користувача.

Наше рішення щодо запобігання втрат даних містить 4 життєво важливих елемента. Усі вони працюють разом із потужним рішенням DLP, що захищає кінцеві точки Windows, macOS та Linux, а також мобільні пристрої iOS та Android.

McAfee

McAfee, Incorporated - підрозділ американської компанії Intel Security, що розробляє антивірусне програмне забезпечення під маркою McAfee.
Основана в 1987 році під ім'ям основи Джона Ма́кафі. Штаб-квартира в Санта-Кларе (штат Каліфорнія). Відповідно до дослідження OPSWAT за жовтень 2014 року, McAfee виходить у п’ятёрку великих виробників антивірусів, на його долю доходить 5,7% мирового ринку.
В 2014 р. компанія Intel перейменовала McAfee в Intel Security. Логотипом нової компанії став кращий щит, використовуючи попередній McAfee, замінивши лише назва. Продукты компанії сохранили фрагмент «McAfee» у складі своїх найменувань.  У вересні 2016 року компанія Intel продала 51% акцій підрозділу Intel Security в сумі McAfee. Новим співтовариством компанії стали інвестиційний фонд TPG. Сума торгів склала 3,1 млрд доларів і була закрита у другому кварталі 2017 року.

McAfee Endpoint Security

McAfee Endpoint Security об'єднує в собі велику кількість різноманітних технологій, що обслуговують всі етапи, що живуть циклами, захищаючи від загроз, використовуючи один-єдиний власний агент та консолі централізованого управління, підтримуючи динамічність своїх організацій та ваших середніх захистів на довгій основі. Базові засоби, що запобігають загрозам. Об'єднання антивірусу, засоби, що застосовують втілення, підтримують, а також засоби веб-контролінгу помічають між собою інформацією про загрозу. Стримування додатків блокування різних типових подій та збереження загроз до того часу, як вони отримують можливість заробити систему або розподілитись у вашій раді, дозволяють створити велику кількість потенційних службовців від подозрілих файлів і тимчасового ПО «нульового дня». Обнаружение и реагирование на конечных точках Наша інтегрована, автоматизована і адаптируемая технологія обертання і реагування на кінцевих точках (виявлення кінцевої точки та реакція - EDR) дозволяє просто використовувати і виконувати завдання реагування на інциденти до одного щелчку миші.

McAfee DLP

Захист даних завжди був об'єктом серйозної уваги з боку підприємства керівники служб безпеки та службовців з питань дотримання норм, але останні закони про конфіденційність будуть безсумнівно, підвищити захист даних в залі засідань через потенційно серйозні наслідки недотримання. Що робить його ще більш складним, це те, що компанії будь-якого розміру користуються хмарними послугами, такими як Microsoft Office 365, щоб надати своїм працівникам більшу гнучкість та легший доступ до основної діяльності
додатки. Оскільки нормативні вимоги та корпоративні потреби вимагають зростаючих вимог до ІТ щоб забезпечити безпечну обробку даних, може виявитися розгортання необхідних захисних рішень страшний. Деякі продукти для запобігання втрат даних (DLP) потребують значних зусиль розгорнути і зазвичай мати великі постійні витрати на консультації. Деякі продукти DLP залишають його до ІТ, щоб знати про всі дані, які потрібно захистити, додавши адміністративні тягар і спричинення помилкових позитивних результатів.

Symantec

Symantec — американська компанія з виробництва програмного забезпечення в галузі інформаційної безпеки, зокрема антивірусів. Розташована в Купертіно, Каліфорнія. Є одним зі світових лідерів в галузі виробництва програмного забезпечення для ПК.
Компанія Symantec була заснована в 1982 році Гарі Хендріксом за рахунок коштів, виділених за грантом Національного наукового фонду США. Спочатку компанія була зосереджена на проектах, пов'язаних зі створення штучного інтелекту. У числі перших службовців Хендрікс найняв кількох дослідників природної мови зі Стенфордського університету.

ObserveIT

ObserveIT - програмна компанія Insider Threat Management. ObserveIT надає рішення щодо безпеки інсайдерських загроз, включаючи моніторинг працівників, моніторинг активності користувачів, поведінкову аналітику, запровадження політики та цифрову криміналістику для більш ніж 1700 клієнтів у 87 країнах. Програмне забезпечення компанії використовується в основному на ринках фінансових послуг, охорони здоров'я, виробництва, технологічних послуг, Telco та роздрібної торгівлі.

Співзасновники Gaby Friedlander та Avi Amos заснували ObserveIT в Ізраїлі в 2006 році. ObserveIT спочатку зосередився на віддаленому моніторингу постачальників, але розширився для моніторингу потенційних інсайдерських загроз. Мета цього програмного забезпечення - допомогти організаціям упорядкувати процес розслідування інцидентних загроз та запобігти втраті даних. У 2014 році компанія Bain Capital Ventures інвестувала 20 мільйонів доларів у ObserveIT та відкрила штаб-квартиру США в Бостоні, штат Масачузетс. Зараз під керівництвом генерального директора Майка Маккі, ObserveIT нещодавно випустила версію 7.5 свого програмного забезпечення.