kancboom.ru

Revisión de sistemas dlp. Tecnología DLP. Breve historia de la creación.

Sobre el problema Hoy en día, la tecnología de la información es un componente importante de cualquier organización moderna. En sentido figurado, la tecnología de la información es el corazón de una empresa, que mantiene el desempeño del negocio y aumenta su eficiencia y competitividad en las condiciones de una competencia feroz y moderna: sistemas de automatización de procesos de negocios, como flujo de documentos, sistemas CRM, sistemas ERP, Los sistemas de análisis y planificación multidimensionales permiten recopilar información rápidamente, sistematizarla y agruparla, acelerando los procesos de toma de decisiones de gestión y asegurando la transparencia de los procesos comerciales y comerciales para la dirección y los accionistas. Se hace evidente que una gran cantidad de datos estratégicos, confidenciales y personales son un importante activo de información de la empresa, y las consecuencias de la fuga de esta información afectarán la eficiencia de la organización. El uso de las medidas de seguridad tradicionales actuales, como antivirus y firewalls, realizan las funciones de proteger los activos de información de amenazas externas, pero no no garantiza de ninguna manera la protección de los activos de información contra fugas, distorsiones o destrucción por parte de un atacante interno. Las amenazas internas a la seguridad de la información pueden permanecer ignoradas o, en algunos casos, desapercibidas por la administración debido a una falta de comprensión de la criticidad de estas amenazas. al negocio, es por esta razón protección de datos confidenciales tan importante hoy. Sobre la solución Proteger la información confidencial contra fugas es un componente importante del complejo de seguridad de la información de una organización. Los sistemas DLP (sistema de protección contra fugas de datos) están diseñados para resolver el problema de las fugas accidentales e intencionales de datos confidenciales.

Sistema integral de protección contra fuga de datos (sistema DLP) son un complejo de software o hardware-software que evita la fuga de datos confidenciales.

Lo lleva a cabo el sistema DLP utilizando las siguientes funciones principales:

  • Filtrado de tráfico en todos los canales de transmisión de datos;
  • Análisis profundo del tráfico a nivel de contenido y contexto.
Proteger la información confidencial en un sistema DLP se lleva a cabo en tres niveles: datos en movimiento, datos en reposo y datos en uso.

Datos en movimiento– datos transmitidos a través de canales de red:

  • Web (protocolos HTTP/HTTPS);
  • Internet: mensajería instantánea (ICQ, QIP, Skype, MSN, etc.);
  • Correo corporativo y personal (POP, SMTP, IMAP, etc.);
  • Sistemas inalámbricos (WiFi, Bluetooth, 3G, etc.);
  • Conexiones FTP.
Los datos en reposo– datos almacenados estáticamente en:
  • Servidores;
  • Estaciones de trabajo;
  • Computadoras portátiles;
  • Sistemas de almacenamiento de datos (DSS).
Datos en uso– datos utilizados en las estaciones de trabajo.

Medidas encaminadas a evitar las fugas de información Consta de dos partes principales: organizativa y técnica.

Protección de la información confidencial Incluye medidas organizativas para buscar y clasificar los datos disponibles en la empresa. Durante el proceso de clasificación, los datos se dividen en 4 categorías:

  • Informacion secreta;
  • Información confidencial;
  • Información para uso oficial;
  • Información pública.
Cómo se determina la información confidencial en los sistemas DLP.

En los sistemas DLP, la información confidencial puede determinarse por una serie de características diferentes, así como de varias maneras, por ejemplo:

  • Análisis de información lingüística;
  • Análisis estadístico de información;
  • Expresiones regulares (patrones);
  • Método de huella digital, etc.
Una vez encontrada, agrupada y sistematizada la información, sigue la segunda parte organizativa: la técnica.

Medidas técnicas:
La protección de la información confidencial mediante medidas técnicas se basa en el uso de la funcionalidad y tecnologías del sistema para proteger la fuga de datos. El sistema DLP incluye dos módulos: un módulo de host y un módulo de red.

Módulos de host se instalan en las estaciones de trabajo de los usuarios y proporcionan control sobre las acciones realizadas por el usuario en relación con datos clasificados (información confidencial). Además, el módulo host le permite rastrear la actividad del usuario según varios parámetros, como el tiempo que pasa en Internet, las aplicaciones iniciadas, los procesos y las rutas de datos, etc.

módulo de red realiza análisis de la información transmitida a través de la red y controla el tráfico que va más allá del sistema de información protegido. Si se detecta información confidencial en el tráfico transmitido, el módulo de red detiene la transmisión de datos.

¿Qué aportará la implementación de un sistema DLP?

Tras implementar un sistema de protección contra fuga de datos, la empresa recibirá:

  • Protección de activos de información e información estratégica importante de la empresa;
  • Datos estructurados y sistematizados en la organización;
  • Transparencia de negocios y procesos comerciales para servicios de gestión y seguridad;
  • Control de procesos de transferencia de datos confidenciales en la empresa;
  • Reducir los riesgos asociados con la pérdida, robo y destrucción de información importante;
  • Protección contra malware que ingresa a la organización desde dentro;
  • Guardar y archivar todas las acciones relacionadas con el movimiento de datos dentro del sistema de información;
Ventajas secundarias del sistema DLP:
  • Seguimiento de la presencia de personal en el lugar de trabajo;
  • Ahorrar tráfico de Internet;
  • Optimización de la red corporativa;
  • Control de las aplicaciones utilizadas por el usuario;
  • Incrementar la eficiencia del personal.

(Prevención de pérdida de datos)

Sistemas de seguimiento de las acciones de los usuarios, un sistema de protección de datos confidenciales de amenazas internas.

Los sistemas DLP se utilizan para detectar y evitar la transferencia de datos confidenciales en varias etapas. (durante el movimiento, uso y almacenamiento). El sistema DLP permite:

    Controlar el trabajo de los usuarios, evitando el desperdicio incontrolado de tiempo de trabajo con fines personales.

    Automáticamente, sin que el usuario lo note, registra todas las acciones, incluidos correos electrónicos enviados y recibidos, chats y mensajería instantánea, redes sociales, sitios web visitados, datos escritos en el teclado, archivos transferidos, impresos y guardados, etc.

    Supervise el uso de juegos de computadora en el lugar de trabajo y tenga en cuenta la cantidad de tiempo de trabajo dedicado a los juegos de computadora.

    Monitorear la actividad de la red de los usuarios, tener en cuenta el volumen de tráfico de la red.

    Controlar la copia de documentos a diversos medios (medios extraíbles, discos duros, carpetas de red, etc.)

    Controlar la impresión en red del usuario

    Registrar solicitudes de usuarios a motores de búsqueda, etc.

    Datos en movimiento - datos en movimiento - mensajes de correo electrónico, transferencia de tráfico web, archivos, etc.

    Datos en reposo - datos almacenados - información sobre estaciones de trabajo, servidores de archivos, dispositivos USB, etc.

    Datos en uso - datos en uso - información que se está procesando en este momento.

La arquitectura de las soluciones DLP puede variar entre los diferentes desarrolladores, pero en general existen 3 tendencias principales:

    Interceptores y controladores de diferentes canales de transmisión de información. Los interceptores analizan los flujos de información que salen del perímetro de la empresa, detectan datos confidenciales, clasifican la información y la transmiten al servidor de gestión para procesar un posible incidente. Los controladores de descubrimiento de datos en reposo ejecutan procesos de descubrimiento en recursos de red para obtener información confidencial. Los controladores de operaciones en estaciones de trabajo distribuyen políticas de seguridad a dispositivos finales (computadoras), analizan los resultados de las actividades de los empleados con información confidencial y transmiten datos de posibles incidentes al servidor de administración.

    Programas de agentes instalados en dispositivos finales: observe el procesamiento de datos confidenciales y supervise el cumplimiento de reglas como guardar información en medios extraíbles, enviar, imprimir y copiar mediante portapapeles.

    Servidor de administración central: compara la información recibida de interceptores y controladores y proporciona una interfaz para procesar incidentes y generar informes.

Las soluciones DLP ofrecen una amplia gama de métodos combinados de descubrimiento de información:

    Impresiones digitales de documentos y sus partes.

    Huellas digitales de bases de datos y otra información estructurada que es importante proteger de la distribución.

    Métodos estadísticos (aumentando la sensibilidad del sistema cuando se repiten las violaciones).

Al operar sistemas DLP, normalmente se realizan varios procedimientos de forma cíclica:

    Capacitar al sistema en los principios de clasificación de la información.

    Ingresar reglas de respuesta en relación a la categoría de información detectada y grupos de empleados cuyas acciones deben ser monitoreadas. Los usuarios de confianza están resaltados.

    Ejecución de una operación de control por parte del sistema DLP (el sistema analiza y normaliza la información, realiza una comparación con los principios de detección y clasificación de datos, y cuando se detecta información confidencial, el sistema la compara con las políticas existentes asignadas a la categoría de información detectada y, si es necesario, crea un incidente)

    Tramitación de incidencias (por ejemplo, informar, pausar o bloquear el envío).

Características de crear y operar una VPN desde una perspectiva de seguridad

Opciones para construir una VPN:

    Basado en sistemas operativos de red.

    Basado en enrutador

    Basado en la UIT

    Basado en software y hardware especializado

    Basado en software especializado

Para que la VPN funcione de forma correcta y segura, es necesario comprender los conceptos básicos de la interacción entre la VPN y los firewalls:

    Las VPN son capaces de crear túneles de comunicación de un extremo a otro que atraviesan el perímetro de la red y, por lo tanto, son extremadamente problemáticas en términos de control de acceso desde el firewall, al que le resulta difícil analizar el tráfico cifrado.

    Gracias a sus capacidades de cifrado, las VPN se pueden utilizar para evitar los sistemas IDS que no pueden detectar intrusiones desde canales de comunicación cifrados.

    Dependiendo de la arquitectura de la red, la importante función de traducción de direcciones de red (NAT) puede no ser compatible con algunas implementaciones de VPN, etc.

Básicamente, al tomar decisiones sobre la implementación de componentes VPN en una arquitectura de red, un administrador puede elegir la VPN como un dispositivo externo independiente o integrar la VPN en el firewall para proporcionar ambas funciones en un solo sistema.

    UIT + VPN separada. Opciones de alojamiento VPN:

    1. Dentro de la DMZ, entre el firewall y el enrutador fronterizo

      Dentro de la red protegida en adaptadores de red de la UIT

      Dentro de la red blindada, detrás del firewall

      En paralelo con la UIT, en el punto de entrada a la red protegida.

    Firewall + VPN, alojado como una sola unidad: una solución integrada de este tipo es más conveniente para el soporte técnico que la opción anterior, no causa problemas asociados con NAT (traducción de direcciones de red) y proporciona un acceso más confiable a los datos, para lo cual el firewall es responsable. La desventaja de una solución integrada es el alto costo inicial de adquirir dicha herramienta, así como las opciones limitadas para optimizar los componentes VPN y Firewall correspondientes (es decir, las implementaciones de la UIT más satisfactorias pueden no ser adecuadas para construir componentes VPN en sus La VPN puede tener un impacto significativo en el rendimiento de la red y la latencia puede ocurrir durante las siguientes fases:

    1. Al establecer una conexión segura entre dispositivos VPN (autenticación, intercambio de claves, etc.)

      Retrasos asociados con el cifrado y descifrado de datos protegidos, así como las transformaciones necesarias para controlar su integridad.

      Retrasos asociados con la adición de un nuevo encabezado a los paquetes transmitidos

Seguridad del correo electrónico

Principales protocolos de correo: (E)SMTP, POP, IMAP.

SMTP: protocolo simple de transferencia de correo, puerto TCP 25, sin autenticación. SMTP extendido: se ha agregado autenticación de cliente.

POP - Protocolo de oficina postal 3 - recepción de correo desde el servidor. Autenticación de texto claro. APOP - con capacidad de autenticación.

IMAP (protocolo de acceso a mensajes de Internet) es un protocolo de correo no cifrado que combina las propiedades de POP3 e IMAP. Le permite trabajar directamente con su buzón, sin necesidad de descargar cartas a su computadora.

Debido a la falta de medios normales para cifrar información, decidimos utilizar SSL para cifrar los datos de estos protocolos. De aquí surgieron las siguientes variedades:

POP3 SSL - puerto 995, SMTP SSL (SMTPS) puerto 465, IMAP SSL (IMAPS) - puerto 993, todo TCP.

Un atacante que trabaje con un sistema de correo electrónico puede perseguir los siguientes objetivos:

    Atacar la computadora de un usuario enviando virus de correo electrónico, enviando correos electrónicos falsos (falsificar la dirección del remitente en SMTP es una tarea trivial), leyendo los correos electrónicos de otras personas.

    Un ataque a un servidor de correo utilizando el correo electrónico con el objetivo de penetrar su sistema operativo o denegación de servicio.

    Usar un servidor de correo como retransmisión al enviar mensajes no solicitados (spam)

    Intercepción de contraseña:

    1. Interceptación de contraseñas en sesiones POP e IMAP, como resultado de lo cual un atacante puede recibir y eliminar correo sin el conocimiento del usuario.

      Intercepción de contraseñas en sesiones SMTP, como resultado de lo cual un atacante puede recibir autorización ilegal para enviar correo a través de este servidor

Para resolver problemas de seguridad con los protocolos POP, IMAP y SMTP, se utiliza con mayor frecuencia el protocolo SSL, que permite cifrar toda la sesión de comunicación. Desventaja: SSL es un protocolo que consume muchos recursos y que puede ralentizar significativamente la comunicación.

El spam y la lucha contra él

Tipos de spam fraudulento:

    Lotería: una notificación entusiasta de los premios de loterías en las que no participó el destinatario del mensaje. Todo lo que necesita hacer es visitar el sitio web correspondiente e ingresar su número de cuenta y el código PIN de la tarjeta, que supuestamente son necesarios para pagar los servicios de entrega.

    Subastas: este tipo de engaño consiste en la ausencia de los bienes que venden los estafadores. Después de pagar, el cliente no recibe nada.

    El phishing es una carta que contiene un enlace a algún recurso donde quieren que proporciones datos, etc. Atraer a usuarios crédulos o desatentos a datos personales y confidenciales. Los estafadores envían muchas cartas, generalmente disfrazadas de cartas oficiales de diversas instituciones, que contienen enlaces que conducen a sitios señuelo que copian visualmente los sitios de bancos, tiendas y otras organizaciones.

    El fraude postal es la contratación de personal para una empresa que supuestamente necesita un representante en cualquier país que pueda encargarse de enviar mercancías o transferir dinero a una empresa extranjera. Por regla general, aquí se esconden planes de blanqueo de dinero.

    Cartas nigerianas: solicite depositar una pequeña cantidad antes de recibir dinero.

    cartas de felicidad

El spam puede ser masivo o dirigido.

El spam masivo carece de objetivos específicos y utiliza técnicas fraudulentas de ingeniería social contra un gran número de personas.

El spam dirigido es una técnica dirigida a una persona u organización específica, en la que el atacante actúa en nombre del director, administrador u otro empleado de la organización en la que trabaja la víctima o el atacante representa una empresa con la que la organización objetivo ha establecido un acuerdo. relación de confianza.

La recopilación de direcciones se realiza seleccionando nombres propios, hermosas palabras de diccionarios, combinaciones frecuentes de números y palabras, el método de analogía, escaneando todas las fuentes de información disponibles (salas de chat, foros, etc.), robando bases de datos, etc.

Las direcciones recibidas se verifican (se verifica que sean válidas) enviando un mensaje de prueba, colocando en el texto del mensaje un enlace único a una imagen con un contador de descargas o un enlace para "cancelar suscripción a mensajes de spam".

Posteriormente, el spam se envía directamente desde servidores alquilados, desde servicios de correo electrónico legítimos configurados incorrectamente o mediante la instalación oculta de software malicioso en el ordenador del usuario.

El atacante complica el trabajo de los filtros antispam introduciendo textos aleatorios, ruido o textos invisibles, utilizando letras gráficas o cambiando letras gráficas, imágenes fragmentadas, incluido el uso de animaciones, y textos prefraseados.

Métodos antispam

Existen 2 métodos principales de filtrado de spam:

    Filtrado por características formales de un mensaje de correo electrónico

    Filtrar por contenido

    método formal

    1. Fragmentación por listas: negra, blanca y gris. Las listas grises son un método para bloquear temporalmente mensajes con combinaciones desconocidas de dirección de correo electrónico y dirección IP del servidor de envío. Cuando el primer intento termina en un fracaso temporal (por regla general, los programas spammers no reenvían la carta). La desventaja de este método es el posible intervalo de tiempo prolongado entre el envío y la recepción de un mensaje legal.

      Comprobar si el mensaje se envió desde un servidor de correo real o falso (falso) del dominio especificado en el mensaje.

      "Devolución de llamada": al recibir una conexión entrante, el servidor receptor pausa la sesión y simula una sesión de trabajo con el servidor emisor. Si el intento falla, la conexión suspendida se finaliza sin más procesamiento.

      Filtrado por características formales de la carta: direcciones del remitente y del destinatario, tamaño, presencia y número de archivos adjuntos, dirección IP del remitente, etc.

    Métodos lingüísticos: trabajar con el contenido de la carta.

    1. Reconocimiento por el contenido de la carta: se comprueba la presencia de signos de contenido spam en la carta: un determinado conjunto y distribución de frases específicas a lo largo de la carta.

      Reconocimiento por muestras de letras (método de filtrado basado en firmas, incluidas firmas gráficas)

      El filtrado bayesiano es estrictamente un filtrado de palabras. Al comprobar una carta entrante, la probabilidad de que sea spam se calcula basándose en el procesamiento de texto, que incluye el cálculo del "peso" promedio de todas las palabras de una carta determinada. Una carta se clasifica como spam o no en función de si su peso supera un determinado umbral especificado por el usuario. Una vez que se toma una decisión sobre una letra, los "pesos" de las palabras incluidas en ella se actualizan en la base de datos.

Autenticación en sistemas informáticos.

Los procesos de autenticación se pueden dividir en las siguientes categorías:

    Pero basado en el conocimiento de algo (PIN, contraseña)

    Basado en la posesión de algo (tarjeta inteligente, llave USB)

    No basado en características inherentes (características biométricas)

Tipos de autenticación:

    Autenticación sencilla mediante contraseñas

    Autenticación sólida mediante comprobaciones multifactoriales y métodos criptográficos

    Autenticación biométrica

Los principales ataques a los protocolos de autenticación son:

    "Masquerade": cuando un usuario intenta hacerse pasar por otro usuario

    Retransmisión: cuando se envía una contraseña interceptada en nombre de otro usuario

    Retraso forzado

Para prevenir este tipo de ataques, se utilizan las siguientes técnicas:

    Mecanismos como desafío-respuesta, marcas de tiempo, números aleatorios, firmas digitales, etc.

    Vincular el resultado de la autenticación a acciones posteriores del usuario dentro del sistema.

    Realizar periódicamente procedimientos de autenticación dentro de una sesión de comunicación ya establecida.

    Autenticación sencilla

    1. Autenticación basada en contraseñas reutilizables

      Autenticación basada en contraseñas de un solo uso - OTP (contraseña de un solo uso): las contraseñas de un solo uso son válidas solo para un inicio de sesión y se pueden generar utilizando un token OTP. Para ello se utiliza la clave secreta del usuario, ubicada tanto dentro del token OTP como en el servidor de autenticación.

    La autenticación estricta implica que la parte que prueba demuestra su autenticidad a la parte que confía demostrando el conocimiento de un determinado secreto. Sucede:

    1. Unilateral

      Doble cara

      Tripartito

Puede realizarse en base a tarjetas inteligentes o llaves USB o criptografía.

Se puede implementar una autenticación sólida mediante un proceso de verificación de dos o tres factores.

En el caso de la autenticación de dos factores, el usuario deberá acreditar que conoce la contraseña o código PIN y dispone de un determinado identificador personal (tarjeta inteligente o llave USB).

La autenticación de tres factores requiere que el usuario proporcione otro tipo de identificación, como la biométrica.

La autenticación sólida mediante protocolos criptográficos puede depender del cifrado simétrico y asimétrico, así como de funciones hash. La parte que prueba demuestra el conocimiento del secreto, pero el secreto en sí no se revela. Se utilizan parámetros únicos (números aleatorios, marcas de tiempo y números de secuencia) para evitar transmisiones repetidas, garantizar la unicidad, la falta de ambigüedad y las garantías de tiempo de los mensajes transmitidos.

Autenticación de usuario biométrica

Las características biométricas más utilizadas son:

    Huellas dactilares

    patrón de vena

    Geometría de la mano

    Iris

    Geometría facial

    Combinaciones de lo anterior

Control de acceso mediante un esquema de inicio de sesión único con autorización de inicio de sesión único (SSO)

SSO permite a un usuario de una red corporativa someterse a una sola autenticación cuando inicia sesión en la red, presentando solo una contraseña u otro autenticador requerido una vez y luego, sin autenticación adicional, obtener acceso a todos los recursos de red autorizados que se necesitan para realizar la trabajo. Se utilizan activamente herramientas de autenticación digital como tokens, certificados digitales PKI, tarjetas inteligentes y dispositivos biométricos. Ejemplos: Kerberos, PKI, SSL.

Respuesta a incidentes de seguridad de la información

Entre las tareas a las que se enfrenta cualquier sistema de gestión de seguridad de la información se pueden identificar dos de las más significativas:

    Prevención de incidentes

    Si ocurren, respuesta oportuna y correcta.

La primera tarea en la mayoría de los casos se basa en la compra de diversas herramientas de seguridad de la información.

La segunda tarea depende del grado de preparación de la empresa para este tipo de eventos:

        La presencia de un equipo de respuesta a incidentes de SI capacitado con funciones y responsabilidades ya asignadas previamente.

        Disponibilidad de documentación bien pensada e interconectada sobre el procedimiento para gestionar incidentes de seguridad de la información, en particular, la respuesta e investigación de incidentes identificados.

        Disponibilidad de recursos preparados para las necesidades del equipo de respuesta (herramientas de comunicación,..., seguras)

        Disponibilidad de una base de conocimientos actualizada sobre incidentes de seguridad de la información ocurridos

        Alto nivel de concienciación de los usuarios en el campo de la seguridad de la información.

        Calificación y coordinación del equipo de respuesta.

El proceso de gestión de incidentes de seguridad de la información consta de las siguientes etapas:

    Preparación: prevenir incidentes, preparar equipos de respuesta, desarrollar políticas y procedimientos, etc.

    Detección: notificación de seguridad, notificación de usuario, análisis de registros de seguridad.

    Análisis: confirmar que ha ocurrido un incidente, recopilar información disponible sobre el incidente, identificar los activos afectados y clasificar el incidente por seguridad y prioridad.

    Respuesta: detener el incidente y recopilar pruebas, tomar medidas para detener el incidente y preservar información basada en evidencia, recopilar información basada en evidencia, interactuar con departamentos internos, socios y partes afectadas, así como atraer organizaciones externas de expertos.

    Investigación: investigación de las circunstancias de los incidentes de seguridad de la información, participación de organizaciones expertas externas e interacción con todas las partes afectadas, así como con las fuerzas del orden y las autoridades judiciales.

    Recuperación: tomar medidas para cerrar las vulnerabilidades que provocaron el incidente, eliminar las consecuencias del incidente y restaurar la funcionalidad de los servicios y sistemas afectados. Registro de aviso de seguro.

    Análisis y modernización de la eficiencia: análisis del incidente, análisis de la efectividad y modernización del proceso de investigación de incidentes de seguridad de la información y documentos relacionados, instrucciones privadas. Generar un informe sobre la investigación y la necesidad de modernizar el sistema de seguridad para la gestión, recogiendo información sobre el incidente, agregándola a la base de conocimiento y almacenando datos sobre el incidente.

Un sistema eficaz de gestión de incidentes de seguridad de la información tiene los siguientes objetivos:

    Garantizar la importancia jurídica de la información probatoria recopilada sobre incidentes de seguridad de la información.

    Garantizar la oportunidad y corrección de las acciones para responder e investigar incidentes de seguridad de la información.

    Garantizar la capacidad de identificar las circunstancias y causas de los incidentes de seguridad de la información para modernizar aún más el sistema de seguridad de la información.

    Proporcionar investigación y soporte legal para incidentes de seguridad de la información interna y externa.

    Garantizar la posibilidad de procesar a los atacantes y llevarlos ante la justicia según lo dispuesto por la ley.

    Garantizar la posibilidad de indemnización por daños derivados de un incidente de seguridad de la información de conformidad con la ley.

El sistema de gestión de incidentes de seguridad de la información generalmente interactúa y se integra con los siguientes sistemas y procesos:

    Gestión de seguridad de la información

    Gestión de riesgos

    Garantizar la continuidad del negocio

La integración se expresa en la coherencia de la documentación y formalización del orden de interacción entre procesos (información de entrada, salida y condiciones de transición).

El proceso de gestión de incidentes de seguridad de la información es bastante complejo y voluminoso. Requiere la acumulación, procesamiento y almacenamiento de una enorme cantidad de información, así como la ejecución de muchas tareas paralelas, por lo que existen en el mercado multitud de herramientas que permiten automatizar determinadas tareas, por ejemplo, los denominados sistemas SIEM. (información de seguridad y gestión de eventos).

Director de Información (CIO) - director de tecnología de la información

Director de seguridad de la información (CISO): jefe del departamento de seguridad de la información, director de seguridad de la información

La tarea principal de los sistemas SIEM no es solo recopilar eventos de diferentes fuentes, sino automatizar el proceso de detección de incidentes con documentación en un registro propio o en un sistema externo, así como informar oportunamente sobre el evento. El sistema SIEM tiene las siguientes tareas:

    Consolidación y almacenamiento de registros de eventos de diversas fuentes: dispositivos de red, aplicaciones, registros del sistema operativo, herramientas de seguridad.

    Presentación de herramientas para análisis de eventos y análisis de incidentes.

    Correlación y procesamiento según las reglas de los eventos ocurridos.

    Notificación automática y gestión de incidencias

Los sistemas SIEM son capaces de identificar:

    Ataques a la red en perímetros internos y externos.

    Epidemias de virus o infecciones de virus individuales, virus no eliminados, puertas traseras y troyanos

    Intentos de acceso no autorizado a información confidencial

    Errores y mal funcionamiento en el funcionamiento del SI.

    Vulnerabilidades

    Errores en configuración, medidas de seguridad y sistemas de información.

Principales fuentes de SIEM

    Control de acceso y datos de autenticación

    Registros de eventos del servidor y de la estación de trabajo

    Equipo activo de red

  1. Protección antivirus

    Escáneres de vulnerabilidad

    Sistemas de contabilidad de riesgos, criticidad de amenazas y priorización de incidentes.

    Otros sistemas de protección y control de las políticas de seguridad de la información:

    1. sistemas DLP

      Dispositivos de control de acceso, etc.

    2. Sistemas de inventario

    Sistemas de contabilidad de tráfico.

Los sistemas SIEM más famosos:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

DLP ( Procesamiento de luz digital) es una tecnología utilizada en proyectores. Fue creado por Larry Hornbeck de Texas Instruments en 1987.

En los proyectores DLP, la imagen se crea mediante espejos microscópicos pequeños que están dispuestos en una matriz en un chip semiconductor llamado Dispositivo de Microespejo Digital (DMD). Cada uno de estos espejos representa un píxel en la imagen proyectada.

El número total de espejos indica la resolución de la imagen resultante. Los tamaños de DMD más comunes son 800x600, 1024x768, 1280x720 y 1920x1080 (para mostrar HDTV, televisión de alta definición). En los proyectores de cine digital, las resoluciones DMD estándar se consideran 2K y 4K, que corresponden a 2000 y 4000 píxeles a lo largo del lado largo del marco, respectivamente.

Estos espejos se pueden colocar rápidamente para reflejar la luz sobre una lente o un disipador de calor (también llamado descarga de luz). La rotación rápida de los espejos (esencialmente cambiar entre encendido y apagado) permite que el DMD varíe la intensidad de la luz que pasa a través de la lente, creando tonos de gris además de blanco (espejo en la posición encendida) y negro (espejo en la posición apagada). ). ).

Color en proyectores DLP

Hay dos métodos principales para crear una imagen en color. Un método implica el uso de proyectores de un solo chip, el otro, de tres chips.

Proyectores de un solo chip
Vista del contenido de un proyector DLP de un solo chip. La flecha amarilla muestra la trayectoria del haz de luz desde la lámpara hasta la matriz, a través del disco filtrante, el espejo y la lente. Luego, el haz se refleja en la lente (flecha amarilla) o en el radiador (flecha azul).
Imágenes externas
Diseño óptico de un proyector DLP de matriz única.
Circuito de control y suspensión de microespejos.

En los proyectores con un solo chip DMD, los colores se producen colocando un disco de color giratorio entre la lámpara y el DMD, muy parecido al "sistema de televisión en color secuencial" del Columia Broadcasting System utilizado en la década de 1950. El disco de color suele dividirse en 4 sectores: tres sectores para los colores primarios (rojo, verde y azul) y el cuarto sector es transparente para aumentar el brillo.

Debido a que el sector transparente reduce la saturación del color, en algunos modelos puede estar ausente por completo, en otros se pueden usar colores adicionales en lugar del sector vacío.

El chip DMD está sincronizado con el disco giratorio de modo que el componente verde de la imagen se muestra en el DMD cuando el sector verde del disco está en el camino de la lámpara. Lo mismo para los colores rojo y azul.

Los componentes rojo, verde y azul de la imagen se muestran alternativamente, pero con una frecuencia muy alta. Por lo tanto, al espectador le parece que se proyecta una imagen multicolor en la pantalla. En los primeros modelos, el disco giraba una vez en cada fotograma. Posteriormente se crearon proyectores en los que el disco hace dos o tres revoluciones por fotograma, y ​​en algunos proyectores el disco se divide en un mayor número de sectores y la paleta se repite dos veces. Esto significa que los componentes de la imagen se muestran en la pantalla, reemplazándose entre sí hasta seis veces en un cuadro.

Algunos modelos recientes de alta gama han reemplazado el disco de color giratorio por un bloque de LED muy brillantes en tres colores primarios. Debido al hecho de que los LED se pueden encender y apagar muy rápidamente, esta técnica le permite aumentar aún más la frecuencia de actualización de los colores de la imagen y eliminar por completo el ruido y las piezas mecánicamente móviles. El rechazo de la lámpara halógena también facilita el funcionamiento térmico de la matriz.

"Efecto arco iris"

Efecto DLP arcoíris

El efecto arcoíris es exclusivo de los proyectores DLP de un solo chip.

Como ya se mencionó, solo se muestra un color por imagen en un momento dado. A medida que el ojo se mueve a través de la imagen proyectada, estos diferentes colores se vuelven visibles, lo que da como resultado la percepción de un "arco iris" por parte del ojo.

Los fabricantes de proyectores DLP de un solo chip han encontrado una salida a esta situación acelerando el disco multicolor segmentado giratorio o aumentando el número de segmentos de color, reduciendo así este artefacto.

La luz de los LED hizo posible reducir aún más este efecto debido a la alta frecuencia de cambio entre colores.

Además, los LED pueden emitir cualquier color de cualquier intensidad, lo que ha aumentado la gamma y el contraste de la imagen.

Proyectores de tres chips

Este tipo de proyector DLP utiliza un prisma para dividir el haz emitido por la lámpara y luego cada uno de los colores primarios se dirige a su propio chip DMD. Luego, estos rayos se combinan y la imagen se proyecta en una pantalla.

Los proyectores de triple chip son capaces de producir más gradaciones de sombras y colores que los proyectores de un solo chip porque cada color está disponible durante un período de tiempo más largo y se puede modular con cada cuadro de video. Además, la imagen no está sujeta en absoluto al parpadeo ni al "efecto arcoíris".

Dolby Digital Cine 3D

Infitec ha desarrollado filtros espectrales para el disco giratorio y las gafas, permitiendo la proyección de monturas para diferentes ojos en diferentes subconjuntos del espectro. Como resultado, cada ojo ve su propia imagen, casi a todo color, en una pantalla blanca normal, a diferencia de los sistemas con polarización de la imagen proyectada (como IMAX), que requieren una pantalla "plateada" especial para mantener la polarización durante la reflexión. .

ver también

Alexei Borodin Tecnología DLP. Portal ixbt.com (12-05-2000). Archivado desde el original el 14 de mayo de 2012.


Fundación Wikimedia. 2010.

Vea qué es "DLP" en otros diccionarios:

    DLP- Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tecnología utilizada en proyectores y televisores de proyección. El DLP fue desarrollado originalmente por Texas Instruments, y sigue siendo el... ... Wikipedia Español

    DLP- es una abreviatura de tres letras con múltiples significados, como se describe a continuación: Tecnología La prevención de pérdida de datos es un campo de la seguridad informática Procesamiento de luz digital, una tecnología utilizada en proyectores y proyectores de video Problema de logaritmo discreto,… … Wikipedia

Ofrecemos una gama de marcadores para ayudarle a aprovechar al máximo cualquier sistema DLP.

DLP-sistemas: ¿qué es?

Te recordamos que los sistemas DLP (Data Loss/Leak Prevention) permiten controlar todos los canales de comunicación en red de una empresa (correo, Internet, sistemas de mensajería instantánea, pendrives, impresoras, etc.). La protección contra la fuga de información se logra instalando agentes en todas las computadoras de los empleados, que recopilan información y la transmiten al servidor. En ocasiones, la información se recopila a través de una puerta de enlace utilizando tecnologías SPAN. La información se analiza, tras lo cual el responsable del sistema o de seguridad toma decisiones sobre el incidente.

Entonces, su empresa ha implementado un sistema DLP. ¿Qué pasos deben tomarse para que el sistema funcione efectivamente?

1. Configurar correctamente las reglas de seguridad

Imaginemos que en un sistema que atiende a 100 ordenadores se ha creado una regla "Corregir toda correspondencia con la palabra "acuerdo". Dicha regla provocará una gran cantidad de incidentes, en los que se puede perder una filtración real.

Además, no todas las empresas pueden permitirse el lujo de tener una plantilla completa de empleados que supervisen los incidentes.

Las herramientas para crear reglas efectivas y rastrear los resultados de su trabajo ayudarán a aumentar la utilidad de las reglas. Cada sistema DLP tiene una funcionalidad que le permite hacer esto.

En general, la metodología pasa por analizar la base de datos acumulada de incidencias y crear diversas combinaciones de reglas que idealmente conduzcan a la aparición de 5-6 incidencias verdaderamente urgentes por día.

2. Actualice las reglas de seguridad a intervalos regulares.

Una fuerte disminución o aumento en el número de incidentes es un indicador de que se requieren ajustes en las reglas. Las razones pueden ser que la regla haya perdido su relevancia (los usuarios han dejado de acceder a ciertos archivos) o que los empleados hayan aprendido la regla y ya no realicen acciones prohibidas por el sistema (DLP - sistema de aprendizaje). Sin embargo, la práctica demuestra que si se aprende una regla, en un lugar vecino aumentan los riesgos potenciales de fuga.

También se debe prestar atención a la estacionalidad en el funcionamiento de la empresa. Durante el año, los parámetros clave relacionados con las características específicas del trabajo de la empresa pueden cambiar. Por ejemplo, para un proveedor mayorista de equipos pequeños, las bicicletas serán relevantes en primavera y las motos de nieve, en otoño.

3. Considere un algoritmo para responder a incidentes.

Existen varios enfoques para la respuesta a incidentes. Cuando se prueban y ejecutan sistemas DLP, la mayoría de las veces no se notifica a las personas sobre los cambios. Los participantes en los incidentes sólo son observados. Cuando se ha acumulado una masa crítica, un representante del departamento de seguridad o del departamento de recursos humanos se comunica con ellos. En el futuro, el trabajo con los usuarios suele dejarse en manos de representantes del departamento de seguridad. Surgen miniconflictos y la negatividad se acumula en el equipo. Puede desembocar en un sabotaje deliberado de los empleados hacia la empresa. Es importante mantener un equilibrio entre la exigencia de disciplina y el mantenimiento de una atmósfera saludable en el equipo.

4. Verificar el funcionamiento del modo de bloqueo.

Hay dos modos de responder a un incidente en el sistema: fijación y bloqueo. Si se bloquea cada hecho de enviar una carta o adjuntar un archivo adjunto a una unidad flash, esto crea problemas para el usuario. Los empleados a menudo atacan al administrador del sistema pidiéndole que desbloquee algunas funciones; la gerencia también puede estar insatisfecha con dicha configuración. Como resultado, el sistema DLP y la empresa reciben comentarios negativos, el sistema queda desacreditado y desenmascarado.

5. Compruebe si se ha introducido el régimen de secreto comercial.

Brinda la capacidad de hacer confidencial cierta información y también obliga a cualquier persona que la conozca a asumir la total responsabilidad legal por su divulgación. En caso de una filtración grave de información bajo el actual régimen de secreto comercial en la empresa, el infractor puede recuperar el monto del daño real y moral a través del tribunal de conformidad con 98-FZ "Sobre secretos comerciales".

Esperamos que estos consejos ayuden a reducir el número de fugas involuntarias en las empresas, porque son precisamente estas las que los sistemas DLP están diseñados para combatir con éxito. Sin embargo, no debemos olvidarnos del sistema integral de seguridad de la información y del hecho de que las fugas de información intencionadas requieren una atención especial y minuciosa. Existen soluciones modernas que pueden complementar la funcionalidad de los sistemas DLP y reducir significativamente el riesgo de fugas intencionales. Por ejemplo, uno de los desarrolladores ofrece una tecnología interesante: cuando se accede a archivos confidenciales con una frecuencia sospechosa, la cámara web se enciende automáticamente y comienza a grabar. Fue este sistema el que permitió registrar cómo el desafortunado ladrón tomaba capturas de pantalla activamente con la cámara de un móvil.

Oleg Necheukhin, experto en protección de sistemas de información, Kontur.Security

Hoy en día, a menudo se puede oír hablar de tecnologías como los sistemas DLP. ¿Qué es tal sistema? ¿Como puede ser usado? Los sistemas DLP son software diseñados para evitar la pérdida de datos detectando posibles infracciones durante el filtrado y el envío. Estos servicios también monitorean, detectan y bloquean información confidencial durante su uso, movimiento y almacenamiento. La fuga de información confidencial, por regla general, se produce debido al funcionamiento del equipo por parte de usuarios inexpertos o acciones maliciosas.

Dicha información en forma de información corporativa o privada, propiedad intelectual, información médica y financiera, información de tarjetas de crédito requiere medidas de protección especiales que las tecnologías de la información modernas pueden ofrecer. Los casos de pérdida de información se convierten en filtraciones cuando una fuente que contiene información confidencial desaparece y termina en manos de alguien no autorizado. La fuga de información es posible sin pérdida.

Convencionalmente, los medios tecnológicos que se utilizan para combatir la fuga de información se pueden dividir en las siguientes categorías:

— medidas de seguridad estándar;
— medidas intelectuales (avanzadas);
— control de acceso y cifrado;
— sistemas DLP especializados.

Medidas estándar

Las medidas de seguridad estándar incluyen firewalls, sistemas de detección de intrusos (IDS) y software antivirus. Protegen la computadora de ataques internos y externos. Entonces. Por ejemplo, conectar un firewall evita que personas externas accedan a la red interna. Un sistema de detección de intrusiones puede detectar intentos de intrusión. Para prevenir ataques internos, puede utilizar programas antivirus que detecten los caballos de Troya instalados en su PC. También puede utilizar servicios especializados que operan en una arquitectura cliente-servidor sin ninguna información personal o confidencial almacenada en la computadora.

Medidas de seguridad adicionales

Las medidas de seguridad adicionales utilizan servicios altamente especializados y algoritmos de sincronización que están diseñados para detectar accesos anormales a los datos, más específicamente a bases de datos y sistemas de recuperación de información. Estas protecciones también pueden detectar intercambios anormales de correo electrónico. Estas modernas tecnologías de la información identifican solicitudes y programas con intenciones maliciosas y llevan a cabo comprobaciones profundas de los sistemas informáticos, como reconocer los sonidos de los altavoces o las pulsaciones de teclas. Algunos servicios de este tipo son incluso capaces de monitorear la actividad del usuario para detectar accesos inusuales a datos.

¿Qué son los sistemas DLP diseñados a medida?

Las soluciones DLP diseñadas para proteger la información están diseñadas para detectar y prevenir intentos no autorizados de copiar y transmitir información confidencial sin permiso o acceso de usuarios que están autorizados a acceder a la información confidencial. Para clasificar información de un determinado tipo y regular el acceso a la misma, estos sistemas utilizan mecanismos como el cotejo exacto de datos, métodos estadísticos, toma de huellas dactilares estructurada, recepción de expresiones y reglas regulares, publicación de frases en clave, palabras clave y definiciones conceptuales. Veamos los principales tipos y características de los sistemas DLP.

DLP de red

Este sistema suele ser una solución de hardware o software que se instala en puntos de red que se originan cerca del perímetro. Dicho sistema analiza el tráfico de la red para detectar información confidencial enviada en violación de las políticas de seguridad de la información.

DLP de punto final

Los sistemas de este tipo operan en estaciones de trabajo de usuarios finales o servidores en organizaciones. Un punto final, como en otros sistemas de red, puede afrontar comunicaciones tanto internas como externas y, por tanto, puede utilizarse para controlar el flujo de información entre tipos y grupos de usuarios. También son capaces de monitorear la mensajería instantánea y el correo electrónico. Esto sucede de la siguiente manera: antes de descargar los datos del mensaje en el dispositivo, el servicio los verifica. Si hay una solicitud desfavorable, los mensajes serán bloqueados. Por lo tanto, quedan sin corregir y no están sujetos a las reglas para almacenar información en el dispositivo.

La ventaja de un sistema DLP es que puede controlar y gestionar el acceso a dispositivos físicos, así como acceder a la información antes de que se cifre. Algunos sistemas que operan sobre la base de fugas finales también pueden proporcionar control de aplicaciones para bloquear intentos de transmitir información confidencial y proporcionar retroalimentación inmediata al usuario. La desventaja de estos sistemas es que deben instalarse en cada puesto de trabajo de la red y no pueden utilizarse en dispositivos móviles como PDA o teléfonos móviles. Esta circunstancia debe tenerse en cuenta a la hora de elegir sistemas DLP para realizar determinadas tareas.

Identificación de datos

Los sistemas DLP contienen varios métodos destinados a identificar información confidencial y clasificada. Este proceso suele confundirse con el procedimiento de decodificación de información. Sin embargo, la identificación de información es el proceso mediante el cual las organizaciones utilizan la tecnología DLP para determinar qué buscar. En este caso, los datos se clasifican en estructurados o no estructurados. El primer tipo de datos se almacena en campos fijos dentro de un archivo, como una hoja de cálculo. Los datos no estructurados se refieren a texto de formato libre. Según estimaciones de los expertos, el 80% de toda la información procesada se puede clasificar como datos no estructurados. En consecuencia, sólo el 20% de la cantidad total de información está estructurada. Para clasificar la información se utiliza el análisis de contenido, que se centra en la información estructurada y el análisis contextual. Se realiza en el lugar donde se creó la aplicación o sistema en el que apareció la información. Por tanto, la respuesta a la pregunta "¿qué son los sistemas DLP?" puede ser la definición de un algoritmo de análisis de información.

Métodos

Los métodos para describir contenidos sensibles utilizados en los sistemas DLP hoy en día son muy numerosos. Convencionalmente, se pueden dividir en dos categorías: precisas e inexactas. Precisos son los métodos que están asociados con el análisis de contenido y prácticamente reducen a cero todas las respuestas falsas positivas a las consultas. Otros métodos son inexactos. Estos incluyen análisis estadístico, análisis bayesiano, metaetiquetas, expresiones regulares avanzadas, palabras clave, diccionarios, etc. La eficacia del análisis de datos dependerá directamente de su precisión. Un sistema DLP con una calificación alta tiene un alto rendimiento en este parámetro. La precisión de la identificación de DLP es importante para evitar falsos positivos y otras consecuencias negativas. La precisión depende de muchos factores, que pueden ser tecnológicos o situacionales. Las pruebas de precisión ayudan a garantizar la confiabilidad del sistema DLP.

Detección y prevención de fugas de información

En algunos casos, la fuente de distribución de datos pone información confidencial a disposición de un tercero. Es muy probable que algunos de estos datos se encuentren en una ubicación no autorizada después de un tiempo, por ejemplo, en la computadora portátil de otro usuario o en Internet. Los sistemas DLP, cuyo coste lo proporcionan los desarrolladores previa solicitud, pueden oscilar entre varias decenas y varios miles de rublos. Los sistemas DLP deben investigar cómo se filtraron datos de uno o más terceros, si esto se hizo de forma independiente o si la información se filtró por algún otro medio.

Los datos en reposo

La descripción "datos en reposo" se refiere a información archivada antigua que se almacena en cualquiera de los discos duros de la computadora personal del cliente, en un servidor de archivos remoto o en una unidad de almacenamiento de red. Esta definición también se aplica a los datos almacenados en un sistema de respaldo en CD o unidades flash. Esta información es de gran interés para agencias gubernamentales o empresas, ya que una gran cantidad de datos se almacena sin utilizar en dispositivos de memoria. En este caso, existe una alta probabilidad de que personas no autorizadas fuera de la red obtengan acceso a la información.

Cargando...

Tú podrías estar interesado:

Publicidad