Revisione dei sistemi DLP. Tecnologia DLP. Breve storia della creazione

Riguardo al problema Oggi, la tecnologia dell'informazione è una componente importante di qualsiasi organizzazione moderna. In senso figurato, la tecnologia dell'informazione è il cuore dell'impresa, che mantiene le prestazioni dell'azienda e aumenta la sua efficienza e competitività nelle condizioni di una concorrenza moderna e feroce.Sistemi di automazione dei processi aziendali, come flusso di documenti, sistemi CRM, sistemi ERP, i sistemi di analisi e pianificazione multidimensionali consentono di raccogliere rapidamente informazioni, sistematizzarle e raggrupparle, accelerando i processi decisionali del management e garantendo la trasparenza dei processi aziendali e aziendali per il management e gli azionisti. Diventa ovvio che una grande quantità di dati strategici, riservati e personali è un importante patrimonio informativo dell'azienda e le conseguenze della fuga di queste informazioni influenzeranno l'efficienza dell'organizzazione. L'uso delle misure di sicurezza tradizionali di oggi, come antivirus e firewall, svolgono la funzione di proteggere il patrimonio informativo dalle minacce esterne, ma non non garantire in alcun modo la protezione del patrimonio informativo da perdite, distorsioni o distruzione da parte di un aggressore interno. Le minacce interne alla sicurezza delle informazioni possono rimanere ignorate o, in alcuni casi, inosservate dal management a causa della mancata comprensione della criticità di tali minacce all’azienda ed è per questo motivo protezione dei dati riservati così importante oggi. Sulla soluzione Protezione delle informazioni riservate dalla fuga di informazioni è una componente importante del complesso di sicurezza delle informazioni di un’organizzazione. I sistemi DLP (sistema di protezione dalla perdita di dati) sono progettati per risolvere il problema delle perdite accidentali e intenzionali di dati riservati.

Sistema completo di protezione dalla perdita di dati (sistema DLP) sono un software o un complesso hardware-software che impedisce la fuga di dati riservati.

Viene effettuato dal sistema DLP utilizzando le seguenti funzioni principali:

• Filtraggio del traffico su tutti i canali di trasmissione dati;
• Analisi approfondita del traffico a livello di contenuto e contesto.

• Web (protocolli HTTP/HTTPS);
• Internet - messaggistica istantanea (ICQ, QIP, Skype, MSN, ecc.);
• Posta aziendale e personale (POP, SMTP, IMAP, ecc.);
• Sistemi wireless (WiFi, Bluetooth, 3G, ecc.);
• Connessioni FTP.

• Server;
• Postazioni di lavoro;
• Laptop;
• Sistemi di archiviazione dati (DSS).

• Informazioni segrete;
• Informazioni confidenziali;
• Informazioni per uso ufficiale;
• Informazione pubblica.

• Analisi delle informazioni linguistiche;
• Analisi statistica delle informazioni;
• Espressioni regolari (modelli);
• Metodo dell'impronta digitale, ecc.

• Tutela del patrimonio informativo e delle informazioni strategiche importanti dell'azienda;
• Dati strutturati e sistematizzati nell'organizzazione;
• Trasparenza dei processi aziendali e aziendali per i servizi di gestione e sicurezza;
• Controllo dei processi di trasferimento di dati riservati in azienda;
• Ridurre i rischi associati alla perdita, al furto e alla distruzione di informazioni importanti;
• Protezione contro il malware che entra nell'organizzazione dall'interno;
• Salvataggio e archiviazione di tutte le azioni relative alla circolazione dei dati all'interno del sistema informativo;

• Monitoraggio della presenza del personale sul posto di lavoro;
• Risparmiare traffico Internet;
• Ottimizzazione della rete aziendale;
• Controllo delle applicazioni utilizzate dall'utente;
• Aumentare l’efficienza del personale.

(Prevenzione della perdita dei dati)

Sistemi per monitorare le azioni degli utenti, un sistema per proteggere i dati riservati dalle minacce interne.

I sistemi DLP vengono utilizzati per rilevare e impedire il trasferimento di dati riservati in varie fasi. (durante lo spostamento, l'uso e lo stoccaggio). Il sistema DLP consente:

Controllare il lavoro degli utenti, evitando sprechi incontrollati di tempo lavorativo per scopi personali.

Registra automaticamente, senza che l'utente se ne accorga, tutte le azioni, comprese le email inviate e ricevute, le chat e la messaggistica istantanea, i social network, i siti web visitati, i dati digitati sulla tastiera, i file trasferiti, stampati e salvati, ecc.

Monitorare l'uso dei giochi per computer sul posto di lavoro e tenere conto della quantità di tempo di lavoro trascorso sui giochi per computer.

Monitora l'attività di rete degli utenti, prendi in considerazione il volume del traffico di rete

Controllare la copia di documenti su vari supporti (supporti rimovibili, dischi rigidi, cartelle di rete, ecc.)

Controlla la stampa in rete dell'utente

Registra le richieste degli utenti ai motori di ricerca, ecc.

Data-in-motion - dati in movimento - messaggi e-mail, trasferimento di traffico web, file, ecc.

Data-in-rest - dati archiviati - informazioni su workstation, file server, dispositivi USB, ecc.

Dati in uso - dati in uso - informazioni in fase di elaborazione al momento.

L'architettura delle soluzioni DLP può variare tra i diversi sviluppatori, ma in generale ci sono 3 tendenze principali:

Intercettori e controllori per diversi canali di trasmissione delle informazioni. Gli intercettatori analizzano i flussi di informazioni in transito provenienti dal perimetro aziendale, rilevano dati riservati, classificano le informazioni e le trasmettono al server di gestione per l'elaborazione di un possibile incidente. I controller di rilevamento dei dati inattivi eseguono processi di rilevamento sulle risorse di rete per informazioni riservate. I controllori per le operazioni sulle postazioni di lavoro distribuiscono le politiche di sicurezza ai dispositivi finali (computer), analizzano i risultati delle attività dei dipendenti con informazioni riservate e trasmettono eventuali dati sugli incidenti al server di gestione.

Programmi agente installati sui dispositivi finali: notano l'elaborazione dei dati riservati e monitorano il rispetto delle regole come il salvataggio delle informazioni su supporti rimovibili, l'invio, la stampa, la copia tramite appunti.

Server di gestione centrale: confronta le informazioni ricevute da intercettatori e controllori e fornisce un'interfaccia per l'elaborazione degli incidenti e la generazione di report.

Le soluzioni DLP offrono un'ampia gamma di metodi combinati di rilevamento delle informazioni:

Stampe digitali di documenti e loro parti

Impronte digitali di database e altre informazioni strutturate che è importante proteggere dalla distribuzione

Metodi statistici (aumento della sensibilità del sistema quando le violazioni si ripetono).

Quando si utilizzano sistemi DLP, in genere vengono eseguite ciclicamente diverse procedure:

Addestrare il sistema ai principi di classificazione delle informazioni.

Inserimento di regole di risposta in relazione alla categoria di informazioni rilevate e ai gruppi di dipendenti le cui azioni devono essere monitorate. Gli utenti fidati sono evidenziati.

Esecuzione di un'operazione di controllo da parte del sistema DLP (il sistema analizza e normalizza le informazioni, esegue un confronto con i principi di rilevamento e classificazione dei dati e, quando vengono rilevate informazioni riservate, il sistema le confronta con le politiche esistenti assegnate alla categoria di informazioni rilevata e, se necessario, crea un incidente)

Interventi di elaborazione (ad esempio, informare, mettere in pausa o bloccare l'invio).

Funzionalità di creazione e gestione di una VPN dal punto di vista della sicurezza

Opzioni per creare una VPN:

Basato su sistemi operativi di rete

Basato su router

Basato sull'ITU

Basato su software e hardware specializzati

Basato su software specializzato

Affinché la VPN funzioni correttamente e in sicurezza, è necessario comprendere le basi dell'interazione tra VPN e firewall:

Le VPN sono in grado di creare tunnel di comunicazione end-to-end che attraversano il perimetro della rete, e quindi sono estremamente problematiche in termini di controllo degli accessi da parte del firewall, che ha difficoltà ad analizzare il traffico crittografato.

Grazie alle sue capacità di crittografia, le VPN possono essere utilizzate per aggirare i sistemi IDS che non sono in grado di rilevare intrusioni da canali di comunicazione crittografati.

A seconda dell'architettura di rete, l'importantissima funzionalità NAT (Network Address Translation) potrebbe non essere compatibile con alcune implementazioni VPN, ecc.

In sostanza, quando prende decisioni sull'implementazione dei componenti VPN in un'architettura di rete, un amministratore può scegliere la VPN come dispositivo esterno autonomo o scegliere di integrare la VPN nel firewall per fornire entrambe le funzioni in un unico sistema.

ITU + VPN separata. Opzioni di hosting VPN:

1. All'interno della DMZ, tra il firewall e il router di confine

   All'interno della rete protetta su adattatori di rete ITU

   All'interno della rete schermata, dietro il firewall

   Parallelamente all'ITU, al punto di ingresso nella rete protetta.

Firewall + VPN, ospitato come una singola unità: una soluzione così integrata è più conveniente per il supporto tecnico rispetto all'opzione precedente, non causa problemi associati al NAT (traduzione degli indirizzi di rete) e fornisce un accesso più affidabile ai dati, per i quali il firewall è responsabile. Lo svantaggio di una soluzione integrata è l'elevato costo iniziale per l'acquisto di tale strumento, nonché le opzioni limitate per l'ottimizzazione dei corrispondenti componenti VPN e Firewall (ovvero, le implementazioni ITU più soddisfacenti potrebbero non essere adatte per costruire componenti VPN sui propri componenti). La VPN può avere un impatto significativo sulle prestazioni della rete e la latenza può verificarsi durante le seguenti fasi:

1. Quando si stabilisce una connessione sicura tra dispositivi VPN (autenticazione, scambio di chiavi, ecc.)

   Ritardi associati alla crittografia e decrittografia dei dati protetti, nonché trasformazioni necessarie per controllarne l'integrità

   Ritardi associati all'aggiunta di una nuova intestazione ai pacchetti trasmessi

Sicurezza della posta elettronica

Principali protocolli di posta: (E)SMTP, POP, IMAP.

SMTP: protocollo di trasferimento posta semplice, porta TCP 25, nessuna autenticazione. SMTP esteso: è stata aggiunta l'autenticazione del client.

POP - Post Office Protocol 3 - ricezione della posta dal server. Autenticazione in chiaro. APOP - con funzionalità di autenticazione.

IMAP - protocollo di accesso ai messaggi Internet - è un protocollo di posta non crittografato che combina le proprietà di POP3 e IMAP. Ti permette di lavorare direttamente con la tua casella di posta, senza la necessità di scaricare le lettere sul tuo computer.

A causa della mancanza di normali mezzi per crittografare le informazioni, abbiamo deciso di utilizzare SSL per crittografare i dati di questi protocolli. Da qui sono emerse le seguenti varietà:

POP3 SSL - porta 995, SMTP SSL (SMTPS) porta 465, IMAP SSL (IMAPS) - porta 993, tutto TCP.

Un utente malintenzionato che lavora con un sistema di posta elettronica può perseguire i seguenti obiettivi:

Attaccare il computer di un utente inviando virus via email, inviando email false (falsificare l'indirizzo del mittente in SMTP è un compito banale), leggendo le email di altre persone.

Un attacco a un server di posta che utilizza la posta elettronica con l'obiettivo di penetrare nel suo sistema operativo o di negazione del servizio

Utilizzo di un server di posta come relè per l'invio di messaggi non richiesti (spam)

Intercettazione password:

1. Intercettazione delle password nelle sessioni POP e IMAP, in seguito alla quale un utente malintenzionato può ricevere ed eliminare la posta all'insaputa dell'utente

   Intercettazione delle password nelle sessioni SMTP - in seguito alla quale un utente malintenzionato può essere autorizzato illegalmente a inviare posta tramite questo server

Per risolvere i problemi di sicurezza con i protocolli POP, IMAP e SMTP, viene spesso utilizzato il protocollo SSL, che consente di crittografare l'intera sessione di comunicazione. Svantaggio: SSL è un protocollo ad alto utilizzo di risorse che può rallentare notevolmente la comunicazione.

Lo spam e la lotta contro lo spam

Tipi di spam fraudolento:

Lotteria: una notifica entusiasta delle vincite nelle lotterie a cui il destinatario del messaggio non ha partecipato. Tutto quello che devi fare è visitare il sito Web appropriato e inserire il numero di conto e il codice PIN della carta, che sarebbero necessari per pagare i servizi di consegna.

Aste: questo tipo di inganno consiste nell'assenza della merce venduta dai truffatori. Dopo aver pagato, il cliente non riceve nulla.

Il phishing è una lettera contenente un collegamento ad alcune risorse a cui desiderano fornire dati, ecc. Attira utenti creduloni o disattenti con dati personali e riservati. I truffatori inviano numerose lettere, solitamente mascherate da lettere ufficiali di varie istituzioni, contenenti collegamenti che conducono a siti esca che copiano visivamente i siti di banche, negozi e altre organizzazioni.

La frode postale è l'assunzione di personale per un'azienda che presumibilmente necessita di un rappresentante in qualsiasi paese che possa occuparsi dell'invio di merci o del trasferimento di denaro a un'azienda straniera. Di norma, qui si nascondono schemi di riciclaggio di denaro.

Lettere nigeriane: chiedi di depositare una piccola somma prima di ricevere denaro.

Lettere di felicità

Lo spam può essere di massa o mirato.

Lo spam collettivo non ha obiettivi specifici e utilizza tecniche fraudolente di ingegneria sociale contro un gran numero di persone.

Lo spam mirato è una tecnica rivolta a una persona o organizzazione specifica, in cui l'aggressore agisce per conto del direttore, amministratore o altro dipendente dell'organizzazione in cui lavora la vittima o l'aggressore rappresenta un'azienda con la quale l'organizzazione presa di mira ha stabilito un accordo rapporto di fiducia.

La raccolta degli indirizzi viene effettuata selezionando nomi propri, belle parole dai dizionari, frequenti combinazioni di parole-numeri, il metodo dell'analogia, scansionando tutte le fonti di informazione disponibili (chat room, forum, ecc.), rubando database, ecc.

Gli indirizzi ricevuti vengono verificati (verificati che siano validi) inviando un messaggio di prova, inserendo nel testo del messaggio un collegamento univoco a un'immagine con un contatore di download o un collegamento "annulla iscrizione ai messaggi spam".

Successivamente, lo spam viene inviato direttamente da server noleggiati, oppure da servizi di posta elettronica legittimi configurati in modo errato, oppure attraverso l'installazione nascosta di software dannoso sul computer dell'utente.

L'aggressore complica il lavoro dei filtri anti-spam introducendo testi casuali, rumorosi o invisibili, utilizzando lettere grafiche o modificando lettere grafiche, immagini frammentate, compreso l'uso di animazioni e prefrasi di testi.

Metodi anti-spam

Esistono 2 metodi principali di filtraggio dello spam:

Filtraggio per caratteristiche formali di un messaggio di posta elettronica

Filtra per contenuto

Metodo formale

1. Frammentazione per elenchi: nero, bianco e grigio. Le liste grigie sono un metodo per bloccare temporaneamente i messaggi con combinazioni sconosciute di indirizzo email e indirizzo IP del server di invio. Quando il primo tentativo termina con un fallimento temporaneo (di norma, i programmi spammer non inviano nuovamente la lettera). Lo svantaggio di questo metodo è il possibile intervallo di tempo lungo tra l'invio e la ricezione di un messaggio legale.

   Verifica se il messaggio è stato inviato da un server di posta reale o falso (falso) dal dominio specificato nel messaggio.

   "Callback" - dopo aver ricevuto una connessione in entrata, il server ricevente mette in pausa la sessione e simula una sessione di lavoro con il server mittente. Se il tentativo fallisce, la connessione sospesa viene terminata senza ulteriori elaborazioni.

   Filtraggio per caratteristiche formali della lettera: indirizzi del mittente e del destinatario, dimensione, presenza e numero di allegati, indirizzo IP del mittente, ecc.

Metodi linguistici: lavorare con il contenuto della lettera

1. Riconoscimento dal contenuto della lettera: viene verificata la presenza di segni di contenuto spam nella lettera: un certo insieme e distribuzione di frasi specifiche in tutta la lettera.

   Riconoscimento tramite campioni di lettere (metodo di filtraggio basato sulla firma, comprese le firme grafiche)

   Il filtraggio bayesiano è strettamente un filtraggio delle parole. Quando si controlla una lettera in arrivo, la probabilità che si tratti di spam viene calcolata in base all'elaborazione del testo, che include il calcolo del "peso" medio di tutte le parole in una determinata lettera. Una lettera viene classificata come spam o non spam a seconda che il suo peso superi una determinata soglia specificata dall'utente. Dopo aver preso una decisione su una lettera, i “pesi” delle parole in essa incluse vengono aggiornati nel database.

Autenticazione nei sistemi informatici

I processi di autenticazione possono essere suddivisi nelle seguenti categorie:

Ma in base alla conoscenza di qualcosa (PIN, password)

In base al possesso di qualcosa (smart card, chiave USB)

Non basato su caratteristiche intrinseche (caratteristiche biometriche)

Tipi di autenticazione:

Autenticazione semplice tramite password

Autenticazione forte utilizzando controlli multifattoriali e metodi crittografici

Autenticazione biometrica

I principali attacchi ai protocolli di autenticazione sono:

"Masquerade" - quando un utente tenta di impersonare un altro utente

Ritrasmissione: quando una password intercettata viene inviata per conto di un altro utente

Ritardo forzato

Per prevenire tali attacchi, vengono utilizzate le seguenti tecniche:

Meccanismi come challenge-response, timestamp, numeri casuali, firme digitali, ecc.

Collegare il risultato dell'autenticazione alle successive azioni dell'utente all'interno del sistema.

Eseguire periodicamente procedure di autenticazione all'interno di una sessione di comunicazione già stabilita.

Autenticazione semplice

1. Autenticazione basata su password riutilizzabili

   Autenticazione basata su password monouso - OTP (one time password): le password monouso sono valide solo per un accesso e possono essere generate utilizzando un token OTP. Per questo viene utilizzata la chiave segreta dell'utente, situata sia all'interno del token OTP che sul server di autenticazione.

L'autenticazione rigorosa prevede che la parte dimostrante dimostri la propria autenticità alla parte affidante dimostrando la conoscenza di un determinato segreto. Accade:

1. Unilaterale

   Doppia faccia

   Tripartito

Può essere effettuato sulla base di smart card o chiavi USB o crittografia.

L'autenticazione forte può essere implementata utilizzando un processo di verifica a due o tre fattori.

Nel caso dell'autenticazione a due fattori, l'utente deve dimostrare di conoscere la password o il codice PIN e di possedere un determinato identificatore personale (smart card o chiave USB).

L'autenticazione a tre fattori richiede che l'utente fornisca un altro tipo di identificazione, come la biometria.

L'autenticazione forte che utilizza protocolli crittografici può fare affidamento sulla crittografia simmetrica e asimmetrica, nonché sulle funzioni hash. Il soggetto provante dimostra la conoscenza del segreto, ma il segreto stesso non viene rivelato. Vengono utilizzati parametri una tantum (numeri casuali, timestamp e numeri di sequenza) per evitare trasmissioni ripetute, garantire l'unicità, l'univocità e le garanzie temporali dei messaggi trasmessi.

Autenticazione utente biometrica

Le caratteristiche biometriche più comunemente utilizzate sono:

Impronte digitali

Modello delle vene

Geometria della mano

Iris

Geometria del viso

Combinazioni di quanto sopra

Controllo degli accessi tramite schema Single Sign-On con autorizzazione Single Sign-On (SSO).

SSO consente a un utente di una rete aziendale di sottoporsi a una sola autenticazione quando accede alla rete, presentando una sola volta la password o un altro autenticatore richiesto e quindi, senza ulteriore autenticazione, ottenere l'accesso a tutte le risorse di rete autorizzate necessarie per eseguire l'operazione. lavoro. Vengono utilizzati attivamente strumenti di autenticazione digitale come token, certificati digitali PKI, smart card e dispositivi biometrici. Esempi: Kerberos, PKI, SSL.

Risposta agli incidenti di sicurezza delle informazioni

Tra i compiti che deve affrontare qualsiasi sistema di gestione della sicurezza delle informazioni, si possono identificare due dei più significativi:

Prevenzione degli incidenti

Se si verificano, risposta tempestiva e corretta

Il primo compito nella maggior parte dei casi si basa sull'acquisto di vari strumenti di sicurezza delle informazioni.

Il secondo compito dipende dal grado di preparazione dell'azienda per tali eventi:

La presenza di un team di risposta agli incidenti IS addestrato con ruoli e responsabilità già preassegnati.

Disponibilità di documentazione ben ponderata e interconnessa sulla procedura di gestione degli incidenti di sicurezza delle informazioni, in particolare sulla risposta e l'indagine sugli incidenti identificati.

Disponibilità di risorse preparate per le esigenze della squadra di risposta (strumenti di comunicazione, ..., sicurezza)

Disponibilità di una base di conoscenze aggiornata sugli incidenti di sicurezza informatica che si sono verificati

Elevato livello di consapevolezza degli utenti nel campo della sicurezza delle informazioni

Qualificazione e coordinamento del team di risposta

Il processo di gestione degli incidenti di sicurezza informatica si compone delle seguenti fasi:

Preparazione: prevenzione degli incidenti, preparazione delle squadre di risposta, sviluppo di politiche e procedure, ecc.

Rilevamento: notifica di sicurezza, notifica utente, analisi del registro di sicurezza.

Analisi: conferma che si è verificato un incidente, raccolta delle informazioni disponibili sull'incidente, identificazione delle risorse interessate e classificazione dell'incidente per sicurezza e priorità.

Risposta: fermare l'incidente e raccogliere prove, adottare misure per fermare l'incidente e preservare le informazioni basate sull'evidenza, raccogliere informazioni basate sull'evidenza, interagire con i dipartimenti interni, i partner e le parti interessate, nonché attrarre organizzazioni di esperti esterni.

Indagine: indagine sulle circostanze degli incidenti legati alla sicurezza delle informazioni, coinvolgimento di organizzazioni di esperti esterni e interazione con tutte le parti interessate, nonché con le forze dell’ordine e le autorità giudiziarie.

Ripristino: adozione di misure per chiudere le vulnerabilità che hanno portato all'incidente, eliminando le conseguenze dell'incidente, ripristinando la funzionalità dei servizi e dei sistemi interessati. Registrazione avviso di assicurazione.

Analisi dell'efficienza e modernizzazione: analisi dell'incidente, analisi dell'efficacia e modernizzazione del processo di indagine sugli incidenti di sicurezza delle informazioni e sui documenti correlati, istruzioni private. Generare un rapporto sull'indagine e sulla necessità di modernizzare il sistema di sicurezza per la gestione, raccogliere informazioni sull'incidente, aggiungerle alla base di conoscenza e archiviare i dati sull'incidente.

Un efficace sistema di gestione degli incidenti di sicurezza delle informazioni ha i seguenti obiettivi:

Garantire il significato giuridico delle informazioni probatorie raccolte sugli incidenti di sicurezza delle informazioni

Garantire la tempestività e la correttezza delle azioni per rispondere e indagare sugli incidenti di sicurezza delle informazioni

Garantire la capacità di identificare le circostanze e le cause degli incidenti di sicurezza delle informazioni al fine di modernizzare ulteriormente il sistema di sicurezza delle informazioni

Fornire indagini e supporto legale per incidenti di sicurezza delle informazioni interni ed esterni

Garantire la possibilità di perseguire gli aggressori e assicurarli alla giustizia come previsto dalla legge

Garantire la possibilità di risarcimento dei danni derivanti da un incidente di sicurezza delle informazioni in conformità con la legge

Il sistema di gestione degli incidenti di sicurezza delle informazioni generalmente interagisce e si integra con i seguenti sistemi e processi:

Gestione della sicurezza delle informazioni

Gestione dei rischi

Garantire la continuità aziendale

L'integrazione si esprime nella coerenza della documentazione e nella formalizzazione dell'ordine di interazione tra i processi (informazioni di input, output e condizioni di transizione).

Il processo di gestione degli incidenti legati alla sicurezza delle informazioni è piuttosto complesso e voluminoso. Richiede l'accumulo, l'elaborazione e l'archiviazione di un'enorme quantità di informazioni, nonché l'esecuzione di numerose attività parallele, quindi esistono molti strumenti sul mercato che consentono di automatizzare determinate attività, ad esempio i cosiddetti sistemi SIEM (informazioni sulla sicurezza e gestione degli eventi).

Chief Information Officer (CIO) - direttore della tecnologia dell'informazione

Chief Information Security Officer (CISO) – capo del dipartimento di sicurezza delle informazioni, direttore della sicurezza delle informazioni

Il compito principale dei sistemi SIEM non è solo quello di raccogliere eventi da diverse fonti, ma di automatizzare il processo di rilevamento degli incidenti con documentazione nel proprio registro o sistema esterno, nonché informando tempestivamente sull'evento. Il sistema SIEM ha i seguenti compiti:

Consolidamento e archiviazione di registri eventi da varie fonti: dispositivi di rete, applicazioni, registri del sistema operativo, strumenti di sicurezza

Presentazione di strumenti per l'analisi degli eventi e l'analisi degli incidenti

Correlazione ed elaborazione secondo le regole degli eventi accaduti

Notifica automatica e gestione degli incidenti

I sistemi SIEM sono in grado di identificare:

Attacchi di rete nei perimetri interni ed esterni

Epidemie di virus o singole infezioni virali, virus non rimossi, backdoor e trojan

Tentativi di accesso non autorizzato a informazioni riservate

Errori e malfunzionamenti nel funzionamento dell'IS

Vulnerabilità

Errori nella configurazione, nelle misure di sicurezza e nei sistemi informativi.

Principali fonti del SIEM

Controllo degli accessi e dati di autenticazione

Registri eventi di server e workstation

Apparecchiature attive in rete

1. Protezione antivirus

   Scanner di vulnerabilità

   Sistemi per la contabilizzazione dei rischi, della criticità delle minacce e della priorità degli incidenti

   Altri sistemi per la protezione e il controllo delle politiche di sicurezza delle informazioni:

   1. Sistemi DLP

      Dispositivi di controllo accessi, ecc.

Sistemi di inventario

Sistemi di contabilità del traffico

I sistemi SIEM più famosi:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

DLP ( Elaborazione digitale della luce) è una tecnologia utilizzata nei proiettori. È stato creato da Larry Hornbeck della Texas Instruments nel 1987.

Nei proiettori DLP, l'immagine viene creata da specchi microscopici disposti in una matrice su un chip semiconduttore chiamato Digital Micromirror Device (DMD). Ciascuno di questi specchi rappresenta un pixel nell'immagine proiettata.

Il numero totale di specchi indica la risoluzione dell'immagine risultante. Le dimensioni DMD più comuni sono 800x600, 1024x768, 1280x720 e 1920x1080 (per HDTV, TeleVision ad alta definizione). Nei proiettori cinematografici digitali, le risoluzioni DMD standard sono considerate 2K e 4K, che corrispondono rispettivamente a 2000 e 4000 pixel lungo il lato lungo dell'inquadratura.

Questi specchi possono essere posizionati rapidamente per riflettere la luce su una lente o su un dissipatore di calore (chiamato anche light dump). La rapida rotazione degli specchi (sostanzialmente passando da acceso a spento) consente al DMD di variare l'intensità della luce che passa attraverso l'obiettivo, creando sfumature di grigio oltre al bianco (specchio in posizione accesa) e nero (specchio in posizione spenta) ). ).

Colore nei proiettori DLP

Esistono due metodi principali per creare un'immagine a colori. Un metodo prevede l'uso di proiettori a chip singolo, l'altro a tre chip.

Proiettori a chip singolo

Visualizzazione del contenuto di un proiettore DLP a chip singolo. La freccia gialla mostra il percorso del fascio luminoso dalla lampada alla matrice, attraverso il disco filtrante, lo specchio e la lente. Il raggio viene quindi riflesso nella lente (freccia gialla) o nel radiatore (freccia blu).

Nei proiettori con un singolo chip DMD, i colori vengono prodotti posizionando un disco colorato rotante tra la lampada e il DMD, proprio come il "sistema televisivo a colori sequenziale" del Columia Broadcasting System utilizzato negli anni '50. Il disco dei colori è solitamente diviso in 4 settori: tre settori per i colori primari (rosso, verde e blu), e il quarto settore è trasparente per aumentare la luminosità.

Dato che il settore trasparente riduce la saturazione del colore, in alcuni modelli potrebbe essere del tutto assente, in altri potrebbero essere utilizzati colori aggiuntivi al posto del settore vuoto.

Il chip DMD è sincronizzato con il disco rotante in modo che la componente verde dell'immagine venga visualizzata sul DMD quando il settore verde del disco si trova nel percorso della lampada. Stessa cosa per i colori rosso e blu.

I componenti rosso, verde e blu dell'immagine vengono visualizzati alternativamente, ma con una frequenza molto elevata. Pertanto, allo spettatore sembra che un'immagine multicolore venga proiettata sullo schermo. Nei primi modelli, il disco ruotava una volta ogni fotogramma. Successivamente sono stati creati proiettori in cui il disco fa due o tre giri per fotogramma, e in alcuni proiettori il disco è diviso in un numero maggiore di settori e la tavolozza su di esso viene ripetuta due volte. Ciò significa che i componenti dell'immagine vengono visualizzati sullo schermo, sostituendosi fino a sei volte in un fotogramma.

Alcuni recenti modelli di fascia alta hanno sostituito il disco rotante dei colori con un blocco di LED molto luminosi in tre colori primari. Poiché i LED possono essere accesi e spenti molto rapidamente, questa tecnica consente di aumentare ulteriormente la frequenza di aggiornamento dei colori dell'immagine ed eliminare completamente il rumore e le parti meccaniche in movimento. Il rifiuto della lampada alogena facilita anche il funzionamento termico della matrice.

"Effetto arcobaleno"

Effetto DLP arcobaleno

L'effetto arcobaleno è esclusivo dei proiettori DLP a chip singolo.

Come già accennato, viene visualizzato un solo colore per immagine alla volta. Man mano che l'occhio si sposta sull'immagine proiettata, questi diversi colori diventano visibili, determinando la percezione di un "arcobaleno" da parte dell'occhio.

I produttori di proiettori DLP a chip singolo hanno trovato una via d'uscita da questa situazione overclockando il disco multicolore segmentato rotante o aumentando il numero di segmenti di colore, riducendo così questo artefatto.

La luce dei LED ha permesso di ridurre ulteriormente questo effetto a causa dell'elevata frequenza di commutazione tra i colori.

Inoltre, i LED possono emettere qualsiasi colore di qualsiasi intensità, il che ha aumentato la gamma e il contrasto dell'immagine.

Proiettori a tre chip

Questo tipo di proiettore DLP utilizza un prisma per dividere il raggio emesso dalla lampada e ciascuno dei colori primari viene quindi indirizzato al proprio chip DMD. Questi raggi vengono poi combinati e l'immagine viene proiettata su uno schermo.

I proiettori a triplo chip sono in grado di produrre più sfumature e gradazioni di colore rispetto ai proiettori a chip singolo perché ciascun colore è disponibile per un periodo di tempo più lungo e può essere modulato con ciascun fotogramma video. Inoltre, l'immagine non è affatto soggetta allo sfarfallio e all'“effetto arcobaleno”.

Dolby Digital Cinema 3D

Infitec ha sviluppato filtri spettrali per il disco rotante e gli occhiali, consentendo la proiezione di fotogrammi per occhi diversi in diversi sottoinsiemi dello spettro. Di conseguenza, ciascun occhio vede la propria immagine, quasi a colori, su un normale schermo bianco, in contrasto con i sistemi con polarizzazione dell'immagine proiettata (come IMAX), che richiedono uno speciale schermo "argentato" per mantenere la polarizzazione durante la riflessione. .

Guarda anche

Aleksej Borodin Tecnologia DLP. Portale ixbt.com (05-12-2000). Archiviata dall'originale il 14 maggio 2012.

Fondazione Wikimedia. 2010.

Scopri cos'è "DLP" in altri dizionari:

DLP- Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tecnología usada en proyectores y televisores de proyección. Il DLP è stato originariamente sviluppato da Texas Instruments, e continua a farlo... ... Wikipedia in spagnolo

DLP- è un'abbreviazione di tre lettere con molteplici significati, come descritto di seguito: Tecnologia Data Loss Prevention è un campo della sicurezza informatica Digital Light Processing, una tecnologia utilizzata nei proiettori e videoproiettori Problema del logaritmo discreto,… … Wikipedia

Offriamo una gamma di marcatori per aiutarti a ottenere il massimo da qualsiasi sistema DLP.

DLP-sistemi: di cosa si tratta?

Ricordiamo che i sistemi DLP (Data Loss/Leak Prevention) consentono di controllare tutti i canali di comunicazione della rete aziendale (posta, Internet, sistemi di messaggistica istantanea, chiavette, stampanti, ecc.). La protezione contro la fuga di informazioni si ottiene installando agenti su tutti i computer dei dipendenti, che raccolgono informazioni e le trasmettono al server. Talvolta le informazioni vengono raccolte tramite un gateway utilizzando tecnologie SPAN. Le informazioni vengono analizzate, dopodiché il sistema o il responsabile della sicurezza prende decisioni sull'incidente.

Quindi, la tua azienda ha implementato un sistema DLP. Quali misure devono essere adottate affinché il sistema funzioni in modo efficace?

1. Configurare correttamente le regole di sicurezza

Immaginiamo che in un sistema che serve 100 computer sia stata creata una regola “Correggi tutta la corrispondenza con la parola “accordo”.” Tale regola provocherà un numero enorme di incidenti, in cui una vera fuga di notizie potrebbe andare perduta.

Inoltre, non tutte le aziende possono permettersi di avere uno staff completo di dipendenti che monitorano gli incidenti.

Gli strumenti per creare regole efficaci e monitorare i risultati del loro lavoro contribuiranno ad aumentare l'utilità delle regole. Ogni sistema DLP dispone di funzionalità che ti consentono di farlo.

In generale, la metodologia prevede l'analisi del database accumulato degli incidenti e la creazione di varie combinazioni di regole che idealmente portano alla comparsa di 5-6 incidenti veramente urgenti al giorno.

2. Aggiornare le norme di sicurezza a intervalli regolari

Una forte diminuzione o aumento del numero di incidenti è un indicatore della necessità di adeguamenti alle regole. Le ragioni potrebbero essere che la regola ha perso la sua rilevanza (gli utenti hanno smesso di accedere a determinati file) oppure i dipendenti hanno appreso la regola e non eseguono più azioni vietate dal sistema (DLP - sistema di apprendimento). Tuttavia, la pratica dimostra che se si apprende una regola, in un luogo vicino aumentano i potenziali rischi di perdite.

Dovresti anche prestare attenzione alla stagionalità nel funzionamento dell'impresa. Durante l’anno, i parametri chiave relativi alle specificità del lavoro dell’azienda potrebbero cambiare. Ad esempio, per un fornitore all'ingrosso di piccole attrezzature, le biciclette saranno rilevanti in primavera e gli scooter da neve in autunno.

3. Considera un algoritmo per rispondere agli incidenti

Esistono diversi approcci alla risposta agli incidenti. Durante il test e l'esecuzione dei sistemi DLP, molto spesso le persone non vengono informate delle modifiche. I partecipanti agli incidenti vengono solo osservati. Quando si è accumulata una massa critica, un rappresentante del dipartimento di sicurezza o del dipartimento delle risorse umane comunica con loro. In futuro, il lavoro con gli utenti sarà spesso lasciato ai rappresentanti del dipartimento di sicurezza. Sorgono mini-conflitti e la negatività si accumula nella squadra. Può sfociare in un sabotaggio deliberato dei dipendenti nei confronti dell'azienda. È importante mantenere un equilibrio tra i requisiti di disciplina e il mantenimento di un'atmosfera sana nella squadra.

4. Controllare il funzionamento della modalità di blocco

Esistono due modalità di risposta a un incidente nel sistema: fissazione e blocco. Se ogni operazione di invio di una lettera o di allegato di un file allegato a un'unità flash viene bloccata, ciò crea problemi all'utente. I dipendenti spesso attaccano l'amministratore di sistema chiedendo di sbloccare alcune funzioni; anche la direzione potrebbe essere insoddisfatta di tali impostazioni. Di conseguenza, il sistema DLP e l’azienda ricevono feedback negativi, il sistema viene screditato e smascherato.

5. Verificare se è stato introdotto il regime del segreto commerciale

Fornisce la possibilità di rendere riservate determinate informazioni e obbliga inoltre chiunque ne venga a conoscenza ad assumersi la piena responsabilità legale della loro divulgazione. In caso di grave fuga di informazioni nell'ambito dell'attuale regime di segreto commerciale dell'impresa, al trasgressore può essere risarcito l'importo del danno reale e morale attraverso il tribunale in conformità con 98-FZ "Sui segreti commerciali".

Ci auguriamo che questi suggerimenti contribuiscano a ridurre il numero di fughe di notizie involontarie nelle aziende, perché sono proprio queste che i sistemi DLP sono progettati per combattere con successo. Tuttavia, non dobbiamo dimenticare il sistema completo di sicurezza delle informazioni e il fatto che le fughe di informazioni intenzionali richiedono un'attenzione speciale e attenta. Esistono soluzioni moderne che possono integrare la funzionalità dei sistemi DLP e ridurre significativamente il rischio di perdite intenzionali. Ad esempio, uno degli sviluppatori offre una tecnologia interessante: quando si accede con una frequenza sospetta a file riservati, la webcam si accende automaticamente e inizia a registrare. È stato questo sistema che ha permesso di registrare come lo sfortunato ladro stava attivamente catturando screenshot utilizzando una fotocamera mobile.

Oleg Necheukhin, esperto di protezione dei sistemi informativi, Kontur.Security

Oggi puoi spesso sentire parlare di tecnologie come i sistemi DLP. Cos'è un sistema del genere? come si puó usare? Per sistemi DLP si intendono software progettati per prevenire la perdita di dati rilevando possibili violazioni durante il filtraggio e l'invio. Questi servizi inoltre monitorano, rilevano e bloccano le informazioni riservate durante il loro utilizzo, spostamento e archiviazione. La perdita di informazioni riservate, di norma, si verifica a causa del funzionamento dell'apparecchiatura da parte di utenti inesperti o di azioni dannose.

Tali informazioni sotto forma di informazioni aziendali o private, proprietà intellettuale, informazioni mediche e finanziarie, informazioni sulle carte di credito richiedono misure di protezione speciali che le moderne tecnologie informatiche possono offrire. I casi di perdita di informazioni si trasformano in fughe di informazioni quando una fonte contenente informazioni riservate scompare e finisce nelle mani di un soggetto non autorizzato. La fuga di informazioni è possibile senza perdita.

Convenzionalmente, i mezzi tecnologici utilizzati per combattere la fuga di informazioni possono essere suddivisi nelle seguenti categorie:

— misure di sicurezza standard;
— misure intellettuali (avanzate);
— controllo degli accessi e crittografia;
— sistemi DLP specializzati.

Misure standard

Le misure di sicurezza standard includono firewall, sistemi di rilevamento delle intrusioni (IDS) e software antivirus. Proteggono il computer da attacchi esterni e interni. COSÌ. Ad esempio, il collegamento di un firewall impedisce agli estranei di accedere alla rete interna. Un sistema di rilevamento delle intrusioni può rilevare i tentativi di intrusione. Per prevenire attacchi interni, puoi utilizzare programmi antivirus che rilevano i cavalli di Troia installati sul tuo PC. È inoltre possibile utilizzare servizi specializzati che operano in un'architettura client-server senza che alcuna informazione riservata o personale venga archiviata nel computer.

Ulteriori misure di sicurezza

Ulteriori misure di sicurezza utilizzano servizi altamente specializzati e algoritmi di temporizzazione progettati per rilevare accessi anomali ai dati, in particolare ai database e ai sistemi di recupero delle informazioni. Tali protezioni possono anche rilevare scambi anomali di e-mail. Tali moderne tecnologie informatiche identificano richieste e programmi con intenti dannosi ed effettuano controlli approfonditi dei sistemi informatici, come il riconoscimento dei suoni degli altoparlanti o dei tasti premuti. Alcuni servizi di questo tipo sono addirittura in grado di monitorare l'attività dell'utente per rilevare accessi insoliti ai dati.

Cosa sono i sistemi DLP personalizzati?

Le soluzioni DLP progettate per proteggere le informazioni sono progettate per rilevare e prevenire tentativi non autorizzati di copiare e trasmettere informazioni sensibili senza autorizzazione o accesso da parte di utenti autorizzati ad accedere alle informazioni sensibili. Per classificare informazioni di un certo tipo e regolarne l'accesso, questi sistemi utilizzano meccanismi come la corrispondenza esatta dei dati, metodi statistici, impronte digitali strutturate, ricezione di espressioni e regole regolari, pubblicazione di frasi in codice, parole chiave e definizioni concettuali. Diamo un'occhiata alle principali tipologie e caratteristiche dei sistemi DLP.

DLP di rete

Questo sistema è in genere una soluzione hardware o software installata nei punti di rete che hanno origine vicino al perimetro. Tale sistema analizza il traffico di rete per rilevare informazioni riservate inviate in violazione delle politiche di sicurezza delle informazioni.

DLP per endpoint

Sistemi di questo tipo operano su workstation o server degli utenti finali nelle organizzazioni. Un endpoint, come in altri sistemi di rete, può affrontare comunicazioni sia interne che esterne e può quindi essere utilizzato per controllare il flusso di informazioni tra tipologie e gruppi di utenti. Sono anche in grado di monitorare la messaggistica istantanea e la posta elettronica. Ciò avviene come segue: prima che i dati del messaggio vengano scaricati sul dispositivo, vengono controllati dal servizio. In caso di richiesta sfavorevole i messaggi verranno bloccati. Pertanto, non vengono corretti e non sono soggetti alle regole per la memorizzazione delle informazioni sul dispositivo.

Il vantaggio di un sistema DLP è che può controllare e gestire l'accesso ai dispositivi fisici, nonché accedere alle informazioni prima che vengano crittografate. Alcuni sistemi che funzionano sulla base delle perdite finali possono anche fornire il controllo dell'applicazione per bloccare i tentativi di trasmettere informazioni sensibili e fornire un feedback immediato all'utente. Lo svantaggio di tali sistemi è che devono essere installati su ogni postazione di lavoro della rete e non possono essere utilizzati su dispositivi mobili come PDA o telefoni cellulari. Questa circostanza deve essere presa in considerazione quando si scelgono i sistemi DLP per eseguire determinate attività.

Identificazione dei dati

I sistemi DLP contengono diversi metodi volti a identificare informazioni riservate e classificate. Questo processo viene spesso confuso con la procedura di decodifica delle informazioni. Tuttavia, l'identificazione delle informazioni è il processo mediante il quale le organizzazioni utilizzano la tecnologia DLP per determinare cosa cercare. In questo caso i dati vengono classificati come strutturati o non strutturati. Il primo tipo di dati viene archiviato in campi fissi all'interno di un file, ad esempio un foglio di calcolo. I dati non strutturati si riferiscono al testo in formato libero. Secondo le stime degli esperti, l’80% di tutte le informazioni elaborate possono essere classificate come dati non strutturati. Di conseguenza, solo il 20% della quantità totale di informazioni è strutturata. Per classificare le informazioni viene utilizzata l'analisi del contenuto, che si concentra su informazioni strutturate e analisi contestuale. Viene effettuato nel luogo in cui è stata creata l'applicazione o il sistema in cui sono apparse le informazioni. Pertanto, la risposta alla domanda “cosa sono i sistemi DLP” può essere la definizione di un algoritmo di analisi delle informazioni.

Metodi

I metodi per descrivere i contenuti sensibili utilizzati oggi nei sistemi DLP sono molto numerosi. Convenzionalmente, possono essere suddivisi in due categorie: accurati e imprecisi. Accurati sono i metodi associati all'analisi del contenuto e riducono praticamente a zero tutte le risposte false positive alle query. Altri metodi sono imprecisi. Questi includono analisi statistiche, analisi bayesiana, meta tag, espressioni regolari avanzate, parole chiave, dizionari, ecc. L’efficacia dell’analisi dei dati dipenderà direttamente dalla sua accuratezza. Un sistema DLP con una valutazione elevata ha prestazioni elevate in questo parametro. La precisione dell'identificazione DLP è importante per evitare falsi positivi e altre conseguenze negative. La precisione dipende da molti fattori, che possono essere tecnologici o situazionali. I test di precisione aiutano a garantire l'affidabilità del sistema DLP.

Rilevamento e prevenzione della fuga di informazioni

In alcuni casi, la fonte di distribuzione dei dati rende disponibili a terzi informazioni sensibili. Alcuni di questi dati verranno probabilmente ritrovati dopo un po' di tempo in una posizione non autorizzata, ad esempio sul laptop di un altro utente o su Internet. I sistemi DLP, il cui costo viene fornito dagli sviluppatori su richiesta, possono variare da diverse decine a diverse migliaia di rubli. I sistemi DLP devono indagare su come i dati sono stati divulgati da una o più terze parti, se ciò è stato fatto in modo indipendente o se le informazioni sono state divulgate con altri mezzi.

Dati a riposo

La descrizione "dati inattivi" si riferisce a vecchie informazioni archiviate archiviate su uno qualsiasi dei dischi rigidi del personal computer client, su un file server remoto o su un'unità di archiviazione di rete. Questa definizione si applica anche ai dati archiviati in un sistema di backup su CD o unità flash. Tali informazioni sono di grande interesse per le agenzie governative o le imprese, poiché una grande quantità di dati viene archiviata inutilizzata nei dispositivi di memoria. In questo caso c'è un'alta probabilità che l'accesso alle informazioni venga ottenuto da persone non autorizzate esterne alla rete.