kancboom.ru

Revizuirea sistemelor Dlp. Tehnologia DLP. Scurtă istorie a creației

Despre problema Astăzi, tehnologia informației este o componentă importantă a oricărei organizații moderne. Figurat vorbind, tehnologia informației este inima întreprinderii, care menține performanța afacerii și crește eficiența și competitivitatea acesteia în condițiile unei concurențe moderne, acerbe.Sisteme de automatizare a proceselor de afaceri, precum fluxul de documente, sistemele CRM, sistemele ERP, sistemele multidimensionale de analiză și planificare permit colectarea rapidă a informațiilor, sistematizarea și gruparea acestora, accelerând procesele de luare a deciziilor de management și asigurând transparența proceselor de afaceri și de afaceri pentru management și acționari.Devine evident că o cantitate mare de date strategice, confidențiale și personale reprezintă un un activ informațional important al întreprinderii și consecințele scurgerii acestor informații vor afecta eficiența organizației.Utilizarea măsurilor de securitate tradiționale de astăzi, cum ar fi antivirusurile și firewall-urile, îndeplinesc funcțiile de protecție a activelor informaționale de amenințările externe, dar nu nu asigură în nici un fel protecția activelor informaționale împotriva scurgerii, distorsiunii sau distrugerii de către un atacator intern.Amenințările interne la adresa securității informațiilor pot rămâne ignorate sau, în unele cazuri, neobservate de conducere din cauza lipsei de înțelegere a criticității acestor amenințări. la afaceri.Este din acest motiv protecția datelor confidențiale atât de important astăzi. Despre solutie Protejarea informațiilor confidențiale împotriva scurgerilor este o componentă importantă a complexului de securitate a informațiilor unei organizații. Sistemele DLP (sistem de protecție împotriva scurgerilor de date) sunt concepute pentru a rezolva problema scurgerii accidentale și intenționate de date confidențiale.

Sistem cuprinzător de protecție împotriva scurgerilor de date (sistem DLP) sunt un complex software sau hardware-software care previne scurgerea datelor confidențiale.

Este realizat de sistemul DLP folosind următoarele funcții principale:

  • Filtrarea traficului pe toate canalele de transmisie a datelor;
  • Analiză profundă a traficului la nivel de conținut și context.
Protejarea informațiilor confidențiale într-un sistem DLP realizat la trei niveluri: Data-in-Motion, Data-at-Rest, Data-in-Use.

Date în mișcare– date transmise pe canalele de rețea:

  • Web (protocoale HTTP/HTTPS);
  • Internet - mesagerie instant (ICQ, QIP, Skype, MSN etc.);
  • Poștă corporativă și personală (POP, SMTP, IMAP etc.);
  • Sisteme wireless (WiFi, Bluetooth, 3G etc.);
  • conexiuni FTP.
Date în repaus– date stocate static pe:
  • Servere;
  • Posturi de lucru;
  • laptopuri;
  • Sisteme de stocare a datelor (DSS).
Date în uz– date utilizate pe stațiile de lucru.

Măsuri care vizează prevenirea scurgerilor de informații constă din două părți principale: organizatorică și tehnică.

Protejarea informațiilor confidențiale include măsuri organizatorice de căutare și clasificare a datelor disponibile în companie. În timpul procesului de clasificare, datele sunt împărțite în 4 categorii:

  • Informații secrete;
  • Informații confidențiale;
  • Informații pentru uz oficial;
  • Informatii publice.
Cum se determină informațiile confidențiale în sistemele DLP.

În sistemele DLP, informațiile confidențiale pot fi determinate de o serie de caracteristici diferite, precum și în diferite moduri, de exemplu:

  • Analiza informatiilor lingvistice;
  • Analiza statistica a informatiilor;
  • Expresii regulate (modele);
  • Metoda amprentei digitale etc.
După ce informațiile au fost găsite, grupate și sistematizate, urmează a doua parte organizatorică - cea tehnică.

Masuri tehnice:
Protecția informațiilor confidențiale folosind măsuri tehnice se bazează pe utilizarea funcționalității și tehnologiilor sistemului de protecție a scurgerilor de date. Sistemul DLP include două module: un modul gazdă și un modul de rețea.

Module gazdă sunt instalate pe stațiile de lucru ale utilizatorului și asigură controlul asupra acțiunilor efectuate de utilizator în legătură cu datele clasificate (informații confidențiale). În plus, modulul gazdă vă permite să urmăriți activitatea utilizatorului după diverși parametri, cum ar fi timpul petrecut pe Internet, aplicațiile lansate, procesele și căile de date etc.

Modul de rețea efectuează analiza informațiilor transmise prin rețea și controlează traficul care depășește sistemul informațional protejat. Dacă în traficul transmis sunt detectate informații confidențiale, modulul de rețea oprește transmiterea datelor.

Ce va oferi implementarea unui sistem DLP?

După implementarea unui sistem de protecție împotriva scurgerilor de date, compania va primi:

  • Protecția activelor informaționale și a informațiilor strategice importante ale companiei;
  • Date structurate si sistematizate in organizatie;
  • Transparența proceselor de afaceri și de afaceri pentru servicii de management și securitate;
  • Controlul proceselor de transfer de date confidențiale în companie;
  • Reducerea riscurilor asociate cu pierderea, furtul și distrugerea informațiilor importante;
  • Protecție împotriva pătrunderii malware în organizație din interior;
  • Salvarea și arhivarea tuturor acțiunilor legate de mișcarea datelor în cadrul sistemului informațional;
Avantajele secundare ale sistemului DLP:
  • Monitorizarea prezenței personalului la locul de muncă;
  • Economisirea traficului pe Internet;
  • Optimizarea rețelei corporative;
  • Controlul aplicațiilor utilizate de utilizator;
  • Creșterea eficienței personalului.

(Prevenirea pierderilor de date)

Sisteme de monitorizare a acțiunilor utilizatorilor, un sistem de protecție a datelor confidențiale de amenințările interne.

Sistemele DLP sunt folosite pentru a detecta și a preveni transferul de date confidențiale în diferite etape. (în timpul mișcării, utilizării și depozitării). Sistemul DLP permite:

    Controlați munca utilizatorilor, prevenind pierderea necontrolată a timpului de lucru în scopuri personale.

    În mod automat, neobservat de utilizator, înregistrează toate acțiunile, inclusiv e-mailuri trimise și primite, chat-uri și mesagerie instantanee, rețele sociale, site-uri web vizitate, date tastate pe tastatură, fișiere transferate, tipărite și salvate etc.

    Monitorizați utilizarea jocurilor pe calculator la locul de muncă și luați în considerare timpul de lucru petrecut pe jocuri pe calculator.

    Monitorizați activitatea în rețea a utilizatorilor, luați în considerare volumul traficului de rețea

    Controlați copierea documentelor pe diverse medii (medii amovibile, hard disk, foldere de rețea etc.)

    Controlați imprimarea în rețea a utilizatorului

    Înregistrați solicitările utilizatorilor către motoarele de căutare etc.

    Data-in-motion - date in motion - mesaje e-mail, transfer de trafic web, fisiere etc.

    Data-in-rest - date stocate - informații despre stații de lucru, servere de fișiere, dispozitive USB etc.

    Date în uz - date în uz - informații în curs de prelucrare.

Arhitectura soluțiilor DLP poate varia între diferiți dezvoltatori, dar în general există 3 tendințe principale:

    Interceptoare și controlere pentru diferite canale de transmitere a informațiilor. Interceptorii analizează fluxurile de informații care trec din perimetrul companiei, detectează datele confidențiale, clasifică informațiile și le transmit serverului de management pentru procesarea unui posibil incident. Controloarele de descoperire a datelor în repaus rulează procese de descoperire pe resursele rețelei pentru informații sensibile. Controlorii pentru operațiunile pe stațiile de lucru distribuie politicile de securitate către dispozitivele finale (calculatoare), analizează rezultatele activităților angajaților cu informații confidențiale și transmit posibile date de incident către serverul de management.

    Programe agent instalate pe dispozitivele finale: observați procesarea datelor confidențiale și monitorizați conformitatea cu reguli precum salvarea informațiilor pe suporturi amovibile, trimiterea, imprimarea, copierea prin clipboard.

    Server de management central – compară informațiile primite de la interceptori și controlori și oferă o interfață pentru procesarea incidentelor și generarea de rapoarte.

Soluțiile DLP oferă o gamă largă de metode combinate de descoperire a informațiilor:

    Imprimări digitale ale documentelor și părților acestora

    Amprentele digitale ale bazelor de date și ale altor informații structurate care sunt importante de protejat împotriva distribuției

    Metode statistice (creșterea sensibilității sistemului atunci când încălcările sunt repetate).

Când se operează sisteme DLP, mai multe proceduri sunt de obicei efectuate ciclic:

    Instruirea sistemului în principiile clasificării informațiilor.

    Introducerea regulilor de răspuns în raport cu categoria de informații detectate și grupurile de angajați ale căror acțiuni ar trebui monitorizate. Utilizatorii de încredere sunt evidențiați.

    Executarea unei operațiuni de control de către sistemul DLP (sistemul analizează și normalizează informațiile, realizează o comparație cu principiile de detectare și clasificare a datelor, iar atunci când sunt detectate informații confidențiale, sistemul le compară cu politicile existente atribuite categoriei de informații detectate și, dacă este necesar, creează un incident)

    Procesarea incidentelor (de exemplu, informarea, întreruperea sau blocarea trimiterii).

Caracteristici de creare și operare a unui VPN din punct de vedere al securității

Opțiuni pentru construirea unui VPN:

    Bazat pe sisteme de operare în rețea

    Bazat pe router

    Bazat pe ITU

    Bazat pe software și hardware specializat

    Bazat pe software specializat

Pentru ca VPN să funcționeze corect și în siguranță, trebuie să înțelegeți elementele de bază ale interacțiunii dintre VPN și firewall-uri:

    VPN-urile sunt capabile să creeze tuneluri de comunicații end-to-end care trec prin perimetrul rețelei și, prin urmare, sunt extrem de problematice în ceea ce privește controlul accesului din firewall, căruia îi este dificil să analizeze traficul criptat.

    Datorită capacităților sale de criptare, VPN-urile pot fi folosite pentru a ocoli sistemele IDS care nu pot detecta intruziunile de la canalele de comunicații criptate.

    În funcție de arhitectura rețelei, este posibil ca caracteristica importantă de traducere a adresei de rețea (NAT) să nu fie compatibilă cu unele implementări VPN etc.

În esență, atunci când ia decizii cu privire la implementarea componentelor VPN într-o arhitectură de rețea, un administrator poate fie să aleagă VPN-ul ca dispozitiv extern autonom, fie să aleagă să integreze VPN-ul în firewall pentru a oferi ambele funcții într-un singur sistem.

    ITU + VPN separat. Opțiuni de găzduire VPN:

    1. În interiorul DMZ, între firewall și router-ul de frontieră

      În interiorul rețelei protejate pe adaptoarele de rețea ITU

      În interiorul rețelei ecranate, în spatele firewall-ului

      În paralel cu ITU, la punctul de intrare în rețeaua protejată.

    Firewall + VPN, găzduit ca o singură unitate - o astfel de soluție integrată este mai convenabilă pentru suport tehnic decât opțiunea anterioară, nu provoacă probleme asociate cu NAT (traducere adrese de rețea) și oferă un acces mai fiabil la date, pentru care firewall-ul este responsabil. Dezavantajul unei soluții integrate este costul inițial ridicat al achiziționării unui astfel de instrument, precum și opțiunile limitate pentru optimizarea componentelor VPN și Firewall corespunzătoare (adică, implementările ITU cele mai satisfăcătoare pot să nu fie potrivite pentru construirea de componente VPN pe lor. VPN poate avea un impact semnificativ asupra performanței rețelei, iar latența poate apărea în următoarele faze:

    1. Când se stabilește o conexiune sigură între dispozitivele VPN (autentificare, schimb de chei etc.)

      Întârzieri asociate cu criptarea și decriptarea datelor protejate, precum și transformările necesare pentru a controla integritatea acestora

      Întârzieri asociate cu adăugarea unui nou antet la pachetele transmise

Securitate e-mail

Principalele protocoale de e-mail: (E)SMTP, POP, IMAP.

SMTP - protocol simplu de transfer de e-mail, portul TCP 25, fără autentificare. SMTP extins - a fost adăugată autentificarea clientului.

POP - Post Office Protocol 3 - primirea e-mailurilor de la server. Autentificare cu text clar. APOP - cu capacitate de autentificare.

IMAP - Internet Message Access Protocol - este un protocol de e-mail necriptat care combină proprietățile POP3 și IMAP. Vă permite să lucrați direct cu căsuța poștală, fără a fi nevoie să descărcați scrisori pe computer.

Din cauza lipsei oricăror mijloace normale de criptare a informațiilor, am decis să folosim SSL pentru a cripta datele acestor protocoale. De aici au apărut următoarele soiuri:

POP3 SSL - portul 995, SMTP SSL (SMTPS) portul 465, IMAP SSL (IMAPS) - portul 993, toate TCP.

Un atacator care lucrează cu un sistem de e-mail poate urmări următoarele obiective:

    Atacarea computerului unui utilizator prin trimiterea de viruși de e-mail, trimiterea de e-mailuri false (falsificarea adresei expeditorului în SMTP este o sarcină banală), citirea e-mailurilor altor persoane.

    Un atac asupra unui server de e-mail care utilizează e-mailul cu scopul de a pătrunde în sistemul său de operare sau de a refuza serviciul

    Utilizarea unui server de e-mail ca releu atunci când trimiteți mesaje nesolicitate (spam)

    Interceptarea parolei:

    1. Interceptarea parolelor în sesiunile POP și IMAP, în urma căreia un atacator poate primi și șterge e-mailuri fără știrea utilizatorului

      Interceptarea parolelor în sesiunile SMTP - în urma căreia un atacator poate fi autorizat ilegal să trimită e-mail prin acest server

Pentru a rezolva problemele de securitate cu protocoalele POP, IMAP și SMTP, cel mai des este utilizat protocolul SSL, care vă permite să criptați întreaga sesiune de comunicare. Dezavantaj: SSL este un protocol care consumă mult resurse, care poate încetini semnificativ comunicarea.

Spam-ul și lupta împotriva acestuia

Tipuri de spam fraudulos:

    Loterie - o notificare entuziastă a câștigurilor la loterie la care destinatarul mesajului nu a participat. Tot ce trebuie să faceți este să vizitați site-ul web corespunzător și să introduceți numărul de cont și codul PIN al cardului, care se presupune că sunt necesare pentru a plăti serviciile de livrare.

    Licitațiile - acest tip de înșelăciune constă în absența bunurilor pe care escrocii le vând. După ce a plătit, clientul nu primește nimic.

    Phishingul este o scrisoare care conține un link către o resursă în care doresc să furnizezi date etc. Atragerea utilizatorilor creduli sau neatenți ai datelor personale și confidențiale. Escrocii trimit o mulțime de scrisori, deghizate de obicei în scrisori oficiale de la diverse instituții, care conțin link-uri care duc la site-uri de momeală care copiază vizual site-urile băncilor, magazinelor și altor organizații.

    Frauda poștală este recrutarea de personal pentru o companie care se presupune că are nevoie de un reprezentant în orice țară care se poate ocupa de trimiterea mărfurilor sau de transferul de bani către o companie străină. De regulă, schemele de spălare a banilor sunt ascunse aici.

    Scrisori nigeriene - cereți să depuneți o sumă mică înainte de a primi bani.

    Scrisori de fericire

Spamul poate fi în masă sau vizat.

Spam-ul în vrac nu are ținte specifice și folosește tehnici frauduloase de inginerie socială împotriva unui număr mare de persoane.

Spam-ul vizat este o tehnică care vizează o anumită persoană sau organizație, în care atacatorul acționează în numele directorului, administratorului sau altui angajat al organizației în care lucrează victima sau atacatorul reprezintă o companie cu care organizația țintă a înființat un relație de încredere.

Colectarea adreselor se realizează prin selectarea numelor proprii, a cuvintelor frumoase din dicționare, a combinațiilor frecvente de cuvinte-număr, a metodei de analogie, a scanării tuturor surselor de informații disponibile (săli de chat, forumuri etc.), a furtului bazelor de date etc.

Adresele primite se verifică (se verifică dacă sunt valide) prin trimiterea unui mesaj de testare, plasând în textul mesajului un link unic către o poză cu contor de descărcare sau un link „dezabonare de la mesajele spam”.

Ulterior, spam-ul este trimis fie direct de la serverele închiriate, fie de la servicii de e-mail legitime configurate incorect, fie prin instalarea ascunsă a software-ului rău intenționat pe computerul utilizatorului.

Atacatorul complică munca filtrelor anti-spam prin introducerea de texte aleatorii, zgomot sau texte invizibile, folosind litere grafice sau schimbarea literelor grafice, imagini fragmentate, inclusiv utilizarea animației și texte prefrazante.

Metode anti-spam

Există 2 metode principale de filtrare a spamului:

    Filtrarea după caracteristicile formale ale unui mesaj de e-mail

    Filtrați după conținut

    Metoda formală

    1. Fragmentarea pe liste: negru, alb și gri. Listele gri sunt o metodă de blocare temporară a mesajelor cu combinații necunoscute de adresă de e-mail și adresa IP a serverului de trimitere. Când prima încercare se termină într-un eșec temporar (de regulă, programele de spammer nu retrimit scrisoarea). Dezavantajul acestei metode este posibilul interval de timp lung între trimiterea și primirea unui mesaj legal.

      Verificarea dacă mesajul a fost trimis de pe un server de e-mail real sau fals (fals) din domeniul specificat în mesaj.

      „Callback” - la primirea unei conexiuni de intrare, serverul de primire întrerupe sesiunea și simulează o sesiune de lucru cu serverul care trimite. Dacă încercarea eșuează, conexiunea suspendată este întreruptă fără procesare ulterioară.

      Filtrarea după caracteristicile formale ale scrisorii: adresele expeditorului și destinatarului, dimensiunea, prezența și numărul de atașamente, adresa IP a expeditorului etc.

    Metode lingvistice - lucrul cu conținutul scrisorii

    1. Recunoașterea după conținutul scrisorii - se verifică prezența semnelor de conținut spam în scrisoare: un anumit set și distribuția unor fraze specifice în întreaga scrisoare.

      Recunoaștere prin mostre de litere (metodă de filtrare bazată pe semnături, inclusiv semnături grafice)

      Filtrarea bayesiană este strict filtrare de cuvinte. Când se verifică o scrisoare primită, probabilitatea ca aceasta să fie spam este calculată pe baza procesării textului, care include calcularea „greutății” medii a tuturor cuvintelor dintr-o anumită scrisoare. O scrisoare este clasificată ca spam sau nu spam în funcție de faptul dacă greutatea sa depășește un anumit prag specificat de utilizator. După ce se ia o decizie asupra unei scrisori, „greutățile” pentru cuvintele incluse în aceasta sunt actualizate în baza de date.

Autentificare în sisteme informatice

Procesele de autentificare pot fi împărțite în următoarele categorii:

    Dar pe baza cunoștințelor despre ceva (PIN, parolă)

    Pe baza deținerii a ceva (card inteligent, cheie USB)

    Nu se bazează pe caracteristici inerente (caracteristici biometrice)

Tipuri de autentificare:

    Autentificare simplă folosind parole

    Autentificare puternică folosind verificări multifactoriale și metode criptografice

    Autentificare biometrică

Principalele atacuri asupra protocoalelor de autentificare sunt:

    „Masquerade” - atunci când un utilizator încearcă să se uzurpea identitatea altui utilizator

    Retransmitere - atunci când o parolă interceptată este trimisă în numele altui utilizator

    Întârziere forțată

Pentru a preveni astfel de atacuri, se folosesc următoarele tehnici:

    Mecanisme precum provocare-răspuns, marcaje temporale, numere aleatorii, semnături digitale etc.

    Conectarea rezultatului autentificării la acțiunile ulterioare ale utilizatorului în cadrul sistemului.

    Efectuarea periodică a procedurilor de autentificare în cadrul unei sesiuni de comunicare deja stabilite.

    Autentificare simplă

    1. Autentificare bazată pe parole reutilizabile

      Autentificare bazată pe parole unice - OTP (o singură parolă) - parolele unice sunt valabile doar pentru o singură autentificare și pot fi generate folosind un token OTP. Pentru aceasta se folosește cheia secretă a utilizatorului, aflată atât în ​​interiorul jetonului OTP, cât și pe serverul de autentificare.

    Autentificarea strictă implică partea care dovedește să-și demonstreze autenticitatea părții care se bazează prin demonstrarea cunoașterii unui anumit secret. Se întâmplă:

    1. Unilateral

      Cu două fețe

      Tripartit

Poate fi realizat pe baza de carduri inteligente sau chei USB sau criptografie.

Autentificarea puternică poate fi implementată folosind un proces de verificare cu doi sau trei factori.

În cazul autentificării în doi factori, utilizatorul trebuie să dovedească că cunoaște parola sau codul PIN și că are un anumit identificator personal (smart card sau cheie USB).

Autentificarea cu trei factori necesită ca utilizatorul să furnizeze un alt tip de identificare, cum ar fi biometria.

Autentificarea puternică folosind protocoale criptografice se poate baza pe criptarea simetrică și asimetrică, precum și pe funcții hash. Partea care dovedește dovedește cunoașterea secretului, dar secretul în sine nu este dezvăluit. Parametrii unici sunt utilizați (numere aleatorii, marcaje temporale și numere de secvență) pentru a evita transmiterea repetată, pentru a asigura unicitatea, lipsa de ambiguitate și garanțiile de timp ale mesajelor transmise.

Autentificare biometrică a utilizatorului

Cele mai frecvent utilizate caracteristici biometrice sunt:

    Amprentele digitale

    Modelul venelor

    Geometria mâinii

    Iris

    Geometria facială

    Combinații ale celor de mai sus

Controlul accesului folosind o schemă de conectare unică cu autorizare SSO (Single Sign-On).

SSO permite unui utilizator al unei rețele corporative să treacă printr-o singură autentificare atunci când se conectează la rețea, prezentând o singură parolă sau alt autentificator necesar și apoi, fără autentificare suplimentară, să obțină acces la toate resursele de rețea autorizate care sunt necesare pentru a efectua loc de munca. Instrumentele de autentificare digitală, cum ar fi jetoanele, certificatele digitale PKI, cardurile inteligente și dispozitivele biometrice sunt utilizate în mod activ. Exemple: Kerberos, PKI, SSL.

Răspuns la incidentele de securitate a informațiilor

Dintre sarcinile cu care se confruntă orice sistem de management al securității informațiilor, două dintre cele mai semnificative pot fi identificate:

    Prevenirea incidentelor

    Dacă apar, răspuns corect și în timp util

Prima sarcină în majoritatea cazurilor se bazează pe achiziționarea diferitelor instrumente de securitate a informațiilor.

A doua sarcină depinde de gradul de pregătire al companiei pentru astfel de evenimente:

        Prezența unei echipe de răspuns la incidente IS instruite, cu roluri și responsabilități deja prestabilite.

        Disponibilitatea unei documentații bine gândite și interconectate privind procedura de gestionare a incidentelor de securitate a informațiilor, în special, răspunsul și investigarea incidentelor identificate.

        Disponibilitatea resurselor pregătite pentru nevoile echipei de răspuns (instrumente de comunicare, ..., sigure)

        Disponibilitatea unei baze de cunoștințe actualizate cu privire la incidentele de securitate a informațiilor care au avut loc

        Nivel ridicat de conștientizare a utilizatorilor în domeniul securității informațiilor

        Calificarea și coordonarea echipei de răspuns

Procesul de management al incidentelor de securitate a informațiilor constă din următoarele etape:

    Pregătire – prevenirea incidentelor, pregătirea echipelor de răspuns, elaborarea politicilor și procedurilor etc.

    Detectare – notificare de securitate, notificare utilizator, analiză jurnal de securitate.

    Analiză – confirmarea faptului că a avut loc un incident, colectarea informațiilor disponibile despre incident, identificarea activelor afectate și clasificarea incidentului în funcție de siguranță și prioritate.

    Răspuns - oprirea incidentului și colectarea probelor, luarea de măsuri pentru oprirea incidentului și păstrarea informațiilor bazate pe dovezi, colectarea informațiilor bazate pe dovezi, interacțiunea cu departamentele interne, partenerii și părțile afectate, precum și atragerea de organizații de experți externi.

    Investigare – investigarea circumstanțelor incidentelor de securitate a informațiilor, implicarea organizațiilor de experți externi și interacțiunea cu toate părțile afectate, precum și cu agențiile de aplicare a legii și autoritățile judiciare.

    Recuperare – luarea de măsuri pentru închiderea vulnerabilităților care au dus la incident, eliminarea consecințelor incidentului, restabilirea funcționalității serviciilor și sistemelor afectate. Înregistrarea avizului de asigurare.

    Analiza eficienței și modernizarea - analiza incidentului, analiza eficacității și modernizarea procesului de investigare a incidentelor de securitate a informațiilor și a documentelor aferente, instrucțiuni private. Generarea unui raport privind investigația și necesitatea modernizării sistemului de securitate pentru management, colectarea informațiilor despre incident, adăugarea acestora la baza de cunoștințe și stocarea datelor despre incident.

Un sistem eficient de management al incidentelor de securitate a informațiilor are următoarele obiective:

    Asigurarea semnificației juridice a informațiilor probatorii colectate privind incidentele de securitate a informațiilor

    Asigurarea oportunității și corectitudinii acțiunilor de răspuns și investigare a incidentelor de securitate a informațiilor

    Asigurarea capacității de a identifica circumstanțele și cauzele incidentelor de securitate a informațiilor în vederea modernizării în continuare a sistemului de securitate a informațiilor

    Oferirea de investigații și suport juridic pentru incidentele interne și externe de securitate a informațiilor

    Asigurarea posibilității de urmărire penală a atacatorilor și aducerea acestora în fața justiției, în condițiile prevăzute de lege

    Asigurarea posibilității de despăgubire a prejudiciului cauzat de un incident de securitate a informațiilor în condițiile legii

Sistemul de management al incidentelor de securitate a informațiilor interacționează și se integrează în general cu următoarele sisteme și procese:

    Managementul securității informațiilor

    Managementul riscurilor

    Asigurarea continuității afacerii

Integrarea se exprimă în consistența documentării și a formalizării ordinii de interacțiune între procese (informații de intrare, de ieșire și condiții de tranziție).

Procesul de gestionare a incidentelor de securitate a informațiilor este destul de complex și voluminos. Necesită acumularea, procesarea și stocarea unei cantități uriașe de informații, precum și executarea multor sarcini paralele, așa că există multe instrumente pe piață care vă permit să automatizați anumite sarcini, de exemplu așa-numitele sisteme SIEM (informații de securitate și managementul evenimentelor).

Chief Information Officer (CIO) – director pentru tehnologia informației

Chief Information Security Officer (CISO) – șef al departamentului de securitate a informațiilor, director al securității informațiilor

Sarcina principală a sistemelor SIEM nu este doar colectarea evenimentelor din diferite surse, ci automatizarea procesului de detectare a incidentelor cu documentație în propriul lor jurnal sau sistem extern, precum și informarea în timp util despre eveniment. Sistemul SIEM are următoarele sarcini:

    Consolidarea și stocarea jurnalelor de evenimente din diverse surse - dispozitive de rețea, aplicații, jurnalele OS, instrumente de securitate

    Prezentarea instrumentelor pentru analiza evenimentelor și analiza incidentelor

    Corelarea și prelucrarea conform regulilor evenimentelor care au avut loc

    Notificare automată și gestionarea incidentelor

Sistemele SIEM sunt capabile să identifice:

    Atacurile de rețea în perimetrele interne și externe

    Epidemii de viruși sau infecții cu virusuri individuale, viruși neeliminați, uși din spate și troieni

    Tentative de acces neautorizat la informații confidențiale

    Erori și defecțiuni în funcționarea IS

    Vulnerabilități

    Erori de configurare, măsuri de securitate și sisteme informatice.

Principalele surse ale SIEM

    Date de control acces și autentificare

    Jurnalele de evenimente ale serverului și stației de lucru

    Echipamente active în rețea

  1. Protecție antivirus

    Scanere de vulnerabilitate

    Sisteme de contabilizare a riscurilor, criticitatea amenințărilor și prioritizarea incidentelor

    Alte sisteme pentru protejarea și controlul politicilor de securitate a informațiilor:

    1. sisteme DLP

      Dispozitive de control acces etc.

    2. Sisteme de inventariere

    Sisteme de contabilitate a traficului

Cele mai cunoscute sisteme SIEM:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

DLP ( Procesare digitală a luminii) este o tehnologie folosită în proiectoare. A fost creat de Larry Hornbeck de la Texas Instruments în 1987.

În proiectoarele DLP, imaginea este creată de oglinzi mici microscopice care sunt aranjate într-o matrice pe un cip semiconductor numit Digital Micromirror Device (DMD). Fiecare dintre aceste oglinzi reprezintă un pixel în imaginea proiectată.

Numărul total de oglinzi indică rezoluția imaginii rezultate. Cele mai comune dimensiuni DMD sunt 800x600, 1024x768, 1280x720 și 1920x1080 (pentru HDTV, High Definition TeleVision). În proiectoarele de cinema digital, rezoluțiile standard DMD sunt considerate a fi 2K și 4K, care corespund la 2000 și, respectiv, 4000 de pixeli de-a lungul părții lungi a cadrului.

Aceste oglinzi pot fi poziționate rapid pentru a reflecta lumina fie pe un obiectiv, fie pe un radiator (numit și o descărcare de lumină). Rotirea rapidă a oglinzilor (în esență comutarea între pornit și oprit) permite DMD să varieze intensitatea luminii care trece prin lentilă, creând nuanțe de gri în plus față de alb (oglindă în poziția pornit) și negru (oglindă în poziția oprit). ). ).

Culoare în proiectoarele DLP

Există două metode principale pentru a crea o imagine color. O metodă implică utilizarea proiectoarelor cu un singur cip, cealaltă - cele cu trei cipuri.

Proiectoare cu un singur cip
Vedere a conținutului unui proiector DLP cu un singur cip. Săgeata galbenă arată calea fasciculului de lumină de la lampă la matrice, prin discul de filtru, oglindă și lentilă. Fasciculul este apoi reflectat fie în lentilă (săgeată galbenă), fie pe radiator (săgeată albastră).
Imagini externe
Design optic al unui proiector DLP cu o singură matrice
Suspensie microoglindă și circuit de control

În proiectoarele cu un singur cip DMD, culorile sunt produse prin plasarea unui disc color rotativ între lampă și DMD, la fel ca „sistemul de televiziune color secvențial” al Columia Broadcasting System, folosit în anii 1950. Discul de culoare este de obicei împărțit în 4 sectoare: trei sectoare pentru culorile primare (roșu, verde și albastru), iar al patrulea sector este transparent pentru a crește luminozitatea.

Datorită faptului că sectorul transparent reduce saturația culorii, în unele modele acesta poate lipsi cu totul; în altele, pot fi folosite culori suplimentare în locul sectorului gol.

Cipul DMD este sincronizat cu discul care se rotește, astfel încât componenta verde a imaginii să fie afișată pe DMD atunci când sectorul verde al discului se află în calea lămpii. Același lucru pentru culorile roșu și albastru.

Componentele roșii, verzi și albastre ale imaginii sunt afișate alternativ, dar la o frecvență foarte mare. Astfel, privitorului i se pare că o imagine multicoloră este proiectată pe ecran. La primele modele, discul se rotea o dată la fiecare cadru. Ulterior, au fost create proiectoare în care discul face două sau trei rotații pe cadru, iar la unele proiectoare discul este împărțit într-un număr mai mare de sectoare și paleta de pe el se repetă de două ori. Aceasta înseamnă că componentele imaginii sunt afișate pe ecran, înlocuindu-se între ele de până la șase ori într-un cadru.

Unele modele recente de ultimă generație au înlocuit discul color rotativ cu un bloc de LED-uri foarte strălucitoare în trei culori primare. Datorită faptului că LED-urile pot fi pornite și oprite foarte repede, această tehnică vă permite să creșteți și mai mult rata de reîmprospătare a culorilor imaginii și să scăpați complet de zgomot și piesele în mișcare mecanic. Refuzul lămpii cu halogen facilitează și funcționarea termică a matricei.

„Efectul curcubeu”

Efect DLP curcubeu

Efectul curcubeu este unic pentru proiectoarele DLP cu un singur cip.

După cum sa menționat deja, o singură culoare este afișată pe imagine la un moment dat. Pe măsură ce ochiul se mișcă pe imaginea proiectată, aceste culori diferite devin vizibile, rezultând percepția unui „curcubeu” de către ochi.

Producătorii de proiectoare DLP cu un singur cip au găsit o cale de ieșire din această situație prin overclockarea discului multicolor segmentat rotativ sau prin creșterea numărului de segmente de culoare, reducând astfel acest artefact.

Lumina LED-urilor a făcut posibilă reducerea în continuare a acestui efect datorită frecvenței ridicate de comutare între culori.

În plus, LED-urile pot emite orice culoare de orice intensitate, ceea ce a crescut gama și contrastul imaginii.

Proiectoare cu trei cipuri

Acest tip de proiector DLP folosește o prismă pentru a împărți fasciculul emis de lampă, iar fiecare dintre culorile primare este apoi direcționată către propriul cip DMD. Aceste raze sunt apoi combinate și imaginea este proiectată pe un ecran.

Proiectoarele cu trei cipuri sunt capabile să producă mai multe nuanțe și gradații de culoare decât proiectoarele cu un singur cip, deoarece fiecare culoare este disponibilă pentru o perioadă mai lungă de timp și poate fi modulată cu fiecare cadru video. În plus, imaginea nu este supusă pâlpâirii și „efectului curcubeu” deloc.

Dolby Digital Cinema 3D

Infitec a dezvoltat filtre spectrale pentru discul rotativ și ochelari, permițând proiecția ramelor pentru diferiți ochi în diferite subseturi ale spectrului. Ca rezultat, fiecare ochi își vede propria sa imagine, aproape plină de culoare pe un ecran alb obișnuit, spre deosebire de sistemele cu polarizare a imaginii proiectate (cum ar fi IMAX), care necesită un ecran special „argintiu” pentru a menține polarizarea la reflexie. .

Vezi si

Alexey Borodin Tehnologia DLP. Portal ixbt.com (05-12-2000). Arhivat din original pe 14 mai 2012.


Fundația Wikimedia. 2010.

Vedeți ce este „DLP” în alte dicționare:

    DLP- Salt a navigación, search Digital Light Processing (în español Procesado digital de la luz) este o tehnologie utilizată în proiecte și televizoare de proiecție. El DLP a fost dezvoltat inițial de Texas Instruments, și rămâne el... ... Wikipedia Español

    DLP- este o abreviere de trei litere cu mai multe semnificații, așa cum este descris mai jos: Tehnologie Prevenirea pierderii datelor este un domeniu al securității computerului Procesarea digitală a luminii, o tehnologie utilizată în proiectoare și videoproiectoare Problemă cu logaritmul discret,… … Wikipedia

Oferim o serie de markeri pentru a vă ajuta să profitați la maximum de orice sistem DLP.

DLP-sisteme: ce este?

Să vă reamintim că sistemele DLP (Data Loss/Leak Prevention) vă permit să controlați toate canalele de comunicare în rețea a unei companii (poștă, Internet, sisteme de mesagerie instant, unități flash, imprimante etc.). Protecția împotriva scurgerilor de informații se realizează prin instalarea de agenți pe toate computerele angajaților, care colectează informații și le transmit către server. Uneori, informațiile sunt colectate printr-un gateway folosind tehnologiile SPAN. Informațiile sunt analizate, după care responsabilul de sistem sau de securitate ia decizii cu privire la incident.

Deci, compania dumneavoastră a implementat un sistem DLP. Ce măsuri trebuie luate pentru ca sistemul să funcționeze eficient?

1. Configurați corect regulile de securitate

Să ne imaginăm că într-un sistem care deservește 100 de computere, a fost creată o regulă „Remediați toată corespondența cu cuvântul „acord”.” O astfel de regulă va provoca un număr mare de incidente, în care o scurgere reală se poate pierde.

În plus, nu orice companie își poate permite să aibă un personal complet de angajați care monitorizează incidentele.

Instrumentele pentru crearea unor reguli eficiente și urmărirea rezultatelor muncii lor vor contribui la creșterea utilității regulilor. Fiecare sistem DLP are o funcționalitate care vă permite să faceți acest lucru.

În general, metodologia presupune analizarea bazei de date acumulate de incidente și crearea diferitelor combinații de reguli care în mod ideal conduc la apariția a 5-6 incidente cu adevărat urgente pe zi.

2. Actualizați regulile de siguranță la intervale regulate

O scădere sau o creștere bruscă a numărului de incidente este un indicator că sunt necesare ajustări ale regulilor. Motivele pot fi că regula și-a pierdut relevanța (utilizatorii au încetat să mai acceseze anumite fișiere) sau angajații au învățat regula și nu mai efectuează acțiuni interzise de sistem (DLP - sistem de învățare). Cu toate acestea, practica arată că, dacă se învață o regulă, atunci într-un loc învecinat riscurile potențiale de scurgere au crescut.

De asemenea, ar trebui să acordați atenție sezonalității în funcționarea întreprinderii. Pe parcursul anului, parametrii cheie legați de specificul activității companiei se pot schimba. De exemplu, pentru un furnizor angro de echipamente mici, bicicletele vor fi relevante în primăvară, iar scuterele de zăpadă în toamnă.

3. Luați în considerare un algoritm de răspuns la incidente

Există mai multe abordări ale răspunsului la incident. Când testează și rulează sisteme DLP, oamenii de cele mai multe ori nu sunt notificați cu privire la modificări. Participanții la incidente sunt doar observați. Când s-a acumulat o masă critică, un reprezentant al departamentului de securitate sau al departamentului de resurse umane comunică cu aceștia. În viitor, lucrul cu utilizatorii este adesea lăsat în seama reprezentanților departamentului de securitate. Apar mini-conflicte și negativitatea se acumulează în echipă. Se poate revărsa în sabotaj deliberat al angajaților față de companie. Este important să se mențină un echilibru între cerința de disciplină și menținerea unei atmosfere sănătoase în echipă.

4. Verificați funcționarea modului de blocare

Există două moduri de răspuns la un incident în sistem - fixare și blocare. Dacă fiecare fapt de a trimite o scrisoare sau de a atașa un fișier atașat la o unitate flash este blocat, acest lucru creează probleme utilizatorului. Angajații atacă adesea administratorul de sistem cu solicitări de deblocare a unor funcții; conducerea poate fi, de asemenea, nemulțumită de astfel de setări. Ca urmare, sistemul DLP și compania primesc feedback negativ, sistemul este discreditat și demascat.

5. Verificați dacă a fost introdus regimul secretului comercial

Oferă capacitatea de a face anumite informații confidențiale și, de asemenea, obligă orice persoană care știe despre acestea să-și asume întreaga responsabilitate legală pentru dezvăluirea lor. În cazul unei scurgeri grave de informații în cadrul regimului actual de secret comercial la întreprindere, contravenientului i se poate recupera suma prejudiciului real și moral prin instanță în conformitate cu 98-FZ „Cu privire la secretele comerciale”.

Sperăm că aceste sfaturi vor ajuta la reducerea numărului de scurgeri neintenționate în companii, pentru că tocmai acestea sistemele DLP sunt concepute pentru a le combate cu succes. Cu toate acestea, nu ar trebui să uităm de sistemul cuprinzător de securitate a informațiilor și de faptul că scurgerile de informații intenționate necesită o atenție deosebită, deosebită. Există soluții moderne care pot completa funcționalitatea sistemelor DLP și pot reduce semnificativ riscul de scurgeri intenționate. De exemplu, unul dintre dezvoltatori oferă o tehnologie interesantă - atunci când fișierele confidențiale sunt accesate în mod suspect de frecvent, camera web se pornește automat și începe înregistrarea. Acest sistem a făcut posibilă înregistrarea modului în care hoțul ghinionist făcea în mod activ capturi de ecran folosind o cameră mobilă.

Oleg Neceukhin, expert în protecția sistemelor informatice, Kontur.Security

Astăzi puteți auzi adesea despre o tehnologie precum sistemele DLP. Ce este un astfel de sistem? Cum poate fi folosit? Sistemele DLP înseamnă software conceput pentru a preveni pierderea datelor prin detectarea posibilelor încălcări în timpul filtrării și trimiterii. De asemenea, aceste servicii monitorizează, detectează și blochează informațiile confidențiale în timpul utilizării, mișcării și stocării acestora. Scurgerea de informații confidențiale, de regulă, are loc din cauza funcționării echipamentelor de către utilizatori neexperimentați sau a unor acțiuni rău intenționate.

Astfel de informații sub formă de informații corporative sau private, proprietate intelectuală, informații medicale și financiare, informații despre carduri de credit necesită măsuri speciale de protecție pe care tehnologiile informaționale moderne le pot oferi. Cazurile de pierdere de informații se transformă în scurgeri atunci când o sursă care conține informații confidențiale dispare și ajunge în mâinile unei părți neautorizate. Scurgerea de informații este posibilă fără pierderi.

În mod convențional, mijloacele tehnologice utilizate pentru combaterea scurgerilor de informații pot fi împărțite în următoarele categorii:

— măsuri standard de securitate;
— măsuri intelectuale (avansate);
— controlul accesului și criptarea;
— sisteme DLP specializate.

Măsuri standard

Măsurile standard de securitate includ firewall-uri, sisteme de detectare a intruziunilor (IDS) și software antivirus. Ele protejează computerul de atacurile din exterior și din interior. Asa de. De exemplu, conectarea unui firewall împiedică persoanele din afară să acceseze rețeaua internă. Un sistem de detectare a intruziunilor poate detecta încercările de intruziune. Pentru a preveni atacurile interne, puteți utiliza programe antivirus care detectează caii troieni instalați pe computer. De asemenea, puteți utiliza servicii specializate care funcționează într-o arhitectură client-server fără nicio informație confidențială sau personală stocată pe computer.

Măsuri suplimentare de securitate

Măsurile de securitate suplimentare folosesc servicii foarte specializate și algoritmi de sincronizare care sunt proiectați pentru a detecta accesul anormal la date, mai precis la bazele de date și sistemele de recuperare a informațiilor. Astfel de protecții pot detecta și schimburi anormale de e-mail. Astfel de tehnologii informaționale moderne identifică solicitările și programele care vin cu intenții rău intenționate și efectuează verificări profunde ale sistemelor informatice, cum ar fi recunoașterea sunetelor difuzorului sau a apăsărilor de taste. Unele servicii de acest fel sunt chiar capabile să monitorizeze activitatea utilizatorului pentru a detecta accesul neobișnuit la date.

Ce sunt sistemele DLP proiectate la comandă?

Soluțiile DLP concepute pentru a proteja informațiile sunt concepute pentru a detecta și a preveni încercările neautorizate de a copia și transmite informații sensibile fără permisiunea sau accesul de la utilizatorii care sunt autorizați să acceseze informațiile sensibile. Pentru a clasifica informațiile de un anumit tip și a reglementa accesul la acestea, aceste sisteme folosesc mecanisme precum potrivirea exactă a datelor, metode statistice, amprentarea structurată, recepția expresiilor și regulilor regulate, publicarea frazelor de cod, a cuvintelor cheie și a definițiilor conceptuale. Să ne uităm la principalele tipuri și caracteristici ale sistemelor DLP.

DLP de rețea

Acest sistem este de obicei o soluție hardware sau software care este instalat în punctele de rețea care provin din apropierea perimetrului. Un astfel de sistem analizează traficul de rețea pentru a detecta informațiile confidențiale trimise cu încălcarea politicilor de securitate a informațiilor.

Endpoint DLP

Sistemele de acest tip funcționează pe stațiile de lucru ale utilizatorilor finali sau pe serverele organizațiilor. Un punct final, ca și în alte sisteme de rețea, poate face față atât comunicațiilor interne, cât și externe și, prin urmare, poate fi utilizat pentru a controla fluxul de informații între tipuri și grupuri de utilizatori. De asemenea, sunt capabili să monitorizeze mesajele instantanee și e-mailul. Acest lucru se întâmplă după cum urmează: înainte ca datele mesajului să fie descărcate pe dispozitiv, acestea sunt verificate de către serviciu. Dacă există o solicitare nefavorabilă, mesajele vor fi blocate. Astfel, acestea devin necorectate și nu sunt supuse regulilor de stocare a informațiilor pe dispozitiv.

Avantajul unui sistem DLP este că poate controla și gestiona accesul la dispozitivele fizice, precum și accesul la informații înainte de a fi criptat. Unele sisteme care funcționează pe baza scurgerilor finale pot oferi, de asemenea, controlul aplicației pentru a bloca încercările de a transmite informații sensibile și pentru a oferi feedback imediat utilizatorului. Dezavantajul unor astfel de sisteme este că acestea trebuie instalate pe fiecare stație de lucru din rețea și nu pot fi utilizate pe dispozitive mobile precum PDA-uri sau telefoane mobile. Această circumstanță trebuie luată în considerare la alegerea sistemelor DLP pentru a îndeplini anumite sarcini.

Identificarea datelor

Sistemele DLP conțin mai multe metode care vizează identificarea informațiilor confidențiale și clasificate. Acest proces este adesea confundat cu procedura de decodare a informațiilor. Cu toate acestea, identificarea informațiilor este procesul prin care organizațiile folosesc tehnologia DLP pentru a determina ce să caute. În acest caz, datele sunt clasificate ca structurate sau nestructurate. Primul tip de date este stocat în câmpuri fixe dintr-un fișier, cum ar fi o foaie de calcul. Datele nestructurate se referă la text în formă liberă. Potrivit estimărilor experților, 80% din toate informațiile prelucrate pot fi clasificate ca date nestructurate. În consecință, doar 20% din cantitatea totală de informații este structurată. Pentru a clasifica informațiile, se utilizează analiza de conținut, care se concentrează pe informații structurate și pe analiza contextuală. Se realizează în locul în care a fost creată aplicația sau sistemul în care au apărut informațiile. Astfel, răspunsul la întrebarea „ce sunt sistemele DLP” poate fi definiția unui algoritm de analiză a informațiilor.

Metode

Metodele de descriere a conținutului sensibil utilizate astăzi în sistemele DLP sunt foarte numeroase. În mod convențional, ele pot fi împărțite în două categorii: exacte și inexacte. Acurate sunt metodele care sunt asociate cu analiza de conținut și reduc practic toate răspunsurile fals pozitive la interogări la zero. Alte metode sunt inexacte. Acestea includ analiza statistică, analiza bayesiană, meta-etichete, expresii regulate avansate, cuvinte cheie, dicționare etc. Eficacitatea analizei datelor va depinde direct de acuratețea acesteia. Un sistem DLP cu un rating ridicat are performanțe ridicate în acest parametru. Acuratețea identificării DLP este importantă pentru a evita falsele pozitive și alte consecințe negative. Precizia depinde de mulți factori, care pot fi tehnologici sau situaționali. Testarea acurateței ajută la asigurarea fiabilității sistemului DLP.

Detectarea și prevenirea scurgerilor de informații

În unele cazuri, sursa de distribuție a datelor pune la dispoziția unei terțe părți informații sensibile. Unele dintre aceste date vor fi cel mai probabil găsite într-o locație neautorizată după ceva timp, de exemplu, pe laptopul altui utilizator sau pe Internet. Sistemele DLP, al căror cost este furnizat de dezvoltatori la cerere, pot varia de la câteva zeci la câteva mii de ruble. Sistemele DLP trebuie să investigheze modul în care datele au fost scurse de la una sau mai multe terțe părți, dacă acest lucru a fost făcut independent sau dacă informațiile au fost scurse prin alte mijloace.

Date în repaus

Descrierea „date în repaus” se referă la informații arhivate vechi care sunt stocate pe oricare dintre hard disk-urile computerului personal client, pe un server de fișiere la distanță sau pe o unitate de stocare în rețea. Această definiție se aplică și datelor stocate într-un sistem de rezervă pe CD-uri sau unități flash. Astfel de informații sunt de mare interes pentru agențiile guvernamentale sau întreprinderi, deoarece o cantitate mare de date este stocată neutilizată în dispozitivele de memorie. În acest caz, există o mare probabilitate ca accesul la informații să fie obținut de către persoane neautorizate din afara rețelei.

Se încarcă...

S-ar putea să te intereseze:

Publicitate