О проблеме Сегодня, информационные технологии являются важной составляющей любой современной организации. Говоря образно, информационные технологии - это сердце предприятия, которое поддерживает работоспособность бизнеса и повышает его эффективность и конкурентоспособность в условиях современной, жесткой конкуренции.Системы автоматизации бизнес-процессов, такие как документооборот, CRM -системы, ERP -системы, системы многомерного анализа и планированияпозволяют оперативно собирать информацию, систематизировать и группировать ее,ускоряя процессы принятия управленческих решений и обеспечивая прозрачность бизнеса и бизнес-процессов для руководства и акционеров.Становится очевидным, что большое количество стратегических, конфиденциальных и персональных данных является важным информационным активом предприятия, и последствия утечки этой информации скажутся на эффективности деятельности организации.Использование традиционных на сегодня мер безопасности,таких как антивирусы и фаерволлы выполняют функции защиты информационных активов от внешних угроз, но не каким образом не обеспечивают защиту информационных активов от утечки, искажения или уничтожения внутренним злоумышленником.Внутренние же угрозы информационной безопасности могут оставаться игнорируемыми или в ряде случаев незамеченными руководством ввиду отсутствия понимания критичности этих угроз для бизнеса.Именно по этой причине защита конфиденциальных данных так важна уже сегодня.О решении Защита конфиденциальной информации от утечки является важной составляющей комплекса информационной безопасности организации. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны DLP-системы (система защиты данных отутечки).
Комплексная система защиты данных от утечек (DLP-система) представляют собой программный, либо программно-аппаратный комплекс, предотвращающий утечку конфиденциальных данных.
Осуществляется DLP-системой при помощи использования следующих основных функций:
- Фильтрация трафика по всем каналам передачи данных;
- Глубокий анализ трафика на уровне контента и контекста.
Data-in-Motion – данные, передаваемые по сетевым каналам:
- Web (HTTP/HTTPS протоколы);
- Интернет – мессенджеры (ICQ, QIP, Skype, MSN и т.д.);
- Корпоративная и личная почта(POP, SMTP, IMAP и т.д.);
- Беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
- FTP – соединения.
- Серверах;
- Рабочих станциях;
- Ноутбуках;
- Системах хранения данных (СХД).
Меры, направленные на предотвращение утечек информации состоят из двух основных частей: организационных и технических.
Защита конфиденциальной информации включает в себя организационные меры по поиску и классификации имеющихся в компании данных. В процессе классификации данные разделяются на 4 категории:
- Секретная информация;
- Конфиденциальная информация;
- Информация для служебного пользования;
- Общедоступная информация.
В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, например:
- Лингвистический анализ информации;
- Статистический анализ информации;
- Регулярные выражения (шаблоны);
- Метод цифровых отпечатков и т.д.
Технические меры:
Защита конфиденциальной информации при помощи технических мер основана на использование функционала и технологий системы по защите данных отутечек. В состав DLP-системы входят два модуля: хост модуль и сетевой модуль.
Хост модули устанавливаются на рабочие станции пользователей и обеспечивают контроль действий производимых пользователем в отношении классифицированных данных (конфиденциальной информации). Кроме этого модуль хоста позволяет отслеживать активность пользователя по различным параметрам,например время, проведенное в Интернет, запускаемые приложения, процессы и пути перемещения данных и т.д.
Сетевой модуль осуществляет анализ передаваемой по сети информации и контролирует трафик выходящей за пределы защищаемой информационной системы. В случае обнаружения в передаваемой трафике конфиденциальной информации сетевой модуль пресекает передачу данных.
Что даст внедрение DLP-системы?
После внедрения системы защиты данных от утечки компания получит:
- Защиту информационных активов и важной стратегической информации компании;
- Структурированные и систематизированные данные в организации;
- Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности;
- Контроль процессов передачи конфиденциальных данных в компании;
- Снижение рисков связанных с потерей, кражей и уничтожением важной информации;
- Защита от вредоносного ПО попадающего в организацию изнутри;
- Сохранение и архивация всех действий связанных с перемещением данных внутри информационной системы;
- Контроль присутствия персонала на рабочем месте;
- Экономия Интернет-трафика;
- Оптимизация работы корпоративной сети;
- Контроль используемых пользователем приложений;
- Повышение эффективности работы персонала.
DLP (Digital Light Processing ) - технология, используемая в проекторах . Её создал Лари Хорнбек из компании Texas Instruments в 1987 году.
В DLP-проекторах изображение создаётся микроскопически маленькими зеркалами, которые расположены в виде матрицы на полупроводниковом чипе, называемом Digital Micromirror Device (DMD, цифровое микрозеркальное устройство). Каждое такое зеркало представляет собой один пиксель в проецируемом изображении.
Общее количество зеркал означает разрешение получаемого изображения. Наиболее распространёнными размерами DMD являются 800x600 , 1024x768 , 1280x720 , и 1920x1080 (для показа HDTV , High Definition TeleVision - телевидение высокой чёткости). В цифровых кинопроекторах стандартными разрешениями DMD принято считать 2К и 4К, что соответствует 2000 и 4000 пикселей по длинной стороне кадра соответственно.
Эти зеркала могут быстро позиционироваться, чтобы отражать свет либо на линзу, либо на радиатор (называемый также light dump, поглотитель света). Быстрый поворот зеркал (по существу переключение между состояниями «включено» и «выключено») позволяет DMD варьировать интенсивность света, которые проходит через линзу, создавая градации серого в дополнение к белому (зеркало в позиции «включено») и чёрному (зеркало «выключено»).
Цвет в проекторах DLP
Существует два основных метода создания цветного изображения. Один метод подразумевает использование одночиповых проекторов, другой - трёхчиповых.
Одночиповые проекторы
 |
 |
 |
 |
 |
|||
| Вид на содержимое одночипового DLP проектора. Жёлтой стрелкой показан путь луча света от лампы к матрице, через диск светофильтров, зеркало и линзу. Далее луч отражается либо в объектив (жёлтая стрелка), либо на радиатор (синяя стрелка). | |||
| Внешние изображения | |
|---|---|
| Оптическая схема одноматричного DLP-проектора | |
| Схема подвески и управления микрозеркалом | |
В проекторах с одним DMD-чипом цвета образуются путём помещения вращающегося цветного диска между лампой и DMD, что является очень похожим на «последовательную систему цветного телевидения» американской телевизионной радиовещательной компании Columia Broadcasting System, которая использовалась в 1950 годах. Цветной диск обычно делится на 4 сектора: три сектора под основные цвета (красный, зелёный и синий), а четвёртый сектор - прозрачный, для увеличения яркости.
Из-за того, что прозрачный сектор уменьшает насыщенность цветов, в некоторых моделях он может отсутствовать вообще, в других вместо пустого сектора могут использоваться дополнительные цвета.
DMD чип синхронизирован с вращающимся диском таким образом, чтобы зелёный компонент изображения отображался на DMD, когда зелёный сектор диска находится на пути свечения лампы. Аналогично для красного и синего цветов.
Красная, зелёная и синяя компоненты изображения отображаются попеременно, но с очень высокой частотой. Таким образом зрителю кажется, что на экран проецируется разноцветная картинка. В ранних моделях диск совершал один оборот за каждый кадр. Позже создали проекторы, в которых диск делает два или три оборота за один кадр, а в некоторых проекторах диск разделён на большее количество секторов и палитра на нём повторяется дважды. Это означает, что компоненты изображения выводятся на экран, сменяя друг друга до шести раз за один кадр.
В некоторых последних high-end моделях вращающийся цветной диск заменён на блок из очень ярких светодиодов трёх основных цветов. Благодаря тому, что светодиоды возможно очень быстро включать и выключать, этот приём позволяет ещё больше увеличить частоту обновления цветов картинки, и полностью избавиться от шума и механически движущихся частей. Отказ от галогенной лампы также облегчает тепловой режим работы матрицы.
«Эффект радуги»
Эффект радуги DLP
Эффект радуги присущ только одночиповым проекторам DLP.
Как уже было сказано, в конкретный момент времени на изображение отображается только один цвет. Когда глаз движется по спроецированному изображению, эти различные цвета становятся видимыми, в результате чего глазом воспринимается «радуга».
Производители одночиповых DLP-проекторов выходили из положения, разгоняя вращающийся сегментированный разноцветный диск, либо увеличивая число цветных сегментов, таким образом уменьшая этот артефакт.
Свет от светодиодов позволил ещё уменьшить данный эффект благодаря высокой частоте переключения между цветами.
В дополнение ко всему, светодиоды могут излучать любой цвет любой интенсивности, что позволило увеличить гамму и контрастность изображения.
Трёхчиповые проекторы
Этот тип DLP-проекторов использует призму для разделения луча, излучаемого лампой, и каждый из основных цветов затем направляется на свой чип DMD. Затем эти лучи объединяются, и изображение проецируется на экран.
Трёхчиповые проекторы способны выдать большее количество градаций теней и цветов, чем одночиповые, потому что каждый цвет доступен более длительный период времени и может быть модулирован с каждым видео кадром. К тому же, изображение вообще не подвержено мерцанию и «эффекту радуги».
Dolby Digital Cinema 3D
Infitec разработала спектральные фильтры для вращающегося диска и -очков, позволяющие проецировать кадры для разных глаз в разных подмножествах спектра. В результате каждый глаз видит свою, практически полноцветную картинку, на обычном белом экране, в отличие от систем с поляризацией проецируемого изображения (типа IMAX), требующих специального «серебряного» экрана для сохранения поляризации при отражении.
См. также
Алексей Бородин Технология DLP . Портал ixbt.com (05-12-2000). Архивировано из первоисточника 14 мая 2012.
| Дисплейные технологии | |
|---|---|
| Видео -дисплеи | |
| Следующее поколение дисплеев |
|
| Не видео | |
| 3D-дисплеи | |
| Статические | |
| См. также | |
Wikimedia Foundation . 2010 .
Смотреть что такое "DLP" в других словарях:
DLP - Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tecnología usada en proyectores y televisores de proyección. El DLP fue desarrollado originalmente por Texas Instruments, y sigue siendo el… … Wikipedia Español
DLP - is a three letter abbreviation with multiple meanings, as described below: Technology Data Loss Prevention is a field of computer security Digital Light Processing, a technology used in projectors and video projectors Discrete logarithm problem,… … Wikipedia
В наши дни можно часто услышать о такой технологии, как DLP-системы. Что это такое, и где это используется? Это программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при их отправке и фильтрации. Кроме того, такие сервисы осуществляют мониторинг, обнаружение и блокирование при ее использовании, движении (сетевом трафике), а также хранении.
Как правило, утечка конфиденциальных данных происходит по причине работы с техникой неопытных пользователей либо является результатом злонамеренных действий. Такая информация в виде частных или корпоративных сведений, объектов интеллектуальной собственности (ИС), финансовой или медицинской информации, сведений кредитных карт и тому подобное нуждается в усиленных мерах защиты, которые могут предложить современные информационные технологии.
Термины «потеря данных» и «утечка данных» связаны между собой и часто используются как синонимы, хотя они несколько отличаются. Случаи утери информации превращаются в ее утечку тогда, когда источник, содержащий конфиденциальные сведения, пропадает и впоследствии оказывается у несанкционированной стороны. Тем не менее утечка данных возможна без их потери.
Категории DLP
Технологические средства, используемые для борьбы с утечкой данных, можно разделить на следующие категории: стандартные меры безопасности, интеллектуальные (продвинутые) меры, контроль доступа и шифрование, а также специализированные DLP-системы (что это такое - подробно описано ниже).
Стандартные меры
Такие стандартные меры безопасности, как системы обнаружения вторжений (IDS) и антивирусное программное обеспечение, представляют собой обычные доступные механизмы, которые охраняют компьютеры от аутсайдера, а также инсайдерских атак. Подключение брандмауэра, к примеру, исключает доступ к внутренней сети посторонних лиц, а система обнаружения вторжений обнаруживает попытки проникновения. Внутренние атаки возможно предотвратить путем проверки антивирусом, обнаруживающих установленных на ПК, которые отправляют конфиденциальную информацию, а также за счет использования сервисов, которые работают в архитектуре клиент-сервер без каких-либо личных или конфиденциальных данных, хранящихся на компьютере.
Дополнительные меры безопасности
Дополнительные меры безопасности используют узкоспециализированные сервисы и временные алгоритмы для обнаружения ненормального доступа к данным (т. е. к базам данных либо информационно-поисковых системам) или ненормального обмена электронной почтой. Кроме того, такие современные информационные технологии выявляют программы и запросы, поступающие с вредоносными намерениями, и осуществляют глубокие проверки компьютерных систем (например, распознавание нажатий клавиш или звуков динамика). Некоторые такие сервисы способны даже проводить мониторинг активности пользователей для обнаружения необычного доступа к данным.
Специально разработанные DLP-системы - что это такое?
Разработанные для защиты информации DLP-решения служат для обнаружения и предотвращения несанкционированных попыток копировать или передавать конфиденциальные данные (преднамеренно или непреднамеренно) без разрешения или доступа, как правило, со стороны пользователей, которые имеют право доступа к конфиденциальным данным.
Для того чтобы классифицировать определенную информацию и регулировать доступ к ней, эти системы используют такие механизмы, как точное соответствие данных, структурированная дактилоскопия, прием правил и регулярных выражений, опубликований кодовых фраз, концептуальных определений и ключевых слов. Типы и сравнение DLP-систем можно представить следующим образом.
Network DLP (также известная как анализ данных в движении или DiM)
Как правило, она представляет собой аппаратное решение либо программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Она анализирует сетевой трафик для обнаружения конфиденциальных данных, отправляемых в нарушение
Endpoint DLP (данные при использовании )
Такие системы функционируют на рабочих станциях конечных пользователей или серверов в различных организациях.
Как и в других сетевых системах, конечная точка может быть обращена как к внутренним, так и к внешним связям и, следовательно, может быть использована для контроля потока информации между типами либо группами пользователей (например, «файерволы»). Они также способны осуществлять контроль за электронной почтой и обменом мгновенными сообщениями. Это происходит следующим образом - прежде, чем сообщения будут загружены на устройство, они проверяются сервисом, и при содержании в них неблагоприятного запроса они блокируются. В результате они становятся неоправленными и не подпадают под действие правил хранения данных на устройстве.
DLP-система (технология) имеет преимущество в том, что она может контролировать и управлять доступом к устройствам физического типа (к примеру, мобильные устройства с возможностями хранения данных), а также иногда получать доступ к информации до ее шифрования.
Некоторые системы, функционирующие на основе конечных точек, также могут обеспечить контроль приложений, чтобы блокировать попытки передачи конфиденциальной информации, а также обеспечить незамедлительную обратную связь с пользователем. Вместе с тем они имеют недостаток в том, что они должны быть установлены на каждой рабочей станции в сети, и не могут быть использованы на мобильных устройствах (например, на сотовых телефонах и КПК) или там, где они не могут быть практически установлены (например, на рабочей станции в интернет-кафе). Это обстоятельство необходимо учитывать, делая выбор DLP-системы для каких-либо целей.
Идентификация данных
DLP-системы включают в себя несколько методов, направленных на выявление секретной либо конфиденциальной информации. Иногда этот процесс путают с расшифровкой. Однако идентификация данных представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать (в движении, в состоянии покоя или в использовании).
Данные при этом классифицируются как структурированные или неструктурированные. Первый тип хранится в фиксированных полях внутри файла (например, в виде электронных таблиц), в то время как неструктурированный относится к свободной форме текста (в форме текстовых документов или PDF-файлов).
По оценкам специалистов, 80% всех данных - неструктурированные. Соответственно, 20% - структурированные. основывается на контент-анализе, ориентированном на структурированную информацию и контекстный анализ. Он делается по месту создания приложения или системы, в которой возникли данные. Таким образом, ответом на вопрос «DLP-системы - что это такое?» послужит определение алгоритма анализа информации.
Используемые методы
Методы описания конфиденциального содержимого на сегодняшний день многочисленны. Их можно разделить на две категории: точные и неточные.
Точные методы - это те, которые связаны с анализом контента и практически сводят к нулю ложные положительные ответы на запросы.
Все остальные являются неточными и могут включать в себя: словари, ключевые слова, регулярные выражения, расширенные регулярные выражения, мета-теги данных, байесовский анализ, статистический анализ и т. д.
Эффективность анализа напрямую зависит от его точности. DLP-система, рейтинг которой высок, имеет высокие показатели по данному параметру. Точность идентификации DLP имеет важное значение для избегания ложных срабатываний и негативных последствий. Точность может зависеть от многих факторов, некоторые из которых могут быть ситуативными или технологическими. Тестирование точности может обеспечить надежность работы DLP-системы - практически нулевое количество ложных срабатываний.
Обнаружение и предотвращение утечек информации
Иногда источник распределения данных делает конфиденциальную информацию доступной для третьих лиц. Через некоторое время часть ее, вероятнее всего, обнаружится в несанкционированном месте (например, в интернете или на ноутбуке другого пользователя). DLP-системы, цена которых предоставляется разработчиками по запросу и может составлять от нескольких десятков до нескольких тысяч рублей, должны затем исследовать, как просочились данные - от одного или нескольких третьих лиц, было ли это независимо друг от друга, не обеспечивалась ли утечка какими-то другими средствами и т. д.
Данные в покое
«Данные в состоянии покоя» относятся к старой архивной информации, хранящейся на любом из жестких дисков клиентского ПК, на удаленном файловом сервере, на диске Также это определение относится к данным, хранящимся в системе резервного копирования (на флешках или компакт-дисках). Эти сведения представляют большой интерес для предприятий и государственных учреждений просто потому, что большой объем данных содержится неиспользованным в устройствах памяти, и более вероятно, что доступ к ним может быть получен неуполномоченными лицами за пределами сети.
(Data Loss Prevention)
Системы контроля действий пользователей, система защиты конфиденциальных данных от внутренних угроз.
DLP-системы применяются для обнаружения и предотвращения передачи конфиденциальных данных на разных этапах. (при перемещении, использовании и хранении). DLP-система позволяет:
Контроллировать работу пользователей, не давая бесконтрольно тратить рабочее время в личных целях.
Автоматически, незаметно для пользователя, записывать все действия, включая отправляемые и принимаемые сообщения электройнной почты, общение в чатах и системах мгновенного обмена сообщениями, социальных сетях, посещаемые веб-сайты, набранные на клавиатуре данные, переданные, напечатанные и сохранённые файлы и т. д.
Контроллировать использование компьютерных игр на рабочем месте и учитывать количество рабочего времени, потраченного на компьютерные игры.
Контроллировать сетевую активность пользователей, учитывать объёмы сетевого трафика
Контроллировать копирование документов на различные носители (съемные носители, жесткие диски, сетевые папки и т. д.)
Контроллировать сетевую печать пользователя
Фиксировать запросы пользователей поисковым машинам и т. д.
Data-in-motion - данные в движении - сообщения email, передача веб-трафика, файлов и т. д.
Data-in-rest - хранящиеся данные - информация на рабочих станциях, файловых серверах, usb-устройствах и т. д.
Data-in-use - данные в использовании - информация, обрабатываемая в данный момент.
Архитектура DLP решений у разных разработчиков может различаться, но в целом выделяют 3 основных веяния:
Перехватчики и контроллеры на разные каналы передачи информации. Перехватчики анализируют проходящие потоки информации, исходящие с периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства (компьютеры), анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцедента на управляющий сервер.
Агентские программы, устанавливаемые на оконечные устройства: замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправке, распечатывании, копировании через буфер обмена.
Центральный управляющий сервер - сопоставляет поступающие с перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчётности.
В решениях DLP имеется широкий набор комбинированных методов обнаружения информации:
Цифровые отпечатки документов и их частей
Цифровые отпечатки баз данных и другой структурированной информации, которую важно защитить от распространения
Статистические методы (повышение чувствительности системы при повторении нарушений).
При эксплуатации DLP-систем характерно циклическое выполнение нескольких процедур:
Обучение системы принципам классификации информации.
Ввод правил реагирования в привязке к категории обнаруживаемой информации и групп сотрудников, контроль действий которых должен осуществляться. Выделяются доверенные пользователи.
Выполнение DLP-системой операции контроля (система анализирует и нормализует информацию, выполняет сопоставление с принципами обнаружения и классификации данных, и при обнаружении конфиденциальной информации, система сопоставляет с существующими политиками, назначенными на обнаруженную категорию информации и, при необходимости, создаёт инцидент)
Обработка инцидентов (например проинформировать, приостановить или заблокировать отправку).
Особенности создания и эксплуатации VPN с точки зрения безопасности
Варианты построения VPN:
На базе сетевых операционных систем
На базе маршрутизаторов
На базе МСЭ
На базе специализированного программно-аппаратного обеспечения
На базе специализированного ПО
Для корректной и безопасной работы VPN необходимо понимать основы взаимодействия VPN и межсетевых экранов:
VPN способны создавать сквозные связующие тунели, проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны межсетевого экрана, которому трудно анализировать зашифрованый трафик.
Благодаря своим функциям шифрования передаваемых данных, VPN можно использовать для обхода IDS-систем, не способных обнаруживать вторжения со стороны зашифрованных каналов связи.
В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов (NAT - network adress translation) может оказаться несовместима с некоторыми реализациями VPN и т. д.
По сути, во время принятия решений о внедрении VPN-компонентов в сетевую архитектуру, администратор может либо выбрать VPN в качестве обособленного внешнего устройства, либо выбрать интеграцию VPN в МСЭ, для обеспечения обеих функций одной системы.
Внутри демилитаризованной зоны, между МСЭ и граничным маршрутизатором
Вутри подзащитной сети на сетевых адаптерах МСЭ
Внутри экранированной сети, позади МСЭ
Параллельно с МСЭ, на точке входа в подзащитную сеть.
При установлении защищённого соединения между VPN-устройствами (аутентификация, обмен ключами и т. д.)
Задержки, связанные с зашифрованием и расшифрованием защищаемых данных, а так же преобразованиями, необходимыми для контроля их целостности
Задержки, связанные с добавлением нового заголовка передаваемым пакетам
МСЭ + Обособленный VPN. Варианты размещения VPN:
МСЭ + VPN, размещенные как единое целое - подобное интегрированное решение более удобно при техническом сопровождении, чем предыдущий вариант, не вызывает проблем, связанных с NAT (трансляцией сетевых адресов) и обеспечивает более надёжный доступ к данным, за который отвечает МСЭ. Недостатком интегрированного решения является большая изначальная стоимость покупки такого средства, а так же ограниченность вариантов оптимизации соответствующих VPN и Брендмауэр-компонент (то есть максимально удовлетворяющие запросам реализации МСЭ могут оказаться не приспособленными к построению на их основе VPN-компонентов. VPN может оказывать существенное воздействие на производительность сети и задержки могут возникать на следующих этапах:
Безопасность электронной почты
Основные почтовые протоколы: (E)SMTP, POP, IMAP.
SMTP - simple mail transfer protocol, 25 порт TCP, нет аутентификации. Extended SMTP - добавлена аутентификация клиентов.
POP - post Office Protocol 3 - получение почты с сервера. Аутентификация в открытом виде. APOP - с возможностью аутентификации.
IMAP - internet message access protocol - незашифрованный почтовый протокол, который комбинирует свойства POP3 и IMAP. Позволяет работать напрямую с почтовым ящиком, без необходимости загрузки писем на компьютер.
Из-за отсутствия каких-либо нормальных средств шифровки информации, решили использовать SSL для шифровки данных этих протоколов. Отсюда появлились следующие разновидности:
POP3 SSL - 995 порт, SMTP SSL (SMTPS) 465 порт, IMAP SSL (IMAPS) - 993 порт, всё TCP.
Злоумышленник, работающий с системой электронной почты, может преследовать следующие цели:
Перехват паролей в POP и IMAP сеансах, в результате чего злоумышленник может получать и удалять почту без ведома пользователя
Перехват паролей в SMTP сеансах - в результате чего злоумышленник может быть незаконно авторизован для отправки почты через данный сервер
Атака на компьютер пользователя посредством рассылки почтовых вирусов, отправка поддельных писем (подделка адреса отправителя в SMTP - тривиальная задача), чтение чужих писем.
Атака на почтовый сервер средствами электронной почты с целью проникновения в его операционную систему или отказ в обслуживании
Использование почтового сервера в качестве ретранслятора при рассылке непрошенных сообщений (спама)
Перехват паролей:
Для решения проблем безопасности с протоколами POP, IMAP и SMTP, чаще всего используется протокол SSL, позволяющий зашифровать весь сеанс связи. Недостаток - SSL - ресурсоёмкий протокол, может существенно замедлить связь.
Спам и борьба с ним
Виды мошеннического спама:
Лотерея - восторженное уведомление о выигрышах в лотереях, в которых получатель сообщения не участвовал. Всё, что нужно - посетить соответствующий сайт и ввести там номер своего счёта и пин-код карты, необходимых якобы для оплаты услуг доставки.
Аукционы - заключается данный вид обмана в отсутствии товара, который продают жулики. Расплатившись, клиент ничего не получает.
Фишинг - письмо, содержащее ссылку на некоторый ресурс, где от вас желают предоставления данных и т. д. Выманивание у доверчивых или невнимательных пользователей персональных и конфиденциальных данных. Мошенники рассылают массу писем, как правило замаскированных под официальные письма различных учреждений, содержащих ссылки, ведущие на сайты-ловушки, визуально копирующие сайты банков, магазинов и др. организаций.
Почтовое жульничество - набор персонала для некоторой фирмы якобы нуждающейся в представителе в какой-либо стране, способного взять на себя заботы о пересылке товаров или переводе денег иностранной компании. Как правило, здесь скрываются схемы по отмыванию денег.
Нигерийские письма - просят внести небольшую сумму перед получением денег.
Письма счастья
Спам бывает массовым и целевым.
У массового спама отсутствуют конкретные цели и используется мошеннические методы социальной инженерии против множества людей.
Целевой спам - техника, направленная на конкретное лицо или организацию, при которой злоумышленник выступает от имени директора, администратора или иного сотрудника той организации, в которой работает жертва или злоумышленник представляет компанию, с которой у целевой организации сложились доверительные отношения.
Сбор адресов осуществляется подбором по словарям имён собственных, красивых слов, частое сочетание слово-цифра, методом аналогии, сканированием всех доступных источников информации (чаты, форумы и т. д.), воровством БД и т. д.
Полученные адреса верифицируются (проверяются, что действующие), путём пробной рассылки сообщения, помещением в текст сообщения, уникальной ссылки на картинку со счётчиком загрузок или ссылка «отписаться от спам-сообщений».
В дальнейшем спам рассылается либо напрямую с арендованных серверов, либо с ошибочно сконфигурированных легальных почтовых сервисов, либо путём скрытой установки на компьютер пользователя злонамеренного ПО.
Злоумышленник усложняет работу антиспам-фильтров путём внесения случайных текстов, шума или невидимых текстов, с помощью графических писем или изменяющихся графических писем, фрагментированные изображения, в том числе использование анимации, префразировка текстов.
Методы борьбы со спамом
Существует 2 основных метода фильтрации спама:
Фильтрация по формальным признакам почтового сообщения
Фильтрация по содержанию
Фрагментация по спискам: чёрным, белым и серым. Серые списки - метод временного блокирования сообщений с неизвестными комбинациями почтового адреса и ip-адреса сервера-отправителя. Когда первая попытка заканчивается временным отказом (как правило, программы спамеров повторную посылку письма не осуществляют). Недостатком способа является возможный большой временной интервал между отправлением и получением легального сообщения.
Проверка, было ли письмо отправлено с настоящего или ложного (поддельного) почтового сервера из указанного в сообщении домена.
«Обратный звонок» (callback) - при получении входящего соединения, сервер-получатель приостанавливает сессию и имитирует рабочую сессию с сервером-отправителем. Если попытка не удалась, приостановленное соединение разрывается без дальнейшей обработки.
Фильтрация по формальным признакам письма: адреса отправителя и получателя, размер, наличие и количество вложений, ip-адрес отправителя и т. д.
Формальный метод
Распознавание по содержанию письма - проверяется наличие в письме признаков спамерского содержания: определённого набора и распределение по письму специфических словосочетаний.
Распознавание по образцам писем (сигнатурный метод фильтрации, включающий в себя графические сигнатуры)
Байесовская фильтрация - фильтрация строго по словам. При проверке пришедшего письма, вычисляется вероятность того, что оно спам, на основании обработки текста, включающей в себя вычисления усреднённого «веса» всех слов данного письма. Отнесение письма к спаму или не спаму, производится по тому, превышает ли его вес некоторую планку, заданную пользователем. После принятия решения по письму, в базе данных обновляются «веса» для вошедших в неё слов.
Лингвистические методы - работающие с содержанием письма
Аутентификация в компьютерных системах
Процессы аутентификации могут быть разделены на следующие категории:
Но основе знания чего-либо (PIN, пароль)
На основе обладания чем-либо (смарт-карта, usb-ключ)
Не основе неотъемлимых характеристик (биометрические характеристики)
Типы аутентификации:
Простая аутентификация, использующая пароли
Строгая аутентификация на основе использования многофакторных проверок и криптографических методов
Биометрическая аутентификация
Основными атаками на протоколы аутентификации являются:
«Маскарад» - когда пользователь пытается выдать себя за другого пользователя
Повторная передача - когда перехваченный пароль пересылается от имени другого пользователя
Принудительная задержка
Для предотвращения таких атак сипользуются следующие приёмы:
Механизмы типа запрос-ответ, метки времени, случайные числа, цифровые подписи и т. д.
Привязка результата аутентификации к последующим действиям пользователей в рамках системы.
Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи.
Аутентификация на основе многоразовых паролей
Аутентификация на основе одноразовых паролей - OTP (one time password) - одноразовые пароли действительны только для одного входа в систему и могут генерироваться с помощью OTP токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP токена, так и на сервере аутентификации.
Простая аутентификация
Односторонней
Двухсторонней
Трёхсторонней
Строгая аутентификация в её ходе доказывающая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Бывает:
Может проводиться на основе смарт-карт или usb-ключей или криптографией.
Строгая аутентификация может быть реализована на основе двух- и трёхфакторного процесса проверки.
В случае двухфакторной аутентификации, пользователь должен доказать, что он знает пароль или пин-код и имеет определённый персональных идентификатор (смарт-карту или usb-ключ).
Трёхфакторная аутентификация подразумевает, что пользователь предъявляет еще один тип идентификационных данных, например, биометрические данные.
Строгая аутентификация, использующая криптографические протоколы может опираться на симметричное шифрование и асимметричное, а также на хеш-функции. Доказывающая сторона доказывает знание секрета, но сам секрет при этом не раскрывается. Используются одноразовые параметры (случайные числа, метки времени и номера последовательностей), позволяющие избежать повтора пеердачи, обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений.
Биометрическая аутентификация пользователя
В качестве наиболее часто используемых биометрических признаков, используются:
Отпечатки пальцев
Рисунок вен
Геометрия руки
Радужная оболочка
Геометрия лица
Комбинации вышеперечисленного
Управление доступом по схеме однократного входа с авторизацией Single Sign-On (SSO)
SSO даёт возможность пользователю корпоративной сети при их входе в сеть пройти только одну аутентификацию, предъявив только один раз пароль или иной требуемый аутентификатор и затем, без дополнительной аутентификации, получить доступ ко всем авторизованным сетевым ресурсам, которые нужны для выполнения работы. Активно применяются такие цифровые средства аутентификации как токены, цифровые сертификаты PKI, смарт-карты и биометрические устройства. Примеры: Kerberos, PKI, SSL.
Реагирование на инциденты ИБ
Среди задач, стоящих перед любой системой управления ИБ, можно выделить 2 наиболее значимые:
Предотвращение инцидентов
В случае их наступления, своевременная и корректная ответная реакция
Первая задача в большинстве случаев основывается на закупке разнообразных средств обеспечения ИБ.
Вторая задача находится в зависимости от степени подготовленности компании к подобного рода событиям:
Наличие подготовленной группы реагирования на инцидент ИБ с уже заранее распределёнными ролями и обязанностями.
Наличие продуманной и взаимосвязанной документации по порядку управления инцидентами ИБ, в частности, осуществлению реагирования и расследования выявленных инцидентов.
Наличие заготовленных ресурсов для нужд группы реагирования (средств коммуникации, ..., сейфа)
Наличие актуальной базы знаний по произошедшим инцидентам ИБ
Высокий уровень осведомлённости пользователей в области ИБ
Квалифицированность и слаженность работы группы реагирования
Процесс управления инцидентами ИБ состоит из следующих этапов:
Подготовка – предотвращение инцидентов, подготовка группы реагирования, разработка политик и процедур и т.д.
Обнаружение – уведомление от системы безопасности, уведомление от пользователей, анализ журналов средств безопасности.
Анализ – подтверждение факта наступления инцидента, сбор доступной информации об инциденте, определение пострадавших активов и классификация инцидента по безопасности и приоритетности.
Реагирование – остановка инцидента и сбор доказательств, принятие мер по остановке инцидента и сохранение доказательной информации, сбор доказательной информации, взаимодействие с внутренними подразделениями, партнёрами и пострадавшими сторонами, а так же привлечение внешних экспертных организаций.
Расследование – расследование обстоятельств инцидентов информационной безопасности, привлечение внешних экспертных организаций и взаимодействие со всеми пострадавшими сторонами, а так же с правоохранительными органами и судебными инстанциями.
Восстановление – принятие мер по закрытию уязвимостей, приведших к возникновению инцидента, ликвидация последствий инцидента, восстановление работоспособности затронутых сервисов и систем. Оформление страхового извещения.
Анализ эффективности и модернизация – анализ произошедшего инцидента, анализ эффективности и модернизация процесса расследования инцидентов ИБ и сопутствующих документов, частных инструкций. Формирование отчёта о проведении расследования и необходимости модернизации системы защиты для руководства, сбор информации об инциденте, добавление в базу знаний и помещение данных об инциденте на хранение.
Перед эффективной системой управления инцидентами ИБ стоят следующие цели:
Обеспечение юридической значимости собираемой доказательной информации по инцидентам ИБ
Обеспечение своевременности и корректности действий по реагированию и расследованию инцидентов ИБ
Обеспечение возможности выявления обстоятельств и причин возникновения инцидентов ИБ с целью дальнейшей модернизации системы информационной безопасности
Обеспечение расследования и правового сопровождения внутренних и внешних инцидентов ИБ
Обеспечение возможности преследования злоумышленников и привлечение их к ответственности, предусмотренной законодательством
Обеспечение возможности возмещения ущерба от инцидента ИБ в соответствии с законодательством
Система управления инцидентами ИБ в общем случае взаимодействует и интегририруется со следующими системами и процессами:
Управление ИБ
Управление рисками
Обеспечение непрерывности бизнеса
Интеграция выражается в согласованности документации и формализации порядка взаимодействия между процессами (входной, выходной информации и условий перехода).
Процесс управления инцидентами ИБ довольно сложен и объёмен. Требует накопления, обработки и хранения огромного количества информации, а так же выполнения множества параллельных задач, поэтому на рынке представлено множество средств, позволяющих автоматизировать те или иные задачи, например, так называемые SIEM-системы (security information and event management).
Chief Information Officer (CIO) – директор по информцаионным технологиям
Chief Information Security Officer (CISO) – руководитель отдела ИБ, директор по информационной безопасности
Основная задача SIEM-систем не просто собирать события из разных источников, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе, а так же своевременно информировать о событии. Перед SIEM-системой ставятся следующие задачи:
Консолидация и хранение журналов событий от различных источников – сетевых устройств, приложений, журналов ОС, средств защиты
Представление инструментов для анализа событий и разбора инцидентов
Корреляция и обработка по правилам произошедших событий
Автоматическое оповещение и управление инцидентами
SIEM-системы способны выявлять:
Сетевые атаки во внутреннем и внешнем периметрах
Вирусные эпидемии или отдельные вирусные заражения, неудалённые вирусы, бэкдоры и трояны
Попытки несанкционированного доступа к конфиденциальной информации
Ошибки и сбои в работе ИС
Уязвимости
Ошибки в конфигурации, средствах защиты и информационных системах.
Основные источники SIEM
Антивирусная защита
Сканеры уязвимостей
Системы для учёта рисков, критичности угрозы и приоретизация инцидентов
Прочие системы защиты и контроля политик ИБ:
DLP-системы
Устройства контроля доступа и т.д.
Данные контроля доступа и аутентификации
Журналы событий серверов и рабочих станций
Сетевое активное оборудование
Системы инвентаризации
Системы учёта трафика
Наиболее известные SIEM-системы:
QRadar SIEM (IBM)
КОМРАД (ЗАО «НПО «ЭШЕЛОН»»)
Перед тем как подробно изучать и обсуждать рынок DLP-систем, нужно определиться с тем, что под этим подразумевается. Под DLP-системами обычно понимают программные продукты, которые созданы для защиты организаций и предприятий от утечек секретной информации. Так и переводится на русский язык сама аббревиатура DLP (полностью - Data Leak Prevention) - "избежание утечек данных".
Такие системы способны создавать цифровой защищенный "периметр" для анализа всей исходящей или входящей информации. Контролируемая данной системой информация - интернет-трафик и многочисленные информационные потоки: документы, выносящиеся за пределы защищаемого "периметра" на внешних носителях, которые распечатываются на принтере, отправляются на мобильные устройства посредством Bluetooth. Поскольку в наши дни рассылка и обмен разного рода информацией - неизбежная необходимость, значение такой защиты очевидно. Чем больше цифровых и интернет-технологий используется, тем большие гарантии безопасности необходимы на ежедневной основе, особенно в корпоративной среде.
Как это работает?
Так как DLP-система должна противодействовать утечкам корпоративной конфиденциальной информации, то она, конечно же, обладает встроенными механизмами диагностики степени конфиденциальности любого документа, находящегося в перехваченном трафике. Распространенными в данном случае являются два способа распознавания степени конфиденциальности файлов: посредством проверки специальных маркеров и путём анализа содержимого.
В настоящее время актуален второй вариант. Он более устойчив перед модификациями, которые могут быть внесены в файл накануне его отправки, а также дает возможность легко расширять количество конфиденциальных документов, с которыми может работать система.
Второстепенные задачи DLP
Кроме своей основной функции, которая связана с тем, чтобы предотвратить утечку информации, DLP-системы также подходят для решения множества других задач, ориентированных на контроль над действиями персонала. Чаще всего DLP-системами решается ряд следующих задач:
- полный контроль использования рабочего времени, а также рабочих ресурсов персоналом организации;
- мониторинг коммуникаций сотрудников с целью обнаружения их возможности причинить вред организации;
- контроль над действиями сотрудников в плане правомерности (предотвращение изготовления поддельных документов);
- выявление сотрудников, которые рассылают резюме, для быстрого поиска персонала на освободившуюся должность.
Классификация и сравнение DLP-систем
Все существующие DLP-системы можно распределить по определенным признакам на несколько основных подтипов, каждый из которых будет выделяться и иметь свои преимущества в сравнении с остальными.
По возможности блокирования информации, которая опознается как конфиденциальная, имеются системы с активным либо пассивным постоянным контролем действий пользователей. Первые системы умеют блокировать передающуюся информацию, в отличие от вторых. Также они намного лучше могут бороться со случайными прохождениями информации на сторону, но при этом могут устроить остановку текущих бизнес-процессов компании, что является не лучшим их качеством в сравнении со вторыми.
Другая классификация DLP-систем может быть выполнена, исходя из их сетевой архитектуры. Шлюзовые DLP функционируют на промежуточных серверах. В отличие от них хостовые применяют агенты, которые работают конкретно на рабочих станциях сотрудников. На данный момент более актуальным вариантом выступает одновременное применение хостовых и шлюзовых компонентов, но первые имеют определенные преимущества.
Мировой современный рынок DLP
В данный момент главные места на мировом рынке DLP-систем занимают компании, широко известные в данной сфере. К ним можно отнести Symantec, TrendMicro, McAffee, WebSense.
Symantec
Symantec сохраняет лидирующие позиции на рынке DLP, хотя этот факт и удивляет, так как многие другие компании могут заменить ее. Решение все так же состоит из модульных компонентов, которые позволяют обеспечивать новейшие возможности, рассчитанные на интеграцию систем DLP в наилучших технологиях. Дорожная технологическая карта на настоящий год составлялась с использованием сведений своих клиентов и является сегодня самой прогрессивной из имеющихся на рынке. Вместе с тем это далеко не самый лучший выбор DLP-системы.
Сильные стороны:
- значительное улучшение технологии Content-Aware DLP для портативных устройств;
- усовершенствование возможностей извлечения контента, по причине чего поддерживается наиболее комплексный подход;
- доработка интеграции возможностей DLP с иными продуктами Symantec (наиболее ярким примером может выступить Data Insight).
То, на что необходимо обратить внимание (немаловажные минусы в работе, над которыми стоит задуматься):
- несмотря на то что дорожная технологическая карта у Symantec считается прогрессивной, реализация ее зачастую происходит с заминками;
- даже при том, что консоль управления является в полной мере функциональной, ее конкурентоспособность не так высока, как заявляют специалисты Symantec;
- нередко клиенты этой системы жалуются на время реакции службы поддержки;
- цена на данное решение по-прежнему значительно выше, чем у разработок конкурентов, которые со временем могут занять лидирующее место благодаря малым изменениям в этой системе.
Websense
Последние несколько лет разработчики регулярно улучшают DLP-предложение Websense. Его смело можно считать полнофункциональным решением. Websense обеспечил современного пользователя расширенными возможностями.
Выигрышные стороны:
- Со стороны Websense выдвигается предложение, связанное с применением полнофункционального решения DLP-системами, поддерживающего конечные точки и обнаружение данных.
- Посредством функции drip DLP возможно обнаружение постепенных утечек информации, достаточно долго длящихся по времени.
Что заслуживает особого внимания:
- Редактировать данные можно только в покое.
- Технологическая карта характеризуется слабой мощностью.
McAfee DLP
Успела подвергнуться множеству изменений положительного характера и DLP-система безопасности McAfee. Ей не свойственно наличие особых функций, однако реализация базовых возможностей организована на высоком уровне. Ключевое отличие, если не считать интеграцию с иными продуктами консоли McAfee ePolicy Orchestrator (EPO), состоит в применении технологии хранения в централизованной базе захваченных данных. С помощью такой базы можно добиться их применения для оптимизации новых правил с целью проведения тестирования на предмет вероятности ложных срабатываний и для того, чтобы сократить время развертывания.
Что больше всего привлекает в данном решении?
Организацию управления инцидентами смело можно назвать сильной стороной решения McAfee. С его помощью осуществляется прикрепление документов и комментариев, сулящих пользу при проработке на любом уровне. Данное решение способно обнаружить нетекстовой контент, например, картинку. Возможен вариант развёртывания DLP-системами от этого разработчика нового решения с целью защиты конечных точек, например, stand-alone.
Достаточно хорошо показали себя функции, нацеленные на развивающиеся платформы, представленные в форме устройств мобильной связи и социальных сетей. Это позволяет им обойти конкурентные решения. Посредством базы данных, содержащей захваченную информацию, осуществляется анализ новых правил, что способствует снижению числа ложных срабатываний и ускорению внедрения правил. Решение McAfee DLP наделено базовыми функциями в виртуальной среде. Планы, касающиеся их развития, ещё не совсем четко сформулированы.
Перспективы и современные DLP-системы
Обзор различных решений, представленный выше, показывает, что все они работают одинаковым образом. По мнению экспертов, главная тенденция развития состоит в том, что «заплаточные» системы, содержащие компоненты от нескольких производителей, занимающихся решением определенных задач, сменятся интегрированным программным комплексом. Этот переход будет осуществлен по причине потребности в избавлении специалистов от решения некоторых проблем. Кроме того, будут постоянно совершенствоваться имеющиеся DLP-системы, аналоги которых не могут обеспечить тот же уровень защиты.
Например, посредством комплексных интегрированных систем будет определяться совместимость компонентов «заплаточной» системы разного рода между собой. Это поспособствует лёгкой смене настроек для массивов огромного масштаба клиентских станций в организациях и одновременно отсутствию трудностей с переносом данных компонентами единой интегрированной системы друг в друга. Разработчики интегрированных систем усиливают специфику задач, направленных на обеспечение информационной безопасности. Ни один канал нельзя оставлять без контроля, ведь по нему часто происходит вероятная утечка информации.
Что будет в ближайшее время?
Западным изготовителям, пытающимся занять рынок DLP-систем в государствах СНГ, пришлось столкнуться с проблемами, касающимися поддержки национальных языков. Они достаточно активно интересуются нашим рынком, поэтому стремятся поддерживать русский язык.
В сфере DLP наблюдается переход к использованию модульной структуры. Заказчику будет предоставлена возможность выбора в самостоятельном порядке требуемых именно ему компонентов системы. Также развитие и внедрение DLP-систем зависит от отраслевой специфики. Вероятнее всего, появятся специальные версии известных систем, адаптация которых будет подчинена работе в банковской сфере или же госучреждениях. Здесь будут учтены соответствующие запросы конкретных организаций.
Корпоративная безопасность
Непосредственное влияние на направление развития DLP-систем имеет использование в корпоративной среде ноутбуков. Этот вид портативных компьютеров имеет гораздо больше уязвимостей, ввиду чего требуется усиление защиты. Из-за специфики лэптопов (возможности кражи информации и самого устройства) производители DLP-систем занимаются разработкой новых подходов к обеспечению безопасности портативных компьютеров.
