Статья опубликована в рамках: XXXV Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 18 декабря 2017 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
ИССЛЕДОВАНИЕ ТЕХНОЛОГИЙ ВЫЯВЛЕНИЯ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ИЗ КОРПОРАТИВНОЙ СЕТИ
Не проходит недели, чтобы в новостных лентах не упоминалось об очередной зафиксированной утечке конфиденциальных данных. Независимо от отрасли и масштаба компании утечка может быть как преднамеренной, когда, например, в результате сговора происходит передача информации ограниченного доступа компании-конкуренту, так и неумышленной, связанной с халатностью сотрудников: например, не тому отправил документ по почте, потерял флэш-накопитель. Утечка информации, попадающей под категорию ограниченного пользования, может сулить предприятию большими неприятностями, начиная с финансовых потерь, заканчивая снижением репутационных показателей. При этом вопрос о предотвращении утечки конфиденциальной информации, хранимой и обрабатываемой с помощью средств вычислительной техники, становится особенно актуальным [1].
Для борьбы с подобного рода утечками существует множество способов. Можно решать данную проблему организационными мерами, ввести режим коммерческой тайны на предприятии, но сразу же возникает вопрос, как проверить соблюдение данных предписаний? Также можно заблокировать все возможные каналы передачи информации из корпоративной сети. Но насколько работа станет комфортной в таких условиях, и как это соотнесется с бизнес-процессами компании? Можно ввести тотальную слежку за персоналом. В таком случае штат специалистов сильно разрастется, да и эффект видится сомнительным. Можно сделать вывод, что классические инструменты борьбы с утечками не всегда работают и не всегда комфортны с точки зрения бизнеса. Следовательно, у компаний, страдающих от такого рода утечек информации из корпоративной сети, существует потребность в решении, способном в автоматическом режиме (без привлечения существенного числа сотрудников) осуществлять контроль за перемещением конфиденциальной информации за пределы сети по всем возможным каналам утечки.
Существует множество методов, средств, технологий, позволяющих выявить и предотвратить несанкционированную утечку данных за периметр корпоративной сети. Каждый из классов данных средств имеет свои преимущества и недостатки и, соответственно, свою ограниченную область применения. Наиболее комплексный подход в обеспечении предотвращения утечки конфиденциальной информации из корпоративной сети имеют, так называемые системы предотвращения утеки данных (Data Leak Prevention, DLP). DLP-система представляет собой комплекс программно-аппаратных средств, обеспечивающих защиту от угроз нелегитимной пересылки данных путем анализа и блокирования исходящего трафика.
Основная задача системы предотвращения утечек данных: получить описание конфиденциальных данных; после чего уметь распознавать их в потоке, исходящем из внутреннего информационного поля организации вовне; реагировать на обнаруженные попытки (рисунок 1). Именно этот функционал составляет ядро любого DLP-решения [2]. Перехваченная информация анализируется с помощью различных поисковых алгоритмов, а при обнаружении данных, соответствующих выбранным критериям, срабатывает активная компонента системы, оповещая об инциденте сотрудника службы информационной безопасности.
Рисунок 1. Принцип работы DLP-системы
Основным и наиболее ценным модулем любой DLP-системы является компонент, отвечающий за анализ перехваченных данных. Качество анализа перехваченной информации напрямую влияет на эффективность работы DLP-систем. Для детектирования в общей исходящей информации конфиденциальных данных существует несколько технологий, каждая из которых имеет свои преимущества, недостатки и свою ограниченную область применения. Как правило, набор используемых технологий гибко настраивается в каждом определённом случае внедрения DLP-системы. Данный набор и его конфигурация зависит от многих факторов: критерия отнесения информации к критически важной, действующие в компании правила обращения с информацией, спецификой актива данных компании и т.д. Поэтому очень важно грамотно выбрать и настроить технологии детектирования, правильно расставить приоритеты между ложными срабатываниями системы (ошибки 1 рода) и пропусками утечки данных (ошибки 2 рода) [3].
Обычно все технологии детектирования информации разделяют на две большие группы. К одной группе относятся технологии, которые анализируют непосредственно сам текст исходящих документов. Такие технологии называют – контентные. К другой группе относят технологии, которые определяют наличие утечки по анализу свойств документов – контекстные технологии.
К контентным способам детектирования информации относят лингвистический (морфологический, семантический) анализ содержимого. Суть этого метода заключается в поиске в перехваченной информации заранее определенной базы слов и их сочетаний. Для успешной работы этой технологии необходимо не только задать базу слов, по которым будет производиться поиск, но и обеспечить учёт всех возможных форм заданных слов. Основным преимуществом рассматриваемого метода является его универсальность. Лингвистический анализ может использоваться для контроля любых каналов связи, начиная с файлов, копируемых на съемные накопители, и заканчивая их передачей по почте. При этом конфиденциальные документы не подвергаются предварительной обработке. Контроль перемещения информации здесь начинает действовать сразу. Главным недостатком лингвистического анализа является то, что при использовании данного метода достаточно нередки ложные срабатывания. Также эффективность определения конфиденциальной информации очень сильно зависит от используемых алгоритмов поиска информации, от качества семантического ядра.
Технологию анализа шаблонов также относят к контентным способам. Данная технология предназначена для детектирования некоторой стандартизированной информации, используя шаблон данных (маску). Например, таким методом ищут адреса, телефоны, серии и номера паспортов, банковские реквизиты и др. Для этого с помощью различных регулярных выражений необходимо заранее определить строковый шаблон конфиденциальных данных, определяющих количество символов, их порядок, тип (буква или цифра) и пр. После этого система начинает искать в перехваченных данных сочетания, удовлетворяющие заданному шаблону. Главным преимуществом шаблонов является высокая эффективность обнаружения передачи конфиденциальной информации. Если говорить о случаях непреднамеренных утечек она стремится к ста процентам. В инцидентах с неслучайными пересылками сложнее. Зная о возможностях используемой DLP-системы, злоумышленник может противодействовать ей, например, разделяя символы различными символами.
К контекстным способам детектирования информации относят технологию цифровых отпечатков. Алгоритм данной технологии относится к текстам не как к связной последовательности слов, а как к произвольной последовательности символов. Для работы данной технологии необходимо сначала создать базу цифровых отпечатков с заранее определенных конфиденциальных файлов. После этого вся уходящая из компании информация будет проверяться на соответствие этим отпечаткам. Под цифровым отпечатком здесь понимается целый набор характерных элементов документа, по которому его можно с высокой достоверностью определить в будущем. Данный метод позволяет обнаружить не только целые файлы, но и их фрагменты. Преимуществом цифровых отпечатков является и то, что они одинаково хорошо работают с любыми типами файлов, не только текстом, а, например, и изображениями. Использование данной технологии позволяет избежать ложных срабатываний. А наличие пропусков утечки информации зависит от степени и качества предварительной проработки документов компании на предмет снятия цифровых отпечатков [4].
Таким образом, все рассмотренные технологии детектирования утечки конфиденциальных данных обладают как преимуществами, так и недостатками. Сравнивать их эффективность сложно, ведь в каждой определенной ситуации внедрения критерии эффективности будут различны. В любом случае необходимо обучение DLP-системы, в ходе которого будет осуществляться ей тонкая настройка в соответствии со спецификой актива компании и установленными правилами обращения с ним. Во время такой настройки необходимо выбрать и сконфигурировать технологии детектирования в соответствии с их особенностями. Затем в зависимости от количества ложных срабатываний или, наоборот, пропусков утечки, корректировать сделанные настройки.
Список литературы:
- Глобальное исследование утечек конфиденциальной информации в 1 полугодии 2017 года. [Электронный ресурс]. URL: https://www.infowatch.ru/ report2017_half (дата обращения: 13.12.2017).
- Технические средства контроля утечек информации. [Электронный ресурс]. URL: http://www.anti-malware.ru/node/569 (дата обращения: 13.12.2016).
- Морозова Н. С. Проблемы современных систем предотвращения утечек данных с конечных точек сети. // Безопасность информационных технологий. – 2011. - №4. С. 138-143.
- Современные технологии обнаружения утечек. [Электронный ресурс]. URL: https://www.anti-malware.ru/node/8578 дата обращения: 10.04.2016).
дипломов
Оставить комментарий