с популярності різних каналів витоку, тільки комплексний захист, що покриває всі види комунікації, здатна ефективно убезпечити інформаційні активи. Адже ніщо не завадить переключитися на мережеві канали передачі даних, якщо компанія візьме під контроль порти і приводи робочої станції. Саме принцип комплексності взятий за основу при розгляді рішень для боротьби з витоками. [5]
1.1.2 Аналіз і огляд існуючих методів і рішень виявлення витоку конфіденційної інформації
. 1.2.1 Основні види апаратних продуктів, що захищають від розкрадання інформації:
. 1.2.1.1 Комплексне рішення InfoWatch
Російська компанія InfoWatch поставляє комплексне рішення InfoWatch Enterprise Solution, призначене для виявлення та запобігання витоків конфіденційної інформації, а також забезпечення сумісності з вимогами російських та іноземних нормативних актів. Архітектура комплексного вирішення InfoWatch (рис 1.1) носить розподілений характер і її компоненти доступні також в якості автономних продуктів.
Рис 1.1 Схема взаємодії компонентів InfoWatch Enterprise Solution
До складу InfoWatch Enterprise Solution входять два основних модуля - Traffic Monitor і Net Monitor. Перший запобігає витоку через канали електронної пошти та інтернету, а другий - через принтери і порти робочих станцій. Всі ці компоненти є програмними. Тим часом компанія InfoWatch спільно з «Геліос Комп'ютер» пропонують апаратну реалізацію Traffic Monitor - пристрій InfoWatch Security Appliance. В результаті у замовника з'являється вибір: він може використовувати, як програмний компонент InfoWatch Traffic Monitor, так і апаратний модуль InfoWatch Security Appliance (рис 1.2).
Рис 1.2 InfoWatch Security Appliance
Продукт InfoWatch Security Appliance в масштабі реального часу фільтрує трафік, що передається по протоколах SMTP і HTTP, запобігає витоку конфіденційних документів через корпоративний поштовий шлюз, web-пошту, форуми, чати та інші сервіси в інтернеті. У разі виявлення фактів недотримання корпоративної політики конфіденційності система оперативно повідомляє про інцидент офіцерові інформаційної безпеки, блокує дії порушника і поміщає підозрілі об'єкти в область карантину.
Пристрій InfoWatch Security Appliance відрізняється простотою інтеграції в існуючу ІТ-інфраструктуру: система встановлюється в якості додаткового relay-сервера корпоративної мережі, приймає переслані потоки SMTP і HTTP, а після фільтрації повертає дані відправнику.
Технології виявлення конфіденційних даних, реалізовані в InfoWatch Security Appliance, засновані на скануванні даних, що пересилаються на предмет наявності зумовлених ключових слів і фраз. При цьому фільтр вміє обробляти такі формати даних, як Plain Text, HTML, Word, Excel, PowerPoint, PDF, RTF, різні архіви (ZIP, RAR ARJ). Подальший лінгвістичний аналіз дозволяє врахувати контекст, в якому використовуються ключові слова і фрази, і тим самим істотно підвищити точність аналізу. Також перевіряються атрибути повідомлення на предмет відповідності політиці безпеки, наприклад, розмір листа, адреса DNS-сервера відправника, відповідність чорним і білим списками, наявність шифрування або невпізнаних форматів вкладених файлів. Використовується розпізнавання шаблонів, що дозволяє детектувати недозволену пересилку структурованих даних. Нарешті, процес фільтрації включає порівняння кожного вихідного повідомлення разом з його атрибутами і зразків, представлених у базі даних, яка містить постійно оновлювані «прототипи» конфіденційних повідомлень, специфічних для кожного конкретного замовника. Таким чином, InfoWatch Security Appliance дозволяє виявляти чутливі відомості майже при повній відсутності помилкових спрацьовувань. Крім цього, замовникові пропонується скористатися послугами створення спеціалізованої бази контентної фільтрації, враховує специфіку ділової термінології замовника. [6]
. 1.2.1.2 Апаратне рішення Tizor
Продукт контролює доступ до серверів, на яких розташовані критично важливі дані. Це можуть бути сервери додатків, файлові сервери або сервери баз даних (рис 1.3).
Рис 1.3 Tizor TZX 1000 в корпоративному середовищі
В основі виявлення витоків лежить запатентована технологія Behavioral Fingerprinting. Розробник стверджує, що за допомогою цієї технології продукт в змозі запобігти розкраданню конфіденційної інформації, що не здійснюючи контентної фільтрації. Суть підходу полягає в побудові шаблонів, що описують активність користувачів. Кожен такий шаблон є, свого роду, цифровим відбитком пальців відповідного користувача, однак, визначення аномалій в рамках скоєних людьми дій в будь-якому випадку носить імовірнісний і с...
