BYTEmag.ru

Число случаев утечки корпоративных данных стремительно растет, а преступники организуют все более изощренные атаки с целью кражи конфиденциальной информации. В этой ситуации предотвращение потери данных становится критически важным требованием для общей стратегии защиты каждой организации и будущего самого предприятия. Эксперты Gartner отмечают, что рынок систем предотвращения утечек информации DLP (Data Loss Prevention, или Data Leak Prevention) продолжает демонстрировать значительный рост, несмотря на тяжелые экономические условия во всем мире. В число причин продолжающегося укрепления рынка DLP входят все большая зрелость предлагаемых технологий и понимание покупателями того, что эти технологии могут помочь в соблюдении нормативных требований, которые во время кризиса становятся еще более строгими. Напомним, что (по определению Gartner) DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой.

По мнению аналитиков Forrester Research, технология DLP находится сейчас в фазе начального умеренного роста, которая будет продолжаться три-пять лет. Данную технологию отличает большая значимость для бизнеса, которую уже понимают вендоры и начинают понимать корпоративные заказчики. Судя по опубликованным данным, российский бизнес, выявил высокую осведомленность о проблеме утечек, для борьбы с которыми использует в основном сочетание административных и технических мер. Что же касается непосредственно DLP, то около трети из опрошенных уже используют отдельные элементы DLP и примерно столько же планируют покупку подобных систем.

Раньше задачи, которые должна была решать система DLP, считались неразрешимыми с помощью технических средств, а сами системы были слишком сложными для внедрения. Сегодня на рынке существует довольно много продуктов, позволяющих детектировать и предотвращать утечку конфиденциальной информации по тем или иным каналам. Однако комплексных решений, покрывающих все существующие каналы, пока еще значительно меньше. Напомним, что с 2006 г. на рынке DLP произошло несколько крупных поглощений: CA приобрела Orchestria (2008), McAfee присоединила Onigma (2006) и Reconnex (2008), Raytheon приобрела Oakley Networks (2007), RSA (отдел безопасности EMC) — Tablus (2007), Symantec — Vontu (2007), Trend Micro — Provilla (2006), Websense — PortAuthority (2007). В результате, сформировался круг компаний — основных игроков рынка. О роли и месте этих компаний можно судить, в частности, по аналитическим отчетам Magic Quadrant от Gartner (2009) и Wave от Forrester Research (2008). На российском рынке представлены продукты DLP, в частности, следующих компаний: InfoWatch, McAfee, RSA/EMC, Symantec, Trend Micro и Websense (перечислены в алфавитном порядке). По оценке информационно-аналитического центра (ИАЦ) Anti-Malware.ru российский DLP-рынок в 2010 г. должен продемонстрировать темпы роста на уровне 20-30%, достигнув объема в 18-20 млн. долл.

InfoWatch Traffic Monitor

InfoWatch Traffic Monitor является специализированной системы мониторинга и аудита для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать. В новой версии продукта (3.2) введена технология перехвата копии трафика с активного сетевого оборудования, которая позволяет снимать копию всего трафика и передавать ее для дальнейшего анализа на наличие конфиденциальных данных. Это сводит к минимуму влияние процесса мониторинга на сетевую инфраструктуру и, соответственно, на основные бизнес-процессы компании. Важной инновацией также стала возможность централизованного хранения и обработки данных в организациях с территориально распределенной структурой. Размещение центрального хранилища данных в головном офисе позволяет службе безопасности офиса осуществлять контроль и анализ всех действий с конфиденциальными данными во всех филиалах компании. Кроме того, был доработан процесс архивирования устаревших данных, что позволило сократить до минимально необходимого объем информации, хранимой на сервере для обработки и анализа. Это, в свою очередь, сэкономило время на обработку данных за счет увеличения скорости реакции сервера Traffic Monitor на поисковые запросы пользователя.

В прошлом году InfoWatch интегрировала в свои решения для защиты данных от утечки технологию «Семантическое зеркало», что привнесло дополнительные возможности, например, такие как: использование элементов нечеткого поиска слов, возможность обработки многоязыковых текстов и гибкая настройка поиска ключевых слов. Осенью 2009 г. новый модуль «Цифровые отпечатки» (Fingerprints) позволил в рамках решения InfoWatch Traffic Monitor снимать с конфиденциальных документов цифровые «слепки» и отслеживать по ним случаи несанкционированного использования «чувствительных» для компании данных. В ходе X конференции Cisco Expo было объявлено о технологической интеграции InfoWatch Traffic Monitor с решением Cisco IronPort. Интегрированное решение предоставляет пользователям инструменты защиты от внешних и внутренних угроз, а также средства мониторинга и фильтрации данных, передаваемых компанией по каналам HTTP, FTP-over-HTTP и HTTPS, через Web-почту, форумы, чаты, файлы, загружаемые в файло-обменные системы и т.д.

Эксперты Forrester Research (2008) отнесли InfoWatch к числу «претендентов» (Contenders), а вот по данным самой компании она контролирует до 70% российского рынка DLP.

McAfee Host Data Loss Prevention

Система McAfee Host Data Loss Prevention обеспечивает надежный контроль распространения конфиденциальной информации за пределы предприятия по различным каналам, включая: корпоративную и общедоступную Web-почту (mail.ru, gmail.com и т.п.), FTP-соединения, системы передачи мгновенных сообщений (ICQ, MSN, AOL и т.п.), печать документов на принтерах, создание снимков экрана, использование внешних USB-накопителей, пишущих CD/DVD-приводов, а также разнообразных мобильных устройств, сетевые соединения, в том числе, беспроводные (Bluetooth, Wi-Fi и т.п.). Стоит отметить, что это агентское решение (устанавливаемое только на конечные рабочие станции пользователей), что отличает его практически от всех представленных на российском рынке DLP-разработок, ориентированных на крупные компании с большим числом сотрудников и требующих установки в точке выхода за пределы внутренней сети отдельного сервера, через который и осуществляется контроль распространения информации. При этом, аналогичные решения, хотя и поставляются в рамках более дорогих схем лицензирования, обеспечивают менее полный функционал контроля за перемещением конфиденциальной информации на конечных рабочих станциях. Кроме того, они практически не позволяют провести экономически эффективное внедрение при малом числе рабочих станций.

Основная технология защиты McAfee Host DLP — это контекстная фильтрация, а именно установка меток с грифом конфиденциальности документа. Тем не менее, продукт поддерживает и простейшие контентные методы, такие как поиск ключевых слов или регулярных выражений. Стоит отметить, что продукты McAfee, установленные на оконечных устройствах и в сетевой инфраструктуре, управляются единой оболочкой ePolicy Orchestrator (EPO), что снижает расходы на развертывание других решений компании.

К сильным сторонам McAfee эксперты Gartner относят также обладание множеством необходимых контентно-чувствительных технологий, которые со временем должны трансформироваться в комплексные DLP-предложения корпоративного уровня. Предлагаемые решения представляют большой интерес для существующих корпоративных пользователей других оконечных решений McAfee (например, антивирусных программ). Кроме того, компания, отнесенная экспертами к «провидцам» (Visionaries) обладает технологиями шифрования файловых папок и электронной почты.

RSA Data Loss Prevention (DLP) Suite

Решение RSA Data Loss Prevention Suite — это интегрированный пакет продуктов, предоставляющий упреждающий подход к управлению бизнес-рисками, связанными с потерей корпоративных данных. Вместе с модулями Datacenter, Network и Endpoint это комплексное решение по предотвращению потери данных обнаруживает, контролирует и защищает от утери и неправильного использования секретные данные, расположенные в центре обработки данных (ЦОД), в сети или на устройствах назначения (конечных точках).

RSA DLP Datacenter помогает находить секретные данные независимо от того, где в ЦОД они расположены: в файловых системах, базах данных, системах электронной почты или больших средах SAN/NAS. На основании анализа контента система RSA DLP Datacenter выявляет конфиденциальные данные и предоставляет по ним перечень рисков. Решение RSA DLP Datacenter способно устранить риски, выполняя такие действия, как постановка на карантин, удаление конфиденциальных данных или перемещение их в защищенную зону. Благодаря возможности интеграции с Microsoft Rights Management Services (RMS), система RSA DLP Datacenter может автоматически применить к конфиденциальным файлам политики управления правами и предоставить к ним доступ только авторизованным пользователям.

RSA DLP Network помогает снизить возникающие риски путем быстрого и точного обнаружения и анализа данных с последующей реализацией политик их защиты. Это решение способно предотвратить потерю данных одним из двух способов. Во-первых, выполнять пассивный мониторинг для того, чтобы помочь понять специфичные для данной сферы деятельности риски и выявить нарушенные бизнес-процессы. В этом режиме RSA DLP Network рассылает уведомления и предупреждения заинтересованным сторонам, что полезно с точки зрения аудита действий пользователей и обучения пользователей безопасным способам передачи информации. Кроме того, данное решение способно функционировать в активном режиме и реализовывать дополнительные защитные механизмы, такие например, как встроенные средства блокировки электронных писем или использовать интеграцию с внешними системами шифрования данных между абонентами. Вне зависимости от выбранного компанией метода RSA DLP Network снижает вероятность влияния таких передач конфиденциальных сведений на текущую деятельность.

Единственным способом, гарантирующим то, что конфиденциальные данные будут защищены на рабочей станции, является быстрое и точное выявление и анализ мест, в которых остается информация, мониторинг ее перемещения и последующее выполнение действий, например, блокирование данных для предотвращения несанкционированного использования. RSA DLP Endpoint обладает двумя разными функциями, которые работают совместно и помогают снизить риск потери конфиденциальных данных на ноутбуках и настольных ПК. Во-первых, на основании централизованных политик RSA DLP Endpoint помогает выявить и проанализировать конфиденциальные данные на ноутбуках и настольных ПК. Во-вторых, RSA DLP Endpoint усиливает защиту путем блокирования передачи конфиденциальных данных на мобильные устройства, например, USB-носители или диски CD/DVD, а также предоставляет дополнительные возможности по контролю файлов, отправляемых на печать.

Решение RSA/EMC по защите от утечек информации через электронную почту (Email DLP) для Cisco IronPort специально адаптировано для интеграции в продукты Cisco IronPort Email Security. Новые возможности DLP обеспечивают точную и простую в использовании классификацию контента разработанную для анализа и защиты уязвимых данных перед тем, как они покинут компанию через канал электронной почты. Для реализации этого поддерживается более 100 предустановленных политик управления безопасностью, модифицированных исследовательской командой информационной политики и классификации RSA (Information Policy and Classification Research Team).

Эксперты Gartner и Forrester Research относят RSA/EMC к числу лидеров рынка. При этом особо подчеркивается, что данная компания обладает мощными возможностями классификации контента и предоставляет широкий спектр возможностей DLP-анализа, дополняя базовые возможности проверки и распознавания содержимого документов.

Symantec Data Loss Prevention

Symantec Data Loss Prevention представляет собой единое решение для обнаружения, контроля и защиты конфиденциальной информации, где бы она ни хранилась и ни использовалась. Решение обеспечивает широкий охват конфиденциальных данных, находящихся на компьютерах сотрудников, в сетях и системах хранения данных, независимо от того, работает ли пользователь в корпоративной сети или вне ее. В прошлом году компания анонсировала новую версию открытой системы предотвращения утечки данных — Symantec Data Loss Prevention 10, которая включает широкий набор инструментов для выявлении и контроля проблем утечки информации. В целом, открытая DLP-платформа Symantec помогает защитить конфиденциальные данные и предотвратить их потерю, обеспечивая компании средствами шифрования/кодирования, а также корпоративными средствами защиты интеллектуальной собственности (ERM), основанными на контроле содержания. Кроме того, платформа может быть интегрирована с дополнительными решениями Symantec.

Новая функция FlexResponse поможет отделам безопасности применять политику защиты файлов, содержащих конфиденциальную информацию, с использованием шифрования и ERM. До нынешнего момента интеграция DLP с другими ИТ-решениями требовала ручного управления. Кроме того, благодаря партнерству с внешними поставщиками, включая GigaTrust, Liquid Machines, Oracle и PGP Corporation, Symantec сможет предложить клиентам широкий ряд интегрированных опций исправления. Например, компания, которая ограничивает доступ к соглашению по слиянию до небольшой группы лиц, легко сможет настроить DLP на политику классификации информации и использование Microsoft Active Directory Rights Management Services (ADRMS) для применения ERM к копированию этой информации, чтобы обеспечить «гранулярную защиту». В то же время, благодаря поддержке стандарта XML и Web-сервисов Symantec Data Loss Prevention 10 способна передавать полноценные данные по контролю утечек любым приложениям или системам отчетности, в том числе в Symantec Control Compliance Suite.

Новые возможности импорта/экспорта позволят компаниям совмещать текущую политику с новыми правилами, а также делиться опытом, обмениваясь политиками с другими пользователями. За счет интеграции с Symantec Workflow пользователи Symantec Data Loss Prevention 10 могут автоматически запускать основанные на политике процессы, такие как автоматическое шифрование и отключение доступа к конечной точке, при помощи Symantec Endpoint Encryption, Symantec Endpoint Protection и других решений безопасности от Symantec и сторонних поставщиков.

Наличие у компании мощных средств защиты для систем хранения, рабочих станций, электронной почты и Web-шлюзов обеспечивает ей определенные преимущества и приток заказчиков. Относя Symantec к числу безусловных лидеров на рынке, эксперты Gartner и Forrester Research подчеркивают, что позиции этой компании в области контентно-чувствительных DLP-технологий продолжают усиливаться.

Trend Micro LeakProof

Trend Micro LeakProof является полным решением, базирующимся на технологиях контентной фильтрации, которое обеспечивает защиту конфиденциальной информации, например сведений о сотрудниках и клиентах организации, и интеллектуальной собственности посредством мониторинга и блокировки ее утечки по различным каналам. В прошлом году компания представила новую версию системы — LeakProof 5.0, которая поддерживает новые функции и возможности, ориентированные на упрощение и удешевление поиска, мониторинга и блокировки доступа к конфиденциальной информации. LeakProof Standard выпускается в двух модификациях и помогает организациям соблюдать нормативные требования в сфере защиты информации о сотрудниках и клиентах. Версия LeakProof Advanced поддерживает все функции стандартной версии, а также технологию проверки сигнатур DataDNA (ДНК-информации) для защиты интеллектуальной собственности и коммерческой тайны. Программа фонового мониторинга и внедрения LeakProof Client обнаруживает и предотвращает утечки данных на каждом компьютере по всем векторам атак, как в сети, так и за ее пределами. Клиент взаимодействует с сервером для получения обновлений политики и «отпечатков», а также для передачи отчетов о нарушениях. В свою очередь, LeakProof Server обеспечивает централизованное управление обнаружением, извлечением «отпечатков», применением политик и отчетностью.

Компонент Active Update упрощает обновление шаблонов соответствия, контрольных модулей и приложений. Например, любые изменения в приложениях (таких как программы обмена мгновенными сообщениями или Web-почта) успешно отрабатываются благодаря Active Update, что способствует повышению оперативности и динамичности защиты. Возможность автоматического развертывания позволяет избежать задержек и оперативно реагировать на выпуск новых версий приложений. В комплект поставки LeakProof 5.0 входят шаблоны обеспечения соответствия различным стандартам и нормативным требованиям, включая PCI, HIPAA, GLBA и SB1386. Наличие нескольких вариантов развертывания помогает сократить затраты: сервер LeakProof Server можно приобрести как на аппаратной, так и на виртуальной программной платформе, которую можно развернуть в аппаратной или программной среде. Интеграция с Active Directory упрощает развертывание системы и управление.

Система LeakProof 5.0 поставляется в составе комплекта Data Protection Pack, в который также входят продукты Trend Micro LeakProof Standard, Trend Micro Email Encryption Gateway и Trend Micro Message Archiver. Комплект Data Protection Pack обеспечивает защиту сообщений электронной почты и предотвращает утечку конфиденциальной информации во время ее использования, передачи и хранения.

Эксперты Gartner, относящие Trend Micro к категории «нишевых игроков» (Niche Players), среди сильных сторон компании отмечают развитую функциональность решений для оконечных устройств и весьма эффективные алгоритм частичного сравнения и нахождения совпадений в документах.

Websense DataSecurity Suite

Решение Websense DataSecurity Suite (DSS) предназначено для защиты важной информации и интеллектуальной собственности от утечек и обеспечения соответствия нормативным документам. На основе запатентованной технологии PreciseID и формируемых администраторами политик предотвращения утечек, решение Websense DSS идентифицирует конфиденциальные данные и отслеживает их дальнейшее использование. Технология PreciseID, изначально разработанная компанией PortAuthority Technologies для военного ведомства Израиля, отлично зарекомендовала себя в более ста реализованных коммерческих проектах. PreciseID проверяет схожесть передаваемых данных с защищаемыми конфиденциальными данными и позволяет максимально точно обнаруживать фрагменты информации, заимствованные из конфиденциальных источников.

Пакет Websense DSS состоит из четырех полностью интегрированных продуктов, которые могут быть развернуты в соответствии с потребностями заказчика для:

  • обнаружения и классификации данных, хранящихся в сети организации;
  • для мониторинга передаваемых данных и выявления нарушения политик безопасности;
  • для мониторинга и предотвращение утечек конфиденциальных данных и выявления нарушения политик безопасности;
  • для предотвращения утечек данных с компьютеров пользователей.

Не всегда известно, какая информация является конфиденциальной и где именно она расположена. Websense Data Discover обеспечивает сетевое обнаружение и классификацию конфиденциальных данных на компьютерах пользователей, мобильных компьютерах, файл-серверах и т.д. без установки агентов. В зависимости от места обнаружения конфиденциальных данных могут применяться различные политики. Продукт может приобретаться как отдельно, так и в составе интегрированного пакета Websense DSS.

Websense Data Monitor выполняет мониторинг внутренних и внешних каналов передачи информации, включая электронную почту, сетевую печать, FTP, HTTP, HTTPS, системы мгновенного обмена сообщениями и другие каналы. Websense Data Monitor помогает организациям осуществлять аудит бизнес-процессов с целью выявления, кто, куда, каким образом и какую информацию передает, собирая важные сведения, необходимые для снижения риска утечки данных и соблюдения регулятивных норм.

Websense Data Protect включает в себя Websense Data Monitor и обеспечивает встроенный механизм автоматической блокировки утечек данных на основе корпоративных политик. Это решение по предотвращению утечек данных, позволяющее сканировать SMTP- и HTTP-трафик в исходном виде, в котором он передается по сети (режим inline). Websense Data Protect позволяет блокировать передачу данных, изолировать в карантин, запрашивать подтверждение на выпуск письма, принудительно шифровать сообщения, рассылать оповещения, а также применять мощный арсенал системы управления инцидентами.

Websense Data Endpoint обеспечивает обнаружение конфиденциальных данных, мониторинг и предотвращение утечек информации с компьютеров пользователей, как находящихся в корпоративной сети, так и вне ее. Для идентификации данных используются цифровые отпечатки данных и шаблоны политик. Решение предотвращает утечки данных по таким каналам, как USB-устройства, устройства печати, приложения мгновенного обмена сообщениями, операции копирования/вставки, печать экранного изображения и другие.

Каждый из четырех продуктов обеспечивает большие возможности контроля передаваемой информации, аудита соблюдения норм, оценки и снижения рисков утечек данных. Развитая среда Websense DSS позволяет строить политики на основе бизнес-процессов, обеспечивая защиту данных без ущерба для бизнеса. С помощью технологии PreciseID в сочетании с сетью сканеров безопасности Websense ThreatSeeker Network решение Websense DSS позволяет точно идентифицировать и классифицировать данные в сети и на компьютерах пользователей. Централизованная система управления и отчетности предоставляет мощные инструменты анализа, выявления и устранения инцидентов, а также генерации отчетов. Возможности Websense DSS могут быть расширены с помощью других решений Websense Web Security.

Эксперты Gartner и Forrester Research единодушно относят компанию к числу лидеров, отмечая, что Websense предлагает решения с мощной функциональностью во всех трех ключевых сферах, что обеспечивает ее конкурентоспособность.

Перейти на главную страницу обзора