تحليل الحوادث في أنظمة الكمبيوتر والشبكات

ملخص

في الشركات الحديثة ، يعد الدخيل الداخلي جزءًا مهمًا من التهديدات الأمنية. لإغلاق مشكلة التسرب ، يوصى باستخدام أنظمة DLP. تقترح هذه المقالة النظر في ثلاثة أنظمة DLP واختيار الأفضل منها.

مقدمة

في الوقت الحالي ، تولي الشركات اهتمامًا كبيرًا للتهديدات الأمنية الخارجية ، وغالبًا ما تتجاهل المخاطر المحتملة داخل المؤسسة. يمكن لأي موظف أن يتسبب في تسرب المعلومات السرية ، سواء كان ذلك عملاً أو إهمالًا متعمدًا ، كما يتسبب في أضرار أكبر للشركة. لذلك ، هناك حاجة لحماية شاملة للمعلومات من التسريبات ، والحل الأنسب لهذه المشكلة هو استخدام أنظمة DLP.

نظام DLP هو مجموعة من البرامج والأجهزة التي تضمن حماية المعلومات من التسريبات عن طريق اعتراض ثم دفق البيانات وحظرها والتي تعبر المحيط في الاتجاه "للخارج" أو تنتشر داخل شبكة الشركة المحمية.

في هذه المقالة ، سيتم النظر في أنظمة DLP من ثلاثة مطوري برامج محليين في مجال أمان المعلومات:

• Searchinform KIB - منتج من Searchinform ؛
• Falcongaze SecureTower ، حل لمنع تسرب البرمجيات تم تطويره بواسطة Falcongaze
• InfoWatch Traffic Monitor هو الرائد في مجموعة شركات InfoWatch.
  سوف تكشف مقارنة هذه المنتجات أنسب نظام للحماية من التهديدات الداخلية.

دراسة

النظر في واجهة Searchinform KIB



في علامة التبويب "بحث" ، يمكنك تكوين البحث عن البيانات واعتراضها عن طريق القوالب والكلمات الرئيسية والعبارات من النظام والمراسلات في الشبكات الاجتماعية والرسائل الفورية. يسمح لك "النشاط الحالي" برؤية شاشة المستخدم في الوقت الفعلي. يقوم "File Auditor" بجمع معلومات حول الملفات والمجلدات الموجودة على الكمبيوتر الشخصي مع إمكانية نسخ الظل. باستخدام "Center Profile" ، يمكنك إنشاء ملف تعريف نفسي للمستخدم بناءً على نشاطه. في علامة التبويب "تقرير" ، يتم تكوين الإبلاغ عن الأحداث المهمة.

بعد ذلك ، فكر في وحدة Falcongaze Secure Tower.



تتضمن وحدة تحكم المستخدم علامات تبويب مثل "Search Information" ، والتي تبحث عن البيانات التي تم اعتراضها ، "Combined Search" ، "Monitoring File Systems" ، والتي تسمح لك بالبحث عن مختلف الملفات على محطات العمل. هناك أيضًا أدوات لمراقبة نشاط المستخدم على الشبكة ومراقبة مكان عمل المستخدم ، وذلك باستخدام اعتراض دفق الصوت والفيديو. في علامة التبويب "مركز التقارير" ، يتم تنفيذ التقارير وفقًا لمعايير مختلفة. يقوم مركز الأمان بتكوين سياسات الأمان. بالإضافة إلى ذلك ، تحتوي وحدة التحكم على أدوات للعمل مع الوثائق أثناء التحقيقات في علامة التبويب المقابلة "مركز التحقيق".

في الختام ، نحن نفحص نافذة مراقبة حركة المرور في InfoWatch الرئيسية.



يحتوي قسم الملخص على معلومات إحصائية حول الانتهاك والمخالفين. في "الأحداث" ، يتم تقديم قائمة بكائنات الاعتراض ووسائل التعامل معها. تتيح لك علامة التبويب "التقارير" عرض الإحصاءات المرئية للكائنات المعترضة. يحتوي قسم "التقنيات" على أدلة قابلة للتحرير من الفئات والمصطلحات ، والكائنات النصية ، والمستندات المرجعية ، والرسائل ذات الرأسية ، والأختام ، والتنزيلات من قواعد البيانات ، فضلاً عن قائمة من الكائنات الرسومية المحددة مسبقًا. يمكن العثور على معلومات المستخدم في علامة التبويب الأشخاص. يحتوي قسم "القوائم" على أدلة قابلة للتحرير للعلامات وموارد الويب والحالات والمحيطات وقائمة ملفات غير قابلة للتحرير. يمكنك تكوين الإجراءات التي يقوم بها النظام استجابة لإجراءات الأشخاص ومحطات العمل في قسم "السياسات".

مقارنة وظيفية

بعد ذلك ، سنقوم بإجراء تحليل مقارن لوظائف أنظمة DLP استنادًا إلى المعلومات العامة المقدمة من قبل الشركات المصنعة في المجال العام. تظهر نتائج المقارنة في الجدول أدناه.

أظهرت الدراسة أن وظيفة جميع المنتجات الثلاثة متشابهة بشكل عام ، وهناك الأدوات اللازمة لتحليل الحوادث في أنظمة الكمبيوتر والشبكات.

استنتاج

تمتلك أنظمة DLP الثلاثة إمكانات واسعة في حماية النظام من التهديدات الداخلية ، لذلك تم اختيار أفضل واحد في هذه الدراسة على أساس سهولة الإعداد وراحة العمل مع النظام.

في Searchinform KIB ، يتم تكوين سياسات الأمان والحوادث في وحدات منفصلة. "InfoWatch Traffic Monitor" هو الحل الأكثر تعقيدًا ، لأنه يتم تنفيذ وظائف إضافية ، على سبيل المثال ، مراقبة نشاط المستخدم ، كمنتج مستقل ، ولا توجد إدارة مركزية.

في "Falcongaze SecureTower" ، تتوفر جميع الوظائف الضرورية في وحدة تحكم واحدة ، مما يجعل هذا النظام هو الأكثر ملاءمة ومفضلًا في إطار الدراسة.