از داده های خود محافظت کنید

با بسط یافتن این، فعالیت ها می توانند بلوک شوند، دسترسی کاربران می تواند به یک ایستگاه کاری غیر ممکن گردد و یک سیستم می تواند حتی shut down شود. SureView همچنین قابلیت های قانونی خوبی دارد، شرایطی که بازرسان( (investigator ها می توانند جستجوهای کاملاً متنی ارتباط های اخیراً ذخیره شده بر روی سرور و همچنین داده هایی که درون پایگاه داده سیستم ذخیره گردیده اند را اجرا کنند. در نهایت، این راهکار بسط پذیری قابل قبولی دارد. هر چند که هر یک از ابزارها ۵۰۰ کاربر را اداره می کنند، اما آنها می توانند کلاستربندی شوند. خط مشی های این ابزارها به صورت متمرکز مدیریت می شود. به علاوه، یک مخزن واحد برای همه داده ها وجود دارد، که این امر موجب تسهیل شدن کار بازرسی می شود. Oakley Networks SureView ۳.۳ به صورت کلی امنیت و راحتی و سادگی را متوازن می نماید. آن خط مشی ها را بر روی منبع اعمال و پیاده سازی می کند و داده ها را گردآوری می نماید. سیستم همه کانال های ارتباطی شامل رسانه های قابل جابجایی را مانیتور می کند. یک مساله که من دوست دارم بهتر مد نظر قرار گیرد حریم خصوصی است، به خصوص که ثبت و بازپخش ارتباطات بسیار کامل است و می تواند مورد سوءاستفاده قرار گیرد. Reconnex iGuard ۱/۲ Reconnex مفتخر به نمایاندن مشکلات امنیتی به سازمان ها است. iGuard این کار را با بازبینی و رده بندی تمامی اشیاء محتوایی که بر روی شبکه شما می بیند با سرعت خط گیگابیت و با ارسال فوری هشدارهایی در مورد هر گونه نقض خط مشی به مسئولان امنیت به این افتخار نائل آمده است.در عین حال، سخت افزار ۶۴ بیتی که به آسانی مهیا گردیده است همه عناصر را در Reconnex File System با کارآیی بالا ذخیره می کند در حالی که متاداده های در مورد هر انتقال درون یک پایگاه داده SQL ذخیره می شود. دو مزیت در اینجا حاصل می شود. گزارش ها با استفاده از مجموعه های قواعد از پیش تعریف شده یا دلخواه شما، پایگاه داده را مورد پرس و جو قرار می دهند و نشان می دهند که شما چگونه در جهتی مطابق با شرایط نظارتی کار می کنید، شامل Sarbanes-OxleyوGLBA ((Gramm-Leach-Bliley Act. علاوه بر این، بازرسان می توانند جستجوهای forensic فوری پایگاه داده را انجام دهند و به صورت مستقیم با فایل یا متن در سوال، لینک برقرار کنند. این به دست اندکاران امنیت امکان یافتن رخنه ها را می دهد قبل از آن که داده ها به دست افراد بی صلاحیت برسد. در تست قبلی، من دریافتم که iGuard می تواند اندکی ساده تر و سریع تر کار کند، و آن می تواند وظایف (role) انعطاف پذیرتری داشته باشد حوزه هایی که ۲‎/۱ Guard آنها را مد نظر قرار داده است.
داشبوردها جامع تر هستند، به گونه ای که اکنون لیست های خلاصه ای از رویدادها، کاربران، مکان، ریسک، و ترافیک شبکه فراهم می آورند. علاوه بر این، Executive Summary به شکلی اجمالی تر مشکلات عمده را نشان می دهد، مشکلاتی از قبیل این که کدام خط مشی ها بیش از سایرین نقض شده اند.مدیران، Network Summary را در کسب آگاهی از هر گونه مورد خلاف قاعده (anomaly) مفید خواهند یافت. برای نمونه، پس از مشاهده یک افزایش ترافیک در یک زمان مشخص طی چندین روز، من یک جستجوی برنامه ریزی نشده را بر روی داده ذخیره شده انجام دادم تا ایستگاه کاری مظنون را بیابم.به شکلی مشابه، Location Summary همه آدرس های IP خارجی را به یک منطقه جغرافیایی معین resolve می نماید. اگر شما شاهد خروج داده ها از شبکه تان باشید و خواهان آگاهی از این مطلب باشید که آیا جریان داده ها به یک کشور خاص وارد می شوند این ویژگی برای شما ارزشمند خواهد بود. من به راحتی عمل پیمایش را از این گزارش های سطح بالا شروع کردم، این کار را بر روی لیست های رویدادها ادامه دادم و در نهایت بر روی جزئیات یک نقض قاعده خاص به این پیمایش خاتمه دادم. علاوه بر نشان دادن اطلاعات مرتبط با رویداد، iGuard اکنون رشته های صحیحی را که منطبق هستند مشخص می نماید. این به بررسی کنندگان در تصمیم گیری در مورد این مطلب که آیا رویداد یک تشخیص اشتباه است یا به یک تحلیل کامل تر نیاز دارد یاری می رساند. اگر مورد دوم لازم باشد، یک صفحه جزئیات همه واقعیت های مورد نیاز را ارائه می دهد، شامل لینک هایی به ضمیمه های ایمیل در عین مشخص نمودن همه خط مشی ها و مجموعه قواعدی که نقض شده اند. به علاوه، این نسخه با سرورهای DHCP ارتباط برقرار می کند، که رویدادها را به یک نام ماشین خاص مرتبط می سازد؛ معمولاً این صرفاً با استفاده آدرس های IP دشوار است چون آنها به صورت مکرر تغییر می یابند. خط مشی های انطباق پیش ساخته و قواعدی که شیوه بکارگیری این خط مشی ها را تعریف می کنند از نسخه قبلی به نسخه جدید انتقال یافته اند. هر دو به سادگی تغییر می یابند یا تازه ساخته می شوند. مثلاً، من می توانم یک قاعده برای اطلاعات حساب بانکی ایجاد کنم که اگر رهنمودهای California SB۱۳۸۶ یا GLBA در یک پیغام ایمیل نقض شدند یک هشدار جدی را ارسال نماید. علاوه بر این، قواعد امکان تنظیم آستانه ها را برای من فراهم می آورند، که به کاهش تعداد تشخیص های نادرست کمک می کنند. هر چند که این تعامل خوب است، اما Reconnex قصد دارد پیشرفت های بیشتری را به وجود آورد، شامل جستجو و فیلترینگ از خلاصه ها (summaries)، به علاوه پیوند با مدیریت حالت.یک دغدغه اصلی که در مورد همه محصولات تهدیدهای داخلی وجود دارد حفاظت از حریم خصوصی کارمندان است۲.‎/۱ iGuard با استفاده از حساب های کاربری و گروهی از عهده این کار برآمده است. این ها امکان محدودسازی مشاهده و ویرایش خط مشی ها را برای من فراهم آوردند به اضافه نوع رویدادهایی که در داشبورد هر تحلیلگر ظاهر می شود.
اما، ۵‎/۰ Vontu کنترل بیشتری را بر روی چیزی که هر کاربر ثبت شده می تواند مشاهده کند فراهم می آورد. سیستم عامل ۶۴ بیتی iGuard و سخت افزاری که به طرز خاصی مهندسی شده است در اسکن نمودن پروتکل های شناخته شده شبکه برای ارتباط های مشکوک بسیار عالی عمل کرد. آنها دقیقاً همه رویدادهایی که با یک خط مشی انطباق داشتند را ثبت نمودند در عین حالی که امکان ایجاد یک پنجره زمان rolling برای نگهداری بقیه ترافیک را در اختیار من قرار دادند. این توان پردازش جدید، همچنین امکان انجام اسکن real-time نوع های پیچیده سند از قبیل PDF را که پیش از این امکان پذیر نبود فراهم می نماید. Reconnex به بهبود بخشیدن به iController ادامه می دهد، یک سیستم برای ثبت اطلاعات محرمانه و سپس جستجو برای این اسناد به طور کلی یا در چندین بخش بر روی شبکه. هر چند که این دقت را افزایش می دهد، یافتن داده در حالت غیر فعال یک ویژگی ارزشمند خواهد بود. در پایان، همچنان یک نقطه ضعف برای دسترسی به همه این داده ها وجود دارد: تلاش در جهت یافتن بخش خاصی از اطلاعات به منظور resolve کردن یک بازرسی قانونی. نسخه ۲‎/۱ یک زبان پرس و جوی قدرتمند را به همراه تکمیل خودکار فراهم می نماید که من را به آسانی قادر به ایجاد یک پرس و جوی جستجو نمود. فقط ظرف چند ثانیه من محتوای خاصی که با استفاده از SMTP در یک محدوده زمانی خاص فرستاده شده بود را یافتم.Reconnex iGuard ۱/۲ از جنبه های متعددی بهبود یافته است، شامل قابلیت استفاده، کارآیی و میزان هوشمندی فراهم شده برای رویدادها. شما به ندرت راهکاری را خواهید یافت که هم ترافیک خروجی و هم ترافیک ورودی را تحلیل کند. به علاوه، این راهکار به خوبی باز است و با سیستم های مدیریت امنیت از قبیل ArcSight Enterprise Security Manager یکپارچه می شود.
نسل دوم محصول Content Alarm NW متعلق به Tablus یک اسکنر قابل ستایش شبکه است، که رخنه های داده و نقض های امنیتی بسیاری را می یابد. این شرکت دریافته است که راهکارهای امنیتی سنتی معمولا ناکافی می باشند. به علاوه موثرترین محصولات آنهایی هستند که برای موارد نقض انطباق، حدس را فراتر از مانیتورینگ به کار می برند. به نظر من بر مبنای یک قضاوت زودهنگام، این نیازها در مجموعه ۳‎/۰ Content Alarm که در راه است برآورده خواهند شد. همانند محصولات Vontu و Reconnex، عرضه جدید Tablus مجهز به یک داشبورد اجرایی مبتنی بر وب است که گزارش های Top ۱۰ را شامل می شود. به نوبه خود، یک مدیر نقاط مشکل دار را با یک نگاه می بیند، و می تواند به راحتی جزئیات رویداد را مشاهده کند. خط مشی ها حفاظت خارج از چارچوب را در مقابل سرقت هویت و موارد نقض انطباق با قواعد فراهم می آورند. مدیریت رویداد سازمانی در۳‎/۰ Content Alarm ویژگی جدیدی محسوب می گردد. در این حوزه، Tablus امکان دسترسی به رویدادها را فقط بر یک مبنای نیاز-به-دانستن فراهم می سازد. برای مثال، بازرسان مالی نمی توانند رویدادهای منابع انسانی را ببینند. به علاوه، دسترسی هر گروه به اطلاعات معینی محدود شده است.
هشدارهای real-time در Tablus مدیران را در مورد مشکلات در تمام روز، به روز نگاه می دارند. یک قابلیت غیر معمول، اعلان های رویداد را از طریق کانال های بسیاری شامل ایمیل، پیغام رسان فوری، و feedهای RSS ارسال می نماید. در گام بعدی، جریان کاری درونی امکان گشودن و بستن رویدادها، تغییر اولویت، و نسبت دادن موارد به سایر تحلیلگران را در اختیار بازرسان قرار می دهد. این به Tablus در رقابت با رقبا کمک می کند. Content Alarm DT، قسمت agent جدیدی که کنترل بر روی اطلاعات محرمانه را در دسک تاپ فراهم می آورد، یک مزیت را برای شرکت در پی دارد. در شیوه معمول agent، مدیران از اعمالی همچون کپی و paste، چاپ، یا انتقال فایل ها به درایو های USB ممانعت به عمل می آورند. اما چیزی که متفاوت است، این است که سازمان ها به صورت متمرکز اقدام به تعریف نمودن خط مشی ها در کل مجموعه می کنند، که این امر باید زحمت مدیریت را کاهش دهد. من همچنین خط مشی های تطبیق پذیر سیستم را می پسندم، که به صورت real-time بر مبنای مورد کاربرد تغییر می یابند. برای مثال، اگر Content Alarm مطلع شود که یک شخص اقدام به دانلود یا آپلود فایل های بزرگ می نماید، آنگاه آن کاربر می تواند قرنطینه شود.
به علاوه، فقط برنامه های قابل اعتماد مجاز به تعامل با داده های محرمانه هستند، که باید یک لایه اضافی از حفاظت در مقابل wormها و ویروس ها ارائه نمایند. بخش دسک تاپ همچنین معماری توزیع شده Content Alarm و متوازن سازی load آن را بکار می برد، آن باید برای پیاده سازی های بزرگ استفاده شود. در نهایت، Tablus دارای استراتژی صحیح و مناسب است: محافظت از شبکه و دسک تاپ با مانیتورینگ فعالیت ها و ممانعت از خروج داده از سازمان در کلیه مرزها. پیاده سازی، مدیریت و نگهداری این طراحی ساده است. اکنون دیگر با Tablus است که این استراتژی را به اجرا درآورد.