Zero-day documents

В трафике DLP-системы типичного предприятия около 10% объёма составляют документы, которые родились в этот же день. Понятно, что нельзя рассчитывать на их предварительную ручную классификацию, разметку и категоризацию. Это следует делать автоматически.

Ручная или полуручная классификация может быть приемлема для архива, приказов, кадрового учёта, шаблонов, библиотеки, то есть документов, которые могут подождать обработки денёк-другой. Помянутые 10% – ждать не могут, решение по ним (блокировать или нет, шифровать или нет, сделать теневую копию или нет) надо принять прямо сейчас. В этом решении не всегда можно опереться на базу заранее категоризированных документов, находя там фрагменты или структуры, совпадающие с анализируемым сообщением. 

Поэтому DLP на основе сигнатур годятся только для архивов, где изменений мало и есть время для ручной обработки.

Полная автоматизация в DLP-системах необходима не только для соблюдения тайны связи, т.е. чтобы избежать ознакомления человека с текстом сообщений (пока не получена санкция отправителя/получателя). Автоматизация и отсутствие человеческого звена в обработке нужна для оперативности, чтобы сегодняшние документы приходили по назначению сегодня, текущие – текли, свежие – не черствели.

Ручная фильтрация неприемлема прежде всего по соображениям времени.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах