Системы предотвращения утечек конфиденциальной информации DLP
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ОСНОВНАЯ ЧАСТЬ
§1 Системы предотвращения
утечек конфиденциальной информации
§2 Этапы развития
DLP-систем
§3 Анализ передаваемой
информации
§4 Процесс внедрения
DLP-системы
§5 Компоненты системы
§6 Программные решения,
представленные на рынке.
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМОЙ
ЛИТЕРАТУРЫ
ВВЕДЕНИЕ
С развитием информационных технологий в современном мире появляется все
больше устройств и средств, предназначенных для хранения и передачи информации.
С одной стороны, это открывает широкие возможности, так как позволяет
сотрудникам компаний быть мобильными и решать бизнес-задачи вне зависимости от
своего места нахождения. С другой стороны, отследить передвижение важных для
бизнеса компании данных в таких условиях становится крайне сложно.
Какие данные относятся к конфиденциальным, каждая компания определяет
сама. Для одних это будет информация о новом продукте или технологии, для
других - данные клиентской базы. Но суть всегда одинакова - утечка
конфиденциальных данных является прямой угрозой для бизнеса, и игнорирование
проблемы может привести к катастрофическим последствиям.
Причинами утечек информации являются различные факторы: неосторожность
или компьютерная неграмотность сотрудников, намеренная кража информации как
собственными сотрудниками (инсайдерами), так и мошенниками, использующими
различные средства проникновения в корпоративную сеть (трояны, шпионские
программы и т.п.).
ОСНОВНАЯ
ЧАСТЬ
утечка конфиденциальный
информация
§1 Системы
предотвращения утечек конфиденциальной информации
Существует множество способов борьбы с утечками конфиденциальных данных,
как на уровне организационных процедур, так и на уровне программных решений.
Одним из наиболее эффективных методов является внедрение системы защиты от
утечек конфиденциальных данных DataLeakPrevention (DLP) - технологии
предотвращения утечек конфиденциальной информации из информационной системы
вовне, а также технические устройства (программные или программно-аппаратные)
для такого предотвращения утечек.системы строятся на анализе потоков данных,
пересекающих периметр защищаемой информационной системы. При детектировании в
этом потоке конфиденциальной информации срабатывает активная компонента
системы, и передача сообщения (пакета, потока, сессии) блокируется.
Используются также следующие термины, обозначающие приблизительно то же
самое:
· Data Leak Prevention (DLP),
· Data Loss Prevention (DLP),
· Data Leakage Protection (DLP),
· Information Protection and Control
<#"552890.files/image001.gif">
Рисунок 1 - Компоненты системы SDLP
Центральным компонентом для всей линейки является платформа управления
SymantecDataLossPreventionEnforcePlatform, которая позволяет определять и
распространять на другие компоненты решения политики по предотвращению потери
конфиденциальных данных. Данный компонент также предоставляет единый
веб-интерфейс для управления и работы с решениями линейки SDLP.
Symantec Data Loss Prevention Network Discover
Компонент SymantecDataLossPreventionNetworkDiscover обнаруживает
незащищенные конфиденциальные данные, сканируя такие информационные ресурсы,
как файловые хранилища, базы данных, почтовые серверы, веб-серверы и т.п.
Symantec Data Loss Prevention Data Insight
Компонент SymantecDataLossPreventionDataInsight позволяет отслеживать
доступ к конфиденциальной информации для автоматического определения владельцев
этих данных, что позволяет повысить гибкость процессов выявления
конфиденциальных данных и управления ими.
Symantec Data Loss Prevention Network Protect
Компонент SymantecDataLossPreventionNetworkProtect является дополнением,
расширяющим функциональность компонента
SymantecDataLossPreventionNetworkDiscover в части снижения риска потери
незащищенных конфиденциальных данных путем переноса этих данных с публичных
хранилищ на сетевых серверах в карантин или защищенные хранилища.
Компоненты SDLP NetworkDiscover и SDLP NetworkProtect осуществляют защиту
от утери конфиденциальных данных со следующих информационных ресурсов:
· сетевые файловые системы (CIFS, NFS, DFS и др.);
· локальные файловые системы на рабочих станциях и ноутбуках;
· локальные файловые системы (Windows, Linux, AIX, Solaris);
· БД LotusNotes;
· MicrosoftExchange;
· MicrosoftSharePoint;
· Documentum и др.
Symantec Data Loss Prevention Endpoint Discover и Symantec Data Loss Prevention
Endpoint Prevent
Эти компоненты представлены двумя модулями:
Агент SDLP Agent, который устанавливается на рабочие станции
пользователей (в том числе ноутбуки) и обеспечивает выполнение следующих
функций:
· обнаружение незащищенных конфиденциальных данных на
пользовательских рабочих станциях;
· блокировка передачи конфиденциальных данных (съемные носители
информации, CD/DVD, печать, средства обмена мгновенными сообщениями и т.п.).
Сервер SDLP EndpointServer, который обеспечивает связь агентов SLDP Agent
с платформой управления SDLP EnforcePlatform и позволяет определять политики
мониторинга конфиденциальных данных и блокировку их передачи с пользовательских
рабочих станций.
Агент SDLP Agent предотвращает утечки конфиденциальных данных с
пользовательских рабочих станций и корпоративных ноутбуков при попытке их
передачи с использованием:
· внешних накопителей информации (USB, SD, Compactflash,
FireWire);
· записи на CD/DVD;
· сети (HTTP/HTTPS, Email/SMTP, FTP, IM);
· средств печати/факса;
· копирования конфиденциальных данных в буфер обмена.
Symantec Data Loss Prevention Network Monitor
Компонент SymantecDataLossPreventionNetworkMonitor в реальном времени
отслеживает сетевой трафик на наличие конфиденциальной информации и формирует
уведомления при попытке передачи такой информации за пределы внутренней сети.
Symantec Data Loss Prevention Network Prevent
Компонент SymantecDataLossPreventionNetworkPrevent блокирует передачу
конфиденциальной информации средствами почтовых и веб-коммуникаций.
Компоненты SDLP NetworkMonitor и SDLP NetworkPrevent обеспечивают защиту
от утечек конфиденциальных данных при попытке их передачи следующими способами:
· электронная почта (SMTP);
· средства обмена мгновенными сообщениями (IM);
· веб-почта, форумы, соц. сети и т.д. (HTTP, HTTPS);
· протокол передачи файлов (FTP);
· торренты (Peer-to-peer);
· Telnet;
· любые другие сессии через любой порт TCP.
§6 Программные
решения, представленные на рынке
DeviceLock
6.4.1
DeviceLock 6.4.1 - современное программное средство, предназначенное для
защиты и администрирования локальных и сетевых компьютеров путем предотвращения
неконтролируемых действий пользователя при обмене информацией через
компьютерные порты и устройства со сменными носителями.
Использование неавторизованных USB-устройств представляет угрозу
корпоративным сетям и данным. Причем не только конфиденциальная информация
может "уйти" из корпоративной сети через USB-порт, но и вирусы или
троянские программы могут быть занесены внутрь корпоративной сети, минуя
серверные сетевые экраны и антивирусы. Точно так же дело обстоит сзаписывающими
CD/DVD-приводами.
Обеспечивая контроль над пользователями, имеющими доступ к портам и
устройствам локального компьютера, DeviceLock 6.4.1 закрывает потенциальную
уязвимость в защите простым и экономичным способом. DeviceLock 6.4.1 полностью
интегрируется в подсистему безопасности Windows, функционируя на уровне ядра
системы, и обеспечивает прозрачную для пользователя защиту.
Рисунок 2 -Принцип работы DeviceLock 6.4.1.
Программный комплекс DeviceLock 6.4.1 обеспечивает выполнение ряда
требований руководящих и нормативных документов по защите конфиденциальной
информации и персональных данных. DeviceLock 6.4.1 успешно применяется в качестве
сертифицированного средства защиты информации от НСД при построении
автоматизированных системдля работы с конфиденциальной информацией, а так же в
информационных системах любых классов для работы с персональными данными.6.4.1
имеет действующий сертификат ФСТЭК России Сертификат №2144, сертифицирован на
соответствие Заданию по Безопасности, соответствует требованиям руководящего
документа "Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей" (Гостехкомиссия
России, 1999) - по 4 уровню контроля и имеет оценочный уровень доверия ОУД 2 в
соответствии с руководящим документом "Безопасность информационных технологий.
Критерии оценки безопасности информационных технологий" (Гостехкомиссия
России, 2002).
SecureTower
Комплексное программное решение для защиты от утечки персональных данных
и любой конфиденциальной информации, циркулирующей в сети предприятия,
содержащейся в базах данных и документах.обеспечивает контроль над всеми
потоками информации, передаваемыми по сети, перехватывая и сохраняя в базу
данных трафик. Служба безопасности незамедлительно получает автоматические
уведомления обо всех случаях несанкционированной передачи конфиденциальных
данных, даже если они отправляются при использовании шифрованных каналов, или
SSL-протоколов.формирует подробные статистические отчеты о сетевой активности
сотрудников (фотография рабочего дня), из которых видно кто и как использует корпоративные
ресурсы, позволяя оценить эффективность работы персонала.
Типы контролируемых данных
· электронные письма почтовых клиентов, использующих протоколы
POP3, SMTP, IMAP (например, MSOutlook, Thunderbird, TheBat!), электронные сообщения MSExchangeServer;
· сообщения коммуникационных программ, использующих протоколы
обмена мгновенными сообщениями OSCAR (таких как ICQ/AIM), MMP (таких как
Mail.Ru Агент), MSN (таких как WindowsMessenger) и XMPP (Jabber) (таких как
Miranda, GoogleTalk, QIP Infium, PSI), а также текстовые и голосовые сообщения
в Skype
· файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS, а
также в программах-мессенджерах (ICQ, WindowsMessenger и т.д.) или по
электронной почте в качестве вложений
· SSL-трафик, передаваемый по шифрованным протоколам (включая
HTTPS, FTPS, защищённые протоколы SSL для POP3, SMTP и мессенджеров)
· содержимое баз данных MS SQL Server, Oracle, PostgreSQL,
SQLite
· данные, передаваемые на внешние устройства (USB-устройства,
съемные жесткие диски, карты памяти, съемные накопители, CD/DVD и флоппи-диски)
· печать данных на локальных и сетевых принтерах.
Решаемые задачи
· Контроль случайной или преднамеренной утечки информации-
комплексное программное решение для защиты от преднамеренного хищения или
утечки по неосторожности персональных данных и любой другой конфиденциальной
информации, циркулирующей в сети предприятия по максимальному количеству
каналов, а также содержащейся в базах данных и документах.
Обеспечение сохранности персональных и конфиденциальных данных
Уникальной возможностью SecureTower является функционал, обеспечивающий
надежную защиту от возможных утечек информации непосредственно из баз данных.
Это позволяет по методу цифровых отпечатков без промежуточных операций
контролировать содержимое хранилищ структурированной информации, которые обычно
содержат конфиденциальные персональные данные, ценные контактные данные,
абонентские базы и другую коммерческую информацию.
Программа поддерживает MS SQL Server, Oracle, PostgreSQL, SQLite и легко
может быть адаптирован для работы с любой другой СУБД.
Метод анализа данных по цифровым отпечаткам вместе с использованием
традиционных лингвистических, атрибутивных и статистических методов, не только
повышает эффективность контроля над утечками конфиденциальной информации, но и
позволяет контролировать сохранность личных данных, в соответствии с
Федеральным Законом «О персональных данных».
· Оценка лояльности сотрудниковформирует подробные и наглядные
статистические отчеты о сетевой активности сотрудников, позволяя оценить
лояльность и эффективность работы персонала, а также узнать, насколько целевым
является использование сотрудниками корпоративных ресурсов
компании.минимизирует трудозатраты по расследованию инцидентов утечки
информации и повышает эффективность работы службы информационной безопасности
за счет снижения процента ложных срабатываний. Это достигается благодаря гибким
настройкам инструмента для создания как простых, так и многокомпонентных правил
безопасности.
· Формирование архива бизнес-коммуникаций компании
Весь перехваченный трафик анализируется и сохраняется в базе данных.
Программа создаёт своеобразный архив для ведения «истории» внутрикорпоративных
бизнес-процессов и событий. Это позволяет расследовать любой случай утечки
конфиденциальной информации в ретроспективе. Обратившись к определенному
сообщению, можно просмотреть всю историю общения абонентов.
Zgate
Система Zgate обеспечивает контроль и архивирование электронной почты в
масштабах предприятия, минимизируя риск утечки конфиденциальной информации и
существенно облегчая расследование инцидентов.
Сейчас уже никто не сомневается, что защита от утечек конфиденциальной
информации необходима любой организации - от небольшой компании до крупной
корпорации. Руководители понимают, что потеря или кража конфиденциальных данных
ведет не только к прямым финансовым убыткам, но и к снижению доверия со стороны
клиентов, партнёров и инвесторов. Любая утечка данных, даже отправка письма с
конфиденциальными документами по ошибочному адресу, приводит к повышенному
интересу со стороны регулирующих органов и СМИ. Это увеличивает риски
финансовой ответственности за нарушение отраслевых стандартов и
законодательства, регулирующих защиту персональных данных и другой
конфиденциальной информации.
Система Zgate компании SECURIT разрабатывалась с учетом преимуществ и
недостатков существующих DLP-решений. Zgate позволяет блокировать утечки
конфиденциальных данных по сетевым каналам. Для обнаружения и блокировки утечек
в Zgate используется гибридный анализ, включающий в себя множество современных
технологий детектирования конфиденциальных данных. Применение гибридного
анализа позволило повысить эффективность детектирования со среднестатистических
60-70% для существующих DLP до 95% у Zgate.анализирует все данные, передаваемые
сотрудниками за пределы локальной сети организации, и позволяет предотвращать
утечки конфиденциальной информации по сетевым каналам - через электронную
почту, социальные сети, интернет-мессенджеры и т. д.В Zgate используются
современные технологии, которые безошибочно определяют уровень конфиденциальности
передаваемой информации и категорию документов с учетом особенностей бизнеса,
требований отраслевых стандартов и законодательства России, СНГ, Европы и
США.позволяет контролировать и архивировать:
· Переписку в корпоративной электронной почте.
· Письма и вложения, отсылаемые через сервисы веб-почты.
· Общение в социальных сетях, на форумах и блогах.
· Сообщения интернет-пейджеров.
· Файлы, передаваемые по FTP.
Для проведения внутренних расследований и профилактики утечек Zgate
записывает подробную информацию обо всех происходящих инцидентах - передаваемые
данные, сведения об отправителе, получателе, канале передачи и т. д. Встроенная
система отчетности предоставляет полный набор инструментов для наглядного
анализа сохраненных данных и улучшает эффективность процесса принятия решений
по происходящим инцидентам. В дополнение к нескольким десяткам готовых отчетов
в Zgate встроен специальный конструктор, дающий возможность создавать,
сохранять и публиковать неограниченное количество индивидуальных отчетов.
Решаемые задачи
· Категоризация всей пересылаемой информации. Zgate анализирует
сетевой трафик и разбирает пересылаемые данные по различным категориям.
· Обнаружение и блокировка утечек конфиденциальных данных в
реальном времени. Большинство DLP-систем работают в «пассивном» режиме, то есть
лишь оповещают о факте утечки. В отличие от них, Zgate действительно
предотвращает утечки в реальном времени.
· Предупреждение утечек информации. Большую часть утечек
информации можно предотвратить, если своевременно обнаружить подозрительную
активность и изменить политики безопасности. Zgate еще на ранней стадии
обнаруживает подозрительную активность, что позволяет дополнительно сократить
риски утечки конфиденциальных данных.
· Архивирование всей пересылаемой информации. Zgate архивирует
корпоративную электронную почту, сообщения и файлы, передаваемые через
интернет-пейджеры, социальные сети, веб-почту, форумы, блоги и т. д.
Архивируемые данные записываются в СУБД OracleDatabase или Microsoft SQL
Server.
· Приведение политик безопасности в полное соответствие с
требованиями отраслевых стандартов и законодательства. В частности,
использование систем защиты от утечек регламентируется стандартами Банка
России, Кодексом корпоративного поведения ФСФР, PCI DSS, SOX, Basel II и
множеством других документов.
Преимущества Zgate
· Для обнаружения и своевременной блокировки утечек информации
в Zgate применяется гибридный анализ, использующий более 10 специализированных
технологий.
· Zgate контролирует сообщения и файлы, отправляемые через
более чем 15 видов интернет-пейджеров и более чем 250 различных веб-сервисов -
от почты Mail.Ru до видеохостингаYouTube.
· Zgate может интегрироваться с MicrosoftForefront TMG
(Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP
(InternetContentAdaptationProtocol) - BlueCoat, Cisco ACNS, Squid и т. д.
· Система Zgate совместима с любой почтовой системой (MTA) и
контролирует письма и вложения, отправляемые через MicrosoftExchangeServer, IBM
LotusDomino, CommuniGatePro и т. д.
· Zgate поддерживает анализ более 500 форматов файлов, в том
числе MicrosoftOffice, OpenOffice.org, изображения, а также обработку архивов
заданного уровня вложенности.
· Все пересылаемые письма, сообщения и файлы помещаются в
специальный архив, не имеющий ограничений по объему и сроку хранения данных.
· В установку Zgate включено более 50 шаблонов, с помощью
которых можно определять конфиденциальные данные. Это существенно сокращает
трудозатраты при внедрении.
· Для настройки защиты информации в Zgate используются
специальные политики безопасности, имеющие до 30 различных параметров.
· Управление Zgate осуществляется через единую систему
управления DLP-решениями Zconsole, которая также поддерживает управление Zlock
и ZserverSuite.
Технологии обнаружения конфиденциальной информации
· DocuPrints. Технология DocuPrints работает по принципу
«цифровых отпечатков» и основана на сравнении анализируемых документов с
заранее созданной базой цифровых отпечатков конфиденциальных документов. В
результате сравнения определяется вероятность того, что в документе
присутствует конфиденциальная информация. Для начала использования технологии
DocuPrints достаточно задать расположение конфиденциальных документов, и Zgate
самостоятельно создаст базу отпечатков и будет автоматически поддерживать ее в
актуальном виде.
· MorphoLogic. Технология MorphoLogic с использованием
морфологического анализа проверяет пересылаемые данные на предмет нахождения в
них конфиденциальной информации. Технология MorphoLogic реализована аналогично
методам, используемым в поисковых системах, и даёт возможность анализировать
текст с учетом различных грамматических словоформ.
· SmartID. Интеллектуальная технология SmartID - это разработка
компании SECURIT, которая уже после первоначального «обучения» может начать
самостоятельно опознавать передачу конфиденциальных данных. В процессе работы
работыSmartID накапливает «опыт» анализа и категоризации данных и с каждым
разом повышает точность категоризации. Точность работы SmartID уже после первой
недели работы обычно составляет более 95 %.
Zlock
Система Zlock позволяет гибко настроить права доступа к портам и
устройствам и минимизировать риск утечки информации, связанный с
несанкционированным использованием внешних устройств, прежде всего,
USB-накопителей.
По различным оценкам, от 60 до 80 % атак, направленных на получение
информации ограниченного доступа, начинается из локальной сети предприятия
(интрасети).
Особенную актуальность проблема внутренних угроз получила в связи с
появлением и повсеместным распространением мобильных накопителей информации,
подключаемых через USB-порты: flash-диски, винчестеры с USB-интерфейсом и т. д.
Для предотвращения утечек корпоративных документов через мобильные
устройства, прежде всего USB-накопители, может использоваться разработка
компании SECURIT - DLP-система Zlock. Zlock позволяет предотвращать утечки
конфиденциальной информации через периферийные устройства с помощью гибкой
настройки политик доступа, анализа содержимого передаваемых файлов и
блокирования несанкционированного копирования документов.
Для каждого типа устройств Zlock предполагает возможность гибкой
настройки прав доступа на основе списков контроля доступа (ACL). Для каждого
физического или логического устройства и для каждого пользователя или группы
пользователей из ActiveDirectory можно разрешить либо полный доступ, либо
чтение, либо запретить доступ. Инструмент контентного анализа позволяет
настраивать контроль копирования файлов на мобильные накопители и чтения с них
по типам файлов и содержимому передаваемых документов.
Подключаемые устройства могут идентифицироваться по любым признакам,
таким как класс устройства, код производителя, код устройства, серийный номер и
т. д. Это дает возможность назначать разные права доступа к устройствам одного
класса, например, запретить использование USB-накопителей, но при этом
разрешить использование USB-ключей для аутентификации пользователей.
Система Zlock компании SECURIT позволяет обеспечить надежную защиту
данных компании от утечек на внешних носителях путем
разграничения доступа к любым внешним устройствам и портам рабочих
станций.
Политики доступа
Разграничение доступа к внешним устройствам в Zlock осуществляется на
основе политик доступа. Политика доступа - это логическое понятие, которое
связывает описание устройств и прав доступа к ним.
Права доступа могут иметь следующий вид:
· полный доступ;
· доступ только на чтение;
· запрет доступа.
Права доступа могут применяться как для всех, так и иметь индивидуальные
настройки для пользователей или групп пользователей на основе ACL (аналогично
разграничению прав доступа к папкам или файлам в Windows).
Политики доступа можно настраивать по типам файлов для ограничения
операций с документами определенного формата (для USB-устройств). Zlock
поддерживает более 500 наиболее распространённых в корпоративной среде форматов
файлов, в том числе MicrosoftOffice и OpenOffice.org.
При настройке политик по содержимому передаваемых документов существует
возможность открыть полный доступ к устройствам, ограничив запись, чтение или
печать файлов, содержащих конфиденциальную информацию (для USB-устройств и
принтеров).
Политики могут иметь временной интервал или быть одноразовыми. Это
позволяет, например, давать разные права доступа в рабочее и нерабочее время
либо разрешить однократный доступ к устройству (доступ прекратится, как только
пользователь извлечет устройство).
В системе Zlock существует особый вид политики - это «политика по
умолчанию». Она описывает права доступа к устройствам, которые по тем или иным
причинам не попадают под действия других политик. Например, можно с помощью
такой политики по умолчанию запретить использовать все USB-устройства, а с
помощью обычной политики - разрешить использовать какое-то определенное
устройство.
Дополнительно в Zlock реализована возможность задавать специальные
политики доступа, которые применяются в зависимости от того, подключен ли
компьютер к сети непосредственно, подключен через VPN или работает автономно.
Это расширяет возможности по управлению доступом к устройствам и позволяет,
например, автоматически заблокировать доступ ко всем внешним устройствами на
ноутбуке, как только он отключается от корпоративной сети.
При этом в Zlock у каждой политики есть свой приоритет, который позволяет
определить, какие права доступа будут применяться, если одно устройство
описывается сразу в нескольких политиках и имеет там разные права доступа.
Поддерживаемые устройства
Система Zlock позволяет разграничивать доступ к следующим видам
устройств:
· любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры,
карманные компьютеры и т. д.;
· локальные и сетевые принтеры;
· внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA,
сетевые карты и модемы, FDD-, CD- и DVD-дисководы, жесткие диски;
· любые устройства, имеющие символическое имя.
В Zlock есть возможность создать каталог устройств, который будет хранить
всю информацию об устройствах сети и позволит создавать политики на основе этих
данных.
Контентный анализ
При записи документов на USB-устройства, чтении с них и печати на
принтерах Zlock может анализировать содержимое файлов, обнаруживать в них
конфиденциальные данные и блокировать действия пользователя в случае выявления
нарушений политик безопасности.
Для обнаружения конфиденциальной информации в файлах применяется
гибридный анализ - комплекс технологий детектирования данных разного типа:
· Технология MorphoLogic с использованием морфологического
анализа- позволяет исследовать текст динамических и вновь созданных документов
с учетом различных грамматических словоформ.
· Шаблоны регулярных выражений - особенно эффективны при поиске
конфиденциальной информации, имеющей фиксированную структуру, в частности,
персональных данных.
· Поиск по словарям - позволяет обнаруживать данные,
относящиеся к определенным категориям, существенным для организаций разного
рода деятельности.
· Анализ замаскированного текста и транслита.
Удаленное управление
Удаленное управление системой Zlock осуществляется через единую консоль
для решений SecurIT. C помощью нее администратор может устанавливать клиентские
части, создавать и распространять политики Zlock, производить мониторинг
рабочих станций, просматривать данные теневого копирования.
При необходимости установка клиентских частей на рабочие места
пользователей может производиться без перезагрузки компьютеров, что позволяет
ускорить внедрение и сделать его незаметным для пользователей.
В системе Zlock существует возможность разграничения доступа к функциям
управления для администраторов. Это позволяет, в частности, разделить функции администратора
безопасности, который осуществляет весь комплекс действий по управлению
системой, и аудитора, который имеет право только на просмотр собранных системой
событий и данных теневого копирования.
В Zlock для обычных пользователей предусмотрена возможность послать
администратору запрос на доступ к определенному устройству. На основе запроса
администратор безопасности может создать политику, разрешающую доступ к
устройству. Это обеспечивает максимально оперативное реагирование на запросы
пользователей и простоту адаптации политики безопасности к нуждам
бизнес-процессов.
Взаимодействие с ActiveDirectory
В Zlock реализована тесная интеграция с ActiveDirectory. Она заключается
в возможности загрузки доменной структуры и списка компьютеров корпоративной сети
в Zlock. Это позволяет увеличить удобство использования системы и повысить
возможности по масштабируемости.
Развертывание и управление Zlock можно осуществлять не только из консоли
управления Zlock, но и с помощью групповых политик (grouppolicy) ActiveDirectory.
Через групповые политики можно выполнять установку, удаление и обновление
Zlock, а также распространение политик доступа и настроек системы.
Данная возможность позволяет упростить внедрение и использование системы
в крупных корпоративных сетях. Кроме этого расширяются возможности по
администрированию Zlock в компаниях с разделенными службами информационных
технологий и информационной безопасности - сотруднику службы безопасности
необязательно иметь привилегии локального администратора на компьютерах
пользователей, поскольку внедрение и управление системой осуществляется
средствами домена.
Мониторинг
В Zlock существует возможность мониторинга клиентских рабочих станций.
Данная функция предусматривает периодический опрос клиентских модулей Zlock и выдачу
предупреждений в случае попытки несанкционированного отключения Zlock на
рабочей станции, изменения настроек или политик доступа.
Реакция на эти события может настраиваться с помощью подключаемых
сценариев (скриптов) на языках VBscript или Jscript. С использованием таких
сценариев можно выполнять любые действия - посылать уведомления по электронной
почте, запускать или останавливать приложения, и т. д.
Сбор событий и их анализ
Система Zlock реализует расширенный функционал по ведению и анализу
журнала событий. В журнал записываются все существенные события, в том числе:
· подключение и отключение устройств;
· изменение политик доступа;
· операции с файлами (чтение, запись, удаление и переименование
файлов) на контролируемых устройствах.
В состав Zlock входит средство для анализа журналов, которое обеспечивает
формирование запросов любых видов и вывод результатов в формате HTML. Кроме
этого, использование для журнала универсальных форматов хранения данных
позволяет воспользоваться любыми сторонними средствами анализа и построения
отчетов.
Предоставление доступа к устройствам по телефону
В Zlock реализована возможность разрешить пользователям доступ к
устройствам, используя лишь телефонную связь с администратором Zlock. Это
необходимо в тех случаях, когда пользователю нужно срочно получить доступ к
определенному устройству или группе устройств, а он находится не в
корпоративной сети. В такой ситуации сотрудник компании и администратор просто
обмениваются секретными кодами, в результате чего создаются и применяются новые
политики доступа.
При этом администратор Zlock может создать как постоянно действующую, так
и временную политику, которая перестанет действовать после отключения
устройства, завершения сеанса Windows или по истечении заданного времени. Это
позволит более оперативно реагировать на запросы пользователей в
безотлагательных ситуациях и соблюдать разумный баланс между безопасностью и
бизнесом.
Архив (теневое копирование)
В Zlock существует возможность автоматически выполнять архивирование
(теневое копирование,- shadowcopy) файлов, которые пользователи записывают на
внешние накопители. Это позволяет контролировать ситуацию даже в том случае,
если пользователю разрешена запись на внешние устройства, поскольку
администратор безопасности всегда будет точно знать, какую информацию сотрудник
записывает на внешние накопители.
Вся информация, записываемая пользователем на внешний носитель, незаметно
для него копируется в защищенное хранилище на локальной машине и потом
переносится на сервер. Функция теневого копирования создает точные копии
файлов, которые пользователь записывают на устройства, и расширяет возможности
аудита, позволяя проводить расследование возможных инцидентов.
Теневое копирование может отслеживать информацию только для определенных
пользователей, групп пользователей и носителей, которые подпадают под действие
конкретной политики доступа Zlock. Это делает теневое копирование высокоточным
инструментом, применение которого позволяет службе безопасности предприятия
получать только ту информацию, которая ей нужна.
Дополнительно в Zlock реализовано теневое копирование распечатываемых
документов. Это дает возможность контролировать действия пользователей даже в
том случае, если им разрешено использование принтеров, но необходимо точно
знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная
информация и сам распечатанный документ в формате PDF.
Сервер журналирования
В Zlock есть возможность сохранять журналируемые события на сервер
журналирования. Он позволяет быстрее и надежнее собирать, хранить и
обрабатывать журналы событий Zlock.
Клиентские модули Zlock записывают все происходящие события на сервер
журналирования, при этом, если он недоступен, информация о событиях временно
хранится на клиенте. Когда соединение с сервером восстанавливается, эта
информация пересылается на сервер.
Сервер журналов может записывать информацию о событиях в базу данных
Microsoft SQL Server, OracleDatabase или в XML-файлы. Использование для
хранения событий Microsoft SQL Server или OracleDatabase позволяет обеспечить
более высокую надежность и производительность.EMS предназначен для
централизованного хранения и распространения политик и настроек Zlock.
Синхронизация с ZlockEnterpriseManagementServer происходит с заданной
администратором периодичностью и включает в себя проверку текущих политик и
настроек агентов и их обновление в случае необходимости. Синхронизация
происходит по защищенному каналу и может распространяться как на всю сеть, так
и на определенные домены, группы или компьютеры.
Контроль целостности Zlock
В Zlock имеется возможность контроля целостности файлов и настроек Zlock.
Если какие-либо компоненты Zlock были несанкционированно модифицированы,
возможность входа в систему будет лишь у администратора. Это позволит защитить
Zlock от изменений со стороны пользователей и вредоносных программ.
McAfee Host Data Loss Prevention
Система защиты от утечек, основанная на агентском контроле использования
конфиденциальной информации.DLP состоит из агентских программ, устанавливаемых
на рабочие станции сотрудников, и сервера управления.
Вычислительная часть решения McAfeeHost DLP функционирует на уровне
конечных рабочих станций заказчика. Для этого на каждый компьютер
централизованно рассылается и устанавливается программа - агентский модуль
McAfeeHost DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать,
даже имея права администратора.
Для обучения системе необходимо выделить папки (на файловом сервере), в
которых будут расположены защищаемые файлы. Согласно заданной администратором
безопасности политике, на защищаемые документы «навешиваются» метки.Эти метки
существуют в параллельных потоках NTFS и не видны невооруженным взглядом.
Метки видны агентским программам McAfeeHost DLP. Этот агент может
ограничить отправку, запись на сменные носители, копирование в буфер и прочие
операции, противоречащие установленным политикам для конкретного пользователя с
конкретной меткой.
Локально метки работают вкупе с цифровыми отпечатками (для слежения не
только за контейнером, но и контентом). При открытии или копировании с сервера
секретного документа агентская программа McAfeeHost DLP отследит метку
документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от
передачи за пределы станции в соответствии с установленными политиками безопасности.
Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и
созданный на основе этого фрагмента новый документ унаследует метку.
В существующую инфраструктуру должны быть установлены агентские модули на
каждую рабочую станцию и установлен сервер управления:
По результатам работы агентских программстатистика
инцидентовцентрализованно собирается на управляющий сервер McAfeeePolicy для
анализа.
Основные возможности решения заключаются в 10 правилах реакции, которые
может выполнять клиент на рабочих станциях:
1. Application File Access Protection Rule. Позволяет контролировать доступ
пользователей (ведение логов) к конфиденциальной информации;
2. ClipboardProtectionRule. Позволяет выполнять блокировку
копирования в буфер обмена для определенного контента. К примеру, копирование
информации через буфер обмена, содержащей словосочетание «финансовый отчет» из
программы Excel в Word может быть запрещено;
. EmailProtectionRule. Позволяет анализировать исходящие сообщения
в электронной почте и блокировать утечку конфиденциальной информации;
4. Network File System Protection Rule. Позволяет отслеживать перемещение
конфиденциальной информации между контролируемыми компьютерами, а также ее
копирование на сменные носители;
. NetworkProtectionRule. Позволяет блокировать передачу
конфиденциальной информации через сетевые протоколы TCP\IP;
. PrintingProtectionRule. Позволяет выполнять анализ и, в случае
необходимости, блокировку печати документов, если контент отправленных на
печать документов содержит конфиденциальную информацию;
7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в
случае необходимости, блокировку печати документов в файл или формат PDF;
. RemovableStorageProtectionRule. Позволяет детектировать и в
случае необходимости блокировать передачу на внешний носитель конфиденциальной
информации;
. ScreenCaptureProtectionRule. Позволяет блокировать выполнение
операции «PrintScreen» для определенных приложений;
. WebpostProtectionRule. Позволяет перехватывать post-запросы в
InternetExplorer - например, исходящие почтовые сообщения на веб-почте
(mail.ru, yandex.ru).
Websense
Data Security Suite (DSS)
Система защиты от утечек информации, основанная на контроле исходящего
сетевого трафика, поиска хранимых данных, агентского контроля.
Решение состоит из нескольких модулей:
1. DataDiscover - модуль, осуществляющий сканирование корпоративной
сети (компьютеров, серверов) и поиск разбросанной конфиденциальной информации;
2. DataProtect - модуль, осуществляющий анализ исходящего трафика по
всем каналам передачи, мониторинг и блокирование утечки;
. DataMonitor - модуль, аналогичный DataProtect, только без
блокирования;
. DataEndpoint - модуль, осуществляющий контроль конечных рабочих
станций, ноутбуков на локальное перемещение конфиденциальной информации и
контроль запуска приложений.
Схема работы Websense DSS не отличается от классической для DLP-систем:
Подготовка перечня секретной информации
Для того чтобы решение Websense DSS заработало у клиента, потребуется
предварительно выделить и классифицировать конфиденциальные сведения, которые
планируется защищать. Документы в электронном виде следует разложить по
файловым папкам.
Внедренная система Websense DSS обратится к хранилищу защищаемых
документов и баз дынных, снимет цифровые отпечатки подготовленных документов.
Администратор безопасности настраивает правила реагирования на
перемещение секретных документов.
Моментально о нарушении узнаёт ответственное лицо, которое может
ознакомиться с письмом, отправленным его подчиненным, принять решение о досылке
письма, либо возбуждении расследования.
Возможности решения далеко не ограничены рассмотренным сценарием.
Например, система Websense DSS способна с высокой степенью вероятности
обнаруживать стандартные структурированные документы, например, резюме
сотрудников, финансовые отчеты, паспортные данные, - в том числе и
русскоязычные.
Решение Websense DSS может быть встроено в инфраструктуру заказчика
различными способами.
Рассмотрим один из распространенных вариантов. Для установки решения
Websense DSS потребуется как минимум один сервер «DSS Manager» уровня HP DL380,
который будет выполнять анализ всего корпоративного трафика. Дополнительно
может быть рекомендован еще один сервер «DSS Protector» (перехватчик), уровня
HP DL360. Итого, 2 сервера на предприятие до 5000 пользователей, передающих
электронные сообщения через центральный офис.DSS может быть установлен и
работать как в «прозрачном режиме» - для мониторинга трафика (без
видоизменения, - отказоустойчивый вариант):
Рисунок 3 - «Прозрачный» режим работы Websense DSS
Так и в разрыв исходящего трафика (для мониторинга и предотвращения
утечек):
Рисунок 4 - Режим разрыва исходящего трафика
На схемах сервера Websense обозначены как «Фильтр» и «Перехватчик». Для
обеспечения контроля информации, сохраняемой на внешние носители,
«перехватчиком» будет являться агентская программа WebsenseDataEndpoint,
устанавливаемая непосредственно на рабочие станции пользователей или ноутбуки.
При необходимости обеспечения централизованной обработки трафика от
нескольких территориально распределенных офисов холдинга заказчика,
выстраивается иерархия из серверных компонент Websense.
ЗАКЛЮЧЕНИЕ
Как показывают опубликованные данные опроса Deloitte ведущих
мировыхфинансовый компаний, 49% респондентов зафиксировали внутренние инциденты
(связанные с IT-безопасностью). В 31% случаев инсайдеры занесли вирусы изнутри
корпоративной сети, а с инсайдерским мошенничеством столкнулись 28%
респондентов. 18% организаций стали жертвами утечки приватной информации
клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть.
Организации, которые пострадали от внутренней утечки, признаются, что большая
доля угроз является следствием безалаберности или халатности служащих
(человеческий фактор - 42%, операционные ошибки - 37%), а не злого умысла
инсайдеров. Правда, 28% стали жертвой тщательно продуманного и
профессионального мошенничества, а 18% компаний лишились приватной информации
клиентов именно из-за того, что инсайдеры целенаправленно допустили утечку.
Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых
компаний осуществляют мониторинг действий служащих, а 75% вводят различные
ограничительные меры на использование тех или иных технологий либо устройств.
По данным исследовательского центра компании InfoWatch,
специализирующейся на производстве и продаже систем DLP, за 2008 год - 42%
утечек информации происходит неумышленно по неаккуратности или забывчивости
пользователей, вследствие нарушений политик корпоративной безопасности
организаций. Более 40% информации уходит по Интернет-каналам, и 30% - по
мобильным устройствам. Более 65% информации утекает из коммерческих предприятий,
около 20% из образовательных и 24% из государственных предприятий.
Системы DLP на сегодняшний день наиболее эффективный инструмент для
защиты конфиденциальной информации, и актуальность данных решений будет со
временем только увеличиваться. Согласно статье 19 ФЗ-№152 («Оператор при
обработке персональных данных обязан принимать необходимые организационные и
технические меры, в том числе использовать шифровальные (криптографические)
средства, для защиты персональных данных от неправомерного или случайного доступа
к ним, уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий») и пункту 11
Постановления РФ-№781 («при обработке персональных данных в информационной
системе должно быть обеспечено проведение мероприятий, направленных на
предотвращение … передачи их лицам, не имеющим права доступа к такой
информации») необходимо выполнить требования, которые именно системы DLP в
состоянии наиболее эффективно решить.
С учетом представленных статистических данных и требований правовых
актов, понятно, что востребованность и актуальность систем DLP очень высока и
не уменьшается с течением времени.
СПИСОК
ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Websense
Data Security Suite (DSS).<http://www.leta.ru/products/websense-dss.html>
. McAfee
Host DLP.<http://www.leta.ru/products/mcafee-host-dlp.html>
3. Мастер-класс «Системы
DLP: Ваша конфиденциальная информация не уйдет «на сторону».
<http://www.topsbi.ru/default.asp?trID=1206>
. Системы DLP - Who? What? Where? How?<http://www.topsbi.ru/default.asp?artID=1675>
5. Системы защиты от
утечек (DLP).
<http://www.infokube.ru/index.php/products/categories/category/dlp>
. Как работают
DLP-системы: разбираемся в технологиях предотвращения утечки
информации.<http://www.xakep.ru/post/55604/>
. Защита от утечек
конфиденциальных данных Symantec DLP.
<http://computel.ru/decision/ssb/Symantec/>