DeviceLock Endpoint DLP Suite. Часть 2

Автор: Марат Давлетханов
Опубликовано: 04.12.2013
Источник: SoftKey.info

DeviceLock Endpoint DLP Suite. Р§Р°СЃС‚СЊ 2

В одной из прошлых статей мы начали разговор о продукте DeviceLock Endpoint DLP Suite. Это комплексное DLP-решение, которое предназначено для защиты конфиденциальной информации от утечек как через локальные, так и через сетевые каналы передачи данных. DeviceLock Endpoint DLP Suite – чисто российский продукт, существующий уже более десяти лет. В прошлый раз мы рассказали об архитектуре решения, рассмотрели способы его администрирования, а также модуль DeviceLock. Он является основным, осуществляет контроль локальных каналов передачи информации и необходим для работы всей системы в целом. Сегодня же речь пойдет о дополнительных модулях: NetworkLock, ContentLock и DeviceLock Search Server. Они лицензируются отдельно и позволяют расширять функциональные возможности решения.

NetworkLock

Модуль NetworkLock предназначен для контроля сетевых каналов утечки конфиденциальной информации. Традиционно для решения этой задачи используются так называемые шлюзовые решения. Они работают на уровне корпоративного прокси-сервера и обрабатывают весь трафик, входящий и/или выходящий за пределы локальной сети. Рассматриваемый модуль реализован иначе. Никаких шлюзовых компонентов нет, а контроль осуществляется непосредственно агентами, установленными на рабочих станциях сотрудников. В случае с DeviceLock Endpoint DLP Suite такой подход логичен. Во-первых, система не может работать без установленных агентов (об этом мы говорили в прошлой статье), так что никакой дополнительной работы при внедрении модуля NetworkLock нет. А, во-вторых, их использование позволяет контролировать зашифрованную передачу информации, перехватывая трафик до шифрования (это касается службы Skype и протоколов HTTPs и FTPs).

Так какие же каналы может контролировать рассматриваемый модуль? Речь идет, прежде всего, о всевозможных способах передачи данных через Интернет. Поддерживаются практически все варианты. В первую очередь это электронная почта. Причем как передаваемая с локальных клиентов по протоколам SMTP и MAPI, так и с помощью веб-сервисов (поддерживаются Gmail, Yahoo!Mail, Hotmail, Mail.Ru, AOL Mail, Yandex.Mail, WEB.DE, GMX.de).

Также DeviceLock Endpoint DLP Suite "умеет" контролировать столь полюбившиеся большинству офисных сотрудников социальные сети. Речь идет о перехвате надписей на "стенах", комментарив, переписки путем обмена сообщениями с другими участниками и пр. Рассматриваемый продукт поддерживает достаточно широкий перечень социальных сетей: Facebook (включая API сервиса), Twitter, Google+, LinkedIn, Tumblr, MySpace, "ВКонтакте" (включая API сервиса), XING.com, LiveJournal, MeinVZ.de, StudiVZ.de, SchuelerVZ.net, Disqus, LiveInternet.ru, "Одноклассники".

Надо понимать, что веб-почтой и социальными сетями возможность использования сайтов для передачи информации не исчерпывается. Есть еще чаты, форумы, доски объявлений, всевозможные специализированные сайты (например, по поиску работы) и т.п. Для их контроля в модуле NetworkLock реализована поддержка протокола HTTP, в том числе и его зашифрованного варианта HTTPs. Это позволяет контролировать передачу данных на любые сайты в Интернете.

Контролируемые сетевые каналы

Не остались без внимания разработчиков DeviceLock Endpoint DLP Suite и IM-системы. Модуль NetworkLock позволяет контролировать службы, как Skype, ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent. Причем первая из них заслуживает особого внимания. Дело в том, что Skype весьма популярна во всем мире и позволяет пользователям не только обмениваться текстовыми сообщениями, но и совершать аудиозвонки (в том числе и на обычные телефоны), а также участвовать в видеоконференциях. Кроме того, в этом сервисе весь трафик передается только в зашифрованном виде, что делает бесполезным его перехват на уровне шлюза и осложняет процесс контроля. Однако модуль NetworkLock успешно справляется со своей задачей и позволяет сохранять не только текстовую переписку, но и аудио-, видеоинформацию.

Еще одним потенциально опасным каналом утечки конфиденциальной информации являются сервисы передачи файлов. Для их контроля в рассматриваемом решении реализована поддержка протоколов FTP и FTPs, которые позволяют загружать произвольные документы на удаленные FTP-сервера. Кроме того, в модуле NetworkLock присутствует контроль онлайн-сервисов файлового обмена и синхронизации (поддерживаются Google Drive, Dropbox, SkyDrive, RapidShare, Amazon S3, Yandex Disk, iFolder.ru, Narod.ru).

Итак, с поддерживаемыми сервисами и протоколами мы разобрались. Но что же понимается под их контролем? Во-первых, это ограничение доступа пользователей, при необходимости, с привязкой к времени суток и дням недели. С помощью правил можно, например, запретить пользоваться ICQ в рабочее время, полностью закрыть доступ к "Одноклассникам" и пр. Во-вторых, аудит действий пользователей с протоколами. С его помощью можно наглядно увидеть, кто из сотрудников и когда какими интернет-сервисами пользовался. В-третьих, это теневое копирование. Речь идет о том, что система может, согласно заданным правилам, сохранять передаваемую информацию в базе данных, после чего администратор безопасности может просматривать ее.

Но и это еще не все, в модуле NetworkLock реализованы так называемые контентно-зависимые правила. С их помощью можно выборочно разрешать или запрещать загрузку файлов определенного типа, управлять теневым копированием в зависимости от содержимого переписки и пр. Однако эти возможности доступны только при наличии лицензии на модуль ContentLock.

ContentLock

Модуль ContentLock предназначен для расширения функциональных возможностей модулей DeviceLock и NetworkLock путем добавления к ним контентно-зависимых правил. То есть правил, которые автоматически срабатывают в зависимости от того, какую информацию пользователь копирует на "флешку" или печатает на принтере, публикует в "Одноклассниках" или отправляет электронном письме.

Создание новой группы ключевых слов

Работа модуля ContentLock основана на понятии контентных групп, которые позволяют задавать типы контента, требующие контроля. Самой простой контентной группой является тип файла. В системе реализована возможность распознания более 80 форматов. Причем детектирование типа файла осуществляется не по расширению (которое пользователь может легко поменять), а путем анализа содержания и его сравнения с сигнатурами. Форматы объединяются в группы, например, "Архивы", "Мультимедиа", "Виртуальные машины", "Базы данных" и пр. По умолчанию в системе сразу задано около 30 таких групп. Кроме того, администратор безопасности может создавать свои группы, включая в них произвольные форматы.

Следующая контентная группа называется "Ключевые слова". В отличие от многих других DLP-решений, DeviceLock Endpoint DLP Suite работает не по одному или нескольким ключевым словам, а по целым словарям, которые содержат значительно количество слов и выражений. В комплект поставки модуля входит 157 стандартных групп, описывающих довольно широкий спектр тем. Кроме того, администратор безопасности может создавать свои собственные словари. При создании правил с ключевыми словами можно использовать широкий набор опций, например, включить или отключить морфологию, установить порог срабатывания (минимальное количество ключевых слов в тексте для срабатывания правила) и пр.

Третья контентная группа – шаблоны. Это очень удобный способ для контроля любой шаблонированной информации, то есть тех данных, которые соответствуют каким-то определенным шаблонам. Наиболее яркий пример – персональная информация. В частности, номер паспорта, ИНН, номер телефона и пр. Все эти данные соответствуют четким критериям (например, номер паспорта – шесть цифр, серия паспорта – четыре цифры подряд или две группы по две цифры через пробел). Задав их, можно легко отслеживать попытки передачи соответствующих данных. Ситуация облегчается тем, что в комплект поставки рассматриваемого модуля входит набор готовых к использованию шаблонов. Правда, при их применении нужно понимать, что существует возможность ложных срабатываний. Например, 12 цифр в сообщении ICQ могут оказаться не номером ИНН, а чем-то совершенно безобидным.

Следующая контентная группа – "Свойства документа". Как видно из названия, она позволяет создавать правила на основе набора внешних признаков файлов – имени, размера, дате изменения, наличия парольной защиты (например, запароленные архивы) и содержании текста. У правил на основе этой группы есть достаточно широкий спектр применения. Не менее важным является наличие так называемых составных групп. Речь идет о возможности создания условий, в которых используются группы разных типов и логические операции "И", "ИЛИ" и "НЕ". Это обеспечивает системе защиты высокую гибкость.

Последний тип конетнтных групп называется Oracle IRM. Он достаточно специфичен и позволяют управлять разрешениями на передачу и копирование документов, защищенных Oracle Information Rights Management (IRM).

Создание контентно-зависимого правила

Таким образом, наличие в составе DeviceLock Endpoint DLP Suite модуля ContentLock позволяет создавать контентно-зависимые правила, которые могут регулировать права доступа пользователей в зависимости от контента. Причем действовать эти правила могут как на сетевые, так и на локальные каналы передачи информации.

DeviceLock Search Server

DeviceLock Search Server – серверный компонент, который обеспечивает индексацию и полнотекстовый поиск по всей собранной DeviceLock Endpoint DLP Suite информации: журналам и содержимому файлов теневого копирования. Его наличие в системе защиты не обязательно. Однако данный модуль может значительно облегчить жизнь и ускорить работу администраторов безопасности в средних и крупных компаниях. Потому что при достаточном объеме собираемой системой защиты информации разобрать его вручную просто-напросто не представляется возможным.

DeviceLock Search Server "умеет" распаковывать архивы, распознавать форматы файлов, извлекать и индексировать текстовую информацию из PDF, баз данных Lotus и Microsoft Access, презентаций и многих других типов файлов.

Подводим итоги

DeviceLock Endpoint DLP Suite – современное DLP-решение, которое обладает весьма широкими функциональными возможностями. С его помощью администраторы безопасности могут контролировать практически все возможные каналы утечки конфиденциальной информации. А возможность гибкой настройки правил доступа позволяют сделать защиту максимально щадящей к протекающим в компании бизнес-процессам.

Благодаря модульной архитектуре DeviceLock Endpoint DLP Suite, осуществлять его внедрение можно поэтапно и, тем самым, распределять затраты во времени. Кроме того, компании имеют возможность вообще отказаться от контроля сетевых каналов передачи информации и контентно-зависимых правил, если в них нет необходимости. Это позволяет сократить стоимость системы защиты, не переплачивая за ненужный функционал.