Защита информации вблизи

Источник: dehack

dehack

Зачем нужна DLP?
Тема защиты от утечек информации поднимается на страницах "Компьютерных вестей" уже не в первый раз, однако вряд ли все читатели хорошо ориентируются в ней. Поэтому отнюдь не лишним будет вспомнить, что принято называть DLP-системой и какие практические задачи она призвана решать.

Сегодня защита от утечек информации базируется, в первую очередь, на ограничении доступа к отдельным документам внутри компании и контроле информационных потоков внутри организации, а также исходящих из неё. Вполне понятно, что первая часть данной защитной тактики направлена на недопущение попадания информации к работникам, не имеющим достаточной компетенции для работы с ней, и, соответственно, не представляющих всей важности данной информации и возможных последствий её обнародования. Вторая компонента предназначена для обнаружения случаев передачи информации во внешний мир компетентными лицами. Продукты, которые реализуют техническую возможность контроля пользовательского трафика и выявления в нем конфиденциальной информации, в настоящее время принято называть DLP-системами (от английского Data Leak Prevention - предотвращение утечек данных).

Вполне уместно сравнить методику работы подобного рода систем с созданием защищенного периметра вокруг охраняемых объектов - с той только разницей, что при помощи DLP-системы охраняют не материальные объекты, а информационные. Системой производится перехват и мониторинг всего исходящего из защитного периметра трафика, а часто еще и входящего. Под трафиком подразумевается здесь не только интернет-трафик, а, в идеале, также и документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Как уже отмечалось выше, главное предназначение DLP-системы - защита использующей её компании от утечек конфиденциальной информации. Определение степени конфиденциальности документа, обнаруженного в перехваченном трафике, может вестись двумя способами: путём анализа специальных маркеров документа - так называемых меток (естественно, документ должен быть помечен таким маркером заранее), либо путём анализа содержимого документа. Второй вариант в настоящее время более широко распространён, поскольку добавление меток не решает проблем, связанных с переводом информации в другой формат, и т.п. К тому же этот метод имеет серьезные побочные проблемы, связанные с ручной расстановкой и снятием меток, которые делают систему негибкой и громоздкой.
Несмотря на то, что многие организации вполне удовлетворены имеющимися в их распоряжении системами обеспечения информационной безопасности, необходимо отметить, что не все из них решают поставленные задачи комплексно. К примеру, зачастую руководители организации считают DLP-системой установленное в их компании или учреждении программное обеспечение для мониторинга электронной почты сотрудников, в то время как качественная DLP-система должна контролировать максимально возможное число каналов передачи информации, по которым может произойти утечка.

Выбор DLP - ответственная задача
Поскольку DLP-система, как правило, стоит немалых денег (сравнительно небольшая сумма, в которую обходится защита одного компьютера, умножается на большое количество машин в организации), стоит отнестись к её выбору максимально ответственно и внимательно, чтобы не пришлось в последующем кусать локти. Критериев выбора достаточно много, но можно выделить несколько главных.

Во-первых, это, конечно же, максимальное количество охватываемых каналов, по которым может произойти утечка информации. Вполне понятно, что если в организации защищены электронная почта и ICQ, но при этом оставлен без контроля Skype, то полноценной такую защиту считать никак нельзя. "Заплаточные" системы, где каждый из компонентов отвечает за своё направление, и каждый компонент предлагается собственным производителем, также зарекомендовали себя не очень хорошо. В первую очередь, из-за проблем совместимости компонентов друг с другом. Поэтому чем более комплексным и многофункциональным будет интегрированное решение для обеспечения информационной безопасности, тем меньше проблем возникнет у соответствующих специалистов при работе с ней.

Также при выборе системы защиты от утечек информации необходимо обязательно учесть, во сколько вам обойдётся, в конечном счёте, её внедрение. Возможно, будет гораздо выгоднее купить более дорогой программный продукт, не требующий тщательной настройки специалистами той компании, которая продаёт вам систему защиты, чем оплачивать многомесячный труд этих специалистов - он, как правило, отнюдь не дешев. Кроме того, при выборе такой системы необходимо по возможности избегать доступа "внедренцев" к той информации, утечки которой вы хотите предотвратить. Думаю, причины этого вполне понятны, и в лишних объяснениях нет никакой необходимости.

Особое внимание необходимо уделить аналитическим возможностям системы. Поскольку потоки информации, с которыми ей приходится работать, колоссальны, искать утечку данных среди перехваченной информации вручную будет практически невозможно - значит, нужно внимательно посмотреть на технологии детектирования конфиденциальной информации, доступные покупателю данной конкретной DLP-системы.

Впрочем, покупке системы защиты должна предшествовать выработка политики компании в области информационной безопасности, и вот на этом моменте экономить уже не нужно, хотя и есть соблазн сразу приступить к внедрению системы защиты от утечек, чтобы работники отдела информационной безопасности занимались делом, а не "страдали всякими глупостями". Однако этот этап предварительной работы так же важен, как и этап проектирования при постройке зданий. Если у организации не будет выработана чёткая политика информационной безопасности, крайне проблематично требовать от сотрудников соблюдать её, а также контролировать это соблюдение с помощью купленной системы. Именно поэтому даже в кризис очень важно не экономить на разработке корпоративной политики информационной безопасности, сколь бы велик ни был соблазн это сделать.

Как уже говорилось выше, на рынке сегодня достаточно большое число продуктов, которые относятся к классу DLP-систем, однако выбрать из них по-настоящему качественный непросто. Поэтому полезно иметь представление о предлагаемых на рынке продуктах. Об одном из них, название которого вы можете увидеть в подзаголовке статьи, мы сейчас и поговорим.

Первое знакомство
Фактически, говоря о SecurIT DLP, мы ведём речь о двух весьма органично дополняющих друг друга программных продуктах - Zlock и Zgate. Несмотря на то, что это независимые друг от друга продукты, единая консоль управления позволяет организовывать на их базе корпоративную систему защиты от утечек, а дружественный русскоязычный пользовательский интерфейс сделает общение с ними комфортным для "безопасника". Следует заметить, что SecurIT DLP имеет мощную поддержку русского языка не только в области интерфейса. Поскольку компания-производитель сама находится в России и ориентируется также на российский рынок, поддержка русского языка во всех компонентах решения присутствует на самом высоком уровне. Особенно важна поддержка языка при контентном анализе перехватываемых сообщений, ведь для эффективной работы необходимо, чтобы система умела учитывать сложные морфологические особенности русского языка, с чем часто бывают проблемы у продуктов западных разработчиков.

Итак, что же представляют собой компоненты SecurIT DLP? Основное назначение Zlock - разграничение прав доступа пользователей к внешним и внутренним устройствам в масштабах организации. Zlock позволяет контролировать данные, записываемые на устройства, что весьма актуально в свете повсеместного распространения "флэшек", внешних жестких дисков и прочих носителей информации с большой ёмкостью. Впрочем, не стоит думать, что Zlock умеет работать только с ними. Программа дает возможность гибко настраивать права доступа пользователей и групп пользователей к любым устройствам. Это обеспечивает существенное снижение риска утечек как через устройства, подключаемые к внешним портам (USB, LPT, COM, IrDA, PCMCIA, IEEE 1394 и т.д.), так и через внутренние устройства (сетевые карты, модемы, Bluetooth, Wi-Fi, CD/DVD-дисководы и т. д.). Кроме этого, Zlock может контролировать доступ к локальным и сетевым принтерам. Система также создает "теневые копии" всех файлов, передаваемых на устройства и печать, и сохраняет их в архиве, по которому можно осуществлять поиск при расследовании инцидентов.

Второй компонент системы защиты конфиденциальной корпоративной информации от компании SecurIT - это система контроля сетевого трафика Zgate. Как отмечают разработчики Zgate, продукт разрабатывался с учетом преимуществ и недостатков существующих DLP-решений. Основными недостатками сегодня является отсутствие поддержки блокировки передаваемой информации и низкая эффективность выявления конфиденциальных данных в трафике. Также многие решения не имеют архива, что создает множество неудобств в работе сотрудников ИБ. Надо признать, что проблемы решить действительно удалось: Zgate позволяет блокировать утечки конфиденциальных данных по сетевым каналам, а для обнаружения и блокировки утечек используется гибридный анализ, включающий в себя множество современных технологий детектирования конфиденциальных данных. Он позволяет более точно, по сравнению с традиционными методами, выявлять возможные утечки конфиденциальной информации. Для проведения внутренних расследований и профилактики утечек Zgate записывает подробную информацию обо всех происходящих инцидентах - сведения об отправителе, получателе, канале передачи, а также сами передаваемые данные.

Как видите, "тандем" Zlock и Zgate действительно позволяет организациям бороться как с утечками через подключаемые к компьютерам устройства, так и через сетевые каналы. Но действительно качественный продукт проявляет себя в мелочах. С другой стороны, мелочей в таком деле, как информационная безопасность, попросту не бывает, поэтому давайте взглянем поближе на некоторые из особенностей рассматриваемых нами продуктов.

Детали
Для начала, наверное, стоило бы всё-таки огласить весь список поддерживаемых каналов потенциальной утечки информации. К сожалению, это сделать трудно, потому что он чрезвычайно велик. Гораздо удобнее, если вы ознакомитесь с ним на официальном сайте компании-производителя: www.securit.ru/products/info/zgate/channels . Добавить к этой ссылке можно разве то, что в данный список входят многие каналы потенциальной утечки, которые до сих пор не слишком эффективно контролировались подавляющим большинством DLP-решений (например, Mail.ru Агент, социальные сети, HTTPS-трафик, Skype, сетевые принтеры). Пожалуй, в этом отношении SecurIT DLP можно назвать одним из наиболее ярких борцов с "заплаточными" системами обеспечения информационной безопасности, поскольку ни одна другая DLP-система не позволяет взять под свой контроль такое количество каналов передачи данных. Стоит также отметить, что, в отличие от большинства DLP-систем, кроме исходящего трафика, Zgate может анализировать входящий и внутренний трафики, что расширяет возможности для внутреннего контроля.

На этом, впрочем, приятные моменты не заканчиваются. В отличие от многих DLP-систем, процесс внедрения которых растягивается на многие месяцы и требует работы множества специалистов интегратора, SecurIT DLP относится к "коробочным" программным продуктам, что, вместе с удобным пользовательским интерфейсом, делает его простым в разворачивании и использовании для сотрудников отдела безопасности независимо от компетенции в сфере ИТ.

SecurIT DLP относится к системам с активным контролем передаваемой информации, то есть она позволяет блокировать передаваемые данные в случае распознавания их как конфиденциальных. Нужно отметить, что многие системы с активным контролем действий пользователей при своем внедрении нередко требуют перестройки всей корпоративной сети и покупки дорогостоящего серверного оборудования, способного выдерживать нагрузки, предполагаемые эксплуатацией подобной системы. В случае с SecurIT DLP благодаря тщательно продуманной архитектуре решения вычислительные мощности корпоративных серверов используются максимально эффективно, и подобной проблемы не возникает.

Наверняка порадует специалистов по информационной безопасности наличие в арсенале SecurIT DLP средств создания архива перехваченных отправлений и обнаруженных инцидентов, связанных с нарушениями политик информационной безопасности. Подобного рода архивы не только полезны для проведения внутренних расследований различных инцидентов и мониторинга активности пользователей - они также служат замечательной доказательной базой в случае необходимости судебного преследования лиц, виновных в утечке конфиденциальной информации. Создание архива перехваченной информации также несет в себе ряд дополнительных преимуществ. Подобного рода архив может быть более чем полезен при случайном удалении или порче оригинала, выполняя, таким образом, роль своеобразной резервной копии важной для компании или государственного учреждения информации.

Для защиты от излишне хитрых и любознательных пользователей разработчики SecurIT DLP также предусмотрели ряд средств, позволяющих обнаружить подозрительную активность и несанкционированные действия сотрудников. В DLP-системе есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий. Клиентские модули записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер. Кроме журналирования, для оперативного ответа на действия нарушителя политик информационной безопасности очень полезными будут функции онлайн-мониторинга. В SecurIT DLP имеется возможность контроля целостности файлов и настроек системы. Если какие-либо компоненты SecurIT DLP были несанкционированно модифицированы, возможность входа в систему будет лишь у администратора. Это позволит защитить системы от изменений со стороны пользователей и вредоносных программ.

Интеграция с доменной структурой Windows (Active Directory) позволяет однозначно определить, под учетной записью какого пользователя и с какого компьютера отправляется информация, не зависимо от используемого почтового ящика, номера ICQ или учетной записи Skype. В случае отправки почты через web-интерфейс, при анализе общения пользователей в форумах, блогах и социальных сетях такая интеграция особенно актуальна, так как в данном случае это единственная возможность определить, кто из сотрудников отправил информацию.

Немаловажной также является гибкая настройка политик доступа, включая возможность задания разового доступа. Несмотря на кажущуюся простоту этой функциональности, далеко не все современные продукты для обеспечения информационной безопасности (не только DLP-системы) имеют в своём арсенале возможность предоставления разового доступа к защищаемым элементам выбранному администратором системы пользователю.

Вместо выводов
Конечно, как мудро говорит пословица, лучше один раз увидеть, чем сто раз услышать, поэтому перед покупкой лучше всего запросить у компании SecurIT тестовую или пилотную версию их DLP-системы, которую можно испытать в "боевых условиях" вашей организации. Но даже и без этого становится понятно, что SecurIT DLP - продукт исключительно мощный и качественный, а потому заслуживающий, как минимум, того, чтобы рассматривать его как один из возможных вариантов DLP-системы для вашей организации.

Источник

Ссылки по теме