Статья

Российская DLP-система работает: доказано на практике

Безопасность Техническая защита Администратору
мобильная версия

Сектор систем, направленных на отслеживание и минимизацию утечек информации (Data Leak Prevention, DLP), постоянно растет. По прогнозам, за 2012 г. он увеличится до 520 млн. долл (примерно на 35% по сравнению с предыдущим периодом). При этом современные тренды развития бизнеса подталкивают ИС к определенным изменениям. Так, рост популярности облачных и мобильных сервисов привел к необходимости их защиты от утечек данных. Может ли удовлетворить DeviceLock 7.1 Endpoint DLP Suite, первая полноценная endpoint DLP-система отечественной разработки?

Среди основных производителей DLP-систем на международном рынке известны такие, как Symantec, CA Technologies, McAfee, Trend Micro, RSA Security (EMC), Websense, и Sophos. Особенность этих производителей заключается в продвижении на рынок DLP-систем, интегрированных в сложные, многофункциональные и дорогостоящие, системы, которые включают также дополнительные технологии информационной безопасности (антивирусы, контроль приложений, защиту от вторжений, и другие).

Другой ряд производителей представлен разработчиками "чистых" DLP-систем – это Verdasys, Fidelis Security Systems, Trustwave, Code Green Networks, Palisade Systems, и Wave Systems (бывший Safend).

Российские производители, также относящиеся ко второй категории "чистых" разработчиков DLP-систем, представлены на рынке продуктами DeviceLock ("Смарт Лайн Инк"), "Дозор-Джет" ("Инфосистемы Джет"), Infowatch от одноименной компании, и Zlock (SecurIT).

DeviceLock 7.1 Endpoint DLP Suite

На сегодняшний день DeviceLock 7.1 Endpoint DLP Suite - первая и единственная полноценная endpoint DLP-система отечественной разработки, которая уже за первый год в условиях сильной конкуренции на мировом DLP-рынке стала успешно продаваться в 22 странах. Это произошло во многом благодаря тому, что его разработчик "Смарт Лайн Инк" имеет наибольший опыт в области создания систем класса Device Control. С 1996 года – столько существует DeviceLock – этот продукт приобрел популярность более чем в 100 странах мира и был признан в числе технологических лидеров.


Настройка оперативных оповещений в DeviceLock

Благодаря новым компонентам NetworkLock и ContentLock, преобразившим продукт из высокотехнологичной, но нишевой программы контроля портов и устройств в мощную DLP-систему, DeviceLock 7 не только предотвращает утечки через порты и устройства, подключаемые к рабочим компьютерам, но и контролирует различные сетевые коммуникации.

Что особенно важно – комплекс использует технологии контентной фильтрации передаваемых в контролируемых каналах данных. Еще одна привлекательная особенность – гибкая политика лицензирования, возможность использования как решения целиком, так и сочетания отдельных его модулей.

Модуль DeviceLock

DeviceLock начал разрабатываться компанией "Смарт Лайн Инк" в 1996 году как самостоятельная программа для контроля доступа к портам и устройствам. Теперь это - инфраструктурная платформа и ядро DLP-системы DeviceLock DLP Suite. Модуль реализует все функции централизованного управления и администрирования системы. DeviceLock поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, а также канал печати документов на локальные и сетевые принтеры.

В следующей версии DeviceLock 7.2 DLP Suite появится подсистема оперативного оповещения службы корпоративной ИБ о значимых для нее попытках нарушения персоналом DLP-политик и административных нарушений со стороны обслуживающего DLP-систему ИТ-персонала. Среди административных инцидентов стоит отметить такие как попытка нарушения целостности агента DeviceLock, изменение списка администраторов DeviceLock. Также офицер ИБ оперативно оповещается при выявлении случаев, когда пользователи с недостатком прав на изменение DLP-политик пытаются неоднократно применить отличные от заданных политики.

Модуль NetworkLock

NetworkLock позволяет контролировать и протоколировать использование на рабочих станциях сетевых протоколов и коммуникационных приложений независимо от используемых ими портов. Он обеспечивает контроль сообщений и сессий с выделением передаваемых данных и файлов для их оперативного анализа, событийное протоколирование и теневое копирование данных. В числе контролируемых NetworkLock сетевых коммуникаций, приложений и сервисов – повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям, web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP. Контролируются и наиболее популярные сетевые приложения и сервисы – web-почты Gmail, Yahoo! Mail, Windows Live Mail (Hotmail), Mail.ru, Rambler Mail, мессенджеры ICQ, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent, социальные сети и блогхостинги Twitter, Facebook, LiveJournal, LinkedIn, MySpace, Одноклассники, ВKонтакте, а также Telnet-сессии. За время, прошедшее с выпуска первой версии DeviceLock 7, в список контролируемых был добавлен еще ряд сервисов.

В версии 7.2 к числу контролируемых почтовых протоколов будет добавлен протокол MAPI, используемый сервером Microsoft Exchange. Кроме того, поддержка служб мгновенных сообщений будет расширена до уровня контроля не только сообщений, но и передаваемых посредством мессенджеров файлов. Этот контроль будет интегрирован с механизмами контентного анализа, как для входящего, так и для исходящего потока данных.

Модуль ContentLock

ContentLock является "носителем" механизмов контентного анализа и фильтрации в DLP-комплексе DeviceLock. Он осуществляет контентную фильтрацию данных непосредственно в момент передачи данных "на лету", будучи установленным и сконфигурированным вместе с другими компонентами комплекса DeviceLock на рабочем компьютере сотрудника.

ContentLock позволяет разрешать или запрещать доступ к информации, основываясь на целом ряде параметров и условий - на определении типа файла, на шаблонах регулярных выражений с различными численными и логическими условиями соответствия проверяемых данных критериям и ключевым словам. Распознавая более 80 форматов файлов и типов данных, ContentLock извлекает и отфильтровывает их текстовое содержимое, при копировании на внешние устройства хранения или передаче по сетевым каналам. ContentLock позволяет задать правила фильтрации и для данных теневого копирования, что дает возможность сохранять только те файлы и данные, которые дествительно значимы для расследования инцидентов ИБ. Это на порядки снижает объем данных, хранимых в базе данных теневого копирования, и существенно снижает нагрузку на сеть.

Год практической эксплуатации российского DLP-комплекса DeviceLock 7 DLP Suite однозначно показал, что предложенное сочетание функционала компонентов DeviceLock, NetworkLock и ContentLock дает службам ИБ как весь необходимый инструментарий для аудита и анализа активности пользователей, так и средства для контроля передачи конфиденциальной информации в различных каналах сетевых коммуникаций. Как и ожидалось, при переходе на более эффективные технологии DeviceLock 7 службам информационной безопасности пришлось принять на себя больше ответственности, получив взамен больший уровень контроля инфосистемы предприятия и значительное снижение рисков и ущерба организации от утечек конфиденциальных данных.

Антон Степанов / CNews