Введение
Все каналы утечки конфиденциальной информации можно разделить на две большие группы. К первой относятся устройства, которые подключаются к рабочим станциям сотрудников или серверам непосредственно или через локальную сеть. В основном это всевозможные накопители, мобильные телефоны и смартфоны, принтеры и прочее.
Каналы утечки, относящиеся ко второй группе, обычно называют сетевыми. Хотя правильнее было бы называть их интернет-каналами. Ведь сюда входят электронная почта, IM-клиенты, Skype, всевозможные веб-сервисы, FTP-серверы, в общем — все, что позволяет отправить информацию через интернет. А вот, к примеру, сетевые принтеры, работающие в пределах информационной системы компании, считаются локальным каналом утечки.
Каналы из разных групп принципиально отличаются друг от друга. А потому для предотвращения утечек по ним используются абсолютно разные подходы. Для локальных устройств необходима специальная программа-агент. Она должна быть запущена непосредственно на рабочей станции или сервере и иметь достаточные привилегии, чтобы управлять доступом пользователей к устройствам. В зависимости от загруженных в нее политик программа-агент может блокировать работу тех или иных накопителей, предотвращать печать конфиденциальной информации и прочее.
Контроль каналов утечки из сетевой группы требует иного подхода. Для его организации необходимо шлюзовое решение, которое способно пропускать через себя весь внешний трафик (как входящий, так и исходящий). Этот трафик разбивается по протоколам и анализируется. В результате система проверяет проходящую через нее информацию на соответствие заданным политикам.
В Zecurion DLP проблема разных подходов реализована путем создания двух продуктов: Zlock и Zgate. Каждый из них работает независимо от другого, однако оба они управляются с одной консоли управления, обладают схожими интерфейсами, инструментами анализа и принципами настройки. Это позволяет создать единое рабочее место администратора безопасности, с которого он может управлять всей системой защиты от утечек конфиденциальной информации.
Консоль управления продуктами Zecurion
Другие статьи в выпуске:
Хакер #170. Малварь для OS X
- Содержание выпуска
- Подписка на «Хакер»-60%
Такой подход удобен тем, что не обязывает компанию приобретать полную систему защиты, если она ей не нужна. Например, для сетей, не подключенных к интернету, в шлюзовой части решения нет никакого смысла. Ну или же компании могут внедрять систему защиты поэтапно, сначала организовав контроль локальных устройств, а потом добавив к нему мониторинг интернет-сервисов.
Теперь можно переходить к практике. Из-за значительных различий в принципах функционирования Zlock и Zgate развертывание и настройку каждого из них мы будем рассматривать отдельно.
Staff Control
Модуль для учета эффективности рабочего времени сотрудников для Enterprise-сегмента
Сбор более 15 показателей
Модуль Zecurion Staff Control собирает для последующего анализа время прихода и ухода с рабочего места, используемые приложения, посещаемые веб-сайты, время неактивности и удалённые сессии
Анализ эффективности работы
Все активности разделяются в системе на нейтральные, продуктивные и нежелательные. В результате модуль автоматически подсчитывает и показывает продуктивность каждого сотрудника
Карточка сотрудника
При использовании модуля Staff Control в карточке сотрудника в DLP-системе появляется отдельная вкладка со всеми показателями, событиями активности и наглядными диаграммами для быстрой оценки рабочего времени сотрудника
Подробная отчётность
Специально для модуля Staff Control в Zecurion Reports были добавлены дополнительные отчёты с удобными быстрыми фильтрами и настраиваемым видом. Они позволяют еще проще и быстрее получить именно те срезы данных, которые удобны в конкретной аналитической задаче
Сравнение
Показатели Staff Control у разных сотрудников легко сравнивать с помощью специального функционала — необходимо лишь выбрать нужных сотрудников и нажать «Сравнить». Результат сравнения также может быть выгружен или прикреплен к расследованию
Функциональные возможности
Контроль более 200 каналов передачи данных
Архив данных и ретроспективный анализ при расследовании
Весь перехватываемый трафик DLP-система Zecurion помещает в собственный архив, который создает полноценную базу для расследования инцидентов ИБ. Архив не имеет ограничений по объему сохраняемой информации и сроку хранения. Фильтрация и поиск данных по различным атрибутам и ключевым словам позволяет максимально быстро работать с большими объёмами данных Active Directory и без задержек выгружает до 1 млн объектов.
Блокировка утечек, активный пассивный и смешанный режимы работы
В зависимости от настроек политик безопасности система может работать в нескольких режимах: блокировать передачу данных и сохранять информацию в архив, разрешать передачу той или иной информации, но при этом оповещать о потенциально опасных случаях администратора системы, либо выборочно разрешать или запрещать действие.
Прочие возможности Zecurion DLP
Screen Watermarks
При создании документа с конфиденциальной информацией, в него встраивается неизменяемая метка. При попытке отправить файл за пределы корпоративной сети Zecurion DLP проверит его на наличие метки и в случае её обнаружения передача будет заблокирована, а информация о событии будет передана офицеру безопасности.
Рис. 10. Screen Watermarks
Zecurion DLP Linux Agent
Версия Zecurion DLP для Linux контролирует использование съёмных устройств, печать на принтерах, передачу данных по сети и электронной почте с рабочих станций. Решение позволяет создавать гибкие политики безопасности для съёмных носителей. При этом можно не только запретить или разрешить использование USB-накопителей, но и установить ограничения — например, разрешить только просмотр данных. Управление политиками Linux-агентов происходит через единую консоль управления Zecurion, при этом политики также универсальны для Windows- и Linux-агентов.
Работа с SIEM-системой
Zecurion DLP передаёт данные в популярные SIEM-системы. Благодаря этому служба информационной безопасности может комплексно анализировать все события информационной безопасности в компании и оперативно на них реагировать.
Собственная IRP-система (расследование инцидентов и постановка задач)
Система представляет собой центр обработки и реагирования на инциденты информационной безопасности и включает в себя таск-менеджер с инструментами для постановки задач. Встроенный в Zecurion DLP инструмент позволяет своевременно расследовать инциденты внутри компании и выявлять нарушителей.
Работать с событиями можно как одновременно, так и последовательно, с делегированием полномочий и указанием определённых задач для конкретного сотрудника отдела безопасности. В карточке задачи отображаются стандартные поля: дедлайн, тип, статус, исполнитель, инициатор, чек-боксы и другие поля в любом количестве. Все действия офицеров безопасности логируются и отображаются непосредственно в карточке задачи. При обработке инцидента есть возможность прикреплять файлы любого формата, переписку сотрудников и письма в качестве доказательств с последующими комментариями сотрудника ИБ.
Рис. 9. Созданная задача
Вывод
Сегодня основным вектором развития DLP-систем нового поколения является возможность эффективного предотвращения мошенничества. Достигается это путём развития некой единой платформы для аналитической работы и полноценного расследования инцидентов и защиты не только конфиденциальных данных, но и денежных средств компании.
Система Zecurion Next Generation DLP предназначена для борьбы с корпоративным мошенничеством и экономическими преступлениями. Архитектура системы позволяет внедрять её в 4 раза быстрее, чем другие DLP класса enterprise. Zecurion DLP обладает встроенной функцией архивирования, сохраняя копии всех входящих и исходящих сообщений, писем, вложенных файлов, документов, записанных на USB-устройства и распечатанных на принтерах.
Кроме контроля информационных потоков и блокировки утечек информации DLP-система с помощью инструментов анализа поведения и эмоций персонала помогает специалистам по информационной безопасности своевременно выявлять подозрительных сотрудников и проводить полноценные расследования. Также система существенно сокращает ручной труд при подготовке отчётов и экономит не менее 15% рабочего времени офицера безопасности, обслуживающего DLP-систему.
Итог
С помощью Zecurion Next Generation DLP можно:
- Блокировать случайные и намеренные утечки информации
- Выявлять экономические преступления и мошеннические схемы в компании
- Отслеживать деятельность сотрудников на рабочем месте
- Отслеживать продуктивность работы персонала
- Полноценно расследовать инциденты с помощью встроенной системы IRP
- Контролировать более 200 каналов передачи данных
- Выявлять и контролировать группы риска среди персонала
- Использовать системы в рамках импортозамещения (Linux)
Оставьте заявку на бесплатное тестирование всех возможностей Zecurion DLP нового поколения по адресу info@zecurion.com.