Бизнес-процессы практически всех современных компаний требуют, чтобы сотрудники могли пользоваться электронной почтой и, в случае необходимости, ресурсами Интернета, а это значит, что тотальная блокировка каналов сетевых коммуникаций попросту недопустима. При этом следует учитывать, что отдельные пользователи могут входить в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности. Не лишним будет и ограничение доступа к нежелательным и потенциально опасным сетевым ресурсам, в особенности к социальным сетям. Наиболее эффективный подход к защите от утечек информации с компьютеров сотрудников в Интернете начинается с использования механизмов контекстного контроля — запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, сетевых протоколов, направления передачи, дня недели и времени суток и т. д.

Очевидно, что решение класса DLP должно максимально эффективно устранять «человеческий фактор» и пресекать нарушения дисциплины, блокируя утечки данных с компьютера для различных сценариев. Система также должна фиксировать и сохранять все факты и детали нарушений, обеспечивая возможность расследования, выявления нарушителей и привлечения их к ответственности. Эффективное решение DLP должно контролировать не только локальные каналы ввода-вывода данных, но и различные сетевые коммуникации, то есть все потенциальные каналы утечки, которые в принципе невозможно защитить сетевыми решениями DLP, контролирующими только трафик, проходящий через шлюз DLP.

Подобные задачи гибкого контроля сетевых коммуникаций решает новый модуль NetworkLock комплекса DeviceLock Endpoint DLP Suite, который в 2011 году выпустила российская компания «Смарт Лайн Инк». .

Модуль NetworkLock, установленный вместе с другими компонентами комплекса DeviceLock непосредственно на рабочем компьютере сотрудника, позволяет контролировать и протоколировать использование на рабочих станциях и серверах сетевых протоколов и коммуникационных приложений независимо от задействуемых портов, обеспечивая контроль сообщений и сессий с выделением передаваемых данных и файлов для их оперативного анализа, событийное протоколирование и теневое копирование данных. В числе контролируемых NetworkLock сетевых приложений и служб как повседневно необходимые каналы передачи электронной почты по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), веб-доступ по протоколам HTTP/HTTPS и файловый обмен по протоколам FTP/FTPS, так и наиболее популярные сетевые приложения и сервисы — веб-почта Gmail, Yahoo! Mail, Windows Live Mail, Mail.ru, GMX.de, Web.de, мессенджеры ICQ, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent, социальные сети Google+, Twitter, Facebook, LiveJournal, LinkedIn, MySpace, «Одноклассники», «ВKонтакте» и другие сетевые сервисы, а также Telnet-сессии.

Важно отметить, что все эти каналы контролируются независимо от способа подключения сотрудника к Интернету — как изнутри корпоративной сети, так и извне, через любые другие каналы подключения. Другое полезное качество NetworkLock — способность задавать гибкие политики контроля различных каналов, применимых к конкретным пользователям и группам в зависимости от разных условий, таких как направление передачи, используемые сетевые порты и адреса, временные диапазоны и т. п.

Помимо функции контроля сетевых коммуникаций, NetworkLock обеспечивает незаметный для пользователей сбор данных аудита, сохраняя в центральной базе данных сервера DeviceLock детальную информацию о фактах передачи данных и сами переданные пользователем сообщения, просмотренные страницы, закачанные в Сеть данные и т. п.

Важная особенность NetworkLock — это возможность сохранять в журнале теневого копирования точные копии переданных в Интернет и загруженных из него файлов и данных, сообщений и переданных файлов в мессенджерах, социальных сетях и веб-сервисах, сообщений и вложений электронной почты. Этот журнал, хранящийся централизованно в базе данных наряду с журналами аудита, где регистрируются все события сетевой активности контролируемых пользователей, может быть эффективно использован службой информационной безопасности для выявления утечек данных и расследования инцидентов информационной безопасности. Политики аудита и теневого копирования задаются аналогично правам доступа к сетевым протоколам.

Для реализации сценария «минимальные привилегии» в NetworkLock предусмотрен механизм белого списка сетевых протоколов (экран 1). Он позволяет службе информационной безопасности блокировать трафик по всем потенциально опасным протоколам, а затем выборочно предоставлять пользователям права доступа, необходимые для выполнения их бизнес-задач. Например, можно задать белый список, чтобы разрешить определенным сотрудникам пользоваться некоторыми социальными сетями, а также вести обмен мгновенными сообщениями с теми или иными корреспондентами только в допущенных к использованию в компании мессенджерах.

 

Белые списки протоколов
Экран 1. Белые списки протоколов

Высокая эффективность политик DLP, создаваемых с помощью белого списка сетевых протоколов, обеспечивается благодаря возможности задавать гранулированные права доступа к сетевым протоколам и сервисам. Так, можно задать явно ограниченный список веб-узлов, разрешенных для посещения и использования, причем как по их именам DNS, так и по адресам IP и их диапазонам. Можно ограничить допустимые сетевые порты для большинства сетевых протоколов. Можно разрешить, запретить либо обязать использовать туннели SSL для протоколов FTP, HTTP, SMTP, веб-почты и некоторых служб мгновенного обмена сообщениями. Для гибкого контроля мессенджеров NetworkLock позволяет как ограничить список локальных пользователей, которые имеют право отправлять мгновенные сообщения в этих службах, так и задать список внешних пользователей, с которыми служба информационной безопасности считает допустимым вести переписку (экран 2). Аналогичным образом обеспечивается детализированный контроль электронной почты: можно задать список как локальных отправителей, так и их корреспондентов.

 

Список локальных пользователей
Экран 2. Список локальных пользователей

Применение политик безопасности, основанных на сценарии минимальных привилегий и функциональных возможностях белых списков в модулях NetworkLock и DeviceLock, существенно снижает риск непреднамеренной утечки и кражи данных и позволяет задавать гибкие, а в сочетании с возможностями модуля ContentLock — по-настоящему интеллектуальные политики DLP, обеспечивающие полноценную и надежную защиту корпоративных данных на рабочих станциях и серверах организации.

Сергей Вахонин — директор по информационным технологиям ЗАО «Смарт Лайн Инк»