Внимание: утечка! Решение DLP от Check Point предупреждает пользователя о нарушении корпоративной политики. 2008 год прошел для Check Point Software Technologies под знаком тотальных решений безопасности (Total Security Solutions), в 2009-м компания предложила программные лезвия (Software Blades), а в нынешнем году ограничилась заявлением о совершенствовании и расширении имеющихся подходов и решений. «Больше, лучше и проще» (More, Better, Simpler Security) — именно под этим лозунгом прошла партнерская конференция Check Point в Лондоне в середине апреля.

Больше безопасности означает не только расширение спектра продуктов, но и распространение защиты на новые области. В этом контексте в первую очередь следует отметить появление у Check Point решения для защиты от утечки данных (Data Leakage Protection, DLP). Как заявил Одед Гонда, вице-президент по продуктам сетевой безопасности, имеющиеся на рынке решения отличаются чрезмерной сложностью, а внедрение любого из них занимает длительное время, поэтому Check Point постаралась сделать свой продукт максимально простым в использовании и развертывании. Кроме того, большинство конкурирующих решений функционирует в режиме детектирования, поскольку включение режима предотвращения (при его наличии) приводит к появлению множества нерелевантных сообщений, что может обернуться остановкой бизнеса из-за многочисленных и продолжительных разбирательств.

Типичная многоступенчатая процедура реагирования предполагает анализ инцидента силами администратора, поиск уполномоченного лица, совместное обсуждение с ним происшествия, выработку решения и принятие мер. Между тем, как свидетельствует статистика, до 90% случаев утечки данных вызвано непредумышленными действиями пользователей. Поэтому принятие решения о том, что делать дальше, Check Point сочла целесообразным отдать на усмотрение самих пользователей, дабы не отвлекать администраторов понапрасну. Так, при отправке на внешний адрес электронной почты сообщения с конфиденциальными данными появляется предупреждение, одновременно пользователь информируется о политике безопасности компании. Рассчитывать исключительно на сознательность сотрудников необязательно — отправку выбранных типов данных можно запретить явным образом.

Используемая CheckPoint технология MultiSpect позволяет коррелировать данные из разных источников, распознает 600 форматов файлов, поддерживает более 250 предопределенных типов контента и способна распознавать нестандартные формы и шаблоны. Решение Check Point рассчитано, прежде всего, на контроль данных «в движении» — отправку сообщений по электронной почте, загрузку файлов на внешние сайты и т. п. Решение может быть внедрено в виде программного модуля или программно-аппаратного устройства DLP-1. Оно рассчитано на применение в организациях с числом пользователей от 100 сотрудников. Цена модуля начинается от 3 тыс. долларов. В перспективе компания собирается дополнить его решением для конечных точек.

Лучшая защита означает переход от детектирования в решениях IPS/DLP к активным инструментам для остановки атак и карантина подозрительных данных. Укреплению защиты должно способствовать и многократное повышение производительности антивирусного и фильтрующего программного обеспечения, так что теперь пользователям не придется идти на компромисс, выбирая между производительностью и расширением защиты. За счет применения новой потоковой технологии SecureXL производительность антивируса на шлюзе выросла в 15 раз, а число фильтруемых соединений — до 80 раз (максимально возможное число одновременно фильтруемых URL превышает теперь 500 млн). При этом для тех, кто пользуется шлюзом, эта программная модернизация не будет стоить ни цента.

Упростить защиту призван новый функционал управления системой информационной безопасности: SmartEvent Software Blade позволяет преобразовать информацию о событиях безопасности в конкретные действия. Это ПО сопоставляет данные, поступающие из различных источников — от межсетевого экрана, систем DLP и IPS, конечных точек и т. д. (причем отдельные решения могут быть реализованы разными производителями), — и информирует администратора безопасности о критических событиях в реальном времени. Предупреждения выдаются в понятном и удобном для восприятия виде, при необходимости администратор имеет возможность просмотреть более детальную информацию по событию или предпринять срочные меры, не выходя из интерфейса программы. Для противодействия угрозе возможно добавление защиты «на лету», в частности, внесение изменений в правила безопасности или блокирование трафика от определенных адресатов.

Провозглашенные принципы распространяются на все решения Check Point, в том числе и на решения для конечных точек. Ни один традиционный продукт не способен предотвратить все угрозы. Между тем поддержка множества целевых продуктов усложняет жизнь как пользователя, так и администратора. Распространение модульного подхода на Unified Endpoint Security призвано упростить эту задачу — для защиты ПК можно выбрать необходимый набор компонентов, при этом обеспечивается централизованное управление. Помимо традиционных средств, таких как антивирус и брандмауэр, Endpoint Security поддерживает VPN, контроль выполняемых программ, шифрование диска и носителей, защищенную навигацию в Web и др. Так, например, WebCheck перенаправляет подозрительные ссылки в отдельный браузер (изолирует угрозы в виртуальном браузере). Как утверждается, столь широкий функционал не идет в ущерб производительности — клиент Check Point имеет наилучшие (по приведенному сравнению с продуктами McAfee и Symantec) характеристики по времени запуска, занимаемой памяти и собственно производительности.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF