В этом году российская компания «Смарт Лайн Инк» представила новую версию своего продукта DeviceLock 7 Endpoint DLP Suite, включающую в себя два новых модуля — NetworkLock и ContentLock. .
Назначение ContentLock
Наиболее эффективный подход к защите от утечек информации с компьютеров сотрудников начинается с использования прежде всего механизмов контекстного контроля — запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, типов интерфейсов и устройств, сетевых протоколов, направления передачи, дня недели и времени суток и т. д.
В то же время требования рынка диктуют необходимость построения системы защиты от утечек информации с гораздо более глубоким уровнем контроля. Производственные процессы многих компаний требуют, чтобы сотрудники могли пользоваться устройствами хранения и передачи данных, а значит, недопустима блокировка портов ввода-вывода или каналов сетевых коммуникаций. При этом необходима проверка содержимого передаваемых данных на наличие персональной или конфиденциальной информации, особенно учитывая, что отдельные пользователи входят в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности. В подобных ситуациях дополнительно к контекстному контролю необходимо применение технологий контентного анализа и фильтрации, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.
Компонент ContentLock не зависит от серверного ядра системы. Большинство современных средств борьбы с утечками классического типа осуществляют контентную фильтрацию данных, когда они попадают на сервер системы, и таким образом предотвращают утечку данных через корпоративные шлюзы. Но в ситуациях, когда рабочий компьютер находится вне корпоративной сети, подключен напрямую к сети, в обход корпоративных шлюзов, либо данные записываются на мобильные устройства или внешние флэш-диски, — во всех этих случаях механизмы контентной фильтрации в классической системе бессильны. Данные попросту не доходят до модуля контентного анализа, размещенного на сервере. ContentLock же осуществляет контентную фильтрацию данных непосредственно в момент передачи данных «на лету» по сети или на подключаемые устройства, будучи установленным непосредственно на рабочем компьютере сотрудника. При этом заданные администратором политики безопасности также хранятся локально, уже переданные на компьютер, а значит, работоспособность модуля и агента в целом никак не зависит от состояния сети и наличия либо отсутствия подключения к серверам организации.
Установка продукта
Несмотря на раздельное лицензирование компонентов комплекса DeviceLock 7 Endpoint DLP Suite, модуль ContentLock не поставляется и соответственно не устанавливается без базового модуля DeviceLock 7 Base. Таким образом, задача установки модуля ContentLock решается синхронно с установкой комплекса в целом. Компонент DeviceLock Base служит инфраструктурной платформой для других компонентов комплекса и реализует все функции централизованного управления и администрирования.
Для использования функциональных возможностей модуля ContentLock администратор может использовать любой из представленных в комплексе DeviceLock 7 механизмов. Это, в первую очередь, возможность развертывания агентов комплекса через групповые политики домена Active Directory, в которую DeviceLock 7 прозрачно встраивается, предоставляя администратору как консоль, интегрированную в редактор групповых политик Windows, так и возможность автоматической установки исполняемых модулей на рабочие станции благодаря возможностям AD.
Компании, не использующие групповые политики Active Directory, имеют не менее эффективные возможности управления продуктом — все эти функции берет на себя консоль управления продуктом DeviceLock Enterprise Manager, сканирующая всю сеть организации и позволяющая развертывать систему, а затем и управлять ею в пакетном режиме обработки.
Для установки агентов DeviceLock на компьютеры, по каким-то причинам не включенные в домен или не подключенные к локальной сети, существует возможность установки непосредственно на компьютере.
Настройка продукта
После установки консолей и развертывания агентов на рабочих станциях корпоративной сети необходимо осуществить настройку политик безопасности, то есть указать, что, для кого, когда и как будет контролироваться и протоколироваться агентами DeviceLock.
Вне зависимости от используемой консоли принципы задания политик контроля доступа и аудита едины, поэтому далее мы будем рассматривать вариант использования консоли DeviceLock Management Console, позволяющей управлять политиками безопасности на любом компьютере сети, настройками DeviceLock Enterprise Server и просматривать журналы аудита и теневого копирования как на любой рабочей станции, так и на выбранном сервере.
Политики безопасности DeviceLock в части задания правил контентного анализа и фильтрации в продукте носят название контентно-зависимых правил Content-Aware Rules, они создаются на основе так называемых контентных групп и позволяют централизованно задавать типы содержимого документов и данных, требующих контроля. Сами контентные группы определяют критерии контентной фильтрации, которые будут использоваться при выборе данных, к которым должны применяться правила.
В ContentLock выделено несколько типов таких контентных групп: «Определение типа файла» (File Type Detection), «Ключевые слова» (Keywords), «Шаблоны» (Pattern), «Свойства документа» (Document Properties) и «Составная» (Complex). Первые три группы являются базовыми и позволяют решать простейшие и типовые задачи контентной фильтрации передаваемых данных, а составная контентная группа является сочетанием простых контентных групп, когда каждая контентная группа рассматривается как отдельный критерий фильтра, включенный в логическое выражение. Используя несколько контентных групп, можно создавать сложные фильтры для обнаружения важных данных в документах.
Контентно-зависимые правила, которые и определяют собственно политики контентной фильтрации, формируются на основании созданных пользователем или встроенных контентных групп в сочетании с перечислением пользователей, для которых должно срабатывать такое правило, а также контролируемых устройств или сетевых протоколов.
Задание правил контентной фильтрации в консоли DeviceLock выделено в узел Content-Aware Rules (экран 1).
.jpg) |
| Экран 1. Список заданных DLP-политик для устройств |
Контроль доступа к документам
Что же представляют собой контентные группы, на базе которых строятся политики контроля доступа, основанные на анализе и фильтрации контента? Начнем с базовых — контентные группы File Type Detection. Эти контентные группы содержат определения различных типов файлов, которые могут присутствовать в документообороте компании. В DeviceLock предопределено более 30 встроенных контентных групп, определяющих типы файлов, такие как архивы, документы Office, графические изображения, базы данных и многие другие. На основании встроенных контентных групп администратор может создать и затем использовать как основу правила контентной фильтрации по типам передаваемых документов собственные группы, сочетающие различные типы файлов в зависимости от потребностей организации. Важно отметить, что детектирование типа файла DeviceLock осуществляет не по расширению файла, а по его бинарной сигнатуре, что существенно повышает точность распознавания реального типа документа и снижает вероятность ошибок системы или преднамеренного обхода контроля доступа злоумышленником.
Следующий набор контентных групп — это ключевые слова, предназначенные для контроля доступа к файлам, основанного на поиске заданных слов или фраз в документах. С помощью правил, созданных на основе групп ключевых слов, можно решать любые задачи из области контроля документов при их передаче, записи, чтении и т. д. Например, для документов, содержащих выражения «Совершенно секретно» и «Для служебного пользования» и хранящихся на флэш-дисках или компакт-дисках, предоставить доступ только для чтения и при этом запретить запись таких документов на внешние устройства или передавать как вложения электронной почты. Можно также указать, что теневые копии будут созданы только для документов, содержащих выражения «Совершенно секретно» и «Для служебного пользования».
В ContentLock встроено более 70 предопределенных групп «Ключевые слова», которые администратор может использовать для настройки прав доступа и/или операций теневого копирования. Можно использовать встроенные контентные группы «как есть», создавать их редактируемые копии (дубликаты) или формировать собственные контентные группы, необходимые для решения частных задач организации, причем указывая собственные ключевые слова, критичные для бизнеса компании.
Контентные группы «Шаблоны» — это еще один способ автоматически находить потенциально важные данные в документах (например, номера кредитных карт, номера СНИЛС, адреса электронной почты и телефонные номера). С помощью этих контентных групп и созданных на их основе правил служба безопасности может запретить определенным сотрудникам, к примеру, передачу документов, содержащих номера кредитных карт, через веб-службы электронной почты или пресечь публикацию паспортных данных сотрудников в социальной сети.
Как и для других групп, ContentLock содержит около 40 встроенных групп «Шаблоны» и позволяет создавать собственные (экран 2).
.jpg) |
| Экран 2. Редактирование контекстно-зависимого правила «Шаблоны: адреса электронной почты» |
Простая, но весьма эффективная группа «Свойства документа» позволяет создавать политики контроля данных, основанные на контроле свойств файлов и документов — таких, как имя или размер файла, наличие парольной защиты и т. д. В качестве примера можно привести создание ограничения на запись на флэш-диски документов Microsoft Word, закрытых паролем, размером более 5 Мбайт.
И вот уже на основании перечисленных выше базовых контентных групп служба информационной безопасности может легко создать сложную комплексную контентную группу, которая ляжет в основу правила контроля доступа. Так, например, для создания ограничения на передачу документов Office, содержащих номера кредитных карт, размером более 15 Мбайт достаточно объединить по условию «И» в составную контентную группу три контентные группы — группу «Определение типа файлов», использовав встроенную группу MS Office Documents, группу «Свойства документа», задав ограничение на размер, и группу «Шаблоны», воспользовавшись встроенной группой «Номера кредитных карт».
Задание политик безопасности
Рассмотренные выше контентные группы — всего лишь фундамент для создания политик безопасности, они же контентно-зависимые правила, которые ContentLock и будет использовать для оперативного контроля и всесторонней защиты конфиденциальных данных от утечки, проверяя файлы и документы на уровне содержимого (экран 3). Именно контентно-зависимые правила обеспечивают автоматическую проверку содержимого данных/файлов, передаваемых по сети или записываемых на внешние устройства, обнаружение конфиденциальных данных и применение необходимых политик безопасности. С помощью контентно-зависимых правил служба информационной безопасности может выборочно разрешить или запретить доступ к указанному содержимому данных, передаваемых по сети, вне зависимости от разрешений, установленных на протокол. Контентно-зависимые правила также можно использовать, чтобы разрешить или запретить теневое копирование указанного содержимого.
.jpg) |
| Экран 3. Список заданных DLP-политик для сетевых протоколов |
Важно отметить, что такие политики доступа можно задавать для отдельных пользователей и групп и для определенных портов, устройств, сетевых протоколов. Контентно-зависимое правило задается весьма просто: выбирается нужная контентная группа (встроенная или созданная службой безопасности), указывается, для каких пользователей она будет применяться, для каких устройств или сетевых протоколов должна срабатывать и для каких типов операций должно действовать это правило. Также указывается, для каких видов операций с файлами или данными должно срабатывать правило. Правила можно экспортировать и импортировать, дублировать и изменять, тем самым задавая разнообразные условия контентной фильтрации документов и данных, а значит, внедряя интеллектуальную систему контроля конфиденциальных данных в корпоративной сети.
Дополнительные возможности
Помимо возможностей контентно-зависимых правил, ContentLock также предоставляет и другие полезные функции, такие как автоматическая защита новых документов. Это означает, что к новым документам сразу после создания будут автоматически применяться политики безопасности, основанные на контроле содержимого. Кроме того, ContentLock контролирует архивированные файлы, последовательно осуществляя проверку каждого файла, содержащегося в архиве, причем вложенные архивы также распаковываются и проверяются один за другим. И, если хотя бы для одного файла в архиве срабатывает запрещающее контентно-зависимое правило, передача всего архива будет запрещена. Встроенная в ContentLock технология детектирования текста на изображении позволяет выделять две группы графических изображений — изображения, содержащие текст, например отсканированные документы, экранные снимки документов, и изображения, не содержащие текст, — и устанавливать для них разные политики контроля. Например, можно разрешить определенным пользователям копирование на устройства изображений, не содержащих текст, но запретить им запись изображений, содержащих текст, и тем самым предотвратить утечку важной информации внутри графических файлов. Также анализируются и изображения, встроенные в файлы Adobe PDF, RTF и документы Microsoft Office.
Сергей Вахонин — директор по информационным технологиям ЗАО «Смарт Лайн Инк»