Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 - защита от утечек на шлюзе

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 - защита от утечек на шлюзе


Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 - защита от утечек на шлюзе

Мы начинаем цикл обзоров из трёх частей, посвящённых флагманскому продукту российской компании InfoWatch для крупного бизнеса – InfoWatch Traffic Monitor Enterprise 5.1. В первой части обзора рассматриваются нововведения и общие функциональные возможности InfoWatch Traffic Monitor Enterprise 5.1. Кроме того, будет рассказано об установке, первоначальной настройке и основных принципах работы с шлюзовой частью этого продукта.

Сертификат AM Test Lab

Номер сертификата: 137

Дата выдачи: 17.09.2014

Срок действия: 17.09.2019

Реестр сертифицированных продуктов »

 

1. Введение

2. Улучшения в InfoWatch Traffic Monitor Enterprise 5.1

3. Архитектура InfoWatch Traffic Monitor Enterprise 5.1

4. Функциональные возможности InfoWatch Traffic Monitor Enterprise 5.1 на уровне шлюза

5. Системные требования InfoWatch Traffic Monitor Enterprise 5.1 на уровне шлюза

6. Установка InfoWatch Traffic Monitor (шлюзовая часть)

7. Работа с InfoWatch Traffic Monitor (шлюзовая часть)

7.1. Мониторинг состояния системы

7.2. Работа с инцидентами

7.3. Работа с классификаторами и категориями

7.4. Работа с карточками сотрудников

7.5. Работа с политиками

7.6. Управление списками ресурсов

8. Выводы

 

Введение

Российская компания InfoWatch в марте этого года представила свой новый флагманский продукт InfoWatch Traffic Monitor Enterprise 5.1 для крупного бизнеса, предназначенный для защиты от утечки конфиденциальных данных и других внутренних угроз.

InfoWatch Traffic Monitor Enterprise 5.1 принципиально отличается от предыдущий версии 4.1, о которой мы рассказывали в прошлом обзоре.

В основе InfoWatch Traffic Monitor Enterprise 5.1 лежит совершенно новая архитектура, которая не только повысила надёжность защиты информации, но и ускорила работу всей системы в целом. Также изменён подход к управлению системой. Она получила новый интерфейс управления в виде веб-консоли, который стал более простым и удобным в работе.

Обзор InfoWatch Traffic Monitor Enterprise 5.1 будет состоять из трёх частей. В первой части речь будет идти о шлюзовой части системы, которая предназначена для защиты периметра сети. Во второй части мы расскажем о защите конечных точек сети с помощью компонента InfoWatch Device Monitor. В третьей части будет рассказано и контроле информации в сети компании с помощью относительно нового компонента InfoWatch Crawler.

 

Новые возможности InfoWatch Traffic Monitor Enterprise 5.1

По сравнению с предыдущей версией 4.1, InfoWatch Traffic Monitor Enterprise 5.1 претерпел ряд важных изменений и улучшений, которые направлены на обеспечение повышения защиты конфиденциальных данных, удобства работы с системой и расширение отчётности по инцидентам.

  • Реализован контроль электронной почты, передаваемой по шифрованным с использованием SSL/TLS протоколам MAPI, SMTP, POP3, а также по стандарту S/MIME. Перехват этих протоколов осуществляется на рабочей станции.
  • Расширены возможности лингвистического анализа за счёт добавления новых отраслевых баз контентной фильтрации (БКФ): “Транспортировка нефти”, “Энергетика” и “Налоги”.
  • Добавлены (улучшены) технологии распознавания документов:

◦   Детектор выгрузки из баз данных (отпечаток БД может содержать до 2 млн. записей);

◦   Детектор кредитных карт;

◦   Детектор печатей;

◦   Детектор заполненных форм (позволяет контролировать формы, заполненные от руки);

◦   Детектор страниц паспортов.

  • Возможность создания пользовательских текстовых шаблонов;
  • Реализован простой и удобный веб-интерфейс, который позволяет управлять системой вне зависимости от используемой операционной системы и браузера;
  • В консоли управления предусмотрена возможность Windows-авторизации;
  • Новый интуитивно понятный графический конструктор политик, который позволяет формировать политики без использования булевой алгебры, полнота и точность которых вычисляется автоматически. В простой и понятной форме можно указать, как данные могут копироваться, передаваться и храниться;
  • Интеграция в политики хранения данных возможностей InfoWatch Crawler, что позволяет выявлять факты нелегального хранения информации в инфраструктуре путём указания возможных мест хранения и категории этих данных;
  • Графическое представление политик, которое позволяет владельцам информации контролировать её движения;
  • Для политик предусмотрена возможность указания времени действия, а для условий, которые входят в состав политики, – указание дня недели, когда это условие может выполняться;
  • Реализована возможность автоматической эскалации уровня наблюдения за сотрудником (в зависимости от того, какие политики он нарушал, и от его кадрового статуса);
  • Периметр компании. Периметр может формироваться из доменов, групп Active Directory, адресов e-mail сотрудников и пр. В дальнейшем периметр можно указывать в политиках как условие ограничения движения данных за пределы периметра.
  • Для оперативного мониторинга инцидентов, данные о нарушениях представлены:

◦   Графиками с указанием динамики по нарушениям;

◦   Количеством нарушений;

◦   Статистикой нарушений по политикам;

◦   Статистикой нарушений по категориям и др.

  • Предусмотрена возможность предоставления офицеру безопасности информации о подозрительных событиях, требующих индивидуального рассмотрения;
  • Оргструктура компании в InfoWatch Traffic Monitor Enterprise может содержать фотографии сотрудников (в т. ч. импортированные из Active Directory или Novell eDirectory);
  • Усовершенствовано представление событий. Работа с базой данных инцидентов может вестись без использования булевой алгебры, что увеличило эффективность поиска;
  • Добавлены инструменты взаимодействия с HR-службой, которые позволяют осуществлять настройку и применение особых целевых политик контроля персонала, находящегося группе риска. А также ведение особой отчётности по этим сотрудникам.

В остальном InfoWatch Traffic Monitor Enterprise 5.1 полностью наследует возможности предыдущей версии.

 

Архитектура InfoWatch Traffic Monitor Enterprise 5.1

InfoWatch Traffic Monitor Enterprise представляет собой модульную многокомпонентную распределённую систему, в которой комбинация используемых модулей может изменяться в зависимости от потребностей заказчика.

В состав InfoWatch Traffic Monitor Enterprise входят следующие компоненты:

  • InfoWatch Traffic Monitor — модуль контроля сетевых каналов передачи данных;
  • InfoWatch Device Monitor — модуль для защиты рабочих станций, который осуществляет контроль печати, копирования документов на съемные носители и производит контроль портов;
  • InfoWatch Crawler — модуль контроля информации в общедоступных сетевых ресурсах и системах документооборота;
  • InfoWatch Forensic Storage — модуль централизованного хранения перехваченной и проанализированной информации (является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств);
  •  InfoWatch VoiceMonitorмодуль, предназначенный для защиты конфиденциальной информации от утечки через голосовые каналы связи, обеспечивая автоматический контроль голосовых сообщений.

В свою очередь, InfoWatch Traffic Monitor состоит из нескольких подсистем:

  • Подсистема перехвата трафика. Обеспечивает перехват и передачу на обработку трафика;
  • Подсистема обработки. Обеспечивает извлечение из перехваченных объектов вложений, определение форматов вложений и передача извлеченного текста в подсистему анализа;
  • Подсистема анализа. Осуществляет анализ извлечённых текстов из перехваченных объектов. Эта подсистема включает в себя ряд субмодулей: лингвистического анализа, детектирования кредитных карт (заполненных форм, страниц паспортов, печатей, тектовых объектов, цифровых отпечатков, эталонных выгрузок из БД);
  • Подсистема применения политик. На основе результата работы подсистем анализа и обработки выносит вердикт о нарушении (ненарушении) перехваченным объектом политик информационной безопасности. В состав этой подсистемы входят субмодули интеграции с Active Directory и принятия решений;
  • Подсистема хранения. Представляет собой базу данных, в которой хранятся все перехваченные объекты, результаты анализа, применения политик. Предоставляет возможность просмотра сохранённой информации для проведения ретроспективного анализа;
  • Подсистема мониторинга. Обеспечивает удаленный мониторинг состояния серверов, на которых установлены компоненты InfoWatch Traffic Monitor, а также работающих на них служб;
  • Консоль управления. С помощью которой осуществляется настройка, администрирование и работа с InfoWatch Traffic Monitor.

На рисунке 1 изображена принципиальная схема работы InfoWatch Traffic Monitor Enterprise.

Важно отметить, что схема развёртывания системы в конкретной инфраструктуре зависит от требований заказчика.

 

Рисунок 1. Принципиальнаясхемаработы InfoWatch Traffic Monitor Enterprise 5.1

Принципиальная схема работы InfoWatch Traffic Monitor Enterprise 5.1

 

Принципы работы остались практически неизменным относительно версии 4.1. О них можно узнать из прошлого обзора. Единственное изменение — убран транспортный режим Прозрачный.

 

Функциональные возможности InfoWatch Traffic Monitor на уровне шлюза

Мониторинг, анализ и фильтрация различных типов трафика

InfoWatch Traffic Monitor Enterprise позволяет перехватывать сетевой трафик по следующим протоколам:

  • HTTP/HTTPS;
  • FTP;
  • SMTP/ESMTP;
  • POP3;
  • MAPI;
  • NRPC (письма IBM Lotus Domino);
  • OSCAR (ICQ, Miranda, QIP, Pidgin);
  • MMP (Mail.Ru Agent);
  • XMPP (любые клиенты Jabber, включая Google Talk);
  • Microsoft Lync
  • Skype (текстовые сообщения, файлы и голосовой трафик через InfoWatch Device Monitor).

Поговорим более детально о возможности контроля голосового трафика, поскольку это уникальная, в своём роде, возможность для DLP-систем данного класса.

На рисунке 2 показана принципиальная схема работы модуля InfoWatch VoiceMonitor.

 

Рисунок 2. Принципиальная схема работы InfoWatch VoiceMonitor

Принципиальная схема работы InfoWatch Voice Monitor

 

InfoWatch VoiceMonitor - это совместная разработка компаний ЗАО «Центр речевых технологий» и InfoWatch. Данные от перехватчиков голосового трафика передаются на анализ в STC Voice Monitor. Там осуществляет распознавание речи и выделение ключевых слов соответствующей тематики, которая задаётся в политиках безопасности InfoWatch Tarffic Monitor. После осуществления процедуры распознавания и анализа, копия голосового трафика передаётся в InfoWatch Forensic Storage, где она может быть рассмотрена офицером безопасности.

Стоит отметить, что разработчиком заявлена 85% надёжность преобразования голосового трафика в текст.

Контроль различных веб-ресурсов

В InfoWatch Traffic Monitor Enterprise реализована возможность контроля большого количества различных веб-ресурсов:

  • Веб-почта (Mail.Ru, Яндекс.Почта, QIP (Почта.ru), Рамблер Почта, Hotmail (live.com), Google, AOL, и другие);
  • Социальные сети (Одноклассники, Вконтакте, Facebook, LinkedIn, Loveplanet, MySpace, Мой Мир@Mail.Ru, Мой Круг);
  • Блоги (LiveJournal, LiveInternet, Diary.ru, Mylivepage.ru, Wordpress, Blogger, Twitter);
  • Сервисы поиска работы (HeadHunter, Job.ru, Rabota.ru);
  • Произвольные веб-форумы, основанные на платформах phpBB, IP.Board, vBulletin;
  • Другие произвольные веб ресурсы (СМИ, потенциально опасные ресурсы, развлечения, файлообменники, финансы, сайты агрессивной направленности, для взрослых, анонимайзеры, программного обеспечения и обновления и другое).

Анализ полученных данных

Полученные в процессе работы данные анализируются с применением различных технологий, в том числе уникальных. На основе проведённого анализа принимается решения о применении той или иной политики. Анализ информации производится по различным атрибутам, применяются технологии лингвистического анализа, контентного анализа, сравнение с эталонными образцами (цифровыми отпечатками).

Централизованное хранение данных

Для ретроспективного анализа и расследования инцидентов, просмотра оперативных запросов, отслеживания активности пользователей при работе с конфиденциальной информацией, хранения полученных данных - применяется модуль InfoWatch Forensic Storage.

Интеграция со сторонними решениями

Для расширения возможностей InfoWatch Traffic Monitor Enterprise, повышения уровня безопасности в инфраструктуре и облегчения интеграции InfoWatch Traffic Monitor Enterprise в существующую инфраструктуру предусмотрена возможность интеграции InfoWatch Traffic Monitor Enterprise с различным сторонним программным и аппаратным обеспечением.

Для обеспечения контроля зашифрованного HTTP-трафика предусмотрена интеграция с прокси-серверами:

  • Microsoft Forefront Threat Management Gateway;
  • Aladdin eSafe Web Security Gateway SSL;
  • Blue Coat ProxySG;
  • Cisco IronPort S-Series;
  • SQUID.

Также предусмотрена интеграция с такими решениями:

  • Система контроля коммуникаций – Microsoft Lync Server;
  • IBM Lotus Domino;
  • Система электронного документооборота – Oracle Information Rights Management;
  • Системой защиты рабочих станций – Lumension Device Control;
  • Интеграция с Microsoft Active Directory.

 

Системные требования InfoWatch Traffic Monitor на уровне шлюза

Ниже приведённые системные требования являются типовыми и рекомендуемыми разработчиками InfoWatch Traffic Monitor, поскольку они могут сильно варьироваться в зависимости от конечной схемы реализации.

 

InfoWatch Traffic Monitor

Аппаратное обеспечениеПрограммное обеспечение

Сервер: HP DL360 G7*

CPU: Intel Xeon x86 3GHz, 2 CPU с 4 ядрами

RAM 8 GB

HD 300GB

Red Hat Enterprise Linux Server R6 x64

МСВСфера 6.4 Сервер

* - InfoWatch Traffic Monitor поставляется вместе с аппаратной частью. Сервер HP DL360 G7 полностью протестирован специалистами компании InfoWatch на совместимость и гарантировано стабильную работу с InfoWatch Traffic Monitor

 

InfoWatch Traffic Monitor Forensic Storage

Аппаратное обеспечениеПрограммное обеспечение

Server: HP DL360 G7

CPU: Intel Xeon x86 3GHz, 2 CPU с 4 ядрами

RAM 16 GB

RAID level 1 или выше (400GB)

Oracle RDBMS 11gR2 (11.2.0.3.X) (входит в комплект поставки и не требует дополнительного лицензирования)

 

Установка InfoWatch Traffic Monitor

В данной версии InfoWatch Traffic Monitor нет практически никаких принципиальных отличий от версии 4.1. Весь процесс установки проходит аналогично, с помощью всё той же программы-установщика kickstart.

Основные изменения заключаются в том, что теперь в процессе установки требуется создать пароль root для операционной системы; для схемы базы данных InfoWatch Traffic Monitor доступен русский и английский язык, по окончанию установки нужно указать адрес NTP-сервера. На этом отличия в процессе установки версии 5.1 от 4.1 заканчиваются.

Первоначальная настройка InfoWatch Traffic Monitor

Рассмотрим механизм первоначальной настройки InfoWatch Traffic Monitor. Настройка и управление InfoWatch Traffic Monitor осуществляется с помощью новой веб-консоли.

Для контроля избыточности доступа к настройкам системы, политик разных структурных отделов, объектов перехвата и прочей важной информации, в InfoWatch Traffic Monitor предусмотрена ролевая система разграничения прав доступа с областью видимости (ранее это называлось зоной ответственности).

Роль – это набор прав доступа, которые могут быть делегированы пользователю, а область видимости – это группа атрибутов объектов перехвата, к которым могут иметь доступ указанные пользователи.

Изначально в системе присутствуют две предустановленные роли и два предустановленных пользователя – роли Администратор и Офицер безопасности, которые назначены, соответственно, пользователям Administrator и Officer.

Роль Администратор предоставляет возможность проводить первичную настройку системы (Управление пользователями, ролями, областями видимости, лицензиями и синхронизацией с LDAP-каталогами).

Роль Офицер безопасности обладает всеми правами, кроме первичной настройки.

На рисунке 3 показан общий вид консоли управления для пользователя Administrator, а на рисунке 4 — Officer.


Рисунок 3. Общий вид консоли управления InfoWatch Traffic Monitor 5.1 для пользователя Administrator

Общий вид консоли управления InfoWatch Traffic Monitor 5.1 для пользователя Administrator

 

Рисунок 4. Общий вид консоли управления InfoWatch Traffic Monitor 5.1 для пользователя Officer

Общий вид консоли управления InfoWatch Traffic Monitor 5.1 для пользователя Officer

 

Как видим, консоль управления визуально хорошо продумана, имеет интуитивно понятный и структурированный интерфейс.

Перед началом использования InfoWatch Traffic Monitor, необходимо провести первоначальную настройку, а именно: установить лицензию на программное обеспечение, провести синхронизацию с LDAP-каталогами, завести новые учётные записи пользователей системы InfoWatch Traffic Monitor. Эти действия можно выполнить от учётной записи Administrator.

Для начала стоит проверить состояние текущей лицензии, посмотреть список активированных возможностей и, при необходимости, ввести новую лицензию.

Все эти данные можно найти в разделе Лицензия, консоли управления, который показан на рисунке 5.

 

Рисунок 5. Управление лицензиями в InfoWatch Traffic Monitor 5.1

Управление лицензиями в InfoWatch Traffic Monitor 5.1

 

Настройка синхронизации списка сотрудников с LDAP-каталогами компании осуществляется

в разделе LDAP синхронизация, консоли управления. Для этого нужно указать ряд параметров соединения с LDAP-каталогом. Перед началом синхронизации можно проверить соединение с сервером LDAP, чтобы убедиться в корректности введённых данных.

Если тестовое соединение с сервером пройдёт успешно, то все настройки нужно сохранить.

 

Рисунок 6. Раздел LDAP синхронизация InfoWatch Traffic Monitor 5.1

Раздел LDAP синхронизация InfoWatch Traffic Monitor 5.1

 

Последним этапом первоначальной настройки InfoWatch Traffic Monitor является создание новых ролей и учётных записей пользователей.

Для начала создадим новую роль пользователя. Для этого переходим в раздел «Пользователи и роли», выбираем меню «Роли» и нажимаем кнопку «Создать роль», после чего откроется окно создания новой роли (рисунок 7).

 

Рисунок 7. Окно создания новой роли в InfoWatch Traffic Monitor 5.1

Окно создания новой роли в InfoWatch Traffic Monitor 5.1

 

Выбрав необходимые привилегии и задав имя новой роли, нажимаем кнопку «Сохранить».

Аналогично создаётся и новый пользователь. Окно создания нового пользователя показано на рисунке 8.

 

Рисунок 8. Окно создания нового пользователя в InfoWatchTrafficMonitor5.1

Окно создания нового пользователя в InfoWatch Traffic Monitor 5.1

 

К паролям предъявляются требования высокой надёжности — длина задаваемого пароля должна быть не менее 8 символов, а сам пароль должен содержать строчные и прописные буквы, спецсимволы и цифры.

После того как создана учётная запись пользователя, ей можно назначить нужную роль, как показано на рисунке 9.

 

Рисунок 9. Назначение роли учётной записи пользователя в InfoWatch Traffic Monitor 5.1

Назначение роли учётной записи пользователя в InfoWatch Traffic Monitor 5.1

 

Таким образом, комбинируя роли и области видимости, можно создать гибкую политику предоставления прав доступа только к необходимым данным в системе.

 

Работа с InfoWatch Traffic Monitor на уровне шлюза

Рассмотрим типовый пример работы с InfoWatch Traffic Monitor с использованием учётной записи Officer (см. рисунок 4).

Мониторинг состояния системы

В этом разделе отображаются панели с виджетами мониторинга состояния информационной безопасности. Виджеты можно располагать удобным для себя образом перетягивая их нужные места панели, можно создавать свои панели с нужным набором виджетов, можно добавлять виджеты на панель. Пример добавления виджета показан на рисунке 10.

 

Рисунок 10. Добавление нового виджета в InfoWatch Traffic Monitor 5.1

Добавление нового виджета в InfoWatch Traffic Monitor 5.1

 

Сотрудник службы безопасности может настроить под себя консоль управления таким образом, чтобы быстро получать сводку об инцидентах без каких-либо утомительных действий. При этом каждый виджет обладает дополнительными настройками, как показано на рисунке 11. Например, можно выбрать интервал обновления информации в виджете.

 

Рисунок 11. Дополнительные настройки виджетов InfoWatch Traffic Monitor 5.1

Дополнительные настройки виджетов InfoWatch Traffic Monitor 5.1

Работа с инцидентами

Помимо отслеживания динамики ситуации в инфраструктуре, сотруднику службы безопасности необходимо иметь возможность удобной работы с базой данных инцидентов и получать детальную информацию по ним.

Для этого в InfoWatch Traffic Monitor 5.1 предусмотрен специальный инструмент. В разделе «События» доступен удобный и мощный конструктор запросов к БД, который позволяет осуществлять поиск и выборку инцидентов по самым разнообразным критериям. Это позволяет получить исчерпывающую информацию обо всех процессах, связанных с безопасностью данных, происходящих в инфраструктуре и оперативно реагировать на инциденты, а также проводить детальный ретроспективный анализ.

 

Рисунок 12. Конструктор запросов к БД, журнал инцидентов InfoWatch Traffic Monitor 5.1

Конструктор запросов к БД, журнал инцидентов InfoWatch Traffic Monitor 5.1

Работа с классификаторами и категориями

Классификатор – это набор категорий, которые используются для проведения лингвистического анализа объектов перехвата. В InfoWatch Traffic Monitor доступен большой набор предустановленных категорий, которые охватывают широкое поле деятельности в любой компании (рисунок 13).

 

Рисунок 13. Список предустановленных категорий InfoWatch Traffic Monitor 5.1

Список предустановленных категорий InfoWatch Traffic Monitor 5.1

Каждая категория содержит свой список терминов, текстовых объектов, эталонных документов, печатей, форм и выгрузок из баз данных, которые описывают возможные нарушения политики безопасности.

Кроме этого, каждая категория имеет свои свойства, которые можно изменять, как это показано на рисунке 14.

 

Рисунок 14. Окно свойств категории InfoWatch Traffic Monitor 5.1

Окно свойств категории InfoWatch Traffic Monitor 5.1

 

Например, можно повысить значимость категории при анализе содержимого, или задать порог цитируемости терминов, по которому будет срабатывать правило детектирования утечки.

InfoWatch Traffic Monitor 5.1 умеет анализировать содержимое различных типов файлов. Посмотреть их список форматов файлов можно в разделе «Файлы». Для каждого типа файлов задано расширение, MIME-тип и название формата. Список поддерживаемых форматов файлов весьма обширен.

 

Рисунок 15. Список форматов файлов, детектируемых InfoWatch Traffic Monitor 5.1

Список форматов файлов, детектируемых InfoWatch Traffic Monitor 5.1

Работа с карточками сотрудников

Этот раздел содержит списки сотрудников и рабочих станций, синхронизированных с LDAP-каталогом инфраструктуры компании. Наличие этой информации помогает сотрудникам службы безопасности работать с объектами перехвата за счёт данных об отправителях, получателях, структурных подразделениях и прочих.

Важным и полезным нововведением для службы безопасности и HR-службы является информационные карточки сотрудников. Эти карточки могут содержать самые разнообразные сведения о сотруднике, начиная со стандартных ФИО, контактных данных и заканчивая занимаемой должностью, отделом, рабочей станцией, а также статусом, который присвоен сотруднику (под наблюдением, испытательный срок и другие).

При этом, данные о сотрудниках могут вводиться как вручную, так и автоматически с LDAP-сервера. На рисунке 16 показан пример создания карточки нового сотрудника. А на рисунке 17 показано, как выглядит список сотрудников с карточками.

 

Рисунок 16. Создание карточки сотрудника в InfoWatch Traffic Monitor 5.1

Создание карточки сотрудника в InfoWatch Traffic Monitor 5.1

 

Рисунок 17. Список сотрудников с карточками в InfoWatch Traffic Monitor 5.1

Список сотрудников с карточками в InfoWatch Traffic Monitor 5.1

Работа с политиками

Политики – это набор правил, в соответствии с которыми проводится анализ и обработка объектов перехвата. Правило включает в себя набор условий, по которым ведется проверка объекта, и действий, которые выполняются при совпадении или несовпадении заданных условий.

В InfoWatch Traffic Monitor существует достаточно много предустановленных политик безопасности, которые применяются к предустановленным категориям. Часть этих политик видна на рисунке 18.


Рисунок 18. Предустановленные политики безопасности в InfoWatch Traffic Monitor 5.1

Предустановленные политики безопасности в InfoWatch Traffic Monitor 5.1

 

Эти политики доступны для редактирования. Их можно изменять под конкретные нужды компании. Также можно создавать свои политики.

Существует два вида политик: политики защиты данных и политики контроля сотрудников.

Удобный графический конструктор политик позволяет быстро создать политику с учётом многих факторов.

В качестве примера создадим тестовую политику защиты данных. Делается это довольно просто, в несколько кликов. Для начала выберем объекты для анализа. Возьмём категории данных IT-служба и строго конфиденциальные данные (рисунок 19).

 

Рисунок 19. Выбор категории данных для политики в InfoWatch Traffic Monitor 5.1

Выбор категории данных для политики в InfoWatch Traffic Monitor 5.1

 

Далее выбираем список терминов (рисунок 20).

 

Рисунок 20. Выбор списков терминов для политики в InfoWatch Traffic Monitor 5.1

Выбор списков терминов для политики в InfoWatch Traffic Monitor 5.1

 

Затем выберем типы файлов, которые будут контролироваться (рисунок 21).

 

Рисунок 21. Выбор типов файла для анализа InfoWatch Traffic Monitor 5.1

Выбор типов файла для анализа InfoWatch Traffic Monitor 5.1

 

После этого нажимаем кнопку «Добавить» и в верхней части окна консоли управления появится всплывающее сообщение, в котором будет указано, что конфигурация изменилась (рисунок 22).

 

Рисунок 22. Уведомление об изменении конфигурации InfoWatch Traffic Monitor 5.1

Уведомление об изменении конфигурации InfoWatch Traffic Monitor 5.1

 

Доступны три действия для изменённой конфигурации. Конфигурацию можно применить, в этом случае она будет активирована. Можно сохранить ее, тогда изменения конфигурации будут сохранены, но активированы они не будут. Или можно отменить изменения, т.е. сделать откат на предыдущие версии конфигураций.

Выберем «Применить». Появится окно со списком изменений в текущей конфигурации, которые можно просмотреть (рисунок 23).

 

Рисунок 23. Список изменений в текущей конфигурации InfoWatch Traffic Monitor 5.1

Список изменений в текущей конфигурации InfoWatch Traffic Monitor 5.1

 

На этом можно закончить создание политики, но мы хотим её детализировать.

Как видно из скриншотов, справа от списка политик находится конфигуратор политики.

Мы можем задать период действия политики, как показано на рисунке 24.

 

Рисунок 24. Задание периода действия политики InfoWatch Traffic Monitor 5.1

Задание периода действия политики InfoWatch Traffic Monitor 5.1

 

Обязательно укажем имя нашей политики. Тут же мы можем добавлять и удалять объекты для исследования.

Добавим правило передачи данных для этой политики. Для этого нажмём ссылку передача в нижней части конфигуратора. Откроется графический конфигуратор правил (рисунок 25), который также является новинкой данной версии.

 

Рисунок 25. Окно графического конфигуратора правил InfoWatch Traffic Monitor 5.1

Окно графического конфигуратора правил InfoWatch Traffic Monitor 5.1

 

Направление маршрута выбираем «Исходящий». А в качестве типа события укажем веб-сообщение и веб-письмо, как это показано на рисунке 26.

 

Рисунок 26. Выбор типа события в конфигураторе правил InfoWatch Traffic Monitor 5.1

Выбор типа события в конфигураторе правил InfoWatch Traffic Monitor 5.1

 

День недели оставляем любой, время действия правила укажем с 9:00 до 19:00.

На следующем шаге — можно указать отправителей сообщения и получателей. Отправитель у нас будет любой, а вот в качестве получателей укажем несколько категорий веб-ресурсов, как это отображено на рисунке 27.

 

Рисунок 27. Выбор веб-ресурсов в качестве получателей отправленных сообщений

Выбор веб-ресурсов в качестве получателей отправленных сообщений

 

Дополнительно можно указать правило соответствия или несоответствия данному выбору.

Далее определим действие на инцидент. Укажем, что передачу необходимо заблокировать, выставить инциденту уровень угрозы «Высокий», а статус установим «Под наблюдением», как показано на рисунке 28.

 

Рисунок 28. Выбор действий правила в InfoWatch Traffic Monitor 5.1

Выбор действий правила в InfoWatch Traffic Monitor 5.1

 

После этого нажмём кнопку «Сохранить» и применим редактируемую конфигурацию.

В итоге мы получили готовую к работе политику защиты данных.

Как видим, создание политики информационной безопасности в InfoWatch Traffic Monitor, благодаря графическому конструктору политик, стало очень простым и понятным процессом, который не вызовет проблем даже у начинающих пользователей.

Управление списками ресурсов

Управление ресурсами, под которыми подразумеваются веб-сайты или внутренние сетевые ресурсы, можно производить при помощи тэгов, списков веб-сайтов, статусов или определения периметра.

Тэги – это метки, которые указывают на краткую характеристику объекта. Сотрудники службы безопасности могут составлять свои списки тегов с присвоением им соответствующих цветовых меток. Тэги могу указываться в правилах. Это позволяет сотрудникам быстрее ориентироваться в журнале инцидентов.

Списки ресурсов – это категоризатор веб-сайтов (URL), где они разбиты на определенные категории (медиа, тематика для взрослых и прочее), это хорошо видно на рисунке 29.

 

Рисунок 29. Список веб-ресурсов в InfoWatchTrafficMonitor 5.1

Список веб-ресурсов в InfoWatch Traffic Monitor 5.1

 

Отметим, что эти списки очень обширны. Кроме того, можно добавлять свои категории веб-ресурсов и редактировать уже имеющиеся.

Таким образом, помимо защиты конфиденциальной информации, InfoWatch Traffic Monitor позволяет бороться с нецелевым использованием сотрудниками компании рабочего времени и веб-трафика, а также повысить уровень безопасности инфраструктуры компании путём блокировки доступа сотрудников к потенциально опасным сайтам.

Список статусов характеризуют сотрудников или рабочие станции. Статусы можно изменять и добавлять по своему желанию. А затем применять в политиках. Они являются удобным подспорьем для сотрудников службы безопасности при работе с БД инцидентов, позволяя, например, быстро осуществлять поиск инцидентов по нужно группе сотрудников.

Периметр, с точки зрения InfoWatch Traffic Monitor, – это контейнер, который содержит элементы инфраструктуры компании (сотрудников, рабочие станции, домен и прочие) и контактные данные. Периметр очень удобно использовать для логического разделения организации на структурные единицы и отслеживать их трафик. Или же указывать в политиках как условие ограничения движения данных за его пределы.

 

Выводы

Как видим, компания InfoWatch стремится вести свои продукты в ногу со временем. InfoWatch Traffic Monitor Enterprise 5.1 – это современное решение, которое предназначено для защиты конфиденциальной информации.

Достоинства:

  • Полностью российский продукт;
  • Большое количество перехватываемых сетевых протоколов;
  • Гибридный анализ перехваченного трафика при помощи набора передовых технологий;
  • Уникальная технология распознавания голосового трафика;
  • Наличие готовых отраслевых баз контентной фильтрации (существенно упрощает процесс внедрения и настройки);
  • Большое количество поддерживаемых форматов файлов для анализа;
  • Встроенный категоризатор веб-сайтов, позволяющий быстро настроить политики безопасности;
  • Возможность масштабирования, для создания HA-кластеров в высоконагруженных инфраструктурах;
  • Полностью переработанный удобный веб-интерфейс;
  • Новый графический конфигуратор политик и правил без необходимости использования булевой алгебры;
  • Карточки сотрудников с «рейтингами надежности», для облегчения работы HR-службы и сотрудников службы безопасности;
  • Хорошая сопроводительная документация.

Недостатки:

  • Веб-консоль InfoWatch Traffic Monitor поддерживает работу только с Google Chrome.
  • Нет контроля поисковых запросов пользователей;
  • Нет перехвата протоколов YMSG, MSN, P2P;
  • Нет контроля IP-телефонии.

 

Во второй части обзора мы расскажем о защите конечных точек сети с помощью InfoWatch Device Monitor. 

Обзор InfoWatch Traffic Monitor Enterprise 4.1. Часть 2 - контроль на уровне рабочих станций

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 3 - поиск конфиденциальных данных

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.