Обзор DLP-решения «Гарда Предприятие» 3.8



«Гарда Предприятие» — DLP-система, разработанная компанией МФИ Софт. На нашем сайте уже публиковался обзор предыдущей версии решения. В обновленном продукте переработан интерфейс управления и расширены функции контроля. В данной статье подробно рассматривается архитектура продукта, его функции и сценарии использования.

Сертификат AM Test Lab

Номер сертификата: 163

Дата выдачи: 23.05.2016

Срок действия: 23.05.2021

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Архитектура и системные требования

3. Функциональные возможности

4. Работа с продуктом

4.1. Управление политиками

4.2. Управление сотрудниками

4.3. Поиск переданной информации

4.4. Отчеты

5. Выводы

 

 

Введение

DLP-системы доказали свою актуальность и результативность в борьбе с утечками данных, поэтому с каждым годом их становится все больше. Только в России свыше пяти производителей DLP­систем, и у каждого из них свой подход к защите от утечек информации. Общий алгоритм работы любой DLP-системы основан на перехвате максимально возможных каналов утечки и поиска в передаваемой информации признаков конфиденциальности, но основные отличия DLP-систем кроются в изначальном векторе развития решений. В данном обзоре мы подробно рассмотрим DLP-систему «Гарда Предприятие» от компании МФИ Софт, производителя широкого спектра систем информационной безопасности и анализа трафика.

Эта DLP-система создавалась как решение, анализирующее большое количество протоколов в сетевом трафике на высоких скоростях. Ранее мы публиковали обзор одной из предыдущих версий продукта «Гарда Предприятие», с тех пор прошло более двух лет, и за это время он значительно изменился. МФИ Софт активно развивает свои продукты и следует всем современным тенденциям в вопросах оптимизации информационных технологий, поэтому новая версия «Гарды Предприятие» 3.8 не только предлагает расширенный набор функций и новые контролируемые каналы, но и полностью переработанный интерфейс администратора.

DLP-решение позиционируется как инструмент для ежедневной работы в крупных предприятиях. Упор в нем сделан на аналитической системе и контроле максимально возможного количества каналов утечки информации. «Гарда Предприятие» долго хранит все передаваемые данные и позволяет анализировать их в реальном времени с возможностью в любой момент восстановить полную картину передачи интересующей информации. Основное отличие продукта от конкурентов — собственное высокопроизводительное нереляционное хранилище для быстрой работы с большими массивами данных.  

 

Архитектура и системные требования

«Гарда Предприятие» 3.8 может поставляться как в программном, так и в программно-аппаратном варианте, при этом программное решение может быть развернуто в среде виртуализации, что существенно снижает стоимость внедрения продукта.

 

Рисунок 1. DLP-система «Гарда Предприятие» в аппаратном исполнении

DLP-система «Гарда Предприятие» в аппаратном исполнении 

 

Комплекс решения поставляется на едином оборудовании. Для обзора мы условно разделили систему на такие модули:

  • Анализатор — основной модуль «Гарды Предприятие», обеспечивающий обработку потоков информации, проходящей по сети организации, а также информации, полученной от агентов, установленных на рабочих местах сотрудников. Обработанную информацию анализатор размещает в системе хранения данных.
  • Система хранения и поиска данных — высокопроизводительное хранилище класса DWH (Data Warehouse), полностью разработанное МФИ Софт, обеспечивает возможность компактного хранения большого объема обработанной информации и предоставляет возможности для быстрого и гибкого поиска. Для защиты 200 рабочих мест требуется примерно 10 Тб свободного объема на жестких дисках.
  • Центр управления — веб-сервер, предоставляющий доступ администраторам к работе с продуктом.
  • Агент РМ — легковесное программное обеспечение, которое может быть установлено на рабочие места персонала для расширения функций по сбору данных, а также предоставляющее дополнительные возможности — контроль приложений, снятие скриншотов и управление доступом к съемным носителям информации. Данные с агентов также поступают на сервер «Гарды Предприятие» и анализируются согласно настроенным правилам.

В зависимости от инфраструктуры, технических возможностей и задач заказчика подключение сервера может производиться путем перенаправления копии всего сетевого трафика через SPAN-порт (mirror) коммутатора, либо в разрыве между коммутатором и остальной сетью с перенаправлением всего трафика через продукт.

 

Функциональные возможности

Функции «Гарды Предприятие» условно делятся на возможности, связанные с анализом, и возможности, реализуемые с помощью агента рабочих мест. В части анализа решение обеспечивает поддержку следующих сетевых протоколов:

  • HTTP, HTTPS;
  • электронная почта и доски объявлений — SMTP, POP3, IMAP4, NNTP;
  • сервисы веб-почты — mail.ru, mail.yandex.ru, mail.rambler.ru, qip.ru/pochta.ru, hotmail.com, mail.yahoo.com, gmail.com;
  • службы обмена мгновенными сообщениями — ICQ, MSN Messenger, Windows Live Messenger, Lync, AIM, Yahoo! Messenger, Jabber, Mail.Ru Агент, IRC, Skype;
  • VoIP — SIP, SDP, H.323, MGCP, Skinny, H.245, T.38, Megaco/H248, H.263 ABC, H.264;
  • нешифрованные туннельные протоколы L2TP и IP-in-IP;
  • передача файлов — FTP, SMB, P2P.

В составе «Гарды Предприятие» присутствует собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данных, благодаря чему обеспечивается разбор и анализ зашифрованных протоколов, например HTTPS.

Поддерживается анализ содержимого в файлах следующих форматов:

  • Microsoft Office — Word, Excel, Access, PowerPoint;
  • PDF;
  • простые текстовые файлы (Plain Text);
  • архивы — RAR, ZIP, ARJ, GZIP, TAR.

Кроме того, в системе анализа и поиска информации реализован механизм защиты от преобразования данных, то есть внедрения одного формата в другой. Например, если сотрудник попытается переименовать Word-файл в формат изображения, «Гарда Предприятие» обнаружит этот факт.

В решении заложены разнообразные технологии анализа для повышения точности выявления нарушений:

  • Лингвистический анализ — поиск текстовой информации с учетом морфологии русского и английского языков.
  • Поддержка шаблонных данных — обнаружение в потоке текста элементов, соответствующих шаблонам, заданным с помощью регулярных выражений, например паспортных данных или номеров кредитных карт.
  • Сохранение метаинформации и критериальный поиск — анализатор «Гарды Предприятие» сохраняет всю метаинформацию по передаче данных, что позволяет осуществлять поиск информации на основе сигнатурных и других нетекстовых критериев — тип данных (форматы файлов, виды информации), объем данных, протокол передачи, учетные записи пользователей и так далее.
  • Поиск похожих документов — возможность поиска по фрагментам документов и отслеживание фактов передачи информации, разбитой по частям.
  • Распознавание изображений — поиск данных в отсканированных документах и документах, сохраненных как изображение. Поддерживаются форматы JPEG, BMP, PNG, TIFF и PDF.
  • Возможность синхронизации базы сотрудников с учетными записями из LDAP-каталога, например из Active Directory.
  • Агент рабочих мест обладает дополнительными функциями, их настраивают централизованно. С помощью агента можно контролировать приложения, работающие на компьютерах сотрудников — получать данные о запущенных процессах и времени их работы, а также обеспечить разграничение доступа к периферийному оборудованию — разрешить или запретить отдельные устройства и обеспечить теневое копирование выводимой информации для последующего анализа.

Устанавливать, удалять и диагностировать агентов можно в режиме реального времени из единого интерфейса, без использования каких-либо дополнительных консолей. С помощью имеющихся в системе шаблонов они настраиваются как на отдельные рабочие места, так и на группы мест (и даже отделы или департаменты). Для дополнительного обеспечения безопасности шифруются соединения между агентами и серверной частью «Гарды Предприятие».

 

Работа с продуктом

Подключение к «Гарде Предприятие» осуществляется через веб-интерфейс с помощью обычного браузера. Система не использует плагины и расширения браузеров, поэтому работа с интерфейсом может выполняться с любого устройства — компьютера, планшета или смартфона. Доступ к управлению осуществляется по протоколам HTTP или HTTPS.

 

Рисунок 2. Окно аутентификации веб-интерфейса «Гарды Предприятие»

Окно аутентификации веб-интерфейса «Гарды Предприятие» 

 

Система разрабатывалась с учетом интересов не только офицеров службы безопасности, но и руководителей предприятий и HR-специалистов. Ролевая модель доступа позволяет выделить различные права доступа:

  • Администратор — главный пользователь системы, обладающий полными правами работы с продуктом.
  • Офицер — пользователь с ограниченными правами, позволяющими управлять политиками безопасности и просматривать статистические отчеты о перехваченном информационном обмене сотрудников организации.
  • HR-пользователь, которому доступна только функция по просмотру отчетов.

После прохождения аутентификации открывается главное окно, которое отображает общую статистику о передаваемой в компании информации, статистику инцидентов, топ сотрудников по использованию определенных программ или документов и другую информацию. Подобная рабочая область позволяет визуализировать необходимую для ежедневной работы информацию в режиме реального времени. Виджеты главного экрана можно заменять или перекомпоновывать на усмотрение пользователя.

 

Рисунок 3. Главный экран с настраиваемыми отчетами в DLP-системе «Гарда Предприятие»

Главный экран с настраиваемыми отчетами в DLP-системе «Гарда Предприятие» 

 

Все виджеты отчетов интерактивные: при выборе на диаграмме какого-либо из параметров (мессенджеры, почта и т. д.) осуществляется переход к просмотру внутренних сообщений и диалогов. А если выбрать конкретную фамилию в списке сотрудников, можно увидеть детализацию — что именно и через какие каналы передавал работник.

Графики поступления данных отображают не только объем поступившей информации, но и количество объектов (письма, сообщения и т. д.). График помогает убедиться в отсутствии сбоев в сети и выявлять различные аномалии. Например, факт передачи большого количества объектов небольшого объема может свидетельствовать о попытке DDoS-атаки. Таким образом, в системе реализована визуализация передаваемой информации в организации по самым разным параметрам в режиме реального времени.

Управление политиками

Политики безопасности «Гарды Предприятие» представляют собой набор правил поиска информации, передаче которой нужно уделить особое внимание. Чтобы выявлять конфиденциальную информацию, используются современные технологии контроля и анализа данных, перечисленные в разделе функциональных возможностей.

В окне управления политиками отображается список заданных в системе правил и статистика по нарушениям — динамика инцидентов, график наиболее часто срабатывающих политик, список инцидентов по сотрудникам и перечень используемых каналов нарушений. В продукте также реализован набор предустановленных политик — контроль персональных данных, ИНН, кредитных карт и другие.

Перед созданием новой политики можно проверить ее работоспособность на архиве собранных данных — система проведет ретроспективный анализ и покажет инциденты, произошедшие до формирования нового правила.

 

Рисунок 4. Регулирование политик безопасности в режиме реального времени в «Гарде Предприятие»

Регулирование политик безопасности в режиме реального времени в «Гарде Предприятие» 

 

Каждая политика состоит из следующих параметров:

  • Название и описание — произвольные текстовые поля.
  • Контроль — выбор типа данных для контроля — текстовая фраза, персональные данные или документы, а также указание критерия поиска для выбранного типа. Например, при выборе типа «фраза» указывается текст, обнаружение которого в трафике будет считаться нарушением политик. При выборе типа «персональные данные» указывается тип персональных данных из предустановок — ИНН, данные банковских карт, паспортные данные, СНИЛС и т. д. «Гарда Предприятие» самостоятельно производит поиск выбранных персональных данных, подпадающих под определенные критерии. Для типа «документ» указываются примеры документов, и система осуществляет поиск как полностью идентичных, так и частично похожих документов. Например, для отслеживания передачи по каналам связи ежемесячного финансового отчета достаточно указать как пример один из отчетов, новые документы с похожей структурой и содержанием будут обнаружены автоматически.
  • Каналы передачи данных — указывается перечень каналов связи, в которых осуществляется контроль. В качестве каналов передачи данных поддерживается как указание высокоуровневых каналов (почта, мессенджеры, веб-сайты, социальные сети, носители информации и т. д.), так и детализированные. Например, для почты можно выбрать конкретный почтовый сервис или исключить из общего раздела корпоративную почту, оставив поиск только в личных почтовых ящиках сотрудников.
  • Дополнительные параметры — различные сужающие поиск параметры, такие как размер сообщения, IP-адрес и порт, форматы файлов, адрес веб-сайта, тема письма и прочее. Данные параметры позволяют гранулярно ограничить область действия политики.
  • Сотрудники — параметр позволяет применить политики только к отдельным сотрудникам или группам сотрудников. При этом возможно указание роли сотрудника — отправитель или получатель информации.

Политиками можно управлять произвольно — добавлять новые, редактировать существующие, удалять и временно отключать их действие. По каждой политике можно просмотреть нарушения. В списке срабатываний политики отображается полная информация по инциденту — имя сотрудника, канал передачи данных, переданная информация, дата и время нарушения. При желании администратор может сразу же перейти к подробным данным, загрузить переданное сообщение или файлы, а также получить информацию по другим инцидентам пользователя и всей его активности.

Для блокировки передачи конфиденциальных данных в «Гарде Предприятие» реализован специальный тип политики. С помощью нее можно промаркировать конфиденциальные документы, расположенные в сетевых папках общего доступа, и запретить их передачу — либо полностью, либо по конкретным каналам. Документы можно группировать как по уровню секретности, так и по организационной структуре — например, документы бухгалтерии. С помощью этой политики можно промаркировать шаблон и заблокировать все попытки передачи подобных документов.

 

Рисунок 5. Блокировка утечек чувствительной информации в «Гарде Предприятие»

Блокировка утечек чувствительной информации в «Гарде Предприятие» 

 

Управление сотрудниками

Список сотрудников в «Гарде Предприятие» автоматически загружается из LDAP-каталога (включая Active Directory) с сохранением структуры и подчинения — группировка и распределение по организационным подразделениям. При изменениях в LDAP-каталоге система синхронизирует данные и оперативно обновляет их в своей базе. На основании полученных из LDAP данных в продукте создаются личные карточки на каждого сотрудника, содержащие фотографию, должность, информацию о его рабочем месте, о доменной учетной записи, адрес электронной почты, номер телефона и другие данные. Также в карточку автоматически добавляются учетные записи в сторонних сервисах (почтовые адреса, идентификаторы в мессенджерах, аккаунты социальных сетей), которые использовались сотрудником данных сервисов в рабочее время. Внести недостающие сведения в любую карточку можно и вручную.

 

Рисунок 6. Персональная карточка сотрудника в «Гарде Предприятие»

Персональная карточка сотрудника в «Гарде Предприятие» 

 

При выборе одного сотрудника в интерфейсе в рабочей области отображаются различные данные по его активности:

  • Статистика — общие счетчики посещенных веб-сайтов, переданных почтовых сообщений, счетчик сообщений в мессенджерах и социальных сетях. Можно выбрать период времени для отображения статистики.
  • Связи сотрудника — графическое отображение связей сотрудника с другими сотрудниками в сети предприятия, а также внешние связи по различным каналам.

Толщина линий на графе отражает интенсивность и объемы переданной информации между контактами. При отображении графа связей можно выбрать период времени для контроля, ограничить вывод внешних или внутренних связей, а также производить интерактивную загрузку дополнительных связей.

 

Рисунок 7. Карта взаимосвязей сотрудника по всем каналам коммуникаций за определенный период времени в «Гарде Предприятие»

Карта взаимосвязей сотрудника по всем каналам коммуникаций за определенный период времени в «Гарде Предприятие» 

 

Определить, какого рода эти связи, можно по толщине и цвету линий. При выборе линии происходит интерактивная загрузка дополнительных связей, что позволяет выстроить схему коммуникаций как одного конкретного сотрудника, так и группы (довольно часто встречаются общие контакты, когда два сотрудника не общаются между собой напрямую, но вместе связаны с третьим лицом). К этой же схеме возможно добавление другого сотрудника, если вдруг возникнут подозрения, что с какими-либо контактами из данной схемы он может общаться. Просмотр осуществляется простым переносом контакта данного сотрудника на схему. В таком случае она перестраивается в режиме реального времени.

 

Рисунок 8. Взаимосвязи между сотрудниками в DLP-системе «Гарда Предприятие»

Взаимосвязи между сотрудниками в DLP-системе «Гарда Предприятие» 

 

Кроме отслеживания связей, «Гарда Предприятие» собирает статистику по использованию приложений на компьютерах пользователей, что позволяет отобразить перечень приложений и время их активности. При этом учитывается не время запуска и остановки приложения, а количество времени, когда приложение было активно — то есть находилось в фокусе и использовалось сотрудником. Данная возможность может быть использована отделом по работе с персоналом для контроля эффективности работы сотрудников.

 

Рисунок 9. Контроль рабочего времени сотрудников в «Гарде Предприятие»

Контроль рабочего времени сотрудников в «Гарде Предприятие» 

 

На основе этих данных решение строит статистику рабочего дня как конкретного сотрудника, так и целого отдела. Информация выводится в виде графика с данными о входе и выходе из системы, общем и активном времени работы. Все элементы статистики также интерактивны: можно проверить, какие именно приложения сотрудник использовал в данный отрезок времени.

 

Рисунок 10. Интерактивная статистика рабочего дня в «Гарде Предприятие»

Интерактивная статистика рабочего дня в «Гарде Предприятие» 

 

Кроме того, продукт собирает информацию о посещаемых веб-адресах, количеству посещений и объему переданной и полученной информации и позволяет делать снимки экрана (скриншоты).

 

Рисунок 11. Скриншоты экрана с компьютера сотрудника в «Гарде Предприятие»

Скриншоты экрана с компьютера сотрудника в «Гарде Предприятие» 

 

Всю полученную информацию за любой срок по любым сотрудникам сразу же можно вывести в наглядный отчет в форматах PDF, CSV (Excel) или HTML с прикрепленными файлами.

Поиск переданной информации

Поиск переданной информации осуществляется по различным наборам параметров и критериев. Указание параметров поиска выполняется так же, как и создание политик. Более того, создание политик безопасности возможно не только из раздела политик, но и из раздела поиска информации. Фактически политики — это шаблоны поиска с автоматическим обнаружением, то есть любой поисковый запрос может быть преобразован в политику безопасности. Единственное отличие политик от поиска — наличие временного ограничения, так как поиск является динамическим запросом от администратора, а политика срабатывает в режиме реального времени.

Вариативность поисковых запросов системы «Гарда Предприятие» упрощает нахождение нужной информации. Например, при использовании ключевых слов ищутся факты передачи данных с учетом морфологии сразу по всем каналам. При вводе ключевых слов и фраз можно пользоваться дополнительными символами и операторами, такими как «*», «?», «!», «OR» и «AND». Можно ограничить промежуток времени для поиска, указать отправителя или получателя данных, в качестве которых могут выступать сотрудники (для этого достаточно выбрать нужных сотрудников из списка), либо почтовые адреса, идентификаторы социальных сетей, мессенджеров и IP-адреса.

 

Рисунок 12. Поиск по ключевым словам в «Гарде Предприятие»

Поиск по ключевым словам в «Гарде Предприятие» 

 

Найденные данные отображаются в виде списка или карточек с возможностью предпросмотра содержимого — переданного сообщения, посещенной страницы и т. д. Результаты поиска могут быть экспортированы в виде PDF-отчета или CSV-файла для дальнейшей обработки или передачи заинтересованным лицам.

В разделе «Поиска» также размещается инструмент для проведения расследований инцидентов — карта распространения документов.

 

Рисунок 13. Карта распространения документов в DLP-системе «Гарда Предприятие»

Карта распространения документов в DLP-системе «Гарда Предприятие» 

 

Пользователь может загрузить в систему документ и получить отчет о передаче этого файла как внутри компании, так и наружу. Наглядно можно проследить, каким образом документ распространялся на предприятии: кто из сотрудников и когда его передавал, кто распечатывал, а кто просто вносил какие-то изменения. Таким образом, в случае утечки какого-либо важного документа можно сразу определить, как она произошла.

Отчеты

Система отчетности «Гарды Предприятие» позволяет не только визуализировать нарушения политик безопасности, но и прогнозировать потенциальные каналы утечек информации, выявлять аномалии в информационном пространстве. В решении есть возможность создавать собственные шаблоны отчетов по различным срезам информации. Можно сформировать отчеты, например, по распечатанным документам или файлам, скопированным на внешние носители. При этом любой отчет можно просматривать в виде круговой или столбчатой диаграммы, а также списком.

В продукте встроен ряд предустановленных отчетов:

  • топ сотрудников по количеству переданных файлов;
  • топ переданных файлов по размеру;
  • топ сотрудников по использованию электронной почты;
  • топ сотрудников по посещению веб-сайтов;
  • топ посещаемых веб-сайтов;
  • топ сотрудников по использованию мессенджеров;
  • топ сотрудников по нахождению в социальных сетях;
  • топ сотрудников по звонкам через IP-телефонию.

 

Рисунок 14. Отчеты по популярным действиям сотрудников в DLP-системе «Гарда Предприятие»

Отчеты по популярным действиям сотрудников в DLP-системе «Гарда Предприятие» 

 

Отчеты могут быть построены по произвольному промежутку времени и сохранены в форматах CSV и PDF. Виджет любого отчета можно вынести на главную страницу, чтобы всегда контролировать интересующую информацию.

 

Выводы

«Гарда Предприятие» — DLP-система с простым и понятным интерфейсом, легким в освоении. Архитектура решения не требует сложной перенастройки существующей сетевой инфраструктуры, а поддержка интеграции с Active Directory упрощает развертывание и настройку. Благодаря этому внедрение и использование данной DLP-системы осуществляется в короткие сроки и без дополнительных финансовых затрат. По данным МФИ Софт, среднее время ввода системы в эксплуатацию, учитывая внедрение и освоение продукта сотрудниками компании, не превышает трех дней.

«Гарда Предприятие» обладает большим набором функций и обеспечивает полный контроль всей локальной сети, компьютеров пользователей и передаваемых наружу данных. Наличие сложных механизмов анализа — лингвистического модуля, распознавания изображений и контроля маскировки данных, обеспечивает высокий уровень детектирования информации и с высокой степенью надежности не позволяет выполнить обход DLP-системы стандартными методами.

«Гарда Предприятие» подойдет для инфраструктуры любых размеров, от небольших компаний до распределенных филиальных сетей. За счет статистических отчетов, графиков связей сотрудников и инновационной системы хранения работа продукта в большой организации не будет связана с проблемами, присущими обработке большого объема данных. Восстановить полную картину приема/передачи информации и построить схемы коммуникаций в режиме реального времени не составит труда.

Достоинства:

  • Российский продукт — наличие сертификата соответствия ФСТЭК России, присутствие в реестре российских программ Минсвязи, полностью русскоязычный интерфейс и документация, отсутствие проблем с технической поддержкой.
  • Широкий набор механизмов анализа и распознаваемых каналов передачи данных, включающий VoIP-телефонию, торренты и туннелирующие протоколы.
  • Инновационная система хранения данных с поддержкой Big Data для быстрого доступа к любым объемам сохраненной информации.
  • Наличие агентов рабочих мест и возможность контроля рабочего времени сотрудников.
  • Система политик и отчетов, позволяющая обеспечить своевременное обнаружение и расследование утечек информации, наличие инструментов для проведения расследований.
  • Возможности блокировки передачи данных по содержимому документов.

Недостатки:

  • Необходимость выделять большие объемы свободного места на жестком диске для хранения собранных данных.
  • Наличие агентов только под Windows, отсутствие агентов под Linux, Mac OS и мобильные операционные системы.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.