Обзор DLP-системы InfoWatch Traffic Monitor 6.7


Обзор DLP-системы InfoWatch Traffic Monitor 6.7

Компания InfoWatch выпустила обновленную версию своего флагманского продукта InfoWatch Traffic Monitor 6.7. Продукт претерпел ряд важных изменений и улучшений — появилась блокировка на агенте, поддержка операционной системы Astra Linux, развитие SDK и инструментов для защиты корпоративных данных на мобильных устройствах. В этой статье мы сфокусируем внимание на новых возможностях и улучшениях обновленной версии, рассмотрим архитектуру продукта, его функции и сценарии использования.

Сертификат AM Test Lab

Номер сертификата: 197

Дата выдачи: 21.08.2017

Срок действия: 21.08.2022

Реестр сертифицированных продуктов »

 

1. Введение

2. Новые возможности и улучшения InfoWatch Traffic Monitor 6.7

3. Архитектура решения

4. Функциональные возможности и поддерживаемые технологии

5. Системные требования и политика лицензирования

6. Сценарии работы InfoWatch Traffic Monitor 6.7

6.1. Предотвращение утечек в момент их реализации

6.2. Предотвращение утечек информации из баз данных

6.3. Предотвращение утечек персональных данных

6.4. Защита объектов интеллектуальной собственности

6.5. Контроль мобильных устройств и удаленно работающих сотрудников

6.6. Расследование инцидентов информационной безопасности

7. Выводы

 

 

Введение

Информация является одним из важных активов в бизнесе, и ее хищение или утечка может привести к серьезным финансовым потерям, лишить конкурентных преимуществ и нанести непоправимый ущерб деловой репутации компании. В большинстве случаев источниками таких угроз являются недобросовестные сотрудники организаций (инсайдеры). Ущерб от действий инсайдеров становится все более серьезным и исчисляется десятками миллионов рублей.

По результатам глобального исследования утечек конфиденциальной информации Аналитического центра InfoWatch, в 2016 году число утечек информации из компаний в России, по сравнению с 2015 годом, увеличилось на 80%. В 62% случаев причиной утечки стали внутренние нарушители. 93% утечек были связаны с кражей персональных данных и платежной информации.

В связи с этим все больше компаний задумываются о надежной защите своего бизнеса. Для предотвращения утечек применяются решения класса DLP (Data Loss Prevention). В данном обзоре мы подробно рассмотрим обновленную версию DLP-системы InfoWatch Traffic Monitor 6.7 от компании InfoWatch.

InfoWatch Traffic Monitor — высокотехнологичное комплексное решение, которое защищает организации от действий внутренних злоумышленников и обеспечивает надежную защиту корпоративных данных от умышленных или неумышленных утечек (несанкционированного распространения). Технологии InfoWatch позволяют рассмотреть все документы заказчика, разделив их по категориям, структурировать информационные активы, выявить из большого объема информации конфиденциальные данные. Концепция InfoWatch заключается в том, чтобы контролировать движение информации на всех этапах: от аудита (что и где лежит), выявления контентных маршрутов движения и хранения информации (от кого — кому, какая категория данных передается или хранится) до контроля распространения конфиденциальной информации с помощью DLP-системы и настроенных политик информационной безопасности.

Ранее мы публиковали обзор одной из предыдущих версий продукта InfoWatch Traffic Monitor, с тех пор прошло более двух лет, и за это время он значительно изменился. В данной статье мы сфокусируем внимание на возможностях и улучшениях обновленной версии продукта.

 

Новые возможности и улучшения InfoWatch Traffic Monitor 6.7

 Чуть более чем за два года InfoWatch выпустила сразу три новые версии InfoWatch Traffic Monitor — 6.1, 6.5 и 6.7.  По сравнению с предыдущей рассматриваемой версией (5.1), продукт претерпел ряд важных изменений и улучшений, которые направлены на повышение защиты конфиденциальных данных, удобства работы с системой, расширение отчетности по событиям и инцидентам информационной безопасности, повышение производительности системы. Разрабатывая новую версию, создатели продукта опирались на многолетний опыт пилотных проектов и промышленных внедрений InfoWatch. Поэтому в последних версиях изменился сам подход к обеспечению внутренней безопасности: в центре внимания InfoWatch Traffic Monitor — сотрудник организации в контексте информации, к которой он имеет полноценный доступ, а также устройств, приложений и бизнес-систем, в которых он работает с этой информацией. Несколько лет назад ценность DLP-систем определялась количеством каналов перехвата данных и технологий анализа. С появлением мобильных устройств и технологий удаленной работы корпоративный периметр размывается, а бизнес-информация перемещается в бизнес-системы и приложения (CRM, ERP, системы документооборота, BI и т. д.). В новой версии InfoWatch Traffic Monitor были реализованы такие возможности, как контроль корпоративной информации на мобильных устройствах (личных и корпоративных), контроль информационных потоков, генерируемых в рамках бизнес-систем компании (создание партнерской экосистемы благодаря развитию SDK), развитие аналитических возможностей и визуализации данных, собранных базой InfoWatch Traffic Monitor (модуль InfoWatch Vision).

Новые возможности, добавленные в версии 6.1:

  • Разработан модуль контроля мобильных устройств InfoWatch Device Monitor Mobile, который обеспечивает полноценную защиту от внутренних угроз и утечек через мобильные устройства на базе Android и iOS.
  • Реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP.
  • Реализован принципиально новый подход к классификации данных — комбинированные объекты защиты. Создание в системе комбинированных объектов защиты позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных. Например, классифицировать отсканированные договоры, заверенные печатью. Комбинированные объекты защиты обеспечивают точное детектирование коммерческой тайны в потоке трафика и минимизируют ложные срабатывания.
  • Появились новые инструменты для расследования инцидентов:
    • отчеты для проведения расследований инцидентов;
    • настраиваемые дашборды для оперативного принятия решений;
    • визуализация по различным срезам данных.
  • Обеспечен комплексный подход по защите клиентских баз благодаря развитию технологий анализа и функциональных возможностей:
    • производительность технологии «Детектор выгрузок из баз данных» выросла в 20 раз;
    • автоматическая синхронизация эталонного отпечатка базы с источником данных;
    • интеграция с источниками данными, корпоративными бизнес-системами (CRM, ERP и т. д.).
  • Поддержка базы данных PostgreSQL (наряду с Oracle) и замена технологии Oracle Text на российский поисковый движок Sphinx.
  • Появилось больше возможностей по интеграции со сторонними бизнес-системами и ИТ- и ИБ-решениями (развитие SDK).
  • Усовершенствована собственная защита системы — скрытие и защита от удаления агента InfoWatch Device Monitor, аудит действий администратора системы.

Новые возможности, добавленные в версии 6.5:

  • Реализована возможность блокировки утечек конфиденциальной информации на рабочих станциях.
  • Добавлена возможность настройки запрета операций в приложениях: копирование через буфер обмена, отправка на печать и снятие скриншотов.
  • Появилась возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании.
  • Усовершенствован функционал работы со снимками экрана:
    • фильтрация снимков по конкретному сотруднику или рабочей станции,
    • фильтрация по активному приложению.
  • Добавлена возможность отслеживать передачу документов, содержащих оттиски треугольных печатей организации.

Новые возможности, добавленные в версии 6.7:

В версии 6.7 реализована поддержка Astra Linux 1.5 Special Edition релиз «Смоленск» (агент и сервер Traffic Monitor). Поддерживается следующие функциональности:

  1. Интеграция со службой каталогов ALD (Astra Linux Directory)
  2. Перехват теневых копий файлов, копируемых на USB-устройства
  3. Перехват HTTP(S)-трафика на рабочей станции
  4. Перехват SMTP- и POP3-трафика на рабочей станции
  5. Поддержаны следующие технологии:
    • Лингвистический анализ (БКФ)
    • Текстовые объекты
    • Цифровые отпечатки
    • Детектор заполненных бланков
    • Детектор печатей

По результатам тестирования решение InfoWatch Traffic Monitor 6.7 сертифицировано ОАО «НПО РусБИТех» по программе Software ready for Astra Linux, что означает полное соответствие требованиям безопасности, предъявляемым к программному обеспечению с поддержкой отечественной операционной системы на основе Astra Linux.

InfoWatch Traffic Monitor 6.7 получила сертификат соответствия Министерства обороны РФ. Сертификация проводилась на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) по второму уровню контроля отсутствия недекларированных возможностей.

Более подробно новые функциональные возможности мы рассмотрим в разделе «Сценарии работы InfoWatch Traffic Monitor 6.7». В остальном InfoWatch Traffic Monitor 6.7 полностью наследует возможности предыдущей рассматриваемой версии.

 

Архитектура решения

InfoWatch Traffic Monitor 6.7 представляет собой модульную многокомпонентную распределенную систему, в которой комбинация используемых модулей может изменяться в зависимости от потребностей заказчика.

 

Рисунок 1. Архитектура InfoWatch Traffic Monitor 6.7

Архитектура InfoWatch Traffic Monitor 6.7

 

В состав InfoWatch Traffic Monitor входят следующие компоненты:

InfoWatch Traffic Monitor — модуль для контроля сетевых каналов передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений). Передача информации через сетевые каналы передачи данных осуществляется через сетевой шлюз, который также передает перехваченные данные на сервер Traffic Monitor. Если в потоке передаваемых данных была выявлена конфиденциальная информация и система классифицировала эту передачу как инцидент, автоматически срабатывает режим защиты и запускается процедура реагирования на инцидент. Например, происходит блокирование передачи информации, отправитель получает предупредительное сообщение, или оповещение приходит лицу, ответственному за информационную безопасность. Информация об инциденте вместе с копией перехваченного документа сохраняется в архиве (InfoWatch Forensic Storage).

InfoWatch Device Monitor — модуль для защиты рабочих станций, осуществляющий контроль печати и копирования документов на съемные носители, а также контроль портов и съемных устройств. Программные агенты Device Monitor устанавливаются на рабочих станциях и контролируют локальные процессы обработки информации. При сохранении документов на съемные носители Device Monitor создает теневые копии этих документов, а при печати —графические копии. Теневые копии документов передаются на сервер Traffic Monitor для дальнейшего анализа.

InfoWatch Crawler — модуль для контроля информации в общедоступных сетевых хранилищах и системах документооборота, он осуществляет сканирование и применение политик к информации, хранящейся «в покое», а также поддерживает в актуальном состоянии эталонные документы и выгрузки.

InfoWatch Forensic Storage — специализированное хранилище, содержащее архив всех информационных потоков организации, в том числе нарушения политик безопасности и факты утечек конфиденциальной информации. Является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств.

InfoWatch Device Monitor Mobile — модуль контроля мобильных устройств. Модуль контролирует работу сотрудников с электронной почтой, веб-ресурсами, фотографиями и сервисами обмена сообщениями на мобильных устройствах. На мобильное устройство устанавливается программа-агент, которая перехватывает веб-трафик, сообщения и фотографии и отправляет на сервер InfoWatch Device Monitor для дальнейшего анализа, архивации и принятия решения по инциденту.

InfoWatch Vision — модуль визуальной аналитики информационных потоков в режиме реального времени. Модуль автоматически загружает данные из базы данных InfoWatch Traffic Monitor и расширяет возможности DLP-системы для более глубокого анализа подозрительной активности сотрудников и проведения расследований.

 

Функциональные возможности и поддерживаемые технологии

Функциональные возможности продукта и решаемые задачи

InfoWatch Traffic Monitor обладает комплексом функциональных возможностей и решает следующие задачи:

  • Позволяет выявить сговоры, шантаж, мошенничество, воровство и коррупцию, злоумышленников, лиц, занимающихся промышленным шпионажем, а также круг причастных лиц.
  • Помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени его лояльности к компании.
  • Предотвращает утечки конфиденциальной информации (банковская тайна, коммерческая и финансовая информация, персональные данные, секреты производства, исходный код) и защищает организации от неправомерных действий сотрудников (распространение нежелательной информации от лица компании, несанкционированное взаимодействие с прессой, распространение секретных сведений).
  • Позволяет сформировать доказательную базу для проведения расследований инцидентов информационной безопасности. Предотвращение утечек и выявление нарушителей осуществляется через мониторинг, перехват и анализ всех информационных потоков организации, с учетом установленных политик информационной безопасности и правил. Продукт производит мониторинг данных, которые передаются через почтовые системы, web, системы обмена сообщениями, распечатываются и копируются на съемные носители.

Перехваченная информация проходит многоуровневый анализ. Вердикт о разрешении или блокировке передачи данных выносится автоматически благодаря технологиям, которые позволяют точно детектировать конфиденциальные данные «на лету», а также автоматически классифицировать информацию.

  • Лингвистический анализ — определение тематики и содержания текста по терминам (словам и словосочетаниям), найденным в тексте.
  • Детектор выгрузок из баз данных — поиск цитат из заданной базы данных; выгрузками из БД могут быть списки заработных плат сотрудников, другие личные данные и проч.
  • Детектор текстовых объектов — поиск текстовых объектов, соответствующих заданным шаблонам.
  • Детектирование цифровых отпечатков —поиск фрагментов текста, принадлежащих к заранее заданным эталонным документам.
  • Детектирование заполненных бланков — поиск бланков установленного шаблона. Бланками могут быть различные анкеты, квитанции и проч. Cистема также детектирует бланки, заполненные от руки.
  • Детектирование паспортов граждан РФ — поиск изображений паспортов граждан.
  • Детектирование печатей — поиск изображения печати установленного вида: круглые и треугольные печати, независимо от угла поворота, смещения, масштаба, яркости изображения и наличия на ней шумов (текст, краска, потертости и т. д.).
  • Детектор графических объектов — технология распознает в изображениях заранее предустановленные графические объекты и осуществляет поиск изображений, соответствующих какой-либо из предустановленных категорий (паспорта, кредитные карты).
  • OCR (optical character recognition) мгновенное распознавание текста в изображениях контроль процессов печати и сканирования документов, перемещения отсканированных копий внутри организации (со сканера на ПК, с ПК на принтер) и за ее пределы (отправка отсканированных копий по электронной почте, через сервисы мгновенных сообщений и пр.).
  • Сигнатурный анализ файла — категории сигнатур, с помощью которых правила File Monitor могут распространяться на заданные форматы файлов.
  • Комбинированные объекты защиты — позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных.

Технологии анализа применяются как на уровне сетевого шлюза, так и на конечных устройствах, включая персональные компьютеры, ноутбуки и мобильные устройства. Это помогает мгновенно блокировать несанкционированные действия сотрудников: хищение, разглашение, модификацию конфиденциальной информации.

Все перехваченные данные помещаются в централизованный архив системы. Сохранение всей информации в архиве позволяет отследить маршруты движения информации, случаи нецелевого использования корпоративных ресурсов. Шаблоны отчетов помогут собрать и оформить доказательства для расследования инцидентов и проводить анализ утечек конфиденциальной информации.

Контролируемые каналы и протоколы

Каналы блокировки:

  • Съемные носители и внешние устройства: USB, HDD, FireWire, Wi-Fi, Bluetooth, подключение мобильных устройств (MTP).
  • Локальные и сетевые устройства печати.
  • Запуск и копирование в буфер обмена, снимки экрана, печать, облачные хранилища.
  • Подключение к внешним сетям.

Каналы перехвата:

  • Почта: SMTP, IMAP4, POP3, MAPI, NRPC (Lotus).
  • Веб-ресурсы: HTTP / HTTPS, FTP / FTPS, Веб-почта, Блоги / Форумы / Соцсети, Облачные хранилища.
  • Мессенджеры: ICQ, Skype (включая голос), Jabber, Lync.
  • Теневое копирование файлов, отправленных на сетевые папки.

Контроль мобильных Android/iOS устройств: камера, приложения, сообщения (SMS, iMessage), мессенджеры (WhatsApp, Skype), почта и интернет.

Контроль удаленного подключения: Microsoft RDP и Citrix XenApp.

Возможности интеграции со смежными системами

Для расширения возможностей InfoWatch Traffic Monitor предусмотрена возможность интеграции с различным сторонним программным и аппаратным обеспечением:

  • Интеграция с системами класса SIEM (HP ArcSight, IBM Tivoli, Positive Technology MaxPatrol SIEM).
  • Загрузка для анализа событий в Traffic Monitor через pushAPI SDK из сторонних систем (например, Cisco, EtherSensor).
  • Загрузка в Traffic Monitor через dbAPI SDK для анализа и детектирования эталонных документов из сторонних систем (ERP, CRM и другие).
  • Интеграция с прокси-серверами Microsoft Forefront TMG, Aladdin eSafe Web Security Gateway SSL, Blue Coat ProxySG, Cisco IronPort S-Series, SQUID для перехвата HTTP- и HTTPS-трафика по ICAP.
  • Интеграция на базе адаптеров с решениями для контроля печати (АРТИ DPrint), с решениями для защиты рабочих станций (Lumension Device Control, DeviceLock), с решениями для контроля коммуникаций Microsoft Lync Server, системами защищенного документооборота (Oracle Information Rights Management).
  • Интеграция с решением EMM-класса (WorksPad) — для контроля корпоративных данных, используемых сотрудниками на личных мобильных устройствах.
  • Интеграция InfoWatch Traffic Monitor с системой InfoWatch Vision для визуализации информационных потоков и выявления подозрительной активности персонала.

 

Системные требования и политика лицензирования

Системные требования InfoWatch Traffic Monitor напрямую зависят от размера инфраструктуры компании. InfoWatch Traffic Monitor подходит как для крупных организаций с территориально-распределенной структурой, так и небольших компаний и филиалов. Для этого разработано две версии продукта: версия Enterprise (для крупных корпораций) и версия Standard Solution (для небольших организаций). Ниже в таблицах приведены системные требования для InfoWatch Traffic Monitor версий Enterprise и Standard Solution.

 

Таблица 1. Системные требования InfoWatch Traffic Monitor Enterprise

Модуль Аппаратное обеспечениеПрограммное обеспечение
Защита периметра сети
Сервер InfoWatch Traffic Monitor  
При нагрузке < 10 Гб/деньCPU: 2CPU 8xC + Hyperthreading Intel® Xeon® Processor E5-2640 v3 /2,6 ГГц) 
HDD: SATA, 600 Гб 
RAM: 32 Гб 
Не предъявляются
При нагрузке от 10 до 50 Гб/деньCPU: 2SRVx2CPU 10xC
HDD: SATA/SAS, RAID5, 6+ /HDD
RAM: 64 Гб
Не предъявляются
При нагрузке > 50 Гб/деньCPU: Рассчитывается по запросу
HDD: SAS, полка
RAM: по 64 Гб на каждый из серверов
Не предъявляются
Защита рабочих станций
InfoWatch Device Monitor ServerCPU: от 2 ядер
HDD: не менее 200 MB
RAM: от 2 Гб
Microsoft Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2;
Платформа:
Microsoft .Net Framework 4.0 x86 и x64;
СУБД: Oracle версии 10g R2 или выше;
Instant Client c ODBC драйверами, ODP.NET (Oracle Data Provider for .NET 2.0).
InfoWatch Device Monitor ClientCPU: от 2 ядер
HDD: Не менее 320 Гб свободного пространства для временного хранения файлов, предназначенных для передачи на анализ
RAM:от 2 Гб
Microsoft Windows XP Professional SP 3 со всеми обновлениями, Vista SP 2, 7 SP 1, 8, 8.1, Server 2003, 2008, 2012, 2008 R2, 2012 R2.
Платформа:
Microsoft .Net Framework 4.5
Консоль управления Device MonitorHDD: Не менее 35 MB свободного пространстваMicrosoft Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2, XP Professional SP 3, Vista SP 2, 7 SP 1, 8 и 8.1.
Хранилище данных
InfoWatch CrawlerCPU: от 2 ядер
HDD: 1 ГБ свободного пространства — для сервера; не менее 10 ГБ свободного пространства — для сканера.
RAM:от 2 Гб
Microsoft Windows Vista 7/8 SP2, Server 2008 R2 SP1, SP2/2012, 7 SP1
Платформа: Microsoft .Net Framework 4.5
Централизованное архивирование и управление
InfoWatch Forensic Storage (Серверная часть БД)CPU: 2 CPU от 6xC, 2,6 ГГц
HDD: от 500 ГБ и более.
RAM:от 16 Гб
Oracle
PostgeSQL
InfoWatch Forensic Storage (Консоль)CPU: Pentium 4, 3ГГц
RAM: 1 Гб
Microsoft Windows XP SP3, 7, 8

 

Таблица 2. Системные требования InfoWatch Traffic Monitor Standard Solution

МодульАппаратное обеспечениеПрограммное обеспечение
Сервер InfoWatch Traffic Monitor StandardРекомендуемая аппаратная платформа — сервер HP ProLiant DL320 G6:
CPU: E5502 — 1 шт.
Controller: HP Smart Array P212/256MB Controller, BBWC — 1шт.
HDD: HP 600ГБ 15k LFF SAS 3,5” HotPlug.
Кабель: Mini SAS to Mini SAS 33in Cable Assy — 1 шт.
Привод: HP 9.5mm DVD — 1 шт.
Red Hat Enterprise Linux Server release 6.5 х64 (входит в комплект поставки)
PostgreSQL 9.4.2 и выше (входит в комплект поставки и не требует дополнительного лицензирования)
Консоль управленияНе предъявляютсяWindows XP (x86-32), 7 (x86-32, x64), 8
Поддерживаемые браузеры для консоли управления: Google Chrome

 

InfoWatch Traffic Monitor может поставляться в виде программного обеспечения (устанавливается на оборудовании клиента) и как готовый программно-аппаратный комплекс.

Политика лицензирования InfoWatch Traffic Monitor 6.7

Гибкая схема лицензирования InfoWatch Traffic Monitor предлагает заказчикам выбирать только те модули, в которых имеется потребность, с возможностью последующего наращивания функциональности системы. Продукт лицензируется по рабочим станциям и перехватчикам.

Соответствие требованиям регуляторов

InfoWatch Traffic Monitor позволяет компаниям соответствовать требованиям отраслевых стандартов и законодательства:

  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • 152-ФЗ «О персональных данных»;
  • Требования по защите коммерческой тайны (98-ФЗ);
  • Требования по защите инсайдерской информации (224-ФЗ);
  • Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие);
  • Приказы ФСТЭК России №17 (ГИС), №21 (ИСПДн);
  • Сертификат Министерства обороны РФ по второму уровню контроля недекларированных возможностей (НДВ-2);
  • Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и РС БР ИББС-2.9-2016 «Предотвращение утечек информации»;
  • Комплексный международный стандарт по информационной безопасности ISO 27001;
  • Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т. д.).

InfoWatch Traffic Monitor включен в реестр отечественного программного обеспечения, а также сертифицирован в системе сертификации ФСТЭК России (Сертификат № 3205 на соответствие ТУ и 4 уровню РД НДВ). Наличие сертификата дает возможность использовать InfoWatch Traffic Monitor в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, для защиты персональных данных (ИСПДн), в государственных информационных системах (ГИС).

 

Сценарии работы InfoWatch Traffic Monitor 6.7

Предотвращение утечек в момент их реализации

Основными отличиями новой версии являются возможность блокировки утечек конфиденциальной информации на рабочих станциях, запрет операций при работе сотрудников в приложениях с критичными для бизнеса данными, запрет операций копирования-вставки данных с помощью буфера обмена и снимков экрана.

Блокирование утечек конфиденциальной информации на рабочей станции

InfoWatch Traffic Monitor блокирует передачу данных с компьютера сотрудника при обнаружении в них защищаемых данных. Это позволяет офицеру безопасности предотвращать внутренние угрозы в момент их реализации. Для анализа данных на агенте при попытке отправки их с компьютера пользователя система использует технологии лингвистического анализа, детектирования текстовых объектов, а также технологию комбинированных объектов защиты, что позволяет распознать сложные структуры данных, исключить ложные срабатывания и обеспечить высокую точность срабатывания, не нарушая работу бизнес-процессов компании. Система также принимает решение о блокировке по сигнатуре файла, например, предотвратит запись Exсel-таблицы на съемное устройство или передачу конструкторской документации в облачное хранилище. Для применения политик блокировки доступны все ранее разработанные базы контентной фильтрации, и заказчик может сам выбрать, какая должна срабатывать на агенте при блокировке инцидента. Это помогает настроить правила блокировки наиболее точным образом и сократить число ложноположительных срабатываний.

 

Рисунок 2. Настройка политики блокировки по сигнатуре файла в InfoWatch Traffic Monitor 6.7

Настройка политики блокировки по сигнатуре файла в InfoWatch Traffic Monitor 6.7

 

В качестве примера покажем, как работает политика блокировки на агенте по итогам срабатывания технологий детектора текстовых объектов и лингвистического анализа. В примере используется договор банковской гарантии, которому соответствует предустановленная банковская БКФ. В системе создана политика на объект защиты, для которого задано условие срабатывания при заполненном поле ИНН. На скриншотах ниже демонстрируется отправка договора с заполненным поле ИНН на съемный носитель. В этом случае система блокирует передачу файла, а при передаче договора с незаполненным поле ИНН — политика не срабатывает и операция разрешается.

 

Рисунки 3-4. Попытка копирования договора банковской гарантии на съемный носитель

Попытка копирования договора банковской гарантии на съемный носитель 

Попытка копирования договора банковской гарантии на съемный носитель

 

При попытке копирования таблицы на флешку, в трее выводится сообщение о нарушении политики безопасности, передача файла блокируется. Событие фиксируется в журнале и остается доступным для ознакомления офицером безопасности в консоли InfoWatch Traffic Monitor.

 

Рисунок 5. Срабатывание политики блокировки при попытке копирования на съемный носитель (сообщение в трее)

Срабатывание политики блокировки при попытке копирования на съемный носитель (сообщение в трее)

 

Запрет операций при работе в бизнес-приложениях

InfoWatch Traffic Monitor позволяет создавать правила запрета на выполнение отдельных операций при работе в бизнес-приложениях: копирование через буфер обмена, отправку на печать и снятие скриншотов. Возможность тонко разграничивать права отдельных групп сотрудников особенно актуальна для контроля извлечения данных из бизнес-систем и автоматизированных рабочих мест в системах АСУ ТП. Запрет отдельных операций позволяет контролировать приложения, чья ролевая модель не предусматривает разграничение прав для определенных операций, в том числе программного обеспечения, разработанного под конкретного заказчика.

В качестве примера покажем, как работает политика запрета на снятие снимков экрана. В консоли InfoWatch Device Monitor создадим правило «Правило запретов скриншотов в Excel». В нем укажем запрет на создание скриншотов только в приложении Microsoft Excel.

 

Рисунок 6. Настройка политики запрета на снятие снимков экрана из Excel в модуле InfoWatch Device Monitor

Настройка политики запрета на снятие снимков экрана из Excel в модуле InfoWatch Device Monitor

 

На рабочей станции запустим Excel и попробуем сделать скриншот. При попытке сделать снимок экрана в трее выводится сообщение о нарушении политики безопасности, операция блокируется.

 

Рисунок 7. Срабатывание политики при попытке сделать снимок экрана в Excel

Срабатывание политики при попытке сделать снимок экрана в Excel

 

Перехват операций копирования-вставки данных с помощью буфера обмена

В InfoWatch Traffic Monitor 6.7 появилась возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании. Новая функциональность позволяет отслеживать перемещение конфиденциальной информации по наиболее уязвимым и критичным маршрутам, исключая операции, предусмотренные производственной деятельностью. Таким образом, офицер безопасности будет оповещен системой только в том случае, когда операция с буфером обмена представляет угрозу утечки, например, при копировании данных из бизнес-системы в программу мгновенного обмена сообщениями.

 

Рисунок 8. Настройка политики запрета использования буфера в Excel в модуле InfoWatch Device Monitor

Настройка политики запрета использования буфера в Excel в модуле InfoWatch Device Monitor

 

Рисунок 9. Срабатывание политики при попытке скопировать данные из таблицы Excel

Срабатывание политики при попытке скопировать данные из таблицы Excel

Предотвращение утечек информации из баз данных

Сведения о контрагентах, партнерах, клиентах, собранные в различных базах, являются одним из наиболее ценных активов для любой организации. При этом ФИО контрагентов, названия компаний-контрагентов, адреса и иные сведения из этих баз представляют собой особый тип данных, не поддающийся формализации.

В InfoWatch Traffic Monitor для их обнаружения создается эталонный отпечаток базы (может формироваться из нескольких источников — системы CRM, ERP, файлы Excel и пр.). В потоке трафика система анализирует каждое сообщение (письма, публикации в веб, файлы, сохраненные в облаке, и пр.), сравнивает обнаруженные в этих сообщениях текстовые фрагменты с данными из эталонного отпечатка. Если система находит совпадение, офицер безопасности получает уведомление об инциденте.

 

Рисунок 10. Настройка политики запрета выгрузок из БД в InfoWatch Traffic Monitor 6.7

Настройка политики запрета выгрузок из БД в InfoWatch Traffic Monitor 6.7

 

Описанная технология получила название «Детектор выгрузок из баз данных». Она позволяет предотвратить утечку сведений о контрагентах в результате ошибок или злонамеренных действий сотрудников независимо от того, передается вся клиентская база или ее фрагмент. Однако скорость работы этой технологии прямо зависит от объема информации о клиентах и контрагентах, накопленной в компании.

 

Рисунок 11. Информация о блокировке пересылки базы данных в InfoWatch Traffic Monitor 6.7

Информация о блокировке пересылки базы данных в InfoWatch Traffic Monitor 6.7

 

Отметим, что благодаря доработке математических алгоритмов поиска и сравнения, лежащих в основе «Детектора выгрузок из баз данных», удалось добиться увеличения производительности технологии в 20 раз. На клиентской базе объемом 5 млн строк (записей, содержащих сведения о контрагентах) сообщения анализируются со скоростью до 54 млн знаков в секунду.

InfoWatch Traffic Monitor напрямую подключается к защищаемым данным (к источникам — системам ERP, CRM), что позволяет постоянно поддерживать эталонный отпечаток базы в актуальном состоянии

Предотвращение утечек персональных данных

Для выявления утечек персональных данных и иной формализованной (например, в виде анкет) информации применяется технология «Детектор заполненных бланков». Производительность этой технологии в новой версии выросла в 28 раз с возможностью одновременного контроля 150 анкет.

Для защиты персональных данных также работает «Детектор графических объектов». В систему можно завести различные графические объекты, например паспорта, кредитные карты, географические карты, чертежи и т. д.

Для повышения эффективности детектирования персональных данных и снижения числа ложноположительных срабатываний появилась возможность создания комбинированных объектов защиты. Например, в политике защиты персональных данных можно задать условие срабатывания для бланков, в которых заполнены поля «номер паспорта», «адрес», «номер подразделения, выдавшего паспорт». В отношении бланков, в которых данные поля не заполнены, политика срабатывать не будет.

 

Рисунок 12. Настройка политики запрета передачи паспортов в InfoWatch Traffic Monitor 6.7

Настройка политики запрета передачи паспортов в InfoWatch Traffic Monitor 6.7

 

Рисунок 13. Информация о блокировке передачи паспортных данных по электронной почте во вкладке «События» в InfoWatch Traffic Monitor 6.7

Информация о блокировке передачи паспортных данных по электронной почте во вкладке «События» в InfoWatch Traffic Monitor 6.7

Защита объектов интеллектуальной собственности

Интеллектуальная собственность компании защищается с помощью патентов и других правовых методов, однако подобная защита подходит только для тех разработок, которые уже окончательно оформлены и доработаны. В то же время утечка информации может произойти задолго до того, как компания получит патент. Кроме того, существуют такие виды интеллектуальной собственности, которые не так и просто защитить, зато очень легко украсть.

Специфика деятельности организации определяет, какая именно информация подлежит защите. Например, для конструкторского бюро опасность представляет утечка чертежей проектируемых объектов, а для софтверных компаний — утечка исходных кодов.

Чтобы защита была эффективной, технологии анализа информации должны учитывать специфику деятельности организации. Для этого InfoWatch Traffic Monitor предоставляет разные наборы правил обработки информации для различных отраслей экономики: специализированные базы контентной фильтрации, представляющие собой иерархический список категорий из слов и выражений, позволяющий определить тематику и степень конфиденциальности данных.

 

Рисунок 14. База контентной фильтрации для языков программирования семейства «Си» в InfoWatch Traffic Monitor 6.7

База контентной фильтрации для языков программирования семейства «Си» в InfoWatch Traffic Monitor 6.7

 

В состав InfoWatch Traffic Monitor входит предустановленная база контентной фильтрации, которая оптимизирована под потребности конкретных сегментов рынка: финансовый, нефтегазовый, телекоммуникационный и другие отрасли. Оптимизация базы под какой-то сегмент рынка означает, что она содержит наиболее распространенные категории, характерные для данной отрасли. Например, для защиты от утечек исходных кодов вендорам программного обеспечения подойдет база «Исходный код», которая содержит множество языков программирования. Политику можно настроить как на мониторинг, так и на блокировку при попытке несанкционированной передачи или копирования файла, содержащего исходный код.

 

Рисунок 15. Блокировка копирования на съемный носитель файла *срр

Блокировка копирования на съемный носитель файла *срр

 

Для компаний, где работают инженеры-конструкторы и проектировщики, чертежи (сегодня это, как правило, файлы формата *dwg, созданные в AutoCAD) составляют существенную часть интеллектуальной собственности. Контроль оборота таких файлов представляет интерес и для режимных предприятий, и для компаний, работающих в сильной конкурентной среде. Форматы инженерных файлов сложны, в них используется огромное количество разнообразных элементов и метаданных.

 

Рисунок 16. Настройка политики блокировки передачи CAD-документов в InfoWatch Traffic Monitor 6.7

Настройка политики блокировки передачи CAD-документов в InfoWatch Traffic Monitor 6.7

 

Детектирование конфиденциальной информации в чертежах и 3D-проектах AutoCAD осуществляется благодаря технологии цифровых отпечатков бинарных данных, которую разработчики InfoWatch вывели на новый уровень. В InfoWatch создали технологию, которая не только обрабатывает непосредственно бинарные данные, но также выявляет конфиденциальный файл при любом количестве внесенных в него изменений. Чувствительность системы к количеству модификаций документа зависит от настроек, которые пользователь может выставить по своему усмотрению.

 

Рисунок 17. Информация о блокировке передачи CAD-документов в InfoWatch Traffic Monitor 6.7

Информация о блокировке передачи CAD-документов в InfoWatch Traffic Monitor 6.7

 

Отметим, что технология бинарных цифровых отпечатков позволяет безошибочно выявлять передачу конфиденциальных данных, однако до сих пор она имела серьезное ограничение: изменения в файле приводили к тому, что он переставал соответствовать своему цифровому отпечатку и вследствие этого больше не мог быть перехвачен системой. В этой связи защита файлов с помощью технологии бинарных цифровых отпечатков рекомендовалась для редко изменяемых документов и всегда дублировалась другими, более гибкими технологиями анализа данных.

Другой сложностью долгое время оставалось то, что большинство DLP-систем не умеет работать непосредственно с бинарными данными, к которым относятся и файлы AutoCAD. При создании цифрового отпечатка происходит работа с метаданными (названиями деталей чертежа и т. п.) либо другим текстовым окружением. Удаление этой текстовой информации из файла приводит к тому, что документ перестает распознаваться системой, а значит, лишается защиты от утечки.

InfoWatch создала технологию, которая не только обрабатывает непосредственно бинарные данные, но также выявляет конфиденциальный файл при любом количестве внесенных в него изменений. «Чувствительность» системы к количеству модификаций документа зависит от настроек, которые пользователь может выставить по своему усмотрению.

Контроль мобильных устройств и удаленно работающих сотрудников

Интеграция мобильных устройств в корпоративную жизнь размывает периметр корпоративной сети и усложняет контроль чувствительной информации. Компании решают проблему использования мобильных устройств разными путями: выдают сотрудникам корпоративные мобильные устройства для работы (концепция CYOD — choose your own device); разрешают пользоваться личными устройствами в рабочих целях (концепция BYOD — bring your own device), либо вовсе запрещают сотрудникам приносить устройства на работу. Последний вариант, возможно, наиболее эффективен с точки зрения защиты корпоративных данных, однако наименее гибок и удобен для бизнес-процессов самой компании. Для обеспечения защиты корпоративных данных в моделях CYOD и BYOD InfoWatch разработала два решения в рамках релизов InfoWatch Traffic Monitor:

  1. Интеграция с приложением Workspad для контроля движения конфиденциальной информации на личных мобильных устройствах сотрудников.

В основе совместного решения лежит концепция «защищенной витрины», которая реализована благодаря объединению технологий ведущих российских ИБ-вендоров —  WorksPad (МобилитиЛаб), VipNet (ИнфоТекс) и InfoWatch Traffic Monitor. Решение разграничивает корпоративное и персональное пространство на устройстве и не позволяет пользователю переносить рабочую информацию в личную зону. Решение поддерживает операционные системы iOS и Android, независимо от модели устройства и производителя.

Интеграция открывает возможности применения личных устройств для работы с корпоративной информацией и корпоративными ресурсами (электронная почта, документы, веб-ресурсы и т. д.) по модели BYOD:

  • Контроль электронной почты на предмет неправомерной передачи конфиденциальной информации.
  • Контроль перемещения файлов в мобильное устройство с файлового сервера и SharePoint.
  • Контроль документов, содержащихся в корпоративном календаре приложения WorksPad.
  • Удаленное безвозвратное уничтожение корпоративных данных с мобильного устройства, если оно было украдено или потеряно.
  • Настраиваемая защита корпоративных документов водяными знаками.
  • Безопасный обмен документами (файлами) по сгенерированным ссылкам (File Sharing).
  • Встроенный браузер INTRANET/INTERNET для защищенного доступа к корпоративным web-ресурсам.
  • Шифрование данных контейнера согласно алгоритму ГОСТ и AES.
  • Сбор доказательной базы для расследования инцидентов, связанных с мобильными устройствами.

Интеграция с Workspad реализована, начиная с версии InfoWatch Traffic Monitor 6.5.

 

Рисунок 18. Схема работы совместного решения InfoWatch Traffic Monitor WorksPad VipNet

Схема работы совместного решения InfoWatch Traffic Monitor — WorksPad —VipNet

 

  1. Модуль Device Monitor Mobile для контроля движения конфиденциальной информации на корпоративных мобильных устройствах.

Специальный агент устанавливается на мобильное устройство (смартфоны, планшеты) под управлением Android и iOS и контролирует действия пользователя при работе с корпоративными данными, передачу информации по всем популярным каналам — через SMS-сообщения, веб- и почтовый трафик, мессенджеры (в том числе Skype, WhatsApp), облачные хранилища, социальные сети. Device Monitor Mobile также контролирует запуск отдельных приложений и работу фотокамеры мобильного устройства.

 

Рисунок 19. Схема работы InfoWatch Device Monitor Mobile

Схема работы InfoWatch Device Monitor Mobile

 

В новой версии InfoWatch Traffic Monitor 6.7 модуль InfoWatch Device Monitor Mobile имеет следующие возможности:

  1. Поддержка Android 5.x (Lollipop).
  2. Поддержка новых моделей устройств.
  3. Перехват Skype (текстовые сообщения и передача файлов).

 

Рисунок 20. Настройка политики безопасности для мобильных устройств в InfoWatch Device Monitor

Настройка политики безопасности для мобильных устройств в InfoWatch Device Monitor

 

InfoWatch Traffic Monitor с помощью мобильного агента анализирует изображения, сделанные камерой телефона. «Фотографирование экрана» является любимым способом обхода средств защиты злоумышленниками. Но теперь, если сотрудник сфотографировал конфиденциальный документ, InfoWatch Traffic Monitor мгновенно отреагирует на это событие. Технология сработает даже тогда, когда снимок не передается вовне по каналам связи, а просто хранится в памяти устройства.

 

Рисунок 21. Теневая копия снимка банковской карты, полученного с камеры мобильного устройства

Теневая копия снимка банковской карты, полученного с камеры мобильного устройства

 

Кроме того, InfoWatch Traffic Monitor обеспечивает защиту конфиденциальной информации, даже когда сотрудники компании работают удаленно, через технологию удаленного рабочего стола. Для этого в InfoWatch Traffic Monitor реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP.

Расследование инцидентов информационной безопасности

Новая система отчетности InfoWatch Traffic Monitor позволяет собрать большой объем данных и представить всю необходимую информацию для офицера безопасности и руководителей бизнес-подразделений в виде графиков и отчетов.

Например, ознакомиться со статистикой о нарушениях и нарушителях можно в консоли InfoWatch Traffic Monitor в разделе «Сводка».

 

Рисунок 22. Настройка отчетов и управление визуализацией с помощью виджетов в консоли InfoWatch Traffic Monitor 6.7

Настройка отчетов и управление визуализацией с помощью виджетов в консоли InfoWatch Traffic Monitor 6.7

 

Информация отображается на виджетах. Для эргономичного использования рабочей области виджеты располагаются на панелях. Панели позволяют группировать виджеты, объединенные общей тематикой. Офицер безопасности может настроить консоль управления под себя и получать сводку об инцидентах без потери времени. При этом каждый виджет обладает дополнительными настройками.

 

Рисунок 23. Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

 

Виджеты удобно использовать для ежедневного мониторинга, так как они позволяют быстро просмотреть статистику по событиям. Например:

  • Виджет «Динамика нарушений» отображает количественные изменения по выбранным типам нарушений за определенный период времени.
  • Виджет «Топ нарушителей» отображает список пользователей, совершающих наибольшее количество нарушений (высокого, среднего и низкого уровня) за выбранный период времени.
  • Виджет «Количество нарушений» показывает, какое число нарушений для каждого типа правил совершено за исследуемый период времени.
  • «Статистика по политикам» отображает количество нарушений по заведенным в организации политикам ИБ — правила передачи, копирования и хранения конфиденциальных данных.

 

Рисунок 24. Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

Статистика о нарушениях и нарушителях в разделе «Сводка» в InfoWatch Traffic Monitor 6.7

 

Кроме того, в InfoWatch Traffic Monitor 6.7 усовершенствована работа со снимками экрана. Теперь возможна фильтрация снимков по конкретному сотруднику или рабочей станции, а также фильтрация по активному приложению.

 

Рисунок 25. Карточка сотрудника в разделе «Персоны» в InfoWatch Traffic Monitor 6.7

Карточка сотрудника в разделе «Персоны» в InfoWatch Traffic Monitor 6.7

 

Благодаря фильтрации можно смотреть снимки экрана работы конкретного сотрудника, независимо от места и устройства, за которым он работал, или посмотреть скриншоты с выбранной рабочей станции без привязки к пользователю.

 

Рисунок 26. Раздел «Снимки экрана» в карточке сотрудника в InfoWatch Traffic Monitor 6.7

Раздел «Снимки экрана» в карточке сотрудника в InfoWatch Traffic Monitor 6.7

 

Если необходимо детально рассмотреть инцидент, можно исследовать снимки, сделанные до и после события — это позволит быстро восстановить картину произошедшего.

 

Выводы

В данном обзоре мы познакомились с обновленной версией комплексного решения для защиты от внутренних угроз и неправомерных действий сотрудников — DLP-системой InfoWatch Traffic Monitor 6.7. Продукт представляет собой мощный набор инструментов для контроля каналов передачи данных и предотвращения утечек конфиденциальной информации. Применение системы позволяет существенно снизить риски утечки информации и возникновения инцидентов, связанных с неправомерными действиями сотрудников организации, в том числе при использовании мобильных устройств в корпоративной среде.  InfoWatch Traffic Monitor 6.7 предоставляет компаниям необходимый набор инструментов как для проведения внутренних расследований, так и для дальнейшей правовой защиты собственных интересов.

Согласно исследованию аналитического агентства Gartner, компания InfoWatch ежегодно входит в число лучших разработчиков DLP-систем (Magic Quadrant for Enterprise Data Loss Prevention) и второй год подряд признается ведущим российским DLP-вендором на мировом рынке. Аналитики Gartner отмечают запатентованные технологии лингвистического анализа InfoWatch, аналитические возможности системы и широкий спектр языковой поддержки InfoWatch Traffic Monitor, позволяющие выявлять нелояльно настроенных сотрудников и факты внутреннего фрода в организации, включая мошенничество, шпионаж, нецелевое использование ресурсов и несанкционированные действия с информацией ограниченного доступа.

Кроме того, InfoWatch Traffic Monitor занимает лидирующую позицию российском рынке и пользуется хорошим спросом. Об этом мы уже подробно рассказывали в статье «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2013-2016».

Также к преимуществам InfoWatch Traffic Monitor можно отнести его модульную архитектуру.  Комплектация и состав продукта определяются потребностями бизнеса. Это позволяет клиентам внедрять только те модули, в которых есть потребность. В случае необходимости расширения функционала системы клиент может просто докупить необходимые модули и лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности InfoWatch Traffic Monitor.

К недостаткам можно отнести только отсутствие агента для операционной системы семейства macOS, а также поддержку работы веб-консоли InfoWatch Traffic Monitor только с браузером Google Chrome.

Достоинства:

  • Российское решение для защиты от утечек информации и контроля информационных потоков.
  • Наличие сертификата соответствия требованиям безопасности ФСТЭК России.
  • Гибкая система лицензирования продукта — позволяет приобрести только необходимые модули, что в итоге снижает общую стоимость решения.
  • Высокая скорость анализа данных.
  • Поддержка большого числа протоколов для перехвата и анализа данных.
  • Контроль мобильных устройств и удаленных пользователей.
  • Защита CAD-файлов.
  • Блокировка утечек непосредственно на рабочей станции.
  • Широкие возможности интеграции со сторонними решениями и сервисами.
  • Гибкая система построения отчетности, в том числе возможность создания графических отчетов.
  • Настройка политик безопасности для рабочих станций осуществляется с помощью единого центра управления — консоли InfoWatch Traffic Monitor.

 Недостатки:

  • Веб-консоль InfoWatch Traffic Monitor поддерживает работу только с браузером Google Chrome.
  • Отсутствие поддержки операционной системы macOS

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.