Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP)

[AM_Bot 48]

Чтобы контролировать доступ к конфиденциальным данным, необходимо понимать, где и какая информация хранится. Оперативный поиск и непрерывный контроль мест хранения данных позволит не только точно определить наиболее важные информационные активы, обнаружить несанкционированные копии конфиденциальных документов, но избежать возможных утечек. Подсистема поиска конфиденциальной информации (Discovery DLP), которая входит в состав зрелых DLP как иностранных, так и отечественных производителей, помогает решить такую задачу.   ВведениеРынок Discovery DLPФункции Discovery DLPКраткий обзор продуктов Discovery DLP4.1. DeviceLock DLP4.2. Falcongaze SecureTower4.3. Forcepoint DLP4.4. InfoWatch Traffic Monitor4.5. McAfee DLP4.6. Solar Dozor4.7. Symantec DLP4.8. Zecurion DLP4.9. Гарда Предприятие4.10. КИБ СёрчИнформВыводы ВведениеВ настоящее время государственные и коммерческие организации уделяют особое внимание защите конфиденциальной информации от утечки по различным каналам связи. Возможность утечки информации за пределы внутренней сети является опасной угрозой, так как помимо снижения репутации компания может понести существенные убытки. Если персональные данные, клиентская база, научные разработки или другая критичная информация попадет в руки злоумышленников или конкурентов, это грозит организации серьезными проблемами.Для решения проблем утечки данных внедряются DLP-системы, способные обеспечивать активную защиту и блокировать отправку сообщений с недопустимыми вложениями. Однако злоумышленником-инсайдером может оказаться не только человек, который работает непосредственно с критичными данными. Может случиться так, что конфиденциальные данные попали на компьютер сотрудника по ошибке или стали распространяться по компании вследствие халатности, например, неправильно выставленных прав доступа. Для решения подобных проблем в системы DLP зачастую входит дополнительный модуль — Crawler (поисковый робот), или Discovery DLP, который позволяет сканировать рабочие станции сотрудников, файловые сервера и сетевые хранилища данных на присутствие в них определенных документов и файлов различных форматов. Рынок Discovery DLPПредшественниками Discovery DLP в современном понимании этого термина стали поисковые роботы, или программы, которые являлись составной частью поисковых систем. Их функцией являлся перебор веб-страниц, занесение их в специальную базу поиска и предоставление результата при запросе. Появление DLP-систем позволило организациям решать проблему утечки конфиденциальных данных сотрудниками. Кроме этого, для сотрудников информационной безопасности был разработан отдельный компонент, позволяющий производить поиск файлов необходимого формата на файловых серверах и компьютерах пользователей. В настоящий момент возможности Discovery DLP расширились. Кроме обычного поиска появились функции автоматического удаления документов или их замены болванками с информацией о нарушении политики безопасности.Первой компанией, которая включила в состав своей DLP-системы модуль Discovery DLP, была Symantec, которая на протяжении многих лет занимает лидирующую позицию, по версии аналитического агентства Gartner в исследовании Content-Aware Data Loss Prevention. Следующей системой, которая обладала возможностями сканирования серверов и рабочих станций на наличие конфиденциальной информации, стала DLP-система от компании Forcepoint (ранее Websense). И только через несколько лет в составе российских DLP появился модуль Discovery DLP.Discovery DLP обычно не поставляется как отдельный продукт, а идет в составе комплексной DLP-системы. Однако есть исключения, например Zecurion Discovery, который будет рассмотрен далее. Кроме того, Discovery DLP все еще не относится к компоненту, по умолчанию входящему в состав DLP-систем российских производителей. Одной из причин может быть то, что архив, который собирает Discovery DLP, хранит в себе множество конфиденциальных данных, и в случае атак злоумышленников он может быть скомпрометирован. С другой стороны, специфика использования DLP-систем некоторых вендоров не предусматривает расследования инцидентов как наиболее частый сценарий использования системы, а нацелена решать другие задачи. Функции Discovery DLPВозможности Discovery DLP позволяют сотрудникам службы безопасности всегда быть в курсе того, на каких рабочих местах хранятся файлы с конфиденциальными данными. Такие сведения необходимы, чтобы оценить риски информационной безопасности и выстроить адекватный уровень защиты определенных рабочих станций или файловых серверов. Знания о расположении критичной информации позволят правильно настроить систему защиты от утечки, которая может заключаться в постановке на контроль узкого круга лиц (сотрудников, которые имеют доступ к компьютерам и серверам с данными), а также добавления более жестких политик информационной безопасности.Возможности Discovery DLP также могут использоваться при расследовании инцидентов информационной безопасности. В случае уже произошедшей утечки данных сотрудники службы безопасности смогут определить все места хранения утекших данных, выявить сотрудников, которые имели возможность работать с этими данными, тем самым сузив круг подозреваемых. Полученная таким образом информация может значительно помочь в расследовании инцидентов с утечками.Во время поиска Discovery DLP используют стандартные для DLP технологии поиска информации (контентный анализ, OCR, цифровые отпечатки и т. п.) и учитывают при этом существующие политики защиты данных. Например, подсистема не будет сигнализировать об ошибке хранения файла, если он размещается на рабочей станции доверенного сотрудника и диск зашифрован.Другими словами, к функциям Discovery DLP можно отнести:Сканирование рабочих станций и файловых хранилищ.Поиск конфиденциальной информации путем заранее настроенного списка критериев конфиденциальных документов.Поиск и классификация данных, хранящихся во внутренней сети организации.Обнаружение несанкционированно хранящихся файлов в сети.Мониторинг движения конфиденциальных данных и критичных документов.Чтобы получить представление о работе Discovery DLP, рассмотрим существующие решения, которые входят в состав зарубежных и отечественных DLP-решений. Краткий обзор продуктов Discovery DLPDeviceLock DLPКомпания Смарт Лайн Инк (г. Москва) основана в 1996 году. Занимается разработкой программных средств контроля доступа к периферийным и мобильным устройствам и защитой от утечек данных с корпоративных компьютеров.Модуль DeviceLock Discovery является автономным продуктом в составе DLP-системы DeviceLock DLP от компании Смарт Лайн Инк. Подсистема способна устранять выявленные нарушения информационной безопасности путем обычного или гарантированного удаления документов, удаления контейнеров (если файл находится в архиве или внутри контейнера), установки прав разграничения доступа к файлу и шифрования.Подсистема может работать как с применением агентов, устанавливаемых на рабочие станции сотрудников и файловые сервера, так и без них, выполняя удаленное серверное сканирование, а также используя оба способа развертывания продукта. Рисунок 1. Компонент DeviceLock Discovery можно настроить в удобной mmc-консоли Особенности DeviceLock Discovery:Возможность выполнения различных действий с найденными файлами с конфиденциальной информацией, в том числе находящимися в архиве.Использование метода цифровых отпечатков, который позволяет классифицировать файлы с учетом заданного уровня конфиденциальности.Использование метаданных и расширений свойств файлов и документов, меток классификатора Boldon James при поиске файлов.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Falcongaze SecureTowerКомпания Falcongaze (г. Москва) основана в 2007 году. Занимается разработкой программного обеспечения в сфере информационной безопасности. Флагманским продуктом компании является SecureTower — решение для предотвращения утечек конфиденциальной информации и мониторинга деятельности сотрудников.В состав DLP-системы Falcongaze SecureTower от компании Falcongaze также входит модуль, отвечающий за индексирование рабочих станций сотрудников, — Сервис обработки данных. Он позволяет производить быстрый поиск по всем компьютерам в локальной сети организации в автоматическом и ручном режиме. Контроль файловых систем основан на сопоставлении контрольных сумм заданных файлов с файлами, хранящимися на контролируемом компьютере. Сервис обработки данных позволяет производить поиск по имени файлов, их размерам и другим атрибутам. Рисунок 2. Настройка правил индексирования в Falcongaze SecureTower Особенности Сервиса обработки данных Falcongaze SecureTower:Возможности обработки и поиска данных по планировщику.Минимальная нагрузка на контролируемые рабочие станции (учитывается текущая активность пользователя и периоды простоя).Обработка непосредственно на контролируемой станции исключает нагрузку на локальную сеть.Возможность интеграции с файловыми серверами.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Forcepoint DLP Компания Forcepoint (г. Остин, штат Техас, США) основана в 1994 году, ранее известная как Websense. Занимается разработкой программного обеспечения для кибербезопасности, в том числе средств защиты от утечки конфиденциальной информации, межсетевых экранов, брокеров безопасного облачного доступа (CASB).  Модуль Data Discovery, являющийся частью DLP-системы Forcepoint DLP (ранее известной как Websense DLP) от группы компаний Forcepoint LLC, устанавливается отдельным компонентом. При этом возможна установка нескольких агентских модулей, что позволяет сократить время сканирования. Такая возможность достигается за счет того, что система самостоятельно запускает агентский модуль, который находится ближе к исследуемому компьютеру. Рисунок 3. Схема сканирования модулем Data Discovery в Forcepoint DLP   Особенности Forcepoint DLP Data Discovery:Возможность поиска файлов на серверах IBM Notes, Domino, Microsoft SharePoint, Microsoft Exchange.Использование стандартных методов поиска наравне с поиском по цифровым отпечаткам.Возможность сканирования данных в облачных приложениях, например Office 365.Возможность удаления данных из несанкционированных мест хранения.Подробнее с продуктом можно ознакомиться на сайте разработчика. InfoWatch Traffic MonitorГруппа компаний InfoWatch (г. Москва) основана в 2003 году. В группу компаний входят компании InfoWatch, Attack Killer, Cezurity, Kribrum и Taiga. Эти компании разрабатывают решения для защиты от внутренних и внешних угроз, информационных атак, атак на бизнес-приложения, а также для обеспечения промышленной безопасности предприятий.В состав DLP-системы InfoWatch Traffic Monitor входит модуль Crawler («Краулер»), который позволяет применять настроенные политики безопасности к файлам, хранящимся в корпоративной сети. Такими файлами могут быть сканы договоров с печатями, фотографии паспортов, выгрузки баз данных, чертежи и многие другие типы данных, поддерживаемые аналитическими инструментами Traffic Monitor.Расписание задач Crawler настраивается в веб-консоли DLP Traffic Monitor, где в качестве параметров поиска можно выбрать сетевые узлы, маски обрабатываемых файлов, ограничения по размеру файлов, а также конкретные папки. В соответствии с настроенными политиками система формирует подробные отчеты, а также выполняет действия по выявленным инцидентам (отправляет уведомление администратору безопасности, выделяет цветом проблемный объект).InfoWatch Traffic Monitor может проактивно обнаруживать копирование конфиденциальных данных в общую сетевую папку. Это позволяет зафиксировать действие злоумышленника вне зависимости от того, успел ли отработать поиск Crawler до того, как файлы переданы сообщнику и удалены из сетевой папки.  Рисунок 4. Задачи на запуск «Краулера» InfoWatch Traffic Monitor создаются в веб-консоли  Особенности «Краулера» InfoWatch Traffic Monitor:Сканирование локальных дисков рабочих станций под управлением операционных систем Microsoft Windows Vista/7/8; Server 2008/2012.Сканирование файлов по протоколу SMB.Сканирование файлового хранилища SharePoint 2007/2010/2013.Сохранение теневых копий файлов на сервере, если это нарушает политики безопасности.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. McAfee DLPКомпания McAfee, Inc (г. Санта-Клара, штат Калифорния, США) основана в 1987 году. Является подразделением американской компании Intel Security и занимается разработкой средств защиты от утечек конфиденциальной информации, которые обеспечивают защиту данных на конечных устройствах, анализируют сетевой трафик, а также способны находить критичные данные, в случае, когда их местоположение неизвестно администратору безопасности.Модуль Endpoint Discovery, входящий в состав McAfee DLP от компании McAfee, Incorporated, представляет собой решение, которое устанавливается на компьютеры пользователей и серверы. Компонент позволяет сканировать локальные файлы системы и хранилища электронных писем (в формате PST, OST), анализируя найденные файлы в соответствии с установленными правилами. В зависимости от политики безопасности, несанкционированные файлы могут быть скопированы, перемещены, зашифрованы, перемещены на карантин, отмечены тегами, а также система может изменить права доступа к файлу.В то же время у McAfee есть отдельный продукт для поиска конфиденциальных данных — McAfee DLP Discover. В качестве источников данных могут также выступать серверы, сетевые ресурсы, базы данных и облачные хранилища. При этом система способна производить классификацию данных по критериям важности для конкретной организации. А в случае обнаружения нарушений политик безопасности система отправит уведомления администраторам. Рисунок 5. Модуль McAfee Endpoint Discovery доступен и на агенте Особенности McAfee Endpoint Discovery:Возможность настройки действий, которые необходимо выполнить с найденными файлами.Возможность запуска модуля от имени пользователя на своей рабочей станции, включая настройку прав для восстановления случайно удаленных документов.Гибкая настройка расписания проверок, позволяющая задать даты не только начала сканирования, но и его окончания.Возможность приостановки сканирования в случае превышения требуемых ресурсов (процессор и ОЗУ) для выполнения задачи.Подробнее с продуктом можно ознакомиться на сайте разработчика.  Solar DozorКомпания Ростелеком-Solar (г. Москва) возникла в результате приобретения компанией Ростелеком в 2018 году компании Solar Security. Компания работает в нескольких направлениях, которые включают в себя центр по защите от киберугроз (Solar JSOC), разработку средств защиты от утечек конфиденциальной информации, средств автоматизации контроля и управления правами доступа, а также средств проверки защищенности исходного кода.Модуль Dozor File Crawler, входящий в состав Solar Dozor от компании Ростелеком-Solar, предназначен для мониторинга файловых ресурсов в локальной сети организации с возможностью активного противодействия нарушениям, для мониторинга облачных хранилищ, сканирования корпоративного почтового сервера, а также построения карты сети ресурсов организации. Модуль Dozor File Crawler Solar Dozor входит в состав DLP-системы Solar Dozor и не требует отдельной установки. Рисунок 6. Карта сети, построенная модулем Dozor File Crawler в Solar Dozor Особенности Dozor File Crawler:Сканирование узлов локальной сети, файловых хранилищ, расположенных в локальной сети организации, а также сканирование на облачных хранилищах OneDrive.Ретроспективное сканирование почтового сервера по протоколу IMAP в целях анализа архива электронных писем, а также сканирование архивов теневого копирования, в том числе многотомных архивов.Активное противодействие нарушениям правил хранения защищаемых данных. В случае обнаружения нарушения политики безопасности краулер может выполнить одно из заданных действий: заменить файлом-уведомлением, копировать, переместить в специальное или карантинное хранилище.Гибкая настройка задач сканирования: расписание, периодичность запуска задач сканирования, поиск по различным атрибутам.Оповещение по электронной почте пользователя или администратора безопасности о результатах выполнения задачи, в том числе о действиях, произведенных с файлами.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Symantec DLPКомпания Symantec Corp. (г. Купертино, штат Калифорния, США) основана в 1982 году.  Занимается разработкой программного обеспечения в области информационной безопасности, включая антивирусные решения, средства защиты от целенаправленных угроз на уровне конечных рабочих станций и средства защиты от утечек конфиденциальной информации.Модуль Network Discover из состава Symantec DLP от компании Symantec позволяет выявлять конфиденциальные данные, хранящиеся на файловых серверах, веб-сайтах, базах данных, локальных компьютерах и платформах совместной работы. Рисунок 7. Перечень инцидентов, сформированных модулем Symantec DLP Network Discover после поиска конфиденциальных данных Особенности Symantec DLP Network Discover:Широкий охват хранилищ информации для поиска (базы данных SQL, почтовые сервера Microsoft Exchange, корпоративные порталы Microsoft SharePoint, системы документооборота Lotus Notes, Documentum, Livelink).Возможность сканирования рабочих станций как под управлением операционной системы Windows, так и Linux, Solaris, AIX.Возможность проверки политик контроля доступа и шифрования файлов.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Zecurion DLPКомпания Zecurion (г. Москва) основана в 2001 году (ранее известна как SECURIT).  Занимается разработкой средств защиты от утечек конфиденциальной информации, консалтингом и проведением исследований в области информационной безопасности.Система Zecurion Discovery (Zdiscovery) позволяет в режиме реального времени выявлять места хранения конфиденциальной информации в корпоративной сети с помощью специальных агентов. Принцип работы Zecurion Discovery основан на гибридном анализе, который состоит из более чем 10 современных технологий детектирования. Все настройки модуля Zecurion Discovery производятся в единой веб-консоли Zecurion DLP.Система выполняет анализ данных со всех устройств, которые операционная система считает логическими дисками, поиск производится в том числе и со «скрытых дисков». При этом в процессе работы определяется информация, которая должна защищаться в рамках политик безопасности организации. Рисунок 8. Отчет Zecurion Discovery в веб-интерфейсе  Особенности Zecurion Zdiscovery:Поддержка операционных систем Microsoft Windows 7/8/10; Server 2008 R2/2012/2012 R2/2016.Выполнение различных действий с найденными файлами, например удаление или перемещение в специальные хранилища.Оповещение сотрудника о том, что на его компьютере располагается критичная информация.Использование обучаемой технологии поиска SmartID, метода опорных векторов SVM и других технологий контентного анализа.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Гарда ПредприятиеКомпания Гарда Технологии (г. Нижний Новгород) основана в 2017 году на базе компании МФИ Софт. Занимается разработкой решений для защиты от внутренних и внешних угроз информационной безопасности, включая средства защиты от утечек конфиденциальной информации, системы защиты баз данных и веб-приложений, системы расследования сетевых инцидентов и мониторинга сетевого трафика, антифрод-системы и средства защиты от DDoS-атак.Модуль поиска конфиденциальных документов («Краулер») в DLP-системе Гарда Предприятие от компании Гарда Технологии позволяет обнаружить файлы на компьютерах и серверах, размещенных в инфраструктуре организации. Гарда Предприятие имеет единый центр управления, с помощью которого можно настроить параметры для поиска документов. Управление поиском осуществляется с помощью специальных политик сканирования, в которых можно определить различные параметры и критерии поиска документов: поиск похожих документов, поиск по ключевым фразам и т. д. Рисунок 9. Интерфейс системы Гарда Предприятие Особенности «Краулера» Гарда Предприятие:Осуществление поиска в автоматическом режиме.Формирование инцидента при обнаружении подходящих документов и последующая отправка уведомления по email администратору безопасности.Глубокая интеграция с возможностями операционной системы, что позволяет исключить нежелательную нагрузку на рабочие места сотрудников. Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. КИБ СёрчИнформКомпания «СёрчИнформ» (г. Москва) основана в 1995 году. Занимается разработкой программного обеспечения в сфере информационной безопасности, а именно DLP-систем, программ контроля работы сотрудников, а также средств управления событиями информационной безопасности (SIEM).Набор технологий, входящий в состав КИБ СёрчИнформ, позволяет сканировать ИТ-инфраструктуру и детектировать заданные типы критичных данных. В качестве поддерживаемых источников данных выступают рабочие станции, локальные, корпоративные и облачные хранилища, корпоративные NAS, системы документооборота и аккаунты веб-почты. Система способна выявлять нарушения доступа и хранения файлов, предоставлять отчет о хранении информации в местах для этого не предназначенных. Кроме того, КИБ СёрчИнформ показывает жизненный цикл данных, отчеты о перемещениях внутри корпоративной инфраструктуры, а также историю действий с информацией.КИБ СёрчИнформ поддерживает анализ данных по атрибутам, ключевым словам и фразам, цифровым отпечаткам, регулярным выражениям. При этом могут использоваться технологии распознавания изображений (OCR). При поиске документов может использоваться технология «Поиск похожих», которая позволяет оценивать степень смысловой похожести искомого текста с эталоном, используя при этом только смысловую часть документа. Рисунок 10. Контроль контентного маршрута файла в КИБ СёрчИнформ Особенности Search Server КИБ СёрчИнформ:Модуль является собственной разработкой компании «СёрчИнформ» и не использует другие технологии индексации, такие как elasticsearch или sphinx.Модуль имеет поддержку широкого списка устройств корпоративной ИТ-инфраструктуры.Поиск возможен по содержимому удаленных файлов.Контроль операций с файлами на локальных компьютерах, серверах и сетевых папках.Визуализация информационных потоков при подключении DLP-функций.Поддерживаются не только локальные источники, но и облачные системы хранения.Доступно распределение вычислительной нагрузки между сервером и клиентской станцией.Подробнее с продуктом можно ознакомиться в нашем обзоре на сайте разработчика. ВыводыКак видно из текущего обзора, подсистемы Discovery для поиска конфиденциальных данных в корпоративной сети являются частью большинства известных на рынке DLP-систем. Это можно объяснить тем, что для внедрения системы защиты от утечек конфиденциальной информации в первую очередь необходимо определиться, что именно потребуется защищать, провести категоризацию имеющихся данных, правильно оценить риски и применить политики безопасности. В этой цепочке Discovery DLP могут применятся для поиска мест хранения данных, а также в качестве мощного инструмента проведения расследования инцидента утечки. Когда нужно выяснить, где хранятся или хранились определенные файлы и кто именно имел к ним доступ.Функции различных подсистем поиска конфиденциальной информации, как отечественных, так и зарубежных, не сильно отличаются друг от друга. Их общий принцип заключается в возможности сканирования рабочих станций, сетевых или облачных хранилищ в соответствии с правилами и политиками контентной фильтрации, настроенными в DLP-системе. Системы могут различаться по качеству анализа и индексации файлов, количеству поддерживаемых платформ хранения и политикам, применяемым в отношении несанкционированных копий файлов.  Тем не менее перед администраторами безопасности не стоит прямая цель — выбрать лучшую подсистему поиска данных. Как правило, изучаются комплексные возможности DLP-системы в целом.Тем не менее разработчики DLP-систем развивают подсистемы Discovery DLP, добавляя интересные функции для администраторов безопасности, например составление контентных маршрутов файлов с конфиденциальной информацией, а также построение «карты рисков» на базе собранной информации, которая отражает критичность защищаемых ресурсов и необходимость организовать дополнительную защиту важных файлов.

Читать далее