Обзор агента GTB Enterprise-Class DLP Suite

Обзор агента GTB Enterprise-Class DLP Suite

GTB Enterprise-Class DLP Suite – комплексное DLP-решение, появившееся на российском рынке несколько лет назад. Его отличительными особенностями являются интересные технические решения, широкий набор функциональных возможностей и интегрированная IRM-система.

Немаловажной частью системы является агент, который инсталлируется на рабочие станции и сервера. Именно о нем и его возможностях мы сегодня и поговорим.

 

 

1. Введение

2. Функциональные возможности агента GTB Enterprise-Class DLP Suite

3. Настройка и использование агента GTB Enterprise-Class DLP Suite

4. Выводы

 

Введение

Первые DLP-продукты, появившиеся на рынке, были разделены на два непересекающихся друг с другом класса. К первому относились сетевые решения, предназначенные для контроля передачи данных по различным сетям, в первую очередь, через через Интернет. Второй класс решений позволял пресечь утечку конфиденциальной информации по так называемым локальным каналам передачи данных – через всевозможные устройства, подключающиеся непосредственно к рабочим станциям. И именно их неотъемлемой частью всегда были программы-агенты.

Необходимость использования агентов для контроля рабочих станций объясняется технологическими особенностями. Решить многие задачи, к примеру, запрет доступа к подключенному USB-устройству, блокировка копирования на него данных, теневое копирование распечатываемых на локальных принтерах документов можно только с помощью установленного непосредственно на компьютере программного обеспечения. Поэтому в DLP-решениях использовался следующий принцип работы. На все рабочие станции и серверы, которые нужно контролировать, устанавливалась тем или иным способом программа-агент, получавшая широкие права на контроль портов  локального компьютера. Управление ими осуществлялось с помощью централизованного компонента (сервера DLP-решения), который передавал заданные администратором безопасности политики. Агенты работали в соответствии с этими правилами, блокируя нежелательные действия пользователей, осуществляя теневое копирование данных и пр.

Принцип работы программ-агентов в DLP-решениях с тех пор не изменился. Но вот их функциональность значительно выросла. Началось все с объединения DLP-систем разных классов в универсальные решения. Современные продукты уже не делятся на классы, они способны перекрывать все, как локальные, так и сетевые каналы передачи данных. При этом возникла необходимость контролировать и зашифрованный трафик, к примеру, Skype-коммуникации (вообще, контроль Skype относится к одному из наиболее сложных, поскольку помимо текстовых сообщений он позволяет осуществлять аудио-звонки, контролировать которые, к примеру, рассматриваемый агент не позволяет).

Постепенно, с универсализацией DLP-решений, производители начали наделять программы-агенты и другими функциями. Их перечень зависел от того, в какую сторону развивался продукт. Так, к примеру, если система дополнялась модулем контроля работы пользователей, то агент получал возможность делать скриншоты рабочих столов компьютеров, собирать статистику работы в разных приложениях и пр.

Свой агент есть и в GTB Enterprise-Class DLP Suite. Данное решение является комплексным. В нем есть модули не только для контроля локальных и сетевых каналов утечки данных, но и для поиска несанкционированных копий конфиденциальной информации на любых хранилищах корпоративной сети (подробный обзор GTB Enterprise-Class DLP Suite опубликован на нашем сайте). И агент поддерживает все эти подсистемы, реализуя для каждой из них те или иные функции. При этом разработчики ведут его активное развитие. Например, в последней версии появилась возможность контролировать наиболее популярные сетевые сервисы без использования шлюза непосредственно на рабочих станциях.

 

Функциональные возможности агента GTB Enterprise-Class DLP Suite

В агенте GTB Enterprise-Class DLP Suite реализованы следующие функциональные возможности.

Поддержка широкого перечня оборудования

Агент способен контролировать широкий спектр различного оборудования, которое может подключаться к локальному компьютеру и использоваться для передачи данных:

  • съемные накопители;
  • CD/DVD- и Floppy-диски;
  • карты памяти (SD/SDHC/microSD и пр.);
  • устройства, подключаемые по FireWire;
  • устройства, подключаемые по Bluetooth и.т.д.

Возможность задавать исключения

В рассматриваемом решении реализована возможность при блокировке локальных устройств задавать исключения, указывая ситуации, при которых ограничение не будет действовать. Исключения можно задавать по следующим критериям:

  • по типу устройств (например, исключить из блокировки CD/DVD-диски);
  • по серийным номерам устройств;
  • по конкретным томам;
  • по типу файлов (можно разрешить копирование файлов определенных форматов, запретив все остальные);
  • по группам файлов (например, архивы, картинки, мультимедиа и пр.).

Исключения позволяют гибко настроить систему доступа, разрешив пользователям работу с теми ресурсами, которые им нужны для исполнения своих служебных обязанностей.

Поддержка сетевых сервисов

В отличие от некоторых других систем, агент в GTB Enterprise-Class DLP Suite может контролировать не только локальные устройства, но и целый ряд сетевых сервисов: веб-почту, FTP, некоторые открытые порты и пр.

Поддержка принтеров

Агент в рассматриваемом решении может использоваться для контроля печати документов как на локальных, так и на сетевых принтерах. Политика управления печатью настраивается отдельно, при этом в ней доступны такие функции, как логирование, теневое копирование документов, уведомление администратора безопасности и пр.

Поддержка OCR

В агенте GTB Enterprise-Class DLP Suite реализована поддержка технологии OCR (оптического распознавания символов), которая обеспечивает распознавание текста на картинках и его обработку на общих основаниях.

Широкий спектр возможных действий

В рассматриваемом агенте реализован широкий спектр действий, которые он может выполняться при попытке нарушения действующей политики безопасности:

  • блокировка передачи данных;
  • блокировка считывания данных с устройства;
  • регистрация нарушение в системе с блокировкой передачи или без (далее система может, к примеру, уведомить администратора безопасности о нарушении);
  • шифрование данных на устройстве;
  • создание теневой копии данных.

Блокировка Wi-Fi-сетей и подключений через телефоны

Данная функция позволяет агенту заблокировать подключение компьютера к различным Wi-Fi-сетям. Наиболее актуальна она для ноутбуков, которые могут выноситься за пределы офиса: в командировки, на выставки, презентации и пр. В таких ситуациях подключение к публичным Wi-Fi-сетям является потенциально опасным и может привести к утечке конфиденциальных данных.

Также важно отметить, что блокировка USB-порта позволяет предотвратить подключение к компьютеру телефона с функцией модема или мобильного модема. Все это гарантирует доступ в Интернет с рабочих компьютеров только через корпоративный шлюз.

Блокировка копирования вне сети

Еще одной полезной функцией агента является возможность запретить пользователям копировать файлы на съемные накопители тогда, когда рабочая станция не подключена к корпоративной сети. Наиболее актуальна она для ноутбуков, которые могут выноситься за пределы офиса.

Журналирование операций ввода-вывода и теневое копирование

При необходимости агент может вести подробный журнал всех операций ввода-вывода информации по всем контролируемым им каналам (локальные устройства, принтеры, сетевые сервисы). Собранная информация доступна администраторам безопасности в центральной консоли GTB Enterprise-Class DLP Suite.

Также в агенте реализована функция теневого (незаметного для пользователей) копирования файлов, которые переносятся на съемные накопители, отправляются сетевые сервисы или распечатываются на принтере.

Шифрование информации

При необходимости агент может зашифровывать копируемую на съемные накопители или переносимую в сетевые сервисы информацию. Причем можно использовать криптографию как для всех файлов без исключения, так и только для нарушающих действующую политику безопасности документов.

Поддержка работы eDiscovery

В состав GTB Enterprise-Class DLP Suite входит модуль, который позволяет находить в корпоративной сети несанкционированные копии конфиденциальной информации. Рассматриваемый агент обеспечивает работу этого модуля, осуществляя сканирование рабочей станции, на которой он установлен.

 

Настройка и использование агента GTB Enterprise-Class DLP Suite

Агент GTB Enterprise-Class DLP Suite может устанавливаться вручную или с помощью групповых политик Active Directory. Последний вариант, по очевидным причинам, является наиболее удобным. После инсталляции агент работает на компьютере в «тихом режиме», то есть незаметно для пользователя.

Настройка агента, по сути, сводится к настройке реализуемой им политики безопасности. Политики могут настраиваться на целые домены, отдельные подразделения в них, на группы, отдельные компьютеры или пользователей. Также существует политика по умолчанию, которая действует на все контролируемые объекты, не перечисленные отдельно.

Настраиваются политики с помощью веб-интерфейса под названием Central Console. В ней на вкладке «Состояние сети» можно посмотреть список доступных компьютеров сети с признаком установки агентов и их статусами.

 

Рисунок 1. Перечень доступных компьютеров в GTB Enterprise-Class DLP Suite

Перечень доступных компьютеров в GTB Enterprise-Class DLP Suite

 

Политика файловой безопасности настраивается на вкладке EndPoint раздела «Обслуживание системы». В левой части страницы необходимо выбрать нужную политику, при этом в правой отображаются ее параметры. Здесь можно настроить права доступа к съемным накопителям (отдельно разрешить или запретить, чтение, запись и исполнение файлов), шифрование, теневое копирование и т.д.

 

Рисунок 2. Настройка файловой политики безопасности в GTB Enterprise-Class DLP Suite

Настройка файловой политики безопасности в GTB Enterprise-Class DLP Suite

 

В отдельном окне, вызываемом с помощью кнопки «Контроль приложений», включается и отключается контроль сетевых приложений, таких, как Skype, Dropbox и пр.

 

Рисунок 3. Настройка контроля сетевых приложений в GTB Enterprise-Class DLP Suite

Настройка контроля сетевых приложений в GTB Enterprise-Class DLP Suite

 

На этой же странице можно настраивать и исключения по разным параметрам.

 

Рисунок 4. Настройка исключений файловой политики безопасности в GTB Enterprise-Class DLP Suite

Настройка исключений файловой политики безопасности в GTB Enterprise-Class DLP Suite

 

После внесения изменений политика передается соответствующему агенту и вступает в силу.


Выводы

Агенты, несомненно, всегда являлись важной частью DLP-систем, поскольку в них реализован весь функционал, связанный с контролем локальных каналов утечки конфиденциальной информации: съемных накопителей, принтеров и других устройств, подключающихся непосредственно к рабочим станциям. Однако в настоящее время их значимость все больше и больше увеличивается, поскольку они «обрастают» дополнительным возможностями: контролем сетевых сервисов, блокировки несанкционированных подключений к сетям и пр. Все это в полной мере относится к агенту GTB Enterprise-Class DLP Suite.

Достоинства

  • широкий спектр поддерживаемых устройств;
  • контроль сетевых сервисов;
  • контроль печати;
  • блокировка несанкционированного подключения к сетям посредством Wi-Fi и мобильных телефонов;
  • широкий спектр возможных действий: блокировка передачи, журналирование, теневое копирование и пр.;
  • возможность шифрования информации, копируемой на съемные накопители;
  • поддержка OCR.

Недостатки

  • невозможность перехвата голосового трафика (Skype, IP-телефония и пр.);
  • невозможность установки агентов непосредственно из консоли управления;
  • отсутствие русскоязычной документации.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.