Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 3 - поиск конфиденциальных данных


Обзор InfoWatch Traffic Monitor Enterprise 5.1.  Часть 3 -  поиск конфиденциальных данных

Завершаем рассказ о новой версии InfoWatch Traffic Monitor Enterprise 5.1, флагманского продукта лидирующей на отечественном рынке российской компании InfoWatch. В третьей, завершающей части, обзора мы расскажем о компоненте InfoWatch Crawler, предназначенном для поиска несанкционированных копий конфиденциальных данных, которые хранятся внутри инфраструктуры компании.

Сертификат AM Test Lab

Номер сертификата: 137

Дата выдачи: 17.09.2014

Срок действия: 17.09.2019

Реестр сертифицированных продуктов »

 

1. Введение

2. Функциональные возможности InfoWatch Crawler 1.1

3. Системные требования InfoWatch Crawler 1.1

4. Установка InfoWatch Crawler 1.1

5. Работа с InfoWatch Crawler 1.1

6. Выводы

 

Введение

Любая современная инфраструктура компании содержит большое количество сетевых ресурсов, файловых хранилищ и систем документооборота, где хранится самая разнообразная информация. Вопрос обнаружения и контроля этих файлов и ресурсов становится одной из ключевых задач. Необходимо знать, где хранится конфиденциальная информация и кто имеет к ней доступ.

Современные DLP-системы должны предоставлять возможность определения правил хранения различных данных в сети компании. Это позволяет отслеживать движение информации в инфраструктуре, а также обнаруживать нахождение конфиденциальных данных в не предназначенном для них месте (вследствие как халатности, так и злонамеренных действий). А также определить местонахождение важных данных в незашифрованном виде.

InfoWatch Traffic Monitor Enterprise 5.1 позволяет решить эту задачу с помощью компонента InfoWatch Crawler, который предназначен для поиска несанкционированных копий конфиденциальных данных находящихся в корпоративной сети (сетевых ресурсах, файловых хранилищ, локальных дисках рабочих станций) и определения пользователей, которые имеют доступ к этим данным. Именно об этом компоненте мы и расскажем в последней части обзора InfoWatch Traffic Monitor Enterprise 5.1

InfoWatch Crawler не является полностью отдельным модулем, а неразрывно связан с компонентом InfoWatch Traffic Monitor, который используется для анализа собранных данных и применения к ним заданных политик безопасности. Управление InfoWatch Crawler осуществляется с помощью веб-консоли InfoWatch Traffic Monitor.

 

Функциональные возможности InfoWatch Crawler 5.1

InfoWatch Crawler позволяет:

  • Сканировать сетевые ресурсы по протоколу SMB;
  • Сканировать локальные диски рабочих станций под управлением Windows;
  • Сканировать файловые хранилища Microsoft SharePoint.

Параметры задач сканирования указываются офицером безопасности. Они могут включать различные критерии поиска, такие как месторасположение файлов, их размер, тип или скорость загрузки файлов на сервер InfoWatch Traffic Monitor для анализа.

При этом InfoWatch Crawler не осуществляет с найденными файлами никаких действий (удаление, перемещение, шифрование), даже если они нарушают политику безопасности. InfoWatch Crawler лишь  уведомляет офицера безопасности об инциденте, с предоставлением полной информации о найденных данных.

 

Системные требования InfoWatch Crawler 1.1

В таблице 1 перечислены системные требования InfoWatch Crawler 1.1.

 

Таблица 1. Системные требования InfoWatch Crawler 1.1

КомпонентАппаратная частьОСДругое ПО
Сервер InfoWatch Crawler 5.1CPU: от 2-х ядер и вышеRAM: 200 Мб свободнойHDD: 1 Гб свободного местаMicrosoft Windows XP-8;Microsoft Windows Server 2003-2012Microsoft .NET Framework 4.0
Сканер InfoWatch Crawler 5.1CPU: от 2-х ядер и вышеRAM: 200 Мб свободнойHDD: 10 Гб свободного местаMicrosoft Windows XP-8;Microsoft Windows Server 2003-2012Microsoft .NET Framework 4.0

 

 

Установка InfoWatch Crawler 1.1

Прежде чем устанавливать InfoWatch Crawler, в инфраструктуре должен уже быть развёрнут хотя бы один сервер InfoWatch Traffic Monitor (о процессе установки InfoWatch Traffic Monitor мы рассказывали в первой части обзора). Как мы уже говорили, InfoWatch Crawler не может работать отдельно от InfoWatch Traffic Monitor и управляется он с помощью веб-консоли InfoWatch Traffic Monitor.

Сам процесс установки InfoWatch Crawler прост и проходит в несколько этапов.

Сперва нужно выбрать компоненты для установки, как это показано на рисунке 1. Поскольку мы всё устанавливаем на один сервер, то выбираем все компоненты для установки.

 

Рисунок 1. Выбор компонентов  InfoWatch Crawler 1.1 для установки

Выбор компонентов  InfoWatch Crawler 1.1 для установки 

 

На следующем этапе нужно указать параметры соединения сервера InfoWatch Crawler с базой данных сервера InfoWatch Traffic Monitor, в которой будут храниться переданные данные для анализа, см. рисунок 2.

 

Рисунок 2. Настройка параметров соединения InfoWatch Crawler 1.1 с базой данных сервера InfoWatch TrafficMonitor

Настройка параметров соединения InfoWatch Crawler 1.1 с базой данных сервера InfoWatch Traffic Monitor 

 

После того как параметры соединения с базой данных настроены, переходим к настройке параметров соединения непосредственно с сервером InfoWatch Traffic Monitor, на который будут передаваться данные для анализа, см. рисунок 3.

 

Рисунок 3. Настройка параметров соединения InfoWatch Crawler 1.1 с сервером InfoWatch TrafficMonitor

Настройка параметров соединения InfoWatch Crawler 1.1 с сервером InfoWatch Traffic Monitor 

 

Важным условием обеспечения должного уровня информационной безопасности инфраструктуры компании является настройка учётных записей для запуска служб на серверах. Для InfoWatch Crawler предусмотрена возможность запуска службы сканера от специально подготовленной или стандартной системной учётной записи.

Во время установки можно выбрать от какой учётной записи запускать службы сканера, как это показано на рисунке 4.

 

Рисунок 4. Выбор учётной записи для запуска служб сканера InfoWatch Crawler 1.1

Выбор учётной записи для запуска служб сканера InfoWatch Crawler 1.1 

 

Последний шаг – это настройка параметров самого сканера InfoWatch Crawler. Здесь необходимо указать IP-адрес или DNS-имя компьютера с установленным InfoWatch Crawler, а также указать папку для хранения временных файлов. Это показано на рисунке 5.

При выполнении сканирования , каждый найденный файл, который соответствует критериям поиска, копируется в папку для хранения временных файлов. Файлы, находящиеся в этой папке, передаются на анализ на сервер InfoWatch Traffic Monitor. В зависимости от пропускной способности сети, загруженности сервера InfoWatch Traffic Monitor и его доступности, отправка файлов может задерживаться. Во избежание простоя в работе сканера InfoWatch Crawler и длительного выполнения задач сканирования и используется промежуточное хранилище для найденных файлов.

 

Рисунок 5. Настройка параметров сканера InfoWatch Crawler 1.1

Настройка параметров сканера InfoWatch Crawler 1.1 

 

Далее установка проходит в автоматическом режиме и вмешательство пользователя не требуется.

На этом мы заканчиваем обзор установки InfoWatch Crawler и переходим к рассмотрению работы с ним.

 

Работа с InfoWatch Crawler 1.1

Работа с InfoWatch Crawler осуществляется с помощью общей веб-консоли InfoWatch Traffic Monitor, в меню «Краулер». В этом меню содержатся все инструменты для управления компонентом InfoWatch Crawler.

InfoWatch Crawler интегрирован с InfoWatch Traffic Monitor. Такая интеграция позволяет в полной мере использовать все возможности новой веб-консоли InfoWatch Traffic Monitor для управления InfoWatch Crawler. Кроме этого, статистика по нарушениям связанных с хранением данных выводится на дашбоарды консоли InfoWatch Traffic Monitor.

После того как InfoWatch Crawler установлен и готов к работе, в меню «Краулер» автоматически появляется новый обнаруженный сканер InfoWatch Crawler, см. рисунок 6.

 

Рисунок 6. Параметры нового сканера InfoWatch Crawler 1.1

Параметры нового сканера InfoWatch Crawler 1.1 

 

Новая веб-консоль InfoWatch Traffic Monitor предоставляет удобные возможности для редактирования этих параметров.

По умолчанию новый сканер имеет название «Неизвестный сканер». Для того чтобы переименовать сканер, достаточно щёлкнуть мышкой на самом названии и ввести новое. Аналогично изменяются и другие параметры.

Для каждого сканера мы можем указать адрес сервера InfoWatch Traffic Monitor, на который будут отправляться собранные данные для анализа. Также предусмотрена возможность балансировки нагрузки на сеть и на рабочие станции.

Можно настроить скорость отправки файлов на сервер InfoWatch Traffic Monitor и скорость сканирования сетевых ресурсов. Это позволяет избежать повышенной нагрузки на сеть и сервер InfoWatch Traffic Monitor.

Кроме этого можно изменять размер файловой очереди. Файловая очередь это кэш, в котором временно хранятся собранные сканером файлы перед отправкой на сервер InfoWatch Traffic Monitor. Таким образом, комбинируя скорость отправки, сканирования и файловой очереди, мы регулируем нагрузку на сервер InfoWatch Traffic Monitor.

Дополнительно на скорость отправки файлов на сервер InfoWatch Traffic Monitor влияет и количество одновременных подключений к этому серверу, а также интервал проверки файловой очереди.

Поскольку в Windows всегда присутствует ряд предустановленных системных учётных записей, то нет смысла сканировать те файлы, владельцами которых они являются. Это же относится и к ряду системных каталогов. Чтобы избежать излишней загруженности офицера безопасности лишними данными и увеличить скорость проверки, а также исключить те месторасположения файлов, которые не должны проверяться, в настройках InfoWatch Crawler предусмотрена возможность указания исключений SID’ов пользователей и путей к каталогам, которые не должны проверяться. При этом для сканера InfoWatch Crawler существует ряд предустановленных исключений.

Для того, что InfoWatch Crawler осуществлял поиск файлов, необходимо создать задачу сканирования. Но перед этим необходимо создать политику защиты данных. Как создать политику, мы рассматривали в первой части обзора InfoWatch Traffic Monitor Enterprise 5.1.

Вкратце напомним основную суть политик в InfoWatch Traffic Monitor. При создании новой политики InfoWatch Traffic Monitor можно использовать три вида правил передачи данных: по сетевым каналам, копирования, хранения. Правила хранения данных -- это те правила, которые срабатывают по итогам результатов сканирования InfoWatch Crawler.

Такой подход позволяет легко дифференцировать уровень нарушений. К примеру, если нарушены правила хранения данных внутри периметра компании,  это можно квалифицировать как средний уровень нарушения. В случае, когда данные покидают периметр компании (к примеру распечатка конфиденциальных данных или копирование на съёмный носитель), это уже является нарушением высокого уровня.

После того как создана политика защиты данных, нужно создать задачу сканирования сетевых ресурсов. Пример созданной задачи можно посмотреть на рисунке 7.

 

Рисунок 7. Задача сканирования для сканера InfoWatch Crawler 1.1

Задача сканирования для сканера InfoWatch Crawler 1.1 

 

Рассмотрим параметры созданной задачи. В самом начале необходимо задать имя новой задачи, затем указать значение параметра «Авторизация». Этот параметр влияет на права доступа к сканируемым ресурсам. Всё зависит от настроенной схемы безопасности в инфраструктуре. Если учётная запись, от имени которой запускаются службы сканера InfoWatch Crawler, имеет доступ к сканируемым ресурсам, то необходимо указать, что используется авторизация сканера. В противном случае необходимо указывать учётные данные той записи, которая имеет доступ к этим ресурсам. Также необходимо указать список рабочих станций для сканирования или группы станций.

Для параметра «Режим сканирования» можно указать какие именно каталоги необходимо сканировать. Можно указать все, можно указать исключения, а можно указать конкретные каталоги для сканирования. Кроме этого, можно указать минимальный и максимальный размер сканируемых файлов, а также выбрать их тип.

После того как задача сканирования создана, её можно запустить для выполнения нажав кнопку «Выполнить». Чтобы сотрудник службы безопасности не запускал вручную каждую задачу, предусмотрена возможность создания расписания выполнения каждой задачи. В консоли управления будет отображаться ход задачи и результат её выполнения.

Все найденные файлы будут переданы на сервер InfoWatch Traffic Monitor, где они будут проанализированы на предмет нарушения политик безопасности. Для каждой задачи сканирования офицер безопасности может просмотреть её историю запусков и результаты выполнения, как это показано на рисунке 8.

 

Рисунок 8. Просмотр истории запусков задачи сканирования InfoWatch Crawler 1.1

Просмотр истории запусков задачи сканирования InfoWatch Crawler 1.1 

 

Можно посмотреть дату запуска и завершения задачи сканирования, число обработанных и необработанных рабочих станций, общее число найденных файлов и их объём, а также количество новых найденных файлов.

Для того, чтобы сотрудник службы безопасности мог просмотреть детальный отчёт об обнаруженных данных в результате сканирования, ему необходимо нажать кнопку «Скачать отчёт». Отчёт скачивается в заархивированном виде и являет собой обычный текстовый файл.

Стоит отметить, что возможности InfoWatch Crawler в плане отчётности очень малы и неудобны. К тому же они сильно отличаются от общепринятых. Надеемся, что, со временем, компания InfoWatch исправит этот недочёт.

 

Выводы

InfoWatch Crawler 5.1 является вполне удобным средством поиска и контроля хранения конфиденциальных данных на сетевых ресурсах, рабочих станциях и файловых хранилищах. Возможности настройки параметров задач сканирования позволяют грамотно использовать ресурсы сети.

Достоинства:

  • Возможность сканирования файловых хранилищ Microsoft SharePoint;
  • Низкие системные требования;
  • Возможность регулировки нагрузки на компоненты инфраструктуры.

Недостатки:

  • Отсутствие возможности перемещать или удалять конфиденциальные данные; которые нарушают установленные политики безопасности;
  • Несовершенный инструментарий отчётности;
  • Пути к исключаемым из сканирования объектам необходимо прописывать вручную.

 

Обзор InfoWatch Traffic Monitor Enterprise 5.1. Часть 1 - защита от утечек на шлюзе 

Обзор InfoWatch Traffic Monitor Enterprise 4.1. Часть 2 - контроль на уровне рабочих станций

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.