Обзор McAfee DLP, комплекса для защиты от утечек конфиденциальной информации


Обзор McAfee DLP, комплекса для защиты от утечек конфиденциальной информации

McAfee DLP представляет собой комплекс продуктов, направленных на предотвращение утечек конфиденциальной информации. Цель обзора — познакомить читателя с актуальной на данный момент версией 11.6. Данное решение включает в себя как агентские, так и сетевые средства, а также развитый механизм оркестровки.

Сертификат AM Test Lab

Номер сертификата: 332

Дата выдачи: 28.02.2021

Срок действия: 28.02.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Архитектура McAfee Data Loss Prevention
  3. Компоненты McAfee DLP
    1. 3.1. ePolicy Orchestrator
      1. 3.1.1. Назначение и функциональные возможности
      2. 3.1.2. Системные требования
    2. 3.2. DLP Endpoint
      1. 3.2.1. Назначение и функциональные возможности
      2. 3.2.2. Системные требования
    3. 3.3. DLP Prevent
      1. 3.3.1. Назначение и функциональные возможности
      2. 3.3.2. Системные требования
    4. 3.4. DLP Monitor
      1. 3.4.1. Назначение и функциональные возможности
      2. 3.4.2. Системные требования
    5. 3.5. DLP Discover
      1. 3.5.1. Назначение и функциональные возможности
      2. 3.5.2. Системные требования
  4. Сценарии использования McAfee DLP
    1. 4.1. Блокирование нежелательного контента
      1. 4.1.1. Создание классификатора
      2. 4.1.2. Результат работы политики
    2. 4.2. Предотвращение нелегитимного копирования файлов, содержащих служебную информацию, с рабочей станции на CD/DVD- диски
    3. 4.3. Предотвращение передачи сообщений электронной почты, содержащих конфиденциальную информацию
    4. 4.4. Предотвращение утечки корпоративной информации из облачного хранилища организации
    5. 4.5. Выявление источника утечки информации
  5. Выводы

Введение

Современные решения по информационной безопасности класса DLP представляют собой комплексные программные или программно-аппаратные системы, решающие широкий круг задач: обнаружение конфиденциальных сведений в файлах из локальных и сетевых хранилищ, анализ передаваемых по сети данных (почта и веб-трафик), реализация и контроль выполнения политик безопасности, контроль действий пользователей, превентивная индикация сомнительных действий для защиты от непреднамеренных попыток распространения конфиденциальных данных, централизованное администрирование средств защиты в пределах охраняемого контура с возможностью реализации сценариев безопасности в автономном режиме.

Практический опыт решения подобных задач породил следующий вариант компоновки DLP-систем:

  • «Endpoint» — на автоматизированное рабочее место пользователя либо носимое устройство устанавливается программное средство, отслеживающее состояние устройства и данных на нём. Присутствует режим удалённого администрирования (снятие журналов, настройка политик), при этом поддерживается возможность автономной работы;
  • «Network Monitor» — программно-аппаратный комплекс для анализа сетевого трафика;
  • «Control Terminal» — централизованное средство управления системой, рабочее место администратора безопасности.

В настоящий момент на рынке существует вполне большое число систем, в основном различающихся расширенными функциями. В рамках данной статьи мы разберём решение, предлагаемое вендором McAfee, рассмотрим общую архитектуру DLP-системы, подробно остановимся на функциональных возможностях модулей и их системных требованиях.

Архитектура McAfee Data Loss Prevention

Рассматриваемое решение имеет классическую компоновку и включает в себя следующие программные и программно-аппаратные средства:

  • ePolicy Orchestrator,
  • DLP Endpoint,
  • DLP Prevent,
  • DLP Monitor,
  • DLP Discover,
  • DLP Capture.

Впоследствии мы рассмотрим каждый из этих компонентов по отдельности. Параметры, свойственные всей системе в целом, представлены ниже. Из базовых функций необходимо выделить возможность маркировки документов вручную, а также поддержку распознавания текста за счёт сторонних средств OCR (Optical Character Recognition) в скан-копиях документов, формах, снимках экрана и отдельных файлах, в том числе на файловых ресурсах общего доступа, в БД и SharePoint.

 

Таблица 1. Обобщённые системные требования McAfee DLP

ЭлементТребование
Операционные системыWindows Server 2012, 64-разрядная версия; Windows Server 2012 R2, 64-разрядная версия; Windows Server 2016 R2 Std, 64-разрядная версия; Windows Server 2019.
Веб-серверСлужбы Microsoft IIS; .NET Framework 3.5
Оборудование — минимальная конфигурацияЦП: Intel Core 2, 64-разрядная версия, не менее 12 ЦП
ОЗУ: не менее 32 ГБ
Место на жёстком диске: не менее 500 ГБ
Оборудование — рекомендуемая конфигурацияЦП: Intel Core 2, 64-разрядная версия, 24 ЦП
ОЗУ: 64 ГБ
Место на жёстком диске: 500 ГБ

 

Несколько слов необходимо сказать и о совместимости.

 

Таблица 2. Продукты, с которыми есть интеграция «из коробки» 

ПродуктВерсии
McAfee Data Exchange Layer (DXL)3.1, 4.0, 4.1 и 4.1.2
McAfee Threat Intelligence Exchange (TIE)10.2.3
McAfee File and Removable Media Protection (FRP)4.3.1 HF2, 5.0.5, 5.0.6
Boldon James Email и Office Classifier3.11
Boldon James File Classifier3.10.1
Клиент службы управления правами Microsoft (RMS)1.0.2004.0, 1.0.3274.818
Seclore FileSecure Policy Server3.9
Seclore Desktop Client3.6.2
Titus Classification Suite4.7 HF 3
Titus SDK3.1.13.4

 

Таблица 3. Перечень продуктов, контролируемых политиками безопасности

Класс продуктаПродуктВерсии
БраузерыGoogle Chrome, 32- и 64-разрядная версии68.0.3440.106
Microsoft Edge38–41
Internet Explorer11
Mozilla Firefox, 32- и 64-разрядная версии48–58
Офисные приложенияAdobe Acrobat ProX и XI
Adobe Reader11.0.10 и DC 2018.009.20044
Клиентское программное обеспечение Lotus Notes8.5.3, 9.0.1
Microsoft Office, 32- и 64-разрядная версии2010, 2013 с пакетом обновления 1 (SP1), 2016, 2019, 365
Microsoft Outlook, 32- и 64-разрядная версии2010, 2013 с пакетом обновления 1 (SP1), 2016, 2019, 365
Microsoft SharePoint2010, 2013, 2016

 

Этот перечень постоянно обновляется, на сайте вендора можно найти актуальные данные по платформам и поддержке сторонних продуктов.

Компоненты McAfee DLP

ePolicy Orchestrator

Назначение и функциональные возможности

ePolicy Orchestrator представляет собой средство централизованного управления решениями McAfee. Фактически это — рабочее место администратора безопасности, где создаются и распространяются политики безопасности, а также собираются и обрабатываются данные по инцидентам. Для решения задач предотвращения утечек данных применяется расширение McAfee DLP.

Системные требования

Расширение McAfee DLP устанавливается как компонент McAfee ePO, который, в свою очередь, может быть запущен на физическом сервере (например, 7700) или в виртуальной среде на базе ОС Windows.

 

Таблица 4. Системные требования к ePolicy Orchestrator

ЭлементХарактеристики
Аппаратная часть компьютераЦП: Intel Pentium 2,8 ГГц (минимум)
ОЗУ: не менее 1 ГБ (рекомендуется 2 ГБ)
Место на жёстком диске: не менее 80 ГБ
McAfee ePOВерсии 5.3.3 HF1230649, 5.9.1, 5.10. ПРИМЕЧАНИЕ:
установите расширение McAfee DLP в установленной
версии McAfee ePO перед обновлением до версии 5.10
Виртуальные операционные системыCitrix XenDesktop, VMware View

 

DLP Endpoint

Назначение и функциональные возможности

McAfee Data Loss Prevention Endpoint Agent — сервис, устанавливаемый на клиентские машины. Реализует контроль по различным векторам: электронная почта, веб-трафик, облака, мессенджеры, приложения для печати, буфер обмена; позволяет сканировать файловую систему, в том числе и на отчуждаемых носителях.

Может действовать автономно (без подключения к серверу), журналы регистрируются и шифруются. При подключении со стороны сервера администратор может запросить удалённые логи. Есть механизм оповещения пользователей о возможном нарушении.

Основные функциональные возможности:

  • Гибкий механизм классификации, включающий в себя словари, алгоритмы поиска с использованием регулярных выражений, алгоритмы проверки и зарегистрированные документы, также поддерживающий сторонние классификационные решения для пользователей.
  • Предусмотрена возможность ручной классификации документов пользователями — можно заметно снизить нагрузку на администратора и повысить оперативность работы.
  • Технология маркировки документов в соответствии с их происхождением позволяет предотвращать обход защиты путём переименования файлов.
  • Пользователи могут самостоятельно запускать обнаружение документов и самовосстановление в случае необходимости.
  • Возможность присваивать передаваемым данным метки Microsoft Azure (Azure Information Protection — AIP) и распознавать файлы, помеченные метками AIP.3.
  • Расширенная поддержка виртуализации для защиты удалённых рабочих столов и решений для виртуальных рабочих столов (VDI).
  • Интеграция со средствами анализа поведения пользователей (UEBA) от сторонних поставщиков.

Возможности централизованного управления:

  • Управление осуществляется через консоль управления MVISION ePO.
  • McAfee MVISION Cloud (CASB) и McAfee Network DLP используют единые модули для реализации политик и работы с инцидентами.
  • Наличие большого количества готовых политик и наборов правил.
  • Расширенный контроль доступа на основе ролей («разграничение полномочий»).
  • Функции централизованного мониторинга и аудита событий.
  • Детализация отчётов по различным параметрам — серийному номеру устройства, имени файла подтверждения, группам и т. д.
  • Простой доступ к интерфейсу службы поддержки.

Отдельно необходимо отметить режим превентивного контроля действий пользователей. Так, при обнаружении попытки несанкционированного доступа система сообщит пользователю о том, на какие именно действия была реакция, а также приведёт подробное описание политики, в пределах которой возникло нарушение. Подобный механизм позволяет в первую очередь создать для пользователя условия повышения уровня грамотности в сфере ИБ, а также снизить число реальных инцидентов для администратора.

McAfee DLP Endpoint состоит из двух следующих компонентов: расширение McAfee DLP (устанавливается в McAfee ePO, определяет правила и политики, отслеживает и анализирует инциденты и рабочие события, управляет проблемами) и клиент McAfee DLP Endpoint (устанавливается как модуль в McAfee Agent на сетевых конечных точках, принудительно применяет правила и политики, собирает подтверждения).

Клиентский модуль McAfee DLP Endpoint доступен в двух возможных конфигурациях, процесс установки которых идентичен: «McAfee Device Control» (обеспечивает защиту от утечки данных, предотвращая несанкционированное использование съёмных носителей) и «McAfee Data Loss Prevention и McAfee Device Control» (защита от утечки данных через широкий спектр каналов — съёмные устройства, несистемные жёсткие диски, сообщения или вложения электронной почты, публикации в интернете, буфер обмена или снимки экрана, печать, файловые системы и т. д.).

McAfee DLP Endpoint выполняет криптографические операции в соответствии со стандартом FIPS 140-2, при этом в поставляемых с продуктом криптографических библиотеках режим FIPS по умолчанию включён без параметра, позволяющего его отключить. Обязательное шифрование реализовано с целью повышения безопасности хранения данных DLP-системы на конечных точках — в случае если злоумышленник получит доступ к АРМ, у него не будет возможности определить контролируемые параметры системы и внести изменения в логи.

Системные требования

Для установки требуется автоматизированное рабочее место с Windows или macOS (табл. 5 и 6 соответственно). Стоит отметить, что обновления для актуальных платформ выходят синхронно и регулярно (см., напр., здесь, здесь или здесь].

 

Таблица 5. Системные требования к клиенту Windows

ЭлементХарактеристики
Аппаратная часть компьютераЦП: Intel Pentium 1 ГГц (минимум)
ОЗУ: не менее 1 ГБ (рекомендуется 2 ГБ)
Жёсткий диск: не менее 300 МБ свободного места (рекомендуется 500 МБ)
McAfee Agent for WindowsВерсии 5.0.6, 5.5.0, 5.5.1, 5.6.0, 5.6.1
Удалённые рабочие столыCitrix XenApp, удалённый рабочий стол Microsoft

 

Таблица 6. Системные требования к клиенту macOS

ЭлементХарактеристики
Аппаратная часть компьютераЦП: Intel Pentium 1 ГГц (минимум)
ОЗУ: не менее 1 ГБ (рекомендуется 2 ГБ)
Жёсткий диск: не менее 300 МБ свободного места (рекомендуется 500 МБ)
McAfee Agent for MacВерсии 5.0.4, 5.0.5 и 5.0.6 для macOS 10.12 Sierra, 5.0.6.347.1 для macOS 10.13 High Sierra, 5.5.1 для macOS 10.14 Mojave

 

DLP Prevent

Назначение и функциональные возможности

Программный продукт предназначен для реализации политик безопасности, выходящих за пределы охраняемого контура. Производитель приводит следующий список контролируемых векторов: HTTP / HTTPS, SMTP. Контролируемые сервисы: электронная почта (как «толстые клиенты», так и веб-приложения), мгновенные сообщения, вики-сайты, блоги, порталы. При обнаружении нарушений DLP Prevent позволяет принять меры, такие как шифрование, блокирование, перенаправление, помещение в карантин и т. п. Необходимо отметить, что блокировка транзакций осуществляется на уровне приложений — это удобно, т. к. позволяет отличать блокируемые действия от сбоев при передаче.

Prevent использует тот же модуль классификации, что и Endpoint, что позволяет разрабатывать общие политики безопасности с помощью ePolicy Orchestrator.

Системные требования

Необходимы либо физическое устройство 7700 (см. выше), либо виртуальная машина ESXi / Hyper-V (системные требования представлены в таблице 7).

 

Таблица 7. Системные требования к Prevent (сервер)

ТипПрограммное обеспечение
ГипервизорVMware vSphere с VMware vCenter Server версий 6.0, 6.5 или 6.7
Hyper-VWindows Server 2012 / Windows Server 2016. Внимание: не использовать пакет Hyper-V для установки в Azure.

 

DLP Monitor

Назначение и функциональные возможности

Пассивное решение, организует мониторинг и проведение расследований, но не может блокировать данные. Получает данные со SPAN-порта или TAP-устройства. Анализ данных не зависит от протокола.

Основные функции: сканирование и анализ трафика в режиме реального времени; встроенная поддержка протоколов FTP, HTTP, IMAP, IRC, LDAP, POP3, SMB, SMTP, Telnet; возможность накопления данных с целью дальнейшего статистического анализа; различные механизмы классификации типов содержимого — иерархические, сигнатурные, грамматические, статистические, на основе «магических чисел»; готовые шаблоны правил — нормативно-правовое соответствие, политика допустимого использования, интеллектуальная собственность и т. п.; инструменты для создания комплексных отчётов.

Системные требования

Аналогично DLP Prevent требуются либо устройство 7700, либо виртуальная машина ESXi.

DLP Discover

Назначение и функциональные возможности

Discover — это серверное ПО, предназначенное для работы в ОС Windows, может централизованно устанавливаться через ePO. Компонент предназначен для обнаружения критически важных данных в документах различных форматов. С его помощью можно производить автоматический анализ документов, извлекать и классифицировать фрагменты данных.

Основные функции:

  • Все задачи развёртывания и управления осуществляются с помощью программного обеспечения McAfee ePolicy Orchestrator: в нём используются то же самое расширение управления и та же самая политика предотвращения утечки данных (DLP), что и в McAfee Data Loss Prevention Endpoint.
  • Сканирование хранилищ данных с целью нахождения информации согласно политикам DLP, заявлена поддержка CIFS / SMB, SharePoint, Microsoft SQL, MySQL, Oracle, DB2, Cloud.
  • EDM (точное сопоставление данных, англ. exact data matching) — новый критерий классификации, создаваемый путём выгрузки файла CSV с конфиденциальной информацией, в котором ячейки в каждой строке взаимосвязаны. Функция EDM поддерживается при сканировании хранилищ CIFS, SharePoint и Box. Функция точного сопоставления данных даёт возможность идентифицировать крупные объёмы структурированной информации, хранящейся в базах данных и электронных таблицах Microsoft Excel, по их фрагментам. Надёжность срабатывания политики DLP обеспечивается благодаря наличию большого количества разных критериев проверки.
  • Полная совместимость с функциями классификации данных в McAfee DLP Endpoint.
  • Совместимость с Microsoft Windows Server 2008, 2012 и 2016.
  • Поддерживает распределённые варианты развёртывания, позволяющие использовать невостребованную пропускную способность имеющихся серверов и охватывать большие географические области.

Системные требования

 

Таблица 8. Системные требования Discover

ЭлементТребование
Операционные системыWindows Server 2012, 64-разрядная версия; Windows Server 2012 R2, 64-разрядная версия; Windows Server 2016 R2 Std, 64-разрядная версия; Windows Server 2019. ПРИМЕЧАНИЕ: сервер McAfee DLP Discover не поддерживается на контроллерах домена или рабочих станциях Windows
Оборудование — минимальная конфигурацияЦП: Intel Core 2, 64-разрядная версия, не менее 2 ЦП
ОЗУ: не менее 4 ГБ
Место на жёстком диске: не менее 100 ГБ
Оборудование — рекомендуемая конфигурацияЦП: Intel Core 2, 64-разрядная версия, 12 ЦП
ОЗУ: 32 ГБ
Место на жёстком диске: 500 ГБ
Виртуальные серверыvSphere ESXi версии 5.0 с пакетом обновления 2 или версии 6.0; vCenter Server версии 5.0 с пакетом обновления 2 или версии 6.0

 

Сценарии использования McAfee DLP

Подробно сценарии использования McAfee DLP раскрываются в сопроводительной документации. Рассмотрим некоторые примеры.

Блокирование нежелательного контента

Предположим, что в рамках системы циркулируют данные, которые нельзя передавать приложениям определённых типов: например, параметры банковских карт запрещено передавать в открытом виде через почтовые клиенты. Требуется разработать политику безопасности, которая обеспечит блокирование нежелательного контента, вывод информационного сообщения пользователю и оповещение администратора. Для достижения поставленной цели необходимо задать классификатор для поиска интересующих данных, связать приложение с этим правилом и определить действия, которые выполнит система при совпадении данных с шаблоном.

Создание классификатора

В ePO переходим на вкладку «Menu», в категории «Data Protection» выбираем «Classification».

 

Рисунок 1. Переход в раздел создания классификатора

Переход в раздел создания классификатора

 

Создаём новый классификатор, задаём его имя. Далее перейдём к «Actions» → «New Classification Criteria».

 

Рисунок 2. Переход в раздел создания критериев классификации

Переход в раздел создания критериев классификации

 

Создаём новый критерий для классификации, задаём его название. Затем переходим ко вкладке «Advanced Patterns» и выбираем ранее созданный классификатор.

 

Рисунок 3. Выбор вкладки «Advanced Patterns»

Выбор вкладки «Advanced Patterns»

 

Рисунок 4. Указание искомых данных

Указание искомых данных

 

Сохраняем полученный классификатор через «Actions» → «Save Classification». Переходим в «Menu», в категории «Data Protection» выбираем «DLP Policy Manager».

 

Рисунок 5. Переход в раздел менеджера политик

Переход в раздел менеджера политик

 

Создаём набор правил: выбираем «Actions» → «New Rule Set» и задаём ему имя.

 

Рисунок 6. Переход в режим формирования нового набора правил

Переход в режим формирования нового набора правил

 

Создаём правило: выбираем «Actions» → «New Rule» → «Application File Access Protection», задаём ему имя, меняем статус с «Disabled» на «Enabled», также меняем «Severity» на «Major».

 

Рисунок 7. Пример создания правила: параметры «State», «Severity»

Пример создания правила: параметры «State», «Severity»

 

В секции приложения указываем необходимое, выбрав его из списка, либо назначаем полный путь к исполняемому файлу.

 

Рисунок 8. Пример создания правила: сопоставление с приложением

Пример создания правила: сопоставление с приложением

 

Переходим на вкладку «Reaction», нам необходимо блокировать действие, поэтому вместо «Prevent Action» задаём «Block». Включаем флаг «Report Incident» и сохраняем результат.

 

Рисунок 9. Пример создания правила: формирование реакции системы

Пример создания правила: формирование реакции системы

 

Переходим в «Actions» → «Assign a Rule Set to Policies», в выпадающем меню выбираем правило, добавив его к политике по умолчанию. Применим политику через «Actions» → «Apply Selected Policies». Обновляем данные на агенте.

Результат работы политики

В случае обнаружения нелегитимных действий на узле появляется информационное сообщение, аналогичное представленному на рисунке 10.

 

Рисунок 10. Пример уведомления о нелегитимном действии

Пример уведомления о нелегитимном действии

 

Администратор безопасности может посмотреть данные об инциденте в ePO. Для этого ему необходимо перейти в «Menu» → «Data Protection» → «DLP Incident Manager» (рис. 11).

 

Рисунок 11. Интерфейс для отображения данных об инцидентах

Интерфейс для отображения данных об инцидентах

 

Предотвращение нелегитимного копирования файлов, содержащих служебную информацию, с рабочей станции на CD / DVD

Рассмотрим вариант использования McAfee DLP для предупреждения несанкционированного копирования конфиденциальной информации на оптические диски.

Во-первых, предварительно создаётся классификация для определения конфиденциального содержимого. Пример такого определения представлен на рисунке 12.

 

Рисунок 12. Пример формирования классификатора для выявления конфиденциального содержимого

Пример формирования классификатора для выявления конфиденциального содержимого

 

Во-вторых, в «Диспетчере политики DLP» создаётся правило, обеспечивающее решение поставленной задачи (рис. 13). В представленном примере предполагается, что для записи CD / DVD на рабочих местах пользователей установлена программа Media Burner Application, а архивирование данных на внешние накопители не допускается выполнять никому («is any user (ALL)»). Попытки переноса данных на внешний диск должны пресекаться (раздел «DLP Endpoint Reaction», значение «Block»).

 

Рисунок 13. Пример созданного правила

Пример созданного правила

 

Указанные настройки позволят предупредить несанкционированное копирование любых данных на CD / DVD (рис. 14).

 

Рисунок 14. Пример реакции системы на несанкционированное копирование

Пример реакции системы на несанкционированное копирование

 

Предотвращение передачи сообщений электронной почты, содержащих конфиденциальную информацию

Не является секретом тот факт, что одним из каналов утечки служебной информации является система электронной почты. Установленные, как правило, на всех рабочих станциях почтовые клиенты могут быть использованы как для случайной, так и для преднамеренной отправки конфиденциальной информации за пределы организации.

Как и в предыдущем случае, настройка выполняется с использованием «Диспетчера политики DLP» (рис. 15).

 

Рисунок 15. Пример создания правила выявления служебной информации в сообщениях электронной почты

Пример создания правила выявления служебной информации в сообщениях электронной почты

 

В случае обнаружения ключевых слов в теле письма пользователь получит сообщение аналогичное представленному на рисунке 16, а администратор безопасности увидит уведомление об инциденте, аналогичное представленному на рисунке 17.

 

Рисунок 16. Пример реакции системы на попытку отправки конфиденциальной информации через систему электронной почты

Пример реакции системы на попытку отправки конфиденциальной информации через систему электронной почты

 

Рисунок 17. Пример отображения администратору сведений об инциденте

Пример отображения администратору сведений об инциденте

 

Предотвращение утечки корпоративной информации из облачного хранилища организации

В настоящее время всё большую популярность приобретают так называемые облачные хранилища. Они привлекают удобством использования, возможностью не тратиться на обслуживание, доступностью для широкого круга пользователей. С другой стороны, если вопросы защиты информации отдать полностью на откуп собственникам сервиса, то высока вероятность получения ещё одного неконтролируемого канала утечки корпоративной информации.

Однако использование McAfee DLP позволяет взять под контроль процесс распространения данных, расположенных в облачном хранилище.

В качестве примера рассмотрим организацию контролируемого доступа к данным, хранимым в общей папке на Dropbox.

На первом шаге, используя правила защиты облачных служб, выполняем блокировку Dropbox (рис. 18). Для этого потребуется, как и в предыдущих случаях, воспользоваться «Диспетчером политики DLP».

 

Рисунок 18. Пример формирования правила для защиты от утечки конфиденциальной информации через облачные хранилища

Пример формирования правила для защиты от утечки конфиденциальной информации через облачные хранилища

 

На втором шаге указывается папка, на которую не будет распространяться действие созданного правила. Далее формируется перечень пользователей, которым предоставляется возможность работы с выделенным ресурсом.

В случае попытки нелегитимного доступа к облачному хранилищу пользователь рабочей станции получит уведомление аналогичное представленному на рисунке 19, а сотрудник службы безопасности будет проинформирован о данном факте (рис. 20).

 

Рисунок 19. Пример уведомления пользователя о нелегитимном действии

Пример уведомления пользователя о нелегитимном действии

 

Рисунок 20. Пример вывода информации администратору об инциденте

Пример вывода информации администратору об инциденте

 

Выявление источника утечки информации

Данный сценарий характерен для случаев, когда появляется подозрение на существование внедрённого или завербованного сотрудника. Такое подозрение может основываться на появлении в СМИ данных, не предназначенных для публикации. Другой вариант — выявление фактов, указывающих на то, что конкуренту известны подробности внутренних, непубличных проектов в компании.

Для выявления источника утечки информации можно воспользоваться т. н. поиском с аналитической экспертизой (рис. 21).

 

Рисунок 21. Интерфейс модуля DLP Capture

Интерфейс модуля DLP Capture

 

Существует возможность корректировки выбранного набора данных с целью получения искомого результата в приемлемое время. При вводе данных в автоматическом режиме осуществляется расчёт и отображение количества охватываемых для анализа объектов, что позволяет быстро оценить время поиска (рис. 22).

 

Рисунок 22. Пример формирования поискового набора

Пример формирования поискового набора

 

После запуска поиска будет получен результат аналогичный представленному на рисунке 23.

 

Рисунок 23. Пример результата поиска с аналитической экспертизой

Пример результата поиска с аналитической экспертизой

 

Выводы

McAfee DLP представляет собой зрелый комплексный продукт, охватывающий большинство задач, связанных с защитой данных в организации: поиск критически важных данных в локальных и облачных файлах, анализ сетевого трафика, реализацию политик безопасности, управление инцидентами. Комплекс состоит из отдельных модулей (Endpoint, Prevent, Monitor, Discover, Capture) с возможностью централизованного управления (ePolicy Orchestrator). Особенностью продукта является возможность гибкой интеграции в существующую инфраструктуру — средства аналитики могут располагаться как на отдельном аппаратном узле, так и в рамках существующих средств виртуализации.

Заявленная функциональность достигается за счёт применения настраиваемых паттернов обнаружения критически важных данных в документах (в т. ч. и находящихся в облаке) и совместимых в рамках инфраструктуры политик безопасности. При этом мониторинг автоматизированных рабочих мест реализуется без применения средств шпионажа, использование которых может быть явно запрещено политикой организации. Есть большая библиотека паттернов для поиска и классификации данных, стоит обратить особое внимание на поддержку регламента GDPR.

McAfee DLP стоит рассматривать при выборе средства защиты от утечек данных как для апгрейда существующей инфраструктуры, так и при построении новой. Продукт имеет внушительную функциональность, при этом сложностей в его освоении у администратора возникнуть не должно.

Достоинства:

  • Комплексный подход к решению задач.
  • Продукты интегрируются между собой.
  • Возможность автономной работы агентов для конечных точек.
  • Поддержка большого числа языков.
  • Возможность поиска критически важных данных в облаке.
  • Возможность интеграции в существующую инфраструктуру как с помощью аппаратного обеспечения, так и с применением средств виртуализации.
  • Постоянный контроль совместимости с актуальными версиями macOS и Windows.

Недостатки:

  • Отсутствие поддержки Linux.
  • Средства OCR требуют дополнительного лицензирования.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.