Обзор системы защиты от утечек Офисный контроль и DLP Safetica


Обзор системы защиты от утечек Офисный контроль и DLP Safetica

«Офисный контроль и DLP Safetica» от компании ESET позволяет анализировать потоки данных, пересекающие периметр организации, а также осуществлять мониторинг и контроль действий сотрудников, влияющих на выполнение ими должностных обязанностей. «Офисный контроль и DLP Safetica» контролирует файловые операции, работу приложений и различных устройств рабочих станций с целью обеспечения комплексной защиты от утечек конфиденциальной информации.

Сертификат AM Test Lab

Номер сертификата: 267

Дата выдачи: 28.10.2019

Срок действия: 28.10.2024

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Основные возможности «Офисный контроль и DLP Safetica»
  3. Архитектура «Офисный контроль и DLP Safetica»
    1. 3.1. Сервер «Офисный контроль и DLP Safetica»
    2. 3.2. Консоль управления «Офисный контроль и DLP Safetica»
    3. 3.3. Консоль управления WebSafetica
    4. 3.4. Загрузочный агент «Офисный контроль и DLP Safetica»
    5. 3.5. Safetica Endpoint Client
  4. Установка и предварительная настройка «Офисный контроль и DLP Safetica»
  5. Работа с консолью управления «Офисный контроль и DLP Safetica»
  6. Работа основных модулей «Офисный контроль и DLP Safetica»
    1. 6.1. Выявление нестандартного поведения сотрудников с помощью модуля «Аудитор»
    2. 6.2. Ограничение нелегитимной деятельности сотрудников с помощью модуля «Супервайзер»
    3. 6.3. Защита от утечки конфиденциальной информации с помощью модуля DLP
  7. Выводы

 

Введение

Многочисленные исследования утечек конфиденциальной информации свидетельствует о том, что порядка 75% утечек данных происходит из-за действий внутреннего нарушителя (который, как правило, является действующим сотрудником компании). Поэтому необходимо уделять внимание построению системы внутренней защиты от утечек. Существует несколько подходов к решению этой задачи. Один из них — сбор и анализ данных из различных точек инфраструктуры (начиная от рабочих станций сотрудников и заканчивая принтерами) с последующим выявлением инцидентов; здесь угрозы, как правило, обнаруживаются уже после утечки конфиденциальных сведений. Другой подход связан с постоянным контролем и анализом безопасности компонентов инфраструктуры, т.е. с защитой не самой конфиденциальной информации, а систем, ее обрабатывающих.

Эффективным решением для борьбы с внутренними нарушителями является DLP-система, внедряемая с целью выявить и блокировать нелегитимную передачу данных за пределы периметра. Перед ее использованием организация должна определить, какие сведения следует считать имеющими ценность, и классифицировать внутренние информационные потоки. Это позволит сформировать политику безопасности и распределить роли с точки зрения доступа к системам и активам. Также к DLP-системе предъявляются функциональные требования, т.е. она рассматривается не сама по себе, а в контексте окружающей среды; с этой целью будущие эксплуатанты формализуют угрозы и риски, политики и правила, предположения и гипотезы, включающие аспекты безопасности того окружения, в котором будет использоваться продукт.

Программный комплекс «Офисный контроль и DLP Safetica» (далее — «Офисный контроль и DLP Safetica») от компании ESET является комплексным средством защиты от внутреннего нарушителя, которое позволяет закрыть каналы утечки информации и урегулировать риски, связанные с человеческим фактором. Посредством мониторинга деятельности сотрудников «Офисный контроль и DLP Safetica» выявляет их нелегитимное поведение, блокирует нестандартные операции и защищает предприятие от последствий нежелательной активности персонала. В этом обзоре мы подробно рассмотрим устройство и принципы действия данного продукта, а также особенности работы с ним.

 

Основные возможности «Офисный контроль и DLP Safetica»

Отметим следующие ключевые элементы функциональности.

  • Закрытие основных каналов утечки информации с помощью гибкой конфигурации модулей «Офисный контроль и DLP Safetica», что позволяет защитить конфиденциальные данные компании не только от несанкционированного доступа, но и от потенциально вредоносной активности сотрудников, наделенных правом работать с такими сведениями.
  • Распознавание потенциально опасных действий задолго до того, как они приведут к информационным, финансовым или репутационным потерям. Благодаря подробным отчетам и наглядным графикам, отражающим полноценную картину деятельности сотрудника, задача распознавания нестандартной деятельности не вызывает затруднений.
  • Выявление колебаний продуктивности работы сотрудников путем наблюдения за тем, что они делают в рабочее время, а также подсчета генерируемого и получаемого сетевого трафика.
  • Контроль использования приложений и устройств, а также посещения веб-сайтов.
  • Контроль печати, работы с файлами и электронной почтой.

«Офисный контроль и DLP Safetica» предоставляет возможность автоматического детектирования конфиденциальной информации несколькими способами.

Первый способ требует экспертных знаний. Он связан с установкой меток на файлы и позволяет формировать правила, в соответствии с которыми этот процесс будет происходить. Можно задать правила для приложений (указывается категория программного обеспечения, и файлы, в нее входящие, будут помечены), веб-сайтов (метку получат объекты, загруженные из определенных доменов) или путей (помечаются файлы, помещенные в указанную папку). Также администратор вправе установить порядок распространения меток при открытии приложения из выбранной категории либо настроить анализ содержимого файлов на предмет конфиденциальных данных (выполняется только во время первого сканирования папки).

Второй способ детектирования основан на классификации по метаданным. «Офисный контроль и DLP Safetica» универсально совместим со сторонними инструментами — Microsoft Office, Microsoft Azure Information Protection, Boldon James, Titus и Tukan GREENmod, — которые хранят информацию в виде тегов в свойствах документа.

Третий способ связан со встроенными шаблонами персональных данных. Поддерживаются, например, чешские, словацкие, польские и турецкие идентификаторы личности, европейские и американские номера социального страхования, международные номера банковских счетов (IBAN), кредитных карт и т.п. Здесь же можно создавать пользовательские регулярные выражения или ключевые слова. Стоит отметить, что в следующей версии программного комплекса будет добавлена поддержка российских идентификаторов личности.

Для автоматического детектирования конфиденциальных данных также используется предустановленный набор расширений файлов и категорий приложений. Продукт умеет определять разнообразные документы и мультимедийные объекты, а также программное обеспечение почти любого рода — от браузеров и VPN-клиентов до майнеров и кейлоггеров. Полный список поддерживаемых расширений и категорий весьма объемен, и полностью приводить его здесь излишне.

Заметим также, что хотя «Офисный контроль и DLP Safetica» позволяет закрыть потребности, связанные с продуктивностью персонала, в нем не предусмотрены теневое копирование, запись экрана и прочие элементы функциональности, которые обеспечивают скрытый просмотр действий сотрудников.

 

Архитектура «Офисный контроль и DLP Safetica»

«Офисный контроль и DLP Safetica» состоит из трех модулей, которые дополняют друг друга. Компонент «Аудитор» отслеживает нелегитимные действия пользователей, а модуль «Супервайзер» предотвращает нежелательную активность за счет запрета запуска определенных приложений, ограничений на посещение веб-сайтов и т.п. Наконец, модуль «DLP» защищает от утечки конфиденциальной информации и работает в автоматическом режиме на основе пользовательских правил.

Решение основано на клиент-серверной архитектуре. На рабочих станциях вместе с клиентской частью программного обеспечения функционирует загрузочный агент, который выполняет задачи по установке, обновлению и управлению. Для администрирования, настройки и отображения собранной информации используется толстый клиент или веб-консоль WebSafetica. Сведения, полученные с отдельных терминалов, и настройки для всех компонентов Safetica хранятся в базе данных на сервере. 

Таким образом, в состав продукта входят сервер с базой данных, панель управления и веб-консоль WebSafetica, загрузочный агент и клиент. Рассмотрим каждый из этих компонентов подробнее.

Сервер «Офисный контроль и DLP Safetica»

Эта часть программного комплекса работает как служба на выделенном сервере и обеспечивает связь между базой данных и другими компонентами Safetica, а также удаленное управление ими. На одной машине может быть установлен только один экземпляр сервера. База данных используется для хранения журналов, настроек и категорий приложений, сайтов и расширений. В качестве систем управления используются 32- / 64-разрядные версии Microsoft SQL Server 2008 и более поздние редакции, включая бесплатные экспресс-выпуски.

 

Таблица 1. Рекомендуемые аппаратные и программные требования к установке серверной части «Офисный контроль и DLP Safetica»

ПроцессорPentium 4 2,4 ГГц и выше
Оперативная память2 ГБ и выше
Свободный объем на жестком диске3 ГБ
Операционная системаMicrosoft Windows Server 2008 R2 или более новая

Консоль управления «Офисный контроль и DLP Safetica»

Консоль управления обеспечивает взаимодействие между клиентом и загрузочным агентом на конечных точках (с одной стороны) и серверными службами с базой данных (с другой стороны). Через консоль осуществляется гибкая настройка всех функций «Офисный контроль и DLP Safetica»; в ней же отображаются результаты работы основных модулей в виде статистических диаграмм, графиков и таблиц.

 

Таблица 2. Рекомендуемые аппаратные и программные требования к установке консоли управления «Офисный контроль и DLP Safetica»

ПроцессорPentium 4
Оперативная память2 ГБ и выше
Свободный объем на жестком диске2 ГБ
Операционная системаMicrosoft Windows 7 (32- / 64-разрядные выпуски) или более новая

Консоль управления WebSafetica

WebSafetica – браузерная веб-консоль, содержащая функциональность управления и предназначенная для отображения результатов работы основных модулей. Веб-консоль не может использоваться без других компонентов продукта, но доступен вариант ее отдельной установки на сервере или другом устройстве, имеющем доступ к базе данных (MS SQL 2012 и выше, включая бесплатные экспресс-выпуски).

Загрузочный агент «Офисный контроль и DLP Safetica»

Загрузочный агент используется для управления клиентом на конечных точках. Он позволяет выполнять удаленную установку или обновление, а также решать другие задачи администрирования. Требования к аппаратному и программному обеспечению — такие же, как и у консоли управления.

Safetica Endpoint Client

Этот Клиент предоставляет все функции безопасности и мониторинга «Офисный контроль и DLP Safetica» на конечных точках. Основным его компонентом является служба, которая активируется при каждом запуске системы и обеспечивает мониторинг, применяет политики DLP, облегчает связь с базой данных и сервером. Клиентская служба управляет работой трех главных модулей на конечных точках. Во время установки клиента загрузочный агент устанавливается автоматически, если он не был установлен ранее. Требования к аппаратному и программному обеспечению клиента аналогичны таковым у консоли управления.

 

Установка и предварительная настройка «Офисный контроль и DLP Safetica»

«Офисный контроль и DLP Safetica» поддерживает автоматический и «ручной» варианты установки, а также извлечение компонентов в случае необходимости. Автоматическая установка предназначена для тестирования или для небольшого количества клиентов «Офисный контроль и DLP Safetica», установленных на конечных точках.

Перед установкой необходимо проанализировать корпоративную сеть компании и учесть следующие требования: компьютер с серверной частью «Офисный контроль и DLP Safetica» должен иметь возможность подключения к SQL-серверу, на котором будут храниться основные базы данных; машины с консолью и загрузочным агентом должны иметь возможность подключаться ко всем серверам, которые планируется администрировать с их помощью; для каждого клиента «Офисный контроль и DLP Safetica» понадобится определить, к какому серверу он будет подключен. Также следует убедиться, что компоненты «Офисный контроль и DLP Safetica» (сервер, консоль, клиент) не заблокированы брандмауэром или антивирусом.

 

Рисунок 1. Окно выбора типа установки «Офисный контроль и DLP Safetica»

Окно выбора типа установки Офисный контроль и DLP Safetica

 

Установка отдельных компонентов «Офисный контроль и DLP Safetica» осуществляется вручную и включает следующие модули: серверная часть программного обеспечения, система управления базами данных (СУБД) Microsoft SQL Server, консоль управления или WebSafetica, загрузочный агент и клиент. При этом инсталляция или выбор уже существующей СУБД входит в установку серверной части. После успешного завершения настройки сервера будут созданы три базы данных:

  • safetica_main – для хранения и совместного использования настроек;
  • safetica_data – для хранения данных, полученных от клиентов;
  • safetica_category – для хранения категорий веб-сайтов и приложений.

 

Рисунок 2. Окно установки компонентов «Офисный контроль и DLP Safetica»

 Окно установки компонентов Офисный контроль и DLP Safetica

 

После успешной установки консоли управления следует ее начальная настройка, в которую входят конфигурирование SMTP-сервера для отправки уведомлений по электронной почте, определение параметров импорта из Active Directory, если рабочая станция с сервером находятся в домене, установка загрузочного агента и ввод лицензионного ключа.

 

Рисунок 3. Окно начальной конфигурации консоли управления «Офисный контроль и DLP Safetica»

 Окно начальной конфигурации консоли управления Офисный контроль и DLP Safetica

 

Заключительной частью установки «Офисный контроль и DLP Safetica» является инсталляция клиентской части программного обеспечения на конечные точки. Клиент работает вместе с загрузочным агентом, который был установлен на предыдущем этапе, и обеспечивает соблюдение политик безопасности, а также работоспособность всех функций, настроенных в консоли управления. Конечным пользователям он также может предоставить набор средств безопасности для собственного применения.

 

Рисунок 4. Окно установки клиента Safetica Endpoint

 Окно установки клиента Safetica Endpoint

 

Работа с консолью управления «Офисный контроль и DLP Safetica»

«Офисный контроль и DLP Safetica» позволяет контролировать работу своих основных компонентов из единого веб-интерфейса — консоли управления. Она дает возможность конфигурировать работу основных модулей, настраивать службы управления «Офисный контроль и DLP Safetica» и администрировать клиенты, установленные на конечных точках. Консоль работает в двух режимах: настройки и визуализации. В режиме визуализации, в зависимости от модуля и функции, представляются записанные данные и графики, связанные с выбранным пользователем или группой. Поддерживается создание собственных макетов диаграмм, столбцов и фильтров, а также экспорт отображаемых графиков и диаграмм в PDF и XLS.

 

Рисунок 5. Окно с основными элементами консоли управления «Офисный контроль и DLP Safetica»

 Окно с основными элементами консоли управления Офисный контроль и DLP Safetica

 

Как видно из рисунка, с помощью консоли можно распоряжаться обновлением клиента и сервера, управлять базами данных (резервное копирование, выбор и удаление отслеживаемых сведений), разграничивать доступ к ней. В последнем случае предусмотрены учетные записи администратора, диспетчера и пользователя. Первый тип, очевидно, имеет полный доступ ко всем функциям и настройкам; диспетчер способен видеть записи всех функций, но не вправе вносить изменения в конфигурацию, а пользователь может работать с конкретными функциями и параметрами, которые ему назначил администратор.

Консоль управления также позволяет автоматически генерировать отчеты об активности отдельных сотрудников, их группы или всего сервера.

 

Рисунок 6. Окно настройки генерируемых отчетов в консоли управления «Офисный контроль и DLP Safetica»

 Окно настройки генерируемых отчетов в консоли управления Офисный контроль и DLP Safetica

 

Если на рабочей станции, подключенной к «Офисный контроль и DLP Safetica», сработало определенное правило, то продукт должен вывести пользователю информационное сообщение, а также составить отчет и выслать его на указанную почту либо отправить в формате SIEM или Syslog на сервер. В консоли управления для этого поддерживаются триггеры действий, которые основываются на записях активности пользователя, что позволяет запускать команды на рабочей станции сотрудника или инициировать запуск скриптов с конкретными аргументами и в выбранной папке.

 

Рисунок 7. Окно настройки триггеров действий в консоли управления «Офисный контроль и DLP Safetica»

 Окно настройки триггеров действий в консоли управления Офисный контроль и DLP Safetica

 

Работа основных модулей «Офисный контроль и DLP Safetica»

Выявление нестандартного поведения сотрудников с помощью модуля «Аудитор»

Модуль «Аудитор» анализирует деятельность сотрудников и предупреждает руководство о любых отклонениях от привычной активности. Он также показывает картину реальной производительности работников, предоставляя информацию о запускаемых приложениях, посещаемых веб-сайтах, отправляемых письмах и использованных файлах.Модуль занимается исключительно мониторингом, т.е. не выполняет никаких действий, связанных с блокировкой приложений или запретом посещения определенных интернет-ресурсов. Помимо этого, «Аудитор» регистрирует объем данных, отправленных или полученных рабочей станцией, и выдает статистику использования сети с разделением по каждому приложению.

 

Рисунок 8. Окно с настройками функций модуля «Аудитор» в «Офисный контроль и DLP Safetica»

 Окно с настройками функций модуля «Аудитор» в Офисный контроль и DLP Safetica

 

«Аудитор» осуществляет анализ активности приложений, показывая, какое программное обеспечение запускают сотрудники и как долго они держат его в активном или фоновом режиме. Помимо этого, он делит приложения по категориям, что позволяет максимально быстро получить обзор того, какие типы прикладных программ используются сотрудниками. Мониторинг также составляет рейтинг самых активных пользователей и наиболее часто запускаемых приложений.

Анализ активности посещения веб-сайтов позволяет отслеживать интернет-ресурсы, которые просматривают сотрудники в рабочее время. «Аудитор» предоставляет статистику об открываемых страницах и времени, потраченном на их просмотр. Страницы классифицируются в зависимости от категорий, количества просмотров и уровня производительности. В результате мониторинга веб-сайтов в режиме визуализации можно отследить самые посещаемые сотрудниками домены, увидеть наиболее активных пользователей, а также самые популярные веб-категории.

Мониторинг почты на рабочей станции дает возможность просмотреть отправляемые и получаемые сотрудниками электронные письма, в том числе — сообщения с вложениями, т.к. они могут содержать конфиденциальную информацию. В данном случае «Аудитор» позволяет выявить пользователей, отправивших и получивших наибольшее количество писем, а также адреса электронной почты и домены, где обмен сообщениями был самым интенсивным.

Контроль операций копирования, перемещения, создания, удаления, открытия, загрузки через интернет и FTP, передачи файлов позволяет отследить все операции, выполняемые на рабочей станции конкретным сотрудником. «Аудитор» поддерживает фильтрацию по расширениям и по путям — т.е. позволяет указать список путей, действия по которым будут записываться, — а также предоставляет информацию о пользователях, которые больше всего работают с файлами, наиболее активных приложениях, используемых для этих целей, и о наиболее частых файловых операциях.

Одним из самых важных аспектов защиты от утечек конфиденциальной информации является контроль подключений периферийных устройств (например, USB-накопителей) на рабочей станции. «Аудитор» позволяет отследить все подобные подключения с детализацией по приложениям, типу устройства и интерфейса, вендору и описанию.

Модуль также отслеживает активность печати документов, тем самым предоставляя улики против сотрудников, которые используют принтеры для личных целей или для вывода конфиденциальных сведений. «Аудитор» дает наглядную статистику об активно печатающих пользователях, самых нагруженных принтерах, а также о приложениях, часто применяемых для печати.

 

Рисунок 9. Окно с отображением мониторинга печати модуля «Аудитор» в «Офисный контроль и DLP Safetica»

 Окно с отображением мониторинга печати модуля «Аудитор» в Офисный контроль и DLP Safetica

 

Наиболее наглядной с точки зрения визуализации функцией «Аудитора» является возможность отображения тенденций, которые показывают отклонения в показателях активности при работе с приложениями и при просмотре веб-сайтов. Тенденции используются для профилирования и отслеживания производительности пользователей, что предоставляет четко организованные результаты и немедленные оповещения о превышении пределов в данных категориях. Для выявления тенденций среднее время, проведенное сотрудником в какой-либо категории прикладных программ или интернет-ресурсов за базовый период, сравнивается со средним активным временем, проведенным в этой категории в течение текущего периода.

Ограничение нелегитимной деятельности сотрудников с помощью модуля «Супервайзер»

«Супервайзер» блокирует неуместные и недопустимые действия, а также информирует о возникших проблемах, позволяя тем самым повысить безопасность, сэкономить ресурсы компании и предотвратить инциденты. Он управляет активностью сотрудников при работе в интернете, при взаимодействии с приложениями и в ходе печати документов.

За счет гибкой настройки правил веб-контроля возможно определить, какие сайты сотрудникам разрешено либо запрещено посещать, и указать адрес для перенаправления при блокировке веб-страниц. Правила являются строковыми, т.е. задаются с помощью указания конкретного URL-адреса или домена. Также администратор вправе выбрать заранее заданную веб-категорию (бизнес, CRM, ERP, файловые хранилища, финансы, игры, политика, здоровье, информационные технологии, небезопасные веб-сайты, мессенджеры, поиск работы, досуг, мультимедиа и искусство, новости, порнография, веб-прокси, образование, поиск информации, шоппинг, социальные сети, спорт, веб-почта, веб-порталы) либо настроить свою.

 

Рисунок 10. Окна с настройками веб-контроля в модуле «Супервайзер»

 Окна с настройками веб-контроля в модуле «Супервайзер»

 

Контроль приложений позволяет защитить сотрудников компании от несанкционированных продуктов и обеспечить целостность разрешенных. Правила задаются посредством указания категории или системного пути; возможен также выбор прикладных программ, полученных из магазина Microsoft.

 

Рисунок 11. Окна с настройками контроля приложений в модуле «Супервайзер»

 Окна с настройками контроля приложений в модуле «Супервайзер»

 

Управление печатью предоставляет средства общего администрирования и позволяет определить, какие пользователи могут печатать на каких устройствах, а также установить квоты. Принтеры делятся на физические, виртуальные и сетевые. В конечном итоге формируются белый список принтеров, с которыми сотруднику разрешено работать, и перечень заблокированных устройств. Запрет печати возможен по трем причинам: печать заблокирована для указанного приложения, печать заблокирована для указанного принтера, превышена квота печати.

 

Рисунок 12. Окно с настройками контроля печати в модуле «Супервайзер»

 Окно с настройками контроля печати в модуле «Супервайзер»

Защита от утечки конфиденциальной информации с помощью модуля DLP

DLP служит для защиты конфиденциальной информации компании от неправомерного использования уполномоченными лицами и от доступа третьих лиц. Внедрение DLP предотвращает финансовые потери и возможный ущерб репутации компании, а также защищает от нежелательных действий сотрудников задолго до того, как появится проблема.

Перед использованием DLP в реальных условиях необходимо его настроить, исходя из условий текущей эксплуатации. Напомним, что в рассматриваемом продукте поддерживаются три типа конфигурации, которые основаны:

  • на заранее заданных конфиденциальных данных и пользовательских выражениях,
  • на детектировании классификационной информации (тегов) в свойствах документа, устанавливаемой сторонними приложениями,
  • на установке меток и на правилах, в соответствии с которыми помечаются конфиденциальные объекты.

Функции модуля DLP делятся на основные и дополнительные. К основным относятся политики, категории данных, зоны, защита дисков и контроль устройств. В число дополнительных входят возможности шифрования с помощью BitLocker. Модуль также протоколирует и отображает в виде графиков и таблиц все операции, источником которых являются политики DLP.

Политики используются для создания правил безопасности, обеспечивающих защиту данных на конечных точках. Каждая политика состоит из типа, режима и правила. В DLP выделяется три типа политик: общий (позволяет устанавливать правила по умолчанию для всего взаимодействия каналов — например, все электронные письма, все внешние устройства и т. д.), направленный на категории данных и направленный на категории приложений.

Важным этапом конфигурации модуля является выбор режима, в котором будет работать политика DLP, поскольку он определяет характер ее реагирования на события безопасности. Каждый из возможных режимов является сочетанием трех функций (протоколирование, уведомление и блокировка), которые могут быть отключены или активированы. Например, режим журналирования подразумевает, что любые данные или операции приложений регистрируются, но при этом пользователь не получит уведомлений, и никакие операции не будут заблокированы.

 

Рисунок 13. Окно создания политики безопасности в модуле DLP

 Окно создания политики безопасности в модуле DLP

 

Категории данных предназначены для разделения файлов на группы в зависимости от того, кто может с ними работать. Категоризация основана на трех способах, которые описывались выше: выражения, метаданные и метки для файлов. Самым простым вариантом является использование словарей вместе с регулярными выражениями: остается только задать минимальное пороговое значение, которое определит, сколько раз заданные ключевые слова должны встретиться в рассматриваемом файле.

 

Рисунок 14. Окна с настройками категорий данных модуля DLP

 Окна с настройками категорий данных модуля DLP

 

Зоны DLP и контроль устройств нужны для гибкой конфигурации групп внешнего аппаратного обеспечения, принтеров, IP-адресов, сетевых путей, которые могут администрироваться различными функциями DLP, а также для управления свойствами устройств (CD/DVD, Bluetooth, USB, LPT, COM, IR, Firewire, Windows Portable Devices, чтение карт памяти). Зоны разделяются на безопасные и небезопасные. Безопасные зоны, как правило, используются для настройки доверенной среды компании. В зону могут быть включены:

  • внешние устройства, которые добавляются автоматически (когда консоль управления сама видит их) или вручную, когда необходимо ввести информацию о производителе в соответствующие поля;
  • IP-адреса, маски подсети или диапазоны IP-адресов;
  • сетевые пути;
  • адреса электронной почты и почтовые домены;
  • принтеры, сетевые и физические;
  • веб-адреса, которые могут быть заданы в виде отдельного URL (*.google.ru) или доменной зоны (.com).

Высокая степень риска при работе с внешними устройствами определяет многообразие режимов доступа к ним: настройки устройства наследуются от родительской группы; чтение и запись на внешних устройствах запрещены; внешнее устройство может только считываться, но не записываться; при использовании внешнего устройства пользователь увидит уведомление в диалоговом окне, а также будет создана соответствующая запись в журнале; режим тестирования, когда создается запись в журнале, а пользователь не оповещается; чтение и запись на внешние устройства включены.

 

Рисунок 15. Окно с настройками зон в модуле DLP

 Окно с настройками зон в модуле DLP

 

Защита дисков в модуле DLPпозволяет разграничить права доступа к локальным накопителям, локальным или сетевым путям. Возможна также регистрация попыток доступа к ним. Права задаются в том числе и для облачных дисков (продукт поддерживает сервисы OneDrive, SharePoint, Google Drive, Dropbox и Box Sync). Доступ для пользователей может быть разрешен или запрещен, унаследован от группы более высокого уровня или осуществлен в режиме «только чтение».

В качестве дополнительных возможностей модуля DLP реализована функциональность шифрования дисков и устройств. Это обеспечивает гарантированную сохранность данных и позволяет разграничить доступ к дискам и устройствам посредством авторизации. Функция BitLocker в модуле DLP дает возможность локально или удаленно шифровать внешние устройства (USB-накопители) с помощью соответствующей службы. Доступ к зашифрованным устройствам может быть предоставлен отдельным пользователям, рабочим станциям или группам. При удаленном сценарии носитель информации будет зашифрован сразу после входа пользователя на рабочую станцию, а при локальном — по указанию администратора «Офисный контроль и DLP Safetica» при непосредственном подключении этого устройства.

Помимо съемных накопителей можно шифровать системные и несистемные диски на рабочих станциях. В BitLocker предусмотрены политики шифрования: расшифровывать системный диск и все диски с данными; шифровать системный диск выбранным способом и с использованием случайно сгенерированных ключей (при этом диски с данными будут разблокированы автоматически после разблокировки системного диска); шифровать диски при наличии данных. В каждой политике необходимо настроить дополнительные параметры: например, разблокировка системного диска может быть выполнена с помощью пароля, чипа Trusted Platform Module (TPM) или комбинации последнего с PIN-кодом, а также посредством USB-ключа, хранящегося на USB-накопителе. Также можно задать в параметрах совместимость с зашифрованными ранее дисками с помощью BitLocker Drive Encryption и без использования «Офисный контроль и DLP Safetica»; при этом старый логин и прежние ключи восстановления будут удалены и заменены новыми, совместимыми с установленной политикой.

 

Выводы

«Офисный контроль и DLP Safetica» – это полноценный корпоративный продукт, обеспечивающий защиту от запланированных либо случайных утечек конфиденциальной информации и соблюдение политик безопасности компании. Продукт может полноценно закрыть потребности организации, связанные с проблемами продуктивности персонала и защитой важных документов. «Офисный контроль и DLP Safetica» содержит множество предустановленных шаблонов, предназначенных для детектирования конфиденциальных данных, и позволяет гибко настраивать пользовательские правила. Модули «Офисный контроль и DLP Safetica» обеспечивают мониторинг активности сотрудников и отслеживают отклонения от стандартного поведения, в том числе выявляя проблемы продуктивности или всплески трафика в определенных категориях, по которым также можно сделать определенные выводы. В «Офисный контроль и DLP Safetica» есть четкое разделение между мониторингом деятельности сотрудников, защитой от утечек и ограничением нестандартных действий; продукт позволяет сформировать политику борьбы с угрозами, когда все нестандартные действия будут блокироваться и протоколироваться средствами «Офисный контроль и DLP Safetica». Программное обеспечение поддерживает вывод информации в формате SIEM и Syslog, что дает возможность автоматизировать процесс расследования инцидентов.

 Достоинства:

  • Целостный продукт от одного разработчика, покрывающий задачи DLP и офисного контроля.
  • Гибкая конфигурация модулей, позволяющая настроить безопасную информационную зону компании, выявить проблемы продуктивности персонала, предотвратить различного рода потери еще на стадии их возникновения и закрыть основные каналы утечки информации.
  • Наличие предустановленных наборов категорий веб-сайтов для быстрого создания политик контроля трафика.
  • Интуитивно понятная визуализация результатов работы продукта в виде графиков, таблиц и диаграмм, позволяющие распознать потенциально опасные действия сотрудников.
  • Единый и интуитивно понятный интерфейс управления возможностями «Офисный контроль и DLP Safetica».
  • Русская локализация консоли управления.

Недостатки:

  • Регулярные выражения, использующиеся для автоматического поиска конфиденциальных данных, не рассчитаны на персональные данных жителей России.
  • Отсутствие возможностей теневого копирования, сканирования и распознавания изображений, записи голоса и видео с экрана сотрудника.
  • Отсутствие сертификата ФСТЭК России.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.