Обзор StarForce Content Enterprise 2.0, средства защиты конфиденциальных документов


Обзор StarForce Content Enterprise 2.0, средства защиты конфиденциальных документов

Система StarForce Content Enterprise от российской компании «Протекшен Технолоджи» предоставляет компаниям возможности для защиты электронного документооборота, контроля за обменом и распространением электронных копий документов. Контроль осуществляется как внутри самой компании, так и при взаимодействии с контрагентами. StarForce Content Enterprise содержит инструменты для распределения прав доступа к конфиденциальной информации, а также для нанесения на документы специальных артефактов, позволяющих точно определить канал возможной утечки данных.

Сертификат AM Test Lab

Номер сертификата: 394

Дата выдачи: 03.10.2022

Срок действия: 03.10.2027

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности StarForce Content Enterprise
  3. Архитектура и системные требования StarForce Content Enterprise
  4. StarForce Leak Investigator
  5. Сценарии использования StarForce Content Enterprise
  6. Выводы

Введение

Информация — это наиболее ценный продукт, который аналогично физическим активам можно купить, продать, обменять или украсть. Даже самые совершенные механизмы контроля документооборота и управления правами доступа не могут гарантировать отсутствия утечек конфиденциальных данных, к которым приводят действия сотрудников организации и внешних подрядчиков. Документы могут попасть в руки посторонних лиц при установленных запретах на распространение: всегда остаётся вероятность, что злоумышленник просто сделает фотографию документа с экрана устройства, на котором тот был открыт. Также нельзя исключать и человеческий фактор: при увеличении объёмов электронного документооборота велик риск, что доступ к конфиденциальным документам получат сотрудники, которым он не должен был быть предоставлен, что отменит действие грифа конфиденциальности и увеличит круг распространения данных до неконтролируемых размеров.

Компания «Протекшен Технолоджи» была основана в 2000 году и является российским разработчиком программных продуктов в области защиты программного обеспечения и цифрового контента от несанкционированного доступа и распространения. Помимо систем для защиты конфиденциального электронного документооборота компания занимается такими направлениями обеспечения безопасности данных, как защита цифрового контента от копирования и пиратства, защита программ и компьютерных игр от модификаций, обеспечение и контроль целостности ПО, лицензирование ПО. Российским пользователям компания в первую очередь известна по DRM-системам. Продукты «Протекшен Технолоджи» помогают защищать игры, образовательные программы и материалы, а также иное ПО, в том числе мобильные и корпоративные приложения. Под торговой маркой StarForce компанией продано более 70 миллионов лицензий по всему миру.

Обратим внимание на суть потребностей в сфере защиты данных от несанкционированного копирования и распространения. В частности, по данным InfoWatch, доля утечек с применением средств автоматизации в России выросла с 68 % в 2018 г. до 86 % в 2021 г. Стоит отметить, что большинство утечек являются умышленными, то есть киберпреступник, внешний подрядчик или сотрудник организации намеренно обходил системы защиты. Доля случайных утечек существенно ниже. 

В то же время ряд крупных компаний и госорганизаций уже наблюдают эффект от внедрённых в допандемийные годы средств защиты информации, в том числе DLP-систем: если в 2018 г. в России преобладали утечки посредством кражи или утери бумажных документов, то в последующие годы на первый план вышли утечки через Сеть, а также резко выросла доля утечек через мессенджеры.

 

Рисунок 1. Распределение утечек по каналам: Россия, 2018–2021 гг.

Распределение утечек по каналам: Россия, 2018–2021 гг.

 

Доля утечек информации без применения средств автоматизации (компрометация данных в результате кражи или потери бумажных документов либо средств хранения) в 2021 г. составила 15,8 %. Это почти в три раза меньше, чем в 2018-м. Такая динамика отлично показывает, как всего за несколько лет мир стал цифровым. Естественно, помимо удобств он принёс новые риски, которые пока не удаётся минимизировать. Вдвое — с 17 до 34 % — выросла доля утечек из компаний сферы «Высокие технологии». Это связано с развитием цифровизации, появлением большого числа новых ИТ-сервисов и, по-видимому, недостаточным вниманием к защите собственных ресурсов, в том числе с увеличением количества внешних подрядных организаций и внештатных сотрудников.

Функциональные возможности StarForce Content Enterprise

Программный продукт StarForce Content Enterprise помогает компаниям защищать интеллектуальную собственность, предоставляя эффективные инструменты для контроля за распространением конфиденциальной информации. Система востребована среди компаний крупного и среднего бизнеса, которые хотят перевести бумажный ДСП-документооборот в электронный вид, а также иметь возможность отправлять защищённую информацию удалённым пользователям с гарантией её нераспространения. StarForce Content Enterprise позволяет предотвратить утечку конфиденциальной информации за счёт того, что пользователь, получивший защищённый документ, физически не может:

  • открыть документ на другом компьютере, например после пересылки по электронной почте;
  • редактировать его;
  • снять экранную копию клавишей Print Screen или с помощью программ захвата («Ножницы», OBS и др.);
  • распечатать при отсутствии разрешения на печать;
  • транслировать по видеосвязи через Zoom, Skype, Microsoft Teams и др.

Ещё одним важным отличием StarForce Content Enterprise является то, что программа позволяет управлять защищённым документом на удалённом компьютере, в том числе не относящемся к инфраструктуре предприятия (сотрудник вне сети компании, внешний подрядчик и пр.), добавляя и отзывая права на документы. Ограничение доступа к корпоративным документам происходит за счёт их перевода в специальный формат SFPDF, который можно открыть только в программе StarForce Reader после ввода персонального серийного номера. При первом открытии документ «привязывается» к программно-аппаратным характеристикам устройства, и сотрудник может работать с ним в соответствии с предоставленными ему правами.

Каждое открытие документа записывается в журнал просмотров, доступный администратору или сотруднику службы безопасности. Работающий удалённо сотрудник может открывать и читать защищённые документы как из офиса компании, так и из своего дома. Аналогичным образом можно безопасно пересылать конфиденциальную информацию партнёрам, подрядчикам, контрагентам или заказчикам, не беспокоясь, что они передадут документ третьему лицу. Администратор может устанавливать период, в течение которого документ должен быть прочитан, после чего доступ будет заблокирован. Также можно отозвать доступ к документу, в том числе находящемуся на удалённом компьютере, не входящем в ИТ-периметр компании. 

Модуль стеганографии позволяет расследовать утечки защищённых документов по незаметным для пользователя сдвигам в некоторых блоках текста. Таким образом можно восстановить номер операции доступа к документу и определить, на каком устройстве скомпрометированный документ был открыт в момент фотографирования, что, в свою очередь, поможет установить лиц ответственных за утечку информации.

Напомним, что цифровая стеганография — это направление классической стеганографии, основанное на незаметном внедрении дополнительной информации в цифровые объекты (документы текстовых редакторов, изображения, видео, аудио и т. д.), вызывающем некоторые искажения, которые находятся ниже порога чувствительности человека и, соответственно, не приводят к заметным визуальным изменениям этих объектов.

Принцип работы StarForce Content Enterprise заключается в следующем: документы в нередактируемом формате помещаются в защищённый контейнер, открыть который может только специальная программа-просмотрщик StarForce Reader, установленная на устройстве читателя. Программа бесплатна и доступна для платформ Windows, Linux, macOS, iOS и Android, а также может использоваться в качестве замены популярных просмотрщиков Adobe или Foxit.

StarForce Content Enterprise предоставляет гибкое управление правами доступа, включая отзыв прав на просмотр защищённых документов, и предусматривает возможность интеграции с Active Directory и другими компонентами информационной системы предприятия. StarForce Content Enterprise обеспечивает:

  • логическое разграничение доступа к документам,
  • контроль всего жизненного цикла документа с момента внесения в базу системы и установки защиты, в том числе после передачи на удалённые рабочие станции,
  • возможности расследования утечек информации.

Архитектура и системные требования StarForce Content Enterprise

Система доступна в двух версиях: серверной (on-premise) и облачной (SaaS). Обе версии StarForce Content Enterprise обеспечивают:

  1. Защиту электронных документов от несанкционированного доступа, копирования, распространения (в том числе через печать на принтере).
  2. Поддержку концепции Bring Your Own Device (BYOD) — работу с информацией на личном устройстве сотрудника без возможности копирования и распространения.
  3. Отслеживание использования документов, в том числе логирование попыток несанкционированного доступа в режиме реального времени.
  4. Безопасное распространение конфиденциальных документов на любых носителях и по сети «Интернет».
  5. Передачу и хранение документов в недоступном для открытия стандартными программами формате.
  6. Поддержку защиты текстовых и графических файлов.
  7. Возможность интеграции со сторонними DLP- и ЭДО-системами.

Рисунок 2. Структура системы StarForce Content Enterprise

 

StarForce Content Enterprise состоит из следующих компонентов.

  1. Серверные компоненты:
    • База данных, содержащая информацию о пользователях, группах документов, серийных номерах и активациях. В качестве СУБД используется Microsoft SQL Server или PostgreSQL.
    • Веб-сайт для управления системой и активации лицензий. Работает на PHP 7.0.
    • Веб-сервисы ProActive (для управления системой), CPS (для защиты документов) и Utility (для преобразования файлов в формат PDF). Представляют собой саморазмещаемые (self-hosted) приложения на платформе ASP.NET.
  2. Клиентское приложение StarForce Document Protector, установленное на компьютерах тех сотрудников (внутри предприятия), которым требуется защищать документы.
  3. Приложение StarForce Reader для просмотра защищённых документов, установленное на пользовательских устройствах читателей.
  4. Приложение StarForce Leak Investigator для расследования утечек. Необходимые данные в приложение загружает выполняющий расследование сотрудник.

StarForce Content Enterprise может работать как в открытом, так и в закрытом сетевом контуре компании без доступа в сеть «Интернет». На сервере защищаемые документы не хранятся, что сразу снижает потребность в дисковом пространстве в инфраструктуре заказчика; сервер служит только для управления правами доступа и генерации ключей. Документ становится доступным, когда пользователь вводит уникальный ключ. В этот момент сервер учитывает введённый ключ и ассоциирует его с программно-аппаратной составляющей рабочей станции, что запрещает в дальнейшем использовать тот же ключ на других устройствах. 

Процесс шифрования и выдачи ключей, назначения прав доступа возможно автоматизировать на основе интеграции с Active Directory, распределяя права по группам, созданным в директориях домена. Ключ записывается в реестр операционной системы; его извлечение ничего не даст, поскольку он, как указано выше, привязан к образу конкретной рабочей станции или мобильного устройства. Для удалённых пользователей процесс выглядит аналогично: пользователь вводит ключ, StarForce Reader посылает запрос на сервер с этим ключом и при получении положительного ответа разрешает пользователю открыть документ. В дальнейшем на этом устройстве документ будет открываться без дополнительного ввода ключа. Если же пользователь захочет открыть документ с помощью того же ключа на другом устройстве, то сервер отклонит такой запрос. После первого успешного открытия документа пользователь может в дальнейшем открывать документ на том же устройстве даже при отсутствии связи с сервером, но после истечения срока действия ключа доступ в любом случае будет закрыт.

 

Рисунок 3. Концептуальная схема работы компонентов StarForce Content Enterprise

 

StarForce Content Enterprise SaaS отличается от локальной версии тем, что базовые компоненты системы и веб-сайт размещены на сервере производителя. Кроме того, SaaS-версия не имеет модуля стеганографии для расследования утечек по скрытым меткам. Сервер StarForce Content Enterprise SaaS расположен в ЦОДе на территории РФ в соответствии с федеральным законом от 21 июля 2014 г. № 242-ФЗ.

Программно-аппаратные требования для установки и корректной работы приложения StarForce Document Protector и компонента StarForce Leak Investigator приведены в таблице далее.

 

Таблица 1. Минимальные системные требования для работы приложения StarForce Document Protector и StarForce Leak Investigator

Системные требования

Поддерживаемые ОС

Клиентские ОС семейства Windows: Microsoft Windows 8.1 и выше

Серверные ОС семейства Windows: Microsoft Windows Server 2012 R2 и выше

Astra Linux Common Edition: версия 2.12.40 и выше

Astra Linux Special Edition: версия 1.6 и выше

Ubuntu: версия 18.04 и выше

Debian: версия 10 и выше

ЦП

Не менее 1 ГГц, архитектура x86-64

ОЗУ

Не менее 4 ГБ

Диск

Не менее 1 ГБ свободного пространства

 

StarForce Content Enterprise поддерживает все основные форматы офисных файлов (PDF, DOC(X), XLS(X), PPT(X), RTF, PNG, JPEG), а также иные форматы, которые могут быть преобразованы в PDF; поддерживаются все популярные ОС (Windows, Linux, macOS, Android, iOS). Отметим также интеграцию через API StarForce со сторонними приложениями классов DLP, СЭД, SIEM, IRM, ERP и др.

StarForce Leak Investigator

Отдельно рассмотрим один из основных модулей системы — Leak Investigator. Он позволяет определить по скомпрометированному документу (фотографии или отсканированной печатной копии), на каком компьютере или мобильном устройстве этот документ был открыт в момент кражи. Это позволяет установить лиц ответственных за утечку: при каждом случае открытия или печати защищённого документа система StarForce Content Enterprise сохраняет в журнале доступа информацию (IP-адрес, идентификатор пользователя, дату и время и пр.), позволяющую отследить, кем и когда были совершены указанные действия с документом. 

Номер записи в журнале доступа встраивается в изображение, выводимое на экран или принтер, с использованием методов стеганографии. Стеганография реализована путём небольших сдвигов отдельных слов или других блоков текста документа. StarForce Leak Investigator сравнивает скомпрометированную копию с защищённым оригиналом документа и позволяет определить закодированный идентификатор записи в журнале доступа, тем самым обнаруживая источник утечки.

 

Рисунок 4. Интерфейс StarForce Leak Investigator при проведении расследования с применением технологии стеганографии

 

Номер записи в журнале доступа присутствует в документе в двух видах:

  1. Водяной знак. Вид водяного знака можно менять, настраивая его размер и расположение: от явно видимого артефакта до практически незаметного человеческому глазу.
  2. Закодированный номер, реализованный с помощью метода стеганографии, описанного выше (микросдвиги различных участков документа).

При открытии или печати документа новый номер операции фиксируется в журнале, который доступен только администратору. Если на копии скомпрометированного документа виден номер операции доступа к нему, вы можете найти запись об активации в этом журнале. Если номер операции доступа к документу не виден (например, он замазан на фотографии экрана или документ присутствует только частично), для поиска источника утечки используется технология стеганографии. Путём наложения, реализованного в программе, можно установить закодированные сдвиги, получить номер операции, зашифрованный в двоичном виде, восстановить его и найти соответствие ему в журнале доступа к документам. После сравнения скомпрометированного документа и его оригинала администратор получает уникальный код, по которому определяет канал утечки.

Сценарии использования StarForce Content Enterprise

Первый и основной сценарий использования системы — защита информации и предотвращение утечек. Большинство организаций крупного и среднего бизнеса имеют распределённую сеть филиалов, подрядчиков, поставщиков и контрагентов. Даже при внедрении DLP-решений, контролирующих документооборот и сотрудников внутри организации, вы теряете контроль над документом, если отправляете его за пределы своего ИТ-контура. StarForce Content Enterprise позволяет контролировать даже те документы, которые не находятся внутри периметра.

Второй сценарий — организация внутреннего ДСП-документооборота. Из-за важности информации, содержащейся в документах для служебного пользования, порядок работы с ними сложен и бюрократизирован, а для пересылки таких документов в другие подразделения организации часто используют фельдъегерскую службу. Это влияет на скорость принятия решений, а также на стоимость документооборота. При внедрении StarForce Content Enterprise документы с грифом «ДСП» могут быть доставлены адресату по электронной почте.

Третий сценарий использования — это контроль соблюдения условий NDA. Подписывая соглашение о неразглашении (Non-Disclosure Agreement), вы доверяете второй стороне свои конфиденциальные данные. Однако без специальных инструментов невозможно узнать, как именно партнёры будут обращаться с вашей информацией. StarForce Content Enterprise обеспечивает контроль над документами: вы можете предоставлять и ограничивать доступ к файлам и таким образом контролировать их использование сотрудниками сторонней организации.

Приведём пример процедуры установки основных компонентов продукта StarForce Content Enterprise, создадим папку с правами доступа для пользователей, сгенерируем ключ доступа, откроем документ на рабочем месте, сфотографируем его и в завершение проведём расследование «утечки».

Для установки Document Protector в ОС Windows требуется NET 5.0 Desktop Runtime или выше.

 

Рисунок 5. Способ защиты через контекстное меню

 

После установки системы в контекстном меню появится значок для защиты документа.

 

Рисунок 6. Способ защиты через меню самой программы

 

Также имеется возможность защиты через командную строку. Формат команды — следующий: ProtectorConsole.exe <действие> [<параметры>]. Все параметры возможно найти в инструкциях к системе.

 

Рисунок 7. После запуска процесса защиты

 

Программа выполняет процесс защиты и загрузки документа и передаёт последний на сервер управления.

 

Рисунок 8. Меню входа на сервер управления

 

Рисунок 9. Создание новой группы документов: основные параметры

 

Включим «Стеганографию» для возможности добавления сдвигов в документ и последующего расследования утечки. Группы документов организованы по принципу вложенной иерархии с одной группой верхнего уровня — «root» (в интерфейсе сайта она не отображается, редактировать и удалять её нельзя). Остальные группы документов находятся в подчинённом положении. Во вложенных группах наследуются права пользователей и серийные номера.

 

Рисунок 10. Создание новой группы документов: пользователи

 

Рисунок 11. Создание новой группы документов: водяные метки

 

Рисунок 12. Создание новой группы документов: дисклеймер при открытии документа

 

Рисунок 13. Готовая группа документов создана и выбрана

 

Рисунок 14. Меню генерации серийных номеров

 

В разделе «Генерация серийных номеров» вы можете задать параметры для защищённого документа, а затем сгенерировать партию номеров с заданными параметрами: количество, сроки действия, даты начала и окончания работы, пользовательские права на документ (к примеру, возможность печати) и пр. Для проведения дальнейшего расследования на основе данного документа выберем опцию «Права администратора». После заполнения требуемых параметров будет создан список сгенерированных серийных номеров. В дальнейшем параметры возможно изменять, в том числе для отдельного серийного номера или целой партии.

 

Рисунок 15. Чёрный список серийных номеров

 

StarForce Content Enterprise позволяет предотвращать нелегальный просмотр документов, занося отдельные скомпрометированные серийные номера или целую партию в чёрный список. Внесём туда первый номер из ранее сгенерированного списка.

 

Рисунок 16. Открытие защищённого документа: номер из чёрного списка

 

Попробуем открыть документ, введя номер из чёрного списка.

 

Рисунок 17. Открытие запрещено сервером управления

 

Нас постигла неудача. Этот кейс показывает возможность отзывать серийные номера доступа к документам, в том числе у удалённых пользователей, путём внесения серийного номера в чёрный список.

 

Рисунок 18. Открытие документа с работающим номером

 

Мы ввели серийный номер и получили доступ к защищённому документу. Не имея серийного номера, пользователь (удалённый или в пределах компании) не сможет открыть защищённый документ.

 

Рисунок 19. Фотография открытого документа

 

Как возможно заметить, на документе есть водяной знак, содержащий номер операции доступа. При попытке снять копию инструментом «Ножницы» или клавишей Print Screen выводится чёрный экран в пределах окна StarForce Reader. 

Итак, мы «скомпрометировали» документ, сняв с него фотокопию. Посмотрим на журнал доступа.

 

Рисунок 20. Журнал доступа к документам

 

Красной рамкой на иллюстрации выделено открытие документа, который мы сфотографировали — № 2560.

 

Рисунок 21. Настройка выгрузки опорных данных документа

 

В панели меню выберем пункт «Инструменты» (этот пункт доступен только при активации документа при помощи серийного номера с проставленной опцией «Права администратора»). Нажмём «Инструменты» → «Сохранить опорные данные для расследования». Задаём интервал страниц и разрешение изображения, выбираем те страницы, скомпрометированные копии которых есть у нас на руках. В нашем случае это страница № 4 (на фото).

 

Рисунок 22. Интерфейс программы StarForce Leak Investigator

 

Переходим в программу для расследования утечек — StarForce Leak Investigator.

 

Рисунок 23. Загрузка данных для расследования

 

Выберем и откроем файл с расширением SFRD, который мы получили на шаге генерации опорных данных.

 

Рисунок 24. Совмещение данных с примером скомпрометированного документа

 

В области «Скомпрометированные изображения» с помощью кнопки «Выбрать» откроем интересующие нас фотографии. При загрузке изображений рекомендуется оставлять флажок «Выполнять предварительное совмещение». Эта процедура занимает, в зависимости от производительности компьютера и особенностей изображения, от нескольких секунд до нескольких минут и позволяет тратить меньше времени на выравнивание вручную. 

Загруженные скомпрометированные изображения показываются поверх опорных данных. Как мы видим, изображение идеально легло на подготовленные данные, нет никаких лишних сдвигов. Нам помогло то, что изображение сфотографировано прямо, без искажений, текст чёткий и крупный. В ином случае проводящему расследование сотруднику будет необходимо вручную с помощью сетки выровнять изображение под подготовленные данные. Этот процесс подробно описан в документации к продукту.

 

Рисунок 25. Декодирование данных

 

Путём наложения, реализованного в программе, устанавливаем закодированные сдвиги и восстанавливаем номер операции. В нижней строке указаны сведения о десятичном номере, который можно будет найти в журнале доступа к документам. По номеру система, в частности, определяет, проходила ли активация онлайн или офлайн. 

Выводы

По итогам обзора системы StarForce Content Enterprise отметим, что она позволяет компаниям управлять правами пользователей и ограничивать доступ к своим конфиденциальным документам, организовывать защищённый электронный документооборот, а также помогает в поиске утечек постфактум, когда те уже произошли — к примеру, когда была произведена неконтролируемая фото- или видеосъёмка документа. StarForce Content Enterprise дополнит своими возможностями уже имеющиеся в организациях DLP-системы, расширив направления защиты; в том числе StarForce Content Enterprise позволяет проводить внутренние расследования утечек информации даже в тех ситуациях, когда источник утечки неизвестен.

Достоинства:

  • Защита вложений в электронные письма одной кнопкой, совместимость со всеми популярными корпоративными почтовыми программами.
  • Возможность доработки системы под требования заказчика.
  • Статистика и отчётность по использованию документов.
  • Продукт включён в реестр отечественного ПО (запись в реестре № 5146 от 26.02.2019), сертифицирован ФСТЭК России по 4-му уровню доверия. Параметры системы соответствуют требованиям ФСТЭК России к автоматизированным системам и защите от несанкционированного доступа к информации.

Недостатки:

  • Единственный защищаемый формат работы с файлами: все документы приводятся к нередактируемому формату защиты SFPDF. Поддерживается защита только документов в формате PDF, а также в других форматах, которые можно преобразовать в PDF.
  • Фактически невозможно найти источник компрометации документа, если работа с ним производилась в офлайн-режиме и далее рабочая станция никогда больше не подключалась к серверу управления, чтобы оставить запись в логе открытия документов.
  • Пока не истечёт срок жизни ключа или пока ключ не получит информацию о том, что он внесён в чёрный список, документ возможно открыть в офлайн-режиме.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.