Обзор DLP-системы Falcongaze SecureTower 6.0


Обзор DLP-системы Falcongaze SecureTower 6.0

В статье представлена обновленная DLP-система Falcongaze SecureTower 6.0 с новой архитектурой и расширенными возможностями масштабирования. Также в SecureTower 6.0 пополнился список перехватываемых каналов, появилась функция распознавания печатей, поддержка перехвата файлов CAD-программ и ряд других возможностей и улучшений. Рассмотрим подробно, чем же так кардинально отличается новая версия Falcongaze SecureTower 6.0 от предыдущих.

Сертификат AM Test Lab

Номер сертификата: 207

Дата выдачи: 21.11.2017

Срок действия: 21.11.2022

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Новые возможности и улучшения в Falcongaze SecureTower 6.0
  3. Функциональные возможности Falcongaze SecureTower 6.0
  4. Архитектурные решения, применяемые в Falcongaze SecureTower 6.0
  5. Системные требования Falcongaze SecureTower 6.0
  6. Работа с DLP-системой Falcongaze SecureTower 6.0
    1. 6.1. Аудио- и видеомониторинг
    2. 6.2. Возможность распознавания печатей на изображениях
    3. 6.3. Контроль облачных хранилищ
    4. 6.4. Контроль мессенджеров
  7. Выводы

 

Введение

Применение DLP-систем является наиболее актуальным для тех организаций, где количество конфиденциальной информации велико, а возможные финансовые и репутационные потери вследствие утечки могут привести к полному разорению организации или нанести вред ее заказчикам, партнерам или клиентам.

Область применения DLP-систем давно вышла за границы только лишь предотвращения утечки данных. Современные системы позволяют блокировать передачу информации по различным каналам связи, копирование на периферийные устройства, осуществлять сбор информации о работе сотрудников и т. д.

Современные DLP-системы используются в банковской сфере, энергетике, государственном секторе, промышленных компаниях, научно-исследовательских центрах и др. Также они решают задачи не только контроля конфиденциальной информации, но и задачи экономической безопасности, способствуют расследованию инцидентов, используются в том числе для оценки эффективности работы персонала.

Помимо уже привычных каналов (электронная почта, USB, принтеры) DLP-системами контролируются облачные хранилища (Google Drive, Apple iCloud, Облако Mail.Ru, Яндекс.Диск), популярные мессенджеры Skype, Telegram, Viber, WhatsApp, а также некоторые системы позволяют контролировать мобильные компьютеры, смартфоны и планшеты сотрудников.

В условиях импортозамещения отечественные разработчики DLP-систем существенно активизировались. Мы уже делали обзор про импортозамещение DLP-систем в России.

А анализ рынка DLP-систем показывает, что российские системы вырвались на лидирующие позиции отечественного рынка и вытеснили с него импортные аналоги. Российские системы уже ничем не уступают зарубежным функционально, а в некоторых случаях даже превосходят. В России все чаще стали использовать средства обеспечения информационной безопасности отечественных производителей.

Одной из российских DLP-систем является SecureTower 6.0 компании Falcongaze. SecureTower позволяет осуществлять мониторинг множества каналов передачи данных (электронная почта, мессенджеры, социальные сети, облачные хранилища), перехватывать или блокировать передачу информации на периферийные устройства (USB, принтеры и другие). SecureTower помогает не только оперативно расследовать инциденты по горячим следам, но и своевременно предотвращать их. А также дает возможность контролировать действия персонала.

 

Новые возможности и улучшения в Falcongaze SecureTower 6.0

В 2014 году мы уже проводили обзор Falcongaze SecureTower 5.5, за три года Falcongaze выпустила целых пять обновлений. А последнюю версию SecureTower 6.0 мы ждали целый год. Причем, по заявлениям компании Falcongaze, версия SecureTower 6.0 — это не просто обновление, а совершенно новый продукт. Система получила переработанную архитектуру, в результате чего расширились возможности масштабирования системы.

Были проведены работы по оптимизации быстродействия системы, и в версии SecureTower 6.0 значительно увеличилась скорость обработки данных. Изменения в первую очередь направлены на организации, в сети которых перехватываются и анализируются огромные массивы информации, а также для организаций со сложными структурными особенностями сетевой инфраструктуры. По заявлениям разработчиков, система SecureTower 6.0 готова работать из коробки в сети практически любых размеров и сложности.

Список новых возможностей и изменений, которые получила новая версия DLP-система Falcongaze SecureTower 6.0, весьма велик, поэтому приведем наиболее актуальные и значимые из них:

  • Изменена архитектура продукта.
  • Добавлен серверный модуль Центральный сервер, отвечающий за работу системы с базами данных. Больше нет необходимости настраивать подключение к базе данных в каждой отдельной копии рабочего сервера, базы данных настраиваются только для Центрального сервера.
  • Добавлена возможность организации кластера для горизонтального масштабирования больших нагрузок по множеству серверов в крупных компаниях.
  • Добавлена поддержка баз данных, расположенных на разных серверах.
  • Добавлена возможность репликации поступающих данных на другие Центральные серверы для компаний с разветвленной структурой офисов: данные из дочерних контролируемых сетей или офисов могут отправляться на вышестоящие серверы. Также эта опция полезна для создания резервной копии сервера и данных.
  • Добавлена возможность распознавания печатей на изображениях.
  • Добавлена возможность контроля облачного хранилища файлов Google Drive, Apple iCloud, Облако Mail.Ru.
  • Добавлена возможность контроля мессенджеров WhatsApp, Google Hangouts, ICQ с включенным шифрованием протокола.
  • Добавлена поддержка файлов проектных данных САПР-программ (DWG и DXF).
  • Добавлена поддержка файлов формата OST, в которых программа Microsoft Outlook хранит электронные письма.
  • Добавлена возможность шифрования трафика между консолями и сервером.
  • Обновлен дизайн консоли администратора.

 

Функциональные возможности Falcongaze SecureTower 6.0

DLP-система SecureTower 6.0 компании Falcongaze перехватывает и анализирует сетевой трафик, данные, переданные на внешние устройства, общие сетевые ресурсы, локальные и сетевые принтеры, а также контролирует содержимое буфера обмена, историю нажатия клавиш на клавиатуре, входящие и исходящие сообщения электронной почты, переписки и голосовые звонки в самых популярных мессенджерах, переданные документы, файлы, веб-страницы и многое другое.

Одной из главных функций DLP-системы является противодействие внутренним угрозам. Инсайдерскую активность часто недооценивают, однако именно на нее приходится львиная доля утечек.

Основные функции:

SecureTower 6.0 обеспечивает:

  • полный контроль документооборота и перехват данных в информационных каналах. Система осуществляет перехват всех отправляемых и получаемых сообщений, выявление отправки конфиденциальных документов, контроль принтеров и подключаемых устройств (например, USB-устройств), контроль почтовых серверов, контроль мессенджеров, контроль использования облачных хранилищ. Гибкая система создания правил безопасности и многое другое;
  • контроль действий персонала. В системе предусмотрен граф-анализатор, в котором для каждого сотрудника система создает профайл, который умеет импортировать данные как из ActiveDirectory, так и формировать автоматически из перехваченной информации. В этом профайле отображаются коммуникации сотрудника с другими людьми, адреса электронной почты работника, имена в мессенджерах, аккаунты в социальных сетях и на других сайтах. Кроме того, ведется постоянный веб-контроль за посещенными сайтами и за активностью в социальных сетях. Есть возможность получать профайлы и полную историю коммуникации работников;
  • выявление передачи конфиденциальной информации с помощью различных методов анализа. Метод контроля по цифровым отпечаткам позволяет выявлять в информационном потоке совпадения (даже фрагментарные) с конфиденциальными документами. Также SecureTower позволяет выявлять в документах и переписке регулярные выражения (такие как номера кредитных карт, ИНН, паспортные данные и др.) и осуществлять анализ по тематическим словарям. Во время анализа система учитывает морфологические особенности русского языка, распознает транслитерацию, определяет «замаскированный» формат файлов, а также анализирует текст, распознанный на изображениях.
  • сбор данных для расследования инцидентов. Помимо предотвращения инцидентов безопасности, система используется и как средство для расследования причин и обстоятельств утечки данных. В SecureTower 6.0 предусмотрены все необходимые инструменты для расследования инцидентов по горячим следам. За счет того, что система хранит в архиве все коммуникации и действия сотрудников, это позволяет в кратчайшие сроки выявить виновного в утечке, определить наличие умысла, а также определить дальнейшие действия руководства. Собранные системой данные могут приниматься судами в качестве доказательной базы;
  • контроль мобильных рабочих станций. В SecureTower 6.0, как и в предыдущих версиях системы, реализован метод удаленного контроля рабочих станций. Агент в автономном режиме снимает те же данные, что и в стационарных компьютерах, а после подключения устройства к корпоративной сети отправляет собранный архив на сервер;
  • гибкую систему формирования отчетности. Для сотрудников службы безопасности и руководителей структурных подразделений доступны полностью настраиваемые отчеты по инцидентам безопасности и ежедневной работе сотрудников. Можно настроить автоматическое создание отчетов по расписанию и отправку их на электронную почту.

SecureTower 6.0 позволяет осуществлять автоматическую репликацию данных из филиалов на центральный сервер в головном офисе, что упрощает большим организациям с распределенной структурой обработку и хранение перехватываемой информации.

Для организаций, занимающихся проектной и производственной деятельностью (например, научно-исследовательские центры), критичным требованием к DLP-системам является поддержка анализа чертежной документации. SecureTower 6.0 умеет перехватывать и анализировать на предмет передачи конфиденциальных данных файлы САПР-программ в формате DWG и DXF, с которыми работают инженеры и проектировщики.

Способы перехвата информации

Система SecureTower 6.0 поддерживает несколько способов организации перехвата трафика в сети организации. Перехват на базе системы SecureTower может быть реализован как одним из приведенных ниже способов в отдельности, так и их комбинацией:

  • централизованный перехват сетевого трафика путем зеркалирования трафика на SPAN-порт сетевого коммутатора;
  • перехват агентами, установленными на рабочие станции пользователей;
  • перехват электронной почты, переданной через почтовые серверы;
  • перехват HTTP(S)-трафика, переданного через прокси-серверы.

При выборе способа перехвата необходимо учитывать, что централизованно может перехватываться только трафик, передаваемый по нешифрованным протоколам.

Агенты, установленные на рабочих станциях, могут перехватывать весь трафик — как нешифрованный, так и шифрованный (по протоколам, использующим SSL-шифрование: HTTPS, FTPS, SMTPS, POP3S, IMAP4S, протоколы мессенджеров Skype, Telegram, Microsoft Lync, Viber, Google Hangouts, WhatsApp, а также SIP). Также агенты перехватывают данные, передаваемые на внешние устройства (USB-накопители, съемные жесткие диски, карты памяти и т. д.), локальные и сетевые принтеры, содержимое буфера обмена, кейлоггер.

Также с помощью агентов осуществляется перехват данных, отправляемых во все браузерные версии облачных хранилищ. А также перехват данных, передаваемых с помощью приложений в облачные хранилища Dropbox, OneDrive и Яндекс.Диск, iCloud, Google Drive и Облако Mail.ru.

В SecureTower 6.0 к уже имеющимся методам выявления передачи конфиденциальных документов (лингвистический анализ документов, атрибутивный анализ, контроль по цифровым отпечаткам и другие) добавилась возможность распознавать печати на изображениях. Это обеспечивает более всестороннюю защиту от утечки таких данных как договоры, соглашения, проектная документация и т. д.

SecureTower 6.0 обладает большим набором функций контроля работников организации. Помимо функций, позволяющих контролировать и перехватывать передачу конфиденциальной информации, система позволяет осуществлять контроль активности сотрудников:

  • мониторинг активности пользователя (во сколько была включена/выключена рабочая станция пользователя, время активности и время простоя рабочей станции);
  • мониторинг аудио- и видеопотоков с рабочих станций;
  • мониторинг файловых систем;
  • мониторинг посещения веб-ресурсов;
  • съемка скриншотов с заданной периодичностью;
  • сбор статистики по используемым приложениям;
  • сбор данных кейлоггера.

Таким образом, в условиях оптимизации кадровых ресурсов руководству организации намного проще будет вычислить слабое звено — человека, который бездельничает на работе.

 

Архитектурные решения, применяемые в Falcongaze SecureTower 6.0

Как и предыдущие версии, DLP-система Falcongaze SecureTower 6.0 имеет серверную и клиентскую части. Серверные компоненты могут устанавливаться на один сервер или разноситься по разным, чтобы обеспечить требуемую масштабируемость, например, при одновременном контроле большого количества сотрудников (нескольких тысяч и более). Также не обязательно устанавливать все компоненты, можно установить лишь те, которые требуются для выполнения поставленных задач.

Серверная часть SecureTower 6.0 включает следующие компоненты (сервисы/модули):

  • Центральный сервер
  • Сервер индексирования
  • Сервер пользователей
  • Сервер контроля агентов
  • Сервер обработки почты
  • Сервер сетевого трафика
  • Сервер ICAP
  • Сервер распознавания
  • Сервер безопасности и отчетности
  • Сервер журналирования событий

Клиентская часть SecureTower 6.0 содержит Консоль администратора и Консоль пользователя (офицера службы безопасности) и служит в качестве графического интерфейса пользователя.

На рисунке 1 представлена схема взаимодействия компонентов SecureTower 6.0, при условии их полной установки.

 

Рисунок 1. Схема взаимодействия компонентов DLP-системы Falcongaze SecureTower 6.0

 Схема взаимодействия компонентов DLP-системы FalcongazeSecureTower 6.0

 

Центральный сервер отвечает за решение целого ряда задач: авторизацию и выделение лицензий компонентам программы, обработку и сохранение перехваченных данных, работу с цифровыми отпечатками документов, словарями и хэшами файлов, обработку поисковых запросов и результатов поиска и многое другое. На нем происходит сбор и сохранение всех перехваченных данных, поступивших от других серверов системы, в настроенные базы данных.

Сервер индексирования отвечает за извлечение информации из сложных форматов данных и обработку документов с целью преобразовать их в формат, удобный для дальнейшего поиска. Сервер индексирования также выполняет функции поиска по перехваченным данным, поиск по банкам цифровых отпечатков и словарям. Поисковые запросы, обработанные Центральным сервером, поступают Серверу индексирования, который осуществляет поисковые операции по файлам поискового индекса и возвращает результаты поиска Центральному серверу.

Сервер пользователей позволяет управлять данными о пользователях локальной сети, создавать карточки пользователей (имя и фамилия, должность, адреса электронной почты, UIN для ICQ, учетные записи в коммуникационных программах, IP-адреса и т. д.), объединять пользователей по определенным группам, а также отвечает за аутентификацию пользователей при доступе в систему.

Сервер контроля агентов позволяет централизовано осуществлять установку и управлять агентами. Сервер проверяет наличие рабочих станций в сети и, в зависимости от выбранной стратегии установки, производит удаленную установку агентов на компьютеры локальной сети незаметно для их пользователей. Информация, перехваченная агентами, перенаправляется на Центральный сервер для сохранения в базу данных.

Сами Агенты контроля рабочих станций — независимые программные модули. Они предназначены для перехвата данных, передаваемых через Skype, Viber, Microsoft Lync, SIP или отправляемых по SSL-протоколу, и дальнейшей их передачи серверу для обработки.

Одной из интересных функций агентов является контроль активности пользователей, с ним можно осуществлять периодическое снятие скриншотов, сбор статистики по активности приложений, мониторинг файловых систем и аудио- и видеопотоков и т. д. Говоря простыми словами, агенты позволяют следить, чем занимается пользователь на своем рабочем месте.

Сервер обработки почты обеспечивает перехват почты, отправляемой через почтовые серверы, развернутые на базе MS Exchange Server, Postfix, Lotus и другого программного обеспечения. Интеграция с почтовыми серверами может осуществляться по протоколам POP3 или SMTP.

Сервер сетевого трафика обеспечивает перехват и анализ трафика сетевых портов, специально выделенных для этой цели (так называемых SPAN-портов, или портов зеркалирования). Все перехваченные данные (электронные письма, файлы, сообщения и т. д.) передаются Центральному серверу для сохранения.

Сервер ICAP позволяет настроить параметры интеграции SecureTower с прокси-сервером для перехвата и блокирования данных, переданных по протоколам HTTP и HTTPs.

Сервер распознавания выполняет распознавание и анализ текстовой составляющей на изображении (сканированные копии документов в любом из графических форматов, DjVu и PDF-документы, изображения с текстовыми полями) и применяет к перехваченным данным настроенные политики безопасности. При обнаружении файлов сканированных копий документов, которые содержат изображения печатей, внесенных в банк эталонов Центрального сервера, также будут применены соответствующие политики безопасности.

Сервер безопасности и отчетности состоит из двух компонентов — Центр безопасности и Центр отчетности.

Центр безопасности отвечает за обработку правил безопасности. При обнаружении каких-либо данных, отвечающих требованиям правил безопасности, Центр безопасности автоматически отправляет уведомления на указанный адрес электронной почты и отображает информацию об обнаружении в Консоли пользователя.

Центр отчетности отвечает за создание статистических отчетов по широкому спектру параметров перехваченных данных. Все отчеты доступны для настройки и просмотра в Консоли пользователя. Отчеты представляются в графическом виде и обладают высокой степенью интерактивности.

Сервер журналирования событий позволяет контролировать состояние системы в режиме реального времени. При этом все события серверных компонентов фиксируются в журнале серверных событий SecureTower. Также обеспечивается запись сведений обо всех наиболее существенных событиях в работе серверных компонентов SecureTower в журнал операционной системы рабочей станции, на которой они установлены.

Консоль администратора предназначена для настройки работы всех подсистем SecureTower 6.0. С помощью нее настраиваются все компоненты, устанавливаются агенты системы, настраивается фильтрация данных при перехвате, устанавливается периодичность индексирования данных, просматривается статистика перехвата трафика в режиме реального времени, а также решаются задачи, которые необходимо выполнять администратору DLP-системы.

Консоль пользователя — основное графическое приложение, предназначенное для работы офицера службы безопасности. Здесь осуществляется непосредственно работа с перехваченной информацией. Консоль позволяет анализировать трафик конкретных пользователей, осуществлять полнотекстовый поиск по ключевым словам и просматривать перехваченные данные в удобном виде. В консоли производится настройка работы Центра безопасности и просмотра результатов его работы, а также настройка отправки уведомлений о нарушении политики информационной безопасности. Кроме того, с помощью консоли обеспечивается доступ к Центру отчетности для автоматического построения отчетов по различным критериям, доступ к прослушиванию аудио- и видеопотока, и видеоизображения рабочего стола в режиме реального времени.

Особенность организации перехвата сетевого трафика в SecureTower 6.0.

Схемы внедрения системы перехвата на базе «Сервера сетевого трафика» в SecureTower 6.0 могут быть различными и все зависит от топологии сети организации. Рекомендуемая схема внедрения системы перехвата на базе «Сервера сетевого трафика» в существующую сеть приведена на рисунке 2. При использовании такой схемы перехватываться будет весь внешний сетевой трафик. Данная схема обеспечивает оптимальное распределение функций всех подсистем SecureTower 6.0 по сети, а также позволяет избежать дополнительной нагрузки на Сервер сетевого трафика.

 

Рисунок 2. Рекомендуемая схема внедрения системы перехвата на базе Сервера сетевого трафика SecureTower 6.0

 Рекомендуемая схема внедрения системы перехвата на базе Сервера сетевого трафика SecureTower 6.0

 

Перехват между сегментами сети. Масштабирование системы

Мы уже говорили, что одной из новых особенностей SecureTower 6.0 является масштабирование. Возможность масштабирования системы перехвата позволяет избежать перегрузки системы при мониторинге сетей со сложной топологией и большим числом рабочих станций. Нагрузка по перехвату и обработке трафика распределяется по нескольким Серверам сетевого трафика, что позволит контролировать трафик, передаваемый между локальными рабочими станциями большой сети, и в целом повышать надежность и производительность системы перехвата.

 

Рисунок 3. Перехват между сегментами сети. Масштабирование в SecureTower 6.0

 Перехват между сегментами сети. Масштабирование в SecureTower 6.0

 

Системные требования Falcongaze SecureTower 6.0

DLP-система может быть развернута как в крупных организациях с территориально распределенной структурой, так и в небольших организациях.

Все компоненты SecureTower 6.0 могут быть установлены на один сервер или разнесены по разным, чтобы обеспечить нужную масштабируемость при одновременном контроле большого количества сотрудников (нескольких тысяч и более).

Системные требования для серверных компонентов Falcongaze SecureTower 6.0

Общим требованием для установки всех серверных компонентов является поддержка ОС Microsoft Windows Server 2008/2012/2016 (x64).

Следует обратить внимание, что серверные компоненты Falcongaze SecureTower начиная с версии 6.0 не могут быть установлены на рабочие станции под управлением 32-разрядных операционных систем.

SecureTower 6.0 поддерживает работу с наиболее популярными СУБД. Среди поддерживаемых систем как платные продукты Microsoft SQL и Oracle SQL, так и open-source: PostgreSQL (9.3 и выше), MySQL, SQLite.

В комплект поставки включена СУБД SQLite. А рекомендуемой СУБД является PostgreSQL, которую следует размещать на том же физическом сервере, где расположен Сервер индексирования. Однако при использовании других СУБД или контроле более чем 1,5 тысяч пользователей и сроках хранения информации более полугода необходимо использовать высокопроизводительные системы хранения данных (СХД, отдельный сервер СУБД).

Системные требования для серверных компонентов Falcongaze SecureTower 6.0 приведены в таблице 1. При этом стоит отметить, что это минимальные системные требования для контроля 25 пользователей.

 

Таблица 1. Системные требования для серверных компонентов Falcongaze SecureTower 6.0

Компонент

Минимальные системные требования

Рекомендации по установке

Серверное оборудование

CPU: 2,2 ГГц и выше (4 ядра и более);

Сетевой адаптер: 1 Гбит (2 адаптера при централизованном перехвате);

RAM: 6 ГБ и более;

HDD: 100 ГБ раздел для операционной системы и файлов SecureTower (RAID1/RAID10); раздел для хранения перехваченных данных (на RAID1/RAID10) из расчета: 1,5 ГБ данных от каждого контролируемого пользователя за месяц, плюс 3% от объема перехваченных данных для файлов поисковых индексов;

Предустановленные компоненты: Windows.Net Framework 4.6 и выше, Microsoft Visual C++ Redistributable 2008/2010/2013 и 2015 (x86/x64);

ОС: Microsoft Windows Server 2008/2012/2016 (x64)

Центральный сервер и Сервер индексирования рекомендуется установить на отдельные серверы.

Сервер контроля агентов может работать вне зависимости от наличия остальных компонентов системы. Для его работы достаточно настроить подключение к базе данных.

Сервер сетевого трафика устанавливается с помощью отдельного мастера установки. Основной рекомендацией является выделение отдельного сервера (или нескольких серверов) для его установки

Агент контроля рабочих станций

ОС: Microsoft Windows XP SP3/Vista/7/8/10/Server 2003/2008/2012/2016 (x86/x64)

 

Системные требования для клиентских компонентов Falcongaze SecureTower 6.0

Клиентские компоненты SecureTower 6.0 (Консоль администратора и Консоль пользователя) могут быть установлены на любых рабочих станциях сети, которые удовлетворяют системным требованиям, приведенным в таблице 2.

 

Таблица 2. Системные требования для клиентских компонентов Falcongaze SecureTower 6.0

Компонент

Минимальные системные требования

Рекомендации по установке

Консоль администратора и Консоль пользователя

CPU: 2 ГГц и выше;

Сетевой адаптер: 100 Мбит/1 Гбит;

RAM: не менее 4 ГБ;

HDD: не менее 300 МБ;

Windows .Net Framework: 4.6 и выше;

Microsoft Visual C++ Redistributable 2008/2010/2013/ 2015 (x86/x64);

Видеокарта: поддержка DirectX 7.0 и выше (разрешение экрана: 1024 x 768);

ОС: Microsoft Windows Vista/7/8/10/2008/2012/2016 (x86/x64)

Клиентские компоненты SecureTower 6.0 могут быть установлены на любых рабочих станциях сети (стационарные или мобильные рабочие станции)

 

Сертификация SecureTower

Стоит отметить тот факт, что DLP-система SecureTower сертифицирована ФСТЭК России (Сертификат ФСТЭК № 3421 от 25.06.2015). DLP-система SecureTower является программным средством защиты от неправомерной передачи информации из информационной системы и соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню. Наличие такого сертификата делает использование SecureTower не только актуальным для защиты от внутренних угроз, но и обеспечивает соответствие этой защиты требованиям регуляторов.

Соответствие требованиям регуляторов

Применение DLP-системы SecureTower 6.0 позволяет компаниям соответствовать требованиям нормативно-правовых актов РФ и отраслевых стандартов в области обеспечения информационной безопасности, таких как:

  • Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Федеральный закон от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»;
  • Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2010 №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
  • Федеральный закон от 27 июня 2011 г. №161-ФЗ «О национальной платежной системе»;
  • Положение Банка России от 09.06.2012 №382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  • Стандарт Банка России СТО БР ИББС–1.0–2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
  • ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

 

Работа с DLP-системой Falcongaze SecureTower 6.0

Изначально хотелось бы отметить, что работа с DLP-системой SecureTower 6.0 интуитивно понятна и не требует специальных дополнительных знаний. Системному администратору и администратору информационной безопасности организации не составит труда установить и настроить систему, как им необходимо.

В части работы с DLP-системой SecureTower 6.0 рассмотрим ряд наиболее востребованных функций, которые являются новыми относительно рассмотренных в предыдущем обзоре.

Аудио- и видеомониторинг

Одним из нововведений является осуществление не только аудио-, но и видеомониторинга. Теперь можно не только мониторить аудиосигнал с рабочей станции, но и удаленно просматривать видеоизображение происходящего на экране монитора пользователя или видеоизображение, поступающее с подключенной к компьютеру веб-камеры. При этом перехватывается видеопоток с экранов всех мониторов, подключенных к контролируемой рабочей станции.

Воспроизведение результатов записи доступно напрямую из Консоли пользователя SecureTower 6.0 в окне модуля «Аудио- и видеомониторинг» (см. рисунок 4).

 

Рисунок 4. Просмотр результатов аудио- и видеомониторинга вSecureTower 6.0

 Просмотр результатов аудио- и видеомониторинга вSecureTower 6.0

 

При этом можно настраивать автоматическую запись по расписанию (см. рисунок 5).

 

Рисунок 5. Настройка автоматической записи результатов мониторинга аудио и видео в SecureTower 6.0

 Настройка автоматической записи результатов мониторинга аудио и видео в SecureTower 6.0

 

Функция аудио- и видеомониторинга позволяет просматривать, чем сотрудник занимается на своем рабочем месте, о чем и с кем ведет переговоры. В современных условиях перехват данных через такой канал связи широко используется в большинстве организаций (например, через такие приложения, как Skype, Viber, WhatsApp и др.) при общении с клиентами и заказчиками, т. к. позволяет в кратчайшие сроки уточнить информацию, сформировать заказ и т. д.

Например, сотрудник организации в разговоре с клиентом может договориться об откате. Рассмотрим еще такую ситуацию: сотрудник знает о том, что он не может скопировать и переслать конфиденциальный документ, при этом он осуществляет видеозвонок заинтересованным лицам и показывает в видеотрансляции снимок экрана своего монитора, на котором открыт такой документ. Теперь система SecureTower 6.0 позволяет отслеживать и такую возможность утечки конфиденциальной информации.

Возможность распознавания печатей на изображениях

Новая версия системы SecureTower 6.0 помимо распознавания текста на изображениях позволяет отслеживать передачу файлов, содержащих отсканированные копии документов с печатями установленного образца, и отправлять уведомление уполномоченному лицу о факте перехвата такого документа. Такая функция помогает отследить и перехватить неправомерную передачу, например, договоров, конструкторской документации, документов с пометкой «Для служебного пользования» и других завизированных печатью документов.

Настройка распознавания печатей на изображениях и добавление эталонных образцов печатей выполняется в Консоли администратора на вкладке Распознавание (см. рисунок 6). Для работы данной функции необходимо добавить образцы печатей, которые недопустимы для передачи. Система поддерживает перехват печатей в том числе в документах XPS-формата.

 

Рисунок 6. Настройка функции Распознавание печатей в SecureTower 6.0

 Настройка функции Распознавание печатей в SecureTower 6.0

 

Можно также настроить правило безопасности, в рамках которого осуществлялись бы автоматические уведомления уполномоченных лиц о случаях обнаружения документов с печатями в Центре обеспечения безопасности Консоли пользователя. Настройка уведомления приведена на рисунке 7.

 

Рисунок 7. Настройка автоматического уведомления о случаях обнаружения документов с печатями в SecureTower 6.0

 Настройка автоматического уведомления о случаях обнаружения документов с печатями в SecureTower 6.0

 

Может потребоваться отследить, кому передаются те или иные документы. В этом случае мы настраиваем правило отслеживать документы с теми или иными печатями, но не запрещаем их передачу. Для отслеживания, кому и кто передавал такие документы, поиск документов с распознанными печатями осуществляется в Консоли пользователя с помощью модуля Комбинированного поиска (настройки поиска см. рисунок 8).

 

Рисунок 8. Настройка поиска документов с распознанными печатями в SecureTower 6.0

 Настройка поиска документов с распознанными печатями в SecureTower 6.0

Контроль облачных хранилищ

В настоящее время широко распространена возможность использования облачных хранилищ. Раньше, чтобы скопировать документ (по сути, украсть), необходимо было записать его на оптический диск или USB-носитель. Такая возможность в большинстве организаций была запрещена с помощью систем предотвращения утечки информации через периферийные устройства или системы защиты от несанкционированного доступа, имеющих функцию запрета использования периферийных устройств. Теперь пользователю достаточно иметь доступ в интернет и к облачному хранилищу.

Система SecureTower позволяет пресечь и эту возможность, при этом список контролируемых облачных хранилищ постоянно растет. Мы уже говорили, что в SecureTower 6.0 добавилась возможность контролировать еще и Google Drive, Apple iCloud, Облако Mail.Ru. При этом доступ к облачным хранилищам можно настраивать, т. е. можно запретить совсем, разрешить или оставить доступ только на чтение (см. рисунок 9).

 

Рисунок 9. Настройка доступа к облачным хранилищам в SecureTower 6.0

 Настройка доступа к облачным хранилищам в SecureTower 6.0

 

Настройка контроля облачных хранилищ осуществляется в Консоли администратора в профиле настроек агента на вкладке Контроль облачных хранилищ (см. рисунок 10).

 

Рисунок 10. Настройка контроля облачных хранилищ в SecureTower 6.0

 Настройка контроля облачных хранилищ в SecureTower 6.0

 

Перехват информации осуществляется путем теневого копирования данных, передаваемых в облачные хранилища. В дальнейшем можно будет просмотреть информацию о дате и времени перехвата данных, имени и размере файла, имени локального пользователя, произведшего запись файла в облачное хранилище, путь к переданному файлу в локальной папке облачного хранилища и т. д.

Таким образом, система SecureTower 6.0 позволяет контролировать доступ и осуществлять перехват информации, передаваемой в самые распространенные облачные хранилища.

Контроль мессенджеров

Количество появляющихся на рынке и используемых в современном мире мессенджеров постоянно растет. И зачастую очень сложно отследить информацию, передаваемую через них. SecureTower 6.0 позволяет осуществлять перехват данных в наиболее популярных мессенджерах (Skype, WhatsApp, Google Hangouts, Telegram, Viber и др.). Для этого в Консоли администратора в профиле настроек агента на вкладке Перехват мессенджеров можно установить, по каким мессенджерам требуется перехватывать информацию (см. рисунок 11).

 

Рисунок 11. Настройка контроля мессенджеров в SecureTower 6.0

 Настройка контроля мессенджеров в SecureTower 6.0

 

SecureTower 6.0 позволяет осуществлять перехват (как переписки, так и передаваемых файлов) для следующих мессенджеров: ICQ (протокол OSCAR), Skype, WhatsApp, Google Hangouts, Telegram, SIP, Viber, Microsoft Lync, XMPP (Jabber), Mail.Ru Агент, Yahoo.

 

Выводы

В обзоре мы познакомились с новой версией DLP-системы Falcongaze SecureTower 6.0. При этом, по заявлениям разработчиков, это не просто обновление, а совершенно новый продукт. И это действительно так, ведь Falcongaze в SecureTower 6.0 кардинально переработали архитектуру системы. Компания Falcongaze динамично развивает и совершенствует свою систему, что является немаловажным фактором при выборе.

Для превентивного устранения утечек и вредоносной инсайдерской активности в SecureTower 6.0 реализован перехват максимально возможного количества каналов связи: электронная почта, веб-активность, USB-носители, принтеры, а также мессенджеры и облачные сервисы. Возможности перехвата постоянно увеличиваются разработчиками, ориентированными на требования рынка. SecureTower 6.0 позволяет не только предотвращать инциденты, но и оперативно их расследовать.

В SecureTower 6.0 применяются две схемы перехвата — на шлюзе и с помощью агентов. В первом случае решение анализирует трафик на сервере, во втором перехват происходит непосредственно на рабочих компьютерах. Второй способ перехвата позволяет значительно расширить количество перехватываемых каналов, в том числе большинство мессенджеров и интернет-трафик по протоколу HTTPs. В зависимости от нужд организации способы перехвата могут комбинироваться, либо вообще использоваться только определенные модули системы. Также возможны работа системы на корпоративном почтовом сервере и интеграция с корпоративным Proxy-сервером.

Анализ перехваченных данных происходит на основе заранее заданных правил безопасности. При этом в SecureTower 6.0 предусмотрена возможность достаточно гибкой настройки правил. Например, можно создать правила — уведомлять о передаче большого числа файлов на печать сотрудниками определенного отдела или блокировать передачу по электронной почте документа, содержащего данные из базы данных конфиденциальных документов. Все уведомления о событиях отправляются ответственному лицу.

Система SecureTower 6.0 имеет так много достоинств, что может сложиться мнение, что она не имеет недостатков. Но недостатки есть. В частности, SecureTower 6.0 работает на серверах и компьютерах только под управлением операционной системы Windows. Конечно, большая часть организаций использует именно эту операционную систему, но разработчикам есть куда стремиться для расширения рынка. Еще одним недостатком является отсутствие функции агентского контроля мобильных устройств под управлением Android, iOS и мобильной версии Windows, востребованность которого вызывает сомнения, однако встречается все чаще.

Достоинства SecureTower 6.0:

  • система отечественного производителя, который динамично развивает ее функциональность;
  • внедрение SecureTower 6.0 занимает считанные часы, а установка и настройка производится из одной консоли. Для внедрения не требуется дорогостоящий консалтинг и покупка специального оборудования;
  • масштабируемость и модульность системы;
  • высокая скорость анализа данных при перехвате;
  • возможность контроля облачного хранилища;
  • возможность контроля мессенджеров Skype, Telegram, Microsoft Lync, Viber, Google Hangouts, WhatsApp, ICQ с включенным шифрованием протокола;
  • поддержка файлов проектных данных САПР-программ (DWG и DXF) (контроль бинарных документов);
  • распознавание текста и печатей на изображениях;
  • полный контроль документооборота и перехват данных в информационных каналах;
  • контроль за действиями персонала;
  • осуществление аудио- и видеомониторинга;
  • построение подробных отчетов о действиях и коммуникациях пользователей. В том числе формирование отчетов в графическом виде, а также построение граф-анализаторов действий пользователя;
  • выявления передачи конфиденциальной информации по цифровым отпечаткам;
  • контроль мобильных рабочих станций;
  • интуитивно понятный интерфейс и гибкие настройки системы;
  • собираемый объем данных позволяет оперативно осуществлять расследование инцидентов.

Недостатки SecureTower 6.0:

  • поддержка только операционных систем на базе Windows;
  • отсутствие агентов для мобильных устройств (смартфоны, планшеты);
  • отсутствие готовой (из коробки) интеграции с другими продуктами по обеспечению информационной безопасности.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...
Выбор редакции: 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.