Обзор Zecurion DLP 8.0 — системы защиты от утечек конфиденциальной информации


Обзор Zecurion DLP 8.0 — системы защиты от утечек конфиденциальной информации

В феврале 2018 года компания Zecurion сообщила о выпуске новой версии системы защиты конфиденциальной информации — Zecurion DLP 8.0. Она объединяет в себе набор собственных технологий компании для защиты конфиденциальной информации от утечек по различным электронным каналам. Рассмотрим архитектуру, возможности применения Zecurion DLP 8.0, а также отметим то, что разработчик улучшил с прошлой версии.

Сертификат AM Test Lab

Номер сертификата: 225

Дата выдачи: 03.07.2018

Срок действия: 03.07.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Новые возможности и улучшения в Zecurion DLP 8.0
  3. Функциональные возможности Zecurion DLP 8.0
  4. Архитектура и системные требования Zecurion DLP 8.0
  5. Работа с Zecurion DLP 8.0
    1. 5.1. Мониторинг состояния сети
    2. 5.2. Архивирование данных и работа с отчетами
    3. 5.3. Расследование инцидентов
    4. 5.4. Работа с политиками безопасности
    5. 5.5. Работа с карточками сотрудников
  6. Выводы

 

Введение

Решение Zecurion DLP 8.0 предотвращает потерю конфиденциальной информации и контролирует каналы утечки данных из корпоративной сети. Zecurion DLP 8.0 обеспечивает защиту как от случайных утечек, связанных с невнимательностью или безграмотностью сотрудников, так и от намеренных, проводимых с целью получения личной выгоды работником.

Для борьбы с утечками данных в системе Zecurion DLP 8.0 тесно интегрирован весь комплекс продуктов компании:

  • система контроля сетевого трафика Zecurion Traffic Control (ранее — Zgate);
  • система контроля периферийных устройств Zecurion Device Control (ранее — Zlock);
  • средство обнаружения конфиденциальной информации в локальных и сетевых хранилищах Zecurion Discovery (ранее — Zdiscovery).

Zecurion DLP 8.0 позволяет сформировать правила реализации политики ИБ, контролировать их исполнение и оперативно выявлять нарушителей.

В Zecurion DLP 8.0 реализованы встроенные функции архивирования (теневого копирования) данных, перемещаемых за пределы сети. Ретроспективный анализ по данным архива и журнала событий Zecurion DLP 8.0 помогает расследовать произошедшие инциденты и предотвращать будущие.

Компания Zecurion объявила о расширении сотрудничества с компанией ABBYY, что позволяет Zecurion использовать новую версию ABBYY FineReader Engine во всех своих продуктах для распознавания текстов в графических файлах. С помощью ABBYY FineReader Engine решение Zecurion DLP 8.0 распознает информацию в изображениях, что дает возможность выявить нарушения политик безопасности и предотвратить утечку конфиденциальных данных.

Применение Zecurion DLP 8.0 позволяет защитить информацию в соответствии с требованиями Стандарта Банка России СТО БР ИББС-1.0-2008, PCI DSS, Basel II, SOX, SEC Rule 17a-4, директивы Евросоюза 2006/24/EC, HIPAA, Кодекса ФСФР, Объединенного кодекса корпоративного управления Великобритании, а также закона № 152-ФЗ «О персональных данных».

Система Zecurion DLP зарегистрирована в 2016 году в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 2469 (Минкомсвязь России).

 

Новые возможности и улучшения в Zecurion DLP 8.0

Система Zecurion DLP 8.0 оснащена совершенно новым веб-интерфейсом консоли управления, позволяющим управлять всеми функциями продукта. Интерфейс интуитивно понятен и структурирован по рабочим зонам. Пользователю доступны инструменты графических представлений (виджеты), визуализирующие состояние безопасности корпоративной сети и результаты обработки информации, отображение в реальном времени до 50 000 инцидентов. Работа с отчетами и архивом осуществляется с помощью модуля Zecurion Reports.

В консоль управления был также внесен ряд изменений, усовершенствующих систему совместной работы офицеров безопасности с событиями (workflow). Zecurion DLP 8.0 позволяет выполнять поэтапный процесс обработки инцидентов. Это нововведение актуально прежде всего для крупных компаний, в которых регламентирован контроль над выполнением задач сотрудников службы ИБ.

В новой версии Zecurion DLP добавлен экспорт отчетов в форматы PDF, Excel, TSV.

Немаловажным является появление поддержки поведенческого анализа (User Behavior Analytics, UBA), ставшего весьма популярным за последние годы. Модуль UBA анализирует действия сотрудников (нарушения политик безопасности, возникающие инциденты безопасности, использование различных каналов связи) и выявляет их подозрительную активность. Таким образом, Zecurion DLP 8.0 позволяет обнаружить и предотвратить угрозу на ранних стадиях и сократить объем ручной работы администратора и время расследования инцидента за счет предоставления всеобъемлющей информации.

В новой версии Zecurion DLP добавлена анкета сотрудника, содержащая сведения об инцидентах ИБ, связанных с конкретным работником, его действиях в сети, используемых каналах передачи информации.

Помимо Microsoft SQL Server Zecurion DLP 8.0 поддерживает PostgreSQL, входящую в Реестр российского программного обеспечения (рег. номер ПО 104). PostgreSQL имеет открытый исходный код и может использоваться для импортозамещения иностранных продуктов на отечественном рынке.

В новой версии Zecurion DLP добавлены перехватчик клавиатуры (кейлоггер) и запись звука через микрофон на рабочих станциях сотрудников.

 

Функциональные возможности Zecurion DLP 8.0

Система Zecurion DLP 8.0 предназначена для решения следующих задач:

  • контроль каналов утечки конфиденциальных данных (локальных и сетевых);
  • гибридный анализ информации на предмет наличия конфиденциальных данных с использованием лингвистического анализа с поддержкой морфологии, регулярных выражений, цифровых отпечатков, метода опорных векторов, анализ графических файлов (OCR) и т. д. Всего более 10 технологий распознавания;
  • архивирование информации и ретроспективный анализ при расследовании инцидентов ИБ;
  • блокирование утечек информации в режиме реального времени;
  • поиск файлов с конфиденциальной информацией на локальных и сетевых хранилищах;
  • контентный анализ и шифрование данных при записи на USB-устройства, SSL-инспекция;
  • ведение карточек сотрудников и анализ их поведения (UBA);
  • построение диаграммы связей, позволяющей выявить подозрительные связи сотрудников (сговор, мошенничество).

Zecurion DLP контролирует:

  • корпоративную электронную почту и письма, передаваемые через сервисы веб-почты (Gmail и т. д.);
  • сообщения в социальных сетях, на форумах и блогах (HTTP/HTTPS);
  • сообщения интернет-мессенджеров (Skype, Messenger, ICQ и т. д.);
  • файлы, записываемые на внешние устройства или передаваемые по сетевым каналам (FTP, POP3, IMAP, SMTP и т. д.);
  • печать на локальных и сетевых принтерах;
  • доступ к информации, хранящейся на серверах, рабочих станциях, магнитных лентах и оптических дисках.

 

Рисунок 1. Ключевые возможности системы Zecurion DLP 8.0

Ключевые возможности системы Zecurion DLP 8.0

 

Архитектура и системные требования Zecurion DLP 8.0

Zecurion DLP 8.0 имеет модульную архитектуру, она приведена на рисунке ниже.

 

Рисунок 2. Архитектура Zecurion DLP 8.0

Архитектура Zecurion DLP 8.0

 

DLP-агенты (сенсоры) устанавливаются на серверы и конечные станции пользователей и осуществляют сбор информации. Они также могут применяться для контроля за выполнением политик безопасности. Клиентские агенты располагаются на рабочих компьютерах пользователей и контролируют каналы передачи, хранения, ввода и вывода данных.

Серверные модули DLP-агентов:

  • Traffic Control предназначен для контроля интернет-трафика и почтовых сообщений;
  • Discovery предназначен для контроля содержимого файлов на сетевых ресурсах.
  • Модули для конечных станций:
  • Device Control предназначен для контроля устройств пользовательских компьютеров;
  • Traffic Control предназначен для контроля интернет-трафика, почтовых сообщений и трафика Skype и Viber на пользовательских компьютерах;
  • Discovery предназначен для контроля содержимого файлов на пользовательских компьютерах и серверах.

DLP-агенты управляются DLP-сервером, который хранит у себя политики и настройки агентов и контролирует их состояние. Этот сервер находится под управлением веб-консоли. Также веб-консоль управляет сервером просмотра журналов и сервером отчетов. Эти серверы получают информацию из соответствующих баз данных (БД журналов и БД инцидентов), в которую заносят информацию DLP-агенты. Отдельно функционирует OCR-сервер, позволяющий обрабатывать графические файлы и выделять из них текст, который впоследствии будет обрабатываться в соответствии с политиками и правилами.

 

Таблица 1. Системные требования сервера Zecurion DLP

Процессор

Pentium 4 и выше

Оперативная память

1 ГБ и выше

Свободный объем на жестком диске

240 МБ

Операционная система

Microsoft Windows 7/8/10;
Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016

Прочие программные средства

Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 для хранения политик и настроек

 

Таблица 2. Системные требования консоли управления Zecurion DLP

Веб-браузер

Google Chrome 62.0 и выше

 

Таблица 3. Системные требования серверного модуля Traffic Control

Процессор

Pentium 4 и выше

Оперативная память

1 ГБ и выше

Свободный объем на жестком диске

240 МБ + место для временного хранения писем

Операционная система

Microsoft Windows 7/8/10;
Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016

Прочие программные средства

Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6 для сохранения инцидентов;
Microsoft Forefront TMG для зеркалирования и фильтрации SSL-трафика (опционально);
Microsoft Exchange 2007/2010/2013/2016 (x64) для зеркалирования и фильтрации внутреннего почтового трафика MS Exchange (опционально).

 

Таблица 4. Системные требования серверного модуля Discovery

Процессор

Pentium 4 и выше

Оперативная память

1 ГБ и выше

Операционная система

Microsoft Windows 7/8/10;
Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016

Прочие программные средства

Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6 для сохранения инцидентов

 

Таблица 5. Системные требования модулей для конечных станций

Процессор

Pentium 4 и выше

Оперативная память

1 ГБ и выше

Операционная система

Microsoft Windows XP SP3, Vista SP1;
Microsoft Windows 7/8/10;
Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016

Прочие программные средства

Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 или PostgreSQL 9.6 для сохранения инцидентов

 

Системные требования для сервера отчетов Zecurion Reports

  • процессор: Intel Core и выше;
  • оперативная память: 2 ГБ и выше;
  • свободный объем на жестком диске: 500 МБ;
  • ОС: Microsoft Windows 7/8/10, Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016.
  • прочие программные средства: Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016; PostgreSQL 9.6 и выше.

 

Работа с Zecurion DLP 8.0

Мониторинг состояния сети

Zecurion Reports предназначен для просмотра и анализа информации об инцидентах, зафиксированных в процессе работы системы Zecurion DLP 8.0. Он предоставляет администраторам безопасности широкий набор встроенных графических представлений (виджетов).

 

Рисунок 3. Раздел «Сводка» интерфейса Zecurion Reports

Раздел «Сводка» интерфейса Zecurion Reports

 

На главной странице сосредоточена вся необходимая информация для моментальной оценки состояния ИБ в компании: данные о непросмотренных инцидентах, их классификация и важность, отработанные политики, предоставляются данные об активности пользователей и их нормальном поведении. Аналитическая консоль позволяет не только генерировать отчеты, но и управлять всеми компонентами системы.

Архивирование данных и работа с отчетами

Zecurion DLP 8.0 обладает встроенной функцией архивирования (теневого копирования). В архиве сохраняются копии всех перехваченных сообщений, писем, вложенных файлов, документов, записанных на устройства и распечатанных на принтерах, данные, перехваченные кейлоггером и записанные микрофоном. Таким образом, вся информация, переданная или вынесенная за пределы организации, становится доступна для работников отдела ИБ.

 

Рисунок 4. Прослушивание аудиофайла в интерфейсе Zecurion Reports, записанного с помощью микрофона рабочей станции сотрудника

Прослушивание аудиофайла в интерфейсе Zecurion Reports, записанного с помощью микрофона рабочей станции сотрудника

 

Архив не имеет ограничений по объему сохраняемой информации и сроку хранения. Анализируя данные архива, можно скорректировать настройки системы для повышения эффективности и точности соответствия политике информационной безопасности. Данные, сохраненные в архиве, предоставляют широкие возможности для дальнейшего анализа. Фильтрация и поиск данных по различным атрибутам и ключевым словам позволяет проводить ретроспективный анализ как для текущего аудита событий ИБ, так и при расследовании инцидентов. В веб-консоли Zecurion DLP 8.0 информация предоставляется в различных срезах в зависимости от поставленных администратором безопасности задач.

 

Рисунок 5. Раздел «Отчеты» интерфейса Zecurion Reports

Раздел «Отчеты» интерфейса Zecurion Reports

Расследование инцидентов

Расследование инцидентов утечки корпоративной информации осуществляется по результатам анализа архивных данных. Специалисты ИБ могут определить не только виновника нарушения безопасности, но и предотвратить повторение сценария утечки в будущем.

Веб-консоль Zecurion DLP 8.0 позволяет просмотреть до 50 000 инцидентов мгновенно.

 

Рисунок 6. Отчет по архиву в интерфейсе Zecurion Reports

Отчет по архиву в интерфейсе Zecurion Reports

 

Часто утечки возникают в результате возникновения целого набора взаимосвязанных событий. Эти события могут быть разнесены по времени, связаны с действиями разных сотрудников и использованием разных каналов коммуникации. Поэтому рекомендуются при каждом инциденте проводить глубокий анализ архивных данных: анализировать переписку и действия подозреваемого сотрудника и других задействованных пользователей, воспроизводить историю событий и т. д.

 

Рисунок 7. Перехват введенных данных с клавиатуры сотрудника в Zecurion DLP 8.0

Перехват введенных данных с клавиатуры сотрудника в Zecurion DLP 8.0

Работа с политиками безопасности

Zecurion DLP 8.0 позволяет реализовать существующие политики безопасности и контролировать принятые правила защиты информации от утечек. В случае нарушения правил информационной безопасности Zecurion DLP 8.0 оперативно уведомляет об этом администратора.

Политики системы настраиваются в соответствии с общей действующей политикой ИБ и устанавливают правила доступа к контролируемым каналам передачи, хранения, ввода и вывода данных и определяют реакцию системы Zecurion DLP 8.0 на события, связанные с созданием или передачей информации, такие как:

  • прием и отправка информации через интернет;
  • прием и отправка почтовых сообщений;
  • чтение и запись информации на периферийные устройства;
  • подключение периферийных устройств;
  • вывод информации на печатные устройства;
  • хранение и манипуляции с данными на компьютерах;
  • работа с клавиатурой, буфером обмена.

Через веб-консоль Zecurion DLP 8.0 администратор может создать новые правила в рамках политики безопасности, если в ней не была учтена или была недостаточно четко сформулирована защита конфиденциальной информации от утечек.

 

Рисунок 8. Управление политиками безопасности в интерфейсе Zecurion Reports

Управление политиками безопасности в интерфейсе Zecurion Reports

Работа с карточками сотрудников

Zecurion DLP 8.0 позволяет на ранних стадиях обнаруживать подозрительное поведение сотрудников и принимать превентивные меры до возникновения утечки конфиденциальной информации. Система может как предотвращать утечки в режиме реального времени, так и уведомлять администратора ИБ об инцидентах в пассивном режиме.

 

Рисунок 9. Раздел «Сотрудники» интерфейса Zecurion Reports

Раздел «Сотрудники» интерфейса Zecurion Reports

 

Zecurion DLP 8.0 собирает информацию о нарушениях работника, с кем он общается и какие данные использует в своей работе. Модуль поведенческого анализа (UBA), нововведение в Zecurion DLP 8.0, по специальному алгоритму для каждого сотрудника рассчитывает индекс изменения поведения. Высокий индекс сигнализирует администратору о потенциальной опасности от пользователя.

 

Рисунок 10. Карточка сотрудника в интерфейсе Zecurion Reports

Карточка сотрудника в интерфейсе Zecurion Reports

 

Индекс изменения поведения рассчитывается по 8 показателям:

  • инциденты;
  • критичные инциденты;
  • инциденты средней важности;
  • количество контактов;
  • объем трафика;
  • количество отправляемых файлов;
  • количество файлов, найденных Discovery на локальном компьютере;
  • использование буфера обмена.

 

Рисунок 11. Пример показателей индекса изменения поведения в интерфейсе Zecurion Reports

Пример показателей индекса изменения поведения в интерфейсе Zecurion Reports

 

Встроенная система поведенческого анализа определяет аномальное поведение пользователя, нарушения политики безопасности, использование подозрительных каналов передачи информации. Для каждого сотрудника система строит диаграммы связей, позволяющие выявить подозрительные связи работников (сговор, мошенничество).

 

Рисунок 12. Диаграмма связей сотрудника в интерфейсе Zecurion Reports

Диаграмма связей сотрудника в интерфейсе Zecurion Reports

 

Дальнейшее расследование позволяет подробно изучить инциденты, возникшие при взаимодействии сотрудников.

 

Рисунок 13. Подотчет по связи сотрудников в интерфейсе Zecurion Reports

Подотчет по связи сотрудников в интерфейсе Zecurion Reports

 

Выводы

Zecurion DLP 8.0 — единая платформа функционирования зарекомендовавших себя решений отечественной компании Zecurion — Traffic Control (Zgate), Device Control (Zlock), Discovery (Zdiscovery). Функции, добавленные в новую версию системы, делают ее более конкурентоспособной и удобной в использовании.

Zecurion DLP 8.0 контролирует все каналы, среди которых: электронная почта, съемные носители, принтеры, социальные сети и мессенджеры.

Zecurion DLP 8.0 перехватывает трафик, выходящий за пределы корпоративной сети предприятия и анализирует его на предмет наличия конфиденциальной информации. Для обнаружения потенциально значимых данных обычно используется ряд передовых технологий: гибридный анализ с использованием морфологий, регулярных выражений, цифровых отпечатков текстов, лингвистического анализа, метода опорных векторов, анализ OCR и т. д. По результатам контентного анализа система принимает решение согласно установленным политикам безопасности о разрешении или запрете передачи сообщения, записи или печати файла. Весь перехваченный трафик Zecurion DLP 8.0 помещает в собственный архив, где создается полноценная база для расследования инцидентов информационной безопасности.

Достоинства:

  • Отечественный продукт, имеющий сертификаты соответствия ФСТЭК России и Минобороны России на входящий в его состав компонент и зарегистрированный в реестре Минкомсвязи России.
  • Единая DLP-система от одного разработчика, общая консоль и серверные модули.
  • Полностью переработанный веб-интерфейс, предоставленный модулем Zecurion Reports.
  • Большое количество перехватываемых сетевых протоколов.
  • Гибридный анализ перехваченного трафика на наличие конфиденциальной информации при помощи набора передовых технологий (более 10).
  • Широкие возможности контроля HTTP/HTTPs-трафика, включая веб-почту, социальные сети и другие произвольные веб-сервисы (система записывает сообщения как HTTP(S)-трафик с определенного сайта).
  • Большое количество отчетов о действиях персонала, сгенерированных по разным параметрам (порядка 30 видов). Гибкие настройки отчетов по данным мониторинга.
  • Наблюдение за сотрудниками в режиме реального времени.
  • Установка DLP-агентов осуществляется незаметно для пользователей.
  • Ведение карточек сотрудников с индексом изменения поведения, для облегчения работы HR-службы и сотрудников службы безопасности.
  • Распознавание текста на изображениях при помощи ABBYY FineReader Engine.
  • Перехват нажатий клавиатуры (кейлоггер) и запись звука с микрофона на рабочих станциях.
  • Контроль и блокировка внешних устройств.
  • Возможность записи экрана рабочей станции пользователя.
  • Мгновенное создание и обновление политик.

Недостатки:

  • DLP-агенты только для платформы Microsoft Windows (поддержка Linux ожидается в ближайшее время).
  • В соответствии с системными требованиями, заявленными в документации на систему, веб-консоль поддерживает работу только с Google Chrome.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.