ContentLock – умная защита информации от утечек

Сергей Вахонин
IT-директор ЗАО “Смарт Лайн Инк"

Производственные процессы многих компаний требуют, чтобы сотрудники могли пользоваться устройствами хранения и передачи данных, а значит блокировка портов ввода-вывода или каналов сетевых коммуникаций недопустима, но требуется проверка содержимого передаваемых данных на наличие персональной или конфиденциальной информации. В подобных ситуациях дополнительно к контролю использования периферийных портов и устройств, а также сетевых коммуникаций необходимо применение технологий контентного анализа и фильтрации, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.

DeviceLock 7 Endpoint DLP Suite

Следуя требованиям рынка, весной 2011 г. российская компания "Смарт Лайн Инк" представила рынку новую версию своего всемирно известного программного комплекса DeviceLock 7 Endpoint DLP Suite, включающую в себя два новых модуля – NetworkLock и ContentLock, которые принципиально   расширяют   его   целевое назначение. Теперь DeviceLock предотвращает утечки данных не только через локальные порты и устройства, подключаемые к рабочим компьютерам, но и через их сетевые коммуникации и, что особенно важно, использует технологии контентной фильтрации для эффективного предотвращения утечек данных, передаваемых во всех контролируемых каналах – как через периферийные порты и устройства, так и через сетевые коммуникации. В совокупности новый комплекс DeviceLock 7 является полноценной DLP-системой, причем первой такой системой отечественной разработки.

Особенности ContentLock

Будучи установленным непосредственно на защищаемом компьютере, ContentLock обеспечивает контроль действий пользователя в любой ситуации, поскольку осуществляет контентную фильтрацию данных непосредственно в момент их передачи "на лету" по сети или на подключенные периферийные устройства. При этом заданные администратором политики безопасности передаются на компьютер и кэшируются локально, обеспечивая работоспособность модуля и агента вне зависимости от доступности сети и наличия либо отсутствия подключения к серверам организации.

ContentLock позволяет разрешать или запрещать операции передачи, сохранения и доступа к информации, основываясь на целом ряде параметров и условий – на определении типа файла, на шаблонах регулярных выражений с различными численными и логическими  условиями  соответствия проверяемых данных критериям и ключевым словам. Распознавая более 80 форматов файлов и типов данных, ContentLock извлекает и отфильтровывает их текстовое содержимое при копировании на внешние устройства хранения или передаче по сетевым каналам. Кроме того, ContentLock позволяет задать правила фильтрации для данных теневого копирования, что дает возможность сохранять только те файлы и данные, которые действительно значимы для расследования инцидентов информационной безопасности и анализа журналов теневого копирования. Это существенно снижает объем данных, хранимых в центральной базе данных теневого копирования, и существенно снижает нагрузку на локальную сеть при их передаче на сервер БД.

Контроль операций с данными на основании контентной фильтрации

DLP-политики безопасности DeviceLock в части задания правил контентного анализа и фильтрации создаются на основе так называемых контентных групп и позволяют централизованно задавать типы содержимого документов и данных, требующих контроля. Сами контентные группы определяют критерии контентной фильтрации, используемые при идентификации и выделении данных, к которым должны применяться правила, включающие в себя списки пользователей, для которых они должны срабатывать, а также контролируемых устройств или сетевых протоколов, передача данных по которым регулируется данными правилами.

В ContentLock выделено несколько типов таких контентных групп – "Определение типа файла", "Ключевые слова", "Шаблоны", "Свойства документа" и "Комплексная группа". Первые четыре группы являются базовыми и позволяют решать простейшие и типовые задачи контентной фильтрации передаваемых данных, а "Комплексная" контентная группа является сочетанием простых контентных групп, когда каждая из них рассматривается как отдельный критерий фильтра, включенный в общее взаимоувязанное логическое выражение. Используя несколько контентных групп, можно создавать сложные фильтры для обнаружения данных ограниченного доступа в документах.

Отдельно стоит выделить контентную группу "Шаблоны", основанную на регулярных выражениях Regexp на базе развитого языка Perl Regular Expressions. Это гибкий и мощный способ автоматически находить потенциально важные данные в документах (например, номера кредитных карт, адреса электронной почты и т.д.). С помощью созданных на их основе правил служба безопасности может запретить определенным сотрудникам, к примеру, передачу документов, содержащих номера кредитных карт, через Web-сервисы электронной почты или пресечь публикацию паспортных данных сотрудников в социальной сети. ContentLock содержит около 40 встроенных групп "Шаблоны" и позволяет создавать собственные. В качестве простого, но чрезвычайно эффективного примера можно рассмотреть группу "Адреса электронной почты". Стоит отметить, что уже на этапе определения контентной группы можно проверить, как она будет работать в "боевых" условиях, используя тестовые данные и файлы – и этот механизм проверки предусмотрен для всех контентных групп.

Контентные группы – это фундамент для создания политик безопасности, которые ContentLock и будет использовать для оперативного контроля и всесторонней защиты конфиденциальных данных от утечки, проверяя файлы и документы на уровне содержимого. Именно контентно-зависимые правила обеспечивают автоматическую проверку содержимого данных, передаваемых по сети или записываемых на внешние устройства, обнаружение конфиденциальных данных и применение необходимых политик безопасности. С помощью контентно-зависимых правил служба ИБ может выборочно разрешить или запретить доступ к указанному содержимому данных, передаваемых по сети, вне зависимости от разрешений, установленных на уровне протокола. Например, для документов, содержащих выражения "совершенно секретно" и "для служебного пользования" и хранящихся на флеш-дисках или компакт-дисках, предоставить доступ "только для чтения", и при этом запретить запись таких документов на внешние устройства или передачу как вложений электронной почты на любые адреса, кроме корпоративных.

Исключительная гибкость и эффективность DLP-политик DeviceLock достигается за счет возможности их формирования для любых комбинаций отдельных пользователей и их групп, а также типов портов, устройств и сетевых протоколов.

Контентно-зависимая фильтрация данных теневого копирования

Важная функциональная особенность ContentLock – это возможность использовать эффективные механизмы контентного анализа не только для контентной фильтрации как элемента оперативной защиты от утечек данных при их передаче или копировании, но и возможность использовать все те же контентные группы для избирательного сохранения в журнал теневого копирования только значимой для анализа инцидентов и аудита ИБ информации, что существенно снижает объем хранимых на сервере данных теневого копирования и, как следствие, облегчает работу с сохраненными в базе данными. При этом с точки зрения пользовательского интерфейса администратор не заметит существенной разницы – используются те же механизмы построения контентно-зависимых правил на основе контентных групп.

Дополнительные возможности ContentLock

Помимо базового для ContentLock функционала контентной фильтрации он также поддерживает ряд дополнительных полезных функций – таких как автоматическая защита новых документов, к которым сразу после их создания будут автоматически применяться ранее заданные политики безопасности, основанные на контроле содержимого. Кроме того, ContentLock контролирует архивированные файлы, последовательно осуществляя проверку каждого файла, содержащегося в архиве, причем вложенные архивы также распаковываются и проверяются один за другим. И если хотя бы для одного файла в архиве срабатывает запрещающее контентно-зависимое правило, передача всего архива будет запрещена. Встроенная в ContentLock технология детектирования текста на изображении позволяет выделять две группы графических изображений: изображения, содержащие текст, – например, отсканированные документы или экранные снимки документов – и изображения без текста, и устанавливать для них разные политики контроля. Например, можно разрешить определенным пользователям копирование на устройства изображений без текста, но запретить запись изображений, содержащих текст и тем самым предотвратить утечку важной информации при пересылке графических файлов. В дополнение к графическим файлам ContentLock обеспечивает анализ изображений, встроенных в документы Microsoft Office, а также файлы форматов Adobe PDF и RTF.