DeviceLock Endpoint DLP Suite – год на рынке DLP-систем

Вахонин Сергей
директор по информационным технологиям
ЗАО “Смарт Лайн Инк"

Проблематика утечек данных

Самым действенным способом   укрепления дисциплины и элементом обеспечения безопасности данных на корпоративных компьютерах остается применение технических средств защиты информации – прежде всего средств предотвращения утечек данных (Data Leak Prevention, DLP).

Считается, что наименее защищены и наиболее опасны современные каналы утечки данных с ПК: сетевые приложения (электронная почта, службы мгновенных сообщений), съемные устройства хранения а также персональные мобильные устройства (КПК и смартфоны). Реагируя на спрос, производители продуктов ИБ фокусируются на разработке средств защиты от утечек именно через эти высокотехнологичные каналы. В то же время бытует расхожее, но зачастую неверное мнение о том, что исторически более ранние низкотехнологичные каналы утечки данных с ПК (например, канал печати) давно и надежно перекрыты.

В то же время в 2011 г. для ведущих рыночных аналитиков и производителей DLP-продуктов стала очевидной необходимость защиты от утечек данных в двух быстро растущих сегментах рынка IT: в системах на базе облачных услуг вычислений и на корпоративном рынке мобильных устройств (смартфонов и планшетных компьютеров на платформах Windows Mobile, Android и iOS).

Развитие рынка DLP-систем

Различные технологии защиты от утечек данных существуют уже довольно давно, и всегда так или иначе они соответствовали текущему состоянию методов использования, хранения и передачи данных.

Изначально контролировались протоколы HTTP и FTP, а также обеспечивалась фильтрация электронной почты и некоторых мессенджеров.

Параллельно с ними развивались продукты ниши Endpoint Device/Port Control (контроля портов и устройств на рабочих станциях). Все продукты такого рода появились независимо и раздельно от сетевых DLP-решений, поскольку по своей природе сетевые DLP-решения не могли предотвратить локальные – не использующие сеть – утечки данных с рабочих станций через их порты и подключенные периферийные устройства. Вместо анализа содержимого файлов и данных продукты класса Device Control используют различные параметры, определяющие окружение процесса передачи данных, которые используются как критерии принятия решений о блокировке или разрешении передачи данных.

Решения, поддерживающие контроль и протоколирование действий пользователей только для ограниченного набора каналов передачи данных (как локальных, так и сетевых) и не обладающие при этом механизмами контентного анализа и фильтрации, существуют на рынке и по сей день.

DLP-рынок сегодня

В отличие от многих других рынков в секторе IT необходимость в средствах защиты от утечек данных была настолько значительной, что мировой финансовый кризис практически не оказал негативного влияния на темпы развития рынка DLP.

Российские производители, относящиеся ко второй категории "чистых" разработчиков DLP-систем, представлены на рынке продуктами DeviceLock ("Смарт Лайн Инк"), "Дозор-Джет" ("Инфосистемы Джет"), Infowatch от одноименной компании и Zlock (SecurIT).

Российский продукт Device-Lock 7.1 Endpoint DLP Suite занимает уникальное положение среди продуктов DLP-вендоров, так как производитель данного продукта обладает значительным опытом разработки систем класса Device Control. Кроме того, нельзя не отметить многолетнее технологическое лидерство продукта на российском и международном рынке, а также наличие огромной базы потребителей по всему миру.

DeviceLock 7.1 Endpoint DLP Suite

Благодаря новым компонентам NetworkLock и ContentLock, преобразившим продукт из высокотехнологичной, но нишевой программы контроля портов и устройств в мощную DLP-систему, DeviceLock 7.1 не только предотвращает утечки через порты и устройства, подключаемые к рабочим компьютерам, но и контролирует различные сетевые коммуникации. Что особенно важно, комплекс использует технологии контентной фильтрации данных, передаваемых в контролируемых каналах. Еще одна привлекательная особенность решения – гибкая политика лицензирования, возможность использования как решения целиком, так, сочетания отдельных его модулей.

Модуль DeviceLock

Модуль DeviceLock начал разрабатываться компанией "Смарт Лайн Инк" в 1996 г. как самостоятельная программа контроля доступа к портам и устройствам, и теперь является инфраструктурной платформой и ядром DLP-системы DeviceLock DLP Suite. Модуль реализует все функции ее централизованного управления и администрирования. DeviceLock поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, а также канал печати документов на локальные и сетевые принтеры.

В следующей версии, Device-Lock 7.2 DLP Suite, появится подсистема оперативного оповещения службы корпоративной ИБ о значимых для нее попытках нарушения персоналом DLP-политик и административных нарушений со стороны обслуживающего DLP-систему IT-персонала. Среди административных инцидентов стоит отметить такие, как выявленное повреждение или изменение применяемых DLP-политик, попытка нарушения целостности агента DeviceLock, изменение списка администраторов DeviceLock. Офицер ИБ также оперативно оповещается при выявлении случаев, когда пользователи с недостатком прав на изменение DLP-политик пытаются неоднократно применить политики, отличные от заданных.

Модуль NetworkLock

Данный модуль позволяет контролировать и протоколировать использование на рабочих станциях сетевых протоколов и коммуникационных приложений независимо от используемых ими портов. Он обеспечивает контроль сообщений и сессий с выделением передаваемых данных и файлов для их оперативного анализа, событийное протоколирование и теневое копирование данных. В числе контролируемых NetworkLock сетевых коммуникаций, приложений и сервисов – повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям, Web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP. Контролируются и наиболее популярные сетевые приложения и сервисы:

• Web-почты – Gmail, Yahoo! Mail, Windows Live Mal (Hotmail), Mail.ru, Rambler Mail;
• мессенджеры – ICQ, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent;
• социальные сети и блог-хостинги – Twitter, Facebook, LiveJournal, LinkedIn, MySpace, Одноклассники, ВKонтакте, а также Telnet-сессии.

В версии 7.2 к числу контролируемых почтовых протоколов будет добавлен протокол MAPI, используемый сервером Microsoft Exchange. Кроме того, поддержка служб мгновенных сообщений будет расширена до уровня контроля не только сообщений, но и файлов, передаваемых посредством мессенджеров. Этот контроль будет интегрирован с механизмами контентного анализа как входящего, так и исходящего потока данных.

Модуль ContentLock

Данный модуль является "носителем" механизмов контентного анализа и фильтрации в DLP-комплексе DeviceLock. Он осуществляет контентную фильтрацию данных непосредственно в момент передачи данных "на лету", будучи установленным и сконфигурированным вместе с другими компонентами комплекса DeviceLock на рабочем компьютере сотрудника.

ContentLock позволяет разрешать или запрещать доступ к информации, основываясь на целом ряде параметров и условий – на определении типа файла, на шаблонах регулярных выражений с различными численными и логическими условиями соответствия проверяемых данных критериям и ключевым словам. Распознавая более 80 форматов файлов и типов данных, ContentLock извлекает и отфильтровывает их текстовое содержимое при копировании на внешние устройства хранения или передаче по сетевым каналам. ContentLock позволяет задать правила фильтрации и для данных теневого копирования, что дает возможность сохранять только те файлы и данные, которые действительно значимы для расследования инцидентов ИБ. Это на порядки снижает объем данных, хранимых в базе данных теневого копирования, и существенно снижает нагрузку на сеть.

Год практической эксплуатации российского DLP-комплекса DeviceLock 7 DLP Suite однозначно показал, что предложенное сочетание функционала компонентов DeviceLock, NetworkLock и ContentLock дает службам ИБ как весь необходимый инструментарий для аудита и анализа активности пользователей, так и средства для контроля передачи конфиденциальной информации в различных каналах сетевых коммуникаций. Как и ожидалось, при переходе на более эффективные технологии DeviceLock 7 службам ИБ пришлось принять на себя больше ответственности, получив взамен больший уровень контроля инфосистемы предприятия и значительное снижение рисков и ущерба организации от утечек конфиденциальных данных.