Зачем нужны технологии Discovery*

Любые сотрудники – это прежде всего люди. Все они имеют свои рабочие задачи, контактируют с коллегами, партнерами и клиентами, что в совокупности образует бизнес-измерение их жизни. В то же время все они имеют устоявшиеся отношения с семьей, друзьями, разные личные интересы, образующие уже другое – личное социальное измерение. При этом, что крайне важно, сотрудники всех организаций живут в обоих измерениях в одно и то же время, не разделяя для себя часы личной жизни и рабочие, что обусловлено в том числе возможностью прозрачно использовать доступные технические средства и сетевые сервисы для всех потребностей и коммуникаций – и личных, и служебных. В то же время службы ИБ отвечают за защищенность корпоративных данных вне зависимости от личных интересов и пристрастий сотрудников других бизнес-подразделений и при этом не должны разрушать производственные процессы. Преимущества от предоставления пользователям возможности использовать различные современные устройства и коммуникационные каналы всегда тесно переплетаются с рисками, вытекающими из этих возможностей.

Новые угрозы

Удобство использования современных устройств и интернет-сервисов (в особенности социальных медиа, облачных хранилищ и мессенджеров) не оспаривается, равно как и следствие в виде повышения эффективности производственных процессов. Однако же, наряду с массой пользовательских удобств, технологический прогресс способствовал созданию благодатной среды для целого класса новых угроз и рисков ИБ невиданных доселе опасностей и масштабов как результата сближения ряда основных факторов. Это, прежде всего, коммерциализация киберпреступности, которая интересуется данными и только данными, а не взломом ради взлома. Действия злоумышленников направлены на хищение у бизнеса и государства наиболее ценных данных с последующей продажей или использованием для прямой кражи денег (например, выводом с банковского счета). Нельзя сбрасывать со счетов легкодоступность и простоту использования съемных накопителей.

Демонстрация уязвимости BadUSB на летней конференции Black Hat в Лас-Вегасе еще раз подчеркнула, что отсутствие надлежащего контроля USB-портов в организации может привести к краже интеллектуальной собственности всей компании за считанные секунды, и для этого будет достаточно всего одной зараженной флешки. Практически все сетевые приложения (социальные сети, облачные хранилища, мессенджеры), созданные для удобства пользователей, для удовлетворения их социальных потребностей, функционируют абсолютно без какой-либо обратной связи с инструментарием корпоративной безопасности и контроля.

Модель ИБ потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь – который далеко не всегда является владельцем данных, будучи также сотрудником какой-либо организации. Ярким примером является использование облачных файловых хранилищ, когда сам работник решает, какие файлы хранить в облаке и кому предоставить к ним доступ. Следовательно, современная корпоративная модель ИБ, чтобы стать реально эффективной, должна быть информационно-центричной, опираться на совокупность контроля непосредственно данных и различных потоков их передачи и распространения.

В условиях, когда управление доступа к данным и контроль их перемещения за пределы корпоративных информационных систем практически нереально обеспечить традиционными средствами защиты инфраструктуры (брандмауэрами, прокси-серверами, корпоративными порталами и т.п.), а пользователи при этом стремятся активно и повсеместно использовать личные устройства и различные сетевые сервисы, многократно возрастают риски утечки конфиденциальных корпоративных данных, связанные с тем, что они хранятся ненадлежащим образом (в местах c неограниченным доступом для внутренних пользователей организации) или в незащищенной форме. При этом самым примитивным, а значит, наиболее вероятным сценарием утечки является использование любых IТ-сервисов, доступных на персональном уровне и не требующих обслуживания корпоративными службами IТ.

Content discovery

Для контроля различных каналов передачи и средств хранения данных широко используются решения класса Data Leak Prevention – DLP-системы. Однако же вполне реалистичен сценарий, когда контроль сетевых сервисов или устройств хранения данных для некоторых сотрудников будет ослаблен, например в силу гипотетического отсутствия доступа к конфиденциальным документам, но способы получения доступа всегда найдутся хотя бы за счет применения методов социальной инженерии. Практически невозможно предсказать, какие ухищрения может использовать инсайдер, желающий использовать корпоративные документы за пределами офиса, не говоря уже о том, что ряд современных DLP-систем все еще существенно ограничен по ширине контролируемых каналов и сервисов. Стоит также напомнить, что многие популярные сетевые сервисы созданы для удобства людей, а не для обеспечения задач корпоративной ИБ, вследствие чего риски утечки сохраняются даже при повсеместном внедрении DLP-средств в организации.

Именно поэтому в составе комплексных DLP-решений наряду с системами защиты от утечек данных при доступе к ним и их передаче исключительно важно применение компонентов поиска и предотвращения утечек хранимых данных, которые в англоязычном лексиконе обозначаются термином "content discovery". Задачей таких discovery-компонентов является поиск и обнаружение в корпоративной IТ-инфраструктуре конфиденциальных документов и данных. Такие технические меры позволяют своевременно выявить несанкционированное хранение данных сотрудниками и выполнить задачу превентивной защиты от утечки. Попросту говоря, X-фактор в проблематике утечки данных, когда заранее не известно, какой канал утечки кем и когда может быть задействован, может быть успешно блокирован за счет discovery-компонента DLP-системы. Утечки данных пресекаются еще до того, как инсайдер совершит попытку передачи или несанкционированного выноса конфиденциальных данных за пределы корпоративной инфраструктуры.

DeviceLock Discovery

В октябре 2014 г. на российском рынке был представлен программный продукт Device-Lock Discovery – как самостоятельный функциональный компонент программного комплекса DeviceLock DLP Suite, позволяющий организациям контролировать местоположение и уровень защищенности конфиденциальных корпоративных данных, хранимых в IТ-инфраструктуре, в целях проактивного предотвращения их утечки и обеспечения соответствия корпоративным стандартам безопасности и требованиям отраслевых и государственных регуляторов.

Посредством автоматического сканирования данных, размещенных на рабочих станциях Windows внутри и вне корпоративной сети, внутренних сетевых ресурсах и системах хранения данных, DeviceLock Discovery обнаруживает документы и файлы, содержимое которых нарушает политику безопасного хранения корпоративных данных, и осуществляет с ними различные опциональные превентивно-защитные действия, заданные в DLP-политике. Кроме того, при обнаружении документов, хранимых с нарушением политики, DeviceLock Discovery может инициировать внешние процедуры управления инцидентами, направляя оперативные тревожные оповещения в SIEM-системы, используемые в организации.

Для облегчения задачи создания правил контентной фильтрации продукт поставляется со встроенными промышленными и геоспецифичными терминологическими словарями, предопределенными шаблонами регулярных выражений для наиболее распространенных видов конфиденциальной информации, таких как номера паспортов, кредитных карт, транспортных средств, банковских счетов, адресов и мн.др. Кроме того, DeviceLock предоставляет администраторам возможность разработки собственных словарей и шаблонов, а также модификации встроенных. Точность детектирования контента повышается за счет использования морфологического анализа словоформ заданных ключевых слов на английском, французском, итальянском, португальском, русском, испанском и каталонском языках.

В дополнение к методам инспекции данных в текстовых объектах и файлах встроенный модуль оптического распознавания символов (OCR) позволяет DeviceLock Discovery проверять текстовое содержимое графических файлов более чем 30 форматов, а также изображений, встроенных в документы и другие объекты данных. Благодаря распознаванию 26 языков в сочетании с поддержкой встроенных промышленных словарей и регулярных выражений высокоэффективный OCR-модуль обеспечивает DeviceLock Discovery возможность обнаруживать и контролировать конфиденциальные данные, представленные в графической форме, предотвращая их утечку. Уникальной особенностью Device-Lock Discovery является наличие встроенного модуля OCR во всех компонентах комплекса, включая сервер DeviceLock Discovery, агенты DeviceLock Discovery и DeviceLock Service. Такая распределенная архитектура функции оптического распознавания символов значительно повышает общую производительность, сферу применения и надежность решения. В силу того, что графические объекты сканируются и проверяются встроенными в агенты модулями OCR непосредственно на контролируемых компьютерах, существенно снижается нагрузка на Discovery Server и каналы связи корпоративной сети. Более того, такая архитектурная реализация OCR позволяет расширить сферу применения DLP-политик, предотвращающих утечки данных, на компьютеры сотрудников, используемые вне корпоративной сети, например в командировках или дома.

В случае обнаружения в сканируемых документах и файлах содержимого конфиденциального характера DeviceLock Discovery может автоматически выполнить превентивные действия по устранению выявленных нарушений, такие как удаление (файла, архива или контейнера), изменение прав доступа или шифрование, а также тревожное оповещение администратора или уведомление пользователя о выявленном нарушении.

Компонент DeviceLock Discovery может приобретаться и использоваться и как самостоятельный продукт независимо от прочих компонентов комплекса DeviceLock DLP Suite, и как часть полнофункциональной DLP-системы.

СМАРТ ЛАЙН ИНК, ЗАО
107140 Москва,
1-й Красносельский пер., 3,  пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
http://devicelock.com/ru www.smartline.ru