Когда Интернет – не зло. Контроль сетевых коммуникаций с помощью NetworkLock

 СЕРГЕЙ ВАХОНИН, директор по информационным технологиям ЗАО «Смарт Лайн Инк»

Когда Интернет – не зло
Контроль сетевых коммуникаций с помощью NetworkLock

Бизнес-процессы практически всех современных компаний требуют, чтобы сотрудники могли пользоваться электронной почтой и в необходимых случаях ресурсами сети Интернет. А это значит, что тотальная блокировка каналов сетевых коммуникаций попросту недопустима

При этом следует учитывать, что отдельные пользователи могут входить в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности. Не лишним будет также ограничение доступа к нежелательным и потенциально опасным сетевым ресурсам, в особенности социальным сетям.

Эффективный подход к защите от утечек информации с компьютеров сотрудников в Интернет начинается прежде всего с использования механизмов контекстного контроля – запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, сетевых протоколов, направления передачи, дня недели и времени суток.

DLP-решение должно максимально эффективно устранять «человеческий фактор» и пресекать нарушения дисциплины, блокируя утечки данных с компьютера для различных сценариев. Система также должна фиксировать и сохранять все факты и деwтали нарушений, обеспечивая возможность расследования, выявления нарушителей и привлечения их к ответственности. Эффективное DLP-решение должно контролировать не только локальные каналы ввода-вывода данных, но и различные сетевые коммуникации – т.е. все те потенциальные каналы утечки, которые в принципе невозможно защитить сетевыми DLP-решениями, контролирующими только трафик, проходящий через DLP-шлюз.

Подобные задачи гибкого контроля сетевых коммуникаций эффективно решает новый модуль NetworkLock комплекса DeviceLock Endpoint DLP Suite, который весной 2011 года российская компания «Смарт Лайн Инк» представила рынку. Новые модули – NetworkLock™ и ContentLock™ принципиально расширяют целевое назначение DeviceLock 7. Комплекс предотвращает утечки данных не только через локальные порты и устройства, подключаемые к рабочим компьютерам, но и через их сетевые коммуникации и – что особенно важно – использует технологии контентной фильтрации для эффективного контроля данных во всех каналах ввода/вывода.

Рисунок 1. Белый список в DeviceLock Management Console

Модуль NetworkLock, будучи установленным вместе с другими компонентами комплекса DeviceLock непосредственно на рабочем компьютере сотрудника, позволяет контролировать и протоколировать использование на рабочих станциях и серверах сетевых протоколов и коммуникационных приложений независимо от используемых ими портов, обеспечивая контроль сообщений и сессий с выделением передаваемых данных и файлов для их оперативного анализа, событийное протоколирование и теневое копирование данных.

В числе контролируемых NetworkLock сетевых приложений и сервисов – как повседневно необходимые каналы передачи электронной почты по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), веб-доступ по протоколам HTTP/HTTPS и файловый обмен по протоколам FTP/FTPS, так и наиболее популярные сетевые приложения и сервисы – веб-почты Gmail™, Yahoo! Mail™, Windows Live® Mail, Mail.ru, GMX.de, Web.de, мессенджеры ICQ®, MSN® Messenger, Jabber®, IRC, Yahoo! Messenger™, Mail.ru Agent, социальные сети Google+™, Twitter™, Facebook®, LiveJournal™, LinkedIn®, MySpace™, Одноклассники™, ВKонтакте™ и другие сетевые сервисы, а также Telnet-сессии.

Важно отметить, что все эти каналы контролируются независимо от способа подключения сотрудника к Интернету – как изнутри корпоративной сети, так и извне – через любые другие каналы подключения. Другое полезное качество NetworkLock – способность задавать гибкие политики контроля различных каналов, применимых к конкретным пользователям и группам в зависимости от разных условий, таких как направление передачи, используемые сетевые порты и адреса, временные диапазоны и т.п.

Помимо функции контроля сетевых коммуникаций, NetworkLock обеспечивает незаметный для пользователей сбор данных аудита, сохраняя в центральной базе данных сервера DeviceLock детальную информацию о фактах передачи данных и сами переданные пользователем сообщения, просмотренные страницы, закачанные в Сеть данные.

Важная функциональная особенность NetworkLock – это возможность сохранять в журнале теневого копирования точные копии переданных в Сеть и загруженных из нее файлов и данных, сообщений и переданных файлов в мессенджерах, социальных сетях и веб-сервисах, сообщений и вложений электронной почты. Этот журнал, хранимый в централизованной базе данных наряду с журналами аудита, где регистрируются все события сетевой активности контролируемых пользователей, может быть эффективно использован службой ИБ для выявления утечек данных и расследования инцидентов ИБ. Политики аудита и теневого копирования задаются аналогично правам доступа к сетевым протоколам.

Рисунок 2. Белый список протоколов

Для реализации сценария «минимальные привилегии» в NetworkLock предусмотрен механизм Белого списка сетевых протоколов. Он позволяет службе ИБ блокировать трафик по всем потенциально опасным протоколам и затем выборочно предоставлять пользователям права доступа, необходимые для выполнения их бизнес-задач. Например, можно задать Белый список, чтобы разрешить определенным пользователям пользоваться некоторыми социальными сетями, а также вести обмен мгновенными сообщениями с определенными корреспондентами только в допущенных к использованию в компании мессенджерах.

Высокая эффективность DLP-политик, создаваемых с помощью Белого списка сетевых протоколов, обеспечивается благодаря возможности задавать гранулированные права доступа к сетевым протоколам и сервисам. Так, можно задать явно ограниченный список веб-узлов, разрешенных к посещению и использованию – причем как по их DNS-именам, так и по IP-адресам и их диапазонам. Можно ограничить допустимые сетевые порты для большинства сетевых протоколов. Можно разрешить, запретить либо обязать использовать SSL-туннели для протоколов FTP, HTTP, SMTP, веб-почты и некоторых служб мгновенных сообщений. Для гибкого контроля мессенджеров NetworkLock позволяет ограничить как список локальных пользователей, которые имеют право отправлять мгновенные сообщения в этих службах, так и задать список внешних пользователей, с которыми служба ИБ считает допустимым вести переписку. Аналогичным образом обеспечивается гранулированный контроль электронной почты – можно задать список как локальных отправителей, так и их корреспондентов.

Применение политик безопасности, основанных на сценарии минимальных привилегий и функциональных возможностях Белых списков в модулях NetworkLock и DeviceLock, существенно снижает риски непреднамеренной утечки и кражи данных и позволяет задавать гибкие, а в сочетании с возможностями модуля ContentLock по-настоящему интеллектуальные DLP-политики, обеспечивающие полноценную и надежную защиту корпоративных данных на рабочих станциях и серверах организации.

Комментарии могут оставлять только зарегистрированные пользователи