DeviceLock 7 DLP Suite. Тревожная сигнализация

 СЕРГЕЙ ВАХОНИН, директор по информационным технологиям ЗАО «Смарт Лайн Инк»

DeviceLock 7 DLP Suite
Тревожная сигнализация

Компания «Смарт Лайн Инк» представила рынку новую версию своего продукта – DeviceLock 7 Endpoint DLP Suite, включающую в себя два новых модуля – NetworkLock™ и ContentLock™ – и являющуюся первой полноценной Endpoint DLP-системой отечественной разработки

Благодаря новым компонентам DeviceLock не только предотвращает утечки через порты и устройства, подключаемые к рабочим компьютерам, но и контролирует различные сетевые коммуникации, а также, что особенно важно, использует технологии контентной фильтрации передаваемых во всех контролируемых каналах данных.

Стремительная консьюмеризация корпоративных ИТ-систем предполагает активное использование для решения сотрудниками своих задач различного рода мобильных устройств, устройств хранения и передачи данных и, конечно же, целого ряда сетевых сервисов начиная с обычного доступа к сети Интернет и электронной почты. Это означает, что жесткая блокировка устройств на уровне портов ввода-вывода или каналов сетевых коммуникаций недопустима, поскольку чревата созданием искусственных помех производственным ИТ-процессам – по сути, внутренних «отказов в обслуживании». В то же время обеспечение информационной безопасности бизнес-процессов требует, чтобы осуществлялась проверка содержимого передаваемых или копируемых данных на наличие конфиденциальной информации (например, персональных данных клиентов компании), особенно учитывая, что отдельные ее сотрудники могут входить в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности (ИБ).

Для обеспечения безопасности данных на корпоративных компьютерах сегодня все шире применяются специализированные средства предотвращения утечек данных (Data Leak Prevention), которые минимизируют «человеческий фактор» и пресекают нарушения дисциплины, блокируя утечки данных с компьютеров, а также фиксируют и протоколируют все факты и детали попыток нарушений, обеспечивая возможность расследования таких инцидентов, выявления нарушителей и привлечения их к ответственности.

В то же время очевидно, что для службы ИБ необходимо иметь возможность не только анализировать событийную базу постфактум – когда нарушение политики безопасности уже свершилось либо блокировано DLP-системой, – но и реагировать на несанкционированные действия в режиме реального времени, получая оперативные сигналы о попытках доступа к устройствам, передачи данных по электронной почте и другим каналам сетевых коммуникаций и т.п. Более того, практика развития систем информационной безопасности в банковском секторе показывает, что применение централизованных единых систем мониторинга событий ИБ позволяет максимально эффективно использовать данные, получаемые от различных средств обнаружения атак, средств контроля доступа, защиты периметра. Причина такой выгоды проста – в совокупности разнородные средства защиты информации на разных уровнях генерируют огромное количество событий. Журналы событий каждого независимого компонента корпоративной безопасности (DLP-системы, корпоративного антивируса, файрвола и т.п.) хранятся отдельно, вручную найти и сопоставить необходимую информацию весьма затруднительно. Тем более что вместе с сигналами о реальных инсайдерских инцидентах поступает большое количество сигналов о штатных событиях, «ложных» для системы ИБ, что существенно снижает эффективность ее работы. Эта разобщенность устраняется применением централизованных систем мониторинга событий ИБ, которые позволяют автоматизировать процессы сбора и корреляционного анализа событийной сигнализации от средств защиты информации в рамках всей корпоративной ИС. Интеграция событийного анализа и централизация управления отработки нештатных ситуаций принципиально повышают уровень информационной защищенности сетевой инфраструктуры организации в целом.

Учитывая эти факторы, компанией «Смарт Лайн Инк» в ближайшее время будет представлена новая версия DeviceLock Endpoint DLP Suite, в которой появится подсистема оперативного оповещения службы корпоративной ИБ о значимых для службы ИБ попытках нарушения персоналом DLP-политик и попытках административных нарушений со стороны обслуживающего DLP-систему ИТ-персонала. В частности, DeviceLock будет отсылать «сигналы тревоги» о событиях доступа к устройствам и сетевым протоколам, событиях административного характера, связанных с изменением DLP-политик, установке или удалении агента. Информация о каждом событии содержит такие данные, как дата и время события, компьютер, на котором произошел инцидент, имя пользователя, тип события и само событие (чтение, запись, чат и т.п.), имя устройства или сетевого протокола и другое. Среди административных инцидентов стоит отметить такие, как выявленное повреждение или изменение применяемых DLP-политик, попытка нарушения целостности агента DeviceLock, изменение списка администраторов DeviceLock. Также фиксируется и происходит оповещение офицера ИБ в случае, когда пользователь с недостатком прав на изменение DLP-политик пытается неоднократно применить произвольные политики.

Оперативные оповещения (тревожные сигналы, алерты) в DeviceLock настраиваются точно так же, как и традиционное журналирование событий безопасности, но с тем отличием, что события регистрируются не в журналах аудита, а в режиме реального времени отсылаются в соответствии с заданными настройками по указанным протоколам. Разумеется, система оперативного оповещения не заменяет и не отменяет систему аудита и прекрасно с ней сосуществует. Можно задать режим отсылки оповещений при срабатывании отдельных DLP-политик, даже если алерты не предусмотрены для устройства или протокола в целом.

DeviceLock позволяет задать различные настройки оперативных оповещений для online- и offline-режимов работы компьютеров

DeviceLock позволяет задать различные настройки оперативных оповещений для online- и offline-режимов работы компьютеров. Это дает службам ИБ возможность оперативно реагировать на ситуации, когда, например, пользователь отключается от корпоративной сети, выходит в Интернет через стороннюю Wi-Fi-сеть и пытается отправить файл, содержащий конфиденциальные данные, через личный аккаунт почтового веб-сервиса.

Передача оперативных оповещений осуществляется по протоколам SMTP и SNMP. Администратор DeviceLock задает получателей для сообщений электронной почты либо необходимые параметры для передачи алертов по протоколу SNMP. Использование протокола SNMP, являющегося общепризнанным стандартом передачи сигналов тревожной сигнализации, позволяет прозрачно встроить подсистему тревожной сигнализации DeviceLock в уже используемую в компании систему управления алертами и менеджмента инцидентов в корпоративной ИС. На рынке представлены десятки систем класса SIM/SIEM, такие как IBM Tivoli, ArcSight, netForensis, Cisco MARS, LogLogic и ряд других.

Важно отметить, что DeviceLock лишен проблемы ложных срабатываний, представляя службе ИБ оповещения только о тех событиях, которые действительно случились и имеют значение для расследования инцидентов или оперативного реагирования службы ИБ.

Сочетание функционала компонентов DeviceLock, NetworkLock и ContentLock с новыми возможностями подсистемы тревожной сигнализации дает службам ИБ весь необходимый инструментарий для оперативного контроля, аудита и анализа активности пользователей в Сети и с использованием внешних устройств. Комбинирование и сочетание правил контроля и аудита, задаваемых в DeviceLock DLP Suite, позволит оградить рассеянных и забывчивых сотрудников от случайной отправки в Сеть ценной корпоративной информации, при этом блокируя сознательные нарушения со стороны злонамеренных инсайдеров. Служба ИБ при этом принимает на себя гораздо больше ответственности, получая взамен возможность оперировать гораздо большим объемом знаний. Кроме того, среди выгод от интеграции подсистемы тревожной сигнализации в DeviceLock и корпоративной системы менеджмента инцидентов необходимо отметить такие, как гарантированное время реагирования на критичные для бизнеса инциденты ИБ, постоянный контроль состояния информационной безопасности корпоративной сети, автоматизация процесса обнаружения угроз.

Чтобы внедрить в организации реально работающую DLP-систему и качественный менеджмент инцидентов ИБ, потребуется детально изучить и понять, а где-то даже изменить бизнес-процессы компании, четко определить требования к безопасности информации и затем уже интерпретировать эти требования в понятия DLP-политик DeviceLock. Однако дополнительные трудовые и прочие затраты на внедрение и эксплуатацию интеллектуальной DLP-системы – это более чем оправданная цена за значительное снижение рисков и ущерба организации от утечек конфиденциальных данных и возможность оперативного реагирования на инциденты информационной безопасности.

Комментарии могут оставлять только зарегистрированные пользователи