Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite::Журнал СА 5.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6406
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7111
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4391
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3880
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3895
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3231
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3527
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7358
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10722
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14092
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9191
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5445
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4681
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3210
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite

Архив номеров / 2012 / Выпуск №5 (114) / Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite

Рубрика: Администрирование /  ИТ в финансах

Илья Кузьминов ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

Практическое использование DLP-системы
Задание DLP-политик в DeviceLock Endpoint DLP Suite

Данный цикл статей посвящен описанию особенностей, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде. Третья статья цикла описывает некоторые нюансы задания DLP-политик для контроля устройств и каналов сетевых коммуникаций

Контроль доступа к внешним устройствам

DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у сервиса заданные DLP-политикой для этого пользователя разрешения на доступ к этому устройству и предоставляет или ограничивает его.

Все многообразие интерфейсов, доступ к которым способен контролировать DeviceLock , разбивается на порты и типы устройств:

  • порты: Bluetooth, FireWire, Infrared, Parallel Port, Serial port, USB Port.
  • типы устройств: DVD/CD-ROM, Floppy, Hard Disk, Printer, Removable, Tape, WiFi, а также смартфоны/КПК Blackberry, iPhone/iPad, и устройства под управлением ОС Palm и Windows Mobile.

Последние четыре из перечисленных типов устройств распознаются, когда они подключаются к компьютеру включенными, и устанавливается синхронизация между ними и компьютером.

Начиная с седьмой версии DeviceLock, появился также контроль доступа к буферу обмена Windows, с помощью которого можно контролировать операции копирования/вставки фрагментов текста, графики в документы. Этот интерфейс стоит особняком, не относясь ни к портам, ни к типам устройств.

Агент DeviceLock определяет, давать ли доступ пользователю к устройству, в следующем порядке:

  • есть ли у него доступ к тому или иному порту (задается в разделе настроек Devices/Permissions);
  • есть ли у него доступ к тому или иному типу устройств (задается там же);
  • есть ли доступ к тому или иному типу файлов (задается в разделе настроек Devices/Content Aware Rules).
Интерфейс белого списка: исключение устройства с серийным номером 4211D… из любых запретов для специальной учетной записи Everyone, кроме запретов на уровне устройства – Removable (верхнее окно); выбор устройства из списка всех устройств, подключавшихся к компьютеру (нижнее окно)
Интерфейс белого списка: исключение устройства с серийным номером 4211D… из любых запретов для специальной учетной записи Everyone, кроме запретов на уровне устройства – Removable (верхнее окно); выбор устройства из списка всех устройств, подключавшихся к компьютеру (нижнее окно)

Так, если для пользователя задан доступ к порту USB и есть доступ к типу устройств Removable, но нет доступа к файлам Jpeg, то он сможет передавать через порт USB, в частности на/с устройств(а) Removable, все файлы, кроме Jpeg.

Если же у пользователя есть доступ к порту USB, но нет доступа к типу устройств Removable, то он сможет работать со всеми устройствами, работающими через порт USB, кроме устройств Removable.

Наконец, если у пользователя нет доступа к порту USB, то даже если у него есть доступ к типу устройств Removable, он не сможет воспользоваться этими устройствами.

Замечание: DeviceLock относит к Removable все устройства, которые Windows относит к таковым, т.е. все Storage устройства, кроме Floppy, DVD/CD. Есть характерный признак для определения, относится ли устройство к классу Removable – Windows для Removable-устройств позволяет делать Safe remove. Отметим также, что определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа.

Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения.

Первое по приоритету исключение – «Белый список» USB-устройств. Настраивается он в разделе Devices/USB Devices White List.

В белый список может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное уникальное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве.

Если в белый список внесена линейка/устройство и при настройке белого списка снят флажок Control as Type, то доступ к линейке/устройству будет открыт независимо от запретов на уровне порта и уровне типа устройств, и операции с ним не будут отражены в журнале аудита (впрочем, в следующей версии разработчик планирует включить аудит и для устройств в Белом списке).

Каждому пользователю можно назначить свой Белый список. Это дает возможность построить надежно защищенную систему, в которой ни один пользователь не сможет воспользоваться «чужой флешкой».

Второе по приоритету исключение – снятие контроля на уровне порта для отдельных типов устройств. Это исключение настраивается в разделе Devices\Security Settings – единым списком, либо в окне Security Settings настроек доступа каждого из портов – только для устройств, которые могут работать через этот конкретный порт.

В частности, из контроля доступа на уровне порта USB могут исключаться: Human Interface Devices (HID) – клавиатура, мышь и т.д., принтеры, Bluetooth-адаптеры, USB and FireWire network cards, сканеры, Removable-устройства.

Что касается смартфонов/КПК, то если вы соедините их с рабочей станцией выключенными, они будут видеться как Removable, и вы сможете записать на них данные как на флеш-карту. Тонко настраиваемый контроль доступа к функциями этих гаджетов (включая, например, отключение доступа на чтение или запись в контактов, календаря, заметок, на исполнение файлов) работает, когда устройства соединяются с рабочей станцией в режиме синхронизации. Контроль доступа возможен для стандартных интерфейсов синхронизации (ActiveSync – для WindowsMobile, iTunes – для IPhone, IPod), а также для интерфейсов программирования приложений (API), предоставляемых разработчиком устройства и используемых приложениями различных разработчиков для взаимодействия с устройством.

Контроль доступа к каналам сетевых коммуникаций

Контроль доступа пользователей к каналам сетевых коммуникаций выстроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не где-то в сети на шлюзе. Это обеспечивает возможность контроля пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G).

Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам, пользователей, функционирует также на уровне драйвера.

В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и сервисов – как повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы – сервисы веб-почты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии.

Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы для выполнения их бизнес-задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным пользователям отправлять электронную почту на указанные адреса электронной почты. Применение таких гибких DLP-политик снижает риск утечки и кражи данных.

В следующей статье цикла мы рассмотрим некоторые особенности работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru