Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite

 ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

Практическое использование DLP-системы
Задание DLP-политик в DeviceLock Endpoint DLP Suite

Данный цикл статей посвящен описанию особенностей, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде. Третья статья цикла описывает некоторые нюансы задания DLP-политик для контроля устройств и каналов сетевых коммуникаций

Контроль доступа к внешним устройствам

DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у сервиса заданные DLP-политикой для этого пользователя разрешения на доступ к этому устройству и предоставляет или ограничивает его.

Все многообразие интерфейсов, доступ к которым способен контролировать DeviceLock , разбивается на порты и типы устройств:

• порты: Bluetooth, FireWire, Infrared, Parallel Port, Serial port, USB Port.
• типы устройств: DVD/CD-ROM, Floppy, Hard Disk, Printer, Removable, Tape, WiFi, а также смартфоны/КПК Blackberry, iPhone/iPad, и устройства под управлением ОС Palm и Windows Mobile.

Последние четыре из перечисленных типов устройств распознаются, когда они подключаются к компьютеру включенными, и устанавливается синхронизация между ними и компьютером.

Начиная с седьмой версии DeviceLock, появился также контроль доступа к буферу обмена Windows, с помощью которого можно контролировать операции копирования/вставки фрагментов текста, графики в документы. Этот интерфейс стоит особняком, не относясь ни к портам, ни к типам устройств.

Агент DeviceLock определяет, давать ли доступ пользователю к устройству, в следующем порядке:

• есть ли у него доступ к тому или иному порту (задается в разделе настроек Devices/Permissions);
• есть ли у него доступ к тому или иному типу устройств (задается там же);
• есть ли доступ к тому или иному типу файлов (задается в разделе настроек Devices/Content Aware Rules).

Интерфейс белого списка: исключение устройства с серийным номером 4211D… из любых запретов для специальной учетной записи Everyone, кроме запретов на уровне устройства – Removable (верхнее окно); выбор устройства из списка всех устройств, подключавшихся к компьютеру (нижнее окно)

Так, если для пользователя задан доступ к порту USB и есть доступ к типу устройств Removable, но нет доступа к файлам Jpeg, то он сможет передавать через порт USB, в частности на/с устройств(а) Removable, все файлы, кроме Jpeg.

Если же у пользователя есть доступ к порту USB, но нет доступа к типу устройств Removable, то он сможет работать со всеми устройствами, работающими через порт USB, кроме устройств Removable.

Наконец, если у пользователя нет доступа к порту USB, то даже если у него есть доступ к типу устройств Removable, он не сможет воспользоваться этими устройствами.

Замечание: DeviceLock относит к Removable все устройства, которые Windows относит к таковым, т.е. все Storage устройства, кроме Floppy, DVD/CD. Есть характерный признак для определения, относится ли устройство к классу Removable – Windows для Removable-устройств позволяет делать Safe remove. Отметим также, что определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа.

Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения.

Первое по приоритету исключение – «Белый список» USB-устройств. Настраивается он в разделе Devices/USB Devices White List.

В белый список может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное уникальное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве.

Если в белый список внесена линейка/устройство и при настройке белого списка снят флажок Control as Type, то доступ к линейке/устройству будет открыт независимо от запретов на уровне порта и уровне типа устройств, и операции с ним не будут отражены в журнале аудита (впрочем, в следующей версии разработчик планирует включить аудит и для устройств в Белом списке).

Каждому пользователю можно назначить свой Белый список. Это дает возможность построить надежно защищенную систему, в которой ни один пользователь не сможет воспользоваться «чужой флешкой».

Второе по приоритету исключение – снятие контроля на уровне порта для отдельных типов устройств. Это исключение настраивается в разделе Devices\Security Settings – единым списком, либо в окне Security Settings настроек доступа каждого из портов – только для устройств, которые могут работать через этот конкретный порт.

В частности, из контроля доступа на уровне порта USB могут исключаться: Human Interface Devices (HID) – клавиатура, мышь и т.д., принтеры, Bluetooth-адаптеры, USB and FireWire network cards, сканеры, Removable-устройства.

Что касается смартфонов/КПК, то если вы соедините их с рабочей станцией выключенными, они будут видеться как Removable, и вы сможете записать на них данные как на флеш-карту. Тонко настраиваемый контроль доступа к функциями этих гаджетов (включая, например, отключение доступа на чтение или запись в контактов, календаря, заметок, на исполнение файлов) работает, когда устройства соединяются с рабочей станцией в режиме синхронизации. Контроль доступа возможен для стандартных интерфейсов синхронизации (ActiveSync – для WindowsMobile, iTunes – для IPhone, IPod), а также для интерфейсов программирования приложений (API), предоставляемых разработчиком устройства и используемых приложениями различных разработчиков для взаимодействия с устройством.

Контроль доступа к каналам сетевых коммуникаций

Контроль доступа пользователей к каналам сетевых коммуникаций выстроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не где-то в сети на шлюзе. Это обеспечивает возможность контроля пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G).

Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам, пользователей, функционирует также на уровне драйвера.

В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и сервисов – как повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы – сервисы веб-почты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии.

Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы для выполнения их бизнес-задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным пользователям отправлять электронную почту на указанные адреса электронной почты. Применение таких гибких DLP-политик снижает риск утечки и кражи данных.

В следующей статье цикла мы рассмотрим некоторые особенности работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite.

Комментарии могут оставлять только зарегистрированные пользователи