Защита от утечки данных
через мессенджеры

Весной 2018 года компания «Смарт Лайн Инк», разработчик программного комплекса DeviceLock DLP Suite, решения по предотвращению утечек данных с корпоративных компьютеров, а также виртуализованных рабочих сред и приложений Windows, планирует выпустить очередную версию своего продукта – DeviceLock® DLP Suite 8.3. Первая Бета-версия была опубликована в канун этого года и доступна для свободного ознакомления. Данный обзор описывает наиболее интересные новые возможности программного комплекса

Агент DeviceLock – единственный на мировом рынке агент класса Endpoint DLP со встроенным резидентным модулем, ре­ализующим технологию глубокого анализа и фильтрации сете­вых пакетов (deep packet inspection, DPI) не­посредственно на защищаемом компьютере. Для большинства мессенджеров, контролируемых DeviceLock DLP Suite, реализованы мо­ментальный анализ и фильтрация содержимого сообщений в чате, а не только исходя­щих файлов. Показательным при­мером является прак­ти­чески полный контроль мессенджера Skype во множест­ве его вариаций, в том числе Skype for Business, когда агент DeviceLock контролирует права поль­зователей Skype делать и получать аудио/видеозвонки, ис­пользуя вкачест­ве параметров их учетные записи в системе, членство в группах и skype-идентификаторы, анализиру­ет содержи­­мое переписки и передаваемых файлов в режи­ме реально­го времени с применением соответствующих DLP-политик.

Если года три назад специалисты служб ИБ были озабочены решением задачи контроля коммуникаций в Skype, то сегодня наряду с этим каналом (все еще актуальным и создающим объективную угрозу утечек данных) специалисты учитывают риски потери информации через другие популярные мессенджеры – WhatsApp, Viber, Telegram. В этом направлении DeviceLock DLP традиционно выступает технологическим лидером среди других DLP-систем. В случае с WhatsApp, отличительной особенностью которого является качественно реализованное проприетарное шифрование передаваемых данных, DeviceLock DLP на сегодня позволяет задать индивидуальные (или по группам пользователей) политики доступа кWhatsApp Web, а также протоколировать факты его использования. Для мессенджера Viber реализована возможность селективного контроля и протоколирования для чатов ипередаваемых файлов, включая теневое копирование, а также протоколирования соединений и голосовых коммуникаций через Viber. Селективность контроля в данном случае означает возможность не только ограничивать доступ к мессенджеру отдельным пользователям и группам, но и возможность, например, запрета передачи файлов при разрешении чата.

Особенности контроля Telegram в DeviceLock DLP

Возможности контроля мессенджера Telegram в DeviceLock намного шире, чем для WhatsApp и Viber. Прежде всего детектируется и контролируется использование как веб-версии Telegram, так и приложения Telegram Desktop. Для веб-версии DeviceLock DLP на сегодня предоставляет уникальную среди DLP-решений возможность задавать политики контроля доступа и протоколирование соединений. Для версии же Telegram Desktop возможно, помимо селективного контроля доступа, задать детальное событийное протоколирование исоздание теневых копий для всех чатов, независимо от того, канал это, мультичат или чат между двумя собеседниками. Другой уникальной возможностью является асинхронный контентный анализ сообщений и файлов, отправляемых через Telegram Desktop, позволяющий обеспечить оперативную реакцию на специфическое содержимое отправляемых данных. Наконец, DeviceLock DLP способен извлекать из переписки в Telegram и сохранять в журнале реальные имена отправителей и получателей для целей протоколирования ивывода в динамическом графе связей.

Использование цифровых отпечатков в контентной фильтрации

Метод использования цифровых отпечатков в DLP-системах, в основе которого лежит сопоставление документов или файлов с так называемыми цифровыми отпечатками – наборами буквенно-цифровых строк (хешей), является одним из наиболее точных методов идентификации и защиты информации. Особенно эффективен этот метод дляидентификации незначительно измененных типовых документов (например, он позволяет легко идентифицировать заполненные контракты, отличающиеся только данными одной изсторон); для идентификации финансовых данных, хранящихся в документах MS Office, бизнес-информации, хранящейся в файлах PDF, или исходного кода, хранящегося втекстовых файлах. Кроме того, цифровые отпечатки можно использовать для идентификации и защиты нетекстовых файлов (таких, как изображения, чертежи и мультимедийные файлы), а также для идентификации данных, которые пытаются скопировать из одного файла в другой. С помощью цифровых отпечатков можно обнаруживать как полностью скопированные документы, так и отдельные фрагменты документов, даже если в документ были внесены изменения или искажения путем добавления «мусорного» текста.

DeviceLock DLP снимает цифровые отпечатки с образцов конфиденциальных документов, сохраняя их в базе данных отпечатков сервера DeviceLock Enterprise Server, а затем сравнивает их с цифровыми отпечатками проверяемых документов. Если процент «соответствия отпечатков» превышает требуемый порог в соответствии с настройкой, проверяемые документы считаются конфиденциальными и к ним применяются заданные в контентно-зависимом правиле действия. Правила, построенные на базе контентных групп Document Fingerprints, могут применяться как к устройствам, так и к сетевым протоколам, позволяя использовать цифровые отпечатки для управления разрешениями на доступ, избирательного теневого копирования и задач обнаружения содержимого в асинхронном режиме.

При создании правил используется классификация хранимых цифровых отпечатков по уровням важности или секретности (например, Restricted, Confidential, Top Secret). DeviceLock предоставляет ряд встроенных классификаций и позволяет добавлять дополнительные пользовательские классификации.

Обработка образцов информации и снятие их отпечатков осуществляются задачами на сервере DeviceLock Enterprise Server. Каждая такая задача относится к определенной классификации и присваивает ее тем отпечаткам, которые она создает. При каждом запуске задача может проверять файлы в определенной папке. Для каждого файла она сначала создает его отпечатки и сравнивает их с отпечатками из базы данных. Проверка же передаваемой информации выполняется агентом DeviceLock локально, при этом агент запрашивает сервер для оценки отпечатков проверяемой информации.

Функция использования цифровых отпечатков для контентного анализа информации, передаваемой по сети, печатаемых или сохраняемых на внешних накопителях, будет включена в DeviceLock DLP версии 8.3, а первая Бета-версия уже доступна для свободного ознакомления на сайте www.devicelock.com.

Программный комплекс DeviceLock DLP Suite предлагает для эффективного решения задачи защиты от утечек данных полнофункциональный набор контекстных и контентно-зависимых механизмов эффективного контроля используемых (data-in-use), передаваемых (data-in-motion) и хранимых (data-at-rest) данных. Ключевой особенностью продукта является принцип работы в режиме реального времени, с обеспечением защиты непосредственно на пользовательских компьютерах. Исполнительный агент DeviceLock, функционирующий на уровне ядра операционной системы, поддерживает самый широкий в DLP-отрасли набор контекстных методов предотвращения утечек данных с защищаемых пользовательских компьютеров через их локальные интерфейсы и порты, периферийные, виртуальные и перенаправленные в терминальные сессии устройства ввода-вывода, системный буфер обмена, снимки экрана, а также каналы сетевых коммуникаций.

Критически важное преимущество агента DeviceLock перед резидентными DLP-агентами в других DLP-решениях, помимо возможности контентного анализа и фильтрации врежиме реального времени в целях предотвращения утечек данных, состоит в его защищенности от попыток изменения исполняемых политик, отключения, удаления и иных деструктивных действий не только со стороны обычных пользователей, но и локальных системных администраторов.

Комментарии могут оставлять только зарегистрированные пользователи