DLP от InfoWatch

Наша организация сейчас находится на стадии выбора DLP-системы. Решение это дорогое и "долговнедряемое". поэтому нужно выбрать самую эффективную под наши цели. И, соответственно, в течении полугода будем участвовать в тестирование DLP-шек от различных вендоров.

В данной статье, коротко, опишу первое из пилотных решений от компании InfoWatch. Постараюсь, по мере сил, не хвалить или ругать, т.к. других решений длительное время "пощупать" не удалось (пока). Но, что меня не могло не порадовать в InfoWatch, что в рамках пилота они проводят обучение и выдают сертификат с автографом Натальи Касперской (еще интересную книжку по форензике и флешку). Да, кстати, обучение проводил Иван Павлов - обучал грамотно, за что ему большой респект :)

InfoWatch предоставляет свое оборудование, на котором размещены Trafic Monitor (TM) - сниффер и база данных (под управлением Oracle 11g2E ). Железка подключается к Mirrorin порту вашего маршрутизатора (SPAN -порту, если вы счастливый обладатель маршрутизатора Cisco ) либо к Proxy -серверу, с которого на сервер TM будет поступать ICAP -трафик.

Что касается почтового траффика (SMTP ), то его можно не только отлавливать, но и фильтровать (либо задерживать определенные сообщения до ручной проверки), если сервер TM установлен "в разрыв" между почтовым сервером и маршрутизатором (либо proxy ).

Администратор подключается к базе данных с помощью консоли и "вытаскивает" информацию посредством запросов.

В комплекте поставляется сервер Device Monitor. а на машины устанавливается клиентская часть, что дает возможность анализировать, а также делать теневые копии всего, что копируется на внешние носители или передается на печать.

Сниффер начинает свое "нюхательное" дело с первичной обработки трафика, преобразуя его в объекты, с которыми система умеет работать, и занося оные в БД. На этом этапе идет отсев "бесполезного трафика", т.к. если мы будем записывать запросы в поисковики, переводчики, на внутренние ресурсы в большой компании, то база разрастется неимоверно. а что люди ищут в гугле и переводят онлайн по большому счету не так уж и важно.

В TM реализованы 3 средства анализа перехваченных объектов:

• На вхождение шаблонов текстовых объектов. Если в объекте находится сочетание "Совершенно секретно" и система настроена соответствующим образом, то объект будет соответствующим образом "помечен" (об этом подробнее чуть ниже). Или если в объекте будет содержаться номер паспорта гражданина РФ (или что-то на него очень похожее), то система его также "пометит". В наличие в системе содержится приличный перечень таких объектов (ОГРН, ИНН, Различные грифы), ну и естественно можно добавлять свои (только не регулярными выражениями, а "жестко"). Ошибок практически не возникает (а в тех случаях, когда возникают, человек бы и сам мог принять пересылаемую информацию, скажем за ИНН).

На основе цифровых отпечатков. В систему загружаются типовые конфиденциальные документы, которые запрещено пересылать. Она их хэширует, но не целиком, а определенные части. В дальнейшем, если такие же части этих документов будут встречаться в перехваченных объектов, то система отреагирует. Здесь уже наблюдаются ошибки, в частности с базой наших клиентов (здоровенная таблица Excel), с который мы сняли отпечаток. Иногда систему можно понять и простить - например в подписи письма, на которое отвечает сотрудник содержится такая-же фамилия, как и у клиента. Иногда она реагирует на набор специальных команд в запросе к какому-нибудь веб-ресурсу.

Система выносит вердикт - запрещен или разрешен для пересылки объект, основываясь на результатах анализа (содержатся ли текстовые объекты, цифровые отпечатки, к какой категории относится пересылаемая информация), а также на том, кто является получателем и отправителем сообщения. Запрещенные объекты будут по умолчанию окрашены красным.

Взаимодействие с БД осуществляется через консоль.

В консоли довольно гибко настраиваются права на работу с объектами (например, оператору поручено следить только за определенными подразделениями, поэтому доступ к остальным можно закрыть). Реализовано это через "Зоны ответственности". Еще радует ролевая модель доступа.

Объекты "вытягиваются" из базы посредством условий. Условия довольно гибкие и составляются с помощью мастера, который интерпретирует их в LUA -скрипт. С этим, кстати возникли небольшие проблемы - в LUA символ % заменяет произвольное число символов, а символ _ - заменяет один символ. Поэтому, чтобы найти, например, получателей с email'ом qqq_qqq@mail.ru пришлось использовать экранирующие символы (qqq_qqq@mail.ru ). Сложности в этом нет, но выдал руководству неверную информацию по оправкам конфиденциальных данных на email одного из конкурентов. за что по голове не погладили).

С этой DLP работать можно. но эффективная работа (в большой компании) потребует много времени на тонкую настройку, что вполне логично и на "допиливания" (вендор собирает предложения от клиентов и называет это "future requests ". Время взаимодействия с разработчиком, в большинстве случаев, устраивает. Теперь ждем следующих пилотных проектов для сравнения.

CNews: Безопасность

Ведущий российский оператор ИТ-услуг LETA IT-company — это многопрофильная сервисная компания, которая решает задачи своих клиентов с помощью передовых информационных технологий. Компания специализируется на защите информационной среды заказчика, управлении ИТ-активами предприятия, веб-интеграции бизнес-процессов.

Целью своей деятельности на рынке LETA-IT-company видит помощь своим клиентам в уменьшении рисков, снижении издержек и повышении конкурентоспособности их бизнеса, с помощью внедрения наиболее современных ИТ-решений, в наиболее полной мере соответствующих задачам конкретного клиента, будь то крупная коммерческая или государственная организация или средняя компания. Постоянными клиентами LETA IT-сompany являются: АК «Алроса», МТС, Уралсиб, СУАЛ-холдинг, Банк Русский Стандарт, Высший Арбитражный Суд РФ, Государственный Кремлевский Дворец, Госдума РФ, Гознак, Московский Индустриальный банк, Мосэнерго, Метрогипротранс, НОМОС-БАНК, Сумитомо Корпорэйшен, УренгойГазпром.

Одним из основных направлений LETA IT-company является оказание комплекса услуг по защите предприятий от утечек важной информации и действий инсайдеров. Именно поэтому компания получила статус бизнес-партнера InfoWatch и предлагает своим клиентам комплексное решение InfoWatch Enterprise Solution.

Причины внедрения системы InfoWatch в LETA IT-company

Как добросовестный поставщик наиболее сложных решений ИТ-безопасности, компания LETA, в первую очередь, «обкатывает» поставляемые продукты на своей собственной ИТ-инфраструктуре. И лишь полностью изучив технологии на практике и добившись их эффективной работы в своей организации, предлагает соответствующие решения заказчикам. В соответствии с этим принципом, руководство компании LETA ставило своей целью проверить продукты InfoWatch в действии и убедиться в их эффективности. Так было решено внедрить всех модули, входящие в состав комплексного решения InfoWatch Enterprise Solution:

• InfoWatch Traffic Monitor — программный модуль, позволяющий выявить и предотвратить утечку через почтовый канал и интернет. Продукт фильтрует HTTP- и SMTP- трафик, не позволяя переслать конфиденциальные документы через корпоративную и web- почту, форумы, чаты и т.д. Модуль в масштабе реального времени блокирует пересылку классифицированных сведений, ведет подробный отчет о произведенных операциях и сообщает офицеру ИТ-безопасности обо всех нарушениях политики.
• InfoWatch Net Monitor — программный продукт для контроля над обращением конфиденциальной информации на рабочих станциях и файловых серверах. Модуль в масштабе реального времени отслеживает операции с файлами (чтение, изменение, копирование, копирование в буфер обмена, печать и др.) и сообщает офицеру ИТ-безопасности о тех из них, которые не соответствуют принятой политике информационной безопасности. Кроме того, в состав продукта входит InfoWatch Device Monitor, позволяющий контролировать доступ пользователей к коммуникационным портам и устройствам ввода-вывода рабочей станции (CD, floppy, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, FireWire, Wi-Fi). Продукт подробно протоколирует все действия с файлами и сообщает ответственным лицам о случаях нарушения.
• InfoWatch Mail Storage — программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа переписки. Кроме того, модуль позволяет архивировать абсолютно весь почтовый трафик, пересылаемый через интернет. Эффективность применения данного инструмента на российских предприятиях значительно повышается благодаря встроенной поддержке морфологии русского языка.

Благодаря грамотному подходу к внутренней ИТ-безопасности и использованию комплексного решения InfoWatch Enterprise Solution, компания LETA смогла уже в течение первых нескольких месяцев эксплуатации продукта выявить и обезвредить инсайдера.

Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Если бы инсайдеру удалось привести свой план в действие, то LETA понесла бы серьезные финансовые потери, связанные с недополученной прибылью и утечкой сведений о заказчиках. Возможно, что удар по репутации и плохое паблисити причинили бы фирме еще больший ущерб.

Между тем, злоупотребление было оперативно и заблаговременно выявлено с помощью комплексной системы предотвращения утечек InfoWatch Enterprise Solution. Совместное использование модулей InfoWatch Traffic Monitor и InfoWatch Mail Storage позволило быстро заметить подозрительную активность инсайдера, а затем - собрать необходимые доказательства его вины.

Первым сигналом стало предупреждение о подозрительной активности сотрудника, полученное офицером ИТ-безопасности компании LETA от InfoWatch Traffic Monitor. Отметим, что система фильтрации почтового и веб-трафика не зафиксировала утечки конфиденциальной информации, так как инсайдер и не пытался выслать ее за пределы ИТ-инфраструктуры компании. Между тем, он вел подозрительные переговоры по электронной почте, и модуль InfoWatch Traffic Monitor своевременно зафиксировал это и подал сигнал тревоги.

Однако чтобы доказать вину инсайдера, пришлось тщательно изучить почтовые сообщения, которыми злоумышленник обменивался с потенциальными заказчиками. Для этого пришлось сделать несколько аналитических выборок из архива InfoWatch Mail Storage. Уже после беглого просмотра первых отсортированных сообщений стало ясно, что в компании завелся нечистый на руку менеджер по продажам. Углубленное изучение архива укрепило эти подозрения, и служба ИБ сразу информировала об инциденте руководителей компании. Дальнейшее расследование дало неопровержимые доказательства нарушения корпоративной этики и трудового договора, в котором содержались положения о конфиденциальности. Инсайдер, возместил ущерб и был уволен.

Таким образом, компании удалось защитить свой самый ценный информационный актив — клиентскую базу, предотвратить угрозу деловой репутации. При этом руководство LETA решило не замалчивать инцидент, а проинформировать общественность и другие компании, чтобы инсайдер не смог найти себе новую жертву.

Важно отметить, что технические средства мониторинга почты были удачно дополнены необходимыми организационными мерами. В компании была внедрена политика ИТ-безопасности и «Положение о конфиденциальности». Каждый сотрудник, подписав трудовой договор, обязался хранить коммерческую тайну работодателя и документально передать все данные, созданные на рабочем месте в собственность компании. Такой подход не только упрощает сбор доказательной базы против инсайдеров, но чрезвычайно полезен и удобен добросовестным сотрудникам, которые, порой, те очень точно представляют, где проходит грань между допустимым использованием служебной информации и нарушением интересов работодателя.

«Клиентская база — один из активов любой коммерческой компании, который служит благодатной почвой для злоупотреблений и нечестной конкуренции. Ценность этого ресурса, буквально провоцирует сомнительные действия. Именно поэтому просто необходимо надежно защитить этот актив, — комментирует Александр Чачава, президент LETA IT-company. — Наш опыт показал, что современные достижения технологий по обеспечению информационной безопасности позволяют эффективно оградить бизнес от инсайдеров при должном внимании со стороны руководства».

Проблема умышленных действий служащих, наносящих вред государственным и коммерческим организациям далеко не нова. Из-за недостатка контроля во многих федеральных министерствах и ведомствах в свободной продаже находятся десятки баз данных, по которым можно составить полный цифровой портрет любого гражданина РФ. Нередки и случаи утечки данных из коммерческих компаний. Однако ранее в России не было ни одного публичного случая выявления виновных и предотвращения утечки.
«Инцидент в компании LETA примечателен тем, что руководство успешно предупредило действия инсайдера и открыто заявило о выявленном нарушении. Нечестные сотрудники есть в каждой компании, но далеко не каждый в состоянии их выявлять и защищать свои информационные активы, — комментирует Евгений Преображенский, генеральный директор InfoWatch, — Многие компании предпочитают просто умалчивать и забывать о подобных инцидентах. Однако бездействие не латает дыры, но гарантирует рецидивы».

Партнерство InfoWatch и LETA IT-company

В марте 2005 года компания InfoWatch присвоила LETA IT-company статус официального партнера уровня «InfoWatch Security Integrator». Сотрудничество компаний InfoWatch и LETA подразумевает, в частности, совместное проведение работ по аудиту ИТ-безопасности, консультаций по улучшению защищенности информационных систем, совместное продвижение продуктов и услуг компаний.

Статус «InfoWatch Security Integrator» (IWSI) дает партнеру ряд преимуществ для эффективных продаж и внедрения комплексных решений для внутренней ИТ-безопасности. Так, партнер InfoWatch получает право самостоятельно проводить работы по обследованию информационной системы заказчика и интеграции необходимых технологий InfoWatch. При этом IWSI имеет возможность пользоваться ресурсами консалтинга и технической поддержки разработчика и других партнеров InfoWatch, программой рекламно-маркетинговой поддержки, готовыми программами обучения для собственных партнеров и заказчиков. С другой стороны, InfoWatch гарантирует заказчику высокий уровень качества услуг партнера и результативность внедренных решений. Также, партнер может бесплатно использовать комплексное решение InfoWatch Enterprise Solution для защиты собственной конфиденциальной информации от инсайдеров.

В соответствии с условиями соглашения компания LETA выполнила требования по сертификации сотрудников. В конце февраля в учебном центре InfoWatch от компании LETA прошли обучение специалисты по продажам, технические консультанты и инженеры по внедрению решений InfoWatch. В настоящий момент компании уже приступили к внедрению системы защиты конфиденциальной информации на нескольких крупных российских предприятиях.

Руководство infowatch device monitor

InfoWatch Device Monitor позволяет предотвратить случайные или преднамеренные случаи несанкционированной передачи корпоративных данных на внешние носители (через порты и другие каналы обмена информацией) и разграничить использование устройств ввода–вывода данных в соответствии с корпоративными политиками информационной безопасности.
Решение позволяет обеспечить:

• контроль копирования конфиденциальных документов или их частей на сменные носители (floppy дисководы, внешние USB носители или внешние носители, подключаемые через разнообразные порты - USВ LPT, COM), контроль доступа к CD/DVD приводам;
• контроль использования устройств, работающих по беспроводным протоколам, таких как IRDA и Bluetooth
• контроль доступа пользователей к КПК устройствам (под управлением операционных систем Windows Mobile и Palm OS);
• контроль данных, выводимых на печать.

На рабочих станциях и ноутбуках размещаются специализированные агенты InfoWatch Device Monitor, управление которыми осуществляется через центральную консоль. Сразу же при подключении к сети, компьютер, на котором установлен агент, получает свой собственный набор политик безопасности. Работа агента происходит в фоновом режиме и требует минимальных ресурсов операционной системы.

InfoWatch Device Monitor проверяет совершаемые операции, связанные с работой с внешними носителями, а также процесс печати на соответствие требованиям политики безопасности. Со всех данных, копируемых на внешние носители или выводимых на печать, InfoWatch Device Monitor позволяет снимать теневые копии. Теневая копия передается на центральный сервер анализа и обработки данных, где далее выносится вердикт о том, содержит ли данный объект конфиденциальную информацию. По завершении проверки данные сохраняются в универсальном хранилище InfoWatch Storage.

Для каждого пользователя или группы возможно задать свой "белый" список устройств, доступ к которым будет разрешен всегда. Устройства можно идентифицировать по модели или по уникальному серийному номеру.

Интеграция с Microsoft Active Directory позволяет напрямую выбирать пользователей или группы пользователей из корпоративного каталога и централизованно применять к ним корпоративные политики безопасности. Решение позволяет централизованно устанавливать агентов. InfoWatch Device Monitor посредством политик Microsoft Active Directory, а также посредством собственного механизма централизованного развертывания агентов в сети компании.

Система позволяет обеспечить необходимый уровень защиты от привилегированных пользователей (системных администраторов), имеющих административные права. Остановить работу агента невозможно, даже имея максимальный объем прав.

Если компьютер находится вне корпоративной сети, и совершаются попытки запрещенных операций, то подозрительные действия будут блокированы согласно политике. Теневые копии будут переданы на сервер InfoWatch Device Monitor сразу же при подключении компьютера к корпоративной сети. Результатом является выполнение политики безопасности и защита конфиденциальной информации даже в условиях удаленной работы пользователей.

Система позволяет строить исчерпывающие отчеты на основе данных журналов аудита, а также анализа файлов теневого копирования о перемещении и использовании конфиденциальной информации в компании.

Система предотвращения утечки данных

InfoWatch Traffic Monitor — единственное средство информационной безопасности, которое решает исключительно бизнес- задачи:

• помогает бизнесу получить уверенность в безопасности ценных и конфиденциальных данных;

• дает понимание всех внутренних и внешних потоков информации в организации;

• позволяет выявить сговоры, злоумышленников, лиц, занимающихся промышленным шпионажем, а также круг причастных лиц;

• помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени его лояльности к компании;

• формирует доказательную базу по инцидентам для дальнейшего юридического преследования нарушителей.

InfoWatch Traffic Monitor Standard Appliance - это надёжная система контроля движения важных корпоративных данных для компаний, которые ценят своё время, предпочитают быстрое внедрение и мгновенный результат.

Решение разработано под потребности и нужды малого и среднего бизнеса. Аппаратная составляющая построена на базе серверов Hewlett-Packard и Fujitsu Technology Solutions и оптимизирована для работы в сети предприятий с количеством сотрудников до 300 человек.

• криминальные действия сотрудников с использованием корпоративной инфраструктуры (шантаж, мошенничество);

• хищение и распространение конфиденциальной информации (банковская тайна, коммерческая и финансовая информация);

• распространение данных о сотрудниках и клиентах (персональные данные, зарплаты, номера счетов, база клиентов);

• использование корпоративной инфраструктуры в личных целях;

• неправомерные действия сотрудников (распространение нежелательной информации от лица компании, несанкционированное взаимодействие с прессой, распространение секретных сведений).

• Перехват информации, отправляемой за пределы компании

Продукт производит мониторинг данных, которые передаются через почтовые системы, web, системы обмена сообщениями, распечатываются и копируются на съемные носители.

• Анализ и принятие решений

Перехваченная информация проходит многоуровневый анализ. Совместное использование нескольких технологий контентного анализа позволяет эффективно использовать достоинства каждой из них и защищать информацию в течение всего жизненного цикла, а также осуществлять точное детектирование конфиденциальных данных из всего потока информации.

• Хранение и отчетность

Все перехваченные данные помещаются в централизованный архив системы, объем которого составляет 200 Гб. Сохранение всей информации в архиве позволяет отследить маршруты движения информации, случаи нецелевого использования корпоративных ресурсов, и представляет собой надежную доказательную базу для расследования инцидентов, поиска утечек конфиденциальной информации. Более 60 шаблонов отчетов помогут собрать и оформить доказательства для расследования инцидентов.  

Контроль информации, передаваемой через корпоративную почтовую систему, интернет-ресурсы, средства общего доступа к файлам (SMTP, HTTP, HTTPS, FTP)

Контроль систем обмена сообщениями (ICQ, Skype, Mail.ru Агент, GTalk и другие)

Контроль голосового трафика (Skype)

Контроль использования устройств и портов на рабочих станциях

Контроль сетевых соединений на рабочих станциях

Теневое копирование распечатываемых и копируемых на съемные носители документов

Предотвращение утечки конфиденциальных данных путем блокирования процесса передачи в случае нарушения политики безопасности

Комплексное решение, применяемое в крупных компаниях рассчитанное на большое количество сотрудников, которое охватывает организационные, технические и юридические вопросы обеспечения внутренней безопасности компании.

1. InfoWatch Traffic Monitor — модуль для контроля сетевых каналов передачи данных.

2. InfoWatch Device Monitor — модуль для защиты рабочих станций, осуществляющий контроль печати и копирования документов на съемные носители, а также позволяющий производить контроль портов и съемных устройств.

3. InfoWatch Crawler — модуль для контроля информации в общедоступных сетевых хранилищах и системах документооборота, осуществляет сканирование и применение политик к информации, хранящейся «в покое», а также поддерживает в актуальном состоянии эталонные документы и выгрузки.

4. InfoWatch Forensic Storage — специализированное хранилище, содержащее архив всех информационных потоков организации, в том числе нарушения политик безопасности и факты утечек конфиденциальной информации; является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств.

Программные агенты Device Monitor, установленные на рабочих станциях, контролируют локальные процессы обработки информации. При сохранении документов на съемные носители агент создает идентичную копию этого документа, а при печати — его графическую копию. Созданные документы называются теневыми копиями. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа.

Передача информации через сетевые каналы передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений) осуществляется через сетевой шлюз и контролируется модулем сетевого перехвата, который также передает перехваченные данные на сервер Traffic Monitor.

Если в потоке передаваемых данных была выявлена конфиденциальная информация и система классифицировала эту передачу как инцидент, автоматически срабатывает режим защиты, и запускается процедура реагирования на инцидент, например, происходит блокирование передачи информации, отправитель получает предупредительное сообщение, или оповещение приходит лицу, ответственному за информационную безопасность. Информация об инциденте вместе с копией перехваченного документа сохраняется в архиве.

Модуль InfoWatch Crawler сканирует общедоступные сетевые хранилища данных и системы документооборота и создает теневые копии найденных документов. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа и применения политик.

Сервер Traffic Monitor выполняет анализ полученных данных и автоматически выносит вердикт, является ли операция нарушением политики безопасности. Если политика безопасности требует предотвращения передачи данных, Traffic Monitor осуществляет блокирование выполнения операции. Все перехваченные данные и результаты их анализа сохраняются в InfoWatch Forensic Storage.