Борьба с утечками корпоративной информации или обзор DLP-решений

Статья опубликована в журнале Хакер

В современном мире самым ценным является информация, кто ей владеет будет иметь успех, в то же время утечка данных практически всегда означает потерю клиентов, а то и крах. Именно поэтому сегодня так велик интерес к DLP решениям позволяющим выявить и предотвратить передачу конфиденциальной информации. Выбор большой, лидеры еще четко не определены, а предложения часто схожи по функциям, но отличаются логикой работы и заложенными принципами, поэтому определиться не так просто.

Как выбрать DLP?

Информационная безопасность стала одной из составляющих деятельности любой компании, а соответствующие риски влияют на ее рейтинг и привлекательность для инвесторов. По статистике вероятность утечки конфиденциальной информации от сотрудника организации (инсайдера) больше чем от взлома, причем не обязательно это умышленные действия, пользователь может случайно отправить файл не тому адресату. До появления интернет возможность контролировать деятельность сотрудников практически отсутствовала. Нет, можно было конечно реализовать, но автоматизировать процесс с технической точки зрения было не реально. Сейчас все изменилось. Стандартами деловой переписки стала электронная почта, пользователи общаются посредством IM и VoIP, обмениваются файлами, ведут блоги, публикуют сообщения в соцсетях и так далее. Эти все каналы легко контролировать автоматически, мощность современных серверов и емкость носителей позволяют собирать и обрабатывать данные в реальном времени. Чтобы обнаружить и предотвратить передачу конфиденциальных данных на разных этапах — перемещении, использовании и хранении (in motion, in use, at rest) используется целый класс систем защиты — DLP (Data Leak Prevention). Хотя на сегодня существует еще с десяток терминов-синонимов — ILDP (Information Leak Detection & Prevention), IPC (Information Protection and Control), ILP (Information Leak Prevention) и другие. Задача у них вообщем простая — мониторинг, идентификация и защита. Официальных стандартов показывающих какой должны быть DLP нет, поэтому разные разработчики по-своему смотрят на функции предоставляемые DLP. И часто можно встретить самые разные реализации не всегда включающие действительно необходимое или наоборот, компания платит за то в чем нет необходимости. Хотя со временем определились некоторые требования, которыми должно обладать полнофункциональное DLP решение. И в первую очередь смотрят на охват возможных каналов утечки:

Для определения характера передаваемых данных используется обнаружение специфических признаков (меток, хэш-функции, грифа) и анализом контента (статистический, регулярные выражения и т.п.). Хорошие системы, как правило, используют все доступные технологии, а администратор может легко создавать правила самостоятельно на основе подготовленных шаблонов. Кроме этого DLP система должна обеспечивать службу безопасности инструментом для анализа всех событий и архивом переданной информации. Еще одним критерием определяющим выбор DLP является возможность блокировки утечки в реальном времени. Хотя отношение к этой функции у разных специалистов свое, ведь ошибка в работе DLP (а ложные срабатывания не редки особенно на этапе ввода в эксплуатацию) может привести к блокировке вполне легального трафика, а значит помешать работе сотрудников. Поэтому, многие предпочитают анализ по факту, а не блокировку.

Websense Data Security Suite

Сайт проекта: websense.com
Лицензия: проприетарная
ОС сервер: Windows Server 2003 R2
ОС клиенты: Windows Vista, 7, 2003, 2008/R2
Русификация: нет

Калифорнийская корпорация Websense хорошо известна как производитель систем фильтрации веб-трафика, в частности их разработка вскоре будет внедрена в Facebook для защиты при переходе по внешним ссылкам. Решения ориентированы в первую очередь на средние и крупные компании с числом сотрудников свыше 500 и государственные учреждения. Комплекс Websense DSS контролируя основные каналы обмена данными позволяет в реальном времени остановить утечку конфиденциальной информации. Его основой послужила технология цифровых отпечатков PreciseID компании PortAuthority Technologies купленной Websense в 2006 году. PreciseID обеспечивает большую точность обнаружения конфиденциальных данных и лишена некоторых недостатков лингвинистических методов. Данные описываются при помощи «цифрового отпечатка» представляющего собой набор символов или слов документа или содержимого полей БД. Такой подход обеспечивает точную классификацию контента в более чем 400 форматов документов (включая таблицы СУБД и сжатые файлы), даже если данные перенесены или конвертированы в другой формат. Кроме в PreciseID используются другие алгоритмы — словари, точное и частичное совпадение, статистический анализ и так далее. В месте с ней для анализа информации в продуктах Websense используется несколько технологий «Deep Content Control» и ThreatSeeker (сканирование веб-сайтов и обнаружение новых угроз).
Производится мониторинг основных каналов передачи — электронной почты (SMTP), сообщения MS Exchange, HTTP/HTTPS, FTP, IM/MSN. Интеграция по протоколу ICAP с любым интернет-шлюзом его поддерживающим. Для мониторинга сервер Websense может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN).
Реакция при инциденте в зависимости от события выбирается полностью автоматическая или требует подтверждения ответственного сотрудника. Система умеет блокировать передачу конфиденциальных данных, отправить уведомление (специалисту службы безопасности, начальнику или владельцу контента), запустить внешнюю программу, отправить запрос на подтверждение отправки и другие. Инциденту система присваивает уникальный номер и к сообщению прикрепляется файл. Администратор задает гибкие политики с учетом бизнес-процессов компании, в поставке уже имеется несколько десятков шаблонов и настроенных отчетов по инцидентам и активности пользователей. Продукты Websense позволяют ограничить доступ к определенным сведениям для отдельных сотрудников или групп, защищают корпоративную документацию от внесения несанкционированных изменений. Среди остальных функций — принудительное шифрование электронной почты (через шлюз), интеграция другими продуктами Websense (например со шлюзом безопасности Websense Web Security Gateway). Поддерживается интеграция с Active Directory, Novell eDirectory и Lotus Domino. Совместно с Websense DSS используются ряд других приложений расширяющих возможности комплекса DLP:

Для управления всеми решениями Websense используется единая консоль Websense TRITON Console (Java и Apache Tomcat). Установка Websense DSS очень проста, в архив уже входит MS SQL Server Express 2008 R2, но для больших сред лучше использовать полную версию. Первоначальную настройку политик производят при помощи простого мастера создающего шаблоны в зависимости от страны и характера деятельности организации, в том числе имеются и региональные настройки для России.
Выбор политики в консоли Websense Data Security Suite

Falcongaze SecureTower

Сайт проекта: falcongaze.ru
Лицензия: проприетарная
ОС сервер: Windows 2003/2008 (x86/x64)
ОС клиенты: Windows XP/Vista/7/2003/2008 (x86/x64)
Русификация: есть

Относительно молодое решение разрабатываемое российским OOO «Фалконгейз» вышедшее осенью 2010 года. Представляет собой программный продукт, использующий для поиска конфиденциальной информации технологии контентного, атрибутивного и статистического анализа (ключевым словам, регулярные выражения, отпечаток и т.д.). Обеспечивается контроль всех популярных каналов утечки данных в том числе и зашифрованного трафика — HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, ММР, MSN, XMPP и некоторые другие. Если в организации используется MS Exchange 2007/2010, то вся внутренняя и внешняя переписка и сообщения будут также проверены на соответствие политикам. Особо хочется выделить полную поддержку Skype, ведь SecureTower может перехватывать голосовой трафик, обмен текстовыми сообщениями, файлы и отправляемые sms. Не все DLP это умеют или обеспечивают в полном объеме (чаще установленный агент контролирует лишь текстовые сообщения). Перехват трафика может быть настроен выборочно: по IP-адресам или диапазонам, MAC-адресам, портам и протоколам, логинам, размеру файлов и т.д. Система распознает защищенные паролем документы MS Word/Excel, PDF, и некоторые типы архивов. Если пользователь отправляет защищенный паролем документ или архив, генерируется событие, администратор получает полную информацию и копию файла. Контролируются данные копируемые на внешние устройства, печать на локальных и сетевых принтерах. Чтобы избежать ошибки при определении отправителя SecureTower кроме общепринятой информации полученной из домена, анализирует все контактные данные, IP-адрес и период его использования, логин в различных мессенджерах и т.п. Далее система заводит персональные карточки, которые интегрируясь в Active Directory привязывают к учетной записи всю собранную информацию.
Просмотр снимков экрана в Falcongaze SecureTower
Кроме этого SecureTower имеет функции не специфичные для DLP, но весьма востребованные в большинстве организаций. Так с его помощью можно контролировать работу сотрудников — система периодически делает скрины экранов, которые затем можно просматривать в хронологическом порядке, отслеживает связи с внутренними и внешними контактами с построением графов. При этом формируются наглядные интерактивные отчеты, позволяющие в динамике наблюдать за сетевыми событиями и активностью отдельных пользователей. На основе собранных данных очень легко отследить когда сотрудник тратит время на пустое общение, а не занимается своими прямыми обязанностями.
Функционально SecureTower состоит из нескольких компонентов:

В качестве СУБД может быть использован Microsoft SQL Server, Oracle, SQLite и PostgreSQL. Система легко масштабируется, при необходимости в сеть очень просто добавляется новый сервер отвечающий за перехват или обработку данных. Процесс развертывания очень прост, управление, создание правил и анализ производится из консолей администратора Falcongaze SecureTower Admin Console и безопасности Falcongaze SecureTower Client. После установки в системе активно несколько общих правил позволяющих выявить попытку отправки ряда данных (номеров кредиток, ИНН), посещение соцсетей, отправку резюме для поиска новой работы и другие.

DeviceLock Endpoint DLP Suite

Сайт проекта: devicelock.com/ru
Лицензия: проприетарная
ОС сервер: Windows NT/2000/XP/2003/Vista/2008/7
ОС клиенты: Windows NT/2000/XP/Vista/7
Русификация: есть

Система DLP построенная на основе достаточно известного решения DeviceLock используемого для контроля доступа пользователей к различным периферийным устройствам. Критерии для разрешения/блокировки могли быть разные — логин, тип, время суток, формат файлов и так далее. Сейчас это базовый элемент системы DLP, функции которого дополнены опциональными модулями NetworkLock (анализ данных передаваемых по сети) и ContentLock (отвечает за собственно анализ и фильтрацию данных). Получив новые возможности DeviceLock научился блокировать устройство основываясь в том числе и на содержимом копируемых данных, а не только на логине пользователя и прочих критериях. Причем разные политики устанавливаются в зависимости от того работает компьютер в сети или автономно (оперативный и автономный режим). Обеспечивается детальное протоколирование всех действий пользователей и выборочное теневое копирования данных для их анализа. Система распознает более 80 типов файлов, использует несколько механизмов анализа контента — поиск по ключевым словам и шаблонам в т.ч. с поддержкой регулярных выражений (номера кредиток, адреса, паспортные данные и т.д.), словари, поиск по свойствам файлов и данных (название, размер, пароль, текст и др.). В итоге DLP может найти текст, спрятанный например в графических файлах. Реализованы белые списки (устройств, протоколов и временные) позволяющие пользователю без проблем получить доступ.
Настройка разрешений в DeviceLock Endpoint DLP Suite
Возможна интеграция с механизмами шифрования — BitLocker To Go, PGP, TrueCrypt и некоторыми другими, то есть можно разрешить запись определенных документов только на защищенный носитель. Клиентская часть также контролирует буфер обмена, PrintScreen, печать документов и обнаруживает работу кейлогеров.
Модуль NetworkLock использует методы DPI (глубокий анализ пакетов, Deep Packet Inspection) и умеет определять протоколы вне зависимости от порта, поэтому легко создать политики для любого вида трафика веб, соцсети, файловый, почтовый и IM. Распознаются протоколы синхронизации с мобильными устройствами — MS ActiveSync, Palm HotSync и iTunes. В официальных списках нет поддержки P2P и Skype.
Возможно использование дополнительного компонента полнотекстового поиска DeviceLock Search Server (DLSS), позволяющего найти информацию в теневых копиях и журналах. Управление производится при помощи групповых политик домена, поэтому установки подхватываются клиентами автоматически. Правила создаются через редактор DeviceLock GroupPolicy Manager. Если Active Directory не используется, в поставке предусмотрена консоль DeviceLock Enterprise Manager, умеющая получать данные из любых LDAP каталогов, в консоли DeviceLock Management Console отображается текущее состояние агентов. Также клиенты могут устанавливаться с уже преконфигурированными параметрами.
После установки DeviceLock DLP содержит ряд готовых правил

MyDLP

Сайт проекта: mydlp.org
Лицензия: GNU GPL
ОС сервер: Ubuntu 10.04 LTS
ОС клиенты: Windows XP, Vista, 7 (х86/х64)
Русификация: нет (возможна собственными силами)

Бесплатная с открытым исходным кодом DLP система (разработчики используют название Data Loss Prevention) включающая ряд функций для предотвращения утечки данных:

Кроме этого MyDLP умеет обнаруживать, открывать зашифрованные файлы или файлы закрытые паролем (если есть ключ). Функционально система построенная на MyDLP состоит из четырех компонентов:

Написан на PHP и Adobe Flex, для хранения настроек и журнала событий используется MySQL.
Окно настроек MyDLP
Сам процесс настроек при помощи интерфейса и подключение клиентов вообщем то понятен. Девиз «Easy, Simple, Open» полностью отражает суть MyDLP.
Документация проекта содержит десяток мануалов, есть даже небольшое видеоруководство. После запуска клиента в трее появляется значок, спрятать который штатными установками невозможно. Проект предлагает установочный ISO образ (на базе Ubuntu), образ VMware и репозитарий Ubuntu 10.04 LTS (downloads.medratech.com/ubuntu).
За плату предлагается Enterprise версия с расширенными средства анализа, улучшенным интерфейсом, функциями карантина и архивирования и поддержкой.

Возможности OpenDLP

Проект OpenDLP (code.google.com/p/opendlp) предлагает комплекс инструментов для предотвращения возможных утечек информации с клиентских машин работающих под управлением Windows. Для чего на Windows ПК устанавливается небольшой агент, Сам процесс развертывания производится в автоматическом режиме через Netbios/SMB. Кроме этого возможно прямое сканирование систем без установки агентов на Windows (через SMB) и *nix (SSH) системах и СУБД (MS SQL и MySQL). Централизованное управление выполняется при помощи веб-интерфейса, обмен данными с агентом производится по зашифрованному при помощи SSL каналу связи (используется libcurl). Настройку большого числа агентов упрощают профили, содержащие правила сканирования. В правилах для описания объектов поиска используется Perl-совместимые регулярные выражения, позволяющие обнаруживать номера кредиток, SSN, паспортов, пароли, наличие на ресурсах документов в конфиденциальными данными и их обработка на внешних сервисах (Google Docs, GMail) и прочую информацию. Администратор может настроить черный и белый список каталогов которые необходимо сканировать и задать расширения файлов. Интерфейс в настоящее время позволяет просмотреть результаты сканирования (получать список файлов в которых найдены совпадения) и управлять работой агентов (пауза сканирования и деинсталляция агента). В настоящее время не производится прослушивание сетевого трафика, анализ информации копируемой на внешний носитель, программа проверяет только документы хранящиеся на жестком диске ПК и имеющие текстовый формат. Проект пока находится в стадии активной разработки, первая версия 0.1 представлена в апреле 2010, текущая версия 0.4.3. Серверная часть написана на языке Perl, для установки разработчики рекомендуют Apache и Linux, для хранения данных используется MySQL. Агент написан на языке Си. Исходные тексты распространяются по условиям GNU GPLv3. Для ознакомления проект предлагает образ VMware.

Заключение

Нужно помнить что DLP это прежде всего инструмент позволяющий значительно снизить риски, наличие которого уже само по себе дисциплинирует сотрудников. Ожидать, что внедрение послужит гарантией и полностью защитит от умышленных утечек тоже не стоит. Если инсайдер захочет вынести ценную информацию, он наверняка найдет путь, поэтому все традиционные методы защиты должны быть также настроены.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)